Context-Based Firewall - Part 1

سلام و عرض ادب خدمت عزیزان شبکه دوست ...

شکی نیست که ماه گذشته را همراه با سئوالات شما و طراحی هایی که خواسته بودید گذراندم . بسیار خوب بود که خودمان هم مجبور به کار بر روی تکنولوژی های جدید شبیه سازی و چالش هایش شدیم که حالش را بردیم . در ادامه بنا به درخواست تنی چند از عزیزان مبنی بر توضیح پیرامون مباحث امنیتی فایروال در روتر دو عکس با توضیحات کامل برایتان آپ می کنم . بدیهی است دوستانی که دوره CCIE را می گذرانند به خوبی می دانند که وقوف به مباحث این عکس ها بخصوص Context-Based Firewall در اکثر سناریوهای امنیتی خودش چالشیست که خیلی ها بدان آگاه نیستند و برای همین نمی توانند Lab ها را درست حل کنند . در آخر بگم که اگر به این عکس توجه نمایند بخوبی می توانند لااقل به سئوالات Lab ها در این خصوص به درستی پاسخ دهند . فدای همه ی شماها و آرزومند موفقیت هایتان . یا حق

Filtering On Route Tag

سلام و عرض ادب حضور دوستان فرهیخته و ارجمندم ...

بعد از هفته ی سختی که گذشت ، فرصتی دست داد تا به سراغ پاسخگویی به سئوال های شما عزیزان بنشینیم . مثل هفته های گذشته کلا همه گیر دادند به روتینگ و به خصوص مباحث فیلترینگ . البته اغلب این دوستان مدعی بودند کلاس های زیادی رفته اند و شکایت از اینکه استادان هنگام رسیدن به این مباحث موارد را پیچاندند و از این حرف ها ؟! البته صرف نظر از اینکه همه هم دانشجوی درس خوانی نیستند ، استادانی را هم دیده ام که هنوز یکبار MPLS ران نکرده اند و در عمرشان 10 تا route-map ننوشته اند ولی دارند CCIE درس می دهند . قبول دارم که بعضی از طرفین استادان و دانشجویان گندشو درآورده اند ولی به نظر من اینها بهانه ایست برای یاد نگرفتن ... یک دانشجوی خوب کسی که تحقیق کند و تلاش بسیار نماید . اینو تو شبکه به خصوص از روزی فهمیدم که برای اولین بار از یکی از استادانم گله کردم و محترمانه خواستم تا سرفصل های کلاسش را رعایت کند . بعد از آن با وجود اینکه هنوز هم ایشون را دوست دارم تا کنون روی هیچ کدام از یادداشت های علمی امروزه ی بنده کوچکترین لایک یا حتی گله ای و تاییدیه ای مطرح نکرده اند . دوستان اینو بدونید به محض اینکه پیشرفت کنید یکتا می شوید و سزای یکتایی ، تنهاییست . اگه با تنهایی مشکل دارید لطفا دور علم را خط بکشید... خوب درد دل کافیه ... سئوال شما در مورد سناریوی route tag و filtering بوده که بنده با طراحی سناریویی ساده و کارا با ارائه ی کدهای کامل آنرا تقدیمتان می کنم . پس از طراحی در gns3 به راحتی می توانید عمل تگینگ را انجام داده و از هیچ چیز نترسید . به هر حال این پاسخی بود به چیزی که شما خواسته اید . امید که راهگشا باشد . فدای همه ی شماها. یا حق

Policy Based Routing : Part 2

با عرض سلام همیشگی حضور عزیزان و مهربانانم ...

