-
تعداد ارسال ها
75 -
تاریخ عضویت
-
آخرین بازدید
-
روز های برد
1
پست ها ارسال شده توسط max_payne
-
-
در مورد سیسکو سرچ میکردم یه مرجع تقریبا کامل از سیسکو گیرم اومد(البته به زبان فارسی)
گفتم برای شما هم آپلود کنم(حتما خوشتون میاد)
کد:
4shared.com - free file sharing and storage
به دلایل خاصی نشد تو خود آشیانه آپ کنم.. -
عملياتی است که در آن Password فراموش شده سيسکو را تغيير ميدهيم برای اين کار به دسترسی فيزيکی به دستگاه و ارتباط کنسول نياز داريم. بصورت نرمال روتر از مراحل زير برای Boot شدن استفاده ميکند:
1. روتر روشن شده و توسط ROM راه اندازی ميشود.
2. روتر Configuration-Register را چک ميکند.
3. روتر فايل Configuration را داخل NVRAM، Load ميکند تا IOS را بخواند.
4. براساس Configuration، IOS را انتخاب ميکند و IOS را درون RAM؛ Decompress ميکند.
Configuration-Register به ميزان 2 بايت است که بصورت HEX نشان داده ميشود توسط اين مقدار مشخص ميشود روتر از چه و به چه صورتی Boot شود در ضمن سرعت پورت Console و مشخصات ديگری نيز توسط اين 2 بايت گزارش ميگردد که از حوصله بحث ما خارج است.
برای اينکه از شر Password خلاص شويم بايد روتر را بدون Configuration بالا آوريم برای اين کار بايد سراغ Configuration-Register رفت و مرحله ای که در آن Configuration خوانده ميشود را از کار اندازيم. برای اين کار Configuration-Register را بايد به 0×2142 تغيير دهيم. اما مشکل اين جاست که دسترسی به Router نداريم (رمز عبور گمشده است) پس بايد روتر را خاموش/روشن کنيم:
در زمان بوت شدن IOS از کليد های Control + Break استفاده ميکنيم تا اين مرحله قطع شده و ما را به ROMMON ببرد در ROMMON ميتوانيم با دستور confreg 0×2142 روتر را مجبور کنيم تا فايل Configuration را نخواند و مثل يک روتر جديد بدون تنظيم بوت شود.
بعد از تغيير Confreg دستور i يا Initialize را زده تا روتر Reload شود و ميبينيم روتر بدون تنظيم بالا آمد سپس درون Enable رفته و محتويات NVRAM را درون Running Config کپی ميکنيم تا تنظيماتمان از بين نرود. سپس Enable Secret يا هر Password ی که فراموش کرديم را تغيير داده و درون NVRAM کپی ميکنيم (Copy running-config startup-config) سپس مقدار Configuration-register را به عدد 0×2102 برميگردانيم. -
http://rapidshare.com/files/218067022/ios.part01.rar
http://rapidshare.com/files/218066881/ios.part02.rar
http://rapidshare.com/files/218077025/ios.part03.rar
http://rapidshare.com/files/218075818/ios.part04.rar
http://rapidshare.com/files/218084162/ios.part05.rar
http://rapidshare.com/files/218080812/ios.part06.rar
http://rapidshare.com/files/218095084/ios.part07.rar
http://rapidshare.com/files/218111130/ios.part08.rar
http://rapidshare.com/files/218108970/ios.part09.rar
http://rapidshare.com/files/218110386/ios.part10.rar
http://rapidshare.com/files/218116563/ios.part11.rar
http://rapidshare.com/files/218124075/ios.part12.rar
http://rapidshare.com/files/218125956/ios.part13.rar
http://rapidshare.com/files/218132670/ios.part14.rar
http://rapidshare.com/files/218131899/ios.part15.rar
http://rapidshare.com/files/218142528/ios.part16.rar
http://rapidshare.com/files/218137213/ios.part17.rar
http://rapidshare.com/files/218154571/ios.part18.rar
http://rapidshare.com/files/218154553/ios.part19.rar
http://rapidshare.com/files/218160713/ios.part20.rar
http://rapidshare.com/files/218161014/ios.part21.rar
http://rapidshare.com/files/218170066/ios.part22.rar
http://rapidshare.com/files/218168164/ios.part23.rar
http://rapidshare.com/files/218177746/ios.part24.rar
http://rapidshare.com/files/218177194/ios.part25.rar
http://rapidshare.com/files/25359346...z.124-24.T.bin
http://rapidshare.com/files/25359343...z.124-24.T.bin
http://rapidshare.com/files/25359298...z.124-24.T.bin
http://rapidshare.com/files/25358790...z.124-24.T.bin
http://rapidshare.com/files/25358075...z.124-24.T.bin
http://rapidshare.com/files/25356841...z.124-24.T.bin
http://rapidshare.com/files/25351030...z.124-24.T.bin
http://rapidshare.com/files/25344993...z.124-24.T.bin
http://rapidshare.com/files/25343502...z.124-24.T.bin
http://rapidshare.com/files/25342566...z.124-24.T.bin
http://rapidshare.com/files/25340862...z.124-24.T.bin
http://rapidshare.com/files/25338889...z.124-24.T.bin
http://rapidshare.com/files/25338037...z.124-24.T.bin
http://rapidshare.com/files/25337703...z.124-24.T.bin
http://rapidshare.com/files/25337142...z.124-24.T.bin
http://rapidshare.com/files/25336097...z.124-24.T.binhttp://rapidshare.com/files/25293081...ll-7.1.0.0.tar
http://rapidshare.com/files/25292023...sccp.8-3-5.tar
http://rapidshare.com/files/250439565/pix804-32.bin
http://rapidshare.com/files/64476979...-030909a-1.zip
http://rapidshare.com/files/64476982...3_040927_1.zip
http://rapidshare.com/files/64476996...120-5.WC14.tar
http://rapidshare.com/files/64476999...120-5.WC16.tar
http://rapidshare.com/files/64477006...120-5.WC14.tar
http://rapidshare.com/files/64477007...121-22.EA7.tar
http://rapidshare.com/files/64477008...t-mz.122-2.XB2
http://rapidshare.com/files/64477011...mz.123-17a.bin
http://rapidshare.com/files/64477033...z.122-11.T.bin
http://rapidshare.com/files/64477038...-mz.123-15.bin
http://rapidshare.com/files/64477045...-mz.124-5a.bin
http://rapidshare.com/files/64477050...-mz.124-5a.bin
http://rapidshare.com/files/18487083....hc.11.41a.bin
http://rapidshare.com/files/18487085...9.hc.11.41.bin
http://rapidshare.com/files/18715792...mz.123-19a.bin
http://rapidshare.com/files/18715818...-mz.123-18.bin
http://rapidshare.com/files/18715805...mz.123-17a.bin
http://rapidshare.com/files/18715818...-mz.123-18.bin
http://rapidshare.com/files/18715879...-mz.123-19.bin
http://rapidshare.com/files/18715879...mz.123-17a.bin
http://rapidshare.com/files/18715884...-mz.124-7a.bin
http://rapidshare.com/files/18715885...s-mz.124-8.bin
http://rapidshare.com/files/18715980...s-mz.124-7.bin
http://rapidshare.com/files/18715986...z.124-11.t.bin
http://rapidshare.com/files/18716020...z.124-15.T.bin
http://rapidshare.com/files/210712153/pix723.bin
http://rapidshare.com/files/210758712/pix802.bin
http://rapidshare.com/files/210763692/asa802-k8.bin
http://rapidshare.com/files/21729387...122-11.T10.bin
http://rapidshare.com/files/21729387...121-22.EA9.bin
http://rapidshare.com/files/217293873/2950.tar
http://rapidshare.com/files/21729388...122-35.SE5.bin
http://rapidshare.com/files/217293892/c2600_mpls.bin
http://rapidshare.com/files/21729994...-mz.123-26.bin
http://rapidshare.com/files/21730002...-l.121-27b.bin
http://rapidshare.com/files/21730003...-mz.124-21.bin
http://rapidshare.com/files/21730007...-l.121-27b.bin
http://rapidshare.com/files/21730028...-mz.123-18.bin
http://rapidshare.com/files/21765082..._TT2400_4M.zip
http://rapidshare.com/files/21765088...z.122-4.T1.bin
http://rapidshare.com/files/21765105...mz.122-2.T.bin
http://rapidshare.com/files/21765106...z.122-8.T4.bin
http://rapidshare.com/files/57877766...22-25.SEE4.bin
http://rapidshare.com/files/57878050/asa706-k8.bin
http://rapidshare.com/files/57925780...mz.120-28d.bin
http://rapidshare.com/files/57925782/pix635.bin
http://rapidshare.com/files/57925795/pdm304.bin
http://rapidshare.com/files/57925826/pix712.bin
http://rapidshare.com/files/57925855...mz.124-12c.bin
http://rapidshare.com/files/57925868....124-11.T3.bin
http://rapidshare.com/files/57925874....124-15.T1.bin
http://rapidshare.com/files/57925877...mz.124-12a.bin
http://rapidshare.com/files/57925894...upk8.8-5-3.bin
http://rapidshare.com/files/57926066...mz.124-12c.bin
http://rapidshare.com/files/57926079...mz.124-12c.bin
http://rapidshare.com/files/57926099...mz.124-12a.bin
http://rapidshare.com/files/57926108...mz.124-12c.bin
http://rapidshare.com/files/57931711....122-40.SE.bin
http://rapidshare.com/files/57931794...120-5.WC15.tar
http://rapidshare.com/files/57931795...21-22.EA8a.bin
http://rapidshare.com/files/57931804...21-22.EA10.bin
http://rapidshare.com/files/57931806....123-8.JEB.tar
http://rapidshare.com/files/57931819....122-37.SE.bin
http://rapidshare.com/files/57931825....122-37.SE.bin
http://rapidshare.com/files/57931847/asdm-512.bin
http://rapidshare.com/files/57931872....122-37.SE.bin
http://rapidshare.com/files/57931908...mz.124-12c.bin
http://rapidshare.com/files/57931928...mz.124-12c.bin
http://rapidshare.com/files/57931989....124-11.T3.bin
http://rapidshare.com/files/57932029...mz.124-12c.bin
http://rapidshare.com/files/57932035...mz.124-12c.bin
http://rapidshare.com/files/57932036...mz.124-12c.bin
http://rapidshare.com/files/57932162...mz.124-12c.bin
http://rapidshare.com/files/21826339...120.5.2-XU.bin
http://rapidshare.com/files/21826345...t-mz.122-1.bin
http://rapidshare.com/files/21826340...s-mz.120-7.bin
http://rapidshare.com/files/21826348...s-mz.120-5.bin
http://rapidshare.com/files/21826349...s-mz.120-8.bin
http://rapidshare.com/files/21826380...y-mz.122-3.bin
http://rapidshare.com/files/21826404...-mz.120-10.bin
http://rapidshare.com/files/218264119/PDM-201.bin
http://rapidshare.com/files/21826413...-c-l.120-4.bin
http://rapidshare.com/files/21826422...0-1a_w5_6f.bin
http://rapidshare.com/files/21826437...s-mz.120-7.bin
http://rapidshare.com/files/21826440...i-mz.120-7.bin
http://rapidshare.com/files/21826445...c-mz.121-9.bin
http://rapidshare.com/files/21826468...mz.122-2.T.bin
http://rapidshare.com/files/21826514...z.122-11.T.bin
http://rapidshare.com/files/21826714...z.122-11.T.bin
http://rapidshare.com/files/21827727...120.5.2-XU.tar
http://rapidshare.com/files/21828133...mz.121-3.T.bin
http://rapidshare.com/files/21828163...d-mz.120-4.bin
Cisco IP Communicator - Version 2.1(4)
http://rapidshare.com/files/21732487...ator.2-1-4.zip
Cisco IP Communicator - Version 7.0.1.0
http://rapidshare.com/files/21743715...fr.7-0-1-0.zip
http://rapidshare.com/users/K2860J
password for the folder : MakeMeProu
http://naxis.org/cisco/CiscoIOS/
or
http://rapidshare.com/files/64476979...-030909a-1.zip
http://rapidshare.com/files/64476982...3_040927_1.zip
http://rapidshare.com/files/64476996...120-5.WC14.tar
http://rapidshare.com/files/64476999...120-5.WC16.tar
http://rapidshare.com/files/64477006...120-5.WC14.tar
http://rapidshare.com/files/64477007...121-22.EA7.tar
http://rapidshare.com/files/64477008...t-mz.122-2.XB2
http://rapidshare.com/files/64477011...mz.123-17a.bin
http://rapidshare.com/files/64477033...z.122-11.T.bin
http://rapidshare.com/files/64477038...-mz.123-15.bin
http://rapidshare.com/files/64477045...-mz.124-5a.bin
http://rapidshare.com/files/64477050...-mz.124-5a.bin
hxxp://cisco.uta.cl/ccna_gr1/download/cisco_ios/2500-igs-j-l.111-5.bin
hxxp://cisco.uta.cl/ccna_gr1/download/cisco_ios/2503igs-j-l.111-5
hxxp://cisco.uta.cl/ccna_gr1/download/cisco_ios/c2900XL-c3h2s-mz.120-5.WC2.bin
hxxp://cisco.uta.cl/ccna_gr1/download/cisco_ios/cat1900EN.9.00.06.bin
hxxp://rapidshare.com/files/13300148/SDM-V22a.zip
hxxp://rapidshare.com/files/16277670/Cisco_Security_Device_Manager__Sdm__v20A.zip
hxxp://rapidshare.com/files/8762790/c1100-k9w7-tar.122-13.JA2.tar
hxxp://rapidshare.com/files/8762197/c1600-k8osy-mz.122-15.T5.bin
hxxp://rapidshare.com/files/8762200/c1600-k8osy-mz.123-1a.bin
hxxp://rapidshare.com/files/8762271/c1600-sy-mz.122-15.T2.bin
hxxp://rapidshare.com/files/8761686/C1700-K9o3sy7-Mz_20122-11_20T.bin
hxxp://rapidshare.com/files/8761688/C1700-K9o3sy7-Mz_20122-4_20Yb.bin
hxxp://rapidshare.com/files/8761698/C1700-K9o3sy7-Mz_20123-1a.bin
hxxp://rapidshare.com/files/8761717/C1700-Sv3y7-Mz_20122-13_20Zh.bin
hxxp://rapidshare.com/files/8761691/C1700-Sy7-Mz_20122-4_20Xl5.bin
hxxp://rapidshare.com/files/8761735/C2600-Advsecurityk9-Mz_20123-5a.bin
hxxp://rapidshare.com/files/8762264/c2600-i-mz.120-8
hxxp://rapidshare.com/files/8762273/c2600-io3-mz.122-3.bin
hxxp://rapidshare.com/files/8761689/C2600-Io3-Mz_20122-16.bin
hxxp://rapidshare.com/files/8762288/c2600-is-mz.121-3a.T4.bin
hxxp://rapidshare.com/files/8762292/c2600-is-mz.122-12a.bin
hxxp://rapidshare.com/files/8761710/C2600-Is-Mz_20121-11.bin
hxxp://rapidshare.com/files/8761813/C2600-Is-Mz_20122-11_20T.bin
hxxp://rapidshare.com/files/8761817/C2600-Is-Mz_20122-15_20T.bin
hxxp://rapidshare.com/files/8762301/c2600-js-mz.121-5_T.bin
hxxp://rapidshare.com/files/8762305/c2600-js-mz.122-12a.bin
hxxp://rapidshare.com/files/8762280/c2600-js56i-mz.120-8.bin
hxxp://rapidshare.com/files/8762389/c2600-jsx-mz.122-8.T.bin
hxxp://rapidshare.com/files/8761780/C2600-P-Mz.991126
hxxp://rapidshare.com/files/8762785/c2900xl-c3h2s-tar.120-5.WC9.tar
hxxp://rapidshare.com/files/8762930/c2900XL-hs-mz-112.8.11-SA6.bin
hxxp://rapidshare.com/files/8762933/c2900XL-hs-mz-112.8.11-SA6.tar
hxxp://rapidshare.com/files/8762972/c2900XL-html-orig.112.8.11-SA6.tar
hxxp://rapidshare.com/files/8762805/c2950-i6q4l2-tar.121-19.EA1a.tar
hxxp://rapidshare.com/files/8762809/c2950-i6q4l2-tar.121-20.EA1.tar
hxxp://rapidshare.com/files/8762934/c3500xl-c3h2s-tar.120-5.WC9.tar
hxxp://rapidshare.com/files/8762944/c3550-i9q3l2-tar.121-19.EA1a.tar
hxxp://rapidshare.com/files/8761773/C3640-I-Mz_20121-5_20T10.bin
hxxp://rapidshare.com/files/8761779/C3640-Is-Mz.120-4.T.bin
hxxp://rapidshare.com/files/8762380/c3640-is-mz.120-5.bin
hxxp://rapidshare.com/files/8762393/c3640-is-mz.121-11.bin
