Cisco in Persian

IPv6 Day

ارسال شده در ژوئن 7, 2011 by Shafagh

امروز (8 ژوییه) روز IPv6 است. تعداد IP در اینترنت هر روز کمتر و کمتر میشود و نسل فعلی IP یا IP Version 4 که هم سن من (1981) است رو به اتقراض میرود. از تفاوت های نسل جدید IP نسبت به IPv4 آدرس دهی 128 بیتی آن است.

روزی که IPv4 اینترنت را بنا نهاند، همگان بر این باور بودند که تعداد نامحدودی – 4 میلیارد – IP وجود دارد. همین حس امروز نسبت به IPv6 بوجود آمده است. تعداد آدرس در IPv6 عدد بزرگی است که حتی به سادگی قابل خواندن نیست!

340,282,366,920,938,000,000,000,000,000,000,000,000 آدرس توسط IPv6 ارائه میشود

با این حساب اگر هر IPv6 یک گرم وزن داشته باشد مجموع کل IPv6 مساوی با 56 برابر وزن کره زمین میشود.

اگر امروز در اینترنت کندی و آهستگی باز شدن صفحات وب را تجربه کردید نشان از آماده نبودن شما یا طرف مقابل برای ارتباط IPv6 میدهد. اکثر سرویس دهندگان اینترنت خود را برای IPv6 آماده کرده اند. یکی از معضلات جهش به IPv6 دستگاه های CPE است که در سمت کاربر نصب شده و اغلب قابلیت IPv6 را در نرم افزار فعلی خود ندارند. برخی از سرویس دهنده ها قابلیت upgrade دستگاه CPE را بصورت مرکزی از اتاق فرمان دارند در حالیکه بقیه در تلاش برای جایگزینی فیزیکی دستگاه ها با سری جدید یا Upgrade شده هستند.

IPv6 با IPv4 (پروتکل فعلی اینترنت) سازگار نیست و از Header متفاوتی بهره میبرد. IPv6 مزایای زیادی غیر از افزایش آدرس دارد. استفاده از ساختار بهتر هدر و قابلیت Extension Headers، قابلیت Mobility، قابلیت بهینه Quality of Service و Route-Aggregation.

از آنجا که این آدرس 128 بیتی است دیگر بصورت دسیمال نوشته نمیشود و باید آنرا بفرمت Hex (مبنای شانزده) نوشت.

در IPv6 خبری از Broadcast نیست، خبری از ARP نیست و ICMPv6 و DHCPv6 اندکی متفاوت عمل میکنند. بجای ARP از ND یا Neighbor Discovery که از ICMPv6 بصورت Multicast بهره میبرد استفاده میشود.

در صورتیکه برای IPv6 مطالعه میکنید، فراموش نکنید که RFC تغییراتی داشته و دیگر خبری از آدرس های Site-Local نیست. علاوه بر آن استفاده IPsec و بالابردن امنیت که بنوعی اجباری بود نادیده گرفته شده است. Subnetmask وجود ندارد و آدرس بصورت 64/ فرم CIDR به کمک Slash نوشته میشود. اکثر سیستم های عامل امروزی از IPv6 پشتیبانی میکنند. داستان این پروتکل به سال 1993 برمیگردد که بنام IPng یا نسل بعدی IP پیشنهاد گردید. OSPFv3 که از پروتکل های مسیردهی است با OSPF نسخه فعلی سازگار نیست و از ساختار متفاوتی استفاده میکند. BGP بکمک Address-Family و خصوصیات AFI خود امروزه IPv6 را بین Service Provider ها Route میکند.

روز IPv6 خوبی داشته باشید!

بخش Download سایت دستخوش تغییراتی شده و مطالب قبلی سیسکو به پارسی به روز شده اند، بد نیست سری به این بخش بزنید.

ارسال شده در IP Routing | 10 پاسخ

چگونه CCIE شویم – بخش دو

ارسال شده در می 29, 2011 by Shafagh

با احترام به دوستانی که بدلیل کمبود جا، موفق به شرکت در سمینار دیروز نشدند روز جمعه 10 صبح جلسه ای با ظرفیت 200 نفر برگزار میکنیم تا علاوه بر بررسی آماده سازی برای CCIE، پاسخگوی سوالات همه دوستان باشد. کار رجیستر در این جلسه ساده تر است کافی است از لینک زیر کمک بگیرید…

برای دریافت Presentation به لینک زیر مراجعه کنید:

