Service-level Agreement

دوستان عزیزم ...

دوری از شماها برایم عذابیست. بخصوص هنگامی که خالصانه کنارتان نیستم تا پاسخگویی بی ادعا برای سئوالات باشم . از آن جایی که همه ی شماها فهمیدید که من آدم دل نازکی هستم خواستم که حق مطالب را برای پرسش های روتینگ ادا کنم . در 2 پست ، سناریوهایی در مباحث Routing زیر شاخه ی PBR یا Policy-based Routing و SLA یا service-level Agreement همراه با زیر شاخه ی Static route و route-map برایتان طراحی کردم . این سناریو ها کامل هستند و با کدهای مربوطه ارائه شدند چرا که پاسخی به پرسش هایی بوده است که با بنده مطرح فرمودید . این سناریو SLA / Static می باشد . امید که مفید واقع شود . در خاتمه پرسش های جدید پیرامون مباحث BGP بودند که تلاش می کنم به سرعت پاسخ بدهم .  یا حق

Cisco EtherChannel L3

سلام دوستان ارجمندم ...

قسمت دوم : Etherchannel L3 - لایه 3

SW1 etherchannel L3 configuration

............

برای سوییچ اول :


SW1# configure terminal

SW1(config)# interface port-channel 1

SW1(config-if)# no switchport

SW1(config-if)# ip address 172.16.1.11 255.255.255.0

SW1(config-if)# end

SW1# configure terminal

SW1(config)# interface range fastethernet0/0 -2

SW1(config-if-range)# no switchport

SW1(config-if-range)# no ip address

SW1(config-if-range)# channel-group 1 mode desirable

SW1(config-if-range)# end

.......................


SW2 etherchannel L3 configuration

................

برای سوییچ دوم :

SW2# configure terminal

CSW2(config)# interface port-channel 1

SW2(config-if)# no switchport

SW2(config-if)# ip address 172.16.1.12 255.255.255.0

SW2(config-if)# end

SW2# configure terminal

SW2(config)# interface range fastethernet0/0 -2

SW2(config-if-range)# no switchport

SW2(config-if-range)# no ip address

SW2(config-if-range)# channel-group 1 mode auto

SW2(config-if-range)# end

این هم تنظیمات مربوط به اترچانل لایه 3 که براتون آپ کردم . انشاالله مشکلاتتون حل شده باشه . فدای همتون . یا حق

Cisco EtherChannel L2

سلام دوستان ارجمندم ...

در حال دسته بندی برای پاسخ به سئوالات BGP بودم که دیشب یکی از دوستان خارجیمون در گروه فیس بوک CCNA سئوالی رو در خصوص کانفیگ Etherchannel در لایه های 2 و 3 , L2/3 پرسیده بودند که چون احساس کردم ممکنه برای دوستان هم وطن خودم هم مفید باشد آنرا بدین صورت پاسخ می دهم .

SW1 etherchannel L2 configuration
...
برای سوییچ اول :

SW1# configure terminal

SW1(config)# interface range fastethernet0/0 -2

SW1(config-if-range)# switchport mode access

SW1(config-if-range)# switchport access vlan 10

SW1(config-if-range)# channel-protocol lacp

SW1(config-if-range)# channel-group 1 mode active

..................................


SW2 etherchannel L2 configuration
...
برای سوییچ دوم :

SW2# configure terminal

SW2(config)# interface range fastethernet0/0 -2

SW2(config-if-range)# switchport mode access

SW2(config-if-range)# switchport access vlan 10

SW2(config-if-range)# channel-protocol lacp

SW2(config-if-range)# channel-group 1 mode passive

این کانفیگ مریوط به اترچنل لایه 2 است که امید مشکلتونو حل کرده باشه . در یادداشت بعدی اترچنل لایه 3 را ارئه می دم . فدای همتون . یا حق

آموزش ویدئویی فارسی Cut Through Proxy روی ASA Firewall - پیشرفته

با سلام حضور دوستان فرهیخته ام ...

