جلسه سیزدهم 08/10/93
(Spanning Tree Protocol)STP
( الگوریتم درخت پوشا ) IEEE 802.1dیا
جلوگیری از ایجاد حلقه به ابزارهای لایه 2
پروتکل STPبرای جلوگیری از ایجاد حلقه در ابزارهای لایه 2 می باشد . موسسه IEEE این پروتکل را 802.1d نامگذاری کرده است . برای جلوگیری از LOOP این پروتکل باید شناختی درست از اتصالات و توپولوژی شبکه را دارا باشد به همین علت این شناخت را با استفاده از بسته های BPDU که هر دو ثانیه یکبار ارسال می شوند و ارسال آنها به صورت multi cast است به دست می آورد .
در صورتی که روی یک شبکه تغییری صورت بگیرد مانند فعال و غیر فعال شدن یک پورت یا قطع شدن یک لینک STPبراساس شرایط جدید تصمیم گیری می کند .
BPDU شامل اطلاعاتی مانند سوئیچ id است که خود سوئیچ id ترکیبی از اولویت Priority سوئیچ که در سوئیچ های سیسکو به صورت پیش فرض برابر 32768 می باشد و MAC Address مربوط به سوئیچ می باشد .
:Root switchدر سوئیچی در شبکه که دارای بالاترین ارجحیت باشد Root switch انتخاب می شود عمل انتخاب توسط BPDU اتفاق می افتد BPDU هر سوئیچ را که دارای کمترین سوئیچ id باشد به عنوان Root switch انتخاب می کند .
نکته : تمامی پورتهای Root switch فعال هستند و هیچ کدام در حالت BLUCK قرار نمی گیرند .
Root Port : هر سوئیچ در شبکه باید یک پورت را که نسبت به سایر پورتهای خود وضیعت بهتری دارد به عنوان Root port انتخاب کند . Root port پورتی است که به Root switch متصل می شود
پروتکل STP انتخاب Root port را به صورت هوشمندانه و براساس COST (هزینه) انتخاب می کند . هر پورتی که دارای کمترین هزینه باشد Root port هست .
نکته : port cost ( هزینه پورت ) با پهنای باند رابطه معکوس دارد یعنی هر چه پهنای باند بیشتر باشد پورت هزینه کمتری دارد
پهنای باند روی سوئیچ (10mb, 100mb, 1GB,10GB)
( 100 1 4 2) هزینه COST
پروتکل STP انتخاب Root port را براساس شرایط زیر انجام می دهد :
1- اگر چند مسیر برای رسیدن به Root switch وجود داشته باشد مسیری انتخاب می شود که دارای هزینه کمتری است .
2- اگر چند مسیر با هزینه برابر به Root switch وجود داشته باشد پورتی انتخاب می شود که دارای اولویت کمتر است . (Prioity پایین است )
3- در صورتی که چند مسیر با COST و Priorty یکسان وجود داشته باشد پورتی انتخاب می شود که ترکیب قرار گرفتن آن کمتر است .
وضعیت سوئیچ را به صورت خلاصه ببینیم.
Switch# show spanning-tree summary
اگر بخواهیم root switch به صورت دستی تنظیم کنیم.
Switch (config)# spanning-tree vlan 1 root primary
همه پورتها در vlan 1 قرار دارند.
یک root switch دوم می توانیم داشته باشیم.
Switch(config)#spanning-tree vlan 1 root secondary
اگر switch6 (switch primary)خراب شد این سوئیچ به عنوان root switch دومی در نظر گرفته می شود..
بسته های BPDU هر دو ثانیه یکبار ارسال می شوند با استفاده از این دستور می توان این زمان را تغییر داد.
Switch(config)#spanning-tree vlan 1 hello-time 3(این دستور پشتیبانی نشده است)
جلسه چهاردهم : Virtuarl Lan (VLan )
ابزار پیاده سازی این راه حل ، VLan یا Virtuarl Lan است . معمولا هر چند کامپیوتر که در محدوده جغرافیایی کوچک و در کنار هم قرار دارند ، در VLan مجرا قرار می گیرند . هر VLan در VLan دیگر نفوذ نمی کند . به طور معمول هر طبقه یا هر نیم طبقه از ساختمان ، در VLan مستقل قرار می گیرد.
