درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    اطلاعات دوره آموزشی
    اطلاعات مطلب
      مدرس/نویسنده
      صادق شعبانی
      امتیاز: 158963
      رتبه:9
      77
      91
      19
      404
      صادق شعبانی / ccna/ccnp/mcitp/ceh با توجه به استقبالی که از دوره سابنتینگ شده سیسکو آسان است شده و به حد نصاب رسیدن سوالاتی که دوستان پس از تهیه ویدیو ها ، براشون پیش اومده قصد دارم یک دوره ویدیوای رایگان پاسخ به سوالات و ابهامات مباحث سابنتینگ بذارم و به تک تک سوالاتی که دوستان چه بصورت کامنت یا پیام خصوصی پرسیدن ، جواب بدم . با خیالت راحت خرید کنید و سوالات فنی رو در قسمت کامنت ها بپرسید ، تا در دوره ویدیوای پاسخ به سوالات ، به همه اونها جواب داده بشه . ممنون از حمایت شما . اینجا جائی هست که با علاقه براش ویدیو تهیه میکنم و پاسخ به سوالات رو با علاقه بیشتر تر . پروفایل کاربر
      دوره های مرتبط
      دوره های توسینسو نصب ویندوز به روش Backup های مستقل از سخت افزار با Acronis True Image
      نصب ویندوز به روش Backup های مستقل از سخت افزار با Acronis True Image
      مدرس: میلاد فشی
      این دوره را در 4 قسط خریداری کنید
      دوره آموزشی سناریوهای کاربردی و متنوع در تجهیزات سیسکو با سهیل قاسمی
      دوره آموزشی سناریوهای کاربردی و متنوع در تجهیزات سیسکو با سهیل قاسمی
      مدرس: ُسهیل قاسمی
      این دوره را در 14 قسط خریداری کنید
      بهترین دوره آموزشی بین المللی +CompTIA Network در دنیا
      بهترین دوره آموزشی بین المللی +CompTIA Network در دنیا
      مدرس: محمد نصیری
      این دوره را در 64 قسط خریداری کنید
      با خرید این دوره مبلغ 41,760 تومان هدیه بگیرید
      آموزش جامع نصب و پیکربندی Network Monitor Cacti Server
      آموزش جامع نصب و پیکربندی Network Monitor Cacti Server
      مدرس: پوریا تعبدی
      این دوره را در 1 قسط خریداری کنید
      دوره آموزشی نصب ، راه اندازی و پیکربندی ایمیل سرور MDaemon
      دوره آموزشی نصب ، راه اندازی و پیکربندی ایمیل سرور MDaemon
      مدرس: علی آقامیری
      این دوره را در 10 قسط خریداری کنید
      با خرید این دوره مبلغ 5,445 تومان هدیه بگیرید
      آشنایی با زیرساخت های شبکه و پیکربندی کامل مودم های ADSL
      آشنایی با زیرساخت های شبکه و پیکربندی کامل مودم های ADSL
      مدرس: پوریا تعبدی
      این دوره را در 3 قسط خریداری کنید
      دوره آموزشی نصب ، راه اندازی و پیکربندی فایل سرور Serv-U
      دوره آموزشی نصب ، راه اندازی و پیکربندی فایل سرور Serv-U
      مدرس: کاظم تقندیکی
      این دوره را در 11 قسط خریداری کنید
      دوره آموزشی نرم افزار ریموت دسکتاپ Team Viewer
      دوره آموزشی نرم افزار ریموت دسکتاپ Team Viewer
      مدرس: صادق شعبانی
      این دوره را در 3 قسط خریداری کنید
      دوره آموزشی مقدماتی نرم افزار Wireshark
      دوره آموزشی مقدماتی نرم افزار Wireshark
      مدرس: محمد عابدینی
      این دوره را در 8 قسط خریداری کنید
      دوره آموزشی نصب و راه اندازی Output Messenger در شبکه
      دوره آموزشی نصب و راه اندازی Output Messenger در شبکه
      مدرس: آرش ترابی
      این دوره را در 3 قسط خریداری کنید
      دوره آموزشی تخصصی مانیتورینگ شبکه Zabbix در لینوکس
      دوره آموزشی تخصصی مانیتورینگ شبکه Zabbix در لینوکس
      مدرس: مجتبی اسمائی
      این دوره را در 25 قسط خریداری کنید
      با خرید این دوره مبلغ 7,425 تومان هدیه بگیرید
      دوره آموزشی تجزیه و تحلیل ترافیک شبکه با Wireshark
      دوره آموزشی تجزیه و تحلیل ترافیک شبکه با Wireshark
      مدرس: محمد عابدینی
      این دوره را در 5 قسط خریداری کنید
      دوره آموزشی بین المللی MCSA ویندوز سرور 2012 کد 70-410
      دوره آموزشی بین المللی MCSA ویندوز سرور 2012 کد 70-410
      مدرس: اسحاق احمدپور
      این دوره را در 37 قسط خریداری کنید
      با خرید این دوره مبلغ 33,880 تومان هدیه بگیرید
       آموزش مانیتورینگ شبکه با نرم افزار قدرتمند ManageEngine OpManager
      آموزش مانیتورینگ شبکه با نرم افزار قدرتمند ManageEngine OpManager
      مدرس: جعفر قنبری شوهانی
      این دوره را در 9 قسط خریداری کنید
      دوره آموزشی جامع نصب و راه اندازی انواع FTP سرور
      دوره آموزشی جامع نصب و راه اندازی انواع FTP سرور
      مدرس: کاظم تقندیکی
      این دوره را در 7 قسط خریداری کنید
      دوره آموزشی نرم افزار وایرشارک ( Wireshark )
      دوره آموزشی نرم افزار وایرشارک ( Wireshark )
      مدرس: مریم علی زاده
      این دوره را در 10 قسط خریداری کنید
      دوره آموزشی راه اندازی کلیه VPN سرورهای مایکروسافت
      دوره آموزشی راه اندازی کلیه VPN سرورهای مایکروسافت
      مدرس: محمد نصیری
      این دوره را در 3 قسط خریداری کنید
      دوره آموزشی مدیریت کلاس از راه دور و مانیتورینگ با NetOP
      دوره آموزشی مدیریت کلاس از راه دور و مانیتورینگ با NetOP
      مدرس: صادق شعبانی
      این دوره را در 2 قسط خریداری کنید
      دوره آموزشی جامع مانیتورینگ شبکه با  Solarwinds و ماژول ها
      دوره آموزشی جامع مانیتورینگ شبکه با Solarwinds و ماژول ها
      مدرس: جعفر قنبری شوهانی
      این دوره را در 6 قسط خریداری کنید
      دوره آموزشی سیسکو آسان است
      دوره آموزشی سیسکو آسان است
      مدرس: صادق شعبانی
      این دوره را در 35 قسط خریداری کنید
      با خرید این دوره مبلغ 29,270 تومان هدیه بگیرید

