‹‹ 上一主题 | 下一主题 ››
 54 123
发新话题
打印

[原创] 思科零散知识收集

garnett_wu

版主

Rank: 9Rank: 9Rank: 9

UID
93352 
帖子
10832 
精华
22 
积分
5950 
菊花元
4350 元 
威望
32 点 
阅读权限
100 
在线时间
2159 小时 
注册时间
2006-1-16 
最后登录
2008-7-24 
41楼 发表于 2007-4-17 23:34  只看该作者

RouterOS的Hotspot设置说明

RouterOS的Hotspot设置说明

参照routeros的手册,针对我的情况作了部分修改。已经在2.7.14和2.8.11上测试通过。
我的routeros是2块网卡,ether1连接adsl,做pppoe client,ether2连接局域网。
首先按照论坛上置顶的说明正确安装并配置routeros,实现客户机能够正常上网。
然后terminal routeros
改变www服务端口为8081:
改变hotspot服务端口为80,为用户登录页面做准备:
/ip service set hotspot port=80

Setup hotspot profile to mark authenticated users with flow name "hs-auth":
/ip hotspot profile set default mark-flow="hs-auth" login-method=enabled-address
增加一个用户:
/ip hotspot user add "name"=user1 password=1

重定向所有未授权用户的tcp请求到hotspot服务
/ip firewall dst-nat add in-interface="ether2" flow="!hs-auth" protocol=tcp action=redirect
to-dst-port=80 comment="redirect unauthorized clients to hotspot service"

允许dns请求、icmp ping ;拒绝其他未经认证的所有请求:
/ip firewall add "name"=hotspot-temp comment="limit unauthorized hotspot clients"
/ip firewall rule forward add in-interface=ether2 action=jump
jump-target=hotspot-temp comment="limit access for unauthorized hotspot clients"
/ip firewall rule input add in-interface=ether2 dst-port=80 protocol=tcp
action=accept comment="accept requests for hotspot servlet"
/ip firewall rule input add in-interface=ether2 dst-port=67 protocol=udp
action=accept comment="accept requests for local DHCP server"
/ip firewall rule input add in-interface=ether2 action=jump
jump-target=hotspot-temp comment="limit access for unauthorized hotspot clients"
/ip firewall rule hotspot-temp add flow="hs-auth" action=return
comment="return if connection is authorized"
/ip firewall rule hotspot-temp add protocol=icmp action=return
comment="allow ping requests"
/ip firewall rule hotspot-temp add protocol=udp dst-port=53 action=return
comment="allow dns requests"
/ip firewall rule hotspot-temp add action=reject
comment="reject access for unauthorized clients"
创建hotspot通道给认证后的hotspot用户
Create hotspot chain for authorized hotspot clients:
/ip firewall add "name"=hotspot comment="account authorized hotspot clients"
Pass all through going traffic to hotspot chain:
/ip firewall rule forward add action=jump jump-target=hotspot
comment="account traffic for authorized hotspot clients"

客户机输入任何网址,都自动跳转到登陆页面,输入账号密码,继续浏览。
如果使用ftp、pop3等,也必须先通过网页登录,才可以使用,当然使用winbox的时候也必须先登录.

TOP

garnett_wu

版主

Rank: 9Rank: 9Rank: 9

UID
93352 
帖子
10832 
精华
22 
积分
5950 
菊花元
4350 元 
威望
32 点 
阅读权限
100 
在线时间
2159 小时 
注册时间
2006-1-16 
最后登录
2008-7-24 
42楼 发表于 2007-4-17 23:34  只看该作者

routerOS防火墙规则

ip firewall rule input !!防火墙!!!!
add protocol=tcp tcp-options=no-sys-only connection-state=established action=accept comment="Established TCP connections" disabled=no
add connect ion-state=related action=accept comment="Related connections" disabled=no
add dst-address=:69 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:69 protocol=udp action=drop comment="drop blaster worm" disabled=no
add dst-address=:134-139 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:134-139 protocol=udp action=drop comment="drop blaster worm" disabled=no
add dst-address=:161-162 protocol=tcp action=drop comment="drop SNMP Trap" disabled=no
add dst-address=:161-162 protocol=udp action=drop comment="drop SNMP Trap" disabled=no
add dst-address=:445 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:445 protocol=udp action=drop comment="drop blaster worm" disabled=no
add dst-address=:554 protocol=tcp action=drop comment="drop blaster wrom" disabled=no
add dst-address=:554 protocol=udp action=drop comment="drop blaster worm" disabled=no
add dst-address=:593 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:593 protocol=udp action=drop comment="drop blaster worm" disabled=no
add dst-address=:1025 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:1025 protocol=udp action=drop comment="drop blaster worm" disabled=no
add det-address=:1068 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:1068 protocol=udp action=drop comment-"drop blaster worm" disabled=no
add dst-address=:2000 protocol=tcp action=drop comment="drop Millenium" disabled=no
add dst-address=:2000 protocol=udp action=drop comment="drop millenium" disabled=no
add dst-address=:3127-3198 protocol=tcp action=drop comment="drop proxy worm" disabled=no
add dst-address=:3127-3198 protocol=udp action=drop comment="drop proxy worm" disabled=no
add dst-address=:3389 protocol=tcp action=drop comment="drop windows supper clinet link" disabled=no
add dst-address=:3389 protocpl=udp action=drop comment="drop windows supper clinet link" disabled=no
add dst-address=:4444 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:4444 protocol=udp action=drop comment="drop blaster worm" disabled=no
add dst-address=:5554 protocol=tcp action=drop comment="drop blaster worm' disabled=no
add dst-address=:5554 protocol=udp action=drop comment="drop Bt download" disabled=no
add dst-address=:6881-6889 protocol=tcp action=drop comment="drop drop Bt download" disabled=no
add dst-address=:6881-6889 protocol=udp action=drop comment="drop drop Bt download" disabled=no
add dst-address=:8881-8889 protocol=tcp action=drop comment="drop drop Bt download" disabled=no
add dst-address=:8881-8889 protocol=udp action=drop comment="drop drop Bt download" disabled=no
add dst-address=:39213 protocol=tcp action=drop comment="drop worm" disabled=no
add dst-address=:39213 protocol=tcp action=drop comment="drop worm" disabled=no
add protocol=udp action=accept comment="udp" disabled=no
add dst-address=XXX.XXX.XXX.XXX/32 protocol=icmp action=drop
add protocol=icmp limit-count=50 limit-burst=2 limit-time=5s action=accept comment="allow limited pings" disabled=0
comment="dont ping me" disabled=no
add dst-address=!192.168.0.0/24:3987 protocol=tcp action=drop comment="dont link me" disabled=no
add src-address=192.168.0.0/24 dst-address=192.168.0.125/32 action=accept comment="http://blog.chinaitlab.com/from lan admin" disabled=no
add action=drop log=yes comment="Log and drop everything else" disabled=no
ip firewall rule forward (禁止某些网站IP)
add dst-address=:134-139 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=:134-139 protocol=tcp action=drop comment="drop blaster worm" disabled=no
add dst-address=61.240.246.41/32 action=DROP comment="DROP WWW. CY07.COM" disabled=no
ip service 禁止外网控制路由
set telent port=23 address=192.168.0.0/24 disabled=yes
set ftp port=21 address=192.168.0.0/24 disabled=no (把21端口改了)
set www port=80 address=192.168.0.0/24 disabled=no (把80端口改了)
set ssh port=22 address=192.168.0.0/24 disabled=yes
user 管理员只能在内网登陆
set 0 address=192.168.0.0/24

