思科零散知识收集
[size=3] 此贴仅供大家在学习Cisco 过程中,将自己的学习心得、知识精华、疑难问题或者只是一个很小的知识点的理解发表出来,以供更多的朋友可以从这里面找到自己所需要的基础知识、解题思路、处理方法过程,并希望成为Cisco 的零散知识的聚集地;:loveliness:本主题发贴规定:
[/size][size=2][size=3][color=Black]1、本主题面向的对象是全体会员;[/color]
[color=Black]2、建立本主题的目的是为将零散的技术收集起来,希望可以成为CISCO 零散知识库[/color][color=Black];[/color]
[color=Black]3、本主题欢迎您发表原创或者转载的相关技术资料(仅限于Cisco方面);[/color]
[color=Black]4、本主题对于非cisco方面的回复,一经发现会将其转到相应版区;[/color]
[color=Black]5、关于回复,欢迎您对自己感兴趣的原创、技术资料帖子发表技术回复进行进一步的探讨,并要注明所探讨的主题;[/color][color=Red]
但对于非常简单的诸如"谢谢!"“顶”之类的回复,视为灌水行为;
[/color][/size][/size][size=3]
[/size]
[[i] 本帖最后由 garnett_wu 于 2008-4-9 09:46 编辑 [/i]] [align=left][align=left][b][font=宋体][size=12pt]多生成树([/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt])概述[/size][/font][/b][b][font=Tahoma][size=12pt][/size][/font][/b][/align][/align][align=left][align=left][b][/b][b][font=宋体][size=12pt]多生成树([/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt])把[/size][/font][/b][b][font=Tahoma][size=12pt]IEEE802.1w[/size][/font][/b][b][font=宋体][size=12pt]快速生成树([/size][/font][/b][b][font=Tahoma][size=12pt]RST[/size][/font][/b][b][font=宋体][size=12pt])算法扩展到多生成树,这为虚拟局域网([/size][/font][/b][b][font=Tahoma][size=12pt]VLANs[/size][/font][/b][b][font=宋体][size=12pt])环境提供了快速收敛和负载均衡的功能;[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]比[/size][/font][/b][b][font=Tahoma][size=12pt]PVST+[/size][/font][/b][b][font=宋体][size=12pt]收敛快并且和[/size][/font][/b][b][font=Tahoma][size=12pt]802.1D[/size][/font][/b][b][font=宋体][size=12pt]、[/size][/font][/b][b][font=Tahoma][size=12pt]802.1w[/size][/font][/b][b][font=宋体][size=12pt]生成树以及[/size][/font][/b][b][font=Tahoma][size=12pt]PVST+[/size][/font][/b][b][font=宋体][size=12pt]结构兼容。[/size][/font][/b][b][/b][b][font=宋体][size=12pt] 采用多生成树([/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]),可以[/size][/font][/b][b][font=宋体][size=12pt]通过干道([/size][/font][/b][b][font=Tahoma][size=12pt]trunks[/size][/font][/b][b][font=宋体][size=12pt])建立多个生成树,关联[/size][/font][/b][b][font=Tahoma][size=12pt]VLANs[/size][/font][/b][b][font=宋体][size=12pt]到相关的生成树进程[/size][/font][/b][b][font=宋体][size=12pt],[/size][/font][/b][b][font=宋体][size=12pt]每个生成树进程具有独立于其它进程的拓扑结构[/size][/font][/b][b][font=宋体][size=12pt];[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]提供了多个数据转发路径和负载均衡[/size][/font][/b][b][font=宋体][size=12pt],提高了网络容错能力,因为一个进程(转发路径)的故障不会影响其它进程(转发路径)。[/size][/font][/b][b][/b][b][/b][b][/b][b][font=宋体][size=12pt]在大型网络的不同网络部分,通过[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]来定位不同[/size][/font][/b][b][font=Tahoma][size=12pt]VLANs[/size][/font][/b][b][font=宋体][size=12pt]和生成树进程的分配可以[/size][/font][/b][b][font=宋体][size=12pt]更容易地管理网络和使用冗余路径[/size][/font][/b][b][font=宋体][size=12pt];[/size][/font][/b][b][font=宋体][size=12pt]一个生成树进程只能存在于具有[/size][/font][/b][b][font=宋体][size=12pt]一致的[/size][/font][/b][b][font=Tahoma][size=12pt]VLAN[/size][/font][/b][b][font=宋体][size=12pt]进程[/size][/font][/b][b][font=宋体][size=12pt]分配的桥中[/size][/font][/b][b][font=宋体][size=12pt],必须用同样的[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]配置信息来配置一组桥,这使得这些桥能参与到一组生成树进程中,[/size][/font][/b][b][font=宋体][size=12pt]具有同样的[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]配置信息的互连的桥构成多生成树([/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt])区[/size][/font][/b][b][font=宋体][size=12pt]。[/size][/font][/b][b][/b][b][/b][b][/b][b][/b][b][/b][b][font=宋体][size=12pt]多生成树([/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt])使用修正的快速生成树([/size][/font][/b][b][font=Tahoma][size=12pt]RSTP[/size][/font][/b][b][font=宋体][size=12pt])协议[/size][/font][/b][b][font=Tahoma][size=12pt]-[/size][/font][/b][b][font=宋体][size=12pt]叫做多生成树协议([/size][/font][/b][b][font=Tahoma][size=12pt]MSTP[/size][/font][/b][b][font=宋体][size=12pt])[/size][/font][/b][b][font=Tahoma][size=12pt], MST[/size][/font][/b][b][font=宋体][size=12pt]具有下列特性:[/size][/font][/b][b][font=Tahoma][size=12pt]
●MST[/size][/font][/b][b][font=宋体][size=12pt]运行一个生成树常量叫做内部生成树([/size][/font][/b][b][font=Tahoma][size=12pt]IST[/size][/font][/b][b][font=宋体][size=12pt])[/size][/font][/b][b][font=Tahoma][size=12pt], IST[/size][/font][/b][b][font=宋体][size=12pt]用有关[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区的内部信息增加了通用生成树的信息;[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区对于相邻的单生成树([/size][/font][/b][b][font=Tahoma][size=12pt]SST[/size][/font][/b][b][font=宋体][size=12pt])和[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区就象一个单独的桥。[/size][/font][/b][b][font=Tahoma][size=12pt]
●[/size][/font][/b][b][font=宋体][size=12pt]一个运行[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]的桥提供和单生成树桥的互操作性:[/size][/font][/b][b][font=Tahoma][size=12pt]
* MST[/size][/font][/b][b][font=宋体][size=12pt]桥运行内部生成树([/size][/font][/b][b][font=Tahoma][size=12pt]IST[/size][/font][/b][b][font=宋体][size=12pt]),[/size][/font][/b][b][font=Tahoma][size=12pt]IST[/size][/font][/b][b][font=宋体][size=12pt]用有关[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区的内部信息增加了通用生成树的信息。[/size][/font][/b][b][font=Tahoma][size=12pt]
* [/size][/font][/b][b][font=宋体][size=12pt]内部生成树([/size][/font][/b][b][font=Tahoma][size=12pt]IST[/size][/font][/b][b][font=宋体][size=12pt])连接区中的所有[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]桥并且是通用生成树([/size][/font][/b][b][font=Tahoma][size=12pt]CST[/size][/font][/b][b][font=宋体][size=12pt])的一个子树,通用生成树([/size][/font][/b][b][font=Tahoma][size=12pt]CST[/size][/font][/b][b][font=宋体][size=12pt])包含整个的桥域,[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区对于相邻的单生成树([/size][/font][/b][b][font=Tahoma][size=12pt]SST[/size][/font][/b][b][font=宋体][size=12pt])桥和[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区就象一个虚桥。[/size][/font][/b][b][font=Tahoma][size=12pt]
* [/size][/font][/b][b][font=宋体][size=12pt]通用和内部生成树([/size][/font][/b][b][font=Tahoma][size=12pt]CIST[/size][/font][/b][b][font=宋体][size=12pt])是每个[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区的内部生成树([/size][/font][/b][b][font=Tahoma][size=12pt]IST[/size][/font][/b][b][font=宋体][size=12pt])、互连[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区的通用生成树和单生成树桥的一个集合,它和一个[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区内的一个[/size][/font][/b][b][font=Tahoma][size=12pt]IST[/size][/font][/b][b][font=宋体][size=12pt]是一样的,它和一个[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区外的[/size][/font][/b][b][font=Tahoma][size=12pt]CST[/size][/font][/b][b][font=宋体][size=12pt]也是一样的;[/size][/font][/b][b][font=Tahoma][size=12pt]STP[/size][/font][/b][b][font=宋体][size=12pt]、[/size][/font][/b][b][font=Tahoma][size=12pt]RSTP[/size][/font][/b][b][font=宋体][size=12pt]和[/size][/font][/b][b][font=Tahoma][size=12pt]MSTP[/size][/font][/b][b][font=宋体][size=12pt]共同建立一个单独的桥来做为通用和内部生成树([/size][/font][/b][b][font=Tahoma][size=12pt]CIST[/size][/font][/b][b][font=宋体][size=12pt])的根。[/size][/font][/b][b][font=Tahoma][size=12pt]
●MST[/size][/font][/b][b][font=宋体][size=12pt]在每个区内建立和维护额外的生成树,这些生成树就是[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]进程([/size][/font][/b][b][font=Tahoma][size=12pt]MSTIS[/size][/font][/b][b][font=宋体][size=12pt])[/size][/font][/b][b][font=Tahoma][size=12pt],IST[/size][/font][/b][b][font=宋体][size=12pt]的进程号为[/size][/font][/b][b][font=Tahoma][size=12pt]0[/size][/font][/b][b][font=宋体][size=12pt],[/size][/font][/b][b][font=Tahoma][size=12pt]MSTIS[/size][/font][/b][b][font=宋体][size=12pt]的进程号为[/size][/font][/b][b][font=Tahoma][size=12pt]1[/size][/font][/b][b][font=宋体][size=12pt]、[/size][/font][/b][b][font=Tahoma][size=12pt]2[/size][/font][/b][b][font=宋体][size=12pt]、[/size][/font][/b][b][font=Tahoma][size=12pt]3[/size][/font][/b][b][font=宋体][size=12pt]等等;即使[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区是互连的,任何[/size][/font][/b][b][font=Tahoma][size=12pt]MSTI[/size][/font][/b][b][font=宋体][size=12pt]也都是本地于[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区并且独立于另一个区的[/size][/font][/b][b][font=Tahoma][size=12pt]MSTI[/size][/font][/b][b][font=宋体][size=12pt];[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]进程和[/size][/font][/b][b][font=Tahoma][size=12pt]IST[/size][/font][/b][b][font=宋体][size=12pt]在[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区的边界组合在一起构成了[/size][/font][/b][b][font=Tahoma][size=12pt]CST:
* MSTI[/size][/font][/b][b][font=宋体][size=12pt]的生成树信息包含在[/size][/font][/b][b][font=Tahoma][size=12pt]MSTP[/size][/font][/b][b][font=宋体][size=12pt]的记录([/size][/font][/b][b][font=Tahoma][size=12pt]M-record[/size][/font][/b][b][font=宋体][size=12pt])中,[/size][/font][/b][b][font=Tahoma][size=12pt]M-record[/size][/font][/b][b][font=宋体][size=12pt]总是封装在[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]的[/size][/font][/b][b][font=Tahoma][size=12pt]BPDUS[/size][/font][/b][b][font=宋体][size=12pt]中,由[/size][/font][/b][b][font=Tahoma][size=12pt]MSTP[/size][/font][/b][b][font=宋体][size=12pt]计算的原始生成树叫做[/size][/font][/b][b][font=Tahoma][size=12pt]M[/size][/font][/b][b][font=宋体][size=12pt]树([/size][/font][/b][b][font=Tahoma][size=12pt]M-tree[/size][/font][/b][b][font=宋体][size=12pt]),[/size][/font][/b][b][font=Tahoma][size=12pt]M[/size][/font][/b][b][font=宋体][size=12pt]树只在[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区活跃,[/size][/font][/b][b][font=Tahoma][size=12pt]M[/size][/font][/b][b][font=宋体][size=12pt]树和[/size][/font][/b][b][font=Tahoma][size=12pt]IST[/size][/font][/b][b][font=宋体][size=12pt]在[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]区的边界合并而形成[/size][/font][/b][b][font=Tahoma][size=12pt]CST
●[/size][/font][/b][b][font=宋体][size=12pt]通过产生非[/size][/font][/b][b][font=Tahoma][size=12pt]CST VLAN[/size][/font][/b][b][font=宋体][size=12pt]的[/size][/font][/b][b][font=Tahoma][size=12pt]PVST+ BPDU[/size][/font][/b][b][font=宋体][size=12pt],[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]提供和[/size][/font][/b][b][font=Tahoma][size=12pt]PVST+[/size][/font][/b][b][font=宋体][size=12pt]的互操作性[/size][/font][/b][b][font=Tahoma][size=12pt]
●MST [/size][/font][/b][b][font=宋体][size=12pt]支持[/size][/font][/b][b][font=Tahoma][size=12pt]PVST+[/size][/font][/b][b][font=宋体][size=12pt]的一些扩展:[/size][/font][/b][b][font=Tahoma][size=12pt]
* UplinkFast[/size][/font][/b][b][font=宋体][size=12pt]和[/size][/font][/b][b][font=Tahoma][size=12pt]BackboneFast[/size][/font][/b][b][font=宋体][size=12pt]在[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]方式中无效,但它们包含在[/size][/font][/b][b][font=Tahoma][size=12pt]RSTP[/size][/font][/b][b][font=宋体][size=12pt]中[/size][/font][/b][b][font=Tahoma][size=12pt]
* [/size][/font][/b][b][font=宋体][size=12pt]支持[/size][/font][/b][b][font=Tahoma][size=12pt]PortFast
* BPDUFilter[/size][/font][/b][b][font=宋体][size=12pt]和[/size][/font][/b][b][font=Tahoma][size=12pt]BPDUGuard[/size][/font][/b][b][font=宋体][size=12pt]在[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]方式中支持[/size][/font][/b][b][font=Tahoma][size=12pt]
* LoopGuard[/size][/font][/b][b][font=宋体][size=12pt]和[/size][/font][/b][b][font=Tahoma][size=12pt]RootGuard[/size][/font][/b][b][font=宋体][size=12pt]在[/size][/font][/b][b][font=Tahoma][size=12pt]MST[/size][/font][/b][b][font=宋体][size=12pt]方式中支持[/size][/font][/b][b][font=Tahoma][size=12pt]
* [/size][/font][/b][b][font=宋体][size=12pt]对于私有[/size][/font][/b][b][font=Tahoma][size=12pt]VLANs(Pvlan)[/size][/font][/b][b][font=宋体][size=12pt],从[/size][/font][/b][b][font=Tahoma][size=12pt]VLANs[/size][/font][/b][b][font=宋体][size=12pt]必须和主[/size][/font][/b][b][font=Tahoma][size=12pt]VLANs[/size][/font][/b][b][font=宋体][size=12pt]映射到同一个生成树进程。[/size][/font][/b][font=Tahoma][size=12pt][/size][/font][/align][/align] [align=left][b][font=宋体][size=12pt]理解[/size][/font][/b][b][font=Tahoma][size=12pt]BGP[/size][/font][/b][b][font=宋体][size=12pt]协议同步规则[/size][/font][/b][font=Tahoma][size=12pt][/size][/font][/align][align=left][font=宋体][size=12pt]一[/size][/font][font=Tahoma][size=12pt].[/size][/font][font=宋体][size=12pt]理解[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]同步及其基本需求[/size][/font][font=Tahoma][size=12pt]1.BGP[/size][/font][font=宋体][size=12pt]同步规则的定义[/size][/font][font=Tahoma][size=12pt]:[/size][/font][font=宋体][size=12pt]在[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]同步打开的情况下[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]一个[/size][/font][font=Tahoma][size=12pt]BGP[/size][/font][font=宋体][size=12pt]路由器不会把那些通过[/size][/font][font=Tahoma][size=12pt]ibgp[/size][/font][font=宋体][size=12pt]邻居学到的[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]路由通告给自己的[/size][/font][font=Tahoma][size=12pt]ebgp[/size][/font][font=宋体][size=12pt]邻居[/size][/font][font=Tahoma][size=12pt];[/size][/font][font=宋体][size=12pt]除非自己的[/size][/font][font=Tahoma][size=12pt]igb[/size][/font][font=宋体][size=12pt]路由表中存在这些路由[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]才可以向[/size][/font][font=Tahoma][size=12pt]ebgp[/size][/font][font=宋体][size=12pt]路由器通告[/size][/font][font=Tahoma][size=12pt].
[/size][/font][font=Tahoma][size=12pt]
2.BGP[/size][/font][font=宋体][size=12pt]同步规则的目的[/size][/font][font=Tahoma][size=12pt]:[/size][/font][font=宋体][size=12pt]防止一个[/size][/font][font=Tahoma][size=12pt]AS([/size][/font][font=宋体][size=12pt]不是所有的路由器都运行[/size][/font][font=Tahoma][size=12pt]bgp)[/size][/font][font=宋体][size=12pt]内部出现路由黑洞[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]即向外部通告了一个本[/size][/font][font=Tahoma][size=12pt]AS[/size][/font][font=宋体][size=12pt]不可达的虚假的路由[/size][/font][font=Tahoma][size=12pt].[/size][/font][/align][align=left][b][font=Tahoma][size=12pt]BGP[/size][/font][/b][b][font=宋体][size=12pt]同步规则的拓扑示意图[/size][/font][/b][/align][align=left][b][font=宋体][size=12pt]
[/size][/font][/b][/align][align=left][b][font=宋体][size=12pt]如图1[attach]153266[/attach][/size][/font][/b][font=Tahoma][size=12pt]
[/size][/font][/align][align=left][font=Tahoma][size=12pt]
[/size][/font][/align][align=left][font=Tahoma][size=12pt]3.BGP[/size][/font][font=宋体][size=12pt]同步规则的基本需求[/size][/font][font=宋体][size=12pt]如果一个[/size][/font][font=Tahoma][size=12pt]AS[/size][/font][font=宋体][size=12pt]内部存在非[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]路由器[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]那么就出现了[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]和[/size][/font][font=Tahoma][size=12pt]igp[/size][/font][font=宋体][size=12pt]的边界[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]需要在边界路由器将[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]路由发布到[/size][/font][font=Tahoma][size=12pt]igp[/size][/font][font=宋体][size=12pt]中[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]才能保证[/size][/font][font=Tahoma][size=12pt]AS[/size][/font][font=宋体][size=12pt]所通告到外部的[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]路由在[/size][/font][font=Tahoma][size=12pt]AS[/size][/font][font=宋体][size=12pt]内部是连通的[/size][/font][font=Tahoma][size=12pt].[/size][/font][font=宋体][size=12pt]实际上是要求[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]路由和[/size][/font][font=Tahoma][size=12pt]igp[/size][/font][font=宋体][size=12pt]路由的同步[/size][/font][font=Tahoma][size=12pt].
[/size][/font][font=Tahoma][size=12pt]4.[/size][/font][font=宋体][size=12pt]满足[/size][/font][font=Tahoma][size=12pt]BGP[/size][/font][font=宋体][size=12pt]同步规则的基本需求的结果[/size][/font][font=宋体][size=12pt]如果将[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]路由发布到[/size][/font][font=Tahoma][size=12pt]igp[/size][/font][font=宋体][size=12pt]中[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]由于[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]路由主要是来自[/size][/font][font=Tahoma][size=12pt]AS[/size][/font][font=宋体][size=12pt]外部的路由[/size][/font][font=Tahoma][size=12pt]([/size][/font][font=宋体][size=12pt]来自[/size][/font][font=Tahoma][size=12pt]internet),[/size][/font][font=宋体][size=12pt]那么结果是[/size][/font][font=Tahoma][size=12pt]igp[/size][/font][font=宋体][size=12pt]路由器要维护数以万计的外部路由[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]对路由器的[/size][/font][font=Tahoma][size=12pt]cpu[/size][/font][font=宋体][size=12pt]和[/size][/font][font=Tahoma][size=12pt]memeory[/size][/font][font=宋体][size=12pt]以及[/size][/font][font=Tahoma][size=12pt]AS[/size][/font][font=宋体][size=12pt]内部的链路带宽的占用将带来巨大的开销[/size][/font][font=Tahoma][size=12pt].
[/size][/font][font=Tahoma][size=12pt]5.[/size][/font][font=宋体][size=12pt]结论[/size][/font][font=宋体][size=12pt]通常[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]协议的运行需要关闭同步[/size][/font][font=Tahoma][size=12pt].[/size][/font][/align]
[align=left][font=宋体][size=12pt]二[/size][/font][font=Tahoma][size=12pt].BGP[/size][/font][font=宋体][size=12pt]同步的解决方案[/size][/font][font=Tahoma][size=12pt]
[/size][/font][/align][align=left][font=Tahoma][size=12pt]
[/size][/font][/align][align=left][font=Tahoma][size=12pt]1.full mesh ibgp[/size][/font][font=宋体][size=12pt]解决方案[/size][/font][font=Tahoma][size=12pt] AS[/size][/font][font=宋体][size=12pt]内部的[/size][/font][font=宋体][size=12pt]所有路由器[/size][/font][font=宋体][size=12pt]都运行[/size][/font][font=Tahoma][size=12pt]full mesh ibgp,[/size][/font][font=宋体][size=12pt]就可以关闭所有路由器的同步而不影响路由的通告和连通性[/size][/font][font=Tahoma][size=12pt].
[/size][/font][b][font=宋体][size=12pt]问题[/size][/font][/b][b][font=Tahoma][size=12pt]:[/size][/font][/b][font=宋体][size=12pt]当[/size][/font][font=Tahoma][size=12pt]as[/size][/font][font=宋体][size=12pt]内部路由器数量很多时[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]需要建立[/size][/font][font=Tahoma][size=12pt]N*(N-1)/2[/size][/font][font=宋体][size=12pt]个[/size][/font][font=Tahoma][size=12pt]ibgp[/size][/font][font=宋体][size=12pt]会话[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]带来过度的系统开销[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]扩展性不好[/size][/font][font=Tahoma][size=12pt].[/size][/font][/align][align=left][font=Tahoma][size=12pt] [/size][/font][/align][align=left][font=Tahoma][size=12pt] [/size][/font][/align][align=left][b][font=Tahoma][size=12pt]Full-Mesh IBGP [/size][/font][/b][b][font=宋体][size=12pt]拓扑示意[/size][/font][/b][b][font=Tahoma][size=12pt]:[/size][/font][/b][/align][align=left][b][font=Tahoma][size=12pt]
[/size][/font][/b][/align][align=left][b][font=Tahoma][size=12pt]如图2 [attach]153267[/attach]
[/size][/font][/b][/align]
[align=left][b][font=Tahoma][size=12pt] 15[/size][/font][/b][b][font=宋体][size=12pt]个路由器的[/size][/font][/b][b][font=Tahoma][size=12pt]AS,[/size][/font][/b][b][font=宋体][size=12pt]需要建立[/size][/font][/b][b][font=Tahoma][size=12pt]15(15-1)/2=105[/size][/font][/b][b][font=宋体][size=12pt]个[/size][/font][/b][b][font=Tahoma][size=12pt]ibgp[/size][/font][/b][b][font=宋体][size=12pt]会话[/size][/font][/b][font=Tahoma][size=12pt]
[/size][/font][/align][align=left][font=Tahoma][size=12pt]
[/size][/font][/align][align=left][font=Tahoma][size=12pt]2.[/size][/font][font=宋体][size=12pt]路由反射器解决方案[/size][/font][font=Tahoma][size=12pt]AS[/size][/font][font=宋体][size=12pt]内部的[/size][/font][font=宋体][size=12pt]所有路由器[/size][/font][font=宋体][size=12pt]都运行[/size][/font][font=Tahoma][size=12pt]bgp,[/size][/font][font=宋体][size=12pt]在[/size][/font][font=Tahoma][size=12pt]AS[/size][/font][font=宋体][size=12pt]内部部署路由反射器[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]构建[/size][/font][font=Tahoma][size=12pt]hub and spoke[/size][/font][font=宋体][size=12pt]的[/size][/font][font=Tahoma][size=12pt]ibgp([/size][/font][font=宋体][size=12pt]会话数为[/size][/font][font=Tahoma][size=12pt]N-1), [/size][/font][font=宋体][size=12pt]然后关闭所有[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]路由器的同步[/size][/font][font=Tahoma][size=12pt].
[/size][/font][b][font=宋体][size=12pt]问题[/size][/font][/b][b][font=Tahoma][size=12pt]:[/size][/font][/b][font=宋体][size=12pt]此方案可以使[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]路由器传递[/size][/font][font=Tahoma][size=12pt]ibgp[/size][/font][font=宋体][size=12pt]路由到[/size][/font][font=Tahoma][size=12pt]ebgp, [/size][/font][font=宋体][size=12pt]并保证[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]路由的连通性[/size][/font][font=Tahoma][size=12pt].[/size][/font][font=宋体][size=12pt]但是对物理拓扑有很大的限制[/size][/font][font=Tahoma][size=12pt]([/size][/font][font=宋体][size=12pt]要求是星型拓扑[/size][/font][font=Tahoma][size=12pt])
[/size][/font][b][font=Tahoma][size=12pt]Bgp[/size][/font][/b][b][font=宋体][size=12pt]路由反射器设计拓扑[/size][/font][/b][b][font=Tahoma][size=12pt] 15[/size][/font][/b][b][font=宋体][size=12pt]个路由器的[/size][/font][/b][b][font=Tahoma][size=12pt]AS,[/size][/font][/b][b][font=宋体][size=12pt]具有冗余的[/size][/font][/b][b][font=Tahoma][size=12pt]RR[/size][/font][/b][b][font=宋体][size=12pt]方案[/size][/font][/b][b][font=Tahoma][size=12pt](33[/size][/font][/b][b][font=宋体][size=12pt]个[/size][/font][/b][b][font=Tahoma][size=12pt]ibgp[/size][/font][/b][b][font=宋体][size=12pt]会话[/size][/font][/b][b][font=Tahoma][size=12pt])[/size][/font][/b][font=Tahoma][size=12pt]
[/size][/font][/align][align=left][font=Tahoma][size=12pt]
[/size][/font][/align][align=left][font=Tahoma][size=12pt]如图 3[attach]153268[/attach]
[/size][/font][/align][align=left][font=Tahoma][size=12pt]
[/size][/font][/align][align=left][font=Tahoma][size=12pt]3.bgp[/size][/font][font=宋体][size=12pt]联盟解决方案[/size][/font][font=Tahoma][size=12pt]:[/size][/font][font=Tahoma][size=12pt] AS[/size][/font][font=宋体][size=12pt]内部的[/size][/font][font=宋体][size=12pt]所有路由器[/size][/font][font=宋体][size=12pt]都运行[/size][/font][font=Tahoma][size=12pt]bgp,[/size][/font][font=宋体][size=12pt]把一个原始的[/size][/font][font=Tahoma][size=12pt]AS[/size][/font][font=宋体][size=12pt]基于网络拓扑划分为若干个[/size][/font][font=Tahoma][size=12pt]sub-AS([/size][/font][font=宋体][size=12pt]又称联盟[/size][/font][font=Tahoma][size=12pt]AS),[/size][/font][font=宋体][size=12pt]联盟[/size][/font][font=Tahoma][size=12pt]AS[/size][/font][font=宋体][size=12pt]之间的[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]邻居叫做联盟[/size][/font][font=Tahoma][size=12pt]ebgp,[/size][/font][font=宋体][size=12pt]不需要[/size][/font][font=Tahoma][size=12pt]full mesh bgp[/size][/font][font=宋体][size=12pt]会话[/size][/font][font=Tahoma][size=12pt];[/size][/font][font=宋体][size=12pt]在每个联盟[/size][/font][font=Tahoma][size=12pt]AS[/size][/font][font=宋体][size=12pt]内部运[/size][/font][font=Tahoma][size=12pt]full mesh ibgp[/size][/font][font=宋体][size=12pt]或者[/size][/font][font=Tahoma][size=12pt]huband spoke[/size][/font][font=宋体][size=12pt]反射器[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]然后就可以关闭所有路由器的[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]同步功能[/size][/font][font=Tahoma][size=12pt].
[/size][/font][b][font=宋体][size=12pt]结论[/size][/font][/b][b][font=Tahoma][size=12pt]:[/size][/font][/b][font=Tahoma][size=12pt]
bgp[/size][/font][font=宋体][size=12pt]联盟结合路由反射器的方式较好的解决了[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]的同步规则带来的需求[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]是最为有效的解决方案[/size][/font][font=Tahoma][size=12pt].
[/size][/font][/align][align=left][b][font=Tahoma][size=12pt]
[/size][/font][/b][/align][align=left][b][font=Tahoma][size=12pt]
[/size][/font][/b][/align][align=left][b][font=Tahoma][size=12pt]bgp[/size][/font][/b][b][font=宋体][size=12pt]联盟拓扑示意图[/size][/font][/b][b][font=Tahoma][size=12pt]:[/size][/font][/b][/align][align=left][b][font=Tahoma][size=12pt]
[/size][/font][/b][/align][align=left][font=宋体][size=12pt]如图 4[attach]153269[/attach]
[/size][/font][/align][align=left][font=宋体][size=12pt]
[/size][/font][/align][align=left][font=宋体][size=12pt]三[/size][/font][font=Tahoma][size=12pt].BGP[/size][/font][font=宋体][size=12pt]同步规则的总结[/size][/font][font=Tahoma][size=12pt]
[/size][/font][/align][align=left][font=Tahoma][size=12pt]
[/size][/font][/align][align=left][font=Tahoma][size=12pt]1.[/size][/font][font=宋体][size=12pt]在所有的方案中[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]既要保证传递[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]路由[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]还要保证[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]路由的连通性[/size][/font][font=Tahoma][size=12pt].