hxxp://rapidshare.com/files/8762449/c3640-is-mz.122-15.T8.bin
hxxp://rapidshare.com/files/8762413/c3640-is-mz.122-21.bin
hxxp://rapidshare.com/files/8762412/c3640-is-mz.122-7.bin
hxxp://rapidshare.com/files/8761786/C3640-Ix-Mz_20122-15_20T2.bin
hxxp://rapidshare.com/files/8761777/C3660-I-Mz_20121-5_20T8.bin
hxxp://rapidshare.com/files/17008553/c3660-ik9o3s-mz.124-6.T.bin
hxxp://rapidshare.com/files/8761854/C3660-Jsx-Mz_20123-4_20T.bin
hxxp://rapidshare.com/files/8762947/c3750-i9-tar.121-19.EA1c.tar
hxxp://rapidshare.com/files/8762952/c3750-i9-tar.122-18.SE.tar
hxxp://rapidshare.com/files/8762363/c4500-boot-mz.120-4
hxxp://rapidshare.com/files/8762372/c4500-is-mz.112-21.bin
hxxp://rapidshare.com/files/8762482/c4500-js-mz.120-4
hxxp://rapidshare.com/files/8762485/c4500-js56i-mz.120-8.bin
hxxp://rapidshare.com/files/8762462/c5300-boot-mz.120-4.T1
hxxp://rapidshare.com/files/8762471/c5300-i-mz.120-3.T1
hxxp://rapidshare.com/files/8762475/c5300-i-mz.120-5.T1.bin
hxxp://rapidshare.com/files/8762480/c5300-i-mz.121-5.T.bin
hxxp://rapidshare.com/files/8762483/c5300-i-mz.122-1a.bin
hxxp://rapidshare.com/files/8762484/c5300-i-mz.122-2.XA3.bin
hxxp://rapidshare.com/files/8762527/c5300-i-mz.122-2.XB3.bin
hxxp://rapidshare.com/files/8762526/c5300-is-mz.120-4.XJ4.bin
hxxp://rapidshare.com/files/8762530/c5300-is-mz.120-7.T.bin..bin
hxxp://rapidshare.com/files/8762540/c5300-is-mz.122-2.XA3.bin
hxxp://rapidshare.com/files/8762077/C5300-Is-Mz_20123-3.bin
hxxp://rapidshare.com/files/8762536/c5300-j-mz.120-7.T.bin
hxxp://rapidshare.com/files/8762068/C5300-Jk8s-Mz_20v122_201_20Throxxle.cscdt03141
hxxp://rapidshare.com/files/8762553/c5300-jk9s-mz.122-2.XB3.bin
hxxp://rapidshare.com/files/8762545/c5300-js-mz.121-5.T5.bin
hxxp://rapidshare.com/files/8762565/c5300-js-mz.123-1a.bin
hxxp://rapidshare.com/files/8762088/C5300-Js-Mz_20123-3.bin
hxxp://rapidshare.com/files/8762611/c5300-js56i-mz.120-8.bin
hxxp://rapidshare.com/files/8762632/c5300-js56i-mz.121-5.T.bin
hxxp://rapidshare.com/files/8762609/c5800-p4-mz.113-10.AA1.bin
hxxp://rapidshare.com/files/8762630/c5rsm-io3sv56i-mz.121-2.bin
hxxp://rapidshare.com/files/8762579/c5rsm-jsm-mz.120-8.bin
hxxp://rapidshare.com/files/8762100/C7200-Is-Mz_20122-15_20T5.bin
hxxp://rapidshare.com/files/8762619/c7200-js56i-mz.120-8.bin
hxxp://rapidshare.com/files/8762610/c820-k9osy6-mz.122-8.YN.bin
hxxp://rapidshare.com/files/8762614/c820-k9osy6-mz.123-5.bin
hxxp://rapidshare.com/files/8762045/C820-K9osy6-Mz_20122-4_20Ya6.bin
hxxp://rapidshare.com/files/8762050/C820-K9osy6-Mz_20123-4_20T.bin
hxxp://rapidshare.com/files/8762696/c820-ov6y6-mz.122-4.XM4.bin
hxxp://rapidshare.com/files/8762051/C820-Sv6y6-Mz_20122-15_20T5.bin
hxxp://rapidshare.com/files/8762047/C831-k9o3Sy6-Mz_20123-2_20Xc.bin
hxxp://rapidshare.com/files/8762188/C837-k9o3y6-Mz_20122-13_20Zh2.bin
hxxp://rapidshare.com/files/8762926/cat1900EN.9.00.06.bin
hxxp://rapidshare.com/files/8762920/cat1900EN.9.00.06.readme
hxxp://rapidshare.com/files/8762193/Cisco_20IOS_20-_20c1600-nosy-mz.123-1a.bin
hxxp://rapidshare.com/files/8762190/Cisco_20IOS_20-_20c1600-sy-mz.123-1a.bin
hxxp://rapidshare.com/files/8762659/mcom-modem-code_5_3_30.bin
hxxp://rapidshare.com/files/8762660/mica-modem-portware.2.5.1.0.bin
hxxp://rapidshare.com/files/8762658/mica-modem-portware_2_2_3_0.bin
hxxp://rapidshare.com/files/8762662/mica-modem-pw.2.6.1.0.bin
hxxp://rapidshare.com/files/8762664/mica-modem-pw.2.6.2.0.bin
hxxp://rapidshare.com/files/8762665/mica-modem-pw.2.7.1.0.bin
hxxp://rapidshare.com/files/8762667/mica-modem-pw.2.7.2.0.bin
hxxp://rapidshare.com/files/8762792/rsp-boot-mz.120-11.bin
hxxp://rapidshare.com/files/8762799/rsp-boot-mz.121-6.bin
hxxp://rapidshare.com/files/8762860/rsp-jsv-mz.121-6.bin
hxxp://rapidshare.com/files/8762811/rsp-pv-mz.120-11.bin
hxxp://rapidshare.com/files/8762163/TFTPServer1-1-980730.exe
hxxp://rapidshare.com/files/8762155/TOTSWTCH.MIB
hxxp://rapidshare.com/files/8762157/TS020200.DWN
hxxp://rapidshare.com/files/25862116/c3725-ipvoice-mz.123-14.T7.bin
7200 Image “ios”, c7200-adventerprisek9-mz.124-4.T1
hxxp://rapidshare.com/files/14059762/c7200-adventerprisek9-mz.124-4.T1.rar
hxxp://rapidshare.com/files/22837061/pix722.rar.html -
اگر به روتر سیسکو توجه کنید پنج پورت را مشاهده میکنید
1.Console Port
2.AUX Port ( Auxiliary Port)
3.serial Port
4.PRI/BRI(Primary Rate Inetface / Basic Rate Interface )
5.AUI ( Attachment User Interface )
CONSOLE PORT
برای اتصال کامپوتر به روتر جهت پیکربندی روتر استفاده میشود و برای اتصال از rollover cables استفاده میشود.برای پیکربندی از برنامه هایی مثل hyper terminal استفاده میکنیم
AUX PORT
برای اتصال dial up استفاده میکنیم
SERIAL PORT
برای اتصال روتر به روتر و leased line استفاده میشود
PRI/BRI PORT
برای اتصال ISDN استفاده میشود
AUI PORT
برای اتصال روتر به سویچ استفاده میشود
IOS(InterNetwork Operating System)روتر مانند هر سیستم دیگر یک نرم افزار برای ارتباط بین کاربر و سخت افزار احتیاج دارد به آن سیستم عامل IOS میگوییم که بوسیله این سیستم عامل میتوانیم روتر را پیکربندی کنیم
روتر از چهار حافظه اصلی تشکیل شده است
1.RAM(Random Access Memory)
2.ROM(Read Only Memory)
3.NVRAM(Non-Volatile RAM)
4.Flash
RAM
running configuration
حافظه غیر دائم است و زمانی که برق روتر قطع میشود حافظه نیز پاک میشود
ROM
زمانی که دستگاه میخواهد راه اندازی شود ازROM کمک میگیرد و عنصرهای زیر را در بر میگیرد
POST(Power On Self Test)
BootStrap program
rom monitor NVRAM
start configuration
حافظه دائمی است
تنظیمات روتر را در بر میگیرد
FLASH
IOS در flash نصب میشود
--------------------------------------------------------------------------------
The Router Boot sequence
1.برنامه POST سخت افزار روتر را چک میکند.قطعاتی از قبیل memory,cup,interfaceها.POST ذخیره و اجرامیشود ازROM
bootstrap.2 برنامه اي است در ROM که براي اجراي برنامه ها استفاده ميشود,برنامه bootsrap مسئوليت پيدا کردن مکان هر برنامه IOS وload کردن آن ميباشد(بصورت پيشفرض نرم افزار IOS در flash memory همه روترهاي سيسکو موجود ميباشد)سيستم عامل موجود در flash memory به rom انتقال داده ميشود
3.برنامه IOS جستجو میکند یک وضعیت مشخصی در فایل ذخیره شده در NVRAM که این فایل startup-config نامگذاری میشود و این فقط اتفاق می افتد که administratorکپی کند running-config را در NVRAM
4.اگر فایل startup-config در NVRAM باشد روتر فایل را load و سپس اجرا خواهد کرد.اکنون روتر قابل بهره برداری است.اگر یک فایل startup-config در NVRAM نباشد روتر وضعیت setup-mode را شروع خواهد کرد به محض boot شدن
--------------------------------------------------------------------------------اتصال به روتر
ابتدا باید console cable)rollover cable) را متصل کنیم com port را به سیستم و RJ45 را به console port
1.برنامه Heyper Terminal را اجرا میکنیم و اسم مورد علاقه را وارد میکنیم
2.پورت اتصال را انتخاب میکنیم (com1 or com2) هر کدام که در سیستم باز است
3.اکنون port setting را تنظیم میکنیم.جتما باید restore defaults را انتخاب کنیم سپس ok را میزنیم برای اتصال به روتر
زمانی که به (CLI(Command Line Interface وارد میشویم سه mode اصلی در پیش رو دارید که باید اسم و مشخصات آنها را بدانید
1.Router> –>user mode or enable mode
2.Router# –>privileged mode
3.Router(config)# –>global mode
در global mode دو mode دیگر موجود میاشد که هر کدام وظایف خاص خود را دارند
1.interface mode
2.line mode
Interface پورتی است که ip address را تعیین میکنیمline پورتی است که password را تعیین میکنیم
Router Prompt Purpose/Meaning
Router>
user modeRouter#
privileged modeRouter(config)#
Global modeRouter(config-if)#
interface modeRouter(config-line)#
line modeRouter(config-router)#
routing protocol mode--------------------------------------------------------------------------------
ورودی داده به روتر
بعد از اینکه پیغامهای وضعیت interface ظاهر شد و شما enter را زدید پیغام زیر ظاهر میشود
Router>همانطور که قبلا ذکر شد به خط بالا user mode گفته میشود و این اساسا برای مشاهده آمارو همچنین جاپایی است برای ورود به privileged mode
شما فقط میتوانید پیکربندی روتر را در privileged mode مشاهده و تغیر دهید
برای ورود از user mode به privileged mode باید از دستور enable و یا بصورت مخفف en استفاده کنید
Router>
Router>enable
Router#
اکنون شما در privileged mode هستید و میتوانید تغیرات دلخواه را به روتر بدهید.اگر بخواهید به mode قبل (user mode) برگردید میتوانید از فرمان disable استفاده کنید
Router#disable
Router>
شما میتوانید از فرمان logout برای خروج از console استفاده کنید
Router>logout
Router con0 is nowavailable
Pree RETURN to get started
و یا میتوانید از logout و یا exit در privileged mode برای خروج از console استفاده کنید
Router>en
Router#logout
Router con0 is nowavailable
Pree RETURN to get started
--------------------------------------------------------------------------------
Configuration Modesروترهای سیسکو در modeهای مختلفی پیکربندی میشوند از قبیل
privileged mode
global configuration mode
interface configuration mode
ما باید بدانیم در هر mode چه تغیراتی را بدهیم
اکثریت پیکربندی در روترهای سیسکو در global configuration صورت میگیرد
برای استفاده از global mode باید از دستور configure terminal و یا بصورت خلاصه conf t در privileged mode استفاده کنیم
Router>en
Router#conf t
Router(config)#
حال global mode برای تغییرات مورد نظر در دسترس است
توجه داشته باشید تغییرات که در خط #(Router(config میدهید در ram ذخیره میشود وبا توجه به اینکه RAM حافظه غیر دائم است باید تغییرات را به NVRAM که حافظه دائم است منتقل کنیم سپس ذخبره شود. برای انجام ذخیره باید به privileged mode برویم و آنجا (wr(write را اجرا کنیم.برای برگشتن از global mode به privileged mode متوانیم از ctrl+z استفاده کنیم سپس wr را برای ذخیره در NVRAM انجام میدهیم
--------------------------------------------------------------------------------
Interface Configurationinterface mode برای پیکربندی تنظیمات ethernet استفاده میشود
برای دستیابی به interface mode از فرمان interface ethernet 0 و یا بصورت خلاصه int e0 استفاده میکنیم
Router>en
Router#config t
Router(config)#interface ethernet 0 or int e0
Router(config-if)#
--------------------------------------------------------------------------------
Line Configuration
line mode برای پیکربندی تنظیمات (console port,auxiliary port,telnet(virtual terminal portsاستفاده میشودبرای دستیابی به line mode باید از فرمان line console 0 استفاده کنیم
Router>en
Router#config t
Router(config)#line consol 0 or line con0
Router(config-line)#
--------------------------------------------------------------------------------
Help
help همیشه در خط فرمان IOS موجود است زمانی که تایپ کنید ؟میتوانیم مستقیما ؟ را بعد از یک کلمه و یا بیشتر استفاده کنیم سپس خط فرمان به ما command های کامل را که با آن حرف شروع میشود را نشان خواهد داد
بعنوان مثال
Router>en
Router#c?
cd clear clock configure connect copy
or
Router>en
Router#cl?
clear clock
اگر ؟ را با یک فاصله از command قرار دهیم به ما command ثانوی را نشان خواهد داد
Router#clo ?
set set the time and date
-
کی از مهمترین مسائل یک سرویس دهنده اینترنت برای پایداری خاصیت Failover بودن آن است. زیرا خواه ناخواه قطعی لینک و از کار افتادن یک دستگاه وجود دارد، و اگر ما برای این مسیر پشتیبانی در نظر نگیریم هرگز سرویس پایداری نخواهیم داشت.
این امر حتی برای بزرگترین سرویس دهنده های دنیا همچون AT&T نیز وجود دارد. به عنوان مثال سروری آشنا مانند 4.2.2.4 هم از کار خواهد افتاد اما وجود سرور و لینک پشتیبان مانع این احساس می شود که خللی در سرویس دهی آن به وجود آمده است و آن را به یک سرور با Uptime 99.9% تبدیل میکند.
من در این آموزش می خواهم نحوه Failover کزدن 2 لینک اینترنت را آموزش دهم:Failover چیست؟
به زبان ساده Failover یعنی ارتباطی را از طریق یک لینک با کیفیت برقرار نموده و یک لینک دیگری را به صورت standby نگه داریم. که در مواقع قطعی لینک اول به صورت اتوماتیک بر روی لینک دوم switch شود.
این کار با platform های Linux, Mikrotik و Cisco قابل اجراست اما ما در این آموزش بر روی Cisco توضیح خواهم داد.
با یک مثال عملی شروع میکنیم که هم اکنون آن را زیر بار دارم:
یک لینک وایرلس 90 کیلومتری وجود دارد که روی آن 15 مگ اینترنت ارائه داده میشود. به دلیل اینکه این اینترنت متعلق به یک دانشگاه است و روی آن web server قرار دارد 2M لینک پشتیبان بر روی بستر مخابراتی برای آن تعبیه گردیده است .
در سمت سرویس دهنده که سایت A مینامیم یک عدد روتر 3845 و در سمت سرویس گیرنده که سایت B مینامیم یک عدد 2811 وجود دارد. هر کدام دارای 2 Fast Ethernet است که یکی به لینک وایرلس و دیگری به خط مخابراتی متصل است.
آدرس های لینک مخابراتی 2.2.2.1 و 2.2.2.2 و لینک وایرلس 1.1.1.1 و 1.1.1.2 میباشند.
و رنج آدرس 24/ 109.74.224.0 به سمت سایت B رووت شده است.
میبایست روتر ها به گونه ای تنظیم گردند که کیفیت لینک وایرلس مرتبا چک شود و در صورت قطعی بیش از 10 ثانیه ارتباط به لینک مخابراتی منتقل گردد و اگر کیفیت لینک وایرلس به حالت اول برگشت مجددا ارتباط بر دوش آن باشد.
برای روتر سایت A مینویسیم:
ابتدا یک روول برای مانیتورینگ ایجاد میکنیم:
کد PHP:
Ip sla monitor 1
سپس نحوه چک up بودن لینک را مشخص میکنیم. که در این مثال آدرس 1.1.1.2 را مرتبا ping میکند. اگر طی 10 بار هر کدام زیر 4 ثانیه جوابی برگشت خط up بوده وگرنه خط down محسوب می گردد.
کد PHP:
Type echo protocol ipIcmpEcho 1.1.1.2
Frequency 10
Timeout 4000
در دستور زیر زمان اجرا و طول عمر فرایند بالا محاسبه میگردد. که مشخص کرده ایم از هم اکنون و برای همیشه اجرا شود.
کد PHP:
ip sla monitor schedule 1 life forever start-time now
سپس میبایست یک track برای آن بنویسیم تا بتوان بر اساس آن route نوشت.
