انتخاب سوییچ و روتر مناسب

سوییچ و روتر از دستگاه های اصلی در زیرساخت شبکه محسوب می شوند. اگر چه مدل های گوناگونِ بسیاری برای سوییچ و روتر وجود دارد، انتخاب این دستگاه ها نسبتا ساده به نظر می رسد. هر مدل تعداد پورت های متنوع، نرخ ارسال متفاوت و مشخصه منحصری را پوشش می دهد.

در ادامه این مقاله خواهیم آموخت که چگونه دستگاه های شبکه را بر پایه تطابق ویژگی های آنها و نیازهای موجودِ خود انتخاب نماییم.

سخت افزار سوییچ

پلتفرم های سوییچ متنوعی برای خرید در بازار IT موجود است. هر پلتفرم از لحاظ تنظیمات فیزیکی و فرم فاکتور، تعداد پورت ها و ویژگی های پشتیبانی شده (شامل PoE و پروتکل های مسیریابی) متفاوت است.

در این بخش تمرکز خود را بر روی چگونگی انتخاب ویژگی های سخت افزاریِ مناسب از سوییچ در شبکه های کوچک تا میان رده خواهیم گذاشت.

پلتفرم های سوییچ

در یک شبکه enterprise هم دستگاه های سوییچ و هم روتر نقش حیاتی را در ارتباطات شبکه ایفا می کنند. در نتیجه به هنگام طراحی شبکه، انتخاب سخت افزار مناسب از مسائل پر اهمیت به شمار می رود، سخت افزاری که نیازهای شبکه را برآورده سازد و در کنار آن، امکان ارتقای شبکه را نیز به ما بدهد.

در شکل زیر پنج دسته بندی برای سوییچ ها در شبکه ای enterprise دیده می شود:

شکل 1) دسته بندی های گوناگون برای سوییچ ها

  • Campus LAN switch ،در یک شبکه lan در محیطی enterprise سوییچ ها در لایه های core ، distribution ، access و compact قرار می گیرند. این پلتفرم ها از سوییچهای بدون fan با هشت پورت تا  13blade با صدها پورت متغیر هستند. پلتفرمهای سوییچِ مورد استفاده در Campus LAN عبارتند از: سری های سوییچ سیسکوی 2960 ، 3560 ، 3650 ، 3850 ، 4500 ، 6500 و 6800 .
  • Cloud-managed switch ،سوییچ های سیسکو Meraki cloud-managed access امکان برقراری virtual stacking را فراهم می کنند. این سوییچ ها هزاران پورت از سوییچ را تحتِ وب، مانیتور و کانفیگ می کنند.
  • Datacenter switch ،یک مرکز داده باید بر مبنای سوییچ هایی ایجاد شود که ارتقای زیرساخت ها، تداوم عملیاتی و قابلیت انعطاف در انتقال را تقویت نمایند. پلتفرم های سوییچِ مورد استفاده در مرکز داده شامل سوییچ های سریِ Nexus و سوئیچ های سری catalyst 6500 می شود.
  • Service provider switch ،سوییچ های SP در دو دسته بندی قرار می گیرند: سوییچهای aggregation و access . سوییچهای aggregation ترافیک را در لایه edge از شبکه تجمیع می کنند. سوییچ های access سرویس های unified ، مجازی سازی، امنیت یکپارچه و تسهیل مدیریت را ارائه می دهند.
  • Virtual networking switch ،امروزه شبکه ها بیش از پیش در حال مجازی شدن هستند. پلتفرم های سوییچ Cisco Nexus virtual networking از طریق افزودنِ تکنولوژی های هوشمندِ مجازی سازی به شبکه ی مراکز داده، سرویس هایی ایمن را برای چندین گروه مختلف از کاربران فراهم می کنند.

ادمین شبکه به هنگام انتخاب سوییچ ها باید فرم فاکتور آنها را در نظر بگیرد. سوییچ ها شامل پلتفرم های Fixed (شکل 2) ، Modular (شکل 3) و یا stackable (شکل 4) می شوند.

شکل 2) سوییچ fixed

شکل 3) سوییچ ماژولار

شکل 4) سوییچ های stackable

یکی از ملاحظات مهم، مقدار فضایی است که دستگاه ها در یک rack شبکه اشغال می کنند. اصطلاح rack unit برای توصیف ضخامت یک دستگاه قابل نصب در rack استفاده می شود. در سندِ EIA-310 ، یک unit

(U) ،دستگاهی با ارتفاع استانداردِ 4.45 cm و عرض 48.26 cm توصیف می شود. به طور مثال سوییچ های Fixed نشان داده شده در شکل 2، همگی فرم فاکتوری برابر با 1U دارند.

علاوه بر فرم فاکتور دستگاه ها، ملاحظات دیگری نیز باید در نظر گرفته شود که در جدول 1 برخی از آنها را مشاهده می کنید.

توصیففاکتورها
هزینه ی سوییچ به تعداد و سرعت اینترفیس ها، ویژگی های پشتیبانی شده و قابلیت توسعه وابسته استهزینه
تراکم پورت، تعداد پورت های موجود بر روی سوییچ را توصیف می کند. سوییچ های شبکه باید از تعداد متناسبی از دستگاه های شبکه پشتیبانی نمایدتراکم پورت
سرعت ارتباط شبکه یکی از نگرانی های کاربران استسرعت پورت
این نرخ قابلیت های پردازش سوییچ را به این واسطه تعیین می کند که چه مقدار داده را در هر ثانیه می تواند پردازش کند. برای نمونه، سوییچ های لایه distribution باید نرخ ارسالِ بیشتری را نسبت به سوییچ های لایه access فراهم نمایندنرخ ارسال
هنگامی که پورت های با ازدحام بالا بر روی سرور و نواحی دیگر شبکه وجود دارند، سوییچ های دارای سایز بالای فریم بافر، توانایی بیشتری در ذخیره فریم ها دارندسایز فریم های بافر
برای دوربین های امنیتی و IP phone هاپشتیبانی از PoE
برخی از سوییچ های modular و stackable از منابع تغذیه افزونه پشتیبانی می کنندافزونگی در power
سوییچ ها باید دسترسی مستمری را برای شبکه فراهم کند. بنابراین سوییچ هایی باید انتخاب شوند که از افزونگی در فن ها، منبع تغذیه و supervisor engine پشتیبانی می کنندقابلیت اطمینان (reliability)
در طول زمان تعداد کاربران بر روی شبکه افزایش می یابد. بنابراین باید سوییچی انتخاب نمود که فرصتی را برای رشد شبکه فراهم نمایدقابلیت مقیاس پذیری

تراکم پورت

در شکل زیر تراکم پورت در سه سوییچ مختلف نشان داده می شود.

شکل 5) سوییچ هایی با پورت های گوناگون

سوییچ های Fixed از پیکربندی هایی با تراکم پورتِ متنوع پشتیبانی می کنند. در شکل بالا سوییچ های cisco catalyst 3850 با 24 عدد و 48 عدد پورت در سمت چپ تصویر دیده می شوند. سوییچِ دارای 48 پورت، 4 پورت اضافی برای دستگاهای دارای SFP دارد. SFP ها فرستنده/گیرنده های hot-pluggable هستند که بر روی برخی از سوییچ ها استفاده می شود تا به هنگام انتخاب مدیای شبکه از انعطاف پذیری پشتیبانی نمایند. ترنسیورهای SFP در  اترنت فیبر و مسی، شبکه های FC و غیره موجود هستند.

