Siz bilgan VPN ni nechta turi bor edi ?

@cisco_server

Savol: Pc dan internetdagi qaysidir saytga 9000baytlik paket jo'natadigan bo'lsam, Bu paket Switchdan, routerdan qanday o'tadi?

Hech qiziqib ko'rganmisiz bunga?

Switch’da 9000 baytlik freym

Switch Layer 2 qurilma bo‘lgani uchun:

U Ethernet freymni oladi (9000 baytli jumbo frame).

Switchning ASIC’lari va portlaridagi buffer, forwarding plane va ASIC chip dizayni jumbo frame’ni qo‘llab-quvvatlasa → freymni uzatadi.

Agar switch faqat standart MTU (1518 byte Ethernet frame) ni qo‘llasa → freymni butunlay drop qiladi, chunki u bo‘lib yuborish yoki fragmentatsiya qilish qobiliyatiga ega emas.

📌 Demak, switchning jumbo frame qo‘llab-quvvatlashiga bog‘liq.

Enterprise/L3 switchlarda ko‘pincha yoqiladi (system mtu jumbo kabi komandalar bilan).

So‘ng portlarga ham tatbiq qilinishi kerak.

🔹 Router’da 9000 baytlik paket

Router Layer 3 qurilma. U Ethernet headerni olib tashlaydi va IP paketni ko‘radi:

Router IP headerdagi Total Length ga qarab paketning hajmini biladi.

Routerning input interface jumbo’ni qabul qilsa → ichkariga kiradi.

Keyin router output interface MTU bilan solishtiradi:

Agar chiqish interfeysi ham jumbo MTU’ni ko‘tarsa → paketni hech o‘zgartirmay uzatadi.

Agar chiqish interfeysi kichikroq MTU bo‘lsa (masalan 1500 byte Ethernet, 1492 PPPoE, 576 eski tarmoq) → fragmentatsiya qilish kerak bo‘ladi.

❌ Qachon fragmentatsiya bo‘lmaydi?

Agar IP header’dagi DF (Don’t Fragment) flag = 1 bo‘lsa → router paketni bo‘lib yuborolmaydi.

Shunda router paketni drop qiladi va orqaga ICMP “Fragmentation Needed and DF Set” (Type 3, Code 4) xabarini yuboradi.

Bu mexanizm → Path MTU Discovery (PMTUD) asosidir.

📌 Shu sababli fragmentatsiya qilinmaydigan paketlar:

DF=1 qo‘yilgan paketlar.

IPv6 paketlar – ular hech qachon routerlarda fragmentatsiya qilinmaydi (fragmentatsiya faqat jo‘natuvchi endpoint qilishi mumkin).

🔹 Yakuniy xulosa

Switch:

Jumbo frame’ni qo‘llab-quvvatlasa → uzatadi.

Qo‘llamasa → drop qiladi (fragmentatsiya qilolmaydi).

Router:

Agar input va output MTU mos kelsa → o‘tkazadi.

Output MTU kichik bo‘lsa →

DF=0 → fragmentatsiya qiladi.

DF=1 → drop + ICMP “Fragmentation Needed”.

IPv6 paketlar → router hech qachon fragmentatsiya qilmaydi (faqat endpoint bo‘lib yuborishi kerak).

@cisco_server

✅ Network Expert’lardan foydali maslahat: PMTUD qanday ishlaydi?

📌 PMTUD (Path MTU Discovery) – bu tarmoq orqali paketlarni fragmentatsiyasiz yetkazib berishni ta’minlaydigan mexanizm. Oddiy qilib aytganda, paket eng kichik MTU ga ega bo‘lgan yo‘lni aniqlab oladi va shunga moslashadi.

🔎 Qanday ishlaydi?

Kompyuter paketni jo‘natishda IP header’da DF=1 (Don’t Fragment) qilib belgilaydi.

Agar paket yo‘lda sig‘may qolsa (masalan, MTU kichik bo‘lsa), router uni fragmentatsiya qila olmaydi va ICMP “Fragmentation Needed” xatosini yuboradi.

Jo‘natuvchi host bu signalni olib, paket hajmini kichraytiradi.