      پروتکل ( STP) درخت پوشا - STP SECURITY

      تاریخ 23 ماه قبل
      نظرات 1
      بازدیدها 354
      سرفصل های این مقاله

      محافظت در برابر BPDU ناخواسته
      1.BPDU GURAD
      2.ROOT GUARD

      محافظت در برابر قطع جریان دریافت BPDU
      1.LOOP GUARD
      2.UDLD

      غیر فعال کردن پروتکل STP روی یک پورت
      BPDU FILTER




      محافظت در برابر BPDU ناخواسته

      در این قسمت ، ما انتظار دریافت BPDU و یا BPDU بهتر را نداریم اما BPDU ( بهتر یا بدتر ) روی یک پورت دریافت می کنیم ، دریافت BPDU ناخواسته برای ما مشکلاتی را ایجاد می کند که با هم بررسی میکنیم.

      1.BPDU GURAD

      قبلا" با فیچر PORTFAST و نحوه کانفیگ آن آشنا شدیم ، یاد گرفتیم که چون از جانب کلاینت ها هیچ BPDU ای به سمت سوئیچ ارسال نمی شود و نهایتا" LOOP بوجود نمی آید می توان از STATE های میانی ای مثل LISTEN AND LEARN فاکتور گرفت و کامپیوتر کلاینت پس از اینکه روشن شد مستقیم و بدون اینکه 30 ثانیه صبر کند ، پورتش FORWARD شود.

      حرکت بسیار جوانمردانه است چرا که کاربر و اتصالات دچار وقفه نمی شود اما مشکل اینجاست که اگر آن پورت که برای کلاینت در نظر گرفته شده اشتباها" به یک سوئیچ متصل شود چه اتفاقی می افتد؟

      1

      در سوئیچ سمت چپ ، پورتهای FA 0.3-5 برای کلاینت ها در نظر گرفته شد و فیچر PORTFAST روی آنها فعال شد اما با این حال اشتباها" به پورت FA 0.4 یک سوئیچ وصل شد ، ماهیت سوئیچ این است که روی پورتهایش BPDU ارسال کند و این سبب ایجاد LOOP خواهد شد.

