VTP version 3 กับปัญหาของ VTP Cisco Switch Catalyst รุ่น 2950 จะเป็นรุ่นที่รองรับแค่ VTP version 1 กับ version 2 เท่านั้น แต่สำหรับรุ่น Catalyst 2960 จะรองรับ VTP version 1 ถึง 3 จากปัญหาของ VTP version 1 และ version 2 โดย default แล้ว VTP domain name ถ้าไม่ได้ configure เอาไว้ มันจะกลายเป็นระเบิดเวลาใน Cisco Layer 2 Switch Network ส่วนจะเป็นระเบิดเวลาอย่างไร หากใครไม่ทราบ ลองไปดูได้จาก VDO ตามนี้ครับ ======================================= 4-1 สอนทฤษฎีของ VTP Link: //youtu.be/IZOt_DPog9U 4-2: สอนเป็นลำดับเหตุการณ์ของ VTP โดยใช้วิธีการเอา LAB มาอธิบายแบบเป็นขั้นเป็นตอน Link: //youtu.be/LxUK-oJELbc โดย Cisco ได้แจ้งเอาไว้ว่า VTP version 3 ได้แก้ปัญหา ในกรณีที่เราไม่ได้ configure VTP domain name โดยแปลเป็นไทยประมาณนี้  ======================================= จากข้อความที่แปลมาเกี่ยว VTPv3 คือ: "สำหรับ VTPv3 นั้น Switch จะไม่ learn domain name  อย่างอัตโนมัติเหมือนอย่าง   VTPv1 และ VTPv2 เพราะมันเป็นพฤติกรรมที่มีความอันตรายเป็นอย่างมาก ดังนั้น   VTPv3 จะต้องบังคับใช้ configuration แบบ manual" และจากการ test แล้ว คือ Cisco Catalyst 2960 จะมี default คือ - VTP Version 1 - VTP mode Server - VTP Domain name ไม่มี ดังนั้นหากเราไม่ทำอะไรเลย มันก็ยังคงเป็นระเบิดเวลาอยู่ดี - default ไม่ใช่ Version 3 นะครับ แต่เมื่อผมพยายามที่จะ configure VTP ให้เป็น Version 3 จะได้ output ดังนี้ 2960-1(config)# vtp version 3    Cannot set the version to 3 because domain name is not configured 2960-1(config)#  ซึ่งก็หมายความว่า เราไม่สามารถ configure VTP เป็น version 3 ได้ หาก VTP Domain ยังไม่ได้ setup ดังนั้น ท้ายสุด Cisco ก็ recommend ให้ใช้ VTP mode transparent เพื่อกันปัญหา (ทำไมต้องเป็น rec เท่านั้นที่จะ comment ได้ ทำไม ไม่ KOCommend ^^"  ) สรุปคือ การใช้ Cisco Catalyst ก็ให้ระวังเรื่องนี้ให้ดีๆ นะครับ ขอบคุณครับ โก้-ชัยวัฒน์   Create Date : 09 มิถุนายน 2558     4 comment Last Update : 17 กรกฎาคม 2558 8:52:10 น.     Counter : 9535 Pageviews.   Share Tweet

การทำให้ card LAN Intel สามารถ capture VLAN ได้ จากความพยายามที่จะทดสอบทฤษฎีของ VLAN tagging และ native VLAN บน trunk port  แล้ว ผมพบว่า card LAN Intel ของผมไม่สามารถที่จะเห็น VLAN ได้บน trunk port ทั้งๆ ที่ VLAN นั้นไม่ใช่ native VLAN ดังนั้นผมจึงได้ทำการศึกษาเพิ่มเติมจนพบว่า card LAN Intel บาง card รวมถึง driver ของมันบางตัว โดย default แล้วจะทำการ strip หรือแกะ VLAN ออก โดยอ้างอิงข้อมูลจาก web site ของ Wireshark ดังนี้ https://wiki.wireshark.org/CaptureSetup/VLAN