برچسب: ip

خدا خیرت بده

چهارشنبه شب رو تا صبح بیدار بودم و داشتم درس میخوندم و اصلا حوصله کار رو نداشتم و از خدا عاجزانه درخواست میکردم که امروز شرکت خبری نباشه تا بتونم نشسته یکم چرت بزنم. از خونمون تا شرکت با اتوبوس حدود نیم ساعت راه بود ، برا همین منتظر شدم تا اتوبوس خالی بیاد که بتونم بشینم و از این نیم ساعت طلایی استفاده کنم و بخوابم . تا نشستم توی اتوبوس ، چشمام رو بستم که وجدانم افراد سالخورده رو نبینه و از جام بلندم نکنه. چشمام داشت سنگین میشد که یه خانم محترمه مسن زد سرشونم ، که پاشو این صندلی رو بده به اون پیرمرد و خودشم رفت منبر که وجدانت کجاست و شما جوون ها چی شدین و به کجا دارین میرسین. منم که گوشام ساخته شدن برای گوش ندادن ، گوش نمیدادم و سر تکون میدادم و سعی میکردم وایساده چرت بزنم و از ته دلم امیدوار بودم که امروز توی شرکت اتفاقی نیوفته.
رسیدم  شرکت ، تمام بچه ها دمه در  شرکت وایساده بودن. کلیدار هنوز نیومده بود . پیش خودم گفتم ، “سالی که نکوست از بهارش پیداست” و رفتم پیش بچه ها ، تلفن شرکت  هم داشت خودش رو میکشت. یه نیم ساعت دمه شرکت معطل شدیم و تلفن هم یه بند زنگ میزد ، تا کلید دار پیداش شد . تازه شاکی هم بود که زیرآبش رو پیش مدیرعامل زدیم .

در رو که باز کرد ، بی اراده رفتم سراغ تلفن و جواب دادم :
بله ؟
مهندس کجایین ؟؟ چرا جواب نمیدین ؟!!
ببخشید ! جانم ؟ چی شده ؟
مهندس ما امروز انتخاب واحد داریم توی دانشگاه ، هیچ کدوم از کامپیوترا سرور انتخاب واحد رو نمیبینن! الان بچه ها پیداشون میشه ! من دیروز همه چیو چک کردم ، درست بوده.
سرور رو ریست کردی ؟
آره ، مهندس ده بار ریست کردم . کار نمیکنه مهندس.
باشه ، نگران نباش ، بزار کامپیوترم بیاد بالا ، چکش میکنم .
مهندس تو رو خدا زود ، الان اینا میان ، پوست منو میکنن.
باشه ، خدافظ

کامپیوترم اومد بالا ، همین جور وایساده ریموت زدم به سرور . اولین کاری که به ذهنم میخورد این بودم ببینم که وب سایت  ، روی خود سرور میاد بالا یا نه ! آدرس وب سایت رو زدم و اینتر کردم ، خیلی سریع اومد بالا . حالم گرفته شد ، کارم سخت شد ، داشتم فکر میکردم چش میتونه باشه که تلفنم زنگ زد.
جانم ؟
مهندس ، میخواستم بگم ، همه کامپیوترها اینجوری نیستن ، بعضی ها درستن ، ولی بیشترشون خرابن.
میتونی بری بشینی پشت یکی و بهم زنگ بزنی؟
باشه مهندس ، بهت زنگ میزنم.

تو این فاصله ،یه چایی ریختم و آماده شدم که زنگ بزنه . زنگ زد !
الو مهندس ، چیکار کنم ؟
سرور رو پینگ میکنی ؟
مهندس پینگ نمیشه ؟
گیت وی رو چی ؟ ببین اونو میتونی پینگ کنی ؟
نه مهندس ، اونم پینگ نمیشه .
میشه IP رو چک کنی ؟ ببین اصلا IP گرفته ؟
آره مهندس ، IP گرفته ، فقط نمیدونم چرا اشتباست !!! مهندس این داره اشتباه IP میگیره ! فکر کنم مشکل از DHCP سرور باشه ! داره اشتباه IP میده .
خیلی خب ، دستی IP بده ببین درست میشه !
آره مهندس درست شد ، فقط من نمیتونم ۲۰۰ کامپیوتر رو دستی IP بدم ، میشه مشکل DHCP رو حل کنید ؟
بزار ببینم چی میشه ! بهت زنگ میزنم .