به صورت پیش فرض همه ی پورتهای سوئیچ در VLan1 با نام default قرار دارند .
پیکربندی VLan در یک سوئیچ :
1- تعریف VLan
(Config)#vlan2
( Config-vlan )# name vlan2
2- تخصیص هر پورت به VLan مورد نظر
زمانی که پورتها پشت سر هم باشد .
Config-vlan#interface range fasethernet 0/1-10
این دستور برای تخصیص پورت fas 0/1تا 10 به VLan 2 می باشد
زمانی که پورت پشت سر هم نباشد از این دستور برای تخصیص پورت مشخص به VLan می باشد.
Config# switchport access vlan 2
نکته : در صورتی که VLan تعریف نشده باشد ، اما پورت سوئیچ به VLan یی تخصیص داده شود VLan مورد نظر به صورت اتوماتیک ایجاد می گردد .
در این سناریو می خواهیم 3 تا سوئیچ را حذف کنیم و یک سوئیچ vlan بندی شده بگذاریم.
به صورت پیش فرض سوئیچ های سیسکو 5 تا vlan دارد.
در سوئیچ واقعی با دستور show vlan در محیط privllage میتوان vlan ها را دید.
جلسه شانزدهم :trunk
سوئیچ ها از دو نوع اتصالات در رابطه با VLAN ها استفاده می کنند:
• Access Link
• Trunk
هنگامی که شما از VALN ها استفاده می کنید، باید در مورد انواع اتصالات VLAN و همچنین چگونگی پیکربندیInterface ها نیز به خوبی اطلاع داشته باشید.
اتصالات Access Link
هر یک از اتصالات Access Link می تواند فقط یک VALN را پشتیبانی نماید.بعبارتی دیگر،دستگاه هایی که به این نوع پورت اتصال دارند فقط در یک Broadcast Domainو یا یک VLAN قرار خواهند گرفت.
برای مثال اگر ده عدد کامپیوتر را به یک HUB متصل نماییم و ان HUB را هم به یک پورت سوئیچ وصل کنیم،تمامی ده دستگاه عضو یک VALN خواهند بود.اما اگر بخواهیم که 6 کامپیوتر عضو یک VALN و بقیه عضو VALn دیگری باشند،باید یک عدد HUB دیگر خریداری شده و 4 دستگاه بعدی از طریق آن Hub به پورت دیگر سوئیچ اتصال یابند.بنابراین در اتصالات Access linkهر پورت سوئیچ می توانند فقط یک عدد VLAN را پشتیبانی نماید.
اتصالات Trunk
بر خلاف Access link، این نوع اتصالات می توانند بیش از یک عدد VLAN را از طریق یک ارتباط پشتیبانی نمایند.برای ایجاد یک ارتباط Trunk،فریم های استاندارد Ethernet باید اصلاح شده تا بتوانند اطلاعات مربوط به VLAN ها را هم با خود انتقال دهند.برای مثال اگر دستگاهی واقع در1 VLAN یک پیام Broadcast را ایجاد نماید،سوئیچی که این پیام را دریافت کرده است در هنگام انتقال این پیام به سوئیچ های دیگر شبکه باید به انها بفهماند که این پیام از 1 VLAN فرستاده شده تا آن سوئیچ ها هم به نوبه خود ،پیام مربوط را فقط به دستگاه هایی که عضو همان VLAN هستند ارسال نمایند.
ارتباطاتTrunk معمولا بین سوئیچ -سوئیچ ،سوئیچ -روتر و یا سوئیچ -سرور برقرار می شوند.استفاده از Trunking بین سوئیچ ها و روتر ها باعث کاهش محسوس هزینه های کاری خواهد شد.مثلا در شبکه های قدیمی تر،برای اتصال Broadcast domain های مختلف به همدیگر (شبکه هایی که از آدرس لایه سوم متفاوتی استفاده می کنند)به ازای هر یک از Broadcast domain ها ،یک عدد پورت فیزیکی در روی روتر ها نیاز بود.برای مثال اگر 2 عد شبکه با آدرس های لایه سوم مختلف داشته باشیم،هریک از این شبکه ها باید به پورت فیزیکی جداگانه ای در روی روتر وصل گردند،اگر 30شبکه مختلف داشته باشیم،30پورت فیزیکی جداگانه در روی روتر خواهیم داشت که باعث افزایش هزینه های خرید دستگاه خواهد شد.
