چگونه روي پورت لايه 3 سوئيچ خود كنترل پهناي باند انجام دهيم؟

همانگونه كه ميدانيد به اين عمل QOS نويسي مي گويند.

مثلا فرض كنيد ما يك سرور ftp‌داريم.مي توانيم يك پورت سوئيچ خود را با دستور no switch port‌لايه 3 اي كنيم.

( مثلا سوئيچ 3750  يا 3560)

سپس اگر ادرس پورت سوئيچ ما 10.130.23.6‌باشد و ادرس سرور ما 10.130.23.23 باشد (255.255.255.0)

ابتدا يك acl‌مي نويسيم به شكل ذير:


access-list 23 permit 10.130.23.23 0.0.0.255


انگاه دستورات زير را به ترتيب وارد مي كنيم:

MLS QOS

class-map match-alll ftp-guage

match access-group 23

exit

خوب تا اينجا نام FTP-GUAGE‌را براي كلاس مپ ايجاد شده خود وارد كرديم.از اكسس ليست 23 قبل نيز براي بررسي كمك گرفتيم.

---------------------------

POLICY-MAP FTP-GUAGE

                           CLASS FTP-GUAGE

TRUST DSCP

  POLICE 128000 8000 EXCEED-ACTION DROP

EXIT

EXIT

اينجا نيز پهناب باند 128000 بيت را براي POLICY‌ايجادي خود در نظر گرفتيم.

--------------

INTERFACE FA 0/1

SERVICE-POLICY INPUT FTP-GUAGE


اينجا هم به پورت لايه 3 خود POLICY‌را اعمال نموديم.



نكته: روي 3750 CISCO فقط روي IN‌اعمال مي شود.

+ نوشته شده در ۱۳۹۰/۰۸/۱۱ ساعت توسط هومن عزیزی  | 

پيكربندي حداقل طول پسورد براي كل پسوردهاي روتر


Minimum password length for cisco router

توسط اين دستور حداقل طول 4 كاركتر جهت پسوردهاي روتر خود تعريف مي كنيم.


router#conf t

Router(config)#security passwords min-length 4



براي تعيين طول پسورد براي ورود به privilage mode

در اين دو دستور پسوردهاي CCNA را براي enable password ‌و enable secret passord تعيين نموده ايم.

router(config)#enable password CCNA

router(config)#enable secret password CCNA

--------------------------

چگونه براي line console پسورد بگذاريم:

ايتدا ورود به كنسولrouter(config)#line con 0

تعيين پسوردrouter(config-line)#password ccna

اينجا به روتر فرمان مي هيم هنگام لاگين پسورد بخواهدrouter(config-line)#login

تعيين زمان 4 دقيقه جهت قطع از لاين router(config-line)#exec time 4 0

-------------------------

براي لاينهاي aux , vty 0 4 كافيست تنها در خط اول اين كانفيگ به جاي ورود به لاين كنسول به لاينهاي مربوطه لاگين نماييم.

----------------------

چگونه رمز نگاري را روي پسوردها (clear text) فعال نماييم؟

router(config)#service password-encryption

------------------------

تعريف user account

router(config)#username ali password ccna

 وبراي همين تعريف بصورت پسورد امنيتي سكرت شده

router(config)#username ali secret ccna1234

اين كاربر بصورت لوكال تعريف شد.براي انكه به كاربران لوكال مجوز لاگين به مثلا كنسول 0 را بدهيم بترتيب زير:

router(config)#line console 0

lrouter(config-line)#login local

router(config)#exit

همين كار را براي لاينهاي vty 0 4‌و aux‌نيز مي توانيد انجام دهيد.

------------------------

چگونه از حملات DOS ATTACK‌ روترها و سوئيچهاي سيسكو خود رامحافظت كنيم؟

router(config)#login block-for 120 attemps 5 within 30

در مثال بالا اگر 5 مرتبه failed login attemps‌در مقطع 30 ثانيه و كمتر اتفاق افتاد براي 120 ثانيه عمل login بلوكه خواهد شد.

براي غير فعال سازي اين دستور:

router(config)#no login block-for

براي مشاهده گزارش موارد بالا

show login

----------------

براي مشاهده لاگين موفق يا ناموفق روي روتر يا روي sys log server

router(config)#login on-success log

router(config)#login on-failure log



موفق پيروز و خجسته باشيد

+ نوشته شده در ۱۳۹۰/۰۸/۰۵ ساعت توسط هومن عزیزی  | 

حل مشكل برگشت پكت در ACCECC CONTROL LIST هاي CISCO

access list های ما در بسیاری از موارد حتی با ذکر دقیق پورت و پروتکل کار نمیکند .چرا؟
زیرا برای برگشت پکت فکری نکرده ایم.به این دستور توحه کنید:
permit tcp any any established
این دستور را ابتدای بیشتر extended access list ها باید ذکر نمود.علت این است که کلمه established در ابتدا باعث میشود در برگشت حتی اگر از پورت دیگری استفاده شود عبور پکت ممکن باشد.این مسئله بسیار ضروری است زیرا همه میدانیم که client ها از پورتهای dynamic استفاده میکنند ( برخلاف سرور ها)
موفق باشید