کد PHP:
Track 1 rtr 1 reachability
سپس نوبت نوشتن route است. ابتدا route را بر روی لینک اصلی مینویسیم و در آخر route , شماره آن track را که رووت مادام up بودن آن track میبایست فعال باشد مینویسیم:
کد PHP:
Ip route 109.74.224.0 255.255.255.0 1.1.1.2 track 1
اکنون باید route لینک backup را با metric 254 یعنی بالاترین metric بنویسیم تا در صورت غیر فعال شده route اول اتوماتیک این route فعال شود.
کد PHP:
Ip route 109.74.224.0 255.255.255.0 2.2.2.2 254
حالا نوبت سایت B رسیده:
دستورات مثل router A هستند اما با تفاوت آدرسها و رووت ها:
کد PHP:
Ip sla monitor 1
در اینجا آدری سایت A باید چک شود:
کد PHP:
type echo protocol ipIcmpEcho 1.1.1.1
frequency 10
timeout 4000
ip sla monitor schedule 1 life forever start-time now
track 1 rtr 1 reachability
default route هنگام OK بودن وضعیت:
کد PHP:
ip route 0.0.0.0 0.0.0.0 1.1.1.1 track 1Default route هنگام قطعی لینک اصلی:
کد PHP:
ip route 0.0.0.0 0.0.0.0 2.2.2.1 254
تنظیمات به پایان رسید. برای آزمایش میتوان آدرس 109.74.224.1 را روی پینگ گذاشت و لینک وایرلس را قطع کرد.
خواهیم دید که پس از 2 request timed out ارتباط از طریق لینک backup برقرار می شود.
برای مشاهده وضعیت failover میتوان از دستور زیر استفاده کرد:
کد PHP:
Show ip sla monitor statistics
که اینچنین خروجی خواهد داد:
کد PHP:
Round trip time (RTT) Index 1
Latest RTT: 8 ms
Latest operation start time: *23:38:31.073 UTC Fri Mar 5 2010
Latest operation return code: OK
Number of successes: 18
Number of failures: 0
Operation time to live: Forever
و در حالت قطعی:
کد PHP:
Round trip time (RTT) Index 1
Latest RTT: NoConnection/Busy/Timeout
Latest operation start time: *23:40:31.073 UTC Fri Mar 5 2010
Latest operation return code: Timeout
Number of successes: 29
Number of failures: 1
Operation time to live: Forever Rased#sh ip sla monitor statistics
Round trip time (RTT) Index 1
Latest RTT: 8 ms
Latest operation start time: *23:49:21.072 UTC Fri Mar 5 2010
Latest operation return code: OK
Number of successes: 42
Number of failures: 41
Operation time to live: Forever
دستوری دیگر برای چک کردن وضعیت:
کد PHP:
sh ip sla monitor operational-state
Entry number: 1
Modification time: *22:35:31.072 UTC Fri Mar 5 2010
Number of Octets Used by this Entry: 2264
Number of operations attempted: 445
Number of operations skipped: 0
Current seconds left in Life: Forever
Operational state of entry: Active
Last time this entry was reset: Never
Connection loss occurred: FALSE
Timeout occurred: FALSE
Over thresholds occurred: FALSE
Latest RTT (milliseconds): 12
Latest operation start time: *23:49:31.072 UTC Fri Mar 5 2010
Latest operation return code: OK
RTT Values:
RTTAvg: 12 RTTMin: 12 RTTMax: 12
NumOfRTT: 1 RTTSum: 12 RTTSum2: 144
نظرات شما در نوشتن آموزشهای بعدی قطعا بی تاثیر نخواهد بود. -
جهت کنترل و تنظیم روتر و یا سوئیچ های شرکت Cisco به استفاده از پروتکل مدیریتی نیاز داریم. مدیران شبکه اغلب از پروتکل Telnet جهت مدیریت از راه دور روتر و سوئیچ های Cisco استفاده می کنند. نقص عمده Telnet در انتقال اطلاعات به صورت Clear-Text می باشد. این نقص به یک Attacker اجازه شنود تمامی اطلاعات جابه جا شده بین دستگاه مدیر شبکه و دستگاه مدیریت شده را می دهد. بدین ترتیب اگر از پروتکل Telnet استفاده کنید، خروجی #show run و در واقع تنضیمات کامل روتر و سوئیچ شما و حتی کلمه عبور مدیر دستگاه توسط یک نرم افزار Sniffer قابل شنود است.
راه حل این مشکل استفاده از پروتکل Secure Shell (SSH) است که تمامی اطلاعات بین دستگاه مدیر شبکه و روتر یا سوئیچ به صورت Encrypt شده منتقل می شود. پروتکل SSH با استفاده از ساختار PKI کار می کند. در این روش اطلاعات با استفاده از Public Key و Private Key روتر و سوئیچ Encrypt می شود.
قبل از راه اندازی SSH می بایست از نسخه IOS ، سیستم عامل روتر و سوئیچ های سیسکو ، اطمینان حاصل کنیم. در واقع، IOS می بایست سیستم Encryption مورد نیاز SSH را پشتیبانی کند. اگر “K9” در اسم فایل IOS موجود باشد، شما قادر به راه اندازی SSH می باشید.
برای کنترل نسخه IOS مورد استفاده بروی روتر یا سوئیچ از دستور #show version استفاده کنید.برای راه اندازی SSH، روتر یا سوئیچ شما نیاز به تنظیم Host Name و Domain Name دارد. جهت انجام این تنظیمات از دستور hostname و ip domain-name استفاده کنید. در این مثال از دستورهای زیر استفاده شده:
config)#hostname Arad-Router)
config)#ip domain-name AsreArad.com)
بر خلاف پروتکل Telnet، برای راه اندازی SSH نیاز به ساختن یک User Account بروی روتر یا سوئیچ داریم. برای این کار می توانید از دستور username در IOS سیسکو استفاده کنید. در این مثال از دستور زیر برای ساختن کاربر با نام admin و بالاترین سطح دسترسی (سطح 15) و کلمه عبور P@ssw0rd استفاده شده:
(config)#username admin privilege 15 secret P@ssw0rd
همانطور که قبلاٌ اشاره شد، SSH برای encrypt کردن ارتباط نیاز به یک کلید دارد. این کلید بوسیله روتر یا سوئیچ شما تولید و استفاده می شود. برای این کار می توانید از دستور crypto key generate rsa استفاده کرد. طول کلید تولید شده می تواند از 360 تا4096 بیت متغیر باشد. هر چه طول کلید بیشتر باشد، امنیت بالاتر ولی Load بروی دستگاه بیشتر خواهد بود. به صورت پیش فرض 512 بیت انتخاب می شود. در این مثال از دستور زیر استفاده شده و طول کلید 1024 بیت انتخاب شده:
(config)# Crypto key generate rsa
لاین vty در واقع درگاه مجازی برای ارتباطات مدیریتی روتر یا سوئیچ می باشد. پروتکل Telnetبه صورت پیش فرض بروی این درگاه تنظیم شده است. برای راه اندازی SSH می بایست این پروتکل را جایگزین Telnet کنیم و authentication جهت اتصال را به Local Database روتر یا سوئیچ که یک user account بروی آن ساختیم ارجاء دهیم. در این مثال از دستورهای زیر استفاده شده:(config)#line vty 0 4
(config-line)#transport input ssh
(config-line)#login local
در مرحله نهایی راه اندازی SSH بروی روتر یا سوئیچ، برای بالا بردن امنیت لازم است که نسخه SSH را به نسخه 2 ارتقاء دهیم. برای ارتقاء نسخه SSH میتوان از دستور ip ssh version 2 استفاده کرد. لازم به ذکر است برای راه اندازی نسخه 2 SSH حداقل طول کلید را باید 768 بیت انتخاب کرده باشید. در این مثال از دستور زیر استفاده شده:
(config)#ip ssh version 2
پس از راه اندازی سرویس SSH، حال می بایست از یک SSH Client جهت اتصال به روتر یا سوئیچ سیسکو استفاده کرد. PuTTY یکی از نرم افزارهایی است که می توان از آن بعنوان SSH Client استفاده کرد. پس از نصب نرم افزار PuTTY، کافیست تا آن را اجرا کنید و در قسمت Host Name(or IP address) آدرس IP روتر یا سوئیچ خود را وارد کنید. مطمئن شوید که در قسمت Connection Type، گزینه SSH را انتخاب شده است. بروی دکمهOpen کلیک کنید تا ارتباط SSH برقرار شود.
(PuTTY Download Page)
در حین برقراری ارتباط ممکن است پیغام امنیتی زیر را از سیستم دریافت کنید. دلیل آن عدم ثبت کلید مورد استفاده توسط SSH بروی سیستم شما می باشد. دکمه Yes را زده و به ارتباط ادامه دهید.پس از برقراری ارتباط و قبل از اتصال کامل به IOS می بایست با شناسه کاربری ساخته شده به روتر یا سوئیچ Login کنید.
-
به یک ارتباط نقطه به نقطه میان یک شبکه گسترده,Tunnel گفته می شود.
یکی از کاربرد های تانل ایجاد امنیت است. وقتی که ما یک تانل در یک شبکه شلوغ ایجاد میکنیم گویی یک راهرو ساخته ایم که فقط به 2 کامپیوتر ختم شده و دور آن را با سیم خاردار احاطه کرده ایم تا از ورود بقیه به این ارتباط دو طرفه جلوگیری کنیم.
یکی دیگر از کاربرد های تانل انتقال IP به آن طرف تانل است. فرض کنید میخواهیم یک پهنای باند را از یک روتر به روتر دیگر انتقال دهیم اما در زمانی که ما بین این 2 چند عدد روتر دیگر وجود داشته باشد. پر واضح است که این دو روتر نمیتوانند از یک رنج IP داشته باشند پس عملا routing بین این دو منتفی میشود.
با ایجاد تانل بین این دو روتر هردو در یک رنج یکدیگر را پینگ میکنند.در ایران امروزه تانل به یکی از مباحث داغ شبکه تبدیل شده است.اول به علت انتقال پهنای باند میان ISP ها از طریق اینترانت و دوم به علت فی لطرینگ حاکم بر اینترنت در ایران.
در مقاله زیر به ایجاد یک نوع تانل ساده و در عین حال قوی به نام IPIP یا IP-in-IP میپردازیم.
در این نوع تانل از هیچ نوع فشرده سازی و کد گزاری استفاده نمیشود بلکه تنها یک header به پکت مربوطه اضافه شده و در مقصد برداشته میشود.
لازم به ذکر است که استاندارد این نوع تانل متعلق به شرکت Cisco System میباشد که بعضی روتر های دیگر نظیر Mikrotik نیز از آن پیروی میکنند.
در آموزش زیر نحوه ایجاد تانل بر روی روتر های Cisco و MikroTik گفته شده است که میتوان در هر طرف از هر کدام از این دو استفاده شود.
ابتدا به ایجاد تانل بر روی روتر های Cisco میپردازیم :
Router1>en
Router1#configure terminal
Router1(config)#Interface tunnel 0
Router1(config-if)#tunnel source 217.219.100.1
Router1(config-if)#tunnel destination 67.205.100.20
Router1(config-if)#tunnel mode IPIP
Router1(config-if)#ip address 192.168.1.1 255.255.255.0
Router1(config-if)#exit
Router1(config)#exit که IP 217.219.100.1 آدرس روتر کنونی و IP 67.205.100.20 آدرس روتر مقصد است.و برای ایجاد اینترفیس تانل در میکروتیک بدین صورت عمل میکنیم:
[Admin@MikroTik] > interface IPIP
[Admin@MikroTik] interface IPIP > add name=tunnel0 local-address= 67.205.100.20 remote-address=217.219.100.1 disabled=no
[Admin@MikroTik] interface IPIP>/
[Admin@MikroTik] > ip address
[Admin@MikroTik] ip address > add address=192.168.1.2/24 interface=tunnel0
[Admin@MikroTik] ip address >/
که میبایست آدرس مقصد و مبدا برعکس روتر اول داده شود.حال تانل ما ایجاد شده است که با دستور :
Router1#ping 192.168.1.2 یا
[Admin@MikroTik] > ping 192.168.1.1
میتوانیم تانل خود را تست کنیم.حال با وجود یک تانل میتوانیم از اینترفیس ها و آدرسهای IP دو طرف عمل routing را انجام دهیم.
نکته:
ایجاد تانل بین 2 عدد Cisco یا 2 عدد MikroTik به همین صورت ممکن است.
-
PPPoE تمامی خاصیت های یک پروتکل PPP را دارد اما با این خصوصیت که بر روی شیکه Ethernet نیز قابل اجراست. یعنی شما میتوانید ارتباطهایی مانند کانکشن PPTP را بر روی لایه 2 داشته باشید.
این پروتکل توسط اولین ISP با هدف تجاری دنیا یعنی UUNET ابداع شده است که اطلاعات کامل این پروتکل با RFC2516 قابل دسترس است.
معمولا ISP ها بیشتر از این پروتکل استفاده می کنند, یکی به دلیل isolation آن و دیگری به دلیل نیاز به کمترین تنظیمات سمت مشترک.اصول کار PPPoE همانند DHCP ست. که طی 4 مرحله کلاینت را به سرور متصل می کند.
(PPPoE Active Discovery Initiation (PADI
این درخواست به صورت broadcast به تمام شبکه ازسال می شود که کلاینت Mac address خود را درون آن می نویسد.(PPPoE Active Discovery Offer (PADO
PPPoE Server پس از دریافت broadcast کلاینت با ذکر Mac address خود به کلاینت یک packet ارسال می کند. که حاوی پیشنهادی برای برقراری ارتباط است.(PPPoE Active Discovery Request(PADR
کلاینت پس از دریافت پیشنهاد PPPoE Server در صورت توافق شرایط یک تائیدیه به وی می فرستد. که شرایط مورد توافق می تواند مسائلی نظیر Authentication protocol یا فعال بودن یا نبودن encryption باشد(PPPoE Active Discovery Session-confirmation(PADS
و در مرحله آخر PPPoE server درخواست کلاینت را با یک تائیدیه قبول میکند و ارتباط برقرار می شود.
با بررسی موارد فوق خواهیم دید که لازمه برقراری یک ارتباط PPPoE وجود یک LAN و امکان ارسال broadcast است.PPPoE server بر روی روتر سیسکو
Cisco همانند همیشه که کاملترین راهکارها را در زمینه Routing می دهد برای PPPoE Server نیز بهترین سرویس را ارائه می دهد. که به نحوه پیکر بندی آن می پردازیم:
این امکان وجود دارد که بر روی sub-interface ها نیز PPPoE Server داشته باشیم که تنظیمات آن با اینترفیس معمولی تفاوتی ندارد.
من نتوانستم آمار دقیقی از مدلهای روتر سیسکو که از PPPoE پشتیبانی می کنند بگیرم اما روی سری های 2800,3600,3700,3800,7000 خودم تست کرده ام.
ابتدا باید VPDN را فعال کنیم:VPDN enable
سپس باید یک vpdn group بسازیم که در بعضی IOS ها میبایست به جای آن از bba group استفاده کرد:
vpdn-group admins
accept-dialin
protocol pppoe
virtual-template 1 که در گروه ساخته شده بالا virtual template 1 برای دیگر تنظیمات به آن معرفی شده است.
و در صورت عدم وجود vpdn-group چنین می نویسیم:
bba-group pppoe global
virtual-template 1
sessions max limit 1400
sessions per-vc limit 1400
sessions per-mac limit 1400
sessions per-vlan limit 1400 اکنون باید یک ip pool برای آدرسهایی که میخواهیم به کلاینت ها داده شود بسازیم:
Ip local pool Persianadmins 172.16.0.10 172.16.0.250حالا میبایست virtual template مورد نظر را config کنیم:
interface Virtual-Template1
mtu 1400
ip unnumbered FastEthernet0
peer default ip address pool Persianadmins
برای کلاینت ها میبایست DNS نیز قرار دهیم پس می نویسیم:Ip name-server 8.8.8.8
Ip name-server 192.9.9.3
بعد از آن باید آدرسهای کلاینت ها را NAT کنیم. بر فرض اینکه آدرس valid روتر 109.74.224.1 باشد می نویسیم:Access-list 10 permit 172.16.0.0 0.0.0.255
Ip nat pool valid 109.74.224.1 109.74.224.1 prefix-length 24
Ip nat inside source list 10 pool valid overloadاینترفیس ورودی و خروجی خود را مشخص می کنیم:
Interface Fastethernet 0/0
ip nat outside
exit
Interface Virtual-Template 1
ip nat inside
و در آخر وارد اینترفیس مربوطه می شویم و بر روی آن PPPoE را enable می کنیم:Int fast0/1
pppoe enable اکنون تمامی کامپیوتر های داخل آن LAN می توانند از طریق کانکشن PPPoE به اینترنت متصل شوند. -
در این کتاب با cli روتر سیسکو به طور مقدماتی آشنا میشین
Cisco_in_Persian_Intro_CLI.pdf -
یکی از ابزارهای قدرتمند دنیای IT است که دقیقا همان کاری را انجام می دهد که از اسم آن بر می آید,به وسیله NAT میتوانیم آدرسهای یک شبکه را به یک شبکه دیگر ترجمه کنیم.
NAT تقریبا در تمامی سیستم عاملها و روتر ها قابل انجام است که هر کدام شیوه و روش خود را دارند.