مصداق پاسخگویی به سئوالات عزیزان ؛ عرض کنم که کلا تریپ روتینگ هنوز ادامه دارد . برایم من جالبه که همگی مشکلاتشون بر سر مهم ترین مباحث هم هست . یعنی route filtering / route-map / Access-list / PBR / SLA / routing protocol tune / policy و مطالبی از این قبیل .روی من با استادان است ... تو را به خدا صرفه نظر از اینکه کلاس هایتان دارای شاگردان مستعد هست یا نه ، هنگامی که به این مطالب رسیدید به شاگردانتان کمک کنید و به آنان خوب بیاموزانید . دیده شده است که حتی بعضی از استادان هم خودشان هنوز در این مورد مشکل دارند چرا که هنگامی که بر سر کلاس های CCIE کنارشان می نشینیم وقتی استاد مربوطه می خواهد یه روت را فیلتر کند ، همه شان خودشان را جمع و جور می کنند . پس همگی بدانیم همه ی این مسیر ، سراسر نیاز به افتادگی دارد و سراسر تحقیق است . امید که پند های اینچنینی ام کسی را نرنجاند . امید که تندی صراحت بیان مرا به صداقت مستتر در آن ببخشایند ... این سناریو ها در مبحث PBR یا policy based routing بوسیله route-map طراحی شده است . مشابه این طراحی را بر سر کلاس های زیادی تجربه کرده ام که مفید است . در 2 پارت ارائه شده است . امید که مفید باشد چرا که این پاسخی به آنچه شما درخواست کرده بودید است . فقط اشاره کنم که route-map بر روی ترافیک هایی عمل می کند که از روتر می گذرد . در واقع روتر مزبور برای ترافیک مزبور Transit خواهد بود و policy برای ترافیک هایی که مبدا آنها خود روتر originator باشد اعمال نخواهد شد . اگر بخواهید این عمل اتفاق بیافتد باید از دستور : ip local policy route-map BBR استفاده کنید . فدای همه ی شماها ... در خاتمه از یکی از استاد با اخلاق جناب مهندس اسدپور تشکر می کنم . امید که هر کجا باشند سربلند و موفق باشند . یا حق

PBR - Policy Based Routing : Part 1

سلام مجدد ...

آقا دلم نازکه ... دلم نیومد که Part 3 رو نزارم . مربوط به ترافیک های originate شده از خود روتر Transit هست . گفتیم route-map برای اعمال خود ، فقط بر روی ترافیک های در حال گذر از روتر نظر دارد . اگر آدرس ترافیکی به سمت روتر transit باشد policy بدان اعمال نخواهد شد . برای این کار باید ضمن نوشتن ACL و Route-map جدید ، بوسیله ی دستور : ip local policy route-map PBR آنرا در محیط Global روتر اعمال کنید تا بر روی اینگونه ترافیک ها policy اعمال شود . فدای همتون . یا حق

IP SLA : Route-Map

دوستان ارجمندم ...

این سناریوی دوم و پایانی در خصوص روتینگ تا مباحث BGP می باشد . سناریوی حاضر SLA همراه با کاربرد Route-map می باشد . کوتاه سخن اینکه کامل و همراه با کدهای لازمه طراحی شده اند . امید که مفید واقع گردد . فدای همتون . یا حق

Service-level Agreement

دوستان عزیزم ...

دوری از شماها برایم عذابیست. بخصوص هنگامی که خالصانه کنارتان نیستم تا پاسخگویی بی ادعا برای سئوالات باشم . از آن جایی که همه ی شماها فهمیدید که من آدم دل نازکی هستم خواستم که حق مطالب را برای پرسش های روتینگ ادا کنم . در 2 پست ، سناریوهایی در مباحث Routing زیر شاخه ی PBR یا Policy-based Routing و SLA یا service-level Agreement همراه با زیر شاخه ی Static route و route-map برایتان طراحی کردم . این سناریو ها کامل هستند و با کدهای مربوطه ارائه شدند چرا که پاسخی به پرسش هایی بوده است که با بنده مطرح فرمودید . این سناریو SLA / Static می باشد . امید که مفید واقع شود . در خاتمه پرسش های جدید پیرامون مباحث BGP بودند که تلاش می کنم به سرعت پاسخ بدهم .  یا حق

Cisco EtherChannel L3

سلام دوستان ارجمندم ...

قسمت دوم : Etherchannel L3 - لایه 3

SW1 etherchannel L3 configuration

............