将规则另存为*.rsc文件,进入控制台,或者在路由器本机上,输入 import *.rsc
该规则导入完成

TOP

garnett_wu

版主

Rank: 9Rank: 9Rank: 9

UID
93352 
帖子
10832 
精华
22 
积分
5950 
菊花元
4350 元 
威望
32 点 
阅读权限
100 
在线时间
2159 小时 
注册时间
2006-1-16 
最后登录
2008-7-24 
43楼 发表于 2007-4-30 23:18  只看该作者

Cisco系列路由器密码恢复研究与实践

密码恢复原理

  (1)Cisco路由器保存了几种不同的配置参数,并存放在不同的内存模块中。Cisco系列路由器的内存有:ROM,闪存(Flash memory),RAM,不可变RAM和动态内存(DRAM)等5种。 一般情况下,路由器启动时,首先运行ROM中的程序,进行系统自检及引导,然后运行Flash中的ISO,并在NVRAM中寻找路由器配置,并装入DRAM中。
  
   (2)口令恢复的关键在于对配置登记码(Configuration Register Value)进行修改,从而让路由器从不同的内存中调用不同的参数表进行启动。有效口令存放在NVRAM中,因此修改口令的实质是先让登记码不起作用,从而可以进行直接启动,完成后再将登记码恢复(如忘记恢复,路由器重新启动后修改的配置可能会丢失)。
  
  内存作用
  
  ROM存放系统的引导程序,类似PC机的BIOS,是一种只读存储器,系统掉电程序不会丢失闪存存放Cisco IOS的镜像,类似PC机的硬盘,是一种可擦写、可编程的ROM,系统掉电数据不会丢失NVRAM存放配置文件(Startupconfig)RAM存放当前系统使用配置(Runningconfig)DRAM主要包含路由表、ARP缓存、Fastswitch缓存、数据包缓存等,也包含正在执行的配置文件,系统掉电该内存数据会丢失表2Cisco系列路由器配置登陆码
  
  Configuration Register Value含义
  
  0X2102缺省设置
  
  Bit13=0X2000Flash引导失败5次后,自动从ROM引导
  
  Bit8=0X0100关闭Break键
  
  Boot field=0X20X2101从Flash中引导正常运行模式
  
  Bit13=0X2000Flash引导失败5次后,自动从ROM引导
  
  Bit8=0X0100关闭Break键
  
  Boot field=0X10X142进入boot ROM运行模式Router(boot)>
  
  Bit8=0X0040进入boot monitor运行模式>或rommon>
  
  Boot field=0X2从Flash中引导正常运行模式
  
  准备工作

  厂商在设计路由器产品的时候就预留了一个Console(控制台),它是对路由器进行配置时的一个重要接口,也是密码恢复的第一步工作:利用DB25转接口和交叉线,将终端或装有超级终端软件的PC接到路由器的Console口上。终端参数设置如下:速度:9 600 bps;数据位:8;奇偶校验位:无;停止位:1;流控:无。
  
  3800系列路由器(以801为例)具体操作方法
  
  (1)在启动的60 s内按下中断键Ctrl+Break,如果Break被屏蔽了可以使用循环开机的方法,使设备进入rom monitor状态,提示符号为“>”。
  
  (2)在rom monitor中输入set命令:
  
  记下当前的ios-conf值,这里是0x2102。
  
  Boot# set
  
  ……
  
  Set prompt=“boot”
  
  Set ios-conf=0X2102
  
  (3)输入set ios-conf 142,如下:boot# set ios-conf 142。
  
  (4)输入boot引导系统,如果设备在重启过程中要求进行初始化配置,一路回答“No”,如下所示:
  
  Boot# boot
  
  ……
  
  8kbytes of nonvolatile configuration
  
  memory
  
  8Mbytes of flash on board (4M from flash card)
  
  ——system configuration dialog——
  
  would you like to enter the initial configuration dialog?[yes/no]:n
  
  press reture to get started!(press enter)
  
  (5)输入回车,enable,再回车,进入enable状态,命令序列如下:
  
  Router>en
  
  Router#
  
  (6)输入config mem,调入原配置文件,并进入配置模式(注意:不要conf t),命令序列如下:
  
  Router# conf mem
  
  801(config)#
  
  (7)恢复原始配置寄存器值并激活所有端口:
  
  801#configure terminal
  
  801(config)#configregister0X2102
  
  801(config)#interface xx
  
  801(config)#no shutdow
  
  (8)查询并记录丢失的口令:
  
  801#show configuration (show startupconfig)
  
  (9)修改口令:
  
  801#configure terminal
  
  801(config)line console 0
  
  801(configline)#login
  
  801(configline)#password xxxxxxxxx
  
  801(configline)#
  
  801(configline)#write memory (copy runningconfig startupconfig)
  
