MTU به معنی Maximum Transmission Unit حداکثر دیتای قابل انتقال در یک بسته (Packet) یا فریم است. درون هدر TCP نیز این قابلیت تحت نام MSS یا Maximum Segment Size وجود دارد که برای قراردادن عدد میزان مجاز Data از لایه Application درون هر TCP Segment در نظر گرفته شده. وقتی که از Tunnel یا هر پروتکلی که Overhead روی دیتای IP ما قرار میدهد استفاده کنیم سایز نهایی ممکن است بزرگتر شده و ارتباط دچار مشکل شود.

در مثال بالا پس از اینکه کلاینت سعی به برقراری ارتباط را سرور دارد، ارتباط Client با سرور برقرار میشود و در خلال برقراری TCP میزان MSS موردنظر خود را اعلام میکنند. بر این اساس سایز هر Segment در این ارتباط محاسبه میشود. (Packet به دیتا در لایه 3 میگویند در حالی که Segment به دیتای لایه 4 و TCP اشاره میکند که بعدا درون Packet توسط لایه سه قرار میگیرد. مدل OSI را بخاطر داشته باشید) بنابراین در مثال ما Server به توافق میرسد که 1500 بایت را در هر سگمنت به Client ارسال کند. سگمنت را درون پکت قرارداده و به روتر خود ارسال میکند زمانی که قرار است روتر آنرا Encapsulate کند و درون GRE Tunnel قراردهد روتر متوجه میشود که سایز بسته برای قرارگیری GRE زیاد است و باید بجای یک بسته (با توجه به محدودیت MTU) آنرا درون دو IP Packet قراردهد.

از طرفی بیت DF به معنی Dont Fragment روی بسته ست شده پس نمیتواند آنرا Fragment کرده و در دو بسته ارسال کند پس آنرا دور ریخته و ارسال نمیکند اما به فرستنده پیام معروف ICMP را ارسال میکند:

Internet Control Message Protocol (ICMP) type 3 code 4 packet 
(Destination Unreachable; Fragmentation Needed and DF set)

و بسیار معمول است که ICMP را آدم بی کاری این بین بعنوان تمهیدی امنیتی Block کرده باشد و لذا این پیام نرسد. پس از شناخت اشکال ارتباط پیدا کردن راه حل ساده شد چندین کار بعنوان راه حل میتوان انجام داد:

توسط یک  Policy بیت DF را 0 کنیم تا بسته قابل Fragment شدن شود.

Access-List شماره 169 رنج شبکه متصل به روتر را که قرار است داخل تونل رود اما بیت پکت های آن نباید با DF مارک شوند تنظیم میکند.

یکی دیگر از راه های حل این مساله تغییر سایز MTU و MSS است:

این مشکل ممکن است روی پروتکل های دیگر که Encapsulation چند باره دارند برخورد کنید نظیر PPPoE در ADSL که توسط اصلاح MSS و MTU قابل حل است بطور مثال در ADSL تنظیم بالا را بجای تانل درون Interface Dialer انجام میدهیم.

اما برای مصارف ساده نظیر لینک های Point-to-point میتوان از دیگر Interface ها IP قرض کرد…

بطور مثال اگر ارتباط سریال تا نقطه ای دیگر داریم (نظیر Leased Line) میتوان از IP مربوط به Ethernet استفاده کرد

برای این کار از دستور ip unnumbered روی Interface Serial استفاده میکنیم:

interface Serial 0
ip unnumbered Ethernet 0

برای تست و اطمینان:

RouterA# show ip interface brief

Ethernet0    172.16.1.1  YES    manual   up       up

Serial0      172.16.1.1   YES    manual   up       up

تنها مزیت این کار صرفه جویی در اختصاص IP است.

از معایب آن این است که اگر Ethernet  شما به هر دلیل Down شود لینک سریال نیز از آنجا که به IP آن وابسته است قطع میشود به همین دلیل توصیه میشود که IP را به loopback اختصاص دهید و در لینک های سریال به loopback unnumbered کنید چون که loopback همیشه up می ماند.

توجه داشته باشید که IP Unnumbered تنها روی Interface های Point-to-point کار میکند (نظیر Serial و Tunnel) و نمیتوان روی Ethernet  یا بطور کل Multi-access از آن استفاده کرد.

البته از سری جدید IOS 12.4 از IP unnumbered در sub-interface های ethernet پشتیبانی شده است. دلیل آن حرکت شبکه ها از لینک های WAN به استفاده از Ethernet است و در واقع این Sub-interface ها جایگزین لینک های Point to point قبلی میشوند.