Intel Some Intel Ethernet adapters and their drivers will, by default, strip VLAN tags when processing packets or strip tagged packets completely. สำหรับ card LAN Intel ที่ผมใช้คือ "Intel(R) 82579V Gigabit Network Connection" ดังภาพที่ 1 ข้างล่าง รูปที่ 1 แสดง card LAN Intel ที่ใช้ในการ capture และผลของการ capture ก่อนที่จะมีการแก้ไขค่า Registry ใน Windows 7 คือ ไม่พบ VLAN tagging ดังภาพที่ 2 รูปที่ 2 แสดงผลการ capture ที่ยังไม่เห็น VLAN จากนั้นจึงได้เข้าไปดู information การแก้ไขค่า Registry บน Windows เพื่อให้ card LAN Intel สามารถรองรับการ capture VLAN tagging ได้ ตาม link นี้ครับ //www.intel.com/support/network/sb/CS-005897.htm For Microsoft Windows* To allow tagged frames to be passed to your packet capture software, add a registry dword and value, or change the value of the registry key. จากข้อความข้างบน เค้าแนะนำให้ทำการ เพิ่ม registry DWORD และกำหนดค่า หรือให้ทำการเปลี่ยนแปลงค่าของ Registry Key จากนั้น จากนั้น เค้าให้เราทำการสร้าง Key (DWORD) ใหม่ และให้วางไว้ตาม path คือ โดย nn (จาก 00nn) จะเป็น Physical Instance ของ card LAN ของเรา ======================================== จากข้อมูลที่กล่าวไปแล้วทั้งหมด เรามาเริ่มกันเลยครับ Step 1: เปิด "Registry Editor" ดังภาพที่ 3 ข้างล่าง รูปที่ 3 แสดงการเปิด Registry Editor Step 2: ให้ไล่ Registry ตาม path ดังภาพที่ 4 ไปจนถึงตำแหน่งของ card LAN Intel โดยที่ 00nn ในตัวอย่างคือ 0007 Note: 00nn  ของแต่ละเครื่องจะไม่เหมือนกัน ต้องทำการไล่ตรวจสอบทีละอันจนเจอ อย่าเอา 0007 ของผมไป setup นะครับ เพราะอาจจะไม่ใช่ตัวเดียวกัน ซึ่งสามารถสังเกตได้จาก "DriverDesc" ที่จะบอกรายละเอียดของชื่อ card LAN ที่เรากำลังสนใจอยู่  รูปที่ 4 แสดงการไล่ path ใน Register Editor Step 3: ทำการสร้าง DWORD ใหม่สองอัน คือ "MonitorModeEnabled" และ "MonitorMode" When creating or changing registry dword MonitorModeEnabled, set the dword value to one of the following: 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Store bad packets. Store CRCs. Do not strip 802.1Q vlan tags) When creating or modifying registry dword MonitorMode, set the dword value to one of the following options: 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 802.1Q vlan tags) 1 - enabled (Receive bad/runt/invalid CRC packets. Leave CRCs attached to the packets. Do not strip VLAN tags and ignore packets sent to other VLANs as per normal operation.) Step 3.1: ทำการสร้าง DWORD ขึ้นมาใหม่ 2 