  4Cisco2500系列路由器(以2509为例)具体操作方法
  
  (1)在启动的60 s内按下中断键Ctrl+Break,如果Break被屏蔽了可以使用循环开机的方法,使设备进入rom monitor状态。
  
  (2)在rom monitor中输入o命令:
  
  >o
  
  configuration register=0X2102 at last boot
  
  ……
  
  记下当前的Configuration register值,这里是0x2102,通常为0x2102或0x102。如果用命令不能获得有关提示,可以查看类似的路由器来获得配置寄存器的值或用0x2102试试。
  
  (3)输入“>o/r 0x0142”,更新Configuration register值,使路由器启动时跳过配置文件直接启动,以便原来的密码不起作用,具体操作如下:
  
  >o/r 0x0142
  
  (4)重新启动路由器:
  
  >I
  
  rommon 2>reset
  
  (5)在“Setup”模式,对所有问题回答“No”
  
  (6)进入特权模式:
  
  router>enable
  
  (7)下载NVRAM
  
  Router>configure memory
  
  (8)恢复原始配置寄存器值并激活所有端口:
  
  2509#configure terminal
  
  2509(config)#configregister 0X2102
  
  2509(config)#interface xx
  
  2509(config)#no shutdown
  
  (9)查询并记录丢失的口令:
  
  2509#show configuration (show startupconfig)
  
  (10)修改口令:
  
  2509#configure terminal
  
  2509(config)line console 0
  
  2509(configline)#login
  
  2509(configline)#password xxxxxxx
  
  2509(configline)#
  
  2509(configline)#write memory (copyrunningconfigstartupconfig)
  
  5Cisco2600系列路由器(以2611为例)具体操作方法
  
  (1)将路由器的口和计算机串口相连,启动计算机超级终端,开启路由器电源,在开机60s内按使路由器进入状态,提示符:rommon1>
  
  (2)在Rommon中输入:conf reg 0x42,如下所示:
  
  Rommon 1>conf reg 0x42
  
  (3)输入reset,命令如下:
  
  Rommon 2>reset
  
  (4)当提示是否进入对话配置时回答“no”(如误输入“yes”,立刻按Ctrl+c退出,出现“press return to get started!”按回车,进入rom模式router>。
  
  (5)键入enable命令进入exec状态,键入router#show config查看原路由器配置和未加密码口令,建议立刻做一文本备份文件,以免误操作将原路由器配置丢失。
  
  (6)下载NVRAM,将NVRAM模式中的参数表装入内存:
  
  Router# configuration memory
  
  (7)更改完毕一定要写入NVRAM中,否则路由器原配置会丢失以及改写口令无效:
  
  Router# write memory
  
  (8)将第3步查到的登记码还原,一般为0x2102(即从闪存正常启动,并屏蔽中断),并激活所有端口(系统会将所有端口自动shutdown):
  
  Router#configregister 0x2102
  
  Router?(config)#interface xx
  
  Router(configif)#no shutdown
  
  Router(configif)#ctrl-z
  
  (9)重新启动路由器:Router# reload。
  
  63600系列路由器(以3640为例)具体操作方法
  
  3640的密码恢复和26系列基本相似,都是进入监控模式,运行conf reg命令,启动时忽略配置文件,进行直接启动。此方法同样适用于4500、7500、12000系列路由器。
  
  7Cisco系列路由器进入rom状态的几种方法
  
  对于Cisco的各种路由器进入rom状态的方法不尽相同,但一般通过如下3种方法可以进入rom状态,在使用过程中可以分别试用。
  
  (1)如果Break未被屏蔽,可以在开机60 s内按Ctrl+Break键中断启动过程,进入rom状态。
  
  (2)如果Break键已经屏蔽,可以通过循环开机的方法进入rom状态,方法是:路由器开机后,将电源关闭,间隔5 s后重新开机,一般会进入rom状态。此方法适用于7500、12000等路由器。
  
  (3)将超级终端通信波特率设置为1200,数据位8,奇偶位1,停止位无。开启路由器电源,启动后关机,5 s后重新开机,同时一直按住空格键12 s后放开,等路由器启动完成后,重新更改超级终端位默认值,通信波特率设置为9600,数据位8,奇偶位1,停止位1。重新连接后,从终端上可以看到已经进入rom状态。注意:在波特率为1200时,终端上没有内容显示。此方法适用于2500、2600、4500等系列路由器。
  
  结束语

  作为3层设备,路由器是一种技术含量很高的网络设备,涉及到各种协议,技术面较广。熟练运用各种路由器,及时处理各种突发故障,对维护网路的正常运转有着重要意义。本文仅就Cisco各系列路由器中的典型型号的密码恢复方法进行介绍,但对于解决Cisco各系列路由器的类似问题,其具体操作也类似。

TOP

garnett_wu

版主

Rank: 9Rank: 9Rank: 9

UID
93352 
帖子
10832 
精华
22 
积分
5950 
菊花元
4350 元 
威望
32 点 
阅读权限
100 
在线时间
2159 小时 
注册时间
2006-1-16 
最后登录
2008-7-24 
44楼 发表于 2007-5-7 20:37  只看该作者

利用打环技术 排除网络线路故障简介

在广域网络互联中,经常遇到物理线路有问题的情况,或者物理线路虽然连通,但上层网络协议不稳定的情况.这时候,需要我们采取各种的方法来排除故障。 推荐经常用到的一个有关打环的技术--loop,从它名称可以看出,所谓打环就是将网络设备的发送端经过一个环路环回到此设备的接收端。这个环路可以是一个远程的环,远环;或者可以 是自己设备内部的一个环,内环。环路的形成根据设备的不同情况,可能是逻辑上处理或者物理上来做.比如可能需要在DTU设备上做某几个针脚的短接,也可能只需要在某cisco路由器中设置一条命令就可以,命令格式:
interface pos 1/0 loop line or.. interface pos 1/0 loop internal
打上环路后,用show interface XX,可以查看环路的状态,在interface下将会出现一个(looped),如果在interface可以立即反映的话,就一切OK,否则的话,如在配置上没有错误的话,便是线路十分的不好,哈,哈,可以和电信服务商联系了。 硬件打环的话,常一个称之为,“环路塞子”接上SO口就行了。 在调路由的时候经常会遇到与电信配合做的情况,但又不能太麻烦电信所以最好配一个V35环路头,很有用的。 买一个V35公头,塑胶块上标有34P,如果是34S就是母的。线序如下:
C_F D_J E_H P_R S_T U_V W_X AA_KK HH_Y

TOP

garnett_wu

版主

Rank: 9Rank: 9Rank: 9

UID
93352 
帖子
10832 
精华
22 
积分
5950 
菊花元
4350 元 
威望
32 点 
阅读权限
100 
在线时间
2159 小时 
注册时间
2006-1-16 
最后登录
2008-7-24 
45楼 发表于 2007-5-24 11:39  只看该作者

访问列表应用示例一

示例一: 带Established选项的扩展访问列表

拓扑:

R2-(S2/0)-----------------(S2/0)-R1(S2/1)---------------(S2/1)-R3


带有Established的扩展访问列表允许内部用户访问外部网络,而拒绝外部网络访问内部网络,而没带Established的标准访问列表和扩展访问列表没有这个特性.
这个示例首先用OSPF来使全网互联.

R1:

r1#sh run
*Mar 1 00:25:17.275: %SYS-5-CONFIG_I: Configured from console by console
Building configuration...

Current configuration : 1410 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname r1
!
logging queue-limit 100
!
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
mpls ldp logging neighbor-changes
!
!
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial2/0
ip address 12.1.1.1 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-point
serial restart_delay 0
frame-relay map ip 12.1.1.2 102 broadcast
no frame-relay inverse-arp
!
interface Serial2/1
ip address 13.1.1.1 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-point
serial restart_delay 0
frame-relay map ip 13.1.1.3 113 broadcast
!
interface Serial2/2
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/3
no ip address
shutdown
serial restart_delay 0
!
router ospf 10
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
!
ip http server
no ip http secure-server
ip classless
!
!
!
!
!
call rsvp-sync
!
!
mgcp profile default
!
!
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
no login
!
!
end






R2:

r2#sh run
Building configuration...

*Mar 1 00:27:29.871: %SYS-5-CONFIG_I: Configured from console by console
Current configuration : 1298 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname r2
!
logging queue-limit 100
!
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
mpls ldp logging neighbor-changes
!
!
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface Loopback0
ip address 2.2.2.2 255.255.255.0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial2/0
ip address 12.1.1.2 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-point
serial restart_delay 0
frame-relay map ip 12.1.1.1 201 broadcast
no frame-relay inverse-arp
!
interface Serial2/1
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/2
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/3
no ip address
shutdown
serial restart_delay 0
!
router ospf 10
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
!
ip http server
no ip http secure-server
ip classless
!
!
!
!
!
call rsvp-sync
!
!
mgcp profile default
!
!
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
no login
!
!
end





r3

r3#sh run
Building configuration...

Current configuration : 1298 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname r3
!
logging queue-limit 100
!
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
mpls ldp logging neighbor-changes
!
!
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface Loopback0
ip address 3.3.3.3 255.255.255.0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial2/0
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/1
ip address 13.1.1.3 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-point
serial restart_delay 0
frame-relay map ip 13.1.1.1 311 broadcast
no frame-relay inverse-arp
!
interface Serial2/2
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/3
no ip address
shutdown
serial restart_delay 0
!
router ospf 10
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
!
ip http server
no ip http secure-server
ip classless
!
!
!
!
!
call rsvp-sync
!
!
mgcp profile default
!
!
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
no login
!
!
end

TOP

garnett_wu

版主

Rank: 9Rank: 9Rank: 9

UID
93352 
帖子
10832 
精华
22 
积分
5950 
菊花元
4350 元 
威望
32 点 
阅读权限
100 
在线时间
2159 小时 
注册时间
2006-1-16 
最后登录
2008-7-24 
46楼 发表于 2007-5-24 11:40  只看该作者

访问列表应用示例二

监视和测试配置:
我们让R2作为内部网络,R3作为内部网络,以下配置使R2发起访问R3没问题,从R3访问R2则被拒绝.注意这个配置方案是针对基于TCP的应用,任何TCP通讯都是双向的,从R2发起的访问外部网络之后,外部网络的流量得以通过,这个时候TCP报文,ACK或RST位被设置为1

R1(configure)access-list 101 permit tcp any any established log-input
R1(configure)access-list 101 permit ospf any any
R1(configure)access-list 101 deny ip any any log-input
R1(configure)int s2/1
R1(configure-if)ip access-group 101 in

以上log-input是为了显示监视数据报文被过滤的情况,接下来用debug ip packet detailed来监视报文经过R1的情况,应该路由器还有OSPF报文产生,因此我们对DEBUG信息做了限制.