Bu jarayon to paket tarmoq bo‘ylab fragmentatsiyasiz o‘tguncha davom etadi.

⚡️ Natija:

Keraksiz fragmentatsiya yo‘qoladi.

Tarmoq samaradorligi ortadi.

Katta fayllar yoki videolarni uzatishda ishonchli va tezroq aloqa bo‘ladi.

👉 Masalan: Sizning PC’dan 9000 baytlik fayl jo‘natilsa, PMTUD yordamida paket yo‘lda qaysi qurilma (switch/router) kichikroq MTU bilan ishlashini aniqlaydi va paket avtomatik ravishda kerakli hajmga moslashtiriladi.

🔥 Xulosa: PMTUD – bu tarmoqning o‘zi paketni qaysi hajmda olib o‘tishi mumkinligini aniqlab beradigan aqlli mexanizm. Shu sababli katta fayllar internetda bemalol fragmentatsiyasiz o‘tadi.

@cisco_server

Hub va Switch’dagi Collision Domain farqi (1-rasm)

Chap tomonda: PC-A, PC-B va PC-C bitta hub orqali ulangan. Shu sababli ular bitta collision domain ichida.

Masalan, PC-A → PC-B gaplashsa, paket PC-C ga ham boradi.

PC-C kadrni resurs sarflab tekshiradi, keyin MAC manzil o‘ziniki emasligini aniqlab, paketni tashlab yuboradi.

Bundan tashqari, PC-C o‘z ma’lumotini yubormoqchi bo‘lsa, PC-A va PC-B suhbatini tugashini kutishi kerak.

O‘ng tomonda: Shu uchta PC endi switch orqali ulangan.

PC-A ↔️ PC-B aloqasi endi alohida collision domain ichida bo‘ladi.

Switch MAC jadvali yordamida to‘g‘ridan-to‘g‘ri ulanishni tashkil qiladi.

Natijada PC-C keraksiz paketlarni olmaydi va o‘z aloqasini mustaqil amalga oshirishi mumkin.

@cisco_server

Endi ovozli qilib ham aloqaga chiqishayapti.
Nima deysiz gaplashib ko'ramizmi?

Hech o'ylab ko'rganmisiz?

Routerning 1ta portiga juda ko'p IPv6 address berish mumkin. Bu degani tarmog'imizda 10ta VLAN bo'ladigan bo'lsa, har biriga bittadan sub-interface qilish kerak emas, degan xulosani berishi mumkin. To'g'rimi?

Hosh agar shunday bo'lsa, bizni qanday (+) (-) tomonlar kutmoqda?

Javobingiz hamma uchun qiziq bo'ladi degan umiddamiz. Komentariayda kutamiz.

@cisco_server

1-variant: Bitta interfeysga 10 ta IPv6 manzil berish

R1(config)# int g0/0
R1(config-if)# ipv6 address 2001:db8:10::1/64
R1(config-if)# ipv6 address 2001:db8:20::1/64
...
R1(config-if)# ipv6 address 2001:db8:A0::1/64

✅ Afzalliklari

Konfiguratsiya oddiyroq (faqat bitta interfeys).

Router resurslarini unchalik yuklamaydi (sub-interface hosil qilinmagan).

IPv6’dagi ko‘p manzillilik imkoniyatidan to‘liq foydalaniladi.

❌ Kamchiliklari

Bitta interfeys → faqat bitta Layer 2 segment ga bog‘langan bo‘ladi.

Agar sizda 10 VLAN bo‘lsa, hamma trafik bitta broadcast domenga tushadi → VLANlar aslida ajratilmaydi.

VLANlar orasida xavfsizlik, segmentatsiya, ACL qo‘llash, QoS ajratish qiyinlashadi.

👉 Demak, bu faqat bitta umumiy L2 segmentda ko‘p subnet yuritish kerak bo‘lsa ishlaydi, VLAN’larni ajratish uchun emas.

🔹 2-variant: Har bir VLAN uchun alohida sub-interface

R1(config)# int g0/0.10
R1(config-subif)# encapsulation dot1Q 10
R1(config-subif)# ipv6 address 2001:db8:10::1/64

R1(config)# int g0/0.20
R1(config-subif)# encapsulation dot1Q 20
R1(config-subif)# ipv6 address 2001:db8:20::1/64
...