+ نوشته شده در ۱۳۸۹/۰۷/۰۶ ساعت توسط هومن عزیزی  | 

حل مشكل VPN در ACCESS CONTROL LIST هاي CISCO

permit tcp any any eq 47
همانطور که میدانیم تونلینگ vpn روی پورت 47 یا  gre است.این دستور در لایه چهارم   چک میشود و نکته آنکه هیچگاه موفق به اجرا نخواهد شد زیرا کاملا بی معنی است .
نحوه صحیح بدین صورت است:
permit gre any any
اینجا یک لایه پایین می آییم .gre مستقیما به عنوان یک پروتکل ذکر شده است و این یعنی ما در لایه 4 نیستیم.
این نکته مشکل بسیاری از دوستان است که تصورشان ذکر فقط tcp یا udp یا icmp بعد از دستور permit  است.
موفق باشید
+ نوشته شده در ۱۳۸۹/۰۷/۰۶ ساعت توسط هومن عزیزی  | 

آموزش کار با سوئیچهای سیسکو (بخش چهارم)

مثال 6:پیکربندی trunk روی سوئیچ 2950:

 

2950(config)#interface type 0/port_#

2950(config-if)#switchport mode trunk|dynamic desireable|dynamic auto|nonegoshiate

2950(config-if)#switchport trunk native vlan VLAN_#

 

نکته آنکه 2950 فقط از 802.1q پشتیبانی میکند.

 

برای مشاهده وضعیت trunk

2950#show interfaces trunk

 

مثال 7: ایجاد vlan  روی  2950در سیستم عامل های نگارش پایین تر از 11:

 

2950(config)#vlan VLAN_#

2950(config-vlan)#name VLAN_name

 

در اینجا ابتدا وارد وضعیت vlan subconfiguration mode شده و سپس در خط دوم نام دلخواه را به vlan ئی که در خط اول با شماره تعریف کردیم نسبت میدهیم.

 

2950(config)#interface type 0/port#

2950(config-if)#switchport mode access

2950(config-if)#switchport access vlan VLAN_#

2950#show spaningtree vlan vlan_#

 

در خط دوم حالت را  accesslink قرار داده و در خط سوم پورتی را که در آن قرار داریم عضو vlan ئی که اشاره کرده ایم مینمائیم.

 

نکات مهم:

 

  1. هر یک از vlan ها باید دارای آدرس لایه سوم متفاوتی نسبت به یکدیگر باشند.
  2. سوئیچ 1900 حداکثر از 64  vlan پشتیابنی میکند و سوئیچ 2950 در نسخه نرم افزاری s1 64  عدد و در نسخه e1 تعداد 250  عدد vlan را پشتیبانی خواهد نمود.
  3. عضویت در vlan  وابسته به مکان فیزیکی تجهیزات نمیباشد.
  4. در حالت عضویت در  vlan بصورت  استاتیک هر پورت به یک vlan تخصیص داده میشود و در حالت داینامیک اطلاعاتی مانند کاربران،گروهها و یا آدرسهای mac برای تعیین عضویت بکار گرفته میگردد.
  5. ارتباط access link حاوی اطلاعات فقط یک vlan خواهد بود.
  6. برای ارتباط حاوی اطلاعات vlan ها بین سوئیچها از trunk استفاده میگردد که باید از پورتهای با سرعت 100 و بالاتر استفاده نمود.
  7. vlan1 با نام vlan مدیریتی یا native vlan روی تمامی سوئیچها بصورت پیش فرض وجود دارد.
  8. پروتکل DTP مخصوص سیسکو بوده و جهت ایجاد و نگهداری ارتباطات trunk بکار میرود.

 

مثال :در شکل زیر 12 پورت سوئیچ مشاهده میگردد که مایل میباشیم هر 4 عدد پورت را در یک vlan قرار دهیم.

 

Switch1

12

11

10

9

8

7

6

5

4

3

2

1

Vlan3

Vlan2

Vlan1

 

 

 

 

Switch#vlan database

Switch(vlan)#vlan 2 name forosh

Switch(vlan)#vlan 3 name edari

Switch(vlan)#exit

Switch>enable

Switch#config t

Switch(config)#int fastethernet 0/5

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 2

Switch(config-if)#int fastethernet 0/6

Switch(config-if)# switchport mode access

Switch(config-if)#switchport access vlan 2

Switch(config-if)#int fastethernet 0/7

Switch(config-if)# switchport mode access

Switch(config-if)#switchport access vlan 2

Switch(config-if)#int fastethernet 0/8

Switch(config-if)# switchport mode access

Switch(config-if)#switchport access vlan 2

Switch(config-if)#int fastethernet 0/9

Switch(config-if)# switchport mode access

Switch(config-if)#switchport access vlan 3

Switch(config-if)#int fastethernet 0/10

Switch(config-if)# switchport mode access

Switch(config-if)#switchport access vlan 3

Switch(config-if)#int fastethernet 0/11

Switch(config-if)# switchport mode access

Switch(config-if)#switchport access vlan 3

Switch(config-if)#int fastethernet 0/12

Switch(config-if)# switchport mode access

Switch(config-if)#switchport access vlan 3

Switch(config-if)#^z

Switch#

Switch#show vlan brief

.