سوییچ های Modular به واسطه چندین line card اضافی، تراکم پورت بسیار زیادی را فراهم می کنند. سوییچ ماژولارِ catalyst 6500 در سمت راست شکل بالا نشان داده شده است. این سوییچ می تواند بیش از 1000 عدد پورت را فراهم نماید.

شبکه های بزرگی که از هزاران دستگاه در شبکه پشتیبانی می کنند به  سوییچ های ماژولار با تراکم پورت بالا نیاز دارند تا بهترین استفاده را از فضا و power داشته باشند. در صورت عدم استفاده از سوییچ های ماژولار، شبکه به تعداد بسیاری از سوییچ های Fixed نیاز خواهد داشت تا بتواند دسترسی دستگاه ها به شبکه را فراهم نماید. این روش منجر به مصرف خروجی های توان بسیار و حجم بالایی از فضا خواهد شد.

طراح شبکه باید مسائل مرتبط با تنگناهای سرعت در uplink را در نظر بگیرد: سری سوییچ های Fixed از پورت های بسیاری برای تجمیع (aggregation) پهنای باند میان سوییچ ها استفاده می کنند تا به پرفورمنس موردنظر دست یابند. با استفاده از سوییچ های ماژولار، تجمیع پهنای باند مشکلات کمتری خواهد داشت زیرا backplane شاسی این سوییچ ها می تواند پهنای باند مورد نیاز را برای تطبیق دستگاه های متصل به لاین کارت های سوییچ فراهم کند.

نرخ ارسال

نرخ ارسال، قابلیت های پردازش یک سوییچ را از طریق میزانِ حجم داده ی پردازش شده در هر ثانیه توسط سوییچ تعریف می کند. در شکل 6 دسته بندی سوییچ را به واسطه نرخ ارسال مشاهده می کنید.

نرخ ارسال یکی از مهمترین ملاحظات به هنگام انتخاب یک سوییچ است. اگر نرخ ارسال بسیار پایین باشد، سوییچ نمی تواند ارتباطات را در سراسر پورت های سوییچ با حداکثر سرعت کابل برقرار سازد. سرعت کابل عبارتی است برای توصیف نرخ داده ای که هر پورت اترنت بر روی سوییچ به آن دست می یابد. نرخ داده، 1/10/100Gb/s یا 100Mb/s  می تواند باشد.

به طور مثال، یک سوییچ معمولی با 48 پورت که به صورتِ full wire-speed اجرا می شود، 48 Gb/s ترافیک را بر روی شبکه تولید می کند. اگر سوییچ تنها از نرخ ارسالِ 32 Gb/s پشتیبانی کند، در سراسر پورت ها به صورت همزمان نمی تواند full wire speed را اجرا نماید.

سوییچ های لایه access معمولا از لحاظ فیزیکی توسط پورت های uplink مورد استفاده برای اتصال به سوییچ های لایه distribution ،محدود می شوند. با این حال این سوییچ ها اغلب نیازی به اجرا شدن در سرعت کامل کابل ندارند، بنابراین سوییچ های کم هزینه و با قدرت عملکردِ کمتر در لایه access می توانند استفاده شوند. سوییچ های با هزینه بیشتر و قدرت عملکرد بالاتر در لایه های core و distribution استفاده می شوند، جایی که نرخ ارسال تاثیر بیشتری بر روی عملکرد شبکه خواهد داشت.

شکل 6) نرخ ارسال گوناگون در سوییچ ها

Power over Ethernet

قابلیت PoE به سوییچ اجازه خواهد داد که تحت کابل های اترنت موجود، توان را به دستگاه تحویل دهد. این ویژگی توسط IP Phone و access point وایرلس استفاده می شود. شکل 7 پورت های PoE را بر روی دستگاه های مختلف نشان می دهد.

شکل 7) نمایش پورت PoE بر روی دستگاه های مختلف

PoE قابلیت سازگاری را برای نصب IP Phone و access point افزایش می دهد، چرا که این دستگاه ها می توانند در هر جایی از شبکه که کابل اترنت وجود دارد، نصب شوند. به دلیل هزینه بالایی که سوییچ های پشتیبانی کننده از قابلیت PoE دارند، ادمین شبکه باید اطمینان حاصل نماید که ویژگی PoE برای شبکه اش مورد نیاز است.

سوییچ های compact سیسکو از سری کاتالیستِ 2960-C و 3560-C از قابلیت PoE pass-through پشتیانی می کنند. PoE pass-through به ادمین شبکه اجازه می دهد تا علاوه بر خود سوییچ، به دستگاه های دارای قابلیت PoE متصل به سوییچ نیز از طریق کشیدن توان از سوییچ های بالادستی (upstream) برق رسانی کند. شکل 8 پورت های PoE را بر روی سوییچ سیسکو کاتالیست 2960-C نشان می دهد.

شکل 8) نمایش پورت PoE بر روی سوییچ کاتالیستِ 2960-C

سوییچینگ چند لایه (multilayer switching)

سوییچ های multilayer در لایه های core و distribution از شبکه سازمان مستقر می شوند. این سوییچ ها بر اساس قابلیتشان در ایجاد routing table ،پشتیبانی از پروتکل های مسیریابی گوناگون و ارسال بسته های IP دسته بندی می شوند. این سوییچ ها اغلب از سخت افزاری ویژه همچون ASIC پشتیبانی می کنند. ASIC به همراه یک ساختار داده نرم افزاری تخصیص داده شده، ارسال IP packet ها را مستقل از cpu ،تسهیل می سازد.

سوییچ های کاتالیست 2960 با استفاده از نسخه های IOS پیش از 15.x ،تنها از یک SVI) Switched Virtual Interface) فعال پشتیبانی می کردند. در حال حاضر از طریق IOS نسخه 15.x ،این سوییچ ها می توانند از چندین SVI فعال پشتیبانی کنند. این بدین معناست که یک سوییچ کاتالیست 2960 از طریق چندین آدرس IP به صورت ریموت می تواند به شبکه هایی مجزا دسترسی یابد.

سخت افزار router

انواع گوناگونی از پلتفرم های روتر موجود است. همچون سوییچ ها، روترها نیز از لحاظ پیکربندی فیزیکی و فرم فاکتور، تعداد و نوع اینترفیس های پشتیبانی شده و ویژگی ها متفاوتند.

در این بخش تمرکز خود را بر روی چگونگی توصیف انواع روترهای موجود برای پشتیبانی از نیازمندی های شبکه در شبکه های کوچک تا میان رده خواهیم گذاشت.

التزامات روتر

در  لایه distribution از شبکه ای enterprise به مسیریابی نیاز است. بدون فرآیند مسیریابی، بسته ها  نمی توانند از شبکه محلی خارج شوند.

روترها از طریق تعیین بهترین مسیر برای ارسال بسته ها، نقشی حیاتی را در شبکه ایفا می کنند. آنها از طریق اتصال خانه ها و بیزینس ها به اینترنت، چندین شبکه IP را به یکدیگر متصل می کنند. همچنین از آنها برای اتصال داخلی چندین site مختلف درون یک شبکه enterprise استفاده می شود تا مسیرهایی افزونه را به مقصد فراهم کند. روتر می تواند به عنوان یک مترجم میان انواع مختلفی از مدیا و پروتکل ها عمل می کند. به طور مثال، روتر می تواند بسته های یک شبکه اترنت را تحویل گیرد و آنها را پس از encapsulate کردن مجدد برای انتقال تحت یک شبکه سریال آماده سازد.

