مدونة NetworkSet مدونة تختص بأمور الشبكات والأجهزة التى تدعمها نواصل معكم اليوم الحديث الذي بدأناه في تدوينة سابقة عن الـ Policy Based Routing ماهي وكيف نستفيد منها والتى وعدت فيها بتخصيص تدوينة كاملة تتحدث عن كيفية الأستفادة من هذه الخاصية من خلال الـ Route-Map والتى سوف تكون محور حديثنا لهذا اليوم
Route-Map
تعتبر هذه الخاصية على أجهزة سيسكو احد الخواص الهامة جدا فهي تقوم بوظيفة كبيرة وهامة ألا وهي تغيير قواعد اللعبة ؟ والمقصود هنا باللعبة هي عملية توجيه وأرسال الترافيك عبر الشبكة من خلال أتاحة أمكانية التوجيه أعتمادا على معطيات آخرى غير الـ Destination الخاص بالباكيت والموضوع أيضا ليس مقتصرا على التوجيه فقط لأن الـ Route-Map تمكننا من التلاعب بالـ Header الخاص بالباكيت وتغييره أيضا بالأضافة إلى أستخدامه مع الـ Redistribution والـ BGP والـ NAT وطبعا الـ PBR والكثير من الأستخدامات التى لايسعني ذكرها فأنا كلما أتعرض لسؤال غامض لا أفهم كيف تم تطبيقه أول مايخطر على بالي هو الـ Route-Map لأن هذه الخاصية تتيح لك الكثير من الأمور ومن تعامل مع لغات البرمجة سوف يفهم فكرة الـ Route-Map أسرع من غيره لأن الفكرة نفسها موجودة في لغات البرمجة وهي (IF/Then/Else) لكن هنا نحن نعتمد على Match و Set لتطبيق القواعد العملية على الشبكة.
أمر الـ Match
يعتبر أمر الـ Match المسؤول عن تحديد الشيء الذي يجب أن يتطابق مع الـ Route-Map وبكلام آخر يعتبر أمر الـ Match هنا هو الشرط الذي يجب أن يتحقق لكي نقوم بتطبيق المعطيات القادمة من أمر الـ SET مثل أن نقول Match ip address ونتبعها برقم أكسس ليست قمت بأعداداها مسبقا مثل أن أقول
Cisco'sAccess-list 1 permit 192.168.1.1 0.0.0.255
ليصبح لدي امر الـ Route-map كالآتي match ip address 1 والذي يعني ان وجد أي أيبي ينتمي للأكسس ليست رقم واحد عندها قم بعمل matching له ومن هنا أحب ان أشير إلى شيء خطير وهام الأكسس ليست هنا لاتلعب أي دور في المنع أو السماح يعني لو كان الأمر السابق deny فهذا لايعني شيء مادام الأمر لم يتم تطبيقه على أحد المنافذ نعود للـ Match فلو فرضنا أن هناك فعلا باكيت مرت تحمل هذا الأيبي عندها مباشرة سوف يعمل الـ Route-Map لأن أحد شروطه قد تحقق وسوف أوضح كل هذه الامور بأمثلة في تدوينة ثالثة سوف أطرح فيها ثلاث أو أربع أمثلة لحالات مختلفة لأن موضوع الـ Route-Map هام وأحتاج إلى شرحه بشكل كامل لذلك موضوعنا هذا سوف يكون نظري.
وقبل أن ننتقل إلى أمر الـ Set أود الأشارة إلى أمر بالغ الأهمية وهو وجود أكثر من شرط فلو فرضت أن كتبت الأوامر التالية :
Cisco'sMatch ip address 1
Match ip address 2
Match ip address 130
في مثالنا هذا تقول لنا سيسكو أن الـ Route Map سوف تطبق في حالة واحدة فقط وهي وجوب وجود Match للثلاثة معا وبكلام آخر يجب أن يتم عمل Match للشروط الثلاثة الموضحة في الاعلى أما لو في حال كان الأمر على الشكل الآتي Match ip address 1, 2, 130 فالـ Route Map سوف تتفعل في حال وجود Match لاي واحده من الأكسس ليست
بكلام آخر
If several match commands are present in a clause, all must succeed for a given route in order for that route to match the clause (The logical AND algorithm is applied for multiple match commands).
If a match command refers to several objects in one command, either of them should match (the logical OR algorithm is applied).