.

Switch#show vlan id 2

.

.

در این مثال ابتدا وارد حالت vlan database شدیم زیرا تعریف vlan  در این حالت صورت میگیرد.سپس 2 عدد vlan  2و 3 را تعریف کردیم و در همان حال نام آنها را هم forosh  و  edari گذاشتیم.سپس از حالت vlan database خارج شده و برای اینکه هریک از interface ها را عضو هر یک از vlan های سه گانه نمائیم ابتدا تک به تک وارد هر یک از اینترفیس ها شده سپس با دستور switchport mode access به سوئیچ میگوئیم که این یک پورت access است نه یک پورت trunk.

آنگاه با دستور switchport access vlan 2 یا  switchport access vlan 3 هر یک از اینترفیس ها را عضو یک vlan مینمائیم.

نکته آنکه چون بصورت پیش فرض vlan 1 روی همه سوئیچها وجود دارد و فعال است نیازی به تعریف آن یا عضو نمودن پورتهای 1 تا 4 در آن نمیباشد.

 

 

 

 

 

 

 

 

مثال:در شکل زیر دو عدد سوئیچ با vlan های مختلف وجود دارند.اکنون میخواهیم پورت17 را به  عنوان trunk روی دو سوئیچ برای ارتباط بین آنها تعریف کنیم.همچنین مایل به ایجاد یک domain با نام fred میباشیم.

 

 

 

 

 

Switch1

17

 

12

11

10

9

8

7

6

5

4

3

2

1

 

 

Vlan3

Vlan2

Vlan1

 

Vlan3

Vlan1

17

 

12

11

10

9

8

7

6

5

4

3

2

1

Switch2

 

 

 

Sw1(config)#int fa 0/17

Sw1(config-if)#switchport mode trunk

Sw1(config-if)#^z

.

.

Sw1#vlan database

Sw1(vlan)#vtp domain fred

Sw1(vlan)#exit

.

.

Sw1#show vtp status

Sw1#show interfaces fastethernet 0/17 switchport

.

.

Sw1#show interface fastEthernet 0/17 trunk

.

.

Sw1#show vlan

.

.

.

نکته: هرگاه روی شبکه خود مایل به ایجاد چند domain روی انواع سوئیچ های موجود باشیم براحتی توسط دستور ذکر شده بالا میسیر است اما نکته مهمی که وجود دارد اینکه در صورت تعریف چندین domain باید حتما پسورد همه آنها یکسان باشد.به عبارتی اینجا پسورد نقش یک encryption key  را ایفا می نماید.

 

لیست دستورات پیکربندی سوئیچ برای ایجاد vlan

 

 

 

توضیح

نام دستور

قرار دادن کاربر در وضعیت پیکربندی vlan

Vlan database

تعریف پارامترهای لازم vtp در وضعیت  vlan configuration mode

Vtp {domain domain-name|password password|pruning|v2-mode|{server|client|transparent}}

جهت نامگذاری و ایجاد یک vlan

Vlan vlan-id{name vlan-name}

جهت ایجاد ارتباط trunk بین سوئیچها

Switchport mode {access|dynamic{auto|desireable|trunk}}

جهت عبور پکتهای vlan های خاص از ارتباط trunk

Switchport trunk {{allowed vlan vlan-list}|native vlan vlan-id}|pruning vlan vlan-list}}

جهت تعریف اینترفیسهای موجود در سوئیچ بصورت ارتباط access

Switchport access vlan vlan-id

مشاهده وضعیت trunk

Show interfaces [interface-id|vlan vlan-id][switchport|trunk]

مشاهده اطلاعاتی در مورد vlan

Show vlan {brief|id vlan-id|name vlan-name|summary}

نمایش اطلاعاتی در مورد vlan

Show vlan [vlan]

مشاهده اطلاعاتی در مورد vtp و وضعیت پیکربندی آن

Show vtp status

مشاهده اطلاعاتی در مورد پیکربندی stp درون یک vlan خاص

Show spainig-tree vlan vlan-id

 

 

+ نوشته شده در ۱۳۸۷/۱۰/۱۳ ساعت توسط هومن عزیزی  | 

آموزش کار با سوئیچهای سیسکو (بخش سوم)



VTP MODES

 سه گزینه برای پیکربندی سوئیچها داریم:

CLIENT

SERVER

TRANSPARENT

 

سوئیچ در حالت TRANSPARENT تنظیمات را قبول میکند (ایجاد، تغییر یا حذف VLAN) اما سوئیچهای دیگر شبکه را تحت تاثیر قرار نمیدهد. سوئیچهای SERVER پس از اعمال تغییرات اقدام به انتشار آنها روی همه سوئیچهای دیگر شبکه میکنند.هنگام دریافت یک پیام VTP  سو.یچ سرور ابتدا بانک اطلاعاتی خود را بروز کرده سپس اقدام به انتشار مجدد پیام روی سایر پورتهای خود میکند.

