CCNA laboratory -in persian

Cccxczxc

سیسکو به پارسی

به پارسی CCNAمایشگاه زآ

1.0نسخه 1391شهریور

: ترجمه و تدوین

فرید نصیري

http://forum.ciscoinpersian.com انجمن سیسکو به پارسی

Page 1 of 290

فهرست

CCNAآشنایی با آزمایشگاه :فصل اول

11.......................................................................................................................شناسایی مدلها و اجزا روترها – 1.1آزمایش

17........................................................................................روتر از طریق کنسول/سوییچ برقراري اتصال به –1.2آزمایش

21............................................................................................................................و انواع آن IOSآشنایی با –1.3آزمایش

31........................................................مورد استفاده دراین آزمایشگاه Cisco Access serverپیکربندي –1.4آزمایش

GNS3....................................................................................................................34نصب شبیه ساز شبکه –1.5آزمایش

GN3..................................................................................................................................43تنظیمات اولیه –1.6آزمایش

43....................................................................اده در آزمایشگاهمورد استف GNS3آماده سازي توپولوژي –1.7آزمایش

47..................................سیسکوجهت ارتباط با ادوات واقعی GNS3 Ethernet NIO Cloudتنظیمات –1.6آزمایش

مدیریت پایه روترها و سوییچهاي سیسکو: فصل دوم

56........................................................................................................2500ي روترهاي سري روپسورد ریکا –2.1آزمایش

59.......................................................................................................2600ي روترهاي سري رود ریکاپسور –2.2آزمایش

61.................................................................................ي سوییچهاي کاتالیست غیر ماژوالرروپسورد ریکا –2.3آزمایش

64..........................................................................................سوییچ/آشنایی با صفحه تنظیمات اولیه روتر –2.4آزمایش

CLI............................................................................................................................................68آشنایی با –2.5آزمایش

70...................................................................................................یک اینترفیس به IPچگونگی اختصاص –2.6آزمایش

75....................................................................................................تنظیم مشخصه هاي ویژه اینترفیسها –2.7آزمایش

80....................................................................................................اینترفیس LoopBackچگونگی ایجاد –2.8آزمایش

82.........................................................................................................................ادوات سیسکو IOSارتقاء –2.9آزمایش

Page 2 of 290

86...................................................................................2500تخریب شده در روترهاي سري IOSبازیابی –2.10آزمایش

90..................................................................................2600تخریب شده در روترهاي سري IOSبازیابی –2.11آزمایش

96................................................................................تخریب شده در سوییچهاي کاتالیست IOSبازیابی –2.12آزمایش

MOTD ..................................................................................102و login ،execتنظیمات ایجاد بنرهاي –2.13آزمایش

106........................................................................... به حالت پیش فرض IOSبرخی تنظیمات بازگرداندن –2.14آزمایش

تی در ادوات سیسکوتنظیمات پایه امنی:فصل سوم

108..........................................................................................تنظیمات پایه احراز هویت بر مبناي رمز عبور –3.1آزمایش

112.....................................................................تنظمیات احراز هویت بر مبناي پایگاه داده داخلی کاربران–3.2آزمایش

AAA ...................................................................................114لیستهاي احراز هویت بر اساس پیکربندي –3.3آزمایش

TACACS+ server......................................................117از طریق AAAتنظیمات احراز هویت بر مبناي –3.4آزمایش

SSH............................................................................................................................................119تنظیمات –3.5آزمایش

122....................................................................................................دار تنظیمات اکسس لیست هاي شماره–3.6آزمایش

126............................................................................................................نامتنظیمات اکسس لیست هاي با –3.7آزمایش

VTY line.......................................................................................129تنظیمات اکسس لیستهاي مرتبط با –3.8آزمایش

130................................................................................................................سرویس رمز نگاري کلمات عبور–3.9آزمایش

134..............................................................و تعداد دفعات ورود رمز عبور خطا Exec timeoutتنظمیات –3.10آزمایش

IOS.....................................................................................................136احراز هویت در وب سرور داخلی –3.11آزمایش

138.........................................................................................................................سرور Syslogاتصال به –3.12آزمایش

تنظیمات سوییچهاي سیسکو – 4فصل

CDP...........................................................................................................................................140 ماتیتنظ–4.1آزمایش

Page 3 of 290

Vlan...........................................................................................................................................145تنظیمات –4.2آزمایش

Vlan..........................................................................................................148تنظیمات اینترفیس مدیریت –4.3آزمایش

ISL,Dot1q......................................................................................................151ترانک مبتنی بر تنظیمات –4.4آزمایش

Etherchannel.................................................................................................................155تنظیمات پایه –4.5آزمایش

Pagp...............................................................................................161مبتنی بر Etherchannelتنظمیات –4.6آزمایش

LACP............................................................................................165 مبتنی بر Etherchannelتنظمیات –4.7آزمایش

Port Channel........................................................................................................169تنظیمات اینترفیس –4.8آزمایش

ARP................................................................................................................................173تنظمیات دستی –4.9آزمایش

VLAN Trunking Protocol-VTP........................................................................................175ت تنظیما–4.10آزمایش

VTP Pruning..................................................................................182و VTP Transparentتنظیمات –4.11آزمایش

Router-on-a-stick...............................................187از طریق روتر Inter VLAN routing تنظیمات –4.12آزمایش

Per Vlan Spaning Tree-PVST..........................................................................................191تنظیمات –4.13آزمایش

Rapid Per Vlan Spaning Tree-RPVST..........................................................................199ظیمات تن–4.14آزمایش

204......................................................................در پورتهاي سوییچ Spanin tree port fast تنظیمات –4.15آزمایش

209..............................................................................................................................گارد BPDUنظیمات ت–4.16آزمایش

STP..................................................................................NAمشخه هاي ویژه پورتهاي فعال در تنظیمات –4.18آزمایش

NA.........................................................................................پویاي امنیت در سطح اینترفیس هاتنظیمات –4.19آزمایش

NA....................................................................................... ایستاي امنیت در سطح اینترفیسهاتنظیمات –4.20آزمایش

Analyser session...............................................................................................................210تنظیمات –4.21آزمایش

WANشبکه هاي گسترده تنظمیات : فصل پنجم

Page 4 of 290

HDLC.......................................................................212و PPPطریق از T1تنظیمات ارتباط نقطه به نقطه –5.1آزمایش

Frame relay...........................................................................217ارتباط نقطه به نقطه از طریق تنظیمات –5.2آزمایش

Ppoint to point Frame relay....................................221در ارتباطات Sub interfaceتنظیمات – 5.3آزمایش

Frame relay ............................................................................225در Point to Multipoint تنظیمات–5.4آزمایش

Frame relay inverse Arp..................................................................................................229تنظیمات –5.5آزمایش

مسیر یابی استاتیک: فصل ششم

233..................................................................................................................تنظیمات مسیر یابی استاتیک–6.1آزمایش

239......................................................................................................شناور تنظیمات مسیر یابی استاتیک– 6.2آزمایش

242..............................................................................................................مسیر یابی استاتیک پیش فرض–6.3آزمایش

IPسرویسهاي : فصل هفتم

247........................................................................................................................یک به یک NATتنظیمات –7.1آزمایش

NAT Pool ..............................................................................................................................257تنظیمات –7.2آزمایش

PAT...........................................................................................................................................264تنظیمات –7.3آزمایش

DHCP Server..........................................................................................................................271تنظیمات –7.4آزمایش

DHCP ....................................................................................................NAرنج هاي مستثنی در تنظیمات –7.5آزمایش

DHCP Helper........................................................................................................................275تنظیمات –7.6آزمایش

NTP Client..............................................................................................................................280تنظیمات –7.7آزمایش

NTP Server............................................................................................................................284تنظیمات –7.8آزمایش

DNS Server...........................................................................................................................287تنظیمات –7.9آزمایش

Page 5 of 290

Page 6 of 290

مترجممقدمه

تهیه محتواي آموزشی بود که ضمن مرور مفاهیم شبکه هاي CCNAهدف اصلی از نگارش مجموعه آزمایشگاه

کامپیوتري در سطح این دوره به طور اجمال ، داراي رویکردي عملی و پروژه محور به منظور افزایش دید اجرایی

از اینرو پس از . و تئوري هاي مطرح شده در کتب و آموزشهاي مرسوم نیز باشد مهندسین شبکه نسبت به مفاهیم

CCNA Lab WorkBookتحقیق فراوان در خصوص عناوین متعددي از کتب و مقاالت مرتبط با این حوزه مجموعه

.تخاب شد و مورد ترجمه قرار گرفتان Matthew Georgeنوشته

از پولوژي واحد می باشد که با هدف به دست آوردن درك اجرایی بهترآزمایش با تو 70این مجموعه مشتمل بر

که رابط گرافیکی ابزار GNS3با ادوات سیسکو عموما رند طراحی،پیاده سازي و رفع عیب شبکه هاي مبتنی بفرای

نرم emulatorدر ساده ترین تعریف خود Dynamips.می باشد پیاده سازي شده اند Dynamipsشبیه سازي

هاي واقعی این ادوات امکان ایجاد و شبیه سازي توپولوژیهاي IOSفزاري روترهاي سیسکو است که با بهره گیري از ا

.پیچیده روتینگ و تا حدي سوییچینگ را جهت اهداف آموزشی فراهم میکند

Page 7 of 290

توپولوژي مورد استفاده در این مجموعه آموزشی

این مطرح شده در LAN ,WANهاي سراسري مورد استفاده در سناریوهاي توپولوژی در صفحات بعدي 2,3تصاویر

بخشی از این توپولوژي در هر آزمایش. طراحی و پیاده سازي خواهند شد GNS3که عموما توسط مجموعه هستند

.جدا شده و متناظر با اهداف آن آزمایش مورد تحلیل قرار میگیرد

با این ابزار قابل پیاده سازي GNS3رند که به واسطه محدودیتهاي در مباحث سوییچینگ سناریوهایی وجود دا

در صورت تمایل به برپایی یک آزمایشگاه . از ادوات واقعی استفاده خواهد شد ستند از اینرو در این سناریوها نی

واقعی با استفاده از ادوات فیزیکی ترکیب زیر پیشنهاد میشود

R1 – Cisco 3725 (128MB Flash/256MB DRAM) running 12.4(15)T14 Adv Enterprise Services. R2 – Cisco 3725 (128MB Flash/256MB DRAM) running 12.4(15)T14 Adv Enterprise Services R3 – Cisco 3725 (64MB Flash/128MB DRAM) running 12.4(25d) Adv Enterprise Services. R4 – Cisco 3725 (64MB Flash/128MB DRAM) running 12.4(25d) Adv Enterprise Services. R5 – Cisco 3725 (64MB Flash/128MB DRAM) running 12.4(25d) Adv Enterprise Services.

SW1 – Cisco 2950G-24 Port 10/100TX w/ 2x Gigabit GBIC-SX modules running Enhanced Image SW2 – Cisco 3550-24 Port 10/100TX w/ 2x Gigabit GBIC-SX modules running IP Services. SW3 – Cisco 3550-24 Port 10/100TX w/ 2x Gigabit GBIC-SX modules running IP Services.

پیاده 2620روتر slot1 واقع در NM-8A/Sمورد استفاده در فصول آتی نیز از طریق ماژول Frame Relayسوییچ

.ي از رك واقعی پیاده سازي شده با ادوات فوق را مشاهده میکنیددر زیر تصویر.سازي شده است

Page 8 of 290

CCNAرك پیاده سازي شده جهت پوشش مباحث آزمایشگاه – 1تصویر

Page 9 of 290

سراسري مورد استفاده در آزمایشگاه LANتوپولوژي : 2تصویر

Page 10 of 290

اتصاالت روتر به سوییچ

Router Local Interface Switch Remote Interface

R1 FastEthernet 0/0 Switch 1 FastEthernet 0/1







اتصاالت سوییچ به سوییچ

Local Switch Local Interface Remote Switch Remote Interface

Switch 1 FastEthernet 0/10 Switch 2 FastEthernet 0/10


















Page 11 of 290

سراسري مورد استفاده در آزمایشگاه WANتوپولوژي : 1تصویر

Frame relayتنظیمات سوییچ

Local Router Local Int. Local DLCI Remote Router Remote Int. Remote DLCI

R1 Serial 0/0 122 R2 Serial 0/0 221














Page 12 of 290







لینکهاي نقطه به نقطه سریال

Local Router Local Interface Remote Router Remote Interface

R1 Serial 0/1 R2 Serial 0/1






Page 13 of 290

هاي سیسکوآشنایی با اجزاء روتر-1.1آزمایش

Network Modules ،Wan interfaceو،این آزمایش به شما کمک میکند تا درك بهتري از تاریخچه روترهاي سیسک

cards ،Ram وFlash هدف از طراحی این آزمایش فراهم آوردن اطالعات الزم جهت .وکابلها به دست آورید

.شناسایی اجزاء روترها در کاربردهاي روزمره و متعارف می باشد

ادوات شبکه خود در سطوح شبکه هاي از اوایل دهه نود کمپانی سیسکو رویکرد جدیدي را به منظور ماژوالر نمودن

Fastداراي ساختار ثابت و غیرقابل تغییر از رده ) 2524به جز 2500سري (قبل از آن .بزرگ سازمانی در پیش گرفت

Ethernet-Serial-Token Ring وIsdn این موضوع باعث ایجاد محدودیتهاي معناداري در صرف هزینه جهت . بودند

.نطور مقیاس پذیري شبکه فعلی در آینده میشدخرید ادوات شبکه همی

سازمانها از صرف هزینه هاي مجدد براي جایگزینی هاي متعدد 1996در سال 3600پس از معرفی روترهاي سري

شرکتها به ،با معماري جدید.رهایی پیدا کردند Lanیا /و Wanروترها به دالیلی همچون افزایش تعداد پورتهاي

NMارتقاء دهند یا با افزودن T1 به WIC (WAN Interface Card)خود را با جایگزینی ISDNند ادوات آسانی میتوانست

(Network Module) تعداد بیشتريFast ethenet به روتر فعلی اضافه نمایند.

رها نسل جدیدي از روت.نقطه عطفی براي کمپانی سیسکو محسوب میشد 1998درسال 2600معرفی روترهاي سري

چندگانه با طراحی ویژه به منظور ارائه همزمان سرویسهاي يبا قابلیت ارائه سرویسها

Voice,data,video,wireless 3600با همه قابلیتها یک نقیصه کوچک داشت که در سري 2600سري .به بازار آمدند

اي که تجربه کار با سري متخصصین شبکه.بود Pcmcia Slotمبتنی بر Flashمشاهده نمیشد و آنهم وجود حافظه

باعث Flash Card وجود IOSرا داشتند میدانستند که در شرایط بحران و بازیابی تنظیمات همینطور تغییر 3600

.معماري جدید وجود نداشت ابتداي معرفی تسریع در و تسهیل اینگونه فرایندها میشود ، ویژگی که در

در این معماري بود .معرفی شدند 2600ریبا به طور همزمان با سري تق 3745و 3725مشتمل بر روترهاي 3700سري

از خانواده حافظه دوربینهاي دیجیتال حرفه اي امروزي معرفی CF(Compact Flash)که اول بار استفاده از حافظها

هاي سري و فایروال ISR(Integrated service Routers) 3800و2800حتی امروزه نیز تجهیزاتی از قبیل سري.شد

ASA 5500 و تعداد بیشماري از ادوات دیگر با قابلیت پشتیبانی از حافظه هايCF طراحی میشوند که به مراتب از

.نسل قبلی حافظه ها سریعتر و قابل اعتماد تر هستند

با بروزرسانیهاي متعددي از قبیل استفاده از آخرین سري پردازنده هاي 2600XMسري جدید 2002در سال

Motorola ،125MHZ SDRAM 48، پشتیبانی ازMB حافظهFlash 128و پشتیبانی تاMB RAM ارائه شد .

.شد 256MB RAMپشتیبانی تا به سري فوق قادر bootrom (8r)12.2کمی بعد با ارائه نسخه جدید

Page 14 of 290

عنوان برادر به 2691سري .معرفی شد 2600به عنوان سریعترین سکوي سري 2600XMهمزمان با سري 2691سري

در یک مقایسه نظیر به نظیر آنها کامال شبیه به نظر میرسند هرچند که توان . شناخته میشود 3725کوچکتر سري

. عملیاتی عمومی همینطور پشتیبانی از تعداد ماژولها و قیمت آنها را از هم جدا میکند

به 400mbpsبا سرعت جمعا HWIC (High-speed WAN Interface Card’s)از ماژولهاي 3800و 2800، 1800سري

را روي هر 8mbpsقدیمی حداکثر WICصورت توزیع شده بین همه اسالتها پشتیبانی میکند در حالی که تکنولوژي

Pci Bus 2600به عنوا مثال سري .ارائه میکردXM داراي دو اینترفیسWIC مجزا روي یک باس مشترك میباشد

و در این حالت استفاده کند 4Mbpsیا دو پورت با سرعت 8Mbpsبا سرعت WIC-2Tک نتیجه اینکه میتواند از ی

-NMاین محدودیت همینطور روي ماژولهاي .قابل استفاده نیست WICبه دلیل استفاده از باس مشترك اسالت دوم

1FE2W, NM-1FE1R2W, NM-2FE2W and NM-2W اعمال میشود.

توزیع شده مابین همه اسالتها 400Mbpsبا مجوع سرعت HWICاسالت 4 داراي 2801به جز 2800روترهاي سري

به طور مشترك مابین 1.2Gbpsباسرعت NME(Netwok Module Enhanced)به عالوه یک یا بیش از آن اسالت

.دنمیباش NMماژولهاي قدیمی 600Mbpsهمه اسالتهاي این پلتفرم در مقایسه با سرعت

Advanced Integration)و مدلهاي جدیدتر داراي اسالتهاي توسعه داخلی به نام 3700و 2600پلتفرمهاي بسیاري مانند

Module) AIM عناوین متعددي از .به منظور افزودن قابلیتها و سرویسها ویژه به پلتفرمهاي مورد نظر هستندAIM ها نظیر

AIM-CU که ماژولCisco unity Express به منظور ارائه سرویسVoice mail براي سیستمUnified

Communications Manager Express و یا ماژولAIM-VPN جهت رمزنگاري ترافیک با هدف برداشتن بار محاسباتی

رمزنگاري از روي پردازنده اصلی روتر است را میتوان نام برد

ها،کارایی، حداکثر در جدول زیر مشخصه عمومی روترهاي معمول امروزي و دیروزي را مشتمل بر پورتها، اسالت

RAMوFlash مشاهده میکنید

Cisco 2500 Series Routers

Router RAM Flash Serial* AUI Ethernet RJ-45 Token Ring ISDN Async Lines*

2501 16MB 16MB 2H 1 0 0 0 0

2502 16MB 16MB 2H 0 0 1 0 0

2503 16MB 16MB 2H 1 0 0 1 0

2504 16MB 16MB 2H 0 0 1 1 0

2507 16MB 16MB 2H 1 16 Hub Ports 0 0 0

2509 16MB 16MB 2H 1 0 0 0 8 Lines Octal

2509-RJ 16MB 16MB 1H 1 0 0 0 8 Lines RJ-45



2511-RJ 16MB 16MB 1H 1 0 0 0 16 Lines RJ-45


2513 16MB 16MB 2H 1 0 1 0 0

Page 15 of 290

2514 16MB 16MB 2H 2 0 0 0 0

2515 16MB 16MB 2H 0 0 2 0 0

2516 16MB 16MB 2H 0 14 Hub Ports 1 Ethernet Port 0 1 0

2518 16MB 16MB 0 1 24 Port Module 0 0 0

2520 16MB 16MB 2H 2L 1 0 1 0

2521 16MB 16MB 2H 2L 0 0 1 0

2522 16MB 16MB 2H 8L 1 – Shared 0 1 0

2523 16MB 16MB 2H 8L 0 1 1 1 0

2524 16MB 16MB 0 1 – Shared 0 0 0

2525 16MB 16MB 0 0 1 1 1 0

:توجه

داراي پردازنده 2500سري باستانیMotorola 68030 20 MHz . پین 80یک اسالتSIMM RAM اسالت و دو

SIMM Flash میباشد.

2داراي 2500برخی از سریهايMB DRAM حافظه اشتراکی هستند/لحیم شده روي برداصلی جهت بافر

ازAsync lines میتوان به عنوان پورت مودم یا خطوط ترمینال در اکسس سرور استفاده کرد


Router RAM Flash* CPU Ethernet WIC ISDN 56k DSU Performance

1601 24MB 16MB 33Mhz AUI RJ45 Shared 1 0 0 4k pps

1602 24MB 16MB 33Mhz AUI RJ45 Shared 1 0 1 4k pps

1603 24MB 16MB 33Mhz AUI RJ45 Shared 1 1 BRI 0 4k pps

1604 24MB 16MB 33Mhz AUI RJ45 Shared 1 1 NT1 0 4k pps

1605 24MB 16MB 33Mhz 1 RJ45 – 1 Shared 1 0 0 4k pps

:توجه

از حافظه هاي 1600سريPCMCIA Flash Card استفاده میکند

از پردازندهMotorola 68360 33Mhz استفاده میکند

Cisco 3600 Series Routers Router RAM Flash CPU Ethernet WIC NM AIM Performance

3620 64MB 32MB 80Mhz None 0 2 0 20-40k pps

3631-CO 256MB 128MB 240Mhz None 2 2 2 70k pps

3640 128MB 32MB 100Mhz None 0 4 0 50-70k pps

3660 64MB 64MB 225Mhz 1 or 2 Fast Eth 0 6 2 100-120k pps

3661-CO 64MB 64MB 225Mhz 1 or 2 Fast Eth 0 6 2 100-120k pps

3662 256MB 64MB 225Mhz 1 or 2 Fast Eth 0 6 2 100-120k pps

:توجه

حافظه هاي از معماري کامال ماژوالر داشته و 3600 سريPCMCIA Flash Cards استفاده میکنند

3620 از پردازنده هاي 3640وIDT R7000 RISC Processor استفاده میکنند

3631 از پردازندهPMC-Sierra RM7061A RISC Processor استفاده میکند

3660 از پردازندهQED RM5271 RISC Processor استفاده میکند

Page 16 of 290

Cisco 2600 & 2600XM Series Routers

Router RAM Flash CPU Ethernet WIC NM AIM Performance

2610 64MB 16MB 40Mhz 1 10Base-T 2 1 1 15k pps

2611 64MB 16MB 40Mhz 2 10Base-T 2 1 1 15k pps

2612* 64MB 16MB 40Mhz 1 10Base-T 2 1 1 15k pps

2613* 64MB 16MB 40Mhz None 2 1 1 15k pps

2620 64MB 16MB 50Mhz 1 Fast Ethernet 2 1 1 25k pps




2610XM 128MB 48MB 40Mhz 1 Fast Ethernet 2 1 1 20k pps







:توجه

از پردازنده هاي 2600سريMCP860 PowerQUICC استفاده میکند

2612داراي 2613وToken ring port Rj45 هستند

2691 و داراي هردو حافظه داخلیCF میباشد

2620 32داراي قابلیت پشتیبانی از 2621وMB حافظهFlash 12.1با(3r) bootrom یا جدیدتر هستند

2600سريXM 256داراي قابلیت پشتیبانی ازMB DRAM 12.2با استفاده از(8r) bootrom است

Cisco 1700 Series Routers Router RAM Flash CPU Ethernet ISDN WIC VIC Performance


1710 96MB 16MB 48Mhz 1 Fast Eth & 1 10Base-T 0 0 0 7k pps

1711 64MB 16MB 100Mhz 1 Fast & 4 10/100 Switch 0 0 0 13.5k pps

1712 128MB 32MB 100Mhz 1 Fast & 4 10/100 Switch 1 0 0 13.5k pps

1720 48MB 16MB 48Mhz 1 Fast Ethernet 0 2 0 8.5k pps


1750 48MB 16MB 48Mhz 1 Fast Ethernet 0 2 1 8.5k pps


1760 128MB 64MB 80Mhz 1 Fast Ethernet 0 2 4* 16k pps

:توجه

از پردازنده هاي 1700سريMCP RISC PowerQUICC استفاده میکند

1711 داراي سخت افزار اختصاصی سرویس 1712وVpn هستند

و باالتر امکان نصب ماژول 1720درAIM-Vpn دارد وجود

1711 56داراي مودم آنالوگk v.90 است

Page 17 of 290

1760 اسالت 4داريVIC است که دوتاي آن صرفا ازwic پشتیبانی میکند

Cisco 3700 Series Routers Router RAM Flash CPU Ethernet WIC NM AIM HDSM Performance

3725 256MB 128MB 240Mhz 2 Fast Ethernet 3 2 2 1 100k pps


:توجه

ماژولهاي 3700سريHigh Density Service Modules (HDSM’s) پشتیبانی میکنند

345 12.3ازطریق(6r) Bootrom 512تاMB DRAM پشتیبانی میکند

از قابلیت 3700سريOnline Insertion & Removal (OIR) جهتNM ماژولها و منابع تغذیه پشتیبانی

میکنند

Cisco 1800 Series Routers Router RAM Flash CPU Ethernet aDSL HWIC WiFi USB Perform.

1801 384MB 128MB ? 1 Fast Ethernet aDSL Over Pots

0 Yes 0 70k pps

1802 384MB 128MB ? 1 Fast Ethernet aDSL over ISDN

0 Yes 0 70k pps

1803 384MB 128MB ? 1 Fast Ethernet SHDSL 0 Yes 0 70k pps

1805 384MB 128MB ? 1 Fast Ethernet None 0 Yes 2 70k pps



1841 384MB 128MB 250Mhz 2 Fast Ethernet Yes* 2 No* 1* 75k pps

1861 384MB 128MB 250Mhz 2 Fast Ethernet None 1 No 0 75k pps

:توجه

از پردازنده هاي سري 1800تمام مدلهايQED RM52xx استفاده میکندد

1841 از طریقHWIC-AP از وایرلس پشتیبانی میکند

1841 دارايUsb 1.1 است مابقیUsb 2

1841 ازaDSL & G.SHDSL WIC and HWIC’s پشتیبانی میکند

1841 داراي یکAIM اسالت است

1805 مدیریت پذایر است 10/100پورت 4داراي

1861 پورت 4دارايFXS 2وx BRI S/T, 8 Port POE 10/100 است


Router RAM Flash CPU Ethernet HWIC NME AIM DSP Perform.



2821 1GB 256MB 466Mhz 2 Gigabit Eth 4 4 2 3 170k pps


Page 18 of 290

:توجه

داراي پردازنده مجزا جهت رمزنگاري کانالهاي 2800تمام مدلهايvpn هستند

داراي قابلیت نصب 2800تمامی مدلهايDsp processor ت پردازشهاي جهVoice هستند

2801 ازHWIC-1GE (1 Port SFP HWIC) پشتیبانی نمیکند

از 2800مدلهايHWIC-1FE و نهHWIC-2FE براي . پشتیبانی میکنندHWIC-2FE است 3800نیاز به سري


Router RAM Flash CPU Ethernet HWIC NME AIM DSP Perform.



:توجه

از 3800سريHigh Density Service Modules (HDSM’s) پشتیبانی میکنند

داراي یک 3800سريsingle Small Pluggable Form-factor (SFP) ماژول هستند

3825 پردازنده دارايBroadcom BCM1125H 500 MHz

3845 داراي پردازنده دو هسته ايBroadcom BCM1250 650 MHz است

Page 19 of 290

اتصال به ادوات سیسکو از طریق کنسول-1.2آزمایش

در این آزمایش از یک .میپردازد DB9 to RJ45سوییچ ازطریق کابل /این آزمایش به چگونگی اتصال به کنسول روتر

نرم .که در دل ویندوز موجود میباشد استفاده خواهیم کرد HyperTerminalو یا Puttyافزار ترمینال مانند نرم

SecureCRTافزارهاي متعددي در این خصوص وجود دارند مانند دو مورد رایگانی که در باال اشاره شد و یا نرم افزار

.TeraTermیا

کاربرد عملی

مواردي . پیش می آید که نیاز به تنظیم یک تجهیز سیسکو از طریق کنسول داریمدر دنیاي واقع مواقع زیادي

یا حتی )Image restoration(همچون اماده سازي یک تجهیز تازه خریداري شده،بازگرداندن تنظیمات قبلی

از دست داده Access listهنگامی که دسترسی از طریق شبکه خود به تجهیز مورد نطر را به دلیل تنظیمات اشتباه

.ایم

:نیازهاي آزمایشپیش

نرم افزار ترمینال مانندPutty, HyperTerminal , SecureCRT

کابل کنسول یاrollover- با توجه به اینکه بیشتر کامپیوترهاي امروزي فاقدSerial port هستند استفاده

توصیه میشود Rs232به Usbاز تبدیل

اهداف آزمایش

جهیز سسیسکو از طریق کنسول و مشاهده برقراري اتصال به تCli prompt

دستورالعمل آزمایش

با اینکه عموما نرم افزارهاي ترمینال داراي تفاوتهایی در ویژگیها و پروتکلهاي مورد پشتیبانی دارند اما همه انها یک

در این نوشتار از .است هدف واحد را دنبال میکنند و آن امکان برقراري اتصال به تجهیز مورد نظر و پیکربندي آن

Putty جهت برقراي اتصال و مشاهده خط فرمان استفاده خواهیم کرد

تجهیز متصل کنیدکابل کنسول را به کامپیوتر متصل کنید و سر دیگر آنرا به پورت کنسول .1

را اجرا میکنید با صفحه تنظیمات زیر روبرو میشوید puttyهنگامی که براي اولین بار .2

Page 20 of 290

puttyپورت ارتباطی پیش فرض براي ارتباطات سریال Com1.انتخاب میشود Serialگزینه SSHبه جاي .3

که کابل کسنول به آن متصل شده نیار به تغییر آن داشته Com portممکن است با توجه به شماره .است

جهت ارتباطات سریال است همینطور سرعت پیش فرض puttyهم سرعت پیش فرض Baud 9600.باشیم

تنظیم میشود Configuration Register 0×2102ت سیسکو که از طریق ادوا

Page 21 of 290

مطابق شکل زیر ذخیره کنید "Cisco Console"تنظیمات ارتباط را با نام .4

پنجره openذخیره شد با کلیک روي دکمه Tempalateپس از اینکه تنظیمات با موفقیت به صورت .5

پس ار .اکنون تجهیز سیسکو را روشن کنید.است دستگاه مینالپنجره تر که همانجدیدي پدیدار میشود

فاقد اطالعات میباشد اعالن تنظیمات اولیه دستگاه را مشاهده Nvramبوت شدن دستگاه با فرض اینکه

وارد مرحله بعدي شوید در Enterرا بفشارید پس از آن از شما میخواهد با فشردن "n"کلیک .خواهید کرد

یه به این خواهد بوداین حالت پنجره شب

Page 22 of 290

جهت تنظیمات و پیکربندي دستگاه سیسکو خود شده اید cliمحیط اکنون وارد

Page 23 of 290

آشنایی با سیستم عامل روتر و سوییچ-1.3آزمایش

در حال اجرا بر Cisco Internetwork Operating System (Cisco IOS)این آزمایش به بررسی مشخصه هاي

ردازدروي ادوات سیسکو می پ


و با چه ویژگی در حال اجرا بر روي ادوات سیسکو ما میباشد نقشی تعیین کننده IOSدانستن اینکه چه نسخه اي از

براي درك بهتر این مفهوم به مشخصه هاي . در برنامه ریزي و پیاده سازي مشخصه هاي مورد نیاز خواهد داشت

Basic, Home Edition, Home Premium, Business, Ultimate andمانند 7نگارشهاي مختلف ویندوز

Enterprise توجه کنید،درIOS سیسکو هم چنین نام گذاري هایی را تحت عنوان“Feature set” شاهد هستیم که

بیانگر نوع ویژگیهاي قابل ارائه در آن توزیع هستند در ادامه به چگونگی قواعد این نام گذاري ها خواهیم پرداخت

نیازهاي آزمایش پیش

و اتصال به کنسول دستگاه 1.2مطالعه آزمایش


و مشخصه هاي شناسایی نگارشIOS در حال اجرا


اولین راه ، مطالعه پیامهاي . در حال اجرا روي ادوات سیسکو وجود دارد IOSراههاي متعددي براي شناسایی

فایل بارگذاري شده از فلش نمایش داده میشود که نشانگر نام Imageن فرایند نام طی ای.سیستمی فرایند بوت است

مورد نظر می IOSیا مشخصه هاي فنی Feature Setو IOSمورد نظر است این نام بیانگر شماره نگارش IOSفایل

.باشد

که از طریق آن میتوان به در لیست زیر بخشی از اطالعات نمایش داده شده طی فرایند بوت را مشاهده می کنید

.و مشخصه هاي نسخه در حال استفاده پی برد IOSنگارش

Cisco Internetwork Operating System Software

Page 24 of 290

IOS (tm) 3600 Software (C3620-IK9O3S7-M), Version 12.3(25), RELEASE SOFTWARE (fc1)

در ادامه توضیح داده (یانگر ویژگیها و نوع بارگذارياین عبارت ب.توجه کنید C3620-IK9O3S7-Mدر خط دوم به

.در ادامه آن شماره نگارش نمایش داده شده است.در حال بارگذاري است IOS) خواهد شد

این دستور اطالعات .است Show Versionاستفاده از دستور IOSرایج ترین راه به دست آوردن مشخصه هاي

عه ویژگیهاي ان همینطور اطالعات سخت افزاري مرتبط با دستگاه مورد و مجمو IOSمختلفی درمورد شماره نگارش

.استفاده را نشان می دهد

نشان میدهد 3620لیست زیر خروجی این دستور را بر روي روتر

Router#show version Cisco Internetwork Operating System Software IOS (tm) 3600 Software (C3620-IK9O3S7-M), Version 12.3(25), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2008 by cisco Systems, Inc. Compiled Mon 28-Jan-08 20:16 by alnguyen ROM: System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) Router uptime is 23 minutes System returned to ROM by reload System image file is "flash:c3620-ik9o3s7-mz.123-25.bin" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to [email protected]. cisco 3620 (R4700) processor (revision 0x81) with 60416K/5120K bytes of memory. Processor board ID 24807256 R4700 CPU at 80MHz, Implementation 33, Rev 1.0 Bridging software. X.25 software, Version 3.0.0. 2 FastEthernet/IEEE 802.3 interface(s) 32 terminal line(s) DRAM configuration is 32 bits wide with parity disabled. 29K bytes of non-volatile configuration memory. 32768K bytes of processor board System flash (Read/Write)

Page 25 of 290

Configuration register is 0x2102 Router#

همانند اطالعات اخذ شده از فرایند بوت می باشند و تفاوتی مشاهد 4و3و2همانطور که از خروجی برمی آید خط هاي

-flash:c3620-ik9o3s7-mz.123“خواهید دید که فایلی که سیستم از آن بوت شده است 13در خط .نمی شود

25.bin” ن نام واقعی نام دارد ایImage فایلی است که در حال حاضر روتر بر مبناي آن کار میکند .

این قواعد نام گذاري .بود IOSسیسکو داراي مکانیزم نام گذاري پیچیده اي براي بیان ویژگیهاي 12.4قبل از نگارش

.بود IOSمشتمل بر حروفی بودند که هریک بیانگر ویژگی خاصی در

.از آن استفاده میشد 12.4کاراکترهاي شناسایی است که پیش از نسخه جدول زیر شامل حروف و

I IP

Y IP on 1700 Series Routers

S S6 S7

IP Plus IP Plus – No ATM IP Plus – No Voice

J Enterprise

O IOS Firewall/Intrusion Detection

K K8 K9

Cryptography/IPSEC/SSH 56Bit DES Encryption (Weak Cryptography) Triple DES / AES Encryption (Strong Cryptography)

X H323

G Service Selection Gateway (SSG)

C *C

Remote Access Server Can also be Packet Data Serving Node (PDSN)

B Apple Talk

N Novel IP/IPX

V *V

VOX This can be Video Feature set as well in the near future.

R IBM

U Unlawful Intercept

P Service Provider Services

Telco Telecommunications Feature Set

Boot Boot Image (Used on high end MSR’s such as 7200 Series)

IOSنشانگرهاي بیانگر ویژگیهاي فنی -2.1جدول

نام فایل مذبور . مثال خودمان میکنیم IOSاکنون با توجه به قواعد فوق اقدام به شناسایی مشخصه هاي

flash:c3620-ik9o3s7-mz.123-25.bin بود که با شکست ان به اجزاي تشکیل دهنده خواهیم داشت:

Page 26 of 290

را شناسایی میکنیم IOSال مشخصه هاي در قدم بعدي با توجه به جدول با

i = IP k9 = Strong Cryptography (3DES / AES) o3 = IOS Firewall/Intrusion Detection s7 = Plus (7 = No Voice)

این دو مشخصه نیز در فرایند نام گذاري .در نحوه بارگذاري و فشردگی با هم تفاوت دارند IOSفایلهاي Imageبیشتر

IOS حاظ شده است با دقت به ساختار تفکیک شده قبل درخصوص نحوه فشرده سازي و بارگذاري و مراجعه به ل

RAMاستفاده میکند و بارگذاري آن نیز از Zipمورد نظر ما از فشره سازي imageجدول زیر در خواهیم یافت که

.صورت می گیرد

f The image executes from Flash memory.

m The image executes from RAM.

r The image executes from ROM

l The image is relocatable.

z The image is compressed using ZIP format.

x The image is compressed using MZIP format.

w The image is compressed using STAC format.

ذارينشانگرهاي فشره سازي و بارگ-2.2جدول

این قرارداد .معرفی کرد IOSبه بعد سیسکو قرارداد جدیدي را براي نام گذاري مجموعه مشخصه هاي 12.4از نگارش

مورد استفاده قرار گرفت 12.4آغاز شد و اولین در نگارش 12.3جدید در نگارش

Page 27 of 290

تبه باال اس 12.3Tهاي سیسکو از نسخه IOSشکل زیر دربردارنده اصول جدید نام گذاري

روترهاي سیسکو IOSقرارداد جدید نام گذاري -2.1تصویر

ساخته IP Voiceایمیج پایه است،از این ایمیج پایه IP Baseبا حرکت از پایین با باالي درخت فوق در میابیم که

.را خواهیم داشت Enterprise Base و Advanced Securityمیشود و پس از ان دو شاخه اصلی

IP Voice مچنین داراي قابلیت ارتقاء به سرویسهاي هService Provider است مشتمل بر مشخصه هايSP

Services وIP Voice وIP Base .

.هستند Advanced Encryption Standard (AES)داراي مشخصه رمز نگاري ”Advanced“فقط ایمیج هاي

مشاهده میکنیمخالصه قراردادهاي جدید نام گذاري را در گروه هاي زیر

Base : ایمیج پایه با مشخصهIP Base, Enterprise Base

Services : معرف سرویسهاي پیشرفتهVoice ،MPLS ،and Atm Voice over Frame Relay با

SP Services, Enterprise Servicesمشخصه

Advanced : معرف قابلیتهايVpn ،Cisco IOS Firewall،3DES encryption ، IPSec ، Intrusion

Detection Systems (IDS) با مشخصهAdvanced Security, Advanced IP Services

:Enterprise معرف پروتکلهاي اضافه اي همچونIpx,Apple talk با مشخصهEnterprise Base و

Enterprise Services است.

Page 28 of 290

.گذاري وجود دارند دقیقا مانند روترها براي سوییچ ها نیز چنین قواعد نام

سوییچ هاي سیسکوIOS قوانین نام گذاري جدید -2.2شکل

روترهاي سیسکو، مطابق با قوانین جدید نام گذاري را مشاهده میکنید IOSدر سطرهاي زیر نام تعدادي از ایمیج هاي

2800روتر

c2800nm-adventerprisek9-mz.124-21.bin c2800nm-ipbase-mz.124-21.bin

سوییچCatalyst 3750

c3750-advipservicesk9-mz.122-44.SE.bin c3750-ipservicesk9-mz.122-44.SE.bin c3750-ipbase-mz.122-44.SE.bin

IP Base

این شناسه نام . شناخته میشود 3550روي سوییچها سري Standard Multilayer Image (SMI)رسما به عنوان

.می باشند Advanced Qos-Rate limiting-Acls-static routing ,Ripبیانگر ویژگیهایی همچون

IP Service

Page 29 of 290

داراي مشخصه هاي .شناخته میشود 3550روي سوییچهاي Enhanced Multilayer Image (EMI)رسما به عنوان

enterprise class routing - hardware-based IP Unicast and IP Multicastفنی بیشتري همچون

routing وpolicy based routing (PBR) است

Advanced IP Services

Ipv6داراي ویژگیهایی همچون . این مشخصه از طریق پرداخت هزینه مجزاي خرید الیسنس قابل تهیه است

Routing وIpv6 ACL support است.