      چه باید کرد ؟

      راه حل ساده است ، می توانیم فیچر BPDUGURAD را روی پورت هایی که PORTFAST فعال شده را فعال کنیم تا اگر روی این پورتها ، BPDU دریافت شد جهت جلوگیری از LOOP آن پورت به وضعیت ERROR-DISABLE برود.

      Switch(config)#interface range fa 0/3-5
      Switch(config-if-range)#spanning-tree portfast 
      Switch(config-if-range)#spanning-tree bpduguard enable
      
      

      2

      همانطور که در تصویر می بینید پورتهای سوئیچ و پورت fa 0.4 به رنگ قرمز رنگ در آمده و به وضعیت error-disable رفته است.

      به خروجی دستور verify سوئیچ مربوطه دقت کنید :

      Switch#show spanning-tree 
      
      Interface        Role Sts Cost      Prio.Nbr Type
      ---------------- ---- --- --------- -------- --------------------------------
      Fa0/1            Root FWD 19        128.1    P2p
      Fa0/5            Desg FWD 19        128.5    P2p
      Fa0/2            Altn BLK 19        128.2    P2p
      Fa0/3            Desg FWD 19        128.3    P2p
      
      

      می بیند که اسم fa0.4 در این لیست نیست
      Switch#show ip int brief 
      Interface IP-Address OK? Method Status Protocol
      FastEthernet0/1 unassigned YES manual up up
      FastEthernet0/2 unassigned YES manual up up
      FastEthernet0/3 unassigned YES manual up up
      FastEthernet0/4 unassigned YES manual down down
      FastEthernet0/5 unassigned YES manual up up
      
      

      در خروجی دستور بالا می بینید که وضعیت اینترفیس fa0.4 را down نوشته است اما اشاره ای به اینکه در چه وضعیتی است نکرده است و حالا در دستور زیر
      Switch#show int fa 0/4
      FastEthernet0/4 is down, line protocol is down (err-disabled)
      
      می بینیم که این پورت به وضعیت error-disable رفته است.

      همچنین با کامند زیر می توانیم اطلاعات بیشتری دراین مورد داشته باشیم:

      IOU1#show interfaces status err-disabled 
      
      Port      Name               Status       Reason
      Et0/0                            err-disabled bpduguard
      
      

      همانطور که می بینیم پورت مربوطه به خاطر bpduguard به وضعیت error-disable رفته است.

      برای اینکه یک پورت از این وضعیت خارج شود کافیست یکبار آنرا shutdown و سپس no shut کنیم.


      2.ROOT GUARD

      تصویر زیر را نگاه کنید
      3

      همانطور که می بینید ترافیک یک مسیر مشخص را از PC A تا PC B طی می کند و همچنین می دانیم که سوئیچ ها بصورت UNICAST عمل کرده و یک مسیر مشخص برای ترافیک ها ایجاد می شود.یعنی اگر بر فرض یک ATTACKER وارد بازی شود و کابل LAPTOP خودش را به پورت سوئیچ سمت راست بزند قادر به CAPTURE ترافیک ارسالی PC A نخواهد بود.

      حال اگر ATTACKER سوئیچی را وارد شبکه کند که روت شود و ترافیک شبکه از مسیری عبور کند که در آن بتواند روی پورت های سوئیچ ترافیک را CAPTURE کند چطور ؟در حالی می دانیم که 80 درصد ترافیک شبکه از سوئیچ روت عبور میکند!

      4

      در واقع صحبت سر سوئیچ روت است ، سوئیچی که ترافیک های شبکه از آن عبور می کنند ، این سوئیچ روی پورت هایی که انتظارش رانداریم نباید دیده شود.

      5

      همانطور که در تصویر می بینیم ما انتظار داریم سوئیچ روت را روی پورت های ROOT PORT و یا ALTERNATE PORT ببنیم و نه روی یک پورت دیگر سوئیچ.اگر سوئیچ روت و یا سوئیچ مدعی روت روی پورت دیگری غیر از RP و یا ALT P دیده شود ، امنیت شبکه به خطر می افتد.