روترها از بخشی از آدرس های IP مقصدِ شبکه برای مسیریابی بسته ها به مقصد مناسب استفاده می کنند. آنها یک مسیر جایگزین را انتخاب می کنند تا در صورت خرابی یک لینک، از آن استفاده شود. همه هاست های موجود در شبکه محلی، آدرسِ IP مربوط به اینترفیس روتر محلی را در تنظیمات IP خود تعیین می کنند. این اینترفیسِ روتر همان default gateway است. توانایی مسیریابی موثر و بهسازیِ خرابیِ لینک شبکه برای تحویل بسته ها به مقصدشان بسیار مهم است.

همانطور که در شکل 9 دیده می شود، روترها همچنین کارکردهای سودمند دیگری را ارائه می دهند.

  • فراهم سازی محدودیت در broadcast
  • فراهم سازی امنیت پیشرفته
  • برقراری ارتباط میان مکان هایی دور از هم
  • گروه بندی منطقی کاربران

شکل 9) کارکردهای گوناگون در روترها

روترهای سیسکو

هنگامی که شبکه ای در حال رشد است، انتخاب روترهای مناسب برای برآورده سازی الزاماتِ آن ضروری است. همانطور که در شکل 10 دیده می شود، سه دسته بندی از روترها وجود دارد.

شکل 10) روترهای گوناگون از شرکت سیسکو

  • Branch router – روترهای branch سرویس های branch را بر روی پلتفرمی واحد بهینه سازی می کند در حالی که تجربه کار با اپلیکیشنی بهینه را تحت زیرساخت های branch و WAN در اختیار می گذارد. برای بیشینه شدنِ دسترس پذیریِ سرویس در سطح branch ،نیاز به شبکه ای است که برای uptime برابر با 24*7*365 طراحی شده باشد. شبکه های Branch با قابلیت دسترس پذیری بالا، باید بازیابی سریعِ ناشی از خطاهای رایج را تضمین نمایند، در حالی که تاثیر آن را بر روی سرویس کاهش داده و یا حذف می کنند و مدیریت و پیکربندی ساده ای را برای شبکه فراهم می کنند. از پلتفرم روتر ISR (سری 800، 1000 و 4000) و پلتفرم Meraki MX برای خدمات در سطح branch استفاده می شود.
  • Network edge router – با استفاده از این روترها، شبکه قادر خواهد بود در لایه edge ،کارایی بیشتر، امنیتِ بالاتر و سرویس هایی قابل اطمینان را ارائه دهد که شبکه های campus ،مراکز داده و branch را یه یکدیگر متصل می کند. مشتریان انتظار دارند که تجربه کاربری با کیفیت بالا و انواع بیشتری از محتوا را نسبت به قبل داشته باشند. مشتریان نیاز به تعامل، شخصی سازی، قابلیت جابجایی موقعیت جغرافیایی و کنترل تمامیِ انواع محتوا را دارند. مشتریان همچنین توقع دارند که در هر زمان و مکانی و تحت هر دستگاهی به محتوا دسترسی داشته باشند- چه در منزل، چه سرکار و چه در راه. روترهای لایه edge از شبکه باید کیفیت پیشرفته ای از سرویس ها و قابلیت های بی وقفه ای از خدمات موبایل و ویدیو را ارائه دهند. از پلتفرم روتر ASR (سری 1000 یا 9000) در این لایه استفاده می شود.
  • Service provider router – روترهای service provider ،مجموعه سرویس ها را متمایز می سازند و از طریق ارائه راهکارهای end-to-end مقیاس پذیر و خدماتِ subscriber-aware عملکرد را بهبود می دهند. اپراتورها باید کارکرد را بهینه سازند، هزینه ها را کاهش دهند و قابلیت انعطاف پذیری و مقیاس پذیری را برای ارائه تجربه اینترنتِ نسل بعدی در سراسر دستگاه ها و مکان ها فراهم نمایند. این سیستم ها برای ساده سازی و بهبودِ عملکرد و توسعه شبکه های ارائه دهنده خدمات طراحی شده اند. در این لایه پلتفرم های NCS 5000 و NCS 6000 همچنین روتر ASR 9000 به کار گرفته می شوند.

پلتفرم روتر

روترها در فرم فاکتورهای بسیاری موجودند، در شکل 11 انواع آن دیده می شود. ادمین شبکه در یک محیط enterprise باید توانایی پشتیبانی از انواع روترها، از روترهای رومیزی کوچک تا مدل های قابل قرارگیری در rack یا blade را داشته باشد.

شکل 11) روترهایی با فرم فاکتورهای گوناگون

روترها همچون سوییچ ها در دسته های fixed یا ماژولار  قرار می گیرند. در پیکربندی fixed ،اینترفیس های روتر مورد نظر توکار هستند. روترهای ماژولار چندین اسلات دارند که به ادمین شبکه اجازه ی تغییر اینترفیس ها بر روی روتر را می دهند. به طور مثال، روتر Cisco 1941 یک روتر ماژولار کوچک است که دو پورتِ اترنتِ یک گیگابایتی تعبیه شده از نوع RJ-45 دارد و همچنین دو اسلات دارد که بر روی آنها چندین ماژول اینترفیس شبکه گوناگون می تواند قرار گیرد. روترها انواع گوناگونی از اینترفیس ها همچون Fast Ethernet ، Gigabit Ethernet ، serial و fiber-optic را در اختیار می گذارند.

مدیریت دستگاه ها

صرف نظر از فرم فاکتور و ویژگی هایی که IOS مربوط به دستگاه پشتیبانی می کند، دستگاه برای قرارگیری در فاز عملیاتی به IOS نیازمند است. در این بخش به Cisco IOS و چگونگیِ مدیریت آن بر روی روترها و سوییچ ها می پردازیم.

مدیریت فایل های IOS

با توجه به وجود گستره وسیعی از دستگاه های شبکه که می توان از محصولات سیسکو انتخاب نمود، یک سازمان به طور حساب شده می تواند ترکیب ایده آلی را برای پاسخ دهی به نیازهای مشتریان و کارمندان خود تعیین نماید.

به هنگام انتخاب یا ارتقای یک دستگاه دارای Cisco IOS ، انتخاب یک IOS image مناسب با نسخه و مجموعه ویژگی های درست، از اهمیت بالایی برخوردار است. IOS image به مجموعه ای از routing ، switching ، security و دیگر تکنولوژی های میان شبکه ای اشاره دارد که درون یک سیستم عامل چند عملکردیِ واحد یکپارچه شده اند.

سیسکو نسخه های IOS را برای فعالسازی تکنولوژی های جدید درون مجموعه IOS ارتقا می دهد. در شکل 12 خانواده نسخه 15 از IOS عرضه شده را مشاهده می کنید.

شکل 12) سری نسخه 15 از IOS

با توجه به شکل بالا عرضه ی نسخه EM یا همان Extended Maintenance ،تقریبا هر 16 تا 20 ماه صورت گرفته است. نسخه های T میان نسخه های EM عرضه می شوند و برای پشتیبانی از آخرین ویژگی ها و سخت افزارها پیش از عرضه نسخه EM بعدی مناسبند.

برای کسب اطلاعات بیشتر در رابطه با Cisco IOS در سوییچ های کاتالیست به این لینک مراجعه نمایید.