Enterprise Services & Advanced Enterprise Services

پشتیبانی توسط پلتفرم مورد نظر هستند همینطور گرانترین از لحاظ الیسنس محسوب حاوي تمام ویژگیهاي قابل

قابل نصب هستند 6500و 4900، 4500تنها بر روي سویچهاي ماژوالر سري ها IOSسري از این .میشوند

در سطرهاي زیر تعدادي از سوییچها معمول به همراه مشخصه الیسنس همراه با آنها را مشاهده میکنید

C3560-24PS-S = Cisco 3560 Series 24 Ports PoE with Standard Image (IP Base) C3750-48TS-E = Cisco 3750 Series 48 Port Non-PoE with Enhanced Image (IP Services)

این .به صورت الیه دو فعالیت میکنند از مدل الیسنس متفاوتی پیروي میکنند 2960از آنجایی که سوییچهاي سري

Enhanced و Standard Imageشامل دو گروه مشخصه اصلی میباشد به نامهاي 2950مدل الیسنس مانند سروي

Image اما گروه مشخصه هاي جدید این سريLan based وLan Lite این گروه مشخصه هاي جدید .نام دارند

Qos,Gigabit Ethernet,Rps,Rstp,Linkstate tracking,Dot1x,Dhcp snoopingویژگیهاي متفاوتی همچون

.به ارمغان می آورد 2960و بسیاري ویژگیهاي جدید را براي سري

گروه .معرفی شده است Universal imageتحت نام کلی IOSبه بعد نسل جدید از IOS 15.0امروزه و با معرفی

میبایست هر IOSاي متعدد این مشخصه هاي این نسل تفاوتی با نسل قبل نداشته اما به منظور استفاده از ویژگیه

به دنبال فایل الیسنس IOSطی فرایند بوت، .فعال کرد NVRAMگروه از آنها را از طریق الیسنس فایل در محل

هر الیسنس .میگردد و پس از یافتن آن ویژگیهاي متناظر با الیسنسی را که خریداري شده است را ا فعال میکند

به پلتفرم دیگر !) کپی(فرم اختصاصی خود می باشد به این معنی که قابل انتقالفایلی متعلق به شماره سریال پلت

.نیستند

Page 30 of 290

فایل مشترك Unevirsal imageهمگی از یک 3900و 2900و 1900نسل جدید روترهاي سیسکو مانند سري

این ویژگی همچنین .استفاده میکنند و با توجه به نوع ویژگیهاي که ارائه خواهند کرد نیازمند الیسنس مرتبط هستند

.پیاده شده است 3560E, 3750Eبر روي سوییچهاي

:مثال

c3560e-universalk9-mz.122-50.SE2.bin c3750e-universalk9-mz.122-50.SE2.bin c3900-universalk9-mz.150-1M.bin

Page 31 of 290

تنظمیات پایھ اکسس سرور مورد استفاده در آزمایشگاه – ١.٤آزمایش

در این آزمایش یک دستگاه اکسس سرور را با هدف دسترسی به همه سوییچها و روترهاي مورد استفاده در این

.آزمایشگاه و مدیریت آنها از یک نقطه مرکزي خواهیم پرداخت

در صورتیکه با تنظیمات مرتبط با روترها آشنایی ندارید میتوان از این مبحث عبور کرد و پس از آشنایی :توضیح

دا به آن پرداختمجد


عموما در سازمانهایی که داراي تعداد زیادي ادوات سیسکو هستند از اکسس سرور جهت دسترسی و مدیریت مرکزي

اموري همچون اعمال کانفیگهاي روزمره تا بوت . این ادوات به جاي اتصال مجزا به هر یک از این ادوات استفاده میشود

.و بسیاري دیگر را از این طریق میتوان انجام داد IOSد ریکاوري ،ارتقاء جهت پسور Rommonبه محیط

پیش نیازهاي آزمایش

و برقراري اتصال کنسول به اکسس سرور 1.2تکمیل آزمایش

اتصالAsync Line هاي اکسس سرور به ادوات متناظر به شرح زیر:

Line 1 – Router 1 Line 2 – Router 2 Line 3 – Router 3 Line 4 – Router 4 Line 5 – Router 5 Line 6 – Router 6 Line 7 – Switch 1 Line 8 – Switch 2 Line 9 – Switch 3


تخصیصHostname به اکسس سرور

ایجاد یک لوپ بک اینترفیس جهت برقراريTelnet از سمت آن به سایر ادوات

تنظیم جدولIP Host جهت برقراري ارتباط هاي Telnet معکوس روي خطوطAsync

تنظیم خطوطAsync جلوگیري از ایجاد منظور بهExec session با اکسس سرور

فعال کردن قابلیتTelnet روي خطوطasync

دستور العمل آزمایش

Page 32 of 290

به اکسس سرور Hostnameتخصیص

Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z Router(config)#hostname Access_Server

Access_Server(config)#

از سمت آن به سایر ادوات Telnetایجاد یک لوپ بک اینترفیس جهت برقراري

Access_Server(config)#interface loopback 0 Access_Server(config-if)#ip address 10.10.10.10 255.255.255.255 Access_Server(config-if)#exit

Access_Server(config)#

Asyncمعکوس روي خطوط Telnetجهت برقراري ارتباط هاي IP Hostتنظیم جدول

Access_Server(config)#ip host r1 2001 10.10.10.10 Access_Server(config)#ip host r2 2002 10.10.10.10 Access_Server(config)#ip host r3 2003 10.10.10.10 Access_Server(config)#ip host r4 2004 10.10.10.10 Access_Server(config)#ip host r5 2005 10.10.10.10 Access_Server(config)#ip host r6 2006 10.10.10.10 Access_Server(config)#ip host sw1 2007 10.10.10.10 Access_Server(config)#ip host sw2 2008 10.10.10.10 Access_Server(config)#ip host sw3 2009 10.10.10.10

با اکسس سرور Exec sessionجلوگیري از ایجاد بهم منظور Asyncتنظیم خطوط

Access_Server(config)#line 1 16 Access_Server(config-line)#no exec

asyncروي خطوط Telnetفعال کردن قابلیت

Access_Server(config-line)#transport input telnet

تک خطوط انرا جهت حصول اطمینان از صحت امکان برقراري تماس آن با ادوات متناظر پس از کانفیگ دستگاه تک

.تست میکنیم

Access_Server#r1 Trying r1 (10.10.10.10, 2037)… Open % Please answer ‘yes’ or ‘no’. Would you like to enter the initial configuration dialog? [yes/no]:

Page 33 of 290

شکالت احتمالی در کانفیگ دستگاه ، دستورات متعددي جهت یافتن و رفع انها وجود دارد مانند جهت بررسی م

دستور زیر

Access_Server#show host Default domain is not set Name/address lookup uses domain service Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate temp - temporary, perm - permanent NA - Not Applicable None - Not defined Host Port Flags Age Type Address(es) r1 2001 (perm, OK) 0 IP 10.10.10.10 r2 2002 (perm, OK) 0 IP 10.10.10.10 r3 2003 (perm, OK) 0 IP 10.10.10.10 r4 2004 (perm, OK) 0 IP 10.10.10.10 r5 2005 (perm, OK) 0 IP 10.10.10.10 r6 2006 (perm, OK) 0 IP 10.10.10.10 sw1 2007 (perm, OK) 0 IP 10.10.10.10 sw2 2008 (perm, OK) 0 IP 10.10.10.10 sw3 2009 (perm, OK) 0 IP 10.10.10.10 Access_Server #

که اطالعات ارتباطهاي فعال با ادوات تحت مدیریت را نشان میدهد Show sessionsو یا دستور

Access_Server#show host Default domain is not set Name/address lookup uses domain service Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate temp - temporary, perm - permanent Access_Server#show session Conn Host Address Byte Idle Conn Name * 1 r1 10.10.10.10 0 3 r1 Access_Server#

Page 34 of 290

Gns3نصب شبیه ساز گرافیکی -1.5آزمایش

خواهیم پرداخت و تا پایان مباحث از این ابزار جهت ترسیم و شبیه سازي Gns3آزمایش به نصب نرم افزار در این

هاي IOSشبیه ساز روترهاي سخت افزاري سیسکو است و قادر به اجراي Gns3.توپولوژیها استفاده خواهیم کرد

رادي که عالقمند به یادگیري چگونگی به عنوان ابزاري کمک آموزشی براي اف Gns3.واقعی این ادوات می باشد

ابزاري است که توسط تمام افرادي که Gns3.پیکربندي ادوات همینطور اخذ مدارك سیسکو می باشند به کار می رود

این ابزار ماهیتا با .به کار می رود CCIEتا CCNAعالقمند به یادگیري مفاهیم عملیاتی سیسکو می باشند از سطح

آموزش مفاهیم سیسکوساخته شد اما در دنیاي واقعی کاربردهاي مهمی از قبیل آزمایش و تایید هدف کمک به فرایند

.صحت کانفیگ هاي انجام شده روي ادوات را نیز با آن به انجام می رسانند


یک دستگاهPC 2حداقل دوهسته اي باGB RAM آزاد

دانلود نرم افزار از آدرسhttp://www.gns3.net/download


دانلود نرم افزارGNS3

نصب آن روي کامپیوتر


که در شکل زیر نمایش داده شده Installation Wizardپس از دانلود نرم افزار از آدرس فوق با صفحه .1

.است روبرو خواهید شد

Page 35 of 290

واهیم شد با تایید آن وارد صفحه بعد خ License Agreementوارد صفحه NEXTبا کلیک روي دکمه .2

میشویم

با پنجره تعیین نام براي پوشه نمایش داده شده در منوي استارت License Agreementپس از پذیرش .3

NEXTروي دکمه " GNS3"روبرو خواهیم شد در صورت تمایل این نام را عوض میکنیم و یا با پذیرش

کلیک میکنیم

Page 36 of 290

روبرو GNS3انتخاب بسته هاي نرم افزاري قابل نصب موجود در نصب کننده در صفحه بعدي با گزینه .4

به packet analysisو Packet Captureکتابخانه اي است که با هدف /ابزار WinPCAP .خواهیم شد

قلب این نرم افزار می باشد و شبیه ساز اصلی روترهاي سیسکو در Dynamips .نصب میشود GNS3همراه

صرفا پوسته اي گرافیکی است که بر روي این این ابزار سوار شده و اجازه ترسیم GNS3ر است،واقع این ابزا

PIXشبیه ساز سخت افزار PemuWrapper .نرا به صورت نمادین می دهدآتوپولوژي و مشاهده عمکلرد

.را داشته باشند GNS3امکان پیاده سازي بر روي PIXاست و اجازه میدهد تا شبکه هاي شامل

C:\Programبه طور پیش فرض این مسیر . مشخص خواهد شد GNS3در صفحه بعد مسیر نصب .5

Files\GNS3 بیتی به 64است در صورت استفاده از ویندوزC:\Program Files (x83)\GNS3 تغییر

.خواهد یافت

کردمطابق شکل زیر خواهد WinPCAPاقدام به دانلود و نصب GNS3نصب کننده در صفحه بعد .6

Page 37 of 290

.خواهیم شد WinPCAPوارد صفحه اصلی نصب NEXTبا کلیک روي .7

مورد پذیرش قرار میگیرد License Agreementدر صفحه بعدي .8

Page 38 of 290

به اتمام خواهد رسید WinpCapب پس از آن نص .9

تکمیل خواهد شد GNS3و پس از آن نصب .10

Page 39 of 290

Page 40 of 290

GNS3تنظیمات پایه در - 1.6آزمایش

که در آزمایشات بعدي به عنوان ابزار شبیه سازي مورد استفاده قرار GNS3مایش با تنظیمات پایه نرم افزار در این آز

.خواهد گرفت آشنا خواهیم شد


GNS3 به واسطه توانمندي آن در ارتباط با ادوات واقعی دنیاي خارج از کامپیوتر توسط کمپانی سیسکو ملزم به ارائه

! قرار نگیرد استفادهشده است تا به عنوان جایگزین روتر در محیطهاي عملیاتی مورد 1KB/PSبور دیتا حداکثر نرخ ع

از اینرو تبدیل به ابزار ایده آلی جهت آموزش و تست کانفیگها و توپولوژیهاي شبکه هاي مبتنی بر ادوات سیسکو

ترها و سوییچهاي مورد استفاده در آزمایشات در طی فصول آتی از این ابزار جهت پیاده سازي تنظیمات رو.شده است

.بهره خواهیم برد


اطمینان از نصبGns3 1.5مطابق با توضیحات آزمایش


متغیرهاي داخلی بررسی مسیرهاي سیستمی وgns3 شاملputty و دایرکتوري پروژه ها

256ي جهت بکارگیر 3460و 3725پیکره بندي روترهايMB RAM و معرفیIOS مرتبط به آنها به منظور

.استفاده در فصول آتی

c3725-adventerprisek9-mz.124-15.T14.bin c3640-jk9o3s-mz.124-13a.bin


.مطابق شکل زیر نمایش داده خواهد شد Setup wizardبراي اولین بار پنجره GNS3پس از اجراي .1

Page 41 of 290

Settup wizardجره پن – 2.1تصویر

با فشردن دکمه .مهم نرم افزار را تنظیم و تست کنیم يدر وحله اول نیاز خواهیم داشت تا مسیر دایرکتوریها .2

اطمینان حاصل کنید مسیرهاي نشان داده شده .وارد پنجره زیر می شویم Setup wizardدر پنجره 1

نصب میشود اما اگر تمایل GNS3همراه به طور پیش فرض جهت اتصال ترمینالی به putty.صحیح هستند

terminalآیتم ”Terminal Settings“را دارید باید تنظیمات مسیر آنرا در تب SecureCrtبه استفاده از

application command string انجام دهید.

General Setupپنجره -2.2تصویر

تنظیمات کلیک کنید و اطمینان حاصل واقع در پنل سمت راست صفحه Dynamipsاکنون بر روي عبارت .3

Testپس از آن روي دکمه . کنید مسیرهاي فایلهاي اجرایی و دایرکتوري جاري آن صحیح هستند

Settings کلیک کنید و پس از چند لحظه با پیام سبزرنگDynamips successfully started روبرو

.خواهید شد

Page 42 of 290

Dynamipsبررسی صحت مسیر – 2.3تصویر

استفاده خواهیم 3640و 3725مربوط به روترهاي IOSطی آزمایشات و بررسی توپولوژیهاي فصول بعد ، از در

از حالت فشرده خارج Winrarتوسط \gns3\images\فایلهاي مذبور را از اینترنت دانلود کرده ودر مسیر .کرد

ور سریعتر بوت شدن روترهاي آزمایش ابتدا ماهیتا فشرده شده هستند ، به منظ IOSتوضیح اینکه ایمیج هاي .سازید

.معرفی میکنیم GNS3را به binمیکنیم و فایل نهایی با پسوند Decompressانها در

اعمال امکان IOSاین . استفاده شود 3745از 3725و3640هاي IOSپیشنهاد میشود به جاي : توضیح مترجم

.فراهم می آوردانند یک سوییچ واقعی را در محیط گلوبال کانفیگ هم Vlanکانفیگهاي

Page 43 of 290

روترها iosتنظیم مسیر – 2.4تصویر

Setupخارج شوید و مجددا به preferencesاز پنجره Dynamipsپس از راه اندازي موفقیت آمیز .4

wizard را به منظور اعمال تنظیمات روترهاي مورد استفاده در 2و دکمه .برگردیدGNS3 در .کلیک کنید

هاي IOSتنظیم خواهیم کرد و مسیر 256MB RAMرا با 3640و 3725جره روترهاي این پن

Decompress شده واقع در\gns3\images\ را به آن معرفی خواهیم کرد.

به <-Dynamips->Hyper-visor Prefrencesرا از طریق Hyper-visorقابل استفاده RAMمیزان حداکثر :نکته

2GB افزایش دهید.

تکمیل تنظیمات روترهاي مورد نیاز مطابق تصویر زیر می توانید از محیط تنظیمات خارج شوید و پس از .5

Gns3 را مجددا راه اندازي کنید اکنون این محیط اماده استفاده جهت شبیه سازي میباشد.

Page 44 of 290

جهت ارتباط با تجهیزات واقعی GNS3تظیمات -1.8آزمایش

به منظور اجراي GNS3 را در NIO (Network Input/Output) Cloudونه در این آزمایش خواهیم دید چگ

آزمایشات فصول بعد پیکره بندي کنیم


امکان برقراري ارتباط با pcشبکه موجود در ) کارتهاي(و تنظیم ارتباط آن با کارت Cloudاز طریق رابط GNS3در

مشتمل بر برقراري ارتباط با روتر و سوییچهاي فیزیکی گرفته Cloudکاربرد هاي .تجهیزات واقعی شبکه وجود دارد

هاي ایجاد شده روي سیستم عامل loopback adapterیا Gns3با pcتا ارتباط ماشینهاي مجازي نصب شده روي

در این آزمایش خواهیم آموخت .می باشد GNS3به منظور برقراري ارتباطهاي مجزا با اینترفیس روترهاي درون

را به منظور ایجاد ارتباط با اینترفیسهاي ادوات local hostاینترفیسهاي نصب شده روي Loopbackگونه چ

در عین .نتیجه این فرایند شبیه سازي اتصاالت فیزیکی به ادوات سیسکو می باشد.تنظیم کنیم Gns3سیسکو درون

loopback adapterجاي به pcکی موجود در را به کارت شبکه هاي فیزی Cloudحال همانطور که اشاره شد میتوان

ذکر این نکته هم الزامی است که .پدید می آید Lanمتصل کرد،با اینکار امکان اتصال به ادوات واقعی موجود در

.را باال می برد Dynamipsاحتمال کرش کردن loopbackاز طریق Gns3اتصال به ادوات درون


تنظیماتGns3 1.7مطابق با آزمایش


نصب adapter Loopback روي ویندوز

تنظیمip روي adapter Loopback نصب شده

ایجادCloud اینترفیس درGns3 و برقراري ارتباط آن باLoopback adapter

تست صحت برقراري اتصال


XPدر ویندوز hdwwzd.cplیا 7در ویندوز hdwwizاز طریق "Add Hardware"فراخوانی پنجره .1

Page 45 of 290

.مطابق تصویر انتخاب میشود Advanceپس از این صفحه ، گزینه

.انتخاب میشود Network adaptersمطابق تصویر زیر گزینه

Page 46 of 290

یمرا مطابق تصویر زیر انتخاب می کن Loopback adapterو از لیست سمت راست Microsoftاز لیست سمت چپ

سیستم را ریست میکنیم adapterپس از این مرحله و نصب

Page 47 of 290

.ایجاد شده Loopback adapterبر روي ip addressمرحله تنظیم .2

Loopback adapter به صورت یک کارت شبکه فیزیکی در قسمت تنظیمات شبکه سیستم عامل و در

دهی به کارتهاي ipآنکه به همان روش مرسوم شبکه نمایش داده می شود، نتیجه ) کارتهاي(کنار سایر کارت

.را به آن اختصاص می دهیم 192.168.255.10/24خواهد شد فعال ipشبکه صاحب

.ایجاد شده در سیستم عامل Loopback adapterو اتصال آن به Gns3در Cloud interfaceایجاد .3

ه قسمت طراحی مطابق تصویر زیر را ب Cloudآیتم Gns3واقع در سمت راست صفحه Node typeدر پنل

Drag میکنیم.

به محیط طراحی cloudافزودن – 1.8.1تصویر

هاي موجود در صفحه طراحی مطابق cloudپنجره تنظیمات ، ساخته شده cloudاکنون پس از دبل کلیک روي

را انتخاب کنید C1از لیست موجود .تصویر زیر نمایان می شود

Page 48 of 290

cloudتنظیمات صفحه – 1.8.2تصویر

Loopbakها است Loopback adapterکه حاوي لیست کارتهاي شبکه و Generic Ethernet Nioاز لیست

adapter1 را انتخاب میکنیم و با فشردن دکمهAdd به لیست میانی صفحه اضافه میکنیم.

Cloudو اتصال آن به Loopback adapterانتخاب – 1.8.3تصویر

و اتصال آن به کارت شبکه مجازي ایجاد شده در سیستم عامل نوبت اتصال آن به یکی از Cloud پس از افزودن

به نوعی از آن به عنوان 3725به روتر Nm-16eswبا افزودن ماژول .و تست ان است Gns3پورتهاي سوییچ واقع در

.سوییچ استفاده خواهیم کرد

Page 49 of 290

به روتر NM-16ESWافزودن ماژول -1.8.5تصویر

، صحت اتصاالت را چک میکنیم! روتر و در واقع سوییچ F1/0به Rj45و اتصال آن از طریق Cloudپس از انتخاب

Page 50 of 290

NM-16ESWبه پورت سوییچ از طریق ماژول cloudاتصال – 1.8.6تصویر

و F1/0 را به 192.168.255.1/24 آدرس .امتحان میکنیم R1به ipاکنون صحت اتصاالت را با تخصیص .4

.تخصیص میدهیم Loopbackرا به .192.168.255.10/24

Router con0 is now available Press RETURN to get started! Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname SW1 SW1(config)#interface FastEthernet 1/0 SW1(config-if)#ip add 192.168.255.1 255.255.255.0 SW1(config-if)#no shut SW1(config-if)#end SW1#ping 192.168.255.10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.255.10, timeout is 2 seconds: ..!!! Success rate is 60 percent (3/5) SW1#ping 192.168.255.10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.255.10, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/8 ms

Page 51 of 290

SW1#

.نتیجه همانطور که انتظار می رفت از آب درآمد! خوب

Page 52 of 290

مدیریت پایه روترها و سوییچهاي سیسکو: فصل دوم

2500پسورد ریکاوري روترهاي سري -2.1آزمایش

.آشنا خواهیم شد 2500روترهاي سري Enableو Consoleکردن پسورد Reset/clearدر این آزمایش با مراحل

عملی کاربرد

هاي Uptimeنها در محیطهاي اجرایی با آاز قدیمی ترین رده روترهاي سیسکو می باشد و بعضا مشاهده 2500سري

امروزه عمده کاربرد این سري جهت اهداف آموزشی و در آزمایشگاههاي .سال باعث شگفتی می شوند 8نزدیک

.سیسکو محسوب میشوند IOSبا شبکه می باشد و ابزارهاي فوق العاده اي جهت معرفی و آشنایی


با پسورد 2500یک دستگاه روترConsole یاEnable گم شده!

پورت کنسول دستگاه با ارتباطبرقراري


متوقف کردن فرایند بوت دستگاه و ورود بهrom monitor mode

تغییر محتوايconfiguration register هت ج 2142×0بهBypass کردن محتوايNvram در هنگام

بوت و پس از آن پیکربندي مجدد روتر


با چنین پسوردي و بدون دانستن آن قادر به .روبرو هستیم که داري پسورد کنسول نامعینی است 2501با یک روتر

.دوات دست دوم زیاد برخورد میکنیمنیستیم، با چنین سناریویی در هنگام خرید ا Exec modeورود به محیط

Router con0 is now available Press RETURN to get started. User Access Verification Password:

Page 53 of 290

روتر را روشن میکنیم تا فرایند بوت آغاز شود ، در این حین نیاز است تا فرایند بوت به صورت نرمال متوقف .1

انجام می دهیم تا به Ctrl+Puse Breakeیاید ، اینکار را فشردن مکرر باال ب bootromشود و روتر با

.وارد شویم bootromمحیط

System Bootstrap, Version 11.0(10c), SOFTWARE Copyright (c) 1986-1996 by cisco Systems 2500 processor with 14336 Kbytes of main memory Abort at 0x10B1F3C (PC) >

تغییر می دهیم تا در بوت بعدي روتر از طریق 2142×0را به configuration registerنون محتواي اک .2

IOS بوت شود و محتوايNvram مورد پردازش قرار نگیرد.

>o/r 0x2142 >i

privilegedبا ورود به محیط پس از بوت شدن روتر با صفحه تنظیمات اولیه روتر روبرو میشود ، :راه اول .3

mode از طریق تایپ کردنen محتواي ،startup configuration به راrunning configuration

از طریق Nvramکپی میکنیم و پس از ان پسوردها را تغییر می دهیم در نهایت هم ذخیره تغییرات در

copy run start انجام میگیرد.

--- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: n Press RETURN to get started! Router>enable Router#copy start run Destination filename [running-config]? 506 bytes copied in 3.868 secs (168 bytes/sec) ARCVRSR01#configure terminal ARCVRSR01(config)#enable secret NEWENABLEPASSWORD ARCVRSR01(config)#line con 0 ARCVRSR01(config-if)#password NEWPASSWORD ARCVRSR01(config-if)#end ARCVRSR01#copy run start Destination filename [startup-config]? Building configuration... [OK] ARCVRSR01#

وارد می شویم اما privileged modeبه محیط IOSهمانند روش قبلی پس از بوت از طریق : راه دوم .4

را پاك میکنیم Nvramاینبار محتواي

--- System Configuration Dialog ---

Page 54 of 290

Would you like to enter the initial configuration dialog? [yes/no]: n Press RETURN to get started! Router>enable Router#write erase Erasing the nvram filesystem will remove all files! Continue? [confirm] [OK] Erase of nvram: complete Router#

را به configuration registerمحتواي Nvramدر هر دو حالت پس از ریست کردن پسورد یا پاك کردن .5

.بوت خواهد شد Nvramبر میگردانیم با ریبوت بعدي سیستم از طریق خواندن محتواي 2102×0

Router#configure terminal Router(config)#config-register 0x2102 Router(config)#end

Page 55 of 290

2600پسورد ریکاوري روترهاي سري -2.2آزمایش

ISRو 2600, 3800 ,2800 ,1800 ,3700 ,3600 ,1700ترهاي سريدر این آزمایش با فرایند پسورد ریکاوري رو

G2 آشنا خواهیم شد.

کاربرد در دنیاي واقعی

پرکاربرد ترین نمونه ها در محیطها آزمایشگاهی هستند و در عین حال می توان آنها را در 2600روترهاي سري

دستورالعملهاي ارائه شده ! یکنه بهش دست نزنمحیطهاي اجرایی نیز به وفور مشاهده کرد ، مصداق جمله اگه کار م

در این آزمایش قابل اعمال بر روي تقریبا همه روترهاي امروزي می باشد


یا جدیدتر با پسورد نامعلوم 2600یک دستگاه روتر

ارتباط برقرار با پورت کنسول دستگاه


ود به متوقف کردن فرایند بوت دستگاه و ورrom monitor mode

تغییر محتوايconfiguration register جهت 2142×0بهBypass کردن محتوايNvram در هنگام

بوت و پس از آن پیکربندي مجدد روتر


با چنین پسوردي و بدون دانستن آن.روبرو هستیم که داري پسورد کنسول نامعینی است XM 2651با یک روتر

نیستیم، با چنین سناریویی در هنگام خرید ادوات دست دوم زیاد برخورد Exec modeقادر به ورود به محیط

.میکنیم

Router con0 is now available Press RETURN to get started. User Access Verification Password:

Page 56 of 290

ین نیاز است تا فرایند بوت به صورت نرمال متوقف روتر را روشن میکنیم تا فرایند بوت آغاز شود ، در این ح .1

انجام می دهیم تا به Ctrl+Puse Breakeباال بیاید ، اینکار را فشردن مکرر bootromشود و روتر با

.وارد شویم bootromمحیط

System Bootstrap, Version 12.2(8r) [cmong 8r], RELEASE SOFTWARE (fc1) Copyright (c) 2003 by cisco Systems, Inc. C2600 platform with 262144 Kbytes of main memory monitor: command "boot" aborted due to user interrupt rommon 1 >

تغییر می دهیم تا در بوت بعدي روتر از طریق 2142×0را به configuration registerاکنون محتواي .2

IOS بوت شود و محتوايNvram د پردازش قرار نگیردمور

rommon 1 >confreg 0x2142 rommon 2 >reset

privilegedبا ورود به محیط پس از بوت شدن روتر با صفحه تنظیمات اولیه روتر روبرو میشود ، :راه اول .3

mode از طریق تایپ کردنen محتواي ،startup configuration بهrunning configuration کپی

copyاز طریق Nvramاز ان پسوردها را تغییر می دهیم در نهایت هم ذخیره تغییرات در میکنیم و پس

run start

--- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: n Press RETURN to get started! Router>enable Router#copy start run Destination filename [running-config]? 506 bytes copied in 3.868 secs (168 bytes/sec) IMAROUTER#configure terminal IMAROUTER(config)#enable secret NEWENABLEPASSWORD IMAROUTER(config)#line con 0 IMAROUTER(config-if)#password NEWPASSWORD IMAROUTER(config-if)#end IMAROUTER#copy run start Destination filename [startup-config]? Building configuration... [OK] IMAROUTER#

Page 57 of 290

وارد می شویم اما privileged modeبه محیط IOSهمانند روش قبلی پس از بوت از طریق : راه دوم .4

را پاك میکنیم Nvramاینبار محتواي

--- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: n Press RETURN to get started! Router>enable Router#write erase Erasing the nvram filesystem will remove all files! Continue? [confirm] [OK] Erase of nvram: complete Router#

را به configuration registerمحتواي Nvramدر هر دو حالت پس از ریست کردن پسورد یا پاك کردن .5

.بوت خواهد شد Nvramبر میگردانیم با ریبوت بعدي سیستم از طریق خواندن محتواي 2102×0

Router#configure terminal Router(config)#config-register 0x2102 Router(config)#end

Page 58 of 290

پسود ریکاوري سوییچهاي کاتالیست – 2.3آزمایش

و 2900XL, 2950, 3500XL, 3550, 3560, 3750چها سري در این آزمایش با نحوه پسورد ریکاوري سویی

سریهاي مشابه آشنا خواهیم شد

کاربرد در دنیاي واقعی

در دنیاي واقع مواقع زیادي پیش می آید که پسورد خاصی فراموش شود ، عموما هم مهم نیستند ، اما فراموش کردن

وترها ، به منظور انجام فرایند پسورد ریکاروي شما برخالف ر.پسورد سوییچ مرکزي شبکه میتواند دردسر ساز باشد

حتما باید نزدیک سوییچ حضور داشته باشید حتی دسترسی از راه دور به کامپیوتري که اتصال کنسول سوییچ از

طریق ان برقرار می باشد نیز کارساز نیست به این علت که طی این فرایند نیاز است کابل برق سوییچ از آن جدا شده

.نیز براي مدتی پایین نگه داشته شود Modeه و دکم


اتصال به پورت کنسول سوییچ

حضور داشتن در محل قرارگیري سوییچ


ورود به محیطSWITCH ROM کردن آن در حین نگهداشتن دکمه وصل با از برق کشیدن و مجددا

Mode

تغییر نامconfiguration file فلش به نام دیگري همچون موجود در config.old

بوت مجدد سوییچ و کپیflash:config.old به جايRuning config

کپیRuning config بهNvram


روي پنل دستگاه و روشن MODEاز طریق نگه داشتن دکمه SWITCH ROMدر مرحله اول به محیط .1

نیاز به MODEدکمه ،بل برق وارد می شویم بسته به نوع سوییچکردن دستگاه از طریق اتصال مجدد کا

این دکمه را پایین نگه دارید تا توضیحات زمانهاي مختلفی براي پایین نگه داشته شدن دارد پس همینطور

را در سوییچ هاي مختلف نشان MODEجدول زیر مدت زمان الزم جهت پایین نگه داشتن دکمه . !بعدي

میدهد

Page 59 of 290

نوع سوییچ MODEها و مدت زمان الزم جهت پایین نگه داشتن دکمه Ledرفتار

,2900XL, 3500XL خاموش نشده پاین نگه داشته شود FA0/1پورت LEDتا زمانی که 3550

زرد چشمک Syst LEDپس از رها کردن آن .خاموش شد آنرا رها کنید Stat LEDثانیه و زمانی که 5حدودا پس از

زن خواهد شد

2940, 2950

Modeپس از رها کردن .زرد چشمک زن شد و بعد از آن کامال سبز شد دکمه را رها کنید SYST LEDپس از اینکه

.سبز چشمک زن خواهد شد SYST LEDحالت

2960, 2970

سبز SYST LEDپس از رها کردن آن .را رها کنید Modeدکمه SYST LEDثانیه و سبز شدن 15بعد از حدود

واهد شدچشمک زن خ

3560, 3750

با عبارت هاي زیر مواجه خواهیم شد SWITCH ROMپس از ورود موفقیت آمیز به محیط .2

Boot Sector Filesystem (bs) installed, fsid: 2 Base ethernet MAC Address: 00:14:f2:d2:41:80 Xmodem file system is available. The password-recovery mechanism is enabled. The system has been interrupted prior to initializing the flash filesystem. The following commands will initialize the flash filesystem, and finish loading the operating system software: flash_init boot switch:

flash_initشدن دارد با تایپ دستور initializeنیاز به flashدر این مرحله .3

switch:flash_init Initializing Flash... flashfs[0]: 5 files, 1 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 15998976 flashfs[0]: Bytes used: 12282368 flashfs[0]: Bytes available: 3716608 flashfs[0]: flashfs fsck took 10 seconds. ...done Initializing Flash. switch:

Page 60 of 290

این فایل به طور پیش .به منظور پیدا کردن فایل کانفیگ اصلی لیست می گیریم flashاز فایلهاي موجود در .4

.نام دارد config.textفرض switch:dir flash: Directory of flash:/ 1 -rwx 10573494 c3560-advipservicesk9-mz.122-44.SE6.bin 2 -rwx 684 vlan.dat 3 -rwx 1938 private-config.text 4 -rwx 1654 config.text 5 -rwx 3096 multiple-fs 3716608 bytes available (10508886 bytes used) switch:

تغییر نام می دهیم config.oldفایل کانفیگ را به .5

switch:rename flash:config.text flash:config.old

پاك کرد delete flash:config.textهمینطور میتوان آنرا با دستور

و وارد محیط تنظیمات اولیه .پس از حصول اطمینان از تغییر نام فایل کانفیگ سوییچ را مجددا بوت میکنیم .6

.وییچ میشویمس

--- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: n Switch>

.کپی میکنیم runnin configکانفیگ قدیمی را به start-upمحتواي privileged modeپس از ورود به .7

Switch>enable Switch#copy flash:config.old run Destination filename [running-config]? 1654 bytes copied in 9.647 secs (171 bytes/sec) ARSCORESW1#

.امکان تغییر پسوردها سوییچ را خواهیم داشت running configپس از کپی تنظیمات قدیمی سوییچ به .8

Switch#configure terminal Switch(config)#enable password NEWENABLEPASSWORD Switch(config)#line con0 Switch(config-line)#password NEWCONSOLELINEPASSWORD Switch(config-line)#end Switch#copy run start Destination filename [startup-config]? Building configuration... [OK] 0 bytes copied in 1.309 secs (0 bytes/sec) Switch#

Page 61 of 290

آشنایی با صفحه اولیه تنظیمات سوییچ-2.4آزمایش

و تعدادي دیگر از طریق صفحه IP address,Hostnameدر این آزمایش با چگونگی تظیمات پایه سوییچ مانند

.روتر آشنا خواهیم شد/اولیه تنظیمات سوییچ


ات آذار دهنده متخصصین شبکه است چون و پیامها و سواالت آن از جمله صفحروتر /صفحه تنظیمات اولیه سوییچ

اما به هر حال جهت . عموم متخصصین تمایلی به کانفیگ ادوات خود با استفاده از یک ویزارد متنی محدود ندارند

قطعا در آینده نزدیک و پس از تسلط به دستورات مربوطه هیچ وقت از این .آشنایی با آن الزامی است ccnaآزمون

.د کردمحیط استفاده نخواهی


در محیط راه اندازي یک روترGns3 و برقراري اتصال کنسول به آن


سوییچ/آشناي با صفحه تنظیمات اولیه روتر


روتر سیسکو اولین صفحه اي که نمایان می شود صفحه تنظیمات /پس از خریداري و روشن کردن یک دستگاه سوییچ

Nvramکه باعث پاك شدن eraseاین صفحه همینطور هنگام بوت دستگاه پس از اجراي دستور .یه دستگاه استاول

.نمایان می شود میشود

.در کد زیر محتواي این صفحه را در بوت اولیه دستگاه مشاهده میکنید

--- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: yes

ونمایش محیط تنظیمات اولیه ، مراحل تنظیم به صورت سوال و جوابهاي متوالی با توضیحات yesپس از انتخاب

.مختصري نمایان می شود

At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'.

Page 62 of 290

Basic management setup configures only enough connectivity for management of the system, extended setup will ask you to configure each interface on the system Would you like to enter basic management setup? [yes/no]: yes

را از ما Terminal password و Enable secretو Hostnameاطالعات الزم جهت تنظمیات yesپس از انتخاب

اخذ خواهد کرد

Configuring global parameters: Enter host name [Router]: R1 The enable secret is a password used to protect access to privileged EXEC and configuration modes. This password, after entered, becomes encrypted in the configuration. Enter enable secret: CISCO The enable password is used when you do not specify an enable secret password, with some older software versions, and some boot images. Enter enable password: cisco The virtual terminal password is used to protect access to the router over a network interface. Enter virtual terminal password: cisco

پروتکل استانداري است که ادوات فعال در SNMP. مواجه خواهیم شد SNMPبعد از تظیمات فوق با پیغام فعال سازي

.شبکه به واسطه آن مانیتو و یا پیکر بندي میشوند

Configure SNMP Network Management? [no]: yes Community string [public]: COMMUNITYSTRINGGOESHERE

واقع Management networkدهی به یکی از اینترفیسهاي دستگاه که در IPنوبت به SNMPکربندي پس از پی

در نظر داشته باشید که باید نام اینترفیس به طور کامل نوشته شود.میکنیم) در آن رنج قرار دارد(شده

Current interface summary Any interface listed with OK? value "NO" does not have a valid configuration

Interface IP-Address OK? Method Status Protocol Interface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned NO unset up up FastEthernet0/1 unassigned NO unset up up Serial1/0 unassigned NO unset up down Serial1/1 unassigned NO unset up down Serial1/2 unassigned NO unset up down Serial1/3 unassigned NO unset up down

Page 63 of 290

Enter interface name used to connect to the management network from the above interface summary: FastEthernet0/0

.می رسد IPت دستگاه را انتخاب کردیم نوبت به تنظیم پارامترهاي به محض اینکه اینترفیس مربوط به مدیری

Configuring interface FastEthernet0/0: Operate in full-duplex mode? [no]: Configure IP on this interface? [yes]: IP address for this interface: 10.1.1.1 Subnet mask for this interface [255.0.0.0] : 255.255.255.0 Class A network is 10.0.0.0, 24 subnet bits; mask is /24

Runningسوییچ کد کانفیگ هاي انجام شده روي دستگاه یا به بیان دیگر /خوب،پس از اتمام مراحل باال روتر

config را به ما نمایش می دهد به قرار زیر:

The following configuration command script was created: hostname R1 enable secret 5 $1$kGQ2$tr6bd7mW9zjqzfkUHhnCE0 enable password cisco line vty 0 4 password cisco no snmp-server ! no ip routing ! interface FastEthernet0/0 no shutdown half-duplex ip address 10.1.1.1 255.255.255.0 no mop enabled ! interface FastEthernet0/1 shutdown no ip address ! interface Serial1/0 shutdown no ip address ! interface Serial1/1 shutdown no ip address ! interface Serial1/2 shutdown no ip address ! interface Serial1/3 shutdown no ip address !

Page 64 of 290

end

را جهت ذخیره 2عدد . پس از مرحله باال سیستم در خصوص ذخیره تنظیمات صورت گرفته سوال خواهد پرسید

انتخاب میکنیم startup configتنظیمات در

[0] Go to the IOS command prompt without saving this config. [1] Return back to the setup without saving this config. [2] Save this configuration to nvram and exit. Enter your selection [2]: 2 The enable password you have chosen is the same as your enable secret. This is not recommended. Re-enter the enable password. Building configuration... Use the enabled mode 'configure' command to modify this configuration. % Crashinfo may not be recovered at bootflash:crashinfo % This file system device reports an error Press RETURN to get started! R1>

Page 65 of 290

سیسکو CLIآشنایی با – 2.5آزمایش

Userدر این آزمایش خواهیم آموخت چگونه وارد حالتهاي مختلف خط فرمان ادوات سیسکو شویم حالتهاي

mode,Privileged mode,Global configuration mode و چند حالت دیگر


ادوات سیسکو آشنا شوید زیرا تمامی CLIحیط به عنوان یک مهندس شبکه سیسسکو نیزا دارید تا با ویژگیهاي م

ادوات سیسکو از این طریق پیکربندي می شوند،اگرچه عناوین مختلفی از رابط کاربرهاي گرافیکی همچون

ASDM,PDM جهت کانفیگ ادوات مختلف وجود دارد اما استفاده انها در محیطهاي عملیاتی جدي چندان توصیه

به بررسی CLIدن اخمهاي مهندسین مجرب سیسکو هنگامی که از طریق نمیشود و موجبات در هم کشیده ش

.میشودکانفیگها می پردازند

:انتظار می رود به عنوان یک متخصص سیسکو در آینده نزدیک قادر به کار با مودهاي کانفیگ ادوات سیسکو مانند

User Mode, Privileged Mode, Global Configuration Mode, Interface Configuration Mode, Router Configuration Mode, VLAN Database Configuration Mode, Access-List

Configuration Mode Mode ,Line Configuration Mode باشید.


راه اندازي یک عدد روتر در محیطGns3


آشنایی به مودهاي مختلفCLI کو مبتنی بر در ادوات سیسIOS

CLIآشنایی با کلیدهاي ترکیبی در محیط


1. User mode : اولین مودي است که پس از وارد کردن اطالعات احراز هویت و فشردن کلیدenter وارد آن

دراین مود عموم دستوراتی که قابل اجرا هستند ماهیت اطالع رسانی دارند ماندد دستورات .میشویم

Page 66 of 290

ping,trace route, Show cdp neighbors,show version همانطور که در کد زیر . و از این دست

یا همان "<"قرار میگیریم که با مشاهده عالمت CLIدر محیط enterمشاهده میکنید پس از فشردن

.بزرگتر است از همراه است

Router con0 is now available Press RETURN to get started. Router>

به لیست دستورات قابل اجرا در آن مود دسترسی پیدا کرد میتوان با تایپ ؟ CLIدر هر لحظه از محیط

Router>? Exec commands: access-enable Create a temporary Access-List entry access-profile Apply user-profile to interface clear Reset functions connect Open a terminal connection crypto Encryption related commands. disable Turn off privileged commands disconnect Disconnect an existing network connection emm Run a configured Menu System enable Turn on privileged commands ethernet Ethernet parameters exit Exit from the EXEC help Description of the interactive help system lat Open a lat connection lock Lock the terminal login Log in as a particular user logout Exit from the EXEC mrinfo Request neighbor and version information from a multicast router mstat Show statistics after multiple multicast traceroutes mtrace Trace reverse multicast path from destination to source name-connection Name an existing network connection --More--

در صورتیکه مایل به .پاراگراف بعدي نمایان خواهد شد spaceسطر بعدي و با فشردن enterدر این مرحله با فشردن

.را فشار دهیم Qباشیم باید spaceلیست بدون فشردن هاي متوالی این خروج از

2. Priviledge mode : هنگامی که درUser mode به هستیم میتوانیم سطح دسترسی خود را با ورود

Priviledge mode از طریق تایپ عبارتEnable یاen پس از تایپ .افزایش دهیمen در صورت ست

در هنگام وارد .باید رمز ورود به این مود را وارد نماییم Enable secretیا Enable passwordشده بودن

ه هاي متوالیکردن این رمز قادر به مشاهده کاراکترهاي وارد شده نیستیم حتی به صورت ستار

Page 67 of 290

Router>enable Password: Router#

در این مود دستورات مدیریتی جهت نگهداري سیستم اجرا میشوند مانند مورد زیر

Router#copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK] Router#

وارد محیط پیکربندي و configure terminalهستیم با وادر کردن دستور Priviledge modeهنگامی که در

Acessالزم به ذکر است این مود در .نام دارد global configuration modeتنظیمات سیستم میشویم که

server خواهند شد هاي سیسکو وجود ندارد و به محض ورود به این دستگاه کلیه فرامین به طور مستقیم اجرا.

Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#

به سطح متفاوتی از دستورات پیکربندي دسترسی خواهیم داشت global configuration modeپس از ورود به

و موارد بسیاري دیگر Vlan ،Access list ،همچون تنظیمات اینترفیس ها

Router(config)#interface f0/0 Router(config-if)#router eigrp 1 Router(config-router)#ip access-list extended example_acl_name Router(config-ext-nacl)#line con 0 Router(config-line)#

استفاده Exitاز دستور user modeبه Privileged براي خروج از مود جاري و بازگشت به مود قبلی فرضا از

.میکنیم

عالوه بر دستورات مختص هر مود ، تعدادي دستور ترکیبی به منظور ایجاد تسهیل امور در محیط متنی تایپ

.دستورات وجود دارند که جدول آنها را در زیر مشاهده میکنید

Key Result

ESC + F Move insertion point to the beginning of the next word.

ESC + B Move insertion point to the beginning of the current word.

ESC + DEL Erase previous word.

ESC + D Erase word, or section of a word, following the insertion point.

ESC + C Capitalize letter following the insertion point.

Page 68 of 290

ESC + U Change next word or word section to all UPPERCASE letters.

ESC + L Change next word or word section to all lowercase letters.

CTRL + A Move insertion point to the beginning of the line.

CTRL + E Move insertion point to the end of the line.

CTRL + Erase entire command line you’re working on (to the insertion point’s left).

CTRL + T Transpose previous two characters.

CTRL + K Erase from the cursor to the start of the command line.

CTRL + R Search the list of commands incrementally based on what you type.

Tab Complete the path or filename.

UP Arrow List previous commands up.

DOWN Arrow List previous commands down.

Page 69 of 290

روي یک اینترفیس IP Adressتنظیم - 2.6آزمایش

.آشنا خواهیم شد Cliاینترفیسهاي ادوات سیسکو از طریق Ip addressدر این آزمایش با نحوه تنظیم


روي انواع مختلف اینترفیس هاي ادوات سیسکو ipالزم است با نحوه تنظیم ! به عنوان یک متخصص آینده سیسکو

به یک اینترفیس جزء اولین الزامات راه اندازي ادوات سیسکو در محیطهاي اجرایی می باشد IPتخصیص .دآشنا باشی

می توان منتسب نمود IP،ذکر این نکته حائز اهمیت است که به یک اینترفیس بیش از یک

پیش نیاز آزمایش

برقراري ارتباط کنسول با یک روتر در محیطGns3


به اینترفیس 10.234.51.254/24تخصیصFastEthernet0/0 به عنوانPrimary IP Address

به اینترفیس 172.27.48.254/24تخصیصFastEthernet0/0 به عنوانSecondary IP Address

فعال سازيFastEthernet0/0

چک کردن تنظیمات صورت گرفته روي روتر از طریق بررسیrunning-configuration

لعملدستور ا

همانطور که در کد زیر نمایش داده شده است وارد می شویم Global configurationبراي شروع به مود

Router con0 is now available Press RETURN to get started. Router>enable Password: Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#

، براي Primary IP Addressبه عنوان FastEthernet0/0به اینترفیس 10.234.51.254/24تخصیص .1

.اینکار الزم است وارد محیط پیکربندي اینترفیس مورد نظر به قرار زیر شویم

Page 70 of 290

Router(config)#interface FastEthernet 0/0 Router(config-if)#

.به شکل زیر استفاده می کنیم ip address n.n.n.h s.s.s.mاز دستور IPتخصیص براي

Router(config-if)#ip address 10.234.51.254 255.255.255.0 Router(config-if)#

FastEthernet0/0به Secondary ipتخصیص .2

اینترفیس یا دسترسی مدیریتی بدون از سرویس خارج شدن IPدوم جهت فرایندهاي تعویض IPعموما از

. Mnagement vlanبه اینترفیس استفاده می شود مثال تعویض

در انتهاي Secondaryبراي تکمیل بخش دوم این آزمایش نیاز است همان دستور باال به همراه عبارت

.دستور استفاده کرد

Router(config-if)#ip address 172.27.48.254 255.255.255.0 secondary Router(config-if)#

FastEthernet0/0فعال سازي .3

upهستند براي فعال و Administratively Downبه طور پیش فرض همه اینترفیسهاي روتر در حالت

استفاده می شود no shutکردن اینترفیس از دستور

Router(config-if)#no shutdown Router(config-if)# %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#

running-configurationبررسی تنظیمات انجام شده از طریق .4

از طریق privileged modeبازگشت به براي مشاهده تنظیمات صورت گرفته پس از خروج از مود فعلی و

را مشاهده می کنیم Fa0/0، با اجراي دستورات زیر تنظیمات مختص Ctl+Zفشردن

Router(config-if)#^Z %SYS-5-CONFIG_I: Configured from console by console Router#show run interface FastEthernet 0/0 Building configuration... Current configuration : 148 bytes ! interface FastEthernet0/0 ip address 172.27.48.254 255.255.255.0 secondary

Page 71 of 290

ip address 10.234.51.254 255.255.255.0 duplex auto speed auto end Router#

Page 72 of 290

پیکربندي مشخصه هاي ویژه اینترفیس ها - 2.7آزمایش

و Speed,Duplex,MTUسوییچ مانند /ن آزمایش با چگونگی تنظیم پارامترهاي مشخصه اینترفیسهاي روتردر ای

.چند مورد دیگر آشنا خواهیم شد


تنظیم پارامترهاي ارتباطی ادوات سیسکو امر رایجی در برخی از حوزه هاي شبکه مثل دیتاسنترها و تجمیع و توزیع

به Hostبه nodeبه طور دستی و nodeبه nodeصیه می شود این تنظیمات براي اتصاالت تو.پهناي باند می باشد

.طور خودکار انجام شود




تنظیم سرعتFastEthernet0/0 100بهMbps

دوپلکس تنظیمFastEthernet0/0 بهFull

نظیم تMTU 1520به bytes

تنظیم پهناي باندFastEthernet0/0 10بهMbps

تنظیم تاخیرFastEthernet0/0 10بهms

تنظیمMac address بهca02.0adc.0ef9

تنظیمKeepalives

تنظیمCDP


کار با استفاده از این. است 100Mbpsروتر به FastEthernet0/0اولین هدف این آزمایش تنظیم سرعت .1

.به قرار زیر انجام میشود interface configurationدر مود speedدستور

Page 73 of 290

Router con0 is now available Press RETURN to get started. Router>enable Password: Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface FastEthernet 0/0 Router(config-if)#speed 100

این مورد توسط دستور .نیز انجام پذیرد duplexپس از تنظیم سرعت اینترفیس تنظیمات توصیه میشود .2

duplex به شکل زیر انجام می شود.