ارسال شده در Uncategorized | 14 پاسخ

چگونه CCIE شویم

ارسال شده در می 26, 2011 by Shafagh

یکی از آرمان های سیسکو به پارسی، افزایش ضریب نفوذ پارسی زبانان در بین متخصیص شبکه در سطح دنیا است. با روند تغییرات در فن آوری اطلاعات در چند دهه اخیر و نیاز جهانی به متخصصین انفورماتیک این مساله به سادگی مشهود است که چین و هند به بزرگترین صادر کنندگان متخصصین IT مبدل شده اند. در صورتیکه در سالن غذاخوری هر یک از دفاتر از سیسکو از دبی تا آمریکا حضور پیدا کنید، این ضریب نفوذ را کاملا حس میکنید. اما نکته مهم تر، سطح هوشمندی افراد است که بنظر بین این اقوام و بقیه نژادهای مختلف کره خاکی تفاوت بارزی پیدا نمیکنید و توانمندی ها یکسان است. پس چطور، برخی از کشور ها سریعتر از بقیه در دریافت تکنولوژی پا پیش گذاشته اند. شاید اولین دلیل آن باشد که این دو کشور روی هم دو تا سه میلیارد جمعیت دارند و این دو میلیارد رویا و پشتکار میتواند جهان را زیر و رو کند. اما یکی دیگر از شاخص های مهم دسترسی به منابع آموزشی و پایبندی، استمرار و تمرکز روی اهداف است.

بنظر من سطح عمومی درک و فرهنگ جوامع با ضریب نفوذ اینترنت و بطور کلی تر آموزش، رابطه مستقیم دارد. اگر آموزش های خوب و کاربردی در دسترس عموم بواسطه رسانه ای چون اینترنت قرار گیرد میتوانیم در آینده نه چندان دور شاید موفقیت های پارسی زبانان در این زمینه باشیم.

دو سد بزرگ در برابر پارسی زبانان، درک خوب از زبان بین المللی (انگلیسی) و آموزش پایه ای دانش روز دنیا است. مورد اول شاید بصورت شخصی قابل حل باشد اما برای مورد دوم نیاز به منابع مطمئن آموزشی، آزمایشگاه و امکانات داریم. با توجه این کمبود ها، این سایت کوچک، انجمن سیسکو به پارسی و آموزش از راه دور شکل گرفته اند و سعی بر این است که این روند بصورت مستمر ادامه پیدا کند.

برای اینکه از اصل مطلب دور نشویم، با اشاره به اهداف سایت که آموزش نیروی متخصص است، قصد داریم در سومین سال فعالیت سیسکو به پارسی سمیناری به نام ”چگونه CCIEشویم“ از طریق Webex ترتیب دهیم. مطالبی که در این 90 دقیقه بررسی خواهیم کرد عبارتند از:

1- چطور از امروز و از نقطه صفر شروع کنیم
2- از چه منابعی استفاده کنیم و چگونه خود را آماده کنیم
3- تجربه و تمرین عملی چه نقشی در موفقیت دارند
4- چطور برای امتحان کتبی و Lab اقدام کنیم
5- محیط امتحان و نحوه سوالات به چه صورت است
6- چگونه برای دستیابی به اهداف خود برنامه ریزی کنیم
7- سرفصل های امتحان و تکنولوژی های مورد آزمون
8- سرمایه گزاری و هزینه مرتبط با امتحان و تجربیاتی که شاید در جایی درج نشده است.

زمان سمینار: یکشنبه 9 شب به وقت تهران (هشتم خرداد)
مکان: Webex سیسکو به پارسی (بصورت Online)
هزینه: رایگان – تنها کافیست تا عضو انجمن شوید تا بتوانید در سمینار ثبت نام کنید.

لطفا با توجه به محدودیت در تعداد شرکت کننده هر چه زودتر نام خود را با مراجعه به انجمن سیسکو به پارسی برای جلسه فوق ثبت کنید.

با توجه به مشکلاتی که دوستان در داخل ایران در دسترسی به تصاویر سایت داشتند، سایت سیسکو به پارسی به سرور جدیدی منتقل شد تا بیش از این مورد عنایت همکاران خوبان در مخابرات ایران قرار نگیرد. علاوه بر تغییر سرور، ظاهر و نمای سایت بروز شده و عناوین جدیدی نظیر راهنمای دریافت CCNP، CCNA و CCIE در سایت قرار گرفته اند. دوستانی که سایت را تحت http://shzandi.wordpress.com یا دامنه قدیمتر zandi.ir ذخیره، لینک یا Bookmark کرده اند از این پس به آدرس http://blog.shafagh.com/persian رجوع کنند. هیچ تغییری بدون بهانه نیست. دلیل مهاجرت از wordpress ممانعت و بلاک شدن تصاویر و فایلها از درون ایران بود. دامنه ir. نیز Credit کارت های بین المللی را قبول نمیکرد…

از همه دوستان تقاضا دارم بیشتر در بحث ها و آموزش همگانی شرکت کنند و تنها برای رفع مشکلات روزمره خود به سایت سر نزنند. چون در اقلیت هستیم، یادگیری و آموزش هر دو از وظایف یکایک ماست.

ارسال شده در CCIE | 20 پاسخ

BGP AS-Path Prepending

ارسال شده در مارس 8, 2011 by Shafagh

یکی از روش های تغییر مسیر ترافیک ورودی یا Inbound استفاده از BGP AS-Prepending است. در آموزش BGP شرح دادیم که این پروتکل برای مقایسه مسیر ها از Path Attributes استفاده میکند. یکی از این Attribute ها AS PATH است که شماره AS هایی که در بین راه تا مقصد وجود دارند را ثبت میکند. بطور مثال مسیری که از چهار AS یا Autonomous System عبور میکند را به مسیری که از پنج AS میگذرد، ترجیح میدهد.