r1(config)#access-list 102 permit tcp any any

我们这样做 让R2发起telnet访问R3
r1#telnet 3.3.3.3
Trying 3.3.3.3 ... Open

r3>
*Mar 1 00:55:53.003: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.003: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 44, sending
*Mar 1 00:55:53.007: TCP src=11001, dst=23, seq=2398697781, ack=0, win=4128 SYN
*Mar 1 00:55:53.179: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 3.3.3.3(23) (Serial2/1 ) -> 13.1.1.1(11001), 1 packet
*Mar 1 00:55:53.183: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), routed via RIB
*Mar 1 00:55:53.183: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 44, rcvd 3
*Mar 1 00:55:53.187: TCP src=23, dst=11001, seq=949632690, ack=2398697782, win=4128 ACK SYN
*Mar 1 00:55:53.187: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.191: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 40, sending
*Mar 1 00:55:53.191: TCP src=11001, dst=23, seq=2398697782, ack=949632691, win=4128 ACK
*Mar 1 00:55:53.199: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.203: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 49, sending
*Mar 1 00:55:53.203: TCP src=11001, dst=23, seq=2398697782, ack=949632691, win=4128 ACK PSH
*Mar 1 00:55:53.207: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.211: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 40, sending
*Mar 1 00:55:53.215: TCP src=11001, dst=23, seq=2398697791, ack=949632691, win=4128 ACK
*Mar 1 00:55:53.455: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), routed via RIB
*Mar 1 00:55:53.455: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 52, rcvd 3
*Mar 1 00:55:53.459: TCP src=23, dst=11001, seq=949632691, ack=2398697791, win=4119 ACK PSH
*Mar 1 00:55:53.459: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), routed via RIB
*Mar 1 00:55:53.463: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 45, rcvd 3
*Mar 1 00:55:53.467: TCP src=23, dst=11001, seq=949632703, ack=2398697791, win=4119 ACK PSH
*Mar 1 00:55:53.467: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), routed via RIB
*Mar 1 00:55:53.471: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 43, rcvd 3
*Mar 1 00:55:53.471: TCP src=23, dst=11001, seq=949632708, ack=2398697791, win=4119 ACK PSH
*Mar 1 00:55:53.475: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), routed via RIB
*Mar 1 00:55:53.479: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 46, rcvd 3
*Mar 1 00:55:53.479: TCP src=23, dst=11001, seq=949632711, ack=2398697791, win=4119 ACK PSH
*Mar 1 00:55:53.483: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.487: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 43, sending
*Mar 1 00:55:53.487: TCP src=11001, dst=23, seq=2398697791, ack=949632717, win=4102 ACK PSH
*Mar 1 00:55:53.491: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.495: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 43, sending
*Mar 1 00:55:53.495: TCP src=11001, dst=23, seq=2398697794, ack=949632717, win=4102 ACK PSH
*Mar 1 00:55:53.499: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.503: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 49, sending
*Mar 1 00:55:53.503: TCP src=11001, dst=23, seq=2398697797, ack=949632717, win=4102 ACK PSH
*Mar 1 00:55:53.659: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), routed via RIB
*Mar 1 00:55:53.663: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 43, rcvd 3
*Mar 1 00:55:53.663: TCP src=23, dst=11001, seq=949632717, ack=2398697797, win=4113 ACK PSH
*Mar 1 00:55:53.867: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.867: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 40, sending
*Mar 1 00:55:53.871: TCP src=11001, dst=23, seq=2398697806, ack=949632720, win=4099 ACK
*Mar 1 00:55:53.963: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), routed via RIB
*Mar 1 00:55:53.967: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 40, rcvd 3
*Mar 1 00:55:53.967: TCP src=23, dst=11001, seq=949632720, ack=2398697806, win=4104 ACK




注意R3返回R2的数据报文得以通过,接下来我们测试从R3发起访问R2的情况




r3#telnet 2.2.2.2
Trying 2.2.2.2 ...
% Destination unreachable; gateway or host down
r1#
*Mar 1 01:02:22.779: %SEC-6-IPACCESSLOGP: list 101 denied tcp 13.1.1.3(11002) (Serial2/1 ) -> 2.2.2.2(23), 1 packet
*Mar 1 01:02:22.783: IP: s=13.1.1.3 (Serial2/1), d=2.2.2.2, len 44, access denied
*Mar 1 01:02:22.783: IP: tableid=0, s=13.1.1.1 (local), d=13.1.1.3 (Serial2/1), routed via RIB
*Mar 1 01:02:22.787: IP: s=13.1.1.1 (local), d=13.1.1.3 (Serial2/1), len 56, sending
*Mar 1 01:02:24.139: IP: s=12.1.1.2 (Serial2/0), d=224.0.0.5, len 80, rcvd 0
*Mar 1 01:02:24.315: IP: s=13.1.1.1 (local), d=224.0.0.5 (Serial2/1), len 80, sending broad/multicast
*Mar 1 01:02:25.139: IP: s=12.1.1.1 (local), d=224.0.0.5 (Serial2/0), len 80, sending broad/multicast


注意,TCP协议的第一次发送是SYN字段,这是用来同步准备建立一个新连接的两端主机,而ACK位由接收者置位从而向发送者表明数据已经成功接收.RST(reset)位说明什么时候重新启动连接.带Eetablished的扩展访问列表只允许ACK或RST位置1的TCP报文通过.

TOP

garnett_wu

版主

Rank: 9Rank: 9Rank: 9

UID
93352 
帖子
10832 
精华
22 
积分
5950 
菊花元
4350 元 
威望
32 点 
阅读权限
100 
在线时间
2159 小时 
注册时间
2006-1-16 
最后登录
2008-7-24 
47楼 发表于 2007-5-26 23:28  只看该作者

关于PIX的配置及注解

: Saved
  :
  PIX Version 6.3(1)
  interface ethernet0 auto 设定端口0 速率为自动
  interface ethernet1 100full 设定端口1 速率为100兆全双工
  interface ethernet2 auto 设定端口2 速率为自动
  nameif ethernet0 outside se curity0 设

定端口0 名称为 outside 安全级别为0
  nameif ethernet1 inside security100 设定端口1 名称为 inside 安全级别为100
  nameif ethernet2 dmz security50 设定端口2 名称为 dmz 安全级别为50
  enable password Dv0yXUGPM3Xt7xVs encrypted 特权密码
  passwd 2KFQnbNIdI.2KYOU encrypted 登陆密码
  hostname hhyy 设定防火墙名称
  fixup protocol ftp 21
  fixup protocol h323 h225 1720
  fixup protocol h323 ras 1718-1719
  fixup protocol http 80
  fixup protocol ils 389
  fixup protocol rsh 514
  fixup protocol rtsp 554
  fixup protocol sip 5060
  fixup protocol sip udp 5060
  no fixup protocol skinny 2000
  fixup protocol smtp 25
  fixup protocol sqlnet 1521

  允许用户查看、改变、启用或禁止一个服务或协议通过PIX防火墙,防火墙默认启用了一些常见的端口,但对于ORACLE等专有端口,需要专门启用。

  names
  access-list 101 permit ip 192.168.99.0 255.255.255.0 192.168.170.0 255.255.255.0
  access-list 101 permit ip 192.168.12.0 255.255.255.0 192.168.180.0 255.255.255.0
  access-list 101 permit ip 192.168.23.0 255.255.255.0 192.168.180.0 255.255.255.0
  access-list 101 permit ip 192.168.99.0 255.255.255.0 192.168.101.0 255.255.255.0