در شبکه های امروزی با استفاده از مزیت های VLAN و ارتباطات Trunkمی توان فقط با استفاده از یک عدد پورت فیزیکی روی روتر که از ارتباطات Trunk پشتیبانی می کند،اقدام به اتصال Broadcast domain های مختلف به همدیگر نمود.البته تمامی روتر ها از Trunk پشتیبانی نمی کنند و ما حداقل باید از دستگاه های سری 1751 و یا 2600 استفاده نماییم.اگر از روتری که از Trunk پشتیبانی نمیکند استفاده نماییم،برای هر یک از VALN های موجود باید یک پورت جداگانه روی روتر وجود داشته باشد .بنابراین اگر شبکه های لایه سوم زیادی وجود داشته باشد،به صرفه است که از روتری که قابلیت استفاده از Trunking را دارد،استفاده گردد.
همچنین کارت های شبکه مخصوصی هم وجود دارند که توانایی پشتیبانی از اتصالات Trunk را دارا هستند.مثلا در مواقعی که بخواهیم دستگاه های موجود در چند VLAN مختلف بتوانند به یک عدد file server دسترسی داشته باشند،می توان از این کارت ها ی شبکه استفاده نمود.
دو راه حل برای اتصال این سرور به سوئیچ داریم.
اولین راه حل این است که از یک اتصال link Access بین سوئیچ و سرور استفاده کنیم و همچنین کارت شبکه ای که به سرور اتصال یافته است را هم از نوع استاندارد انتخاب نماییم.در این وضعیت سرور ما فقط عضو یک VALN خواهد بود.و بنابراین فقط دستگاه هایی که عضو همان VLAN هستند می توانند از طریق سوئیچ به آن سرور دسترسی داشته باشند ولی بقیه دستگاه هایی که در VALN هی دیگری قرار دارند،باید از طریق یک روتر به آن سرور متصل گردند،زیرا که سرور در یک Broadcast domainدیگری نسبت به انها واقع شده است.
راه حل دوم هم شامل استفاده ازیک کارت شبکه مخصوص Trunking و یک ارتباط Trunk بین سوئیج و سرور می گردد .پیکربندی این نوع از کارت های شبکه نسبت به کارت های معمولی متفاوت می باشد.بدین صورت که به ازای هر VALN باید یک کارت شبکه مجازی را در روی سرور تعریف کرده و آدرس IP و شماره VLAN مخصوص هر یک از این کارت های تعریف شده مجازی را نیز تنظیم نماییم.
سرانجام بعد از ایجاد ارتباط Trunk بین سرور و سوئیچ ،تمامی دستگاه های موجود در همه VLAN ها می توانند مستقیما و بدون استفاده از روتر به این سرور متصل گردند.به دلیل اینکه این نوع کارتها نسبت به کارت های شبکه استاندارد دارای قیمت گرانتری می باشند،بسیاری از مدیران شبکه فقط ددر هنگامی که نیاز به استفاده از انها دارند اقدام به خرید اینگونه از کارت ها می کنند.
میخواهیم از طریق DHCP که دو کارت شبکه وصل است به سیستم هامون IP دهیم .سیستم ها در vlan های مجزایی قراردارند.
هر پورت در سوئیچ دو حالت دارد:
1-access : پورت در حالت عادی در مد access است در مد access فقط اطلاعات vlan ایی که پورت در آن قرار گرفته ارسال می شود.
2-trunk :
برای اینکه سیستم ها به درستی همدیگر را پینگ کنند از لینک trunk استفاده می کنیم.
پورت trunk عضو هیچ vlan نیست.
