بایگانی دسته: آموزش کانفیگ و پیاده سازی

آموزش های مربوط به پیاده سازی و کانفیگ انواع استراکچرهای شبکه بر روی محصولات ( روتر ، سوئیچ ، فایروال و … ) سیسکو

VTP چیست ؟

4 پاسخ

vtp چیست

VTP چیست ؟

آموزش کانفیگ و فهم ( VTP ( VLAN Trunking Protocol در شبکه های سوئیچینگ سیسکو

حتی تصور اینکه شما بخواهید ۱۰۰۰ vlan را در ۵۰ سوئیچ مختلف تک به تک تعریف کنید هم زجر آور است !

دقدقه سیسکو آسایش و آرامش شماست ، لذا اقدام به معرفی VTP یا VLAN Trunk Protocol نمود ، کار VTP انتقال جدول VLAN ها به سوئیچ های سیسکو همجوار که در یک VTP Domain قرار دارند میباشد .

VTP بر روی لایه ۲ توسط ارتباطات ترانک ، اسم و شماره و MTU تمامی VLAN های تعریف شده در سوئیچی که نقش VTP سرور را دارد ، ارسال مینماید .

محدودیه کاریه VTP را VTP Domain مینامند که هر سویچی که بخواهد در این محدوده باشد باید یکی از این roll ها را داشته باشد :

۱- VTP Server : این سوئیچ مرجع تعریف و اضافه و حذف Vlan ها است ، یعنی شما میبایست هر VLAN جدید را ابتدا در این سوئیچ تعریف نمایید ، در واقع فقط این سوئیچ قادر به تغییر Vlan Database آن VTP Domain است .

۲- VTP Client : سوئیچ سیسکو یی که در نقش VTP Client باشد ، فقط میتواند جدول Vlan ها یا همان Vlan Database را از سرور دریافت و بخواند و به پورت های Trunk خود ارسال نماید ، ولی هیچ تغییری در آن نمیتواند بدهد ، بطبع تا زمانی که سوئیچی در حالت VTP Client است ، Vlan جدیدی بر روی آن سوئیچ نمیتوان ساخت و میبایست تغییرات در VTP Server انجام شود.

۳-VTP Transparent : سوئیچی که در این مود قرار گیرد ، میتواند Vlan Database خود را داشته باشد ولی به بقیه ارسال نمیکند ولی اطلاعات Vlan Database دریافتی را بر روی پورت های ترانک خود ارسال مینماید.

در هر VTP Domain یک Configuration Revision وجود دارد که یک عدد است که با هر تغییر در VTP یک رقم به آن اضافه میشود ، به این صورت میتوان تغییرات اعمال شده در VTP را متوجه شد ، در ضمن ، هر سوئیچ در VTP Domain با Revision بالاتر ، دارای ارجعیت است ، بدین معنی که Vlan Database آن سوئیچ ، آپدیت تر است ، و بقیه سوئیچ ها database خود را با آن سینک مینمایند .

چند نکته ، یکی اینکه ، جهت افزایش امنیت VTP Domain میتوان روی آن Password گذاشت ، که به شدت توصیه میشود ، و نکته دوم اینکه ، Extended Vlan ها یعنی Vlan های ۱۰۰۶ به بالا ، توسط VTP حمل نمیشوند ، و مجبور به اضافه نمودن دستی آنها در سوئیچ ها هستید .

و در تهایت ، شما هیچ الزامی در استفاده از VTP ندارید ، این تنها یک فیچر است که مدیریت شبکه را آسان تر میکند …

Aka Networks

آموزش ابتدایی کانفیگ سوئیچ سیسکو

38 پاسخ

اموزش مقدماتی سیسکو

آموزش ابتدایی کانفیگ سوئیچ سیسکو

آموزش کانفیگ و راه اندازی مقدماتی سوئیچ سیسکو

کانفیگ سوئیچ سیسکو برای راه اندازی و استفاده ، کار چندان سختی نیست ! با هم شروع کنیم …