مدیریت In-Band در مقابل Out-of-Band

صرف نظر از نوع دستگاه پیاده سازی شده ای که دارای Cisco IOS است، دو روش برای اتصال یک PC به آن دستگاه شبکه برای کانفیگ و نظارت بر task ها وجود دارد: مدیریت Out of Band و مدیریت In Band .(شکل 13)

شکل 13) کانفیگ کردنِ In-Band و Out-of-Band

مدیریت Out of Band برای کانفیگ اولیه استفاده می شود یا هنگامی که امکان اتصال به شبکه وجود نداشته باشد. برای کانفیگ کردن دستگاه در این روش به موارد زیر نیاز است:

  • اتصال مستقیم از طریق پورت console یا AUX
  • یک کلاینت برای شبیه سازی ترمینال (مانند Putty یا Tera Term)

مدیریت In Band برای نظارت و ایجاد تغییر در کانفیگ دستگاه تحت اتصال شبکه استفاده می شود. برای کانفیگ کردن دستگاه در این روش به موارد زیر نیاز است:

  • حداقل یک اینترفیس شبکه ی عملیاتی بر روی دستگاه
  • Telnet ، SSH ، HTTP یا HTTPS برای دسترسی به دستگاه سیسکو

جمع بندی

شبکه ای که به درستی طراحی شده باشد، ترافیک را به خوبی کنترل می کند و دامنه شکست را محدود می سازد. روترها و سوییچ ها می توانند با افزونگی در شبکه مستقر شوند تا خرابی یک دستگاه باعث اختلال در سرویس دهی نشود.

طرح شبکه باید شامل یک استراتژی برای آدرس دهی IP ،پروتکل های مسیریابی، پروتکل های مخصوصِ لایه 2 باشد و همچنین دستگاه های modular یا clustered که به سادگی برای افزایش ظرفیت، قابل ارتقا باشند.

باید در نظر داشته باشید که برای دستیابی به مجموعه مشخصی از نیازمندی ها، ویژگی ها و جریان ترافیکی مورد انتظار، چگونگی استقرار و انتخاب انواع مناسبی از روترها و سوییچ ها از اهمیت بالایی برخوردار است.

آشنایی با پروتکل HSRP

در یک شبکه lan، اگر تمامی بسته ها به مقصد سگمنت های دیگر شبکه توسط روتری یکسان فرستاده شوند، هنگامی که gateway از کار بیافتد، همه ی هاست هایی که از آن روتر به عنوان next-hop پیش فرض استفاده می کنند در برقراری ارتباط با شبکه های خارجی موفق نخواهند بود. برای رفع این مشکل، سیسکو پروتکل اختصاصی HSRP را ارائه داده است که برای gateway ها در یک lan ، افزونگی ایجاد می کند تا قابلیت اطمینان شبکه را افزایش دهد.

HSRP

یکی از راه های دستیابی به uptime نزدیک به 100 درصد در شبکه، استفاده از پروتکل HSRP است که افزونگی را در شبکه های IP ، ارائه می دهد. HSRP تضمین خواهد کرد که به هنگام ایجاد خطا در دستگاه ها یا مدارهای دسترسی که در لبه (edge) شبکه قرار دارند، ترافیک های کاربر بلافاصله به بیرون شبکه ارسال شوند.

با به اشتراک گذاشتن یک آدرس IP و آدرس MAC (لایه 2) میان دو یا تعدادی بیشتری از روترها، آنها می توانند به عنوان یک روتر مجازیِ واحد (virtual router) عمل نمایند. روترهای عضو در این گروه، به طور مستمر برای رصد وضعیت روترهای دیگر پیام هایی را با یکدیگر مبادله می نمایند. در نتیجه هر روتر مسئولیت مسیریابی روتری دیگر را نیز بر عهده خواهد گرفت. و بر پایه این پروتکل، هاست ها می توانند بسته های IP را به آدرس MAC و IP پایداری ارسال نمایند.

HSRP

مکانیزم های پویا برای تشخیص روتر

در ادامه مکانیزم های موجود برای تشخیص روتر توسط هاست تشریح می شود. بسیاری از این مکانیزم ها منجر به تاب آوری (resiliency) بیشترِ شبکه نمی شوند. این مسئله به این معنا می تواند باشد که در ابتدا برای پروتکل ها  قابلیت تاب آوریِ شبکه در نظر گرفته نمی شد یا اینکه اجرای پروتکل برای هر هاست از شبکه ممکن نبود. باید این را در نظر داشته باشید که بسیاری از هاست ها، تنها مجوز تنظیمِ default gateway را به شما می دهند.

Proxy Address Resolution Protocol

برخی از هاست ها از پروتکل (proxy Address Resolution Protocol (ARP برای انتخاب یک روتر استفاده می کنند. هنگامی که یک هاست proxy ARP را اجرا می کند، به منظور دستیابی به آدرس IP هاستی که قصد ارتباط با آن را دارد، یک درخواست ARP ارسال می کند. فرض کنید روتر A در شبکه، از طرف هاستِ مقصد پاسخ می دهد و آدرس MAC اش را در اختیار می گذارد. به واسطه ی پروتکل ARP ، هاست مبدا با هاست راه دور به گونه ای برخورد می کند که گویی به همان سگمنت از شبکه متصل است. اگر روتر A از کار بیافتد، هاست مبدا به ارسال بسته ها به هاست مقصد از طریق آدرس MAC مربوط به روتر A ادامه می دهد، با آنکه این بسته ها به مقصدی ارسال نمی شوند و از بین می روند. شما می توانید منتظر بمانید تا پروتکل ARP ، آدرس MAC یک روتر دیگر بر روی همان سگمنت ،به فرض روتر B ، را به دست آورد. آدرس روتر B از طریق ارسال یک درخواستِ دیگر ARP یا راه اندازی مجددِ هاست مبدا برای ارسال درخواست ARP به دست می آید. از طرف دیگر برای مدت زمانی قابل توجه، هاست مبدا نمی تواند با هاست راه دور ارتباط برقرار کند، با وجود اینکه انتقال بسته هایی که پیش از این توسط روتر A ارسال می شدند از طریق روتر B میسر می شود.

Dynamic Routing Protocol

برخی از هاست ها یک پروتکل مسیریابی پویا همچون (Routing Information Protocol (RIP یا (Open Shortest Path First (OSPF را اجرا می کنند تا روترها را بیابند. نقطه ضعفِ پروتکل RIP، سرعتِ کُندِ آن برای به کارگیری تغییرات در توپولوژی است. اجرای یک پروتکل مسیریابی پویا بر روی هر هاست، به دلایلی ممکن است، عملی نباشد. که این دلایل شاملِ administrative overhead ، processing overhead ، مسائل امنیت یا عدم امکانِ پیاده سازی پروتکل بر روی برخی از پلتفرم ها می شود.

(ICMP Router Discovery Protocol (IRDP

به هنگام عدم دسترسی پذیری به یک مسیر، برخی از هاست های جدیدتر از IRDP برای یافتن روتری جدید استفاده می کنند. هاستی که IRDP را اجرا می کند به پیام های multicast دریافت شده از روتر پیش فرضِ خود گوش فرا می دهد و هنگامی که پس از مدتی پیام های hello را دریافت نکند، از یک روتر جایگزین بهره می برد.

Dynamic Host Configuration Protocol

پروتکل DHCP مکانیزمی را برای انتقال اطلاعات کانفیگ به هاست ها بر روی شبکه TCP/IP ارائه می دهد. این اطلاعات کانفیگ معمولا شامل آدرس IP و default gateway می شود. اگر default gateway از کار بیافتد، هیچ مکانیزمی برای تغییر به روتری جایگزین وجود ندارد.

عملیات HSRP

در بسیاری از هاست ها تشخیص پویا پشتیبانی نمی شود. بنا به دلایلی که پیشتر ذکر شد، اجرای یک مکانیزم تشخیص پویای روتر بر روی هر هاست از شبکه نیز ممکن است تحقق پذیر نباشد. در نتیجه پروتکل HSRP برای این هاست ها failover service را فراهم می کند.