بعد از ماه ها انتظار شما عزیزان ، بالاخره آموزش مبحث بسیار مهم Cut Through Proxy روی فایروال ASA تهیه شده و از پیاده سازی شده ی آن ، ویدئو تهیه و آماده ی ارائه به شما گرامیان می باشد . در این سناریو سعی برآن شد تا ضمن ارائه تعاریفی عملی برای Proxy ، در ادامه به شکل عملی ، مبحث AAA در Security سیسکو را آموزش دهیم ؛ چالش های پیاده سازی به شکل Real Time و بر طرف ساختن مشکلات لحظه ای ؛ فیلم مربوطه را بسیار علمی و دیدنش را هیجان انگیز کرده است . در این پیاده سازی بر روی توانایی های Cisco ACS متمرکز بوده و  کلیه ی Feature های مورد نیاز مربوط به این پیاده سازی را آموزش داده و تحلیل کرده ایم .

BGP Attributes and Route Selection Process

دوستان عزیزم ، سلام ...

دوباره در خصوص مباحث مربوط به BGP سئوال داشتید بخصوص مبحث BGP Attributes and Route Selection Process که بسیار مهم است . خواستم توضیح کامل آنرا به فارسی ارائه کنم که پس از جستجو در وب دیدم نویسنده ای به زبان انگلیسی حق مطلب را کامل ادا کرده است .

eBGP-MultiHop

عرض ادب به حضور دوستان ارجمندم

 سئوال بعدی در مورد این بوده است که دوستان نوشته اند که می دانند پروسه ی BGP و Run کردن آن مابین دو روتر بصورت عادی ساده است ولی بیشتر در مورد زمانی که مابین دو روتر بیشتر از یک لینک وجود دارد ... مثل شکل ارائه شده ... و بوسیله ی LoopBack ها ، پروسه ی BGP توجیه داره رو خواسته بودند ... و اینکه پشت پروسه ی eBGP-Multihop چه فرایندی اتفاق می افتد . چرا از این دستور استفاده می شود ، ماحصل خواسته ی آنها بود ... راستش سئوالشون خیلی طولانیه و از حوصله ی من ، خارج . ولی تلاشمو می کنم ...

یادآوری نکته اول :
باید یادمان باشد مواردی که باید رعایت شوند تا همسایگی و مجاورت ما بین روترها اتفاق بیافتد کدامند ؟ ... لطفا خودتان از صفحه 426 کتاب CCNP - Route مطالعه فرمایید .

یادآوری نکته دوم :
در BGP ما Load sharing نداریم . بهترین مسیر همیشه یک مسیر است که بر اساس Policy انتخاب می گردد. لطفا با PBR اشتباه نشود .

.............

راه حل در خصوص زمانی که ما بین دو روتر 2 تا لینک داریم :

اول :
ابتدا باید روی روترهایی که 2 تا لینک دارند ، یک اینترفیس LoopBack ایجاد کنیم .

دوم :
BGP را باید بین LOOPBack ها RUN کرد .

سوم :
و به روترها بگوییم که ترافیک شان را با سورس LoopBack ها بفرستند .

چهارم :
در صورتیکه از IGP استفاده نکنید ، حتما لوپ بک ها همدیگر را نمی بینند و پینک نمی شوند . لذا باید بوسیله روت استاتیک یا IGP ، ارتباط را هندل کرد و در این میان بخاطر وجود روت استاتیک مثلا Load share اتفاق می افتد . یعنی لوپ بک ها برای دیدن همدیگر از هر دو مسیر استفاده می کنند .

نکته مهم :

یعنی پاکت های BGP روی هر دو مسیر بوسیله ی IGP ارسال می شوند و نه BGP .

خوب ...

پس تا اینجا BGP را ما بین لوپ بک ها ران می کنیم ولی باز هم همسایگی تشکیل نمی شود . چون درست است که BGP برای تشکیل همسایگی نیازی ندارد تا روترها Connected باشند ولی در اینجا بطور استثناء در eBGP ، بطور پیش فرض باید همه همسایه هایش Connected باشند مگر اینکه اگر همسایه ها Connected نیستند باید صریحا اعلام شود . لذا از دستور ذیل استفاده می کنیم :

Neighbor 1.1.1.1 ebgp-multihop 2

خوب ...