برای همه متخصصین واضح است که قوی ترین روتر های دنیا Cisco هستند و تقریبا 80 درصد از بستر اینترنت بر روی دستگا های Cisco بنا شده اند. در این آموزش به توضیح مراحل انجام NAT به صورت عملی بر روی سخت افزارهای سیسکو می پردازیم.
از کاربردهای NAT می توان به موارد زیر اشاره کرد:ترجمه IP های Private به Public یا بلعکس
تغییر مرکز سرویس دهنده اینترنت بدون نیاز به تغییر IP ها داخلی
حفاظت از یک شبکه حساس در مقابل برخی حملات خارجی
تغییر پورت مقصد پکتها برای کاربران داخلی به صورت transparent
تعریف برخی اصطلاحات:
Inside Local : به آدرسی (هایی) اطلاق میشود که بر روی کلاینتهای شبکه داخلی تنظیم شده اند.
Inside Global : به آدرسی اطلاق میشود که به اینترفیس داخلی روتر که به شبکه داخلی متصل است داده شده است.
Outside Local : به آدرسهایی که درون اینترنت یا شبکه Public ما قرار دارد گفته می شود.
Outside Global : به آدرسی (هایی) که بر روی اینترفیس خارجی روتر که به شبکه Public متصل است گفته می شود.با یک مثال تصویری با اصطلاحات فوق بیشتر آشنا خواهیم شد.
Static NAT
این نوع NAT به صورت یک به یک عمل میکند. بدین معنی که یک عدد inside-localرا به یک outside-global ترجمه می کند. کاربرد این نوع NAT وقتی است که میخواهیم یک private ip را به یک public ip تبدیل کنیم.
با مثالی عملی این بیشتر توضیح می دهیم.
در مثال فوق یک روتر سیسکو داریم که 2 عدد اینترفیس دارد. یکی سریال که به اینترنت متصل و دومی اترنت که به شبکه داخلی ما وصل شده است.
ما میخواهیم آدرس 10.1.1.1را به 11.11.11.254ترجمه کنیم.
بر روی روتر سیسکو چنین عمل میکنیم:وارد محیط کانفیگ میشویم
config terminal
با این دستور یک NAT استاتیک انجام میدهیمip nat inside source static 10.1.1.1 11.11.11.254
وارد اینترفیس سریال میشویمinterface serial0
این اینترفیس را به عنوان خروجی NAT مشخص میکنیمip nat outside
از اینترفیس خارج می شویمexit
وارد اینترفیس اترنت میشویم
interface Ethernet0
اینترفیس را به عنوان ورودی NAT مشخص میکنیمip nat inside
از اینترفیس و مد کانفیگ خارج میشویمهم اکنون با ست کردن آدرس 10.1.1.1و گیت وی 10.10.10.10روی کلاینت میتوانیم به اینترنت دسترسی داشته باشیم.
Dynamic NATDynamic NAT نیز همانند Static NAT است اما با این تفاوت که در NAT به صورت Dynamic میتوانیم یک یا چندین IP با به چندین IP ترجمه کنیم.
اما چرا چندین IP به چندین IP؟
فرض کنید شما Admin یک ISP هستید و به دلیل کمبود IP نیاز به NAT دارید. بر فرض مثال شما دارای 10 Valid IP و 100 Invalid IP که باید به آنها ترجمه کنید. ممکن است تا کنون برای شما پیش آمده باشد که یوزری تماس گرفته و اعلام نا رضایتی کند از اینکه مدتهای طولانی برای دانلود یک فایل از سایت Rapidshare.com باید انتظار بکشد. این به دلیل این است که سایت Rapidshare.com تمامی یوزرهای شما را به چشم یک کاربر میبیند. برای رفع این مشکل میتوانیم 10 آدرس معتبر را به 100 آدرس غیر معتبر ترجمه کنیم که تا حدود زیادی مشکل را حل خواهد کرد.
در Dynamic NAT معمولا آدرسهای معتبر را به وسیله IP nat pool مشخص و آدرسهای غیر معتبر را توسط یک access-list مشخص میکنیم. دلیل استفاده از access-list ایجاد امنیت بیشتر است.حال با یک مثال به نحوه ایجاد یک Dynamic NAT واقف می شویم:
یک روتر سیسکو داریم که از یک سو توسط اینترفیس سریال به اینترنت متصل گردیده که دارای رنج IP 217.219.109.128/25 و از سوی دیگر توسط اینترفیس اترنت به شبکه داخلی با رنج 172.16.0.0/24 متصل شده است.
آدرس اینترفیس سریال را 217.219.109.129 و آدرس اینترفیس اترنت را 172.16.0.1 قرار میدهیم.
config terminal
ابتدا برای آدرسهای Valid خود یک Pool تهیه می کنیمip nat pool pool1 217.219.109.130 217.219.109.254 prefix-length 25
Prefix-length در مثال بالا همان subnet mask آدرسهای ما می باشد
حال access-list مربوط به آدرسهای داخلی را می نویسیمaccess-list 8 permit 172.16.0.0 0.0.0.255
دستور اصلی NAT را می نویسیمip nat inside source list 8 pool pool1
که در دستور فوق عدد 8 بیانگر آدرسهای داخلی و pool1 مشخص کننده آدرسهای خارجیستinterface serial0
اینترفیس را به عنوان خروجی NAT مشخص میکنیمip nat outside
از اینترفیس خارج می شویمexit
وارد اینترفیس اترنت میشویمinterface ethernet0
اینترفیس را به عنوان ورودی NAT معرفی میکنیمip nat inside
Dynamic NAT به صورت Overload
ممکن است ما به شرایطی بر بخوریم که تنها 1 عدد آدرس Valid در اختیار داریم و اجبار به NAT کردن آدرس مذکور به چندین آدرس را داریم. در چنین شرایطی باید از قابلیت Overload استفاده کنیم.
در این حالت روتر برای ورود و خروج هر آدرس Invalid یک پورت مجزا در نظر می گیرد که تمامی آنها را در جدولی که درون خود تشکیل می دهد به ثبت می رساند. به این ترتیب هر پکت که از روتر به مقصد اینترنت خارج می شود دقیقا در هنگام بازگشت به همان آدرس Invalid که صادر کننده آن است باز میگردد. هر یک خط در جدول مذکور یک کانکشن به حساب می آید. اگر دقت کنید بر روی کاتالوگ بعضی سخت افزارها محدودیتی برای تعداد این کانکشن ها قائل می شوند.در مثال زیر نحوه تنظیم یک روتر به صورت Overload را توضیح می دهیم :
دیاگرام خود را مقداری تغییر می دهیم. در این مثال ما روتر خود را که دارای 3 اینترفیس است به 3 شبکه متصل میکنیم. پورت سریال که به اینترنت متصل و دارای آدرس 80.191.120.8/26 است . اینترفیس ethernet0 به شبکه داخلی اول ما متصل و دارای آدرس 172.16.100.1/24 میباشد و در آخر اینترفیس ethernet1 را داریم که دارای آدرس 192.168.30.1/24 است.
میخواهیم آدرس 80.191.120.8 را به دو سابنت داخلی NAT کنیم:وارد مد کانفیگ می شویم
config terminal
یک pool برای آدرس Valid تهیه میکنیم که تنها 1 آدرس در آن وجود داردip nat pool ovrld 80.191.120.8 80.191.120.8 netmask 255.255.255.192
با access-list زیر آدرسهای 2 رنج داخلی خود را به access-list شماره 3 نسبت می دهیمaccess-list 3 permit 172.16.100.0 0.0.0.255
access-list 3 permit 192.168.30.0 0.0.0.255
دستور اصلی NAT را می نویسیم که کلمه Overload میبایست در آخر آن اضافه شودip nat inside source list 3 pool ovrld overload
اینترفیس خروجی NAT را مشخص میکنیمinterface serial0
ip nat outside
exit
این اینترفیس را به عنوان ورودی NAT مشخص میکنیمinterface ethernet0
ip nat inside
exit
این اینترفیس را به عنوان ورودی NAT مشخص میکنیمinterface ethernet1
ip nat inside
exitهم اکنون آدرس 80.191.120.8 عمل NAT را برای هر دو سابنت ما انجام می دهد.
Destination NAT
dstNAT یا outside source address translation بدین معنی است که ما عمل NAT را برای شبکه Public خود انجام دهیم. با یک مثال قضیه را روشن میکنم:
فرض کنید آدرس IP یکی از مشترکین شما NAT شده است. یعنی مشترک به صورت دستی آدرس را در کامپیوتر خود وارد کرده و default gateway را آدرس اینترفیس داخلی روتر شما قرار داره است. شما قبلا عمل NAT را برای وی انجام داده اید و او را به اینترنت متصل نموده اید. حال مشترک نیاز دارد که کاربری در اینترنت به کامپیوترش وصل شود یا اینکه قصد هاست کردن یک وبسایت بر روی کامپیوتر حود را دارد. با شرایط فعلی این امر امکان پذیر نیست زیرا که آدرس معتبری یر روی آن تنظیم نشده و از اینترنت قابل رویت نیست.
ما برای رفع مشکل این یوزر می بایست عمل dstNAT را انجام دهیم. یعنی به روتر خود بگوئیم هر گاه پکتی با درخواست اتصال به آدرس X را داشت آن را به کامپیوتری در شبکه داخلی با آدرس Y بفرست. بدین ترتیب با داشتن آن آدرس valid میتوانیم به هاست لوکال خود دسترسی پیدا کنیم. این امر نیز به دو صورت static و dynamic قابل اجراست که در مثالهای زیر توضیح داده شده است.
Static dstNATابتدا همانند قبل یک static nat میان 2 آدرس 10.1.1.1 و 11.11.11.254 ایجاد میکنیم
سپس این خط را به تنظیمات خود اضافه میکنیم
ip nat outside source static 11.11.11.254 10.1.1.1
Dynamic dstNATدر این مثال نیز ابتدا تمامی تنظیمات Dynamic NAT را که قبلا گفته شده انجام میدهیم سپس این خط را به آخر آن اضافه میکنیم
ip nat outside source list 8 pool pool1
بدین ترتیب عمل reverse را نیز برای NAT خود انجام میدهیم.
Redirect in NAT
در بعضی مواقع نیاز داریم که یک پورت یا IP را به صورت transparent برای یوزرهای خود عوض کنیم. به عنوان مثال ما در شبکه خود یک وب سرور داریم. این سرور قبلا بر روی پورت 80 کار کرده است اما اکنون به دلایلی مجبور به تعویض پورت آن به 8080 شده ایم. ممکن است آگاه سازی یوزرهای ما برایمان مشکل ساز باشد و بخواهیم بدون هیچ تغییری برای آنها این پورت را عوض کنیم. در چنین مواقعی Redirect به کمک ما می شتابد.
در مثال زیر با چگونگی تنظیمات این نوع NAT آشنا می شویم:در این مثال ما یک روتر سیسکو داریم که 2 اینترفیس سریال و اترنت دارد. که آدرس سریال را 100.100.100.5 و آدرس اترنت را 10.20.30.1 قرار داده ایم.
آدرس وب سرور ما 10.20.30.55 می باشد که در شبکه داخلی ما قرار دارد.
برای Redirect کردن پورت 80 به 8080 بدین صورت عمل میکنیم:config terminal
ip nat inside source static tcp 10.20.30.55 8080 10.20.30.55 80
اینترفیس خروجی NAT را مشخص میکنیمinterface serial0
ip nat outside
exit
این اینترفیس را به عنوان ورودی NAT مشخص میکنیمinterface ethernet0
ip nat inside
exit
حال یک سولوشن دیگر پیاده میکنیم.در شبکه ما یک روتر وجود دارد که دارای 3 اینترفیس است. اینترفیس سریال که آدرس 200.200.200.43 و اینترفیس ethernet0 که آدرس 172.16.10.1 و اینترفیس ethernet1 که آدرس 192.168.0.1 را داراست.
ما در شبکه ای که به اینترفیس ethernet1 متصل شده یک سرور داریم که آدرس آن 192.168.0.6 است. به دلایلی مجبور به تعویض آدرس آن به 192.168.0.12 شده ایم. به دلیل اینکه این سرور مربوط به اتوماسیون اداری ما بوده بسیار کار دشواریست که بر روی 176 کلاینت خود که با این سرور کار میکنند و در شبکه ای که به اینترفیس ethernet0 وصل است آدرس سرور را عوض کنیم.
برای همین به سراغ روتر قدرتمند خود می آئیم و تمامی درخواستهایی را که به مقصد 192.168.0.6 می روند را به 192.168.0.12 هدایت میکنیم.
در زیر نحوه انجام این کار توضیح داده شده است.config terminal
ip nat inside source static 192.168.0.12 192.168.0.6
اینترفیس خروجی NAT را مشخص میکنیمinterface serial0
ip nat outside
exit
این اینترفیس را به عنوان ورودی NAT مشخص میکنیمinterface ethernet0
ip nat inside
exit
این اینترفیس را به عنوان ورودی NAT مشخص میکنیمinterface ethernet1
ip nat inside
exitChange Translation Timeouts
وقتی که ما از Dynamic NAT استفاده می کنیم یک IP به یک IP دیگر نسبت داده می شود. فرضا اگر کلاینت ما 1 ساعت از این IP استفاده کند تا یک مدت بعد این IP خارجی برای وی به صورت رزرو می ماند. اگر بعد از یک پریود زمانی کلاینت ما از آن استفاده نکند به کلاینت دیگری اختصاص داده می شود.
زمان این تاخیر را میتوانیم مشخص کنیم که در حالت Dynamic NAT بدون Overload این زمان به صورت پیش فرض 24 ساعت است.با دستور زیر این امر محقق می شود:
config terminal
ip nat translation timeout 21600
عدد فوق بر اساس ثانیه بوده که در مثال بالا ما این زمان تاخیر را بر روی 6 ساعت تنظیم کرده ایم.همانطور که گفتیم مثال بالا برای حالت Dynamic NAT بدون Overload هست. در حالت Overload چون برای هر یوزر یه آدرس خارجی نداریم مقدار این زمان اصلا مشخص نیست.
در حالت Overload تنها میتوانیم زمان برای پروتکلهای خاص مشخص کنیم:در مثال زیر پروتکلها آورده شده اند:
config terminal
ip nat translation udp-timeout 120
ip nat translation dns-timeout 100
ip nat translation tcp-timeout 480
exitمانیتور کردن NAT درون Router
show ip nat translations
show ip nat statistics -
سوییچینگ لایه ۳ (L3 Switching) و مسیریابی (Routing) هر دو به یک مضمون اشاره دارند : هدایت هوشمند بسته ها بر روی خروجی مناسب براساس آدرسهای جهانی و سرآیندی که در لایه ۳ به داده ها اضافه شده است. منظور از هدایت هوشمند نیز آن است که الگوریتمی بکار گرفته می شود تا کوتاهترین و بهینه ترین مسیرها محاسبه شده و براساس آن مسیر خروج بسته ها انتخاب گردد.
اگر چه مضمون این دو عبارت یکی است ولی هرگز در کلام یک متخصص شبکه سوییچ لایه ۳ و مسیریاب Router یکسان تلقی نمی شود و با هم فرق اساسی دارند. مسیریاب چیز دیگری است و سوییچ لایه ۳ چیزی دیگر, هرچند هر دو یک کار مشابه انجام می دهند.!! حال به تفاوتها می پردازیم:
مسیریاب بر خلاف سوییچ لایه ۳ تعداد کانال ورودی/خروجی محدودی دارد ولی در عوض قادر است از انواع و اقسام پروتوکلهای مسیریابی ساده و پیچیده حمایت کرده و خود را با انواع متنوع خطوط WAN مثل ISDN , Frame Relay,ATM, SONET, یا X.25 تطبیق داده و از پروتوکلهای متعدد نقطه به نقطه پشتیبانی کند. لذا مسیریاب یک ابزار کاملا پیچیده و در عین حال بسیار منعطف و قابل پیکربندی در شرایط مختلف است. در ضمن یک مسیریاب میتواند با پروتوکلعای مختلف لایه ۳ مثل IP,IPX و یا نظایر آن کارکند.
سوییچ لایه ۳ عموما یک سوییچ با تعداد زیادی پورت همنوع (عموما پورت اترنت) است که ضمن آنکه می تواند داده ها را در لایه ۲ و بر اساس آدرس MAC بین پورتها هدایت کند می تواند همین کار را نیز براساس آدرس های جهانی درج شده در سرآیند بسته ها در لایه ۳ انجام بدهد. ولی در عوض از خطوط متنوع WAN حمایت چندانی نمی کنند و انعطاف زیادی در پیکربندی آن در محیطهای مختلف با توپولوژی پیچیده و پروتوکلهای قدرتمند ندارد.
سوییچ لایه ۳ عموما فقط یک سوییچ اترنت است که از فرآیند مسیریابی برای ایجاد ارتباط بین VLANها و تفکیک حوزه پخش فراگیر (Broadcast Domain) و افزایش سطح کنترل و نظارت بر دسترسی و *****ینگ بسته , استفاده می کند و فضا و توپولوژی شبکه ای که در آن مسیریابی صورت می گیرد چندان گسترده و غیرهمگن نیست.