Router(config-if)#duplex ? auto Enable AUTO duplex configuration full Force full duplex operation half Force half-duplex operation Router(config-if)#duplex full

سروکار داریم بسیار معمول است که اندازه هاي Ipsecیا تانل هاي WANهنگامی که با لینکهاي .3

Maximum Transmission Unit (MTU) را که بیانگر حداکثر سایزpacket encapsulation هست

.به شکل زیر استفاده میکنیم MTU براي این منظور از دستور.را تغییر دهیم

Router(config-if)#mtu ? <1500-1530> MTU size in bytes Router(config-if)#mtu 1520

، 10Mbpsبه عدد FastEthernet0/0تنظیم پهناي باند .4

Bandwidthدستور . رعت که در بند اول این آزمایش تنظیم کردیم اشتباه نگیریدمفهوم پهناي باند را با س

این مفهوم در .توسط پروتکلهاي روتینگ به منظور محاسبه متریک هاي مسیر مورد استفاده قرار میگیرد

فصول آتی مورد بررسی قرار خواهد گرفت

Router(config-if)#bandwidth ? <1-10000000> Bandwidth in kilobits inherit Specify that bandwidth is inherited receive Specify receive-side bandwidth Router(config-if)#bandwidth 10000

، 10000msتنظیم تاخیر لینک به عدد .5

Page 74 of 290

اي روتینگ پروتکلها است پارامتر تاخیر نیز مانند پهناي باند از جمله فاکتورهاي مهم در محاسبات متریک ه

جزئیات این مفهوم در فصول آتی مورد بررسی قرار خواهد گرفت و در اینجا صرفا به تنظیم کردن آن

.خواهیم پرداخت

Router(config-if)#delay ? <1-16777215> Throughput delay (tens of microseconds) Router(config-if)#delay 10000

Mac addressتنظیم .6

مورد استفاده قرار Macدر سناریوهایی همچون احراز هویت بر اساس Mac addressتغییر و تنظیم

امکان پذیر است Macانجام این تغییر با استفاده از دستور .میگیرد

Router(config-if)#mac ? H.H.H MAC address

Router(config-if)#mac ca02.0adc.0ef9

interfaceمات صورت گرفته روي اینترفیس مورد آزمایش تا اینجا بدون خارج شدن از مود براي چک کردن تنظی

configuration از دستورdo show interface fastethernet0/0 به شکل زیر استفاده می کنیم

Router(config-if)#do show interface FastEthernet 0/0 FastEthernet0/0 is up, line protocol is up Hardware is i82543 (Livengood), address is ca02.0adc.0ef9 (bia ca02.0adc.0008) Internet address is 10.234.51.254/24 MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s, 100BaseTX/FX ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 00:00:01, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog 0 input packets with dribble condition detected 663 packets output, 69307 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 unknown protocol drops

Page 75 of 290

0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out Router(config-if)#

Keepalivesغیر فعال کردن .7

Keepalive فیس دستگاه اول به اینترفیس دستگاه آنسوي لینک ارسال یک فریم الیه دو است که از اینتر

در صورتیکه از آنسوي لینک فریم مشابه ارسالی .می شود تا از برقراري لینک فی مابین اطمینان حاصل شود

ثانیه یکبار ارسال 10این فریم به طور پیش فرض هر .شدن اینترفیس است downدریافت نشود به معناي

.ل کردن آن این عدد به صفر تغییر داده می شودبراي غیر فعا.می شود

Router(config-if)#keepalive ? <0-32767> Keepalive period (default 10 seconds) Router(config-if)#keepalive 0

CDPغیر فعال کردن .8

CDP از شبکه پروتکل الیه دو است که به جابجایی مشخصات ریزو درشت ادوات سیسکو در یک سگمنت

هنگامی که دو دستگاه روتر را به صورت مستقیم به هم متصل میکنیم شروع به ارسال و دریافت .می پردازد

براي غیر فعال کردن آن روي یک ).Framerelayبه جز (روي کلیه پورتهاي خود می کنند CDPفریمهاي

استفاده میشود no cdpاینترفیس خاص از دستور

Router(config-if)#no cdp enable

Fa0/0اکنون براي چک کردن و مشاهده کانفیگهاي صورت گرفته روي .تا اینجا تنظیمات اینترفیس به اتمام رسید

بدون خارج شدن از مود جاري به شکل زیر عمل میکنیم

Router(config-if)#do show run interface FastEthernet0/0 Building configuration... Current configuration : 245 bytes ! interface FastEthernet0/0 mac-address ca02.0adc.0ef9 mtu 1520 bandwidth 10000 ip address 172.27.48.254 255.255.255.0 secondary ip address 10.234.51.254 255.255.255.0 delay 10000

Page 76 of 290

duplex full speed 100 no keepalive no cdp enable end Router(config-if)#

Page 77 of 290

Loopback interfaceپیکربندي - 2.8آزمایش

.روي روترهاي سیسکو آشنا خواهیم شد loopback interfaceدر این آزمایش با چگونگی تعریف و تنظیم


management در سناریوهاي متعددي همچون UPبه عنوان اینترفیسهاي همیشه اینترفیس هاي لوپ بک

interface ،tunnel source/destination ،Router id Process ،Dynamic routing و برخی موارد دیگر

مورد استفاده قرار می گیرند

پیش نیاز هاي آزمایش

راه اندازي یک روتر در محیطGns3 و برقراري ارتباط کنسول با آن


ایجاد اینترفیسloopback 1 به آن 255.255.255.0 10.233.21.251و تخصیص آدرس

حذف اینترفیسloopback 1


به هیچ یک از اینترفیسهاي فیزیکی . محسوب میشود upلوپ بک اینترفیس، اینترفیسی نرم افزاري و همواره

براي ایجاد لوپ بک . نمیشوند مگر به طور دستی و از طریق دستور downوابسته نیستند به همین جهت هیچ گاه

استفاده شود مانند کد زیر # loopbackاز دستور global configurationت تا در مود جدید نیاز اس

Router con0 is now available Press RETURN to get started. Router>enable Password: Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface loopback ? <0-2147483647> Loopback interface number Router(config)#interface loopback 1 %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback1, changed state to up Router(config-if)#

Page 78 of 290

دهی به این نوزاد تازه متولد ipاکنون نوبت به .قرار گرفت upت همانطور که دیدم به محض ایجاد اینترفیس در حال

از دستور زیر براي اینکار استفاده میکنیم. شده می رسد

Router(config-if)#ip address 10.233.21.251 255.255.255.0

دستور پشت سر noبراي انجام اینکار از عبارت . دومین بخش این آزمایش حذف اینترفیس ایجاد شده است .2

.ایجاد اینترفیس مورد نظر استفاده میکنیم

Router(config-if)#no interface loopback 1 % Not all config may be removed and may reappear after reactivating the logical-interface/sub-interfaces Router(config)# %LINK-5-CHANGED: Interface Loopback1, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback1, changed state to down

به مجرد اینکه اینترفیس حذف میشود پیغامی مبنی بر اینکه تنظیمات مرتبط با اینترفیس حذف شده از سیستم پاك

این بدان معناست که هنگام ایجاد مجدد .واهند گشت نمایان می شودنمیشود و دوباره با فعال شدن اینترفیس باز خ

در صورت !! اینترفیس پاك شده ممکن است برخی تنظیمات قدیمی مربوط به آن اینترفیس قدیمی مجددا ظاهر شود

.مشاهده چنین مشکلی با ریلود کردن روتر بر طرف می شود

Page 79 of 290

IOSبه روز رسانی – 2.9آزمایش

روترها و سوییچهاي سیسکو آشنا خواهیم شد IOSمایش با چگونگی به روز رسانی در این آز


توسط کمپانی سیسکو ارائه میشود به روزرسانی آن روي IOSماه یکبار نسخه جدیدي از 3از آنجایی که تقریبا هر

یژگیهاي جدید مختص آن نسخه هاي جدید شامل و.ادوات سیسکو امري رایج بین مهندسین شبکه محسوب میشود

.پلتفرم همینطور باگهاي برطرف شده هستند


برقراري اتصال کنسول به یک روتر در محیطGNS3 – ترجیحا روتر واقعی

تهیه نسخه جدید تري ازIOS مربوط به روتر

راه اندازيTFPF سرور


دانلود و نصبtftp سرور

قرار دادنios در Tftp server root

تنظیم آدرسTftp و روتر به گونه اي که از یکsubnet 10.1.1.2/24 & 10.1.1.1/24باشند مثال

اطمینان از برقراري اتصال اترنت مابینTftp سرور و روتر

کپیimage file ازTftp server به روتر

ریبوت کردن دستگاه پس از حصول اطمینان از کپی شدنios جدید

تورالعمل آزمایشدس

جدید کپی شده به imageنمیتواند از GNS3بهتر است این آزمایش با ادوات واقعی انجام شود ، به دلیل اینکه :نکته

flash بوت شود.

به همراه اتصال کراس به Tftp serverبه منظور بروزرسانی سیستم عامل روتر قبل از هرچیز به یک .1

باط از یک سابنت تدو طرف ار ipبراي تنظیم .چ سپس به روتر نیاز داریمبه سویی straightسوییچ یا اتصال

متصل PCبه اینترفیس اترنت روتر که به 10.1.1.2/24و PCبه 10.1.1.1/24مشترك استفاه میکنیم،

.است منتسب میشوند

Page 80 of 290

Router con0 is now available Press RETURN to get started. Router>enable Password: Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface fastethernet 0/0 Router(config-if)#ip address 10.1.1.2 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#end Router#

به شکل زیر استفاده میکنیم pingن از صحت تنظیمات و برقراري اتصال فیزیکی از دستور براي اطمینا .2

Router#ping 10.1.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms Router#

با .جدید به فلش مموري روتر میرسد imageو روتر نوبت به کپی PCپس از حصول اطمینان از برقراري اتصال مابین

فایل روبرو خواهیم imageسرور و نام Tftpبا پیامی مبنی بر مشخص کردن آدرس copy tftp flashاجراي دستور

شد

Router#copy tftp flash Address or name of remote host []? 10.1.1.1 Source filename []? c2600-adventerprisek9-mz.124-15.T11.bin Destination filename [c2600-adventerprisek9-mz.124-15.T11.bin]? Accessing tftp://10.1.1.1/c2600-adventerprisek9-mz.124-15.T11.bin... Erase flash: before copying? [confirm] Erasing the flash filesystem will remove all files! Continue? [confirm] Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased Erase of flash: complete Loading c2600-adventerprisek9-mz.124-15.T11.bin from 10.1.1.1 (via FastEthernet0/0): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [OK - 34634180 bytes] Verifying checksum... CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC OK (0x8E89) 34634180 bytes copied in 486.894 secs (71133 bytes/sec) Router#

Page 81 of 290

در فرایند بوت دچار مشکل شد و IOSروتر را ریست میکنیم ، در صورتیکه فایل جدید imageاز کپی شدن پس

.سیستم بوت نشد از فرایند ریکاوري درس بعدي استفاده خواهیم کرد

Router#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command. System Bootstrap, Version 12.2(8r) [cmong 8r], RELEASE SOFTWARE (fc1) Copyright (c) 2003 by cisco Systems, Inc. C2600 platform with 262144 Kbytes of main memory program load complete, entry point: 0x80008000, size: 0x2107824 Self decompressing the image : ################################################# ################################################################################ ################################################################################ ################################################################################ ################################### [OK] Smart Init is enabled smart init is sizing iomem ID MEMORY_REQ TYPE 00036F 0X00103980 C2651XM Dual Fast Ethernet 000065 0X00031500 Four port Voice PM 0X00098670 public buffer pools 0X00211000 public particle pools TOTAL: 0X003DE4F0 If any of the above Memory Requirements are "UNKNOWN", you may be using an unsupported configuration or there is a software problem and system operation may be compromised. Rounded IOMEM up to: 3Mb. Using 1 percent iomem. [3Mb/256Mb] Increasing IOMEM up to: 8Mb Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706

Page 82 of 290

Cisco IOS Software, C2600 Software (C2600-ADVENTERPRISEK9-M), Version 12.4(15)T11, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2009 by Cisco Systems, Inc. Compiled Wed 28-Oct-09 18:16 by prod_rel_team Image text-base: 0x800080F8, data-base: 0x83594B3C This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to [email protected]. Cisco 2651XM (MPC860P) processor (revision 2.0) with 253952K/8192K bytes of memory. Processor board ID JAE08030QZL M860 processor: part number 5, mask 2 2 FastEthernet interfaces 2 Serial interfaces 32K bytes of NVRAM. 49152K bytes of processor board System flash (Read/Write) Slot is empty or does not support clock participate WIC slot is empty or does not support clock participate Press RETURN to get started!

Page 83 of 290

2500تخریب شده در روترهاي iosبازیابی -2.10آزمایش

نکات این درس در .آشنا خواهیم شد 2500روترهاي سري هاي تخریب شده در iosدر این آزمایش با چگونگی احیاء

نیز صادق است uBR900و AS5100و 3000مورد سري هاي


عمال جز سریهاي منسوخ شده به حساب می آید اما استفاه از آن در محیطهاي آزمایشگاهی 2500با اینکه سري

چرا ! سال دارد نمی افتد 8که آپ تایم نزدیک به 2500نی سري قطعا امروزه کسی به فکر بروزرسا.کماکان رایج است

باید سیستمی را که به این خوبی در حال انجام وظیفه است را تغیر داد؟ دنبال چه چیز بیشتري هستیم ؟ سلسله

طور نکات زیر مواقعی کاربرد دارند که روتر بازنشسته ما در بوت اخیر خود دچار مشکل شده و باال نمی آید همین

.هنگامی که روترهاي دست دوم با فلش پاك شده از بازار خریداري می شوند


بدون 2500یک دستگاه روترIOS یا باIOS میتوان با . خرابerase کردن فلش این حالت را ایجاد کرد!

اتصال کنسول به روتر

Tftp سرور فعال


بوت به محیطROM mode ز طریق نگهداشتن کلیدهاي اCTRL+Pause طی فرایند بوت

تغییرconfiguration register جهت بوت سیستم از طریق 2141×0بهROM

پیکربندي اولیه روتر

تخصیصip به اینترفیس روتر

کپیios ازTftp سرور به فلش روتر

تغییرconfiguration register به مقدار قبلی و ریبوت روتر

.

ورالعمل آزمایشدست

خط فرمان اکنون به حالت . میشویم Rom modeطی فرایند بوت وارد محیط CTRL+Pauseبا فشردن .1

زیر است

Page 84 of 290

Copyright (c) 1986-1996 by cisco Systems 2500 processor with 14336 Kbytes of main memory Abort at 0x10CFA0A (PC) >

به Rom boot imageرا به منظور بوت شدن بعدي از طریق configuration registerمحتواي .2

تغییر می دهیم 2141×0

>o/r 0x2141

.می شود Initializeروتر وارد پروسه iبا وارد کردن فرمان .3

>I System Bootstrap, Version 11.0(10c), SOFTWARE Copyright (c) 1986-1996 by cisco Systems 2500 processor with 14336 Kbytes of main memory [OUTPUT TRUNCATED] Press RETURN to get started!

سرور نسبت می دهیم Tftpجهت اتصال به ipدر این مرحله به اینترفیس روتر .4

Press RETURN to get started! Router(boot)>enable Router(boot)#config t Router(boot)(config)#interface e0 Router(boot)(config-if)#ip add 10.1.1.20 255.255.255.0 Router(boot)(config-if)#no shut Router(boot)(config-if)#exit ****NOTE: The line below is optional if your TFTP server is not on the same network**** Router(boot)(config)#ip default-gateway 10.1.1.254 Router(boot)(config)#end

.به فلش مموري روتر کپی میکنیم Tftpرا از IOS Imageاکنون .5

Router(boot)#copy tftp flash System flash directory: No files in System flash

Page 85 of 290

[0 bytes used, 8388608 available, 8388608 total] Address or name of remote host [255.255.255.255]? 172.16.20.17 Source file name? c2500-i-l.121-27b.bin Destination file name [c2500-i-l.121-27b.bin]? Accessing file 'c2500-i-l.121-27b.bin' on 10.1.1.1... Loading c2500-i-l.121-27b.bin from 172.16.20.17 (via Ethernet0): ! [OK] Erase flash device before writing? [confirm] Copy 'c2500-i-l.121-27b.bin' from server as 'c2500-i-l.121-27b.bin' into Flash WITH erase? [yes/no]y Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased Loading c2500-i-l.121-27b.bin from 172.16.20.17 (via Ethernet0): !!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!! [OUTPUT TRUNCATED] !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [OK - 8040260/8388608 bytes] Verifying checksum... OK (0xCB96) Flash copy took 0:03:58 [hh:mm:ss] Router(boot)#

ولیه بر می گردانیم و روتر را به مقدار ا Configuration registerمحتواي IOSپس از کپی موفقیت آمیز .6

.ریبوت می کنیم به امید اینکه اینبار باال خواهد آمدرا

Router(boot)#configure terminal Router(boot)(config)#configuration-register 0x2102 Router(boot)(config)#end Router(boot)#reload System configuration has been modified. Save? [yes/no]: n Proceed with reload? [confirm] 00:06:51: %SYS-5-RELOAD: Reload requested System Bootstrap, Version 11.0(10c), SOFTWARE Copyright (c) 1986-1996 by cisco Systems 2500 processor with 14336 Kbytes of main memory Notice: NVRAM invalid, possibly due to write erase. F3: 7916604+123624+619980 at 0x3000060 Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted

Page 86 of 290

Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Cisco Internetwork Operating System Software IOS (tm) 2500 Software (C2500-I-L), Version 12.1(27b), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2005 by cisco Systems, Inc. Compiled Tue 16-Aug-05 22:38 by pwade Image text-base: 0x03041FDC, data-base: 0x00001000 cisco 2500 (68030) processor (revision N) with 14336K/2048K bytes of memory. Processor board ID 11848462, with hardware revision 00000000 Bridging software. X.25 software, Version 3.0.0. 1 Ethernet/IEEE 802.3 interface(s) 2 Serial network interface(s) 32K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash (Read ONLY) --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]:

اگر از تنظیمات قبلی پشتیبان تهیه . خوب تا اینجا روتر باال امد اما بدون هیچ گونه اثري از تنظیمات قبلی .7

.رزومه خود را بروز کنیدبهتر است ، اگر نکرده اید هیچکرده اید که

Page 87 of 290

یگر روتراحیا سیستم عامل سریهاي د – 2.4آزمایش

,2900 ,2800 ,1900 ,1800 ,1700در این آزمایش با چگونگی احیا سیستم عامل تخریب شده روترهاي سري

.آشنا خواهیم شد.... و 3900 ,3800


از دور خارج شدند اما به وفور در محیطهاي آزمایشگاهی به 2800روترهاي سیسکو عمال توسط سري 2600سري

این سري که به منظور ترمیم و احیا سیستم عامل تخریب شده مورد استفاده ROMMONمحیط .چشم می خورند

به همین جهت از این سري جهت تمرین آزمایش جاري . قرار می گیرد کامال مشابه محیط سریهاي باالتر می باشد

استفاده می کنیم


فاقد 2600یک دستگاه روتر سريIOS یاIOS ریب شده تخ .

برقراري ارتباط کنسول با روتر

Tftp سرور و اتصال آن به روتر


بوت به محیطROM mode از طریق نگهداشتنCTRL + Pause طی فرایند بوت

مقدار دهی به متغیرTFTPDNLD جهت دریافتimage ازtftp

اجراي دستورTFTPDNLD –r به منظور لود کردنimage به درون Ram

کپیIOS به فلش مموري پس از بوت شدن از طریقIOS

ریبوت نهایی سیستم و چک کردن صحت مراحل فوق


با فرض اینکه اتصال کنسول به روتر معیوب برقرار شده است ، روتر را ریست میکنیم و با فشردن ترکیب .1

CTRL + Pause وارد محیطROMMON ل زیر استخروجی به شک.می شویم

Page 88 of 290

System Bootstrap, Version 12.2(8r) [cmong 8r], RELEASE SOFTWARE (fc1) Copyright (c) 2003 by cisco Systems, Inc. C2600 platform with 262144 Kbytes of main memory device does not contain a valid magic number boot: cannot open "flash:" boot: cannot determine first file name on device "flash:" rommon 1 >

وجود دارند را 2651XMروي پلتفرم ROMMONمی توان لیست دستوراتی را که در حالت helpبا اجراي دستور

.مشاهده کرد

rommon 1 > help alias set and display aliases command boot boot up an external process break set/show/clear the breakpoint confreg configuration register utility cont continue executing a downloaded image context display the context of a loaded image cookie display contents of cookie PROM in hex dev list the device table dir list files in file system dis display instruction stream dnld serial download a program module frame print out a selected stack frame help monitor builtin command help history monitor command history meminfo main memory information repeat repeat a monitor command reset system reset set display the monitor variables stack produce a stack trace sync write monitor environment to NVRAM sysret print out info from last system return tftpdnld tftp image download unalias unset an alias unset unset a monitor variable xmodem x/ymodem image download rommon 2 >

را به درون فلش مموري روتر دانود IOS imageاین دستور .است tftpdnldاکنون نوبت کار با دستور .2

با تایپ این دستور پارامترهایی که را .نیز دارا است را Ramمیکند همینطور قابلیت بارگذاري مستقیم درون

که براي اجرا به آنها نیاز دارد را مشاهده میکنیم

rommon 2 > tftpdnld

Page 89 of 290

Missing or illegal ip address for variable IP_ADDRESS Illegal IP address. usage: tftpdnld [-r] Use this command for disaster recovery only to recover an image via TFTP. Monitor variables are used to set up parameters for the transfer. (Syntax: "VARIABLE_NAME=value" and use "set" to show current variables.) "ctrl-c" or "break" stops the transfer before flash erase begins. The following variables are REQUIRED to be set for tftpdnld: IP_ADDRESS: The IP address for this unit IP_SUBNET_MASK: The subnet mask for this unit DEFAULT_GATEWAY: The default gateway for this unit TFTP_SERVER: The IP address of the server to fetch from TFTP_FILE: The filename to fetch The following variables are OPTIONAL: TFTP_VERBOSE: Print setting. 0=quiet, 1=progress(default), 2=verbose TFTP_RETRY_COUNT: Retry count for ARP and TFTP (default=12) TFTP_TIMEOUT: Overall timeout of operation in seconds (default=7200) TFTP_CHECKSUM: Perform checksum test on image, 0=no, 1=yes (default=1) FE_SPEED_MODE: 0=10/hdx, 1=10/fdx, 2=100/hdx, 3=100/fdx, 4=Auto(deflt) Command line options: -r: do not write flash, load to DRAM only and launch image rommon 3 >

را وارد میکنیم setدستور imageجهت مقدار دهی به پارامترهاي مورد نیاز جهت دانلود

rommon 3 > set PS1=rommon ! > BOOT= RET_2_RUTC=0 BSI=0 RANDOM_NUM=1492875412 ROM_PERSISTENT_UTC=1016225763 RET_2_RTS= RET_2_RCALTS= ?=1 rommon 24 > set PS1=rommon ! > BOOT= RET_2_RUTC=0 BSI=0 RANDOM_NUM=1492875412 ROM_PERSISTENT_UTC=1016225763 RET_2_RTS= RET_2_RCALTS= ?=0 rommon 4 >

Page 90 of 290

میکنیددر زیر لیست پارامترها و مقادیر مورد نیاز آنها را مشاهده

rommon 4 > IP_ADDRESS=10.1.1.10 rommon 5 > IP_SUBNET_MASK=255.255.255.0 rommon 6 > DEFAULT_GATEWAY=10.1.1.254 rommon 7 > TFTP_SERVER=172.16.20.17 rommon 8 > TFTP_FILE=c2600-i-mz.123-26.bin

استفاده Ramدرون imageمستقیم بارگذاري به منظور tftpdnld –rپس از مقدار دهی پارامترها از دستور

میکنیم

rommon 9 > tftpdnld -r IP_ADDRESS: 10.1.1.10 IP_SUBNET_MASK: 255.255.255.0 DEFAULT_GATEWAY: 10.1.1.254 TFTP_SERVER: 172.16.20.17 TFTP_FILE: c2600-i-mz.123-26.bin ..... Receiving c2600-i-mz.123-26.bin from 172.16.20.17 !!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! File reception completed. program load complete, entry point: 0x80008000, size: 0x765238 Self decompressing the image : ############################################## ####################################################################### [OK] Smart Init is enabled smart init is sizing iomem ID MEMORY_REQ TYPE 00036F 0X00103980 C2651XM Dual Fast Ethernet 000065 0X00031500 Four port Voice PM 0X00098670 public buffer pools 0X00211000 public particle pools TOTAL: 0X003DE4F0 If any of the above Memory Requirements are "UNKNOWN", you may be using an unsupported configuration or there is a software problem and system operation may be compromised. Rounded IOMEM up to: 4Mb. Using 3 percent iomem. [4Mb/128Mb]

Page 91 of 290

Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-I-M), Version 12.3(26), RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2008 by cisco Systems, Inc. Compiled Mon 17-Mar-08 15:23 by dchih cisco 2651XM (MPC860P) processor (revision 0x200) with 126976K/4096K bytes of memory. Processor board ID JAE08030QZL (457188033) M860 processor: part number 5, mask 2 Bridging software. X.25 software, Version 3.0.0. 2 FastEthernet/IEEE 802.3 interface(s) 2 Serial network interface(s) 32K bytes of non-volatile configuration memory. 49152K bytes of processor board System flash (Read/Write) --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]:

سرور به فلش Tftpاز ISO imageشروع به کپی cliرا تایپ میکنیم و به محض وارد شدن به محیط noعبارت

ممکن است از خود بپرسید چرا از ابتدا اینکار انجام نشد و علت این دوباره کاري چیست ؟ علت . مموري روتر میکنیم

imageاست نسبت به سرعت کپی TFTPDNLDتور با استفاده از دس به فلش Tftpدر کند بودن فرایند کپی از

به Tftpاز IOSاقدام به کپی 2.9انجام میشود و بعد از آن مانند درس Ramدر نتیجه ابتدا بوت به .Ram فایل به

ابتدا تنظیمات آدرس اینترفیس روتررا به قرار زیر انجام می دهیم. فلش میکنیم

Router>enable Router#configure terminal Router(config)#interface fa0/0 Router(config-if)#ip add 10.1.1.10 255.255.255.0 Router(config-if)#no shut Router(config-if)#exit Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.254 Router(config)#end Router#

Page 92 of 290

به فلش مموري IOSوبعد از آن کپی

Router#copy tftp flash Address or name of remote host []? 172.16.20.17 Source filename []? c2600-adventerprisek9-mz.124-1.bin Destination filename [c2600-adventerprisek9-mz.124-1.bin]? Accessing tftp://172.16.20.17/c2600-adventerprisek9-mz.124-1.bin... Erase flash: before copying? [confirm] Erasing the flash filesystem will remove all files! Continue? [confirm] Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased Erase of flash: complete Loading c2600-adventerprisek9-mz.124-1.bin from 172.16.20.17 (via FastEthernet0/0): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [OK - 34634180 bytes] Verifying checksum... OK (0x8E89) 34634180 bytes copied in 279.014 secs (124131 bytes/sec) Router#

به فلش مموري ، روتر را ریست می کنیم و با سیستم عامل جدید مستقر در فلش بوت IOSاکنون پس از اتمام کپی

!می شویم

Page 93 of 290

وییچهاي کاتالیستاحیا سیستم عامل س -2.12آزمایش

3750 ,3560 ,3550 ,2950در این آزمایش با چگونگی احیا سیستم عامل تخریب شده سوییچهاي کاتالیست سري

آشنا خواهیم شد Xmodemاز طریق


احیا سیستم عامل سوییچهاي سیسکو جز مهارتهایی است که هر مهندس شبکه ملزم به دانستن آن است و خواهی

بهتر است مهارتهاي این چنینی قبل از وقوع .حداقل یک بار طی دوران حرفه اي خود با آن مواجه میشودنخواهی

بحران و قرار گرفتن در شرایط پر استرس واقعی آموخته شوند تا در هنگام وقوع این مشکل زمان براي مطالعه و

.تحقیق در خصوص روش احیا سیستم عامل از دست نرود

یشپیش نیاز هاي آزما

مباحث این جلسه در –یک دستگاه سوییج واقعی فاقد سیستم عامل یا سیستم عامل تخریب شدهGns3

قابل اجرا نیست

برقراري ارتباط کنسول با سوییچ

استفاده ازHyperTerminal یاSecureCTR به دلیل اینکهPuty ازXmodem پشتیبانی نمیکند


بوت به محیطSWITCH ROM

Initialize کردن فایل سیستم فلش

افزایشBaude rate جهت ارتباط سریعتر 115200بهXmodem

کپیIOS از طریقXmodem به فلش

تنظیم پارامترهاي بوت جهت بوت شدن بعدي باIOS جدید

برگرداندنBaude rate 9600به

ریبوت سوییچ و اطمینان از صحت فعالیتهاي صورت گرفته

ایشدستورالعمل آزم

سیستم عامل سوییچهاي کاتالیست تاحدي متفاوت از روشهاي متداولی است که تاکنون روش بازیابی

را دارا هستند بر IOSامکان ترمیم Xmodemمتاسفانه سري هاي غیر ماژوالر کاتالیست صرفا از طریق .آموختیم

.م می دهندکارت این فرایند را انجا CFکه براحتی از طریق 4500,6500خالف سریهاي

Page 94 of 290

براي مشاهده جزئیات .بوت میکنیم statاز طریق پایین نگه داشتن دکمه Rom modeسوییچ را به محیط .1

/مراجعه کنید 2.3ببیشتر به آزمایش

.خروجی زیر محتواي ترمینال پس از ورود به این محیط را نشان می دهد

Boot Sector Filesystem (bs) installed, fsid: 2 Base ethernet MAC Address: 00:14:f2:d2:41:80 Xmodem file system is available. The password-recovery mechanism is enabled.

The system has been interrupted prior to initializing the flash filesystem. The following commands will initialize the flash filesystem, and finish loading the operating system software: flash_init boot switch:

خواهد شد مطابق با روش زیر initializeپس از ورود به این محیط فایل سیستم فلش .2

switch: flash_init Initializing Flash... flashfs[0]: 1 files, 1 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 15998976 flashfs[0]: Bytes used: 12474880 flashfs[0]: Bytes available: 3524096 flashfs[0]: flashfs fsck took 10 seconds. ...done Initializing Flash. switch:

3. Opitonal- در صورتیکهios تخریب شده است میتوان فلش را با استفاده ازformat flash: فرمت

!میکند را هم پاك startup configاینکار .کرد

Switch: format flash: Are you sure you want to format "flash:" (all data will be lost) (y/n)?y flashfs[0]: 0 files, 1 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 7741440 flashfs[0]: Bytes used: 1024 flashfs[0]: Bytes available: 7740416 flashfs[0]: flashfs fsck took 12 seconds.

Page 95 of 290

Filesystem "flash:" formatted Switch:

را قطع نمود xmodemرا افزایش دهیم باید اتصال جاري Xmodemبراي اینکه سرعت انتقال اطالعات .4

تا صبح روز بعد طول IOSر غیر اینصورت کپی افزایش داد د 115200سپس از طریق دستور زیر آنرا تا

.خواهد کشید

switch: set BAUD 115200

جدید را از طریق دستور IOSپس از تنظیم سرعت و برقراري مجدد ارتباط با سوییچ .5

copy xmodem: flash:filename.bin به فلش منتقل میکنیم

switch: copy xmodem: flash:c3560-ipservicesk9-mz.122-53.SE.bin Begin the Xmodem or Xmodem-1K transfer now... CCC Starting xmodem transfer. Press Ctrl+C to cancel. Transferring c3560-ipservicesk9-mz.122-53.SE.bin... 100% 12181 KB 6 KB/s 00:31:56 0 Errors ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................................................................. ................. File "xmodem:" successfully copied to "flash:c3560-ipservicesk9-mz.122-53.SE.bin" switch:

Page 96 of 290

جدید را IOSپارامتر بوت سوییچ را به فرم زیر با هدف بوت بعدي از طریق IOSپس از کپی موفقیت آمیز .6

انجام می دهیم

switch: set BOOT flash:c3560-ipservicesk9-mz.122-53.SE.bin

پس از اینکار الزم است ارتباط کنسول .برمیگردانیم 9600را از مقدار جدید به BAUD rateپس از اینکار .7

.دا برقرار شودقطع شده و مجد

switch: unset BAUD

. است Xmodemجدیدا کپی شده توسط iosآخرین قدم بوت کردن سوییچ و حصول اطمینان از عملکرد .8

.موجب بوت شدن سیستم با پارامترهاي تنظیم شده جدید استBootاستفاده از دستور

switch: boot Loading "flash:/c3560-ipservicesk9-mz.122-53.SE.bin"...@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ File "flash:/c3560-ipservicesk9-mz.122-53.SE.bin" uncompressed and installed, entry point: 0x1000000 executing... Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Cisco IOS Software, C3560 Software (C3560-IPSERVICESK9-M), Version 12.2(53)SE, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2009 by Cisco Systems, Inc. Compiled Sun 13-Dec-09 15:45 by prod_rel_team Image text-base: 0x01000000, data-base: 0x02E00000

Page 97 of 290

Initializing flashfs... flashfs[1]: 1 files, 1 directories flashfs[1]: 0 orphaned files, 0 orphaned directories flashfs[1]: Total bytes: 15998976 flashfs[1]: Bytes used: 12474880 flashfs[1]: Bytes available: 3524096 flashfs[1]: flashfs fsck took 1 seconds. flashfs[1]: Initialization complete....done Initializing flashfs. Checking for Bootloader upgrade.. not needed POST: CPU MIC register Tests : Begin POST: CPU MIC register Tests : End, Status Passed POST: PortASIC Memory Tests : Begin POST: PortASIC Memory Tests : End, Status Passed POST: CPU MIC interface Loopback Tests : Begin POST: CPU MIC interface Loopback Tests : End, Status Passed POST: PortASIC RingLoopback Tests : Begin POST: PortASIC RingLoopback Tests : End, Status Passed POST: Inline Power Controller Tests : Begin POST: Inline Power Controller Tests : End, Status Passed POST: PortASIC CAM Subsystem Tests : Begin POST: PortASIC CAM Subsystem Tests : End, Status Passed POST: PortASIC Port Loopback Tests : Begin POST: PortASIC Port Loopback Tests : End, Status Passed Waiting for Port download...Complete This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to [email protected]. cisco WS-C3560-24PS (PowerPC405) processor (revision M0) with 131072K bytes of memory. Processor board ID CAT0928Z2EE

Page 98 of 290

Last reset from power-on 1 Virtual Ethernet interface 24 FastEthernet interfaces 2 Gigabit Ethernet interfaces The password-recovery mechanism is enabled. 512K bytes of flash-simulated non-volatile configuration memory. Base ethernet MAC Address : 00:14:F2:D2:D1:AF Motherboard assembly number : 73-9673-06 Power supply part number : 341-0029-03 Motherboard serial number : CAT09880NNZ Power supply serial number : LIT091091ZV Model revision number : M0 Motherboard revision number : A0 Model number : WS-C3560-24PS-S System serial number : CAT0911FAEE Top Assembly Part Number : 800-25861-03 Top Assembly Revision Number : A0 Version ID : V05 CLEI Code Number : COM1X1FARB Hardware Board Revision Number : 0x01 Switch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 26 WS-C3560-24PS 12.2(53)SE C3560-IPSERVICESK9-M Press RETURN to get started!

Page 99 of 290

چگونگی نمایش بنر -2.13آزمایش

.الگین،اجراي دستورات و نمایش پیام روز آشنا خواهیم شددر این آزمایش با چگونگی ایجاد بنر در هنگام


استفاده از بنرهاي مختلف و نمایش آنها در زمانهاي خاصی همچون برقراري اتصال ترمینال یا ورود به محیط اجراي

هم پیش MOTDبنرهاي .بنرهاي الگین پس از ورود فرد به سیستم نمایش داده می شوند.یج استدستورات امري را

هم هنگام ورود فرد به محیط اجراي دستورات نمایان Execبنرهاي .از احراز هویت کاربر نمایش داده می شود

.میشوند


برقراري اتصال کنسول به یک روتر در محیطGNS3

آزمایش اهداف

ایجاد یکlogin banner با هدف نمایش پیام در هنگام برقراري تماس با روتر

ایجاد یکEXEC banner با هدف نمایش اطالعاتی خاص در هنگام ورود کاربر بهmode اجراي دستورات

ایجادMessage of The Day (MOTD) banner با هدف نمایش زمان رسیدن به تاریخ سرویس و

.ستگاه نگهداري د


در .در بخش اول، یک الگین بنر با هدف نمایش اطالعات قانونی و مالکیتی سیستم طراحی خواهیم کرد .1

براي ایجاد بنر از دستور .در ابتدا و انتهاي طرح بنر استفاده می شود ^هنگام طراحی بنر از کاراکتر جدا کنند

banner بنر که در اینجا به همراه مشخصه تعییم کننده نوعlogin است استفاده میشود.

Router(config)#banner login ^ Enter TEXT message. End with the character '^' ########################################## # This is a Login banner used to show # # legal and privacy information. # # # # Unauthorized users prohibited # ########################################## ^

Page 100 of 290

Router(config)#end Router#exit

صحت فرایند بنر ایجاد شده با هدف نمایش در هنگام الگین به سیستم را در زیر مشاهده میکنیم

Router con0 is now available Press RETURN to get started. ########################################## # This is a Login banner used to show # # legal and privacy information. # # # # Unauthorized users prohibited # ########################################## User Access Verification Password: Router>

و طریقه اي که کاربر با آن اتصال برقرار کرده hostnameبا هدف نمایش exec bannerدر بخش دوم یک .2

ها به Token.آشنا شویم Banner Tokenبراي ایجاد این نوع بنر الزم است با مفهوم .را ایجاد میکنیم

عاتی را از دل دستگاه که در دل بنر مورد استفاده قرار میگیرند و اطال زبان ساده متغیرهایی هستند

Lineو Hostnameاستفاده میکنیم که (line)$در این آزمایش از . استخراج کرده و نمایش می دهند

number مانند بنر قبلی در .را به کاربر نمایش می دهندglobal config mode ازbanner exec ^ به

شکل زیر استفاده میکنیم

Router>enable Password: Router# Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#banner exec ^ Enter TEXT message. End with the character '^' Session established to $(hostname) on line $(line) ^ Router(config)#

Page 101 of 290

و بازگشت مجدد به این global config، تنظمیات انجام شده را با خروج از محیط exec bannerپس از ایجاد

.محیط چک میکنیم

Router con0 is now available Press RETURN to get started. ########################################## # This is a Login banner used to show # # legal and privacy information. # # # # Unauthorized users prohibited # ########################################## User Access Verification Password: Session established to Router on line 0 Router>

این نوع بنر عموما براي اطالع .است Message of the Day bannerاین آزمایش تنظیم آخرین بخش .3

این بنر قبل از .رسانی به متصدیان تجهیز در خصوص تاریخ و ساعت نگهداري آتی سیستم به کار می رود

نمایش الگین بنر و به همان شیوه ایجاد بنرهاي قبلی ایجاد میشود

Router>enable Password: Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#banner motd ^ Enter TEXT message. End with the character '^' This router will undergo routine maintenance on 01/01/10 from 12:00AM to 2:00AM ^ Router(config)#

براي حصول اطمینان از صحت تنظیمات اخیر از مود جاري خارج شده و خروجی را به صورت زیر چک میکنیم

Page 102 of 290

Router(config)#end Router#exit Router con0 is now available Press RETURN to get started. This router will undergo routine maintenance on 01/01/10 from 12:00AM to 2:00AM ########################################## # This is a Login banner used to show # # legal and privacy information. # # # # Unauthorized users prohibited # ########################################## User Access Verification Password: Session established to Router on line 0 Router>

Page 103 of 290

ریست کردن تنظیمات سیستم به حالت پیش فرض -2.14آزمایش

defaultاز طریق دستور iosدر این آزمایش با چگونگی ریست کردن تنظیمات و پارامترها به حالت پیش فرض

.آشنا خواهیم شد


پیکره بندي سیستم را به مواقع بسیاري پیش می آید که نیاز است تنظمیات یک یا چند اینترفیس یا نوع دیگري از

حالت اولیه و پیش فرض بازگردانیم، یک مثال بارز آن بازگرداندن به حالت اول تنظیمات اینترفیسی است که بیش از

براي no Xyzخط تنظیم در پیکربندي آن وجود دارد و قطعا تمایل نداریم کل مسیر معکوس را با تکرار دستور 10

.تک تک تنظیمات طی کنیم

ش نیازهاي آزمایشپی

با یک روتر در محیط برقراري اتصال کنسولGns3


انتساب پارامترهايip,speed,duplex بهFa0/0

بازگرداندن حالت اینترفیسFa0/0 به پیش فرض.


س نسبت می دهیمبراي شبیه سازي یک اینترفیس کانفیگ شده پارامترهاي فوق را به شرح زیر به اینترفی .1

Router con0 is now available Press RETURN to get started. Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#int fa0/0 Router(config-if)#ip add 10.1.1.254 255.255.255.0 Router(config-if)#duplex full Router(config-if)#speed 100 Router(config-if)#no shut %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Page 104 of 290

Router(config-if)# Router(config-if)#do show run int fa0/0 Building configuration... Current configuration : 94 bytes interface FastEthernet0/0 ip address 10.1.1.254 255.255.255.0 duplex full speed 100 end Router(config-if)#

قدم بعدي به حالت اول برگرداندن کلیه تنظیمات صورت گرفته روي اینترفیس مورد نظر است با استفاده از .2

.قبل از نام اینترفیس اینکار انجام می شود defaultدستور

outer(config-if)#exit Router(config)#default interface fa0/0 Building configuration... Interface FastEthernet0/0 set to default configuration Router(config)# %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Rrouter(config)#do show run interface fastethernet 0/0 Building configuration... Current configuration : 73 bytes ! interface FastEthernet0/0 no ip address duplex auto speed auto end Router(config)#

Page 105 of 290

تنظیمات پایه تصدیق هویت کاربر بر مبناي پسورد – 3.1آزمایش

-Consoel-VTY linesدر این آزمایش با روش پایه اي تصدیق هویت کاربران مبتنی بر پسورد مشتمل بر

Auxiliary آشنا خواهیم شد.


ه گریبان هستند،باالخص در امنیت در شبکه هاي واقعی از مهمترین چالشهایی است که مهندسین با آن دست ب

سوییچهاي نا امن کل شبکه را در مقابل تعداد نامحدودي از /داشتن روتر.شبکه هایی که با اینترنت در تماس هستند

IOSاین آزمایش به بررسی پایه اي ترین روش افزایش سطح امنیتی ادوات مبتنی بر .ریسکهاي امنیتی قرار می دهد

رمز عبور است می پردازدیا همان تصدیق هویت بر اساس




کنسول روتر هنگام درخواست برقراري اتصال به کنسول ايتنظیم رمز عبور بر

تنظیم رمز عبورVTY line 0-4 تا در هنگام برقراري اتصالهاي مبتنی برTelnet-SSH نمایش داده به کاربر

شود

تنظیمEnable secret وEnable password

تنظیم رمز عبور برايAuxiliary line


Consoleبراي اعمال تنظیمات مربوط به حفاظت کنسول روتر با رمز عبور نیاز است وارد محیط تنظیمات .1

line شویم

--- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: no Press RETURN to get started!

Page 106 of 290

Router>enable Router#configure terminal Router(config)#line console 0 Router(config-line)#

تنظیم کنیم passwordز دستور فاده اتدر این مود میتوانیم رمز عبور اتصال به کنسول را با اس

Router(config-line)#password Cisco123

ست کردن رمز عبور به تنهایی صفحه اعالن ورود رمز عبور را به کاربر روتر نشان نخواهد داد، براي فعال کردن این

استفاده می شود loginاعالن از دستور

Router(config-line)#login

Endتست صحت تنظیمات صورت گرفته ، براي اینکار باید از محیط اجراي فرامین با دستور حاال نوبت می رسد به

به شکل زیر وارد شد Exitخارج شد و دوباره به محیط اولیه کنسول از طریق دستور

Router(config-line)#end Router#exit Router con0 is now available Press RETURN to get started. User Access Verification Password: Router>

خطوط VTYخطوط .است VTY (Virtual TeleType)نوبت تنظیم رمز عبور براي خطوط اکنون .2

به کار می IOSبه ادوات مبتنی SShیا Telnetارتباطی مجازي هستند که براي برقراري ارتباط از راه دور

د روش قبل صورت می گیردتخصیص رمز عبور به این خطوط هم مانن.روند

Router>enable Router#config terminal Router(config)#line vty 0 4 Router(config-line)#password Cisco321 Router(config-line)#login

تخصیص دهیم به عنوان مثال به Ipبراي تست صحت تنظیمات فوق نیاز است به یکی از اینترفیسهاي روتر

Loopback آداپتر صفر به شکل زیر.

Page 107 of 290

Router(config-line)#interface lo0 Router(config-if)#ip add 10.1.1.1 255.255.255.255 Router(config-if)#end Router#

اینترفیس ایجاد شده، از درون روتري که با کنسول به آن متصل هستیم به از طریق Vtyبراي تست رمز عبور اکنون

Ip ذکور اینترفیس مTelnet می کنیم.

Router#telnet 10.1.1.1 Trying 10.1.1.1 ... Open User Access Verification Password: Password: Router>

Priviligedخواهیم شد و در صورت نیاز به ورود به user modeپس از ورود رمز عبور تعیین شده وارد محیط

mode با صفحه ورود رمز عبورEnable مواجه خواهیم شد.

Router>enable Password: Password: Password: % Bad passwords Router>

را جهت پرسیدن رمزعبور از کاربر هنگام ورود به Enable Secretو Enable passwordدر این قسمت .3

Privilege mode این تنظیم در محیط .تنظیم خواهیم کردGlobal configuration mode جام خواهد ان

وارد این محیط شوید Config terminalهستید با دستور Telnetشد پس اگر هنوز در محیط

Router>exit [Connection to 10.1.1.1 closed by foreign host] Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#enable password Cisco1 Router(config)#enable secret Cisco2 Router(config)#end Router#

:نکته

Page 108 of 290

Privilegeبراي یک منظور استفاده می شود یعنی ورود به Enable secretو Enable passwordاز هردوي

mode اما اگر هردوي آنها ست شوندEnable secret نسبت بهEnable password به بیان الویت خواهد داشت

بهتر قبلی را باطل میکند

.میکنیم Telnetمجددا براي تست صحت تنظیمات به روتر

Router#telnet 10.1.1.1 Trying 10.1.1.1 ... Open User Access Verification Password: Router>enable Password: Password: Router#

Enable secretاستفاده کنیم رمز مربوطه مورد قبول قرار نخواهد گرفت چون Enable passwordدر صورتیکه از

.هم ست شده است

بسیار شبیه پورت Auxiliary port .است Aux portآخرین بخش این آزمایش تنظیم رمز عبور براي .4

دم اکسترنال مو به کنسول است و همان مفهوم کاربردي را دارا است با این تفاوت که داراي قابلیت اتصال

به سیستم مورد نظر متصل Dial upاست و به راهبر سیستم این اجازه را می دهد که از راه درو و به صورت

در صورتیکه نیاز به پیکربندي تعداد زیادي از ادوات سیسکو با این روش باشد معمول است که با بهره . شود

.این امر محقق شود Dial-inها با یک خط و اتصال آن به سایر ادوات و تن Access serverگیري از

Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#line aux 0 Router(config-line)#password AuxPassword123 Router(config-line)#login Router(config-line)#end Router#

Page 109 of 290

سوییچ/پیکربندي احراز هویت بر اساس پایگاه داده داخلی روتر – 3.2آزمایش

در این آزمایش با چگونگی تنظیمات احراز هویت بر اساس حسابهاي کاربري ذخیره شده در پایگاه داده داخلی

.سوییچ آشنا خواهیم شد/روتر


ادوات شبکه سیسکو دارند و الزم است مکانیزمی براي تعریف عموما در شبکه هاي بزرگ نفرات زیادي دسترسی به

.کاربران و سطوح دسترسی آنها به منظور انجام امور مختلف مدیریتی روي ادوات مذکور وجود داشته باشد



10.1.1.1تخصیص Ip بهloopback adapter

آزمایشاهداف

بر به نام رایجاد کاTom با پسوردCisco$123 و اعطاي سطح دسترسیlevel 15 به کاربر

ایجاد کاربرJerry با پسوردLetmesee! و اعطاي سطح دسترسیLevel 1 به کاربر

تنظیمVTY 0-4 جهت احراز هویت کاربران از طریق دیتابیس محلی

بررسی صحت تنظیمات از طریق طریقTelnet بهLoopback0


با مشخصه هاي فوق به شکل زیر عمل میکنیم Tomبراي ایجاد یوزر .1

Router con0 is now available Press RETURN to get started. Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#username tom privilege 15 secret Cisco$123

با مشخصات فوق به شکل زیر عمل میکنیم Jerryبراي ایجاد یوزر .2

Router(config)#username jerry privilege 1 secret LetMeSee!