✅ Afzalliklari

Toza VLAN segmentatsiya: Har bir VLAN alohida broadcast domen.

Har bir VLAN o‘zining IPv6 tarmog‘iga ega → Layer 3 routing to‘g‘ri ishlaydi.

Xavfsizlik siyosatlari (ACL, firewall rules) VLAN bo‘yicha qo‘llash mumkin.

Enterprise dizaynda standart va tavsiya etilgan usul.

❌ Kamchiliklari

Konfiguratsiya ko‘proq yoziladi (10 VLAN → 10 sub-interface).

Router trunk port sifatida ishlaydi → biroz ko‘proq protsessor yuklanishi mumkin (lekin bu katta masala emas).

🔹 Yakuniy xulosa

Agar siz haqiqatan VLAN’larni ajratmoqchi bo‘lsangiz (10 VLAN = 10 broadcast domen, segmentatsiya, xavfsizlik, routing) → ✅ 2-variant (sub-interface) to‘g‘ri yechim.

Agar sizga faqat ko‘p IPv6 subnetni bitta segmentda ishlatish kerak bo‘lsa, VLAN ajratilishi shart bo‘lmasa → ✅ 1-variant (ko‘p manzil bitta interfeysda) ishlaydi.

🔑 Cisco va enterprise dizaynda odatda har bir VLAN uchun alohida sub-interface qilinadi. Chunki VLANning maqsadi ham segmentatsiya.

@cisco_server @uzbekona_cisco
Tarmoqning ochilmagan qirralarini birga ochamiz.

ASIC nima , qachon qayerda qanday vazifani bajaradi?

1. ASIC nima?

ASIC — bu maxsus maqsadli chip, ya’ni switch yoki router kabi qurilmalarda faqat shu vazifa uchun ishlab chiqilgan integratsiyalashgan mikrosxema.
Cisco switchlaridagi ASIC’lar quyidagi ishlarni bajaradi:

Packet forwarding (Layer2/3 switching & routing)

QoS (Quality of Service)

ACL (Access Control Lists) filtering)

Security checks (uRPF, storm-control)

NetFlow / telemetry counting

ASIC — bu hardware-level processing, shuning uchun u CPU’dan tezroq ishlaydi.

🔹 2. ASIC qaysi xotiralarni ishlatadi?

ASIC ichida turli memory blocks bo‘ladi va ular maxsus vazifa uchun qo‘llaniladi:

CAM (Content Addressable Memory)

Layer 2 forwarding uchun ishlatiladi.

MAC Address Table shu yerda saqlanadi.

CAM faqat binary (0/1) ishlaydi → ya’ni aniq moslik.

Masalan: MAC AA:BB:CC:DD:EE:FF → port 1/0/24.

TCAM (Ternary Content Addressable Memory)

Layer 3 & Layer 4 filtering (ACL, QoS, routing lookups).

TCAM uchta qiymatni saqlaydi: 0 (true), 1 (false), X (don’t care).

Shuning uchun mask + policy matching uchun ishlatiladi.

Masalan: ACL rule permit 10.1.0.0/16 eq 80 → TCAM’da VMR (Value-Mask-Result) ko‘rinishida.

SRAM (Static RAM)

Forwarding Information Base (FIB) va Adjacency Table uchun.

Layer 3 routing tezkor qarorlar shu yerda saqlanadi.

Masalan: IP prefix → next-hop MAC.

DRAM (Dynamic RAM)

Umumiy ma’lumotlar va CPU control-plane ishlari uchun.

ASIC data-plane ishlaydi, CPU esa control-plane. DRAM CPU ga tegishli.

🔹 3. Ishlash prinsipi (Packet Flow)

Misol uchun switch’ga paket keldi:

Ingress ASIC → CAM’dan MAC lookup qiladi.

Agar L3 routing kerak bo‘lsa → ASIC TCAM’dan ACL / QoS / policy check qiladi.

Keyin SRAM’dan FIB & adjacency qaraydi → next-hop MAC + portni aniqlaydi.

Egress ASIC → QoS policer yoki shaper ishlatadi va paketni chiqazadi.