مشکل رو فهمیده بودم ، یه DHCP سرور دیگه توی شبکه Run شده بود ،حتما یکی از دانشجوها کلاس مایکروسافت رفته و درسشونم DHCP بوده و داشته رو یکی از سیستم ها تمرین میکرده ، شایدم کسی قصد خرابکاری داشته ! خلاصه هرچی که بوده استراحت مارو مختل کرده بود یه کار درست حسابی برامون دست و پا کرده بود. زنگ زدم بهش مشکل رو توضیح دادم و ازش خواستم که شروع کنه سیستم ها رو یکی ، یکی خاموش کنه و چک کنه تا ببینیم میتونیم اون سرور متقلب رو پیدا کنیم یا نه .

با بی حوصلگی ، شروع کردم اینترنت رو سرچ کردن و دیدم خیلی ها این مشکل رو دارن و همه از DHCP Snooping برای حل این مشکل صحبت میکردن. از اونجایی که خیلی بی حوصله بودم ، رفتم پیش مدیر شرکت و جریان رو براش توضیح دادم و گفتم به نظرم راه حلش DHCP Snooping باشه . از اونجایی ، که این مدیرمون همه چیزا رو تجربی یاد گرفته بود ، وصل شد به سوئیچ ها و توی همه ی سوئیچ ها کامند DHCP Snooping رو زد. چند دقیقه بعد طرف زنگ زد و گفت مهندس شما کاری کردی ، گفتم چی شده؟ درست شده؟ گفت نه بابا ، دیگه اصلا IP نمیگیرن ، فکر کنم ، اشکال از DHCP Server باشه. گفتم ، بزار چک کنم .  رفتم کامندای مدیرمون رو پاک کردم و دوباره همه چیز برگشت مثه قبل.

اینجوری کار کردن رو اصلا دوست نداشتم ، برا همین نشستم پای مقالات سیسکو تو زمینه DHCP Snooping . خوب که مطلب برام جا افتاد ، وصل شدم به سوئیچ ها و درست کانفیگشون کردم . دوباره بعد از چند دقیقه تماس گرفت و گفت ، مهندس شما کاری کردی؟ ایندفعه با قدرت گفتم ، آره باید درست شده باشه . گفت آره مهندس خدا خیرت بده!

ساعت ۲ ظهر بود و من هیچی نخوابیده بودم ولی خوشحال بودم ، نه بخاطر اینکه مشکل رو حل کرده بودم ، نه ! بلکه بخاطر اینکه فرداش جمعه بود ، البته نه بخاطر اینکه جمعه تعطیل بود و میتونستم بخوابم، نه! اصلا اون سال جمعه ها برام یه روز دیگه بود.

DHCP Snooping به زبان خودم

Telegram_logo.svg_

DHCP Snooping

برای درک بهتره DHCP Snooping بهتره اول یه کوچولو در مورد DHCP و نحوه کار کردنش بدونیم . پروسه IP گرفتن از DHCP چهارتا مرحله داره :

DORA :

  • DHCP Discover : کامپیوتر ، یه داد توی شبکه میزنه و میگه : آیا سروری وجود دارد که به من IP بده ؟
  • DHCP Offer : سرور به محض گرفتن پیام کمک از کامپیوتر ، یه عکس از یه IP تپل ، مپل با مخلفاتش مثه MASK ، GW برا کامپیوتر میفرسته و میگه دوسش داری؟
  • DHCP Request : کامپیوتر پیشنهاد سرور رو میگیره ، اندازه و براندازش میکنه ، سبک ، سنگینش میکنه و میگه من میخوامش .
  • DHCP Acknowledge : تو این مرحله ، سرور به کامپیوتر میگه باشه مال تو و از سبد محصولاتش اون IP رو حذف میکنه.

dhcp_principle

حالا فرض کنیم که یه نفر شیطونی کرده و توی شبکه یه سرور DHCP تقلبی راه انداخته و شروع کرده به توزیع IP های فیک(Fake) با ظاهری خوب ولی بدردنخور مثه ۱٫۱٫۱٫۱ و از اونجایی که کامپیوترها جو گیرن و به اولین پیشنهاد IP اوکی میدن توی بد دردسری میوفتن و ارتباطشون با کل شبکه  قطع میشه و البته اگه شیطونمون یکم حرفه ایی باشه ، به جای اینکه ارتباط کامپیوتر رو با شبکه قطع کنه میتونه ترافیک رو اول به سمت خودش برای آنالیز و بعد به سمت شبکه هدایت کنه . اینجوری ارتباط کامپیوتر با شبکه قطع نیست ، ولی اطلاعات اول میرن پیش شیطون ، یه بررسی میشن ، بعد به راهشون ادامه میدن. اطلاعاتم که میدونیم میتونه شامل  تمام یوزر پسوردها ، اطلاعات بانکی و خلاصه هر چیزی که شما در شبکه رد و بدل میکنید باشه.