یک سوییچ لایه ۳ در مقایسه با تعداد پورت و سرعتی که دارد بسیار ارزانتر از یک مسیریاب تمام می شود. به عنوان مثال یک سوییچ catalyst 3550-24 دارای ۲۴ پورت اترنت ۱۰۰ Mbps است و می تواند در هر ثانیه ۶.۶ میلیون بسته را بین پورتها هدایت نماید و ضمن حمایت از VLAN , بین آن ها مسیریابی انجام دهد. چنین سوییچی را امروزه میتوان با قیمتی حدود دو میلیون تومان خرید (قیمت جهت مقایسه است و مربوط به تاریخ خاصی نمی باشد) درحالیکه یک مسیریاب نمونه مثل cisco 7300 با ظرفیت هدایت ۳.۵ میلیون بسته در ثانیه که تنها دو پورت اترنت گیگابیت دارد به قیمتی حدود ۱۰ میلیون تمام می شود. یعنی با ظرفیتی حدود نصف ظرفیت هدایت یک سوییچ ۳۵۵۰ قیمتی حدود پنج برابر آن دارد ولی درعوض می تواند از خطوط WAN و پروتوکلهای بسیار متنوع و پیچیده حمایت کند.
نظر به آنکه عملیات مسیریابی در یک سوییچ در سطح بسیار ساده و عموما برای مسیریابی بین VLAN ها انجام میگیرد لذا می توان در یک سوییچ لایه ۳ با استفاده از مدارات مجتمع (ASIC (Application Specific Integrated Circuits که صرفا برای عمل مسیریابی در سطح سخت افزار طراحی و ساخته می شود سرعت هدایت بسته ها را تا حد بسیار بالایی افزایش داد. در حالی که در یک مسیریاب با پروتوکلهای پیشرفته و بسیار وسیعی که پشتیبانی میکند نمی توان به سادگی و با طراحی مدارات مجتمع ساده و ارزان به یک سوییچ لایه ۳ با سرعت هدایت بالا دست یافت. سطح عملیات قابل انجام توسط یک مسیریاب و انواع واسطهای شبکه درآن به قدری وسیعند که یک سخت افزار واحد ASIC و پیش برنامه ریزی شده(Preprogrammed) نمی تواند این عملیات را به تنهایی انجام بدهد. لاجرم یک مسیریاب باید بخش بزرگی از عملیات سطح نرم افزار و به کمک پردازنده های همه منظوره انجام گیرد که سرعت کمتری نسبت به پردازنده های خاص منظوره ASIC دارند. برای بالا بردن سرعت هدایت یک مسیریاب باید از پردازش موازی در محیطی چند پردازنده بهره گرفته شود که همین موضوع قیمت مسیریاب را بشدت افزایش خواهد داد.
یک مسیریاب را می توان در طراحی ستون فقرات شبکه های WAN بکارگرفت ولی سوییچ لایه ۳ عموما زیرساخت شبکه های محلی پردیس (Campus LAN )به کار می آید.
به دلیل تنوع و تفرق زیاد در خطوط ارتباطی یک مسیریاب , عموما نمی توان یک مسیریاب را برای سوییچینگ لایه ۲ پیکربندی کرد.به عنوان جمع بندی باید اشاره کنم که سوییچ لایه ۳ سوییچی است که میتواند در یک محیط همگن مثل اترنت, باسرعتی نزدیک به سوییچینگ لایه ۲ , بسته ها را بین پورتها هدایت کند و نظر به سرراست بود محیطی که در آن فرآیند فرآیند سوییچینگ انجام میگیرد می توان این کاررا سطح سخت افزار و با پردازنده های خاص منظوره ASIC انجام داد.
-
ACL یک لیست از قوانین است که قرار داده میشود بر روی روتر برای ورود و یا خروج ترافیک
برای هر interface میتوانیم دو ACL را پیوست کنیم
in bound
out boubd
In bound
ورود Packet را به دستگاه inbound گوییمOut bound
خروج packet را از دستگاه out bound گوییم
دو نوع عمده ACL به قرار زیر میباشد
Standard access lists
Extended access lists
Standard ACL
در standard ACL ما میتوانیم تنها به آدرس Source رجوع کنیم و نمیتوانیم به آدرس مقصد و سرویسها رجوع کنیم
اگر packet به روتر وارد شود آن میشود sourceStandard ACL ID
Range از 99-1 میباشد که برای Standard ACL استفاده میشود
Syntax:
RA(config)#access-lis access-id action(permit or deny) source-address wild card maskبطور مثال میخواهیم سناریوی زیر را در روتر A اجرا کنیم
ip 192.168.20.2 را Permit میدهیم و ip 192.168.20.3 را deny میکنیم
RA(config)#access-list 10 permit 192.168.20.2 0.0.0.0
RA(config)#access-list 10 deny 192.168.20.3 0.0.0.0
RA(config)#int s0
RA(config-if)#ip access-group 10 in
توجه داشته باشید in همان inbound میباشدحال سناریوی زیر را برای Router B اجرا میکنیم
به تمامی سیستم های روتر A permit میدهیم و تمامی سیستمهای روتر C را deny میکنیم
RB(config)#access-list 11 permit 192.168.10.0 0.0.0.255
RB(config)#int s0
RB(config-if)#ip access-group 11 in
RB(config)#access-list 12 deny 192.168.30.0 0.0.0.255
RA(config)#int s1
RA(config-if)#ip access-group 12 in
Extended ACL
در extended Acl میتوانیم به آدرس source و به آدرس مقصد و سرویسها رجوع کنیمEctended ACL ID
range از 199-100 میباشد که برای Extended استفاده میشودSyntax
RA(config)#access-lis access-id action(permit or deny) protocol source-address wild-card-mask Destination-address Destination-wild-card parameters port-number -
در ميان محصولات شبکه, Cisco آشناترين و محبوبترين نام را دارد. محصولات Cisco معمولا" بهترين و مطمئن ترين ابزارهاي شبکه هستند. با داشتن يک روتر Cisco بعيد است مدير يک شبکه در حل مسائل و مشکلات خود به بن بست برسد. چرا که Cisco براي هر مسئله اي راه حلي را پيشنهاد کرده است.
ما در اينجا تنها مقداري درباره روترهاي Cisco بحث مي کنيم و وارد ساير محصولات Cisco نمي شويم.
بديهي است پرداختن به جزئيات کامل روترهاي Cisco نيز امکان پذير نيست. براي آگاهي کامل از محصولات و هر يک از تجهيزات Cisco مي توانيد به سايت cisco.com مراجعه نماييد.
امروزه استفاده از روترهاي Cisco به منظور برقراري ارتباط کاربران با ISP از جمله رايج ترين روشهاي موجود است. علاوه بر اين روترهاي Cisco مي توانند به منظورهاي مختلفي نظير Firewall , Routing , VoIP , ... مورد استفاده قرار گيرند.
روترهاي Cisco داراي مدلهاي مختلفي بوده که برخي از آنها به اختصار عبارتند از :Cisco 2511:
اين مدل داراي 1 ماژول Ethernet مي باشد.
ــ براي اتصال خط Leased داراي پورت سريال Onboard است.
ــ مــيزان Ram آن4 الي 8 مــگابايت مي باشد و امکان افزايش را نيز داراست.
ــ ميزان Flash آن8 الي 16 مگابايت بوده و امکان تعويض يا افزايش را نيز داراست.
ــ ماژول نمي توان به آن اضافه کرد. اما مي توان 2 پورت سريال براي اتصال خط Leased يا E1/T1 به آن اضافه کرد.
ــ سرعت Ethernet آن 10 Mb/s مي باشد.Cisco 26XX:
ــ اين مدل داراي 1 پورت يا 2 پورت Ethernet مي باشد.
ــ بــراي اتــصــال خــط Leased به کارت سريال WIC1T يا WIC2T نياز است.
ــ ميزان Ram آن حداقل 16 و حداکثر 256 مگابايت مي باشد.
ــ ميزان Flash آن حـــداقل 8 و حـــداکثر 128 مگابايت مي باشد.
ــ حداکثر 1 ماژول مي توان به آن اضافه کرد.
ــ حداکثر 2 کارت WIC مي توان به آن اضافه کرد.
ــ سرعت Ethernet آن 100/10 يا10 مي باشد.Cisco 36XX:
ــ اين مدل داراي 1 پورت يا 2 پورت Ethernet مي باشد.
ــ براي اتصال خط Leased به آن به ماژول NM-1FE2W و کارت سريال WIC1T يا WIC2T نياز است
ــ مــيزان Ram آن 32 مــي باشــد و امــکان افــزايش را نيز داراست.
ــ ميزان Flash آن 8 بوده و امکان تعويض يا افزايش را نيز داراست.
ــ حداکثر 6 ماژول مي توان به آن اضافه کرد.
ــ سرعت Ethernet آن 100 مي باشد.Cisco 5300:
ــ اين مدل Router نبوده و فقط Access Server مي باشد.
ــ داراي 2 پورت Ethernet است. يکي با سرعت 10 و ديگري با سرعت 100 است.
ــ خط Leased نمي توان به آن اضافه کرد.
ــ ميزان Ram آن 64 مي باشد و امکان افزايش را نيز داراست.
ــ ميزان Flash آن 16 بوده و امکان تعويض يا افزايش را نيز داراست.
ــ حداکثر 3 ماژول مي توان به آن اضافه کرد.
ــ حداکثر 4 خط E1 مي توان به آن اضافه کرد. (براي 120 خط VoIP همزمان)Cisco 5350:
ــ اين مدل داراي 2 پورت Ethernet با سرعت 10/100 مي باشد.
ــ حداکثر 7 خط E1 مي توان به آن اضافه کرد.
ــ داراي دو سريال پورت Onboard است که از آن مي توان براي اتصال خط Leased استفاده کرد.
ــ ميزان Ram آن 128 مگابايت مي باشد و امکان افزايش را نيز داراست.
ــ ميزان Flash آن 32 مگابايت بوده و امکان تعويض يا افزايش را نيز داراست.
ــ حداکثر 3 ماژول مي توان به آن اضافه کرد.
ــ حداکثر 7 خط E1 مي توان به آن اضافه کرد.Cisco 1750:
ــ اين مدل داراي 1 ماژول Ethernet مي باشد.
ــ به اين مدل مي توان 2 کارت WAN اضافه کرد.
ــ مورد استفاده آن فقط به منظور Voice Gateway است.
ــ براي اتصال خط Leased به آن بايد ماژول WIC به آن اضافه کرد.
ــ ميزان Ram آن16 مگابايت مي باشد و امکان افزايش را نيز داراست.
ــ ميزان Flash آن 4 مگابايت بوده و امکان تعويض يا افزايش را نيز داراست.
ــ با استفاده از کارتهاي VIC-2FXO مي توان از حداکثر 4 خط به منظور VoIP استفاده کرد.
ــ ماژول نمي توان به آن اضافه کرد.
ــ سرعت Ethernet آن10/100 مي باشد.Cisco Vg200:
ــ اين مدل داراي 1 ماژول Ethernet مي باشد.
ــ مورد استفاده آن فقط به منظور Voice Gateway است.
ــ اتصال خط Leased به آن ممکن نيست.
ــ ميزان Ram آن16مگابايت مي باشد و امکان افزايش را نيز داراست.
ــ ميزان Flash آن 4مگابايت بوده و امکان تعويض يا افزايش را نيز داراست.
ــ حداکثر 1 ماژول مي توان به آن اضافه کرد.
ــ سرعت Ethernet آن 100/10 مي باشد.همانگونه که گفته شد روترهاي Cisco نسبت به ساير روترها قابليت انعطاف پذيري بيشتري داشته و ماژول هاي مختلفي مي توان بر روي آنها نصب کرد و به منظورهاي مختلف از آنها استفاده نمود. از ميان انواع ماژولهايي که مي توان بر روي روترهاي Cisco نصب کرد مي توان به موارد زير اشاره کرد :
NM16AM: ماژول Data براي 16 خط تلفن به همراه 16 مودم Internal با سرعت 56Kb/s مي باشد.
NM32A: ماژول Data براي 32 خط تلفن بدون مودم Internal مي باشد. اگر از اين ماژول استفاده شود بايد 32 مودم External به روتر وصل شود.
NM16A: ماژول Data براي 16 خط تلفن بدون مودم Internal مي باشد. اگر از اين ماژول استفاده شود بايد 16 مودم External به روتر وصل شود.
NM-HDV-2E1: بوسيله اين ماژول 2 خط E1 را مي توان به روتر متصل کرد.
NM-HDV-1E1: بوسيله اين ماژول مي توان 1 خط E1 به روتر متصل کرد.
, NM-HDV-1E1e همانند NM-HDV-1E1 بوده با اين تفاوت که DSP Proccessor آن قوي تر است.NM-HDV-1T1: بوسيله اين ماژول مي توان 1 خط T1 به روتر متصل کرد.
NM-HDV-2T1: بوسيله اين ماژول مي توان 2 خط T1 به روتر متصل کرد.
NM-2V: ماژولي است که روي روتر نصب مي شود و به آن مي توان 2 کارت FXO يا FXS وصل کرد.
VIC-2FXO: بوسيله اين کارت مي توان دو خط آنالوگ معمولي را به منظور VoIP به روتر وصل کرد.
VIC-2FXS: همانند FXO بوده با اين تفاوت که به ماژول FXO خطوط تلفن شهري (PSTN) وصل مي شود اما به ماژول FXS مستقيما" گوشي تلفن وصل مي شود.
RAM: روترها هم مثل کامپيوترها داراي Ram مخصوصي بصورت ماژول در ظرفيتهاي 8 , 16 و 32 و ... مگابايتي مي باشند.
Flash FLASH: در حقيقت به منزله يک Hard Disk کوچک براي روترها بوده و ظرفيت آن پايين است. Flash و Ram هردو بر روي Board اصلي روتر سوار مي شوند.
NM-1FE2W: ماژولي است که معمولا" روي روترهاي سري 3600 نصب مي شود و يک پورت Fast Ethernet و دو پورت WAN (سريال) به روتر اضافه مي کند. (البته کارت WIC1T يا WIC2T هم لازم است)
NM-2FE2W: ماژولي است که معمولا" روي روترهاي سري 3600 نصب مي شود و دو پورت Fast Ethernet و دو پورت WAN (سريال) به روتر اضافه مي کند. (البته کارت WIC1T يا WIC2T هم لازم است)
WIC1T: با اتصال اين کارت به روتر يک پورت سريال Wan به روتر اضافه مي شود.
WIC2T: با اتصال اين کارت به روتر دو پورت سريال Wan به روتر اضافه مي شود.
ذکر اين نکته لازم است که ماژولهايي را که مي توان بر روي روترهاي Cisco نصب کرد خيلي بيشتر از موارد ذکر شده مي باشند. اما عملا" ماژولهاي فوق بيش از ساير ماژولها کاربرد دارند.
Cisco IOS: به سيستم عامل روترها IOS گفته مي شود. IOS ها براي مدلهاي مختلف Router متفاوت بوده و براي هر مدل هم داراي ورژنهاي مختلفي است.
-
نام یک IOS از سه قسمت تشکیل شده است :
1.platform identifier ( مشخص کننده سری Device)
2.feature set ( قابلیت ها )
3.image execution location (محل اجرای فایل image )1.platform identifier : نوعی سخت افزاری که این image برای اون ساخته شده رو مشخص می کند
2.feature set : قابلیت های ویژه ای هست که توسط این image پشتیبانی می شود . این قابلیت ها توسط خود device باید که پشتیبانی بشه . این امکان هست که در بعضی مواقع چندین قابلیت توسط یک image پشتیبانی بشه.
3.image execution location : مشخص می کند که image در کدام قسمت حافظه router قرار گرفته است. -
جهت کنترل و تنظیم روتر و یا سوئیچ های شرکت Cisco به استفاده از پروتکل مدیریتی نیاز داریم. مدیران شبکه اغلب از پروتکل Telnet جهت مدیریت از راه دور روتر و سوئیچ های Cisco استفاده می کنند. نقص عمده Telnet در انتقال اطلاعات به صورت Clear-Text می باشد. این نقص به یک Attacker اجازه شنود تمامی اطلاعات جابه جا شده بین دستگاه مدیر شبکه و دستگاه مدیریت شده را می دهد. بدین ترتیب اگر از پروتکل Telnet استفاده کنید، خروجی #show run و در واقع تنضیمات کامل روتر و سوئیچ شما و حتی کلمه عبور مدیر دستگاه توسط یک نرم افزار Sniffer قابل شنود است.
راه حل این مشکل استفاده از پروتکل Secure Shell (SSH) است که تمامی اطلاعات بین دستگاه مدیر شبکه و روتر یا سوئیچ به صورت Encrypt شده منتقل می شود. پروتکل SSH با استفاده از ساختار PKI کار می کند. در این روش اطلاعات با استفاده از Public Key و Private Key روتر و سوئیچ Encrypt می شود.
قبل از راه اندازی SSH می بایست از نسخه IOS ، سیستم عامل روتر و سوئیچ های سیسکو ، اطمینان حاصل کنیم. در واقع، IOS می بایست سیستم Encryption مورد نیاز SSH را پشتیبانی کند. اگر “K9” در اسم فایل IOS موجود باشد، شما قادر به راه اندازی SSH می باشید.