الشرح | الأمر |
الشرط سوف يكون مع المنفذ ورقمه | match interface interface-type interface-number [… interface-type interface-number] |
الشرط مع الأيبي أو مع عنوان الشبكة | match ip address {[access-list-number | access-list-name] | prefix-list prefix-list-name} |
الشرط مع الـ Next-Hop أو مع الوجهة التى سوف ترسل إليه الشبكة | match ip next-hop {access-list-number | access-list-name} |
الشرط مع العنوان المرسل Source IP | match ip route-source {access-list-number | access-list- |
الشرط مع قيمة الـ Metric الخاصة بتوجيه الشبكة وهي أما رقم ثابت أو قيمة تحدد بين رقمان | match metric metric-value [+–deviation] |
الشرط مع نوع وشكل التوجيه وهي خاصة بي الـ Redistribution | match route-type {internal | external [type-1 | type-2] | level-1 | level-2} |
أمر الـ SET
قبل أن ندخل في أمر الـ Set سوف أذكر بشيء هام ذكرته في البداية فأنا تحدثت أن الـ Route-Map يستطيع أن يعدل ويغير في المحتويات ولكن أنا لم أذكر أن هناك Action أو ردة فعل يقوم الـ Route-Map بأتخاذها فعندما نبدأ بأعداد الـ Route-Map نكتب الأمر التالي :
Cisco'sRoute-map networkset permit 10
كلمة networkset هنا هي بمثابة أسم للـ Route-Map أما أمر الـ Permit فهو ردة الفعل التى سوف يقوم بها الـ Route-Map لو في حال حدث Match لأحد المعطيات الموجودة ضمنه وهي تختلف عن أمر الـ SET لأن الـ SET هنا ضرورية للقيام بتغيير معين في محتويات الباكيت بينما الـ Action هي ردة الفعل فلو كان هدفنا هو منع شيء معين مثل شبكة معينة أو منفذ معين أو حتى قيمة معينة Metric أو نوع معين من أنواع التوجيه Route-Type عندها نقوم بكتابة أمر الـ Match الخاص به فقط ولا نضيف أي أمر Set بعدها وقبل ذلك نحدد الـ Action التى يجب أن تكون وهي deny أما لو كان هدفنا هو التغيير عندها يتوجب علينا أن نضع الـ Action دائما Permit وبعدها ندخل أمر الـ Set لكي نحدد الشيء الذي نريد تغييره وهذه الأمور سوف تتضح مع الأمثلة العملية التى سوف أطرحها في التدوينة الثالثة .
هذا مالدي اليوم أتمنى أن تكون الصورة واضحة وأن لا أكون قد عقدت الامر أكثر من اللازم ولكن أعتقد أن التدوينة الثالثة سوف تجعل الأمر واضح جدا وبدون أي تعقيد أتمنى أن تكونوا قد أستفدتوا من تدوينتي لهذا اليوم وإن شاء الله العمل متواصل على المدونة ولاتنسونا من دعواتكم ودمتم بود.
Thank you very much, I think that your web site value increases every day
شرح جميل باشمهندس امنى لك التوفيق
جزاك الله كل خير وزادك من علمه . . .
استاذنا ومهندسنا أيمن الكريم , الى حد الان لم نستلم اي ايميل من الموقع او المدونة منذ إيميل ( الاعلان عن أطلاق أول ويكي عربي مخصص لعالم الشبكات ) , نرجو التحقق من الامر , شاكرين ومقدرين جهودكم الجبارة الساعية لتوعية وتثقيف هذه الأمة , جزاكم الله كل خير . . .
شكرا أخي أسامة على الأهتمام بالمشكلة وحقيقة عجزت وأنا أبحث عن حل ولكن توصلت إلى سبب مقنع وقمت بأصللاحه وتعديله وأن شاء الله يتم حل المشكلة لأن على مايبدوا أقتتاح الويكي أثر على المدونة وعلى ادائه والتى تأثر به الـ RSS على كل حال بعد يومين رح نزل تدوينة جديدة وأتمنى أن تحل المشكلة.
الله يعطيك العافية يا استاذ أيمن , تم حل المشكلة . . . كل التوفيق والنجاح وبانتظار الجديد .
اعتقد ان الهدف الرئيسي من route-map هو عدم ارسال update يعني لو كان لدينا راوتر A,B,C,D والراوتر C خارج الAs ولا نريد للupdate الوصول له لشي معين هنا يتم تطبيق الRoute-mep وهذا هو السبب الرئيسي لوجودها
اشكر يا بشمهندس على الشرح الاكثر من رائع
شرح ممتاز شكرا من كل القلب
والله انك مبدع الله يوفقك في جميع أمورك
أخي الكريم
ماذا تقصد بأنه لو كانت ACL Deny or permit لا يهم ؟
هل لو وضعناها Deny بدلا من permit سيطبق عليها Set command ؟
ماذا لو كان الأكشن بـ Route-map deny و الأكشن ب ACL permit كيف سيفهما Router و ماذا لو كان العكس ؟
لان الأكسس ليست هنا لم تطبق على أي منفذ لذلك فهي غير مفعلة وكل مهمتها الآن هي عمل Matching.
لاتؤثر بأي شيئ على أمر الـ Set
لاتؤثر الأساس هو الـ ACTION وليس الأكسس ليست.
المختصر فائدة الاكسس ليست كما ذكرت في البداية هي من أجل عمل matching للباكيت.
ولكن لو وضعنا
route-map TEST permit 10
match ip address TEST
set local prefernce 110
ip access list ext TEST deny ip hots 192.168.1.1
بهذه الحالة يطبق على ip 192.168.1.1 الroute-map ؟
طيب وين المشكلة ؟ هل قلت أنا عكس هذا الشيئ ؟
فكرة ان تكون الأكسس ليست في وضعية deny لن يؤثر اي شيئ في الـ Route-Map
ستأثر deny بداخل ACL على عمل route-map, دعنا نأخذ عسبيل المثال بعمل redistribute داخل اي Routing protocol و أردنا بهذا Redistribute أن نمنع بعض subnets ونسمح لآخرين عن طريق route-map .