[/size][/font][font=Tahoma][size=12pt]
2.[/size][/font][font=宋体][size=12pt]关闭同步能够实现[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]路由的传递[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]不一定能保证[/size][/font][font=Tahoma][size=12pt]as[/size][/font][font=宋体][size=12pt]内部连通性[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]除非[/size][/font][font=Tahoma][size=12pt]as[/size][/font][font=宋体][size=12pt]内所有路由器都运行[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]才可以保证连通性[/size][/font][font=Tahoma][size=12pt];[/size][/font][font=宋体][size=12pt]否则[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]仍然需要路由再发布[/size][/font][font=Tahoma][size=12pt](bgpàigp)
3.[/size][/font][font=宋体][size=12pt]最后[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]在[/size][/font][font=Tahoma][size=12pt]as[/size][/font][font=宋体][size=12pt]内部一般需要部署[/size][/font][font=Tahoma][size=12pt]igp[/size][/font][font=宋体][size=12pt]来维持[/size][/font][font=Tahoma][size=12pt]AS[/size][/font][font=宋体][size=12pt]内部网络路径的连通性[/size][/font][font=Tahoma][size=12pt],[/size][/font][font=宋体][size=12pt]以保证[/size][/font][font=Tahoma][size=12pt]as[/size][/font][font=宋体][size=12pt]内部的所通告的[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]路由的下一跳的可达性[/size][/font][font=Tahoma][size=12pt].[/size][/font][font=宋体][size=12pt]这样[/size][/font][font=Tahoma][size=12pt]bgp[/size][/font][font=宋体][size=12pt]网络就具有更好的灵活性和扩展性[/size][/font][font=Tahoma][size=12pt].[/size][/font][/align]
[[i] 本帖最后由 garnett_wu 于 2006-11-3 10:48 编辑 [/i]] [align=left][align=left][b][font=Tahoma][size=12pt]IS-IS[/size][/font][/b][b][font=宋体][size=12pt]与[/size][/font][/b][b][font=Tahoma][size=12pt]OSPF[/size][/font][/b][b][font=宋体][size=12pt]的比较[/size][/font][/b][font=Tahoma][size=12pt][/size][/font][/align][/align][align=left][align=left][font=Tahoma][size=12pt]IS-IS[/size][/font][font=宋体][size=12pt]与[/size][/font][font=Tahoma][size=12pt]OSPF[/size][/font][font=宋体][size=12pt]的比较[/size][/font][font=Tahoma][size=12pt]
1) IS-IS [/size][/font][font=宋体][size=12pt]只定义了两种网络拓扑类型:[/size][/font][font=Tahoma][size=12pt]broadcast[/size][/font][font=宋体][size=12pt]和[/size][/font][font=Tahoma][size=12pt]general topology[/size][/font][font=宋体][size=12pt]。在[/size][/font][font=Tahoma][size=12pt]Cisco[/size][/font][font=宋体][size=12pt]路由器中链路分为[/size][/font][font=Tahoma][size=12pt]point-to-point [/size][/font][font=宋体][size=12pt]和[/size][/font][font=Tahoma][size=12pt]broadcast[/size][/font][font=宋体][size=12pt]。[/size][/font][font=Tahoma][size=12pt]
OPSF[/size][/font][font=宋体][size=12pt]定义了[/size][/font][font=Tahoma][size=12pt]5[/size][/font][font=宋体][size=12pt]种网络类型:[/size][/font][font=Tahoma][size=12pt]point-to-point[/size][/font][font=宋体][size=12pt]、[/size][/font][font=Tahoma][size=12pt]point-to-multipoint[/size][/font][font=宋体][size=12pt]、[/size][/font][font=Tahoma][size=12pt]broadcast[/size][/font][font=宋体][size=12pt]和[/size][/font][font=Tahoma][size=12pt]NBMA[/size][/font][font=宋体][size=12pt],以及[/size][/font][font=Tahoma][size=12pt]virtual links
IS-IS[/size][/font][font=宋体][size=12pt]与[/size][/font][font=Tahoma][size=12pt]OSPF[/size][/font][font=宋体][size=12pt]的比较[/size][/font][font=Tahoma][size=12pt]
1) IS-IS [/size][/font][font=宋体][size=12pt]只定义了两种网络拓扑类型:[/size][/font][font=Tahoma][size=12pt]broadcast[/size][/font][font=宋体][size=12pt]和[/size][/font][font=Tahoma][size=12pt]general topology[/size][/font][font=宋体][size=12pt]。在[/size][/font][font=Tahoma][size=12pt]Cisco[/size][/font][font=宋体][size=12pt]路由器中链路分为[/size][/font][font=Tahoma][size=12pt]point-to-point [/size][/font][font=宋体][size=12pt]和[/size][/font][font=Tahoma][size=12pt]broadcast[/size][/font][font=宋体][size=12pt]。[/size][/font][font=Tahoma][size=12pt]
OPSF[/size][/font][font=宋体][size=12pt]定义了[/size][/font][font=Tahoma][size=12pt]5[/size][/font][font=宋体][size=12pt]种网络类型:[/size][/font][font=Tahoma][size=12pt]point-to-point[/size][/font][font=宋体][size=12pt]、[/size][/font][font=Tahoma][size=12pt]point-to-multipoint[/size][/font][font=宋体][size=12pt]、[/size][/font][font=Tahoma][size=12pt]broadcast[/size][/font][font=宋体][size=12pt]和[/size][/font][font=Tahoma][size=12pt]NBMA[/size][/font][font=宋体][size=12pt],以及[/size][/font][font=Tahoma][size=12pt]virtual links
2) [/size][/font][font=宋体][size=12pt]两种协议都维护一个链路状态数据库([/size][/font][font=Tahoma][size=12pt]LinkState Database[/size][/font][font=宋体][size=12pt])[/size][/font][font=Tahoma][size=12pt]
IS-IS[/size][/font][font=宋体][size=12pt]使用[/size][/font][font=Tahoma][size=12pt]LSP[/size][/font][font=宋体][size=12pt]([/size][/font][font=Tahoma][size=12pt]Link State PDU[/size][/font][font=宋体][size=12pt]),[/size][/font][font=Tahoma][size=12pt]LSP[/size][/font][font=宋体][size=12pt]自己就是一个数据报;[/size][/font][font=Tahoma][size=12pt]
OSPF[/size][/font][font=宋体][size=12pt]使用[/size][/font][font=Tahoma][size=12pt]LSA[/size][/font][font=宋体][size=12pt]([/size][/font][font=Tahoma][size=12pt]Link State Advertisements[/size][/font][font=宋体][size=12pt]),[/size][/font][font=Tahoma][size=12pt]LSA[/size][/font][font=宋体][size=12pt]必须被封装([/size][/font][font=Tahoma][size=12pt]encapsulate[/size][/font][font=宋体][size=12pt])在[/size][/font][font=Tahoma][size=12pt]OSPF[/size][/font][font=宋体][size=12pt]报头和[/size][/font][font=Tahoma][size=12pt]IP[/size][/font][font=宋体][size=12pt]报头内。[/size][/font][font=Tahoma][size=12pt]
3) [/size][/font][font=宋体][size=12pt]两种协议都使用[/size][/font][font=Tahoma][size=12pt]SPF[/size][/font][font=宋体][size=12pt]算法来计算路由[/size][/font][font=Tahoma][size=12pt]
IS-IS[/size][/font][font=宋体][size=12pt]在域内([/size][/font][font=Tahoma][size=12pt]intra-area[/size][/font][font=宋体][size=12pt])运行[/size][/font][font=Tahoma][size=12pt]Level 1 SPF[/size][/font][font=宋体][size=12pt]计算路由,在域间([/size][/font][font=Tahoma][size=12pt]inter-area[/size][/font][font=宋体][size=12pt])运行[/size][/font][font=Tahoma][size=12pt]Level 2 SPF[/size][/font][font=宋体][size=12pt]计算路由;[/size][/font][font=Tahoma][size=12pt]
OSPF[/size][/font][font=宋体][size=12pt]在域内([/size][/font][font=Tahoma][size=12pt]intra-area[/size][/font][font=宋体][size=12pt])运行[/size][/font][font=Tahoma][size=12pt]SPF[/size][/font][font=宋体][size=12pt]计算路由,在域间([/size][/font][font=Tahoma][size=12pt]inter-area[/size][/font][font=宋体][size=12pt])运行距离向量算法([/size][/font][font=Tahoma][size=12pt]distance vector algorithm[/size][/font][font=宋体][size=12pt])来计算路由。[/size][/font][font=Tahoma][size=12pt]
4) [/size][/font][font=宋体][size=12pt]两种协议都使用域([/size][/font][font=Tahoma][size=12pt]area[/size][/font][font=宋体][size=12pt])来建立两层分级的网络拓扑结构[/size][/font][font=Tahoma][size=12pt]
IS-IS[/size][/font][font=宋体][size=12pt]的骨干不是特定的一个域,而是由连续的[/size][/font][font=Tahoma][size=12pt]Level2 [/size][/font][font=宋体][size=12pt]路由器组成;[/size][/font][font=Tahoma][size=12pt]
OSPF[/size][/font][font=宋体][size=12pt]的骨干必须有而且必须为[/size][/font][font=Tahoma][size=12pt]area 0;
IS-IS[/size][/font][font=宋体][size=12pt]的域边界是在路由器之间的链路([/size][/font][font=Tahoma][size=12pt]link[/size][/font][font=宋体][size=12pt])上;[/size][/font][font=Tahoma][size=12pt]
OSPF[/size][/font][font=宋体][size=12pt]的域边界是在路由器上;[/size][/font][font=Tahoma][size=12pt]
IS-IS[/size][/font][font=宋体][size=12pt]的两层分级的网络拓扑结构不是必须的,网络可以完全由[/size][/font][font=Tahoma][size=12pt]Level1 [/size][/font][font=宋体][size=12pt]路由器或完全由[/size][/font][font=Tahoma][size=12pt]Level 2 [/size][/font][font=宋体][size=12pt]路由器构成。[/size][/font][font=Tahoma][size=12pt]
OSPF[/size][/font][font=宋体][size=12pt]的必须有[/size][/font][font=Tahoma][size=12pt]area 0,[/size][/font][font=宋体][size=12pt]可以只有一个[/size][/font][font=Tahoma][size=12pt]area,[/size][/font][font=宋体][size=12pt]但必须是[/size][/font][font=Tahoma][size=12pt]area 0[/size][/font][font=宋体][size=12pt]。[/size][/font][font=Tahoma][size=12pt]
5) IS-IS[/size][/font][font=宋体][size=12pt]的特性之一是:[/size][/font][font=Tahoma][size=12pt]IS-IS[/size][/font][font=宋体][size=12pt]路由器最多能有[/size][/font][font=Tahoma][size=12pt]3[/size][/font][font=宋体][size=12pt]个域地址([/size][/font][font=Tahoma][size=12pt]area addresses[/size][/font][font=宋体][size=12pt]),这在域间传输中很有用。[/size][/font][font=Tahoma][size=12pt]
6) [/size][/font][font=宋体][size=12pt]两种协议都是无类路由协议,都在[/size][/font][font=Tahoma][size=12pt]area[/size][/font][font=宋体][size=12pt]间汇总([/size][/font][font=Tahoma][size=12pt]summary[/size][/font][font=宋体][size=12pt])[/size][/font][font=Tahoma][size=12pt]
7) [/size][/font][font=宋体][size=12pt]两种协议处理错误([/size][/font][font=Tahoma][size=12pt]corrupted[/size][/font][font=宋体][size=12pt])[/size][/font][font=Tahoma][size=12pt]LSP/LSA[/size][/font][font=宋体][size=12pt]的方法不同:[/size][/font][font=Tahoma][size=12pt]
IS-IS[/size][/font][font=宋体][size=12pt]中任何一个路由器都能丢弃([/size][/font][font=Tahoma][size=12pt]purge[/size][/font][font=宋体][size=12pt])[/size][/font][font=Tahoma][size=12pt]corrupted LSP;
OSPF[/size][/font][font=宋体][size=12pt]中只有[/size][/font][font=Tahoma][size=12pt]corrupted LSA[/size][/font][font=宋体][size=12pt]的发送者([/size][/font][font=Tahoma][size=12pt]originator[/size][/font][font=宋体][size=12pt])才能丢弃([/size][/font][font=Tahoma][size=12pt]purge[/size][/font][font=宋体][size=12pt])它。[/size][/font][font=Tahoma][size=12pt]
8) [/size][/font][font=宋体][size=12pt]在广播网络([/size][/font][font=Tahoma][size=12pt]broadcast network[/size][/font][font=宋体][size=12pt])中两种协议都要建立[/size][/font][font=Tahoma][size=12pt]adjacency[/size][/font][font=宋体][size=12pt]关系[/size][/font][font=Tahoma][size=12pt]
IS-IS[/size][/font][font=宋体][size=12pt]中,只要[/size][/font][font=Tahoma][size=12pt]neighbor[/size][/font][font=宋体][size=12pt]的[/size][/font][font=Tahoma][size=12pt]Hello[/size][/font][font=宋体][size=12pt]数据报中有你的[/size][/font][font=Tahoma][size=12pt]identity[/size][/font][font=宋体][size=12pt],[/size][/font][font=Tahoma][size=12pt]adjacency[/size][/font][font=宋体][size=12pt]关系就建立成功。该阶段经历一个三次握手的过程:[/size][/font][font=Tahoma][size=12pt]Down[/size][/font][font=宋体][size=12pt]→[/size][/font][font=Tahoma][size=12pt]Init[/size][/font][font=宋体][size=12pt]→[/size][/font][font=Tahoma][size=12pt]Up[/size][/font][font=宋体][size=12pt]。[/size][/font][font=Tahoma][size=12pt]
OSPF[/size][/font][font=宋体][size=12pt]中,建立[/size][/font][font=Tahoma][size=12pt]adjacency[/size][/font][font=宋体][size=12pt]关系前经历的过程:[/size][/font][font=Tahoma][size=12pt]Down[/size][/font][font=宋体][size=12pt]→[/size][/font][font=Tahoma][size=12pt]Init[/size][/font][font=宋体][size=12pt]→[/size][/font][font=Tahoma][size=12pt]Two-way[/size][/font][font=宋体][size=12pt]→[/size][/font][font=Tahoma][size=12pt]Exstart[/size][/font][font=宋体][size=12pt]→[/size][/font][font=Tahoma][size=12pt]Exchange[/size][/font][font=宋体][size=12pt]→[/size][/font][font=Tahoma][size=12pt]Uploading[/size][/font][font=宋体][size=12pt]→[/size][/font][font=Tahoma][size=12pt]Full[/size][/font][font=宋体][size=12pt]。[/size][/font][font=Tahoma][size=12pt]
9) IS-IS neighbors[/size][/font][font=宋体][size=12pt]会建立[/size][/font][font=Tahoma][size=12pt]adjacency[/size][/font][font=宋体][size=12pt]关系,即使[/size][/font][font=Tahoma][size=12pt]Hello-intervals[/size][/font][font=宋体][size=12pt]或[/size][/font][font=Tahoma][size=12pt]Hellomultipliers[/size][/font][font=宋体][size=12pt]不同;[/size][/font][font=Tahoma][size=12pt]
OSPF neighbors[/size][/font][font=宋体][size=12pt]不会建立[/size][/font][font=Tahoma][size=12pt]adjacency[/size][/font][font=宋体][size=12pt]关系,如果[/size][/font][font=Tahoma][size=12pt]Hello-intervals[/size][/font][font=宋体][size=12pt]或[/size][/font][font=Tahoma][size=12pt]Dead-intervals[/size][/font][font=宋体][size=12pt]不同。[/size][/font][font=Tahoma][size=12pt]
10) [/size][/font][font=宋体][size=12pt]在广播网络([/size][/font][font=Tahoma][size=12pt]broadcast network[/size][/font][font=宋体][size=12pt])中两种协议都要选择一个[/size][/font][font=Tahoma][size=12pt]DIS/DR
IS-IS[/size][/font][font=宋体][size=12pt]中[/size][/font][font=Tahoma][size=12pt]DIS[/size][/font][font=宋体][size=12pt]是动态选择的,即若有更高优先级或更大的地址的路由器加入网络,则新加入的路由器成为[/size][/font][font=Tahoma][size=12pt]DIS[/size][/font][font=宋体][size=12pt];[/size][/font][font=Tahoma][size=12pt]
OSPF[/size][/font][font=宋体][size=12pt]中[/size][/font][font=Tahoma][size=12pt]DR[/size][/font][font=宋体][size=12pt]相对稳定,即只要[/size][/font][font=Tahoma][size=12pt]DR[/size][/font][font=宋体][size=12pt]没有[/size][/font][font=Tahoma][size=12pt]down[/size][/font][font=宋体][size=12pt]掉,[/size][/font][font=Tahoma][size=12pt]DR[/size][/font][font=宋体][size=12pt]保持其地位;[/size][/font][font=Tahoma][size=12pt]
IS-IS[/size][/font][font=宋体][size=12pt]中,广播网络中的路由器与所有的邻居建立[/size][/font][font=Tahoma][size=12pt]adjacency[/size][/font][font=宋体][size=12pt]关系;[/size][/font][font=Tahoma][size=12pt]
OSPF[/size][/font][font=宋体][size=12pt]中,广播网络中的路由器只与[/size][/font][font=Tahoma][size=12pt]DR[/size][/font][font=宋体][size=12pt]和[/size][/font][font=Tahoma][size=12pt]BDR[/size][/font][font=宋体][size=12pt]邻居建立[/size][/font][font=Tahoma][size=12pt]adjacency[/size][/font][font=宋体][size=12pt]关系;[/size][/font][font=Tahoma][size=12pt]
IS-IS[/size][/font][font=宋体][size=12pt]中,[/size][/font][font=Tahoma][size=12pt]DIS[/size][/font][font=宋体][size=12pt]不与它的[/size][/font][font=Tahoma][size=12pt]neighbors[/size][/font][font=宋体][size=12pt]同步([/size][/font][font=Tahoma][size=12pt]synchronize[/size][/font][font=宋体][size=12pt])。[/size][/font][font=Tahoma][size=12pt]DIS[/size][/font][font=宋体][size=12pt]生成[/size][/font][font=Tahoma][size=12pt]the pseudonode for the LAN[/size][/font][font=宋体][size=12pt],并且每[/size][/font][font=Tahoma][size=12pt]3[/size][/font][font=宋体][size=12pt]秒发送[/size][/font][font=Tahoma][size=12pt]PSNPs[/size][/font][font=宋体][size=12pt]([/size][/font][font=Tahoma][size=12pt]partial sequence number PDUs[/size][/font][font=宋体][size=12pt])或每[/size][/font][font=Tahoma][size=12pt]10[/size][/font][font=宋体][size=12pt]秒发送[/size][/font][font=Tahoma][size=12pt]CSNPs[/size][/font][font=宋体][size=12pt]([/size][/font][font=Tahoma][size=12pt]complete sequence number PDUs[/size][/font][font=宋体][size=12pt])。其他的路由器也可以用[/size][/font][font=Tahoma][size=12pt]PSNPs[/size][/font][font=宋体][size=12pt]向[/size][/font][font=Tahoma][size=12pt]DIS[/size][/font][font=宋体][size=12pt]申请丢失的[/size][/font][font=Tahoma][size=12pt]LSP[/size][/font][font=宋体][size=12pt]或发送给[/size][/font][font=Tahoma][size=12pt]DIS[/size][/font][font=宋体][size=12pt]一个新的[/size][/font][font=Tahoma][size=12pt]LSP[/size][/font][font=宋体][size=12pt]。因为[/size][/font][font=Tahoma][size=12pt]DIS[/size][/font][font=宋体][size=12pt]能[/size][/font][font=Tahoma][size=12pt]flood PDUs,[/size][/font][font=宋体][size=12pt]所以[/size][/font][font=Tahoma][size=12pt]DIS[/size][/font][font=宋体][size=12pt]不需要与其[/size][/font][font=Tahoma][size=12pt]neighbors[/size][/font][font=宋体][size=12pt]同步([/size][/font][font=Tahoma][size=12pt]synchronization[/size][/font][font=宋体][size=12pt]);有因为不需要与其[/size][/font][font=Tahoma][size=12pt]neighbors[/size][/font][font=宋体][size=12pt]同步([/size][/font][font=Tahoma][size=12pt]synchronization[/size][/font][font=宋体][size=12pt]),所以不需要[/size][/font][font=Tahoma][size=12pt]BDIS[/size][/font][font=宋体][size=12pt]。[/size][/font][font=Tahoma][size=12pt]
OSPF[/size][/font][font=宋体][size=12pt]中,[/size][/font][font=Tahoma][size=12pt]DR/BDR[/size][/font][font=宋体][size=12pt]用单播([/size][/font][font=Tahoma][size=12pt]unicast[/size][/font][font=宋体][size=12pt])传送[/size][/font][font=Tahoma][size=12pt]DDP[/size][/font][font=宋体][size=12pt]的方式分别与其他的所以路由器同步([/size][/font][font=Tahoma][size=12pt]synchronization[/size][/font][font=宋体][size=12pt])。[/size][/font][font=Tahoma][size=12pt]
11) [/size][/font][font=宋体][size=12pt]两种协议都有认证([/size][/font][font=Tahoma][size=12pt]authentication[/size][/font][font=宋体][size=12pt])[/size][/font][font=Tahoma][size=12pt]
IS-IS[/size][/font][font=宋体][size=12pt]只支持简单认证;[/size][/font][font=Tahoma][size=12pt]
OSPF[/size][/font][font=宋体][size=12pt]支持简单认证和[/size][/font][font=Tahoma][size=12pt]MD5[/size][/font][font=宋体][size=12pt]认证。[/size][/font][font=Tahoma][size=12pt]
12) IS-IS[/size][/font][font=宋体][size=12pt]的[/size][/font][font=Tahoma][size=12pt]L1/L2[/size][/font][font=宋体][size=12pt]路由器不向[/size][/font][font=Tahoma][size=12pt]L1[/size][/font][font=宋体][size=12pt]路由器发布[/size][/font][font=Tahoma][size=12pt]L2[/size][/font][font=宋体][size=12pt]路由。[/size][/font][font=Tahoma][size=12pt]L1[/size][/font][font=宋体][size=12pt]路由器就象[/size][/font][font=Tahoma][size=12pt]OSPF[/size][/font][font=宋体][size=12pt]中的完全端域([/size][/font][font=Tahoma][size=12pt]totally stubby area[/size][/font][font=宋体][size=12pt])。[/size][/font][font=Tahoma][size=12pt]
13)ISIS [/size][/font][font=宋体][size=12pt]协议的配置中没有一个类似于[/size][/font][font=Tahoma][size=12pt]OSPF[/size][/font][font=宋体][size=12pt]协议中的[/size][/font][font=Tahoma][size=12pt]ip ospf network[/size][/font][font=宋体][size=12pt]命令的配置选项,因此在[/size][/font][font=Tahoma][size=12pt]NBMA[/size][/font][font=宋体][size=12pt]中做为[/size][/font][font=Tahoma][size=12pt]“HUB”[/size][/font][font=宋体][size=12pt]的[/size][/font][font=Tahoma][size=12pt]ROUTER[/size][/font][font=宋体][size=12pt]必须被配置为[/size][/font][font=Tahoma][size=12pt]point to point subinterfaces[/size][/font][font=宋体][size=12pt](包括地址的改变),以便每一个[/size][/font][font=Tahoma][size=12pt]PVC[/size][/font][font=宋体][size=12pt]链路都在不同的[/size][/font][font=Tahoma][size=12pt]SUBNET[/size][/font][font=宋体][size=12pt]中。[/size][/font][font=Tahoma][size=12pt][/size][/font][/align][/align] Vlan间DHCP配置
[size=12px]网络环境:
一台3550EMI交换机,划分三个vlan,
vlan2 为服务器所在网络,命名为server,|
IP地址段为192.168.2.0,子网掩码:255.255.255.0,网关:192.168.2.1,
域服务器为windows 2000 advance server,同时兼作DHCP服务器,DNS服务器,
IP地址为192.168.2.10, vlan3为客户机1
所在网络,
IP地址段为192.168.3.0,子网掩码:255.255.255.0,网关:192.168.3.1
命名为work01,vlan4 为客户机2所在网络,命名为work02,
IP地址段为192.168.4.0,子网掩码:255.255.255.0,网关:192.168.4.1.
3550上端口1-8划到VLAN 2,端口9-16划分到VLAN 3,端口17-24划分到VLAN 4.
[b]配置命令及步骤如下:[/b]
[b]第一步:创建VLAN:[/b]
Switch>Vlan Database
Switch(Vlan)>Vlan 2 Name server
Switch(Vlan)>Vlan 3 Name work01
Switch(vlan)>Vlan 4 Name work02|
[b]第二步:启用DHCP中继代理:[/b]
/*关键一步,若缺少以下两条命令,在VLAN中使用“IP HELPER-ADDRESS DHCP服务器地址”指定DHCP服务器,客户机仍然不能获得IP地址*/
Switch>Enable
Switch#Config t
Switch(Config)Service Dhcp
Switch(Config)Ip Dhcp Relay Information Option
[b]第三步:设置VLAN IP地址:[/b]
Switch(Config)>Int Vlan 2
Switch(Config-vlan)Ip Address 192.168.2.1 255.255.255.0
Switch(Config-vlan)No Shut
Switch(Config-vlan)>Int Vlan 3
Switch(Config-vlan)Ip Address 192.168.3.1 255.255.255.0
Switch(Config-vlan)No Shut
Switch(Config-vlan)>Int Vlan 4
Switch(Config-vlan)Ip Address 192.168.4.1 255.255.255.0
Switch(Config-vlan)No Shut
Switch(Config-vlan)Exit
/*注意:由于此时没有将端口分配置到VLAN2,3,4,所以各VLAN会DOWN掉,待将端口分配到各VLAN后,VLAN会起来*/
[b]第四步:设置端口全局参数[/b]
Switch(Config)Interface Range Fa 0/1 - 24
Switch(Config-if-range)Switchport Mode Access
Switch(Config-if-range)Spanning-tree Portfast
[b]第五步:将端口添加到VLAN2,3,4中[/b]
/*将端口1-8添加到VLAN 2*/
Switch(Config)Interface Range Fa 0/1 - 8
Switch(Config-if-range)Switchport Access Vlan 2
/*将端口9-16添加到VLAN 3*/
Switch(Config)Interface Range Fa 0/9 - 16
Switch(Config-if-range)Switchport Access Vlan 3
/*将端口17-24添加到VLAN 4*/
Switch(Config)Interface Range Fa 0/17 - 24
Switch(Config-if-range)Switchport Access Vlan 4
Switch(Config-if-range)Exit
/*经过这一步后,各VLAN会起来*/
[b]第六步:在VLAN3和4中设定DHCP服务器地址[/b]
/*VLAN 2中不须指定DHCP服务器地址*/
Switch(Config)Int Vlan 3
Switch(Config-vlan)Ip Helper-address 192.168.2.10
Switch(Config)Int Vlan 4
Switch(Config-vlan)Ip Helper-address 192.168.2.10|
[b]第七步:启用路由[/b]
/*路由启用后,各VLAN间主机可互相访问,若需进一步控制访问权限,则需应用到访问控制列表*/
Switch(Config)Ip Routing
[b]第八步:结束并保存配置[/b]
Switch(Config-vlan)End
Switch#Copy Run Start[/size] 如何将IP地址映射到路由器主机名
下面我们就为大家介绍如何配置主机表:
1、进入路由器的全局模式。
router#configure terminal
2、将主机名为cisco的路由器映射到192.168.0.12的地址上。
router(config)#ip host cisco 192.168.0.12
3、保存配置到RVRAM中。
router(config)#copy running-config startup-config
这样,我们在输入Telnet cisco命令时,路由器会自动将这个主机名映射到IP192.168.0.12的IP地址。
Cisco试题:UDP考题分析
问题:What does the User Datagram Protocol(UDP)provide?
A. Flow control and error checking
B. Name resolution
C. Path discovery
D. FECN&BECN
E. Connctionless datagram service
Select the 1 best answer(选择一个最佳答案)
上述如何描述UDP才是正确的?
解答:
用户数据报协议(UDP)提供了一种无连接、尽力传送的报文转发服务,详见RFC768。
UDP协议不提供不可靠的数据传输服务,没有错误检测功能。
UDP协议是英文UserDatagramProtocol的缩写,即用户数据报协议,主要用来支持那些需要在计算机之间传输数据的网络应用。包括网络视频会议系统在内的众多的客户/服务器模式的网络应用都需要使用UDP协议。
正确答案:E
UDP报头由4个域组成,其中每个域各占用2个字节,具体如下:
源端口号
目标端口号
数据报长度
校验值
选项D选中解释:
前向显示拥塞指示:帧中继网络中,当DTE接收到具有FECN位的数据帧后,便知道正在接收帧的DTE从源目的地的路径已经发生了拥塞。这时,要请求上层协议进行适当的流量控制。
后向显示拥塞控制:当在帧中继的网络里,某条路径阻塞时,会在网络中设置BECN位并向反向发出。DTE在接收到BECN位的设置时,会对链路进行适当的流量控制。
参考资料:
Sybex CCNA 4.0 -- Chapter 1 Internetworking -- The OSI Reference Model -- Transport Layer
Cisco试题:路由协议考题分析
问题:The acronym BGP stands for which protocol?
A.Backgroud Gateway Protocol
B.Backdoor Gateway Protocol
C.Border Gateway Protocol
D.Basic Gateway Protocol
Select the 1 best answer
题目的意思:BGP是下面那个协议的缩写?
正确答案:C
题解:
BGP is an acronym for Border Gateway protocol
BGP:边界网关协议。它是取代了EGP的一种域间路由选择协议。BGP与其他BGP系统交换可达性信息。它在PFC1163中进行了定义。
BGP—4:BGP版本4。这是在internet上主要的域间路由选择协议的第4版本。
BGP-4支持CIDR,并且使用路由聚合机制来减少路由表的大小。
IP multicast学习笔记
[font=verdana,宋体][size=2]IGMP用于router和host之间。all host:224.0.0.1
all router:224.0.0.2
V1没有最大响应时间,没有leave信息。最大响应时间0.1-25.5秒。
0x11:query
0x16:version 2 report
0x12:version 1 report
0x17:version 2 leave message
同一个网段有多个router时,IP地址小的做为queryer
IGMP snooping、GMRP均用于交换机避免以broadcast方式转发multicast包。
IGMP snooping是交换机嗅探IGMP包,从而建立起转发表来,一般是软件处理。影响交换性能。
CGMP是cisco的一个专有技术,同样用于交换机避免以broadcast方式转发multicast frame.
CGMP是cisco路由器和交换机之间的一个通讯协议,路由器发送join和leave消息,交换机仅仅只是对这些消息进行操作。
CGMP中的相关概念:
GDA:group destination address,48位,可以是0或group mac
USA:unicast source address,48位,0或router mac或member mac
CGMP包解析:
类型|GDA|USA|功能
join|zero|router mac|标志端口为multicast路由器端口
join|groupmac|membermac|通知将该member加到该group中
leave|groupmac|membermac|将member从group中移除
leave|GROUP MAC|zero|通知交换机从cam中将组移除
leave|zero|routermac|从CAM中移除所有的组
leave|zero|zero|从所有的交换机中移除所有的组
CGMP frame的源地址是发出的路由器的MAC,目的MAC使用保留的multicast地址:0100.0cdd.dddd,使用snap封装,OUI为0x0000c,类型域为0x2001
multicast路由协议的一般讨论:
MOSPF:dense mode,explicit join,source-based tree,
DVMRP:dense mode,,implicit join,SBT
PIM-DM:dense mode,implicit join,SBT
PIM-SM:Sparse mode,explicit join,Shared trees
CBT(core-based tree):Sparse mode,explicit join,Shared trees
解决的主要问题是维护对于给定的(S,G)的upstream和downstream关系。
unicast路由协议解决的问题是如何才能离目的地更近,而multicast路由协议解决的问题是如何才能离源最近。这也是RPF这个词的由来。
最简单的办法是使用RPB,即向除upstream外的所有的downstream接口转发。进化为TRPB,即只向有member的downstream转发,最后就可以形成一棵以离源最近的router为根的树。称为RPM。reversepathmulticast.这棵树是动态的,multicast协议的根本目的就是为了维护这棵转发树。
DM与SM:DM指在一个domain中member的比例比较大,一般适用于LAN/compus,SM指一个domain中member的比例比较小。
隐式加入:发送者初始化。broadcast-and-prune or flood-and-prune.(downstream接口存在forward和prune两种状态,prune状态时有一个超时timer.)