برای کنترل نسخه IOS مورد استفاده بروی روتر یا سوئیچ از دستور #show version استفاده کنید.برای راه اندازی SSH، روتر یا سوئیچ شما نیاز به تنظیم Host Name و Domain Name دارد. جهت انجام این تنظیمات از دستور hostname و ip domain-name استفاده کنید. در این مثال از دستورهای زیر استفاده شده:
config)#hostname Arad-Router)
config)#ip domain-name AsreArad.com)بر خلاف پروتکل Telnet، برای راه اندازی SSH نیاز به ساختن یک User Account بروی روتر یا سوئیچ داریم. برای این کار می توانید از دستور username در IOS سیسکو استفاده کنید. در این مثال از دستور زیر برای ساختن کاربر با نام admin و بالاترین سطح دسترسی (سطح 15) و کلمه عبور P@ssw0rd استفاده شده:
(config)#username admin privilege 15 secret P@ssw0rd
همانطور که قبلاٌ اشاره شد، SSH برای encrypt کردن ارتباط نیاز به یک کلید دارد. این کلید بوسیله روتر یا سوئیچ شما تولید و استفاده می شود. برای این کار می توانید از دستور crypto key generate rsa استفاده کرد. طول کلید تولید شده می تواند از 360 تا4096 بیت متغیر باشد. هر چه طول کلید بیشتر باشد، امنیت بالاتر ولی Load بروی دستگاه بیشتر خواهد بود. به صورت پیش فرض 512 بیت انتخاب می شود. در این مثال از دستور زیر استفاده شده و طول کلید 1024 بیت انتخاب شده:
(config)# Crypto key generate rsaلاین vty در واقع درگاه مجازی برای ارتباطات مدیریتی روتر یا سوئیچ می باشد. پروتکل Telnetبه صورت پیش فرض بروی این درگاه تنظیم شده است. برای راه اندازی SSH می بایست این پروتکل را جایگزین Telnet کنیم و authentication جهت اتصال را به Local Database روتر یا سوئیچ که یک user account بروی آن ساختیم ارجاء دهیم. در این مثال از دستورهای زیر استفاده شده:
(config)#line vty 0 4
(config-line)#transport input ssh
(config-line)#login localدر مرحله نهایی راه اندازی SSH بروی روتر یا سوئیچ، برای بالا بردن امنیت لازم است که نسخه SSH را به نسخه 2 ارتقاء دهیم. برای ارتقاء نسخه SSH میتوان از دستور ip ssh version 2 استفاده کرد. لازم به ذکر است برای راه اندازی نسخه 2 SSH حداقل طول کلید را باید 768 بیت انتخاب کرده باشید. در این مثال از دستور زیر استفاده شده:
(config)#ip ssh version 2پس از راه اندازی سرویس SSH، حال می بایست از یک SSH Client جهت اتصال به روتر یا سوئیچ سیسکو استفاده کرد. PuTTY یکی از نرم افزارهایی است که می توان از آن بعنوان SSH Client استفاده کرد. پس از نصب نرم افزار PuTTY، کافیست تا آن را اجرا کنید و در قسمت Host Name(or IP address) آدرس IP روتر یا سوئیچ خود را وارد کنید. مطمئن شوید که در قسمت Connection Type، گزینه SSH را انتخاب شده است. بروی دکمهOpen کلیک کنید تا ارتباط SSH برقرار شود.
(PuTTY Download Page)
در حین برقراری ارتباط ممکن است پیغام امنیتی زیر را از سیستم دریافت کنید. دلیل آن عدم ثبت کلید مورد استفاده توسط SSH بروی سیستم شما می باشد. دکمه Yes را زده و به ارتباط ادامه دهید.
پس از برقراری ارتباط و قبل از اتصال کامل به IOS می بایست با شناسه کاربری ساخته شده به روتر یا سوئیچ Login کنید. -
لیست دستورات و کامند های تجهیزات سیسکو
این مطلب حاوی لیست بسیاری از کامند های متداول در تجهیزات سیسکو شامل روتر ها و سوئیچ های این شرکت میباشد و برای کسانیکه میخواهند در آزمونهای شرکت سیسکو مانند CCNA , CCNP (BSCI,BCMSN,ISCW,ONT) , CCSP ( SND, SNRS , SNPA , IPS , CS*** ) , CCIE (SECURITY/ROUTING & SWITCHING/VOICE )
شرکت کنند بسیار ضروری میباشد . امید است مورد توجه بازدید کنندگان عزیز واقع شود .
IOS Commands
Privileged Mode
enable - get to privileged mode
disable - get to user mode
enable password - sets privileged mode password
enable secret - sets encrypted privileged mode passwordSetting Passwords
enable secret - set encrypted password for privilegedaccess
enable password - set password for privileged access (used when there is no enable secret and when using older software)
Set password for console access:
(config)#line console 0
(config-line)#login
(config-line)#password
Set password for virtual terminal (telnet) access (password must be set to access router through telnet):
(config)#line vty 0 4
(config-line)#login
(config-line)#passwordSet password for auxiliary (modem) access:
(config)#line aux 0
(config-line)#login
(config-line)#passwordConfiguring the Router
sh running-config - details the running configuration file (RAM)
sh startup-config - displays the configuration stored in NVRAM setup - Will start the the automatic setup; the same as when you first boot the router
config t - use to execute configuration commands from the terminal
config mem - executes configuration commands stored in NVRAM; copies startup-config to running-config
config net - used to retrieve configuration info from a TFTP server
copy running-config startup-config - copies saved config in running config (RAM) to NVRAM or "write memory" for IOS under ver.11
copy startup-config running-config - copies from non-volatile (NVRAM) to current running config (RAM)
boot system flash - tells router which IOS file in flash to boot from
boot system tftp - tells router which IOS file on the tftp server to boot from
boot system rom - tell router to boot from ROM at next boot
copy flash tftp - Copies flash to tftp server
copy tftp flash - Restores flash from tftp server
copy run tftp - Copies the current running-config to tftp server
copy tftp run - Restores the running-config from tftp serverGeneral Commands
no shutdown - (enables the interface)
reload - restarts the router
sh ver - Cisco IOS version, uptime of router, how the router started, where system was loaded from, the interfaces the POST found, and the configuration register
sh clock - shows date and time on router
sh history - shows the history of your commands
sh debug - shows all debugging that is currently enabled
no debug all - turns off all debugging
sh users - shows users connected to router
sh protocols - shows which protocols are configured
banner motd # Your_message # - Set/change banner
hostname - use to configure the hostname of the router
clear counters - clear interface counters
Processes & Statistics
sh processes - shows active processes running on router
sh process cpu - shows cpu statistics
sh mem - shows memory statistics
sh flash - describes the flash memory and displays the size of files and the amount of free flash memory
sh buffers - displays statistics for router buffer pools; shows the size of the Small, Middle, Big, Very Big, Large and Huge Buffers
sh stacks - shows reason for last reboot, monitors the stack use of processes and interrupts routinesCDP Commands (Cisco Discovery Protocol uses layer 2 multicast over a SNAP-capable link to send data):
sh cdp neighbor - shows directly connected neighbors
sh cdp int - shows which interfaces are running CDP
sh cdp int eth 0/0 - show CDP info for specific interface
sh cdp entry - shows CDP neighbor detail
cdp timer 120 - change how often CDP info is sent (default cdp timer is 60)
cp holdtime 240 - how long to wait before removing a CDP neighbor (default CDP holdtime is 180)
sh cdp run - shows if CDP turned on
no cdp run - turns off CDP for entire router (global config)
no cdp enable - turns off CDP on specific interfaceMiscellaneous Commands
sh controller t1 - shows status of T1 lines
sh controller serial 1 - use to determine if DCE or DTE device
(config-if)#clock rate 6400 - set clock on DCE (bits per second)
(config-if)#bandwidth 64 - set bandwidth (kilobits)IP Commands
Configure IP on an interface:
int serial 0
ip address 157.89.1.3 255.255.0.0
int eth 0
ip address 2008.1.1.4 255.255.255.0
Other IP Commands:
sh ip route - view ip routing table
ip route [administrative_distance] - configure a static IP route
ip route 0.0.0.0 0.0.0.0 - sets default gateway
ip classless - use with static routing to allow packets destined for unrecognized subnets to use the best possible route
sh arp - view arp cache; shows MAC address of connected routers
ip address 2.2.2.2 255.255.255.0 secondary - configure a 2nd ip address on an interface
sh ip protocolIPX Commands
Enable IPX on router:
ipx routing
Configure IPX + IPX-RIP on an int:
int ser 0
ipx network 4A
Other Commands:
sh ipx route - shows IPX routing table
sh ipx int e0 - shows ipx address on int
sh ipx servers - shows SAP table
sh ipx traffic - view traffic statistics
debug ipx routing activity - debugs IPS RIP packets
debug ipx sap - debugs SAP packetsRouting Protocols
Configure RIP:
router rip
network 157.89.0.0
network 208.1.1.0
Other RIP Commands:
debug ip rip - view RIP debugging info
Configure IGRP:
router IGRP 200
network 157.89.0.0
network 208.1.1.0
Other IGRP Commands:
debug ip igrp events - view IGRP debugging info
debug ip igrp transactions - view IGRP debugging infoAccess Lists
sh ip int ser 0 - use to view which IP access lists are applies to which int
sh ipx int ser 0 - use to view which IPX access lists are applies to which int
sh appletalk int ser 0 - use to view which AppleTalk access lists are applies to which int
View access lists:
sh access-lists
sh ip access-lists
sh ipx access-lists
sh appletalk access-lists
Apply standard IP access list to int eth 0:
access-list 1 deny 200.1.1.0 0.0.0.255
access-list 1 permit any
int eth 0
ip access-group 1 in
Apply Extended IP access list to int eth 0:
access-list 100 deny tcp host 1.1.1.1 host 2.2.2.2 eq 23
access-list 100 deny tcp 3.3.3.0 0.0.0.255 any eq 80
int eth 0
ip access-group 100 out
Apply Standard IPX access list to int eth 0:
access-list 800 deny 7a 8000
access-list 800 permit -1
int eth 0
ipx access-group 800 out
Apply Standard IPX access list to int eth 0:
access-list 900 deny sap any 3378 -1
access-list 900 permit sap any all -1
int eth 0
ipx access-group 900 out
------------------------------------------------------------------------
Wan Configurations
PPP Configuration
encapsulation ppp
ppp authentication
ppp chap hostname
ppp pap sent-username
sh int ser 0 - use to view encapsulation on the interfaceFrame-Relay Configuration
encapsulation frame-relay ietf - use IETF when setting up a frame-relay network between a Cisco router and a non-Cisco router
frame-relay lmi-type ansi - LMI types are Cisco, ANSI, Q933A; Cisco is the default; LMI type is auto-sensed in IOS v11.2 and up
frame-relay map ip 3.3.3.3 100 broadcast - if inverse ARP won't work, map Other IP to Your DLCI # (local)
keepalive 10 - use to set keepalive
sh int ser 0 - use to show DLCI, LMI, and encapsulation info
sh frame-relay pvc - shows the configured DLCI's; shows PVC traffic stats
sh frame-relay map - shows route maps
sh frame-relay lmi - shows LMI info
Keyboard Shortcuts
CTRL-P - show previous command
CTRL-N - show next command
SHIFT-CTRL-6 - Break
NotesStatic and Dynamic Routing
Static Routing - manually assigned by the Admin user entering the routes (Routed Protocols - IP, IPX and AppleTalk)
Dynamic Routing - generated/determined by a Routing Protocol (Routing Protocols - RIP I, RIP II, IGRP, EIGRP, OSPF, NLSP, RTMP)
Dynamic
1) With Dynamic Routing, routers pass information between each other so that routing tables are regularly maintained.
2) The routers then determine the correct paths packets should take to reach their destinations.
3) Information is passed only between routers.
4) A routing domain is called an Autonomous System, as it is a portion of the Internetwork under common admin authority.
5) Consists of routers that share information over the same protocol. Can be split into routing areas.Distance Vector and Link-State Routing
Routing Protocols
I) Interior (within an autonomous system - AS - group of routers under the same administrative authority)
a) Distance Vector - understands the direction and distance to any network connection on the internetwork. Knows how
many hops (the metric) to get there. All routers w/in the internetwork listen for messages from other routers, which are sent
every 30 to 90 seconds. They pass their entire routing tables. Uses hop count for measurement. 1) Used in smaller networks
that are have fewer than 100 routers. 2) Easy to configure and use. 3) As routers increase in number, you need to consider
CPU utilization, convergence time, and bandwidth utilization. 4) Convergence is due to routing updates at set intervals. 5) When
a router recognizes a change it updates the routing table and sends the whole table to all of its neighbors.
1) RIP - 15 hop count max
2) IGRP - 255 hop count max, uses reliability factor (255 optimal), and bandwidth
3) RTMP
b) Link State - understands the entire network, and does not use secondhand information. Routers exchange LSP?s (hello
packets). Each router builds a topographical view of the network, then uses SPF (shortest path first) algorithm to determine the
best route. Changes in topology can be sent out immediately, so convergence can be quicker. Uses Bandwidth, congestion for measurement; Dijkstra's algorithm;
1) Maintains Topology Database. 2) Routers have formal neighbor relationship. 3) Exchanges LSA (Link State Advertisement) or
hello packets with directly connected interfaces. 4) These are exchanged at short intervals (typically 10 sec). 5) Only new info is
exchanged. 6) Scales well, however link?state protocols are more complex. 7) Requires more processing power, memory, and bandwidth.
1) OSPF - decisions based on cost of route (metric limit of 65,535)
2) EIGRP - hybrid protocol (both Distance-Vector and Link State), Cisco proprietary
3) NLSP
4) IS-IS
II) Exterior
1) EGP (Exterior Gateway Protocol)
2) BGP (Border Gateway Protocol)
Routing Protocols used for each Routed Protocol
IP - RIP, IGRP, OSPF, IS-IS, EIGRP
IPX - IPX RIP, NLSP, EIGRP
AppleTalk - RTMP, AURP, EIGRPProblems with Routing Protocols
1) Routing Loops - occur when routing tables are not updated fast enough when one of the networks becomes unreachable. Due to the slow convergence (updates of routing table between all routers), some routers will end up with incorrect routing table and will broadcast that routing table to other routers. This incorrect routing tables will cause packets to travel repeatedly in circles.
2) Counting to infinity - occurs when packets end up in a routing loop; hop count increases with every pass through a router on the network Solutions to Problems with Routing Protocols1) Define the maximum number of hops - When the number of hops reaches this predefined value, the distance is considered infinite, thus the network is considered unreachable. This does stop routing loops, but only limit the time that packet can travel inside the loop.
2) Split horizon - The packets can not be sent back to the same interface that they originally came from. During the updates, one router does not send updates to the router that it received the information from.
3) Route poisoning - The router sets the cost/distance of routes that are unreachable to infinity. Used with hold-down timers
4) Triggered updates - The router sends updates of the routing table as soon as it detects changes in the network. Does not wait for the prescribed time to expire.5) Hold-Downs - After the router detects unreachable network, the routers waits for a specified time before announcing that a network is unreachable. The router will also wait for a period of time before it updates its routing table after it detects that another router came online (Router keeps an entry for the network possibly down state, allowing time for other routers to re-compute for this topology change). Hold-downs can only partially prevent counting to infinity problem. Prevents routes from changing too rapidly in order to determine if a link has really failed, or is back up
Encapsulation Types
Encapsulation 802.2 sap 802.3 novell-ether Ethernet II arpa (Internet Standard) Snap snap
Wan Service Providers
1) Customer premises equipment (CPE) - Devices physically located at subscriber?s location; examples: CSU/DSU, modem, wiring on the customer's location
2) Demarcation (or demarc) - The place where the CPE ends and the local loop portion of the service begins. (Usually in the "phone closet").
3) Local loop - Cabling from the demarc into the WAN service provider?s central office; wiring from customer's location to the nearest CO
4) Central Office switch (CO) - Switching facility that provides the nearest point of presence for the provider?s WAN service; location of telephone company's equipment where the phone line connects to the high speed line (trunk); Regional Telco Office where the local loop terminates (the Telco location nearest you)
5) Toll network - The switches and facilities, (trunks), inside the WAN provider?s "cloud."DTE - the router side and receive clocking
DCE - the CSU/DSU side and provide clocking
WAN Devices
Routers - Offer both internetwork and WAN interface controls
ATM Switches - High-speed cell switching between both LANs and WANs
X.25 and Frame-Relay Switches - Connect private data over public circuits using digital signals
Modems - Connect private data over public telephone circuits using analog signals
CSU/DSU (Channel Service Units/Data Service Units) - Customer Premises Equipment (CPE) which is used to terminate a digital circuit at the customer site
Communication Servers - Dial in/out servers that allow dialing in from remote locations and attach to the LAN
Multiplexors - Device that allows more than one signal to be sent out simultaneously over one physical circuit
ISDN
ISDN BRI (Basic Rate Interface) - 2 64K B channels, plus 1 16K D channel
ISDN PRI (Primary Rate Interface) - 23 64K B channels, plus 1 64K D channel (North America & Japan), 30 64K B channels, plus 1 64K D channel (Europe & Australia)Classful and Classless Protocols
Classful - summarizes routing info by major network numbers; ex. RIP, IGRP
Classless - BGP, OSPF
Administrative Distances for IP RoutesAdministrative Distances are configured using ip route command:
Example: ip route 154.4.55.0 255.255.255.0 195.23.55.1 85 (where 85 is the administrative distance)
IP Route
Administrative Distance
Directly connected interface
0
Static route using connected interface
0
Static route using IP address
1
EIGRP summary route
5
External BGP route
20
Internal EIGRP route
90
IGRP route
100
OSPF route
110
IS-IS route
115
RIP route
120
EGP route
140
External EIGRP route
170
Internal BGP route
200
Route of unknown origin
255Switching Terminology
Store-and-Forward ? copies entire frame into buffer, checks for CRC errors before forwarding. Higher latency.