این عمل از طریق پورتهای TRUNK انجام میگردد.هنگامی که یک پیام VTP به سوئیچ Transparent وارد میشود این سوئیچ پیام رسیده را بدون هیچ تغییری در خود به سایر سوئیچها از طریق اتصال TRUNK ارسال خواهد نمود.سوئیچهای CLIENT با دریافت پیامهای VTP بانک اطلاعاتی تنطیمات خود را بروز کرده و سپس از طریق پورت TRUNK اقدام به ارسال اطلاعات میکنند.CLIENT ها همیشه اطلاعات را از طریق SERVER ها دریافت میکنند اما تغییری در اطلاعات نمیدهند فقط خود را تغییر میدهند.معمولا یک سوئیچ را در وضعیت SERVER قرار داده   و بقیه را در حالت CLIENT قرار میدهیم.

TRANSPARENT

CLIENT

SERVER

نوع عملیات

+

-

+

افزودن VLAN  هاحذف و تغییر تنطیمات مربوطه

-

-

+

توانایی ایجاد و ارسال پیامهای VTP

+

+

+

توانایی انتشار پیامهای VTP

-

+

+

پذیرش تغییرات

-

-

+

حالت پیش فرض موجود

 

 

=================================

 

مثال 1:مشاهده وضعیت پروتکل STP روی پورت شماره 17:

 

Sw1-2950#show spaning-tree interface fastethernet 0/17

مثال2:تیدیل سوئیچ 2950 به root switch بصورت اجبار و دستی:

Sw1-2950#configure terminal

Sw1-2950(config)#spaning-tree vlan 1 root primary

مثال 3:ایجاد یک channel group روی هر دو پورت 16و17 از سوئیچ 2950 که البته واضح است روی سوئیچ طرف مقابل هم باید این عمل تکرار گردد:

 

Sw1-2950#configure terminal

Sw1-2950(config)#int fa 0/16

Sw1-2950(config-if)#channel-group 1 mode on

Sw1-2950(config)#int fa 0/17

Sw1-2950(config-if)#channel-group 1 mode on

Sw1-2950(config-if)#^z

Sw1-2950#show spanning-tree

Sw1-2950#show etherchannel 1 summary

 

 

 

VTP PRUNING

 

این خصوصیت مخصوص سوئیچهای سیسکو بوده و امکان حذف یا اضافه نمودن خودکار vlan ها روی اتصالات trunk را به سوئیچها میدهد.بطور پیش فرض خود اتصال vlan عضو تمامی vlan های روی سوئیچ است و این یعنی که در صورت اقدام به ایجاد پیام broadcast یا multicast روی هر یک از vlan ها ،سوئیچی که  پیام را دریافت مینماید اقدام به ارسال پیام روی همه پورتهای خود خواهد نمود که البته برای فایلهای با حجم بالا یک معضل بزرگ بواسطه هدر رفتن پهنای باند خواهد بود.

دو راه حل برای این کار وجود دارد:

1)استاتیک

2)داینامیک

 

در روش استاتیک عمل حذف vlan های غیر ضروری توسط اتصال trunk باید به طریق دستی صورت  روی هر سوئیچ جداگانه گیرد که در موارد تعداد سوئیچ بالا یک معضل خواهد بود.

 

در روش داینامیک سو.یچهای شبکه علاوه بر اطلاعات موجود در پیامهای vtp اطلاعات موجود در زمینه vlan  ها را با سوئیچهای دیگر شبکه به اشتراک خواهند گذاشت ، در نتیجه هر سوئیچ توانائی حذف vlan بلا استفاده روی پورتهای خود را خواهد داشت.نکته آنکه در حالت استفاده vtp pruning باید همه سوئیچها روی حالت server تنظیم شده باشند.ارتباط بین سوئیچها جهت اگاه نمودن یکدیگر از طریق پورت trunk صورت خواهد گرفت همانگونه که انتظار داریم.

 

 

مثال 4: پیکربندی vtp روی سوئیچ 2950(در سیستم عامل های نگارش کمتر از 11 سیسکو)

 

2950#vlan database

2950(vlan)#vtp domain vtp_domain_name

2950(vlan)#vtp server|client|transparent

2950(vlan)#vtp password vtp_password

2950(vlan)#vtp pruning

2950(vlan)#abort     or      2950(vlan)#exit

2950#configure terminal

2950#(config)#snmp-server enable traps vtp

 

خط اول برای ورود به حالت database های  vlan میباشد.در خط دوم نام domain را وارد میکنیم زیرا برای اقدام به اشتراک گذاشتن اطلاعات vlan همه سوئیچها باید در یک domain قرار داشته باشند.اگر دستور vtp mode استفاده نشود پیش فرض با حالت server میباشد.در صورت استفاده از پسورد باید آن پسورد روی همه سوئیچهای domain یکسان باشد.نکته دیگر آنکه در صورت فعال نمودن  خاصیت pruning روی سوئیچ سرور سایر سوئیچها نیز اقدام به فعال نمودن آن خواهند نمود.

 در  این مثال در صورت استفاده از abort تغییرات دخیره نمیشود و خروج انجام میگیرد اما در حالت exit تغییرات انجام شده و خروج خواهیم نمود.

