پرسش و پاسخ
پس از این، بخش پرسش و پاسخ بلاگ سیسکو به پارسی متوقف شده و از انجمن برای پاسخ به سوالات استفاده میشود. هرچند که گزیده پرسش و پاسخ ها، بعنوان Reference در سایت نگهداری خواهد شد. بلاگ کماکان برای مقالات جدید پاسخگوی سوالات مطرح شده تنها در رابطه با موضوع مقالات، خواهد بود.
/پرسش و پاسخ این صفحه آرشیو شده است/
برای مرور پرسش های قبلی در انتهای صفحه روی « Older Comments کلیک کنید. « دیدگاههای پیشین
این سوالات قبلا مطرح و به آنها پاسخ داده شده لطفا ابتدا جستجو کنید:
http://blog.shafagh.com/2009/10/05/pppoe
تنظیم ADSL
http://persian.shafagh.com/2009/04/21/pppoe-server
با سلام خدمت استاد زندی
چگونه میتوان به یک اینترفیس در یک vlan بیش از 2 ip داد؟
http://persian.shafagh.com/2010/04/18/stadium-vision/#comment-1979
10 تا روتر 1841 به صورت point to multipoint به یک روتر 2811 متصل شده اند از طریق اینترفیس سریال و مودم Tellabs حلا من میخوام از 1841 ها تا روتر 2811 مرکزی IPsec راه اندازی کنم.
من کانفیگ تمام 1841 ها رو به صورت زیر انجام دادم اما حالا وقتی که به کانفیگ 2811 رسیدم چند تا سوال برام پیش امده.
///////////////////////////////////////////////////////////////////
crypto isakmp policy 10
encr 3des
authentication pre-share
hash sha
group 2
lifetime 28800
crypto isakmp key ehsan address 14.14.14.2
!
!
crypto ipsec transform-set aes-sha esp-aes esp-md5-hmac
!
crypto map iran 11 ipsec-isakmp
set peer 14.14.14.2
set transform-set aes-sha
set pfs group2
match address 101
access-list 101 permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
////////////////////////////////////////////////////////////////////////////////////////////////////
اولا ایا کاملا امن هست ؟
چون اینترفیس سریال IP UnNumbered هست روی اینترفیس f0/0 هیچ ip روش ست نشده من Peer روی IP ادرس f0/0 ست کنم ؟ Crypto map که ساختم روی کدام اینترفیس بگذارم اینترفیس سریال میشه اینترفیس Outside اما خوب وقتی روی ان می گذارم ارتباط قطع میشه ؟
یکی از دوستان گفت یه اینترفیس LoopBack بسازم اینترفیس سریال رو ipunnumbered کنم روی اینترفیس LoopBack بعد crypto map رو هم بندازم رو LoopBakc اینجوری کار می کنه ؟
سوم اینکه تو 2811 چه جوری چند تا Peer ست کنم ؟ چند تا crypto map باید بسازم ؟
همانطور که قبلا به سوال شما پاسخ دادم crypto-map روی interface خروجی شما یعنی serial قرار میگیرد. از آنجا که ارتباط را encrypt میکند و سمت دیگر ممکن است به درستی تنظیم نشده باشد، شاید احساس کنید که ارتباط قطع شده است. که با show crypto isakmp sa و show crypto ipsec sa میتوان از فاز یک و فاز دو ارتباط IPSEC مطمئن شد. وقتی ارتباط قطع شد، در سمت دیگر باید تنظیمات لازم انجام شود تا Link دوباره بالا بیاید.
در مورد سوال سوم شماره خط در دستور crypto-map این امکان را میدهد تا چند مقصد مختلف در یک map قرار گیرد نظیر:
crypto map iran 11 ipsec-isakmp که بعد از آن
crypto map iran 12 ipsec-isakmp و crypto map iran 13 ipsec-isakmp
چگونه میتوانیم از دو آی اس پی در یک شبکه استفاده کنیم البته به غیر از استفاده پروتکل بی جی پی چون هزینه زیادی لازمه راه دیگری است ؟ آیا آی پی سویچینگ در روتر مفید خواهد بود در صورتی که یکی از آی اس پی ها دون شد دومی فعال بشه ؟
با سلام خدمت مهندس زندی
من در شرکتی هستم که 4 تا لینک اینترنت داریم که یکیش رو فیبر گرفتیم و Media convertor گذاشتیم و دادیم توی Switch. بقیش از ISP گرفتیم .یکی از لینکها مستقیما دادیم به ISA و به صورت Proxy اینترنت میده به Internal network یکی دیگه برای Server های DMZ که 5 تا Server داریم که به Client های خارج از سازمان سرویس میده در واقع Web server هستند. و یک لینک جدید هم دوباره داریم که میخوایم از اون هم استفاده کنیم. بعد خدمتتون عرض کنم Switch 3750G و 2960 هم داریم.همچننین 2 تا link از نوع MPLS نیز داریم.