Page 110 of 290

ت می کند یعنی نیازي به وارد هدای Priviledge modeیوزر را پس از الگین به 15ایجاد یوزر با سطح دسترسی :نکته

.نخواهد داشت پس نسبت به اعطاي آن دقت کنید Enableکردن رمز عبور

.جهت اینکه درخواستهاي احراز هویت را به دیتابیس محلی حسابهاي کاربري ارسال کند VTY 0-4تنظیم .3

به شکل زیر انجام می شود login localاینکار با ستفاده از دستور

Router(config)#line vty 0 4 Router(config-line)#login local

با ورود اطالعات . صحت تنظیمات را به قرار زیر تست میکنیم Loopback0به Telenetحاال با برقراري .4

user modeبه jerryهدایت میشویم با کاربر priviledge modeبه طور مستقیم به Tomهویتی

Routerconfig-line)#end Router#telnet 10.1.1.1 Trying 10.1.1.1 ... Open User Access Verification Username: tom Password: Router#

Page 111 of 290

AAAپیکره بندي احراز هویت بر مبناي – 3.3آزمایش

, AAA (Authentication, Authorizationدر این آزمایش با اصول تنظیمات احراز هویت بر مبناي

Accounting) به منظور اعمال کنترل هرچه بیشتر بر تماسهاي مبتنی بر کنسول یاVty مباحث این . خواهیم شد

هستند CCNA Security 840-533محسوب نمی شود و جز صرفصلهاي CCNAآزمایش جز مباحث استاندارد

.وداما به جهت اهمیت و کاربردشان در محیط هاي اجرایی در این سطح به آنها پرداخته می ش


قضیه بسیار ساده است ، شرکتهایی که داراي تعداد زیادي ادوات سیسکو هستند به منظور مرکزیت بخشیدن به

+TACACAیا Radiusفرایندهاي احراز هویت و صدور مجوز هاي کاربري و سطوح دسترسی به این ادوات از

صرفا به عنوان پشتیبان روش فوق در مواقعی که یزنتعریف کاربران ادوات به صورت لوکال .استفاده میکنند

فارق از اینکه AAAسرورهاي .سرویسهاي باال در دسترس نیستند مورد استفاده قرار میگیرند

TACACS+)باشند یا ) بخوانید تک اکس پالسRadius همگی نتنها به منظور ایجاد یکپارچگی مدیریت سطوح

تی سایر برندها مورد استفاده قرار می گیرند بلکه کاربردهاي اجرایی دسترسی و احراز هویت ادوات سیسکو و ح

را نیز دارا Proxyو Remote Vpn , SSL Vpn , 802.1xدیگري همچون کمک به احراز هویت اتصاالت مبتنی بر

هستند


برقراري اتصال کنسول به یک روتر درGNS3

3.2ك آز .ر – 15طح دسترسی ایجاد کاربر لوکال در روتر با س


فعال سازيAAA در محیطGlobal config

تنظیم یکی از لیستهايAAA به نام CONSOLE_AUTH و ارتباط آن به دیتابیس کاربران لوکال

تنظیم کنسول به منظور استفاده از لیستCONSOLE_AUTH ایجاد شده در بند قبلی جهت احراز

هویت

صحت تنظیمات چک کردن

Page 112 of 290


ایجاد می کنیم در غیر اینصورت 15بر مبناي درخواست پیش نیاز آزمایش یک یوزر لوکال با سطح دسترسی »مهم

بدون امکان الگین مجدد به روتر !قفل خواهیم شد aaa new-modelبا اجراي دستور

این دستور نوع جدید مکانیزم احراز . فعال میکنیم aaa new-modelرا با دستور AAAدر قدم اول .1

.هویت را فعال خواهد کرد و متدهاي قدیمی را غیر فعال میکند

Router con0 is now available Press RETURN to get started. Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#aaa new-model

توضیح . را جهت اخذ اطالعات هویتی از دیتابیس لوکال به شکل زیر تنظیم میکنیم CONSOLE_AUTHلیست

در . aaa authentication login LISTNAME AUTHTYPE :اینکه نحوه نگارش دستور به این شکل است

است Local نیز authentication type و CONSOLE_AUTHاینجا نام لیست

Router(config)#aaa authentication login CONSOLE_AUTH local

لیستی که در AAAاکنون نوبت می سرد به تنظیمات کنسول جهت هدایت مکانیزم احراز هویت کاربران به .2

می شکل زیر استفاده login authentication listnameاز دستور یک خطی . قسمت قبل ایجاد کردیم

کنیم

Router(config)#line con 0 Router(config-line)#login authentication CONSOLE_AUTH

توضیحات تکمیلی

تخصیص سطح دسترسی به طور خودکار مانند قدیم صورت AAA New-modelتوسط دستور AAAبا فعال شدن

Privilegedستم الگین کنید به طور خودکار به به سی Level 15به عنوان مثال اگر با یک حساب کاربري .نمی گیرید

mode وارد نخواهید شد براي این منظور نیاز است تا از دستورات تکمیلیAAA مانند aaa authorization

console استفاده شود ، همین مفهوم براي اتصاالت مبتنی برVTY هم برقرار است به این معنا که نیاز است تا

Page 113 of 290

authorization list پیش فرض را به گونه اي تنظیم کنیم که براي تشخیص سطوح دسترسی از دیتابیس لوکال

. سیستم استفاده کند

.براي این منظور استفاده میکنیم aaa authorization exec default localاز دستور

تست صحت تنظیمات را با قطع ارتباط با کنسول و ارتباط مجدد با آن شروع میکنیم .3

Router(config-line)#end Router#exit Router con0 is now available Press RETURN to get started. User Access Verification Username: john Password: Router>

Page 114 of 290

+TACACSمبتنی بر AAA تنظیمات - 3.4آزمایش

Cisco Secure Access Controاحراز هویت از طریق به منظور AAAدر این آزمایش با چگونگی تنظیمات

(TACACS+ Server) آشنا خواهیم شد.


هیچ مهندس شبکه اي وجود ندارد که مایل به صرف ساعتها وقت براي تعریف یوزرهاي لوکال روي صدها دستگاه از

به ادوات سیسکو اضافه AAAن قابلیت این معضل سالها قبل پیش بینی شده بود و براي رفع آ.ادوات سیسکو باشد

را به گو نه اي کانفیگ کرد که کلیه درخواستهاي تماس به سمت iosمیتوان ادوات مبتنی بر AAAبا استفاده از .شد

کمپانی سیسکو براي این منظور راه حلی به نام .آنها از طریق یک پایگاه داده مرکزي مورد احراز هویت قرار گیرند

Cisco Secure Access server دستگاه از ادوات سیسکو را 50را تولید کرد و عموما در شبکه هایی که بیش از

مورد accountingو authorization و authenticationهدف 3دارا هستند جهت مرکزیت بخشیدن به

.استفاده قرار میگیرد


محیط برقراي ارتباط کنسول با یک دستگاه روتر درGNS3

3.3تنظیم روتر فوق با دستور العمل هاي آزمایش


کانفیگTACACS+ با کلید 10.1.1.20سرور واقع در آدرسP@s$W0rD!

کانفیگ لیستCONSOLE_AUTH جهت ارسال درخواستهاي اهراز هویت بهTacacs سرور و انجام آن

سرور Tacacssبه صورت لوکال در صورت در دسترس نبودن

تست صحت تنظیمات


اینکار . سرور به روتر معرفی شوند Tacacsرس و کلید مربوط به در اولین قدم نیاز است تا مشخصه هاي آد .1

به شکل زیر انجام می شود tacacs-server host x.x.x.x key keygoeshereبا استفاده از دستور

Router con0 is now available Press RETURN to get started.

Page 115 of 290

Router>enable Router#configure terminal Router(config)#tacacs-server host 10.1.1.20 key P@s$W0rD!

را به گونه اي کانفیگ میکنیم که در وحله اول CONSOLE_AUTH در قدیم بعدي لیست احراز هویت .2

سرور ارسال کند و در صورت در دسترس Tacacsبه درخواستهاي تماس به روتر را جهت احراز هویت

localفقط به صورت authtypeپارامتر 3.2در آزمایش . نیودن سرور به صورت لوکال احراز هویت شوند

به ترتیب اولویت از چپ به راست مورد استفاده قرار authtypeپارامترهاي پس از .تنظیم شده بود

.درج میکنیم localرا قبل از +Tacacsسرور عبارت Tacacsمیگیرند، پس براي بهره گیري از

Router(config)#aaa authentication login CONSOLE_AUTH group tacacs+ local

استفاده 3.2در انتها لیست تنظیم شده را به کنسول منتسب میکنیم،براي اینکار از همان متد آزمایش .3

.میکنیم

Router(config)#line con 0 Router(config-line)#login authentication CONSOLE_AUTH

Page 116 of 290

SSHتنظیمات -3.5آزمایش

.در روترها و سوییچهاي سیسکو آشنا خواهیم شد Secure Shell (SSH)در این آزمایش با چگونگی تنظیم


ز راه دور با ادوات سیسکو آشنا شدیم جهت برقراري ارتباط ا Telnetو Vtyدر بخش هاي قبلی با چگونگی تنظیمات

داراي نقیصه امنیتی بزرگی هستند که باعث می شود کلیه اطالعات رد و بدل شده در Telnetارتباطات مبتنی بر .

مابین ما و ) Sniffer(منتقل شود و در صورت قرار گرفتن فردي Clear textکانال ارتباطی پدید آمده به صورت

شنود و دریافت کلیه اطالعات خواهد بود از این رو با هدف رمز نگاري کانال ارتباطی از تجهیز سیسکو قادر به

محسوب نمیشود بلکه در واقع همان Shellدر واقع یک SSH.استفاده میکنیم SSHیا همان Telnetجایگزین

Telnet است با مالحضات رمز نگاري .SSH از الگوریتم هاي رمز نگاري متفاوتی همچونData Encryption

Standard (DES) وAES 256Bit استفاده میکند.


برقراري اتصال کنسول به یک دستگاه روتر درGNS3

ایجاد یکLoopbacl به آن 10.1.1.1/24اینترفیس و تخصیص

ایجاد یک نام کاربري و رمز عبور در دیتابیس لوکال تا پس از فعال شدنSSH اده قرار گیردمورد استف

تنظیمVTY line جهت بهره گیري از دیتابیس لوکال حسابهاي کاربري در حین احراز هویت

The VTY Line(s) authentication should be configured to authenticate to the local


تغییر نام روتر از نام پیش فرض بهR1

تخصیصDomain name ولید به روتر جهت تRsa key

تولیدCertificate عمومیSelf-signed توسط روتر

غیر فعال کردنTelnet در روتر و تنها استفاده ازSSH


نیاز است تا در وحله اول نام روتر از حالت پیش فرض به نام جدیدي تغییر RSAبراي ایجاد کلید عمومی .1

کندRouter con0 is now available Press RETURN to get started.

Page 117 of 290

Router>enable Password: Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R1 R1(config)#

. است Rsa certificateبه روتر جهت تولید domain nameقدم بعدي تخصیص .2

R1(config)#ip domain-name freeccnaworkbook.com

crypto key generate rsaبراي تولید آن از دستور . هستیم Rsa certificateاالن آماده تولید .3

modulus بیتی را مشاهده میکنید 2048در زیر روند تولید کلید .به همراه سایز بر حسب بیت کلید مد نظر

R1(config)#crypto key generate rsa modulus 2048 The name for the keys will be: R1.freeccnaworkbook.com % The key modulus size is 2048 bits % Generating 2048 bit RSA keys, keys will be non-exportable...[OK] R1(config)# %SSH-5-ENABLED: SSH 1.99 has been enabled

در روتر فعال می شود و میتوان با SSH v1.99قابلیت Rsaده می کنید به محض ایجاد کلید همانطور که مشاه

.به روتر متصل شد SSHوبا بهره گیري از Securecrtیا puttyاستفاده از

را به گونه اي کانفیگ می کنیم که تنها پذیراي ارتباطات مبتنی بر VTY، خطوط SSHپس از فعال شدن .4

SSH یان دیگر باشند به بTelnet غیر فعال می شود.

R1(config)#line vty 0 4 R1(config-line)#transport input ssh

آداپتر ساخته شده انجام می دهیم Loopbackکردن به sshتست صحت تنظمیات را با .5

R1(config-line)#end R1#ssh -l john 10.1.1.1 Password:

Page 118 of 290

R1#show ssh Connection Version Mode Encryption Hmac State Username 0 1.99 IN aes128-cbc hmac-sha1 Session started john 0 1.99 OUT aes128-cbc hmac-sha1 Session started john %No SSHv1 server connections running. R1#

Page 119 of 290

تنظیمات اکسس لیستهاي شماره دار - 3.6آزمایش

.آشنا خواهیم شد Extendedدر این آزمایش با چگونگی تنظیمات اکسس لیستهاي شماره دار استاندارد و


اکسس لیستها جریان .اکسس لیستها پایه پیاده سازي امینیت در شبکه هاي مبتنی بر سیسکو محسوب می شوند

تجهیز تحت کنترل می گیرند و مانع از ارسال و دریافت ترافیک هاي ناخواسته از مبدا به مقصد می دیتا را در یک

در این آزمایش با اکسس لیستهاي شماره دار آشنا می شویم که امروزه عموما به دلیل استفاده از اکسس .شوند

و کانفیگهاي قدیمی با آنها برخورد کنید یا شاید در برخی ادوات . لیستهاي با نام ، کمتر مورد استفاده قرار می گیرند

بزرگترین نقطه .شاید توسط مهندسین تازه کاري که هنوز با اکسس لیستهاي با نام آشنا نشده اند نوشته شده باشند

ACE (Accessمتاسفانه امکان قرار دادن .نهاستآضعف اکسس لیستهاي شماره دار زمان بر بودن مکانیزم ویرایش

Control List Entries) درسطر خاصی ازACL امکان پذیر نیست و نیاز به صرف و در واقع اتالف زمان براي

. یافتن سطر مورد نظر و ادیت محلی آن سطر وجود دارد


قرار دادن دو دستگاه روتر و یک سوییچ در محیطGNS3

برقراري ارتباط کنسول با روترها

به 10.1.1.1/24تخصیص آدرسFa0/0 روترR1


اتصال دو روتر به یکدیگر از طریقFa0/0


ایجاد یک اکسس لیست شماره دار به منظور جلو گیري از دریافت اطالعات درR1 با منبعR2

ایجاد یکExtended اکسس لیست با هدف جلوگیري از برقراري ارتباطاتTelnet ازR1 به آدرس

10.1.1.3

دستور العمل

در زیر . رنجهاي متعددي از اکسس لیستهاي شماره دار براي اعمال کنترل بر طیف وسیعی از دسترسیها وجود دارند

.لیست کلی آنها را مشاهده میکنیم

Page 120 of 290

R1(config)#access-list ? <1-99> IP standard access list <100-199> IP extended access list <1000-1099> IPX SAP access list <1100-1199> Extended 48-bit MAC address access list <1200-1299> IPX summary address access list <1300-1999> IP standard access list (expanded range) <200-299> Protocol type-code access list <2000-2699> IP extended access list (expanded range) <2700-2799> MPLS access list <300-399> DECnet access list <600-699> Appletalk access list <700-799> 48-bit MAC address access list <800-899> IPX standard access list <900-999> IPX extended access list compiled Enable IP access-list compilation dynamic-extended Extend the dynamic ACL absolute timer rate-limit Simple rate-limit specific access list

با مراجعه به شماره . براي انجام اولین هدف این آزمایش الزم است یک اکسس لیست استاندارد ایجاد کنیم .1

یک شماره . هستند 99تا 1هاي باال درخواهیم یافت که شماره هاي مرتبط با اکسس لیستهاي استاندارد از

را بالك کنیم اما R2از سمت R1به تا با استفاده از آن ترافیک ورودي 50به دلخواه انتخاب میکنیم مثال

.مابقی ترافیک مجاز به عبور خواهد بود

R1 con0 is now available Press RETURN to get started. R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#access-list 50 deny host 10.1.1.2 R1(config)#access-list 50 permit any

اعمال کنیم R1حاال که اکسس لیست ساخته شد باید آنرا به ترافیک ورودي

R1(config)#interface fa0/0 R1(config-if)#ip access-group 50 in

منطقا انتظار داریم پاسخی .انجام میدهیم R2از سمت R1روتر Fa0/0اینترفیس pingتست صحت تنظیمات را با

.بسته شده است R2دریافت نکنیم چون ترافیک ورودي آن با مبدا R1از سمت

R2>ping 10.1.1.1

Page 121 of 290

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) R2>

.هم می توان انجام داد R1در روتر show access-listت صحت تنظیمات را از طریق اجراي دستور تس

R1(config-if)#end R1#show access-list Standard IP access list 50 10 deny 10.1.1.2 (8 matches) 20 permit any R1#

را به IPقید شده را بالك میکنید IPتنها ترافیک اکنون براي اینکه اطمینان حاصل کنیم اکسس لیست

.تغییر می دهیم و مجددا تست را انجام می دهیم 10.1.1.3/24

R2>enable R2#configure terminal R2(config)#interface fa0/0 R2(config-if)#ip add 10.1.1.3 255.255.255.0 R2(config-if)#end R2#

میکنیم ، انتظار داریم با موفقیت همرا باشد ping را R2اینترفیس R1سپس از

R1#ping 10.1.1.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 24/43/76 ms R1#

به R1روتر Fa0/0از Telnetهدف بالك کردن ترافیک با اکسس لیست Extendedسمت یک در این ق .1

همانطور که در لیست شمار ه هاي ابتداي آزمایش مشاهده کردیم رنج .ایجاد خواهیم کرد 10.1.1.3مقصد

.است 199تا 100این رده اکسس لیستها از

ت نوع ترافیک و پروتکل خروجی را به عنوان است الزم اس Tcpاز نوع Telnetاز آنجایی ترافیک

خواهد بود 22که در اینجا پورت مشخص کنیم access-listدستور پارامترهاي

Page 122 of 290

R1#configure terminal R1(config)#access-list 150 deny tcp any host 10.1.1.3 eq telnet R1(config)#access-list 150 permit ip any any

.به شکل زیر اعمال شود R1خروجی ترافیکاکسس لیست الزم است تا روي پس از ایجاد

R1(config)#interface fa0/0 R1(config-if)#ip access-group 150 out

یک قانون اساسی و مهم در خصوص اکسس لیستها وجود دارد و آن اینست که براي عملکرد موثرتر اکسس لیست

در سمت ترافیک مبدا و یک اکسس لیست استاندارد در سمت مقصد قرار داده Extendedباید یک اکسس لیست

Deny any anyمطلق در انتهاي هر اکسس لیست است که داراي مفهومی مانند Denyنکته دیگر وجود یک .شود

ه پس به طور پیش فرض ترافیک اجازه عبور نخواهد داشت مگر به آن اجازه عبور داد.در انتهاي اکسس لیست است

صریح در انتهاي اکسس لیست با هدف الگ کردن Denyعبارت از یک Tshootعموما جهت سناریوهاي .شود

.شده استفاده می شود denyترافیک

Page 123 of 290

Named Access lists –اکسس لیستهاي اسم دار – 3.7آزمایش

.شنا خواهیم شددر این آزمایش با چگونگی تنظیمات اکسس لیستهاي اسم دار در ادوات سیسکو آ


اکسس لیستهاي شماره دار یک عیب عمده دارند و آن عدم امکان ویرایش سطرهاي آنها در محل قرارگیري سطور

ن موجود به یک ویرایشگر متنی و ویرایش آن است و پس از آ Aclمتاسفانه تنها راه حذف یا ویرایش آنها کپی .است

در محیطهاي عملیاتی استفاده می Aclامروزه عموما از نوع اسم دار . Cliا از طریق باز گرداندن تغییرات به طور یکج

Aclیک نقطه قوت قابل توجه نسبت به نوع شماره دار دارد و آن شرح توصیفی کوتاه هریک از Aclاین نوع .شود

.است Vty، که به طور مشهود به مربوط به کنترل خطوط VTY_ACCESSهاست مثال

زهاي آزمایشپیش نیا

برقراري ارتباط کنسول با یک دستگاه روتر در محیطGns3

تخصیصip به 169.254.20.3/29هايFa0/0 به 10.1.1.254/24وFa0/1


تنظیم یکAcl استاندارد به نامINSIDE_IN اجازه ورود می دهد، 10.1.1.0/24که تنها به

قرار دادنExplicit deny بالك شده يو ثبت الگ ترافیکها 500در خط

اعمالAcl فوق بهFa0/1

تنظیم یکExtended Acl با نامOUTSIDE_IN و 71.23.44.50و بالك کردن ترافیک آدرسهاي

.و اجازه عبور همه ترافیکهاي دیگر 204.221.190.5

اعمالAcl فوق بهFa0/1


Acl هاي اسم دار بسیار شبیهAcl با این .هاي شماره دار هستند منتها با یک نام و شماره سطر مشخص می شوند

داریم و مایلیم Aclبه عنوان مثال یک .بنشیند ACLدر کدام سطر Ace(Acl entry)قابلیت می توان تعیین کرد

Page 124 of 290

د کنیم یم قکافی است هنگام ایجاد آن شماره سطر مربوطه را ه.جدید قرار دهیم Aceآن یک 20و 15بین سطرهاي

.پس از آن براحتی در محل مورد نظر قرار میگیرد

در سطر شماره دیگر Aceو ایجاد یک 10.1.1.0/24عبور ترافیک شبکه اسم دار Aclاولین هدف ایجاد یک .1

هاي اسم دار با یک شماره که Aceعموما . با هدف بالك ترافیکهاي باقی مانده و ثبت الگ آنهاست 500

Aceه اي استفاده نشود در صورتیکه از هیچ شمار.می شوندهست تعریف Aclآنها در بیانگر شماره سطر

در 10یا 5ها را به صورت مضربی از Aceعموما هم شماره هاي .مذبور در انتهاي لیست قرار خواهد گرفت

.هاي بعدي بدون بهم ریختن نظم شماره ها فراهم شود Aceمیگیرند تا امکان جاي گیري

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#ip access-list standard INSIDE_IN R1(config-std-nacl)# R1(config-std-nacl)#10 permit 10.1.1.0 0.0.0.255 R1(config-std-nacl)#500 deny any log

براي مشخص کردن شبکه مورد نظرشان استفاده نمیکنند بلکه به جاي Subnet maskها از Extended Acl: نکته

.است استفاده می شود Subnet maskکه به نوعی برعکس مفهوم Wildcard maskن از آ

ایجاد شد نوبت به تخصیص آن به اینترفیس مورد نظر است براي اینکار در مود تنظیم اینترفیس از Aclخوب حاال که

مربوطه و نوع ترافیک استفاده میکنیم به شرح زیر Aclبه همراه نام ip access-group دستور

R1(config-std-nacl)#exit R1(config)#int f0/1 R1(config-if)#ip access-group INSIDE_IN in

مرور میکنیم show access-listاکنون تنظمیات انجام شده را با دستور

R1(config-if)#do show access-list Standard IP access list INSIDE_IN 10 permit 10.1.1.0, wildcard bits 0.0.0.255 500 deny any log R1(config-if)#

با هدف بالك کردن ترافیک OUTSIDE_INبه نام Extended Aclدر قسمت دوم آزمایش یک .2

ور اجازه عبور سایر ترافیکها ایجاد میکنیم و آنرا به همینط 204.221.190.5و 71.23.44.50هاستهاي

Fa0/0منتسب میکنیم.

R1(config-if)#exit R1(config)#ip access-list extended OUTSIDE_IN R1(config-ext-nacl)#10 deny ip host 71.23.44.50 any R1(config-ext-nacl)#20 deny tcp host 204.221.190.5 any eq www R1(config-ext-nacl)#500 permit ip any any R1(config-ext-nacl)#exit

Page 125 of 290

R1(config)#int f0/0 R1(config-if)#ip access-group OUTSIDE_IN in

زیر استفاده میکنیماز دستور Acl OUTSIDE_INبراي بررسی و مشاهده تنظیمات صورت گرفته روي

R1(config-ext-nacl)#do sh access-list OUTSIDE_IN Extended IP access list OUTSIDE_IN 10 deny ip host 71.23.44.50 any 20 deny tcp host 204.221.190.5 any eq www 500 permit ip any any R1(config-ext-nacl)#

Page 126 of 290

VTYاکسس لیستهاي – 3.8آزمایش

جهت مدیریت از راه دور ادوات Vtyکنترل دسترسی به خطوط یژههاي و Aclدر این آزمایش با چگونگی تنظیم

آشنا خواهیم شد


هاي مدیریتی و برخی Subnetدر محیطهاي اجرایی بسیار رایج است که دسترسی از راه دور به ادوات را محدود به

Ip هاي خاص نمود و تنها این رده سیستمها مجاز به برقراري ارتباط هايTelnet یاSSH به ادوات باشند.


قرار دادن سوییچهايR1,R2,R3 و سوییچSw1 در محیطGns3

به 10.1.1.1/24تخصیص آدرسFa0/0 درR1



تنظیم نام کاربري و رمز عبور محلی درR1 ح دسترسی با سطLevel 15

تنظیمR1 براي پذیرش هردوي تماسهاي مبتنی برTelnet وSSH


ایجاد یکACL اسم دارExtended به نامVTY_ACCESS

به 10.1.1.3جلوگیري از دسترسی آدرسTelnet

جهت استفاده از 10.1.1.0/24اجازه دادن به شبکهTelnet یاSSH

سایر ترافیکها و ثبت الگ آنهاجلوگیري از عبور

استفادهaccess-class جهت تنظیمAcl خطوطVTY



ها Extended Aclامکان استفاده از 12.4و12.3Tهاي سري IOSیکی از قابلیتهاي مهم مدیریتی ارائه شده در

.است SSH یا Telnetجهت مدیریت دسترسی هاي از راه دور به ادوات از طریق

Page 127 of 290

VTY_ACCESSاست به نام R1قدم ایجاد یک اکسس لیست اسم دار در .1

R1 con0 is now available Press RETURN to get started. R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip access-list extended VTY_ACCESS R1(config-ext-nacl)#

hostبه آن، براي این منظور منبع را Telnetاز طریق 10.1.1.3جلوگیري از دسترسی جهت R1تنظیم .2

تعیین میکنیم any eq telnetومقصد را 10.1.1.3

R1(config-ext-nacl)#10 deny tcp host 10.1.1.3 any eq telnet

نیاز به تعریف R1به SSHو Telnetجهت برقراري تماسهاي مبتنی بر 10.1.1.0/24بکه براي اجازه به ش .3

22روي SSHودیگري براي 23که روي پورت Telnetمجزا داریم یکی براي ACEدو

R1(config-ext-nacl)#20 permit tcp 10.1.1.0 0.0.0.255 any eq 22 R1(config-ext-nacl)#30 permit tcp 10.1.1.0 0.0.0.255 any eq 23

در انتها هم تمامی ترافیکهاي باقی مانده را بالك کرده و نتیجه انها را الگ می کنیم .4

R1(config-ext-nacl)#500 deny ip any any log

است access-classساخته شده به منظور استفاده از Aclقدم آخر تنظیم .5

R1(config-ext-nacl)#line vty 0 4 R1(config-line)#access-class VTY_ACCESS in R1(config-line)#end R1#

تست میکنیم در ابتدا R3و R2در مرحله تست صحت تنظیمات موارد انجام شده را از طریق روترهاي .6

R1#show access-list Extended IP access list VTY_ACCESS 10 deny tcp host 10.1.1.3 any eq telnet 20 permit tcp 10.1.1.0 0.0.0.255 any eq 22 30 permit tcp 10.1.1.0 0.0.0.255 any eq telnet 500 deny ip any any log R2#telnet 10.1.1.1 Trying 10.1.1.1 ... Open

Page 128 of 290

User Access Verification Username: tom Password: R1#show users Line User Host(s) Idle Location 0 con 0 idle 00:14:12 * 2 vty 0 tom idle 00:00:00 10.1.1.2 Interface User Mode Idle Peer Address R1#exit [Connection to 10.1.1.1 closed by foreign host] R2#ssh -l tom 10.1.1.1 Password: R1#sh ssh Connection Version Mode Encryption Hmac State Username 0 1.99 IN aes128-cbc hmac-sha1 Session started tom 0 1.99 OUT aes128-cbc hmac-sha1 Session started tom %No SSHv1 server connections running. R1#

از Telnetهمانطور که در قسمتهاي قبل دیدیم تنظار می رود ترافیک . انجام می دهیم R3را از سمت تست بعدي

.مجاز به عبور باشد SSHسمت آن بالك شود و

R3#telnet 10.1.1.1 Trying 10.1.1.1 ... % Connection refused by remote host R3#ssh -l tom 10.1.1.1 Password: R1#show ssh Connection Version Mode Encryption Hmac State Username 0 1.99 IN aes128-cbc hmac-sha1 Session started tom 0 1.99 OUT aes128-cbc hmac-sha1 Session started tom %No SSHv1 server connections running. R1#show users Line User Host(s) Idle Location 0 con 0 idle 00:13:53 * 2 vty 0 tom idle 00:00:00 10.1.1.3 Interface User Mode Idle Peer Address R1#

Page 129 of 290

Password Encryptionسرویس – 3.9آزمایش

.در این آزمایش با چگونگی تنظیمات سرویس رمزنگاري کلمات عبور ادوات سیسکو آشنا خواهیم شد


استفاده میکنند که بسیار Level7ادوات سیسکو به طور پیش فرض براي رمز نگاري کلمات عبور از الگوریتمهاي

تعداد زیادي وب سایت در این خصوص وجود دارندکه به شما .شکننده بوده و از درجه امنیتی پایینی برخوردار است

شده را می دهند، شاید بتوان Decryptشده از یک سو و دریافت کلمه عبور Hashکردن کلمه عبور Pasteاجازه

در هنگامی است که مشغول مشاهده کانفیگها Clear textبور به صورت گفت تنها حسن آن عدم نمایش کلمه ع

هنگامی که کانفیگ ادوات خود را ! هستید و شخصی کنار دست شما نشسته تمایل ندارید کلمه عبور را مشاهده کند

جهت بررسی به شخص دیگري می دهید یا در محیطهاي عمومی به اشتراك می گذارید دقیت کنید کلمات عبور

Level7 کلمات عبور . را از کانفیگ حذف کنید چون به آسانی قابل بازیابی هستندType5 که ازMD5 Hashing

بیتی ماهیت معکوس ناپذیر دارد و کلمات عبور رمز شده 128استفاده میکنند این مشکل را ندارند زیرا این الگوریتم

استفاده میکنند الگین میکنیم ابتدا کلمه عبور MD5با آن قابل رمزگشایی نیستند هنگامی که به ادواتی که از

دریافتی از ما تحت الگوریتم مذبور به صورت رمز درآمده و با رشته رمز شده و ذخیره شده موجود در دیوایس مقایسه

.می شود و در صورت یکسان بودن اجازه عبور صادر خواد شد


روتر در محیط برقراري اتصال کنسول به یک دستگاهGns3


بور محلیکلمه عبور ورمز ع 2ایجاد

فعال کردن سرویس رمز نگاري کلمات عبور باservice password-encryption

چک کردن اینکه آیا واقعا کلمات عبور رمز شده اند؟!

غیر فعال کردن سرویس و بررسی مجدد وضعیت کلمات عبور

دستور العمل سرویس

ین قدم دو کاربر با مشخصات زیر به صورت محلی در دیوایس ایجاد میکنیمدر اول .1

R1 con0 is now available Press RETURN to get started.

Page 130 of 290

R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#username tom secret Cisco R1(config)#username jerry password Cisco

نامهاي کاربري و کلمات عبور انها را do show run | inc usernameبا استفاده از دستور .2

مشاهده میکنیم

R1(config)#do show run | inc username username tom privilege 15 secret 5 $1$ID2R$2AKUK4US6yUQVkggSMkLV0 username john privilege 15 password 0 Cisco R1(config)#

فعال میکنیم service password-encryptionسرویس رمزنگاري پسوردها را از طریق .3

R1(config)#service password-encryption

م پس از فعال کردن سرویس یکبار دیگر کلمات عبور ذخیره شده را مشاهده میکنیم تا مطمئن شویم الگوریت .4

.به درستی اعمال شده است

R1(config)#do show run | inc username username tom privilege 15 secret 5 $1$ID2R$2AKUK4US6yUQVkggSMkLV0 username john privilege 15 password 7 106D000A0618 R1(config)#

لمات عبور به حالت اول بر نمیگیردنددر انتها سرویس را غیر فعال میکنیم همانوطر که مشاهده میکنید ک .5

R1(config)#no service password-encryption R1(config)#do show run | inc username username tom privilege 15 secret 5 $1$ID2R$2AKUK4US6yUQVkggSMkLV0 username john privilege 15 password 7 106D000A0618 R1(config)#

Page 131 of 290

Absolute timeoutو Exec Timeout– 3.10آزمایش

به منظور قطع کردن خودکار این Vtyو Consoleدر محیطهاي Timeoutدر این آزمایش با چگونگی تنظیمات

ارتباطات پس از گذشت مدت زمانی معین خواهیم پرداخت


ي بدون فعالیت ترمینالی و کنسولی به ادوات به عنوان یک نکته امنیتی مهم در محیطهاي اجرایی الزم است تا تماسها

پس از گذشت مدت زمان معینی به طور خودکار قطع شوند تا مورد سو استفاده سایرین قرار نگیرند از اینرو تنظیم

.به شدت توصیه می شودtimeout exec موارد فوق علی الخصوص

Absolute timeout برخی اوقات درAccess server اده قرار میگیرد تا تماسهاي برقرار شده به ها مورد استف

.باشند و چه در حالت فعال قطع کنند Idleادوات را چه در حالت


برقراري اتصال کنسول به یک روتر در محیطGns3

ایجاد اینترفیس لوپ بک در درR1 به آن 10.1.1.1/32و تخصیص آدرس

به آن 15سطح دسترسی ایجاد نام کاربري ورمز عبور با

تنظیمVty جهت احراز هویت تماسها بر اساس پایگاه داده داخلی


ایجاد یکExec time out یک دقیقه اي رويVty 0-4

چک کردن صحت تنظیم باTelnet بهLoopback و پس از آن یک دقیقه سکوت

حذفExec timeout و ایجادAbsolute Timeout ايدو دقیقه

بررسی صحت تنظیمات باTelnet مجدد بهLoopback و مشاهده قطع شدن ارتباط پس از دو دقیقه


Loopbackیک دقیقه اي و چک کردن آن از طریق Exec timeoutایجاد .1


Page 132 of 290

R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#line vty 0 4 R1(config-line)#exec-timeout 2 R1(config-line)#end R1#telnet 10.1.1.1 Trying 10.1.1.1 ... Open User Access Verification Username: tom Password: R1# [Connection to 10.1.1.1 closed by foreign host] R1#

دودقیقه اي به جاي آن ایجاد Absolute timeoutدر قدم بعدي تنظیمات قبلی را پاك میکنیم و یک .2

.تست میکنیم Loopbackمجدد به Telnetنتیجه را با یک . میکنیم

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#line vty 0 4 R1(config-line)#no exec-timeout R1(config-line)#absolute-timeout 2 R1(config-line)#end R1#telnet 10.1.1.1 Trying 10.1.1.1 ... Open User Access Verification Username: tom Password: R1# * * * Line timeout expired * [Connection to 10.1.1.1 closed by foreign host] R1#

.

Page 133 of 290

وب سرور داخلی ادوات سیسکو– 3.11 آزمایش

در این آزمایش با چگونگی تنظیمات ادوات سیسکو جهت احراز هویت ارتباطهاي برقرار شده با وب کنسول این ادوات



کاربران به جهت ایجاد و کنترل دسترسی برخی Cisco IOS web serverتنظیمات مرتبط با احراز هویت از طریق

در این نوشته به چگونگی این تنظیمات . امري رایج می باشد در محیطهاي عملیاتی SDMوب کنسول ادوات یا

خواهیم پرداخت



ایجاد ارتباطCloud اینترفیسFa1/0 با کارت شبکه کامپیوتر

جهت احراز هویت از طریق وب 15سطح دسترسی ایجاد کاربر با

تخصیص آدرس بهFa0/0 جهت دسترسی تحت وب به کنسول روتر از طریقIE


تخصیص نام دامنهstubarea.net به روتر

فعال سازي وب سرور داخلی روتر با دستورthe ip http secure-server

ات هویتی از پایگاه داده داخلی حسابهاي کاربريتنظیم وب سرور داخلی به منظور اخذ اطالع

الگین تحت وب از طریقIE به روتر و وارد کردن اطالعات هویتی


به روتر و فعال سازي وب سرور داخلی آن stubarea.netتخصیص نام دامنه .1

R1 con0 is now available Press RETURN to get started. R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip domain-name stubarea.net R11(config)#ip http secure-server % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] %SSH-5-ENABLED: SSH 1.99 has been enabled

Page 134 of 290

R1(config)#

تنظیم وب سرور داخلی جهت احراز هویت کاربران از طریق پایگاه داده داخلی حسابهاي کاربران .2

R1(config)#ip http authentication local

د وب رروتر متصل میشویم ، پس ورود اطالعات هویتی وا Fa0/0 به آدرس Ieپس از تمیل تنظیمات از طریق .3

.پنل روتر خواهیم شد

Page 135 of 290

syslog serverثبت الگها در – 3.12آزمایش

سرور آشنا Syslogدر این آزمایش با چگونگی تنظیمات ادوت سیسکو جهت ارسال کلیه پیامهاي سیستمی به

.خواهیم شد


فالن اینترفیس من آپ شد اونیکی ! در محیطهاي اجرایی و واقعی روترها در هر لحظه مشغول گریه و زاري هستند

از نقطه نظر یک مدیر شبکه الزم است تا تمام . تغییر کرد ، کانفیگ تغییر کرد و از این دست Aclشمارنده داون شد ،

در عمل .این پیامهاي سیستمی در محلی ذخیره شوند تا در فرصت مقتضی و در صورت نیاز مورد بررسی قرار گیرند

ن همه الگ به طور جداگانه از ادوات مجزا از هم خود ادوات هم وجو دارد اما اخذ ای يامکان ذخیره سازي الگها رو

اي تنظیم می کنند که پیامهاي سیستمی خود را هت از اینرو کلیه ادوات را به گونفرایندي وقت گیر و غیر اصولی اس

.به یک الگ سرور مشترك در شبکه ارسال کنند


برقراري ارتباط کنسول با یک دستگاه روتر در محیط Gns3

برقراري ارتباطcloud مابینFa0/0 1.8ك آز .و کارت شبکه کامپیوتر ر

دانلود و نصب برنامهSolarwinds kiwi syslog


تنظیمR1 جهت ارسال الگها به آدرس الگ سرور موجود در شبکه

تنظیمlogging option درR1 جهت الگ کردن پیغامهايlevel7 و پایینتر)Debug messages(

ایجاد پیغامهاي سیستمیDebug جهت ثبت درsyslog سرور

بررسی الگهاي ثبت شده درsyslog سرور


syslogو ارسال الگها به هاست میزبان برنامه loggingجهت فعال سازي R1تنظیم .1

R1 con0 is now available Press RETURN to get started. R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#logging host 192.168.2.3

Page 136 of 290

و پایینتر به سرور level 7به منظور ارسال الگهاي loggingتظیم پارامتر .2

R1(config)#logging trap 7 R1(config)#end R1# %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.2.3 port 514 started - CLI initiated R1#

icmpروي Debugایجاد دستی چند پیغام سیستمی با انجام .3

R1#debug ip icmp ICMP packet debugging is on R1#ping 192.168.255.10

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.255.10, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/24/100 ms R1# ICMP: echo reply rcvd, src 192.168.255.10, dst 192.168.255.1 ICMP: echo reply rcvd, src 192.168.255.10, dst 192.168.255.1 ICMP: echo reply rcvd, src 192.168.255.10, dst 192.168.255.1 ICMP: echo reply rcvd, src 192.168.255.10, dst 192.168.255.1 ICMP: echo reply rcvd, src 192.168.255.10, dst 192.168.255.1 R1#

سرور syslogبررسی صحت اطالعات دریافتی در .4

Page 137 of 290

CDP – 4.1آزمایش

و تایمر آن آشنا خواهیم شد CDPدر این آزمایش با چگونگی تنظیمات

مرورمفاهیم ی وکاربرد عمل

هاي فاقد مستندات استفاده می مستند سازي و درك توپولوژي شبکه براي CDPاز مهدسین شبکه عموما

عموم ادوات مبتنی بر (است که وظیفه آن نقل و انتقال اطالعات عمومی ادوات سیسکو 2الیه پروتکلی Cdp.کنند

IOS ( مشتمل برIP مشخصه پورتها و نسخه -وضعیت اتصال فیزیکی لینکها –آدرسIOS و بسیاري دیگر مابین

.ادوات همسایه می باشد

:در این آزمایش با دستورات زیر آشنا خواهیم شد

Show Cdp هت نمایش جCDP Hello Timer ،holdtime و نگارش نسخهCDP

show cdp neighbors نمایش اطالعات ادوات به طور فیزیکی متصل شاملHostName،Local&Remote

portsظرفیتهاي پلتفرمهاي همسایه و نام آنها،

show cdp detail مل نمایش اطالعات جزئی تر در مورد ادوات به طور فیزیکی متصل شاIos version ،Vtp

domain ،Native vlan وDuplex

clear cdp table پاك کردن اطالعاتCdp ذخیره شده درCDP table و اخذ مجدد آنها بر مبنايCDP

فریمهاي دریافت شده از اینترفیسهاي پلتفرم جاري

cdp timer <10-45> جهت تنظیم دستی زمان ارسال پیامHello به همسایه ها

cdp holdtime <10-45> تنظیم دستیdead timer جهت مشخص کردن مدت زمان الزم براي قطع نشان دادن

از سمت انها Helloارتباط با همسایه ها در صورت دریافت نکردن


برقراري ارتباط کنسول با یک دستگاه روتر و یک دستگاه سوییچ در محیطGns3

به 192.168.255.1/24تخصیص آدرسFa0/0 در روترR1

به 192.168.255.254/24تخصیص آدرسVlan1 در سوییچSW1


Page 138 of 290

یافتن نسخهIOS وFeature set موجود درSW1 از طریق روترR1

یافتنIp اینترفیس روترR1 از طریقSW1

حصول اطمینان از اینکه اینترفیسR1 بهSW1 ریق متصل است یا خیر از طR1

یافتنNative Vlan وVtp doamain اینترفیس سوییچی که روتر مستقیما به آن متصل است از طریقR1

پاك کردنCDP table درR1 و چک کردن اطالعاتR1 در موردSW1 پس از انجام این کار.

وتست صحت تنظیمات 15/45به60/180تغییر مقادیر پیش فرض تایمرهاي ادوات از

مل آزمایشدستورالع

cdp، براي دریافت این اطالعات دستور R1از طریق SW1سوییچ Iosمشخص کردن نسخه و ویژگیهاي .1

neighbor detail را درR1 اجرا میکنیم

R1>show cdp neighbors detail ------------------------- Device ID: Router Entry address(es): Platform: Cisco 3640, Capabilities: Router Switch IGMP Interface: FastEthernet0/0, Port ID (outgoing port): FastEthernet0/1 Holdtime : 134 sec Version : Cisco IOS Software, 3600 Software (C3640-JK9O3S-M), Version 12.4(13a), RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Tue 06-Mar-07 20:25 by prod_rel_team advertisement version: 2 VTP Management Domain: '' Duplex: full R1>

ENTERPRISE/FW/IDS PLUSبا ویژگی IOSداراي SW1پیداست زیرخط دارهمانطور که از قسمت

IPSEC 3DES Version 12.4(13a). است.

SW1از طریق R1اینترفیس روتر IPپیدا کردن .2

SW1#show cdp neighbors detail ------------------------- Device ID: R1 Entry address(es): IP address: 192.168.255.1 Platform: Cisco 3725, Capabilities: Router Switch IGMP Interface: FastEthernet0/1, Port ID (outgoing port): FastEthernet0/0 Holdtime : 168 sec Version : Cisco IOS Software, 3700 Software (C3725-ADVENTERPRISEK9-M), Version

Page 139 of 290

12.4(15)T14, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2010 by Cisco Systems, Inc. Compiled Tue 17-Aug-10 12:08 by prod_rel_team advertisement version: 2 VTP Management Domain: '' Duplex: full SW1#

آنرا از SW1است و سوییچ 192.168.255.1مورد نظر Ipباال مشخص شده زیر خط دار همانطور که در قسمت

.به دست آورده است CDPطریق دریافت فریمهاي

متصل شده است SW1که به R1پیدا کردن مشخصات اینترفیسی از .3

R1#show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID SW1 Fas 0/0 125 R S I 3640 Fas 0/1 R1#

.به آن متصل شده است R1پورتی از سوییچ که اینترفیس Vtp domainو Native vlanدا کردن پی .4

R1>show cdp neighbors detail ------------------------- Device ID: SW1 Entry address(es): IP address: 192.168.255.254 Platform: Cisco 3640, Capabilities: Router Switch IGMP Interface: FastEthernet0/0, Port ID (outgoing port): FastEthernet0/1 Holdtime : 157 sec Version : Cisco IOS Software, 3600 Software (C3640-JK9O3S-M), Version 12.4(13a), RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Tue 06-Mar-07 20:25 by prod_rel_team advertisement version: 2 VTP Management Domain: '' Duplex: full R1>

Page 140 of 290

خالی است Vtp domainهمانطور که در قسمت زیرخط دار مشخص شده است

R1>show cdp neighbors detail ------------------------- Device ID: SW1 Entry address(es): IP address: 192.168.255.254 Platform: Cisco 3640, Capabilities: Router Switch IGMP Interface: FastEthernet0/0, Port ID (outgoing port): FastEthernet0/1 Holdtime : 157 sec Version : Cisco IOS Software, 3600 Software (C3640-JK9O3S-M), Version 12.4(13a), RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Tue 06-Mar-07 20:25 by prod_rel_team advertisement version: 2 VTP Management Domain: '' Duplex: full R1>

پس از اینکار مجددا اقدام به پر R1و اطمینان از پاك شدن آن و مشاهده اینکه CDPپاك کردن جدول .5

.کردن جدول مذبور می نماید

R1#show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID SW1 Fas 0/0 173 R S I 2650XM Fas 1/0 R1#clear cdp table R1#show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID R1#

و بررسی صحت اعمال تغییرات 15/45به 60/180تغییر مقادیر پیش فرض تایمر در هر دو پلتفرم از .6

Page 141 of 290

R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#cdp timer 15 R1(config)#cdp holdtime 45 R1(config)#end %SYS-5-CONFIG_I: Configured from console by console R1#show cdp Global CDP information: Sending CDP packets every 15 seconds Sending a holdtime value of 45 seconds Sending CDPv2 advertisements is enabled R1#

Page 142 of 290

Vlanجاد ای – 4.2آزمایش

آشنا خواهیم شد Vlanدر این آزمایش با چگونگی ایجاد ، نام گذاري و تخصیص پورتهاي سوییچ به

کاربرد عملی و مرور مفاهیم

در این شبکه ها متصدي مربوطه تعداد . یا مسطح Flatنگاهی داشته باشیم به شبکه هاي vlanقبل از ورود بحث

اي گردن بند به هم متصل میکند تا یک شبکه بزرگ دها و شاید صدها کاربره را زیادي هاب یا سوییچ را مانند دانه ه

از منظر اصول طراحی شبکه این نوع طراحی در محیطهاي اجرایی به طرز ترسناکی .با تنها یک سابنت ایجاد کند

رار داده و شبکه هاي ناخواسته به آسانی میتوانند کل ترافیک شبکه را تحت الشعاع ق Broadcastاشتباه است زیرا

بازدهی کلی شبکه ) multi-access network(در شبکه هاي با دسترسی چندگانه .را از دسترس خارج کنند

رایج ترین سایز ماسک . عدد بیشتر می شوند به طرز چشم گیري کاهش میابد 400هنگامی که تعداد ادوات فعال از

گره 400میکند، با این اوصاف چگونه باید شبکه اي با بیش از گره فعال در سابنت را آدرس دهی 254که تنها 24/

.است Vlanفعال داشته باشیم ؟ پاسخ استفاده از

در ساده ترین شکل خود به صورت پارتیشن بندي کردن یک سوییچ فیزیکی به تعدادي شبکه مجازي Vlanتعریف

که هاي جدا از هم هیچ گونه ارسال و دریافت داده و ایزوله از یکدیگر است به گونه اي که گره هاي متصل به این شب

را می توان تفکیک الیه دویی vlanدر تعریف دیگري . اي با هم ندارند مگراز طریق یک روتر واسط مابینشان

مورد 6وجود دارد که در فصل subnetingقسمتهاي منطقی شبکه از هم نامید تفکیک الیه سه اي هم تحت عنوان

در شبکه هاي کامپیوتري کنترل اندازه سگمنت Vlanبه طور خالصه دلیل عمده ایجاد . د گرفتبررسی قرار خواه

.شبکه الیه دویی موجود است تا برادکستها و ترافیکهاي کنترلی سگمنت جاري را در خود غرق نکنند

3745ر هاي همگی در واقع روت SW3و SW2و SW1ذکر این نکته حائز اهمیت است که در این نوشتار سوییچهاي

میدهد در global config modeرا در Vlanهستند که اجازه انجام اتظیمات NM-16ESWبه همراه ماژول

انجام شود که روشی Vlan databseهاي پایینتر انجام این تنظیمات میبایست از طریق Iosصورت استفاده از

.نسبتا منسوخ شده است

:Show vlan کاتالیست جهت نمایش مشخصه این دستور در سوییچهايVlan هاي تعریف شده به کار می رود.