 

مثال 5: پیکر بندی vtp روی سوئیچهای سیسکو مدل 2950 با سیستم عامل نگارش 11 و بالاتر از 11

 

2950(config)#vtp domain vtp_domain_name

2950(config)#vtp mode server|client|transparent

2950(config)#vtp password vtp_password

2950(config)#vtp pruning

 

برای مشاهده وضعیت vtp:

2050#show vtp status

2950#show vtp counters

+ نوشته شده در ۱۳۸۷/۱۰/۱۳ ساعت توسط هومن عزیزی  | 

آموزش کار با سوئیچهای سیسکو (بخش دوم)

توضیح

دستور پیکربندی

یک سوئیچ موجود در یک vlan به اجبار root تعریف میکنیم(  global configuration command)

Spanning tree vlan vlan-id root

تعیین priority موجود در یک vlan برای یک سوئیچ که خود موجب تعیین root خواهد شد. (  global configuration command)

Spanning-tree vlan vlan-id (priority priority)

تغییر پارامتر cost برای یک interface خاص

Spaning tree cost cost

فعال نمودن خاصیت channel group روی یک interface خاص

Channel-group channel-group-number mode {auto|desirable|on}

مشاهده وضعیت پروتکل stp

Show spanning-tree

مشاهده وضعیت stp روی یک interface  خاص

Show spanning-tree interface interface-id

مشاهده وضعیت stp روی یک vlan  خاص

Show spanning-tree vlan vlan-id

فعال نمودن وضعیت debug جهت پروتکل stp که یک وضعیت مانیتورینگ می باشد.

Debug spaning-tree

مشاهده وضعیت etherchannel روی سوئیچ

Show etherchannel {channel-group-number|brief|detail|port|port-channel|summary}

 

VLAN

مجموعه ای از تجهیزات که در یک broadcast domain قرار دارند.

میتوان روی هر یک از پورتهای یک سوئیچ یک vlan تعریف نمود(روش static ) و یا vlan را بر اساس mac address های موجود در پورتهای مختلف طراحی نمود(روش dynamic).به هر صورت هر vlan به مانند یک شبکه جداگاته خواهد بود.سوئیچ 2950 تا حدود 250 vlan  را پشتیبانی میکند.

 

Etherchannel

ترکیبی از دو تا هشت کانال ارتباطی  بین زوجهای یکسان از سوئیچها را گویند.stp یک etherchannel را همانند یک single link شناسائی میکند و بهمین علت مشکل خاصی در stp رخ نخواهد داد.بدون وضعیت etherchannel ، stp همه لینکهای channel شده را به جز یکی از آنها block  میکند.

عمل etherchannel جهت مهیا نمودن حداکثر پهنای باند شبکه ای بین شبکه بکار میرود.همه لینک های trunk  در این وضعیت یا در وضعیت forward و یا در وضعیت   block خواهند بود.بطور مثال هرگاه بین دو سوئیچ با پورت گیگابایت نیاز به پهنای باند 2 یا سه برابر داشته باشیم تیازی به استفاده از فیبر نوری با هرینه های آنچنانی نیست.کافیست 2 یا 3 پورت را از دو سوئیچ به هم متصل نموده و سپس یک ETHERCHANNEL  بین آنها روی این پورتها تعریف کنیم تا مانند یک پورت واحد در نطر گرفته شوند.

 

 

انواع اتصالات در vlan

·        Access link

·        Trunk

 

Access link:از کارت شبکه استاندارد و فریمهای Ethernet استفاده میکند.به عبارت ئیگر در یک سو سوئیچ و در سوی دیگر 802.3 و یا Ethernet II میباشد.به عبارت دیگر دستگاههای موجود در accesslink در یک broadcast domain قرار دارند.

 

اتصالات trunk: بر خلاف نوع قبل بیش از یک عدد vlan را از طریق یک لینک پشتیبانی میکنند. بدین صورت میتوان از طریق فقط یک ارتباط فیزیکی تعداد زیادی ارتباط مجازی ایجاد نمود.trunk  معمولا بین switch-switch ویا switch-router ویا switch-server بکار میرود که البته برای حالت server نیاز به کارت شبکه مخصوص بر روی سرور میباشد.نکته آنکه هرگاه بین سوئیچهای مختلف در شبکه vlan های مختلف تعریف نموده باشیم برای ارتباط بین ِآن سوئیچها نیاز به تعریف trunk  خواهیم داشت.یک vlan مانند یک broadcast domain است بنابراین سوئیچهای لایه 2 ترافیک را بین vlan های مختلف نمی توانند رد و بدل کنند اما سوئیچها لایه 3 میتوانند این ترافیک را بین vlan ها route  کنند.

 

 

ISL,802.1Q

 

ISL:

توسط سیسکو و قبل از استانداردهای نسخه  IEEE طراحی شد.بنابراین فقط در سوئیچ های سیسکو قابل استفاده است.در پروتکل مزبور دو بخش trailer , header توسط سوئیچ به دو سر فریم اضافه میشوند.کاربرد ان در trunking  بوده و طول پکت اینجا به 1548 بایت خواهد رسید که از حد مجاز بیشتر است بنابراین کارت شبکه های استاندارد آنرا giant تشخیص داده و از بین میبرند.