حالا مشکل
جدیدا 2تا ASA firewall 5520 گرفتیم میخوایم اولا که Active/Standby Failover باشند در ثانی تمام Link های مورد نظر را بیاریم روی این Firewall که Failover هستند.
یعنی 4 تا لینک اینترنت بیاد بره تو ASA و 2 تا link Mpls و همچنین internal هم که داریم.
حالا مشکل اینه که از من خواسته شده ASA جلوی ایترنت قرار بگیره یعنی اون ISA Server که داره به صورت Proxy اینترنت میده IP valid نداشته باشه از روی ASA کاری بکنم که ISA با همون IP invalid به صورت Proxy کارش رو انجام بده یعنی اول ASA مقابل اینترنت باشه بعد ISA بیاد به صورت Proxy اینترنت بده با IP invalid.
همچنین 2 تا لینک انترنت وارد ASA بشه و نیز یک لینک دیگه وارد بشه برای DMZ یعنی سرورهایی که تو DMZ قرار گرفتند
همچنین یک لینک وارد بشه برای IP های MPLS که از شهرستان به تهران وصل میشوند.
یکی هم که باید از Network intenal وارد ASA بشود
من تنظیمات اولیه و مقداری کار با ASA را بلدم ولی برای این Project گیج شدم و نمیدانم با این همه لینک چیکار کنم ایتترفس که با اندازه کافی نیست تازه باید Failover هم بکنم.
ممنون میشم کمک کنید.
عبدالله
برای استفاده از دو internet بدون BGP، باید یک سری از IP ها را توسط یک روتر NAT کنید و یکسری دیگر را توسط روتر دیگر که به لینک دیگر وصل است… میتوانید از GLBP که آموزش در بخش Download است استفاده کنید.
-
محمد رضا
باید از dot1q استفاده کنید… ASA را به سوییچ سیسکو متصل کنید و subinterface درون ASA بسازید تا هر لینک در یک VLAN قرار بگیرد و بصورت tagged داخل trunk برود. در اینجور مواقع من از دو سوییچ استفاده میکنم تا redundant باشند – هر چند که بعید است لینک های فیبر شما redundant باشند. برای هر یک از این Policy ها میتوانید یک context درون ASA بسازید و هر context نشانگر یک internet برای شما خواهد شد.
برای ISA باید یک static nat بنویسد تا public address را همیشه به private address آن NAT کند.
سلام راجع به Config Juniper ssg 140 اطلاعات می خواستم ، می تونم اینجا مطرح کتم ،
2- راجع به ادامه سایت به جمع بندی رسیدید ؛ کی اعلام می کنید .
سلام خسته نباشی
میخواستم اکه میشه فرق patch cord های single mode به multimode چیه ؟
ممنون
سلام مهندس بسیار ممنونم از کمکتون من از نوشته شما این استنباط رو کردم که هر 4 تا پورت ASA 5520 رو وصل کنم به Switch 2960 ام و مثلا برای 3 تا لینک اینترنتم از یک interface ge 0/1 مثلا استفاده کنم و برای هر لینک یک VLAN تعریف کنم. و برای لینک های MPLS نیز بندازم روی یک پورت دیگه و با یک port هم بیام Failover کنم.
توی Failover مشکلی ندارم از Gigabit eth 0/0 از جفت Firewall ها دادم به Switch و Lan-base کردم. فقط موندم چطوری Dot1q که میگویید را برای هرلینکم تعریف کنم و ایا توی Switch هم نیاز به تعریف خاصی هست یا خیر؟
بسیار ممنونم.
قیصر
در مورد سوال Juniper، این بلاگ مرتبط با Cisco است. در مورد سوال دوم جمع بندی انجام شده و بزودی انجمن راه اندازی میشود.
-
جواد
اگر از فیبر نوری Multimode استفاده شده باشد، باید از Patchcord و SFP مرتبط با آن یعنی Multimode استفاده شود. تفاوت SM با MM در استفاده از لیزر (SM) و LED و مسافت طولانی تر single mode است.
-
محمدرضا
بله بخش اول را درست متوجه شدید. در صورتیکه با context آشنایی ندارید بهتر است در آن زمینه نیز تحقیق کنید چون به مشکل برخواهید خورد.
پورت سوییچ باید بصورت ترانک تنظیم شود تا 802.1q را پشتیبانی کند.
استاد من یه مطلبی تو سیسکو خوندم گیج شدم.
http://www.ciscopress.com/articles/article.asp?p=330807&seqNum=7
توی این لینک گفته IPSec رو نمیشه رو اینترفیس unnumbered اعمال کرد.
پس الان crypto map رو کجا بگذارم ؟
IP Security Options ربطی به IPsec ندارد…
برای اطمینان از عملکرد unnumbered میتوان از دستور زیر استفاده کرد:
crypto map iran local-address FastEthernet0/0
سلام
میخواستم یه تشکر درست حسابی به همراه یه خسته نباشید جانانه تقدیم شما کنم
سلام
لطفا در مورد استفاده از پورت AUX برای ارتباط با لینک E1 dialup توضیح بدبد اگه ممکنه یه کانفیگ به عنوان مثال به من معرفی کنید.