فعند وضع
route-map TEST permit 10
match ip address TEST
route-map TEST permit 20
match ip address allow
set metric x
ip access list ext TEST deny ip host 192.168.1.1
ip access list ext allow permit ip 192.168.2.0 0.0.0.255
نكون بهذه الحالة منعنا لحاسب 192.168.1.1 عن طريق Deny الموجودة بـ ACL وسمحنا لما تبقى من هذا subnet بـx metric
إذا نستنتج أن DENY بداخل ACL كان لها تأثير بـ Route-map
طيب أنت تقول منعنا, وأنا سوف أسالك سؤالين :
ماهي شروط تفعيل وأعداد الـ Access-list ؟
مافوائد إستخدام الـ Access-list ؟
ACL لأعطاء سماحية أو منعها لمصدر او لهدف اكان subnet or host معين .
بنهاية الحديث اريد أن أنوه ان وجود deny or permit بداخل route-map سيكون لها تأثير
وشكرا
أخي العزيز شرط تفعيل الأكسس ليست هو تطبيقه على المنفذ من خلال ip access group وبدون هذا الأمر تكون الأكسس ليست غير فاعلة ومجمل وظيفته يكون من أجل عمل matching.
وجود deny or permit داخل الـ Route-map سيكون له تأثير فقط عند كتابة الامر
Route-map networkset permit 10
Route-map networkset deny 10
وليس الأكسس ليست لو عندك أثبات ياريت تعطيني أياه ولو صفحة من كتاب او صفحة على الانترنت.
أخ ايمن
يمكنك أن تقوم بتكوين لاب لعمل redistribute بين two routing protocol وتعمل redistribute على اساس route-map مثال :
ip access-list standard DNEY_PER
deny 192.168.1.0 0.0.0.255
permit any
بالطبع 192.168.1.0 هو شبكة موجودة بداخل شبكة eigrp وسيمنع نشرها بداخل rip وسيسمح لماتبقى فإذا تحقق ذلك هذا يعني ان deny الموجودة بداخل route-map لها أثر على عملها ,و إذا كان كلامك صحيح ستنشر شبكة 192.168.1.0 بداخل rip لأن deny لاتؤثر .
route-map EIGRP_RIP
match ip address DENY_PER
set metric 10
بعد ان تقوم قد انشأت لاب يجمع بين rip و EIGRP قم بالراوتر الوسيط بالتالي
router(config)#router rip
router(config-router)#redistribute eigrp 100 route-map EIGRP_RIP
إذا كان من الصعب عليك القيام بلاب السابق ارجو أعلامي لكي ارسل لك my GNSLAB with config
شكرا
ياريت تأرسلي اللاب حتى أتاكد من المعلومة على بريدي الخاص ADMIN@NETWORKSET.NET أو حملها على أي موقع تحميل.
اتوقع التعليمات التي ارسلتها كانت واضحة وتستطيع ان القيام بتنفيذها لتتأكد من خطأك
بارك الله فيك اخى ايمن شرح متسلسل ورائع كالعادة ولكن هناك لبس فى نقطة واحدة وهى :
(وقبل أن ننتقل إلى أمر الـ Set أود الأشارة إلى أمر بالغ الأهمية وهو وجود أكثر من شرط فلو فرضت أن كتبت الأوامر التالية :
Cisco’s
Match ip address 1
Match ip address 2
Match ip address 130
فماذا سوف يعني للـ Route Map هذا ؟ والاجابة هي ببساطة أي Match ينطبق على الثلاث شروط سوف يتم تفعيل الـ Route-Map ودقق على كلمة أي لأن الأمر هنا لايتطلب تحقيق ثلاث شروط بل يكفي شرط أو شرطان او ثلاث شروط لتفعيل الـ Route-Map بينما لو كتبت Match ip address 1, 2, 130 عندها يجب أن تتحقق الشروط الثلاثة وهي نقطة يجب أن نحذر منها)
فى الحقيقة هى العكس فكتابة الاوامر بهذا الشكل يعنى ضرورة حدوثهم جميعا لانها تعنى هنا and
If many match or Set exist vertically, that mean a logical AND
اما كتابتها على الشكل Match ip address 1, 2, 130 تعنى حدوث اى منهم لانها تعنى OR
If many match conditions exist horizontally that means a logical OR
كلامك صحيح أخي علي وأعتذر عن هذا الخطأ الفادح , تم التعديل
فقط الشكر وكل الشكر إلى هذا الموقع الذي لا يوصف بصدق القلب فهو اكثر من اي وصف يوصف
فهو فائق بكل ما يحتويه فعلا وكل من شارك ووضع المواضيع به من قام بالتعليق ايضا ومن اشرف على بناء الموقع
وكل المدربين والمتدربين والكثير ايضا … الخ “جلا من لا يسهو ”
باحترام للجميع وشكرا
اخوكم
من فلسطين