显式加入:接收者初始化。
source-based tree:每个源一棵树
shared tree:多个源共享一棵树,RP,发送者注册到RP,使用(*,G),增加扩展性,考虑200个组,每个组150个源。。。
Multicast Scope:定义了multicast流量所能达到的边界。
TTL scope,限制downstream的TTL阈值,必须大于该阈值才会转到到downstream。缺点 是不灵活,难以实现,可能会失效。
在mbone中常使用,阈值定义如下:
0:同一主机
1:限制在同一子网
15:限制在同一站点
63:限制在同一地区
127:世界范围内
191:世界范围,限制带宽
255:不做限制
Administrative Scoping(类似于RFC1918定义的私有IP地址。
RFC2365。建议和239/8做为保留地址。
其中:239.255/16做为site范围内,239.192/14作为组织范围内。
需要注意不要让这些group泄漏到公众网络。[/size][/font]
[font=verdana,宋体][size=2]一、DVMRP
DVMRP使用224.0.0.4做为all dvmrp router.协议无关,内建RIP
SBT,broadcast-and-prune
通过probe包(TTL为1)发现邻居,间隔10秒,失效期30秒。
同一个网段有多个时,使用IGMP V2选举进程确定designated router.
generation ID,重启后改变,收到改变后的generation ID后,立即清空prune状态.
周期更新路由表,间隔60秒,类似于RIP。发现新邻居,立即直接单播到新邻居,140秒为超时,超时后进入120秒的保持周期。
跳数为32跳不可达,可定义到63跳,33到63和协议信赖。
多连接网络:designated forwarder,选择依据:路数小,跳数相同时为低的路由器地址。
包转发:
收到包时,转到到downstream接口或leafnetwork,如果都没有,向upstream接口发prune消息。prune消息中包括prunelifetime,缺省值为2小时,如果一个收到过prune消息的路由器自身要发一个prune消息,则lifetime在2小时和downstream来的lifetime中选小值。
Graft,等待graft ack的timer为5秒。
IP协议号为2,和IGMP相同,DVMRP的IGMP类型为0x13。
在路由更新包中,mask字段始终假设第一字节为255,所以不能汇总为比/8更小的prefix,例外地,缺省路由的mask为0.0.0,此时又应该理解为0.0.0.0/0
二、MOSPF
DVMRP使用224.0.0.4做为all dvmrp router.协议无关,内建RIP
SBT,broadcast-and-prune
通过probe包(TTL为1)发现邻居,间隔10秒,失效期30秒。
同一个网段有多个时,使用IGMP V2选举进程确定designated router.
generation ID,重启后改变,收到改变后的generation ID后,立即清空prune状态.
周期更新路由表,间隔60秒,类似于RIP。发现新邻居,立即直接单播到新邻居,140秒为超时,超时后进入120秒的保持周期。
跳数为32跳不可达,可定义到63跳,33到63和协议信赖。
多连接网络:designated forwarder,选择依据:路数小,跳数相同时为低的路由器地址。
包转发:
收到包时,转到到downstream接口或leafnetwork,如果都没有,向upstream接口发prune消息。prune消息中包括prunelifetime,缺省值为2小时,如果一个收到过prune消息的路由器自身要发一个prune消息,则lifetime在2小时和downstream来的lifetime中选小值。
Graft,等待graft ack的timer为5秒。
IP协议号为2,和IGMP相同,DVMRP的IGMP类型为0x13。
在路由更新包中,mask字段始终假设第一字节为255,所以不能汇总为比/8更小的prefix,例外地,缺省路由的mask为0.0.0,此时又应该理解为0.0.0.0/0
三、CBT
DVMRP和OSPF的两个主要缺点:是密集模式,和协议相关
CBT和协议无关,稀疏模式,共享树
CBT的各个版本不提供后向兼容性。V2使用group地址224.0.0.15标志所有的CBT router,
同样的,CBT自身的包的TTL为1
parent interface(upstream),child interface(downstream)
parent router,child router,
join request wait 7.5 seconds
echo_reuqest,childrouter周期性向parentrouter发送,周期为60秒,如果70秒内未收到parentrouter发出的echo_reply。则认为parentrouter失效.90秒未收到,则自身从tree中清除,并清除自己以下的所有的child router.
确定core,配置候选core,通过选举确定core,和PIM-SM相同。
对于nomember source,离source最近的router通过到core的一个ip tunnel将multicast流量以单播形式发送到core.
四、PIM-DM
DVMRP和OSPF的两个主要缺点:是密集模式,和协议相关
CBT和协议无关,稀疏模式,共享树
CBT的各个版本不提供后向兼容性。V2使用group地址224.0.0.15标志所有的CBT router,
同样的,CBT自身的包的TTL为1
parent interface(upstream),child interface(downstream)
parent router,child router,
join request wait 7.5 seconds
echo_reuqest,childrouter周期性向parentrouter发送,周期为60秒,如果70秒内未收到parentrouter发出的echo_reply。则认为parentrouter失效.90秒未收到,则自身从tree中清除,并清除自己以下的所有的child router.
确定core,配置候选core,通过选举确定core,和PIM-SM相同。
对于nomember source,离source最近的router通过到core的一个ip tunnel将multicast流量以单播形式发送到core.
五、PIM-SM
DVMRP和OSPF的两个主要缺点:是密集模式,和协议相关
CBT和协议无关,稀疏模式,共享树
CBT的各个版本不提供后向兼容性。V2使用group地址224.0.0.15标志所有的CBT router,
同样的,CBT自身的包的TTL为1
parent interface(upstream),child interface(downstream)
parent router,child router,
join request wait 7.5 seconds
echo_reuqest,childrouter周期性向parentrouter发送,周期为60秒,如果70秒内未收到parentrouter发出的echo_reply。则认为parentrouter失效.90秒未收到,则自身从tree中清除,并清除自己以下的所有的child router.
确定core,配置候选core,通过选举确定core,和PIM-SM相同。
对于nomember source,离source最近的router通过到core的一个ip tunnel将multicast流量以单播形式发送到core. [/size][/font]
Trunk(端口汇聚)的概念与设置
[size=3] 在二层交换机的性能参数中,常常提到一个重要的指标:TRUNK,许多的二层交换机产品在介绍其性能时,都会提到能够支持TRUNK功能,从而可以为互连的交换机之间提供更好的传输性能。那到底什么是TRUNK呢?使用TRUNK功能到底能给我们带来哪些应用方面的优势?还有在具体的交换机产品中怎样来配置TRUNK。下面我们来了解一下这些方面的知识。[/size][size=3]
[/size]
[size=3] 一、什么是TRUNK?[/size]
[size=3]
[/size]
[size=3] TRUNK是端口汇聚的意思,就是通过配置软件的设置,将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽,将属于这几个端口的带宽合并,给端口提供一个几倍于独立端口的独享的高带宽。Trunk是一种封装技术,它是一条点到点的链路,链路的两端可以都是交换机,也可以是交换机和路由器,还可以是主机和交换机或路由器。基于端口汇聚(Trunk)功能,允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量, 大幅度提供整个网络能力。[/size]
[size=3]
[/size]
[size=3] 一般情况下,在没有使用TRUNK时,大家都知道,百兆以太网的双绞线的这种传输介质特性决定在两个互连的普通10/100交换机的带宽仅为100M,如果是采用的全双工模式的话,则传输的最大带宽可以达到最大200M,这样就形成了网络主干和服务器瓶颈。要达到更高的数据传输率,则需要更换传输媒介,使用千兆光纤或升级成为千兆以太网,这样虽能在带宽上能够达到千兆,但成本却非常昂贵(可能连交换机也需要一块换掉),更本不适合低成本的中小企业和学校使用。如果使用TRUNK技术,把四个端口通过捆绑在一起来达到800M带宽,这样可较好的解决了成本和性能的矛盾。[/size]
[size=3]
[/size]
[size=3] 二、TRUNK的具体应用[/size]
[size=3]
[/size]
[size=3] TRUNK(端口汇聚)是在交换机和网络设备之间比较经济的增加带宽的方法,如服务器、路由器、工作站或其他交换机。这中增加带宽的方法在当单一交换机和节点之间连接不能满足负荷时是比较有效的。[/size]
[size=3]
[/size]
[size=3] TRUNK的主要功能就是将多个物理端口(一般为2-8个)绑定为一个逻辑的通道,使其工作起来就像一个通道一样。将多个物理链路捆绑在一起后,不但提升了整个网络的带宽,而且数据还可以同时经由被绑定的多个物理链路传输,具有链路冗余的作用,在网络出现故障或其他原因断开其中一条或多条链路时,剩下的链路还可以工作。但在VLAN数据传输中,各个厂家使用不同的技术,例如:思科的产品是使用其VLAN TRUNK技术,其他厂商的产品大多支持802.1q协议打上TAG头,这样就生成了小巨人帧,需要相同端口协议的来识别,小巨人帧由于大小超过了标准以太帧的1518字节限制,普通网卡无法识别,需要有交换机脱TAG。[/size]
[size=3]
[/size]
[size=3] TRUNK功能比较适合于以下方面具体应用:[/size]
[size=3]
[/size]
[size=3] 1、TRUNK功能用于与服务器相联,给服务器提供独享的高带宽。[/size]
[size=3]
[/size]
[size=3] 2、TRUNK功能用于交换机之间的级联,通过牺牲端口数来给交换机之间的数据交换提供捆绑的高带宽,提高网络速度,突破网络瓶颈,进而大幅提高网络性能。[/size]
[size=3]
[/size]
[size=3] 3、Trunk可以提供负载均衡能力以及系统容错。由于Trunk实时平衡各个交换机端口和服务器接口的流量,一旦某个端口出现故障,它会自动把故障端口从Trunk组中撤消,进而重新分配各个Trunk端口的流量,从而实现系统容错。[/size]
[size=3]
[/size]
[size=3] 三、如何设置TRUNK?[/size]
[size=3]
[/size]
[size=3] 设置TRUNK需要指定一个作为主干的端口,比如2/24,如把某个端口设成Trunk方式,命令如下:[/size]
[size=3]set trunk mod/port [on | off | desirable | auto | nonegotiate] [vlan_range] [isl | dot1q dot10 | lane | negotiate]。[/size]
[size=3]
[/size]
[size=3] 该命令可以分成以下4个部分:[/size]
[size=3]
[/size]
[size=3] mod/port:指定用户想要运行Trunk的那个端口;[/size]
[size=3]
[/size]
[size=3] Trunk的运行模式,分别有:on | off | desirable | auto | nonegotiate。[/size]
[size=3]
[/size]
[size=3] 要想在快速以太网和千兆以太网上自动识别出Trunk,则必须保证在同一个VTP域内。也可以使用On或Nonegotiate模式来强迫一个端口上起Trunk,无论其是否在同一个VTP域内。[/size]
[size=3]
[/size]
[size=3] 承载的VLAN范围。缺省下是1~1005,可以修改,但必须有TRUNK协议。使用TRUNK时,相邻端口上的协议要一致。[/size]
[size=3]
[/size]
[size=3] 另外在中心交换机上需要把和下面的交换机相连的端口设置成TRUNK,这样下面的交换机中的多个VLAN就能够通过一条链路和中心交换机通信了。[/size]
[size=3]
[/size]
[size=3] 四、配置TRUNK时的注意事项[/size]
[size=3]
[/size]
[size=3] 在一个TRUNK中,数据总是从一个特定的源点到目的点,一条单一的链路被设计去处理广播包或不知目的地的包。在配置TRUNK时,必须遵循下列规则:[/size]
[size=3]
[/size]
[size=3] 1:正确选择TRUNK的端口数目,必须是2,4或8。[/size]
[size=3]
[/size]
[size=3] 2:必须使用同一组中的端口,在交换机上的端口分成了几个组,TRUNK的所有端口必须来自同一组(见下图1所示)。[/size]
[size=3][img]http://www.net130.com/CMS/Files/Uploadimages/cisco-646.jpg[/img][/size]
[size=3]
3:使用连续的端口;TRUNK上的端口必须连续,如你可以用端口4,5,6和7组合成一个端口汇聚。[/size]
[size=3]
[/size]
[size=3] 4:在一组端口只产生一个TRUNK;如对于安奈特的AT-8224XL以太网交换机有3组,假定没有扩展槽。所以该交换机可以支持3个端口聚合。加上扩展槽可以使得该交换机多支持一个端口汇聚。[/size]
[size=3]
[/size]
[size=3] 5:基于端口号维护接线顺序:在接线时最重要的是两头的连接线必须相同。在一端交换机的最低序号的端口必须和对方最低序号的端口相连接,依次连接。举例来说,假定你从OPF-8224E交换机端口聚合到另一台OPF-8288XL交换机,在OPF-8224E上(见下图2所示)你选择了第二组端口12、13、14、15,在OPF-8288XL上(见下图3所示)你选择了第一组端口5、6、7、8,为了保持连接的顺序,你必须把OPF-8224XL上的端口12和OPF-8288XL上的端口5连接,端口13对端口6,其它如此。[/size]
[size=3][img]http://www.net130.com/CMS/Files/Uploadimages/cisco-647.jpg[/img][/size]
[size=3][img]http://www.net130.com/CMS/Files/Uploadimages/cisco-648.jpg[/img][/size]
[size=3] 6:为TRUNK配置端口参数:在TRUNK上的所有端口自动认为都具有和最低端口号的端口参数相同的配置(比如在VLAN中的成员)。比如如果你用端口4、5、6和7产生了TRUNK,端口4是主端口,它的配置被扩散到其他端口(端口5、6和7)。只要端口已经被配置成了TRUNK,你不能修改端口5、6和7的任何参数,可能会导致和端口4的设置冲突。[/size]
[size=3]
[/size]
[size=3] 7:使用扩展槽:有些扩展槽支持TRUNK。这要看模块上的端口数量。[/size]
[size=3]
[/size]
[size=3]Trunk的优点:[/size]
[size=3]
[/size]
[size=3] 1、可以在不同的交换机之间连接多个VLAN,可以将VLAN扩展到整个网络中。[/size]
[size=3]
[/size]
[size=3] 2、Trunk可以捆绑任何相关的端口,也可以随时取消设置,这样提供了很高的灵活性。[/size]
[size=3]
[/size]
[size=3] 3、Trunk可以提供负载均衡能力以及系统容错。由于Trunk实时平衡各个交换机端口和服务器接口的流量,一旦某个端口出现故障,它会自动把故障端口从Trunk组中撤消,进而重新分配各个Trunk端口的流量,从而实现系统容错。[/size]
[size=3]
[/size]
[size=3] 要传输多个VLAN的通信,需要用专门的协议封装或者加上标记(tag),以便接收设备能区分数据所属的VLAN。VLAN标识从逻辑上定义了,哪个数据包是它有多种协议,而我们最常用到的是基于:IEEE802.1Q和CISCO专用的协议:ISL。下面我简要的介绍一下这两种协议。[/size]
[size=3]
[/size]
[size=3] 1.交换机间链路(ISL)是一种CISCO专用的协议,用于连接多个交换机。当数据在交换机之间传递时负责保持VLAN信息的协议。在一个ISL干道端口中,所有接收到的数据包被期望使用ISL头部封装,并且所有被传输和发送的包都带有一个ISL头。从一个ISL端口收到的本地帧(non-tagged)被丢弃。它只用在CISCO产品中。[/size]
[size=3]
[/size]
[size=3] 2.IEEE802.1Q正式名称是虚拟桥接局域网标准,用在不同的产家生产的交换机之间。一个IEEE802.1Q干道端口同时支持加标签和未加标签的流量。一个802.1Q干道端口被指派了一个缺省的端口VlanID(PVID),并且所有的未加标签的流量在该端口的缺省PVID上传输。一个带有和外出端口的缺省PVID相等的VlanID的包发送时不被加标签。所有其他的流量发送是被加上Vlan标签的。[/size]
[size=3]
[/size]
[size=3] 在设置trunk后,trunk链路不属于任何一个VLAN。trunk链路在交换机之间起着VLAN管道的作用,交换机会将该trunk以外并且和trunk中的端口处于一个vlan中的其它端口的负载自动分配到该trunk中的各个端口。因为同一个vlan中的端口之间会相互转发数据报,而位于trunk中的trunk端口被当作一个端口来看待,如果vlan中的其它非trunk端口的负载不分配到各个trunk端口,则有些数据报可能随机的发往trunk而导致帧顺序混乱。由于trunk口作为1个逻辑端口看待,因此在设置了trunk后,该trunk将自动加入到这些vlan中它的成员端口所属的vlan中,而其成员端口则自动从vlan中删除。[/size]
[size=3]
[/size]
[size=3] 在中TRUNK线路上传输不同的VLAN的数据时,可使用有两种方法识别不同的VLAN的数据:帧过滤和帧标记。帧过滤法根据交换机的过滤表检查帧的详细信息。每一个交换机要维护复杂的过滤表,同时对通过主干的每一个帧进行详细检查,这会增加网络延迟时间。目前在VLAN中这种方法已经不使用了。现在使用的是帧标记法。数据帧在中继线上传输的时候,交换机在帧头的信息中加标记来指定相应的VLANID。当帧通过中继以后,去掉标记同时把帧交换到相应的VLAN端口。帧标记法被IEEE选定为标准化的中继机制。[/size]
[size=3]
[/size]
[size=3]它至少有如下三种处理方法:[/size]
[size=3]
[/size]
[size=3] 1) 静态干线配置[/size]
[size=3]
[/size]
[size=3] 静态干线配置最容易理解。干线上每一个交换机都可由程序设定发送及接收使用特定干线连接协议的帧。在这种设置下,端口通常专用于干线连接,而不能用于连接端节点,至少不能连接那些不使用干线连接协议( trunkingprotocol)的端节点。当自动协商机制不能正常工作或不可用时,静态配置是非常有用的,其缺点是必须手工维护。[/size]
[size=3]
[/size]
[size=3] 2) 干线功能通告[/size]
[size=3]
[/size]
[size=3] 交换机可以周期性地发送通告帧,表明它们能够实现某种干线连接功能。例如,交换机 可以通告自己能够支持某种类型的帧标记V L AN,因此按这个交换机通告的帧格式向其发送帧是不会有错的。交换机的功能还止这些,它还可以通告它现在想为哪个V L AN提供干线连接服务。这类干线设置对于一个由端节点和干线混合组成的网段可能会很有用。[/size]
[size=3]
[/size]
[size=3] 3) 干线自动协商[/size]
[size=3]
[/size]
[size=3] 干线也能通过协商过程自动设置。在这种情况下,交换机周期性地发送指示帧,表明它们希望转到干线连接模式。如果另一端的交换机收到并识别这些帧,并自动进行配置,那么这两部交换机就会将这些端口设成干线连接模式。这种自动协商通常依赖于两部交换机(在同一网段上)之间已有的链路,并且与这条链路相连的端口要专用于干线连接,这与静态干线设置非常相似。[/size]
[size=3]
[/size]
[size=3] runk(干道)是一种封装技术,它是一条点到点的链路,主要功能就是仅通过一条链路就可以连接多个交换机从而扩展已配置的多个VLAN。还可以采用通过Trunk技术和上级交换机级连的方式来扩展端口的数量,可以达到近似堆叠的功能,节省了网络硬件的成本,从而扩展整个网络。[/size]
[size=3]
[/size]
[size=3] TRUNK承载的VLAN范围。缺省下是1~1005,可以修改,但必须有1个Trunk协议。使用Trunk时,相邻端口上的协议要一致。[/size]
CISCO协议总结大全
[size=3]1、思科网络路由协议 网络/路由(Network/Routing)CGMP:思科组管理协议 (CGMP:Cisco Group Management Protocol)
EIGRP:增强的内部网关路由选择协议 (EIGRP:Enhanced Interior Gateway Routing Protocol)
IGRP:内部网关路由协议 (IGRP:Interior Gateway Routing Protocol)
HSRP:热备份路由器协议 (HSRP:Hot Standby Routing Protocol)
RGMP:Cisco Router Port Group Management Protocol
CGMP:思科组管理协议
CGMP:Cisco Group Management Protocol
思科组管理协议 CGMP 主要用来限定只向与 IP 组播客户机相连的端口转发 IP 组播数据包。这些客户机自动加入和离开接收 IP 组播流量的组,交换机根据请求动态改变其转发行为。CGMP 主要提供以下服务:[/size]
[size=3] 允许 IP 组播数据包被交换到具有 IP 组播客户机的那些端口。
将网络带宽保存在用户字段,不致于转播不必要的IP组播流量。
不需要改变终端主机系统。
在为交换网络中的每个组播组创建独立 VLAN 时不会产生额外开销。 [/size]
[size=3] 一旦 CGMP 被激活使用,它能自动识别与 CGMP-Capable 路由器连接的端口。CGMP 通过缺省方式被激活,它支持最大为64的IP 组播组注册。支持 CGMP 的组播路由器周期性地相发送 CGMP 加入信息(JoinMessages),用来通告自己执行网络交换行为。接收交换机保存信息,并设置一个类似于路由器保持时间(Holdtime)的定时器(Timer)。交换机每接收一个 CGMP 加入信息,定时器也随其不断更新。当路由器保持时间终止时,交换机负责将所有知道的组播组移出 CGMP。 [/size]
[size=3] CGMP 结合 IGMP 信息共同实现动态分配 Cisco Catalyst 交换机端口过程,从而 IP 组播流量只被转发给与 IP组播客户机相连的那些端口。由于 CGMP-Capable IP 组播路由器看到所有 IGMP数据包,因此它可以通知交换机特定主机什么时候加入或离开 IP 组播组。当 CGMP-Capable 路由器接收一个 IGMP控制数据包时,它会创建一个包含请求类型(加入或离开)、组播组地址和主机有效 MAC 地址等的 CGMP 数据包。然后路由器将 CGMP数据包发送到所有 Catalyst 交换机都知道的地址上。当交换机接收 CGMP数据包时,交换机负责转换数据包同时更改组播组的转发行为。至此,该组播流量只被发送到与适当 IP组播客户机相连的那些端口。该过程是自动实现的,无需用户参与。 [/size]
[size=3]EIGRP:增强的内部网关路由选择协议
EIGRP:Enhanced Interior Gateway Routing Protocol
增强的内部网关路由选择协议 EIGRP 是增强版的 IGRP 协议。IGRP 是思科提供的一种用于 TCP/IP 和 OSI 英特网服务的内部网关路由选择协议。它被视为是一种内部网关协议,而作为域内路由选择的一种外部网关协议,它还没有得到普遍应用。 [/size]
[size=3] Enhanced IGRP 与其它路由选择协议之间主要区别包括:收敛宽速(Fast Convergence)、支持变长子网掩模(SubnetMask)、局部更新和多网络层协议。执行 Enhanced IGRP的路由器存储了所有其相邻路由表,以便于它能快速利用各种选择路径(Alternate Routes)。如果没有合适路径,EnhancedIGRP 查询其邻居以获取所需路径。直到找到合适路径,Enhanced IGRP 查询才会终止,否则一直持续下去。 [/size]
[size=3] EIGRP 协议对所有的 EIGRP 路由进行任意掩码长度的路由聚合,从而减少路由信息传输,节省带宽。另外 EIGRP 协议可以通过配置,在任意接口的位边界路由器上支持路由聚合。 [/size]
[size=3] Enhanced IGRP 不作周期性更新。取而代之,当路径度量标准改变时,Enhanced IGRP 只发送局部更新(PartialUpdates)信息。局部更新信息的传输自动受到限制,从而使得只有那些需要信息的路由器才会更新。基于以上这两种性能,因此 EnhancedIGRP 损耗的带宽比 IGRP 少得多。 [/size]
[size=3]IGRP:内部网关路由协议
IGRP:Interior Gateway Routing Protocol
内部网关路由协议(IGRP)是一种在自治系统(AS:autonomoussystem)中提供路由选择功能的路由协议。在上世纪80年代中期,最常用的内部路由协是路由信息协议(RIP)。尽管 RIP对于实现小型或中型同机种互联网络的路由选择是非常有用的,但是随着网络的不断发展,其受到的限制也越加明显。思科路由器的实用性和 IGRP的强大功能性,使得众多小型互联网络组织采用 IGRP 取代了 RIP。早在上世纪90年代,思科就推出了增强的 IGRP,进一步提高了 IGRP的操作效率。 [/size]
[size=3] IGRP 是一种距离向量(DistanceVector)内部网关协议(IGP)。距离向量路由选择协议采用数学上的距离标准计算路径大小,该标准就是距离向量。距离向量路由选择协议通常与链路状态路由选择协议(Link-State RoutingProtocols)相对,这主要在于:距离向量路由选择协议是对互联网中的所有节点发送本地连接信息。 [/size]
[size=3] 为具有更大的灵活性,IGRP 支持多路径路由选择服务。在循环(RoundRobin)方式下,两条同等带宽线路能运行单通信流,如果其中一根线路传输失败,系统会自动切换到另一根线路上。多路径可以是具有不同标准但仍然奏效的多路径线路。例如,一条线路比另一条线路优先3倍(即标准低3级),那么意味着这条路径可以使用3次。只有符合某特定最佳路径范围或在差量范围之内的路径才可以用作多路径。差量(Variance)是网络管理员可以设定的另一个值。 [/size]
[size=3]HSRP:热备份路由器协议
HSRP:Hot Standby Router Protocol
热备份路由器协议(HSRP)的设计目标是支持特定情况下 IP流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说,当源主机不能动态知道第一跳路由器的 IP 地址时,HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器,对应一个虚拟路由器。HSRP协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。 [/size]
[size=3] 负责转发数据包的路由器称之为主动路由器(Active Router)。一旦主动路由器出现故障,[/size]
管2软?网iT.=育-业hX0专sJ9
[size=3]HSRP将激活备份路由器(Standby Routers)取代主动路由器。HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的 IP地址作为网络系统的缺省网关地址。如果主动路由器出现故障,备份路由器(StandbyRouters)承接主动路由器的所有任务,并且不会导致主机连通中断现象。 [/size][size=3] HSRP 运行在 UDP 上,采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址,而并非虚拟地址,正是基于这一点,HSRP 路由器间能相互识别。[/size]
[size=3]RGMP:思科路由器端口组管理协议
RGMP:Cisco Router Port Group Management Protocol
思科路由器端口组管理协议(RGMP)弥补了 Internet 组管理协议(IGMP:Internet Group ManagementProtocol)在 Snooping 技术机制上所存在的不足。RGMP 协议作用于组播路由器和交换机之间。通过RGMP,可以将交换机中转发的组播数据包固定在所需要的路由器中。RGMP 的设计目标是应用于具有多种路由器相连的骨干交换网(BackboneSwitched Networks)。 [/size]
[size=3] IGMP Snooping技术的局限性主要体现在:该技术只能将组播流量固定在接收机间经过其它交换机直接或间接相连的交换端口,在 IGMP Snooping技术下,组播流量不能固定在至少与一台组播路由器相连的端口处,从而引起这些端口的组播流量扩散。IGMP Snooping是机制固有的局限性。基于此,路由器无法报告流量状态,所以交换机只能知道主机请求的组播流量类型,而不知道路由器端口接收的流量类型。 [/size]
[size=3] RGMP 协议支持将组播流量固定在路由器端口。为高效实现流量固定,要求网络交换机和路由器都必须支持 RGMP 。通过RGMP,骨干交换机可以知道每个端口需要的组类型,然后组播路由器将该信息传送给交换机。但是路由器只发送 RGMP 信息,而忽视了所接收的RGMP 信息。当组不再需要接收通信流量时,路由器会发送一个 RGMP 离开信息(Leave Message)。RGMP协议中网络交换机需要消耗网络端口达到 RGMP 信息并对其进行处理操作。此外,RGMP 中的交换机不允许将接收到的 RGMP信息转发/扩散到其它网络端口。 [/size]
[size=3] RGMP 的设计目标是与支持分配树 Join/Prune 的组播路由选择协议相结合使用。其典型协议为 PIM-SM。RGMP 协议只规定了 IP v4 组播路由选择操作,而不包括 IP v6。 [/size]
[size=3]2、思科数据链路协议 数据链路 (Data Link)
CDP:思科发现协议 (CDP:Cisco Discovery Protocol)
DTP:思科动态中继协议 (DTP:Dynamic Trunk Protocol)
ISL & DISL:思科交换链路内协议和动态 ISL 协议 (ISL:Inter-Switch Link Protocol)
VTP:思科VLAN中继协议 (VTP:VLAN Trunking Protocol)
CDP:思科发现协议 CDP
CDP:Cisco Discovery Protocol
CDP基本上是用来获取相邻设备的协议地址以及发现这些设备的平台。CDP 也可为路由器的使用提供相关接口信息。CDP 是一种独立媒体协议,运行在所有思科本身制造的设备上,包括路由器、网桥、接入服务器和交换机。[/size]
[size=3] SNMP 中结合使用 CDP 管理信息基础 MIB,能使网络管理应用获知设备类型和相邻设备的 SNMP 代理地址,并向这些设备发送 SNMP 查询请求。Cisco 发现协议支持 CISCO-CDP-MIB。[/size]
[size=3] CDP 运行在所有的媒体上,从而支持子网访问协议 SNAP,包括局域网、帧中继和异步传输模式 ATM 物理媒体。CDP 只运行于数据链路层,因此,支持不同网络层协议的两个系统彼此相互了解。[/size]
[size=3] CDP 配置的每台设备发送周期性信息,如我们所知的广告到组播地址。每台设备至少广告一个地址,在该地址下,它可以接收 SNMP信息。广告包括生存期,或保持时间等信息,这些信息指出了在取消之前接收设备应该保持 CDP信息的时间长短。此外每台设备还要注意其它设备发出的周期性 CDP 信息,从中了解相邻设备信息并决定那些设备的媒体接口什么时候增长或降低。[/size]
[size=3] CDP版本2,是目前该协议使用最普遍的版本,它具有更高的智能设备跟踪等性能。支持该性能的报告机制,提供快速差错跟踪功能,有利于缩短停机时间(Downtime)。报告差错信息可以发送到控制台或日志服务器(LoggingServer),这些差错信息包括连接端口上不匹配(Unmatching)的本地??VLAN IDs(IEEE802.1Q)以及连接设备间不匹配的端口双向状态。[/size]
[size=3]DTP:思科动态中继协议
DTP:Cisco Dynamic Trunking Protocol
思科动态中继协议 DTP,是 VLAN 组中思科所有协议,主要用于协商两台设备间链路上的中继过程以及中继封装 802.1Q 类型。[/size]
[size=3] 中继协议有很多不同类型。如果端口被设置为 Trunk 端口,那么该端口便具有自动中继功能,在某些情况下,甚至具有协商端口中继类型的功能。这种与其它设备之间进行的协商中继方法的过程被称之为动态中继技术。[/size]
[size=3] 首先关注的是,中继电缆(TrunkCable)终端最好对它们正在中继或它们将中继帧视为正常帧问题达成一致。在信息帧头另外添加标签信息容易导致终端站的混乱,这是因为终端站的驱动栈无法识别该标签信息,从而导致终端系统上锁或失败。为解决这个问题,思科创建了交换协议以实现通信目的。推出的第一版本是 VTP,即 VLAN中继协议,它与 ISL 共同作用。最新推出的版本,即动态中继协议 DTP 与 802.1Q 共同作用。[/size]
[size=3] 其次是创建LANs。交换机要想实现独立配置 VLANs 交换,需要做很多工作并且容易引起较多矛盾,这是因为 VLAN 100运行在一台交换机上,计费却在另一台上。这很容易破坏机器的 VLAN 安全模式,而故障恢复机制正是为此而设立的。此外也可通过 VTP/DTP解决该问题。同一管理控制台可以在某台交换机上创建或删除一个 VTP,并使信息自动传播到交换机组上,这种交换机组可能是一个 VTP 域。[/size]
[size=3]ISL & DISL:思科交换链路内协议和动态 ISL 协议
ISL & DISL:Cisco Inter-Switch Link Protocol and Dynamic ISL Protocol
交换链路内协议(ISL),是思科私有协议,主要用于维护交换机和路由器间的通信流量等 VLAN 信息。[/size]