Show vlan-switch : این دستور در روترهاي داراي مازولهايWIC, HWIC, NM-16ESW جهت نمایش

Vlan هاي تعریف شده به کار می رود.


ساخت سوییچSW1 از طریق روتر باIOS 3745 و ماژولNm-16esw

Page 143 of 290

داف آزمایشاه

ایجاد سهVlan نامهاي 10,20,30به شماره هايDevelopment,Sales,Marketing

تخصیص پورتهايFa0/1 بهVlan10 وFa0/2 بهVlan20 وFa0/3 بهVlan30


با مشخصات فوق vlanسه ایجاد .1

SW1 con0 is now available Press RETURN to get started. SW1>enable SW1#config terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#vlan 10 SW1(config-vlan)#name Sales SW1(config-vlan)#vlan 20 SW1(config-vlan)#name Development SW1(config-vlan)#vlan 30 SW1(config-vlan)#name Marketing SW1(config-vlan)#end SW1#

. هاي تعریف شده Vlanتخصیص پورتهاي سوییچ به .2

SW1#configure terminal SW1(config)#interface Fa0/1 SW1(config-if)#switchport access vlan 10 SW1(config-if)#interface Fa0/2 SW1(config-if)#switchport access vlan 20 SW1(config-if)#interface Fa0/3 SW1(config-if)#switchport access vlan 30 SW1(config-if)#end SW#show vlan VLAN Name Status Ports ---- ---------------------------- --------- ------------------------------- 1 default active Fa0/4, Fa0/5, Fa0/6, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10 Sales active Fa0/1 20 Development active Fa0/2 30 Marketing active Fa0/3 1002 fddi-default act/unsup 1003 token-ring-default act/unsup

Page 144 of 290

1004 fddinet-default act/unsup 1005 trnet-default act/unsup SW1#

Page 145 of 290

Management Vlan – 4.3آزمایش

جهت مدیریت و پیکربندي ادوات آشنا خواهیم شد Management vlanدر این آزمایش با چگونگی تنظیمات

و مرور مفاهیم کاربرد عملی

Switched Virtual Interface ایجاد شده است Vlanدر دنیاي سوییچینگ به اینترفیس منطقی که از طریق یک

می توان در هنگام کانفیگ این اینترفیسهاي مجازي از کلیه قواعد و دستور العملهاي کانفیگ .میگویند Sviیا

Fastethernet اینترفیسهاي واقعی استفاده کرد مانند تخصیصIp،Bridge group،Qos و بسیاري دیگر

سوییچهاي . بط برقرار کنندارت 3در ادوات الیه دو این امکان را به آنها می دهد که با سایر ادوات الیه Vlanوجود

به منظور فعال سازي قابلیت روتینگ چند الیه روي خود استفاده میکنند به بیان دیگر سوییچ Vlanچند الیه از

ایفاي Router-on-a- stickبه آن خواهیم پرداخت یعنی 4.20چند الیه به عنوان مفهوم جدیدي که در آزمایش

براي default gatewayاینترفیس به عنوان vlanاز 3750یا 3560مانند در سوییچهاي چند الیه. نقش میکند

به . کامپیوترها و سایر ادواتی که نیاز به برقراري ارتباط با سایر شبکه هاي داخلی یا خارجی را دارند استفاده می شود

, 192.168.10.0/24ي به آدرسها Vlan 20و Vlan 10به نامهاي Vlan که داراي 3750عنوان مثال در سوییچ

داشته Vlan 20نیاز به ارسال دریافت اطالعات به Vlan 10در PCهنگامی که یک می باشد 192.168.20.0/24

استفاده خواهد کرد و سوییچ پکتها را مبتنی بر Default gatewayبه عنوان Vlan 10باشد این کامپیوتر از آدرس

.واهد کرد روت خ Vlan 20به سمت 3قواعد الیه

Management vlanفعال قابل تعریف است و از آن به عنوان Vlan interfaceدر سوییچ هاي الیه دو تنها یک

.اینترفیس یاد میشود


برقراري ارتباط کنسول با یک دستگاه روتر و سوییچ در محیطGns3

اتصالFa0/1 سوییچSW1 بهFa0/0 روترR1

به 10.1.1.1/24س تخصیص آدرFa0/0 کلمه عبور جهت روتر و فعال سازيTelnet


ایجادVlan 10 وتغییر نام آن بهmanagement

به اینترفیس ایجاد شده 10.1.1.10/24تخصیص آدرس

Page 146 of 290

انتساب اینترفیسFa0/1 بهVlan10

تست صحت تنظیمات باTelnet از طریقR1 بهVlan 10 درSW1

ستورالعمل آزمایشد

Managementبا نام Vlan 10ایجاد .1

SW1 con0 is now available Press RETURN to get started. SW1>enable SW1>configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#vlan 10 SW1(config-vlan)#name Management SW1(config-vlan)#end SW1#

به آن 10.1.1.10/24و تخصیص آدرس Vlan 10ایجاد اینترفیس .2

دقت کنید که .در مود گلوبال کانفیگ ساخته شود Vlan interfaceیک براي این منظور ابتدا الزم است

ر می رودبه کا Interface vlan#xدر دستور Vlanبه صورت چسپیده به عبارت Vlanشماره اینترفیس

SW1#configure terminal

Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#interface vlan10 SW1(config-if)#ip address 10.1.1.10 255.255.255.0 SW1(config-if)#no shut SW1(config-if)#

Vlan 10به SW1در Fa0/1انتساب .3

SW1(config-if)#interface FastEthernet0/1 SW1(config-if)#switchport access vlan 10 SW1(config-if)#no shut SW1(config-if)#end SW1#

Page 147 of 290

دسترسی پیدا کنیم R1را از طریق SW1واقع در Valn 10پس از انجام مراحل باال باید بتوانیم به

R1#ping 10.1.1.10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.10, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/39/100 ms R1# R1#telnet 10.1.1.10 Trying 10.1.1.10 ... Open User Access Verification Password: SW1>

Page 148 of 290

Dot1Qو ISLمبتنی بر Trunkingتنظیمات – 4.4آزمایش

مابین 802.1q (dotq) و Inter-Switch Link (ISL)در این آزمایش با چگونگی تنظیمات ایجاد ترانک مبتنی بر

.ها آشنا خواهیم شد Vlanچند سوییچ به منظور عبوردهی ترافیک


ها آشنا شدیم حاال سوال اینجاست در شبکه اي که تعداد زیادي سوییچ هر Vlanجاد و مدیریت تا اینجا با نحوه ای

وجود دارد چگونه می توان ترافیک مابین این سوییچها را بدون برقراري اتصال فیزیکی نظیر به Vlanیک با تعدادي

راه حل در استفاده از مفهموم ترانک است با سوییچ هاي دیگر انتقال داد ؟ Vlanنظیر مابین پورتهاي متعلق به هر

به طور همزمان مابین Vlanترانک با ساده ترین تعریف عبارت است از مسیر ارتباطی که قادر عبور ترافیک چندین .

Dot1qیا 802.1qمتعلق به کمپانی سیسکو و ISLاین امکان با بهره گیري از دو پروتکل . دو یا چند سوییچ است

.قابل پیاده سازي می باشد IEEEمن متعلق به انج

در این آزمایش از دستورات زیر استفاده خواهیم کرد

switchport mode trunk

ها Vlanپورت مورد نظر را تبدیل به ترانک پورت خواهد کرد با قابلیت عبور دهی ترافیک تمامی

switchport trunk encapsulation isl

است ISLکه در اینجا .ورد استفاده در ترانک است م encapsulationتعیین کننده نوع

switchport trunk encapsulation dot1q

است Dot1qکه در اینجا .مورد استفاده در ترانک است encapsulationتعیین کننده نوع

show interface trunk

ورد استفاده نمایش اینترفیسهایی که در حالت ترانک قرار دارند به همراه پروتکل ترانکینگ م

show interface interfacename#/# switchport

Nativeنمایش اطالعات مرتبط با اینترفیس مورد نظر مشتمل بر حالت ترانک یا اکسس بودن اینترفیس،

vlan،Vlan در صورت ترانک بودن اینترفیس(هاي مجاز به عبور از اینترفیس(


با تصویر ایجاد توپولوژي مطابق



ایجادVlan 10 وVlan 20 در سوییچهايSW1 وSW2

انتسابFa0/1 درSW1 بهVlan 10

Page 149 of 290


مابین سوییچ ها ISLترانکینگ مبتنی بر -4.4.1تصویر

ف آزمایشاهدا

خاموش کردنFa0/12 وFa0/11 درSW1,SW2

برقراريDot1q ترانک مابینSW1 وSW2 از طریقFa0/12

تست صحت برقراري ترانک از طریق دستورinterfacename#/#

تست برقراري ارتباط مابینR1وR2 از طریقPing

انتسابFa0/2 درSW1 بهVlan 5 و تست مجدد برقراري ارتباط مابین R1,R2


ISLاز 16esw-Nmاست زیرا ماژول 3560فرض اولیه انجام این آزمایش بهره گیري از دو سوییچ واقعی

encapsulation پشتیبانی نمیکند

Fa0/10و برقراري ترانکینگ مابین دو سوییچ از طریق Fa0/12,Fa0/11خاموش کردن .1

Page 150 of 290

SW1 con0 is now available Press RETURN to get started. SW1>enable SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config-if)#interface range Fa0/11 - 12 SW1(config-if-range)#shutdown SW1(config-if-range)#interface fa0/10 SW1(config-if)#switchport trunk encapsulation dot1q SW1(config-if)#switchport mode trunk SW1(config-if)#no shut SW1(config-if)#end SW1#

SW2 con0 is now available Press RETURN to get started. SW2>enable SW2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW2(config-if)#interface range Fa0/11 - 02 SW2(config-if-range)#shutdown SW2(config-if-range)#interface fa0/10 SW2(config-if)#switchport trunk encapsulation dot1q SW2(config-if)#switchport mode trunk SW2(config-if)#no shut SW2(config-if)#end SW2#

trunk show interfaceتست صحت تنظیمات ترانک از طریق .2

SW1#show interface FastEthernet0/10 trunk Port Mode Encapsulation Status Native vlan Fa0/10 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/10 1-4094 Port Vlans allowed and active in management domain Fa0/10 1,10 Port Vlans in spanning tree forwarding state and not pruned Fa0/10 1 SW1# SW2#show interface FastEthernet0/10 trunk Port Mode Encapsulation Status Native vlan Fa0/10 on 802.1q trunking 1

Page 151 of 290

Port Vlans allowed on trunk Fa0/10 1-4094 Port Vlans allowed and active in management domain Fa0/10 1,10 Port Vlans in spanning tree forwarding state and not pruned Fa0/10 1 SW2#

R1,R2تست امکان برقراري ارتباط مابین .3

مابین دو سوییچ به وجود Vlan 10اکنون که ترانک بین دو سوییچ برقرار شده است امکان انتقال ترافیک

صحت آنرا تست میکنیم Pingبا .آمده است

R1#ping 10.1.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 4/29/60 ms R1#

R1,R2و بررسی امکان ارتباط بین Vlan 5به Fa0/2انتساب .4

SW2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW2(config)#interface FastEthernet0/2 SW2(config-if)#switchport access vlan 5 % Access VLAN does not exist. Creating vlan 5 SW2(config-if)#end SW2# R1#ping 10.1.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) R1#

منتقل SW2در Vlan 5همانطور که انتظار می رفت ترافیک مابین دو روتر به دلیل عدم وجود اینترفیس متعلق به

نشد

switchport trunk .استفاده میشود ISLاز dot1qهم دقیقا به همین منوال است صرفا به جاي ISLتنظیمات

encapsulation isl | dot1q

Page 152 of 290

Etherchannelتنظیمات – 4.5آزمایش

جهت تجمیع چند لینک فیزیکی و تبدیل Staticبه صورت Etherchannelدر این آزمایش با چگونگی تنظیمات

آن به یک لینک منطقی آشنا خواهیم شد


Etherchannel یهاي معمول تکنولوژي پر استفاده اي است که امروزه تقریبا در تمام پیاده سازیهاي مبتنی بر معمار

شبکه به منظور ایجاد افزونگی و تجمیع پهناي باند لینکهاي متعدد فیزیکی به یک لینک واحد مورد استفاده قرار

کارت شبکه دارید و مایل هستید تمام آنها با هم و در شرایط خاص مثل سوختن 4به عنوان مثال سروري با . میگیرد

4می توان این etherchannelتفاده قرار گیرند در اینجا با بهره گیري از یکی از آنها به عنوان جایگزین هم مورد اس

) redundancy(پورت را به صورت یک لینک منطقی با مجموع ظرفیت همه لینکهاي مجزا به همراه قابلیت افزونگی

.پیکربندي کرد) load balancing(و تقسیم بار

لین مورد که رایج ترین شیوه تجمیع لینکهاي فیزیکی به یک وجود دارد ، او etherchannelپیاده سازي سه نوع

در آزمایش جاري این نوع مورد بررسی قرار . استاتیک یا بدون شرط نام دارد etherchannelلینک منطقی است

Port Aggregation Protocol (PAgP)و Link Aggregation Control Protocol (LACP) نوع دیگر به نامهاي 2میگیرد

.وجود دارند که در دو آزمایش بعد به آنها خواهیم پرداخت

LACP جز استانداردIEEE است و رایج ترین شیوه پیاده سازيetherchannel به صورت داینامیک است اما

PAgP استاندارد مختص سیسکو است و تنها مابین ادوات سیسکو و معدود کمپانیهاي دیگر قابل پیاده سازي است.

استفاده میکنیم ادوات دو سر لینک از منابع PAgPیا LACPته باشیم هنگامی که در پیاده سازیها از توجه داش

سیستمی نسبتا زیادي براي پردازش فریمهاي پروتکل مورد استفاده در فرایند تجمیع و ایجاد کانال استفاده میکنند

انجام خواهد Asicتیم و پردازشهاي الزم در سطح اما در صورت استفاده از متد استاتیک با چنین تنگنایی روبرو نیس

.شد

بر . برقراري ارتباط مابین دو سوییچ از طریق دو یا چند لینک فیزیکی است etherchannelمثال و کاربرد رایج دیگر

که در آرمایشات بعد مورد بررسی قرار خواهد گرفت تنها یکی از چند لینک مابین دو spanning-treeمبناي قواعد

broadcast stormسوییچ فعال خواهند ماند و مابقی جهت جلوگیري از لوپ هاي الیه دویی که از آنها به عنوان

در ادوات دو سر لینکها، این چند مسیر فیزیکی etherchannelبا فعال کردن .یاد می شود غیر فعال خواهند شد

به خاطر . خواهند گذشت spanning-treeسد مابین دو سوییچ به صورت یک لینک منطقی در خواهند آمد و از

مابین دو سوییچ تنها یکی از انها فعال خواهد ماند و مابقی etherchannelداشته باشیم در صورت ایجاد دو یا چند

بر اساس تعاریف باال غیر فعال خواهند شد

Page 153 of 290

.ي زیادي به قرار زیر استداراي فرمها و انتخابها etherchannelدر ) load balancing(مکانیزم تقسیم بار

destination ip destination mac address source XOR destination IP address source XOR destination mac address source ip addres source mac address


channel-group # mode on

و قراردادن #مشخص شده با شماره channel groupاز پورتهاي انتخاب شده در قرار دادن رنجی

EtherChannel در وضعیت بدون قید و شرطON

show etherchannel summary

، پورتهاي فعال در گروه channel-groupمانند شماره EtherChannelنمایش خالصه مشخصات

show etherchannel detail

برقرار شده EtherChannelعات جزئی تر در خصوص نمایش اطال

show etherchannel port-channel

EtherChannelنمایش مشخصه هاي اینترفیس منطقی ایجاد شده از طریق


ایجاد توپولوژي سناریو مطابق با تصویر زیر






قرار دانFa0/10, Fa0/11 and Fa0/12 در سوییچهايSW1,SW2 4.4-آز.ك.ر. در حالت ترانک

Page 154 of 290

SW1,SW2مابین بدون شرط Etherchannelایجاد - .4.51تصویر


قرار دادنFa0/10, Fa0/11 و Fa0/12 در حالتEtherChannel بدون شرط

تست صحت قرارگیري پورتها در گروه از طریق دستورshow etherchannel summary

مشاهده نوعload balancing مورد استفاده در گروه از طریقshow etherchannel load-balance

صحت برقراري ارتباط در لینک ترانک منطقی ایجاد شده از طریق تستPing بین دو روترR1,R2


Fa0/12 و Fa0/10, Fa0/11مابین EtherChannelایجاد .1

SW1 con0 is now available Press RETURN to get started.

SW1>enable SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#interface range fa0/10 - 12

Page 155 of 290

SW1(config-if-range)#no shut SW1(config-if-range)#channel-group 1 mode on Creating a port-channel interface Port-channel1 SW1(config-if-range)# %EC-5-BUNDLE: Interface Fa0/10 joined port-channel Po1 %EC-5-BUNDLE: Interface Fa0/11 joined port-channel Po1 %EC-5-BUNDLE: Interface Fa0/12 joined port-channel Po1 %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel1, changed state to up SW1(config-if-range)#end SW1# SW2 con0 is now available

Press RETURN to get started.

SW2>enable SW2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW2(config)#interface range fa0/10 - 12 SW2(config-if-range)#no shut SW2(config-if-range)#channel-group 1 mode on Creating a port-channel interface Port-channel1 SW2(config-if-range)# %EC-5-BUNDLE: Interface Fa0/10 joined port-channel Po1 %EC-5-BUNDLE: Interface Fa0/11 joined port-channel Po1 %EC-5-BUNDLE: Interface Fa0/12 joined port-channel Po1 %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel1, changed state to up SW2(config-if-range)#end

SW2#

بررسی صحت قرار گیري پورتها در گروه .2

SW1#show etherchannel summary Flags: D - down P - in port-channel I - stand-alone s - suspended R - Layer3 S - Layer2 U - in use Group Port-channel Ports -----+------------+--------------------------------------------- 1 Po1(SU) Fa0/10(P) Fa0/11(P) Fa0/12(P) SW1#

SW2#show etherchannel summary Flags: D - down P - in port-channel I - stand-alone s - suspended R - Layer3 S - Layer2 U - in use Group Port-channel Ports

Page 156 of 290

-----+------------+--------------------------------------------- 1 Po1(SU) Fa0/10(P) Fa0/11(P) Fa0/12(P) SW2#

مورد استفاده در گروه load balancingتشخیص نوع .3

SW1#show etherchannel load-balance EtherChannel Load-Balancing Configuration: src-mac EtherChannel Load-Balancing Addresses Used Per-Protocol: Non-IP: Source MAC address IPv4: Source MAC address IPv6: Source MAC address SW1#

R1,R2بین pingاز طریق EtherChannelتست صحت برقراري ارتباط ترانک و .4

R1#ping 10.1.1.2 R1#ping 10.1.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 4/23/52 ms R1#

در صورتیکه مایل به انجام تست بیشتري رو لینک برقرار شده باشیم میتوانیم دوتا از لینکهاي فیزیکی مابین را قطع

لینک منطقی Redundancyکنیم و ببینیم آیا مجددا ارتباط مابین روترها برقرار خواهد ماند یا خیر در واقع قابلیت

را که ایجاد کرده ایم را تست میکنیم

SW1#config terminal SW1#interface range f0/11 - 12 SW1#shutdown SW1#end SW1# Configured from console by console SW1# %LINK-5-CHANGED: Interface FastEthernet0/11, changed state to administratively down %LINK-5-CHANGED: Interface FastEthernet0/12, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11, changed state to down SW1#

Page 157 of 290

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/12, changed state to down SW1#

صدا میزنیم R1را از طریق R2مجددا etherchannelپس از خاموش کردن دو اینترفیس از سه اینترفیس فعال در


Page 158 of 290

PAgP Etherchannelتنظمیات – 4.6آزمایش

سیسکو آشنا PAgPداینامیک از طریق پروتکل اختصاصی EtherChannelدر این آزمایش با چگونگی تنظیمات

.خواهیم شد


PAgP با طرف مقابل خود استفاده میکنداز دو حالت براي برقراري کانال .Auto وDesirable حالتDesirable

تنها در Autoاینطور نیست به بیان بهتر حالت Autoهمواره اماده برقراري کانال با طرف دوم خود است در حالی که

.باشد Desirableصورتی کانال را برقرار میکند که طرف دوم در حالت

.آشنا خواهیم شدرات زیر در این آزمایش با دستو

channel-group # mode desirable

یا Autoو اقدام به برقراري کانال با طرف دومی که PAgPو حالت channel-groupتخصیص شماره

Desirable است

channel-group # mode auto

نال با طرف دومی و ماندن در حالت انتظار جهت ایجاد کا PAgPو حالت channel-groupتخصیص شماره

.است Desirable که در حالت


ایجاد توپولوژي مطابق با تصویر





انتساب Fa0/2 درSW2 بهVlan 10

Page 159 of 290

SW1,SW2مابین Etherchannel PAgPایجاد -.4.6.1تصویر


قرار دادنFa0/12,Fa0/11,Fa0/10 درSW1 در حالتPAgP Desirable

قرار دادنFa0/12,Fa0/11,Fa0/10 درSW2 در حالتPAgP Auto

تست برقراري ارتباط بینR1 وR2 از طریقping

تور العمل آزمایشدس

پشتیبانی نمیکند ، ادامه آزماش را بر مبناي وجود دو دستگاه PAgPاز قابلیت NM-16ESWاز آنجایی که ماژول

سوییچ واقعی انجام می دهیم

Desirableجهت قرار گرفتن در حالت SW1در Fa0/12,Fa0/11,Fa0/10تنظیم سه اینترفیس .1

SW1 con0 is now available Press RETURN to get started. SW1>enable SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#interface range f0/10 - 12 SW1(config-if-range)#channel-group 1 mode desirable

Page 160 of 290

Creating a port-channel interface Port-channel 1 SW1(config-if-range)#no shut SW1(config-if-range)#end SW1#

در این حالت . Autoجهت قرار گرفتن در حالت SW1در Fa0/12,Fa0/11,Fa0/10تنظیم سه اینترفیس .1

باشد Desirableتنها زمانی کانال برقرار خواهد شد که طرف دوم در حالت

configuration mode as shown below;

SW2 con0 is now available Press RETURN to get started. SW2>enable SW2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW2(config)#interface range f0/10 - 12 SW2(config-if-range)#channel-group 1 mode auto Creating a port-channel interface Port-channel 1 SW2(config-if-range)#no shut SW2(config-if-range)#end SW2#

EtherChannelتست صحت برقراري کانال مابین اینترفیسهاي شرکت کننده در .2

SW1#show etherchannel summary Flags: D - down P - bundled in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 U - in use f - failed to allocate aggregator M - not in use, minimum links not met u - unsuitable for bundling w - waiting to be aggregated d - default port Number of channel-groups in use: 1 Number of aggregators: 1 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 1 Po1(SU) PAgP Fa0/10(P) Fa0/11(P) Fa0/12(P) SW1#

R1,R2تست فعال بودن ترانک مابین دو سوییچ از طریق .3

Page 161 of 290


Page 162 of 290

LACP Etherchannelتنظمیات – 4.6آزمایش

LACPبه نام IEEEداینامیک از طریق پروتکل عمومی EtherChannelدر این آزمایش با چگونگی تنظیمات



LACP ، داراي دو حالت راه اندازي استActive وPassive . حالتLACP active رت یکطرفه و بدون به صو

هنگامی کانال را برقرار میکند passiveداینامیک را برقرار میکند در حالی که حالت EtherChannelقید وشرط

که طرف دوم کانال در حالت اکتیو و در حال تالش براي برقراري کانال باشد


channel-group # mode active

به گروه اینترفیس انتخاب شده و اقدام به برقراري کانال LACP Activeو حالت channel-groupتخصیص

LACP در صورتیکه طرف مقابل در حالت ،Active یاPassive نباشد کانال برقرار نمیشود

channel-group # mode passive

از طرف LACP packeالت گوش به زنگ دریافت ، این ح LACP Passiveو حالت channel-groupتخصیص

ست نشدن طرف دوم ، کانال برقرار نمیشود Activeدوم کانال می باشد و در صورت


ایجاد توپولوژي مطابق با تصویر






Page 163 of 290

SW1,SW2مابین Etherchannel LACPایجاد - .4.7.1تصویر


قرار دادنFa0/12,Fa0/11,Fa0/10 درSW1 در حالتLACP Active

کانفیگFa0/12,Fa0/11,Fa0/10 تشکیل کانال جهتLACP در صورتیکه طرف دوم اماده ایجاد کانل

باشد

تست صحت برقراري کانالLACP

تست امکان برقراري ارتباط مابینR1,R2 از طریق کانال پدید آمده


دستگاه پشتیبانی نمیکند ، ادامه آزماش را بر مبناي وجود دو PAgPاز قابلیت NM-16ESWاز آنجایی که ماژول

سوییچ واقعی انجام می دهیم

LACP Activeدر حالت SW1در Fa0/12,Fa0/11,Fa0/10قرار دادن .1


Page 164 of 290

SW1>enable SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#interface range f0/10 - 12 SW1(config-if-range)#no shut SW1(config-if-range)#channel-group 1 mode active Creating a port-channel interface Port-channel 1 SW1(config-if-range)#end SW1#

اماده ایجاد کانل در صورتیکه طرف دوم LACPجهت تشکیل کانال Fa0/12,Fa0/11,Fa0/10کانفیگ .2

باشد

SW2 con0 is now available Press RETURN to get started. SW2>enable SW2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW2(config)#interface range f0/10 - 12 SW2(config-if-range)#no shut SW2(config-if-range)#channel-group 1 mode passive Creating a port-channel interface Port-channel 1 SW2(config-if-range)#end SW2#

LACPتست صحت برقراري کانال .3

SW1#show etherchannel summary Flags: D - down P - bundled in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 U - in use f - failed to allocate aggregator M - not in use, minimum links not met u - unsuitable for bundling w - waiting to be aggregated d - default port Number of channel-groups in use: 1 Number of aggregators: 1 Group Port-channel Protocol Ports ------+-------------+-----------+-----------------------------

Page 165 of 290

1 Po1(SU) LACP Fa0/10(P) Fa0/11(P) Fa0/12(P) SW1#

از طریق کانال پدید آمده R1,R2تست امکان برقراري ارتباط مابین .4


Page 166 of 290

Portchannelتنظیمات اینترفیس – 4.8آزمایش

است Channel groupکه مستقیما وابسته به شماره port-channelدر این آزمایش با چگونگی تنظیمات

خواهیم پرداخت


آشنا شدیم دیدیم که گروهی از اینترفیسهاي فیزیکی Etherchannelهمانطور که در آزمایشات گذشته با مفهوم

را پدید می آورند که با یک شماره port-channelبا هم ترکیب می شوند و اینترفیسی مجازي به نام اینترفیس

.مشخص میشود

Port-Channel گروه پورتهاي در رده اینترفیسهاي مجازي قرار میگیرد و بیانگر مسیري است که ترافیک عبوري از

etherchannel هر دستوري که جهت پیکربندي .از آن عبور میکندPort-Channel مورد استفاده قرار گیرد عمال

.هستند اعمال میشود channel-groupروي همه پورتهایی که پدید آورنده

در این آزمایش از دستور زیر استفاده خواهیم کرد

interface port-channel #

قرار خواهیم گرفت و از طریق ان کلیه Port-Channel #ي آن در محیط کانفیگ اینترفیس پس از اجرا

!اینترفیسهاي شرکت کننده در کانال به طور همزمان اعمال کانفیگ خواهند شد


قرار دادنFa0/12,Fa0/11,Fa0/10 در هردو سوییچ در حالتEtherChannel بدون شرط و مستقیم

به 1خصیص شماره تchannel-group

Page 167 of 290


قرار دادنPort-Channel1 در هردو سوییچ در مد ترانک

تست صحت تنظیمات فوق روي تک تک اینترفیسهاي فعال در کانال

خاموش کردنPort-Channel1

تست صحت تنظیمات فوق روي تک تک اینترفیسهاي فعال در کانال


دادن قرارPort-Channel1 در هردو سوییچ در مد ترانک و تست صحت اعمال ترانک روي هر سه

اینترفیس سوییچ

SW1 con0 is now available Press RETURN to get started. SW1>enable SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#interface port-channel 1 SW1(config-if)#switchport mode trunk %EC-5-UNBUNDLE: Interface Fa0/10 left the port-channel Po1 %EC-5-UNBUNDLE: Interface Fa0/11 left the port-channel Po1 %EC-5-UNBUNDLE: Interface Fa0/12 left the port-channel Po1 %EC-5-BUNDLE: Interface Fa0/12 joined port-channel Po1 %EC-5-BUNDLE: Interface Fa0/11 joined port-channel Po1 %EC-5-BUNDLE: Interface Fa0/10 joined port-channel Po1

Page 168 of 290

%DTP-5-TRUNKPORTON: Port Fa0/10-12 has become dot1q trunk %LINK-3-UPDOWN: Interface Port-channel1, changed state to up SW1(config-if)#end SW1#show run ! interface FastEthernet0/10 switchport mode trunk channel-group 1 mode on ! interface FastEthernet0/11 switchport mode trunk channel-group 1 mode on ! interface FastEthernet0/12 switchport mode trunk channel-group 1 mode on ! SW1#

،ابتدا اعضاي تشکیل دهنده آنرا Port-Channel 1روي Trunkهمانطور که مشاهده میکنید پس از اجراي دستور

بر میگردند channel-groupترك میکنند و پس از دریافت تنظیمات مجددا به

و بررسی وضعیت پورتهاي تشکیل دهنده گروه پس از آن Port-Channel1خاموش کردن .2

SW1 con0 is now available Press RETURN to get started. SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#interface port-channel 1 SW1(config-if)#shutdown %EC-5-UNBUNDLE: Interface Fa0/10 left the port-channel Po1 %EC-5-UNBUNDLE: Interface Fa0/11 left the port-channel Po1 %EC-5-UNBUNDLE: Interface Fa0/12 left the port-channel Po1 %DTP-5-NONTRUNKPORTON: Port Fa0/10-12 has become non-trunk SW1(config-if)# %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel1, changed state to down %LINK-5-CHANGED: Interface FastEthernet0/10, changed state to administratively down %LINK-5-CHANGED: Interface FastEthernet0/11, changed state to administratively down %LINK-5-CHANGED: Interface FastEthernet0/12, changed state to administratively down SW1(config-if)# %LINK-5-CHANGED: Interface Port-channel1, changed state to administratively down SW1(config-if)#do show run ! interface FastEthernet0/10 switchport mode trunk shutdown

Page 169 of 290

channel-group 1 mode on ! interface FastEthernet0/11 switchport mode trunk shutdown channel-group 1 mode on ! interface FastEthernet0/12 switchport mode trunk shutdown channel-group 1 mode on ! SW1#

Page 170 of 290

ARPدستنی تنظیمات – 4.9آزمایش

در سوییچ ها و روترها آشنا خواهیم شد ARPدر این آزمایش با چگونگی تنظمیات دستی رکوردهاي


به منظور برقراري یک ارتباط الیه دو یا الیه سه اي ، سوییچها و روترها نیازمند یک جدول اطالعاتی حاوي نگاشت

ارتباط برقرار R2میخواهد که با R1به عنوان مثال . ا با یکدیگر هستنده Mac Addressها و Ipیک به یک

را از شبکه اخذ 10.1.1.2/24آدرس Macارسال میکند تا ARPکند،به همین خاطر در وحله اول یک درخواست

از R1پس از این مرحله . خود ذخیره میکند ARP Tableو پس از دریافت این اطالعات از شبکه آنها را در کند

Mac آدرس مقصد آگاه خواهد شد و از آن در فرم دهی فریمهاي ارسالی به مقصد استفاده خواهد کرد به این شکل

ارسال میکند، هنگامی سوییچ محلی فریم را دریافت میکند مک آدرس R2پکتی را با آدرس و مک آدرس R1که

پس از یافتن مک آدرس و سوییچ پورت متناظر .دد مقصد را استخراج نموده و به دنبال آن در جدول مک خود می گر

پاسخگوي رفع این نیاز نیست و ARPاما برخی اوقات . فریم دریافتی را به ایترفیس متناظر فوروارد میکند ،با آن

.باید از راه حل دیگري بهره جست

ات متصل به صورت مستقیم یا غیر سوییچ نمیتواند مک آدرس ها را از ادو/مواردي وجود دارند که بنا به دالیلی روتر

پاسخ ARPمستقیم دریافت کند مانند ماشینهاي مجازي یا دستگاهی که بنا به تنظیماتشان به درخواستهاي

روتر وارد میکنیم تا /را در سوییچ Static arp entryنمیدهد در چنین مواردي به طور دستی رکورد مربوط به

در صورتیکه فریمی با سمت مک آدرسی . ی با دستگاه مقصد فراهم شودالزامات اولیه جهت ارتباط الیه دوی

ارسال شود سوییچ فریم را به همه پورتهاي الیه دو خود ارسال ) غیر موجود در جدول مک آدرس سوییچ(نامعتبر

اي با میکند و به جز پورتی که فریم را از آن دریافت کرده است این پدیده باعث اتالف چشم گیر منابع در شبکه ه

.طراحی غیر بهینه و ناردست خواهد شد

.در این آزمایش از دستور جدید زیر استفاده خواهیم کرد

arp ip.ip.ip.ip 0123.4567.89ab arpa

در جدول مک آدرس تزریق خواهد شد static arp entryبا اجراي این دستور یک

show arp

به کار می رود ARPجهت نمایش محتواي جدول

Page 171 of 290

ز آزمایشپیش نیا

اتصال کنسول به یک دستگاه روتر در محیطGNS3


ثبت یکstatic arp entry 00و مک 10.1.1.25با آدرسac.a1f3.01ab

حصول اطمینان از ثبت آن با استفاده ازshow arp


00ac.a1f3.01abو مک 10.1.1.25با آدرس static arp entryثبت یک .1

R1 con0 is now available Press RETURN to get started. R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#arp 10.1.1.25 00ac.a1f3.01ab arpa R1(config)#end R1#

show arpحصول اطمینان از ثبت آن با استفاده از .2

R1#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 10.1.1.1 - ca00.0d78.0008 ARPA FastEthernet0/0 Internet 10.1.1.25 - 00ac.a1f3.01ab ARPA R1#

استفاده خواهد 00ac.a1f3.01abارسال میکند ازمک آدرس R2فیکی را به سمت ترا R1پس از این هنگامی که

ثبت شده Static ARP entryمناسب هم دریافت کند باز ARPپاسخ R2در این حالت حتی اگر از سمت .کرد

توسط ادمین حائز اولویت خواهد بود

Page 172 of 290

VTPتنظیمات – 4.10آزمایش

ها از یک سوییچ مرکزي VLANجهت انتشار تعریف VTPت امنیتی نکات پایه و در این آزمایش با چگونگی تنظمیا

به کلیه سوییچهاي موجود در آن شبکه خواهیم پرداخت


یکی از فعالیتهاي وقت گیر وسخت در شبکه هاي بزرگی که از تعداد زیادي سوییچ تشکیل یافته اند تعریف و مدیریت

Vlan از اینرو و به منظور حل این مشکل . طور مجزا در تک تک این ادوات می باشدها به VLAN Trunking

Protocol یا به طور اختصارVTP جهت انتشار تعریفVlan ها از طریق یک سوییچ مرکزي به سایر سوییچها

.مشابه حالت کالینت سروري معرفی شد

VTP Server شبکه جهت توزیع در عمل یک نقطه مدیریت مرکزي درVlan ها محسوب می شود به این معنا که

Vlan هاي ساخته شده در این سوییچ به طور همزمان در سایر سوییچهاي عضوVtp domain توزیع

به .ها در نظر بگیرید Vlanرا هم به صورت مجموعه اي از سوییچها با تعریف یکسان Vtp domainتعریف .میشوند

الیه شبکه به طور کامل پیاده سازي 3بزرگ دانشگاهی را در نظر بگیرید که در آن معماري عنوان مثال یک مجتمع

سرور را سوییچی به VTPدر اغلب موارد نقش . سرور سوییچ الیه توزیع خواهد بود Vtpشده است،در این طراحی

میکند در شبکه هاي را براي سوییچها الیه اکسس فراهم redundancyعهده مییگیرد که قابلیت افزونگی یا

.کوچکتر که الیه توزیع وجود ندارد این مسئولیت به عهده سوییچ مرکزي آن شبکه خواهد بود

ارائه شده است که در ادامه به آنها خواهیم پرداخت Vtpدر حال حاضر سه نگارش از

Vtp version 1 :ن نسخه اولیه و قدیمی با ویژگیها ساده اي همچون تنظیم سوییچ به عنواVtp سرور

،Vtp ،کالینتVtp transparent ،VTP Mode OFF که به طور کاملVtp را غیر فعال میکند.

Vtp version 2 : قابلیتهايVtp1 به اضافه پشتیبانی از توکن رینگVlan وVtp pruning اگر هیچ یک

سخه یک به دو وجود ندارداز این مشخصه ها در شبکه اي مورد استفاده قرار نمیگیرد لزومی به ارتقا از ن

Vtp version 3: این نسخه داراي مشخصه هاي پر رنگ تري نسبت به نسخه هاي قبلی است و آنرا به

تا 1یعنی IEEE VLANاین نگارش از تمام رنج .عنوان اولین انتخاب در شبکه هاي بزرگ تبدیل میکند

عالوه بر اینها در نگارش جدید با .میکندپشتیبانی را ها Private Vlanهمینطور انتشار اطالعات 4095

سایرین را بروز کنند Vlanافزودن قابلیتهایی همچون انتخاب اینکه کدام سوییچها بتوانند اطالعات

primary , backupبر مبناي یک ترانک خاص و یا تخصیص Vtpغیرفعال کردن /همینطور قابلیت فعال

.به راهبر شبکه ارائه میدهد Vtp domainیریت سرور امکانات بیشتري را جهت مد Vtpسرور به

Page 173 of 290

حالتی را در نظر بگیرید که فردي سوییچی را به شبکه ما متصل میکند که داراي . اکنون یک پله به عقب برگردیم

سرور شبکه ما است چه اتفاقی خواهد افتاد ؟ کلیه Vtpو نگارش باالتري از پایگاه داده Vtp domainهمان

تعدادي از . سرور جدید جایگزین خواهد شد Vtpشبکه ما با نسخه موجود در این پایگاه داده این Vlanتنظیمات

Vlan ها حذف خواهند شد تعداي جدید اضافه خواهند شد و از این دست نتیجه اینکه پورتهاي بیرون افتاده از

Vlan شبکه دو کار بسیار مهم را در مواجهه با چنین اتفاقی راهبر. به صورت خاموش خودنمایی خواهند کرد

جهت جلوگیري از Vtp passwordمیبایست پشت سر هم انجام دهد ابتدا بروزرسانی رزومه خود سپس استفاده از

تنها کالینتهایی اقدام به اخذ تنظیمات از سرور میکنند که هم نام Vtp passwordبا تنطیم .وقوع مجدد این بحران

هم داشته باشند دامنه و هم رمز عبور یکسانی با


ایجاد توپولوژي مطابق تصویر زیر

خاموش کردن اینترفیسهايFa0/13,Fa0/14,Fa0/15 در سوییچهايSW2,SW3

تنظیمFa0/10,Fa0/11,Fa0/12 در سوییچهايSW1,SW2 جهت ایجادEtherchannel و ترانک

تنظیمFa0/13,Fa0/14,Fa0/15 درSW1 وFa0/10,Fa0/11,Fa0/12 درSW3 جهت برقراي

Etherchannel 2باchannel-group و قرار دادن آن در حالت ترانک

Page 174 of 290

VTPاولیه یمات ظتن-4.10.1تصویر


تنظیمSW1 به عنوانVtp سرور و سایر سوییچها به عنوانVtp client و تنظیمVtp domain بهcisco

ایجادvlan 10 به نامDevelopment درVtp سرور و بررسی انشتار آن سوییجهاي دیگر

تظنیمVtp و افزایش امنیت 2به نگارشVtp domain از طریق تخصیص رمز عبورCisco$123 به آن

بررسی صحت تنظیمات

آزمایش دستور العمل

واقعی پیاده دستگاه سوییچ 3دستورات این آزمایش از طریق Gns3در Nm-16esw به دلیل محدودیت هاي ماژول

.سازي شده اند

Page 175 of 290

Vtpکالینت و تنظیم نام Vtpبه عنوان SW2,SW3سرور و پیکربندي Vtpبه عنوان SW1پیکربندي .١

domain بهCISCO

باشد Vtp modeمیبایست همراه با تنظیم Vtp domainبه خاطر داشته باشید در سوییچ کالینت تنظیم

Vtp domainبرد و پس از تنظیم Transparentرا به حالت در غیر اینصورت اول باید سوییچ مورد نظر

مجددا آنرا به حالت کالینت برگرداند

SW1 con0 is now available

Press RETURN to get started. SW1>enable SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#vtp mode server Device mode already VTP SERVER. SW1(config)#vtp domain CISCO Changing VTP domain name from NULL to CISCO SW1(config)# SW2 con0 is now available Press RETURN to get started. SW2>enable SW2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW2(config)#vtp domain CISCO Domain name already set to CISCO. SW2(config)#vtp mode client Setting device to VTP CLIENT mode. SW2(config)# SW3 con0 is now available Press RETURN to get started. SW3>enable SW3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW3(config)#vtp domain CISCO Domain name already set to CISCO. SW3(config)#vtp mode client Setting device to VTP CLIENT mode. SW3(config)#

ت انتشار آن در سوییچهاي دیگرو بررسی صح SW1در developmentبا نام Vlan 10ایجاد .٢

SW1(config)#vlan 10 SW1(config-vlan)#name Development SW1(config-vlan)#end SW1#

Page 176 of 290

فوق در سایر سوییچها هم مشاهده می شود یا خیر Vlanاکنون بررسی میکنیم که آیا

SW2(config)#end SW2#show vlan %SYS-5-CONFIG_I: Configured from console by console SW2#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/1, Gi0/2 10 Development active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 0 0 10 enet 100010 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 0 0 1003 tr 101003 1500 - - - - srb 0 0 1004 fdnet 101004 1500 - - - ieee - 0 0 1005 trnet 101005 1500 - - - ibm - 0 0 Remote SPAN VLANs ------------------------------------------------------------------------------ Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------ SW2# SW3(config)#end SW3#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18,

Page 177 of 290

Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/1, Gi0/2 10 Development active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2 ---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 0 0 10 enet 100010 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 0 0 1003 tr 101003 1500 - - - - srb 0 0 1004 fdnet 101004 1500 - - - ieee - 0 0 1005 trnet 101005 1500 - - - ibm - 0 0 Remote SPAN VLANs ------------------------------------------------------------------------------ Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------ SW3#

به آن Cisco$123از طریق تخصیص رمز عبور Vtp domainو افزایش امنیت 2به نگارش Vtpتظنیم .٣

SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#vtp version 2 SW1(config)#vtp password Cisco$123 Setting device VLAN database password to Cisco$123 SW1(config)#end SW1# SW2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW2(config)#vtp password Cisco$123 Setting device VLAN database password to Cisco$123 SW2(config)#end SW2# SW3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW3(config)#vtp password Cisco$123 Setting device VLAN database password to Cisco$123 SW3(config)#end SW3#

Page 178 of 290

استفاده میکنیم show vtpو سایر مشخصه هاي آن از دستور Vtp شبراي بررسی شماره نگار

SW2#show vtp status VTP Version : running VTP2 Configuration Revision : 3 Maximum VLANs supported locally : 1005 Number of existing VLANs : 6 VTP Operating Mode : Client VTP Domain Name : CISCO VTP Pruning Mode : Disabled VTP V2 Mode : Enabled VTP Traps Generation : Disabled MD5 digest : 0x96 0xF1 0x2F 0xDD 0x5F 0x1F 0x37 0x53 Configuration last modified by 192.168.255.1 at 3-2-93 15:11:27 SW2#

استفاده میکنیم show vtp passwordهم از دستور Vtp domainرمز عبور تنظیم شده براي براي مشاهده

SW2#show vtp password VTP Password: Cisco$123 SW2#

Page 179 of 290

Vtp pruningو Vtp transparentتنظیمات – 4.11آزمایش

Vtpهمینطور تنظیمات Vtpبه عنوان یک عضو پسیو VTP Transparentدر این آزمایش با چگونگی تنظیم

pruning با هدف جلوگیري از انتشار ترافیک هاي ناخواستهvlan ها به سوییچهایی که فاقد آنvlan ها میباشند


مکاربرد عملی و مرور مفاهی

دامین ها نقشی را Vtpنسپرنت در هیچ یک از نی حالتهاي سرور و کالینت حالت تریع Vtpبرخالف دو حالت قبلی

از سوییچی به سوییچ دیگر قناعت می کنند در واقع از سوییچ Vtpایفا نمیکند و صرفا به عبور دادن فریمهاي

. استفاده می شود Vtpانتقال دو سوییچ فعال در ترنسپرنت صرفا به عنوان یک سوییچ مدیریت پذیر مابین مسیر

فعالیت میکنند Vtp domainیک نکته منفی در خصوص سوییچهاي ترنسپرنت که به عنوان مسیر ترانزیت در

رایج ترین دلیل استفاده از سوییچهاي ترنسپرنت . یکسانی داشته باشند Vlanاینست که همگی باید داراي ساختار

هایی دارد که در vlanیک سوییچ ترنسپرنت نیاز به تعریف .مالحضات امنیتی است Vtpل در مابین دو سوییچ فعا

.ها نیز دسترسی دارد vlanهیچ قسمت دیگري از شبکه تعریف نشده اند اما در عین حال به سایر

خواهیم پرداخت Vtp pruningدر ادامه به ارائه مثالی از لزوم فعال سازي

Vtpطبقه پیاده سازي کرده ایم و سوییچهاي الیه توزیع را به عنوان 12الیه در ساختمانی فرض کنید یک شبکه سه

سوییچ الیه اکسس واقع در طبقات منتشر 24ها از طریق آنها به سایر vlanسرور تنظیم شده اند و اطالعات تعریف

این تعریف به همه Vtpهیت تعریف می شود بنا به ما 12در سوییچ طبقه Vlan 112حاال فرض کنید .می شوند

اینجا یک سوال مهم مطرح .خواهند شد Vlanسوییچهاي اکسس دیگر هم منتشر می شود و انها نیز صاحب این

تولید شود آیا همه سوییچهاي دیگر هم آنرا دریافت خواهند کرد؟ Vlan 112میشود و آن اینکه اگر برادکستی در

به جز پورت دریافت کننده (زیع برادکستها را به تمام ترانک پورتهاي خوداز آنجایی که سوییچهاي تو.پاسخ بله است

ارسال میکند لذا تمامی سوییچهاي اکسس به جز سوییچ ارسال کننده، برادکست را دریافت خواهند کرد و ) برادکست