DHCP snooping یه راه جلوگیری از کار کردن DHCP Server های تقلبی  با استفاده از فیلتر کردن DHCP Offer ها توی شبکمونه. به این صورت که وقتی شما DHCP Snooping رو روی یک سوئیچ فعال میکنید بصورت پیش فرض تمام DHCP Offer ها رو از هر پورتی که دریافت کنه فیلتر میکنه. این حرکت ، یه مشکل کوچیک ایجاد میکنه و اونم اینه که دیگه سرور DHCP خودتونم کار نمیکنه و پیشنهادتش (DHCP Offer) فیلتر میشه. برای رفع این مشکل باید تمام پورت هایی که به سرور DHCP اصلی میرسن رو برای DHCP Snooping معرفی کنیم یا به اصطلاح Trust کنیم. من خودم اول فکر میکردم ، که اگه فقط پورتی که به DHCP Server وصل هست رو Trust کنیم کافیه ولی باید حواسمون باشه که ممکنه کامپیوتر ما  قرار باشه از چندتا سوئیچ رد شه  بعد به DHCP Server برسه ، پس باید حتما Trust روی پورتهایی که بین سوئیچ ها هستند و روشون  Snooping  فعال هست هم زده بشه وگرنه DHCP Offer توی سوئیچ بعد فیلتر میشه.

برای فعال کردن DHCP Snooping توی سوئیچ های سیسکو ، کافیه توی محیط Global کامند ip dhcp snooping رو بزنیم و بعد توی پورت هایی که به سرور خودمون ختم میشن کامند ip dhcp snooping trust رو بزنیم

“امیدوارم از این به بعد توی طراحی و مشاورمون برای مشتری این امکان رو لحاظ کنیم و برای مشتریمون ارزش قائل شیم”

یه خاطره از DHCP Snooping

Telegram_logo.svg_

یک تجربه ساده با هزینه ایی گزاف

قرار بود ، یه روتر تو مایه های سری ۹۰۰۰ سیسکو  توی شبکه اضافه بشه و همه دوست داشتن که سعادت نصب و راه اندازیش نصیبشون بشه . از خصایص این روتر باید بگم که قده یه یخچال و ۱۶ تا کارت میخوره که بر اساس نیاز کارت های ۱۰G , 40G ,100G روش سوار میکنن. یادمه شرکت قبلی که بودم سر دیدن یه ۲۹۶۰ له له میزدم و کلی باهاش سلفی میگرفتم و میذاشتم عکس پروفایلم اما برعکس بقیه که خیلی مشتاق بودن کارو بگیرن دستشون ، من دنبال تجربه جدید میگشتم. عکس ۳D روتر رو میتونید از این لینک ببینید و لذت ببرید.

کار نصب فیزیکی این روترها کار ما نیست و شرکت هایی هستن که این کارو انجام میدن ، اما روشن کردنش بعهده ماست و برای همین قبل از روشن کردن روتر ، یه کانفیگ اولیه براش آماده میکنیم در حدی که به شبکه وصل بشه و از همه جا دیده بشه ، بعد مابقی کانفیگ ها رو از راه دور میزنیم.

خب نصب فیزیکی روتر انجام شد و بچه ها کانفیگ رو زدن و به اصطلاح روتر رو Live کردن . برای وصل شدن به روتر جدید نیاز بود که اول به  سوئیچی که روتر بهش وصل شده ، وصل شی، بعد  به IP اینترفیسی که به روتر جدید خورده بود Telnet کنی.

یکی از بچه ها ، با استفاده از نرم افزار SecureCRT  اول به سوئیچ  و بعدم از داخل سوئیچ به روتر جدید Telnet کرد و شروع کرد به زدن مابقی کانفیگ ها. وقت نهار شده بود و همه گرسنه شده بودیم و قرار شد ادامه کار رو موکول کنیم به بعد از نهار. جاتون خالی ، یه نهار توپ زدیم و یه کمم گپ زدیم و خندیدم. بعد از یک ساعت ، همه برگشتیم سر کارامون.