با استفاده از HSRP ، مجموعه ای از روترها به صورت همزمان فعالیت می کنند تا به عنوان یک روتر مجازی واحد به هاست های موجود بر روی LAN نشان داده می شوند. این مجموعه به عنوان گروه HSRP یا گروه standby شناخته می شوند. یک روترِ برگزیده از این گروه مسئولیت ارسال بسته هایی را بر عهده دارد که هاست ها به روتر مجازی می فرستند. این روتر به عنوان Active router شناخته می شود و روتر دیگر به عنوان Standby router انتخاب می شود. هنگامی که روتر Active از کار بیافتد، روتر standby وظایفِ ارسال بسته را بر عهده می گیرد. با وجود آنکه تعداد دلخواهی از روترها پروتکل HSRP را می توانند اجرا نمایند، تنها روتر Active ، بسته هایی را ارسال می کند که به روتر مجازی فرستاده شده اند.

برای به حداقل رساندن ترافیک شبکه، به محض اینکه پروتکل فرآیند انتخاب را کامل کرد، تنها روترهای Active و standby پیام های HSRP را به صورت دوره ای می فرستند. اگر روتر Active از کار بیافتد، روتر standby به عنوان روتر Active فعال خواهد شد. اگر یک روتر standby از کار بیافتد یا به یک روتر Active تبدیل شود، سپس روتر دیگری به عنوان روتر standby انتخاب می شود.

بر روی یک LAN مشخص، چندین گروه standby  همزمان می توانند حضور و یا همپوشانی داشته باشند. هر گروه standby یک روتر مجازی را شبیه سازی می کنند. روتری مشخص ممکن است در چندین گروه شرکت داشته باشد. در چنین مواقعی، روتر تایمر و وضعیت هر گروه را به صورت جداگانه نگهداری می کند.

هر گروه standby یک آدرس MAC و یک آدرس IP دارد.

ارتباطات در HSRP

با استفاده از پروتکل HSRP سه نوع از پیام های multicast میان دستگاه ها رد و بدل می شود:

Hello – پیام hello میان دستگاه های Active و Standby ارسال می شود (به صورت پیش فرض هر 3 ثانیه). اگر دستگاه Standby به مدت 10 ثانیه از سمت Active پیامی دریافت نکند، خودش نقش Active را بر عهده خواهد گرفت.

Resign – پیام resign از طرف روترِ active فرستاده می شود، هنگامی که این روتر قرار است آفلاین شود یا به دلایلی از نقش Active صرف نظر کند. این پیام به روتر Standby می گوید که برای نقش Active آماده شود.

Coup – پیام coup هنگامی استفاده می شود که روتر Standby می خواهد به عنوان روتر Active فعال شود (preemption).

وضعیت روترها در HSRP

روترها در پروتکل HSRP در یکی از وضعیت های زیر قرار می گیرند:

Active – حالتی است که ترافیک در حال ارسال است.

Init یا Disabled – حالتی است که روتر آماده نیست یا قادر به شرکت در فرآیند HSRP نیست.

Learn – حالتی است که هنوز آدرس IP مجازی تعیین نشده است و پیام hello از طرف روتر Active دیده نشده است.

Listen – حالتی است که یک روتر پیام های hello را دریافت می کند.

Speak – حالتی است که روتر پیام های hello را می فرستد و دریافت می کند.

Standby – حالتی است که روتر آماده می شود تا وظایف ارسال ترافیکِ مربوط به روتر Active را بر عهده بگیرد.

ویژگی های HSRP

Preemption

ویژگیِ Preemption در HSRP بلافاصله روتری با حداکثر اولویت را به عنوان روتر Active فعال می سازد. اولویت روتر در ابتدا از طریق مقدار priority تعیین می شود که توسط شما تنظیم شده است و سپس به واسطه آدرس IP . هرچه این مقدار بیشتر باشد، اولویت بالاتر است.

وقتی که یک روتر با اولویت بیشتر حق تقدم می یابد، یک پیام coup می فرستد. هنگامی که یک روتر Active با اولویتی کمتر پیامِ coup یا پیامِ hello را از یک روتر با اولویتی بالاتر دریافت کند، به وضعیت speak تغییر می کند و یک پیامِ resign می فرستد.

Preempt Delay

این ویژگی منجر خواهد شد که فرآیند preemption برای مدت زمانی قابل تنظیم به تعویق بیافتد، و در نتیجه روترِ با اولویت بالا اجازه خواهد یافت که پیش از دریافت نقشِ Active، جدول routing خود را پُر نماید.

Interface Tracking

این ویژگی به شما اجازه خواهد داد که اینترفیسی را بر روی روتر، برای نظارت بر فرآیند HSRP تعیین نمایید تا اولویت HSRP را برای گروهی معین تغییر دهد.

اگر line protocol مربوط به اینترفیس مشخص شده down شود، اولویت HSRP مربوط به این روتر کاهش یافته است. در نتیجه به روتر دیگری با اولویت بالاتر اجازه داده می شود تا Active شود. برای اینکه از Interafece Tracking در HSRP استفاده نمایید دستور زیر را به کار برید:

[Standby [group] track interface [priority

Multiple HSRP Group

ویژگی MHSRP به نسخه 10.3 از Cisco IOS اضافه شد. این ویژگی به اشتراک گذاری load و افزونگی در شبکه را در اختیار می گذارد. و اجازه خواهد داد که روترهای افزونه به طور کامل مورد بهره برداری قرار گیرند. در حالی که روتری در نقش Active ترافیکِ یک گروهِ HSRP را ارسال می کند، در همان حال در گروهی دیگر می تواند در وضعیت standby یا listen قرار بگیرد.

 

آدرس MAC و IP مجازی

آدرس IP مجازی توسط ادمین شبکه کانفیگ می شود. هاست آدرسِ IP مربوط به default gateway خود را برابر با این آدرس IP مجازی خواهد گذاشت و در این حالت روترِ Active به آن پاسخ خواهد داد. آدرس MAC مجازی بر طبق الگوی زیر ایجاد می شود:

##.0000.0C07.AC

بخشِ 0000.0C مربوط به شناسه OUI شرکت Cisco است. بخشِ 07.AC ،شناسه ی اعمال شده برای پروتکلِ HSRP است و ## شناسه ی گروه HSRP است که توسط ادمین شبکه کانفیگ می شود.

**************

برای پروتکل HSRP دو نسخه ارائه شده است که با توجه به نوع سوئیچ لایه 3 یا روتری که در اختیار دارید، می توانید یکی از این دو نسخه را استفاده نمایید. در زیر جدول تفاوت این دو نسخه آورده شده است.

 HSRPv1HSRPv2
Group Numbers0-2550-4095
Virtual MAC address0000.0c07.acXX (XX = group number)0000.0c9f.fxxx (XXX = group number)
Multicast Address224.0.0.2224.0.0.102

برای تنظیمِ پروتکل HSRP بر روی سوئیچ سیسکو لایه 3 و روتر سیسکو می توانید از این لینک کمک بگیرید.

معرفی Cisco IOS در سوییچ های کاتالیست سیسکو

Cisco IOS XE الگوی کاملا جدیدی را در پیکربندی، بهره برداری و نظارت بر شبکه از طریق اتوماسیون شبکه ارائه می دهد. راهکار اتوماسیون سیسکو، راهکاری باز، مبتنی بر استانداردها و قابل گسترش است. در زیر مکانیزم‌های مختلف اتوماسیون شرح داده شده است.

