بایگانی دسته: آموزش کانفیگ و پیاده سازی

آموزش های مربوط به پیاده سازی و کانفیگ انواع استراکچرهای شبکه بر روی محصولات ( روتر ، سوئیچ ، فایروال و … ) سیسکو

qinq سیسکو

Q-in-Q Tunnel چیست ؟

سیسکو Q-in-Q Tunnel چیست

سیسکو Q-in-Q Tunnel چیست

Q-in-Q Tunnel چیست ؟

شناخت و کانفیگ و پیاده سازی Q-in-Q VLAN Tunnels توسط سوئیچ سیسکو

Q-in-Q Tunnel یکی از راه حل های سیسکو جهت انتقال VLAN های مشتریان توسط سرویس پرواید ها است .

شما تصور کنید که یک مشتری با چند دفتر و شعبه در مکان های مختلف جغرافیای ، نیازمند ، ارتباط بین دفاتر خود و انتقال VLAN های مجموعه ، بین تمامی شعبات خود است . این سازمان به یک سرویس پروایدر مراجعه و دفاتر و مراکز مختلف خود را با گسترش و پراکندگی جغرافیای اعلام کرده و نیازمند ارتباط بین دفاتر و همچنین انتقال VLAN های داخلی خود بین دفاتر است ، چنانچه سرویس پروایدر بخواهد ، VLAN های داخلی مشترک را روی شبکه خود تعریف و انتقال دهد ، به مشکلات و گرفتاری های فراوانی برخورد کرده و همچنین توان مدیریت VLAN ها از مشتری صلب میشود ، و عملا این کار امکان پذیر نخواهد بود ، برای مثال تصور کنید این مشتری بر روی شبکه داخلی خود 100 عدد VLAN داشته باشد و خواهان انتقال این VLAN ها نیز باشد ، راه اول این است که پروایدر یک ارتباط ترانک در تمامی شعبات و مراکز اتصال به شبکه در اختیار متقاضی قرار دهد ، که با توجه با مغایرت ها و تداخل ها ، مشکلات امنیتی و بار اضافی مدیریتی ، عملا این روش امکان پذیرنخواهد بود ، لذا سیسکو برای چنین شرایطی Q-in-Q Tunnel را پیشنهاد میدهد .

Q-in-Q Tunnel در واقع نوعی تانلینگ یا به بیان صحیح تر Double Tagging است ، بدین مفهوم که پروایدر vlan های مشترک را در یک VLAN که با آن اختصاص میدهد ، Encapsulate میکند ، یا تگ میزند ، در واقع یک بار tag برای VLAN که پروایدر به مشترک اختصاص میدهد و tag دیگر مربوط به VLAN های خود مشترک است ، tag داخلی بیانگر VLAN های مشترک و tag بیرونی مربوط به VLAN ایست که سرویس پروایدر به آن مشتری اختصاص میدهد ، به این روش double Tagging و یا tag Stacking اتلاق میگردد .

خب تا اینجا پیش رفتیم که پروایدر در هر branch به مشترک یک پورت با یک vlan مثلا 10 اختصاص میدهد ، و خود مشترک vlan های 1 تا 100 را در مجموعه خود دارد . داستان بدین منوال پیش میرود که وقتی یک پکت از سمت مشتری به پورت سرویس پروایدر میرسد ، که در ایتجا مثلا vlan 10 به مشترک اختصاص داده شده است ، در هنگام عبور از شبکه سرویس پروایدر مادامی که از trunk port ها عبور میکند ، tag خارجی که همان tag مربوط به 10 vlan سرویس پروایدر است ، برداشته و براساس آن ترافیک ، سوئیچ سیسکو و پراسس های مربوطه انجام و دوباره آن tag به آن پکت چسبانده شده تا به پورت خروجی برسد . در پورت خروجی که همان تانل پورت نیز گفته میشود ، دوباره metro tag یا همان tag مربوطه به 10 vlan سرویس پروایدر برداشته و پکت ها با tag مربوط به vlan های سمت مشترک ارسال میشود .

در Q-in-Q Tunnel ، سوئیچ سیسکو فارغ از تگ داخلی عمل میکند ، یعنی با پکت ، مثل یک پکت معمولی چه یک پکت dot 1Q که tag داشته و چه یک پکت بدون tag ، و این در مورد ترافیک های non tagged مثل Native VLAN Frame مشکلات اجرایی را در بر خواهد داشت و سوئیچ سیسکو فقط اقدام به forward پکت مربوطه خواهد کرد .