جلسه شانزدهم
VTP(VLan trunking protocol) : اگر به خاطر داشته باشید ، اولین مرحله پیکربندی VLan در شبکه ، تعریف همه VLan های شبکه روی همه سوئیچ شبکه است . پروتکل VTP که خاص سوئیچ های شبکه است . پروتکل VTP که خاص سوئیچ های cisco است ، به ما کمک میکند همه VLan های موجود در شبکه را روی تنها یک سوئیچ با وضیعت vtp server تعریف کنیم . این سوئیچ آخرین وضیعت VLanهای شبکه را به همه سوئیچ های شبکه که در مد vtp client هستند ، ارسال می کند . هر گونه تغییر در اطلاعات vlan مانند اضافه شدن vlan جدید، حذف یک vlan ،ویا تغییر نام یک VLan از طریق vtp server به سوئیچ های vtp client ارسال می شود. بنابراین در یک جمله می توان گفت که هدف از پروتکل vtp مدیریت متمرکز vlan در شبکه است.
سوئیچ های که مستقل از پروتکل vtp عمل می کنند و vlan های شبکه در آن تعریف می شوند، vtp transparent نامیده می شوند. دلیل نامگذاری transparent این است که سوئیچ های فوق مانع عملکرد پروتکل vtp نمی شوند و علی رغم آنکه این سوئیچ مستقل از vtp عمل می کند، اما بسته vtp عبور می دهند.
تشریح vtp mode :
در پروتکل vtp هر سوئیچ می تواند در یکی از 3 مد vtp server ، vtp client ، vtp transparent قرار بگیرد.
1- Vtp server : مدیریت vlan شامل تعریف vlan ، حذف vlan و ویرایش نام vlan روی سوئیچ vtp server انجام می شود.
بسته های vtp ،فقط روی لینک های trunk ارسال می شوند. بنابراین اگر قصد دارید از پروتکل vtp در شبکه بهره مند شوید، باید از trunk بودن ارتباطات بین سوئیچ ها اطمینان حاصل کنید.بسته های vtp علاوه بر اطلاعات vlan، اطلاعات کنترلی نیز به همراه دارند. 4 پارامتر اصلی اطلاعات کنترلی عبارتند از :
Vtp Revision no ,vtp version ,vtp domain name, vtp password
سوئیچ های cisco به صورت پیش فرض در مد vtp server هستند. سوئیچ های vtp server نقش vtp client را نیز به عهده دارند.
پیکربندی vlan در flash ذخیره نمی شود، بلکه در فایلی به نام vlan.dat در NVRAM ذخیره می گردد. دستور "show vlan" محتویات این فایل را نشان می دهد.
نکته :
برای خام کردن سوئیچ علاوه بر پاک کردن فایل startup config باید فایل vlan.dat موجود در flash را هم پاک کنید . همچنین برای backup گرفتن و یا restore کردن سوئیچ، فایل vlan.dat را فراموش نکنید.
2- Vtp client : امکان مدیریت vlan روی سوئیچ های vtp client وجود ندارد. اگر vlan جدیدی روی این سوئیچ ها تعریف کنیم، پیغامی مبنی بر مجاز نبودن ایجاد vlan ظاهر می شود.
سوئیچ های vtp client ، بسته های vtp دریافتی را پردازش و سپس آن را روی دیگر اینترفیس های trunk ارسال می کند. سوئیچ ها با پردازش بسته های vtp دریافتی، فایل vlan.dat را به روز (update) می کنند.
سوئیچ های vtp server ،سوئیچ vtp client نیز هستند ،این بدان معناست که سوئیچ های vtp server علاوه بر تولید و ارسال بسته های vtp، بسته ها vtp دریافتی را پردازش و forward نیز می نماید. چنین شرایطی وقتی حاصل می شود که بیش از یک سوئیچ vtp server با هدف افزونگی Redunancy وجود داشته باشد.
3- Vtp transparent : این سوئیچ ها، سوئیچ های مستقلی هستند که اطلاعات vlan در آنها به صورت مجزا تعریف می شوند . این سوئیچ ها بسته های vtp دریافتی را پردازش نمی کند. این بدان معناست که اطلاعات vlan شبکه را فرا نمی گیرند، اما در عین حال بسته های vtp دریافتی را forward می نماید تا سوئیچ های سطوح پایین تر شبکه ، بسته های vtp دریافت نمایند، به همین دلیلی این سوئیچ ها Vtp transparent را می نامیم.