[size=3] ISL 标签(Tagging)能与 802.1Q 干线执行相同任务,只是所采用的帧格式不同。ISL 干线(Trunks)是 Cisco私有,即指两设备间(如交换机)的一条点对点连接线路。在“交换链路内协议”名称中即包含了这层含义。ISL帧标签采用一种低延迟(Low-Latency)机制为单个物理路径上的多 VLANs 流量提供复用技术。ISL主要用于实现交换机、路由器以及各节点(如服务器所使用的网络接口卡)之间的连接操作。为支持 ISL 功能特征,每台连接设备都必须采用 ISL配置。ISL 所配置的路由器支持 VLAN 内通信服务。非 ISL 配置的设备,则用于接收由 ISL 封装的以太帧(EthernetFrames),通常情况下,非 ISL 配置的设备将这些接收的帧及其大小归因于协议差错。[/size]
[size=3] 和 802.1Q 一样,ISL作用于 OSI 模型第2层。所不同的是,ISL 协议头和协议尾封装了整个第2层的以太帧。正因为此,ISL被认为是一种能在交换机间传送第2层任何类型的帧或上层协议的独立协议。ISL 所封装的帧可以是令牌环(TokenRing)或快速以太网(Fast Ethernet),它们在发送端和接收端之间维持不变地实现传送。ISL 具有以下特征:[/size]
[size=3] 由专用集成电路执行(ASIC:application-specific integrated circuits)
不干涉客户机站;客户机不会看到 ISL 协议头
ISL NICs 为交换机与交换机、路由器与交换机、交换机与服务器等之间的运行提供高效性能。
动态交换链路内协议(DISL),也属于思科协议。它简化了两台相互连接的快速以太网设备上 ISL 干线的创建过程。快速以太信道技术为高性能中枢连接提供了两个全双工快速以太网链路是集中性。由于 DISL 中只允许将一个链路终端配置为干线,所以 DISL 实现了最小化 VLAN 干线。 [/size]网Kf}提#W2国无r;'&:GbV
[size=3]VTP:思科VLAN中继协议
VTP:Cisco VLAN Trunking Protocol
VLAN 中继协议(VTP)是思科第2层信息传送协议,主要控制网络范围内 VLANs 的添加、删除和重命名。VTP减少了交换网络中的管理事务。当用户要为 VTP 服务器配置新 VLAN 时,可以通过域内所有交换机分配 VLAN,这样可以避免到处配置相同的VLAN。VTP 是思科私有协议,它支持大多数的 Cisco Catalyst 系列产品。[/size]
[size=3] 通过VTP,其域内的所有交换机都清楚所有的 VLANs 情况,但当 VTP可以建立多余流量时情况例外。这时,所有未知的单播(Unicasts)和广播在整个 VLAN内进行扩散,使得网络中的所有交换机接收到所有广播,即使 VLAN 中没有连接用户,情况也不例外。而 VTP Pruning技术正可以消除该多余流量。[/size]
[size=3] 缺省方式下,所有Cisco Catalyst交换机都被配置为 VTP 服务器。这种情形适用于VLAN 信息量小且易存储于任意交换机(NVRAM)上的小型网络。对于大型网络,由于每台交换机都会进行 NVRAM存储操作,但该操作对于某些点是多余的,所以在这些点必须设置一个“判决呼叫”(Judgment Call)。基于此,网络管理员所使用的 VTP服务器应该采用配置较好的交换机,其它交换机则作为客户机使用。此外需要有某些 VTP 服务器能提供网络所需的一定量的冗余。[/size]
[size=3] 到目前为止,VTP具有三种版本。其中 VTP v2 与 VTP v1 区别不大,主要不同在于:VTP v2 支持令牌环 VLANs,而 VTP v1不支持。通常只有在使用 Token Ring VLANs 时,才会使用到 VTP v2,否则一般情况下并不使用 VTP v2。[/size]=l%中0~专?s-g&
[size=3] VTPv3 不能直接处理 VLANs 事务,它只负责管理域(Administrative Domain)内不透明数据库的分配任务。与前两版相比,VTP v3 具有以下改进:[/size]
[size=3]支持扩展 VLANs。
支持专用 VLANs 的创建和广告。
提供服务器认证性能。
避免“错误”数据库进入 VTP 域。
与 VTP v1 和 VTP v2 交互作用。
支持每端口(On a Per-Port Basis)配置。
支持传播VLAN数据库和其它数据库类型。[/size]
[size=3]3、思科网络安全技术协议 网络安全技术 (Security/VPN)
L2F:第二层转发协议 (Layer 2 Forwarding Protocol)
TACACS:终端访问控制器访问控制系统 (TACACS:Terminal Access Controller Access Control System)
L2F:第二层转发协议
L2F: Level 2 Forwarding protocol
第二层转发协议(L2F)是一种用来建立跨越公用结构组织(如因特网)的安全隧道,为企业家庭通路连接一个 ISP POP 的协议。这个隧道建立了一个用户与企业客户网路间的虚拟点对点连接。 [/size]
[size=3] 第二层转发协议(L2F)允许链路层协议隧道技术。使用这样的隧道,使得分离原始拨号服务器位置即拨号协议连接终止的位置与提供的网络访问的位置成为可能。 [/size]
[size=3] L2F 允许在 L2F 中封装 PPP/SLIP 包。ISP NAS 与家庭通路都需要请求一种常规封装协议,所以可以成功地传输或接收 SLIP/PPP 包。 [/size]
[size=3]相关链接 GRE、PPP、L2TP、PPTP、SLIP
组织来源 L2F 由 Cisco 定义。
相关链接 [url=http://www.javvin.com/protocol/rfc2341.pdf]http://www.javvin.com/protocol/rfc2341.pdf[/url]:
Cisco Layer Two Forwarding (Protocol) — “L2F” [/size]
[size=3]TACACS:终端访问控制器访问控制系统
TACACS & TACACS+:Terminal Access Controller Access Control System
终端访问控制器访问控制系统(TACACS)通过一个或多个中心服务器为路由器、网络访问控制器以及其它网络处理设备提供了访问控制服务。TACACS支持独立的认证(Authentication)、授权(Authorization)和计费(Accounting)功能。 [/size]
[size=3] TACACS 允许客户机拥有自己的用户名和口令,[/size]
}8jK网^Y$Tw中s#R
[size=3]并发送查询指令到 TACACS 认证服务器(又称之为TACACS Daemon 或TACACSD)。通常情况下,该服务器运行在主机程序上。主机返回一个关于接收/拒绝请求的响应,然后根据响应类型,判断 TIP是否允许访问。在上述过程中,判断处理采取“公开化(Opened Up)”并且对应的算法和数据取决于 TACACS Daemon运行的对象。此外 TACACS 扩展协议支持更多类型的认证请求和响应代码。 [/size][size=3] 当前 TACACS 具有三种版本,其中第三版 TACACS+ 与前两版不兼容。 [/size]
[size=3]4 思科其他协议
SCCP:信令连接控制协议
SCCP:Skinny Client Control Protocol
信令连接控制协议 SCCP 是用于思科呼叫管理及其 VOIP 电话之间的思科专有协议。其他供应商也支持该协议。 [/size]
[size=3] 为解决 VOIP 问题,要求 LAN 或者基于 IP 的 PBX 的终点站操作简单,常见且相对便宜。相对于 H.323推荐的相当昂贵的系统而言,SCCP 定义了一个简单且易于使用的结构。通过 SCCP,H.323 代理可以与 Skinny客户机进行通信。在这样的情况下,电话充当了 IP 上的 Skinny 客户机。而代理服务主要用于 H.225 和 H.245 信令。 [/size]
[size=3] 关于 SCCP 结构,作为 Cisco 呼叫管理的 H.323 代理服务器中存在大量的 H.323处理源。终点站(电话)运行的客户机,该客户机只需消耗少量处理开销,客户机通过面向连接(基于TCP/IP)的通信方式实现呼叫管理间的通信过程,从而与另一个适应的 H.323 终点站建立一个呼叫连接。一旦这样的呼叫连接建立起来,那么两个 H.323 终点站就可以通过无连接(基于 UDP/IP)通信方式实现音频传输。这样,通过限制建立呼叫管理的 H.323 呼叫装备的复杂性、以及为实际音频通信出入终点站提供 Skinny 协议来降低整个过程的费用和开销。
XOT:基于 TCP 协议的 Cisco X.25(XOT:X.25 over TCP Protocol by Cisco) [/size]无rC?RZIzI理^(X.z+专a
[size=3] 基于 TCP 协议的 Cisco X.25(XOT)是由思科开发的一种用于在 IP 英特网上实现 X.25 传输的协议。X.25数据包层通常采用 LAPB,并且要求在其本身下面包含一个可靠的链路层。XOT 提供了一种在 IP 英特网上发送 X.25 数据包的方法,即将X.25 数据包层封装在 TCP 数据包中。[/size]
[size=3] TCP 具有一个可靠字节流。X.25 中要求其下面的层,特别是数据包间的边界包含信息语义。为了达到这个目标,要求 TCP 和 X.25 间的 XOT 协议头较小(大约4字节)。XOT 协议头包含一个长字段,用以分隔 TCP 流中的 X.25 数据包。 [/size]
[size=3] 标准 X.25 协议数据包格式和状态转换规则通常应用于 XOT 中的 X.25 层。应注意例外情形。[/size]
[[i] 本帖最后由 garnett_wu 于 2006-11-8 10:14 编辑 [/i]]
cisco系列路由器密码恢复研究与实践
[size=3] 1密码恢复原理(1)Cisco路由器保存了几种不同的配置参数,并存放在不同的内存模块中。Cisco系列路由器的内存有:ROM,闪存(Flashmemory),RAM,不可变RAM和动态内存(DRAM)等5种(其功能见表1)。一般情况下,路由器启动时,首先运行ROM中的程序,进行系统自检及引导,然后运行Flash中的ISO,并在NVRAM中寻找路由器配置,并装入DRAM中。
(2)口令恢复的关键在于对配置登记码(Configuration RegisterValue)(见表2)进行修改,从而让路由器从不同的内存中调用不同的参数表进行启动。有效口令存放在NVRAM中,因此修改口令的实质是先让登记码不起作用,从而可以进行直接启动,完成后再将登记码恢复(如忘记恢复,路由器重新启动后修改的配置可能会丢失)。
内存作用
ROM存放系统的引导程序,类似PC机的BIOS,是一种只读存储器,系统掉电程序不会丢失闪存存放CiscoIOS的镜像,类似PC机的硬盘,是一种可擦写、可编程的ROM,系统掉电数据不会丢失NVRAM存放配置文件(Startupconfig)RAM存放当前系统使用配置(Runningconfig)DRAM主要包含路由表、ARP缓存、Fastswitch缓存、数据包缓存等,也包含正在执行的配置文件,系统掉电该内存数据会丢失表2Cisco系列路由器配置登陆码
Configuration Register Value含义
0X2102缺省设置
Bit13=0X2000Flash引导失败5次后,自动从ROM引导
Bit8=0X0100关闭Break键
Boot field=0X20X2101从Flash中引导正常运行模式
Bit13=0X2000Flash引导失败5次后,自动从ROM引导
Bit8=0X0100关闭Break键
Boot field=0X10X142进入boot ROM运行模式Router(boot)>
Bit8=0X0040进入boot monitor运行模式>或rommon>
Boot field=0X2从Flash中引导正常运行模式
2准备工作
厂商在设计路由器产品的时候就预留了一个Console(控制台),它是对路由器进行配置时的一个重要接口,也是密码恢复的第一步工作:利用DB25转接口和交叉线,将终端或装有超级终端软件的PC接到路由器的Console口上。终端参数设置如下:速度:9 600bps;数据位:8;奇偶校验位:无;停止位:1;流控:无。如图1所示。
3800系列路由器(以801为例)具体操作方法
(1)在启动的60 s内按下中断键Ctrl+Break,如果Break被屏蔽了可以使用循环开机的方法,使设备进入rom monitor状态,提示符号为“>”。
(2)在rom monitor中输入set命令:
记下当前的ios-conf值,这里是0x2102。
Boot# set
……
Set prompt=“boot”
Set ios-conf=0X2102
(3)输入set ios-conf 142,如下:boot# set ios-conf 142。
(4)输入boot引导系统,如果设备在重启过程中要求进行初始化配置,一路回答“No”,如下所示:
Boot# boot
……
8kbytes of nonvolatile configuration
memory
8Mbytes of flash on board (4M from flash card)
——system configuration dialog——
would you like to enter the initial configuration dialog?[yes/no]:n
press reture to get started!(press enter)
(5)输入回车,enable,再回车,进入enable状态,命令序列如下:
Router>en
Router#
(6)输入config mem,调入原配置文件,并进入配置模式(注意:不要conf t),命令序列如下:
Router# conf mem
801(config)#
(7)恢复原始配置寄存器值并激活所有端口:
801#configure terminal
801(config)#configregister0X2102
801(config)#interface xx
801(config)#no shutdow
(8)查询并记录丢失的口令:
801#show configuration (show startupconfig)
(9)修改口令:
801#configure terminal
801(config)line console 0
801(configline)#login
801(configline)#password xxxxxxxxx
801(configline)#
801(configline)#write memory (copy runningconfig startupconfig)
4Cisco2500系列路由器(以2509为例)具体操作方法
(1)在启动的60 s内按下中断键Ctrl+Break,如果Break被屏蔽了可以使用循环开机的方法,使设备进入rom monitor状态。
(2)在rom monitor中输入o命令:
>o
configuration register=0X2102 at last boot
……
记下当前的Configuration register值,这里是0x2102,通常为0x2102或0x102。如果用命令不能获得有关提示,可以查看类似的路由器来获得配置寄存器的值或用0x2102试试。
(3)输入“>o/r 0x0142”,更新Configuration register值,使路由器启动时跳过配置文件直接启动,以便原来的密码不起作用,具体操作如下:
>o/r 0x0142
(4)重新启动路由器:
>I
rommon 2>reset
(5)在“Setup”模式,对所有问题回答“No”
(6)进入特权模式:
router>enable
(7)下载NVRAM
Router>configure memory
(8)恢复原始配置寄存器值并激活所有端口:
2509#configure terminal
2509(config)#configregister 0X2102
2509(config)#interface xx
2509(config)#no shutdown
(9)查询并记录丢失的口令:
2509#show configuration (show startupconfig)
(10)修改口令:
2509#configure terminal
2509(config)line console 0
2509(configline)#login
2509(configline)#password xxxxxxx
2509(configline)#
2509(configline)#write memory (copyrunningconfigstartupconfig)
5Cisco2600系列路由器(以2611为例)具体操作方法
(1)将路由器的口和计算机串口相连,启动计算机超级终端,开启路由器电源,在开机60s内按使路由器进入状态,提示符:rommon1>
(2)在Rommon中输入:conf reg 0x42,如下所示:
Rommon 1>conf reg 0x42
(3)输入reset,命令如下:
Rommon 2>reset
(4)当提示是否进入对话配置时回答“no”(如误输入“yes”,立刻按Ctrl+c退出,出现“press return to get started!”按回车,进入rom模式router>。
(5)键入enable命令进入exec状态,键入router#show config查看原路由器配置和未加密码口令,建议立刻做一文本备份文件,以免误操作将原路由器配置丢失。
(6)下载NVRAM,将NVRAM模式中的参数表装入内存:
Router# configuration memory
(7)更改完毕一定要写入NVRAM中,否则路由器原配置会丢失以及改写口令无效:
Router# write memory
(8)将第3步查到的登记码还原,一般为0x2102(即从闪存正常启动,并屏蔽中断),并激活所有端口(系统会将所有端口自动shutdown):
Router#configregister 0x2102
Router?(config)#interface xx
Router(configif)#no shutdown
Router(configif)#ctrl-z
(9)重新启动路由器:Router# reload。
63600系列路由器(以3640为例)具体操作方法
3640的密码恢复和26系列基本相似,都是进入监控模式,运行conf reg命令,启动时忽略配置文件,进行直接启动。此方法同样适用于4500、7500、12000系列路由器。
7Cisco系列路由器进入rom状态的几种方法
对于Cisco的各种路由器进入rom状态的方法不尽相同,但一般通过如下3种方法可以进入rom状态,在使用过程中可以分别试用。
(1)如果Break未被屏蔽,可以在开机60 s内按Ctrl+Break键中断启动过程,进入rom状态。
(2)如果Break键已经屏蔽,可以通过循环开机的方法进入rom状态,方法是:路由器开机后,将电源关闭,间隔5 s后重新开机,一般会进入rom状态。此方法适用于7500、12000等路由器。
(3)将超级终端通信波特率设置为1200,数据位8,奇偶位1,停止位无。开启路由器电源,启动后关机,5s后重新开机,同时一直按住空格键12s后放开,等路由器启动完成后,重新更改超级终端位默认值,通信波特率设置为9600,数据位8,奇偶位1,停止位1。重新连接后,从终端上可以看到已经进入rom状态。注意:在波特率为1200时,终端上没有内容显示。此方法适用于2500、2600、4500等系列路由器。
8结束语
作为3层设备,路由器是一种技术含量很高的网络设备,涉及到各种协议,技术面较广。熟练运用各种路由器,及时处理各种突发故障,对维护网路的正常运转有着重要意义。本文仅就Cisco各系列路由器中的典型型号的密码恢复方法进行介绍,但对于解决Cisco各系列路由器的类似问题,其具体操作也类似。[/size]
论广播风暴的成因、预防及排障
[size=3]一、成因广播风暴指过多的广播包消耗了大量的网络带宽,导致正常的数据包无法正常在网络中传送,通常指一个广播包引起了多个的响应,而每个响应又引起了多个得响应,就像滚雪球一样,把网络的所有带宽都消耗殆尽。该现象通常是由于网络环路、故障网卡、病毒等引起的。
二、预防(以CISCO catalyst switch为例)
1、首先使用网管分析你网络的baseline,这样可以明确你的网络当中正常情况下的广播包比例是多少。
2、目前绝大多数交换机都支持广播风暴抑制特性,配置了这个特性以后,你可以控制每个端口的广播包维持在特定的比例之下,这样可以保留带宽给必须的应用。
配置:(以CISCO catalyst switch为例)
Int XX
storm-control broadcast level 20.00
switch#sh storm
Interface Filter State Level Current
--------- ------------- ------- -------
Fa1/0/1 Forwarding 20.00% 0.00%
3、针对缺省STP配置无法排除的网络环路问题,利用STP的BPDUguard特性来预防广播风暴。此种环路情况示意图如下:
switch------hub(portA---portB)
Switch启用了STP,而hub则被人有意无意的用一根网线联起来,导致引起了环路。SWITCH的端口不会收到其他交换机或本交换机其他端口的BPDU,不会触发该端口的STP决策过程,也就不可能blocking该端口,这样就会引起广播风暴。我们可以利用CISCOSTP的BPDUguard特性来预防这一点。
int xxx
spanning-tree bpduguard enable
***值得注意的是bpduguard可以在全局下配置,也可以在每端口的基础上配置。如果在全局下配置,则只对配置了portfast的端口起作用,如果在端口下配置,则不用配置portfast
三、排障(以CISCO catalyst switch为例)
如果网络中已经产生了网络风暴(现象通常为网络丢包、响应迟缓、时断时通等),则可以利用如下的方法来排障
1、首先确认是否是网络风暴或其他异常流量引起的网络异常,在核心交换机上
Switch>sh proc cpu | e 0.00
CPU utilization for five seconds: 19%/0%; one minute: 19%; five minutes: 19%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
15 20170516 76615501 263 0.31% 0.13% 0.12% 0 ARP Input
26 7383266801839439482 401 5.03% 4.70% 5.08% 0 Cat4k Mgmt HiPri
27 8870781921122570949 790 5.67% 7.50% 6.81% 0 Cat4k Mgmt LoPri
43 730060152 341404109 2138 6.15% 5.29% 5.28% 0 Spanning Tree
50 59141788 401057972 147 0.47% 0.37% 0.39% 0 IP Input
56 2832760 3795155 746 0.07% 0.03% 0.01% 0 Adj Manager
58 4525900 28130423 160 0.31% 0.25% 0.18% 0 CEF process
96 20789148 344043382 60 0.23% 0.09% 0.08% 0 Standby (HSRP)
如果交换机的CPU利用率较高,且大部分的资源都被“IP Input”进程占用,则基本可以确定网络中有大流量的数据
2、查找异常流量是从交换机的那一个端口来的:
switch #sh int | i protocol|rate|broadcasts
FastEthernet1/0/1 is up, line protocol is up (connected)
Queueing strategy: fifo
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 2000 bits/sec, 3 packets/sec
Received 241676 broadcasts (0 multicast)
如果找到一个端口的input rate非常高,且接收到的广播包也非常多,则基本可以找到来源,如果该端口下联的也是可管理的交换机,则再次执行此过程,直到找到一个连接PC或者HUB的端口
3、shutdown该端口
int xx
shutdown
4、查找产生异常流量的根源
如果是HUB环路,则拆掉环;如果是病毒,则做杀毒处理;如果是网卡异常,则更换网卡。此部分不详述。
5、确认交换机的CEF功能是否启用,如果没有,则需要启用,可以加速流量的转发
switch>sh ip cef
配置CEF:
全局模式下输入
ip cef[/size]
Cisco IOS:了解以太网MAC地址
[size=3]Cisco IOS:了解以太网MAC地址[/size][size=3]虽然您可能熟悉以太网MAC地址,但您对它们在思科互联网操作系统(Cisco IOS)中的应用了解多少呢?在这个版本的思科路由器与交换机中,本文教您如何确定并修改MAC地址,及使用它来过滤流量。[/size]
[size=3]您们大多数人可能知道什么是[url=http://en.wikipedia.org/wiki/MAC_address]以太网MAC地址[/url],但您们也许不了解如何在思科互联网操作系统中应用MAC地址。[/size]
[size=3]一个以太网MAC地址唯一识别世界上的每一个以太网设备。生产网络设备(如以太网网络接口卡、无线设备、路由器和交换机)的供应商预先把这些地址编制到它们的设备中。[/size]
[size=3]MAC地址还有其它一些名称,包括物理地址(Windows中)、以太网地址和硬件地址。不管它叫什么名字,它都是一个由12个字符组成的十六进制字符串。下面是一些例子:[/size]
[list][*][size=3]1234.5678.90ab [/size][*][size=3]12-34-56-78-90-ab [/size][*][size=3]12.34.56.78.90.ab [/size][/list][size=3][b]确定您的MAC[/b][b]地址[/b][/size]
[size=3]在Windows中,您可以使用[i]ipconfig/all[/i]命令查明您的MAC地址。[url=http://articles.techrepublic.com.com/5110-1035-6125425.html]列表A[/url]中是一个实例。[/size]
[size=3]在这个命令的输出结果中,您可在物理地址列表中找到MAC地址。您还可以用[i]show mac-address-table[/i]命令从这台电脑连接的交换机中找到相似的信息。下面是一个例子:[/size]
[size=3]Switch# show mac-address-table [/size]
[size=3]Mac Address Table[/size]
[size=3]-------------------------------------------[/size]
[size=3]VlanMac AddressTypePorts[/size]
[size=3]----------------------------[/size]
[size=3]All0014.1c40.b080STATICCPU[/size]
[size=3]All0100.0ccc.ccccSTATICCPU[/size]
[size=3]All0100.0ccc.cccdSTATICCPU[/size]
[size=3]All0100.0cdd.ddddSTATICCPU[/size]
[size=3]1000f.1fd3.d85aDYNAMICFa0/14[/size]
[size=3]在思科路由器上,您可以应用[i]show interfaces[/i]命令查明您的接口使用哪个MAC地址。下面是一个例子:[/size]
[size=3]RouterB# show interfaces[/size]
[size=3]Ethernet0/0 is up, line protocol is up [/size]
[size=3]Hardware is AmdP2, address is 0003.e39b.9220 (bia 0003.e39b.9220)[/size]
[size=3]Internet address is 1.1.1.1/8[/size]
[size=3]在每个接口的第二行,您会看到带烧录地址(BIA)的硬件地址。在上例中,硬件地址为[i]0003.e39b.9220[/i]。[/size]
[size=3]思科路由器上的每个以太网接口都有自己的以太网MAC地址。路由器与交换机之类的特殊设备有许多特定的内置地址,如上面[i]show mac-address-table[/i]命令输出结果中显示的四个地址就属此类;这些列举的行都属静态类型。[/size]
[size=3]
[/size][size=3][b]修改MAC[/b][b]地址[/b][/size]
[size=3]我们把修改默认MAC地址的做法称之为MAC欺骗。由于这个词常用于表达不适当的行为,特别是无线网络黑客行为,所以它带有贬义。但MAC欺骗确实具有合理的用途,如测试MAC过滤。[/size]
[size=3]要改变思科路由器上的MAC地址,在接口配置模式(Interface Configuration Mode)下使用[i]mac-address[/i]命令。只要对新的MAC地址使用这个命令——就这么简单。以下是一个例子:[/size]
[size=3]RouterB# conf t[/size]
[size=3]Enter configuration commands, one per line.End with CNTL/Z.[/size]
[size=3]RouterB(config)# int e0/0[/size]
[size=3]RouterB(config-if)# mac-address 0000.0000.0001[/size]
[size=3]RouterB(config-if)#^Z[/size]
[size=3]RouterB#[/size]
[size=3]RouterB# show int e0/0[/size]
[size=3]Ethernet0/0 is up, line protocol is up [/size]
[size=3]Hardware is AmdP2, address is 0000.0000.0001 (bia 0003.e39b.9220)[/size]
[size=3]Internet address is 1.1.1.1/8[/size]
[size=3]修改MAC地址后,就可以用[i]show interface[/i]命令查看新地址。[/size]
[size=3][b]根据MAC[/b][b]地址过滤流量[/b][/size]
[size=3]假设您通过协议分析器发现一台设备在向您的网络发送恶意流量。而且这台设备似乎是一台多连接设备——也就是说,它正由多个IP地址向您发送流量。[/size]
[size=3]您可以用[i]show mac-address-table[/i]命令找到它所使用的交换端口,并对这个端口执行关闭(shutdown)命令。但如果它用其它设备连接到一个集线器上,或是来自某个您无法控制的网络,这时该怎么办呢?[/size]
[size=3]这时就可以应用一个MAC地址过滤器来过滤路由器或交换器上的流量。例如:[/size]
[size=3]Cat3750Switch(config)# mac access-list ext filtermac [/size]
[size=3]Cat3750Switch(config-ext-macl)# deny host 0000.0000.0001 any[/size]
[size=3]Cat3750Switch(config-ext-macl)# permit any any[/size]
[size=3]Cat3750Switch(config-ext-macl)# exit[/size]
[size=3]Cat3750Switch(config)# int g1/0/40[/size]
[size=3]Cat3750Switch(config-if)# mac access-group filtermac in[/size]
[size=3]在这个例子中——应用一个思科Catalyst吉比特以太网交换机,我们建立一个名为[i]filtermac[/i]的扩展名MAC地址访问控制表。这个访问控制表(ACL)拒绝源MAC地址为0000.0000.0001的所有流量,并允许其它流量。然后我们把这个MAC地址访问控制表应用于吉比特以太网接口1/0/40上,它阻止带那个MAC地址的设备流量进入那个端口,而不管其IP地址是什么。[/size]
[size=3]记住,用MAC地址过滤流量并非安全的方法——别人可以轻易地改变您操作系统上的MAC地址。[/size]
[size=3]
[/size]
XMODOM恢复IOS方法
[size=3][size=12px]如果你不小心使用了命令erase flash 那么发生什么就可想而知了。因此,建议在你拿到路由器等网络设备时 最好先将它的IOS等操作系统备份出来,以备万一!
本篇主要介绍通过Xmodem上传IOS的过程(以2610为例,不过这个方法用在其他设备上没什么太大区别)准备工作,只要有Cisco原配的线缆就可以(注:Xmodem与实际的modem没有任何联系 只是一个传输协议 数据是通过终端的串口和路由器的Console口灌进去的)
在没有IOS的情况下 系统只能进入Rommon状态,在这个状态下只能见到如下命令:
rommon 8 > ?
alias set and display aliases command
boot boot up an external process
break set/show/clear the breakpoint
confreg configuration register utility
cont continue executing a downloaded image
context display the context of a loaded image
cookie display contents of cookie PROM in hex
dev list the device table
dir list files in file system
dis display instruction stream
dnld serial download a program module
frame print out a selected stack frame
help monitor builtin command help
history monitor command history
meminfo main memory information
repeat repeat a monitor command
reset system reset
set display the monitor variables
stack produce a stack trace
sync write monitor environment to NVRAM
sysret print out info from last system return
tftpdnld tftp image download
unalias unset an alias
unset unset a monitor variable
xmodem x/ymodem image download
在这个模式下,输入Xmodem
rommon 9 > xmodem
会提示如下警告:
WARNING: All existing data in bootflash will be lost!
Invoke this application only for disaster recovery.
Do you wish to continue? y/n [n]: y
Ready to receive file ? ...