فرض کنید یک سوئیچ سیسکو 2960 خریداری کرده اید و نیاز دارید که ابتدا یک یوزر روی آن بسازید و بتوانید با تعریف یک IP به آن تلنت کنید . یا مثلا هر پورت سوئیچ سیسکو 2960 را عضو یک VLAN نمائید ، یا یک پورت را جهت اتصال به یک سوئیچ سیسکو دیگر و یا روتر سیسکو ترانک کنید ، یا برای مثال سوئیچ شما از POE پشتیبانی میکند و میخواهید IPPhone یا IP Cam یا Wireless Radio را با آن روشن کنید …

در این مقاله سعی داریم که به شکل مقدماتی و برای رفع مقطعی مشکلات دوستان به آموزش سطحی برخی از این کاربرد ها در حد طرح کامند بپردازیم :

برای شروع ابتدا سوئیچ سیسکو را با کابل کنسول سیسکو به یک PC با پورت سریال متصل و با یک برنامه ترمینال مثل Putty به آن متصل شوید . ( میتوانید با کلیک بر روی نام putty انرا دریافت کنید )

۱- ساخت username و password و ایجاد سطح دسترسی :

switch>enable ” ورود به محیط privilage “

switch#conf t “وارد شدن به محیط کانفیگ “

switch(config)#aaa new-model

switch(config)#username shabake password 0 shabake

switch(config)#enable secret shabake

۲ – اختصاص دادن یک IP و default gateway به سوئیچ برای دسترسی IP :

switch(config)#int vlan 1 ( کانفیگ وی لن ۱ )

switch(config-if)#ip add 192.168.1.1 255.255.255.0 ( اختصاص آدرس )

switch(config-if)#no sh

switch(config-if)#exit

switch#vlan database

switch(vlan)#vlan 1 name shabake (ساخت وی لن ۱ )

switch(vlan)#exit

switch#conf t

switch(config)#ip default-gateway 192.168.1.2 ( آدرس روتر )

با این روش که ملاحظه کردید به راحتی میتوانید یک vlan بسازید و به آن IP اختصاص دهید ، توجه کنید که vlan 1 به شکل پیشفرض ساخته شده و تمامی پورت ها عضو vlan 1 هستند .

۳ – اختصاص هر پورت به vlan خاص :

براس مثال میخواهید چند پورت عضو Vlan خاصی باشند ، ابتدا با روش بالا vlan ها را بسازید ( Vlan database ) ، نیازی هم به اختصاص IP به هر vlan نیست ، سپس ، با روش زیر هر پورت را عضو vlan مورد نظر کنید :

switch(config)#int fas 0/1

switch(config-if)#description “connected to cisco router”

switch(config-if)#switchport access vlan 10

switch(config-if)#exit

switch(config)#int fas 0/2

switch(config-if)#description “web Server”

switch(config-if)#switchport access vlan 20

switch(config-if)#exit

ت.جه داشته باشید در هر لحظه میتوانید با دستور زیر تغییرات را زخیره کنید ، در غیر این صورت بعد از خاموش روشن کردن سوئیچ ، کانفیگی وجود نخواهد داشت !

switch#write mem

۴- کتنفیگ پورت سوئیچ سیسکو برای مود ترانک :

ترانک نوعی ارتباط است که حامل vlan هاست ! این ساده ترین نوع توضیح است ! برای مثال شما ۲ سوئیچ سیسکو دارید و روی هر سوئیچ 3 عدد vlan به شماره های 10-20-30 ، حال میخواهید nod هایی از هر سوئیچ امکان دسترسی به nod های سوئیچ دیگر که در همان vlan هستند داشته باشند .

switch-a(config)#int gi 0/1

switch-a(config-if)#description “Trunk to switch B”

switch-a(config-if)#switchport mode trunk

مشابه همین تنظیمات را در سمت دیگر نیز انجام داده و سوئیچ ها را توسط این پورت به هم متصل کنید . به همین سادگی …

۵ – استفاده از امکان POE : یکی از قابلیت های سوئیچ های سیسکو ، امکان پشتیبانی از POE یا همان استاندارد 802.3af که برق را با ولتاژ 48v به نود ارسال کرده و امکان روشن کردن دیوایس هایی که از poe پشتیبانی میکنند مثل IP Phone – IP Cam – Wireless radio و … را دارد .

switch(config)#int fas 0/1

switch(config-if)#power inline auto

دستور فوق باعث میشود ، در صورتی که دیوایس متصل شده به سوئیچ سیسکو قابلیت POE را دارا بود ، ولتاژ به آن ارسال شود .