تگینگ در Q-in-Q Tunnel

تگینگ در Q-in-Q Tunnel

اگر بخواهیم یکبار دیگر به شکل خلاصه سناریو را مرور کنیم : یک پورت معمولی ( access ) با یک VLAN اختصاصی از سمت پروایدر به مشترک اختصاص داده میشود ، مشترک ترافیک dot1Q و تگ شده خود را با VLAN های خود به سمت سوئیچ سیسکو Edge پروایدر ارسال میکند ، سپس این ترافیک در مرز شبکه ، که همان پورت ورودی سمت پروایدر یا tunnel port ، دوباره یک metro tag جدید میخورد ، در واقع پکت ها در دل آن Encapsulate و double tagging میشوند ، سپس ترافیک پس از عبور از شبکه پروایدر که مشتمل از trunk هاست ، بر اساس شماره VLAN که پروایدر به مشترک اختصاص داده ، به سمت پورت خروجی و در واقع edge سمت دیگر هدایت و tag مربوط به vlan پروایدر از آن جدا و ترافیک dot1Q به سمت مشترک سرازیر میشود ، که شامل VLAN های خود مشترک است و سپس در سوئیچ سیسکو مشترک VLAN ها بر اساس تگ dot1Q تفکیک میشود .

سیسکو Q-in-Q Tunnel

سیسکو Q-in-Q Tunnel

بدین منوال ترافیک VLAN های یک مشترک بین سایت و شعبات مختلف آن ، توسط شبکه سوئیچینگ سرویس پروایدر ، به کمک QnQ تانلینگ ، انتقال پیدا خواهد کرد . این تکنیک کمک شایانی به سرویس پروایدر ها به منظور ترانزیت و سرویس های VLAN و ارتباطات interanet و انتقال پهنای باند جهت ارائه به سازمانها و شرکت ها و مراکز آموزشی که قصد برقراری ارتباط بین مراکز خود را داشته (بدون هزینه اضافی برای برقراری ارتباطات نقطه به نقطه ) و یا نیاز به برقراری یک ارتباط پشتیبان دارند ، می نماید . برای مثال یک مرکز آموزشی مثل دانشگاه ، با وجود تعداد زیاد ساختمان ها ( دانشکده ها و مراکز اداری ) ، برای ارتباط بین آنها ، حتی در یک شهر مثل تهران ، نیازمند نصب دکل های وایرلس و خرید تجهیزات وایرلس و مشکلات مربوط به آن و یا استفاده از سرویس های مخابراتی نظیر MPLS و … است ، لیکن میتواند با استفاده از بستر یک سرویس پروایدر و شبکه آن ، تمامی مراکز و ساختمان های خود را با کمترین هزینه به نزدیک ترین پاپ سایت سرویس پروایدر مورد نظر متصل و ترافیک شبکه و VLAN های خود را از طریق آن انتقال دهد . همچنین حتی در صورت وجود ارتباطات نقطه به نقطه ، جهت افزایش UP Time و جلوگیری از قطعی مقطعی ، میتوان  از این روش به عنوان یک مسیر جایگزین Backup Route استفاده نمود .

نکته : با توجه به افزایش 4 بایتی ،بابت اضافه شدن metro tag به پکت ها و سایز 1500 بایتی default میزان mtu سوئیچ سیسکو ، میبایست اقدام به افزایش MTU به 1504 نمائید .

سایز فریم dot1q

سایز فریم dot1q

روش کار :

کانفیگ مربوط به پورت های Edge سوئیچ سیسکو مربوطه به سرویس پروایدر

Shabake(config)# interface gigabitethernet0/1
Shabake(config-if)# switchport access vlan 10
% Access VLAN does not exist. Creating vlan 10
Shabake(config-if)# switchport mode dot1q-tunnel

 از این کامند : no vlan dot1q tag native میتوانید برای جلوگیری از tag زدن به Native Vlan استفاده کنید .

در صورتی که نیازمند به انتقال ئروتکل های لایه دویی مثل STP – CDP و امثالهم هستید ، این روش کارایی نخواهد داشت ، در این روش فقط و فقط VLAN ها با dot1Q tag زده شده و در دل یک VLAN دیگر Encapsulate میشوند ولی برای انتقال لایه 2 ای ، میبایست از Layer 2 Tunneling استفاده کنید که ان شاالله در آینده به آن خواهیم پرداخت .

وفقک الله 

سیسکو bgp route reflector

سیسکو BGP Route Reflector چیست ؟

سیسکو Route Reflector

سیسکو Route Reflector

سیسکو BGP Route Reflector چیست ؟

کانفیگ و پیاده سازی bgp route reflector  توسط روتر سیسکو

BGP route reflector یکی از راه حل های سیسکو برای کاهش پیچیدگی و تعدد ارتباطات iBGP در شبکه های Full Mesh BGP است .