ارائه دستگاه اتومات به معنی کسب قابلیتِ خودکارسازی برای فرآیند ارتقادهی image نرم افزاری و همچنین نصب فایل های پیکربندی بر روی سوئیچ های کاتالیست سیسکو است، به هنگامی که آنها برای اولین بار در شبکه مستقر می‌شوند. سیسکو دو راهکار مهم همچون Plug and Play و ابزارهای در دسترسی همچون Zero-Touch Provisioning (ZTP)  و Preboot Execution Environment (PXE) را فراهم می‌‌سازد که استقراری بی دردسر و خودکار را میسر می‌کند.

 

  • پیکربندی مبتنی بر API برای سوئیچ های شبکه جدیدی همچون سری Cisco Catalyst 9300 در دسترس است. طیف گسترده‌ای از ویژگی‌های اتوماسیون را پشتیبانی می‌کند و API های باز را تحت NETCONF با استفاده از زبان مدلسازی داده‌ای YANG فراهم می‌کند تا به صورت خودکار منابع شبکه را تامین کند.
  • Granular visibility امکانِ مسافت سنجی مبتنی بر مدل را برای حرکت جریان داده از سوییچ به مقصد می‌دهد. داده‌های به جریان درآمده از طریق عضویت در یک data set در مدل YANG شناسایی می‌شوند. Data set مشترک در فواصل زمانی مشخص به سمت مقصد به جریان در می‌آید. علاوه بر این، Cisco IOS-XE نظارت بی درنگ بر شبکه را فراهم می‌کند، که منجر به تشخیص سریع و اصلاح نواقص می‌شود.
  • Seamless software upgrades and patching از بهبودپذیری سیستم عامل پشتیبانی می‌کند. Open IOS-XE از پچی پشتیبانی می‌کند، که راهکارهایی را برای باگ های مهم و آسیب پذیری‌های امنیتی در میان نسخه‌های regular maintenance فراهم می‌کند. این پشتیبانی به شما اجازه می‌دهد که پچ ها را اضافه کنید بدون اینکه منتظر نسخه آزمایشی بعدی باشید.

بسته بندی

خانواده سوئیچ‌های سیسکو Catalyst 9000 یک پکیج لایسنس جدید و ساده را به صورت لایسنس های پایه (base) و افزوده شده (add-on) معرفی کرده اند.

  • پکیج لایسنسِ پایه، شامل گزینه‌های لایسنسِ Network Advantage و Network Essential می‌شود که به سخت افزار وابسته هستند. پکیج لایسنس پایه اساس سوئیچینگ، خودکارسازی مدیریت، عیب‌یابی و ویژگی‌های سوئیچینگ پیشرفته را پوشش می‌دهد.
  • پکیج لایسنسِ add-on شامل گزینه‌های Cisco DNA Essentials و Cisco DNA Advantage می‌شود. علاوه بر قابلیت‌های موجود در خود، ویژگی‌های موجود در این بسته، نوآوری‌های بر روی سوئیچ سیسکو، و همچنین در Cisco DNA Center را پشتیبانی می‌کند.

میزانِ استفاده از لایسنس به راحتی توسط نوع پکیج تعیین می شود. لایسنس‌های پایه، دائمی و بدون تاریخ انقضا هستند در حالی که لایسنس‌های add-on باید برای یک دوره 3، 5 یا 7 ساله خریداری شوند. (از اینرو به عنوان لایسنس‌های term-based شناخته می‌شوند)

  • ترکیبی از لایسنس‌های base و add-on

* برای این ترکیب، لایسنس Cisco DNA Essential باید به صورت مجزا از طریق Cisco Smart Soft Manager سفارش داده شود

  • پشتیبانی از لایسنس جدید در هر پلتفرم

  • خلاصه‌ای از ویژگی‌ها در پکیج‌های Essential و Advantage

ویژگی‌های پکیج Essential و Advantage

سوییچ های کاتالیست سیسکو، شامل سیسکو IOS (Internetwork Operating System) است که یک نرم افزار زیرساخت شبکه با عملکرد بالا است. مجموعه ویژگی های LAN Lite و LAN Base ، ویژگی های سطح L2 را فراهم می کند. و مجموعه ویژگی های IP Lite ، IP Base ، IP Service ، Advanced IP Service ، Enterprise Services و Advanced Enterprise Service ویژگی های سطح L3 را فراهم می کند.

سیسکو IOS توسط سری سوییچ های کاتالیست Cisco Catalyst 3560-CX /3650/3850/4500-X /4500E در یک universal image واحد ارائه می شود. universal image شامل همه ی مجموعه ویژگی های سیسکو IOS می شود که می تواند از طریق لایسنس نرم افزاری فعال شود. به منظور استفاده از توابع جدید بر روی سوییچ های کاتالیست سیسکو پیشین، به یک image نرم افزاری برای نصب نیاز است. در سوئیچ های کاتالیست سری 3560-CX /3650/3850/4500-X /4500E ، توابع پیشرفته بلافاصله با استفاده از لایسنسِ ارتقای Cisco IOS می توانند فعال شوند.

  • فعال کردن ویژگی ها از طریق لایسنس (برای سری Catalyst 3650/3850)

  • مقایسه سازگاری سری های گوناگون با لایسنس های مختلف

  • مقایسه مشخصات Cisco IOS (از لحاظ ویژگی های L2)

  • مقایسه مشخصات سیسکو IOS (از لحاظ ویژگی های L3)

  • مقایسه مشخصات Cisco IOS (از لحاظ ویژگی های مدیریتی)

  • مقایسه مشخصات Cisco IOS (از لحاظ ویژگی های امنیت)

  • مقایسه مشخصات Cisco IOS (از لحاظ QoS)

    Cisco IOS Specification Comparision

  • *1 Cisco Catalyst 2960-XR Series
  • *2 Cisco Catalyst 3650/3850 Series are to be supported in future software release.
  • *3 Cisco Catalyst 2960-CX/2960-X Series arenot supported.
  • *4 Cisco Catalyst 3560-CX Series are not supported.
  • *5 Cisco Catalyst 3650/3850 Series arenot supported.
  • *6 Cisco Catalyst 3560/3850 Series only.
  • *7 Cisco Catalyst 4500E Series only.

محافظت از سوئیچ های cisco catalyst 6500 در برابر loop های لایه 2

در این مقاله گام هایی عملی برای کاهش loop های لایه 2 ای در کاتالیست های 6500 بر میداریم. پیش از اینکه وارد بحث مشخص بر روی این سوئیچ ها شویم، نگاهی به مفهوم loop در لایه 2 می اندازیم. هنگامی که بیش از یک مسیر ارسال،ُ میان دو سوئیچ از شبکه وجود داشته باشد، loop در لایه 2 اتفاق خواهد افتاد. هنگامی که یک سوئیچ فریمِ  broadcast را دریافت می کند، آن را بر روی همه پورت های trunk و access خود می فرستد. در حضور loop، هنگامی که سوئیچ های شبکه فریم های broadcast را بر روی همه پورت های خود ارسال می کنند، منجر به پدیده تکثیر نامحدود فریم های broadcast به دام افتاده در این loop می شود. این پدیده به نام broadcast storm شناخته می شود.

اشباع پهنای باند و استفاده بیش از حد از CPU از جمله اثرات حضور حجم بالای فریم های broadcast در شبکه است. Broadcast storm ، شبکه را به وضعیتی غیر قابل استفاده خواهد برد و در مواردی خاص، ممکن است که ادمین شبکه توانایی دسترسی به دستگاه ها را از طریق کنسول از دست بدهد.

پروتکل STP تضمین می کند که در توپولوژی های لایه 2 loop اتفاق نخواهد افتاد. با وجود استفاده از STP ، برخی از شرایط نظیر اشتباهات سیم بندی ، هاست های کانفیگ نشده، اشتباهات در کانفیگ سوئیچ و از دست رفتن بسته های BPDU کماکان می توانند loop لایه 2 ایی ایجاد کنند.