Bularning hammasi nanosekundlarda ASIC chip ichida sodir bo‘ladi, CPU umuman tegmaydi.

🔹 4. ASICning afzalligi

Hardware acceleration → CPU yuklamaydi.

Parallel search → TCAM bir vaqtning o‘zida yuzlab ACL entries ni tekshiradi.

Deterministic performance → 10 ta ACL bo‘lsa ham, 500 ta bo‘lsa ham tezlik bir xil.

@cisco_server @uzbekona_cisco
Tarmoqning ochilmagan qirralarini birga ochamiz.

CISCO switchlarining flash xotiralarida maxsus vlan.dat deb nomlanadigan VLANlar jadvalini o'z ichiga oladigan file bor. Demak Standart VLAN larni o'zida saqlaydigan bu file switchning konfiguratsiyasini deault holatga qaytarsangiz ham(sbros) saqlanib qolaveradi. Demak show vlan brief komandasini yozganingizda, avval hosil qilingan vlanlar saqlanib qolaveradi. VLAN databaselarni FLASH xotirada saqlashdan asosiy maqsad qurilma qandaydir hodisa yuz berib reload bo'lganda ular har safar vlan databaseni flash xotiradan olib ishga tushaveradi, hech qanday muammo kuzatilmaydi.


VTP v1/v2 faqat normal vlan range tashiydi. Extended vlanlarni hosil qilsh uchun esa VTP Transparent mode kerak bo'ladi. Mana shuning uchun tarmoq strukturangizda Extended vlanlar mavjud bo'lsa, hohlaysizmi yo'qmi, baribir VTP Transparent modedan foydalanishga majbursiz. Lekin baribir vlanlarni switchlar static tarzda yaratishingizga to'g'ri kelaveradi. Zamonaviy texnologiyalar rivojlanib borgani sari, extended vlanlardan foydalanish ham oshib boryapti. Endi bu vlanlarni ham VTP domainlar ichida bitta sinxron baza qilib hamma switchlarda yagona database yaratish ehtiyoji paydo bo'la boshlandi. Ana o'shanda maydonga VTPv3 kirib kelib barcha paydo bo'lgan ehtiyojlarni qondirdi. Demak VTPv3 Extended Vlan rangelarni ham switchlar o'rtasida synch qila oladi.


@cisco_server

Cisco routerlarida necha xil Switching borligini qisqacha bilib oladigan vaqtimiz keldi.

1. Process Switching

Eng eski va eng sekin usul.

Har bir paket kelganda, u CPU ga yuboriladi va routing table asosida qaysi interfeysdan chiqishi kerakligi hisoblab chiqiladi.

Har bir paket uchun yangidan hisob-kitob qilinadi.

Asosan troubleshooting yoki fallback sifatida ishlatiladi.

2. Fast Switching (Route Cache)

Process switchingdan keyin paydo bo‘lgan.

Birinchi paket CPU orqali hisoblab chiqiladi, keyingi paketlar uchun natija cache’da saqlanadi.

Performance yaxshilangan, lekin cache update qilishda vaqt ketadi.

3. Cisco Express Forwarding (CEF)

Eng samarali va default switching usuli (hozirgi router/switchlarda).

Forwarding Information Base (FIB) va adjacency table dan foydalanadi.

Har bir paket uchun CPU ishlatilmaydi, barcha qarorlar oldindan tayyorlangan jadvaldan olinadi.

Hardware accelerator (ASIC / NPU / TCAM) bilan qo‘llab-quvvatlansa, juda tez ishlaydi.

4. Distributed CEF (dCEF)

Modular routerlarda (masalan, 7600, ASR seriyalarda) ishlatiladi.

Har bir line card o‘zining forwarding jadvaliga ega bo‘ladi.

Bu markaziy CPUga yuk tushishini kamaytiradi va throughputni oshiradi.

📌 Xulosa qilib aytganda, Cisco’da 4 asosiy switching usuli bor:

Process switching (sekin, CPU asosida)

Fast switching (cache asosida)

CEF (jadval asosida, eng samarali)

dCEF (modul darajasida tarqatilgan CEF)

@cisco_server @uzbekona_cisco
Tarmoqning ochilmagan qirralarini birga ochamiz.