خب چند نکته ، سوئیچ های سیسکو یک Vlan Database دارند که اطلاعات هر Vlan در آن ذخیره و میتوان آنرا توسط VTP ( میتوانید در مقاله ای مجزا آنرا یاد بگیرید ! ) با سایر سوئیچ های سیسکو به اشتراک گذاشت ، برای ایجاد هر Vlan حتما باید آن Vlan در vlan database موجود باشد .

سوئیچ های لایه ۲ سیسکو قابلیت IP Routing نداشته و برای Routing میبایست از یک روتر برای inter vlan routing استفاده کرد .

سوئیچ های سیسکو به صورت پیشفرض به صورت یک سوئیچ معمولی عمل میکنند و تمامی پورت های آنها در حالت فعال و ب صورت پیشفرض عضو vlan 1 هستند ، پس میتوانید از باکس خارج کنید و به برق بزنید و استفاده کنید .

این آموزه ها فقط جنبه ابتدایی و سطحی داشته و همیشه میبایست مطالب را به صورت عمیق و کامل مطالعه فرمائید ، دانستن کامند ممکن است ظاهرا مشکل فعلی شما را حل کند ، ولی راه حل صحیح این نیست !

وفقک الله

DDOS و جلوگیری از آن توسط CloudFlare

۱ پاسخ

جلوگیری از DDOS توسط CloudFlare

DDOS در حال حاضر از خطرناک ترین نوع حملات محسوب میشود ، به نوعی میتوان گفت مقابله 100% با DDOS غیر ممکن است ، برای مثال سایت اسپم هاوس چند ماه گذشته با پهنای باندی معادل کل پهنای باند ایران ، مورد حمله قرار گرفت و Down شد !

کلا مبنای حملات DOS زیر بار قرار دادن یک سرویس به شکلی که دیگر قادر به پاسخگویی نباشد و باعث اتلاف منابع و نهایتا کرش کردن سیستم شود ، حال این منابع میتواند CPU باشد و یا حتی Bandwidth !

اگر حملات از چندین مبدا باشد Distributed و یا DDOS نامیده میشود که معضل از اینجا شروع میشود ، برای مثال اخیرا بنده در جریان یک حمله بودم که لاگ فایروال حدود یک میلیون IP متفاوت را در 10 دقیقه تشان میداد !! در همچین شرایطی امکان بستن تمامی این IP ها وجود ندارد …

بدترین نوع حملات DDOS ، نوع Traffic Flood است ، بدین ترتیب که از مثلا 1 میلیون کلاینت ترافیک های کانکشن لس به سمت هدف ارسال میشود و باعث پر شدن پهنای باند میگردد ، که حتی دیتا سنتر های بزرگ نیز قادر به رد کردن بیش از یک حجم مشخص را ندارند !

وقتی شما این عبارت را در گوگل سرچ کنید : DDOS Protected Host به نتایج زیادی بر میخورید که اکثرا fake هستند ولی بعضی قیمت های نجومی و یک Dead Line دارند ! همشان مثلا میگویند ما تا 1 گیگابیت DDOS را هندل میکنیم و بعد از آن Null route ! پس عملا سعی کنید تابلو نشوید چون ، DDOS شدن خرجش 100 هزار تومن است !

DDOS

CloudFlare ادعا میکند که میتواند تا حجم بالایی از ترافیک را هندل و جلوی DDOS را بگیرد ، که البته در مورد اسپم هاوس نشان داد که اینطورا هم نیست ، ولی کلا ، کاچی بهتر از پفک است !

مکانیسم کار بدین صورت است که شما NS های کلادفلیر را ست میکنید و سپس دامین خود را در پنل کلادفلیر ثبت میکنید ، از آنجا به بعد بسته به جیب شما ، میزان امنیت شما مشخص میشود ! اگر ماهی 3000 دلار هزینه کنید ، به شما تضمین حفاظت کامل در مقابل انواع حملات و ویروس ها و … را میدهد !