.استفاده می کنیم Vtp pruningاین به معناي اتالف منابع شبکه است لذا براي حل این معضل از

Vtp pruning به زبان ساده از ارسال ترافیک سایرvlan ها روي ترانک لینک سوییچهایی که عضوي در آنvlan

را درخود ندارد چرا باید ترافیک Vlan 112در مثال باال اگر سوییچی هیچ پورت متعلق به .ندارند جلوگیري میکند

را در ترانک خود مشاهده کند؟ vlanمرتبط با این

هاي آزمایشپیش نیاز

Page 180 of 290

ایجاد توپولوژي مطابق تصویر زیر

تنظیمSW1 به عنوانVtp و سرورSW3 به عنوانVtp کالینت با نام دامنه سیسکو

خاموش کردنFa0/11,Fa0/12 و تنظیمFa0/10 به صورتdot1q trunk درSW1

خاموش کردنFa0/11, Fa0/12, Fa0/14, Fa0/15 و تنظیمFa0/13و Fa0/10 به صورتdot1q trunk

SW2در

خاموش کردن Fa0/11, Fa0/12, Fa0/14, Fa0/15 و تنظیمFa0/13 به عنوانdot1q trunk درSW3

ایجادvlan در 10,20,30هايVtp سرور

اي براي 3ایجاد اینترفیس الیهvlan 10 درSW1,SW3 10.10.13.3/24و10.10.13.1/24با آدرس هاي

Pruning VTPیمات ظتن-4.10.2تصویر

Page 181 of 290


تنظیمSW2 به عنوانVtp ترنسپرنت و تست صحت تنظیمات

فعال سازيVtp pruning درVtp سرور و حصول اطمینان از انتشار تنظیمات بهVtp کالینت

بررسی صحت اعمالpruning از طریق مشاهدهpruning list درSW1


رنسپرنت و تست صحت تنظیماتت Vtpبه عنوان SW2تنظیم .1

>SW2 con0 is now available Press RETURN to get started. SW2>enable SW2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW2(config)#vtp mode transparent SW2(config)#vtp version 2 Setting device to VTP TRANSPARENT mode. SW2(config)#end SW2#show vtp status SW2#show vtp status VTP Version : running VTP2 Configuration Revision : 0 Maximum VLANs supported locally : 1005 Number of existing VLANs : 8 VTP Operating Mode : Transparent VTP Domain Name : VTP Pruning Mode : Disabled VTP V2 Mode : Enabled VTP Traps Generation : Disabled MD5 digest : 0x06 0x97 0x82 0xDA 0x39 0x52 0x1E 0xF2 Configuration last modified by 192.168.255.252 at 0-0-00 00:00:00 SW2#

کالینت Vtpسرور و حصول اطمینان از انتشار تنظیمات به Vtpدر Vtp pruningفعال سازي .2

سرور اجرا شود پس از آن تنظیم به Vtpصرفا در محیط Vtp pruning براي این منظور کافی است دستور

کالینتهاي مجمود در دامنه انتشار خواهد یافت Vtpر خودکار به تمام طو


Page 182 of 290

SW1>enable SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#vtp pruning Pruning switched on SW1(config)#end SW1#show vtp status VTP Version : 2 Configuration Revision : 2 Maximum VLANs supported locally : 36 Number of existing VLANs : 8 VTP Operating Mode : Server VTP Domain Name : CISCO VTP Pruning Mode : Enabled VTP V2 Mode : Enabled VTP Traps Generation : Disabled MD5 digest : 0x2E 0x9F 0x5E 0x57 0xE3 0x87 0x46 0xFA Configuration last modified by 10.1.5.1 at 3-1-02 00:10:56 Local updater ID is 10.1.5.1 on interface Vl5 (lowest numbered VLAN interface found) SW1#

است SW3در VTP Pruningکدهاي زیر نشان دهنده صحت انتشار تنظیمات .3

SW3#show vtp status VTP Version : 2 Configuration Revision : 3 Maximum VLANs supported locally : 36 Number of existing VLANs : 8 VTP Operating Mode : Client VTP Domain Name : CISCO VTP Pruning Mode : Enabled VTP V2 Mode : Enabled VTP Traps Generation : Disabled MD5 digest : 0x77 0xF2 0x86 0xA4 0x3C 0x21 0x09 0xC0 Configuration last modified by 10.1.5.1 at 3-1-02 00:17:21 SW3#

3Swلیست در pruningو مشاهده SW3در pruningبررسی وضعیت .4

SW3#show interface trunk Port Mode Encapsulation Status Native vlan Fa0/13 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/13 1-4094

Page 183 of 290

Port Vlans allowed and active in management domain Fa0/13 1,10,20,30 Port Vlans in spanning tree forwarding state and not pruned Fa0/13 1,10 SW3#

pruningترافیکشان عبور داده میشود و تحت SW3هایی که در Vlanهمانطور که از خروجی دستورات بر می آید

چ ترنسپرنت در صورتی میتواند ترافیک را از خود عبور در نظر داشته باشیم سویی.هستند Vlan 1,10قرار نمیگیرند

عبور میکند SW2در Vlan 10از SW1در Vlan 10متناظر با آن را داشته باشد براي مثال ترافیک vlanدهد که

این مهم را .باشد در غیر اینصورت ترافیک عبور داده نخواهد شد Vlan 10هم میبایست داراي SW3در این بین

برسی کرد SW3در Vlan 10اینترفیس pingبا میتوانیم

SW1#ping 10.10.13.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.13.3, timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms SW1#

حذف کنیم امکان SW2را از Vlan 10وجود دارد اما اگر SW3در Vlan 10آمیز بود به دلیل اینکه پینگ موفقیت

را ازدست خواهیم داد SW3در Vlan 10دسترسی به

SW2#configure terminal SW2(config)#no vlan 10 SW2(config)#end SW2# SW1#ping 10.10.13.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.13.3, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) SW1#

Page 184 of 290

inter vlan routing-Router on stickتنظیمات -4.12آزمایش

router on stickبا استفاده از روتر که با نام دیگر Inter-VLAN routingدر این آزمایش با چگونگی تنظیمات

در این شیوه سوییچ و روتر از طریق ترانک اینترفیس و تعریف ساب اینترفیس .هم شناخته میشود خواهیم پرداخت

ها در ارتباط خواهند بود Vlanبه تعداد


3ه باشد که با ادوات الیه یک سگمنت الیه دویی تنها در صورتی میتواند با سایر شبکه ارسال و دریافت داده داشت

حالتی را در نظر بگیرید که در .نام دارد Default gatewayدر ارتباط باشد که به طور عام 3مثل روتر یا سوییچ الیه

با توجه به نکته باال در وحله .تعریف کرده ایم و به هریک ماشین اختصاص داده ایم vlanیک سوییچ الیه دویی پنج

ها که هریک معادل یک شبکه الیه دویی هستند نیاز به روتر خواهیم داشت یا اینکه از روتري Vlanاول به تعداد

دروس گذشته و . راه حل تنها استفاده از یک روتر است. ها اینترفیس داشته باشد Vlanاستفاده کنیم که به تعداد

ریف کردیم که قابلیت عبور دهی ترانکینگ را به خاطر بیاورید ترانک را به صورت اینترفیسی تع Dot1qمباحث

.ها را دارا است Vlanترافیک همه

روي Vlanترانک فیزیکی و ایجاد ساب اینترفیس به ازاي هر dot1qیک روتر میتواند با بهره گیري از تنها یک

.هاي موجود در شبکه داراي اینترفیس باشد Vlanآن،منطقا در همه

مجازي و منطقی است که از اینترفیس حقیقی روتر مشتق شده یک ساب اینترفیس در واقع اینترفیسی

هاي مختلف را استفاده از ساب اینترفیس این امکان را فراهم میکند که چندین کانفیگ مرتبط با اینترفیس.است

.روي تنها یک اینترفیس فیزیکی داشته باشیم

.


خاموش کردنSW2,SW3

ایجادVlan 20,30 درSW1

تنظیمFa0/1 درSW1 به عنوانDot1q ترانک لینک

تخصیصFa0/2 بهVlan 20 وFa0/3 بهVlan 30 درSW1



Page 185 of 290

Intervlan rounting – Router on stick - 4.12.1تصویر


ترفیس ایجاد ساب اینFa0/0.20 درR1 به همراه Dot1q encapsulation وDot1q tag of 20

به 10.1.20.1/24تخصیص آدرسFa0/0.20

ایجاد ساب اینترفیسFa0/0.30 درR1 به همراه Dot1q encapsulation وDot1q tag of 30

به 10.1.30.1/24تخصیص آدرسFa0/0.20

غیر فعال کردنip routing درR2,R3 و تنظیم آدرس ساب اینترفیس متناظر درR1 به عنوانDefault

gateway درR2,R3

Page 186 of 290

تست صحت تنظیمات از طریق پینگFa0/0 درR3 از طریقR2


ایجاد ساب اینترفیسFa0/0.20 درR1 به همراه Dot1q encapsulation وDot1q tag of 20 به

Fa0/0.20به 10.1.20.1/24همراه تخصیص آدرس

R1 con0 is now available Press RETURN to get started. R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface fa0/0 R1(config-if)#no shut R1(config-if)#interface fa0/0.20 R1(config-subif)#encapsulation dot1q 20 R1(config-subif)#ip add 10.1.20.1 255.255.255.0 R1(config-subif)#exit R1(config)#

به Dot1q tag of 30و Dot1q encapsulation به همراه R1در Fa0/0.30ایجاد ساب اینترفیس .1

Fa0/0.30به 10.1.30.1/24همراه تخصیص آدرس

R1(config)#interface fa0/0.30 R1(config-subif)#encapsulation dot1q 30 R1(config-subif)#ip add 10.1.30.1 255.255.255.0 R1(config-subif)#end R1#sh run interface fa0/0.20 Building configuration... Current configuration : 96 bytes ! interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 10.1.20.1 255.255.255.0 end R1#sh run interface fa0/0.30 Building configuration... Current configuration : 96 bytes !

Page 187 of 290

interface FastEthernet0/0.30 encapsulation dot1Q 30 ip address 10.1.30.1 255.255.255.0 end R1#show ip interface brief | inc FastEthernet0/0 Interface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned YES unset up up FastEthernet0/0.20 10.1.20.1 YES manual up up FastEthernet0/0.30 10.1.30.1 YES manual up up R1#

Defaultبه عنوان R1و تنظیم آدرس ساب اینترفیس متناظر در R2,R3در ip routingغیر فعال کردن .2

gateway درR2,R3

R2 con0 is now available Press RETURN to get started. R2>enable R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#no ip routing R2(config)#ip default-gateway 10.1.20.1 R2(config)#end R2# R3 con0 is now available Press RETURN to get started. R3>enable R3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R3(config)#no ip routing R3(config)#ip default-gateway 10.1.30.1 R3(config)#end R3#

R2از طریق R3در Fa0/0تست صحت تنظیمات از طریق پینگ .3

R2#ping 10.1.30.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.30.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/23/52 ms

Page 188 of 290

R2#

Page 189 of 290

PVSTتنظیمات -4.13آزمایش

لوگیري به عنوان یک مکانیزم الیه دویی شناسایی لوپها و ج PerVLAN STPدر این آزمایش با چگونگی تنظیمات

از پدید آمدن طوفانهاي برادکستی در شبکه خواهیم پرداخت

این آزمایش با ادوات واقعی انجام خواهد شد Gns3به دلیل محدودیتهاي


را از طریق دو رشته کابل شبکه به هم متصل کرده ایم )non manage(حالتی را در نظر بگیرید که دوسوییچ معمولی

هاي هر دو Ledپس از گذشت لحظات کوتاهی خواهیم دید که . متصل کرده ایم PCه هریک هم یک دستگاه و ب

علت این پدیده . ما قطع خواهد شد PCسوییچ به شدت در حال چشمک زدن خواهند شد و پس از اندکی ارتباط دو

broadcast strom قواعد اینکار به همه پورتهاي خود نام دارد و هنگامی پدید می آید که سوییچ برادکست را طبق

به جز پورتی که برادکست را از آن دریافت کرده است ارسال میکند و هنگامی که دو لینک ارتباطی مابین سوییچها

برقرار شود این جریان داده در یک حلقه تکرار بی نهایت قرار میگیرد و آنقدر بزرگ و بزرگتر میشود که تمام ظرفیت

.پرخواهد کرد تمامی پورتها را

که مسئول شناسایی و برطرف کردن Spaning treeبراي حل این مشکل در سوییچهاي مدیریت پذیر از پروتکل

در این حالت لینکهاي دوم به .لوپهاي الیه دو با هدف جلوگیري از بروز طوفانهاي برادکستی است استفاده می شود

ند و احتمال بروز طوفانهاي برادکستی مابین سوییچها به صفر می بعد مابین سوییچها در حالت غیر فعال قرار میگیر

.رسد

خوب پس اصال فلسفه استفاده از چند لینک فیزیکی مابین دو سوییچ چیست اگر که تنها محدود به استفاده یک

قی است که تعدادي لینک فیزیکی را به صورت یک لینک منط Etherchannelلینک هستیم ؟پاسخ در به کار گیري

می Port-Channelهنگامی که به اینترفیس Spaningtreeبه ادوات دو سر لینک نشان می دهد و در این هنگام

البته استفاده از چندین لینک . رسید آنرا به صورت یک تک اینترفیس میبیند و نه تعدادي اینترفیس مجزا از هم

هاي مجزا،فرضا لینک Vlanمابین دو سوییچ از طریق هم دارد مثل لود باالنس Etherchannelکاربرد دیگري به جز

Multipleاین مطلب در مبحث .هاي زوج را Vlanهاي فرد را عبور میدهد و لینک دوم ترافیک Vlanاول ترافیک

Spaning tree مورد بحث قرار میگیرد.

در سوییچهایی قدیمی به طور کامل از رده خارج شده و صرفا 802.1dیا همان spanning treeپروتکل قدیمی

سیسکو در مقطعی مشاهده کرد که .را دارا هستند Vlanمورد استفاده قرار میگیرد که قابلیت پشتیبانی از تنها یک

را معرفی +PVSTو PVSTها را دارد از اینرو پروتکل جدیدتر Vlanپروتکل مذبور نیاز به جاري شدن در همه

.خود را به منظور شناسایی و رفع لوپ هاي الیه دویی دارا میباشد STPمکانیزم Vlanاز اینرو امروزه هر .کرد

Page 190 of 290

STP از پروتکلی به نامBPDU (Bridge protocol data units) جهت انتقال اطالعات خود مابین سوییچها

تهاي از حال STP.انتخاب شده باشد یا در مرحله انتخاب باشد rootاستفاده میکند فارق از اینکه سوییچ به عنوان

مختلفی از پورتها به منظور ایجاد یک توپولوژي صحیح الیه دویی فاقد لوپ ایتفاده میکند از اینرو میبایست با این

.و سایر root port-designated portآشنا باشیم مانند PVSTحالتها در

زیر آشنا خواهیم در این آزمایش با دستورات . است PVSTدر سوییچهاي کاتالیست سیسکو STPحالت پیشفرض

شد

spanning-tree vlan # root primary : سوییچ را در حالتroot bridge برايVlan مشخص شده قرار می

دهد

spanning-tree vlan # root secondary: سوییچ را در حالتroot bridge Backup برايVlan مشخص شده

قرار می دهد

spanning-tree vlan # priority #: تخصیصBridge priority به هرVlan در سوییچ

show spanning-tree vlan #: نمایش اطالعاتSTP مرتبط باVlan خاص

show spanning-tree summary: نمایش همه اطالعات و تعداد پورتهاي مرتبط باSTP

show spanning-tree detail: نمایش اطالعات جزئی تر مربوط به هر پورت فعال درSTP

show spanning-tree bridge: نمایش اطالعاتSTP مربوط به همهVlan ها به همراه الویت هرVlan مجوع،

vlan priority + sys-id-ext ،Mac آردسBridge و تایمرها


ایجاد توپولوژي متناظر با شکل زیر

برقراريEtherchannel و ترانک مابینFa0/10-12 در سوییچهايSW1,SW2

برقراريEtherchannel و ترانک مابینFa0/13-15 درSW1 وFa0/10-12 درSW3

برقراريEtherchannel و ترانک مابینFa0/13-15 درSW2 وFa0/13-15 درSW3

تعیینSW1 به عنوانVtp سرور و سایرین به عنوان کالینت تحت دامینcisco و ایجادvlan هاي

طمینان از توزیع آنها مابین کالینتهادر سرور و حصول ا 30و20و10

Page 191 of 290

PVST -4.13.1تصویر


تنظیمSW1 به عنوانRoot Bridge برايVlan و تست صحت آن از طریق 1,10هايSW2

تنظیمSW2 به عنوانRoot Bridge برايVlan 20 و تست صحت آن از طریقSW1

تنظیمSW2 به عنوانRoot Bridge برايVlan 30 و تست صحت آن از طریقSW1


SW2و تست صحت آن از طریق 1,10هاي Vlanبراي Root Bridgeبه عنوان SW1تنظیم .1

:دو راه پیش رو داریم 10,1هاي Vlanبراي root bridgeبه عنوان SW1براي کانفیگ

spanning-tree vlan # root primary:خاب میکند و آنرا به عنوان که بهترین الویت را انتroot

bridge قرار می دهد

spanning-tree vlan # priority #: که باید به طور دستی اولویت بر حسب هرVlan در ان مشخص شود

Page 192 of 290

براي .شدن بیشتر خواهد شد root bridgeبه خاطر داشته باشیم هرقدر این عدد کوچکتر باشد شانس سوییچ براي

باشد vlanکه عدد معرف sys-id-extاست را با 65535-0را که مابین priorityعدد bridge priorityمحاسبه

جمع میکنیم

SW1 con0 is now available Press RETURN to get started. SW1>enable SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#spanning-tree vlan 1 root primary SW1(config)#spanning-tree vlan 10 root primary SW1(config)#end SW1#

show spanning-tree vlan rootیا # show spanning-tree vlanبراي تست صحت تنظیمات از دستورات

استفاده می شود

SW2#show spanning-tree vlan 1 VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 24577 Address 0014.f2d2.4180 Cost 9 Port 216 (Port-channel21) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 001c.57d8.9000 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- --------------------------- Po21 Root FWD 9 128.216 P2p Po23 Altn BLK 9 128.232 P2p SW2#show spanning-tree vlan 10 VLAN0010 Spanning tree enabled protocol ieee Root ID Priority 24586 Address 0014.f2d2.4180 Cost 9 Port 216 (Port-channel21) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32778 (priority 32768 sys-id-ext 10)

Page 193 of 290

Address 001c.57d8.9000 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- --------------------------- Po21 Root FWD 9 128.216 P2p Po23 Altn BLK 9 128.232 P2p SW2#show span root Root Hello Max Fwd Vlan Root ID Cost Time Age Dly Root Port ---------------- -------------------- --------- ----- --- --- ------------ VLAN0001 24577 0014.f2d2.4180 9 2 20 15 Po21 VLAN0010 24586 0014.f2d2.4180 9 2 20 15 Po21 VLAN0020 32788 0014.a964.2e00 9 2 20 15 Po23 VLAN0030 32798 0014.a964.2e00 9 2 20 15 Po23 SW2#

فارق از اینکه سوییچ جاري که در آن هستیم روت هست show spanning-tree rootهنگام استفاده از دستور

پورتی در خروجی مشخص rootصفر باشد و root costاگر .را مشاهده خواهیم کرد root portو root costیا خیر

را داشته root portو root costجی رواما اگر در خ.است root bridgeنشده باشد سوییچی که در آن هستیم

.ها ایفا خواهند کرد vlanم روت را براي کدا باشیم مانند خروجی باال ، مشخص خواهد شد که کدام پورتها نقش

SW1و تست صحت آن از طریق Vlan 20براي Root Bridgeبه عنوان SW2تنظیم .2

SW2 con0 is now available Press RETURN to get started. SW2>enable SW2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW2(config)#spanning-tree vlan 20 root primary SW2(config)#end SW2#

. است 001c.57d8.9000و مک آدرس 24956داراي اولیت root bridgeهمانطور که بررسی زیر نشان می دهد

SW2عالوه بر این . متصل شده است SW2است که مستقیما به Port-channel12بهترین مسیر به سمت آن نیز

.در حکم روت است Vlan 20اي نیز بر

SW1#show spanning-tree vlan 20 VLAN0020 Spanning tree enabled protocol ieee Root ID Priority 24596 Address 001c.57d8.9000

Page 194 of 290

Cost 9 Port 144 (Port-channel12) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32788 (priority 32768 sys-id-ext 20) Address 0014.f2d2.4180 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- --------------------------- Po12 Root FWD 9 128.144 P2p Po13 Altn BLK 9 128.152 P2p SW1#

SW1 طریق ازو تست صحت آن Vlan 30براي Root Bridgeبه عنوان SW2تنظیم .3


SW3>enable SW3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW3(config)#spanning-tree vlan 30 root primary SW3(config)#end SW3#

SW1#show spanning-tree vlan 30

VLAN0030 Spanning tree enabled protocol ieee Root ID Priority 24606 Address 0014.a964.2e00 Cost 9 Port 152 (Port-channel13) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32798 (priority 32768 sys-id-ext 30) Address 0014.f2d2.4180 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- --------------------------- Po12 Desg FWD 9 128.144 P2p Po13 Root FWD 9 128.152 P2p

SW1#

Page 195 of 290

Page 196 of 290

Rapid RPVSTتنظیمات – 4.14آزمایش

IEEE 802.1w Standard (Cisco) Rapid Per-VLANدر این آزمایش با چگونگی تنظیمات پروتکل

Spanning Tree Protocol در سوییچهاي کاتالیست سیسکو آشنا خواهیم شد

این آزمایش با استفاده از ادوات واقعی انجام خواهد GN3 در NM-16ESWبه دلیل محدودیتهاي ماژول :توضیح

شد


در این .به طور مجزا برقرار میکرد آشنا شدیم Vlanرا براي هر STPکه PVSTدر آزمایش قبلی با تنظیمات

این پروتکل از .واهیم کردکه تکمیل شده پروتکل قبلی می باشد را بررسی خ را 802.1wآزمایش پروتکل جدیدتر

6نام گرفته است که زمان پاسخگویی آن نسبت به نسخه قبلی سریعتر می باشد رقمی نزدیک به Rapidآن جهت

این پروتکل در عین .ثانیه بود 45این عدد IEEE 802.1Dدر حالی که در استاندارد قبلی ) Helloپس از سه (ثانیه

.موجود در سوییچهاي قدیمی تر نیز می باشد STPلی حال داراي سازگاري کامل با نسخه قب

می باشد به این معنی که در صورت UplinkFastویژگی جدید دیگري به پروتکل اضافه شده است که تقریبا شبیه

fail شدن روت پورت به سرعتalternate همینطور در پروتکل جدید روت بریج قادر . پورت را جایگزین آن می کند

.، سایر سوییچهاي موجود در شبکه را از تغییرات آگاه کند BPDUدر فریم TCریق ست کردن بیت است تا از ط

.


ایجاد توپولوژي و تنظیمات اولیه متناظر با آزمایش قبلی


کانفیگ سوییچها جهت بهره گیري ازRPVST

کانفیگSW1 به عنوان روت بریج برايVlan و تست صحت تنظیمات از طریق 1,10هايSW2

کانفیگSW2 به عنوان روت بریج برايVlan 20 و تست صحت تنظیمات از طریقSW1

کانفیگSW3 به عنوان روت بریج برايVlan 30 و تست صحت تنظیمات از طریقSW1


Page 197 of 290

SW2حت تنظیمات از طریق و تست ص 1,10هاي Vlanبه عنوان روت بریج براي SW1کانفیگ .1

SW1 con0 is now available Press RETURN to get started. SW1>enable SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#spanning-tree mode rapid-pvst SW1(config)#end %SYS-5-CONFIG_I: Configured from console by console SW1#show spanning-tree bridge Hello Max Fwd Vlan Bridge ID Time Age Dly Protocol ---------------- --------------------------------- ----- --- --- -------- VLAN0001 32769 (32768, 1) 0014.f2d2.4180 2 20 15 rstp VLAN0010 32778 (32768, 10) 0014.f2d2.4180 2 20 15 rstp VLAN0020 32788 (32768, 20) 0014.f2d2.4180 2 20 15 rstp VLAN0030 32798 (32768, 30) 0014.f2d2.4180 2 20 15 rstp SW1# SW2 con0 is now available Press RETURN to get started. SW2>enable SW2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW2(config)#spanning-tree mode rapid-pvst SW2(config)#end %SYS-5-CONFIG_I: Configured from console by console SW2#show spanning-tree bridge Hello Max Fwd Vlan Bridge ID Time Age Dly Protocol ---------------- --------------------------------- ----- --- --- -------- VLAN0001 32769 (32768, 1) 001c.57d8.9000 2 20 15 rstp VLAN0010 32778 (32768, 10) 001c.57d8.9000 2 20 15 rstp VLAN0020 32788 (32768, 20) 001c.57d8.9000 2 20 15 rstp VLAN0030 32798 (32768, 30) 001c.57d8.9000 2 20 15 rstp SW2# SW3 con0 is now available Press RETURN to get started. SW3>enable SW3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW3(config)#spanning-tree mode rapid-pvst SW3(config)#end %SYS-5-CONFIG_I: Configured from console by console SW3#show spanning-tree bridge

Page 198 of 290

Hello Max Fwd Vlan Bridge ID Time Age Dly Protocol ---------------- --------------------------------- ----- --- --- -------- VLAN0001 32769 (32768, 1) 0014.a964.2e00 2 20 15 rstp VLAN0010 32778 (32768, 10) 0014.a964.2e00 2 20 15 rstp VLAN0020 32788 (32768, 20) 0014.a964.2e00 2 20 15 rstp VLAN0030 32798 (32768, 30) 0014.a964.2e00 2 20 15 rstp SW3#

SW1و تست صحت تنظیمات از طریق Vlan 20به عنوان روت بریج براي SW2کانفیگ .2

SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#spanning-tree vlan 1 root primary SW1(config)#spanning-tree vlan 10 root primary SW1(config)#end %SYS-5-CONFIG_I: Configured from console by console SW1# SW2#show spanning-tree vlan 1 VLAN0001 Spanning tree enabled protocol rstp Root ID Priority 24577 Address 0014.f2d2.4180 Cost 9 Port 216 (Port-channel21) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 001c.57d8.9000 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- --------------------------- Po21 Root FWD 9 128.216 P2p Po23 Altn BLK 9 128.232 P2p SW2#show spanning-tree vlan 10 VLAN0010 Spanning tree enabled protocol rstp Root ID Priority 24586 Address 0014.f2d2.4180 Cost 9 Port 216 (Port-channel21) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32778 (priority 32768 sys-id-ext 10) Address 001c.57d8.9000 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec

Page 199 of 290

Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- --------------------------- Po21 Root FWD 9 128.216 P2p Po23 Altn BLK 9 128.232 P2p SW2#


SW2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW2(config)#spanning-tree vlan 20 root primary SW2(config)#end %SYS-5-CONFIG_I: Configured from console by console SW2# SW1#show spanning-tree vlan 20 VLAN0020 Spanning tree enabled protocol rstp Root ID Priority 24596 Address 001c.57d8.9000 Cost 9 Port 144 (Port-channel12) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32788 (priority 32768 sys-id-ext 20) Address 0014.f2d2.4180 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- --------------------------- Po12 Root FWD 9 128.144 P2p Po13 Altn BLK 9 128.152 P2p SW1#


SW3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW3(config)#spanning-tree vlan 30 root primary SW3(config)#end %SYS-5-CONFIG_I: Configured from console by console SW3# SW1#show spanning-tree vlan 30 VLAN0030 Spanning tree enabled protocol rstp Root ID Priority 24606

Page 200 of 290

Address 0014.a964.2e00 Cost 9 Port 152 (Port-channel13) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32798 (priority 32768 sys-id-ext 30) Address 0014.f2d2.4180 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- --------------------------- Po12 Desg FWD 9 128.144 P2p Po13 Root FWD 9 128.152 P2p SW1#

Page 201 of 290

Switchport Spanning Tree Portfastتنظیمات -4.16آزمایش

با هدف ورود هر چه سریعتر Spanning-Tree Switchport Portfastتنظیمات در این آزمایش با چگونگی

.پورتهاي اکسس به مدار آشنا خواهیم شد


ثانبه بوت و قابل 5فرض کنید صاحب یک کامپیوتر بسیار سریع سریع هستید یا فرضا یک تین کالینت دارید که طی

میافتید هنگامی که ترافیک سیستم براي اولین به سمت پورت سوییچ روان میشود؟پاسخ چه اتفاقی .استفاده میشود

به blockingثانبه زمان نیاز دارد تا از حالت 15بخاطر اینکه پورت حدود ! اینست که ترافیک حذف میشود

forwarding شبکه وجود دارد یا تغییر وضعیت دهد و در این حین به دنبال این است که متوجه شود که آیا لوپی در

سپس learningپس از حصول اطمینان از اینکه لوپ پدید نخواهد آمد پورت اکسس ما ابتدا در حال .خیر

forwarding ثانیه موفق به 8حاال اگر تنظیمات شبکه دستگاه ما به گونه اي باشد که اگر ظرف . قرار خواهد گرفت

. دهد سیستم ما هرگز به آن شبکه متصل نخواهد شدنمایش failureاز شبکه نشود پیغام IPدریافت

تغییر وضعیت میدهد و در forwardingپورت مورد نظر را سریعا به حالت portfastساده ترین توضیح اینست که

دیافت کند نتیجه BPDUاین حالت تالشی برا شناسایی لوپ در شبکه انجام نمیدهد مگر اینکه روي آن پورت

مشخصه روي تعدادي از پورتهاي متصل به شبکه سوییچ فعال باشد براي لحظاتی شاهد بروز لوپ در اینکه اگر این

TCN (Topology Changeعدم ایجاد portfastمزیت دیگر . شبکه خواهیم شد اما به سرعت برطرف خواهد شد

Notification) توسطSTP جویی در منابع سیستمی با هر بار آپ و داون شدن پورت است این موضوع باعث صرفه

.سوییچ میشود زیرا مجبور نیست با هر بار تغییر وضعیت یک پورت اکسس کل محاسبات خود را از اول انجام دهد

در سوییچهاي کاتالیست وجود دارد یک راه فعال سازي آن در سطح اینترفیس و portfastدو راه براي فعال سازي

. دیگري در سطح کل سوییچ است

نیازهاي آزمایشپیش

ایجاد توپولوژي زیر

فعال سازيRPVST درSW1


فعال کردنFa0/0 درR1 و مشاهده وضعیت آن از طریقshow spanning-tree

Page 202 of 290

غیرفعال کردن اینترفیس روتر و فعال کردنportfast درSW1 سپس فعال کردن مجدد اینترفیسR1 و

SW1در Fa0/1حصول اطمینان از فعال شدن سریع

فعال کردنportfast در همه پورتهاي سوییچ و بررسی صحت عملکرد آن

دستورالعمل

show spanning-treeو مشاهده وضعیت آن از طریق R1در Fa0/0فعال کردن .1

R1 con0 is now available Press RETURN to get started. *Mar 15 23:38:09.097: %SYS-5-CONFIG_I: Configured from console by console R1#enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface fa0/0 R1(config-if)#no shut R1(config-if)# %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up R1(config-if)# %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R1(config-if)#end R1# %SYS-5-CONFIG_I: Configured from console by console R1#

SW1از طریق RSTPنتیجه بررسی

SW1#show spanning-tree VLAN0001 Spanning tree enabled protocol rstp Root ID Priority 24577 Address 0014.f2d2.4180 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 24577 (priority 24576 sys-id-ext 1) Address 0014.f2d2.4180 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- ---------------------------

Page 203 of 290

Fa0/1 Desg BLK 19 128.3 P2p SW1#show spanning-tree VLAN0001 Spanning tree enabled protocol rstp Root ID Priority 24577 Address 0014.f2d2.4180 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 24577 (priority 24576 sys-id-ext 1) Address 0014.f2d2.4180 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- --------------------------- Fa0/1 Desg LRN 19 128.3 P2p SW1#show spanning-tree VLAN0001 Spanning tree enabled protocol rstp Root ID Priority 24577 Address 0014.f2d2.4180 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 24577 (priority 24576 sys-id-ext 1) Address 0014.f2d2.4180 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- --------------------------- Fa0/1 Desg FWD 19 128.3 P2p SW1#

مک آدرس را از فریمهاي learningهمانطور که مشاهده میشود پورت ابتدا ترافیک را بالك میکند سپس در حالت

یافتن لوپهاي احتمالی ارسالی از سایر نقاط شبکه را جهت BPDUدریافتی استخراج میکند در همین حین فریمهاي

.تغییر حالت میدهد forwardingپردازش میکند بعد از آن به حالت

و R1سپس فعال کردن مجدد اینترفیس SW1در portfastغیرفعال کردن اینترفیس روتر و فعال کردن .1

SW1در Fa0/1حصول اطمینان از فعال شدن سریع

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface fa0/0 R1(config-if)#shutdown

Page 204 of 290

R1(config-if)#

SW1در portfastو تنظمیات

SW1 con0 is now available Press RETURN to get started. SW1>enable SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#interface fa0/1 SW1(config-if)#spanning-tree portfast %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc... to this interface when portfast is enabled, can cause temporary bridging loops. Use with CAUTION %Portfast has been configured on FastEthernet0/1 but will only have effect when the interface is in a non-trunking mode. SW1(config-if)#end SW1#

روتر و فعال سازي مجدد اینترفیس

R1(config-if)#no shut R1(config-if)# %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up R1(config-if)# %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R1(config-if)#

تغییر حالت داده است forwardingبالفاصله به حالت Fa0/1دهد که نشان می SW1در SPTاکنون بررسی

SW1#show span VLAN0001 Spanning tree enabled protocol rstp Root ID Priority 24577 Address 0014.f2d2.4180 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 24577 (priority 24576 sys-id-ext 1)

Page 205 of 290

Address 0014.f2d2.4180 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 sec Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- --------------------------- Fa0/1 Desg FWD 19 128.3 P2p Edge SW1#

در همه پورتهاي سوییچ و بررسی صحت عملکرد آن portfastفعال کردن .2

SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#spanning-tree portfast default %Warning: this command enables portfast by default on all interfaces. You should now disable portfast explicitly on switched ports leading to hubs, switches and bridges as they may create temporary bridging loops. SW1(config)#end SW1# SW1#show spanning-tree summary Switch is in rapid-pvst mode Root bridge for: VLAN0001 Extended system ID is enabled Portfast Default is enabled PortFast BPDU Guard Default is disabled Portfast BPDU Filter Default is disabled Loopguard Default is disabled EtherChannel misconfig guard is enabled UplinkFast is disabled BackboneFast is disabled Configured Pathcost method used is short Name Blocking Listening Learning Forwarding STP Active ---------------------- -------- --------- -------- ---------- ---------- VLAN0001 0 0 0 1 1 ---------------------- -------- --------- -------- ---------- ---------- 1 vlan 0 0 0 1 1 SW1#

Page 206 of 290

گارد BPDUتنظیمات :4.17آزمایش

از فعالیت سوییچهاي متفرقه از طریق خاموش گارد به منظور جلوگیري BPDUدر این آزمایش با چگونگی تنظیمات

.خواهیم پرداخت BPDUکردن پورتهاي دریافت کننده

کاربرد عملی ومرور مفاهیم

) روي دیوار(سوییچی متفرقه را به پورتهاي شبکه /چه اتفاقی خواهد افتاد اگر یک کاربر مطلع یا حتی نا مطلع هاب

نکار ایجاد یک لوپ الیه دویی خواهد بود و طوفان برادکست حاصل از متصل کند ؟پاسخ کامال روشن است و نتیجه ای

.پایین خواهد آورد dial upآن سرعت شبکه را در حد ارتباطات

به عنوان یک مهندس شبکه این وظیفه ما است که از فراهم آوردن امکان اتصال سوییچ هاي متفرقه توسط کاربران یا

همچون کمبود پورت در سمت کاربر و نیاز به افزایش آنها جلوگیري سایر اشخاص به شبکه موجود به دالیلی

دریافت میشوند BPDUگارد مکانیزیمی است که از طریق آن پورتهایی از سوییچ که روي آنها فریمهاي PDU.کنیم

م گارد در پورتهاي اکسس سمت کاربري از نکات مهم و مرسو BPDUو Portfastخاموش میشوند لذا امروزه تنظیم

ندیبه حساب می آ

قرار میگیرد ERR-Disabledغیرفعال میشود در حالت BPDUهنگامی که پورتی توسط گارد به جهت دریافت

همینطور میتوانیم این مشخصه را مانند .براي احیا پورت مذبور به حالت اول یکبار آنرا خاموش مجددا روشن میکنیم

Portfast چ فعال کنیم به طور یکجا براي همه پورتهاي سویی.

گارد در سطح همه پورتهاي سوییچ پشتیبانی BPDUتنها از تنظیمات GNS3در NM-16ESWماژول :نکته

میکند و نه تک پورت از اینرو تمرینات این آزمایش را با ادوات واقعی انجام می دهیم


مشابه آزمایشات قبلیایجاد توپولوژي

تنظیمFa0/1 ر دو سوییچ به عنوان اکسس پورت واقع در در هVlan 10


Page 207 of 290

حصول اطمینان ازUp بودنFa0/1 دو سوییچ ردر ه

فعال سازيBPDU گاردFa0/1 درSW1 و بررسی وضعیت پورت در انتها

ررسی وضعیت پورتها در انتهابحذف گارد و


دو سوییچ ردر ه Fa0/1بودن Upحصول اطمینان از .1

show ip interface brief FastEthernet 0/10 Interface IP-Address OK? Method Status Protocol FastEthernet0/10 unassigned YES unset up up SW1# SW2#show interface fa0/10 FastEthernet0/10 is up, line protocol is up (connected) Hardware is Fast Ethernet, address is 001c.57d8.900c (bia 001c.57d8.900c) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s, media type is 10/100BaseTX input flow-control is off, output flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:01, output 00:00:00, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 2000 bits/sec, 4 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 49720 packets input, 3684013 bytes, 0 no buffer Received 48602 broadcasts (48602 multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 48602 multicast, 0 pause input 0 input packets with dribble condition detected 3118 packets output, 381783 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 PAUSE output 0 output buffer failures, 0 output buffers swapped out SW2#

سپس فعال کردن SW1گارد در BPDUو فعال کردن SW2در Fa0/10خاموش کردن اینترفیس .2

Fa0/10 درSW2 وبررسی وضعیتSW1

SW2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW2(config)#interface fa0/10

Page 208 of 290

SW2(config-if)#shutdown %LINK-5-CHANGED: Interface FastEthernet0/10, changed state to administratively down SW2(config-if)# SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#interface fa0/10 SW1(config-if)#spanning-tree bpduguard enable SW1(config-if)#end SW1# SW2(config-if)#no shutdown SW2(config-if)# %LINK-3-UPDOWN: Interface FastEthernet0/10, changed state to down SW2(config-if)#

روي SW2از سمت BPDU با مضمون دریافت Syslog messageمراجعه کنیم با یک SW1لحظه اگر به در این

Fa0/1 مواجه خواهیم شد

SW1# %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port Fa0/10 with BPDU Guard enabled. Disabling port. SW1# %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/10, putting Fa0/10 in err-disable state SW1# SW1#show interfaces fa0/10 FastEthernet0/10 is down, line protocol is down (err-disabled) Hardware is Fast Ethernet, address is 0014.f2d2.418c (bia 0014.f2d2.418c) MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Auto-duplex, Auto-speed, media type is 10/100BaseTX input flow-control is off, output flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:02:43, output 00:08:44, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 3303 packets input, 403853 bytes, 0 no buffer Received 2097 broadcasts (2097 multicasts) 0 runts, 0 giants, 0 throttles

Page 209 of 290

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 2097 multicast, 0 pause input 0 input packets with dribble condition detected 55416 packets output, 4095765 bytes, 0 underruns 0 output errors, 0 collisions, 3 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 PAUSE output 0 output buffer failures, 0 output buffers swapped out SW1#

به BPDUبه جهت فعال بودن گارد به محض دریافت SW1در سوییچ Fa0/1همانطور که انتظار میرفت وضعیت

درامده است Err-Disabledحالت

در انتها حذف گارد و بررسی وضعیت پورتها .3

SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#interface fa0/10 SW1(config-if)#no spanning-tree bpduguard enable SW1(config-if)#exit SW1(config)#spanning-tree portfast bpduguard default SW1(config)#end SW1# %SYS-5-CONFIG_I: Configured from console by console SW1# SW1(config)#do show spanning-tree summary Switch is in rapid-pvst mode Root bridge for: none Extended system ID is enabled Portfast Default is enabled PortFast BPDU Guard Default is enabled Portfast BPDU Filter Default is disabled Loopguard Default is disabled EtherChannel misconfig guard is enabled UplinkFast is disabled BackboneFast is disabled Configured Pathcost method used is short Name Blocking Listening Learning Forwarding STP Active ---------------------- -------- --------- -------- ---------- ---------- Total 0 0 0 0 0 SW1(config)#

Page 210 of 290

Switch port analyzer sessionتنظیمات -4.21یش آزما

آنالیز ترافیک به منظور با هدف کپی ترافیک یک پورت سوییچ به پورتی دیگر SPANدر این آزمایش با تنظیمات

.آشنا خواهیم شدشبکه

.کاربرد عملی و مرور مفاهیم

به یک sniff –یک پورت سوییچ را جهت انالیز آیا تا کنون به این موضوع اندیشیده اید که چطور ترافیک عبوري از

.است SPANمنتقل کنید ؟راه حل در بهره گیري از Wiresharkابزار ترافیک آناالیزر مانند

جهت رفع اشکال مسائل پدید آمده مابین اینترفیسهاي روترها و سوییچها SPANدر محیطهاي اجرایی استفاده از

هاي فعال هستند این SPANکاتالیست سیسکو داراي محدودیت در تعداد سوییچهاي .وسرورها امري رایج است

.که نقش سوییچ را در آن ایفا میکند به عدد دو میرسد NM-16ESWو ماژول GNS3محدودیت در

.در این آزمایش با دستورات زیر آشنا خواهیم شد

monitor session 1 source interface interfacename#/# : یک سشنSPAN دید با اینترفیس مبدا ج

مشخص شده ایجاد میکند

monitor session 1 destination interface interfacename#/# : تعیین اینترفیس مقصدي که یک کپی از

.جریان اطالعاتی اینترفیس مشخص شده در دستور قبل را دریافت میکند

show monitor session #: نمایش وضعیتSPAN # مشخص شده

ز آزمایشپیش نیا

برقراري ارتباط کنسول باR1,R2,SW1

به 10.1.1.1/24تخصیص آدرسFa0/0 روترR1 و ایجادVlan1 در 10.1.1.10/24با آدرسSw1


ایجاد یک سشنSPAN با مبداFa1/1 و مقصدFa1/2 درSW1

.

Page 211 of 290


SW1 con0 is now available

Press RETURN to get started.

SW1>enable SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#monitor session 1 source interface fa1/1 SW1(config)#monitor session 1 destination interface fa1/2 SW1(config)#end SW1#show monitor session 1 Session 1 --------- Source Ports: RX Only: None TX Only: None Both: Fa1/1 Source VLANs: RX Only: None TX Only: None Both: None Destination Ports: Fa1/2 Filter VLANs: None

SW1#

packet capturingیا سایر نرم افزارهاي Wiresharkو اجراي Fa1/2کامپیوتر به NICاکنون میتوان با اتصال

پرداخت Fa1/1به آنالیز ترافیک پورت

Page 212 of 290

HDLCیا PPPاز طریق PtP T1تنظیمات لینکهاي -5.1آزمایش

در روترهاي سیسکو از طریق Point-to-Point T1در این آزمایش با چگونگی تنظمیات لینکهاي سریال

PPP (Point to Point Protocol) یاHDPC (High-Level Data Link Control Protocol) آشنا

.خواهیم شد


که سالهاست به عنوان استانداردي بالفعل جهت برقراري T1به عنوان یک مهندس شبکه نیاز است تا با خطوط

در عمل T1استاندارد .با شعب کوچک مورد استفاده قرار میگیرد آشنا باشید1.544Mbps محدود به سرعت ارتباط

از T1خطوط . تقسیم میشود 1Mbpsیا حتی 512Kbps،786Kbpsبه مشتقاتی با پهناي باندهاي کمتر مانند مانند

,WIC-1DSU-T1رتهاي امروزي تر بعد فیزیکی زوج سیمهاي مسی به هم تابیده شده اي هستند که از طریق کا

WIC-1DSU-T1-V2 یاCSU/DSU T1 در نمونه هاي قدیمی .کنترلرهاي درونی خود روتر به آن متصل میشوند

.مشاهده کرد WIC-2Tیا WIC-1Tو کارتهاي V.35تر نیز میتوان این اتصاالت را از طریق کابلهاي

WIC-1T اهی میباشد و در هنگام کانفیگ آن نیاز به تنظیم نزخ رایج ترین رابط سریال در محیطهاي آزمایشگ

Clock در سمتDCE که توسط سرویس پروایدر صورت میگیرد و همینطورDTE که توسط شما صورت میگیرد

.میباشد

.در این آزمایش با دستورات زیر آشنا خواهیم شد

show controller serial #/#: سریال اینترفیس خاص شامل جهت نمایش اطالعات مختص به کنترلر یک

(DTE or DCE) و نوع ترمینیشن کابل Clockنرخ

clock rate #: جهت تنظیم نرخClock در سمتDCE

encapsulation [ HDLC | PPP ]: جهت انتخاب نوعEncapsulation

show interface serial #/#: جهت نمایش اینترفیس سریال مشخص شده مانند نوع

Encapsulation،MTU،Uptime،Utilization و مواردي از این دست.