چند ماه پیش یکی از دوستان پرسشی را در این مورد مطرح کرده بودند که متاسفانه در بین نامه های دریافتی نادیده گرفته و مورد توجه قرار نگرفت. دوستان عزیز فراموش نکنید در صورتیکه مطلبی در ذهن دارید از انجمن سیسکو به پارسی برای طرح پرسش، درخواست یا ارائه مطلب خود استفاده کنید. دوست عزیزمان لطف کردند و مطلب را در انجمن نیز مطرح کردند که به شرح زیر است:

ضمن سپاس به جهت آموزش ها، پرسش ها و پاسخ های پر بار شما که گام مهمی در جهت با لا بردن سطح معلومات فعالان عرصه IT در ایران می باشد. پرسشی برای اینجانب پیش آمده است، که خواهشمند است در صورت امکان اینجانب را در این زمینه راهنمایی بفرمایید .

هرگاه از Routerهای خارج از کشور NLRIهای مربوط به Networkهای ایران را مشاهده می کنیم، در Path این NLRIها چندین بار AS Number بشماره 12880 که مربوط به شرکت فنآوری اطلاعات ایران می باشد، دیده می شود .

اینجانب احتمال می دهم دلیل آن، استفاده از تکنیک Prepending Additional ASNs to the AS Path است که یک تکنیک جهت جلوگیری از Transit AS می باشد، باشد. ولی با توجه به این که جلوگیری از Transit AS در آن سطح می تواند به درست عمل نکردن BGPها منجر شود و همچنین استفاده از این تکنیک در NLRIهای مربوط به Networkهای کشورهای دیگر دیده نشده است، خواهشمند است ضمن بررسی موضوع در صورت امکان پاسخ پرسش اینجانب را بفرمایید .

در صورت صلاح دید جهت اطلاع دیگر دوستان نیز پرسش و پاسخ را منتشر فرمایید .

با تشکر . ایمان

—

پاسخ:

ترافیک اینترنت از دید هر شبکه به دو بخش Inbound و Outbound تقسیم میشود. ترافیک Outbound از سمت شما به اینترنت ارسال میشود و ترافیک Inbound ترافیکی است از اینترنت دریافت میکنید.

Routing نیز باید دو طرفه برقرار شود تا ترافیک Outbound شما را به شبکه X برساند و در ضمن شبکه X نیز به سمت شما Route داشته باشد تا ترافیک Inbound را دریافت کنید.

در BGP آنچه از بقیه دریافت میکنید در ترافیک Outbound شما تاثیر دارد و آنچه از خود به بقیه ارسال میکنید در ترافیک Inbound و دریافتی شما تاثیر میگذارد.

روش های خاصی امکان دستکاری Path Attribute ها را ممکن میسازند که هر یک میتواند در سناریوی خاصی جوابگو باشد و بنا به طراحی و Routing Policy (سیاست های مسیردهی) که اتخاذ میکنید میتواند متفاوت باشند. در مثال فوق مخابرات سعی دارد طول AS_PATH را افزایش دهد (با تکرار شماره AS خود بصورت دوبار) پس این تغییر میتواند مسیر دیگری را نسبت به مسیری که در تصویر داریم (بسته به دید یک Router فرضی در نقطه ای نامعلوم) در اولویت قرار دهد.

استفاده از AS Pre-pending هرچند در سطح Provider ها معمول نیست اما در سمت شبکه های مصرف کننده بسیار مرسوم است. باتوجه به اینکه مخابرات ایران مخابراتی مصرف کننده است از این روش برای تنظیم Inbound Routing بین ISP هایش استفاده میکند.

بطور مثال اگر دو ارتباط با اینترنت بواسطه مخابرات یک و مخابرات دو دارید، میتوانید ASN یا AS Number خود را به سمت مخابرات یک، سه بار Prepend کنید، بدین صورت ترافیک دریافتی یا Inbound از طریق مخابرات دو به سمت شما سرازیر میشود. چون برای رسیدن به شبکه شما از سوی روترهای اینترنت، طول کوتاهتر AS_PATH مسیر مخابرات دو، مسیر مطلوبتری را نسبت به مخابرات یک میسازد.

AS Prepending در اتخاذ تصمیم گیری برای ترافیک Outbound هم میتواند مورد استفاده قرار گیرد یعنی در ارتباط BGP با مخابرات یک میتوانید به مسیرهای دریافت شده (Inbound) یک یا چند ASN بیافزایید در این صورت شبکه شما Route های فوق را از درجه مرغوبیت پایین تری بحساب آورده و ترافیک خروجی را به سمت مخابرات دو می فرستد (در صورتیکه همان NLRI ها بواسطه مخابرات دو در دسترس باشند.)