هر کسی سرش به کار خودش بود که ، از بخش مانیتورینگ زنگ زدن و گفتن ، دارین توی فلان شهر کاری میکنین ، گفتم : فقط داریم روتر جدید رو کانفیگ میکنیم . چیزی شده ؟ گفتن کل ترافیک  قطع شده . همون لحظه فهمیدم که ارتباط بچه ها هم ، که داشتن روتر جدید رو کانفیگ میکردن ، قطع شده.

گفتم : بچه ها چیزی شده ، فهمیدم که بعد از کانفیگ BGP  ارتباطشون قطع شده و متاسفانه هیچ لاگی هم نداریم . پیش خودم گفتم : نمیتونه ربطی داشته باشه . حتما چیزی ترکیده شانس ما! ولی موظف بودیم که چک کنیم . یکی از دوستان گفت ، شاید کامندی اشتباه زدین توی روتر و لوپی ، چیزی اتفاق افتاده .

بی معطلی ، هماهنگ کردیم که یه نفر بره سر روتر تا ببینیم چی شده. متاسفانه ، طرف چیزی بلد نبود و مجبور شدیم بهش بگیم که روتر رو خاموش کنه(روتر جدید بود و سرویسی نداشت) ، که خیالمون راحت بشه. روتر رو خاموش کرد ، همه با هم دعا میکردیم که مشکل حل شه که تلفن زنگ خورد ، تو دلم گفتم ، بگو اوکی شد ، که طرف گفت ، هیچ فرقی نکرده. حالا چیکار کنیم ، هر یک ثانیه قطی ، برای شرکت کلی جریمه داشت  و متعاقبا برای ما . همین که داشتیم دور خودمون میچرخیدیم و تو سر خودمون میزدیم ، رفیقمون فهمیده بود که چیکار کرده.

وقتی ما از نهار برگشته بودیم ، دوستمون نشسته بود به ادامه دادن کانفیگ ، اما حواسش نبوده که Telnet Sessionکه از روی سوئیچ به روتر زده بوده بسته شده و الان توی سوئیچ نه توی روتر و بدون چک کردن شروع کرده بود به کانفیگ زدن روی سوئیچ و اون سوئیچ ترکیده بود.خلاصه  چون چیزی رو ذخیره نکرده بود با ریست کردن سوئیچ مشکل حل شد و بعد از یک ساعت سرویس اومد بالا .

یک تجربه ساده با هزینه ایی گزاف

بی سواد با تجربه

آخر وقت بود و داشتم به OSPF فکر میکردم و مثل همه منتظر بودم که ساعت ۵:۰۰ شه تا برم خونه .یکی اومد و گفت :

دیشب ما یه تغییراتی توی شبکه ی خودمون دادیم ، از دیشب دیگه سایتامون دیده نمیشن. میشه چک کنی مشکل سمت شما نباشه.

گفتم : شما تغییر دادین ، من چک کنم ؟!!  یه ایمیل بزن ، آی پی هایی Source  و Destination رو هم بزار چک میکنیم و جواب میدیم.

گفت : نمیشه الان چک کنی ؟!

گفتم : بده آی پی ها رو .

(میتونید سناریو رو قبل از اتمام داستان دانلود کنید و سعی کنید حلش کنید )

یه کاغذ پر از شکل از جیبش درآورد و گذاشت رو میز و تو اون شلوغی های کاغذ یه آی پی نشونم داد ، که ده بارم خط خطیش کرده بود.

گفتم:  میخونیش . کلی زور زد و در نهایت با حدس و گمان یه آی پی بهم داد.

دیدم یه استتیک روت برای رنج  ۱۰٫۱۳۱٫۱۲۸٫۰/۲۴ به نکست هاپ ۱۰٫۱۳۱٫۵۷٫۳۰ داریم. سعی کردم نکست هاپ رو پینگ کنم ، پینگ نشد . بی معطلی گفتم ، مشکل سمت خودتونه.

گفت : یعنی چی ؟

گفتم : به روتر ما چی وصل کردید ؟ که ما استتیک به سمتش داریم.

گفت : TN

گفتم : TN چیه دیگه ؟

گفت : تو فکر کن یه روتر یا یه سوویچ که سایتامون خوردن بهش .

گفتم : اوکی ، اون پینگ نمیشه .

گفت : ولی از سر سایت ما میتونیم TN رو پینگ کنیم .

گفتم : اشکال از TN تا روتر ماست . معلومه که سایت ها تا روتر مشکلی ندارن.