  建立访问列表,允许特定网段的地址访问某些网段

  access-list 120 deny icmp 192.168.2.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.3.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.4.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.5.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.6.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.7.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.8.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.9.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.10.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.11.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.12.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.13.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.14.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.15.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.16.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.17.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.18.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.19.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.20.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.21.0 255.255.255.0 any
  access-list 120 deny icmp 192.168.22.0 255.255.255.0 any
  access-list 120 deny udp any any eq netbios-ns
  access-list 120 deny udp any any eq netbios-dgm
  access-list 120 deny udp any any eq 4444
  access-list 120 deny udp any any eq 1205
  access-list 120 deny udp any any eq 1209
  access-list 120 deny tcp any any eq 445
  access-list 120 deny tcp any any range 135 netbios-ssn
  access-list 120 permit ip any any

  建立访问列表120防止各个不同网段之间的ICMP发包及拒绝135、137等端口之间的通信(主要防止冲击波病毒)

  access-list 110 permit ip 192.168.99.0 255.255.255.0 192.168.101.0 255.255.255.0

  pager lines 24
  logging on
  logging monitor debugging
  logging buffered debugging
  logging trap notifications
  mtu outside 1500
  mtu inside 1500
  mtu dmz 1500
  ip address outside 10.1.1.4 255.255.255.224 设定外端口地址
  ip address inside 192.168.1.254 255.255.255.0 设定内端口地址
  ip address dmz 192.168.19.1 255.255.255.0 设定DMZ端口地址
  ip audit info action alarm
  ip audit attack action alarm
  ip local pool hhyy 192.168.170.1-192.168.170.254

  建立名称为hhyy的地址池,起始地址段为:192.168.170.1-192.168.170.254

  ip local pool yy 192.168.180.1-192.168.180.254

  建立名称为yy 的地址池,起始地址段为:192.168.180.1-192.168.180.254

  no failover
  failover timeout 0:00:00
  failover poll 15
  no failover ip address outside
  no failover ip address inside
  no failover ip address dmz
  no pdm history enable
  arp timeout 14400
不支持故障切换

  global (outside) 1 10.1.1.13-10.1.1.28
  global (outside) 1 10.1.1.7-10.1.1.9
  global (outside) 1 10.1.1.10

  定义内部网络地址将要翻译成的全局地址或地址范围

  nat (inside) 0 access-list 101

  使得符合访问列表为101地址不通过翻译,对外部网络是可见的

  nat (inside) 1 192.168.0.0 255.255.0.0 0 0

  内部网络地址翻译成外部地址

  nat (dmz) 1 192.168.0.0 255.255.0.0 0 0

  DMZ区网络地址翻译成外部地址

  static (inside,outside) 10.1.1.5 192.168.12.100 netmask 255.255.255.255 0 0
  static (inside,outside) 10.1.1.12 192.168.12.158 netmask 255.255.255.255 0 0
  static (inside,outside) 10.1.1.3 192.168.2.4 netmask 255.255.255.255 0 0

  设定固定主机与外网固定IP之间的一对一静态转换

  static (dmz,outside) 10.1.1.2 192.168.19.2 netmask 255.255.255.255 0 0

  设定DMZ区固定主机与外网固定IP之间的一对一静态转换

  static (inside,dmz) 192.168.0.0 192.168.0.0 netmask 255.255.0.0 0 0

  设定内网固定主机与DMZ IP之间的一对一静态转换

  static (dmz,outside) 10.1.1.29 192.168.19.3 netmask 255.255.255.255 0 0

  设定DMZ区固定主机与外网固定IP之间的一对一静态转换

  access-group 120 in interface outside
  access-group 120 in interface inside
  access-group 120 in interface dmz

  将访问列表应用于端口

  conduit permit tcp host 10.1.1.2 any
  conduit permit tcp host 10.1.1.3 any
  conduit permit tcp host 10.1.1.12 any
  conduit permit tcp host 10.1.1.29 any

  设置管道:允许任何地址对全局地址进行TCP协议的访问

  conduit permit icmp 192.168.99.0 255.255.255.0 any

  设置管道:允许任何地址对192.168.99.0 255.255.255.0地址进行PING测试

  rip outside passive version 2
  rip inside passive version 2
  route outside 0.0.0.0 0.0.0.0 10.1.1.1

  设定默认路由到电信端

  route inside 192.168.2.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.3.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.4.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.5.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.6.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.7.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.8.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.9.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
  route inside 192.168.11.0 255.255.255.0 192.168.1.1 1

  设定路由回指到内部的子网

  timeout xlate 3:00:00
  timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225
  1:00:00
  timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
  timeout uauth 0:05:00 absolute
  aaa-server TACACS+ protocol tacacs+
  aaa-server RADIUS protocol radius
  aaa-server LOCAL protocol local
  no snmp-server location
  no snmp-server contact
  snmp-server community public
  no snmp-server enable traps
  floodguard enable
  sysopt connection permit-ipsec
  sysopt connection permit-pptp
  service resetinbound
  service resetoutside
  crypto ipsec transform-set myset esp-des esp-md5-hmac

  定义一个名称为myset的交换集

  crypto dynamic-map dynmap 10 set transform-set myset

  根据myset交换集产生名称为dynmap的动态加密图集(可选)

  crypto map vpn 10 ipsec-isakmp dynamic dynmap

  将dynmap动态加密图集应用为IPSEC的策略模板(可选)

  crypto map vpn 20 ipsec-isakmp

  用IKE来建立IPSEC安全关联以保护由该加密条目指定的数据流

  crypto map vpn 20 match address 110

  为加密图指定列表110作为可匹配的列表

  crypto map vpn 20 set peer 10.1.1.41

  在加密图条目中指定IPSEC对等体

  crypto map vpn 20 set transform-set myset

  指定myset交换集可以被用于加密条目

  crypto map vpn client configuration address initiate

  指示PIX防火墙试图为每个对等体设置IP地址

  crypto map vpn client configuration address respond

  指示PIX防火墙接受来自任何请求对等体的IP地址请求

  crypto map vpn interface outside

  将加密图应用到外部接口
isakmp enable outside

  在外部接口启用IKE协商

  isakmp key ******** address 10.1.1.41 netmask 255.255.255.255

  指定预共享密钥和远端对等体的地址

  isakmp identity address

  IKE身份设置成接口的IP地址

  isakmp client configuration address-pool local yy outside
  isakmp policy 10 authentication pre-share

