Routing on a Cisco 2960 Catalyst Switch
2960 Switch میتونه عملیات Routing ساده رو انجام بده به شرطی که [FONT=Lucida Grande]IOS 12.2(55) یا بالاتر روش نصب شده باشه .البته منظور از Routing مسلما OSPF , EIGRP , ... نیست بلکه Static route ساده است . که همین هم میتونه برای یک دیوایس لایه 2 فوق العاده باشه .
این قابلیت وجود داره تا 16 Static route بر روی SWITCH نوشته بشه .
برای این کار نیاز داریم که LAN-BASE routing رو روی SDM فعال کنیم .منظور [/FONT][FONT=Lucida Grande]Switching Database Manager است .
[/FONT]بعد از تغییر دادن SDM باید Switch را Reload کنیم .[LEFT][CODE]
SwitchA(config)#sdm prefer lanbase-routing
Changes to the running SDM preferences have been stored, but cannot take effect until the next reload.
Use 'show sdm prefer' to see what SDM preference is currently active.
SwitchA(config)#^Z
SwitchA#reload
System configuration has been modified. Save? [yes/no]: y
Proceed with reload? [confirm]
[/CODE]
[CODE]
SwitchA#show sdm prefer
The current template is "lanbase-routing" template.
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 255 VLANs.
number of unicast mac addresses: 4K
number of IPv4 IGMP groups + multicast routes: 0.25K
number of IPv4 unicast routes: 4.25K
number of directly-connected IPv4 hosts: 4K
number of indirect IPv4 routes: 0.25K
number of IPv4 policy based routing aces: 0
number of IPv4/MAC qos aces: 0.125k
number of IPv4/MAC security aces: 0.375k[/CODE]
[CODE]
SwitchA#conf t
SwitchA(config)#ip routing
SwitchA(config)#
SwitchA(config)#int vlan 15
SwitchA(config-if)#ip add 192.168.15.1 255.255.255.0
SwitchA(config-if)#
SwitchA(config-if)#int vlan 25
SwitchA(config-if)#ip add 192.168.25.1 255.255.255.0
SwitchA(config)#^Z
SwitchA#sh ip route
...
C 192.168.15.0/24 is directly connected, Vlan15
C 192.168.25.0/24 is directly connected, Vlan25[/CODE]
[/LEFT]
Debuging IP packets with ACL filter
در بحث Tshoot وقتی می خواهیم ببینیم یک Task به درستی کار میکند یا خیر دستور debug ip packet میتونه خیلی مفید باشه.
مشکل اینجاست که اگر ترافیک زیاد ومختلف از روتر عبور کند خواندن این debug ها کار آسونی نخواهد بود و بعضی مواقع اونقدر پیغام ایجاد میشه که نمیتونید حتی دستور un all رو وارد کنید !
با استفاده از ACL میتونیم خروجی دستور debug ip packet رو فیلتر کنیم .کافی است در ACL اون هاست و یا port ی که قصد مانیتور کردن داریم رو permit کنیم و بعد اون رو به دستور debug ip packet detail اضافه کنیم.
کامند زیر باعث میشه فقط ترافیک ICMP از 10.10.10.2 به 13.1.1.1 و بالعکس در خروجی دستور debug نماش داده شود.[LEFT]
[CODE]
[B]access-list 105 permit icmp host 10.10.10.2 host 13.1.1.1
access-list 105 permit icmp host 13.1.1.1 host 10.10.10.2[/B][/CODE]
[CODE]
router_122#debug ip packet detail 105
IP packet debugging is on (detailed) for access list 105
router_122#
00:10:01: IP: s=13.1.1.1 (Serial3/0), d=10.10.10.2 (Virtual-Access1),
g=10.10.10.2, len 100, forward
[/CODE]
[/LEFT]
ارسال دستورات اجرا شده بر روی دیوایس به log server
گاهی بنا به دلایل امنیتی و یا سلیقه ای نیاز دارید کانفیگایی که روی دیوایستون زده میشه ارسال بشه به یک لاگ سرور که با دستور زیر : [LEFT]
[CODE]sw-core#config t
sw-core(config)#archive
sw-core(config-archive)#log config
sw-core(config-archive-log-cfg)#logging enable
sw-core(config-archive-log-cfg)#logging size 700
sw-core(config-archive-log-cfg)#notify syslog
sw-core(config-archive-log-cfg)#hidekeys
[/CODE]
[/LEFT]
کنترل پهنای باند روی اینترفیس
اگر بخواهیم پهنای باند روی روتر سیسکو کنترل شود ؛ دستورات زیر میتونه کمک کنه
[FONT=Tahoma][COLOR=#333333]1-نوشتن access-list
[/COLOR][/FONT][CODE]access-list [COLOR=#0000ff]101[/COLOR] permit ip any 192.168.101.0 0.0.0.255[FONT=Tahoma][COLOR=#333333]
[/COLOR][/FONT][/CODE][FONT=Tahoma][COLOR=#333333]
2-class-map
[/COLOR][/FONT][CODE]class-map match-any[COLOR=#ff0000] 512Kb[/COLOR]
match access-group [COLOR=#0000ff]101[/COLOR][FONT=Tahoma][COLOR=#333333]
[/COLOR][/FONT][/CODE][FONT=Tahoma][COLOR=#333333]
3-policy-map
[/COLOR][/FONT][CODE]policy-map [COLOR=#ffa07a]BWcontrol[/COLOR]
class[COLOR=#ff0000] 512Kb
[/COLOR]shape average 5120000[FONT=Tahoma][COLOR=#333333]
[/COLOR][/FONT][/CODE][FONT=Tahoma][COLOR=#333333]
4-اعمال policy روی اینترفیس
[/COLOR][/FONT][CODE]interface GigabitEthernet 1/0/1
service-policy output [COLOR=#ffa07a]BWcontrol[/COLOR][FONT=Tahoma][COLOR=#333333]
[/COLOR][/FONT][/CODE][FONT=Tahoma][COLOR=#333333]
[/COLOR][/FONT]
Lock-and-Key برای دسترسی به تجهیزات سیسکو
گاهی نیاز که دسترسی به روتر ما توی شبکه محدود بشه به یک ای پی خاص اما در شرایطی ما به اجبار مجبور میشم که اربیرون و با ادرس مبدا که از قبل تعیین نکردیم این دسترسی (telnet -ssh) رو انجام بدیم سیسکو برای اینکا روشی داره به نام lock-and-key که به شرح زیر است
ابتدا شما به روتر یک تلنت میزنید و در صورتی که اهراز هویت با موفقیت بود پس از زمان کوتاه تعیین شده ارتباط شما قطع میشه و یک acl با ادرس هاستی که تلنت رو زدین اضافه میشه و شما می تونید به روتر وصل بشین [LEFT]
[CODE]
[/LEFT]
[INDENT] [B]access-list 120 dynamic testlist timeout 15 permit ip any any[/B]
[B]access-list 120 permit tcp any host 171.68.117.189 eq telnet
[/B][B]interface ethernet1
ip access-group 120 in
ip address 171.68.117.189[/B]
[B]line vty 0 15
login local
autocommand access-enable host timeout 10[/B][/INDENT][LEFT][/CODE][/LEFT]