گفت : خوب مشکل چیه ؟

گفتم : من نمیدونم ، شاید فیزیکی باشه ، شایدم TN قاط زده .

یه تشکر کرد و رفت.

فرداش اومد و گفت :

مهندس چک میکنی ببینی پینگت اومد.

گفتم : مگه کاری کردین ؟ گفت : آره ! برد رو عوض کردیم.

چک کردم ، بنظر درست بود .

گفتم : پینگ میشه !!

گفت : ولی سایت های ما هنوز دیده نمیشن.

گفتم : ای بابا و سعی کردم از روی روتر آی پی یکی از سایت ها رو پینگ کنم . که پینگ نمیشد. دوباره نکست هاپ پینگ کردم و دیدم پینگ میشه .

گفتم : اینا قبلا کار میکردن . یعنی سایت ها دیده میشدن قبلا .

گفت : آره بابا . از پریشب که  TN4  نصب کردیم ، دیگه سایتامون دیده نمیشن.

با یه سورس دیگه نکست هاپ رو پینگ کردم ، دیدم پینگ نمیشه .

گفتم : TN روت برگشت به سمت ما نداره ، احتمالا دیفالت روتی ، چیزی داشته که پاک شده ، برو روتینگ تیبلش رو چک کن.

گفت : میشه خودت چک کنی ؟

گفتم : من که نمیتونم به دستگاه شما وصل شم .

گفت : مهندس یکاریش بکن ، این داره شر میشه .

تلنت کردم به TN  ، پسورد میخواست ، ازش پسورد رو گرفتم و زدم ، لاگین شد ، کامنداش مثه سیسکو بود.

یه IP route گرفتم ، دیدم که یه دیفالت داره به سمت روتر ما و مابقی روت ها رو هم از OSPF یادگرفته.

سعی کردم از روی TN یکی از لوپ بک های روتر خودمون رو پینگ کنم ، دیدم پینگ نمیشه ، عجیب بود. همه چیز درست بود ، اما پینگی برقرار نبود.

روتینگ تیبل رو برای اون لوپ بک سرچ کردم ، دیدم بجای اینکه با دیفالت روت مچ بشه داره با ۱۰٫۰٫۰٫۰/۸  مچ میشه.

۱۰٫۰٫۰٫۰/۸ رو نیگاه کردم ، دیدم که از طریق OSPF از یه TN دیگه یادش گرفتم . مشکل پیدا شد.

تمام آی پی های شبکه ما توی رنج ۱۰ بودن و TN با دیفالت روت به شبکه ما وصل بود ، اما یک روت کوچیکتر از دیفالت (۱۰٫۰٫۰٫۰/۸) تو شبکه شون وجود داشت که اجازه نمیداد چیزی با ۰٫۰٫۰٫۰/۰ یا همون دیفالت مچ بشه .

مشکل رو روی کاغذ براش توضیج دادم . باز گفت مهندس : میشه خودت چکش کنی .

گفتم اوکی.

مشکل برا من واضح بود ، حتما یکی از TNها داره Summery انجام میده. افتادم توی شبکه از این TN به اون TN دنبال Summery میگشتم ، کامندها رو هم زیاد خوب نمیدونستم و بایستی با “؟” و حدس و گمان کار میکردم.

رسیدم توی TN که داشت روت ۱۰٫۰٫۰٫۰/۸ رو Advertise میکرد ولی از سامریزیشن خبری نبود. مغزم قفل شده بود روی سامریزیشن و مشکل جلوم بود رو نمیدیدم.

مجبور شدم که دست به کاغذشم و شکل رو بکشم . از اونجایی که سامیریزیشن در OSPF بین دو تا Area انجام میشه ، توی شکلم خوب Area ها رو مشخص کردم. اما باز متوجه نشدم. یعنی نتونستم TN که سامری میکنه رو پیدا کنم.

شکل رو پاک کردم و تصمیم گرفتم یه شکل با تمام جزییات بکشم تا بتونم مشکل رو پیدا کنم ، ایندفعه سعی کردم که حتی IP ها رو هم روی شکل بنویسم که مشکل پیدا شد.

بله ، یه مهندس با تجربه ، برای اینکه آی پی های دوسر یه اینترفیس تو یک رنج باشن یک سمت اینترفیس رو آی پی رنج ۳۰ داده بود و یه سمت دیگه رو رنج ۸ و توی OSPF ریخته بود و کل ترافیک رنج ۱۰ رو میکشید سمت اون TN بدبخت.