Cut-Through ? reads only the destination address into buffer, and forwards immediately; Low latency; "wire-speed"
Fragment free ? modified form of cut-through; switch will read into the first 64 bytes before forwarding the frame. Collisions will usually occur within the first 64 bytes. (default for 1900 series).
Access Lists
1-99 IP Standard Access List 100-199 IP Extended Access List 200-299 Protocol Type-code Access List 300-399 DECnet Access List 600-699 Appletalk Access List 700-799 48-bit MAC Address Access List 800-899 IPX Standard Access List 900-999 IPX Extended Access List 1000-1099 IPX SAP Access List 1100-1199 Extended 48-bit MAC Address Access List 1200-1299 IPX Summary Address Access List
Access List Filters Wildcard Masks Additional Notes Standard IP Source IP address field in the packet's IP header To put simply, when the IP is broken down to binary, the 1's allow everything and the 0's must match exactly. Wildcard mask examples: 0.0.0.0=entire address must match. 0.255.255.255=only the first octet must match, the rest will allow everything. 255.255.255.255=allow everything Extended IP Source IP or Destination IP, or TCP or UDP Source or Destination Ports, or Protocol Same as standard The key word ANY implies any IP value is allowed, the keyword HOST implies the IP exactly has to match Standard IPX Packets sent by clients and servers, and SAP updates sent by servers and routers Configured as a hexadecimal number instead of binary -1 means any and all network numbers ( works like ANY) Extended IPX Source Network or Node, or Destination Network or Node, or IPX Protocol, or IPX Socket, or SAP Match multiple networks with one statement, again in hexadecimal The most practical use of the protocol type is for NetBIOS SAP Sent and received SAP traffic N/A Updates its own SAP tables. Again uses -1 to mean "ANY"
Troubleshooting Tools:
Ping Results
! success , timeout U destination unreachable ? unknown packet type & TTL exceeded Traceroute Results
!H router rec'd, but didn't forward because of access-list P protocol unreachable N network unreachable U port unreachable , timeout
Accessing Router with Terminal Emulation
Using HyperTerminal on a Windows machine adjust the following settings:
VT100 Emulation
Connection Speed: 9600 Baud
Data Bits: 8
Parity: None
Stop Bits: 1
Flow Control: None
On a Linux machine you may use Seyon or Minicom (at least one should come with your distribution).Router Startup Sequence
POST
Bootstrap program loaded from ROM
IOS is loaded from either flash (default), TFTP, or ROM
IOS image loaded into low-addressed memory; hardware and software is determined
Config file is load from NVRAM; if no configuration exists in NVRAM, the initial configuration dialog will beginMiscellaneous Notes
Multiple Loop Problems ? complex topology can cause multiple loops to occur. Layer 2 has no mechanism to stop the loop. This is the main reason for Spanning ? Tree Protocol.Spanning-Tree Protocol (STP) IEEE 802.1d. ? developed to prevent routing loops; uses STA (Spanning-Tree Algorithm) to calculate a loop-free network topology; allows redundant paths without suffering the effects of loops in the network
Virtual LAN?s (VLAN's) ? sets different ports on a switch to be part of different sub-networks. Some benefits: simplify moves, adds, changes; reduce administrative costs; have better control of broadcasts; tighten security; and distribute load. Relocate the server into a secured location.
HDLC (High-Level Data Link Control) - Link layer protocol for Serial links. Cisco Default. Supports the following modes: Normal Response Mode ? as per Secondary under SDLC; Asynchronous Response Mode allows secondary to communicate without permission; Asynchronous Balanced mode combines the two stations. Has lower overhead than LAPB but less error checking.
Modular Switch/VIP Syntax
type slot/port (example: e 2/1)
type slot/port-adapter/port (example: e 2/0/1) -
طبق اعلام Cisco Global Cloud Index افزایش پنج برابری دیتاهای ذخیره شده تا سال 2020 به عدد فوق العاده 915 اگزابایت خواهد رسید، در همین راستا سیسکو از نوآوری در نسل بعدی Storage Networking برای مشتریان خود در جهت کمک به دسترسی سریع تر و بهینه سازی مدیریت دیتاهای ذخیره شده خبر داد.
سیسکو ، نسل جدید پورت های FC32Gb را در سوئیچ های Storage خود در محصولات MDS، تنها با نصب یک ماژول سخت افزاری فراهم نموده است.
در راستای حمایت از مشتریان، در تمامی نسل های فعلی و آینده سوئیچ های MDS، پشتیبانی از Storage های فوق سریع NVMe بدون تغییر در ساختار سخت افزاری بر بستر پروتکل های FC ، FCOE و SCSI با ارتقا به NX-OS نسخه 8 امکان پذیر می باشد.
به طور مثال MDS 9700 که در سال 2013 معرفی شده است، در حال حاضر با نصب یک ماژول سخت افزاری قابلیت پشتیبانی از پورت های FC32Gb را خواهد داشت. سیسکو در همین راستا با همکاری شرکت های Broadcom/Emulex و Cavium/Qlogic کارت های HBA را برای سرور های UCS تولید نموده است.
به نقل از Thomas Scheibe مدیر ارشد بخش مدیریت محصولات و راه حل های دیتاسنتر: ” سیسکو به حضور قدرتمند در مارکت Storage Networking متعهد است و ما مفتخریم که با ارائه راه حل های Economy و حمایت از سرمایه گذاری مشتریان در این زمینه پیشرو باشیم.” -
شاید زمانی Compact Flash روتر شما با کمبود فضا یا از بین رفتن دیتا ویا به هردلیلی شما نیاز داشته باشید که یک حافظه بکاپ برای بوت شدن روترتان داشته باشید. درصورتی که روتر شما از درگاه USB پشتیبانی کند شما میتوانید از USB Flash ها برای اینکار استفاده کنید در حالی که USB Flash ها دارای سرعت بیشتری به نسبت به Compact Flash هستند.
ابتدا برای این کار شما نیاز به USB Flash با حداکثر حجم ۴GB وبا فرمت FAT دارید ( در فرمت FAT حجم بیشتر از ۴GB برای درایو پشتیبانی نمیشود)
سپس IOS مورد نظر را در USB Flash کپی کرده و وارد Configure Terminal شده دستورات زیر را مانند مثال زیر وارد کنیدکد:
boot system flash:c2800nm-advsecurityk9-mz.151-4.M12a.bin
boot system usbflash0:c2800nm-advsecurityk9-mz.151-4.M12a.binدر این حالت روتر ابتدا سعی میکند از طریق Compact Flash بوت شود در صورتی که با مشکل روبه رو شود از طریق usbflash0 بوت میشود.
-
گاهی نیاز به انجام بعضی از کارها در زمان های مشخص و به صورت تکراری دارید ، مثلا ذخیره محتویات running-config در startup-config به صورت روزانه. و یا ریبوت کردن تجهیزات سیسکو در زمان مشخص یا clear کردن اینترفیس ها در زمان مشخص و .... .
انجام این کار های تکراری و حتی غیر تکراری مثلا اجرا در زمانی خاص که ممکن است ما به تجهیز دسترسی نداشته باشیم و ... را میتوانید به cisco ios kron بدهید.
نحوه اجرای کار را در مثال زیر میبینید. در این مثال ما میخواهیم هرشب ساعت 22 محتویات running-config را در startup-confug کپی کنیم:
kron policy-list CopyRunTOstart
cli copy running-config startup-config
با دستورات بالا ابتدا کاری که قرار است انجام دهیم را مشخص کردیم که همانطور که مشخص است در سطر دوم دستور cli مربوط به copy اجرا شده است. حال باید به سراغ تنظیم زمان اجرای این kron برویم.
kron occurrence CopyRunTOstart at 21:21 recurring
policy-list CopyRunTOstart
برای اینکه ببینیم همه چیز درست هست یا نه :
Kron Occurrence Schedule
CopyRunTOstart inactive, will run again in 0 days 2313 at 21:21 on
که همانطور که میبینید زمان اجرای بعدی kron را به ما نشان میدهد.
- - - Updated - - -محدویت های kron چیست:
خوب kron در سیسکو مانند cron در لینوکس قابلیت های زیادی به شما نداده و محدودیت هایی دارد. این محدودیتها این هاست:
1- شما فقط دستورات privilege mode را میتوانید استفاده کنید و قادر به استفاده از دستورات global configuration در آن نیستید.
2- بعد از تعریق لیست command ها به شما اجازه ویرایش نمیدهد ، در صورتی که ترتیب در زدن دستورات مهم باشد و شما این ترتیب را رعایت نکنید پس دستورات اجرا نشده و ios دفعه بعد این kron را اجرا نخواهد کرد چون fail شده است. پس بهتر است قبل از تعریف از ترتیب دستورات مطمئن شوید. -
در مورد IP Options دو نگرانی وجود دارد. اول IP Options ها در سیسکو به صورت process−switched ارسال خواهند شد نه توسط cef ، به عبارت ساده تر بار پردازشی این بسته ها برروی cpu خواهد بود. در صورتی که مقدار زیادی از ترافیک که ip options در آنها تنظیم شده به تجهیزات شما برسد ، ممکن است باعث لود زیاد روی cpu و مشکلات بعدی گردد.
نکته دوم IP Options این قابلیت را دارند که مسیر عبور ترافیک را دشبکه تغییر دهند که این کار ممکن است موجب پایین آمدن امنیت در شبکه شما گردد.
به همین دلیل پیشنهاد میشود در روتر های سیسکو دستور زیر را برای غیر فعال کردن بسته هایی که در آن ها ip options تنظیم شده است وارد کنید:ip options {drop | ignore}
اگر Drop را بزنید این بسته ها حذف و اگر ignore را بزنید روتر کاری به ip options نخواهد داشت ، اما زدن ignore باعث میشود تا بار روی دستگاه های پایین دستی بیافتد.
به همین جهت پیشنهاد استفاده از Drop می باشد. در صورتی که در مورد IP options ها قصد مطالعه بیشتری دارید به اینجا مراجعه کنید.
البته این کار را با احتیاط انجام دهید ، بعضی از پرتکل ها مانند RSVP از فیلد ip options برای انجام کارهای خود استفاده میکنند. که نتیجتا در صورت داشتن چنین پرتکل هایی دستور بالا در تجهیز نباید استفاده شود. -
پشتیبان از تنظیمات سیسکو به صورت خودکار
یکی از کارهای عاقلانه و مفید هنگام کار در شبکه ها گرفتن پشتیبان از تنظیمات دستگاه برای استفاده در زمان ایست که دستگاه دچار اختلال در عملکرد به واسطه تنظیمات جدید یا هر مشکل دیگری شده است. در این زمان ها یکی از مغاهیمی که به کمک ما خواهد آمد بازگردانی تنظیمات قبلی دستگاه خواهد بود ، اما گاهی گرفتن پشتیبان ممکن است خود باری به روی دوش ادمین باشد! اینجاست که ادمین آرزو میکند کاش خود دیوایس این کار را هم میکرد !خوشبختانه IOS سیسکو این امکان را برای شما فراهم کرده است ، کافیست یک بار دستورات لازم را زده و یک عمر به سراغ بقیه وظایفتان بروید ، انجام این کار با دستور زیر امکان پذیر است :
R1#configure terminal
R1(config)#archive
R1(config-archive)#path tftp://192.168.10.10/config-bak/$h
R1(config-archive)#write-memory
R1(config-archive)#time-period 10080
R1(config-archive)#exitبا دستور archive شروغ میکنیم و به submode مربوطه وارد میشویم ، سپس با کامند path مکان ریخته شدن backup ها را مشخص کردیم ، بعد از آن با دستور write-memory به دستگاه گفتیم از این به بعد هر وقت دستور wr یا دستور copy running-config startup-config زده شد ، اتوماتیک بک آپ گرفته شود ، بعد از آن با دستور time-period گفته شد هر 10080 دقیقه یعنی هر 7 روز هم به صورت خودکار پشتیبان بگیر ، حتی اگر تغییری در این بازه وجود نداسته باشد.
با دستور زیر نتیجه را مشاهده میفرمایید:R1(config)#show archive
The maximum archive configurations allowed is 10.
The next archive file will be named tftp://192.168.10.10/config-bak/h--5
Archive # Name
1 tftp://192.168.10.10/config-bak/R1-Sep-18-19-34-42.331-0
2 tftp://192.168.10.10/config-bak/R1-Sep-18-19-34-54.939-1
3 tftp://192.168.10.10/config-bak/R1-Sep-18-19-40-56.419-2
4 tftp://192.168.10.10/config-bak/R1-Sep-18-19-42-03.639-3
5 tftp://192.168.10.10/config-bak/R1-Sep-18-19-43-06.623-4 <- Most Recent
6
78برای مشخص کردن تعداد نسخه های پشتیبان:
R1(config)#archive
R1(config-archive)#maximum 10
R1(config-archive)#exit
برای دیدن تفاوت بین تنظیمات فعلی با تنظیمات موجود در یک نسخه پشتیبان هم از دستور زیر استفاده میکنیم :R1#show archive config differences
*Sep 18 1902.579: %SYS-5-CONFIG_I: Configured from console by console
h#$ifferences tftp://192.168.10.10/config-bak/h-Sep-18-19-43-06.623-4
Loading config-bak/R1-Sep-18-19-43-06.623-4 from 192.168.10.10 (via FastEthernet0/0): !
[OK - 1413 bytes]
!Contextual Config Diffs:
-interface Loopback0
-ip address 2.2.2.2 255.255.255.0
line con 0
-l -
ما انواع متنوعی از حملات Dos و DDos داریم که یکی از آنها حملات Syn Flood می باشد. این حمله بسیار ساده بوده و نفوذگر به راحتی قادر به ایجاد حمله و به خطر انداختن امنیت شبکه و دسترس پذیری شبکه برای کاربران از امی گردد.
این حملات معمولا با تلفیق حملات IP Spoofing اتفاق می افتد. نحوه انجام حملات syn flood بدین صورت است که اتکر سعی در برقراری ارتباط TCP با سرور یا کامپیوتر قربانی میکند. اما نه به صورت معمول ! در واقع اولین قدم در برقراری ارتباط در TCP بدین صورت است که دو کامپیوتر مبدا و مقصد باید 3-way handshake را انجام دهند.
حال اتکر syn را می فرستد و سرور (قربانی) syn/ack می دهد ، اما اتکر ack پایانی را نمی دهد. برای پیچیده تر شدن این ماجرا حمله با تلفیق حمله IP spoofing انجام میشود.
به این نوع کانکشن ها که syn و syn/ack ردو بدل شده اما مرحله آخر که ack پایانی است انجام نمیشود کانکشن half-open یا embryonic میگویند. این باعث میشود که منابع سیستم درگیر این اتصالات نیمه باز شده و سرور دیگر به پاسخگویی به بقیه ازتباطات نخواهد بود. در فایروال ها مانند ASA سیسکو ابزار جلوگیری از این حملات وجود دارد اما چیزی که باعث نوشتن این مقاله شده آشنا کردن شما عزیزان با خاصیت TCP Intercept در روتر سیسکو می باشد ، که این خاصیت هم به شما در جلوگیری از این نوع حملات کمک خواهد نمود.حالت های راه اندازی TCP Interceptشما میتوانید TCP Intercept را در دو mode راه اندازی کنید:
۱-Intercept Mode
۲-Watch ModeIntercept Mode :در این حالت روتر سیسکو به عنوان پروکسی عمل میکند، به عبارت ساده تر زمانی که کامپیوتر ها سعی به ارتباط با سرور میکنند ، روتر سیسکو با دیدن syn خودش به جای سرور syn/ack می دهد و اگر ack پایانی را دریافت کند ، حال خودش با سرور tcp session را established خواهد کرد. نتیجه تا از سالم بودن ارتباط مطمئن نشود ، کانکشنی با سرور برقرار نخواهد شد.
معمولا روتر ها را در حالت Intercept Mode پیکربندی نمی کنند ، به یک دلیل ساده! اگر تحت Ddos باشیم فشار از روی سرور برداشته خواهد شد اما این فشار بر روی منابع روتر خواهد بود. از طرفی در شرایطی که همه چیز درست باشد و ما حمله ای نداشته باشیم باز هم روتر درگیر خواهد بود.tcp intercept mode روتر سیسکوWatch Mode:
در این حالت ، ماجرا به این صورت خواهد بود که روترهای سیسکو به جای اینکه در برقراری ارتباط مانند پروکسی عمل کند ، از این به بعد مراحل 3-way handshake را تحت نظر خواهد گرفت. و حواسش به کانکشن های half-open یا همان embryonic ها خواهد بود.
در صورتی که این کانکشن ها در مدت زمان مشخصی (پیش فرض ۳۰ ثانیه) برقرار نشوند، روتر با فرستادن tcp reset به سرور کانکشن را خواهد بست. تا منابع سرور آزاد گردد.نمونه ای از کانفیگ TCP Intercept:
Router(config)# access-list 100 tcp permit tcp any anyRouter(config)# ip tcp intercept list 100با استفاده از خط بالا مشخص میکنیم که کدام ارتباطات را باید بررسی کنیم! در صورتی که لازم میدانید میتوانید آموزش access-list در روتر سیسکو را در اینجامشاهده بفرمایید. بهتر است به جای اینکه مانند بالا همه سرور ها بررسی شوند ، ارتباط با سرور ها و یا منابع با ارزش را بررسی کنیم.