Vtp Domain Name :
Vtp Domain Name محدوده عملکرد پروتکل vtp را مشخص می کند. اگر شبکه به چنین مدیریت مستقل تقسیم شود، هر بخش به صورت مستقل و با Domain Name های متفاوت مدیریت خواهد شد. تمام سوئیچ هایی که در محدوده vtp یکسان هستند، باید Vtp Domain Name آن ها یکسان باشد.
برای این منظور مراحل زیر را دنبال کنید.
1- ایجاد لینک trunk بین سوئیچ ها
2- کانفینگ vtp روی سوئیچ
3- ساخت vlan در سوئیچ vtp server
4- مانیتورینگ سوئیچ ها
اما چه کاری قرار است انجام شود؟ می خواهیم یک vtp Domain ایجاد کنیم. یک سوئیچ را به عنوان vtp server و 3 تا را به عنوان vtp client و یکی را به عنوان vtp transparent در نظر می گیریم.سپس در سوئیچ سرور یک vlan ایجاد می کنیم و در پایان می بینیم که این vlan در سوئیچ های کلاینت هم ساخته می شود بدون اینکه دستوری در سوئیچ های کلاینت وارد کنیم.
اینترفیس 0/1 و 0/2 در سوئیچ سرور ، اینترفیس 0/1 در سوئیچ client1 و اینترفیس 0/2 و 0/3 در سوئیچ transparent ،trunk می شوند.
جلسه هفدهم
امن کردن پورتهای سوئیچ (port security) :
پشت هر سیستمی ، هر کسی می تواند بنشیند و هر سیستمی ، مک آدرس مخصوص خودش دارد. به هر سیستمی ،یک پورت سوئیچ میدهیم و می گوییم فقط این مک آدرس سیستم به سوئیچ وصل است و غیر از این مک آدرس به سیستم وارد شد ،پورت سوئیچ را خاموش کن.
جای پورتهای pc0 و pc2 را عوض کنید و معلوم می شود سیستم ها با همدیگر ارتباط برقرار نمی کنند.
پورت 0/4 در سوئیچ که به روتر وصل است را trunk کنید.
Inter Vlan Routting :
کامپیوترهایی که در دو vlan مختلف هستند، قادر به ارتباط در لایه 2 با یکدیگر نیستند. زیرا بسته های ARP که ماهیت broad cast دارد، از vlan خارج نمی شود . ازطرفی ARP پایه ارتباطات شبکه Ethernet است. لذا از روتر، که در لایه 3 کار forwarding را به عهده دارد، برای برقراری ارتباط بین دو vlan استفاده می کنیم.
در هر vlan، کامپیوترهایی برای برقراری ارتباط با دیگر vlan ها که آدرس subnet آنها متفاوت است.بسته packet را تحویل روتر می دهد. روتر ترافیک را از vlan مبدا به vlan مقصد هدایت می کند.(inter vlan routting)
inter vlan routing به درستی در این سناریو قبل اجرا شده است. اما در این سناریو به ازای هر vlan شبکه یک اینترفیس روتر باید در همان vlan قرار گیرد که در عمل امکان پذیر نیست. این بدان دلیل است که تعداد اینترفیس های روتر محدود است. برای رفع این مشکل بین سوئیچ و روتر تنها از یک لینک trunk استفاده می شود تا ترافیک همه vlan ها را عبور دهد.