لطفا تفاوت snmp و snmp-server را بفرمایید  و ifindex persist یعنی چه؟

رامین ابوحمزه

پاسخ:

SNMP يا Simple Network Management Protocol يک پروتکل برای تنظيم دستگاه های شبکه بواسطه نرم افزار های مختلف مدیریت شبکه NMS است.

Network Management System یا NMS فرامین را از طریق SNMP به روتر ها و سوییچهای تحت سلطه خود میفرستد. بطور مثال Ciscoworks LMS برنامه مدیریت LAN سیسکو است که بوسیله آن من میتوانم یک کاربر را در شبکه ردیابی کنم و از VLAN ی به VLAN دیگر جا به جا کنم…

SNMP-SERVER برای اینکه بتواند به روتر این دستورات را ارسال کند نیاز به تنظیم در هر دو سمت دارد. در روتر با دستور SNMP-SERVER میتوانيم سرور را به سیسکو معرفی کنیم. وقتی MRTG را تنظیم میکنیم تا برایمان گراف مصرف پهنای باند را رسم کند از همین دستور کمک گرفته و به MRTG اجازه میدهیم تا از روتر سوال پرسد.

سیسکو به Interface های خود يک شماره اختصاص میدهد. این طبق استاندارد RFC1213 (MIB2) است. برنامه مدیریت شبکه نظیر HP Openview تنها با شماره Interface آنرا صدا میزند نه نام آن پس این شماره به ازای هر Interface بايد یکتا باشد.

Rack1R1(config)#snmp-server enable traps

Rack1R1#sh snmp mib ifmib ifindex

FastEthernet0/0: Ifindex = 1

Null0: Ifindex = 7

VoIP-Null0: Ifindex = 6

Serial1/0: Ifindex = 2

Serial1/1: Ifindex = 3

Serial1/2: Ifindex = 4

Serial1/3: Ifindex = 5

Rack1R1#

این شماره ها نه تنها با تغییر تنظیم یا سخت افزار بلکه با هر بار reload ممکن است تغییر کند.

برنامه مدیریت شبکه هرروز آمار Interface های روتر را محاسبه و رسم میکند. چه کار کنیم که شماره IFINDEX تغییر نکرده و بعد از هر تغییر مجبور نشویم تنظیمات MRTG و CACTI رو تغییر دهیم؟

Router(config)# snmp-server ifindex persist

بکمک دستور فوق شماره اختصاص داده شده به هر Interface برای آن محفوظ میماند.

Router#10.1.1.1

Trying 10.1.1.1 …

% Connection timed out; remote host not responding

اگر يک FQDN يا نام (بجای IP مثلا cisco.example.com) را وارد کنيم روتر ابتدا تلاش ميکند تا آن نام را به IP تبديل کرده (از DNS سوال ميکند) و سپس به آن Telnet کند. جهت تنظيم DNS برای روتر از دستور زير استفاده ميکنيم:

Router(config)#ip name-server 192.168.100.201 192.168.100.202

در مثال بالا دو DNS سرور برای روتر تنظيم کرديم تا هرگاه توسط FQDN (اسم) جايي را Ping يا Traceroute کرديم روتر برای ترجمه اسم به IP از اين DNS استفاده کند.

خيلی از اوقات (حتما برای شما هم پيش آمده) که در زمان کار با روتر دستورات را اشتباه تايپ کرده و روتر بعنوان يک نام FQDN سعی ميکند به آن اشتباه تايپی Telnet کند و بدين صورت وقت زيادی را تلف ميکند برای اينکه از شر اين موضوع خلاص شويم دو راه داريم:

1.            Telnet کردن از داخل روتر را ببنديم بدين صورت مثلا وقتی به روتر Telnet کرديم نتوانيم از روتر به IP ی ديگری Telnet کنيم:

Router(config)#line vty 0 4

Router(config-line)#transport output none

2.            يا اينکه، استفاده از DNS را برای روتر ممنوع کنيم, بدين صورت روتر تلاش نميکند اسمها را به IP تبديل کند:

Router(config)#no ip domain-lookup

وقتی IP Dynamic باشد هر بار که به سرويس دهنده وصل شويم اين IP ممکن است تغيير کند با اين حساب نميتوان IP ی ثابتی را به طرف مقابل يا کاربران اعلام کنيم تا بتوانند به سمت شبکه يا کامپيوتر ما Packet ارسال کنند. برای حل اين مشکل از DDNS ميتوان استفاده کرد. يک FQDN ثابت را ميتوان به کاربران معرفی کنيم مثل ciscoinpersian.dyndns.org که هر بار  که کاربری به اين آدرس رجوع کرد به DNS رفته و نهايتا به IP ی کنونی ما وصل شود.