برقراري اتصال کنسول بهR1,R2

به 172.18.21.1/30تخصیص آدرسهايS0/1 درR1 به 172.18.21.2/30وS0/1 درR2

Page 213 of 290


کانفیگ اینترفیسهاي سریال روترها به منظور بهره گیري ازHDLC از طریق و تست صحت تنظمیات

متناظر و پینگ دو طرفه لینک showدستورات

کانفیگ اینترفیسهاي سریال روترها به منظور بهره گیري ازPPP و تست صحت تنظمیات از طریق



R1 con0 is now available Press RETURN to get started. R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface Serial0/1 R1(config-if)#encapsulation hdlc R1(config-if)#no shutdown R1(config-if)#end R1# %SYS-5-CONFIG_I: Configured from console by console R1# %LINK-3-UPDOWN: Interface Serial0/1, changed state to up R1# %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to up R1# R2 con0 is now available Press RETURN to get started. R2>enable R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface Serial0/1 R2(config-if)#encapsulation hdlc R2(config-if)#no shutdown R2(config-if)#end R2#

Page 214 of 290

%SYS-5-CONFIG_I: Configured from console by console R2# %LINK-3-UPDOWN: Interface Serial0/1, changed state to up R2# %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to up R2#


R1#show interface Serial0/1 Serial0/1 is up, line protocol is down Hardware is M4T MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, crc 16, loopback not set Keepalive set (10 sec) Restart-Delay is 0 secs Last input never, output 00:00:07, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total/threshold/drops) Conversations 0/1/256 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) Available Bandwidth 1158 kilobits/sec 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 38 packets output, 2332 bytes, 0 underruns 0 output errors, 0 collisions, 4 interface resets 0 unknown protocol drops 0 output buffer failures, 0 output buffers swapped out 5 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up R1#

پینگ دو طرف لینک جهت اطمینان از صحت تنظیمات


Page 215 of 290

کانفیگ اینترفیسهاي سریال روترها به منظور بهره گیري ازPPP و تست صحت تنظمیات از طریق


R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface Serial0/1 R1(config-if)#encapsulation ppp R1(config-if)#end R1# %SYS-5-CONFIG_I: Configured from console by console R1# %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to down R1#

R2# %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to down R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface Serial0/1 R2(config-if)#encapsulation ppp R2(config-if)#end R2# %SYS-5-CONFIG_I: Configured from console by console %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to up R2#

به line protocolوضعیت PPPبه HDLCاز R1در Encapsulationهمانطور که مشاهده میشود پس از تغییر

.دو طرف است Encapsulation در می آید که به دلیل یکسان نبودن وضعیت downحالت

R1# %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to up R1# R1#show interface Serial0/1 Serial0/1 is up, line protocol is up Hardware is M4T Internet address is 172.18.21.1/30 MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation PPP, LCP Open Open: IPCP, CDPCP, crc 16, loopback not set Keepalive set (10 sec) Restart-Delay is 0 secs

Page 216 of 290

Last input 00:00:40, output 00:00:07, output hang never Last clearing of "show interface" counters 00:04:34 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total/threshold/drops) Conversations 0/1/256 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) Available Bandwidth 1158 kilobits/sec 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 54 packets input, 2146 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 69 packets output, 2553 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 12 unknown protocol drops 0 output buffer failures, 0 output buffers swapped out 2 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up R1#ping 172.18.21.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.18.21.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/49/88 ms R1#

Page 217 of 290

نقطه به نقطه Framerelayتنظیمات لینکهاي – 5.2آزمایش

نقطه به نقطه در یک روتر Framerelayکال لینکهاي فیزیکی در این آزمایش با چگونگی تنظیمات و رفع اش

.سیسکو آشنا خواهیم شد

مرور مفاهیم و کاربرد عملی

از آن مهاجرت میکنند اما کنار MPLSجز تکنولوژیهاي رو به زوالی است که اکثر کمپانیهاي به نفع FRامروزه

ابلیت اجرا ندارد کار درستی نیست زیرا با حذف آن عمال گذاشتن جنبه هاي مطالعاتی آن با این هدف که به طور عام ق

باقی نمیماند مضاف بر اینکه به هر حال جهت Packet switchingراهکار مطالعاتی دیگري براي درك مفاهیم

.و باالتر به آن احتیاج داریم CCNAگذراندن امتحانات رسمی

FR به .نگ فریمها را از طریق پروایدر مربوطه انجام میدهداست که فرایند سوییچی 2یک تکنولوژي سوییچینگ الیه

DLCI (Data Link Connectionیک )Edge level(هریک از اینترفیسهاي ادوات در تماس با پروایدر

Identifier) را 123منتتسب میشود که مفهومی شبیه شماره تلفنهاي داخلی دارد مثال شما تلفن با شماره داخلی

.تماس میگیرید و ارتباط دوطرف برقرار میشود 345شماره برمیدارید و با

FR به هر یک از فریمهاي خروجی از اینترفیس ادوات لبه اي یکDLCI منتسب میکند و مبین مسیري است که

.پس از رسیدن به روتر لبه اي پروایدر می بایست طی کند

به اینترفیس متناظر است در این DLCIصیص روش اول تخ.به دوشکل کانفیگ میشوند FRلینکهاي نقطه به نقطه

راه حل .معینی برچسپ خورده و خارج میشود DLCIحالت هر فریمی که به سمت این اینترفیس می رود با شماره

نقطه به نقطه است که در آزمایش بعدي به آن خواهیم پرداخت sub interfaceدوم ایجاد

.شددر این آزمایش با دستورات زیر آشنا خواهیم

encapsulation frame-relay : در مود تنظیم اینترفیس سریال با هدف تظنیمencapsulation بهFR استفاده

میشود

frame-relay interface-dlci #: جهت تخصیصDLCI به اینترفیس

show frame-relay pvc #:جهت نمایش همه DLCI هاي یاد گرفته شده توسط روتر از طریق سوییچFR

و فریمها PVCور اطالعات مربوط به وضعیت همینط


Page 218 of 290

برقراري ارتباط کنسول با روترهايR1,R2

به 10.10.21.1/30تخصیص آدرسS0/0 درR1 به 10.10.21.2/30و آدرسS0/0 درR2


تنظیمs0/0 درR1 جهت کپسوله کردن ترافیک از طریقFR به 122و تخصیص DLCI ن و تست صحت آ

تنظیمات

تنظیمs0/0 درR2 جهت کپسوله کردن ترافیک از طریقFR به 221 و تخصیص DLCI آن و تست

از طریق لینک ایجاد شده R1و پینگ صحت تنظیمات


تنظیمs0/0 درR1 جهت کپسوله کردن ترافیک از طریقFR به 122و تخصیص DLCI آن و تست صحت

تنظیمات


R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface Serial0/0 R1(config-if)#no shutdown R1(config-if)# %LINK-3-UPDOWN: Interface Serial0/0, changed state to up R1(config-if)# %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up R1(config-if)#encapsulation frame-relay R1(config-if)#frame-relay interface-dlci 122 R1(config-fr-dlci)#end R1# %SYS-5-CONFIG_I: Configured from console by console R1#

show pvcتست صحت تنظیمات از طریق دستور

R1#show interface serial0/0

Page 219 of 290

Serial0/0 is up, line protocol is up Hardware is PowerQUICC Serial Internet address is 10.10.12.1/30 MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation FRAME-RELAY, loopback not set Keepalive set (10 sec) CRC checking enabled LMI enq sent 18, LMI stat recvd 18, LMI upd recvd 0, DTE LMI up LMI enq recvd 0, LMI stat sent 0, LMI upd sent 0 LMI DLCI 1023 LMI type is CISCO frame relay DTE FR SVC disabled, LAPF state down Broadcast queue 0/64, broadcasts sent/dropped 0/0, interface broadcasts 0 Last input 00:00:00, output 00:00:06, output hang never Last clearing of "show interface" counters 00:04:50 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total/threshold/drops) Conversations 0/1/256 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) Available Bandwidth 1158 kilobits/sec 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 36 packets input, 1604 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 1 input errors, 0 CRC, 1 frame, 0 overrun, 0 ignored, 0 abort 23 packets output, 684 bytes, 0 underruns 0 output errors, 0 collisions, 1 interface resets 0 unknown protocol drops 0 output buffer failures, 0 output buffers swapped out 0 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up R1#show frame-relay pvc 122 PVC Statistics for interface Serial0/0 (Frame Relay DTE) DLCI = 122, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0 input pkts 26 output pkts 4 in bytes 1554 out bytes 416 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 0 out bcast bytes 0 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 00:03:46, last time pvc status changed 00:02:04 R1#

این بدین خاطر است که سمت دوم لینک .غیر فعال است DLCI 122متعلق به PVCاهده میشود همانطور که مش

ور فعال خواهد شد و ترافیک دو طرفه عب PVCکانفیگ شود R2به محض اینکه اینترفیس متناظر در .غیر فعال است

.خواهد کرد

Page 220 of 290

تنظیمs0/0 درR2 جهت کپسوله کردن ترافیک از طریقFR به 221 و تخصیص DLCI آن و تست

از طریق لینک ایجاد شده R1و پینگ صحت تنظیمات


R2>enable R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface Serial0/0 R2(config-if)#no shutdown R2(config-if)# %LINK-3-UPDOWN: Interface Serial0/0, changed state to up R2(config-if)# %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to up R2(config-if)#encapsulation frame-relay R2(config-if)#frame-relay interface-dlci 221 R2(config-fr-dlci)#end R2# %SYS-5-CONFIG_I: Configured from console by console R2#


R2#show frame-relay pvc 221 PVC Statistics for interface Serial0/0 (Frame Relay DTE) DLCI = 221, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0 input pkts 9 output pkts 40 in bytes 796 out bytes 2390 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 33 out bcast bytes 1662 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 00:04:40, last time pvc status changed 00:00:04 R2#ping 10.10.12.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.12.1, timeout is 2 seconds: ..!!! Success rate is 60 percent (3/5), round-trip min/avg/max = 28/29/32 ms R2#

Page 221 of 290

Ppoint to point Frame relayدر ارتباطات Sub interfaceتنظیمات – 5.3آزمایش

از طریق یک اینترفیس FRدر این آزمایش با چگونگی تنظیمات ایجاد تعداد زیادي ارتباط نقطه به نقطه مبتنی بر

.شنا خواهیم شدفیزیکی آ


آشنا شدیم در این درس قصد داریم پا را فراتر گذاشته و تعداد PTPو لینکهاي FRدر دو درس گذشته با کلیات

-Subزیادي ارتباط نقطه به نقطه را از طریق یک روتر و یک اینترفیس فیزیکی اما با بهره گیري از تعدادي

interface ایجاد به منظورPVC هاي متعدد متناظر با هر مسیر ارتباطی ایجاد کنیم.

FRمبتنی بر Sub-interfaceبا ایجاد یک . متصل شد R2از طریق اینترفیس فیزیکی خود به R1در آزمایش قبل

گام توصیه میشود در هن.برقرار کرد R3دوم را با FRتخصیص داده شده است میتوان ارتباط Dlciکه به آن یک

جهت ایجاد سهولت بیشتر در مستند سازي Sub-interfaceها از همان شماره Sub-interfaceبه DLciتخصیص

.شبکه استفاده شود

.در این آزمایش از دستور زیر استفاده خواهیم کرد

interface Serial#/#.### point-to-poin : این دستور یکsub-interface نقطه به نقطه جهت تخصیصDlci

.به آن ایجاد میکند


ایجاد ارتباط کنسول با روترهايR1,R2,R3

تنظیمencapsulation اینترفیسهاي سریالR1,R2,R3 بهFR


ایجاد دو ساب اینترفیسSerial0/0.122 وSerial0/0.123 درR1 و تخصیصDlci 122,123

به آنها 172.18.13.1/30 و 172.18.12.1/30وآدرسهاي

ایجادSerial0/0.221 درR2 و تخصیصDlci 221 به آن 172.18.12.2/30و آدرس

ایجادSerial0/0.321 درR2 و تخصیصDlci 321 به آن 172.18.13.2/30و آدرس

بررسی صحت برقراري ارتباطFR از طریق دستورshow frame-relay pvc و پینگ از سمتR1

Page 222 of 290

ل آزمایشدستور العم

وآدرسهاي Dlci 122,123و تخصیص R1در Serial0/0.123و Serial0/0.122ایجاد دو ساب اینترفیس

به آنها 172.18.13.1/30و 172.18.12.1/30

R1 con0 is now available Press RETURN to get started. R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface Serial0/0.122 point-to-point R1(config-subif)#ip address 172.18.12.1 255.255.255.252 R1(config-subif)#frame-relay interface-dlci 122 R1(config-fr-dlci)#exit R1(config-subif)#interface Serial0/0.123 point-to-point R1(config-subif)#ip address 172.18.13.1 255.255.255.252 R1(config-subif)#frame-relay interface-dlci 123 R1(config-subif)#end R1# %SYS-5-CONFIG_I: Configured from console by console R1#

به آن 172.18.12.2/30و آدرس Dlci 221و تخصیص R2در Serial0/0.221ایجاد

R2 con0 is now available Press RETURN to get started. R2>enable R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface Serial0/0.221 point-to-point R2(config-subif)#ip add 172.18.12.2 255.255.255.252 R2(config-subif)#frame-relay interface-dlci 221 R2(config-fr-dlci)#end R2# %SYS-5-CONFIG_I: Configured from console by console R2#

به آن 172.18.13.2/30و آدرس Dlci 321و تخصیص R2در Serial0/0.321ایجاد


Page 223 of 290

R3>enable R3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R3(config)#interface Serial0/0.321 point-to-point R3(config-subif)#ip add 172.18.13.2 255.255.255.252 R3(config-subif)#frame-relay interface-dlci 321 R3(config-fr-dlci)#end R3# %SYS-5-CONFIG_I: Configured from console by console R3#

R1و پینگ از سمت show frame-relay pvcاز طریق دستور FRبررسی صحت برقراري ارتباط

R1#show frame-relay pvc PVC Statistics for interface Serial0/0 (Frame Relay DTE) Active Inactive Deleted Static Local 2 0 0 0 Switched 0 0 0 0 Unused 2 0 0 0 DLCI = 122, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0.122 input pkts 20 output pkts 19 in bytes 5395 out bytes 5187 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 14 out bcast bytes 4667 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 00:14:33, last time pvc status changed 00:14:33 DLCI = 123, DLCI USAGE = LOCAL, PVC STATUS = ACTIVE, INTERFACE = Serial0/0.123 input pkts 22 output pkts 20 in bytes 6045 out bytes 4380 dropped pkts 0 in pkts dropped 0 out pkts dropped 0 out bytes dropped 0 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 0 out DE pkts 0 out bcast pkts 10 out bcast bytes 3340 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec pvc create time 00:17:27, last time pvc status changed 00:17:27 R1#ping 172.18.12.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.18.12.2, timeout is 2 seconds:

Page 224 of 290

!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/82/188 ms R1#ping 172.18.13.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.18.13.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/96/168 ms R1#

Page 225 of 290

FrameRealyتنظیمات یک نقطه به چند نقطه در -5.4آزمایش

.مابین تعدادي نقطه پراکنده با یک نقطه مرکزي آشنا خواهیم شد FRدر این آزمایش با چگونگی برقراري ارتباط

یم و کاربرد عملیمرور مفاه

است و 7200سري ا یکی از روترهاي پرقدرت سیسکو مانندتصور کنید شرکت شما داراي یک دفتر مرکزي ب

به این نقطه وصل کنید در عین حال مایل هستید این شعب FRمیخواهید شعب پراکنده خود را مبتنی بر یک ارتباط

.ر در ارتباط باشندنیز از طریق مسیر عبوري از دفتر مرکزي با یکدیگ

این مدل شبکه اي اجازه میدهد تا با داشتن .نهفته است Hub-and-Spokeپاسخ این مسئله در بهره گیري از مفهوم

مضاف بر اینکه سایر نقاط نیز از طریق همین نطقه به یکدیگر ن با سایر نقاط ارتباط برقرار کردیک نقطه مرکزي بتوا

.دسترسی خواهند داشت

نقشه مذبور اجازه میدهد تا نگاشتی .نیز آشنا خواهیم شد Frame relay mapمایش با مفهوم جدید در این آز

این قابلیت به روتر اجازه میدهد تا متناظر به هر آدرسی که بسته هاي اطالعاتی .ایجاد شود DLCIآدرس و IPمابین

.مجزا به آنها منتسب کند DLCIرا ارسال میکند یک

.دستور زیر آشنا خواهیم شددر این آزمایش با

frame-relay map ip x.x.x.x dlci# . این دستور در هنگام اعمال به یک اینترفیس سریال فیزیکی یاsub-

interface نقطه به چند نقطهFR یک آدرس را به یکDLCI متناظرmap هنگامی هم که عبارت . میکند

broadcast م عبور ترافیک برادکست را روي این لینک مجاز خواهد شدرا در انتهاي دستور فوق به کار میبری.

Interface Serial#/#.### multipoint . اجراي این دستور باعث ایجاد یک ساب اینترفیس نقطه به چند نقطه

FR خواهد شد و همانند یک اینترفیس فیزیکی مورد استفاده قرار خواهد گرفت با این تفاوت که تنها ترافیک نقاط

.انه راه دور از آن عبور خواهد کردچندگ

show frame-relay map باعث نمایش جدول نگاشت آدرس بهDLCI میشود فارق از اینکه استاتیک یا

معکوس می پردازد خواهیم ARPفرایند نگاشت داینامیک را درس آزمایش بعدي که به . داینامیک باشند میشود

.دید


کنسول با روترهاي برقراري ارتباطR1,R2,R3

Page 226 of 290

به 10.54.123.1/29تخصیص آدرس S0/0 درR1 به همراهFR Encapsulation

به 10.54.123.2/29تخصیص آدرسS0/0.221 درR2 به عنوان اینترفیس نقطه به نقطه و باDLCI 221

به 10.54.123.2/29تخصیص آدرسS0/0.321 درR2 و با به عنوان اینترفیس نقطه به نقطهDLCI 321

اهداف

تنظیمS0/0 درR1 با دوMap .Map اول جهت نگاشت آدرسS0/0 درR2 بهDLCI 122 وMap دوم جهت

R3در S0/0نگاشت آدرس

تست صحت برقراري ارتباط مابینR1 همینطور مابین و سایرینR2,R3

حذف تنظیمات قبلی ازR1 ه همینطور ایجاد جدول نگاشت آدرس به و ایجاد ساب اینترفیس نقطه به چند نقطDlci

متناظر

تست صحت برقراري ارتباط مابین )hub(R1 و سایرین)spokes( همینطور مابینR1,R2


دوم جهت نگاشت آدرس Mapو DLCI 122به R2در S0/0اول جهت نگاشت آدرس Map .Mapبا دو R1در S0/0تنظیم

S0/0 درR3


R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface Serial0/0 R1(config-if)#frame-relay map ip 10.54.123.2 122 broadcast R1(config-if)#frame-relay map ip 10.54.123.3 123 broadcast R1(config-if)#end R1# %SYS-5-CONFIG_I: Configured from console by console R1#

R2,R3همینطور مابین و سایرین R1تست صحت برقراري ارتباط مابین

R2#ping 10.54.123.1 Type escape sequence to abort.

Page 227 of 290

Sending 5, 100-byte ICMP Echos to 10.54.123.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/75/172 ms R2##ping 10.54.123.3

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.54.123.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/136/300 ms R2#

متناظر Dlciو ایجاد ساب اینترفیس نقطه به چند نقطه همینطور ایجاد جدول نگاشت آدرس به R1حذف تنظیمات قبلی از

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#default interface Serial0/0 Building configuration...

Interface Serial0/0 set to default configuration R1(config)# %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down R1(config)#interface Serial0/0 R1(config-if)#encapsulation frame-relay R1(config-if)#interface serial0/0.123 multipoint R1(config-if)#ip address 10.54.123.1 255.255.255.248 R1(config-if)#frame map ip 10.54.123.2 122 broadcast R1(config-if)#frame map ip 10.54.123.3 123 broadcast R1(config-subif)#end R1# %SYS-5-CONFIG_I: Configured from console by console R1#show frame-relay map Serial0/0.123 (up): ip 10.54.123.2 dlci 122(0x7A,0x1CA0), static, broadcast, CISCO, status defined, active Serial0/0.123 (up): ip 10.54.123.3 dlci 123(0x7B,0x1CB0), static, broadcast, CISCO, status defined, active R1#

R1,R2همینطور مابین )spokes(و سایرین R1)hub( تست صحت برقراري ارتباط مابین

R2#ping 10.54.123.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.54.123.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/75/124 ms R2#ping 10.54.123.3

Type escape sequence to abort.

Page 228 of 290

Sending 5, 100-byte ICMP Echos to 10.54.123.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 52/121/264 ms R2# R3#ping 10.54.123.1

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.54.123.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 24/83/156 ms R3#

Page 229 of 290

معکوس Arpتنظیمات – 5.5آزمایش

با هدف تشکیل خودکار جدول نگاشت آدرس به FRمعکوس در لینکهاي ARPدر این آزمایش با چگونگی تنظیمات

DLCI آشنا خواهیم شد.


ARPفرایند . آشنا شدیم DLCIتاتیک جدول نگاشت آدرس به در آزمایش پیشین با چگونگی تنظیمات اس

. معکوس این نگاشت را از طریق یادگیري آدرس لینکهاي همسایه و تشکیل خودکار جدول مذبور به انجام میرساند

این ویژگی در عین مفید بودن داراي اثرات جانبی خاص خود نیز هست و بعضا وقت زیادي را از مهندسین شبکه براي

جدید براي شما فعال کرده و قرار است روي یک لینک DLCIفرض کنید که پروایدر یک . ع عیوب آن تلف میکندرف

فعال میشود و روتر ها نیز داراي DLCIهنگامی که .ویژه اي اعمال شود security policyنقطه به نقطه با مالحضات

گاشت مابین این دو را انجام میدهد و موجبات معکوس به طور خودکار ن ARPتنظیمات آدرس صحیح باشند فرایند

.نکته منفی دیگر این خاصیت ایجاد حلقه هاي ناخواسته در مسیر یابی است. یک ریسک امنیتی را فراهم میکند

فعال FRمعکوس بسیار ساده است و به طور پیش فرض روي همه اینترفسهاي چند نقطهاي ARPانجام تنظیمات

.دستورات زیر آشنا خواهیم شددر این آزمایش با .است

no frame-relay inverse-arp : موجبات غیر فعال شدن قابلیتARP معکوس را فراهم میکند و پس از آن

استفاده شود DLCIمیبایست از نگاشت استاتیک آدرس به

clear frame-relay inarp: باعث پاك شدن جدول داینامیک نگاشت آدرس بهDLCI میشود.

آزمایشپیش نیاز

برقراري ارتباط کنسول با روترهايR1,R2,R3

تنظیمS0/0 درR1 و 10.55.123.1/29با آدرسFR encapsulation

تنظیمS0/0.221 درR2 به عنوانsub-interface و 10.55.123.2/29نقطه به نقطه با آدرسDLCI

221

تنظیمS0/0.321 درR3 به عنوانsub-interface و 10.55.123.3/29با آدرس نقطه به نقطهDLCI

321


Page 230 of 290

مشاهده وضعیت جاري جدول نگاشت تشکیل شده خودکار در روترها

پینگR2,R3 از طریقR1 جهت حصول اطمینان از تشکیل خودکار صحیح جدول نگاشتDLCI-IP

غیر فعال کردنARP معکوس درR1 و پاك کردن جدولARP ابین روترهاو تست برقراري ارتباط م

ایجاد جدول استاتیک نگاشتDLCI درR1 جهت ارتباط باR2,R3 وتست صحت تنظیمات


مشاهده وضعیت جاري جدول نگاشت تشکیل شده خودکار در روترها

R1#show frame-relay map Serial0/0 (up): ip 10.55.123.2 dlci 122(0x7A,0x1CA0), dynamic, broadcast,, status defined, active Serial0/0 (up): ip 10.55.123.3 dlci 123(0x7B,0x1CB0), dynamic, broadcast,, status defined, active R1#

DLCI-IPجهت حصول اطمینان از تشکیل خودکار صحیح جدول نگاشت R1از طریق R2,R3پینگ

R1#ping 10.55.123.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.55.123.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 72/95/124 ms R1#ping 10.55.123.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.55.123.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 76/105/172 ms R1# R2#ping 10.55.123.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.55.123.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 156/215/340 ms R2#

Page 231 of 290

و تست برقراري ارتباط مابین روترها ARPو پاك کردن جدول R1معکوس در ARPغیر فعال کردن

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface Serial0/0 R1(config-if)#no frame-relay inverse-arp R1(config-if)#end R1# %SYS-5-CONFIG_I: Configured from console by console R1#clear frame-relay inarp R1#ping 10.55.123.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.55.123.2, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) R1#ping 10.55.123.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.55.123.3, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) R1#

وتست صحت تنظیمات R2,R3جهت ارتباط با R1در DLCIستاتیک نگاشت ایجاد جدول ا

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface Serial0/0 R1(config-if)#frame-relay map ip 10.55.123.2 122 broadcast R1(config-if)#frame-relay map ip 10.55.123.3 123 broadcast R1(config-if)#end R1# %SYS-5-CONFIG_I: Configured from console by console R1#ping 10.55.123.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.55.123.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 36/106/200 ms R1#ping 10.55.123.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.55.123.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 76/120/256 ms

Page 232 of 290

R1#

Page 233 of 290

Static routeتنظیمات – 6.1زمایش آ

جهت برقراري ارتباط مابین سه شبکه مجزا از هم خواهیم static routingدر این آزمایش با چگونگی تنظیمات

پرداخت

مفاهیمکاربرد عملی و مرور

آن جز الزاماتی است که باید توسط جز مباحث پایه اي مهندسی شبکه است و درك مفومی Static routingمبحث

متصل است و یک 10.61.10.0/24به شبکه اي با آدرس R1به عنوان مثال اگر .هر مهندس شبکه اي لحاظ شود

PC را داشته باشد ، 10.61.30.0/24در این شبکه نیاز به ارسال و دریافت دیتا به شبکهR1 الزاما میبایست از اینکه

. را کجا و به چه مقصد دیگري متنقل کند آگاه باشداطالعات دریافتی خود

مشاهده میکند R2منتقل میکند و R2این ترافیک را به R1فرض کنید . مسئله را به شکل بهتري بررسی میکنیم

بعدي hopمیبایست ترافیک را به R2پس .در ارتباط نیست) directly connected( که با شبکه به صورت مستقیم

پس در قدم بعدي . قال ارسال کند تا به روتري که شبکه مقصد به آن به طور مستقیم متصل است برسددر مسیر انت

.آن متصل است Gi3/10به طور مستقیم به 10.61.30.0/24منتقل میشود روتري که شبکه R2ترافیک به

در static routeاگر است ؟ خوب تا اینجا موفق شدیم ترافیک را به شبکه مقصد منتقل کنیم اما آیا این تمام کار

هم قادر به ارسال R3یک جهت داشته باشیم به معنی رد وبدل شدن دوطرفه اطالعات هم هست به این معنی که

اطالعات به سمت شبکه مبدا میباشد ؟ پاسخ منفی است و بنا به این الزام منطقی کل فرایند به طور برعکس نیز

.بایست انجام شود

و ) 6.2آزمایش (جهت ایجاد روتهاي شناور یافته و نسبتا بزرگ عموما از استاتیک روت در شبکه هاي ساخت

default router ) اما بسیارند مهندسین شبکه اي که از این قابلیت جهت عمده . استفاده می شود )6.3آزمایش

کل هاي مسیریابی مسائل مسیر دهی شبکه خود استفاده میکنند که دلیل عمده آن ضعف در درك مفاهیم پروت

ه بایست حاوي حداقل تعداد مسیردهی استایک باشد کبه عنوان قاعده کلی طراحی ، یک شب.داینامیک است

. مهمترین دلیل اینکار هم پیشگیري از نیاز به تنظیم مجدد آنها در صورت بروز تغییرات در ساختار شبکه است

هاي مجزا از هم به منظور برقراري ارتباط مابین کامپیوترهاي در این آزمایش استایک روت را مابین سه روتر با شبکه

نجیره اي زکسب کردیم جهت ایجاد یک شبکه 5انجام میدهیم و از مهارتهایی که در آزمایش R3و R1متصل به

)Daisy chained ( با چاشنیframe relay مابین روترهايR1,R2,R3 استفاده خواهیم کرد.

Page 234 of 290

در این آزمایش . استفاده کرد Interface LoopBack شبکه متصل به روتر از کت شبیه سازي یمیتوان جه: نکته

LO0 در روترهايR1,R2,R3 نقش شبکه هاي سمت کاربر متصل به روترهاي مذبور را ایفا خواهند کرد.

.در این آزمایش با دستور زیر آشنا خواهیم شد

Ip route n.n.n.h s.s.s.s nh.nh.nh.nh :وي کلی نگارش این دستور به صورت الگip route network subnet nexthop


ایجاد توپولوژي مطابق تصویر فوق

انجام تنظیمات اولیه از طریق copy/paste کردن تنظمیات زیر در روترها

R1تنظیمات اولیه

!################################################## !# R1 Initial Config # !################################################## ! enable ! configure terminal ! hostname R1 ! interface Loopback0 description ### SIMULATED NETWORK ### ip address 10.61.10.1 255.255.255.0 ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### no ip address encapsulation frame-relay serial restart-delay 0 no frame-relay inverse-arp ! interface Serial0/0.122 point-to-point

Page 235 of 290

description ### FRAME RELAY LINK TO R2 ### ip address 10.61.12.1 255.255.255.252 frame-relay interface-dlci 122 ! interface Serial0/0 no shut ! End


!################################################## !# R2 Initial Config # !################################################## ! enable ! configure terminal ! hostname R2 ! interface Loopback0 description ### SIMULATED NETWORK ### ip address 10.61.20.1 255.255.255.0 ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### no ip address encapsulation frame-relay serial restart-delay 0 no frame-relay inverse-arp ! interface Serial0/0.221 point-to-point description ### FRAME RELAY LINK TO R1 ### ip address 10.61.12.2 255.255.255.252 frame-relay interface-dlci 221 ! interface Serial0/0.223 point-to-point description ### FRAME RELAY LINK TO R3 ### ip address 10.61.23.1 255.255.255.252 frame-relay interface-dlci 223 ! interface Serial0/0 no shut ! End

R3تنظمیات اولیه

!################################################## !# R3 Initial Config # !##################################################

Page 236 of 290

! enable ! configure terminal ! hostname R3 ! interface Loopback0 description ### SIMULATED NETWORK ### ip address 10.61.30.1 255.255.255.0 ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### no ip address encapsulation frame-relay serial restart-delay 0 no frame-relay inverse-arp ! interface Serial0/0.322 point-to-point description ### FRAME RELAY LINK TO R2 ### ip address 10.61.23.2 255.255.255.252 frame-relay interface-dlci 322 ! interface Serial0/0 no shut ! end

Static route-6.1.1تصویر


در ایجاد استاتیک روتR1 عد از بو 10.61.12.2از طریق هاپ 10.61.20.0/24جهت دسترسی به شبکه

10.61.12.1از طریق هاپ 10.61.10.0/24جهت دسترسی به شبکه R2آن ایجاد روت برگشت در

در ایجاد استاتیک روتR2 عد از بو 10.61.23.2یق هاپ از طر 10.61.30.0/24جهت دسترسی به شبکه

و 10.61.23.1از طریق هاپ 10.61.20.0/24جهت دسترسی به شبکه R3آن ایجاد روت برگشت در

R2,R3تست صحت تنظمیات از طریق پینگ لوپ بک اینترفیسها در

Page 237 of 290

در ایجاد استاتیک روتR1 عد ازبو 10.61.12.2از طریق هاپ 10.61.30.0/24جهت دسترسی به شبکه


10.61.30/24 , 10.61.10.0/24تست امکان برقراري ارتباط بین شبکه هاي


در ایجاد استاتیک روتR1 و یعد از 10.61.12.2از طریق هاپ 10.61.20.0/24جهت دسترسی به شبکه


R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip route 10.61.20.0 255.255.255.0 10.61.12.2 R1(config)#end R1# R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#ip route 10.61.10.0 255.255.255.0 10.61.12.1 R2(config)#end R2#

براي تست صحت برقراري ارتباط لوپ بک هاي دو طرف را پینگ میکنیم با علم به اینکه هر یک از آنها بیانگر یک

PC متصل در شبکه مبدا یا مقصد هستند همیشه

R1#ping 10.61.20.1 source lo0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.61.20.1, timeout is 2 seconds: Packet sent with a source address of 10.61.10.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/50/104 ms R1#

وجود دارد پس ارتباط دوطرفه مابین R1از سمت لوپ بک R2همانطور که انتظار میرفت امکان پینگ لوپ بک روتر

.برقرار شده است

و یعد از 10.61.23.2از طریق هاپ 10.61.30.0/24جهت دسترسی به شبکه R2در ایجاد استاتیک روت .2

و 10.61.23.1از طریق هاپ 10.61.20.0/24جهت دسترسی به شبکه R3برگشت در آن ایجاد روت

R2,R3تست صحت تنظمیات از طریق پینگ لوپ بک اینترفیسها در

R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#ip route 10.61.30.0 255.255.255.0 10.61.23.2 R2(config)#end R2#

Page 238 of 290

R3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R3(config)#ip route 10.61.20.0 255.255.255.0 10.61.23.1 R3(config)#end R3#

.پینگ میکنیم R3اینترفیس متناظر را در ،R2مجددا براي تست برقراري صحت ارتباط از طریق لوپ بک اینترفیس


عد از بو 10.61.12.2از طریق هاپ 10.61.30.0/24جهت دسترسی به شبکه R1در ایجاد استاتیک روت .3


>R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip route 10.61.30.0 255.255.255.0 10.61.12.2 R1(config)#end R1# R3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R3(config)#ip route 10.61.10.0 255.255.255.0 10.61.23.1 R3(config)#end R3#


Page 239 of 290

Floating static routeتنظیمات – 6.2آزمایش

.در این آزمایش با تنظیمات روتهاي استاتیک شناور با هدف ایجاد افزونگی مابین مسیرها آشنا خواهیم شد


در جدول مسیریابی است از طرفی به خاطر ) کاستاتی(بزرگتر از روت جاري ADروت شناور روتی است که داراي

مشاهده میکنیم که 6.1با بازگشت به آزمایش .کوچکتر است الویت اجرایی باالتري دارد ADداریم که روتی که داراي

R1 داراي یک لینک ارتباطیFrame relay باR2 اکنون یک لینک . استT1 نقطه به نقطه هم به این سناریو

نتیجه آن به دست آوردن قابلیت افزونگی و تقسیم بار خواهد بود حتی میتوان به لینک جدید اضافه میکنیم که

همه این ایده ها از طریق پیاده سازي روتینگ . اینگونه نگاه کرد که صرفا به عنوان پشتیبان لینک اصلی کار کند

. شناور قابل اجرا خواهند بود

بزرگتر استفاده ADایجاد استاتیک روت در آزمایش قبلی منتها با براي ایجاد روت استاتیک شناور از همان روش

شده آن ترافیک از failبرقرار است ترافیک از آن مسیر عبور میکند و پس از S0/0خواهیم کرد بنابراین تا زمانی که

S0/1 بهR2 متقل خواهد شد.

هم تعبیر میشود که در ادامه به آن emergency default routeدر دنیاي واقعی از روتهاي استاتیک شناور به

انجام تنظیمات روتهاي شناور بسیار شبیه روتهاي استاتیک معمولی میباشد با این تفاوت که یک . خواهیم پرداخت

به معناي 255.روت مورد نظر خواهد بود ADبه انتهاي آن اضافه میشود که بیانگر تنظیم دستی 255-1عدد مابین

Unrechable و روتی که داراي این استAD باشد هیچ وقت در جدول مسیریابی قرار نخواهد گرفت .

جهت R1,R2استفاده خواهیم کرد به عالوه افزودن یک لینک دیگر بین 6.1آزمایش در این آزمایش از توپولوژي

مطابق تصویر زیر R1,R2ایجاد مسیر پشتیبان جهت اتصال بین

Page 240 of 290

Floating static route – 6.2.1تصویر

پیش نیاز آزمایش .

ایجاد توپولوژي متناظر با تصویر باال

اعمال تنظیمات اولیه فریم ریلی درR1,R2,R3 6.1برگرفته از آزمایش


طه مابین کانفیگ لینک جدید نقطه به نقR1,R2 و 10.62.21.0/30با سابنتPPP Encapsulation .

اور با دو روت استاتیک شنایجادAD 200 مرتبط با لینک پشتیبان 10.55.30.0/24و10.55.20.0/24براي

R2 روت استاتیک شناور با ایجادAD 200 در ارتباط با لینک پشتیبان 10.55.10.0/24 برايR1

خاموش کردنSerial0/0 درR1 وSerial0/0.221 درR2 جهت شبیه سازيfail شدن لینکهاي ارتباطی

از 10.55.30.0/24به سمت traceی صحت عملکرد لینکهاي پشتیبان با اصلی و بررس

10.55.10.0/24طریق


. PPP Encapsulationو 10.62.21.0/30با سابنت R1,R2طه مابین کانفیگ لینک جدید نقطه به نق .1

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface Serial0/1 R1(config-if)#ip address 10.62.21.1 255.255.255.252 R1(config-if)#encapsulation ppp R1(config-if)#no shut R1(config-if)#end R1# R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface serial0/1 R2(config-if)#ip add 10.62.21.2 255.255.255.252 R2(config-if)#encapsulation ppp R2(config-if)#no shut R2(config-if)#end R2#ping 10.62.21.1 Type escape sequence to abort.

Page 241 of 290

Sending 5, 100-byte ICMP Echos to 10.62.21.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/42/60 ms R2#

مرتبط با لینک پشتیبان 10.55.30.0/24و10.55.20.0/24براي AD 200دو روت استاتیک شناور با ایجاد .2

R2 روت استاتیک شناور با ایجادAD 200 باط با لینک پشتیبان در ارت10.55.10.0/24 برايR1

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip route 10.55.20.0 255.255.255.0 10.62.21.2 200 R1(config)#ip route 10.55.30.0 255.255.255.0 10.62.21.2 200 R1(config)#end R1# R2(config)#ip route 10.55.10.0 255.255.255.0 10.62.21.1 200 R2(config)#end R2#

R1در ارتباط با لینک پشتیبان 10.55.10.0/24 براي AD 200روت استاتیک شناور با ایجاد .4

R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface Serial0/0.221 R2(config-subif)#shutdown R2(config-subif)#end R2# R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface serial0/0 R1(config-if)#shutdown R1(config-if)#end R1# %SYS-5-CONFIG_I: Configured from console by console %LINK-5-CHANGED: Interface Serial0/0, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down R1#traceroute 10.55.30.1 source Lo0 Type escape sequence to abort. Tracing the route to 10.55.30.1 1 10.62.21.2 152 msec 52 msec 44 msec 2 10.62.23.2 188 msec 240 msec 217 msec R1#

از مسیر پشتیبان عبور کرد که در 10.55.30.1و مقصد 10.55.10.0/24همانطور که مشاهده میشود ترافیک با مبدا

است 10.62.21.2با آدرس R2در Serial0/1اینجا

Page 242 of 290

Default routeتنظیمات – 6.3آزمایش

در این آزمایش با چگونگی تنظیمات روت پیشفرض به منظور ارسال ترافیک فاقد مسیر مشخص در جدول مسیریابی

آشنا خواهیم شد) پیشفرض(شبکه موجود به شبکه اي دیگر


بر حسب نزدیکترین مسیري که در جدول مسیریابی خود دارند به سمت مقصد همانطور که میدانید روترها ترافیک را

در جدول مسیریابی خود داشته باشد فرضا یک مورد به مسیري به عنوان مثال اگر روتري . ارسال میکنند

به دریافت کند آنرا 10.88.21.6و بسته اي را جهت ارسال به آدرس 10.88.21.0/24و یک مورد به 10.88.21.0/28

.که نزدیکترین روت به مقصد است انتخاب میکند 10.88.21.0/28

داشتن روت . به عنوان یک مهندس شبکه الزاما میبایست با مفهوم این درس یعنی روت پیشفرض آشنا باشیم

پیشفرض شناور در سناریوهاي واقعی داینامیک روتینگ به منظور ایجاد قابلیت افزونگی امري رایج است در این

به محض اینکه مسیریابی داینامیک به هر علتی از دور خارج میشود روت پیشفرض به جدول مسیریابی تزریق حالت

. شده مسئولیت برقرار ماندن ارتباط را به عهده میگیرد

Defaultراه اول استفاده از . در یک شبکه عموما دو راه براي متصل شدن به اینترنت از شبکه داخلی وجود دارد

route در روتر لبه اي شبکه است که بهISP منتهی میشود در این حالت هر آدرسی که در جدول مسیریابی این

BGPراه دوم استفاده از یک روتر فعال در مکانیزم . ارسال میشود ISPروتر وجود نداشته باشد مستقیما به سمت

تهاي مورد استفاده در اینترنت را در خود داشته این مکانیزم قابلیتی را به روتر محلی ما میدهد که تمامی رو. است

به تفصیل CCNPدر دوره BGPمبحث .باشد و راسا جهت ارسال بسته ها به مقصد هاي متفاوت تصمیم گیري کند

مورد بررسی قرار میگیرد

مشخص میشود که 0.0.0.0/0روت پیشفرض توسط . تنظیم روت پیشفرض به سادگی تنظیم روت استاتیک است

.است 255.255.255.255تا 0.0.0.0انگر رنج کامل آدرس از بی

ابتدا استاتیک .منتها با تغییراتی در آدرسها استفاده خواهیم کرد 6.2در این آز مایش از همان توپولوژي آزمایش

ایجاد خواهیم کرد R2به سمت R3را حذف خواهیم کرد و پس از آن روت پیشفرض از R3روتهاي موجود در

Page 243 of 290

Default route-6.3.1ایش آزم


اعمال تنظیمات اولیهFrame realy 6.1در روترها مبتنی بر آزمایش


!################################################## !# Lab 6-3 R1 Initial Config # !################################################## ! enable configure terminal ! hostname R1 ! interface Loopback0 description ### SIMULATED NETWORK ### ip address 10.63.10.1 255.255.255.0 ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### no ip address encapsulation frame-relay serial restart-delay 0 no frame-relay inverse-arp ! interface Serial0/0.122 point-to-point description ### FRAME RELAY LINK TO R2 ### ip address 10.63.12.1 255.255.255.252 frame-relay interface-dlci 122 ! interface Serial0/0 no shut ! interface Serial0/1 description ### PPP Link TO R2 ### ip address 10.63.21.1 255.255.255.252 encapsulation ppp serial restart-delay 0

Page 244 of 290

no shut ! exit ! ip route 10.63.20.0 255.255.255.0 10.63.12.2 ip route 10.63.30.0 255.255.255.0 10.63.12.2 ip route 10.63.20.0 255.255.255.0 10.63.21.2 200 ip route 10.63.30.0 255.255.255.0 10.63.21.2 200 ! end


!################################################## !# Lab 6-3 R2 Initial Config # !################################################## ! enable configure terminal ! hostname R2 ! interface Loopback0 description ### SIMULATED NETWORK ### ip address 10.63.20.1 255.255.255.0 ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### no ip address encapsulation frame-relay serial restart-delay 0 no frame-relay inverse-arp ! interface Serial0/0.221 point-to-point description ### FRAME RELAY LINK TO R1 ### ip address 10.63.12.2 255.255.255.252 frame-relay interface-dlci 221 ! interface Serial0/0.223 point-to-point description ### FRAME RELAY LINK TO R3 ### ip address 10.63.23.1 255.255.255.252 frame-relay interface-dlci 223 ! interface Serial0/0 no shut exit ! interface Serial0/1 description ### PPP LINK TO R1 ### ip address 10.63.21.2 255.255.255.252 encapsulation ppp serial restart-delay 0 no shut ! ip route 10.63.10.0 255.255.255.0 10.63.12.1 ip route 10.63.30.0 255.255.255.0 10.63.23.2

Page 245 of 290

ip route 10.63.10.0 255.255.255.0 10.63.21.1 200 ! end


!################################################## !# Lab 6-3 R3 Initial Config # !################################################## ! enable configure terminal ! hostname R3 ! interface Loopback0 description ### SIMULATED NETWORK ### ip address 10.63.30.1 255.255.255.0 ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### no ip address encapsulation frame-relay serial restart-delay 0 no frame-relay inverse-arp ! interface Serial0/0.322 point-to-point description ### FRAME RELAY LINK TO R2 ### ip address 10.63.23.2 255.255.255.252 frame-relay interface-dlci 322 ! interface Serial0/0 no shut exit ! ip route 10.63.10.0 255.255.255.0 10.63.23.1 ip route 10.63.20.0 255.255.255.0 10.63.23.1 ! end


روتهاي استاتیک در حذفR3 و ایجاد روت پیشفرض به سمتR2 S0/0.223

از بررسی صحت برقراري ارتباطR3 به 10.63.30.0/24وR1 10.63.10.0/24و

لینک بررسی امکان پینگPPP پیشتیبان درR1


Page 246 of 290

R2 S0/0.223و ایجاد روت پیشفرض به سمت R3روتهاي استاتیک در حذف .3

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface Serial0/1 R1(config-if)#ip address 10.62.21.1 255.255.255.252 R1(config-if)#encapsulation ppp R1(config-if)#no shut R1(config-if)#end R1# R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface serial0/1 R2(config-if)#ip add 10.62.21.2 255.255.255.252 R2(config-if)#encapsulation ppp R2(config-if)#no shut R2(config-if)#end R2#ping 10.62.21.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.62.21.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/42/60 ms R2#

R2 S0/0.223و ایجاد روت پیشفرض به سمت R3روتهاي استاتیک در حذف .1

R3#show run | include ip route ip route 10.63.10.0 255.255.255.0 10.63.23.1 ip route 10.63.20.0 255.255.255.0 10.63.23.1 R3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R3(config)#no ip route 10.63.10.0 255.255.255.0 10.63.23.1 R3(config)#no ip route 10.63.20.0 255.255.255.0 10.63.23.1 R3(config)#ip route 0.0.0.0 0.0.0.0 10.63.23.1 R3(config)#end R3#

10.63.10.0/24و R1به 10.63.30.0/24و R3بررسی صحت برقراري ارتباط از .2

مجددا ارتباط R2را حذف کردیم اما با ایجاد روت پیشفرض به سمت R2قبال همه استاتیک روتها به سمت

برقرار میشود

R3#ping 10.63.10.1 source lo0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.63.10.1, timeout is 2 seconds:

Page 247 of 290

Packet sent with a source address of 10.63.30.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/82/168 ms R3#

10.63.30.0/24از طریق R1پیشتیبان در PPPلینک بررسی امکان پینگ .3

که در آن R2نداشت اما االن یک روت پیشفرض به سمت 10.63.21.0/30هیچ روتی به سمت R3قبل از این

.دارد را شاهد هستیم 10.63.30.0/24متصل است و روت برگشت به سمت 10.63.21.0/30مستقیما به

R3#ping 10.63.21.1 source lo0

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.63.21.1, timeout is 2 seconds: Packet sent with a source address of 10.63.30.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/81/116 ms R3#

Page 248 of 290

یک به یک – NATتنظیمات – 7.1آزمایش

یک به یک براي ترجمه یک آدرس در شبکه داخلی به آدرسی مشخص و NATبا چگونگی تنظیات در این آزمایش

.ثابت در شبکه خارجی خواهیم پرداخت


با اسامی مختلفی همچون یک به یک ایستا، داینامیک و از NATامروزه عمال در تمامی شبکه هاي رایانه اي دنیا از

مبحث داینامیک .خوانده میشود استفاده میشود NATکه آنهم به اشتباه رایج PATیک به چند یا همه معروفتر

NAT وNAT Pool همینطورPAT در دو آزمایش آینده مورد بررسی قرار خواهند گرفت.