در واقع وقتی کسی سایت شما را پینگ میکند IP کلاد را میبیند و مثلا ، IP اصلی سرور شما قابل دسترسی نیست ، پس تمامی خملات به سمت کلاد سرازیر شده ، و کلاد میبایست این حملات را هندل کند :

ddos prevention

نهایتا باید عرض کنم که باوجود همه این تدابیر و حتی خرید UTM های 100 هزار دلاری ، باز هم امکان DDOS شدن کماکان وجود دارد ، فقط شما میتوانید کمی لایه های حفاظتی را افزایش دهید ولی روزی خواهد رسید که مجبورید بنویسید :

router bgp xxxx
neighbor x.x.x.x remote-as xxxx shutdown

وفقک الله
Aka Networks

کنترل درخواست های DNS توسط روتر سیسکو DNS Doctoring

پاسخ دهید

کنترل درخواست های DNS توسط روتر سیسکو DNS Doctoring

کنترل درخواست های DNS توسط روتر سیسکو DNS Doctoring

من هیچ وقت و به هیچ وجه توصیه نمیکم که مثل اینها که فکر میکنند خیلی اعجاب انگیز است که یک روتر سیسکو بتواند DNS Server هم باشد ! چون از نطر من اصلا برای این کار بهینه نشده این یک فعالیت غیر معمول است و کار تمیزی نیست ! ولی اگر شما سرچ کنید Configure Cisco Router as DNS server مقادر انبوهی سایت میبینید که طوری مطلب را تعریف کرده اند که انگار روتر قرار است با شما بشیند و سیگار بکشد و درد و دل کند ….

من به شخصه معتقدم بهترین استفاده از این فیچر میتواند در هاست های local روی خود روتر باشد ، بدین ترتیب که شما هیچ Resolver ی برای روتر تعریف نکنید و از این کامند هم محض بی ربطی استفاده کنید no ip domain lookup !

بعد میتوانید هاست های مورد نیاز را دستی تعریف کرده و از شر لاشخورهایی که در عرض 2 روز ترافیک DNS خود را به سمت روتر شما سرازیر میکنند خلاص کنید ! من برای اثبات اینکه این فیچر در حالت Resolver بدرد نخور ترین امکانیست که طراح در یک روزی که به شدت مست بوده به ذهن نئشه اش خطور کرده و آنرا در IOS چپانده ، بر روی پلت فرم های مختلف ، این سرویس را run و ترافیک مثلا 8.8.8.8 را بر رویش سرازیر کردم و با ناباوری ، روتر 7206 VXR G2 و ISR 3945 کاملا بالای 85% لود داشتند ! پس به این نتیجه میرسیم که حتی به این مسئله فکر هم نکنید …

مسئله دیگر DNS Doctoring in Some way است ! بدین معنی که شما بتوانید در شبکه خود رفتار و پاسخ DNS Request ها را به نفع خود و یا بقیه کنترل کنید . کاری که در حال حاظر مخابرات ایران انجام میدهد !

شما تصور کنید که میخواهید ، مشترکین از هر DNS سرور Public روی اینترنت که استفاده کردند ، ترافیک DNS به سمت DNS Server مورد نظر شما روانه و پاسخ های مورد نظر شما دریافت شود ، برای مثال شما میخواهید همیشه مثلا فلان URL به آدرس فیلترینگ شما که مثلا 10.10.11.11 است ، Poiny کند ، راه حل چیست ؟

بعضی اقدام به بومی سازی یا Localize ممودن DNS سرور های مشهور مثل 8.8.8.8 4.2.2.4 192.9.9.3 , … می نمایند ، که این روش بسیار کودکانه و اشتباه است ، حال من چه پیشنهادی دارم ؟ به نظر بنده مردم را نباید محدود کرد ، بروند و ببینند که کجا را فتح میکنند ، ولی شما محدودیت میخواهید ، راهش این است :

روش کار به این صورت است که ما کا ترافیک DNS خروجی شبکه را TAG میکنیم و به سمت DNS سرور خودمان سرازیر میکنیم و در DNS Server خودمان هر بلایی که خواستیم ، سر Request ها میاوریم !