然后在超级终端的传送栏目=> 选择发送选项 => 再选择Xmodem 并指明IOS所在的路径即开始上传IOS,等待时间很长,视IOS的大小和传输速度。对于初次做IOS上传,建议不要去修改什么传输速率。传完以后 对整个系统初始化 界面如下:
Erasing flash at 0x603c0000
program flash location 0x602f0000
Download Complete!
program load complete, entry point: 0x80008000, size: 0x2f0074
Self decompressing the image : #################################################
################################################################################
################################################################################
################################################################# [OK]
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-I-M), Version 11.3(6)T, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-1998 by cisco Systems, Inc.
Compiled Tue 06-Oct-98 18:42 by ccai
Image text-base: 0x80008084, data-base: 0x80554578
cisco 2610 (MPC860) processor (revision 0x202) with 12288K/4096K bytes of memory
.
Processor board ID JAB0233005Z (3677578902)
M860 processor: part number 0, mask 32
Bridging software.
X.25 software, Version 3.0.0.
1 Ethernet/IEEE 802.3 interface(s)
1 Serial network interface(s)
32K bytes of non-volatile configuration memory.
4096K bytes of processor board System flash (Read/Write)
Press RETURN to get started!
00:00:06: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up
00:00:06: %LINK-3-UPDOWN: Interface Serial0/0, changed state to up
00:00:06: %SYS-5-CONFIG_I: Configured from memory by console
00:00:06: %SYS-5-RESTART: System restarted --
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-I-M), Version 11.3(6)T, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-1998 by cisco Systems, Inc.
Compiled Tue 06-Oct-98 18:42 by ccai
00:00:07: %LINEPROTO-5-UPDOWN: Line protocol on
WL_bank_2610_2>Interface Ethernet0/0, changed state to up
00:00:07: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed sta
te to up
00:00:07: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed sta
te to up
2610_2>[/size][/size]
经典配置Catalyst6509 4006交换机配置方案
[font=宋体,Verdana,Arial,Helvetica,sans-serif][size=14px]拓扑结构如下图所示:
这个配置的例子里面涉及到了:HSRP,VLAN,VTP,STP,TRUNK,PPP等等,一些工程中很常见的配置!
[url=http://www.ciscotech.org/article/UploadPic/2006-3/20063248399403.gif][img]http://www.ciscotech.org/article/UploadPic/2006-3/20063248399403.gif[/img][/url]
一、 Catalyst 6509交换机配置方案
1.1、配置6509二层交换
Console> (enable) set system name bg-sw-01 /设备名称
Bg-sw-01> (enable) set password
Enter old password:
Enter new password: test /设备口令
Retype new password: test
Bg-sw-01> (enable) set enablepass
Enter old password:
Enter new password: test /设备口令
Retype new password: test
Bg-sw-01> (enable) set banner motd % Welcome to the c6509 in the office % /提示文本
Bg-sw-01> (enable) set interface sc0 10.234.180.21 255.255.255.0 /设置管理接口 #sh int
Bg-sw-01> (enable) set ip route default 10.234.180.234 /设置默认网关 #sh ip route
Bg-sw-01> (enable) set vtp mode server /设置VTP模式 #sh vtp domain
Bg-sw-01> (enable) set vtp domain Core_Net /设置VTP域名
Bg-sw-01> (enable) set vlan 31 name ZhongSanLu /创建VLAN #sh vlan
Bg-sw-01> (enable) set vlan 32 name YiYang
Bg-sw-01> (enable) set vlan 33 name JianXiu
Bg-sw-01> (enable) set vlan 34 name RaoDian
Bg-sw-01> (enable) set vlan 35 name JinSanLou
Bg-sw-01> (enable) set vlan 36 name WuZi
Bg-sw-01> (enable) set port channel 1/1-2 on /设置Channel #sh port channel
Bg-sw-01> (enable) set trunk 1/1 on dot1q 1-1005
Bg-sw-01> (enable) set trunk 2/2 on dot1q 1-1005 /设置trunk口 #sh trunk #
Bg-sw-01> (enable) set trunk 2/3 on dot1q 1-1005
Bg-sw-01> (enable) set trunk 2/4 on dot1q 1-1005
Bg-sw-01> (enable) set trunk 2/5 on dot1q 1-1005
Bg-sw-01> (enable) set trunk 2/6 on dot1q 1-1005
Bg-sw-01> (enable) set trunk 2/7 on dot1q 1-1005
Bg-sw-01> (enable) set spantree root 1-40 dia 4 /设为spantree的根 #sh spantree
Bg-sw-01> (enable) set spantree portfast 1/1-2 enable /设spantree端口快速启用
Bg-sw-01> (enable) set spantree portfast 2/1-8 enable
Bg-sw-01> (enable) set spantree uplinkfast enable /设spantree端口快速切换
Bg-sw-01> (enable) set spantree backbonefast enable /设spantree端口快速定位根[/size][/font] [size=4][font=宋体,Verdana,Arial,Helvetica,sans-serif][size=14px]1.2、配置路由
Console> (enable) session 15 /进入路由子卡
Router(config)# hostname c6509-msfc /设备名
c6509-msfc (config)# enable password test /设口令
c6509-msfc (config)# enable secret test
C6509-msfc(config)# banner motd % Welcome to the c6509-msfc in the Office % /设提示文本
c6509-msfc (config)# line vty 0 4 / 进入VTY模式
c6509-msfc (config-line)#login / 登入提示
c6509-msfc (config-line)#password test / 设用户级口令
c6509-msfc (config-line)# end
C6509-msfc#configure terminal / 进入全局模式
Enter configuration commands, one per line. End with CNTL/Z.
C6509-msfc(config)# interface vlan 1 /进入虚子接口
C6509-msfc(config-if)# ip address 10.234.180.232 255.255.255.0 /加ip地址
C6509-msfc(config-if)# no shutdown /开启端口
C6509-msfc(config-if)# standby 1 ip 10.234.180.234 /建HSRP组并设虚IP地址
C6509-msfc(config-if)# standby 1 priority 110 /设优先级
C6509-msfc(config-if)# standby 1 preempt /设切换许可
C6509-msfc(config-if)# interface vlan 31
C6509-msfc(config-if)# ip address 10.234.181.60 255.255.255.192
C6509-msfc(config-if)# no shutdown
C6509-msfc(config-if)# standby 31 ip 10.234.181.62
C6509-msfc(config-if)# standby 31 priority 110
C6509-msfc(config-if)# standby 31 preempt
C6509-msfc(config-if)# interfacevlan 32
C6509-msfc(config-if)# ip address 10.234.181.124 255.255.255.192
C6509-msfc(config-if)# no shutdown
C6509-msfc(config-if)# standby 32 ip 10.234.181.126
C6509-msfc(config-if)# standby 32 priority 110
C6509-msfc(config-if)# standby 32 preempt
C6509-msfc(config-if)# interface vlan 33
C6509-msfc(config-if)# ip address 10.234.181.188 255.255.255.192
C6509-msfc(config-if)# no shutdown
C6509-msfc(config-if)# standby 33 ip 10.234.181.190
C6509-msfc(config-if)# standby 33 priority 110
C6509-msfc(config-if)# standby 33 preempt
C6509-msfc(config-if)# interface vlan 34
C6509-msfc(config-if)# ip address 10.234.181.220 255.255.255.224
C6509-msfc(config-if)# no shutdown
C6509-msfc(config-if)# standby 34 ip 10.234.181.222
C6509-msfc(config-if)# standby 34 priority 110
C6509-msfc(config-if)# standby 34 preempt
C6509-msfc(config-if)# interface vlan 35
C6509-msfc(config-if)# ip address 10.234.181.254 252.255.255.224
C6509-msfc(config-if)# no shutdown
C6509-msfc(config-if)# standby 35 ip 10.234.181.254
C6509-msfc(config-if)# standby 35 priority 110
C6509-msfc(config-if)# standby 35 preempt
C6509-msfc(config-if)# interface vlan 36
C6509-msfc(config-if)# ip address 10.234.182.28 255.255.255.224
C6509-msfc(config-if)# no shutdown
C6509-msfc(config-if)# standby 36 ip 10.234.182.30
C6509-msfc(config-if)# standby 36 priority 110
C6509-msfc(config-if)# standby 36 preempt
C6509-msfc(config-if)# exit
C6509-msfc #copy running config[/size][/font][/size] 二、Catalyst 4006交换机配置方案
2.1、配置4006二层交换(三层交换模块安置在第二个槽)
Console> (enable) set system name bg-sw-02 /设备名称
Bg-sw-02> (enable) set password
Enter old password:
Enter new password: test /设备口令
Retype new password: test
Bg-sw-02> (enable) set enablepass
Enter old password:
Enter new password: test /设备口令
Retype new password: test
Bg-sw-02> (enable) set banner motd % Welcome to the c4006 in the office % /提示文本
Bg-sw-02> (enable) set interface sc0 10.234.180.22 255.255.255.0 /设置管理接口 #sh int
Bg-sw-02> (enable) set ip route default 10.234.180.234 /设置默认网关 #sh ip route
Bg-sw-02> (enable) set vtp mode server /设置VTP模式 #sh vtp domain
Bg-sw-02> (enable) set vtp domain Core_Net /设置VTP域名
Bg-sw-02> (enable) set vlan 31 name ZhongSanLu /创建VLAN #sh vlan
Bg-sw-02> (enable) set vlan 32 name YiYang
Bg-sw-02> (enable) set vlan 33 name JianXiu
Bg-sw-02> (enable) set vlan 34 name RaoDian
Bg-sw-02> (enable) set vlan 35 name JinSanLou
Bg-sw-02> (enable) set vlan 36 name WuZi
Bg-sw-02> (enable) set port channel 1/1-2 on /设置Channel #sh port channel
Bg-sw-02> (enable) set trunk 1/1 on dot1q 1-1005
Bg-sw-02> (enable) set port channel 2/1-2 on /设置Channel #sh port channel
Bg-sw-02> (enable) set trunk 2/1 on dot1q 1-1005
Bg-sw-02> (enable) set trunk 4/1 on dot1q 1-1005 /设置trunk口 #sh trunk #
Bg-sw-02> (enable) set trunk 4/3 on dot1q 1-1005
Bg-sw-02> (enable) set trunk 4/4 on dot1q 1-1005
Bg-sw-02> (enable) set spantree root secondary 1-40 dia 4
Bg-sw-02> (enable) set spantree portfast 1/1-2 enable /设spantree端口快速启用
Bg-sw-02> (enable) set spantree portfast 2/1-34 enable
Bg-sw-02> (enable) set spantree portfast 3/1-32 enable
Bg-sw-02> (enable) set spantree portfast 4/1-6 enable
Bg-sw-02> (enable) set spantree uplinkfast enable /设spantree端口快速切换
Bg-sw-02> (enable) set spantree backbonefast enable /设spantree端口快速定位根
2.1、配置三层交换模块(三层交换模块安置在第二)
Console> (enable) session 2 /进入路由子卡
Router(config)# hostname c4006-L3 /设备名
c4006-L3 (config)# enable password test /设口令
c4006-L3 (config)# enable secret test
c4006-L3(config)# banner motd % Welcome to the c4006-l3 in the Office % /设提示文本
c4006-L3 (config)# line vty 0 4 / 进入VTY模式
c4006-L3 (config-line)#login / 登入提示
c4006-L3 (config-line)#password test / 设用户级口令
c4006-L3 (config-line)# end
C4006-L3#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
C4006-L3(config)# interface port-channel 1 /建内部虚端口
C4006-L3(config)# interface g3 /进入接口模式
C4006-L3(config-if)# channel-group 1 / 加入到channel组中
C4006-L3(config-if)# exit
C4006-L3(config)# interface g4 /进入接口模式
C4006-L3(config-if)# channel-group 1 / 加入到channel组中
C4006-L3(config-if)# exit
C4006-L3(config)# interface port-channel 1.1 /进入子接口模式
C4006-L3(config-if)# encapsulation dot1q 1 native / 封装trunk
C4006-L3(config-if)# ip address 10.234.180.233 255.255.255.0 /加ip地址
C4006-L3(config-if)# no shutdown /开启端口
C4006-L3(config-if)# standby 1 ip 10.234.180.234 /建HSRP组并设虚IP地址
C4006-L3(config-if)# standby 1 priority 100 /设优先级
C4006-L3(config-if)# standby 1 preempt /设切换许可
C4006-L3(config-if)# interface port-channel 1.31
C4006-L3(config-if)# encapsulation dot1q 31
C4006-L3(config-if)# ip address 10.234.181.61 255.255.255.192
C4006-L3(config-if)# no shutdown
C4006-L3(config-if)# standby 31 ip 10.234.181.62
C4006-L3(config-if)# standby 31 priority 100
C4006-L3(config-if)# standby 31 preempt
C4006-L3(config-if)# interface port-channel 1.32
C4006-L3(config-if)# encapsulation dot1q 32
C4006-L3(config-if)# ip address 10.234.181.125 255.255.255.192
C4006-L3(config-if)# no shutdown
C4006-L3(config-if)# standby 32 ip 10.234.181.126
C4006-L3(config-if)# standby 32 priority 100
C4006-L3(config-if)# standby 32 preempt
C4006-L3(config-if)# interface port-channel 1.33
C4006-L3(config-if)# encapsulation dot1q 33
C4006-L3(config-if)# ip address 10.234.181.189 255.255.255.192
C4006-L3(config-if)# no shutdown
C4006-L3(config-if)# standby 33 ip 10.234.181.190
C4006-L3(config-if)# standby 33 priority 100
C4006-L3(config-if)# standby 33 preempt
C4006-L3(config-if)# interface port-channel 1.34
C4006-L3(config-if)# encapsulation dot1q 34
C4006-L3(config-if)# ip address 10.234.181.221 255.255.255.224
C4006-L3(config-if)# no shutdown
C4006-L3(config-if)# standby 34 ip 10.234.181.222
C4006-L3(config-if)# standby 34 priority 100
C4006-L3(config-if)# standby 34 preempt
C4006-L3(config-if)# interface port-channel 1.35
C4006-L3(config-if)# encapsulation dot1q 35
C4006-L3(config-if)# ip address 10.234.181.253 255.255.255.224
C4006-L3(config-if)# no shutdown
C4006-L3(config-if)# standby 35 ip 10.234.181.254
C4006-L3(config-if)# standby 35 priority 100
C4006-L3(config-if)# standby 35 preempt
C4006-L3(config-if)# interface port-channel 1.36
C4006-L3(config-if)# encapsulation dot1q 36
C4006-L3(config-if)# ip address 10.234.182.29 255.255.255.224
C4006-L3(config-if)# no shutdown
C4006-L3(config-if)# standby 36 ip 10.234.182.30
C4006-L3(config-if)# standby 36 priority 100
C4006-L3(config-if)# standby 36 preempt
C4006-L3(config-if)# exit
C4006-L3#copy running config [font=宋体,Verdana,Arial,Helvetica,sans-serif][size=14px]三、Catalyst 3500XL交换机配置方案
3.1、办公楼Catalyst 3500XL交换机配置方案
第一台Catalyst 3548
switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#hostname bg-sw-03 /设备名
bg-sw-03(config)#enable password test /设口令
bg-sw-03(config)#enable secret test
bg-sw-03(config)#banner motd % Welcome to the C3548 in the Office % /提示文本
bg-sw-03(config)#line vty 0 4 / 进入VTY模式
bg-sw-03(config.line)#login / 登入提示
bg-sw-03(config.line)#password test / 设用户级口令
bg-sw-03(config.line)#exit
bg-sw-03 (config)#int vlan 1 / 进入内部管理接口
bg-sw-03 (config-if)#ip address 10.234.180.23 255.255.255.0 /加入IP地址
bg-sw-03(config-if)#exit
bg-sw-03(config)#ip default.gateway 10.234.180.234 /设网关
bg-sw-03(config)#end
bg-sw-03#vlan database / 进入vtp数据库
bg-sw-03(vlan)#vtp domain Corp_Net /设vtp域
bg-sw-03(vlan)#vtp client /设定vtp模式
bg-sw-03(vlan)#exit
bg-sw-03(config)#spantree uplinkfast /设定端口快速上连
bg-sw-03(config)#int g0/1 /进入接口模式
bg-sw-03(config-if)#switchport mode trunk /设为trunk模式
bg-sw-03(config-if)#switchport trunk encapsulation dot1q /设定封装模式
bg-sw-03(config-if)#switchport trunk allowed vlan all /设定trunk许可vlan
bg-sw-03(config-if)#spanning-tree portfast /设定端口快速启用
bg-sw-03(config-if)#int g0/2 /进入接口模式
bg-sw-03(config-if)#switchport mode trunk /设为trunk模式
bg-sw-03(config-if)#switchport trunk encapsulation dot1q /设定封装模式
bg-sw-03(config-if)#switchport trunk allowed vlan all /设定trunk许可vlan
bg-sw-03(config-if)#spanning-tree portfast /设定端口快速启用
bg-sw-03(config-if)#exit
bg-sw-03#write memory
第二台Catalyst 3548
switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#hostname bg-sw-04 /设备名
bg-sw-04(config)#enable password test /设口令
bg-sw-04(config)#enable secret test
bg-sw-04(config)#banner motd % Welcome to the C3548 in the Office % /提示文本
bg-sw-04(config)#line vty 0 4 / 进入VTY模式
bg-sw-04(config.line)#login / 登入提示
bg-sw-04(config.line)#password test / 设用户级口令
bg-sw-04(config.line)#exit / 进入内部管理接口
bg-sw-04(config)#int vlan 1
bg-sw-04(config-if)#ip address 10.234.180.24 255.255.255.0
bg-sw-04(config-if)#exit
bg-sw-04(config)#ip default.gateway 10.234.180.234
bg-sw-04(config)#end
bg-sw-04#vlan database
bg-sw-04(vlan)#vtp domain Corp_Net
bg-sw-04(vlan)#vtp client
bg-sw-04(vlan)#exit
bg-sw-04(config)#spantree uplinkfast
bg-sw-04(config)#int g0/1
bg-sw-04(config-if)#switchport mode trunk
bg-sw-04(config-if)#switchport trunk encapsulation dot1q
bg-sw-04(config-if)#switchport trunk allowed vlan all
bd-sw-03 (config-if)# spanning-tree portfast
bg-sw-04(config-if)#exit
bg-sw-04(config)#int g0/2
bg-sw-04(config-if)#switchport mode trunk
bg-sw-04(config-if)#switchport trunk encapsulation dot1q
bg-sw-04(config-if)#switchport trunk allowed vlan all
bg-sw-04(config-if)#spanning-tree portfast
bg-sw-04(config-if)#exit
bg-sw-04#write memory
3.2 办公楼Catalyst 3548XL交换机配置方案
switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#hostname zsr-sw-01
zsr-sw-01(config)#enable password test
zsr-sw-01(config)#enable secret test
zsr-sw-01(config)#banner motd % Welcome to the C3548 in the Zhong San Lu ban Gong Lou %
zsr-sw-01(config)#line vty 0 4
zsr-sw-01(config.line)#login
zsr-sw-01(config.line)#password test
zsr-sw-01(config.line)#exit
zsr-sw-01(config)#int vlan 1
zsr-sw-01(config-if)#ip address 10.234.180.25 255.255.255.0
zsr-sw-01(config-if)#exit
zsr-sw-01(config)#ip default.gateway 10.234.180.234
zsr-sw-01(config)#end
zsr-sw-01#vlan database
zsr-sw-01(vlan)#vtp domain Corp_Net
zsr-sw-01(vlan)#vtp client
zsr-sw-01(vlan)#exit
zsr-sw-1#configure terminal
zsr-sw-1(config)#int f0/1
zsr-sw-1(config-if)#switchport mode access
zsr-sw-1(config-if)#switchport access vlan 31
zsr-sw-1(config-if)#exit
zsr-sw-1(config)#int f0/2
。。。。。。
zsr-sw-1(config)#int f0/48
zsr-sw-1(config-if)#switchport mode access
zsr-sw-1(config-if)#switchport access vlan 31
zsr-sw-1(config-if)#exit
zsr-sw-01(config)#int g0/1
zsr-sw-01(config-if)#switchport mode trunk
zsr-sw-01(config-if)#switchport trunk encapsulation dot1q
zsr-sw-01(config-if)#switchport trunk allowed vlan all
zsr-sw-01 (config-if)#spantree cost 10
zsr-sw-01(config-if)#exit
zsr-sw-01(config)#int g0/2
zsr-sw-01(config-if)#switchport mode trunk
zsr-sw-01(config-if)#switchport trunk encapsulation dot1q
zsr-sw-01(config-if)#switchport trunk allowed vlan all
zsr-sw-01 (config-if)#spantree cost 20
zsr-sw-01(config-if)#exit
zsr-sw-01#write memory
3.3 局办公楼Catalyst 3548XL交换机配置方案
switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#hostname yy-sw-01
yy-sw-01(config)#enable password test
yy-sw-01(config)#enable secret test
yy-sw-01(config)#banner motd % Welcome to the C3548 in the Yi Yang Fen Ju %
yy-sw-01(config)#line vty 0 4
yy-sw-01(config.line)#login
yy-sw-01(config.line)#password test
yy-sw-01(config.line)#exit
yy-sw-01(config)#int vlan 1
yy-sw-01(config-if)#ip address 10.234.180.26 255.255.255.0
yy-sw-01(config-if)#exit
yy-sw-01(config)#ip default.gateway 10.234.180.234
yy-sw-01(config)#end
yy-sw-01#vlan database
yy-sw-01(vlan)#vtp domain Corp_Net
yy-sw-01(vlan)#vtp client
yy-sw-01(vlan)#exit
yy-sw-1#configure terminal
yy-sw-1(config)#int f0/1
yy-sw-1(config-if)#switchport mode access
yy-sw-1(config-if)#switchport access vlan 32
yy-sw-1(config-if)#exit
yy-sw-1(config)#int f0/2
。。。。。。
yy-sw-1(config)#int f0/48
yy-sw-1(config-if)#switchport mode access
yy-sw-1(config-if)#switchport access vlan 32
yy-sw-1(config-if)#exit
yy-sw-01#write memory
3.4 检修设计Catalyst 3548XL交换机配置方案
switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#hostname jxsj-sw-01
jxsj-sw-01(config)#enable password test
jxsj-sw-01(config)#enable secret test
jxsj-sw-01(config)#banner motd % Welcome to the C3548 in the Jian Xiu She Ji Fen Ju %
jxsj-sw-01(config)#line vty 0 4
jxsj-sw-01(config.line)#login
jxsj-sw-01(config.line)#password test
jxsj-sw-01(config.line)#exit
jxsj-sw-01(config)#int vlan 1
jxsj-sw-01(config-if)#ip address 10.234.180.27 255.255.255.0
jxsj-sw-01(config-if)#exit
jxsj-sw-01(config)#ip default.gateway 10.234.180.234
jxsj-sw-01(config)#end
jxsj-sw-01#vlan database
jxsj-sw-01(vlan)#vtp domain Corp_Net
jxsj-sw-01(vlan)#vtp client
jxsj-sw-01(vlan)#exit
jxsj-sw-1#configure terminal
jxsj-sw-1(config)#int f0/1
jxsj-sw-1(config-if)#switchport mode access
jxsj-sw-1(config-if)#switchport access vlan 33
jxsj-sw-1(config-if)#exit
jxsj-sw-1(config)#int f0/2
。。。。。。
jxsj-sw-1(config)#int f0/48
jxsj-sw-1(config-if)#switchport mode access
jxsj-sw-1(config-if)#switchport access vlan 33
jxsj-sw-1(config-if)#exit
jxsj-sw-01(config)#int g0/1
jxsj-sw-01(config-if)#switchport mode trunk
jxsj-sw-01(config-if)#switchport trunk encapsulation dot1q
jxsj-sw-01(config-if)#switchport trunk allowed vlan all
jxsj-sw-01 (config-if)#spantree cost 10
jxsj-sw-01(config-if)#exit
jxsj-sw-01(config)#int g0/2
jxsj-sw-01(config-if)#switchport mode trunk
jxsj-sw-01(config-if)#switchport trunk encapsulation dot1q
jxsj-sw-01(config-if)#switchport trunk allowed vlan all
jxsj-sw-01 (config-if)#spantree cost 20
jxsj-sw-01(config-if)#exit
jxsj-sw-01#write memory
3.5 总公司Catalyst 3524XL交换机配置方案
switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#hostname rd-sw-01
rd-sw-01(config)#enable password test
rd-sw-01(config)#enable secret test
rd-sw-01(config)#banner motd % Welcome to the C3524 in the Rao Dian Zong Gong Si %
rd-sw-01(config)#line vty 0 4
rd-sw-01(config.line)#login
rd-sw-01(config.line)#password test
rd-sw-01(config.line)#exit
rd-sw-01(config)#int vlan 1
rd-sw-01(config-if)#ip address 10.234.180.28 255.255.255.0
rd-sw-01(config-if)#exit
rd-sw-01(config)#ip default gateway 10.234.180.234
rd-sw-01(config)#end
rd-sw-01#vlan database
rd-sw-01(vlan)#vtp domain Corp_Net
rd-sw-01(vlan)#vtp client
rd-sw-01(vlan)#exit
rd-sw-01#configure terminal
rd-sw-01(config)#int f0/1
rd-sw-01(config-if)#switchport mode access
rd-sw-01(config-if)#switchport access vlan 34
rd-sw-01(config-if)#exit
rd-sw-01(config)#int f0/2
。。。。。。
rd-sw-01(config)#int f0/24
rd-sw-01(config-if)#switchport mode access
rd-sw-01(config-if)#switchport access vlan 34
rd-sw-01(config-if)#exit
rd-sw-01(config)#int g0/1
rd-sw-01(config-if)#switchport mode trunk