BGP route reflector در واقع یک نوع roll به یک یا چند روتر سیسکو در شبکه Full mesh iBGP واگذار میکند به نحوی که تمامی روتر های همسایه در یک AS به جای اینکه با یکدیگر ارتباط iBGP Peering داشته باشند ، فقط با BGP Route Reflector ارتباط iBGP Peering خواهند داشت ، لذا تعداد peering ها از x(x-1)/2  که در آن x تعداد روتر های آن AS است به x-1 کانکشن به ازای هر bgp route reflector کاهش پیدا خواهد کرد :

iBGP full mesh without route reflector

iBGP full mesh without route reflector

در تصویر بالا تعداد همسایگی های iBGP در شبکه :  x(x-1)/2 است و سپس به کمک bgp route reflector به x-1 کاهش پیدا میکند :

full mesh iBGP with bgp route reflector

full mesh iBGP with bgp route reflector

بدین ترتیب هر روتر در شبکه فقط یک ارتباط iBGP با bgp Route Reflector یا همان RR خواهد داشت و مادامی که یکی از روتر ها اقدام به ارسال Update جدیدی به RR نماید ، RR آن Route Update جدید را به تمامی روتر های دیگر ( بنا به شرایطی ) Reflect خواهد کرد .

روتر و یا روتر هایی که به عنوان RR انتخاب میشود میتواند 3 نوع ارتباط BGP Peering داشته باشد :

  • EBGP
  • iBGP Client
  • iBGP non Client

یک RR در شبکه با روتر های دیگر یا ارتباط iBGP Client دارد و یا iBGP non Client ، که تنها فرقی که وجود دارد این است که وقتی یک route از یک non Client neighbor دریافت میشود ، RR میتواند آنرا به تمامی همسایه ها الا non Client ها Reflect دهد ، درواقع هیچ گاه Update دریافت شده از یک non Client به بقیه non Client ها Reflect نخواهد شد .

 مثال :

مطابق دیاگرام زیر R2 به عنوان RR انتخاب میشود ، مادامی که با R1 و R3 به شکل client neighbor کانفیگ شده باشند ، update های دریافتی از هرکدام به دیگری Reflect خواهد شد ، حتی اگر یکی هم non Client باشد ، باز هم Update ها Reflect میشود ، ولی اگر هر دو non client باشند ، آنگاه ، route update دریافتی از یکی به دیگری reflect نخواهد شد .

مثال پیاده سازی bgp route reflector

مثال پیاده سازی bgp route reflector

R1(config)#router bgp 123
R1(config-router)#neighbor 192.168.12.2 remote-as 123
R1(config-router)#network 1.1.1.1 mask 255.255.255.255

R3(config)#router bgp 123
R3(config-router)#neighbor 192.168.23.2 remote-as 123

R2(config)#router bgp 123
R2(config-router)#neighbor 192.168.12.1 remote-as 123
R2(config-router)#neighbor 192.168.12.1 route-reflector-client
R2(config-router)#neighbor 192.168.23.3 remote-as 123
R2(config-router)#neighbor 192.168.23.3 route-reflector-client

همانطور که ملاحظه میکنید ، روتر R1 ، شبکه 1.1.1.1 را advertise میکند ، R2 این Route Update را به R3 نیز Reflect خواهد داد ، لیکن اگر R1 و R3 به عنوان route-reflector-client معرفی نمیشدند ، این اتفاق نمی افتاد .

به شکل پیشفرض Reflection بین Client ها اتفاق میوفتد ، در صورتی که به هر دلیل نخواهیم Reflection به سمت Client ها انجام شود ، میتوان از این دستور استفاده کرد :

Router(config-router)# no bgp client-to-client reflection

برای درک بهتر و بیشتر bgp route reflection ، شما را به تماشای این اسلاید آموزشی که توسط سیسکو تهیه شده دعوت میکنم .

introducing-route-reflectors – Cisco

وفقک الله

uRPF چیست

سیسکو uRPF چیست ؟

سیسکو uRPF چیست ؟

Unicast Reverse Path Forwarding و افزایش امنیت شبکه های مبتنی بر سیسکو

uRPF یا به شکل گسترده Unicast Reverse Path Forwarding یکی از راه حل های امنیتی سیسکو در شبکه های روتینگی برای افزایش امنیت شبکه و جلوگیری از IP Spoofing و بهره برداری های غیر مجاز است .

به شکل کلی و نظری هر روتر سیسکو هر پکت دریافتی را بدون توجه به Source IP یا همان IP مبدا ، به سمت مقصد یا همان Destination IP هدایت Forward میکند .

در واقع با دریافت هر پکت ، روتر از خود سوال میکند که مقصد این بسته کجاست ( destination IP ) و آیا من میتوانم آنرا forward کنم ؟

اگر بنا به route کردن آن بسته باشد ، روتر به routing table خود نگاه میکند و بسته را با توجه به جدول مسیریابی و یا FIB از طریق اینترفیس مربوطه ، به سمت آدرس مقصد ارسال میکند ، و در این نوع سناریوها ، source IP توسط روتر مورد توجه قرار نمیگیرد.