DDNS مورد استفاده ما ميتواند يک DNS سرور با قابليت Dynamic يا يک سرويس مجانی DDNS اينترنتی نظير dyndns.org باشد که Static IP دارد و کاربر را به سمت Dynamic IP ما هدايت ميکند.

بدين ترتيب، سيسکو را طوری تنظيم ميکنيم که هر بار که IP ی ما تغيير کرد DDNS را بصورت خودکار update کند:

ip ddns update method myddns

 HTTP

  add http://user:password@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>

  remove http://user:password@members.dyndns.org/nic/update?system=dyndns&hostname=<h>&myip=<a>

 interval maximum 1 0 0 0

!

interface Dialer0

ip ddns update hostname ciscoinpersian.dyndns.org

 ip ddns update myddns

به اين عمليات NVGEN ميگوييم (non-volatile generation)

راه حل استفاده از Parser است که تنظيمات را Cache کرده و تنها اگر تغيیری باشد آنرا چک ميکند. بدين صورت Show Run سريعتری خواهيم داشت. برای فعال کردن اين Feature روی IOS های 12.3T به بعد:

!

parser config cache interface

!

برای اطلاعات بيشتر به لينک زير مراجعه کنيد:

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t7/feature/guide/gtinvgen.html

مشکل از اين قرار بود که ميخواست روتری را reload کند اما به هر دليل enable password آنرا نمي دانست. (enable secret)

برای چند لحظه فکر کردم و ياد کار جالبی افتادم … استفاده از يکی از Bug های قديمی IOS:

show ip bgp regexp ([0-9]*)(_\1)+

و يا

show version | include ([0-9]*)(_\1)+

وقتی دستور دوم را امتحان کرد روترش Crash کرد و reload شد. بدون اينکه دسترسی به محيط privilege mode داشته باشد.

لطفا توضیحی راجع به دستور keepalive بدهید و اینکه تنظیم کردن آن چقدر میتواند مفید باشد

با تشکر . محمد

وقتی راجع به Keepalive سوال شد، سه نوع کاربرد از آن تداعی ميشود:

استفاده از Keepalive در Interface ها نظير Ethernet و يا Tunnel.

استفاده از End-to-end Keepalives در Frame-Relay.

استفاده از TCP Keepalive برای امنيت ارتباط در IOS.

حدس ميزنم شما به Interface Tunnel و مصارف Keepalive در GRE Tunnel ها اشاره کرده ايد؛

 به هر صورت:

Keepalive يک مکانيزم است که دستگاه های شبکه برای نگهداری يک ارتباط از آن استفاده ميکنند. يک سيگنال فرستاده و منتظر پاسخ از سمت مقابل ميشوند اگر جوابی نگرفتند؛ ارتباط را قطع شده حساب ميکنند. اين که درک کنند يک ارتباط قطع شده است، مزيت بزرگی است؛ در حاليکه اگر از اين مکانيزم استفاده نشود طرفين نمي فهمند ارتباط قطع شده و به راه حل ديگر برای برقراری ارتباط به هر نوع – نمي پردازند مثل فعال کردن يک Link پشتيبان يا تغيير در Routing بعنوان Failover.

در Ethernet برای اينکه Interface يا کارت شبکه (NIC) از برقراری ارتباط Pair های ارسال و دريافت مطمئن شود يک سيگنال به خودش ميفرستد اگر آن را دريافت کرد از برقراری لينک مطمئن ميشود. حال آنکه در Tunnel اين سيگنال را به سمت ديگر ارسال ميکند چرا که خود GRE برای up بودن ارتباط راه حلی ندارد و connection-less است.

پس در GRE Tunnel با تنظيم keepalive يک مکانيزم تشخيص قطع شدن اجرا کرده و هر وقت لينک قطع شود از  Routing Table برداشته شده و شانس برقراری ارتباط به بقيه Route ها ميرسد. (در صورتيکه Route ی برای Backup وجود داشته باشد.)