خطاهای انسانی از عواملی هستند که با وجود طراحی مناسب شبکه می توانند بر روی وضعیت شبکه شما تاثیرگذار باشند. ضروری است که نگاهی به آینده داشته باشید و از خود بپرسید که چه مسائلی ممکن است پیش در شبکه شما پیش آید. آیا شبکه من در صورت رخداد loop در لایه 2 قادر به تحمل شرایط پیش آمده، خواهد بود؟ در صورتی که پاسخ شما نه است یا از آن اطمینان ندارید بهتر است که به دنبال راهکاری باشید.

شبیه سازی loop در لایه 2

چهار سوئیچ در شبکه به گونه ای طراحی شده اند که loop لایه 2 در آن شبیه سازی شود. VLAN 10 برای شبیه سازی ارتباط میان کامپیوترهای user ایجاد شده است.

کانفیگ زیر بر روی همه سوئیچ ها اجرا شده است تا loop لایه 2 ایی ، به طور ویژه spanning tree loop بر روی VLAN 10 ایجاد شود.

Distribution-Sw1(config)#no spanning-tree vlan 10

در حدود یک دقیقه پس از ارسال فرمان بالا، CPU utilization در هر چهار سوئیچ به 99% می رسد. برای اینکه CPU utilization فعلی سوئیچ را مشاهده کنیم از دستورات زیر استفاده می کنیم.

Distribution-Sw1# show processes cpu sorted | exclude 0.00%__0.00%__0.00%
CPU utilization for five seconds: 99%/92%; one minute: 99%; five minutes: 99%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
———————— Output omitted —————————————————-

هنگامی که بهره وری به 99% می رسد، برقراری ارتباط میان کاربران PC1 و PC2 در VLAN 10 ممکن نیست. نمودار زیر، درصد بهره وری CPU را در هر 30 ثانیه نمایش می دهد.

برای اینکه ببینیم چه ترافیکی موجب افزایش درصد بهره وری از CPU شده است، لازم است که ترافیک پردازش شده از طریق control plane را مانیتور کنیم.

چگونه ترافیک control plane را مانیتور کنیم

تنها به یک Switched Port Analyzer (SPAN) ، هاستی که نرم افزار تحلیلگر پروتکل شبکه را اجرا کند و یک کابل اترنت نیاز دارید تا ترافیکی که توسط لایه کنترل catalyst 6500 پردازش می شود را تحلیل کنید.

مانیتور کردن ترافیک control plane با استفاده از SPAN

کانفیگ زیر پورت Gigabit 5/24 را به عنوان پورتی برای عبور ترافیک CPU تعریف می کند. ترافیک پردازش شده توسط Route Processor (RP) و Switch Processor (SP) بر روی پورت Gigabit 5/24 نشان داده می شود.

Distribution-Sw1(config)#monitor session 2 type local
Distribution-Sw1(config-mon-local)#source cpu rp
Distribution-Sw1(config-mon-local)#source cpu sp
Distribution-Sw1(config-mon-local)#destination interface gigabit 5/24

تنظیمات زیر برای چک کردن وضعیت پورت SPAN ساخته شده، استفاده می شود.

Distribution-Sw1# show monitor session 2
Session 2
———
Type : Local Session
Status : Admin Disabled
Egress SPAN Replication State:
Operational mode : –
Configured mode : –

باید توجه داشته باشید که پورت CPU SPAN ایجاد شده، به صورت پیش فرض در وضعیت “Admin Disabled” قرار دارد. برای اینکه آن را فعال کنید نیاز به دستور no shut بر روی SPAN دارید.

Distribution-Sw1(config)#monitor session 2
Distribution-Sw1(config-mon-local)#no shut

پس از اینکه پورت را فعال کردید، SPAN در وضعیت Admin Enabled قرار می گیرد.

Distribution-Sw1# show monitor session 2
Session 2
———
Type : Local Session
Status : Admin Enabled
Source Ports :
Both : rp,sp
Destination Ports : Gi5/24
Egress SPAN Replication State:
Operational mode : Centralized
Configured mode : Centralized (default)

گام بعدی پس از شبیه سازی loop لایه 2 ای و مانیتور کردن ترافیکهای control plane، انتخاب ابزار یا ترکیبی از ابزارها است که برای کم کردن تاثیر loop های لایه 2 استفاده می شود. ابزارهای قابل استفاده عبارتند از:

  • Control Plane Policing
  • Strorm control
  • Hardware rate limiting

ویژگی Control Plane Policing (CoPP)

CoPP یکی از ویژگی های امنیتی موجود در Cisco IOS روتر و سوئیچ های سیسکو است. این ویژگی به ادمین اجازه کانفیگ کردن سیاست های QoS را برای محافظت از Control Plane در برابر جمع آوری اطلاعاتی از آسیب پذیری های شبکه، حملات DoS و سناریوهای دیگری می دهد که منجر به کاهش بهره وری از منابع CPU می شوند.

از CoPP استفاده می شود تا ترافیک های اثرگذار بر بهره وری CPU را محدود کند و از ترافیک های دیگر همچون ترافیک های مسیریابی در برابر کمبود منابع CPU محافظت نماید. CoPP از دستوراتی مشابه با class-map و policy-map استفاده می کند که به هنگام کانفیگ QoS از آن استفاده می شود. فرآیند ایجاد و اعمال CoPP شامل سه مرحله زیر می شود:

  • استفاده از class-map برای دسته بندی کردن ترافیک پردازش شده توسط control plane
  • استفاده از policy-map برای اعمال سیاستها بر روی ترافیک های دسته بندی شده
  • اعمال policy-map برای control-plane

ترافیک های مورد هدف برای دسته بندی شامل : EIGRP، HSRP، SSH، SNMP، TACACS، DHCP، IGMP و PIM می شوند. در این پروژه class-map زیر ایجاد شد:

class-map match-all class-eigrp
match access-group name EIGRP
class-map match-all class-mgmt
match access-group name MGMT
class-map match-all class-hsrp
     match access-group name HSRPclass-map match-all class-pim
match access-group name PIMclass-map match-all class-igmp
match access-group name IGMPclass-map match-all class-dhcp
match access-group name DHCPip access-list extended EIGRP
permit eigrp any host 224.0.0.10

ip access-list extended HSRP
permit udp any host 224.0.0.2 eq 1985
permit udp any host 224.0.0.102 eq 1985

ip access-list extended PIM
permit pim any 224.0.0.0 0.0.0.255

ip access-list extended IGMP
permit igmp any 224.0.0.0 31.255.255.255

ip access-list extended MGMT
permit tcp any any tacacs
permit tcp any any eq 22
permit udp any any eq snmp
permit icmp any any

ip access-list extended DHCP
permit udp any eq bootpc any eq bootps
permit udp any eq bootps any eq bootpc
permit udp any eq bootps any eq bootps

نام policy-map ایجاد شده را copp-policy گذاشتیم چرا که این policy بر روی ترافیک هایcontrol plane  اعمال می شود. به طور مثال برای ترافیکهای dhcp سیاست زیر ایجاد شده است.

class class-dhcp
police 32000 conform-action transmit exceed-action drop

در سیاست بالا، سوئیچ حداکثر تا 32000 bits/sec از ترافیک های DHCP را پردازش می کند هر مقداری بیش از این حد توسط سوئیچ دور ریخته می شود.
مقادیر استفاده شده برای سیاست گذاری مبتنی بر اندازه گیری ترافیک واقعی در شبکه های عملیاتی (با استفاده از پورت SPAN) است. در زیر کل لیست های سیاست گذاری به کار بسته شده بر روی ترافیک های دسته بندی شده دیده می شود.

policy-map copp-policy
class class-eigrp
police 32000 conform-action transmit exceed-action transmit ! protection of EIGRP traffic     class class-hsrp
police 32000 conform-action transmit exceed-action transmit ! protection of HSRP trafficclass class-mgmt
police 512000 conform-action transmit exceed-action dropclass class-pim
police 32000 conform-action transmit exceed-action dropclass class-igmp
police 100000 conform-action transmit exceed-action dropclass class-dhcp
police 32000 conform-action transmit exceed-action dropclass class-default
police 2000000 conform-action transmit exceed-action drop

 

پس از ایجاد policy map، آن را به صورت زیر بر روی control plane اعمال می کنیم.

control-plane
service-policy input copp-policy

پس از اعمال policy map به لایه کنترل از distribution switch، همانطور که در شکل زیر دیده می شود، بهره وری cpu از 99% به طور میانگین به 92% کاهش می یابد.