      وقتی صحبت از سوئیچ روت و یا سوئیچ مدعی روت می شود ، به یاد می آوریم که انتخابات برای سوئیچ روت کاملا" رقابتی است و هر لحظه اگر یک سوئیچ با شرایط عالی و تاپ وارد شبکه شود ، ماهیت روت بودن سوئیچی که انتخاب ماست در خطر می افتد و به تبعیت آن ممکن است که نقش پورت ها هم عوض شود و شبکه از آنچه که مورد تایید و نظر ماست خارج شود.

      در همین مثال فوق من با کامند زیر سوئیچ روت را انتخاب کرده ام
      Switch(config)#SPANning-tree VLAN 1 ROOT PR
      

      کامند فوق سبب می شود که PR سوئیچ روت 24XXX شود ولی سوئیچ ATTACKER دارای PR به مقدار کمتر ( مثلا" 0 ) می باشد ، حال تصور کنید انتخابات میان سوئیچ با PR 24XXX و PR 0 است ، مشخص است که کدامیک روت خواهند شد ، سوئیچ با PR 0

      حال که موضوع برای ما روشن شد ، بیائید جلوی آنرا بگیریم.میدانیم که سوئیچ ها از طریق BPDU با یکدیگر ارتباط براقرار کرده و یکدیگر ار در جریان خود قرار می دهند که البته سوئیچ روت هم از این قائده مستثنی نیست.

      پس از اینکه سوئیچ روت مطابق آنچه که ما خواستیم تعیین شد ، فقط سوئیچ با ارسال BPDU بهتر خواهد توانست سوئیچ روت را عوض کند و ما باید جلوی BPDU بهتر را روی پورت هایی که انتظارش را نداریم ببینیم.

      دقت کنید !در این قسمت صحبت سر خود BPDU نیست بلکه صحبت سر BPDU خوب است که بخواهد برای یک سوئیچ ادعای روت بودن نماید.ما با کانفیگ این فیچر عملا" جلوی این کار را می گیریم و نمی گذاریم یک سوئیچ نامشخص روی پورتی که انتظارش را نداریم ادعای روت بودن کند و BPDU بهتر ارسال کند.

      پس از کانفیگ فیچر فوق ، اگر روی یک پورت BPDU بهتر دریافت شود ، آن پورت به وضعیت ROOT-INCONSISTENT می رود و تا زمانی که BPDU خوب دریافت کند در این وضعیت می ماند.اگر ارتباط عامل این موضوع از سوئیچ قطع شد پورت به وضعیت عادی خود بر میگردد ودر غیراینصورت پورت در وضعیت ROOT-INCONSISTENT خواهد ماند.


      کانفیگ
      IOU1(config)#INTerface ETHernet <0-15  Ethernet interface number >
      IOU1(config-if)#SPanning-tree GUard ROOT
      
      

      مشاهده وضعیت ROOT-INCONSISTENT
      IOU1#SHOW SPANning-tree INConsistentports 
      
      Name                 Interface              Inconsistency
      -------------------- ---------------------- ------------------
      
      Number of inconsistent ports (segments) in the system : 0
      
      

      مثال
      در سناریو زیر IOU

      6

      همانطور که می بینیم IOU1 سوئیچ روت است و IOU6 هم یک سوئیچ ACCESS که این دو سوئیچ از طریق پورت ETH0.0 با یکدیگر در ارتباط هستند و سوئیچ IOU6 روی پورت ETH0.0 سوئیچ روت را می بیند.

      ما انتظار نداریم روی پورتی غیر از ETH0.0 سوئیچ بتواند ROOT BRIDGE را ببیند در حالی که سوئیچ IOU4 که به پورت ETH1.1 متصل شده ، با ارسال BPDU بهتر مدعی روت بودن است. فرض کنید مقدار PR SW IOU 4 برابر با 0 باشد و PR IOU 1 برابر با 24XXX باشد. مشخص است که در شرایط معمول IOU4 می تواند روت باشد که این امنیت شبکه را به خطر می اندازد.پس ما فیچر ROOT GUARD را روی پورت هایی که انتظار دریافت BPDU بهتر را نداریم فعال میکنیم.

      IOU6(config)#INterface RANge EThernet 1/0-2
      IOU6(config-if-range)#SPAnning-tree GUard ROOT
      IOU6#SHOW SPANning-tree INCONSistentports 
      
      Name                 Interface              Inconsistency
      -------------------- ---------------------- ------------------
      VLAN0001             Ethernet1/1            Root Inconsistent
      
      Number of inconsistent ports (segments) in the system : 1
      
      IOU6#
      
      

      همانطور که می بینیم پورت مزبور به وضعیت ROOT-INCONSISTENT رفته است.


