NameCheap-Hosting

استفد من الخصومات على خدمات الاستضافة بمختلف انواعها

VPS hosting: up to 30% off!

الاثنين، 1 سبتمبر 2014

تجميع منافذ الشبكة المحلية LAN باستخدام EtherChannel




تجميع منافذ الشبكة المحلية LAN
يمكن تجميع عدة منافذ (ports) من نوع Ethernet لتصبح بمثابة منفذ واحد وذلك لرفع سرعة نقل البيانات وكذلك لتحقيق التوافرية  (redundancy) من خلال تكنولوجيا  EtherChannel. تكون سرعة نقل البيانات الجديدة هي مجموع سرعة النقل للمنافذ المكونة للمنفذ الجديد وفي حال تعطل أحد المنافذ يستمر منفذ EtherChannel بالعمل اعتمادا على المنافذ الأصلية المكونة  له والتي تعمل بشكل سليم.

يجب أن تكون المنافذ الأصلية متماثلة في خصائصها تماما (symmetrical) من حيث السرعة (FastEthernet أو GigabitEthernet) ووضعية العمل (trunk port أو access port أو  routed port) وخصائص أخرى في حال وجودها مثل allowed VLAN for Trunk port)) ووجودها بنفس الـ (VLAN) في حال كانت المنافذ (access port).
كما يمكن معاملة منافذ (EtherChannel) معاملة المنافذ الأصلية أي يمكن التعامل معها على أنها (switched port) أو (routed port). وفي حال تحويلها لـ (routed port) يتم تحديد العنوان للمنفذ الوهمي الجديد الناتج من عملية التجميع وفي هذه الحالة تسمى هذه المنافذ بـ (port-channel).
يمكن تطبيق تكنولوجيا تجميع المنافذ (EtherChannel) على عدة أجهزة مثل الموزعات (Ethernet switch) والموجهات (router) و أجهزة الجدار الناري (Firewall) ومختلف أجهزة الشبكات.

مثال تطبيقي  لتكنولوجيا EtherChannel:
لدينا جهاز جدار ناري فيه منفذي (GigabitEthernet) موصولان بمنفذي (GigabitEthernet) في جهاز موزع (Ethernet switch). نريد تشغيل تكنولوجيا EtherChannel لتجميع الوصلتين وكانهما وصلة واحدة وذلك لرفع توافرية الوصلة بين الجهازين بحيث يبقى الجهازين متصلان في حال انقطاع إحدى الوصلتين وايضا من أجل الحصول على سرعة نقل أكبر (2Gbps) هي محصلة مجموع سرعة النقل للمنفذين.



خطوات التشغيل:
سنقوم بتفعيل الـ EtherChannel على جهاز الجدار الناري
ciscoasa(config)# interface gi0/1
ciscoasa(config-if)# channel-group 1
ciscoasa(config-if)# channel-group 1 mode active

ciscoasa(config)# interface gi0/2
ciscoasa(config-if)# channel-group 1
ciscoasa(config-if)# channel-group 1 mode passive

ciscoasa(config)# interface port-channel 1
ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# nameif inside


وكذلك سنقوم بتفعيل الـ EtherChannel على جهاز الموزع Ethernet switch
switch(config)# interface gi0/23
switch(config-if)# channel-group 1
switch(config-if)# channel-group 1 mode active

switch(config)# interface gi0/24
switch(config-if)# channel-group 1
switch(config-if)# channel-group 1 mode passive

switch(config)# interface port-channel 1
switch(config-if)# ip address 192.168.1.2 255.255.255.0

ليست هناك تعليقات:
Labels:

الاثنين، 4 أغسطس 2014

تشغيل قناة VPN



تشغيل قناة VPN
سنستعرض هنا كيفية تشغيل قناة VPN بين شركتين عبر شبكة الانترنت باستخدام Cisco routers

وصف الحالة:
تريد شركة Company-A ربط احد أنظمتها العاملة مع قواعد بيانات متواجدة على أحد الخوادم العامل في شركة Company-B. ولضمان خصوصية البيانات المرسلة بين الطرفين وللحفاظ على أمن وحماية الشبكتين في الشركتين فإنه يتطلب أن تكون عملية الربط بين الطرفين من خلال قناة VPN.



المواد المتوفرة لدى الشركة Company-A هي:
- Cisco router 1841
- خط انترنت ADSL موصول بـ modem
- سويتش يستخدم لربط جهاز الخادم وكذلك عدد من أجهزة الحاسوب

خطوات التشغيل:
سنقوم بعمل الاعدادات من جهة Company-A حيث أن الاعدادات طرف Company-B جاهزة وتم ارسال الاعدادات الخاصة بالـ VPN هي :
  1.  Phase 1 settings: AES 256 encryption, SHA hash, pre-shared key, DH group 5
  2.  Peer IP address: 2.2.2.2
  3. Key: IPSEC$$1234
  4.  DPD Keep alive 300 seconds

بداية سنقوم بتشغيل خدمة الانترنت من خلال سيسكو راوتر:
interface FastEthernet0/1
  no ip address
  pppoe enable
  pppoe-client dial-pool-number 1

interface Dialer0
  ip address 92.253.111.174 255.255.255.252
  ip mtu 1492
  encapsulation ppp
  ip tcp adjust-mss 1452
  dialer pool 1
  ppp authentication chap pap callin
  ppp chap hostname asdf
  ppp chap password 0 1234
  ppp pap sent-username asdf password 0 1234

ip route 0.0.0.0 0.0.0.0 Dialer0

ثم سنقوم بعمل الاعدادات الخاصة بـ phase1 للـ VPN على جهاز Cisco router  بحيث تكون متوافقة مع الطرف الثاني (Company-B)
crypto isakmp policy 100
  encryption aes 256
  hash sha-1
  authentication pre-share
  group 5

يتم تحديد كلمة السر (key) المتوافق بين الطرفين
crypto isakmp key IPSEC$$1234 address 2.2.2.2

تحديد فترة ارسال الرسائل (DPD) للطرف الآخر للتأكد من استمرار أو اغلاق عمل قناة VPN
crypto isakmp keepalive 300

عمل الاعدادات الخاصة ب phase2 والمتعلقة والتي تختص بالبيانات المرسلة عبر القناة:
crypto ipsec transform-set SET-1 esp-aes 256 esp-sha-hmac

نحدد البيانات التي يجب أن تمر عبر قناة VPN دون غيرها وذلك باستخدام ال ACL:
access-list 100 permit ip host 192.168.1.14 host 10.37.25.87

نقوم بعد ذلك بعمل Crypto Map لانشاء القناة VPN ذات الاعدادات المحددة سابقا:
crypto map MAP-1 110 ipsec-isakmp
  set peer 2.2.2.2
  set transform-set TR-1
  match address 100

ومن ثم نقوم بتطبيق MAP-1 على منفذ الراوتر الواصل على شبكة الانترنت:
interface Dialer0
  crypto map MAP-1


ليست هناك تعليقات:
Labels: ,
الاشتراك في: الرسائل (Atom)