 

802.1q

این روش توسط IEEE از روی نسخه ISL سیسکو ارائه شد و بین تولید کنندگان مختلف مشترک بوده و قابل استفاده بین همه تجهیزات شرکتهای مختلف تولید کننده میباشد.این پروتکل از دو روش استفاده میکند:

  1. فریم های Ethernet  را بدون تغییر ارسال میکند یعنی دیگر giant نداریم
  2. از native vlan استفاده میکند یعنی هر تجهیزی که به هر پورتی متصل میگردد ، عضو vlan همان پورت خواهد بود.

3.PVST(per vlan stp)

هرگاه درون هر vlan تعریف stp جداگانه داشته باشیم آنگاه pvst  خواهیم داشت.

 

میتوان هر پورت سوئیچ را عضو یک vlan نمود یا هر mac-address را عضو یک vlan کردو به سوئیچ فهماند که این mac-address از هر پورتی که وصل شد عضو vlan  شماره x است.

 

 

 

VLAN TRUNKING PROTOCOL(VTP)

 هرگاه چند سوئیچ مختلف در شبکه موجود باشد و VLAN های مختلفی نیز روی آنها تعریف شده باشد آنگاه جهت آنکه سوئیچ های مختلف در باره یگدیگر اطلاعات لازم را داشته باشند نیاز به پروتکلی داریم که حمل این اطلاعات بین سو.یچهای مختلف را انجام دهد و آن پروتکل VTP خواهد بود.این پروتکل مخصوص سیسکو بوده و در ضمن فقط از طریق اتصالات TRUNK جابجا میگردد. یکی از وطایف جالب آن انتشار تنظیمات روی یک سوئیچ برای تمامی سوئیچها میباشد.این مسئله پاره ای مشکلات را هنگام پیکربندی سوئیچهای شبکه از بین خواهد برد.مثلا تصحیح نام صحیح یک VLAN  در پیکربندی یک سوئیچ که اشتباه وارد نموده ایم.و یا هنگامی که یک admin را از روی شبکه پاک میکنیم اعلام یا اضافه میکنیم پروتکل مزبور مسئول اعلام تنظیمات مختلف به همه سوئیچهای شبکه خواهد بود

 

 

 

+ نوشته شده در ۱۳۸۷/۱۰/۱۳ ساعت توسط هومن عزیزی  | 

آموزش پیکربندی سوئیچهای سیسکو - بخش اول

Bridge and switch

عمل switching به سه روش صورت میگیرد

•          Store and forward

•          Cut trough

•          Fragment free

 

 

Store and forward

•          ساده ترین حالت است و در این روش فریم های رسیده در بافر نگهداری شده و قبل از پردازش crc مربوط به آنها محاسبه گردیده سپس در صورت صحت ارسال خواهد شد.

•          در صورت عدم صحت فریم حذف خواهد شد.

•          این رو در بریجها استفاده مشود اما در سوئیچها از روشهای دیگر هم استفاده میگردد.

Cut trough

•          در این روش فقط قسمت اولیه فرم به نام preamble  و  mac آن چک شده و در صورت صحت پکت ارسال خواهد شد.

•          نقطه قوت روش سرعت بالا و نقطه ضعف آن عدم بررسی crc  میباشد.

•          چرا؟

•          این روش بهبود نیز یافته است.چگونه؟با روش dynamic switching

Fragment free

•          این روش modified cut trough  نیز نامیده میشود و در آن 64 بایت اولیه فریم بررسی میگردد.این روش ، بسیار مناسب برای عملیات switching  میباشد و به آن روش Runtless نیز میگویند زیرا پکت های runt را حذف میکند.حالت پیش فرض 1900 میباشد.

•          سخت افزار switch  ها یک عامل تعیین کننده برای روش میباشد .مثلا 2950 از روش store and forward  بهره میگیرد .

 

 

 

عمل Switching:طی سه مرحله انجام میگردد:

•          Learning

•          Forwaing

•          Remove the layer 2 loops

•          عمل transparent bridging:بدین مفهوم میباشد که سایر تجهیزات از وجود عملیات ذکر شده در شبکه بی خبرند و عملیات سوئیچینگ را حس نمیکنند

 

انواع فریم:

•          Broacast:

آدرس mac گیرنده ffff.ffff.ffff میباشد

•          Multicast

آدرس mac  گیرنده یک رنج خاص میباشد

0100.5e00.0000 تا 0100.5e7f.ffff

•          Unicast

یک mac خاص به جز رنج بالا میباشد.

عمل flood:انتشار پکتها در کل شبکه یا بخشی از آن میباشد.

سوئیچ ها بطور کلی 3 نوع پیام را flood میکنند:

Broacast

Multict

Unknown unicat

پروتکل STP: این پروتکل در سوئیچها بکار میرود و وظیفه آن ایجاد مسیرهای مطمئن و همچنین پشتسبان برای جلوگیری از ایجاد loop و ... میباشد و دارای دو نسخه است:

•          DEC: توسط HP  و  COMPAQ ایجاد گردید

•          IEEE 802.1.D:پیش فرض شرکت سیسکو

 

•          نکته :این دو نسخه با هم سازگار نمی باشند .باید عمل یکسان سازی را در طراحی شبکه  رعایت کنیم.