ابتدا تگ کردن ترافیک :

Aka-Core-Router(config)#ip acce e 110
Aka-Core-Router(config-ext-nacl)#per udp an an eq 53
Aka-Core-Router(config-ext-nacl)#per tcp an an eq 53
Aka-Core-Router(config-ext-nacl)#den
Aka-Core-Router(config-ext-nacl)#deny ip an
Aka-Core-Router(config-ext-nacl)#deny ip any an
Aka-Core-Router(config-ext-nacl)#deny ip any any
Aka-Core-Router(config-ext-nacl)#exit

route کردن ترافیک به DNS Server مورد نظر :

Aka-Core-Router(config)#route-map dns per 10
Aka-Core-Router(config-route-map)#match ip address 110
Aka-Core-Router(config-route-map)#set ip next-hop 217.218.127.127
Aka-Core-Router(config-route-map)#exit
Aka-Core-Router(config)#route-map dns per 20
Aka-Core-Router(config-route-map)#exit

با اعمال کردن این Route-Map به اینترفیس خروجی اصلی یا هر اینترفیس که مورد نظر ماست ، و کانفیگ DNS Server خود ، میتوانید کل کرافیک DNS را فارغ از اینکه کاربر از چه DNS سروری استفاده میکند ، به سمت DNS Server مورد نظر سرازیر نمود.

تست :

Before :

C:\Users\Aka>nslookup – 8.8.8.8
Default Server: google-public-dns-a.google.com
Address: 8.8.8.8
> yahoo.com
Server: google-public-dns-a.google.com
Address: 8.8.8.8
Non-authoritative answer:
Name: yahoo.com
Addresses: 206.190.36.45
98.138.253.109
98.139.183.24

After :

C:\Users\Aka>nslookup – 4.2.2.4
Default Server: d.resolvers.level3.net
Address: 4.2.2.4
> yahoo.com
Server: d.resolvers.level3.net
Address: 4.2.2.4
Non-authoritative answer:
Name: yahoo.com
Address: 10.10.11.11

ملاحظه میکنید که پاسخ Request های ما به آنچه دوست داشتیم تغییر کرده و این بعنی زور !!

البته شما میتوانید به جای یک DNS Server خارجی ، ازخود روتر استفاده کنید ، که البته کمی کانفیگ متفاوت میشود ، ولی با توجه به توصیه های ابتدایی پست ، من به هیچ وجه توصیه نمیکنم .

نکته دیگری هم که ممکن است دوستان وارد و مهندس به من و این نوشتار وارد کنند شاید این باشد که این کار DNS Doctoring نیست ، باید عذض کنم که بنده هم عرض کردم که DNS Doctoring in some way ولی در کل منظور از DNS Doctoring ، ترجمه درخواست های DNS حالا مثلا توسط ASA سیسکو است . البته که این هم بضاعت ماست !

DNS Doctoring

Control Plane و حفاظت از منابع روتر

2 پاسخ

Control Plane و حفاظت از منابع روتر

Control Plane یکی از ویژگی های حفاظتی IOS است که از ورژن 12.3 به آن افزوده شده وهدف آن حفاظت از روتر و منابع آن و سرویس های حیاتی ست .

بدین معنی که Control Plane به عنوان یک پلیس رفتار کرده و با کمک از قابلیت های QOS ، سلامت سرویس های حیاتی نظیر Routing و میزان استفاده از RAM و CPU و I/O های روتر را کنترل و تضمین میکند .

برای مثال میتوان از Control Plane جهت کنترل ترافیک ناخواسته UDP که به نوعی Attack جهت بالابردن یوتلایز CPU و پر کردن اینترفیس آن است ، استفاده کرد .

بعضی از کاربران یک شبکه برای اهداف پلید اقدام به استفاده از بعضی از ابزار های تست شبکه در راه نا صحیح و به جهت وارد آوردن خسارت به شبکه میپردازند ، اساس کار برخی از این قبیل ابزار ها ، ارسال ترافیک UDP با تعداد پکت های زیاد و کوچک به سمت IP قربانی که در این مثال Router شبکه است ، میباشد .