باید یک مودم به پورت Aux بزنید و از آنرا برای شماره گیری و اتصال PPP تنظیم کنید:
Configuring Dialout using a Modem on the AUX Port
سلام استاد
من 3 تا سویچ 2960 دارم یکی را vtp server کرده ام و 2 تا vlan روش تعریف کردم. 2 تا لینک ارنباطی با دو سویچ دیگر در حالت ترانک هستند و هر 3 سویچ در یک vtp domain هستند اما روی دو سویچ که vtp client هستند vlan های تعریف شده روی سویچ vtp server را نمی بینم مشکل کجاست ؟
اگر بخواهم بک اینترفیس سویچ را در حالت کاری در لایه 3 قرار بدهم باید دستور no switch port رو اجرا کنم ؟
بطور کلی کاری که انجام دادید درست است و مشکل را از این دو خط نمی توان تشخیص داد. از صحت ترانکها و نداشتن VTP Password مطمئن شوید. دستور no switchport پورت را در وضعیت لایه 3 قرار میگیرد.
استاد وقتی تو روتر اصلی یا دستور crypto isakmp key کلید رو می سازیم در اخر دستور ip ادرس peer رو هم میدیم اگر بخواهیم از همین key برای چند مقصد استفاده کنیم می شود از 0.0.0.0 کرد ؟ بعد وقتی Crypto map ساخته میشه peer رو ست کرد به ip دلخواه ؟
یعنی مثل پایین
crypto isakmp key 6 kimiapardaz address 0.0.0.0
!
!
crypto ipsec transform-set Naft esp-aes esp-md5-hmac
!
crypto map Nahiyeh 10 ipsec-isakmp
set peer 10.10.10.1
!
crypto map Nahiyeh 11 ipsec-isakmp
set peer 11.11.11.1
با سلام
اگر لطف بفرمائید و در مورد تکنیکهای ایدهآل پیکربندی در ISDP که توسط بسترهای مختلف از جمله PTP Vlan, wireless,tunnel interanet,PTP E1 سرویس میدهد در حد نام بردن اشاره ای بکنید ممنون میشم،در واقع بدنبال روش هاو راهکارهای اصولی و ایده آل در زمینه ISDP هستم،از نوع تجهیزات گرفته تاروشهای اتصال و تکنیکهای اصولی کانفیگ.مثلا در مورد DataCenter دید بسیار خوبی گرفتم از مقالتون واگر امکانش باشه در مورد ISDP هم چنین دید ایده آل گرایانه ای ارائه کنید.در نهایت حتی اگرفقط کتاب یا سورس مناسبی معرفی کنید بسیار ممنون میشم.
با درود و سپاس فراوان از وبلاگتان
استاد لطفاً در صورت امکان در مورد Traffic shaping و BW Management و چگونگی محدود کردن سرعت لینک و حجم انتقال داده برای کاربران متصل به روتر یا سوییچ های CISCO که در Datacenterها و ISPها خیلی کاربرد دارد توضیحاتی بفرمایید.
احسان،
درسته
-
مهرزاد
محدود کردن پهنای باند و کلا QOS توسط روترها و سوییچ ها بصورت های مخنلف پیاده سازی میشود و بسته به مدل دستگاه و interface آن و Queue بسیار متنوع است. IOS در زمینه QOS قدرتمند است و قابلیتهای فراوانی دارد. در برخی از ISP ها یا شبکه های Enterprise برای کنترل بیشتر از دستگاه های مخصوص نظیر Packeteer استفاده میکنند.
سپاس از پاسخت شفق گرامی
من در مورد QoS و Traffic Shaping و الگوریتم های مربوطه دانش خوبی دارم. حتی 2 تا مقاله در IEEE در مورد الگوریتم های هوش مصنوعی در Traffic Shaping دارم :-) .
روی IOS هم در مورد انواع محدود کردن سرعت و کیفیت Link خوب کار کردم ولی موضوع محدود کردن Traffic Volume در بازه های زمانی مشخص شده برایم چالش بر انگیز شده است. اگر استاد لطف بفرمایند و URL با نمونه های عملی یا یک نمونه از تجارب عملی خودشون رو در اختیار بگذارند بسیار ممنون می شوم.
مهرزاد
با توجه به آشنایی شما به موضوع، Traffic Engineering همیشه سعی میشود تا در Edge شبکه صورت گیرد یعنی در سمت سوییچ های متصل به کاربر، سرور یا لایه Access. در صورتیکه تنها محدودکردن مد نظر نباشد عملیات Marking یا علامت زدن بسته ها در این لایه انجام شده و الویتبندی در مراحل دیگر توسط دستگاههای میانی یا بالاتر (upstream) انجام میشود. بطور مثال برای جلوگیری از DDOS، کار محدود کردن Syn Attack در لبه Internet Edge انجام میشود. در صورتیکه سوال شما را درست متوجه نشدم، در بخش Routing/Switching انجمن میتوانید این بحث را آغاز کنید…