rd-sw-01(config-if)#switchport trunk encapsulation dot1q
rd-sw-01(config-if)#switchport trunk allowed vlan all
rd-sw-01(config-if)#exit
rd-sw-01#write memory
3.6 山楼Catalyst 3524XL交换机配置方案
switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#hostname jsl-sw-01
jsl-sw-01(config)#enable password test
jsl-sw-01(config)#enable secret test
jsl-sw-01(config)#banner motd % Welcome to the C3524 in the Jin San Lou %
jsl-sw-01(config)#line vty 0 4
jsl-sw-01(config.line)#login
jsl-sw-01(config.line)#password test
jsl-sw-01(config.line)#exit
jsl-sw-01(config)#int vlan 1
jsl-sw-01(config-if)#ip address 10.234.180.29 255.255.255.0
jsl-sw-01(config-if)#exit
jsl-sw-01(config)#ip default.gateway 10.234.180.234
jsl-sw-01(config)#end
jsl-sw-01#vlan database
jsl-sw-01(vlan)#vtp domain Corp_Net
jsl-sw-01(vlan)#vtp client
jsl-sw-01(vlan)#exit
jsl-sw-1#configure terminal
jsl-sw-1(config)#int f0/1
jsl-sw-1(config-if)#switchport mode access
jsl-sw-1(config-if)#switchport access vlan 35
jsl-sw-1(config-if)#exit
jsl-sw-1(config)#int f0/2
。。。。。。
jsl-sw-1(config)#int f0/24
jsl-sw-1(config-if)#switchport mode access
jsl-sw-1(config-if)#switchport access vlan 35
jsl-sw-1(config-if)#exit
jsl-sw-01(config)#int g0/1
jsl-sw-01(config-if)#switchport mode trunk
jsl-sw-01(config-if)#switchport trunk encapsulation dot1q
jsl-sw-01(config-if)#switchport trunk allowed vlan all
jsl-sw-01(config-if)#exit
jsl-sw-01#write memory
3.7 公司Catalyst 3524XL交换机配置方案
switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#hostname wz-sw-01
wz-sw-01(config)#enable password test
wz-sw-01(config)#enable secret test
wz-sw-01(config)#banner motd % Welcome to the C3524 in the Wu Zi Gong Si %
wz-sw-01(config)#line vty 0 4
wz-sw-01(config.line)#login
wz-sw-01(config.line)#password test
wz-sw-01(config.line)#exit
wz-sw-01(config)#int vlan 1
wz-sw-01(config-if)#ip address 10.234.180.30 255.255.255.0
wz-sw-01(config-if)#exit
wz-sw-01(config)#ip default.gateway 10.234.180.234
wz-sw-01(config)#end
wz-sw-01#vlan database
wz-sw-01(vlan)#vtp domain Corp_Net
wz-sw-01(vlan)#vtp client
wz-sw-01(vlan)#exit
wz-sw-1#configure terminal
wz-sw-1(config)#int f0/1
wz-sw-1(config-if)#switchport mode access
wz-sw-1(config-if)#switchport access vlan 36
wz-sw-1(config-if)#exit
wz-sw-1(config)#int f0/2
。。。。。。
wz-sw-1(config)#int f0/24
wz-sw-1(config-if)#switchport mode access
wz-sw-1(config-if)#switchport access vlan 36
wz-sw-1(config-if)#exit
wz-sw-01(config)#int g0/1
wz-sw-01(config-if)#switchport mode trunk
wz-sw-01(config-if)#switchport trunk encapsulation dot1q
wz-sw-01(config-if)#switchport trunk allowed vlan all
wz-sw-01(config-if)#exit[/size][/font] [font=宋体,Verdana,Arial,Helvetica,sans-serif][size=14px]四、CISCO 2620路由器配置方案 //8个异步拨号口 一个fast以太口
route#conf t
route(config)#hostname c2620
c2620 (config)#enable secret test
c2620 (config)#enable password test
c2620 (config)#username test password test
c2620 (config)#banner motd “ Welcome to the C2620 in the Office “
c2620 (config)#int f0/0
c2620(config-if)#ip address 10.234.180.254 255.255.255.0
c2620(config-if)#no shutdown
c2620(config-if)#int group-async 1
c2620(config-if)# ip unnumbered FastEthernet0/0
c2620(config-if)#peer default ip address pool default
c2620(config-if)#async mode interactive
c2620(config-if)#async default routing
c2620(config-if)#encap ppp
c2620(config-if)#ppp authen chap pap
c2620(config-if)#group 33 48
c2620(config-if)#exit
c2620(config)#ip local pool default 10.234.180.218 10.234.180.233
c2620(config)#ip routing
c2620(config-if)#exit
c2620(config)#line 33 48
c2620(config-line)#transport input all
c2620(config-line)#autoselect ppp
c2620(config-line)#autocommand ppp
c2620(config-line)# modem autoconfigure discovery
c2620(config-line)#login local
c2620(config-line)#modem inout
c2620(config-line)# stopbits 1
c2620(config-line)# flowcontrol hardware
c2620(config-line)# exit
c2620(config)# line vty 0 4
c2620(config-line)# login
c2620(config-line)# password test
c2620(config-line)# line aux 0
c2620(config-line)# login local
c2620(config-line)# modem inout
c2620(config-line)# modem autoconfigure discovery
c2620(config-line)# transport input all
c2620(config-line)# flowcontrol hardware
c2620(config-line)# exit
c2620(config)#
注:
1、使用用dot1q封装是考虑以后网络扩展加入3com等其它产品,再说大多数工程师载配置事都喜欢用用dot1q封装很少用isl的。
2、使用6509和4006是因为考虑spantree啊,保证在6509down掉后使用4006接管吗,你没看到在6509上Bg-sw-01>(enable) set spantree root 1-40 dia 4/设为spantree的根,但是你说的子交换机可以通过两根光纤连接到6509上,但是这里6509没有配置双引擎啊,做不到自身冗余啊。[/size][/font]
怎么样把ROS的各种设定导出
[size=3]怎么样把ROS的各种设定导出(共享)[/size][size=3]使用export命令导出,使用import命令导入。
如:导出全部配置命令为:/export file=xxx
导入配置命令:/import file=xxx
导出防火墙配置的命令:/ip firewall export file=xxx[/size]
[size=3]备份设置:files-->backup 再用ftp client download备份文件
恢复设置:ftp client upload 备份文件;files --> restore[/size]
[size=3]1。备份和恢复设置[/size]
[size=3]绝对是好东东!你想想辛辛苦苦设置好的防火墙规则,网卡设置,各个路由,端口映射万一弄错了或重新安装时,是不是都要重新自已设置?这个巨麻烦!!!但ROUETOS却为你考虑得很周到,可以手工备份你的设置文件,需要时只要一个命令即可恢复![/size]
[size=3]大家可以用WINBOX登陆,注意用ADMIN帐号,在左边是不是有个FILES?点开,再点对话框上面的BACKUP,这样就把当前的设置保存一个文件里面了,再用IE登陆你的路由,用ftp://网管帐号:密码@路由IP:端口,登陆到你的路由后就会到你保存的文件了!用IE直接下载吧![/size]
[size=3]当你重新安装时,只要把内网弄通,用IE再登陆你的路由,把这个设置文件传上去,在WINBOX左边下面有个TE开头的英文,这是终端模拟,点开后就像在路由上操作一样,用以下命令恢复你以前的设置:[/size]
[size=3]system回车[/size]
[size=3]backup回车[/size]
[size=3]load name=你保存的设置文件名 回车[/size]
[size=3]提示重启就一下子恢复到你以前设置了!![/size]
[size=3]是不是方便实用啊?[/size]
[size=3]大家可能会说用WINBOX备份不爽,那我们也可以用终端备份呀![/size]
[size=3]在WINBOX左边下面有个TE开头的英文,这是终端模拟,点开后就像在路由上操作一样,用以下命令备份你以前的设置:[/size]
[size=3]system回车[/size]
[size=3]backup回车[/size]
[size=3]save name=你保存的设置文件名 回车[/size]
[size=3]建议文件名用日期表示可以很直观。这样就按你的文件名保存了。[/size]
[size=3]用LOAD NAME命令就是恢复了。。。][/size]
[size=3]2.恢复路由本身默认值。[/size]
[size=3]如果设错了规则或者地址,造成win不能进入管理界面,可以这样复原:
使用 admin 登陆
system 回车
reset 选择 y
将删除所有改动,恢复新装的状态[/size]
[size=3]这个是恢复到出厂设置,很适合刚开始设置ROUTEOS时用用![/size]
[size=3]3。备份ROUTEOS[/size]
[size=3]可以用GHOST8。0备份,注意是要用全盘备份,DISK TO IMG才行。[/size]
IP网限制p2p应用流量的qos策略
[size=3][b]一、识别流量:[/b]可以用acl和nbar技术综合定义数据流。Acl定义可以采用下述参数:源IP地址、目的IP地址、第4层协议(如UDP)、源端口号码以及目的端口号码等。与一套已定义参数相匹配的数据包都被视为属于相同的流,NBAR技术可以识别应用层流;
建立ACL用来识别p2p应用端口或者服务器ip地址,可根据实际情况配置,例如:
ip access-list extended edonkey
permit tcp any any range 4661 4662
permit tcp any any range 4242 4243
permit udp any any eq 4665
同时应用pdlm包
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm eDonkey.pdlm
[b]二、建立策略:
[/b]具体实施时,需要先配置一个用户定制的Policing,该Policing应该包括以下三个参数:平均速率、最大突发量和超过限制时所进行的处理。为提供更灵活的带宽限制,Policing又分为两种:Microflow和Aggregate。MicroflowPolicing可以提供对单一流使用带宽限制,而AggregatePolicing则可以对所有流总使用带宽进行限制。
将定制的Policing放到一个访问控制列表中,并定义到一个端口或一个VLAN上,即可以实现对用户的带宽管理。如果同时应用集合和微流策略器,则QoS就会总是执行策略器所制定的最严重的行为。例如,如果一个策略器要求丢弃数据包,而另外一个策略器则指示数据包降级,那么数据包将会被丢弃。默认状态下,微流策略器仅对被路由的(第3层)流量起作用。如果要对桥接的(第2层)流量也起作用,则需要启用桥接微流策略mls qos bridged。
Catalyst6000中的策略可以根据“漏桶”概念来实施:与入局流量数据包对应的令牌都被置入一个桶中(每个令牌代表1位,从而大数据包比小数据包对应更多的令牌)。在正常时间间隔内,一定数量的令牌数将从桶中取出并被发送。如果桶中没有更多空间容纳输入的数据包,则数据包被视为超出配置文件范围而被丢弃或者根据配置的策略操作实行降级处理。
计算参数
多种参数控制令牌桶的行为:
• Rate 定义每个时间间隔内将有多少令牌取出。低于速率的所有流量都被视为是符合配置要求的。
• Interval 定义令牌隔多长时间从桶内取出一次。间隔固定在0.00025秒,从而令牌每秒钟将从桶中取出4000次。时间间隔不能更改。
• Burst 定义在任何一个时刻桶内能够容纳的最大令牌数。为了维持规定的流量速率,突发速率的大小不应该低于速率与时间间隔的乘积。另外一种考虑就是最大尺寸的数据包也必须能够置入桶内。
可以用以下公式来确定突发速率参数:
突发速率=(速率(bps)*0.00025(秒/时间间隔))或(最大数据包大小(位)), 取两者中较大的值。
例如,计算需要在以太网上维持1 Mbps速率所需的最小突发速率值。速率定义为1 Mbps,而最大的以太网数据包为1518 字节,这样公式变为:
突发速率=(1,000,000bps*0.00025)或(1518字节* 8位/字节)=250 或 12144
两者中较大的值为12144,我们可将其折算为13 Kbps。 注: 在Cisco IOS中,策略速率以bps定义。此外,突发速率在Cisco IOS中以字节来定义。
注: 由于受硬件策略粒度的影响,实际速率和突发速率都应该折算为最接近的支持值。确认突发速率值不低于最大的数据包尺寸,否则所有大于最大突发速率尺寸的数据包都将被丢弃。
例如,如果用户想在Cisco IOS中将突发速率设置为1518,则它将会被折算为1000字节,从而所有大于1000字节的帧都将被丢弃。解决方案是将突发速率配置为2000。
在定义突发速率时,需要考虑一些协议(如TCP)会针对丢包而采用流控制机制。例如,TCP将把每个要丢失的数据包的窗口缩小一半,相应地,当对某个速率进行策略时,有效的链路使用率就会低于配置的速率。您可以增加突发速率从而实现更高的利用率。对这些流量来说,比较简单易行的方式就是将突发速率的大小增加一倍(在我们的例子中可以从13 Kbits增加到26 Kbits),监控性能,然后根据需要进行调整。
mls qos
!--- 激活 QoS
mls qos flow-policing
class-map match-any bit
match protocol bittorrent
match protocol eDonkey
match access-group edonkey
match … !-用户根据实际情况定义
policy-map p2p
class bit
police flow 100000 2000 conform-action transmit exceed-action drop
!--- 定义微流管理器,限制每个p2p应用流为100 Kbps的微流量
police 20000000 13000 26000 conform-action transmit exceed-action drop
!--- 定义聚合管理器,以便限制所有p2p应用流为20Mbps聚合流量
[/size][size=3][b]三、在接口上应用策略(设备可能仅支持input方向)[/b]
interface gigabitEthernet0/2
service-policy input p2p
service-policy output p2p
如果实施基于VLAN的QoS配置,需要在二层接口配置mls qos vlan-based
[b]四、验证策略实施情况
[/b]sh mls qos
sh mls qos ip gigabitEthernet 0/2
sh mls ip detail #进行微流策略统计
sh int g0/2 rate-limit
show policy-map interface g0/2
show ip nbar unclassified-port-stats
show ip nbar protocol stats byte-count
show ip nbar port-map | include custom
注:以上配置适用于cisco6509sup720平台,可用IOS版本12.1以上。[/size]
关于一些路由协议的漏洞
[size=3]此文章讨论了有关对网络底层协议的攻击和防止攻击的方法,特别是关于路由和路由协议的漏洞,如Routing Information Protocol (RIP,路由信息协议), Border Gateway Protocol (边缘网关协议), Open Shortest Path First (OSPF,开放最短路径优先协议)等。路由器在每个网络中起到关键的作用,如果一路由器被破坏或者一路由被成功的欺骗,网络的完整性将受到严重的破坏,如果使用路由的主机没有使用加密通信那就更为严重,因为这样的主机被控制的话,将存在着中间人(man-in-the-middle)攻击,拒绝服务攻击,数据丢失,网络整体性破坏,和信息被嗅探等攻击。
路由是一个巨大又复杂的话题,所以本人只是在此提到一部分知识,而且水平的关系,请大家多多指教。
===============================================================================
关于一些很普遍的路由器安全问题
多种路由器存在各种众所周知的安全问题,一些网络底层设备提供商如Cisco, Livingston, Bay等的普通安全问题大家可以参考下面地址,其中收集了不少安全漏洞:
http://www.antionline.com/cgi-bin/anticode/anticode.pl?dir=router-exploits
上面地址所收集的漏洞大部分无关于路由协议级的攻击,而是一些由于错误配置,IP信息包错误处理,SNMP存在默认的communit name string,薄弱密码或者加密算法不够强壮而造成。上面的一些攻击一般一个标准的NIDS都能够探测出来。这些类型的攻击对网络底层有一定的削弱性并可以组合一些高极别的协议进行攻击。
正确的配置管理可以处理不少普通的漏洞,如你必须处理一些标准的规程:不使用SNMP(或者选择强壮的密码),保持补丁程序是最新的,正确处理访问控制列表,出入过滤,防火墙,加密管理通道和密码,路由过滤和使用MD5认证。当然在采用这些规程之前你必须知道这些安全规则的相关的含义和所影响到的服务。
================================================================================
近来有关的一些低部构造防卫检测系统的开发
近来的在网络防护开发项目中比较不错的是一个IDS叫JiNao,你可以在下面的地址找到相关的内容:http://www.anr.mcnc.org/projects/JiNao/JiNao.html.JiNao是由DARPA发起的,并现在成为一个合作研究项目由MCNC和北卡罗莱纳州大学共同开发。JiNao在FreeBSD和Linux上运行的是在线模式(使用divertsockets),在Solaris运行在离线模式,并在3个网络上测试-MCNC,NCSU和由PC(操作系统做路由)和商业路由器组合的AF/Rome 实验室。测试结果显示了可以成功的防止多种类型的网络底层攻击并能很好的高精度的探测这些攻击。
当前,JiNao看起来在研究关于Open Shortest Path First (OSPF,开放最短路径优先)协议,并且最终JiNao会延伸到各种协议。JiNao指出,防卫攻击和入侵探测将会集成在网络管理内容中,所以JINao现在正趋向于网络防火墙,入侵探测系统和网络管理系统组合一体。
还有一个工具可以很好的分析高级的协议,如Agilent Advisor
(http://onenetworks.comms.agilent.com/)的网络分析工具,它能很好的支持多种路由协议并能定制过滤器来探测各种不正常的行为。
================================================================================
一些工作于路由协议的工具
-------------------------------
Linuxdivert sockets描述到:\"Divertsocket能够在末端主机也能在路由器上进行IP信息包捕获和注入,信息包的捕获和插入发生在IP层上,捕获的信息包在用户空间转向到套接口中,因此这些信息包将不会达到它们的最终目的地,除非用户空间套接口重插入它们。这样在信息包捕获和重新插入之间可以在系统系统内核之外允许各种不同的操作(如路由和防火墙).\"(http://www.anr.mcnc.org/~divert/).简单的说divert socket就是由userspace(用户空间)的程序来处理kernel(内核)中的IP packet(IP信息包),这个divertsocket最早应用与FreeBSD系统中,如NAT就是应用了divert socket。这样使开发程序很容易,因为在用户层,而处理IPpacket(IP信息包)的效率也比较高,因为是直接处理kernel(内核)中的IP packet(IP信息包)。
大家可以在下面的地址中找到相关的Divert socket:http://www.anr.mcnc.org/~divert/. Divertsocket就象上面说最早实现于FreeBSD中,现在已经移植到Linux中并作为JiNao IDS项目的一部分采用。
------------------------------
另一个叫Nemesis Packet Injection suite,是一个比较强大的网络和安全工具,由Obecian开发,你可以在下面的地址获得:http://www.packetninja.net.最新的nemesis-1.1发行在2000年6月24号。Nemesis是一个\"命令行式的UNIX网络信息包插入套件\",并是一个很好的测试防火墙,入侵探测系统,路由器和其他网络环境的工具。它可以被攻击者使用和授权渗透探测者在主机和网络级的网络安全环境检测。其中这个站点还有一个演化的Nemesis叫Intravenous,发行于11/30/00.Intravenous看起来承载了Nemesis所有基本功能,其中不同的是增加了人工智能引擎的内容。更多有关Intravenous的信息你可以在packetninja.net站点里找到.
----------------------------
IRPAS,Internetwork Routing Protocol Attack Suite,由FX所写,可以在下面的站点找到http://www.phenoelit.de/irpas/.IRPAS包含了各种可工作于Cisco路由设备的协议层的命令行工具,包括如下这些命令: cdp--可发送Cisco router Discovery Protocol (CDP CISCO路由发现协议)消息;
igrp是能插入Interior Gateway Routing Protocol (IGRP 内部网关路由协议)消息;irdp用来发送ICMP Router Discovery Protocol (ICMP路由发现协议)消息;
irdresponder--可使用精心制作的信息包来响应IRDP请求;
ass--Autonomous System Scanner(自主系统扫描器,现在可下载的版本只支持IGRP),这里解释下Autonomous system,即一般所说的AS,简单的说是一组内部路由器,使用共同协议交流内部网络的信息,更直接的说法就是这些路由器自己自主,交流信息。与之相反的是我们经常知道的外部路由器如一般的电信节点处的路由器。典型的AS使用单一的路由协议在它的边界产生和传播路由信息。ass就类似于TCP端口扫描器一样,只不过其是针对自主系统的。使用ass扫描的话,如果自主系统应答,将返回路由进程中的所有路由信息。IRPAS的网站也包含一条关于Generic Routing Encapsulation(GRE 一般路由封装) 漏洞的文档,其中这个GenericRouting Encapsulation (GRE 一般路由封装)漏洞允许外部攻击者绕过NAT和破坏一通过VPN的内部RFC1918网络。这份文档大家可以在下面的地址获得:http://www.phenoelit.de/irpas/gre.html,其中在其他章节还包含了更多的信息和通过irpas的可能攻击策略.
irpas的开发者FX,发送了由ass新版本2.14(还没有发布)扫描的AS样本和igrp怎样利用ass的信息(AS #10和其他数据)来插入一欺骗的路由给222.222.222.0/24。虽然IGRP协议目前不是很多使用,但这个例子却是相当的不错。下面是FX测试的结果:
test# ./ass -mA -i eth0 -D 192.168.1.10 -b15 -v(这里的-i是接口,-D是目的地址,-b15指的是自主系统0-15之间
ASS [Autonomous System Scanner] $Revision: 2.14 $
(c) 2k FX <fx@phenoelit.de>
Phenoelit (http://www.phenoelit.de)
No protocols selected; scanning all
Running scan with:
interface eth0
Autonomous systems 0 to 15
delay is 1
in ACTIVE mode
Buil谢谢 target list ...
192.168.1.10 is alive
Scanning ...
Scanning IGRP on 192.168.1.10
Scanning IRDP on 192.168.1.10
Scanning RIPv1 on 192.168.1.10
shutdown ...
OK,得到以下的结果
>>>>>>>>>>>> Results >>>>>>>>>>>
192.168.1.10
IGRP
#AS 00010 10.0.0.0 (50000,1111111,1476,255,1,0)
IRDP
192.168.1.10 (1800,0)
192.168.9.99 (1800,0)
RIPv1
10.0.0.0 (1)
test# ./igrp -i eth0 -f routes.txt -a 10 -S 192.168.1.254 -D 192.168.1.10
当然这里的routes.txt需要你自己指定:
routes.txt:
# Format
# destination:delay:bandwith:mtu:reliability:load:hopcount
222.222.222.0:500:1:1500:255:1:0
Cisco#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
U - per-user static route
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.1.2.0/30 is directly connected, Tunnel0
S 10.0.0.0/8 is directly connected, Tunnel0
C 192.168.9.0/24 is directly connected, Ethernet0
C 192.168.1.0/24 is directly connected, Ethernet0
I 222.222.222.0/24 [100/1600] via 192.168.1.254, 00:00:05, Ethernet0
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
看到没有,到达222.222.222.0/24经由192.168.1.254
-----------------------------
Rprobe & srip--这个工具附带在一篇关于RIP欺骗非常不错的指南文档中(由humble写),你可以在下面的地址找到这篇文章http://www.technotronic.com/horizon/ripar.txt.Rprobe工具会从一路由daemon(守护程序)中请求一RIP路由表的拷贝,使用Tcpdump或者其他任何嗅探工具可以用来捕获这些结果。接下来,srip可以用来从任意源IP发送一伪造的RIPv1或者RIPv2消息,Srip可以插入新的路由和使当前的路由无效,当然攻击者/渗透测试者需要知道命令行中使用什么参数。关于这些工具的介绍可参看Hacking Exposed 第二版Network Device节找到示例。
------------------------
当然还有其他工作与相关路由协议的工具可被攻击者或者渗透测试者使用,如:Routed,gated, zebra, mrt, 和 gasp ,大家可以参看其他的文档。
=================================================================================
下面是有关各种协议的浅释和相关漏洞及可以采用的防卫措施
Routing Information Protocol (RIP,路由信息协议)
Routing Information Protocol (RIP,路由信息协议)是基于距离矢量的路由协议,其所有路由基于(hop)跳数来衡量。由Autonomous System (AS,自主系统) 来全面的管理整个由主机,路由器和其他网络设备组成的系统。RIP是作为一种内部网关协议(interior gateway protocol),即在自治系统内部执行路由功能。相反的大家都知道外部网关路由协议(exterior gateway protocol),如边缘网关协议(BGP),在不同的自治系统间进行路由。RIP协议对大型网络来说不是一个好的选择,因为它只支持15跳,RIPv1而且只能通信自身相关的路由信息,反之RIPv2能对其他路由器进行通信。RIP协议能和其他路由协议共同工作,依照Cisco,RIP协议经常用来与OSPF协议相关联,虽然很多文荡指出OSPF需代替RIP. 应该知道经由RIP更新提交的路由可以通过其他路由协议重新分配,这样如果一攻击者能通过RIP来欺骗路由到网络,然后再通过其他协议如OSPF或者不用验证的BGP协议来重新分配路由,这样攻击的范围将可能扩大。
RIP协议相关的漏洞和防范措施
一个测试者或者攻击者可以通过探测520 UDP端口来判断是否使用RIP,你可以使用熟悉的工具如nmap来进行测试,如下所示,这个端口打开了并没有使用任何访问控制联合任意类型的过滤:
[root@test]# nmap -sU -p 520 -v router.ip.address.2
interesting ports on (router.ip.address..2):
Port State Service
520/udp open route
扫描UDP520端口在网站http://www.dshield.org/的\"Top 10 Target Ports\"上被排列在第7位,你表明有许多人在扫描RIP,这当然和一些路由工具工具的不断增加有一定的关联。
RIPv1 天生就有不安全因素,因为它没有使用认证机制并使用不可靠的UDP协议进行传输。RIPv2的分组格式中包含了一个选项可以设置16个字符的明文密码字符串(表示可很容的被嗅探到)或者MD5签字。虽然RIP信息包可以很容易的伪造,但在RIPv2中你使用了MD5签字将会使欺骗的操作难度大大提高。一个类似可以操作的工具就是nemesis项目中的RIP命令--nemesis-rip,但由于这个工具有很多的命令行选项和需要必备的知识,所以nemesis-rip 比较难被script kiddies使用。想使用nemesis-rip成功进行一次有效的RIP欺骗或者类似的工具需要很多和一定程度的相关知识。不过\"Hacking Exposed\"第二版第10章:Network Devices提到的有些工具组合可以比较容易的进行RIP欺骗攻击攻击,这些工具是使用rprobe来获得远程网络RIP路由表,使用标准的tcpdump或者其他嗅探工具来查看路由表,srip来伪造RIP信息包(v1或者v2),再用fragrouter重定向路由来通过我们控制的主机,并使用类似dsniff的工具来最后收集一些通信中的明文密码。
尽管大家知道欺骗比较容易,但仍然存在一些大的网络提供商仍旧依靠RIP来实现一些路由功能,虽然不知道他们是否采用来安全的措施。RIP显然目前还是在使用,呵呵但希望很少人使用RIPv1,并且使用了采用MD5安全机制的RIPv2,或者已经移植到了使用MD5认证的OSPF来提高安全性。
Border Gateway Protocol (BGP,边界网关协议)
BGP是Exterior Gateway Protocol (EGP,外部网关协议),此协议执行的时候自主系统之间的路由,现在BGP4是最近的流行标准,BGP使用几种消息类型,其中这文章相关的最重要的消息是UPDATE消息类型,这个消息包含了路由表的更新信息,全球INTERNET大部分依靠BGP,因此一些安全问题必须很严肃的对待,L0pht几年就宣称过:他们能在很短的时间内利用路由协议的安全如BGP来搞垮整个Internet.
BGP协议相关的漏洞和防范措施
BGP使用TCP 179端口来进行通信,因此nmap必须探测TCP 179端口来判断BGP的存在。
[root@test]# nmap -sS -p 179 -v router.ip.address.2
Interesting ports on (router.ip.address..2):
Port State Service
179/tcp open bgp
-一个开放的BGP端口,更容易被攻击
[root@test]# nmap -sS -n -p 179 router.ip.address.6
Interesting ports on (router.ip.address.6):
Port State Service
179/tcp filtered bgp
BGP端口被过滤了,对攻击有一定的抵抗力。
由于BGP使用了TCP的传输方式,它就会使BGP引起不少关于TCP方面的问题,如很普遍的SYN Flood攻击,序列号预测,一般拒绝服务攻击等。BGP没有使用它们自身的序列而依靠TCP的序列号来代替,因此,如果设备采用了可预测序列号方案的话,就存在这种类型的攻击,幸好的是,运行在Internet上大部分重要的路由器使用了Cisco设备,而其是没有使用可预测序列号方案。
部分BGP的实现默认情况下没有使用任何的认证机制,而有些可能存在和RIP同样的问题就是使用了明文密码。这样假如认证方案不够强壮的话,攻击者发送UPDATE信息来修改路由表的远程攻击的机会就会增加许多,导致进一步的破坏扩大。
BGP也可以传播伪造的路由信息,如果攻击者能够从一协议如RIP中修改或者插入路由信息并由BGP重新分配。这个缺陷是存在与信任模块中而不是其协议本身。另外BGP的community 配置也会有某些类型的攻击,原因是community name在某些情况下是作为信任token(标志)可以被获得。至于通过通过BGP的下层协议(TCP)对其攻击看来是比较困难的,因为会话在点对点之间是通过一条单独的物理线路进行通信的,但在一定环境如在两AS系统通过交换机来连接则可能存在TCP插入的攻击,在这样的网络中,攻击者在同一VLAN或者他有能力嗅探switch的通信(如使用dsniff工具通过ARP欺骗来获得),监视TCP序列号,插入修改的信息包或者使用工具如hunt的进行hijack连接而获得成功,但这种类型的攻击一般只能在实验室环境中演示比较容易,而在实际的网络中因为太过复杂而很难成功。
要使BGP更安全,你最好对端口179采用访问列表控制,使用MD5认证,使用安全传输媒体进行安全BGP通信和执行路由过滤(你可以查看下面的文档(seehttp://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/np1_c/1cprt1/1cbgp.htm#40309)以及一些标准的路由安全设置过滤配置。
------------------------
Open Shortest Path First (OSPF,开放最短路径优先协议)
OSPF是动态连接状态路由协议,其保持整个网络的一个动态的路由表并使用这个表来判断网络间的最短路径,OSPF是内部使用连接状态路由协议,协议通过向同层结点发送连接状态信息(LSA)工作,当路由器接收到这些信息时,它就可以根据SPF算法计算出到每个结点的最短路了。其他相临路由器通过使用OSPF的Hello协议每10秒发送一个问候包给224.0.0.5,然后接收这些路由器发回的信息。一个OSPF的hello信息包头可以通过iptraf来嗅探到,如下所示:
OSPF hlo (a=3479025376 r=192.168.19.35) (64 bytes) from 192.168.253.67 to 224.0.0.5 on eth0
192.168.253.67边界路由器发送一个helo信息包给多播(224.0.0.5)来告诉其他路由器和主机怎样
从192.168.19.35联系区域a(a=3479025376).
一旦路由器接受到Hello信息包,它就开始同步自己的数据库和其他路由一样。
一个LAS头包括以下几个部分: LS age, option, LS type, Link state ID, Advertising Router ID,
LS sequence number, LS checksum, 和 length.
OSPF协议相关的漏洞和防范措施
OSPF使用协议类型89,因此你可以使用nmap协议扫描来判断OSPF,除非网络通过配置访问列表来不响应这些类型的查询。如下所示:
root@test]# nmap -sO -router.ip.address.252
Interesting protocols on (router.ip.address.252):
Protocol State Name
89 open ospfigp
OSPF由于内建几个安全机制所以比起RIP协议安全的多,但是,其中LSA的几个组成部分也可以通过捕获和重新注入OSPF信息包被修改,JiNao小组开发了一个FREEBSD divert socket的LINUX实现并在它们的测试中使用到。
OSPF可以被配置成没有认证机制,或者使用明文密码认证,或者MD5,这样如果攻击者能获得一定程度的访问,如他们可以使用如dsniff等工具来监视OSPF信息包和或者明文密码,这个攻击者可以运行divert socket或者其他可能的各种类型ARP欺骗工具来重定向通信。
JiNao小组发现了有关OSPF的4种拒绝服务的攻击方法,下面是简单的说明:
--Max Age attack攻击 LSA的最大age为一小时(3600)
攻击者发送带有最大MaxAge设置的LSA信息包,这样,最开始的路由器通过产生刷新信息来发送这个LSA,而后就引起在age项中的突然改变值的竞争。如果攻击者持续的突然插入最大值到信息包给整个路由器群将会导致网络混乱和导致拒绝服务攻击。
--Sequence++ 攻击 即攻击者持续插入比较大的LSA sequence(序列)号信息包,根据OSPF的RFC介绍因为LS sequence number(序列号)栏是被用来判断旧的或者是否同样的LSA,比较大的序列号表示这个LSA越是新近的。所以到攻击者持续插入比较大的LSAsequence(序列)号信息包时候,最开始的路由器就会产生发送自己更新的LSA序列号来超过攻击者序列号的竞争,这样就导致了网络不稳定并导致拒绝服务攻击。
--最大序列号攻击
就是攻击者把最大的序列号0x7FFFFFFF插入。根据OSPF的RFC介绍,当想超过最大序列号的时候,LSA就必须从路由domain(域)中刷新,有InitialSequenceNumber初始化序列号。这样如果攻击者的路由器序列号被插入最大序列号,并即将被初始化,理论上就会马上导致最开始的路由器的竞争。但在实践中,JiNao发现在某些情况下,拥有最大MaxSeq(序列号)的LSA并没有被清除而是在连接状态数据库中保持一小时的时间。
--伪造LSA攻击
这个攻击主要是gated守护程序的错误引起的,需要所有gated进程停止并重新启动来清除伪造的不正确的LSA,导致拒绝服务的产生。这个攻击相似对硬件的路由器不影响并且对于新版本的gated也没有效果。
上面的一些信息你可以参考http://www.ietf.org/rfc/rfc2328.txt和JiNao对OSPF的漏洞分析:On the Vulnerabilities and Protection of OSPF Routing Protocol (http://www.anr.mcnc.org/projects/JiNao/ic3n98.ps).
nemesis-ospf能对OSPF协议产生上述攻击,但是,由于nemesis-ospf太多的选项和需要对OSPF有详细深刻的了解,所以一般的攻击者和管理人员难于实现这些攻击。并且也听说nemesis-ospf也不是一直正常正确的工作,就更限制了这个工具的使用价值。
OSPF认证需要KEY的交换,每次路由器必须来回传递这个KEY来认证自己和尝试传递OSPF消息,路由器的HELLO信息包在默认配置下是每10秒在路由器之间传递,这样就给攻击者比较的大机会来窃听这个KEY,如果攻击者能窃听网络并获得这个KEY的话,OSPF信息包就可能被伪造,更严重的会盲目重定向这些被伪造的OSPF信息包。当然这些攻击少之又少,不光光是其难度,重要的是因为还有其他更容易的安全漏洞可以利用,谁不先捏软柿子.