البته تعداد پکت ها و سایز آنها ، قابل تنظیم است ، ولی منطقا هرچه تعداد پکت ها بیشتر و سایز آنها کوچکتر باشد ، لود بیشتری را میتواند تحمیل کند که باعث over load شدن CPU روتر شده و مانع از کارکرد صحیح ان میگردد .

شما فرض کنید در یک شبکه LAN که ارتباط کاربر فرضا با سرعت 100 مگابیت است ، این کاربر اقدام به ارسال پکت های 64 کیلوبایتی نماید ،

همانطور که در تصویر زیر مشاهده مینمائید ، روتر مورد آزمایش ما 2811 cisco با حدود 28 مگابیت ترافیک پکت UDP ، کاملا خارج از دسترس میگردد و CPU روتر ، over load میشود .

udp-attack

این فقط یک آزمایش ساده با یک ابزار بسیار ساده و در دسترس همه است !! پس قضیه جدیست !

راه حل چیست !؟

ما از Control Plane استفاده میکنیم ، بدین ترتیب که Control Plane با کمک QOS اولویت و میزان این ترافیک ها را محدود و از وارد آوردن ترافیک سنگین به روتر و شبکه جلوگیری میکند .

خود هاست روتر به خودی خود ، ارتباطات محدودی با دنیای بیرون دارد ، مثلا Telnet , SSH ,NTP,Syslog , Snmp و چند قلم دیگر البته به جز روتینگ پروتکل ها ، منظور از هاست روتر خود روتر است نه ترافیکی که از روی روتر ترانزیت میشود .

ما در این مقال میخواهیم خود روتر را در مقابل این گونه ترافیک های ناخواسته حفاظت کنیم ، که البته امکان مدیریت ترافیک ترانزیت شده نیز وجود دارد .

ابتدا ما یک ACL تعریف و در آن ترافیک ناخواسته UDP را تعیین میکنیم .

ip access-list e udp-traffic
permit udp any any

سپس یک کلاس تعریف و این ACL زا در آن Match میکنیم :

class-map match-any udp-traffic
match access-group name udp-traffic

سپس یک policy-map با استفاده از این کلاس :

policy-map udp-traffic
class udp-traffic
police rate 5 pps con transmit ex dro violate-action drop

هم اکنون لازم است این پالیسی را در ناحیه control-plane پیاده سازی کنید ،

control-plane host
service-policy input udp-traffic

این policy بدین معنیست که تعداد پکت های UDP به مقصد خود هاست روتر ، باید زیر 5 پکت در ثانیه باشد و بیشتر از آن Drop میشود .

البته این یک مثال ساده و ابتدایی بود ، در عمل شما باید به نکات و ظرایف بیشتری توجه کنید و میتوانید از انواع Service Policy های مختلف مثل port-filtering و queue-threshold در ترافیک های ترانزیت شده از روی روتر هم بهره ببرید .

در کل این فیچر IOS به جهت حفظ سلامت و پایداری Router و سرویس های حیاتی نظری راتینگ پروتکل ها و پروتکل های دسترسی به روتر ، به وجود آمده و استفاده از امکانات QOS به شما امکانات زیادی در پیاده سازی استراکچر های امنیتی خواهد داد .

نتایج :

Router#sh control-plane host counters
Control plane host path counters :

Feature Packets Processed/Dropped/Errors

——————————————————–
TCP/UDP Portfilter 385632/380830/0

——————————————————–

و همچنین میتوانید از این دستور به جهت بررسی استفاده از policy-map استفاده کنید :

Router#sh policy-map control-plane all

وفقک الله
Aka Networks

BOGON و راه حل رهائی از بوگون ها چیست ؟

پاسخ دهید

BOGON و راه حل رهائی از بوگون ها چیست ؟

Bogon ها ، اساسا IP آدرس های بی نام و نشانی هستند که در دیتابیس هیچ یک از پروایدر های IP جهانی مثل RIPE هنوز Allocate نشده اند و فعلا در انحصار کسی نیستند ، پس اصولا کسی نباید آنها را Advertise کند .