در مثال زیر به NLRI های ارسالی به روتر همسایه سه ASN تکراری اضافه میکنیم که نهایتا در ترافیک ورودی تاثیرگذار خواهند بود. توجه کنید عملیات Outbound است اما در جهت ترافیک Inbound موثر خواهد بود.

router bgp 65001
neighbor 10.0.0.2 remote-as 65502
neighbor 10.0.0.2 route-map prepend out
!
route-map prepend permit 10
set as-path prepend 65001 65001 65001

تعداد قابل قبولی ASN به AS_PATH خود بیافزایید تا طول AS_PATH بدون ملاحظه طولانی نشود. چند سال پیش یکی از ISP های کوچک با افزودن بیشماری ASN جدول مسیردهی بسیاری از روترهای اینترنت را بهم ریخت و نهایتا خود اول از همه به عواقب آن دچار شد: مشکل اینترنت

جهت دریافت مطلب فوق از نسخه PDF زیر میتوانید استفاده کنید:

ارسال شده در IP Routing, پاسخ به پرسش ها | پاسخ دهید:

ترکیب دو اینترنت روی یک روتر

ارسال شده در فوریه 25, 2011 by Shafagh

چندی پیش مطلب خوبی در انجمن سیسکو به پارسی مطرح شد، که عنوان دوباره آن بعنوان یک پست جدید خالی از لطف نیست:

پیاده سازی Load-balancing دو ISP روی یک روتر

فرض کنیم دو اتصال به اینترنت داریم (دو ارتباط ADSL به دو سرویس دهنده مختلف) و بخواهیم هر دو را به یک روتر متصل کنیم. برای تقسیم بار بین این دو سرویس دهنده از چه روش هایی میتوان استفاده کرد. (ترکیب دو اینترنت متفاوت روی روتر)

با توجه به اینکه Public IP در اینترنت رو به اتمام است (آخرین Allocation های IPv4 اخیرا انجام شد) و بیش از نیمی از IP های Allocate شده در آمریکا پخش شدند، در دیگر کشور ها فراهم کردم یک آدرس Valid (یا Public IP Address) ممکن است دشوار یا گران باشد و از طرفی دانش یا امکانات لازم برای برقراری BGP و پیاده سازی Multi Homing وجود نداشته باشد. در صورتیکه آدرس اینترنتProvider Independent از RIR دریافت کرده باشید میتوانید بکمک BGP در سناریوهای مختلف از چند سرویس دهنده با Policy های متفاوت استفاده کنید. اما در صورتیکه Dynamic IP یا IP آدرسی از سرویس دهنده خود دارید، باید از NAT و روش های Load Balancing آن که در IOS وجود دارد بهره ببرید.

سوال فوق در انجمن مطرح شد و پاسخ به فرم Configuration (تنظیم) زیر داده شد:

ip route 0.0.0.0 0.0.0.0 dialer1
ip route 0.0.0.0 0.0.0.0 dialer2
ip nat inside source route-map nat1 interface Dialer1 overload
ip nat inside source route-map nat2 interface Dialer2 overload
!
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
!
route-map nat1 permit 10
match ip address 110
match interface Dialer1
!
route-map nat2 permit 10
match ip address 110
match interface Dialer2

در تنظیم بالا، Router قبل از ارسال بسته به اینترنت ابتدا یک سرویس دهنده متصل را انتخاب میکند (بر اساس Routing) و سپس برای بسته های بعدی به آن مقصد همیشه از همان میسر بهره میبرد. پس NAT فراموش نمیکند که یک ارتباط را از کدام مسیر برقرار کرده لذا Destination همیشه یک Source را در یک ارتباط میبیند. یک ارتباط = یک TCP Connection

یکی از دوستان سناریو فوق را بصورت فایل GNS3 طراحی و اجرا کردند که قابل دریافت است:
http://forum.shafagh.com/showthread.php?p=5727&page=2#post5727

در تنظیمات ارسالی دوستمان دو اشکال کوچک وجود داشت. که در آن پست با آنها پاسخ داده شده است.

ارسال شده در IP Routing, پاسخ به پرسش ها | یک پاسخ

IGMP

ارسال شده در فوریه 14, 2011 by Shafagh

در پست قبل به مبانی Multicasting در شبکه پرداختیم. اساس ارتباط Multicast به عضویت در گروه برمیگردد که توسط IGMP صورت میگیرد. توسط IGMP یک Host به یک گروه گوش میدهد – عضو آن گروه میشود و بسته هایی که به آن گروه ارسال میشود را دریافت میکند. این عضویت توسط نرم افزاری که قابلیت Multicast را دارد تقاضا میشود و IGMP توسط آن نرم افزار به اولین روتر میرسد تا تمایل Host جهت دریافت ابراز شود.

Internet Group Management Protocol

IGMP – RFC 1112 و IGMPv2 – RFC 2236 و IGMPv3 – RFC 3376

برای Multicasting در شبکه، گيرنده بايد عضو Multicast Group شود که اين کار توسط پروتکل IGMP صورت می گيرد.

هر 60 ثانيه يک روتر بعنوان IGMP Querier از Host ها دعوت می کند که در صورت تمايل به عضويت گروه مورد نظرشان، درخواست خود را ارسال کنند. اين دعوت به نشانی 224.0.0.1 (All-Hosts) فرستاده می شود.