این نقطه ضعفی برای امنیت شبکه تلقی میشود ، چرا که یک هکر خرابکار میتواند ، با تکنیک IP Spoofing ، اقدام به جعل IP مبدا نموده و بسته ای که قائدتا باید Drop شود را از طریق روتر ، route یا forward کند .

uRPF تکنیک امنیتی ست ، برای مقابله با این قبیل حملات IP Spoofing و همچنین برای افزایش امنیت و جلوگیری از استفاده غیر مجاز از منابع و ساختار شکنی ، بدین ترتیب که در حالت کلی با استفاده از uRPF ، هر Packet قبل از route شدن به سمت مقصد ، ابتدا از لحاظ Source IP مورد بررسی قرار میگیرد ، اگر به ازای  source IP مورد نظر هیچ entry در routing table وجود نداشته باشد ، آن بسته Drop میشود : ) !

uRPF به دو صورت کلی در روتر های سیسکو ئیاده سازی میشود :

  • Strict Mode
  • Loose Mode

Strict Mode :

در این نوع پیاده سازی uRPF در سیسکو ، دو نوع چکینگ صورت می پذیرد ،

  • آیا هیچ entry برای Source IP پکت مورد نظر در Routing Table روتر سیسکو وجود دارد ؟!
  • آیا مسیر دسترسی به Source IP از همان اینترفیسی ست ، که پکت از آن دریافت شده ؟!

اگر بسته مورد نظر از این دو لحاظ مورد تائید بود ، سپس route خواهد شد .

 

urpf strict mode سیسکو

urpf strict mode سیسکو

فعال سازی uRPF به شکل Strict بر روی روتر سیسکو :

Aka-Core(config)#int gigabitEthernet 0/0
Aka-Core(config-if)#ip verify unicast source reachable-via rx

Aka-Core#sh ip interface gig 0/0 | include verify
IP verify source reachable-via RX

Loose Mode :

در این روش از پیاده سازی uRPF ، فقط یک چکینگ روی Packet دریافتی ، قبل از forwarding انجام می شود :

  • آیا هیچ entry در routing table روتر سیسکو برای آدرس مبدا پکت مورد نظر وجود دارد ؟!
urpf loose mode سیسکو

urpf loose mode سیسکو

فعال سازی uRPF به شکل Loose Mode بر روی روتر سیسکو :

Aka-Core(config)#int gigabitEthernet 0/0
Aka-Core(config-subif)#ip verify unicast source reachable-via any
Aka-Core(config-subif)#^Z

Aka-Core#sh ip interface gig 0/0 | include verify
IP verify source reachable-via ANY

بدین ترتیب ، بدون توجه به اینکه مسیر دسترسی روتر به Source IP ، با اینترفیسی که Packet از آن دریافت شده ، مطابقت دارد یا نه ، پکت فقط با بررسی اینکه برای Source IP آن ، مسیری در جدول مسیریابی وجود داشته ، Forward میشود …

uRPF تکنیک بسیار موثر و کارایی در حفظ امنیت و خط مشی شبکه های سیسکو است ، برای مثال ، به یکی از فواید استفاده از uRPF در دنیا که چند سالیست پیاده سازی آن به شکل کامل عمومیت پیدا کرده ، (درلفافه) میپردازیم ،

همان گونه که میدانید ، محل قرار گیری انواع Content Engine ها ( مدیریت محتوا )  در سمت Down Stream پروایدر و Up Stream کاربر است ، به بیان ساده تر ، انواع رگولیشن ها بر روی خط Send کاربر پیاده سازی میشود ، بدین ترتیب ، بعضی از افراد برای فراراز اینگونه محدودیت هایی که هر کشور به فراخور قوانین رگولاتوری بر روی اینترنت اعمال میکرد ، اقدام به برقراری یک تانل بین روتر خود و یک روتر در یک کشور دیگر ( بدون محدودیت های مورد نظر ) و route ترافیک send به سمت شبکه آن سمت تانل می نمودند ، با این حساب ، ارسال بر روی تانل و از طریق شبکه متصل به روتر آن سوی تانل و دریافت از طریق شبکه اینترنت محلی انجام میشد ، و بدین ترتیب ، تمامی محدودیت های اعمالی از طرف پروایدر ، bypass میشد ! :دی

خب بیشتر از این در مورد اینکه دقیقا به چه منظور و چگونه اینکار انجام میشده ، توضیح نمیدهیم ، فقط اینکه ، روتر مجاور ، در یک دیتا سنترو به شبکه یک کشور دیگر متصل بوده ، و وقتی شخص مورد نظر روت IP های خود را به سمت آن روتر قرار میداد ، روتر مذبور بدون توجه به Source IP ، پکت ها را به مقصد هدایت و برگشت (Down Stream ) هم از طریق شبکه کشور مبدا دریافت میشد ، پس از اینکه uRPF در سطح جهانی و به شکل الزامی از طرف Internet Resource Coordination ها پیاده سازی شد ، دیگر امکان route کردن آدرس های غریبه از طریق شبکه های دیگر امکان پذیر نبود و این باعث حفظ امنیت و خط مشی امنیتی شبکه های بزرگ در سطح کشوری و همچنین جلوگیری از اتلاف منابع گردید …

برای اطلاعات بیشتر در این زمینه ، به مقاله : Bogon و راه حل رهایی از Bogon ها ، مراجعه فرمایید .