      محافظت در برابر قطع جریان دریافت BPDU

      1.LOOP GUARD
      در این قسمت ما انتظار دریافت BPDU را روی یک پورت سوئیچ داریم اما BPDU دریافت نمی شود.
      7

      همانطور که می بینیم در این توپولوژی یک سوئیچ روت و مابقی براساس BPDU های سوئیچ روت و BPDU های FORWARD از سمت روت نقش خود را پیدا کرده و نهایتا" یک پورت بلاک شده است.

      پورت بلاک شده جهت جلوگیری از LOOP بلاک شده و با این حال از سمت SW3 ، دریافت کننده BPDU است تا اگر توپولوژی شبکه عوض شد وضعیت پورت خود را از بلاک تغییر دهد اما با این حال در تمام مدتی که بلاک است دریافت کننده BPDU است.

      حال تصور کنید شرایطی پیش اید که SW2 از سمت سوئیچ مقابل روی پورت بلاک خودش BPDU دریافت نکند ، در اینصورت حس می کند سمت مقابل دستگاهی وجود ندارد که BPDU ارسال کند ( مثلا" طرف مقابل یک کلاینت است ) و حالا تصمیم می گیرد که پورت بلاک خود را به FORWARD تغییر وضعیت دهد.

      9

      همانطور که می بینیم در این حالت تمام پورت ها در وضعیت forward قرار گرفته اند و این همان حالتی بود که ممکن است با وارد شدن یک دیتای برادکست ، loop بوجود بیاید.

      اینکه ما انتظار دریافت BPDU را داریم اما آنرا دریافت نمی کنیم به 2 دلیل است :

      40


      1.قطع جریان BPDU ، قطع لینک نیست بلکه بخاطر وجود فایروال است.
      2.قطع جریان دریافت BPDU ، می توند یک طرفه شدن لینک باشد که درلینک های FIBER OPTIC به آن برخورد می کنیم.

      پس از فعال کردن این فیچر روی سوئیچ و یا پورتهایش ، ضمن اینکه عملکردی هوشمندانه دارد و PER VLAN عمل می کند ،جریان دریافت BPDU را روی پورتهای NON DP و یا همان پورتهای بلاک مانیتور می کند ، اگر جریان دریافت BPDU قطع شد به نتیجه FORWARD کردن پورت نرسد و آن پورت را در وضعیت LOOP-INCONSISTENT قرار می دهد .

      اگر قرار باشد وضعیت یک پورت بلاک عوض شد باید با هماهنگی پورت مقابل خود و پس ازدریافت BPDU باشد.اصلا" یک پورت بخاطر جریان BPDU های FORWARD شده از سمت سوئیچ روت و جهت جلوگیری از LOOP به وضعیت بلاک تغییر کرد و حالا نباید با قطع جریان BPDU به نتیجه FORWARD کردن ان پورت برسد.




      کانفیگ LOOP GURAD
      IOU4(config)#SPAnning-tree LOOpguard DEfault 
      

      فعال کردن این فیچر روی کل سوئیچ
      IOU4(config)#INTerface ETHernet 0/1
      IOU4(config-if)#[NO]  SPANning-tree GUard LOOP
      
      

      فعال یا غیر فعال کردن این فیچر روی اینترفیس هایی که نمی خواهیم


      مشاهده پورت هایی که در وضعیت LOOP GUARD قرار می گیرند
      IOU4#SHOW SPANning-tree INConsistentports 
      
      Name                 Interface                Inconsistency
      -------------------- ------------------------ ------------------
      
      Number of inconsistent ports (segments) in the system : 0
      
      IOU4#
      
      

      مثال
      سناریو زیر را در نظر بگیرید
      11

      همانطور که می بینید پورت ETH02 از IOU2 به وضعیت بلاک رفته است و این در حالی است که از سمت ETH02 از IOU3 دریافت کننده BPDU می باشد.

      تصور کنید که در لینکی که یک سرش BLOCK و سر دیگرش DP است یک فایروال قرار میگیرد و یا لینک از نوع FIBER OPTIC است و یک طرفه می شود ، بهر صورت ما جهت محافظت از پروتکل STP فیچر LOOP GUARD را روی پورت بلاک شده فعال می کنیم.

