آموزش پیشرفته CCNP/CCIE و مباحث تخصصی شبکه

مکمل آموزش جامع CCNA | پوشش کامل حوزه‌های تخصصی امنیت، سرویس‌ها و اتوماسیون

توسط میرعلی شهیدی، متخصص ارشد شبکه و امنیت سایبری

۱. EIGRP Named Mode و روتینگ پیشرفته

EIGRP Named Mode روش جدید و متمرکزتری برای پیکربندی EIGRP است.

EIGRP Named Mode (AS 100)

R1(config)#router eigrp CUSTOMER_A
R1(config-router)#address-family ipv4 unicast autonomous-system 100
R1(config-router-af)#network 192.168.1.0 0.0.0.255
R1(config-router-af)#exit-address-family
R1(config-router)#exit

Verifying EIGRP Named Mode

R1#show ip eigrp neighbors
R1#show ip eigrp topology

Passive Interface and Hello Timer Change

R1(config)#router eigrp CUSTOMER_A
R1(config-router)#address-family ipv4 unicast autonomous-system 100
R1(config-router-af)#af-interface GigabitEthernet0/0
R1(config-router-af-interface)#passive-interface
R1(config-router-af-interface)#hello-interval 10
R1(config-router-af-interface)#exit

۲. OSPF Multi-Area و LSA Types

پیکربندی OSPF با چندین Area (مناطق Backbone، Standard، Stub، NSSA).

OSPF Backbone (Area 0) & Standard Area

R1(config)#router ospf 1
R1(config-router)#router-id 1.1.1.1
R1(config-router)#network 192.168.1.0 0.0.0.255 area 0
R1(config-router)#network 10.0.0.0 0.0.0.255 area 10

Area Border Router (ABR) Configuration (Stub Area)

R1(config)#router ospf 1
R1(config-router)#area 10 stub

Not-So-Stubby Area (NSSA)

R2(config)#router ospf 1
R2(config-router)#area 20 nssa

دستور show ip ospf database برای دیدن انواع LSA و توپولوژی منطقه حیاتی است.

۳. Redistribution (توزیع مجدد)

قابلیت اتصال پروتکل‌های روتینگ مختلف به یکدیگر.

Redistribute EIGRP into OSPF (Using Route Map)

R1(config)#router ospf 1
R1(config-router)#redistribute eigrp 100 subnets metric 100 route-map EIGRP-TO-OSPF
R1(config-router)#exit

R1(config)#route-map EIGRP-TO-OSPF permit 10
R1(config-route-map)#match ip address 1
R1(config-route-map)#set tag 100
R1(config-route-map)#exit

Redistribute Static into OSPF (Default Metric Type)

R1(config)#router ospf 1
R1(config-router)#redistribute static subnets metric-type 1

۴. BGP Policy Routing (Route-Maps و Attributes)

BGP برای مدیریت ترافیک ورودی/خروجی بین ASها حیاتی است.

BGP Local Preference (Influencing Outbound Traffic)

R1(config)#ip prefix-list HIGH-PRIO permit 172.16.0.0/16
R1(config)#route-map LOCAL-PREF permit 10
R1(config-route-map)#match ip address prefix-list HIGH-PRIO
R1(config-route-map)#set local-preference 200
R1(config-route-map)#exit
R1(config-router)#neighbor 203.0.113.1 route-map LOCAL-PREF in

BGP AS-Path Prepending (Influencing Inbound Traffic)

R1(config)#route-map AS-PREPEND permit 10
R1(config-route-map)#set as-path prepend 65000 65000
R1(config-route-map)#exit
R1(config-router)#neighbor 203.0.113.2 route-map AS-PREPEND out

BGP Communities (Grouping Destinations)

R1(config)#route-map COMMUNITY permit 10
R1(config-route-map)#set community 65000:100
R1(config-route-map)#exit
R1(config-router)#neighbor 203.0.113.1 route-map COMMUNITY out

۵. MPLS (Multi-Protocol Label Switching) و VRF

MPLS ستون فقرات شبکه‌های ISP برای ارائه سرویس‌های VPN است.

VRF (Virtual Routing and Forwarding)

R1(config)#ip vrf CUSTOMER_B
R1(config-vrf)#rd 65000:20 
R1(config-vrf)#route-target both 65000:20
R1(config-vrf)#exit

R1(config)#interface GigabitEthernet0/2
R1(config-if)#ip vrf forwarding CUSTOMER_B
R1(config-if)#ip address 172.16.1.1 255.255.255.0

Basic MPLS Setup and LDP

R1(config)#mpls label protocol ldp
R1(config)#mpls ip
R1(config)#interface GigabitEthernet0/0
R1(config-if)#mpls ip

۶. DMVPN (Dynamic Multipoint VPN) و IPsec

راهکاری مقیاس‌پذیر برای VPNهای Hub-and-Spoke و Spoke-to-Spoke.