وفقک الله

smith-mundt's

Split Horizon چیست ؟

Split Horizon چیست

Split Horizon  با طعم Smith-Mundt’s آمریکایی !

Split Horizon یکی از روش ها و یا قوانین کنترل ( Loop ) در شبکه های Dynamic Routed ، که ترافیک آنها توسط روتینگ پروتکل روت میشود است ، در واقع به کمک Split Horizon ، میتوان از بروز دور و تسلسل (Loop) که یکی از مهمترین آفت های روتینگ پروتکل ها ، در شبکه است ، جلوگیری کرد .

Split Horizon با اتکا به اصلی  بسیار ساده و کارا ، از بروز چرخه یا loop در شبکه جلوگیری میکند ، بدین ترتیب که :

”  هیچ گاه ، Network هایی که در یک update از یک اینترفیس (interface) دریافت شده ، از همان interface دوباره (تبلیغ) Advertise نمیشود “

این بدین معنیست که بر طبق قانون Split Horizon ، هر گاه یک روتر توسط یک اینترفیس خود ، مثلا Fast0/0 با روتری همسایه باشد ، و در یک Update ، نتورکی ، مثلا 192.168.0.0/24 را از آن روتر دریافت کند ، هیچ گاه ، دوباره نتورک 192.168.0.0/24 را نه به روتر مبدا ، و نه به هیچ روتر دیگری که بر روی همان اینترفیس با آن همسایه است ، تبلیغ نخواهد کرد .

split horizon چیست

split horizon چیست

این قانون بسیار کاراست و باعث جلوگیری از به وجود آمدن بسیاری از Loop ها در شبکه های حتی بزرگ نیز میشود ، فقط در بعضی موارد خاص اقدام به غیر فعال کردن این قابلیت بر روی اینترفیس ها میکنند ، برای مثال یک شبکه RAS یا DMVPN که که قبلا به توضیح آن پرداختیم ، در نظر بگیرید ، در صورت فعال بودن Split Horizon ، هیچ روتینگ پروتکلی ، قادر به کارکرد نخواهد بود ، به لحاظ اینکه ، تمامی روتر ها بر روی اینترفس tunnel خود ، با روتر هاب ، همسایه هستند ، لذا ، بنا بر قانون Split Horizon ، روتر هاب ، از ارسال آپدیت نتورک ها خود داری میکند ، زیرا از همان اینترفیس آنها را دریافت کرده است ، بنابراین میبایست در برخی موارد و نیز در شبکه های کنترل شده LAN و Frame Relay به شکل Point to Multipoint ، اقدام به غیرفعال نمودن Split Horizon بر روی روتر سیسکو ، جهت کارکرد صحیح روتینگ پروتکل ها ، نمود ، البته شایان ذکر است که Split Horizon به صورت default برای RIP بر روی Frame Relay ، غیر فعال است .

جهت غیر فعال کردن Split Horizon بر روی روتر سیسکو و یک اینترفیس ، در یک شبکه EIGRP از این دستور استفاده نمائید :

Aka-Core(config-subif)#no ip split-horizon eigrp 1

split horizon

split horizon

از آنجایی که کشور آمریکا ، مهد تکنولوژی و نظم و امنیت و صدالبته آزادی omg! و حقوق بشرو طرفدار سینه چاک دسترسی عموم به جریان آزاد اطلاعات است ، این قانون با نام مستعار Smith-Mundt’s در سال 1948 ، حتی قبل از ظهور شبکه :)) در آمریکا تصویب و براساس آن ، دریافت هرگونه اخبار ، شانتاژ ، تهاجم فرهنگی ، فضاسازی ، بمب خبری ، شایعه و … که توسط آمریکا ، برای کشور های مخالف آزادی و مدافع فیلترینگ مثل ایران :دی ، ارسال میشود ، توسط شهروندان شخیص و انسان و گوسپند آمریکایی ، ممنوع است ، لذا تمامی خبرگذاری ها ملزم به جلوگیری از درز اخبار از منابعی مثل voa و امثالهم به رسانه های عمومی و داخلی آمریکا هستند ! و اینگونه شهروندان در رفاه و آرامش و صد البته آزادی ، به خوبی و خوشی در مراتع سرسبز ، زندگی ، نه ،  میچرند !!