Inter vlan با ابزار لایه 3 روتر:
در این شکل تنها از یک لینک بین روتر و سوئیچ شبکه و از نوع trunk در نظر گرفته شده است. این لینک ترافیک همه vlan های شبکه را عبور می دهد. هر vlan برای ارتباط با vlan دیگر ، ترافیک خود را به روتر تحویل می دهد. بدیهی است که سوئیچ ها فریم را در vlan مبدا به روتر تحویل می دهند. روتر براساس آدرس ip مقصد، مسیریابی می کند. روتر با توجه به آدرس IP مقصد ، برچسب vlan مقصد را به فریم اضافه می کند و سپس دوباره بسته را تحویل سوئیچ مقصد می دهد. به این ترتیب فریم از vlan مبدا به vlan مقصد هدایت می شود. رابطه بین vlan و subnet باید در روتر تعریف شود تا روتر قادر باشد، با توجه به آدرس IP مقصد برچسب vlan مقصد را به فریم اضافه کند. این رابطه توسط مدیر شبکه روی روتر تعریف می شود.
اول اینکه روتر به عنوان gateway همه vlan ها نقش بازی می کند. از آنجایی که هر vlan در subnet مجزایی است، چگونه می توان آدرس gateway مربوط به subnet های مختلف را به یک اینترفیس فیزیکی تخصیص داد؟ راه حل suninterface است.
دوم اینکه روتر چگونه از روی آدرس IP مقصد بسته دریافتی ،شماره vlan مقصد را تشخیص می دهد؟ این رابطه باید توسط مدیر شبکه روی روتر تعریف شود.
Subinterface : تنها یک اینترفیس روتر به شبکه متصل می شود.اینترفیس از نوع trunk تعریف می شود.چگونه روی یک اینترفیس ، آدرس gateway مربوط به چندین subnet تخصیص داده می شود؟
هر اینترفیس فیزیکی Ethernet (FastEthernet و بالاتر) را می توان به هر تعداد اینترفیس مجازی با همان خصوصیات تبدیل کرد که به آن SubInterface گفته می شود. SubInterface دقیقا همانند یک اینترفیس فیزیکی عمل می کنند و همان خصوصیات را دارند. همان طور که به یک اینترفیس فیزیکی آدرس IP تخصیص می دهیم، به تمام SubInterface ها نیز می توان به صورت مستقل آدرس IP اختصاص داد.
در ضمن در هر SubInterface، شماره vlan مرتبط با subnet را تعریف می کنیم.برای تبدیل یک اینترفیس فیزیکی به چندین SubInterface به روش زیر عمل می کنیم.
Interface fastethernet 0/0.1
پیکربندی روتر برای پیاده سازی Inter-VLAN Routing
جلسه نوزدهم : افزایش پهنای باند ( Aggregation or Ether channel)
پروتکل PAGP :
PAgP مخفف (Port Aggregation Protocol)است این پروتکل انحصاری و مربوط به شرکت CISCO می باشد. در صورتی که می توانید از این پروتکل استفاده کنید که تجهیزات دو طرف شما مربوط به شرکت CISCO باشد. وظیفه این پروتکل مدیریت و برقراری ارتباط کانال Ether channel می باشد.
پروتکل LACP :
LACP مخفف (Link Aggregation Control Protocol)است این پروتکل انحصاری و مربوط به شرکت CISCO نمی باشد. در صورتی که می توانید از این پروتکل استفاده کنید که تجهیزات دو طرف شما مربوط به شرکت مختلف باشد. وظیفه این پروتکل مدیریت و برقراری ارتباط کانال Ether channel می باشد.
مد عملیاتی PAgP:
Mode Auto: در این مد هیچ پیام PAgP از طرف اینترفیس ارسال نمی شود ولی آماده پاسخگویی به پیام های PAgP سوئیچ مقابل می باشد و قادر به آغاز negotiation (مذاکره) ، مذاکره PAGP نیستند.
مد Desirable :
در این مد اینترفیس پیام های PAGP را ارسال می کند و قادر به آغاز negotiation است.
مد عملیاتی LACP :
مد Passive :
در این مد هیچ پیام LACP از طرف اینترفیس ارسال نمی شود ولی آماده پاسخگویی به پیام های LACP سوئیچ مقابل می باشد و قادر به آغازLACP negotiation نیستند.
مد Active :
در این مد اینترفیس پیام های LACP را ارسال می کند و قادر به آغاز negotiation است.
در این سناریو از پروتکل PAgP استفاده کردیم.
در این سناریو از پروتکل LACP استفاده می کنیم.
35