ابتدا گریزی بزنیم به اساس کار سازمان های ثبت IP ،

بر اساس فتاوای سازمان های ثبت IP مثل Ripe ncc ، هیچ شخص یا سازمانی صاحب آدرس های IP نیست ، و این آدرس ها مثل اکسیژن به همه مردم تعلق دارند ، یعنی مثلا در زمانی شخصی نیاز به IP دارد و این IP در اختیار آن شخص تا زمان رفع نیاز قرار میگیرد و کسی نمیتواند حتی یک تک IP را بخرد و تا ابد در اختیار خود نگه دارد و در واقع فقط IP را اجاره میکند .

LIR ها همان نمایندگان سازمان های ثبت IP در هر کشور هستند و هر کشور میتواند چند ده و حتی چند صد LIR داشته باشد و مردم بنا به نیاز مثل ISP ها سازمان ها ، ادارات ، شرکت ها ، به این شرکت ها مراجعه و یک یا چند IP یا بلاک IP را اجاره میکنند ولی هیچ گاه برای همیشه این آدرس ها به آنها تعلق نمیگیرد .

روال کار به این شکل است که وقتی مثلا یک ISP یک prefix /24 از آدرس IP را از یک LIR اجاره میکند ، آن LIR آن پریفیکس را به نام آن ISP ثبت کرده و یک Route Object برای آن شخص در دیتابیس RIPE ایجاد میکند که بر اساس آن به مسریاب های اصلی Backbon های اینترنت میگوید که این پریفیکس از مثلا AS12880 ادورتایز میشود ، حال این AS میتواند AS خود آن ISP یا AS پروایدر دست بالایی آن ISP باشد .

بنا بر توضیحات فوق ، همه موضف اند فقط پریفیکس هائی را به peer های BGP خود ادورتایز کنند که متعلق با آنهاست و در دیتابیس جهانی دارای Route object است ، اما …

همیشه مثلا انسان هایی هستند که احساس زرنگی میکنند و فکر میکنند که چون مثلا یک پریفیکس /24 از IP وجود دارد که هیچ صاحبی ندارد ، پس صاحبش آنها هستند :دی ! اما زهی خیال باطل ، چون اخیرا قوانین انقدر سختگیرانه شده که ، تا Route object برای یک کلاس وجود نداشته باشد ، اولین Router اصلی ، این IP را Route نمیکند و drop میشود !

به هر حال ، چون همه router های مسیر تابع RIB نیستند ، همیشه IP های بی صاحبی هستند که دارای route هستند ، متاسفانه !

چاره چیست ؟! حفره سیاه یا همان Black Hole !

بدین معنی که جمعیت های خیری هستند که برای منافع من و شما اقدام به راه اندازی Route Server هائی جهت فیلتر کردن BOGON ها مینمایند ، بدین ترتیب که شما میتوانید با آنها یک BGP Peering برقرار کرده و آنها لیست Bogon ها را برای شما Advertise میکنند و شما میتوانید همیشه یک لیست Update از این آدرس ها داشته و چون در Routing Table شما مسیر به آنها که همانا Null Routing است ، وجود دارد ، با خیال راحت زندگی کنید ! به همین راحتی !

البته روش های دیگری نیز مثل DNS و HTTP نیز برای رهایی از بوگون ها وجود دارد ، ولی برای پروایدر ها و ISP هایی که در حدی هستند که معضل Bogon را احساس کنند ، BGP راه حل بهتریست !

برای نمونه تعدادی از BOGON های دریافتی که البته تعداد فعلی آنها به 4898 پریفیکس میرسد :