بین کارشناسان و فعالان آمریکایی ، این قانون به دیوار آتش Firewall خودمان ، مثل ASA سیسکو :دی ، معروف است :)) !

مرگ بر آمریکا

روتینگ توسط سوئیچ لایه سه سیسکو

روتینگ توسط سوئیچ سیسکو

روتینگ توسط سوئیچ لایه سه سیسکو

روتینگ توسط سوئیچ لایه سه سیسکو

روتینگ توسط سوئیچ سیسکو

فعال کردن امکان روتینگ توسط سوئیچ لایه سه سیسکو

روتینگ امکان جالب و هیجان انگیزی برای یک سوئیج است ، به تعبیری ، روتینگ حدفاصل بین سوئیچ و روتر را کمتر میکند ، در واقع محصولات جدید سیسکو را نه میتوان روتر نامید نه سوئیچ ، چون مثلا سری 6500 امکانات لایه یک تا هفت را در حد عالی به شما ارائه میکند که این باعث میشود تصویر ذهنی کاربران نسبت به این محصولات عوض شود …

روتینگ قابلیتی است که ما منحصرا آن را در اختیار روتر های در محصولات سیسکو میئنداشتیم ، اما با ارائه سوئیچ کاتالیست سیسکو 3550 ، و امکانات فوق العاده لایه 3 آن ، نظر ها عوض شد . در نگاه یک کارشناس شبکه ، سوئیچ لایه سه سیسکو ، ابزاری همه فن حریف است که پاسخگوی گستره وسیعی از نیازهای شبکه است ، محدودیت تعداد پورت روتر را نداشته و همچنین از فناوری ASIC برای پردازش استفاده میکند که این باعث load کمتر و سرعت بیشتر است البته نباید این نکته را فراموش کرد که سوئیچ ها اساسا سوئیچ هستند . برای این کار بهینه سازی شده اند ، برای مثال RAM سوئیچ ها قابل ارتقاء نبوده و از ماژول های WIC و NM و همچنین ارتباطات WAN و تکنولوژی های مربوط به آن پشتیبانی نمیکنند در واقع سوئیچ ها با VLAN ها کاردارند و این امکانات روتینگی لایه سه ، این مزیت را به سوئیچ های سیسکو میبخشد که بتوانند ترافیک این VLAN ها را هم Route کنند .

روتینگ قابلیت بسیار مهمی بود که سیسکو از سری 3550 به سوئیچ های میان رده خود اضافه نمود که پس از آن 3560 با بهبود های فراوان و سپس سوئیچ سیسکو 3750 ، پادشاه سوئیچ های سیسکو با قابلیت های فراوان و قدرت بالا ، حلال مشکلات شبکه ها و مطلوب متخصصان شبکه گردید ، بدین ترتیب که در اکثر پیاده سازی ها ، حضور سوئیچ سیسکو 3750 به عنوان جزئی بی بدیل از شبکه مشاهده میشود .

البته محدودیت های و تفاوت های زیادی بین یک روتر و یک سوئیچ لایه سه وجود دارد که نمی توان از آن چشم پوشی کرد و همیشه نیاز به یک روتر صرف در شبکه های حتی کوچک هم حس میشود برای مثال امکانات NAT کردن در سوئیچ های لایه سه وجود ندارد ، ولی با تمام این احوال ، امکانات dynamic routing و پشتیبانی از پروتکل های روتینگی مهمی مثل EIGRP – OSPF – BGP و همچنین استاتیک روتینگ ، Policy Based Routing امکانات ACL حرفه ای و QOS و خیل کثیری از امکانات روتر ها در سوئیچ های لایه 3 وجود داشته که با توجه به تعدد پورت ها ، استفاده از آنها در بسیاری از ماموریت ها ، راه گشا خواهد بود .

برای فعال کردن امکانات روتینگ در سوئیچ لایه سه ، مثل سوئیچ سیسکو 3750 ، و تبدیل آن به یک روتر ، کار چندانی لازم نیست که انجام دهید ، کافیست ابتدا با دستور IP Routing ، امکانات روتینگ را فعال کرده و پس از آن میتوانید به هر پورت IP اختصاص دهید و یا پورت ها را در لایه 2 قرار داده و به vlan ها IP دهید ، از دیگر قابلیت ها امکان فعال سازی DHCP برای اختصاص IP به کلاینت ها و همچنین فعال سازی dynamic routing protocol است .

نکته جالب اینکه ، پس از فعال کردن امکانات روتینگ سوئیچ لایه سه سیسکو ، خللی در کارکرد لایه دو آن ایجاد نمیشود ، بلکه میتوانید تنظیمات لایه دو خود را نظیر vlan ها و پورت های trunk و همچنین stp – vtp – etherchannel را نیز داشته باشید .