อัน โดยการ click ขวาที่ 0007 ซึ่งเป็นของ card LAN Intel ที่เรากำลังสนใจ  Click ขวาบน 0007 --> New --> DWORD (32-bit) Value ดังภาพที่ 5 จากนั้นจะได้ DWORD ใหม่ขึ้นมา 2 อันคือ "New Value#1" และ "New Value#2" ดังภาพที่ 6 รูปที่ 5 แสดงการสร้าง DWORD ใหม่ รูปที่ 6 แสดง DWORD ใหม่ที่ถูกสร้างขึ้นมากคือ "New Value#1" และ "New Value#2" Step 3.2: ทำการเปลี่ยนชื่อของ DWORD ใหม่ทั้งสองจาก "New Value#1" และ "New Value#2" เป็น "MonitorModeEnabled"และ "MonitorMode" Click ขวาบน DWORD ที่ต้องการเปลี่ยนชื่อ --> Rename รูปที่ 7 แสดงการเปลี่ยนชื่อของ DWORD Step 3.3: ทำการกำหนดค่าให้กับ DWORD "MonitorModeEnabled"และ"MonitorMode" โดยกำหนดค่าให้กับ DWORD ทั้งสองเป็น 1 ดังตัวอย่างในรูปที่ 8 รูปที่ 8 การกำหนดค่าให้กับ DWORD Step 4: ทำการ restart PC  Step 5: หลังจาก restart PC แล้ว ลองมาทำการ capture traffic ใหม่อีกครั้ง จะสามารถเป็น VLAN tagging ได้ดังภาพที่ 9 รูปที่ 9 แสดงการ capture traffic และสามารถเห็น VLAN tagging ได้แล้ว Note: ตัวอย่างบทความนี้ใช้ได้กับ card LAN Intel นะครับ สำหรับ card LAN ยี่ห้ออื่นๆ ก็ขอให้ท่านไปดูจาก Web ของผู้ผลิตรายนั้นๆ เองนะครับ หวังว่าบทความนี้จะเป็นประโยชน์กับท่านบ้างไม่มากก็น้อยนะครับ ขอบคุณครับ โก้-ชัยวัฒน์ (KoChaiwat)   Create Date : 24 พฤษภาคม 2558     2 comment Last Update : 1 กรกฎาคม 2558 0:08:51 น.     Counter : 8588 Pageviews.   Share Tweet

หลักการ apply ทิศทาง Inbound / Outbound ของ ACL จากที่ผมได้ไปตอบคำถามใน CCNA Hunter Group เรื่อง "หลักการ apply ทิศทาง Inbound / Outbound ของ ACL" ผมขอมา post ไว้ เผื่อเป็นประโยชน์กับท่านอื่นๆ ครับ   สิ่งสำคัญที่ท่านต้องจำไว้ ในการนำ ACL ที่เขียนเสร็จแล้วไป Apply ที่ Interface นั้น ท่านจะต้องกำหนดทิศทางของ ACL บน Interface ให้ถูกต้องด้วย มิฉะนั้นอาจจะเกิดโศกนาฏกรรมกับท่านได้นะครับ เพราะ packet จะไม่เข้าเงื่อนไขที่ท่านเขียนเลย แต่ไปลงที่ implicit deny all statement ทั้งหมดได้นะครับ    หลักการในการกำหนด Inbound หรือ Outbound เราต้องรู้ก่อนว่า ACL ที่เราเขียนนั้น เน้น Source มาจากที่ไหน และจะไป Destination ที่ไหน จากนั้นให้จินตนาการว่า Router ตัวนั้นๆ เป็นรถถัง แล้วเราเข้าไปนั่งใน Router (หรือรถถังคันนั้น) ส่วน Interface ที่เราจะ Apply ACL ลงไปนั้นเป็นกระบอกปืนใหญ่   ทิศ Outbound คือ ทิศทางของ traffic (กระสุนปืน) พุ่งออกจากรถถัง (router) ผ่าน Interface (กระบอกปืน) ออกไปข้างนอก router   ทิศ Inbound คือ ทิศทางของ traffic พุ่งเข้าหาเรา (เข้าหา router) ผ่านทาง Interface ที่ Apply ACL     ตัวอย่าง การ apply command ACL เกี่ยวกับการกำหนดทิศทางของ traffic ที่สนใจ ในทิศทาง "in" และ ทิศทาง "out" บน Interface ===================================== Router# configure terminal Router(config)# interface FastEthernet 0/0 Router(config-if)# ip access-group ?   <1-199>      IP access list (standard or extended)   <1300-2699>  IP expanded access list (standard or extended)   WORD         Access-list name   Router(config-if)# ip access-group ACL ?   in   inbound packets   out  outbound packets ================================================ สำหรับข้อมูลเพิ่มเติมอื่นๆ ลองเข้าไปอ่าน blog ของผมตามนี้นะครับ     สรุปลำดับการทำงานของ ACL (Access Control List) https://www.bloggang.com/viewblog.php?id=likecisco&date=10-04-2015&group=3&gblog=38   แล้วตามด้วยเรื่องของ Wildcard Mask Wildcard Mask ระดับ Advance https://www.bloggang.com/viewblog.php?id=likecisco&date=15-04-2015&group=3&gblog=39   ขอบคุณครับ โก้-ชัยวัฒน์ (KoChaiwat)   Create Date : 19 พฤษภาคม 2558     2 comment Last Update : 27 มีนาคม 2564 11:37:35 น.     Counter : 12458 Pageviews.   Share Tweet

MPLS L3VPN และ MPLS L2VPN คืออะไร และแตกต่างกันอย่างไร? เนื่องจากตอนนี้ ผมได้เปิด Group Blog ใหม่ คือ "Group Blog : Service Provider เทคโนโลยี่" เพื่อให้เป็นหมวดหมู่สำหรับ Technology Service Provider แล้ว ผมจึงขออนุญาติย้ายบทความนี้ไปอยู่ใน Group Blog ใหม่  ท่านสามารถเข้าไปติดตามได้ตาม link นี้คัรบ https://www.bloggang.com/mainblog.php?id=likecisco&month=04-11-2018&group=12&gblog=7 ขออภัยในความไม่สะดวก โก้-ชัยวัฒน์ (KoChaiwat)   Create Date : 02 พฤษภาคม 2558     0 comment Last Update : 4 พฤศจิกายน 2561 16:34:49 น.     Counter : 12675 Pageviews.   Share Tweet

Wildcard Mask ระดับ Advance หลังจากที่ผมได้เขียนบทความเรื่อง ACL ไปแล้ว  //www.bloggang.com/mainblog.php?id=likecisco&month=10-04-2015&group=3&gblog=38 คราวนี้มีคำถามเรื่อง Wildcard Mask ครับ  เนื่องจากหลายท่านเข้าใจเพียงว่า Wildcard Mask เป็นเพียงแค่ Invert ของ Subnet Mask (ในการเรียนเบื้องต้น เราจำเป็นต้องเรียนในลักษณะนี้ไปก่อน) แต่ในความเป็นจริงแล้ว Wildcard Mask มีความหลากหลายกว่า Subnet Mask มาก  ปกติแล้ว Subnet Mask จะถูกกำหนดด้วยเงื่อนไขตายตัวว่า  - Subnet Mask มี 32 bit - Subnet Mask แบ่่งเป็น 2 กลุ่ม    - กลุ่มทางด้านซ้ายเป็น 1 ทั้งหมด ห้ามมี 0 แทรก (1 หมายถึง bit ที่เน้นเป็น network)   - กลุ่มทางด้านขวาเป็น 0 ทั้งหมด ห้ามมี 1 แทรก (0 หมายถึง bit ที่เป็น host) สำหรับ Link รายละเอียดของ Subnet Mask ท่านสามารถเข้าอ่านได้ตามนี้ครับ //www.bloggang.com/viewblog.php?id=likecisco&date=09-08-2011&group=1&gblog=8 แต่สำหรับ Wildcard Mask แล้ว - Wildcard Mask มี 32 bit  - มีการแบ่งกลุ่มแต่ไม่ตายตัวเหมือน Subnet Mask แต่ส่วนใหญ่ที่พบเห็น ก็จะแบ่งเป็น 2 กลุ่ม ดังนี้ (เน้นว่าไม่ตายตัวนะครับ)   - กลุ่มทางซ้ายเป็น 0 ทั้งหมด สามารถมี 1 แทรกได้ (0 หมายถึง bit ที่ Match หรือสนใจ)   - กลุ่มทางขวาเป็น 1 ทั้งหมด สามารถมี 0 แทรกได้ (1 หมายถึง bit ที่ don't care  หรือไม่สนใจ) เช่น  IP address เบอร์ แรกของ Range:   192 . 168 . 1 .   0   Wildcard Mask:   0   .   0  .  0 . 255   หมายถึง IP address ที่เป็นไปได้ หรือ IP address ที่เราสนใจมีตั้งแต่  192.168.1.0 ถึง 192.168.1.255  โดย Wildcard Mask จะไม่ได้หมายความว่า 192.168.1.0 เป็น Network Address เหมือน Subnet Mask แต่จะมีความหมายว่า 192.168.1.0 เป็น IP address เบอร์แรกที่เราสนใจ และไม่ได้หมายความว่า 192.168.1.255 เป็น Broadcast Address แต่จะมีความหมายว่า 192.168.1.255 เป็น IP address เบอร์สุดท้ายที่เราสนใจ มาที่คำถามเกี่ยวกับ Wildcard Mask ในระดับ Advance คือ:  ถ้าผมสนใจเฉพาะ IP address มี octet ที่ 3 (Bytes ที่ 3) เป็นเลขคี่เท่านั้น   คือ 192.168.X.0 - 192.168.X.255  โดยที่ X = เลขคี่เท่านั้น  เราจะกำหนด IP address เบอร์แรก และ Wildcard Mask ได้อย่างไร (เพียงแค่ชุดเดียวนะครับ)? เราจะได้รู้ถึงพลังของ Wildcard Mask กันครับ เฉลยด้วยภาพข้างล่างนะครับ ถ้าใครไล่เลขฐาน 2 เป็นฐาน 10 เป็นจะเข้าใจ แต่หากไม่ทราบ ท่านสามารถเข้าไปศึกษาการแปลงเลขฐานได้จาก link นี้ก่อนครับ //www.bloggang.com/viewblog.php?id=likecisco&date=26-07-2011&group=1&gblog=7 คำตอบคือ: จากเงื่อนไขที่ว่า 192.168.X.0-255 (X หรือ Octet ที่ 3 จะต้องเป็นเลขคี่เท่านั้น ส่วน Octet ที่ 4 จะเป็นอะไรก็ได้ตั้งแต่ 0 ถึง 255) Wildcard Mask bit 0 = Care = Match Wildcard Mask bit 1 = Don't care = Ignore จากภาพคือ Octet ที่ 3 จะต้อง fix bit สุดท้ายเป็น 1 เท่านั้นส่วน 7 bit ข้างหน้าเป็น อะไรก็ได้ ดังนั้น Wildcard Mask ใน Octet ที่ 3 จึงเป็น 254 (11111110) ส่วน Octet ที่ 4 เป็นอะไรก็ได้ตั้งแต่ 0 ถึง 255 ดังนั้น Wildcard Mask ใน Octet ที่ 4 จึงเป็น ignore ทั้ง Octet ดังนั้น Wildcard Mask ใน Octet ที่ 4 จึงเป็น 255 หรือ 11111111 หากมีเวลาจะเพิ่มตัวอย่างของ X ที่เป็นเลขคู่ ให้นะครับ หวังว่าคงช่วยให้ท่านพอมองเห็นภาพ (แหม่จริงๆ ก็โชวส์เป็นภาพนิ ^^) และประโยชน์ของ Wildcard Mask นะครับ ขอบคุณครับ KoChaiwat (โก้-ชัยวัฒน์)   Create Date : 15 เมษายน 2558     11 comment Last Update : 1 กรกฎาคม 2558 0:13:11 น.     Counter : 12429 Pageviews.   Share Tweet