با اعمال CoPP اکنون ارتباط میان کاربران موجود در VLAN 10 ممکن است. با وجود کاهش بهره وری CPU، هنوز هم از دست رفتن گاه و بیگاه بسته ها مشاهده می شود.

برای کاستن از تاثیر loop لایه 2، گام بعدی استفاده از ابزاری دیگر است. Storm control انتخابی منطقی برای گام بعدی است.

STORM CONTROL

ویژگی Traffic storm control، یکی از ویژگی های سوئیچ سیسکو است که برای مانیتور کردن ترافیک های broadcast، multicast و unicast استفاده می شود که در مدت یک ثانیه وارد اینترفیس مشخصی می شوند.

پس از مشاهده حجمی از ترافیک multicast و broadcast در شبکه عملیاتی شده (با استفاده از پورت SPAN)، تخمین زده شده است که 5 درصد از کل پهنای باند برای تطبیق با همه ترافیک های broadcast و multicast کافی باشد. تنظیمات زیر بر روی همه پورت های trunk در سوئیچ کانفیگ شده است تا برای storm control آستانه ای برابر با 5% ئر نظر گرفته شود.

Distribution-Sw1(config)#int range f0/21 – 24
Distribution-Sw1(config-if)#storm-control multicast level 5
Distribution-Sw1(config-if)#storm-control broadcast level 5

همانطور که در نمودار زیر می بینید، ترکیب دو ویژگی CoPP و storm control منجر به بهبود چشمگیری در بهره وری CPU خواهد شد.

ارتباط میان کاربران در VLAN 10 به صورت نرمال در خواهد آمد و بسته ای از دست نمی رود. اگرچه در حال حاضر بهره وری CPU به طور میانگین کمتر از 40% است، در فاصله های زمانی کوتاه، جهش هایی به 95% نیز در آن دیده می شود. با مشاهده ترافیک control plane، حجم بالایی از ترافیک های BPDU، VTP، STP و ARP دیده می شود. برای کاهش حجم این ترافیک ها به عنوان گام بعدی برای بهبود، ابزار Hardware Rate-Limiting انتخاب می شود که بر روی Catalyst 6500 دردسترس است.

Hardware Rate Limiting

سوئیچ های Catalyst 6500 با سوپروایزهای 720 یا 32 در خود hardware rate limiter دارند که برای محدود کردن ترافیک لایه 2 و 3 پردازش شده توسط control plane استفاده می شود. استفاده از آن بر روی بهره وری از CPU تاثیری نمی گذارد.

کانفیگ زیر بر روی سوئیچ اعمال شده است. پارامترهای انتخاب شده، مبتنی بر اندازه گیری ترافیک واقعی در شبکه های عملیاتی (با استفاده از پورت SPAN) است.

Distribution-Sw1(config)#mls rate-limit layer2 pdu 620 10
Distribution-Sw1(config)#mls qos protocol ARP police 64000 2000

دستور “mls rate-limit layer2 pdu 620 10” نرخ بسته های PDU در لایه 2 (شامل بسته های BPDU، DTP، PAgP، CDP، STP و VTP) را به حداکثر 620 بسته در هر ثانیه با 10 بسته در هر توالی محدود می کند.
دستور “mls qos protocol ARP police 64000 2000” نرخ بسته های ARP را به حداکثر 64000 bps با توالی 2000 bps محدود می کند.
همانطور که در نمودار زیر می بینید، با ترکیب ویژگی های CoPP ، Storm Control و Hardware Rate-Limiting ، بهره وری CPU به طور میانگین به 5% با حداکثر جهش 28% کاهش می یابد.

با چنین کاهشی در بهره وری از CPU، هیچ تاثیر محسوسی بر کارایی سوئیچ ها و کاربران در VLAN 10 به جز حضور loop در لایه 2 مشاهده نمی شود.

نتایج تمامی سناریوهای اجرا شده

شکل زیر نتایج تمامی سناریوهای به کار رفته را نشان می دهد.

پیشنهادهای طراحی

در زیر برخی از پیشنهادهای اولیه آمده است که می تواند به کاهش احتمال خساراتی کمک کند که loop لایه 2 با خود به همراه دارد:

  • محدود کردن تعداد VLAN ها تا جایی که ممکن است
  • استفاده از پروتکل UDLD و قرار دادن آن بر روی مد عملیاتی aggressive برای جلوگیری از spanning tree loop که ناشی از لینک های unidirectional است
  • استفاده از ویژگی های سوییچ نظیر BGPU guard، loop guard و root guard برای محافظت در برابر تغییرات ناخواسته در توپولوژی spanning tree
  • غیر فعال کردن استفاده از DTP از طریق دستور “no negotiate” بر روی پورت های سوییچ برای جلوگیری از اینکه پورت ها به طور خودکار به صورت access یا trunk تنظیم شوند
  • پورت های استفاده نشده را بر روی یک VLAN جدید تنظیم کنید و administrative mode را در حالت shutdown قرار دهید تا کاربران غیرمجاز نتوانند دستگاهی را به پورت های استفاده نشده متصل نمایند

نتیجه

همانطور که نشان دادیم با ترکیب CoPP، storm control و hardware rate limiter کاهش یکنواخت و چشمگیری در بهره وری از CPU رخ خواهد داد که در اثر حضور loop لایه 2 در شبکه افزایش یافته بود. پارامترهای استفاده شده به عنوان حدآستانه در این سه ویژگی، از طریق اندازه گیری 72 ساعته ی ترافیک های control plane در یک شبکه عملیاتی شده به دست آمده است. نتایج از طریق تستهای انجام شده در محیط آزمایشگاهی به دست آمده اند.

حتی در یک شبکه با طراحی مناسب نیز ممکن است با loop لایه 2 مواجه شوید که به دلیل اشتباهات در سیم بندی، اشتباهات در کانفیگ سوییچ و از دست دادن بسته های BPDU رخ داده است. از طریق پیاده سازی ابزارهایی که در این مقاله معرفی شده اند، شما می توانید از فشار بیش از حد بر catalyst 6500 در حضور loop لایه 2 جلوگیری کنید.

 

منابع

    1. Protecting the Cisco Catalyst 6500 Series Switches Against Denial-Of-Service Attacks

http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/prod_white_paper0900aecd802ca5d6.html

  1. Configuring Control Plane Policing (CoPP)

http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/white_paper_c11_553261.html

  1. Protecting Cisco Catalyst 6500 Series Switches Using Control Plane Policing, Hardware Rate Limiting, and Access-Control Lists

http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/white_paper_c11_553261.html

  1. Configuring Traffic-Storm Control

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/storm.pdf