      IOU2(config)#INTerface ETHernet 0/2
      IOU2(config-if)#SPAnning-tree GUard LOOP
      
      
      حال به هر دلیل جریان دریافت BPDU در پورت بلاک قطع می شود و این پورت به وضعیت ذکر شده می رود.
      IOU2#show spanning-tree inconsistentports 
      
      Name                 Interface                Inconsistency
      -------------------- ------------------------ ------------------
      VLAN0001             Ethernet0/2              Loop Inconsistent
      
      Number of inconsistent ports (segments) in the system : 1
      
      IOU2#
      
      


      2.UDLD

      این فیچر سیسکوئی میتواند از یک طرفه شدن لینک خبر دار بشود و قبل از آنکه STP بخواهد وضعیت پورت را تغییر بدهد ، آنرا یک طرفه اعلام می کند و بسته به نحوه کانفیگ وارد وضعیت ERROR-DIS یا UNDERMINE می شود.

      by directional   ( Bidirectional )  یعنی یک ارتباط 2 طرفه
      
      uni directional  ( unidirectional ) یعنی ارتباط یک طرفه
      
      


      Unidirectional Link Detection از یک طرفه شدن لینک خبر می دهد. ( این بحث udld را در fiber optic زیاد می شنویم ) یک طرفه شدن لینک فقط برای پورت های فیبر نوری صدق میکند و ) پس از کانفیگ ) خود سوئیچ آنها را تشخیص داده و قابلیت مذکور را تنها روی آنها فعال میکند.

      14


      >لینک ها در یک شبکه سوئیچینگ 2 طرفه هستند یعنی ترافیک می تواند روی هر پورت ارسال و یا دریافت گردد. مشخص است که اگر اشکالی در لایه فیزیکی رخ دهد در دو سوئیچ آن را تشخیص داده و لینک در حالت غیر متصل و قطع شده نمایش داده می شود.


      در لینک های fiber optic که مااز یک ماژول SFP و یا GBIC استفاده میکنیم و یک طرفه شدن لینک بیشتر در fiber optic می شنویم به این دلیل است که مثلا" ممکن است از فقط قسمت ارسال کننده آن دچار اشکال شده باشد .


      در لینک های fiber optic بصورت 2 رشته است :
      1 رشته ارسال
      1 رشته هم دریافت

      18

      رسانه های مسی مثل UTP و STP یا کامل قطع می شوند و یا وصل خواهند بود
      و یک طرفه شدن لینک روی آنها مشاهده نخواهد شد.


      پیاده سازی و نحوه عملکرد

      برای پیاده سازی UDLD ( روی لینک های FIBER OPTIC ) لازم است آنرا روی پورت های 2 طرف لینک فعال کنیم ، هر دو پورت در بازه های مشخص( دیفالت هر 15 ثانیه ) ، فریم های UDLD را ارسال کرده و انعکاس آنها رااز سمت دیگر دریافت کنند ، تا زمانی که به ازای هر فریم ارسالی در 15 ثانیه یک فریم پاسخ دریافت می کند ، لینک 2 طرفه است . اما اگر فریمی به سمت مقابل روی رشته ارسال ، فرستاده شود و پس از ارسال 3 فریم ، پاسخی دریافت نشود ، یک طرفه شدن لینک تشخیص داده می شود.

      12



      مدهای udld

      پس از تشخیص یک طرفه شدن پورت

      MODE NORMAL
      در این مد ، اجازه می دهد که پورت کارش را انجام دهد اما به عنوان یک پورت مشکل دار در نظر گرفته شده و یک syslog message ایجاد و ارسال می کند. در normal mode پورت به وضعیت undetermined می رود.


      AGGRESSIVE MODE
      پس از تشخیص یک طرفه شدن لینک ، سوئیچ سعی میکند مشکل پدید آمده را رفع نماید. پس از آن 8 تا پیام UDLD با فواصل یک ثانیه فرستاده می شوند و اگر هیچکدام از آنها برنگشت ، پورت در حالت errordisable قرار میگیرد.

      15



      کانفیگ UDLD

      در صورت فعال سازی بصورت global فقط روی لینک های فیبر فعال می شود.
      Switch(config)#
      udld {aggressive |enable | message time < message-timer-interval > }
      aggressive حالت
      
      enable حالت نرمال مد
      
      
      17


      می توانیم آنرا بصورت per port ( حتی پورتهای twisted pair ) هم فعال کنیم.
      Switch(config)#interface gigabitEthernet 0/1
      Switch(config-if)#udld {enable | aggressive | disable }
      
      استفاده از کلمه disable باعث غیر فعال شدن udld روی یک پورت فیبر نوری می شود.