وقتی یک Host مایل به عضويت در گروه باشد، درخواست خود را بوسيله IGMP به Local Router ارسال ميکند. اعضايی که تمايل به ادامه عضويت دارند نيز بهمين صورت کار خود را ادامه ميدهند.

Router نيازی ندارد که ليست کامل اعضا را داشته باشد، بلکه بايد بداند چه گروهی را به کدام Interface، ارسال کند.

در IGMPv1 روشی برای خروج از گروه وجود نداشت. راه حل این بود که در صورت عدم تمایل، Host عضویت خود را تمدید نکند. پس به پيام عضویت Router جواب نمیداد تا پس از 3 دقيقه Timeout شده و از گروه حذف شود.

در IGMPv2 (نسخه دو این پروتکل) Host بوسيله ارسال Leave Group Message به آدرس 224.0.0.2 يا All-Routers Address در هر زمانی می تواند خروج خود را اعلام کند.

از ديگر تفاوت های IGMP نسخه اولیه با IGMPv2 در نوع Query هاست. در IGMPv2 به يک گروه خاص هم ميتوان Query فرستاد (Group-Specific Message).

اگر روی يک سگمنت روتری IGMPv1 صحبت کند، بقيه روترها مجبور هستند روی آن سگمنت IGMPv1 عمل کنند زيرا IGMPv1 پيامهای نسخه دوم را درک نميکند.

IGMPv3 نسخه جدیدتر IGMP است که بدليل کفايت عملکرد IGMPv2 و عدم نياز به خصوصيات پيچيده تر رشد و استفاده از نسخه سوم در شبکه ها کند پیش میرود.

IGMP برای مدیریت گروه های Multicast در IPv4 ارائه شده و MLD يا Multicast Listener Discovery در IPv6 برای اينکار ساخته شده است.

نکته: وقتی PIM (جهت Multicast Routing) روی يک Interface فعال شود، همراه آن IGMPv2 نيز بصورت قراردادی فعال میشود.

Multicast Switching

بطور کل يک سویيچ لايه دو از Multicast چيزی نمی داند پس فریم های Multicast را همانند Broadcast به همه پورت ها ارسال می کند. برخورد این سوییچ ها با Multicast همانند Broadcast است و از این رو باعث میشوند که ترافیک گروه به همه ارسال شود که با اصول و فلسفه Multicast که تنها ارسال ترافیک به درخواست کننده است تضاد دارد و باعث هدر رفتن پهنای باند شبکه میشود. روش هايی برای Forward کردن فریم ها فقط به پورتهای عضو Multicast وجود دارد که موجب کم کردن ترافيک زائد شبکه می شوند اعم از: IGMP Snooping و CGMP.

IGMP Snooping

همانطور که اشاره شد، برای اينکه یک Host عضو گروه شود بايد بوسيله IGMP به روتر درخواست دهد. IGMP Snooping روی سوییچ از طريق گوش دادن به اين پيام ها، متوجه وجود متقاضی شده و در زمان دريافت Multicast بخوبی ميداند که آنرا تنها به کدام پورت ها ارسال کند.

برای یک L2 Switch قدیمی گوش کردن به تمام Multicast Frame ها دشوار و منجر به اشغال منابع خواهد شد، در حاليکه برای Multilayer Switch ها اين کار به سادگی انجام پذير است.

IGMP Snooping بصورت Default روی اکثر سوییچ های سیسکو فعال است. برای غيرفعال کردن آن میتوان از دستور زير استفاده کرد:

Switch(config)# no igmp snooping

CGMP – Cisco Group Membership Protocol

اين روش قدیمی است و توسط سيسکو در نبود IGMP Snooping ارائه شد تا سویيچهایی که توانايی لازم برای Snooping را ندارد با کمک روتر نزديک خود بتواند ترافيک Multicast و پورتهای عضو را شناسایی کنند. CGMP بايد علاوه بر سوییچ، روی روتر نيز فعال شود تا پيام های CGMP به آدرس 0100.0CDD.DDDD بين سویيچ و روتر رد و بدل شوند. در عين حال سویيچ هايی که CGMP نميفهمند اين ترافيک را از خود عبور میدهند.

درون يک پيام CGMP، آدرس MAC و آدرس Multicast يک Host در موقع عضو شدن و يا خارج شدن، درج میشود تا سویيچ CAM Table خود را Update کند. در واقع روتر نقش سمعک را برای سوئيچ ايفا می کند!

برای فعال کردن CGMP از دستور زير استفاده ميکنيم:

Router(config-if)# ip cgmp

در سویيچ هايی که قابليت IGMP Snooping را پشتیبانی نمیکنند، CGMP بصورت Default فعال است.

اگر در شبکه سویيچ از CGMP يا IGMP Snooping پشتیبانی نکند، در صورت استفاده از Multicast، ترافيک زائد در سطح شبکه منتشر خواهد شد…

جهت دریافت مطلب کامل بصورت PDF روی لینک زیر کلیک کنید:

ارسال شده در IP Routing, پاسخ به پرسش ها | 4 پاسخ

Multicast

ارسال شده در ژانویه 1, 2011 by Shafagh

آشنایی با Multicast در شبکه

از ابتدای سیسکو به پارسی تاکنون فرصت نشده تا در مورد Multicast در شبکه و کاربردهای آن صحبت کنیم. در این مطلب سعی شده تا اصول اولیه Multicast شرح داده شود.