مثال : فعال کردن امکانات روتینگ :

Aka-3750(config)#ip routing

اختصاص IP به یک پورت خاص

Aka-3750(config)#int gi 1/0/20
Aka-3750(config-if)#no switchport
Aka-3750(config-if)#ip add 217.218.1.1 255.255.255.0

کانفیگ پورت به صورت لایه 2 و اختصاص IP به vlan مربوطه :

Aka-3750(config-if)#switchport
Aka-3750(config-if)#switchport mode access
Aka-3750(config-if)#sw acce vlan 303

Aka-3750(config)#int vlan 303
Aka-3750(config-if)#ip add 217.218.1.1 255.255.255.0

فعال کردن eigrp :

Aka-3750(config)#router eigrp 1
Aka-3750(config-router)#network 217.218.1.0 0.0.0.255
Aka-3750(config-router)#redistribute connected
Aka-3750(config-router)#no auto-summary

نوشتن یک استاتیک روت :

Aka-3750(config)#ip route 8.8.8.8 255.255.255.255 172.16.64.1

نوشتن یک ACL و اختصاص آن :

Aka-3750(config)#ip acce e 110
Aka-3750(config-ext-nacl)#per ip 217.218.1.0 0.0.0.255 any
Aka-3750(config-ext-nacl)#per icmp an any
Aka-3750(config-ext-nacl)#per tcp an an eq 80
Aka-3750(config-ext-nacl)#deny ip any any

Aka-3750(config)#int vlan 301
Aka-3750(config-if)#ip access-group 110 in

اینها مثال هایی بود از گوشه ای از امکانات لایه سه ایه سوئیچ های لایه سه سیسکو ، که با فعال کردن قابلیت روتینگ آن ، دری جدید از امکانات و قابلیت ها به روی شما گشوده خواهد شد .

در کل با تمام کارامدی سوئیچ های لایه سه سیسکو ، نباید ماموریت ذاتی و اصلی این تجهیزات که همانا سوئیچینگ است را از خاطر برد ، این سوئیچ ها با بهبود های نرم افزاری صورت گرفته امکانات روتینگ را نیز برای بهبود عملکرد دارا بوده ، ولی نباید از آنها قابلیت های یک روتر تمام عیار را انتظار داشت همانطور که با اضافه کردن یک ماژول سوئیچ NME-X-23ES-1G به یک روتر ISR نمیتوان قابلیت ها و پرفورمنس کامل یک سوئیچ را از آن انتظار داشت ، چون یک روتر است !! ولی در مواردی مثلا یک pop site و یا در مقاطعی که نیاز به تعدد پورت و همچنین روتینگ باشد ، به جای استفاده از یک سوئیچ در کنار روتر و inter vlan routing ، میتوان از امکانات ویژه یک سوئیچ لایه سه بهره مند گردید .

وفقک الله

سیسکو IP SLA چیست ؟

سیسکو IP SLA چیست ؟

آموزش مفهوم IP SLA و کانفیگ IP SLA Route Tracking توسط روتر سیسکو

IP SLA و یا به شکل گسترده IP Service Level Agreements ابزاریست در IOS سیسکو برای بررسی عملکرد و کیفیت سرویس ها و ارتباطات ، بر روی بستر IP .

IP SLA به ما امکان بررسی و جمع آوری اطلاعات در مورد میزان تاخیر پکت ها Packet Delay ، میزان Packet Loss ، برقراری ارتباطات ، میزان Jitter ، کیفیت صدا در ارتباطات voip ، بررسی یک مسیر به شکل hop by hop ، در دسترس بودن یک سرویس و .. که تمامی این امکانات ، باعث میشود که میزان پایداری شبکه و کیفیت سرویس QOS بالا رفته و از Down Time ها و network outage ها به شکا قابل ملاحظه ای کاسته شود ، همچنین با ابزار هایی نظیر SNMP و نرم افزار CiscoWorks Internetwork Performance Monitor و یا حتی نرم افزار های third part ، امکان بررسی و جمع آوری اطلاعات در زمینه کارکرد شبکه و کیفیت سرویس فراهم می آورد .

برخی از انواع بررسی ها و نوع عملکرد و سرویس IP SLA ، بدین صورت است :

• Data Link Switching Plus (DLSw+)
• Domain Name System (DNS)
• Dynamic Host Control Protocol (DHCP)
• File Transfer Protocol (FTP)
• Hypertext Transfer Protocol (HTTP)
• ICMP echo
• ICMP jitter
• ICMP path echo
• ICMP path jitter
• Real-Time Transport Protocol (RTP)-based VoIP
• Transmission Control Protocol (TCP) connect
• UDP echo
• UDP jitter
• UDP jitter for VoIP
• VoIP gatekeeper registration delay
• VoIP post-dial delay

IP SLA برای دستیابی به نتایج و اطلاعات ، مبادرت به بررسی دائمی ترافیک عبوری ، تولید و شبیه سازی ترافیک ، می ورزد ، که بدین ترتیب امکان بررسی و جمع آوری اطلاعات از وضعیت شبکه ، منابع ، مسیر ، سرویس و … را فراهم می آورد .