      فعال کردن مجدد پورت های ERROR-DIS
      Switch#udld reset
      
      با کامند فوق می توانیم پورت هایی که در حالت aggressive mode کانفیگ شده و پس از یک طرفه شدن ، UDLD آنها را به وضعیت errordisable برده است را مجددا" فعال کرد.



      نمایش وضعیت udld

      Switch#show udld < type mod | num >
      


      سوال

      اگر UDLD را در یک سمت کانفیگ کنیم و به سمت دیگر دسترسی نداشته و یا به هر دلیلی چند ساعت و یا دقیقه طول می کشد تا به سمت دیگر برویم و روی آن UDLD را فعال سازیم آیا در طی این مدت ، لینک غیر فعال شده و شبکه قطع می گردد ؟




      پاسخ :

      مکانیسم UDLD یک مکانیسم هوشمند است که لازمه ی آن ، کانفیگ در 2 سمت برای درک فریم های UDLD است.پس از کانفیگ UDLD در سمت مقابل ، این موضوع توسط 2 سوئیچ درک شده و پس از آن وارد مکانیسم UDLD شده و طبق شرایط و زمان های تعیین شده یک طرفه شدن لینک را تشخصی خواهد داد.




      مثال
      در سناریو زیر می خواهیم در 2 طرف و روی لینک ها UDLD را در مد aggressive کانفیگ کنیم.
      19


      تذکر 1: بسته به نوع IOU ممکن است در ساختار کامند کمی تفاوت وجود داشته باشد و یا IOU شما تمام یا بخشی از آنرا ساپورت نکند.بهر صورت می توان با نوشتن بخشی ازکامند و استفاده از علامت ؟ راهنمایی لازم را گرفت.

      تذکر 2:همانطور که گفته شدبرخی IOU ها از برخی فیچرها ساپورت نمی کنند ، در فیلم آموزشی مربوطه هم از IOU ای استفاده شد که فیچر فوق را ساپورت نمی کرد اما مدتی قبل پس از بررسی چند IOU و تحقیق بیشتر ، متوجه شدم برخی IOU ها هستند که نه تنها UDLD را ساپورت می کنند بلکه محدودیت های سوئیچینگ را برداشته اند!سعی می شود بزودی یک ویدیو در خصوص IOU WEB و در همین خصوص تقدیم علاقه مندان شود.


      کانفیگ سناریو
      IOU1(config)#INTerface ETHernet 0/0
      IOU1(config-if)#UDLD PORT Aggressive
      
      IOU2(config)#INTerface ETHernet 0/0
      IOU2(config-if)#UDLD PORT AGGressive
      
      

      IOU2#SHOW UDLD 
      
      Interface Et0/0
      ---
      Port enable administrative configuration setting: Enabled / in aggressive mode
      Port enable operational state: Enabled / in aggressive mode
      Current bidirectional state: Bidirectional
      Current operational state: Advertisement - Single neighbor detected
      Message interval: 15000 ms
      Time out interval: 5000 ms
      
      Port fast-hello configuration setting: Disabled
      Port fast-hello interval: 0 ms
      Port fast-hello operational state: Disabled
      Neighbor fast-hello configuration setting: Disabled
      Neighbor fast-hello interval: Unknown
      
      
          Entry 1
          ---
          Expiration time: 38200 ms
          Cache Device index: 1
          Current neighbor state: Bidirectional
          Device ID: 2048001  
          Port ID: Et0/0  
          Neighbor echo 1 device: 2048002
          Neighbor echo 1 port: Et0/0
                
          TLV Message interval: 15 sec
          No TLV fast-hello interval
          TLV Time out interval: 5
          TLV CDP Device name: IOU1
      
      

      تذکر 3:
      می توان چند لینک را با یکدیگر ETHERCHANNEL کرد و اگر UDLD تشخیص دهد یکی از لینک های کانال یک طرفه شده فقط همان را که در حالت AGGRESSIVE کانفیگ شده غیر فعال می کند و به بقیه لینک ها کاری ندارد.



      غیر فعال کردن پروتکل STP روی یک پورت

      BPDU FILTER

      بصورت عادی ، پروتکل stp روی همه ی پورتهای سوئچی کار میکند تا از بروز حلقه ها در هر نقطه ای از شبکه جلوگیری نماید.فریم های bpdu روی همه پورتهای ( حتی آنهایی که portfast روی آنها فعال شده است ) ارسال می گردند.