NAT آدرسی یک به یک یا استاتیک هنگامی مورد استفاده قرار میگیرد که نیاز داشته باشیم یک کالینت مشخص با

. با شبکه مقصد در ارتباط باشد رجیمشخص در شبکه داخلی صرفا از طریق فقط یک آدرس خا

Inside Local : آدرس منتسب شده به یک هاست در شبکه داخلی چه از طریقDhcp و چه ثابت

Inside Global: یآدرس معتبر منتسب شده توسط پروایدر به اینترفیس دوم روتر موجود در شبکه داخل

:Outside local آدرس منتسب شده به یک هاست در شبکه مقصد چه از طریقDhcp و چه ثابت

Outside Global: آدرس منتسب شده به اینترفیس خارجی روتر شبکه مقصد

مشخص ip nat inside | outsideمیبایست اینترفیسهاي ورودي و خروجی از طریق NATدر فرایند پیکربندي

inside)یک به یک به دو آیتم کلیدي نیاز داریم ، آدرس هاست داخلی NATمنظور در تنظمیات شوند براي همین

local) و آدرسی که آدرس داخلی ما باید به آن ترجمه شود(inside global) .

ip nat inside source static inside_local_ip outside_global_ipپس از مشخص شدن ایندو، از طریق

چه از نوع یک به یک یا یک به NATدر هنگام کانفیگ . یک به یک در روتر مورد نظر فعال میشود NATمکانیزم

استاتیک NATبه طور کلی دو نوع .استفاده کرد Ip natدر انتهاي دستور Extendabilityچند میتوان از قابلیت

بین آدرسهاي مبدا و مقصد ایجاد میشود و در نوع اول یا استاندارد نگاشتی یک به یک ما. یا یک به یک وجود دارد

این قابلیت وجود دارد که نگاشتی یک به extendedاما در نوع .شرکت میکند NATهر آدرس در تنها یک مکانیزم

.برقرار شود inside globalیا inside localچند مابین تعداد زیادي آدرس

Page 249 of 290

با NATرا فراهم می آورد که تعدادي زیادي دستور این امکان IP natدر انتهاي دستور Extendableعبارت

بدون تداخل و تفکیک شده در سطح پورت مورد استفاده قرار inside global یا inside localآدرسهاي یکسان

.گیرند

به عنوان مثال

ip nat source static tcp 10.11.1.1 8080 172.29.18.5 80 extendable ip nat source static tcp 10.11.1.14 80 172.29.18.5 443 extendable

روتر را مشاهده کرد همینطور NATمیتوان محتواي جدول the show ip nat translationsبا استفاده از دستور

.تمام آنرا خالی کرد * clear ip nat translationبا دستور

که هر دو داراي رنج آدرس سمت XYZو ABCیک مابین دو کمپانی استاتیک یک به NATدر این آزمایش

همانطور که از تصویر زیر پیداست هر دوي این شرکتها داراي هاستی با آدرس . کاربر یکسان هستند ایجاد میکنیم

.که در اینجا با یک لوپ بک اینترفیس مشخص هستند 10.111.14.14یکسان

یک به یک NAT -11.1.1تصویر


ایجاد توپولوژي مطابق با تصویر فوق و اعمال تنظیمات اولیه زیر در روترها

R1تنظیمات اولیه روتر

Page 250 of 290

!################################################### !# R1 Initial Config !################################################### ! enable configure terminal ! hostname R1 no ip domain-lookup ! interface loopback0 description ### SIMULATED SERVER ### ip address 10.111.14.14 255.255.255.255 ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### no ip address encapsulation frame-relay serial restart-delay 0 no frame-relay inverse-arp exit ! interface Serial0/0.122 point-to-point description ### FRAME RELAY LINK TO R2 ### ip address 10.111.12.1 255.255.255.0 frame-relay interface-dlci 122 exit ! interface Serial0/0 no shut exit ! router eigrp 10 no auto-summary network 10.111.12.1 0.0.0.0 network 10.111.14.14 0.0.0.0 exit ! line con 0 logging sync no exec-timeout ! end


!################################################### !# R2 Initial Config !################################################### ! enable configure terminal !

Page 251 of 290

hostname R2 no ip domain-lookup ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### encapsulation frame-relay no frame-relay inverse-arp exit ! interface Serial0/0.221 point-to-point description ### FRAME RELAY LINK TO R1 ### ip address 10.111.12.2 255.255.255.0 frame-relay interface-dlci 221 exit ! interface Serial0/0.223 point-to-point description ### FRAME RELAY LINK TO R3 ### ip address 172.20.23.2 255.255.255.0 frame-relay interface-dlci 223 exit ! interface Serial0/0 no shut exit ! router eigrp 10 no auto-summary network 10.111.12.2 0.0.0.0 network 172.20.23.2 0.0.0.0 passive-interface Serial0/0.223 exit ! line con 0 logging sync no exec-timeout ! end10


!################################################### !# R3 Initial Config !################################################### ! enable configure terminal ! hostname R3 no ip domain-lookup ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### encapsulation frame-relay

Page 252 of 290

no frame-relay inverse-arp exit ! interface Serial0/0.322 point-to-point description ### FRAME RELAY LINK TO R2 ### ip address 172.20.23.3 255.255.255.0 frame-relay interface-dlci 322 exit ! interface Serial0/0.324 point-to-point description ### PHYSICAL FRAME RELAY INTERFACE ### ip address 10.111.34.3 255.255.255.0 frame-relay interface-dlci 324 no shut ! interface Serial0/0 no shut exit ! router eigrp 10 no auto-summary network 172.20.23.3 0.0.0.0 network 10.111.34.3 0.0.0.0 passive-interface Serial0/0.322 exit ! line con 0 logging sync no exec-timeout ! end


!################################################### !# R4 Initial Config !################################################### ! enable configure terminal ! hostname R4 no ip domain-lookup ! interface loopback0 description ### SIMULATED SERVER ### ip address 10.111.14.14 255.255.255.255 ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### encapsulation frame-relay no frame-relay inverse-arp exit

Page 253 of 290

! interface Serial0/0.423 point-to-point description ### FRAME RELAY LINK TO R3 ### ip address 10.111.34.4 255.255.255.0 frame-relay interface-dlci 423 exit ! interface Serial0/0 no shut exit ! router eigrp 10 no auto-summary network 10.111.14.14 0.0.0.0 network 10.111.34.4 0.0.0.0 ! line con 0 logging sync no exec-timeout ! end


تنظیم اینترفیسهاي متناظر درR2,R3 به عنوانNAT Inside , NAT Outside

ایجاد استاتیکNAT درR2 به 10.111.14.14با هدف ترجمه آدرس داخلیoutside global

172.20.23.2

ایجاد استاتیکNAT درR3 به 10.111.14.14با هدف ترجمه آدرس داخلیoutside global

172.20.23.3

مبدا تست صحت برقراري ارتباط مابین هاستهاي دوطرف از طریق پینگ باLo0 درR1

Page 254 of 290


NAT Inside , NAT Outsideبه عنوان R2,R3تنظیم اینترفیسهاي متناظر در .1

R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface Serial0/0.221 R2(config-subif)#ip nat inside %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to up R2(config-subif)#interface Serial0/0.223 R2(config-subif)#ip nat outside R2(config-subif)#end R2# R3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R3(config)#interface Serial0/0.322 R3(config-subif)#ip nat outside %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to up R3(config-subif)#interface Serial0/0.324 R3(config-subif)#ip nat inside R3(config-subif)#end R3#

outside globalبه 10.111.14.14با هدف ترجمه آدرس داخلی R2در NATایجاد استاتیک .1

172.20.23.2 R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#ip nat inside source static 10.111.14.14 172.20.23.2 R2(config)#end R2#

outside globalبه 10.111.14.14با هدف ترجمه آدرس داخلی R3در NATتیک ایجاد استا .3

172.20.23.3 R3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R3(config)#ip nat inside source static 10.111.14.14 172.20.23.3 R3(config)#end R3#

R1در Lo0ت برقراري ارتباط مابین هاستهاي دوطرف از طریق پینگ با مبدا تست صح .4

Page 255 of 290

R1#ping 172.20.23.3 source loopback 0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.20.23.3, timeout is 2 seconds: Packet sent with a source address of 10.111.1.14 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 88/90/93 ms R1#

Page 256 of 290

Page 257 of 290

Dynamc NAT-NAT Poolتنظیمات – 7.2آزمایش

به منظور تخصیص آدرس از مجموعه اي از آدرسهاي خارجی به NAT Poolدر این آزمایش با چگونگی تنظیمات

.الویت درخواست از سمت شبکه داخلی آشنا خواهیم شد هاستهاي داخلی بر اساس


NAT Pool مجموعه اي از آدرسهاست که به طور منظم و بر حسب ترتیب درخواست یک آدرس واقع درInside

local ان بهره مزیت این نوع کانفیگ در امک.و هماهنگ با با اکسس لیست متناظر به متقاضی آن منتسب میشود

و امکان برقراري ارتباط با دنیاي 10.0.0.0/8مانند RFC1918گیري شبکه داخلی از رنج آدرس خصوصی مبتنی بر

NATخارج این فضاي آدرسی از طریق نگاشت یک به یک مابین آدرسهاي داخلی و آدرسها معتبر خارجی واقع در

Pool امروزه عمده استفاده . استNAT pool در ایجادDMZ است ویا شرکتهایی که مایلند هریک از آدرسهاي

.موجود در شبکه داخلیشان از طریق یک آدرس معتبر منحصر به فرد به دنیاي خارج مرتبط شود

مورد نظر از طریق مشخص کردن محدوده ابتدا و انتهاي Poolدر وحله اول نیاز است NAT Poolجهت کانفیگ

که از یک اکسس لیست ویژه به منظور NATبا بهره گیري از دستور پس از آن میبایست.آدرسها مشخص شود

اعمال سیاست نگاشت آدرسهاي داخلی به آدرسهاي عمومی خارجی استفاده میکند مکانیزم ترجمه آدرس را تکمیل

.کنیم

در و # ip nat pool poolname sip.sip.sip.sip eip.eip.eip.eip prefixاز دستور NAT Poolبراي ایجاد

ip nat inside source list ACL#_OR_NAME pool POOLNAMEادامه از دستور

استفاده ISPجهت شبیه سازي مکانیزم ترجمه آدرس یک شبکه متصل به R1,R2,R3در این آزمایش از سه روتر

خذ شده ا NAT Poolآدرسهاي معتبر خارجی مبتنی بر وظیفه ترجمه آدرسهاي شبکه داخلی به R2خواهیم کرد و

.را به عهده خواهد داشت ISPاز

.


ایجاد توپولوژي متناظر با تصویر زیر

اعمال تنظیمات اولیه به روترها

Page 258 of 290

NAT Pool – 11.2.1تصویر


!################################################### !# Lab 7-2 R1 Initial Config # !################################################### ! enable configure terminal ! hostname R1 no ip domain-lookup ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### no ip address encapsulation frame-relay serial restart-delay 0 no frame-relay inverse-arp exit ! interface Serial0/0.122 point-to-point description ### FRAME RELAY LINK TO R2 ### ip address 10.112.12.1 255.255.255.252 frame-relay interface-dlci 122 exit ! interface Serial0/0 no shut exit ! router eigrp 10 no auto-summary network 10.112.12.1 0.0.0.0 exit ! line con 0 logging sync

Page 259 of 290

no exec-timeout ! end


!################################################### !# Lab 7-2 R2 Initial Config # !################################################### ! enable configure terminal ! hostname R2 no ip domain-lookup ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### encapsulation frame-relay no frame-relay inverse-arp exit ! interface Serial0/0.221 point-to-point description ### FRAME RELAY LINK TO R1 ### ip address 10.112.12.2 255.255.255.252 frame-relay interface-dlci 221 exit ! interface Serial0/0.223 point-to-point description ### FRAME RELAY LINK TO R3 ### ip address 171.18.24.1 255.255.255.224 frame-relay interface-dlci 223 exit ! interface Serial0/0 no shut exit ! router eigrp 10 no auto-summary network 10.112.12.2 0.0.0.0 network 171.18.24.1 0.0.0.0 redistribute static passive-interface Serial0/0.223 exit ! ip route 0.0.0.0 0.0.0.0 171.18.24.2 ! line con 0 logging sync no exec-timeout ! end

Page 260 of 290


!################################################### !# Lab 11-2 R3 Initial Config # !################################################### ! enable configure terminal ! hostname R3 no ip domain-lookup ! interface Loopback0 description ### SIMULATED INTERNET HOST ### ip address 4.2.2.2 255.255.255.255 ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### encapsulation frame-relay no frame-relay inverse-arp exit ! interface Serial0/0.322 point-to-point description ### FRAME RELAY LINK TO R2 ### ip address 171.18.24.2 255.255.255.224 frame-relay interface-dlci 322 exit ! interface Serial0/0 no shut exit ! line con 0 logging sync no exec-timeout ! End

شاهداف آزمای

اینترفیس لوپ بک در 4ایجادR1 و 10.55.0.0/22از رنجadvertise آنها درEIGRP AS 10

تنظیم پارمترهاي اینترفیسهاي فعالNAT درR2 و ایجادNAT Pool 25/27-171.18.24.5با رنج

ایجاد اکسس لیستextend شده درR2 جهت اعمال سیاست انتساب آدرسهاي داخلی به خارجی

ایجادdynamic NAT

تست صحت برقراري ارتباط R1 در 4.2.2.2با آدرسR3 از طریقNAT

تست صحت انتساب آدرسهايPool به هاستهاي متصل به شبکه داخلیR1

Page 261 of 290


EIGRP AS 10آنها در advertiseو 10.55.0.0/22از رنج R1اینترفیس لوپ بک در 4ایجاد .1

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface loopback0 %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up R1(config-if)#ip add 10.55.0.1 255.255.255.0 R1(config-if)#interface loopback1 %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback1, changed state to up R1(config-if)#ip add 10.55.1.1 255.255.255.0 R1(config-if)#interface loopback2 %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback2, changed state to up R1(config-if)#ip add 10.55.2.1 255.255.255.0 R1(config-if)#interface loopback3 %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback3, changed state to up R1(config-if)#ip add 10.55.3.1 255.255.255.0 R1(config-if)#exit R1(config)#router eigrp 10 R1(config-router)#network 10.55.0.0 0.0.3.255 R1(config-router)#end R1#

25/27-171.18.24.5با رنج NAT Poolو ایجاد R2در NATتنظیم پارمترهاي اینترفیسهاي فعال .2

R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface Serial0/0.221 R2(config-subif)#ip nat inside %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to up R2(config-subif)#interface Serial0/0.223 R2(config-subif)#ip nat outside R2(config-subif)#exit R2(config)#ip nat pool natpool1 171.18.24.5 171.18.24.25 prefix-length 27 R2(config)#

جهت اعمال سیاست انتساب آدرسهاي داخلی به خارجی R2شده در extendایجاد اکسس لیست .3

R2(config)#ip access-list extended NATPOOL_ACL R2(config-ext-nacl)#10 permit ip 10.55.0.0 0.0.3.255 any R2(config-ext-nacl)#exit R2(config)#

Page 262 of 290

dynamic NATایجاد .4

R2(config)#ip nat inside source list NATPOOL_ACL pool natpool1 R2(config)#end R2#

NATاز طریق R3در 4.2.2.2با آدرس R1 تست صحت برقراري ارتباط .5

R1#ping 4.2.2.2 source lo0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 4.2.2.2, timeout is 2 seconds: Packet sent with a source address of 10.55.0.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/104/196 ms R1#ping 4.2.2.2 source lo1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 4.2.2.2, timeout is 2 seconds: Packet sent with a source address of 10.55.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/108/184 ms R1#ping 4.2.2.2 source lo2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 4.2.2.2, timeout is 2 seconds: Packet sent with a source address of 10.55.2.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 36/136/252 ms R1#ping 4.2.2.2 source lo3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 4.2.2.2, timeout is 2 seconds: Packet sent with a source address of 10.55.3.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 36/83/224 ms R1#

R1به هاستهاي متصل به شبکه داخلی Poolتست صحت انتساب آدرسهاي .6

R2#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 171.18.24.5:2 10.55.0.1:2 4.2.2.2:2 4.2.2.2:2 --- 171.18.24.5 10.55.0.1 --- --- icmp 171.18.24.6:3 10.55.1.1:3 4.2.2.2:3 4.2.2.2:3 --- 171.18.24.6 10.55.1.1 --- --- icmp 171.18.24.7:4 10.55.2.1:4 4.2.2.2:4 4.2.2.2:4

Page 263 of 290

--- 171.18.24.7 10.55.2.1 --- --- icmp 171.18.24.8:5 10.55.3.1:5 4.2.2.2:5 4.2.2.2:5 --- 171.18.24.8 10.55.3.1 --- --- R2#

Page 264 of 290

PATتنظیمات – 7.3آزمایش

به منظور ترجمه تعداد زیادي آدرس داخلی به یک آدرس عمومی خارجی PATدر این آزمایش با چگونگی تنظیمات


ور مفاهیمکاربرد عملی و مر

به میان می آید عموما ذهنها به سمت فرایند ترجمه آدرس تعداد زیادي آدرس خصوصی NATهنگامی که سخن از

portیا PATعنوان صحیح این فرایند .خوانده میشود NATداخلی به یک آدرس عمومی متوجه میشوند که به غلط

address translation است.

PAT نوعی ازNAT که تعداد زیادي آدرس داخلی محسوب میشودInside local را به یک آدرس عمومیInside

global که عمدتا توسطISP در اختیار گذاشته میشود ترجمه میکند.PAT را در عین حال میتوان به صورت فرم

در PCبسیار ساده است به عنوان مثال یک PATعملکرد عمومی .هم در نظر گرفت Extended NATداینامیک

قابلیت روتینگ در اینترنت را IPقصد دارد که به اینترنت متصل شود اما این رنج 10.55.1.22که داخلی با آدرس بش

درخواست ارتباط با اینترنت را به سمت روتر PCهنگامی که .نیاز است که این قابلیت را داشته باشد IPندارد پس به

میکند و این PATومی خود و یک شماره پورت تصادفی محلی ارسال میکند روتر پکت دریافتی را به آدرس عم

.خود جهت انجام معکوس این فرایند روي پکتهاي بازگشتی ذخیره میکند NATجریان کاري را در جدول

تماس برقرار کند پس در مرحله اول ترافیک 4.2.2.4تالش میکند تا با آدرس 10.55.1.22با آدرس PCدر مثال باال

به اینترنت متصل T1شبکه ارسال میکند و این روتر هم از طریق یک اتصال default gatewayرا به سمت

خود و T1و شماره پورتی خاص آنرا به آدرس اینترفیس 10.55.1.22روتر پس از دریافت پکت ورودي با آدرس .است

پس از .ود ذخیره میکندخ NATشماره پورت تصادفی با همان مقصد اولیه ترجمه میکند و این فرایند را در جدول

هنگامی که ترافیک مجددا به روتر باز میگردد از همان فرایند یادداشت شده . آن پکت را به دنیاي خارج ارسال میکند

.خود جهت ترجمه معکوس آدرس و رساندن ترافیک به آدرس شبکه داخلی استفاده میکند NATدر جدول

ن دیدیم نیاز است تا اینترفیسهاي داخلی و خارجی مشخص هایی که تا کنو NATمانند همه PATجهت تنظیم

در .به آن به منظور اعمال سیاست هاي دسترسی است NATجهت ارجا دستور Aclپس از آن هم نیاز به .شوند

صورتیکه داراي رنجی از آدرسهاي عمومی هستید و مایلید که به جاي استفاده از یک تک آدرس منتسب به

با رنجی از آدرسهاي مورد NAT Poolیکی از آنها استفاده کنید نیاز است تا در ابتدا یک روتر از WANاینترفیس

WANاز طریق ترجمه آدرس داخلی به آدرس عمومی منتسب به اینترفیس PATنظر ایجاد شود اما عموما فرایند

ترفیس به همراه عبارت نیست و صرفا مشخصا کردن این poolدر این حالت نیازي به مشخص کردن . صورت میپذیرد

overload کافی است مثل:

ip nat inside source list PAT_TRAFFIC interface Serial0/0.223 overload

Page 265 of 290

استفاده R3در ISPجهت شبیه سازي شبکه یک کمپانی کوچک متصل به R1,R2,R3در این آزمایش از روترهاي

به عهده R3را جهت برقراري ارتباط با R1خلی متصل به آدرسهاي دا PATوظیفه R2در این بین .خواهیم کرد

.خواهد داشت

:در این آزمایش از دستورات زیر استفاده خواهیم کرد

ip nat inside source list aclnameor# ip.ip.ip.ip overload

ip nat inside source list aclnameor# interface interface#/# overload

show ip nat translations –

clear ip nat translation *

The following logical topology shown below is used in this lab;

Port Address Translation -11.3.1تصویر


روترها مطابق زیر اعمال تنظمیات اولیه


!################################################### !# Lab 7-3 R1 Initial Config # !################################################### ! enable configure terminal ! hostname R1 no ip domain-lookup ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### no ip address

Page 266 of 290

encapsulation frame-relay serial restart-delay 0 no frame-relay inverse-arp exit ! interface Serial0/0.122 point-to-point description ### FRAME RELAY LINK TO R2 ### ip address 10.113.12.1 255.255.255.252 frame-relay interface-dlci 122 exit ! interface Serial0/0 no shut exit ! router eigrp 10 no auto-summary network 10.113.12.1 0.0.0.0 exit ! line con 0 logging sync no exec-timeout ! end

R2تنظمیات اولیه

!################################################### !# 7-3 R2 Initial Config # !################################################### ! enable configure terminal ! hostname R2 no ip domain-lookup ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### encapsulation frame-relay no frame-relay inverse-arp exit ! interface Serial0/0.221 point-to-point description ### FRAME RELAY LINK TO R1 ### ip address 10.113.12.2 255.255.255.252 frame-relay interface-dlci 221 exit ! interface Serial0/0.223 point-to-point description ### FRAME RELAY LINK TO R3 ### ip address 172.29.81.1 255.255.255.252

Page 267 of 290

frame-relay interface-dlci 223 exit ! interface Serial0/0 no shut exit ! router eigrp 10 no auto-summary network 10.113.12.2 0.0.0.0 network 172.29.81.1 0.0.0.0 redistribute static passive-interface Serial0/0.223 exit ! ip route 0.0.0.0 0.0.0.0 172.29.81.2 ! line con 0 logging sync no exec-timeout ! end


!################################################### !# Lab 7-3 R3 Initial Config # !################################################### ! enable configure terminal ! hostname R3 no ip domain-lookup ! interface Loopback0 description ### SIMULATED INTERNET HOST ### ip address 4.2.2.2 255.255.255.255 ! interface Serial0/0 description ### PHYSICAL FRAME RELAY INTERFACE ### encapsulation frame-relay no frame-relay inverse-arp exit ! interface Serial0/0.322 point-to-point description ### FRAME RELAY LINK TO R2 ### ip address 172.29.81.2 255.255.255.224 frame-relay interface-dlci 322 exit ! interface Serial0/0 no shut exit !

Page 268 of 290

line con 0 logging sync no exec-timeout ! End


و معرفی آنها به 10.55.0.0/22اینترفیس لوپ بک 4ایجادEIGRP AS 10

تنظیم اینترفیسهايinside/outside مرتبط باNAT درR2

ایجاد یکACL با نام درR2

تنظیمPAT درR2 از طریق اینترفیسSerial0/0.223

از سمت لوپ بک اینترفیس واقع در 4.2.2.4تست صحت برقراري ارتباط باR1

بررسی محتوايNAT Table درR2


EIGRP AS 10و معرفی آنها به 10.55.0.0/22اینترفیس لوپ بک 4ایجاد .1

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#interface loopback0 %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up R1(config-if)#ip add 10.55.0.1 255.255.255.0 R1(config-if)#interface loopback1 %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback1, changed state to up R1(config-if)#ip add 10.55.1.1 255.255.255.0 R1(config-if)#interface loopback2 %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback2, changed state to up R1(config-if)#ip add 10.55.2.1 255.255.255.0 R1(config-if)#interface loopback3 %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback3, changed state to up R1(config-if)#ip add 10.55.3.1 255.255.255.0 R1(config-if)#exit R1(config)#router eigrp 10 R1(config-router)#network 10.55.0.0 0.0.3.255 R1(config-router)#end R1#

R2در NATا مرتبط ب inside/outsideتنظیم اینترفیسهاي .2

Page 269 of 290

R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface Serial0/0.221 R2(config-subif)#ip nat inside %LINEPROTO-5-UPDOWN: Line protocol on Interface NVI0, changed state to up R2(config-subif)#interface Serial0/0.223 R2(config-subif)#ip nat outside R2(config-subif)#exit R2(config)#

.جهت صدور مجوز تردد آدرسهاي شبکه داخلی به اینترنت R2با نام در ACLایجاد یک .3

R2(config)#ip access-list extended PAT_TRAFFIC_ACL R2(config-ext-nacl)#10 permit ip 10.55.0.0 0.0.3.255 any R2(config-ext-nacl)#exit R2(config)#

Serial0/0.223از طریق اینترفیس R2در PATتنظیم .4

R2(config)#ip nat inside source list PAT_TRAFFIC_ACL interface Serial0/0.223 overload R2(config)#end R2#

R1وپ بک اینترفیس واقع در از سمت ل 4.2.2.4تست صحت برقراري ارتباط با .5

R1#ping 4.2.2.2 source lo0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 4.2.2.2, timeout is 2 seconds: Packet sent with a source address of 10.55.0.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 52/94/168 ms R1#ping 4.2.2.2 source lo1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 4.2.2.2, timeout is 2 seconds: Packet sent with a source address of 10.55.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 36/108/200 ms R1#ping 4.2.2.2 source lo2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 4.2.2.2, timeout is 2 seconds: Packet sent with a source address of 10.55.2.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 72/133/196 ms R1#ping 4.2.2.2 source lo3

Page 270 of 290

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 4.2.2.2, timeout is 2 seconds: Packet sent with a source address of 10.55.3.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 44/114/240 ms R1#

R2در NAT Tableبررسی محتواي .6

R2#show ip nat translations Pro Inside global Inside local Outside local Outside global icmp 172.29.81.1:2 10.55.0.1:2 4.2.2.2:2 4.2.2.2:2 icmp 172.29.81.1:3 10.55.1.1:3 4.2.2.2:3 4.2.2.2:3 icmp 172.29.81.1:4 10.55.2.1:4 4.2.2.2:4 4.2.2.2:4 icmp 172.29.81.1:5 10.55.3.1:5 4.2.2.2:5 4.2.2.2:5 R2#

Page 271 of 290

DHCPتنظمیات - 7.4آزمایش

.به هاست هاي درون شبکه آشنا خواهیم شد IPصیص خودکار جهت تخ DHCPدر این آزمایش با چگونگی تنظیمات


خسته کننده خواهدبه تعداد زیادي از ادوات نیازمند به آدرس در شبکه فرایندي وقت گیر و IPتخصیص استاتیک

ادوات فاقد آدرس آدرس به IPبا هدف تخصیص خودکار DHCPبراي حل این معضل در شبکه هاي امروزي از .بود

.در شبکه استفاده میشود

DHCP سرویسی است که به درخواستهاي . به طور عام داراي تعریف عملیاتی بسیار ساده استDHCP ادوات فاقد

این پاسخ میتواند شامل مشخصه هاي تکمیلی دیگري نیز همچون نام دامنه و .آدرس پاسخ میدهد

Wins,Dns,default gateway,Ntp server وبسیاري دیگر هم باشد که همراه با آدرس به هاست مورد نظر

.منتسب میشود

امروز در هر شبکه اي مورد استفاده قرار میگیرد اما در مواردي همچون آدرس دهی به DHCPهمانطور که شاره شد

آدرس دهی ادوات زیرساختی شبکه مثل روترها و سوییجها میبایست از ,سرورها , DMZادوت موجود در ناحیه

.ایستا استفاده شود

متوجه DHCP serverممکن است به ذهن برسد اینست که چگونه DHCPیکی از اولین معماهایی که در خصوص

آدرس تخصیصص دهد این در حالیست که قرار دارد 10.114.12.0/24میشود که بایست به هاستی در شبکه فرضا

به آن 11.6حل میشود که در آزمایش Ip helperمسئله از طریق این.قرار دارد 10.114.94.0/24خود سرور در

.میپردازیم

دراراي نامی مجزاست و poolهر .است poolتعدادي پیش نیاز وجود دارد که اولین آنها ایجاد DHCPبراي کانفیگ

DHCP configوارد محیط poolپس از ایجاد .ایجاد میشود ip dhcp pool POOL_NAMEاز طریق دستور

mode از طریق اعالنhostname(dhcp-config)# پس از ایجاد .میشویمpool نوبت به مشخص کردن فضاي

.صورت میگیرد network A.B.C.D /xآدرسی موجود در آن میرسد که از طریق دستور

تقاضی یا مدت زمان در اختیار گذاشتن آدرس به م leased timeپس از تنظیم مراتب فوق نوبت به مشخص کردن

انجام میشود the lease days hours minutes secondsاین کار از طریق دستور .میرسد

Page 272 of 290

میتوان آنها را به متقاضی آدرس DHCPهمانطور که اشاره شد مشخصه هاي زیادي نیز وجو دارند که از طریق

براي مشخص . دصورت میگیر domain-name NAMEاین مورد از طریق دستور . منتسب کرد مانند نام دامنه

.استفاده میشود .dns-server A.B.C.Dهم از دستور DNS serverکردن

در اختیار هاستهاي متقاضی قرار میگیرد DHCPآخرین و مهمترین مشخصه اي که به طور معمول از طریق

defaul_gateway این عمل نیز از طریق دستور استdefault-router A.B.C.D انجام میشود

در PCجهت شبیه سازي یک DHCP Clientرا به عنوان R2و DHCP serverرا به عنوان R1زمایش در این آ

محیط شبکه مورد استفاده قرار خواهند گرفت


اعمال تنظیمات اولیهSW1,R1,R2 مطابق دستورات زیر


!################################################### !# Lab 7-4 R1 Initial Config # !################################################### ! enable configure terminal ! hostname R1 no ip domain-lookup ! interface FastEthernet0/0 description ### LAN INTERFACE ### ip address 10.114.12.1 255.255.255.0 no shut ! line con 0 logging sync no exec-timeout ! end

Page 273 of 290


!################################################### !# Free CCNA Workbook Lab 7-4 R2 Initial Config # !################################################### ! enable configure terminal ! hostname R2 no ip domain-lookup ! interface FastEthernet0/0 description ### LAN INTERFACE ### no shut ! line con 0 logging sync no exec-timeout ! end


!################################################### !# Free CCNA Workbook Lab 7-4 SW1 Initial Config # !################################################### ! enable configure terminal ! hostname SW1 no ip domain-lookup ! ! line con 0 logging sync no exec-timeout ! end


ایجادDHCP pool درR1 با نامLAB_POOL1

تخصیص نام دامنهTetlab.local بهLAB_POOL1

Page 274 of 290

به 10.114.12.0/24تخصیص فضاي آدرسLAB_POOL1

به آدرسهاي روز 7 اجاره تخصیص مدت زمان

تخصیص دوDNS server به 10.114.18.7 ,10.114.18.6با آدرسهايLAB_POOL1

تخصیصDefault gateway به 10.114.12.1با آدرسLAB_POOL1

یگ کانفFa0/0 درR2 به منظور دریافتIP ازDHCP و بررسی صحت اعمال آدرس به آن از طریقping اینترفیس

fa0/0 روترR1 از سمتR2


R1>enable R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip dhcp pool LAB_POOL1 R1(dhcp-config)#domain-name TESTLAB.LOACL R1(dhcp-config)#network 10.114.12.0 /24 R1(dhcp-config)#lease 7 R1(dhcp-config)#dns-server 10.114.18.6 10.114.18.7 R1(dhcp-config)#netbios-name-server 10.114.18.4 10.114.18.5

R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface Fastethernet0/0 R2(config-if)#ip address dhcp R2(config-if)#end R2# %SYS-5-CONFIG_I: Configured from console by console R2# %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/0 assigned DHCP address 10.114.12.2, mask 255.255.255.0, hostname R2 R2#show ip interface brief FastEthernet0/0 Interface IP-Address OK? Method Status Protocol FastEthernet0/0 10.114.12.2 YES DHCP up up R2#ping 10.114.12.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.114.12.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/59/152 ms R2#

Page 275 of 290

Dhcp Helper Addressتنظیمات -7.6آزمایش

به منظور کمک به فرایند تخصیص آدرس به DHCP helper IP addressبا چگونگی تنظمیات در این آزمایش

.واحد آشنا خواهیم شد Dhcp serverکالیتنهاي واقع در شبکه هاي مختلف از طریق یک


Broadcastکه بعضا در یک سرور چگونه به همه کالینتهاي شبکه Dhcpآیا به این موضوع فکر کرده اید که یک

domain هم نیستندIP تخصیص میدهد؟از درسهاي گذشته هم به خاطر داریم که درخواستDhcp از سرور

آدرسی است که بر روي IP helper. نهفته است Dhpc IP helperجواب این معما در . دارد Broadcastماهیت

یک روتر تنظیم میشود تا به دیوایس مذبور Eth interface یا Vlan interfaceپذیر مانند routeیک اینترفیس

به سمت Dhcp BOOTP (Broadcast)اجازه فعالیت به عنوان یک واسط با هدف دریافت و ارسال درخواستهاي

ipنیاز است دستور IP helperبراي کانفیگ .بدهد را unicastاز طریق IP Helperمشخص شده با Dhcpسرور

helper-address a.b.c.d بر روي اینترفیس متصل بهBroadcast domain که متقاضی دریافت آدرس از

Dhcpسرور است اعمال شود.

IPسرور را به عهده دارد Dhcpکه نقش R1هاي مجزایی واقع شده اند و در Vlanدر R1,R2در این آزمایش

pool هاي متناظر با هرVlan پس از آن . را ایجاد میکنیمIP helper را روي اینترفیس متناظر باVlan20 سوییچ

SW1 با هدف امکان ارسال درخواستهايDhcp از سمتR2 بهR1 در نهایت هم براي تست صحت . اعمال میکنیم

.را پینگ میکنیم R1روتر R2کانفیگها از سمت

DHCP Helper-11.7.1تصویر

Lab Prerequisites

روترها و سوییچ اعمال تنظیمات اولیه زیر به

تنظیمات اولیه روترR1

!################################################### !# Lab 7-6 R1 Initial Config # !###################################################

Page 276 of 290

! enable configure terminal ! hostname R1 no ip domain-lookup ! ip dhcp pool LAB_POOL1 network 10.116.10.0 255.255.255.0 domain-name TESTLAB.LOCAL dns-server 10.116.18.6 10.116.18.7 netbios-name-server 10.116.18.6 10.116.18.7 default-router 10.116.10.1 lease 7 ! interface FastEthernet0/0 description ### LAN INTERFACE ### ip address 10.116.10.1 255.255.255.0 no shut exit ! line con 0 logging sync no exec-timeout ! endend

تنظیمات اولیه روترR2

!################################################### !# Lab 7-6 R2 Initial Config # !################################################### ! enable configure terminal ! hostname R2 no ip domain-lookup ! interface FastEthernet0/0 description ### LAN INTERFACE ### ip address dhcp no shut exit ! line con 0 logging sync no exec-timeout ! end

Page 277 of 290

تنظیمات اولیه سوییچSw1

!################################################### !# Lab 7-6 SW1 Initial Config # !################################################### ! enable ! vlan database vlan 10 vlan 20 exit ! configure terminal ! vlan 10 name 10.116.10.0/24 ! vlan 20 name 10.116.20.0/24 ! hostname SW1 no ip domain-lookup ! ip routing ! interface FastEthernet0/1 switchport mode access switchport access vlan 10 spanning-tree portfast ! interface FastEthernet0/2 switchport mode access switchport access vlan 20 spanning-tree portfast ! interface Vlan10 ip address 10.116.10.2 255.255.255.0 ! interface Vlan20 ip address 10.116.20.2 255.255.255.0 exit ! line con 0 logging sync no exec-timeout ! end


Page 278 of 290

ایجادDHCP pool جدید درR1 به نامLAB_POOL2 با مشخصه هايnetwork 10.116.20.0/24,

default-router of 10.116.20.2, domain name TESTLAB.LOCAL, DNS servers 10.116.18.6 & 10.116.18.7

ایجادVlan 20 درSW1 همینطور تعریفIP helper 10.116.10.1به سمت

تست صحت تنظمیات


ایجادDHCP pool جدید درR1 به نامLAB_POOL2 با مشخصه هايnetwork 10.116.20.0/24,

default-router of 10.116.20.2, domain name TESTLAB.LOCAL, DNS servers 10.116.18.6 & 10.116.18.7

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip dhcp pool LAB_POOL2 R1(dhcp-config)#network 10.116.20.0 255.255.255.0 R1(dhcp-config)#default-router 10.116.20.2 R1(dhcp-config)#domain-name TESTLAB.LOCAL R1(dhcp-config)#dns-server 10.116.18.6 10.116.18.7 R1(dhcp-config)#end R1#

ایجادVlan 20 درSW1 همینطور تعریفIP helper 10.116.10.1به سمت

SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#interface vlan 20 SW1(config-if)#ip helper-address 10.116.10.1 SW1(config-if)#end SW1# %SYS-5-CONFIG_I: Configured from console by console SW1#

تست صحت تنظمیات

R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface FastEthernet0/0 R2(config-if)#shut R2(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed

Page 279 of 290

state to down R2(config-if)#no shut R2(config-if)#end R2# %SYS-5-CONFIG_I: Configured from console by console R2# %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R2# %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/0 assigned DHCP address 10.116.20.3, mask 255.255.255.0, hostname R2 R2#ping 10.116.10.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.116.10.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/108/164 ms R2#

Page 280 of 290

NTP Clientتنظیمات – 7.7آزمایش

در روترها و سوییچها سیسکو با Network Time Protocol (NTP) Clientدر این آزمایش با چگونگی تنظیمات

هدف یکسان سازي تاریخ و ساعت این ادوات با یک مرجع مرکزي آشنا خواهیم شد

:توضیح

Cpuممکن است GNS3در حین انجام این آزمایش با . توصیه میشود این آزمایش با ادوات واقعی انجام شود

usage ن تغییر درصد برسد و امکا 100سیستم بهIDLEPC نیز وجود نداشته باشد.


ادوات سیسکو نیز . همه ما جهت انجام امور روزمره حداقل یکبار طی روز نیاز به دانستن تاریخ و ساعت دقیق داریم

ندازیم هر سطر نگاهی میا SYSLogبه همین منوال داراي چنین نیازي هستند به عنوان مثال هنگامی که به الگهاي

14thدر تاریخ T1آن با تاریخ و ساعت مشخص شده و بیانگر زمان دقیق وقوع آن رخداد است فرضا فالن لینک

2010 @ 5:32:53AM غیر فعال شده است و از این قبیل.

EIGRPدلیل مهم دیگر نیاز به دانستن تاریخ و ساعت دقیق توسط این ادوات باال بردن امنیت همسایگی در فرایند

Jan تا Jan 1st 2011 at 12:00am است در این شیوه سلسله کلیدهایی با عمر و اعتبار زمانی محدود فرضا از

1st 2012 12:00am مابین روترهاي فعال درEIGRP به گردش در میاید و اگر در این بین روتري تمایل به ایجاد

.نگ نباشد درخواست همسایگی وي مردود میشودهمسایگی داشته باشد اما از لحاظ زمانی با سایرین هماه

این پروتکل جز قدیمی ترین پروتکلهاي موجو در . بهره میبرند NTPپروتکل 3امروزه شبکه ها از استاندارد نگارش

.استفاده میکند upd 123اینترنت است و از پورت

در صورتیکه نیاز به . شود استفاده ntp server x.x.x.xکافیست تا از دستور NTP Clientبراي کانفیگ

Redundancy مابینTime server ها داشته باشیم تا در صورت از دور خارج شدن یکی سرور دیگري جاي آنرا

یکی پس از دیگري استفاده کنیم در عین حال با بهره گیري ntp server x.x.x.xبگیرد میتوانیم از هر تعداد دستور

میتوانیم الویت و تقدم استفاده از هر یک از انها را تایین کنیم ntp server x.x.x.x preferاز دستور

NTP serverدر این حالت تعدادي . است ntp peer x.x.x.xاستفاده از دستور NTP Clientراه دیگر تنظیم

کار به مورد استفاده قرار میگیرند و سروري که داراي دقت بیشتري باشد به طور خود Peer groupتحت عنوان یک

Page 281 of 290

که پایه دقت و عملکرد stratum numberمبحث . (عنوان سرور اصلی گروه انتخاب و مورد استفاده قرار میگیرد

NTP سرورها است در این نوشته مورد بررسی قرار نمیگیرد(

.پاسخ خواهد داد R2سرور به درخواستهاي متناظر NTPبه عنوان R1در این آزمایش

NTP Client – 11.7.1آزمایش


ایجاد توپولوژي مطابق تصویر باال و اعمال تنظیمات اولیه مطابق دستورات زیر

تنظیمات اولیهR1

!################################################### !# Lab 11-7 R1 Initial Config # !################################################### ! enable configure terminal ! hostname R1 no ip domain-lookup ! interface Serial0/1 description ### PPP LINK TO R2 ### encapsulation ppp ip address 10.117.12.1 255.255.255.252 no shut exit ! ntp master 3 ! line con 0 logging sync no exec-timeout ! end

Page 282 of 290


!################################################### !# Lab 11-7 R2 Initial Config # !################################################### ! enable configure terminal ! hostname R2 no ip domain-lookup ! interface Serial0/1 description ### PPP LINK TO R1 ### encapsulation ppp ip address 10.117.12.2 255.255.255.252 no shut exit ! line con 0 logging sync no exec-timeout ! end


تنظیم نادرست تاریخ و ساعت درR1 با هدف بررسی مقایسه هاي بعدي

تنظیمR2 10.117.12.1عت از جهت دریافت تاریخ و سا

تست صحت اخذ تاریخ و ساعت صحیح ازR1 توسطR2


R1#clock set 00:00:00 1 jan 2010 R1# R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#ntp server 10.117.12.1 R2(config)#end R2# R2#show ntp associations

address ref clock st when poll reach delay offset disp *~10.117.12.1 127.127.7.1 3 58 64 7 5.1 -0.93

Page 283 of 290

3875.2 * master (synced), # master (unsynced), + selected, - candidate, ~ configured R2#show clock 00:05:18.467 UTC Fri Jan 1 2010 R2#

Page 284 of 290

NTP serverتنظیمات - 7.8آزمایش

هاي NTP Clientبا هدف ارائه سرویس تاریخ و ساعت به NTP serverدر این آزمایش با چگونگی تنظمیات

.موجود در شبکه آشنا خواهیم شد


جهت NTP serverبه عنوان High endروزه بسیار مرسوم است که در شبکه هاي متوسط و بزرگ از روترهاي ام

ارائه سرویسهاي تاریخ و زمان به کلیه متقاضیان این سرویس اعم از سایر ادوات سیسکو یا سیستم عاملهاي دیگر

NTP Serverراي کانفیگ ادواتی که از قابلیت ب.روند کار بسیار ساده و تنها نیازمند یک دستور است. استفاده شود

. دستگاه است استفاده میشود stratumبیانگر الیه #که # ntp masterپشتیبانی میکنند از دستور

کالینت تنظیم خواهیم کرد تا در خواستهاي NTPرا به عنوان R2و سرور NTPرا به عنوان R1در این آزمایش

ارسال کند R1 تاریخ و زمان خود را به

NTP Server – 11.8.1تصویر


ایجاد توپولوژي مطابق تصویر باال و اعمال تنظیمات اولیه مطابق دستورات زیر


!################################################### !# Lab 11-8 R1 Initial Config # !################################################### ! enable

Page 285 of 290

configure terminal ! hostname R1 no ip domain-lookup ! interface Serial1/1 description ### PPP LINK TO R2 ### encapsulation ppp ip address 10.118.12.1 255.255.255.252 no shut exit ! line con 0 logging sync no exec-timeout ! end


!################################################### !# Lab 11-8 R2 Initial Config # !################################################### ! enable configure terminal ! hostname R2 no ip domain-lookup ! interface Serial1/1 description ### PPP LINK TO R1 ### encapsulation ppp ip address 10.118.12.2 255.255.255.252 no shut exit ! line con 0 logging sync no exec-timeout ! End


تاریخ و ساعت در تنظیم دستیR1 جهت اشاره به زمان حاضر

تنظیمR1 به عنوان NTP Server باstratum 3الیه

تست صحت دریافت تاریخ وساعت صحیح از طریقR2

Page 286 of 290


تاریخ و ساعت در تنظیم دستیR1 جهت اشاره به زمان حاضر

R1#clock set 20:00:00 aug 26 2010

تنظیمR1 به عنوانNTP Server باstratum 3الیه

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ntp master 3 R1(config)#end R1#

تست صحت دریافت تاریخ وساعت صحیح از طریقR2

R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#ntp server 10.118.12.1 R2(config)#end R2#

R2#show ntp associations address ref clock st when poll reach delay offset disp *~10.118.12.1 127.127.7.1 3 52 64 377 3.2 -1.38 0.9 * master (synced), # master (unsynced), + selected, - candidate, ~ configured R2# R2# R2#show clock 20:05:05.581 UTC Thu Aug 26 2010 R2#

Page 287 of 290

DNS serverتنظیمات : 7.9آزمایش

سرور در ادوات سیسکو با هدف انجام فرایند تبدیل نام به آدرس آشنا DNSدر این آزمایش با چگونگی تنظیمات

.خواهیم شد

مرور مفاهیم کاربرد عملی و

Domain Name System (DNS) هنگامی که از .سرویسی است که وظیفه تبدیل نام به آدرس را به عهده دارد

طریق مرورگر اینترنتی خود به سایتی وارد میشوید در پس این ماجرا یک مکانیزم تبدیل نام به آدرس وجود دارد که

این فرایند باعث رهایی یافتن ما از حفظ کردن آدرس وب . مرورگر شما را به وب سرور مورد نظر هدایت میکند

yahoo.comبه عنوان 209.191.122.70سایتهاي مورد نظرمان میشود فرضا

به عنوان سیستم IOSسرور را به طور همزمان در ادواتی که از DNSدر دنیاي سیسکو قادر هستیم تعداد زیادي

استفاده ip name-server a.b.c.dبراي این منظور از دستور .معامل اجرایی خود استفاده میکنند معرفی کنی

.میکنیم

که یک سرویس دهنده نام عمومی 4.2.2.4سرور DNSرا به گونه اي تنظیم خواهیم کرد که از R1در این آزمایش

ت پینگ خواهیم کرد تا صح R1را از طریق google.comپس از آن .است استفاده کند Verizon/GTEمتعلق به

.عملکرد آن مورد بازبینی قرار گیرد

;


ایجاد یکNIO Cloud در محیطGNS3 و اتصال آن بهNIC موجود در کامپیوتر

اعمال تنظیمات پیش فرضR1 به شرح زیر


!################################################### !# Lab 11-9 R1 Initial Config # !###################################################

Page 288 of 290

! enable configure terminal ! hostname R1 ! interface FastEthernet0/0 description ### LINK TO NIO CLOUD-INTERNET ### ip address dhcp duplex auto speed auto exit ! line con 0 logging sync no exec-timeout ! end


حصول اطمینان از تخصیصIP بهEth0 روترR1 توسطDHCP شبکه داخلی

کانفیگR1 به عنوان سرویس دهنده نام 4.2.2.2 , 4.2.2.4جهت بهره گیري از

پینگ سایتgoogle.com جهت بررسی صحت تنظیمات انجام شده


ز تخصیص حصول اطمینان اIP بهEth0 روترR1 توسطDHCP شبکه داخلی

R1#show ip interface brief FastEthernet0/0 Interface IP-Address OK? Method Status Protocol FastEthernet0/0 192.168.2.8 YES DHCP up up R1#ping 4.2.2.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 4.2.2.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/38/112 ms R1#

کانفیگR1 به عنوان سرویس دهنده نام 4.2.2.2 , 4.2.2.4جهت بهره گیري از

Page 289 of 290

R1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip name-server 4.2.2.2 4.2.2.4 R1(config)#end R1#

پینگ سایتgoogle.com جهت بررسی صحت تنظیمات انجام شده

R1#ping google.com Translating "google.com"...domain server (192.168.2.1) [OK] Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 72.14.204.104, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 24/35/56 ms R1#

Technology

CCNA laboratory -in persian