هدف از Multicast ارسال پيام تنها به گروهی از گیرندگان است که علاقه مشترکی در دریافت یک Data بخصوص دارند. پس جهت دریافت ترافيک مورد نظر عضو آن گروه ميشوند. Multicast کاربردهايی نظير IPTV، CCTV، Online Training – ELearning، Software Distribution، Video Conferencing و غيره دارد و در لايه دو و لايه سه قابل پياده سازی است.

در شبکه سه نوع ترافيک IP منتقل ميشود:

· Unicast بسته ای که از يک فرستنده به يک گيرنده ارسال ميشوند.

· Broadcast بسته ای که از يک فرستنده به همه ارسال (منتشر) ميشود. این نوع بسته ها، توسط روتر به بخشهای ديگر شبکه منتقل نميگردد مگر آنکه بدلیل خاصی آنرا برای اين کار تنظيم کنيم. نظیر درخواستهای DHCP

· Multicast بسته ای که از یک فرستنده به سمت یک گروه از گيرندگان ارسال ميشود.

Ethernet و FDDI ارسال Unicast، Multicast و Broadcast را پشتيبانی کردند و Token Ring نيز توسط Functional Address اين مزیت را پیاده سازی کرد. اگر کاربرد برای يک LAN باشد، استفاده از L2 Multicast (لايه دو) در شبکه LAN کافی بنظر میرسد، اما در جاييکه پراکندگی بين گيرنده ها در سطح چندین شبکه یا VLAN باشد، باید از Multicast Routing استفاده کنیم. هرچند که برای پیاده سازی Multicast درون یک شبکه لایه دو نیاز به برخی از Feature های لایه سه نظیم IGMP Querierداریم.

رفتار روتر با Multicast مشابه Broadcast است. روتر Multicast را در ورودی Interface و بين شبکه ها فیلتر میکند (بصورت پيش فرض).

گيرندگان Multicast ميتوانند در سطح شبکه پراکنده باشند. اگر نياز به ارتباط با بيرون باشد، بايد Multicast Routing تنظيم گردد.

برای Route کردن ترافيک Multicast بايد از Multicast Routing Protocol استفاده کنيم. پروتکل هايی نظير DVMRP، MOSPF، PIM-SM و يا PIM-DM.

آدرس های Multicast بصورت Class D و هميشه با 1110 شروع می شوند. صرف نظر از 4 بیت اولیه که همیشه یکسان است، 28 بيت باقيمانده آدرس گروه را تشکیل میدهند (از 224.0.0.0 تا 239.255.255.255) هر گروه نيازمند يک آدرس است. توجه داشته باشید که آدرس تنها به گروه اشاره میکند و بصورت Destination Address ظاهر میشود نه Source Address.

برای Map کردن اين آدرس لایه سه (IP) به لايه دو (Data-Link)، از ARP نميتوان استفاده کرد. اما روش آدرس دهی وجود دارد که بصورت خودکار براساس آدرس لایه 3 میتوان آدرس لایه 2 را بدست آورد. آدرسهای MAC با 0100.5E شروع میشوند و برای اين کار رزرو شدند. از 28 بيت IP گروه، 23 بيت به باقی OUI اضافه میگردد و فرم آدرس لایه دو را به ازای آدرس لایه سه بخود اختصاص میدهد. (آدرس لایه دو 48 بیتی است).

ترافيک Multicast

گيرنده يک Multicast گروهی از Host ها هستند که در گروه Join شده و شروع به دريافت اطلاعات ميکنند. به اين گروه Multicast Group ميگوييم. اعضا برای پاسخ يا درخواست از فرستنده، از Unicast استفاده میکنند. Multicast بصورت Connectionless و Best-Effort ارسال شده و از UDP استفاده ميکند.

آدرس Multicast

کلاس D برای آدرس دهی Multicast در نظر گرفته شده است:

غیرقابل Route	224.0.0.255	224.0.0.0	Link-Local address
قابل Route	238.255.255.255	224.0.1.0	Globally Scoped address
خصوصی درون شبکه	239.255.255.255	239.0.0.0	Administratively Scope address
CLASS D	239.255.255.255	224.0.0.0	Complete Multicast address

ردیف اول جدول بالا، به آدرس های Multicast که توسط Routing Protocol ها و تنها درون Broadcast Domain ارسال ميشود، اشاره ميکند. مثل آدرس All-Hosts که 224.0.0.1 است يا آدرس All-Routers که 224.0.0.2 است. اين رنج (224.0.0.0) تحت عنوان Fixed-group addresses تعريف شده اند.

رديف دوم جدول بنام آدرس های جهانی Multicast بین شبکه ها استفاده میشود. نه Local است نه Private. رديف سوم به آدرس های Private اشاره ميکند که بصورت درون شبکه ای، قابل استفاده بوده و نباید به بیرون Route شوند. رديف آخر جدول، به کل آدرس های Multicast که در برگیرنده ردیف های بالاتر میباشد، بعنوان Class D اشاره ميکند.