حالا بعد از زدن دستور فوق همسایگی تشکیل می شود . این پاسخ تا اینجای سئوال دوستان ؛حالا بعضی ها در مورد پروسه ی علمی پشت دستور بالا ، سئوال داشتند که بدین صورت پاسخ می دهم :

...
در پیکربندی روترها در سناریویی با 2 لینک از لوپ بک ها استفاده می شود که شرح داده شد . فقط بدانید که بطور پیش فرض ، هنگامی که روتر ها ، قصد ارسال یک پاکت به سمت روتر همسایه ی eBGP داشته باشند ، مقدار فیلد TTL را برابر با عدد 1 قرار می دهند و همین تنظیمات پیش فرض است که همسایگی ما بین روترها را Down می کند ؛ چون در صورتیکه پاکتی با TTL برابر 1 به دست روتر همسایه برسد ، روتر مزبور آنرا یک واحد کاهش داده و به صفر تبدیل می کند . آن پیام ، قبل از پردازش ، Discard می شود و از بین می رود و راه حل ، اجرای دستور eBGP - Multihop است تا مشکل حل شود . در واقع این دستور روترها را مجبور می کنند تا TTL مربوط به پاکت های ارسالی را به جای عدد 1 ، به عدد 2 مثلا Set کنند . بنابراین روتر مربوطه پس از دریافت آن و کاهش یک واحدی از TTL ، می تواند پیام را به سمت LoopBack خود ، ارسال نماید ...

آخ ... پدرم در اومد ...
این هم جواب سئوالی که خواسته بودید . راستی دوستان . سر جدتون قسم . بابا جانم . یه کمی هم به کتاب ها نظری بیافکنید بد نیست به خدا ... امید که بکارتون بیاد . البته این جوابیه ، جز موارد محض دانش شبکه است  ؛ ولی دانستنش برای استادان و طراحان الزامیست . فدای همه شماها . یا حق

لینک برای تحقیق و مطالعه بیشتر :

http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a00800c95bb.shtml

آموزش تصویری مباحث پیشرفته ی Advanced BGP

با سلام به حضور دوستان شبکه دوست

 

یکبار دیگر بر اساس ایمیل های دریافتی از شما عزیزان بر آن شدم به منظور بر طرف سازی مشکلات شما عزیزان اقدام به پیاده سازی یک سناریوی کامل پیرامون مباحث مهم و حرفه ای BGP بنمایم که هم اکنون فیلم پیاده سازی آن تهیه شده و آماده عرضه به دوستان می باشد . شکی نیست که مطالب ارائه شده در این ویدئوی آموزشی را در هیچ کلاس آموزشی عمومی ، نمی توان یافت . چرا که نه تنها جز سرفصل آموزشی خیلی جاها نیست ، بلکه اساسا مبحث BGP بسیار حرفه ای و دشوار همچنین پر مطلب می باشد و زمان آن کلاس ها ، اجازه ی تدریس همه مطالب را به استادان فن ، نمی دهد . در خاتمه امید است که با استفاده از این آموزش تصویری ، حداکثر استفاده علمی را از آن بنمایید .

 

Ali Kasraei - Cisco internal BGP : iBGP Part 1

 

 

 

Ali Kasraei - Cisco internal BGP : iBGP - Part 2

 

 

 

Ali Kasraei - Cisco internal BGP : iBGP - Part 3

 

 

 

Cisco Firewall - ASA FAQ

بسیار خوب ... بنده تمام 2 ماه گذشته رو صرف و سرگرم طراحی سناریوهای امنیتی بودم . خلاصه همان توهم امنیتی همیشگی ؛ تازه میان اون توهم ؛ مجبور به پاسخگویی به سئوالات Routing هم بودم . ولی خوشبختانه دارم می بینم که توی فیس بوک هم همه توهم امنیتی زدند . برای اینکه ماهم عقب نمانیم ؛ گفتیم به چند تا سئوالی که برام ایمیل شده بود جواب دهم :
.....
سئوال اول : در مورد ریفرنس های فایروال CCNP :