یکی از مثال های ساده پیاده سازی IP SLA ، مانیتورینگ یه مسیر ، میزان تاخیر ، میزان پکت لاس و همچنین ، برقراری و قطع میسر است که توسط یک سنسور ،  ارزیابی میشود . این سنسور اقدام به ارسال بسته های ICMP  به مقصد مشخص و در فواصل معین نموده ، و نتیجه را یا به شکل میزان تاخیر مسیر و یا به عنوان UP یا Down بودن مسیر گذارش میکند .

از این کاربرد میتوان در Floating Static Route استفاده کرد ، بدین ترتیب که برای مثال ، در یک شبکه ، یک آپلینک اینترنت و یک لینک بکاپ وجود دارد ، میخواهیم ، در صورت قطع ارتباط اصلی ، ارتباط از طریق لینک بکاپ برقرار شود .

یکی از سناریو های پر کاربرد در ایران ، بدین ترتیب است که اکثر ISP ها ، علاوه بر ارتباط رادیویی با uplink خود که مثلا میتوانید ماکروویو باشد ، یک ارتباط اینترانتی نیز بر روی فیبر هم با ISP بالادست خود ، یا مخابرات دارند ، خب البته که ماکروویو ارجح است ، چون تاخیر کمتری داشته و همچنین به ISP ، بار اضافی over head تحمیل نمیکند ، ولی در هر صورت ، اگر این لینک down شود ، میبایست ترافیک به شکل خودکار از روی لینک فیبر و یا همان اینترنت ، یا هر لینک دوم دیگری ، عبور کند ، البته هم برای send این کار را کرد و هم receive که میتواند BGP peering باشد .

مراحل کار بدین ترتیب است ، که ابتدا IP SLA را برای مقصد مورد نظر ، جهت ارسال بسته های icmp در پریود های مشخص تنظیم کرده و برای آن یک schedule تعریف می نماییم ، سبس برای بررسی up/down بودن مسیر از tracking object بهره میبریم :

سیسکو ip sla

سیسکو ip sla

Shabake(config)# ip sla 1
Shabake(config)# icmp-echo 217.218.1.2 source-interface GigabitEthernet0/0
Shabake(config)# timeout 1000
Shabake(config)# threshold 2
Shabake(config)# frequency 3
Shabake(config)# ip sla schedule 1 life forever start-time now

مطابق شکل ، ما IP SLA را برای مانیتور کردن ارتباط به روتر R2 بدین ترتیب که هر 3 ثانیه با timeout 1 ثانیه ، بسته های icmp را ارسال کند و میزان تاخیر لینک ( یا همان امکان دسترسی )  را بررسی نماید .

سپس با کمک Object Tracking که از امکانات داخلی IOS سیسکو است ، خروجی IP SLA را بررسی میکنیم :

Shabake(config)# track 1 ip sla 1 reachability

جهت بررسی عمکرد IP SLA و همچنین Tracker :

Shabake#sh ip sla statistics 1
IPSLAs Latest Operation Statistics
IPSLA operation id: 1
        Latest RTT: 2 milliseconds
Latest operation start time: 01:57:19.412 tehran Fri Jul 25 2014
Latest operation return code: Over threshold
Number of successes: 10
Number of failures: 0
Operation time to live: Forever

Shabake#sh track 1
Track 1
IP SLA 1 reachability
Reachability is Up
1 change, last change 00:00:14
Latest operation return code: Over threshold
Latest RTT (millisecs) 2

همانطور که ملاحظه میکنید ، RTR مسیر 2 میلی ثانیه و وضعیت لینک UP است .

خب ، همکنون باید از این Tracker در Floating Static Route استفاده کنیم ، بدین ترتیب که ، ما برای بررسی وضعیت مسیر به روتر R2 یک سنسور داریم ، پس کافی است از آن به عنوان default route استفاده کرده و یک route با metric بالاتر به سمت R3 بنویسیم :

Shabake(config)# ip route 0.0.0.0 0.0.0.0 217.218.1.2 track 1
Shabake(config)# ip route 0.0.0.0 0.0.0.0 217.218.2.2 20

تا زمانی که وضعیه track 1 به شکل UP باشد ، ترافیک از به سمت R2 به لحاظ metric کمتر میرود ، وقتی که ارتباط با R2 به شکل برخورد ، وضعیت Track 1 به حالت Down در آمده و ترافیک به سمت R3 خواهد رفت .

این سناریو به سادگی در شبکه های MultiHome BGP با چند BGP Peer و چندین ارتیاط برای send نیز قابل پیاده سازیست .

وفقک الله