  指定预共享密钥作为认证手段

  isakmp policy 10 encryption des

  指定56位DES作为将被用于IKE策略的加密算法

  isakmp policy 10 hash md5

  指定MD5 (HMAC变种)作为将被用于IKE策略的散列算法

  isakmp policy 10 group 2

  指定1024比特Diffie-Hellman组将被用于IKE策略

  isakmp policy 10 lifetime 86400

  每个安全关联的生存周期为86400秒(一天)

  vpngroup cisco idle-time 1800
  vpngroup pix_vpn address-pool yy
  vpngroup pix_vpn idle-time 1800
  vpngroup pix_vpn password ********
  vpngroup 123 address-pool yy
  vpngroup 123 idle-time 1800
  vpngroup 123 password ********
  vpngroup 456 address-pool yy
  vpngroup 456 idle-time 1800
  vpngroup 456 password ********
  telnet 192.168.88.144 255.255.255.255 inside
  telnet 192.168.88.154 255.255.255.255 inside
  telnet timeout 5
  ssh timeout 5
  console timeout 0
  vpdn group 1 accept dialin pptp
  vpdn group 1 ppp authentication pap
  vpdn group 1 ppp authentication chap
  vpdn group 1 ppp authentication mschap
  vpdn group 1 ppp encryption mppe 40
  vpdn group 1 client configuration address local hhyy
  vpdn group 1 pptp echo 60
  vpdn group 1 client authentication local
  vpdn username cisco password *********
  vpdn enable outside
  username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 2
  vpnclient vpngroup cisco_vpn password ********
  vpnclient username pix password ********
  terminal width 80
  Cryptochecksum:9524a589b608c79d50f7c302b81bdfa4b

TOP

garnett_wu

版主

Rank: 9Rank: 9Rank: 9

UID
93352 
帖子
10832 
精华
22 
积分
5950 
菊花元
4350 元 
威望
32 点 
阅读权限
100 
在线时间
2159 小时 
注册时间
2006-1-16 
最后登录
2008-7-24 
48楼 发表于 2007-5-26 23:37  只看该作者

EIGRP效率

在集中星型网络中扩展EIGRP邻接点

EIGRP在集中星型网络中的工作方式 < BR>1 在集中星型网络中,查询流程通常会对EIGRP扩展产生严重的影响。集中路由器必须为每个被其标为有效的路由发送和跟踪查询。
尽管很多人习惯数羊入睡,但是大部分网络工程师在睡前可以数很多其他的事物,例如IETF RFC,或者他们可以连接到一个集中星型增强边界网关路由协议(EIGRP)网络的远程地点的数量。在一个集中星型网络中您可以拥有多少个EIGRP邻接点?通过学习最新的最佳实践和测试,您可以解决这个问题。
固有模式双宿主EIGRP集中星型
要想知道EIGRP通常在一个集中星型网络中的工作方式,请参阅图1中显示的一组简单的网络事件。
  • A失去与192.168.1.0/24的连接,将路由标为有效,向每个邻接点发送查询。B、C、D和E将路由标为有效,向它们的邻接点发送查询。
  • 这时,工作时间取决于链接的速度、路由器的类型、路由器处理器的负荷和其他一些因素。对于这个例子,假定C、D和E查询B,那么之后B就可以向远程邻接点发送它的查询。
  • B现在从所有邻接点那里都收到了查询,因此它将192.168.1.0/24标为不可到达,并向它的所有邻接点发送回复。
  • C、D和E现在没有任何路径通往192.168.1.0/24,因此它们将其标为不可到达,并发送回复到A。
  • 在A收到这些回复之后,它确认没有任何路径可以通往192.168.1.0/24,因此A将该路由从它的本地路由表中去除,并用一个无限指标发送对于192.168.1.0/24的更新。

如您所看到的,集中星型网络上的EIGRP扩展会受到查询流程的严重影响。集中路由器必须为每个被其标为有效的路由发送和跟踪查询。
过滤远程邻接点
为了提高EIGRP在集中星型网络中的扩展能力,网络管理员可以采取的第一步措施是通过过滤和汇聚,减少发送到远程邻接点的路由的数量。这可以减少需要发送的查询和答复,即使在这个简单的网络中(如图2所示)。假定路由器A和B都在过滤或者汇聚路由信息,以使得缺省路由0.0.0.0/0成为唯一发送到远程路由器C、D和E的路由。
  • A失去与192.168.1.0/24的连接,将该路由标为有效,向每个邻接点发送查询。
  • B确定唯一通往192.168.1.0/24的路径是经由A。为什么这么说呢?因为C、D和E甚至都没有收到该路由器,因此它们不会向B发送回复。
  • C、D和E没有通往192.168.1.0/24的替代路由,因此它们向A发送回复。路由器A收到这些答复,并注意到所有接受查询的邻接点都发出了答复。A将该路由标为不可到达,并将其从本地路由表中移除。

另外,通过将远程路由器配置为EIGRP末端,可以大幅度降低处理量。

2 利用过滤进行EIGRP有效处理
过滤和汇聚是在集中星型网络上提高EIGRP扩展能力的有效手段,因为这可以减少发送到远程邻接点的路由数量。
EIGRP末端路由器
对于这个小型网络,有一点非常明显:远程路由器决不会被用于在两个集中路由器之间传输流量。因此,远程路由器C、D和E决不会拥有指向任何一个已经被集中路由器知晓,可以通过任何其他路径到达的目的地的替代路径。因此,两台集中路由器没有必要查询远程路由器。
EIGRP末端功能源自于这样的假定:即一台被设置为EIGRP末端的路由器会通报它的邻接点,它不会拥有任何有效的替代路径,因此它们没有必要再查询该末端路由器。对于上面所给出的这个小型网络,如果将远程路由器C、D、E配置为EIGRP末端路由器,那么当A失去一个路由器,处理流程将会是怎样的?请参考图2。
  • A失去与192.168.1.0/24的连接。
  • A将该路由标为有效,检查它的每个邻接点,确定哪个邻接点拥有指向192.168.1.0/24的替代路径。因为C、D和E都已经宣告自身为末端路由器,A不需要查询这些邻接点。A向B发出一个查询。
  • B只有一条指向192.168.1.0/24的路径,即经由A。因此,它会将该路径标为不可到达,向A发出一个回复。为什么呢?因为C、D和E都已经宣告自身为末端路由器,这意味着它们不可能拥有替代路径。
  • 路由器A收到B所发出的回复,将该路由标为不可到达,再将其从本地路由表中移除。