باید بگم که CCNP Security Firewall با کد 617-642 ارائه شده بود که پر از اغلاط تکنیکی و علمی بود . در نگارش بعدی ؛ کد آن به 618-642 تغییر کرد که در آن غیر از اصلاح موارد مذکور ؛ بعضی از مسائل علمی جدید اضافه شد . مانند ارائه کانفیگ های NAT در ورژن های ASAی 8.2 و 8.3 به بعد ... همینطور مبحث Etherchannel و غیره ... در مورد VPN هم تغییر کد به صورت 642-648 انجام شده است . خلاصه حواستون باشه . سایت سیسکو همه ی این موارد رو توضیح داده است . حتما برید یه سری بزنید .
.....
سئوال دوم : در مورد ساخت ID سیسکو در سایت سیسکو :

باید عرض کنم که جواب مثبت است . همه می توانند در سایت سیسکو آی-دی بسازند . لطفا از V...P...N استفاده کنید .
.....
سئوال سوم : در مورد DNS Doctoring در ASA :

باید بگم که این امکان علمی عالی در ASA وجود دارد و معنی آن اینست که هنگامی که از وجود سرورهای DNS در شبکه مان بهره مند هستیم با استفاده از آن ، مقصدها از محیط اینترنت هنگام اتصال به آی پی های VALID آن سایت ؛ آدرس مربوطه را به آدرس داخلی و حقیقیه آن تبدیل می کنند . پس در اصل بوسیله ی آن به ASA می گوییم که ترافیک های DNS را نگاه کند و ادامه داستان .
.....
سئوال چهارم : در خصوص ماژولار پالیسی فریم ورک و ACL :

در مورد انتخاب IP ؛ بعد و قبل از اعمال ACL به اینترفیس ها ... باید عرض کنم که اگر ACL را هنگام ورود اعمال کنیم ؛ ACL ، آی پی قبل از NAT را عملیاتی می کند و اگر در موقع خروج اعمال شود ، ACL ، آی پی بعد از NAT را عملیاتی می کند . فقط اینو اضافه کنم که در IOS 8.3 به بعد ؛ همیشه Real IP ی سرور را قبول می کند و اینترفیس خروجی و یا ورودی فرقی در دستور و اعمال آن ندارد .

سئوال پنجم : در خصوص ASA و اینکه کجاها نباید NAT پیاده سازی شود ؟

در 3 جا نباید NAT پیاده سازی شود :

اول ) در جاهایی که کل ترافیک ؛ بصورت End to End ، رمز شده یا Encrypted هست . چون دستگاه NAT کننده نمی تواند آنرا NAT کند .

دوم ) در جایی که در ترافیک ها ؛ کل پاکت ها ، Authenticate می شود . مانند BGP که در برقراری ارتباط بصورت دوطرفه ، هر دو سمت ، بوسیله ی Hash پاکت ها ، همدیگر را Authenticate می کنند . حالا اگه توی مسیر NAT انجام بشه و آدرس ها Translate بشوند ، Authentication سمت مقابل به درستی انجام نمیشه و اتصال BGP آپ نخواهد شد .

سوم ) در جایی که IP ی مبدا و مقصد ، در لایه ی App ذخیره شود . مانند ترافیک های FTP . چرا که هنگامی که Reply از FTP بر می گردد ؛ در اصل به آی پی یی که در Header لایه ی App هست ، Reply داده می شود و نه Header آی پی . پس چون IP InValid از اینترنت به درستی دیده نمی شود ؛ ارتباط به درستی بر قرار نخواهد شد .
.....
سئوال ششم ) در خصوص راه حل مربوط به سئوال پنجم :

برای هر 3 مورد بهتر است از راه حل NAT Exemption استفاده کنیم و یا بوسیله ی Application NAT ؛ به NAT بگوییم که غیر از هدر IP ، هدر لایه ی App ؛ یا به اصطلاح هر دوی آنها را Translate کند . فقط حواستون باشه که چون ASA به اصطلاح Application Ever NAT است ، App را درک می کند و NAT را هم درک می کند . پس به راحتی سرور FTP از داخل و بیرون شبکه مان دیده می شود . ولی اگر بجای ASA از Router استفاده کنیم ، ارتباط FTP برقرار نمی شود .
.....
سئوال هفتم ) در مورد Outside NAT هست . که خواستند بگم یعنی چی ؟

جوابش که خیلی راحته . یعنی اگر از سمت LAN1 با آدرس X بخواهیم به مثلا LAN2 با همان آدرس X ؛ که مابین آنها یک اتصال WAN هست ، متصل شویم ، این NAT را Outside می گویند . یعنی برقراری ارتباط ما بین 2 شعبه با Range آدرس یکسان که باید دوطرفه هم باشد . همین .