这里建议如果一个主机不要使用动态路由,大多数的主机使用静态路由就能很好的完成起功能。因为使用动态路由协议很会受到攻击,例如,几年以前gated软件就被发现有一个认证的问题。
-------------------------
关于使用IRPAS对CDP和IRDP攻击
IRPAS的cdp程序主要对发送CDP (Cisco router DiscoveryProtocol)消息给CISCO路由器并对内部网络段产生拒绝服务攻击,发送一些垃圾字符就会导致路由器重新启动或者崩溃。它也能作为欺骗来使用,为其他更危险的程序打开方便的大门,一种可能的攻击场景:如使用cdp来使路由器停止服务,然后使用irdp或者irdresponder工具发送高优先值来通知一新的路由器,这样如果我们的目标路由器不能与被拒绝服务攻击而停止服务的通信,新的路由器的高优先值就会被采用,如果攻击者设置的这个值被成功采用的话,攻击者就能在他们的系统中轻松插入通信路径。
这种类型的攻击也可以应用在某些配置了使用IRDP协议的主机,如WINDOWS98默认情况下配置使用IRDP,WINNT需要手工配置支持IRDP环境,并在启动的时候广播3个ICMP RouterSolicitationmessages(ICMP路由请求消息)。L0pht有文章详细的描述关于WINDOWS和SUN机器上的采用IRDP而存在漏洞,你可以在下面的地址找到这篇文章:
http://www.atstake.com[/size]
BGP路由反射-network学习笔记
[size=3][font=幼圆][font=宋体]详细介绍[/font]RFC1966[font=宋体]文档。[/font][/font][/size][font=宋体][font=幼圆][size=3]实验拓扑:[/size][/font][/font]
[font=幼圆][size=3]R1-------R7--------R3[/size][/font]
[font=宋体][font=幼圆][size=3]分别用串口连接[/size][/font][/font]
[font=宋体][font=幼圆][size=3]配置如下:[/size][/font][/font]
[size=3][font=幼圆]R7[font=宋体]:[/font][/font][/size]
[size=3][font=幼圆]hostname r7 [/font][/size]
[font=幼圆][size=3] [/size][/font]
[size=3][font=幼圆]interface Loopback0 [/font][/size]
[size=3][font=幼圆] ip address 116.83.25.1 255.255.255.0[/font][/size]
[size=3][font=幼圆]interface Loopback1 [/font][/size]
[size=3][font=幼圆] ip address 116.83.26.1 255.255.255.0 [/font][/size]
[font=幼圆][size=3]![/size][/font]
[size=3][font=幼圆]interface Ethernet0 [/font][/size]
[size=3][font=幼圆] no ip address [/font][/size]
[font=幼圆][size=3]![/size][/font]
[font=幼圆][size=3]interface Serial0[/size][/font]
[size=3][font=幼圆] ip address 192.168.54.5 255.255.255.252 [/font][/size]
[size=3][font=幼圆]encapsulation ppp [/font][/size]
[size=3][font=幼圆] no fair-queue[/font][/size]
[font=幼圆][size=3]![/size][/font]
[size=3][font=幼圆]interface Serial1 [/font][/size]
[size=3][font=幼圆] ip address 192.168.54.1 255.255.255.252 [/font][/size]
[size=3][font=幼圆]encapsulation ppp [/font][/size]
[font=幼圆][size=3]![/size][/font]
[size=3][font=幼圆]router bgp 15210 [/font][/size]
[size=3][font=幼圆] network 192.168.54.0[/font][/size]
[size=3][font=幼圆] neighbor 192.168.54.2 remote-as 15210[/font][/size]
[size=3][font=幼圆] [color=#ff0000]neighbor 192.168.54.2 route-reflector-client[/color][/font][/size]
[font=幼圆][size=3][color=#ff0000]配置充当反射客户端的每个邻居.[/color][/size][/font]
[size=3][font=幼圆] neighbor 192.168.54.6 remote-as 15210[/font][/size]
[font=幼圆][size=3]建立BGP对等体关系[/size][/font]
[size=3][font=幼圆] [color=#ff0000]neighbor 192.168.54.6 route-reflector-client[/color][/font][/size]
[size=3][font=幼圆] no auto-summary[/font][/size]
[font=幼圆][size=3]![/size][/font]
[size=3][font=幼圆]R2[font=宋体]:[/font][/font][/size]
[size=3][font=幼圆]hostname r2 [/font][/size]
[size=3][font=幼圆]interface Loopback0 [/font][/size]
[size=3][font=幼圆] ip address 10.1.1.1 255.255.255.0 [/font][/size]
[font=幼圆][size=3] [/size][/font]
[font=幼圆][size=3]![/size][/font]
[font=幼圆][size=3]Router bgp 15210[/size][/font]
[font=幼圆][size=3]bgp log-neighbor-changes[/size][/font]
[size=3][font=幼圆] network 10.1.1.0 mask 255.255.255.0[/font][/size]
[font=幼圆][size=3]network 192.168.54.0 mask 255.255.255.0[/size][/font]
[font=幼圆][size=3]neighbor 192.168.54.1 remote-as 15210[/size][/font]
[size=3][font=幼圆] no auto-summary[/font][/size]
[font=幼圆][size=3]R3:[/size][/font]
[font=幼圆][size=3]router bgp 15210[/size][/font]
[size=3][font=幼圆] no synchronization[/font][/size]
[size=3][font=幼圆] bgp log-neighbor-changes[/font][/size]
[size=3][font=幼圆] network 192.168.54.0 mask 255.255.255.0[/font][/size]
[size=3][font=幼圆] neighbor 192.168.54.5 remote-as 15210[/font][/size]
[size=3][font=幼圆] no auto-summary[/font][/size]
[font=宋体][font=幼圆][size=3][/size][/font][/font]
BGP对等体组-network学习笔记
在实际应用中大部分的BGP配置是比较复杂的,对等体组是简化配置的一种方法.配置的基本步骤:
1 使用 neighbor peer-group-name peer-group 来创建BGP对等体组.
2 使用 neighbor peer-group-name 给对等体加上希望的参数.
3 使用 neighbor ip -address peer-group 将具有相同属性的BGP对等体放到一个组里.
对比例子:
正常配置:
router bgp 100
neighbor 192.168.1.1 remote-as 200
neighbor 192.168.1.1 password cisco
neighbor 192.168.1.2 remote-as 200
neighbor 192.168.1.2 next-hop-self
neighbor 192.168.1.2 password cisco
neighbor 192.168.1.3 remote-as 200
neighbor 192.168.1.3 password cisco
neighbor 192.168.1.3 next-hop-self
neighbor 192.168.2.2 remote-as 100
neighbor 192.168.2.2 password ccie
neighbor 192.168.2.2 next-hop-self
neighbor 192.168.2.2 route-reflector-client
neighbor 192.168.2.3 remote-as 100
neighbor 192.168.2.3 password ccie
neighbor 192.168.2.3 next-hop-self
neighbor 192.168.2.3 route-reflector-client
用对等体组简化后:
router bgp 100
neighbor in peer-group
neighbor in remote-as 100
neighbor in password ccie
neighbor in next-hop-self
neighbor in route-reflector-client
neighbor 192.168.2.2 peer-group in
neighbor 192.168.2.3 peer-group in
neighbor out peer-group
neighbor out password cisco
neighbor out remote-as 200
neighbor out next-hop-self
neighbor 192.168.1.1 peer-group out
neighbor 192.168.1.2 peer-group out
neighbor 192.168.1.3 peer-group out
这样的配置对以后的管理建造了良好的环境!
几种不同路由器的Frame-Relay的配置
随着网络技术的迅猛发展,Internet的广泛应用,对通信介质的要求越来越高。帧中继(Frame-relay)以它通信稳定、速度快捷、价格优惠而得以迅速普及;而用好帧中继的关键就是路由器的配置。下面介绍几种常用路由器的帧中继配置,希望能起抛砖引玉的作用:1、CISCO路由器的配置
interface Serial0(配置广域端口)
encapsulation frame-relay IETF(封装帧中继)
frame-relay lmi-type ansi (帧中继协议为ansi,此与邮局端要对应)
ip address 端口IP地址 子网掩码
frame-relay interface-dlci 16 (16为邮局给此端口分配的dlci号)
ip route 对端IP地址 子网掩码 对端广域口IP地址
2、3COM 路由器设置(限帧中继部分)
Set Privilege=NetMgr(授权网络管理)
Setd -ip cont=route (激活路由功能)
Setd !3 -path linetype=leased(线路类型为专线)
Setd !4 -port own=framerelay(专线类型为帧中继)
Setd !4 -fr cont=ansilmi(协议类型为ansi)
Setd !4 -ip net=11.53.240.34
255.255.255.252(端口IP地址 子网掩码)
Add -ip addr 对端IP地址 @460 (460为对端dlci号)
Add -ip route 对端网段 子网掩码
对端广域IP地址 1(metric 即下跳数)
Setd !3 -path cont=e(激活路径)
Setd !4 -port cont=e(激活端口)
3、BDCOM 路由器设置(限帧中继部分)
Co
Chinese(选择中文界面)
Quit
S0
Encap framerelay
Ip add 广域IP地址 子网掩码
Fr local_dlci add 16(16为本方DLCI号)
Map add 对方广域IP地址 pvc 16(本方DLCI 号)
Quit
Route add 对端网段 掩码 对端广域口IP地址 1(下跳数)
Hosts add 127.0.0.1 localhost
以上是常用的三种路由器的帧中继配置,从中可以看出关键是四个内容:一是线路封装,二是协议类型,三是DLCI号,四是IP地址。希望此文能对正在做路由器的帧中继配置的各位同仁有所帮助
地址转换实现负载均衡
[b]网络环境:[/b]局域网以2Mb/s DDN专线接入Internet,路由器选用安装了广域网模块的Cisco 2611。内部网络使用的IP地址段为10.1.1.1~10.1.3.254,局域网端口Ethernet 0的IP地址为10.1.1.1,子网掩码为255.255.0.0。网络分配的合法IP地址范围为202.110.198.80~ 202.110.198.87,连接ISP的端口 Ethernet 1的IP地址为202.110.198.81,子网掩码为255.255.255.248。
[b]要求:
[/b]网络内部的所有计算机均可访问Internet,并且在3台Web服务器和2台FTP服务器上实现负载均衡。
[b]配置文件:[/b] [table=400][tr][td]interface fastethernet0/1
ip address 10.1.1.1 255.255.0.0 //定义局域网端口IP地址
duplex auto
speed auto
ip nat inside //定义为局域端口
!
interface serial 0/0
ip address 202.110.198.81 255.255.255.248 //定义广域网端口IP地址
duplex auto
speed auto
ip nat outside //定义为广域端口
!
access-list 1 permit 202.110.198.82 //定义轮询地址列表1
access-list 2 permit 202.110.198.83
access-list 3 permit 10.1.1.0 0.0.255.255 //定义本地访问列表3
!
ip nat pool websev 10.1.1.2 10.1.1.4 255.255.255.248 type rotary
//定义Web服务器的IP地址池,Rotary关键字表示准备使用轮询策略从NAT池中取出相应的IP地址用于转换进来的IP报文,
访问202.110.198.82的请求将依次被发送给10.1.1.2、10.1.1.2和10.1.1.4
ip nat pool ftpsev 10.1.1.8 10.1.1.9 255.255.255.248 type rotary
ip nat pool normal 202.110.198.84 202.110.198.84 netmask 255.255.255.248
//定义合法IP地址池,名称为normal
ip nat inside destination list 1 pool websev
// inside destination list语句定义与列表1相匹配的IP地址的报文将使用轮询策略
ip nat inside destination list 2 pool ftpsev [/td][/tr][/table]
在pix或asa如何防止内网用户乱改ip配置案例
防止内网用户乱该ip地址,用户只能用给定的ip,如果改ip地址,则无法访问网络资源。例如:做了下述配置后(arp inside 10.64.64.29 000f.b0d8.a504),mac地址为000f.b0d8.a504的pc只能使用ip10.64.64.29来访问网络资源,如果该ip则无法访问。
pix515e# sh run
: Saved
:
PIX Version 7.2(1 )
!
hostname pix515e
domain-name cisco
enable password N7FecZuSHJlVZC2P encrypted
做名字解析
****************************************************
names
name 10.64.64.113 chengxiaojie
name 10.64.64.13 dhcp
name 10.64.64.71 liuyongjun
name 10.64.64.72 liuyongjun-ibm
name 10.64.64.39 lixiaoliang
name 10.64.64.103 lixuesong
name 10.64.64.17 lulianying
name 10.64.64.92 qizuomeng
name 10.64.64.69 wangzhili
name 10.64.64.105 xingzhonghe
name 10.64.64.45 tanjun
name 10.64.64.108 zhangyi
name 10.64.64.178 hujian
name 10.64.64.93 ibm220
name 10.64.64.62 jiling
name 10.64.64.111 yangliu
name 10.64.64.112 wangsishen
name 10.64.64.158 wangyuguo
name 10.64.64.52 lishihai
name 10.64.64.78 office-teacher
name 10.64.64.48 yangjin
name 10.64.64.104 wutao
name 10.64.64.63 zangdong
name 10.64.64.80 xiaoguangyue
name 10.64.64.14 ibm235
name 10.64.64.222 lixuesong-dell
name 10.64.64.75 maxiaopeng
name 10.64.64.215 lintao
name 10.64.64.199 machi
name 10.64.64.216 liuxuesong
name 10.64.64.246 jiachangjing
name 10.64.64.61 chufw
****************************************************
!
interface Ethernet0
nameif outside
security-level 0
ip address X.X.76.26 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.64.64.2 255.255.240.0
!
interface Ethernet2
nameif dmz
security-level 80
ip address 192.168.0.1 255.255.255.0
!
passwd N7FecZuSHJlVZC2P encrypted
!
time-range worktime
periodic daily 8:00 to 17:00
!
ftp mode passive
clock timezone CST 8
dns domain-lookup outside
dns server-group DefaultDNS
name-server 219.150.32.132
domain-name cisco
做object-group以便在acl里被调用(注:object-group是个好东东,可以大大简化acl的配置)
****************************************************
object-group network www
network-object host xingzhonghe
network-object host chengxiaojie
network-object host dhcp
network-object host liuxuesong
network-object host wangzhili
network-object host liuyongjun
network-object host liuyongjun-ibm
network-object host lulianying
network-object host chufw
network-object host jiachangjing
network-object host maxiaopeng
network-object host 10.64.64.255
object-group network guest
network-object 10.64.66.112 255.255.255.240
object-group network caiwu
network-object 10.64.66.0 255.255.255.224
object-group service netmeeting tcp
port-object range 1503 1503
port-object range h323 h323
object-group network worktime
network-object host wutao
network-object host zhangyi
network-object host yangliu
network-object host wangsishen
network-object host wangyuguo
network-object host 10.64.64.169
network-object host 10.64.64.18
network-object host machi
network-object host lintao
network-object host liuxuesong
network-object host lixuesong-dell
network-object host 10.64.64.247
network-object host 10.64.64.29
network-object host 10.64.64.30
network-object host yangjin
network-object host lishihai
network-object host 10.64.64.55
network-object host jiling
network-object host office-teacher
****************************************************
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit tcp any any object-group netmeeting
调用上述的object-group到acl
****************************************************
access-list inside_access_in extended deny ip any 192.168.0.0 255.255.255.0
access-list inside_access_in extended permit ip object-group caiwu 192.168.0.0 255.255.255.0
access-list inside_access_in extended permit ip object-group www any
access-list inside_access_in extended permit ip object-group guest any inactive
access-list inside_access_in extended deny tcp any any eq 1863
access-list inside_access_in extended permit ip host lixiaoliang host 211.147.77.98
access-list inside_access_in extended permit ip host qizuomeng host 211.147.77.98
access-list inside_access_in extended permit ip object-group worktime any time-range worktime
access-list inside_access_in extended permit ip host ibm235 any time-range worktime inactive
****************************************************
access-list remote_splitTunnelAcl standard permit 10.64.64.0 255.255.240.0
access-list inside_nat0_outbound extended permit ip 10.64.64.0 255.255.240.0 1.1.1.0 255.255.255.0
access-list outside_cryptomap extended permit ip any 1.1.1.0 255.255.255.0
access-list caiwu_splitTunnelAcl standard permit 192.168.0.0 255.255.255.0
access-list outside_cryptomap_1 extended permit ip any 1.1.1.0 255.255.255.0
access-list dmz_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 1.1.1.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip local pool remote 1.1.1.1-1.1.1.254 mask 255.255.255.0
ip local pool caiwu 2.2.2.1-2.2.2.254 mask 255.255.255.0
no failover
asdm image flash:/asdm.bin
no asdm history enable
把ip和mac绑定
****************************************************
arp inside 10.64.64.29 000f.b0d8.a504
arp inside 10.64.64.247 000b.2f04.7dd8
arp inside 10.64.64.169 0016.17f2.2eb3
arp inside lintao 000a.e6b2.c4c6
arp inside liuxuesong 00e0.4c58.b7cd
arp inside lishihai 000a.e69b.f4dc
arp inside ibm235 0009.6ba5.49c5
arp inside maxiaopeng 000c.764d.6aa8
arp inside xiaoguangyue 0011.09b4.6f25
arp inside zangdong 00e0.4cc1.2a14
arp inside wutao 0013.d47d.0c36
arp inside office-teacher 0090.9626.7da7
arp inside yangjin 00e0.4d01.6b1b
arp inside wangyuguo 00e0.4c21.471d
arp inside wangsishen 0015.c50f.92a5
arp inside yangliu 0015.f299.7f6c
arp inside jiling 00e0.4cc1.2a34
arp inside hujian 0011.252f.8613
arp inside ibm220 0002.556d.0037
arp inside jiachangjing 00e0.4d01.6b30
arp inside tanjun 0013.7222.5fe5
arp inside wangzhili 000d.6004.c197
arp inside lixiaoliang 0014.782f.b989
arp inside liuyongjun-ibm 0010.c6de.2686
arp inside lulianying 0016.3563.db1b
arp inside liuyongjun 0000.e25a.8580
arp inside lixuesong 0017.3152.8e78
arp inside chengxiaojie 0016.3564.8a6b
arp inside xingzhonghe 00e0.4c60.a8da
arp inside dhcp 0014.5e2b.77b5
arp inside zhangyi 0013.7222.4819
arp inside lixuesong-dell 0018.8ba2.d1c5
arp inside machi 000a.e6b5.0600
arp inside 10.64.64.18 0015.c510.12d4
****************************************************
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 10.64.64.0 255.255.240.0
nat (dmz) 0 access-list dmz_nat0_outbound
static (inside,outside) tcp interface 1503 chufw 1503 netmask 255.255.255.255
static (inside,outside) tcp interface h323 chufw h323 netmask 255.255.255.255
access-group outside_access_in in interface outside
应用acl到inside端口
****************************************************
access-group inside_access_in in interface inside
****************************************************
route outside 0.0.0.0 0.0.0.0 X.X.76.25 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
group-policy caiwu internal
group-policy caiwu attributes
dns-server value 219.150.32.132
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value caiwu_splitTunnelAcl
group-policy remote internal
group-policy remote attributes
dns-server value 219.150.32.132
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value remote_splitTunnelAcl
username chufw password hs6C0g7Y0Zza/dVN encrypted privilege 15
username chufw attributes
vpn-group-policy remote
vpn-framed-ip-address 1.1.1.111 255.255.255.0
http server enable
http chufw 255.255.255.255 inside
http 219.148.242.228 255.255.255.255 outside
http 219.148.242.227 255.255.255.255 outside
http 1.1.1.111 255.255.255.255 outside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-SHA
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp nat-traversal 20
tunnel-group remote type ipsec-ra
tunnel-group remote general-attributes
address-pool remote
default-group-policy remote
tunnel-group remote ipsec-attributes
pre-shared-key *
tunnel-group caiwu type ipsec-ra
tunnel-group caiwu general-attributes
address-pool remote
default-group-policy caiwu
tunnel-group caiwu ipsec-attributes
pre-shared-key *
telnet chufw 255.255.255.255 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
ntp server 207.46.130.100 source outside
tftp-server inside chufw pix
prompt hostname context
Cryptochecksum:c02e836587f08fa6ce4699df28408774
: end
pix515e#
CISCO PIX防火墙系统管理
使用Telnet进行远程系统管理(Using Telnet for Remote System Management)IDS系统日志信息(IDS Syslog Messages)
使用DHCP(Using DHCP)
使用SNMP(Using SNMP)
使用SSH(Using SSH)
[b]一、使用Telnet进行远程系统管理(Using Telnet for Remote System Management)
[/b]在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令浏览第三接口。列表从上往下的第三项是第三接口。
串行控制台让单一用户配置PIX防火墙,但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后,您就可使用Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容:
? 配置Telnet控制台访问(Configuring Telnet Console Access)
? 测试Telnet访问(Testing Telnet Access)
? 保护外部接口上的Telnet连接(Securing a Telnet Connection on the Outside Interface)
? Trace Channel特性(Trace Channel Feature)
[b](一)、配置Telnet控制台访问(Configuring Telnet Console Access)[/b]
按照以下步骤来配置Telnet控制台访问:
步骤1
使用PIX防火墙telnet命令。例如,如想让一台位于内部接口之上、 地址为192.168.1.2的主机访问PIX防火墙,就输入以下命令。
telnet 192.168.1.2 255.255.255.255 inside
如果设置了IPSec,您即可让位于外部接口上的主机访问PIX防火墙控制台。具体信息请参见"保护外部接口上的Telnet连接(Securinga Telnet Connection on the Outside Interface)"部分。使用如下命令。telnet 209.165.200.225 225.255.225.224 outside
步骤2
如需要,可对PIX防火墙在断开一个Telnet会话前,该会话可闲置的时间长度进行设置。默认值5分钟对大多数情况来说过短,需予以延
长直至完成所有生产前测试和纠错。按下例所示设置较长的闲置时间。telnet timeout 15;
步骤3
如果您想用认证服务器来保护到控制台的访问,您可使用aaa authentication telnet console命令,它需要您在验证服务器上有一个用户名和口令。当您访问控制台时,PIX防火墙提示您提供这些登录条件。如果验证服务器离线,您仍可使用用户名pix和由enable password命令设置的口令访问控制台。
步骤4 用write memory命令保存配置中的命令
(二)、测试Telnet访问(Testing Telnet Access) 执行以下步骤来测试Telnet访问:
步骤1
从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正使用Windows 95或Windows NT,点击Start>Run来启动Telnet会话。例如,
如果内部接口IP地址是192.168.1.1,输入以下命令。telnet 192.168.1.1 步骤2
PIX防火墙提示您输入口令:
PIX passwd:
输入cisco,然后按Enter键。您即登录到PIX防火墙上了。
默认口令为cisco,您可用passwd命令来更改它。
您可在Telnet控制台上输入任意您可从串行控制台上设置的命令,但如果您重启PIX防火墙,您将需在其重启动后登录PIX防火墙。
一些Telnet应用,如Windows 95或Windows NT Telnet会话可能不支持通过箭头键使用的PIX防火墙命令历史记录特性。然而,您可按Ctrl-P来获取最近输入的命令。
步骤3
一旦您建立了Telnet访问,您可能想在纠错时浏览ping(探查)信息。您可用debug icmp trace命令浏览来自Telnet会话的ping信息。Trace Channel特性也对debug的显示有影响,这将在"Trace Channel特性(Trace Channel Feature)"中详述。
成功的ping信息如下:
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2>209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23
步骤4
此外,您可使用Telnet控制台会话来浏览系统日志信息:
a. 用logging monitor 7命令启动信息显示。"7"将使所有系统日志级别均得以显示。如果您正在生产模式下使用PIX防火墙,您可能希望使用logging buffered 7命令唇?信息存储在您可用show logging命令浏览的缓存中,还可用clear logging命令清理缓存以便更方便地浏览。如想停止缓存信息,使用no logging buffered命令。
您也可将数目从7降至较小值,如3,以限制所显示的信息数。b. 如果您输入logging monitor命令,然后输入terminal monitor命令来使信息在您的Telnet会话中显示。如想禁止信息显示,使用terminal no monitor命令。
例1给出了使用Telnet允许主机访问PIX防火墙控制台的命令。
例1 使用Telnet
telnet 10.1.1.11 255.255.255.255
telnet 192.168.3.0 255.255.255.0
第一个telnet命令允许单一主机,10.1.1.11用Telnet访问PIX防火墙控制台。网络掩模的最后八位字节中的数值255表明只有指定主机可访问该控制台。
第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX防火墙控制台。网络掩模的最后八位字节中的数值0允许那一网络中的所有主机进行访问。然而,Telnet只允许16台主机同时访问PIX防火墙控制台。 (三)、保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)
本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容: ? 概述(Overview)
? 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
? 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
概述(Overview)
如果您正使用Cisco Secure Policy Manager 2.0或更高版本,本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中,PIX防火墙的外部接口的IP地址是168.20.1.5,Cisco Secure VPN Client的IP地址来自于虚拟地址池,为10.1.2.0。
有关此命令的具体信息,请参见《Cisco PIX防火墙命令参考》中telnet命令页。
您将需在您的VPN客户机上设置两个安全策略。一个用于保护您的Telnet连接,另一个保护您到内部网络的连接。
使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行
步骤1
创建一个access-list命令语句,定义需从PIX防火墙到使用来自
本地虚拟地址池中目的地址的VPN客户机而进行保护的流量access
-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0
步骤2
定义哪台主机可用Telnet访问PIX防火墙控制台:
telnet 10.1.2.0 255.255.255.0 outside
从本地池和外部接口指定VPN客户机的地址。
步骤3
在VPN客户机中,创建一个安全策略,将远程方身份识别IP地址与网关IP地址定义为相同--PIX防火墙外部接口的IP地址。在此例中,PIX防火墙的外部IP地址为168.20.1.5。
步骤4
配置VPN客户机上的其它安全策略,以与PIX防火墙的安全策略相配。
使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中,PIX防火墙外部接口的IP地址为168.20.1.5,Cisco VPN 3000 Client的IP地址来自于虚拟地址池,为10.1.2.0。
定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。
telnet 10.1.2.0 255.255.255.0 outside
(四)、Trace Channel特性(Trace Channel Feature)
debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。
如果一个debug命令不使用Trace Channel,每个会话都独立运作,意味着任意从会话中启动的命令只出现在该会话中。在默认状态下,不使用Trace Channel的会话的输出是禁用的。
Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话,还是您只使用PIX防火墙串行控制台:
o 如果您仅使用PIX防火墙串行控制台,所有debug命令都显示在串行控制台上。
o 如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台,那么无论您在何处输入debug命令,输出均显示在Telnet控制台会话上。
o 如果您有2个或更多Telnet控制台会话,则第一个会话是Trace Channel。如果那一会话关闭,那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。
debug 命令在所有Telnet和串行控制台会话间共享。
注意 Trace Channel特性的缺点是,如果一位管理员正使用串行控制台,另一管理员启动一个Telnet控制台会话,则串行控制台上的debug命令输出会在毫无警告的情况下停止。此外,Telnet控制台会话上的管理员将突然看到debug命令的输出,这可能是其不希望出现的局面。如果您正使用串行控制台,且未出现debug命令的输出 ,使用who命令来查看是否有Telnet控制台会话正在运行。 二、IDS系统日志信息(IDS Syslog Messages)
?PIX防火墙经由系统日志列出了单分组(原子)Cisco入侵检测系统(IDS)签字信息。所支持的信息列表请参见《Cisco PIX防火墙系统日志信息》。
此版本中所有签字信息不受PIX防火墙支持。IDS系统日志信息均以%PIX-4-4000nn开始,有下列格式:
%PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name
例如:
%PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside
选项:
sig_num 签字号。具体信息参见《Cisco安全入侵检测系统2.2.1用户指南》。
sig_msg 签字信息——几乎与NetRanger签字信息相同。
Ip_addr 签字适用的本地到远程地址。
Int_name 签字最初发出的接口名。
您可用以下命令确定显示哪些信息:
ip audit signature signature_number disable
将一项全局策略与一个签名相连。用于禁用某一签名或不让某一签名进行审计。
no ip audit signature signature_number
从签名处删除策略。用于重新使用某一签名。
show ip audit signature [signature_number]
显示禁用签名。
ip audit info [action [alarm] [drop] [reset]]
指定对于分类为信息签名的签名所采取的默认行动。
alarm选项表示,当发现某一分组中签名匹配,PIX防火墙就将事件报告给所有已配置的系统日志服务器。drop选项丢弃不合格的分组。reset选项丢弃不合格的分组,并且如果它是一条有效连接的一部分,则关闭该连接。默认值为alarm。如想取消事件响应,使用不带action选项的ip audit info命令。
no ip audit info
设置针对分类为信息的签名而采取的行动,调查默认行动。
show ip audit info
显示默认信息行动。
ip audit attack [action [alarm] [drop] [reset]]
指定对于攻击签名所应采取的默认行动。action选项如前所定义。 no ip audit attack
将针对攻击签名而采取的行为是默认行为。
show ip audit attack
显示默认攻击行动。审计策略(审计规则)定义了所有可应用于某一接口的签名的属性以及一系列行动。使用审计策略,用户可限制审计的流量或指定签名匹配时采取的行动。每个审计策略由一个名称识别,可针对信息或攻击签名进行定义。每个接口可有2个策略,一个用于信息签名,另一个用于攻击签名。如果定义的策略中无行动,则采取已配置的默认行动。每个策略需要一个不同名称。