برای Multicasting در شبکه، گيرنده بايد عضو Multicast Group شود – اين کار توسط پروتکل IGMP صورت می گيرد. این پروتکل سه نسخه دارد، IGMPv3 نسخه جدیدتر IGMP است که بدليل کفايت عملکرد IGMPv2 و عدم نياز به خصوصيات پيچيده تر رش

ارسال شده در IP Routing | 7 پاسخ

پایان مارس

ارسال شده در دسامبر 7, 2010 by Shafagh

چند روز پیش، خبر توقف تولید و پشتیبانی CS-MARS توسط Cisco اعلام شد. از 3 June سال آینده فروش مارس متوقف خواهد شد و پس از چندی پشتیبانی و ارائه Update برای آن نیز پایان خواهد یافت. مارس بزرگترین پیاده سازی SIEM در چند سال اخیر است که سیسکو هم اکنون جایگزینی برای آن ندارد.

دوستانی که برای CCSP آماده میشوند بهتر است روی امتحان 642-545 MARS حساب باز نکنند که بزودی از بین خواهد رفت.

در همین ارتباط:

CS MARS

کتاب سیسکو MARS

امنیت شبکه و بررسی حملات

ارسال شده در Security | 7 پاسخ

Unified Fabric

ارسال شده در نوامبر 20, 2010 by Shafagh

امروزه یکی از بحث های داغ DataCenter استفاده از Unified Fabric است. یعنی Integrate کردن Data و Storage روی شبکه که نهایتا منجر به کاهش هزینه ها (نظیر هزینه کابل کشی و مدیریت آن) میشود.

بدین ترتیب از هر سرور یک فیبر با پهنای باند 10GigE برای ارتباط همزمان با شبکه و SAN استفاده میکند. ارتباط با Storage بواسطه FCoE یا Fiber Channel over Ethernet برقرار میشود.

قبل از این، برای هر سرور تعداد زیادی کابل و ارتباط نیاز بود که مجموع پهنای باند آنها نیز به اندازه راه حل امروزی پرسرعت نیست. شکل زیر ارتباط های I/O سرور در معماری قدیمی را نشان میدهد:

سرورهایی با تعداد زیادی کابل هزینه زیادی بهمراه دارند و علاوه بر کاهش جا و پیچیدگی در اجرا و نگهداری، مسیر تهویه و Air Flow را گرفته و باعث افزایش گرما میشوند.

کارت های شبکه CNAیا Converged Network Adaptor به سفارش سیسکو به تولیدکنندگان چیپ های NIC ارتباط شبکه و Storage را روی یک پورت فراهم میکنند. در حالیکه روی سرور و درون سیستم عامل دو ارتباط مستقل بصورت نرم افزاری دیده میشود. ارتباط هر سرور به Cisco Nexus روی فیبر بصورت 10GigE برقرار شده و درون Nexus ارتباط Data و Storage تفکیک میشود.

سرورهای جدید سیسکو یا UCS – Unified Computing System نیز از Unified Fabric پشتیبانی میکنند.

سری Nexus سیسکو، سوییچ های پرقدرت Datacenter است که سیستم عامل مخصوص خود بنام NX-OS را دارند (NX-OS مشابه IOS است اما از ابتدا با معماری پایدار برای Datacenter نوشته شده است.) سری 7000 بالاترین مدل در Core و سری 2000 ، 4000 و 5000 بصورت Top of the Rack و سری 1000 بصورت Virtual Switch برای VMware ESX ارائه شده است.

Nexus دارای Backplane ی برابر با 15 ترابیت در ثانیه است.

سری 2000 درون هر Rack بصورت top of the rack switch قرار گرفته و به 5000 وصل میشود. این سوییچ لایه یک است که تنظیماتش روی 5000 صورت میگیرد و به 2000 ارجاع داده میشود در واقع 2000 نقش line-card را بازی میکند مثل اینکه 5000 مستقیما درون همه rack ها قرار دارد. سری 1000 تمام قابلیت سیسکو را درون VMware ESX و برای اتصال سرورهای VM بین یکدیگر و به خارج ایفا میکند.

در واقع Unified Fabric دسترسی به SAN را در طول DataCenter ساده تر و با هزینه کمتر مهیا میکند. بدین ترتیب FC و FCoE هردو پشتیبانی میشوند. ارتباط با SAN توسط MDS برقرار میشود که Storage Switch سیسکو است و از Fiber Channel و FCoE پشتیبانی میکند و علاوه بر آن از iSCSI و FCIP و FICON (برای IBM Mainframes) ساپورت میشود.

سیستم عامل آن SAN-OS است. ابتدا از 2 و 4 گیگابیت پشتیبانی میکرد و امروزه 8Gbps را بصورت کارت های 24 پورت و 48 پورت دارد.