Keepalive ميتواند در يک سمت يا برای هر دو سمت تنظيم شود. تعداد و سرعت ارسال آن قابل تنظيم است. وقتی دستور Keepalive را در Tunnel Interface فعال کنيم (اگر تعداد ارسال و زمان ميان ارسالها را تنظيم نکنيم) بصورت قراردادی هر 10 ثانيه يک Packet ارسال ميشود و اگر جوابی تا سه بار برای اين ارسال ها دريافت نشود (30 ثانيه) ارتباط قطع شده به حساب آمده و Tunnel Interface؛ Down ميشود.

اين مقادير قابل تنظيم است و در مثال زير پارامتر اول به زمان (بر حسب ثانيه) و پارامتر دوم به دفعات ارسال (Retries) اشاره ميکند:

Router(config)# interface tunnel 1

Router(config-if)# keepalive 3 7

بطور مثال برای تنظيم روتر شما بايستی هر دستور را به صورت خط به خط وارد کنيد در حاليکه به محض ورود دستور؛ عملکرد آن در حافظه فعال ميشود.

تنظيم خط به خط مشکلات عديده ای دارد در Juniper اين مشکل توسط commit (اين مدل / دستور در ابتدا توسط Nortel ارائه شد.) حل شده، يعنی برای اين که شما JUNOS را تغيير دهيد، ابتدا تنظيم ميکنيد سپس تغييرات را commit ميکنيد تا در سيستم فعال شوند اگر دوست نداشتيد با rollback تغييرات را cancel ميکنيد.

سيسکو از IOS123-7T دستور config replace را ارائه کرده.

قبلا اگر copy startup running-config ميکرديم، تنظيمات از NVRAM به running-config کپی ميشد اما همانطور که ميدانيم هميشه کپی در memory بصورت merge انجام ميشود و برای ما دستور فوق نقش واقعی خود را ايفا نميکرد؛ يعنی اگر دستور shutdown در يک interface هم اکنون زده شده وقتی از startup-config تنظيم روی running کپی شود بدليل عدم وجود no shutdown در nvram و merge شدن تنظيم در RAM؛ بسياری از دستور ها (بويژه دستورهای default که در config نوشته نميشوند) کار نخواهند کرد و interface کماکان shutdown خواهد ماند.

حال دستور config replace آمده تا مشکلات ما را با replace کردن تمام محتويات running-config حل کند.

 configure replace nvram:startup-config

مي توان از هر منبعی نظير:

NVRAM

FLASH-Memory

TFTP

FTP

HTTP

برای فراخواندن config و replace کردن آن در حافظه استفاده کنيم:

 configure replace tftp://192.168.1.1/config7602a.cfg

This will apply all necessary additions and deletions
to replace the current running configuration with the
contents of the specified configuration file, which is
assumed to be a complete configuration, not a partial
configuration. Enter Y if you are sure you want to proceed. ? [no]: y
*Aug 09 12:06:50.189: Rollback:Acquired Configuration lock.
Total number of passes: 1
Rollback Done

ماکرو ها برای ساده کردن تنظيم و يکپارچه سازی تغييرات به کار ميروند.

ماکروی زير يک سری آدرس را برايمان پشت سرهم Ping ميکند. اين گونه ماکرو ها در زمان اشکال يابی به کمک ما مي آيند.

از اين ماکرو در زمان امتحان Lab برای CCIE جهت تست ارتباط بعد از تنظيمات OSPF و BGP ميتوان بهره برد.

Switch(config-if)#macro name PING

do ping 10.0.0.100
do ping 10.0.1.100
do ping 10.0.2.100
@

Switch(config)#macro global apply PING

Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 10.0.0.100, timeout is 2 seconds
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 10.0.1.100, timeout is 2 seconds
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 10.0.2.100, timeout is 2 seconds
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms

ماکرو بعدی جهت تنظيم پورت هاست:

يک سری تنظيمات را برای ماکرو تعريف ميکنيم سپس به هر پورت تنها پارامترهای مورد نظر را به ماکرو ميدهيم تا Interface را تنظيم کند:

Switch(config)# macro name test

switchport access vlan $VLANID
switchport port-security maximum $MAX
@

برای اجرای اين ماکرو کافيست در Interface مطابق مثال زير پارامترهای VLAN و MAC را به ماکرو بدهيم تا برايمان تنظيم کند.

 macro apply test $VLANID $MAX

مدل بعدی ماکروها برای تعريف يک دسته Interface به کار ميرود:

Switch(config)# int range macro RANGE1

define interface-range RANGE1 fastethernet 0/23 – 45