Router(config)# ip tcp intercept mode {intercept | watch}در خط بالا مشخص میکنیم که در کدام مود باید tcp intercept کار خود را انجام دهد.
Router(config)# ip tcp intercept watch-timeout secondsRouter(config)# ip tcp intercept finrst-timeout secondsRouter(config)# ip tcp intercept connection-timeout secondsدستور اول زمانی را که یک کانکشن باید established شود را مشخص میکند. در صورتی که در این زمان کانکشن برقرار نشود روتر سیسکو با فرستادن reset این ارتباط را خواهد بست.
زمانی که در حالت TCP intercept mode باشیم ، روتر حواسش به بسته شدن یک کانکشن هم هست ، در واقع زمانی که ما TCP RESET یا TCP FIN را میبیند ، انتظار دارد این ارتباط ظرف مدت ۵ ثانیه به صورت پیش فرض بسته شود. در صورتی که این اتفاق نیافتد خودش مدیریت کانکشن را به عهده خواهد گرفت. با finrst-timeout میتوان این زمان را عوض کرد.
زمانی که TCP Intercept مدیریت کانکشن ها را به عهده دارد یک کانکشن tcp را تا ۲۴ ساعت مدیریت خواهد کرد و در صورت idle بودن کتنکشن در این مدت ، کانشن را خواهد بست. با دستور connection-timeout میتوان این زمان را عوض کرد
Router(config)# ip tcp intercept max-incomplete high numberRouter(config)# ip tcp intercept max-incomplete low numberبا دستور اول حالت خشمگینانه یا aggresive را مشخص خواهیم کرد. در واقع با دستورات بالا میگوییم که اگر تعداد کانکشت های نیمه باز(half-open) از high number بیشتر شد، رپتر شروع به بستن کانکشن های قدیمی تا رسیدن به low number کند.Router(config)# ip tcp intercept drop-mode {oldest | random}
با این دستور میتوان مشخص کرد درصورتی که قرار است کانکشن ها بسته شود، اول کانکشن های قدیمی بسته شود یا این کار به صورت random انجام شود.
Router(config)# ip tcp intercept one-minute high numberRouter(config)# ip tcp intercept one-minute low numberبا دستورات بالا هم threshold برای بازه ۱ دقیقه ای تعریف میگردد.
همانطور که ملاحظه فرمودید مفهوم و تنظیمات سر راست و ساده ای داشت. از روتر سیسکو خودتون استفاده کنید!!
موفق باشید. -
همانطور که میدانید یکی از روش های بدست آوردن پسورد تجهیزات و …. استفاده از حملات brute-force می باشد. در این نوع حملات اتکر سعی میکند با تست و خطا کلمه کاربری و پسورد کاربر را بدست بیاورد.تکنیک پشت حملات brute-force بسیار ساده است در واقع نام کاربری و یا کلمه عبور شما هرچه که باشد تلفیقی از حروف روی کیبرد شماست! پس اگر ما این حروف را به اشکال مختلف کنار هم بگذاریم بالاخره یکی از این ترکیبات پسورد شماست! به همین سادگی! بله ممکن هست بسته به پیچیدگی پسورد این کار روزها یا هفته ها طول بکشد اما با یک سیستم های قوی به هر حال شدنی است.احتمال موفقیت این روش ۱۰۰ درصد بوده و تنها بحث زمان مطرح است.راه حل جلوگیری از حملات brute-force :
راه حل بسیار ساده است ، اگر این هزینه زمانی را برای نفوذگر بالا ببریم عملا این حمله از گذینه ها خارج خواهد شد. به عنوان مثال اگر کاربر ۵ ورود ناموفق داشت به مدت مشخص ای او را لاک کنیم. برای بالا بردن امنیت تجهیزات و جلوگیری ازحملات brute-force در تجهیزات سیسکو کافیست دستورات ذیل را استفاده کنید:!
aaa new-model
aaa local authentication attempts max-fail <max-attempts>
aaa authentication login default local!username <name> secret <password>
می توان کاری کرد که در صورتی که کاربر تعداد مشخص شده(max-attempts) لاگین ناموفق داشت ، نام کاربری او قفل شده و تازمانی که توسط شما آنلاک نشده باشد، قادر به لاگین نخواهد بود.نکته : این خاصیت برای کاربران با privilege level 15 کار نخواهد کرد. پس بهتر است کاربران این سطح در حداقل باشند. -
در این مقاله قصد داریم خانواده سوئیچ های دیتاسنتر سیسکو که شامل سوئیچ های Nexus سیسکو (Nexus 9000، Nexus 7000، Nexus 5000، Nexus 3000، Nexus 2000، Nexus 1000V) و سوئیچ MDS 9000 میشود را معرفی کنیم. پس از معرفی مختصر هر سری از این سوئیچها؛ تفاوتهای بین سوئیچهای Catalyst و Nexus بررسی و commandها، نامگذاری و ظرفیتهای سخت افزاری سیستم عامل Catalyst IOS و Nexus NX-OS را مقایسه خواهیم کرد. برای اینکه بررسی کاملی داشته باشیم، برای هر کدام از مدلهای سوئیچهای Nexus مناسبترین موقعیتها برای به کارگیری در دیتاسنتر را بررسی خواهیم کرد. در نهایت سوئیچهای high-end (رده بالا) خانواده Nexus و خانواده Catalyst را با هم مقایسه خواهیم کرد.
محصولات خانواده Nexus سیسکو
محصولات خانواده Nexus سیسکو به لطف قابلیت آنها در یکپارچه سازی اطلاعات، ذخیره سازی اطلاعات و خدمات شبکه در دیتاسنترهای کوچک و بزرگ بسیار محبوب واقع شدهاند. با وجود Cisco Fabric Interconnect، آنها نه تنها میتوانند این خدمات را ارائه کنند، بلکه میتوانند پلتفرمی قابل برنامه ریزی که از محیط های مجازی به طور کامل پشتیبانی میکند را ارائه کنند. خانواده محصولات Nexus سیسکو تعدادی از مدلهای مختلف Nexus را شامل میشود تا بتواند نیازهای هر دیتاسنتری را برطرف کند. در ادامه به معرفی مختصر این محصولات میپردازیم.
سوئیچ های Nexus سیسکو
سوئیچ های سری Nexus 9000 سیسکو
این سوئیچهای دیتاسنتر میتوانند در modeهای Cisco NX-OS Software یا ACI 1 کار کنند. امکانات اصلی سری جدید Nexus 9000 سیسکو شامل پشتیبانی از FEX 2 ،vPC 3 و 4 VXLAN میباشد. چند تفاوت کلیدی بین سوئیچهای سری Nexus 7000 و Nexus 9000 وجود دارد. سوئیچهای سری Nexus 9000 بر خلاف سری Nexus 7000، از ACI پشتیبانی میکند. از طرفی سوئیچهای Nexus 9000 از پروتکلهای ذخیره سازی اطلاعات پشتیبانی نمیکنند، در حالیکه سوئیچهای Nexus 7000 از این پروتکلها پشتیبانی میکنند؛ و سوئیچهای Nexus 9000 همانند سری Nexus 7000 از تکنولوژی VDC پشتیبانی نمیکنند. در نهایت پیش بینی میشود که سری Nexus 9000 کامل کننده سری Nexus 7000 برای تحول دیتاسنترها به سمت ACI باشد.
سوئیچ های سری Nexus 9000 سیسکو
سوئیچهای Nexus 9000 در مدلها و پیکربندی های مختلفی در دسترس هستند:
Nexus 9200 series (1 RU) Cloud Scale standalone
(Nexus 9300 series (1 RU
Nexus 9300-EX (1 RU) Cloud Scale standalone/ACI
Nexus 9500-EX (1 RU) Cloud Scale Modules
(Nexus 9500 Cloud Scale switches (4, 8, 16 slots
سوئیچهای سری Nexus 7000 سیسکواین سوئیچها میتوانند معماری دیتاسنتر end-to-end را روی تنها یک پلت فرم ارائه کنند که لایههای core، aggregation و access را شامل میشود. سوئیچهای سری N7k تراکم بالای پورتها را با پهنای باند 10، 40، 100 Gigabit Ethernet ارائه میکنند. امکانات اصلی سوئیچهای سری Nexus 7000 شامل پشتیبانی از FEX، vPC، VDC، MPLS و Fabricpath میشود. علاوه بر اینها، N7K از تکنولوژیهای نسبتا قدرتمند و پایداری برای DCI 5 مانند OTV و LISP پشتیبانی میکند. N9K از این تکنولوژی های توسعه یافته DCI پشتیبانی نمیکند، اما از تکنولوژی های جدیدتر DCI ،VXLAN ،BGP و E*** که میتوانند برای پیاده سازی site-to-site DCI استفاده شوند، پشتیبانی میکند.
سوئیچ های سری Nexus 7000 سیسکو
سوئیچهای Nexus 7000 از سری 7000 و 7700 (که نسخهی جدیدتر 7000 میباشد) تشکیل شده است.
سری Nexus 7700 در مقایسه با سری Nexus 7000:برای هر slot پهنای باند بیشتری را ارائه میکند (1.3Tbps در مقایسه با 550Gbps)
عملکرد بهتر و قابلیت پشتیبانی از 192 پورت (100GE (18 slot در مقایسه با 96 پورت (100GE (18 slot
Nexus 7000 در مدل هایی با تعداد 4، 9، 10 و 18 slot ارائه میشود، در حالیکه سری 7700 در مدلهای 2، 6، 10 و 18 slot ارائه میشوند.
سوئیچ های سری Nexus 5000 سیسکواین سری از محصولات مناسب لایه access دیتاسنتر (End of Row) هستند، به طوریکه معماری آنها از مجازی سازی و محیط های Unified Fabric پشتیبانی میکند. سوئیچ های سری Nexus 5000 سیسکو (N5k) قابلیت پشتیبانی کامل از امکانات لایه 2 و 3 و پشتیبانی از VXLAN را برای توسعهی شبکهی دیتاسنتر دارند. این سوئیچها از اینترفیسهای Fibre Channel، Ethernet و FCoE پشتیبانی میکنند. سیستم عامل پیش فرض موجود روی دستگاه شامل اکثر قابلیتهای پلتفرم Nexus 5000 میشود، امکاناتی مانند مدیریت و امنیت لایه دویی. امکانات لایسنسی شامل routing لایه 3، IP multicast و امکانات enhanced Layer 2 مانند Cisco Fabric Path میشود.
سوئیچ های سری Nexus 5000 سیسکو
سوئیچ های سری Nexus 5000 در دو پلتفرم در دسترس هستند: 10Gbps و 40Gbps. سری 5600 پلتفرم 10Gbps توانایی ارائهی 2.56Tbps ظرفیت سوئیچینگ را دارد در حالیکه سری 5600 پلتفرم 40Gbps می تواند رقم چشمگیر 7.68Tbps را ارائه کند.
تمام مدل ها به جز (Nexus 5696Q (40Gbps، یک یا دو unit فضای رک را اشغال میکنند؛ درحالیکه Nexus 5696Q به 4 unit فضای رک نیاز دارد.سوئیچ های سری Nexus 3000 سیسکو
این سری از سوئیچ های Nexus سیسکو امکاناتی مانند latency کمتر از یک میکرو ثانیه، line-rate در unicastهای لایه 2 و 3، سوئیچینگ multicast و پشتیبانی از اینترفیسهای 40Gigabit Ethernet را ارائه میکنند. سوئیچ های سری Nexus 3000 برای استفاده در محیط های latency-sensitive (محیط هایی که باید latency بسیاز کمی داشته باشند)، مورد استفاده قرار میگیرند. مانند HFT 6، برنامه های شبیه سازی تست تصادف خودروها و محاسبات High-Performance.
سوئیچ های سری Nexus 3000 سیسکو
پلتفرم سوئیچ سیسکو Nexus 3000 بیش از 15 مدل دارد، تا تمام نیازهایی که یک سازمان میتواند داشته باشد را برطرف کند. سوئیچ های سری Nexus 3000 از سوئیچ هایی با پورتهای 1GE شروع میشود و تا 32 پورت 100GE در سوئیچ Nexus 3232C گسترش می یابد. محیط های حساس به تاخیر مطمئنا از این سری سوئیچ ها بهره مند خواهند شد، زیرا آنها برای از بین بردن هر گونه تاخیر سوئیچینگ طراحی شده اند در حالی که در عین حال فضای بافر زیادی را برای هر پورت ارائه میکنند. از طرفی بعضی از مدل ها توانایی مانیتور کردن تاخیرشان را هم دارند.
سوئیچ های سری Nexus 2000 سیسکواین سوئیچها زیرساختهای شبکهای دیتاسنتر موجود را همانند پیاده سازی Cisco ACI کامل میکنند. سوئیچ Nexus 2000 سیسکو (N2k) برای ارائهی مدلهای انعطاف پذیری برای گسترش دیتاسنتر و برطرف کردن نیازهای در حال افزایش سرورها از تکنولوژی FEX استفاده میکند. این سری از سوئیچها برای اضافه کردن پورت های access و server به یک دیتاسنتر، راهکار کم هزینه و انعطاف پذیری هستند. سوئیچ های Nexus 5000، Nexus 7000، Nexus 9000 میتوانند parent سوئیچهای N2k باشند. با استفاده از تکنولوژی FEX، تمام پیکربندیها و مدیریت دستگاه در سوئیچ parent انجام میشود. در واقع سوئیچ N2k به همراه تکنولوژی FEX به عنوان remote line card سوئیچ parent عمل میکند.
سوئیچ های سری Nexus 2000 سیسکو
پلتفرم Nexus 2000 سیسکو بیش از 10 مدل ارائه میکند که از 24 پورت (1GE (Nexus 2224TP تا 48 پورت (1/10GE SFP/SFP+ (Nexus 2300 را دربر میگیرد.
سوئیچ های سری Nexus 1000V سیسکوسری Nexus 1000V سیسکو (N1KV) یک سوئیچ software-based میباشد. این سوئیچ بر روی هایپروایزر VMware ESX کار میکند و سیستم عامل NX-OS را اجرا میکند. معماری Nexus 1000V دو جزء دارد: VEM 7 و VSM 8. این دو جزء با هم سوئیچ Nexus 1000V را تشکیل میدهند، به طوریکه VSM لایه management plane و VEM لایه data plane را اجرا میکند.
نکتهای که باید به آن اشاره کنیم این است که لایسنس Nexus 1000V Essential به صورت رایگان در دسترس است که میتواند امکانات لایه دویی مختلفی را ارائه کند.SAN سوئیچ های سری MDS 9000 سیسکو
سوئیچ های مولتی لایر MDS 9000 سیسکو برای پشتیبانی از زیرساختهای ذخیره سازی (SAN) استفاده میشوند. این سری از سوئیچها پلتفرم director-class و سوئیچ های Fabric را ارائه میکنند. این سوئیچ ها از سیستم عامل NX-OS استفاده میکنند. در نهایت MDS 9000 میتواند fiber channel، خدمات ذخیره سازی اطلاعات و FCoE را ارائه کند.
مدیریت سوئیچ های سیسکو
در سیسکو Cisco
ارسال شده در
ورود
قبل از لاگین به مدیریت سوییچ ، بهتر است با یک سری مفاهیم پایه آشنایی داشته باشید:
IP آدرس سوییچ ها و نام DNS چیست؟!
username/password برای استفاده در لاگین کردن، چیست؟!
پورت ethernet سوییچ چیست ؟!
یک گزینه برای انجام تنظیمات سوییچ ها این است که مدیریت interface یا همان کارت شبکه تحت وب باشد. در برخی از دسته GUI interfaces همیشه فعال نیست ، اما بر روی Cisco IOS همیشه فعال است. به طور خلاصه وار عرض میکنم: در یک GUI interface ممکن شما قادر به انجام هر گونه پیکربندی نباشید. در command-line یا همان محیط متنی کارت شبکه ممکن است شما قادر به انجام هرگونه پیکر بندی باشید. به همین دلیل به شما پیشنهاد میکنم تا از محیطی متنی interface استفاده کنید (IOS command-line)
نمایش تنظیمات سوئیچ فقط و فقط کافیست تایپ کنید:
show running-config
نمایش وضعیت پورت های کارت شبکه interface:
با زدن دستور show interfaces status شما قادر به دیدن وضعیت پورت ها خواهید بود.
تغییر سرعت کارت شبکه:
وقتی که وضیعیت کارت را دیدیم، Fa0/21 بطور اتوماتیک برایش تنظیم شده بود، اما ما میخواهیم فقط ۱۰ بیشتر نباشه… به همین جهت مانند عکس زیر دستورات را وارد میکنیم:
conf t
init fa0/21
speed 10
برای نمایش تغییراتی اعمال شده دستور show interfaces fa0/21 status را وارد کنید
فعال و غیر فعال کردن کارت های شبکه:
init fa0/1
shutdown
no shutdown
برای درک بیشتر این موضوع عکس زیر را مشاهده نمایید:
نتایج غیر فعال کردن وفعال کردن:
protocol changed to down
protocol changed to up