برای سوییچ اول :


SW1# configure terminal

SW1(config)# interface port-channel 1

SW1(config-if)# no switchport

SW1(config-if)# ip address 172.16.1.11 255.255.255.0

SW1(config-if)# end

SW1# configure terminal

SW1(config)# interface range fastethernet0/0 -2

SW1(config-if-range)# no switchport

SW1(config-if-range)# no ip address

SW1(config-if-range)# channel-group 1 mode desirable

SW1(config-if-range)# end

.......................


SW2 etherchannel L3 configuration

................

برای سوییچ دوم :

SW2# configure terminal

CSW2(config)# interface port-channel 1

SW2(config-if)# no switchport

SW2(config-if)# ip address 172.16.1.12 255.255.255.0

SW2(config-if)# end

SW2# configure terminal

SW2(config)# interface range fastethernet0/0 -2

SW2(config-if-range)# no switchport

SW2(config-if-range)# no ip address

SW2(config-if-range)# channel-group 1 mode auto

SW2(config-if-range)# end

این هم تنظیمات مربوط به اترچانل لایه 3 که براتون آپ کردم . انشاالله مشکلاتتون حل شده باشه . فدای همتون . یا حق

Cisco EtherChannel L2

سلام دوستان ارجمندم ...

در حال دسته بندی برای پاسخ به سئوالات BGP بودم که دیشب یکی از دوستان خارجیمون در گروه فیس بوک CCNA سئوالی رو در خصوص کانفیگ Etherchannel در لایه های 2 و 3 , L2/3 پرسیده بودند که چون احساس کردم ممکنه برای دوستان هم وطن خودم هم مفید باشد آنرا بدین صورت پاسخ می دهم .

SW1 etherchannel L2 configuration
...
برای سوییچ اول :

SW1# configure terminal

SW1(config)# interface range fastethernet0/0 -2

SW1(config-if-range)# switchport mode access

SW1(config-if-range)# switchport access vlan 10

SW1(config-if-range)# channel-protocol lacp

SW1(config-if-range)# channel-group 1 mode active

..................................


SW2 etherchannel L2 configuration
...
برای سوییچ دوم :

SW2# configure terminal

SW2(config)# interface range fastethernet0/0 -2

SW2(config-if-range)# switchport mode access

SW2(config-if-range)# switchport access vlan 10

SW2(config-if-range)# channel-protocol lacp

SW2(config-if-range)# channel-group 1 mode passive

این کانفیگ مریوط به اترچنل لایه 2 است که امید مشکلتونو حل کرده باشه . در یادداشت بعدی اترچنل لایه 3 را ارئه می دم . فدای همتون . یا حق

آموزش ویدئویی فارسی Cut Through Proxy روی ASA Firewall - پیشرفته

با سلام حضور دوستان فرهیخته ام ...

بعد از ماه ها انتظار شما عزیزان ، بالاخره آموزش مبحث بسیار مهم Cut Through Proxy روی فایروال ASA تهیه شده و از پیاده سازی شده ی آن ، ویدئو تهیه و آماده ی ارائه به شما گرامیان می باشد . در این سناریو سعی برآن شد تا ضمن ارائه تعاریفی عملی برای Proxy ، در ادامه به شکل عملی ، مبحث AAA در Security سیسکو را آموزش دهیم ؛ چالش های پیاده سازی به شکل Real Time و بر طرف ساختن مشکلات لحظه ای ؛ فیلم مربوطه را بسیار علمی و دیدنش را هیجان انگیز کرده است . در این پیاده سازی بر روی توانایی های Cisco ACS متمرکز بوده و  کلیه ی Feature های مورد نیاز مربوط به این پیاده سازی را آموزش داده و تحلیل کرده ایم .

BGP Attributes and Route Selection Process

دوستان عزیزم ، سلام ...

دوباره در خصوص مباحث مربوط به BGP سئوال داشتید بخصوص مبحث BGP Attributes and Route Selection Process که بسیار مهم است . خواستم توضیح کامل آنرا به فارسی ارائه کنم که پس از جستجو در وب دیدم نویسنده ای به زبان انگلیسی حق مطلب را کامل ادا کرده است .