*> 0.0.0.0/8 38.229.66.20 0 65332 i
*> 5.45.32.0/20 38.229.66.20 0 65332 i
*> 5.133.64.0/18 38.229.66.20 0 65332 i
*> 5.200.128.0/17 38.229.66.20 0 65332 i
*> 5.252.0.0/15 38.229.66.20 0 65332 i
*> 10.0.0.0 38.229.66.20 0 65332 i
*> 14.1.24.0/21 38.229.66.20 0 65332 i
*> 14.1.96.0/19 38.229.66.20 0 65332 i
*> 14.102.160.0/19 38.229.66.20 0 65332 i
*> 14.192.0.0/19 38.229.66.20 0 65332 i
*> 23.90.0.0/15 38.229.66.20 0 65332 i
*> 23.92.0.0/14 38.229.66.20 0 65332 i
*> 23.104.0.0/13 38.229.66.20 0 65332 i
*> 23.112.0.0/12 38.229.66.20 0 65332 i
*> 23.128.0.0/10 38.229.66.20 0 65332 i
*> 23.128.0.0/9 38.229.66.20 0 65332 i
*> 23.212.0.0/14 38.229.66.20 0 65332 i
*> 23.216.0.0/13 38.229.66.20 0 65332 i
*> 23.224.0.0/11 38.229.66.20 0 65332 i
*> 24.30.224.0/19 38.229.66.20 0 65332 i
*> 24.41.96.0/19 38.229.66.20 0 65332 i
*> 24.50.32.0/19 38.229.66.20 0 65332 i
*> 24.50.160.0/19 38.229.66.20 0 65332 i
*> 24.51.0.0/19 38.229.66.20 0 65332 i
*> 24.51.224.0/19 38.229.66.20 0 65332 i
*> 24.53.96.0/19 38.229.66.20 0 65332 i
*> 24.53.192.0/19 38.229.66.20 0 65332 i
*> 24.54.64.0/19 38.229.66.20 0 65332 i
*> 24.102.64.0/18 38.229.66.20 0 65332 i
*> 24.104.160.0/19 38.229.66.20 0 65332 i
*> 24.104.192.0/18 38.229.66.20 0 65332 i
*> 24.105.64.0/18 38.229.66.20 0 65332 i
*> 24.129.192.0/19 38.229.66.20 0 65332 i
*> 24.140.224.0/19 38.229.66.20 0 65332 i
*> 24.143.128.0/18 38.229.66.20 0 65332 i
*> 24.146.32.0/19 38.229.66.20 0 65332 i
*> 24.146.64.0/18 38.229.66.20 0 65332 i
*> 24.152.0.0/17 38.229.66.20 0 65332 i
*> 24.156.160.0/19 38.229.66.20 0 65332 i
*> 27.0.128.0/17 38.229.66.20 0 65332 i
*> 27.54.144.0/21 38.229.66.20 0 65332 i
*> 27.96.88.0/21 38.229.66.20 0 65332 i
*> 27.100.4.0/22 38.229.66.20 0 65332 i
*> 27.100.36.0/22 38.229.66.20 0 65332 i
*> 27.109.124.0/22 38.229.66.20 0 65332 i
*> 27.111.72.0/22 38.229.66.20 0 65332 i
*> 27.112.112.0/21 38.229.66.20 0 65332 i
*> 27.112.120.0/22 38.229.66.20 0 65332 i
*> 27.116.40.0/22 38.229.66.20 0 65332 i
*> 27.122.60.0/22 38.229.66.20 0 65332 i
*> 31.13.184.0/21 38.229.66.20 0 65332 i
*> 31.22.8.0/21 38.229.66.20 0 65332 i
*> 31.132.8.0/21 38.229.66.20 0 65332 i
*> 31.132.32.0/19 38.229.66.20 0 65332 i
*> 31.133.96.0/21 38.229.66.20 0 65332 i

وفقک الله

Aka Networks

سیسکو

اموزش کانفیگ روتر و سوئیچ سیسکو

بایگانی دسته: آموزش کانفیگ و پیاده سازی

VTP چیست ؟

VTP چیست ؟

آموزش کانفیگ و فهم ( VTP ( VLAN Trunking Protocol در شبکه های سوئیچینگ سیسکو

آموزش ابتدایی کانفیگ سوئیچ سیسکو

آموزش ابتدایی کانفیگ سوئیچ سیسکو

آموزش کانفیگ و راه اندازی مقدماتی سوئیچ سیسکو

کنترل درخواست های DNS توسط روتر سیسکو DNS Doctoring

کنترل درخواست های DNS توسط روتر سیسکو DNS Doctoring

Control Plane و حفاظت از منابع روتر

نتایج :

BOGON و راه حل رهائی از بوگون ها چیست ؟

Find Us !