..................

خوب دوستان . نیم دو جین سئوال دیگه هم برام رسیده و ایمیل شده که یک کم حالم بهتر بشه و حس اش بیاد براتون کاور می کنم . فدای همتون . یا حق

Cisco INE on IOU

با عرض سلامی دوباره ...

دوستان ارجمندم . یک سالیست که مشغول تحقیق و تدریس مجموعه ی لابراتوارهای INE ورژن جدید هستم . در همین وادی سیستم های IOU های بسیاری ، لابراتوارهای INE را ساپورت کرده بودند که خیلیهایشان کار نمی کردند و دوستان داخلی و خارجی بسیاری بودند که با توپولوژی آن بر روی IOU مشکل داشتند . چون همانطور که می دانید شناخت پورت ها و کل توپولوژی این رک ها کار مهمیست . از طرفی چون نوع پورتها در IOU ها با اشکال فیزیکال و غیره ی این کتابها تطابق ندارد . در کنار این مورد دیده شد که بعضی از سایتها اقدام به ارائه ی این توپولوژی ها کرده اند که خالی از اشکال نبود . لذا خوشحالم که ضمن برطرف سازی مشکلات کار آنها و همینطور کار خداپسندانه ی آنها ، عکس مربوطه را که شامل نمونه ی خالی از اشکال توپولوژی مبتنی بر IOU هست را تقدیم می کنم . خوب می دانم که همه ی دوستانی که در مقطع CCIE هستند با این مطلب مشکلات دارند . امید که رفع مشکل شده باشد . فدای دوست . یا حق

MicroSoft - WMIC

با سلام خدمت شما عزیزانم

چند روز پیش به دنبال دریافت چند ایمیل شیطنت آمیز در خصوص یک سئوال واحد مجبور شدم به آن پاسخ دهم . البته نمی دونم چرا بعضیا اینطوری عمل می کنند. خلاصه چون مطلب رو برای شماها عزیزانم هم مفید دیدم بیشتر دلم خواست تا براتون در موردش یه پست بزارم . مطلب در مورد تیتر این یادداشت هستش که مدل جدیدتر نسخه ی دابلیو-ام-آی می باشد

دوستان سئوال کرده بودند که دابلیو-ام-آی-سی چیست و چطوری میشه سید یوزرها رو مستقیما دید و مشاهده کرد ؟

...................

البته من خودم این مطلب رو بیشتر دز کلاس های امنیتی خودم میگم و کامل روش بحث می کنم . چند تا لینک برای مطالعتون ارائه می دم که خودتون بیشتر بخونید . آخه نیازی ندیدم توضیح واضحات بدم . ولی در پاسخ با این افراد شیطون یک عکس براتون آپ کردم . خوب ببینینش . شبیه سازی توسط خودم انجام شده .  بدردتون می خوره و جوابتون رو در اون میگیرید . فقط اینو بگم که اگر در حین عمل هک ، هکری بتونه بعد از مرحله ی ریکانیسنس و ... خلاصه یک شل کامل با قابلیت فول اکسس به دست بیاره ، با دیدن  سیدها ، روزگارتون سیاه میشه . البته هک سیستم بصورت داخلی و خارجی انواع و روش هایی دارد که از حوصله ی این پست خارج است . دستوراتی که براتون در تصویر گذاشتم کاملا گویا هستند . لطفا بعد از دیدن تصویر بنده و خوندن لینک های ذیل اگر باز هم سئوالی داشتید در خدمتتون هستم

فدای شما دوستان فرهیخته و مهربانم

لینک برای تحقیق و مطالعه بیشتر :

http://technet.microsoft.com/en-us/library/bb742610.aspx

http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/wmic.mspx?mfr=true

از اینکه نظرات و سئوالهای خود را با کلیک نمودن بر روی آیکون حباب ارائه می نمایید سپاسگزارم .