Phase 3 Hub Configuration (NHRP & IPsec)

R1(config)#crypto isakmp policy 1
R1(config-isakmp)#authentication pre-share
R1(config)#crypto ipsec transform-set TSET esp-aes 256 esp-sha-hmac

R1(config)#interface Tunnel0
R1(config-if)#ip address 172.16.100.1 255.255.255.0
R1(config-if)#tunnel source GigabitEthernet0/1
R1(config-if)#tunnel mode gre multipoint
R1(config-if)#ip nhrp map multicast dynamic 
R1(config-if)#ip nhrp network-id 1
R1(config-if)#tunnel protection ipsec profile IPSEC-PROF

DMVPN Phase 3 با دستور ip nhrp redirect روی Hub و ip nhrp shortcut روی Spoke امکان Spoke-to-Spoke را فراهم می‌کند.

۷. Zone-Based Firewall (ZBFW)

فایروال نرم‌افزاری بر اساس Zoneها (مناطق) که در روترهای IOS استفاده می‌شود.

Define Security Zones

R1(config)#zone security INSIDE
R1(config)#zone security OUTSIDE
R1(config)#zone security DMZ

Define Policy Map (INSPECT Traffic)

R1(config)#class-map type inspect match-any HTTP-CLASS
R1(config-cmap)#match protocol http

R1(config)#policy-map type inspect INSIDE-TO-OUTSIDE
R1(config-pmap)#class type inspect HTTP-CLASS
R1(config-pmap-c)#inspect

Apply Zone Pair

R1(config)#zone-pair security INSIDE-TO-OUT source INSIDE destination OUTSIDE
R1(config-zp)#service-policy type inspect INSIDE-TO-OUTSIDE

۸. MSTP و Private VLAN (PVLAN)

MSTP (Multiple Spanning Tree Protocol) و PVLAN برای بهینه‌سازی و امنیت لایه ۲.

MSTP Configuration

S1(config)#spanning-tree mode mst
S1(config)#spanning-tree mst configuration
S1(config-mst)#name MST-REGION
S1(config-mst)#revision 1
S1(config-mst)#instance 1 vlan 10-20
S1(config-mst)#exit
S1(config)#spanning-tree mst 1 priority 4096

Private VLAN (PVLAN) - Isolation

S1(config)#vlan 10
S1(config-vlan)#private-vlan primary
S1(config-vlan)#private-vlan association 11-12

S1(config)#vlan 11
S1(config-vlan)#private-vlan isolated
S1(config)#vlan 12
S1(config-vlan)#private-vlan community

۹. AAA (Authentication, Authorization, Accounting)

استفاده از سرورهای مرکزی (RADIUS/TACACS+) برای مدیریت دسترسی.

Global AAA Configuration

R1(config)#aaa new-model
R1(config)#aaa authentication login VTY-LOGIN group radius local 
R1(config)#aaa authorization exec VTY-AUTH group radius if-authenticated

RADIUS/TACACS+ Server Setup

R1(config)#radius server RADIUS-SERVER
R1(config-radius-srv)#address ipv4 192.168.1.50 auth-port 1812 acct-port 1813
R1(config-radius-srv)#key sharedsecret
R1(config)#line vty 0 4
R1(config-line)#login authentication VTY-LOGIN
R1(config-line)#authorization exec VTY-AUTH

۱۰. اتوماسیون شبکه (NETCONF/RESTCONF)

مدیریت شبکه از طریق APIها و پروتکل‌های مبتنی بر مدل (Model-Driven).

Enable API Interfaces (IOS-XE)

R1(config)#ip http secure server
R1(config)#restconf
R1(config)#netconf-yang

از ابزارهایی مانند Python، Ansible و Postman برای تعامل با این APIها استفاده می‌شود.

Sample YANG Model Command

R1#show running-config | section netconf-yang
R1#show platform software yang-management process

۱۱. مانیتورینگ پیشرفته: IP SLA و NetFlow V9

IP SLA (Service Level Agreement) - Tracking Jitter/Latency

R1(config)#ip sla 1
R1(config-sla-monitor)#icmp-echo 8.8.8.8 source-interface GigabitEthernet0/1
R1(config-sla-monitor)#frequency 5
R1(config)#ip sla schedule 1 life forever start-time now

R1(config)#track 1 ip sla 1 reachability

NetFlow Version 9 (Flexible NetFlow)

R1(config)#flow record NETFLOW-REC
R1(config-flow-record)#match ipv4 tos
R1(config-flow-record)#match ipv4 source address
R1(config-flow-record)#collect counter bytes
R1(config)#flow exporter NETFLOW-EXP
R1(config-flow-exporter)#destination 192.168.1.150

R1(config)#flow monitor NETFLOW-MON
R1(config-flow-monitor)#record NETFLOW-REC
R1(config-flow-monitor)#exporter NETFLOW-EXP

R1(config)#interface GigabitEthernet0/0
R1(config-if)#ip flow monitor NETFLOW-MON input