ip audit name audit_name info[action [alarm] [drop] [reset]]
除被ip audit signature命令禁用或排除的信息签名之外,所有信息签名均被认为是策略的一部分。行动与前面描述的相同。
no ip audit name audit_name [info]
删除审计策略audit_name。
ip audit name audit_name attack [action [alarm] [drop] [reset]]
除被ip audit signature命令禁用或排除的攻击签名之外,所有攻击签名均被认为是策略的一部分。行动与前面描述的相同。
no ip audit name audit_name [attack]
删除审计规定audit_name。
show ip audit name [name [info|attack]]
显示所有审计策略或按名称和可能的类型显示特定策略。
ip audit interface if_name audit_name
向某一接口应用审计规定或策略(经由ip audit name命令)。
no ip audit interface [if_name]
从某一接口删除一个策略。
show ip audit interface
显示接口配置。 三、使用DHCP(Using DHCP)
PIX防火墙支持动态主机配置协议(DHCP)服务器和DHCP客户机。DHCP是一个协议,向互联网主机提供自动配置参数。此协议有两个组成部分:
用于从DHCP服务器向主机(DHCP客户机)提供主机特定配置参数的协议
用于向主机分配网络地址的机制
DHCP服务器是向DHCP客户机提供配置参数的计算机,DHCP客户机则是使用DHCP获得网络配置参数的计算机或网络设备。
在PIX防火墙中实施DHCP服务器和DHCP客户机特性的主要目的是大大简化PIX防火墙单元的配置。
本部分包括以下内容:
DHCP客户机(DHCP Client)
DHCP服务器(DHCP Server)
DHCP客户机(DHCP Client)
PIX防火墙中的DHCP客户机支持经过专门设计,适用于小型办公室、家庭办公室(SOHO)环境,这些环境中使用PIX防火墙直接与支持DHCP服务器功能的DSL或电缆调制解调器相连。随着PIX防火墙上DHCP客户机特性的实施,PIX防火墙对DHCP服务器来说即可作为DHCP客户机,允许服务器用IP地址、子网掩模和可选的默认路由来配置单元的启动接口
不支持使用DHCP客户机特性从通用DHCP服务器获取IP地址的操作。此外,PIX防火墙DHCP客户机不支持故障转换配置。
为支持PIX防火墙中的DHCP客户机特性,进行了以下改进:
增强了ip address和show ip address命令:
- ip address if_name dhcp [setroute] [retry retry_cnt]
- ip address outside dhcp [setroute] [retry retry_cnt]
- show ip address if_name dhcp
添加了新的debug命令:
- debug dhcpc packet
- debug dhcpc detail
- debug dhcpc error
ip address dhcp命令可在指定PIX防火墙接口上启动DHCP客户机特性。可选setroute参数让PIX防火墙使用DHCP服务器返回的默认网关参数来设置默认路由。
debug dhcpc命令为启动的DHCP客户机特性提供纠错工具。
用于实施DHCP客户机的PIX防火墙命令在《Cisco PIX防火墙命令参考》的ip address命令页和debug命令页中介绍。具体信息请参见这些命令页。
注意 DHCP所需的外部接口的IP地址也可用作PAT全局地址。这样,ISP就无需向PIX防火墙分配静态IP地址了。使用带interface关键字的global命令来使PAT使用DHCP所需的外部接口IP地址。有关global命令的具体信息,请参见《Cisco PIX防火墙命令参考》中的global命令页。
启动DHCP客户机特性和设置默认路由(Enabling the DHCP Client Feature and Setting Default Route)
为在给定PIX防火墙接口上启动DHCP客户机特性并经由DHCP服务器设置默认路由,需将ip address dhcp setroute命令作为您整个PIX防火墙配置的一部分加以配置,这其中包括setroute选项。指定将在其上启动DHCP客户机的接口名。
DHCP服务器(DHCP Server)
PIX防火墙中的DHCP服务器支持经过了专门设计,适用于使用PIX 506的远程家庭或分支机构(ROBO)环境。与PIX防火墙相连的是PC客户机和其它网络设备(DHCP客户机),它们建立了不安全(未加密)或安全(使用IPSec加密)的网络连接来访问企业或公司网络。作为一个DHCP服务器,PIX防火墙通过使用DHCP向DHCP客户机提供了网络配置参数。这些配置参数为DHCP客户机提供了用于访问企业网的网络参数,以及在网络中网络服务(如DNS服务器)使用的参数。
在5.3版软件发布前,PIX防火墙DHCP服务器支持10个DHCP客户机、PIX防火墙5.3及更高版本在PIX防火墙上支持32个DHCP客户机,在其它平台上支持256个。在6.0或更高版本中,PIX防火墙DHCP服务器支持256个DHCP客户机。您不能使用C类网络掩模为256个客户机配置1个DHCP服务器。例如,如果一家公司有C类网络地址172.17.1.0,带网络掩模255.255.255.0,那么172.17.1.0(网络IP)和172.17.1.255(广播)不可能在DHCP地址池范围之内。此外,一个地址用于PIX防火墙接口。因此,如果用户使用C类网络掩模,就只能最多拥有253个DHCP客户机。如想配置256个客户机,就不能使用C类网络掩模。
注意 PIX防火墙DHCP服务器不支持BOOTP请求和故障转换配置。用于实施DHCP服务器特性的PIX防火墙命令在《Cisco PIX防火墙命令参考》的dhcp命令页和debug命令页中介绍。具体信息请参见这些命令页。 配置DHCP服务器特性(Configuring the DHCP Server Feature)
确保在启动DHCP服务器特性前,使用ip address命令来配置IP地址和inside接口的子网掩模。
按照以下步骤来在给定PIX防火墙接口上启动DHCP服务器特性。(步骤1到6为必需)。
步骤1
使用dhcpd address命令指定一个DHCP地址池。PIX防火墙将向客户机分配此池中的地址之一并在给定长度的时间内使用。默认值为inside接口。例如:
dhcp address 10.0.1.101-10.0.1.110 inside
步骤2
(可选)指定客户机将使用的DNS服务器的IP地址。您最多可指定2个DNS服务器。例如:dhcpd dns 209.165.201.2 209.165.202.129
步骤3
(可选)指定客户机将使用的WINS服务器的IP地址。您最多可指定2个WINS服务器。例如:dhcpd wins 209.165.201.5
步骤4
指定授予客户机的租用时间长度。这相当于客户机在租用到期前可使用分配给它的IP地址的时间长度(以秒为单位)。默认值为3600秒。例如:
dhcpd lease 3000
步骤5
(可选)配置客户机将使用的域名。例如:dhcpd domain example.com
步骤6
启动PIX防火墙中的DHCP端口监督程序,以接收启动接口上的DHCP客户机请求。现在您仅可在inside接口(默认值)上启动DHCP服务器特性。例如:
dhcpd enable inside
下例为上述过程的配置列表。
! set the ip address of the inside interface
ip address inside 10.0.1.2 255.255.255.0
! configure the network parameters the client will use once in the corporate network and
dhcpd address 10.0.1.101-10.0.1.110
dhcpd dns 209.165.201.2 209.165.202.129
dhcpd wins 209.165.201.5
dhcpd lease 3000
dhcpd domain example.com
! enable dhcp server daemon on the inside interface
dhcpd enable inside
下例为DHCP地址池和DNS服务器地址的配置,带启动了DHCP服务器特性的内部接口:
dhcpd address 10.0.1.100-10.0.1.108
dhcpd dns 209.165.200.227
dhcpd enable
下例为DHCP地址池的配置,使用auto_config命令来配置dns,wins和域参数: dhcpd address 10.0.1.100-10.0.1.108
dhcpd auto_config
dhcpd enable
下面是远程办公室中一个PIX防火墙上所配置的DHCP服务器和IPSec特性的部分配置范例。PIX 506单元的VPN对等设备是另一PIX防火墙,它的外部接口IP地址为209.165.200.228,作为公司网络的网关。
! configure interface ip address
ip address outside 209.165.202.129 255.255.255.0
ip address inside 172.17.1.1 255.255.255.0
! configure ipsec with corporate pix
access-list ipsec-peer permit ip 172.17.1.0 255.255.255.0 192.168.0.0 255.255.255.0
ipsec transform-set myset esp-des esp-sha-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address ipsec-peer
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set peer 209.165.200.228
crypto map mymap interface outside
sysopt connection permit-ipsec
nat (inside) 0 access-list ipsec-peer
isakmp policy 10 authentication preshare
isakmp policy 10 encryption des
isakmp policy 10 hash sha
isakmp policy 10 group 1
isakmp policy 10 lifetime 3600
isakmp key 12345678 address 0.0.0.0 netmask 0.0.0.0
isakmp enable outside
!configure dhcp server address
dhcpd address 172.17.1.100-172.17.1.109
dhcpd dns 192.168.0.20
dhcpd wins 192.168.0.10
dhcpd lease 3000
dhcpd domain example.com
! enable dhcp server on inside interface
dhcpd enable
! use outside interface ip as PAT global address
nat (inside) 1 0 0
global (outside) 1 interface 四、使用SNMP(Using SNMP)
snmp_server命令使PIX防火墙可发送SNMP陷阱,以便PIX防火墙可从远程监控。
使用snmp-server host命令来指定哪些系统可接受SNMP陷阱。此部分包括下列内容:
简介(Introduction)
MIB支持(MIB Support)
SNMP使用率说明(SNMP Usage Notes)
SNMP陷阱(SNMP Traps)
编辑Cisco Syslog MIB文件(Compiling Cisco Syslog MIB Files)
使用防火墙和内存池MIB(Using the Firewall and Memory Pool MIBs)
简介(Introduction)
可用的PIX防火墙SNMP MIB-II组有系统(System)和接口(Interfaces)。
Cisco防火墙MIB和Cisco内存池MIB也可用。
所有SNMP值仅为只读(RO)
使用SNMP,您可以监控PIX防火墙上的系统事件。SNMP事件可以读取,但PIX防
火墙上的信息不能用SNMP更改。SNMP管理站可用的PIX防火墙SNMP陷阱如下所示:
? 通用陷阱
- 上链路和下链路(电缆与接口相连与否;电缆与正在工作还是与非工作状
态的接口相连)
- 冷启动
- 验证故障(公用字符串不匹配)
? 经由Cisco Syslog MIB发送的与安全相关的事件:
- 拒绝全局访问
- 故障转换系统日志信息
- 系统日志信息
使用CiscoWorks for Windows或任意其它SNMP V1、MIB-II兼容型浏览器来接收
SNMP陷阱并浏览MIB。SNMP陷阱出现于UDP端口162。
MIB支持(MIB Support)
注意 PIX防火墙不支持Cisco系统日志MIB的浏览。您可浏览MIB-II的系统和接口
组。MIB的浏览与发送陷阱不同。浏览意味着从管理站执行MIB树的snmpget或
snmpwalk命令以确定数值。
PIX防火墙平台中的系统OID
PIX平台
系统 OID
PIX 506
.1.3.6.1.4.1.9.1.389
PIX 515
.1.3.6.1.4.1.9.1.390
PIX 520
.1.3.6.1.4.1.9.1.391
PIX 525
.1.3.6.1.4.1.9.1.392
PIX 535
.1.3.6.1.4.1.9.1.393
其它
.1.3.6.1.4.1.9.1.227 (初始PIX 防火墙OID) 接收请求和发送系统日志陷阱 按照以下步骤来接收请求并从PIX防火墙向SNMP管理站发送陷阱:
步骤1
用snmp-server host命令确定SNMP管理站的IP地址。
步骤2
按需设置snmp-server的location、contact和community口令选项。如果您只需发送冷启动、上链路、下链路通用陷阱,则无需进一步配置。如果您仅想接收SNMP请求,则无需进一步配置。
步骤3
添加一条snmp-server enable traps命令语句?/td>
步骤4
用logging history命令设置记录级别:
logging history debugging
我们建议您在初始设置和测试期间使用debugging级别。然后将级别从debugging降至较低数值以用于生产。
(logging history命令为SNMP系统日志信息设置严重程度)。
步骤5
开始用logging on命令向管理站发送系统日志陷阱。
步骤6
如想禁止发送系统日志陷阱,则使用no logging on或no snmp-server enable traps命令。
下表中的命令定义了PIX防火墙可以从位于内部接口上的主机192.168.3.2接收
SNMP请求,但不向任意主机发送SNMP系统日志.
snmp-server host 192.168.3.2
snmp-server location building 42
snmp-server contact polly hedra
snmp-server community ohwhatakeyisthee
location和contact命令确定了主机的位置和谁管理主机。community命令指定
了PIX防火墙SNMP代理和SNMP管理站中使用的口令,以验证两个系统间的网络访问。
编辑Cisco系统日志MIB文件(Compiling Cisco Syslog MIB Files)
为从PIX防火墙接收安全性和故障转换SNMP陷阱,就需将Cisco SMI MIB和Cisco系
统日志MIB编辑入您的SNMP管理应用。如果您未将Cisco系统日志MIB编辑入您的应
用,您就只能接收用于上或下链路、防火墙冷启动和验证故障的陷阱。
在此页中,从Cisco安全和VPN选择列表中选择PIX Firewall。
按照以下步骤使用CiscoWorks for Windows (SNMPc)将Cisco系统日志MIB文件编辑
入您的浏览器:
步骤1
获得Cisco系统日志MIB文件。
步骤2
启动SNMPc。
步骤3
点击Config>Complile MIB。
步骤4
滚动光标至列表底部,并点击最后一项。
步骤5
点击Add。
步骤6
发现Cisco系统日志MIB文件。
注意
对某些应用来说,只有带.mib扩展名的文件可以在SNMPc的文件选择窗口中显示。带.my扩展名的Cisco系统日志MIB文件不会显示。在此例中,您应手工地将.my扩展名改为.mib扩展名。
步骤7
点击CISCO-FIREWALL-MIB.my (CISO-FIREWALL-MIB.mib)并点击OK?/td>
步骤8
滚动光标至列表底部,并点击最后一项。
步骤9
点击Add。
步骤10
发现文件CISCO-MEMORY-POOL-MIB.my (CISCO-MEMORY-POOL-MIB.mib)并点击OK。
步骤11
滚动光标至列表底部,并点击最后一项。
步骤12
点击Add。
步骤13
发现文件CISCO-SMI.my (CISCO-SMI.mib)并点击OK。
步骤14
滚动光标至列表底部,并点击最后一项。
步骤15
点击Add。
步骤16
发现文件CISCO-SYSLOG-MIB.my (CISCO-SYSLOG-MIB.mib)并点击OK。
步骤17
点击Load All。
步骤18
如无错误,重启SNMPc。
注意 这些指令仅用于SNMPc (CiscoWorks for Windows)。
使用防火墙和内存池MIB(Using the Firewall and Memory Pool MIBs)
Cisco防火墙和内存池MIB让您可以轮询故障转换和系统状态。本部分包括以下内容:
o ipAddrTable说明(ipAddrTable Notes)
o 浏览故障转换状态(Viewing Failover Status)
o 验证内存使用率(Verifying Memory Usage)
o 浏览连接数(Viewing The Connection Count)
o 浏览系统缓存使用率(Viewing System Buffer Usage)
在每部分最后的表中,每个返回值的意义都显示在括号中。 ipAddrTable说明(ipAddrTable Notes)
SNMP ip.ipAddrTable的使用要求所有接口都分别有各自独特的地址。如果接口未被分配IP地址,则其IP地址默认为127.0.0.1。拥有重复IP地址会导致SNMP管理站无限循环。工作循环就是向每个接口分配一个不同的地址。例如,您可将一个地址设置为127.0.0.1,另一地址设置为127.0.0.2等。
SNMP使用一系列GetNext操作来转换MIB树。每个GetNext请求均以前-请求的结果为基础。因此,如果两个连续接口有相同的IP 127.0.0.1(表索引),GetNext功能返回127.0.0.1,这是正确的;然而,当SNMP使用同一结果(127.0.0.1)生成下一GetNext请求,该请求与前一请求一样,从而会导致管理站无限循环。
例如:GetNext (ip.ipAddrTable.ipAddrEntry.ipAdEntAddr.127.0.0.1)
在SNMP协议中,MIB表索引必须是独一无二的,以便代理识别MIB表的某一行。ip.AddrTable的表索引是PIX防火墙接口IP地址,故此IP地址应独一无二;否则,SNMP代理将发生混乱并可能返回有相同IP(索引)的另一接口(行)的信息。
浏览故障转换状态(Viewing Failover Status)
Cisco防火墙MIB的cfsHardwareStatusTable允许您确定是否启动故障转换以及哪个单元处在活动状态。Cisco防火墙MIB通过cfwHardwareStatusTable对象中的两行来指示故障转换状态。从PIX防火墙命令行,您可用show failover命令浏览故障转换状态。您可从以下路径访问对象表:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.
ciscoFirewallMIBObjects.cfwSystem.cfwStatus.cfwHardwareStatusTable
故障转换状态对象
对象
对象类型
行1:如禁用故障转换时则返回
行1:如启用故障转换时返回
行2:如启用故障转换时返?/td>
cfwHardwareType
(表索引)
Hardware
6(如为基本单元)
6(如为基本单元)
7(如为备用单元)
cfwHardware
Information
SnmpAdminString
空白
空白
空白
cfwHardware
StatusValue
HardwareStatus
0(未使用?/td>
active 或 9(如为活动单元)或是standby或10(如为备用单元)
active 或 9(如为活动单元)或是standby或10如为备用单元
cfwHardware
StatusDetail
SnmpAdminString
Failover Off
空白
空白
cfwHardwareInformation.6 :
cfwHardwareInformation.7 :
cfwHardwareStatusValue.6
cfwHardwareStatusValue.7
cfwHardwareStatusDetail.6 :Failover Off
cfwHardwareStatusDetail.7 :Failover Off
在此表中,表索引cfwHardwareType作为.6或.7附在每个随后对象的最后。cfwHardwareInformation域为空白,cfwHardwareStatus值为0,而cfwHardwareStatusDetail包含Failover Off,这表示故障转换状态。
启动故障转换时,MIB查询范例生成下列信息:
cfwHardwareInformation.6 :
cfwHardwareInformation.7 :
cfwHardwareStatusValue.6 : active
cfwHardwareStatusValue.7 : standby
cfwHardwareStatusDetail.6 :
cfwHardwareStatusDetail.7 :
在此表中,只有cfwHardwareStatusValue包含数值,即active或standby来表示每个单元的状态。
验证内存使用率(Verifying Memory Usage)
您可确定Cisco内存池MIB带有多少空闲内存。从PIX防火墙命令行,可用show memory命令浏览内存使用率。以下是show memory命令的输出范例。
show memory
16777216 bytes total, 5595136 bytes free
您可从以下路径访问MIB对象:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoMemoryPoolMIB. ciscoMemoryPoolObjects.ciscoMemoryPoolTable 内存使用率
对象
对象类型
返回值
ciscoMemoryPoolType CiscoMemoryPoolTypes 1 (处理器内存)(表索引)
ciscoMemoryPoolType
1 (处理器内存)
ciscoMemoryPoolName
DisplayString
PIX 系统内存
ciscoMemoryPoolAlternate
Integer32
0 (无备用内存池)
ciscoMemoryPoolValid
TruthValue
true (表明其余对象的值正确)
ciscoMemoryPoolUsed
Gauge32
integer (目前在用的字节数-
总字节减去空闲字节)
ciscoMemoryPoolFree
Gauge32
integer (当前空闲的字节数)
ciscoMemoryPoolLargestFree
Gauge32 0
(不可获得信息)
在HP OpenView Browse MIB应用的“MIB值”窗口中,MIB查询范例生成以下信息:
ciscoMemoryPoolName.1 :PIX system memory
ciscoMemoryPoolAlternate.1
ciscoMemoryPoolValid.1 :true
ciscoMemoryPoolUsed.1 :12312576
ciscoMemoryPoolFree.1 :54796288
ciscoMemoryPoolLargestFree.1
在此表中,表索引cisco MemoryPoolName作为.1值附在每个随后对象值的最后。cisco MemoryPoolUsed对象列出当前在用的字节数12312576,ciscoMemoryPoolFree对象则列出了当前空闲的字节数54796288。其它对象则总是列出表18中的值。
浏览连接数(Viewing The Connection Count)
您可从Cisco防火墙MIB中的cfwConnectionStatTable浏览在用的连接数。从PIX防火墙命令行,您可用show conn命令浏览连接数。以下是show conn命令输出范例,可确认cfwConnectionStatTable中的信息的初始出处。
show conn
15 in use, 88 most used
cfwConectionStatTable对象表可从以下路径访问:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB.
ciscoFirewallMIBObjects.cfwSystem.cfwStatistics.cfwConnectionStatTable
对象
对象类型
行1:返回值
行2:返回值
CfwConnectionStatService(表索引)
Services
40(IP协议)
40(IP协议)
CfwConnectionStatType(表索引)
ConnectionStat
6(当前在用连接)
7(高)
cfwConnectionStatDescription
SnmpAdminString
整个防火墙当前在用的连接数
自系统启动以来曾经在用的最高连接数
cfwConnectionStatCount
Counter32
0(未用)
0(未用)
cfwConnectionStatValue
Gauge32
Integer(在用数目)
Integer(最多使用数目)
在HP OpenView Browse MIB应用的“MIB值”窗口中,MIB查询范例生成以下信息:
cfwConnectionStatDescription.40.6 :number of connections currently in use by the entire firewall
cfwConnectionStatDescription.40.7 :highest number of connections in use at any one time since system startup
cfwConnectionStatCount.40.6
cfwConnectionStatCount.40.7
cfwConnectionStatValue.40.6 :15
cfwConnectionStatValue.40.7 :88
在此表中,表索引cfwConnectionStatService作为.40附在每个随后对象之后,而表索引cfwConnectionStatType则为.6 (表示在用的连接数) 或.7(表示最多使用的连接数)。cfwConnectionStatValue对象然后可列出连接数。cfwConnectionStatCount对象常返回0值。
浏览系统缓存使用率(Viewing System Buffer Usage)
您可在多行cfwBufferStats表中浏览Cisco防火墙MIB的系统缓存使用率。系统缓存使用率提供了PIX防火墙达到其容量限制的早期报警。在命令行上,您可用show blocks命令来浏览此信息。以下是show blocks命令的输出范例,显示了cfwBufferStatsTable是如何传播的。
show blocks
SIZE MAX LOW CNT
4 1600 1600 1600
80 100 97 97
256 80 79 79
1550 780 402 404
65536 8 8 8
您可在以下路径浏览cfwBufferStatsTable:
.iso.org.dod.internet.private.enterprises.cisco.ciscoMgmt.ciscoFirewallMIB. ciscoFirewallMIBObjects.cfwSystem.cfwStatistics.cfwBufferStatsTable
下表列出了浏览系统块使用率所需的对象。
对象
对象类型
第一行:返回值
下一行:返回值
下一行:返回值
CfwBufferStatSize(表索引)
Unsigned32
Integer(SIZE值;例如,4字节块则为4)
Integer(SIZE值;例如,4字节块则为4)
Integer(SIZE值;例如,4字节块则为4)
CfwBufferStatType(表索引)
ResourceStatistics
3(最大)
5(最低)
8(当前)
cfwBufferStatInformation
SnmpAdminString
已分配integer字节块的最大数目(integer是块中的字节数)
自启动以来可用的最少integer字节块(integer是块中的字节数)
当前的可用integer字节块的数目(integer是块中的字节数)
cfwBufferStatValue
Gauge32
integer(最大值)
integer(最低值)
integer(当前值)
注意 这三行对每个在show blocks命令的输出中列出的块大小进行重复.
在HP OpenView Browse MIB应用的“MIB值”窗口中,MIB查询范例生成以下信息:
cfwBufferStatInformation.4.3 :maximum number of allocated 4 byte blocks
cfwBufferStatInformation.4.5 :fewest 4 byte blocks available since system startup
cfwBufferStatInformation.4.8 :current number of available 4 byte blocks
cfwBufferStatInformation.80.3 :maximum number of allocated 80 byte blocks
cfwBufferStatInformation.80.5 fewest 80 byte blocks available since system startup
cfwBufferStatInformation.80.8 :current number of available 80 byte blocks
cfwBufferStatInformation.256.3 :maximum number of allocated 256 byte blocks
cfwBufferStatInformation.256.5 :fewest 256 byte blocks available since system startup
cfwBufferStatInformation.256.8 :current number of available 256 byte blocks
cfwBufferStatInformation.1550.3 :maximum number of allocated 1550 byte blocks
cfwBufferStatInformation.1550.5 :fewest 1550 byte blocks available since system startup
cfwBufferStatInformation.1550.8 :current number of available 1550 byte blocks
cfwBufferStatValue.4.3: 1600
cfwBufferStatValue.4.5: 1600
cfwBufferStatValue.4.8: 1600
cfwBufferStatValue.80.3: 400
cfwBufferStatValue.80.5: 396
cfwBufferStatValue.80.8: 400
cfwBufferStatValue.256.3: 1000
cfwBufferStatValue.256.5: 997
cfwBufferStatValue.256.8: 999
cfwBufferStatValue.1550.3: 1444
cfwBufferStatValue.1550.5: 928
cfwBufferStatValue.1550.8: 932
在此列表中,第一个表索引cfwBuffer作为附在每个项目最后的第一个数字出现,如.4或.256。另一表索引cfwBufferStatType在第一个索引后作.3、.5或.8出现。对于每个块大小,cfwBufferStatInformation对象确认值的类型,而cfwBufferStatValue对象则确认每个值的字节数。
使用SSH(Using SSH)
SSH(安全壳式程式)是运行于可靠传输层上的应用,如提供强大验证和加密功能。PIX防火墙支持SSH版本1中提供的SSH远程壳式程序。SSH 1也可与Cisco ISO软件设备共用。最多可允许5个SSH客户机同时访问PIX防火墙控制台。
注意 在客户机可与PIX防火墙控制台连接前为PIX防火墙生成一个RSA密钥对。为使用SSH,您的PIX防火墙就需有一个DES或3DES激活密钥。
目前远程配置PIX防火墙单元的方法包括启动一条到PIX防火墙的Telnet连接,以开始一个壳式会话并进入配置模式。此连接方法仅可提供与Telnet相同的安全性,而Telnet的安全性只是作为较低层加密(如IPSec)和应用安全性(远程主机处的用户名/口令验证)提供的。PIX防火墙SSH实施提供了一个无IPSec的安全远程壳式会话,仅起到服务器的作用,即PIX防火墙不能启动SSH连接。
Cisco Systems7507上IPv6的配置案例
version 12.2no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec loca ltime show-timezone
service password-encryption
no service dhcp
no service single-slot-reload-enable
!
hostname SjtuIpv6
!
boot system flash slot1:rsp-jsv-mz.121-10.E.bin
boot system flash slot1:rsp-jsv-mz.122-11.T6.bin
logging buffered warnings
enable password 7 141510181C7B7B3E
!
ip subnet-zero
!
!
no ip domain lookup
ip name-server 10.122.2.101
!
no ip bootp server
ip cef distributed
ipv6 unicast-routing
!
class-map match-any http-hacks
match protocol http url "*default.ida*"
match protocol http url "*x.ida*"
match protocol http url "*.ida*"
match protocol http url "*cmd.exe*"
match protocol http url "*root.exe*"
match protocol http url "*_vti_bin*"
match protocol http url "*_mem_bin*"
match protocol http mime "*readme.exe*"
match protocol http mime "*readme.eml*"
match protocol http url "Sample.exe"
match protocol http url "*Sample.exe*"
match protocol http url "Httpodbc.dll"
match protocol http url "*Httpodbc.dll*"
match protocol http url "Csrss.exe"
match protocol http url "*Csrss.exe*"
match protocol http url "Mmc.exe"
match protocol http url "*Mmc.exe*"
match protocol http url "GONE.SCR"
!
!
policy-map mark-inbound-http-hacks
class http-hacks
set ip dscp 1
!
!
modemcap entry test:AA=s0=1:CD=&c1:HFL=&K3:SPD=&Q5
!
voice call carrier capacity active
!
interface Tunnel9903
no ip address
no ip route-cache distributed
ipv6 address 3FFE:3201::FFFF:0:8:2/112
tunnel source FastEthernet4/0/0
tunnel destination 202.38.99.xxx
tunnel mode ipv6ip
!
interface GigabitEthernet0/0/0
no ip address
no ip redirects
no ip proxy-arp
no ip mroute-cache
load-interval 30
no negotiation auto
traffic-shape rate 11000 7920 7920 1000
no cdp enable
!
interface GigabitEthernet1/0/0
no ip address
no ip redirects
no ip proxy-arp
ip route-cache flow
no ip mroute-cache
load-interval 30
no negotiation auto
priority-group 1
no cdp enable
!
interface FastEthernet4/0/0
ip address 10.1126.10 255.255.255.252
no ip redirects
no ip proxy-arp
ip route-cache flow
no ip mroute-cache
load-interval 30
speed 100
full-duplex
priority-group 1
no cdp enable
!
interface FastEthernet4/0/1
description Ipv6SeverNetwok
no ip address
no ip redirects
no ip proxy-arp
ip route-cache flow
speed auto
full-duplex
ipv6 address 2001:204:6000:1008::1/64
ipv6 enable
no cdp enable
!
interface FastEthernet4/1/0
description LinkTo48i
no ip address
no ip redirects
no ip proxy-arp
ip route-cache flow
speed 100
full-duplex
ipv6 address 3ffe:2307:1001:1001::1/124
ipv6 enable
no cdp enable
!
interface FastEthernet4/1/1
ip address 10.1126.254 255.255.255.240
no ip redirects
no ip proxy-arp
speed auto
full-duplex
ipv6 address 2001:204:6000:11::1/64
ipv6 enable
no cdp enable
!
interface FastEthernet5/0/0
no ip address
no ip redirects
no ip proxy-arp
ip pim sparse-dense-mode
ip route-cache flow
speed 100
full-duplex
ipv6 address 3FFE:3301:1001:1100::1/64
priority-group 1
no cdp enable
!
interface FastEthernet5/0/1
description Linkto8510 Temp
no ip address
ip access-group 108 in
no ip redirects
no ip proxy-arp
ip route-cache flow
speed 100
full-duplex
no cdp enable
!
router bgp 65010
no synchronization
bgp router-id 10.1126.10
no bgp default ipv4-unicast
bgp cluster-id 3396344574
bgp log-neighbor-changes
neighbor 3FFE:3404::FFFF:0:8:1 remote-as 65001
auto-summary
!
address-family ipv6
neighbor 3FFE:3404::FFFF:0:8:1 activate
network 2001:204:6000::/48
network 3FFE:3201::/32
network 3FFE:3211::/32
aggregate-address 2001:204:6000::/48
aggregate-address 3FFE:3201::/32
aggregate-address 3FFE:3211::/32
no synchronization
exit-address-family
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.11.26.9
no ip http server
ip ospf name-lookup
!
!
access-list 10 permit 172.30.0.253
access-list 10 permit 10.12.32.238
access-list 10 permit 10.11.26.36
access-list 10 permit 10.12.0.8
access-list 10 permit 10.12.63.0 0.0.0.7
priority-list 1 protocol ip high tcp ftp
priority-list 1 protocol ip high tcp telnet
priority-list 1 protocol ip low tcp www
no cdp run
ipv6 route 2001:204:6000::/52 2001:204:6000:11:210:4BFF:FE13:4933
ipv6 route 2001:204:6000::/48 Null0 200
ipv6 route 2001:204:6000::/48 3ffe:2307:1001:1001::2
ipv6 route 3FFE:3201:1001::/48 3ffe:2307:1001:1001::2
ipv6 route 3FFE:3201::/32 Null0 200
ipv6 route 3FFE:3211::/32 Null0 200
ipv6 router rip to48i
!
!
snmp-server community sjtu RO
snmp-server enable traps tty
!
!
call rsvp-sync
!
!
mgcp profile default
!
!
line con 0
access-class 10 in
exec-timeout 0 0
line aux 0
password 7 0835435D01100716
script reset rstmdm
login
modem InOut
modem autoconfigure type test
transport input all
speed 2400
flowcontrol hardware
line vty 0 4
password 7 094E4C1A001D460805
login
transport input lat pad v120 mop telnet rlogin udptn nasi
!
time-range denyftp
absolute start 16:00 26 May 2002
periodic daily 23:00 to 1:00
periodic daily 11:40 to 13:30
!
!
end
SjtuIpv6#
RouteOs做双机冗余
RouteOs做双机冗余Configuring Master VRRP router
First of all we should create a VRRP instance on this router. We will use the priority of 255 for this
router as it should be preferred router.
[admin@MikroTik] ip vrrp> a dd interface=local priority=255
[admin@MikroTik] ip vrrp> print
Flags: X - disabled, I - invalid, M - master, B - backup
0 M "name"="vr1" interface=local vrid=1 priority=255 interval=1
preemption-mode=yes authentication=none password="" on-backup=""
on-master=""
[admin@MikroTik] ip vrrp>
Next the virtual IP address should be added to this VRRP instance
[admin@MikroTik] ip vrrp> address add address=192.168.1.1/24 \... virtual-router=vr1
[admin@MikroTik] ip vrrp> address print
Flags: X - disabled, A - active
# ADDRESS NETWORK BROADCAST VIRTUAL-ROUTER
0 192.168.1.1/24 192.168.1.0 192.168.1.255 vr1
[admin@MikroTik] ip vrrp>
Now this address should appear in /ip address list:
[admin@MikroTik] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.0.0.1/24 10.0.0.0 10.0.0.255 public
1 192.168.1.2/24 192.168.1.0 192.168.1.255 local
2 D 192.168.1.1/24 192.168.1.0 192.168.1.255 local
[admin@MikroTik] ip address>
页:
[1]
2