•          Bridges protocol data unit: این پکتها با نام اختصاری BPDU در پروتکل stp بکار گرفته میشوند.

•          جهت جلوگیری از ایجاد loop سوئچ توسط پروتکل stp پکت های مزبور را در شبکه ارسال میکند.در این حالت فقط یک مسیر لایه دوم بصورت loop باقی خواهد ماند و سوئیچ سایر مسیر ها را خواهد بست.

•          هر 2 ثانیه یکبار ارسال میگردند.حاوی اطلاعاتی مانند switch id و  bridge id میباشند.

طی مراحل زیر پروتکل STP عمل میکند:

•          انتخاب root switch: این کار توسط پکت های bpdu صورت میگیرد .این پکت توسط هر سوئیچ حاوی اطلاعات زیر میباشد:

•          Priority:همیشه برابر با 32767 بوده و به طول 2 بایت میباشد.بطور کلی ثابت بوده و با دستکاری آن بصورت دستی میتوان یک سوئیچ را root switch نمود.زیرا اولویت با آن میباشد.

•          Mac address:6 بایت میباشد و اولویت دوم است.البته چون priority معمولا ثابت و یکسان میباشد بنابراین اولویت معمولا به mac پایین تر داده میشود.

•          نکته: در حالت استفاده از vlan به ازاء هر یک از vlan ها یک پروتکل stp  جداگانه میتوان پیکربندی نمود.

•          Root port پورتی که فقط از طریق آن میتوان با rootswitch  ارتباط برقرار نمود.

•          عمل انتخاب rootport  بصورت هوشمندانه توسط rootswitch  انجام خواهد گردید.

•          خود rootswitch  دارای rootport نمیباشد.

•          به هر پورت پورت عدد cost  نسبت داده میشود.

•          هرچقدر cost کمتر باشد آن پورت دارای الویت بیشتر میباشد.این عدد با پهنای باند رابطه معکوس دارد.یعنی هر چقدر از پورت استفاده بیشتری گردد آن پورت cost کمتری خواهد داشت.

•          پارامتر دیگر pathcost میباشد که مسیر محتمل موجود بین rootswitch و سوئیچ مورد نظر میباشد.

Designated port

•          در یکsegment از یک شبکه  یک پورت وجود دارد که ترافیک آن سگمنت را از خود عبور میدهد که به آن  designated port  گویند.

•          انتخاب  designated  پورت نیز یک از وظایف پروتکل  stp میباشد.

•          مراحل انتخاب مانند انتخاب  rootport میباشد.

مراحل انتخاب بهترین مسیر

  1. Pathcost کمتر
  2. Switchid کمتر
  3. Port periority کمتر
  4. در صورت ناموفق بودن روشهای بالا پورت که از لحاظ ترتیب قرار گرفتن کمتر باشد.مثلا ethernet 0/1 در 1900 و fastethernet 0/1در 2950 .

حالات مختلف پورتها در سوئیچ

•          Blocked

•          Listening

•          Learning

•          Forwarding

•          Disable

•          نکته : حالت disable در Stp وجود ندارد.

حالت blocked

•          20 ثانیه بوده و در موارد زیر رخ میدهد:

  1. انتخاب rootswitch
  2. انتخاب یک مسیر بهتر از مسیر کنونی توسط  پیغام  bpdu
  3.  در حالتی که پورت نه  rootport  باشد  و نه  designated port
  4.  مرحله بعدی listening  است

Listening

•          15  ثانیه بوده و یک باز نگری کلی در وضعیت توپولوژی شبکه انجام میشود.

•          فقط پورتهائی که کاندید  root یا  deignated  میباشند وارد این مرحله میگردند.

Lreaning

•          15  ثانیه بوده و در حقیقت علاوه بر در یافت و ارسال پیامهای  bpdu سوئیچ ها جداول  cam  خود را نیز کامل میکنند.

•          هیچ پیامی به هیچ مقصدی ارسال نخواهد شد.

Forwarding

•          کار اصلی سوئیچ شروع میشود

•          نکته : وضعیت  disable

 پورتی در این وضعیت قرار میگیرد که :

  1. یا بصورت دستی توسط ما disable شده باشد.
  2. توسط  stp ،  disable  شده باشد.
  3. قطعی کابل یا ... داشته باشیم.

 

•          با توجه به مراحل بالا زمان convergence شبکه در چه محدوده ای خواهد بود؟

•          آیا زمان  مورد نظر قابل بهبود است؟

•          Portfast  چیست؟

•          چه قابلیتی موجب کاهش زمان  convergence در portdat  میگردد؟

Rapid stp or rstp

•          بوسیله 802.11w تعریف میگردد و مدل بهبود یافته 802.11d میباشد.

•          در این مدل فقط 3 حالت برای هر پورت داریم:

•          Discarding: معادل سه حالت   listening , blocked , disable میباشد.

•           learning

Forwarding

•          در  Rstp علاوه بر  designated port , rootport  دو پورت دیگر نیز استفاده میشود :

•          Alternate port: یک پورت جانشین برای  rootport میباشد.

•           backup port:  جانشینی برای deignated port  می باشد.