      ما با فیچرهای root guard و bpdu guard ر روی پورت های خودمان مواظب این هستیم که از سمت کلاینت ها bpdu و یا و یا bpdu بهتر نگیریم و اگر گرفتیم آن لینک مشترک را قطع کنیم.اما با bpdu filter می توانیم کاری کنیم که اصلا" روی آن پورت bpdu ارسال نشود.

      20

      اجرای همیشگی stp جهت جلوگیری از حلقه ها ضروری می باشد.ممکن است با شرایطی برخورد کنید که لازم باشد ارسال و پردازش bpdu روی برخی پورت ها را غیر فعال سازید که در این حالت می توانید از فیلتر کردن bpdu برای غیر فعال کردن پروتکل stp روی پورت های مد نظر خود استفاده کنید.


      فیلتر کردن bpdu و غیر فعال کردن stp فقط باید روی پورت هایی انجام شود که به end device ها متصل هستند و مطمئن هستید که به هیچ وجه اشتباهات غیر عمد یا خرابکاری باعث بروز loop به واسطه آن پورت نخواهند شد همچنین bpdu filter باید روی پورت های متصل به دستگاه هایی انجام شود که نمی توانند bpdu ارسال و یا دریافت کنند.


      کانفیگ BPDU FILTER

      کلمه DEFAULT در کامند زیر باعث می شود که روی تمام پورت هایی که فیچر portfast روی آنها فعال است ، ارسال bpdu روی آنها فیلتر شود.
      IOU1(config)#spanning-tree portfast bpdufilter default
      
      یادآوری :
      به خاطرداشته باشید فریم های bpdu روی همه پورتهای سوئیچ و همچنین روی آن دسته از پورتهای سوئیچی که روی آن پورتها ، فیچر portfast فعال شده است نیز ارسال میگردند.

      تذکر :
      دقت شود ، اگر portfast روی یک پورت غیر فعال باشد ،براساس کامند فوق ، bpdu هم در آن فیلتر نخواهد شد.


      فعال کردن BPDU FILTER روی یک پورت
      IOU1(config)#interface ethernet 0/1
      IOU1(config-if)#spanning-tree bpdufilter <enable | disable >
      

      21



      نویسنده : صادق شعبانی
      تنها وب سایت صاحب امتیاز این مقاله آموزشی : انجمن تخصصی فناوری اطلاعات ایران tosinso.com
      موفق و itpro باشید!


      1

      2

      5

      3


      ردیفعنوان
      1نکات آموزشی + مقالات
      2سناریو 1 از cisco ccna : آشنایی با سیسکو و اتصال به تجهیزات سیسکو
      3سناریو 2 از cisco ccna : آشنایی با کانفیگ های عمومی سوئیچ و روتر
      4سناریو 2 از cisco ccna : آشنایی با کانفیگ های عمومی سوئیچ و روتر قسمت دوم
      5سناریو 3 : subneting & vlsm قسمت اول : طرح سوال
      6سناریو 3 : subneting & vlsm قسمت دوم : حل سوال قسمت اول
      7سناریو 3 : subneting & vlsm قسمت دوم : حل سوال قسمت دوم
      8پروتکل STP - قسمت اول
      9پروتکل STP قسمت دوم
      10پروتکل STP قسمت سوم
      11پروتکل STP قسمت چهارم
      12بررسی پروتکل های خانواده STP : پروتکل PVST+ قسمت اول
      13بررسی پروتکل های خانواده STP : پروتکل PVST+ قسمت دوم
      14پروتکل STP - تایمرها
      15پروتکل STP - فیچرهای تسریع همگرایی
      16پروتکل ( STP) درخت پوشا - STP SECURITY
      17بررسی پروتکل های خانواده STP : پروتکل RSTP ( یا STP سریع )
      18بررسی پروتکل های خانواده STP : پروتکل MSTP قسمت اول
      19بررسی پروتکل های خانواده STP : پروتکل MSTP قسمت دوم ( حل سناریو MSTP )
      20پروتکل STP - خلاصه کامند STP FAMILY
      21اشنایی با پروتکل های FHRP
      22بررسی پروتکل HSRP از خانواده FHRP
      23بررسی پروتکل VRRP از خانواده FHRP
      24بررسی پروتکل GLBP از خانواده FHRP
      25بررسی پروتکل های ETHERCANEL و مباحث تکمیلی
      26LOCAL SPAN - RSPAN - ERSPAN
      دورهمجموعه کل دوره
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      • سلام ، چرا امکان فعال سازی هم زمان root guard و loop guard وجود ندارد !؟

      برای ارسال نظر ابتدا به سایت وارد شوید

      arrow