پس در این معماری در سمت Access سرورها قرار دارند که باید بواسطه یک ارتباط فیزیکی به هر دو شبکه های Data و SAN روی Ethernet متصل شوند. در میان سوییچ کار تفکیک را انجام داده و در عین حال که به شبکه IP متصل شده اند در سمت دیگر با Storage ارتباط برقرار میکنند.

ارسال شده در Data Center, Ethernet Switching | 11 پاسخ

پاسخ مسابقه BGP

ارسال شده در اکتبر 18, 2010 by Shafagh

همانطور که انتظار میرفت پس از طرح سوال BGP نیز پاسخ های بسیاری خوبی از دوستان دریافت کردیم.

برای مشخص کردن Source بسته های BGP از دستور neighbor x update-source استفاده میکنیم. با کمک دستور فوق به R1 میگوییم که با آدرس Loopback، بسته های TCP را به سمت همسایه ارسال کند (همانطور که میدانید، BGP از پروتکل TCP برای ارتباط با همسایگانش استفاده میکند. جهت اطلاعات بیشتر به پست BGP رجوع کنید.) همین تنظیم در سمت مقابل نیز انجام میشود.

نکته مهم سوال، تنها استفاده از Loopback Address نیست بلکه براساس RFC، پروتکل BGP در ارتباط با همسایگان خارجی خود eBGP بصورت Default تنها با همسایگانی که مستقیما (Directly) متصل هستند ارتباط برقرار میکند و علاوه بر آن TTL بسته های خود را برابر با یک ست میکند. پس اگر همسایه ای با آدرسی جدا از آدرس مستقیما متصل یا چند Hop دورتر از همسایه دیگر باشد، ارتباط بصورت نرمال برقرار نخواهد شد. این یک ویژگی امنیتی در eBGP است. در iBGP قانون TTL صدق نمیکند و میتوان ارتباط را براحتی بین همسایگانی که از هم فاصله دارند برقرار کرد.

در ضمن برای ارتباط بین Loopback ها باید Route بین دو همسایه وجود داشته باشد:

R1(config)# ip route 2.2.2.2 255.255.255.255 192.168.12.2

R2(config)# ip route 1.1.1.1 255.255.255.255 192.168.12.1

به سه روش میتوان مساله فوق را حل کرد:

راه حل یک

router bgp 100
neighbor 2.2.2.2 remote-as 200
neighbor 2.2.2.2 disable-connected-check
neighbor 2.2.2.2 update-source Loopback1

در سناریو ما، این بهترین راه حل است. چون به TTL دست نمیزنیم. بدین صورت روتر از حملات Session-Hijacking در امان می ماند و با TTL=1با همسایه ارتباط برقرار میکند.

راه حل دو

router bgp 100
neighbor 2.2.2.2 remote-as 200
neighbor 2.2.2.2 ttl-security hops 2
neighbor 2.2.2.2 update-source Loopback1

دستور ttl-security برای امنیت ارتباط، TTL بسته های ارسالی و دریافتی را بصورت Maximum در نظر میگیرد یعنی وقتی برابر با حداکثر دو Hop تنظیم شود، بسته های ارسالی را با TTL=255 میفرستد و از طرف مقابل تا حداکثر TTL=253 انتظار دارد تا پاسخ دریافت کند. با کمک این دستور Connected-Check نیز انجام نمیشود و دو همسایه که مستقیم بهم متصل نیستند میتوانند با هم ارتباط برقرار کنند.

راه حل سه

router bgp 100
neighbor 2.2.2.2 remote-as 200
neighbor 2.2.2.2 ebgp-multihop 2
neighbor 2.2.2.2 update-source Loopback1

در این روش eBGP بخاطر دستور ebgp-multihop متوجه میشود که همسایه مستقیم متصل نبوده و بهمین دلیل Connected-Check را انجام نمیدهد. در مثال ما بسته های BGP با TTL=2 ارسال میشوند. هر چه تعداد hop در ebgp-multihop را بزرگتر در نظیر بگیریم ریسک امنیتی ارتباط BGP نیز افزایش می یابد و برای Attack از فواصل دورتر مهیا میگردد.

برندگان مسابقه:

ایمان کرد
آرش مظلومی
محمد حسینی
علی a.zamanian@*****.com
bleeed_it_out@*****.com
Saeid-Alekhamiss
saman
محسن عفیف پور
طاها(dotnet)
سپیده
morteza
مهدی دهقان

اما بهترین پاسخ را Saeid-Alekhamiss ارسال کردند که به هر سه روش فوق اشاره شده، هرچند که با بی دقتی شماره AS Number را اشتباه تنظیم کردند، اما قابل تقدیر است. قبلا هم اشاره کردم که در پاسخ دقت کنید و تنها مواردی که در سوال از شما خواسته شده را انجام دهید بهمین دلیل برخی از پاسخ ها قابل قبول نیستند: دو نفر از دوستان از Default Route برای دسترسی به طرف دیگر استفاده کرده اند که متاسفانه پاسخ آنها مورد قبول قرار نمیگیرد.

پست های مرتبط:

پروتکل BGP

BGP Sync

ارسال شده در IP Routing, مسابقه | 3 پاسخ