•          تفاوت عمده دیگر:نقش هر پورت نیز در  bpdu  گنجانیده میگردد.

•          تفاوت دیگر: زمان انتظار از 20 ثانیه به 6 ثانیه بهبود یافته است.

•          یک خاصیت مهم:rapid transition

شبیه به  portfast  بوده و باعث میگردد تا edge port همیشه در حالت forwaring باشد.

مثال 1:نام سوئیچ را ICT گذاشته و  برای تغییر وضعیت به privilage mode و اتصال از طریق کنسول پسورد گزاری کنید:

Switch>enable

Switch#show interface fastethernet 0/13

Switch#show interfaces status

Switch#show mac-address-table dynamic

Switch#show runing-config

Switch#show startup-config

مثال 2:برای اتصال از طریق telnet نیز پسورد گزاری کنید.

ICT>enable

ICT#config t

ICT(config)#line vty 0 15

ICT(config-line)#password azizi3

ICT(config-line)#login

ICT(config-line)#exit

ICT(config)#login

ICT(config)#exit

ICT#copy run start

 

مثال 3:fastetethernet 0/1 را روی حالت auto duplexو سرعت  100 mbps تنظیم نمایید و آن را up  نمایید:

ICT>en

ICT#conf t

ICT(config)#interface fastethernet 0/1

ICT(config-if)#speed 100

ICT(config-if)#duplex auto

ICT(config-if)#no shutdown

ICT(config-if)#exit

ICT(config)#exit

ICT#copy run start

مثال4:به vlan 1  روی سوئیچ ip  دهید.همچنین gateway سوئیچ را نیز تعیین نمایید:

ICT#conf t

ICT(config)#interface vlan 1

ICT(config-if)#ip address 192.168.0.120 255.255.255.0

ICT(config-if)#no shutdown

ICT(config-if)#exit

ICT(config)#ip default-gateway 192.168.0.90

ICT(config)#^z

ICT#copy run start

 مثال ۵:

:(امنیت پورت)امنیت پورت را به گونه ای روی پورتهای سوئیچ برقرار کنید که اولا خود سوئیچ بصورت خودکار mac ها را یاد بگیرد و ثانیا حد اکثر7  عدد mac address روی هر پورت قابل شناسائی باشد و ثالثا در صورتی که به جز mac های مزبور یک mac  اضافه رویت شد و یا به هر دلیلی یکی از mac هاعوض شد همه  mac ها را قطع کند تا مشکل برطرف گردد و برای رفع مشکل نیاز به no shutdown  نمودن دستی پورت متخلف باشد:

Swt#conf t

Swt(config)#interface fastethernet 0/1

Swt(config-if)#switchport mode access

Swt(config-if)#switchport port-security

Swt(config-if)#switchport port-security max 7

Swt(config-if)# switchport port-security mac-address sticky

Swt(config-if)# switchport port-security violation shutdown

Shutdown:پورت مجرم  shutown شده و باید بصورت دستی  no shutdown گردد.

protect:پورت مجرم قطع شده اما بقیه به فعالیت خود ادامه میدهند.

Retrict:همه را قطع میکند تا مورد بر طرف گردد.

:( ادامه امنیت پورت) درمثال قبل به جای دستور shutdown از دستور دیگری طوری استفاده کنید که در صورت مشاهده تخلف در تعداد mac ها فقط مورد متخلف محدود شده و سایر پورتها به فعالیت خود ادامه دهند:

جواب: مانند قبل است با این تفاوت که به جای دستور

Swt(config-if)# switchport port-security violation shutdown

از دستور

Swt(config-if)# switchport port-security violation protect

استفاده می نمائیم .

نکته : درصورتی که مایل باشیم همه قطع شوند اما در صورت رفع مورد همه وصل شوند از دستور زیر استفاده می نمائیم :

Swt(config-if)# switchport port-security violation restrict

برای دردست داشتن یک محیط شبیه سازی شده جهت کار با سوئیچها (با توجه به قیمت بالای آنها) من نرم افزار boson simulator را توصیه میکنم که از روی اینترنت میتوان آن را یافت نمود اما در صورت نیاز به خرید آن نیز میتوانید با من تماس بگیرید تا ترتیب خرید آن را بدهم (قیمت نسخه کرک شده جدید 10000 تومان میباشد) شماره تماس09133285993

دانستن نکات زیر هنگام کار با boson خالی از لطف نیست:

•          فرض بر این است که از طریق کابل کنسول متصل میباشیم.

•          استفاده از کلید tab دستورات ناقص تایپ شده ما را تکمیل میکند.

اگر استفاده از کلید tab جواب نداد معمولا یعنی اینکه در محیط صحیح از آن دستور استفاده نمی کنیم.مثلا برای پسورد گزاری روی اتصال از طریق کنسول هرگاه وارد وضعیت configure terminal نشده باشیم استفاده از tab key جهت تکمیل دستور enable secret xxxx بی فایده میباشد.

امیدوارم از مطالب گفته شده استفاده کرده باشید.در قسمتهای بعد مطالب بیشتری را بیان خواهم نمود

+ نوشته شده در ۱۳۸۷/۰۸/۲۵ ساعت توسط هومن عزیزی  |