通过将远程路由器设置为EIGRP末端,可以大幅度降低集中路由器的处理量。这可以带来怎样的变化?
设置和不设置末端路由器时的邻接点数量
这个问题有两个答案,一个建立在实际经验的基础上,另外一个则基于实验室测试。在不将远程路由器设置为EIGRP末端路由器的实际部署中,最大规模的部署是有大约200个邻接点,它们都是配有快速处理器的Cisco 7200和Cisco 7600系列路由器。扩展这些部署的主要决定因素通常是集中星形路由器之间的连接带宽,以及集中路由器的处理要求。达到这样的邻接点数量的主要机制是汇聚或者路由器过滤。
相比之下,将远程路由器配置为EIGRP末端的部署通常会达到多达800台(甚至更多)远程路由器,并使用相同的集中处理器。还有一些规模特别大的部署实例。同样,这些网络的扩展在很大程度上依赖于对远程路由器的汇聚和过滤;如果向远程路由器发送的路由增加,集中和远程路由器之间的可用带宽减少,集中和远程处理器的处理能力减弱,都会降低可以支持的邻接点的数量。
对比这两种部署类型,在将远程路由器设置为EIGRP末端时支持的邻接点数量与不这样做的邻接点数量的比例大约为4:1。
位于北卡罗来纳州研究三角园区的思科路由协议验证实验室对大规模集中星型EIGRP网络进行了测试。有趣的是,测试结果与实际网络中的稳定性程度非常接近。
在使用标准EIGRP(即不设置末端路由器,不采用汇聚或者过滤方法)时,网络会在连接了250到300个邻接点时开始失去稳定性。这时,网络会用大约9分钟的时间进行重新融合,如果某个集中路由器发生故障,则需要花费几个小时的时间进行融合。
通过将双宿主远程路由器设置为末端路由器,网络会在连接了800到1200个邻接点时才失去稳定性。网络会用大约9分钟的时间进行重新融合,如果某个集中路由器发生故障,会在大约30秒内完成融合。
实际上,在大规模集中星型EIGRP网络上进行的实验室测试的结果与实际情况非常接近。主要区别在于远程地点和集中路由器之间的流量等级。实验室测试突显了在将远程地点设为末端路由器之后融合时间的变化;这是我们在实际条件下无法测试的,因为在大部分情况下,实际流量都会穿越网络。我们还可以看到,在一个大型EIGRP集中星型网络中,分支和非分支邻接点的比例约为4:1。
包含多台路由器的远程地点
如果想要在单个地点配备两台或者三台路由器的网络上扩展到大量的EIGRP邻接点,会面临一个特殊的挑战。图3显示了这种情况。
在这个网络中,路由器A和B是中心,C和D被连接到同一个地点,而E和F则被连接到另外一个地点。如果路由器C被设置为末端路由器,它将不会向路由器D广播192.168.1.0/24,因此这个地点在内部并没有建立起完全的连接。同样,如果从路由器D到B的连接发生中断,C将不会广播任何从A获知的路由,包括缺省路由,因而任何连接到路由器D的主机将无法连接到任何位于集中路由器之后的设备。
这是否意味着,因为多路由器远程地点的路由器不能配置为末端路由器,多路由器地点无法用与单路由器双宿主地点相同的方式进行扩展?实际上,Cisco IOS软件中的一项新的EIGRP功能允许路由器被设置为末端路由器,同时向一台对等路由器提供特定的前缀。在这种情况下,我们可以将路由器C设置为末端路由器,同时通过设置,让其可以将从路由器A处获悉的缺省路由器和本地连接网络192.168.1.0/24广播到路由器D。同样,路由器D可以设置为一台末端路由器,同时可以向路由器C广播本地连接网络和从路由器B处获悉的缺省路由。
下面的配置显示了怎样在网络中设置一个EIGRP leak-map。
route eigrp 100
eigrp stub connected summary leak-map stubsite
!
route-map stubsite permit 10
match ip prefix-list default
match interface e0/0
route-map foo permit 20
match ip prefix-list localroutes
match interface s0/0
!
ip prefix-list default permit 0.0.0.0/0
!
ip prefix-list localroutes permit 192.168.2.0/23 ge
/24


典型的双宿主远程地点
3 地点1没有建立完全的连接,因为路由器C被设置为一个末端路由器,但是不能向路由器D广播IP地址。

有效处理-多末端地点
4 在多路由器地点被设置为末端时,集中路由器会将它们视为等同于只有一个被设为末端的路由器的远程地点。
在这种配置中,前缀列表包含了地址空间的不同部分,从集中路由器到远程地点路由器的缺省路由,以及指向中心的本地路由器。接口匹配会结合广播到面向集中路由器或者其他远程地点路由器的接口的路由。
这是否改变了集中路由器对待远程地点的方式?图4通过显示双宿主多路由器地点中的有效流程,表明了这种区别。
A失去与10.1.1.0/24的连接,将路由标为有效,检查它的每个邻接点,看它们是否有指向10.1.1.0/24的替代路由。因为C已经宣告自己为末端路由器,A不需要查询该邻接点。因此,A向B发送查询。
B检查它的本地路由表,发现它指向10.1.1.0/24的唯一路径是直接经过A。因为D已经宣告自己为末端路由器,B没有必要再查询D是否有指向10.1.1.0/24的替代路由。
路由器A收到来自B的答复,将该路由标为不可到达,并将其从本地路由表中移除。
这个步骤与前面所提到的几乎完全一样;这是因为,在多路由器地点被设置为末端时,集中路由器会将它们视为等同于只有一个被设为末端的路由器的远程地点。
如果您习惯于数着EIGRP邻接点的数量入睡,而且您已经正确地设计了网络,那么您可以通过很高的邻接点数量,避免任何的失眠问题。邻接点数量的增多不仅有助于您的睡眠,而且还可以让您确信,您的网络能够承担很高的负荷。关键在于限制EIGRP向每个远程地点广播的信息,以及将远程地点配置为EIGRP末端。将来,还会有更加先进的EIGRP功能被采用,从而进一步加强EIGRP扩展能力,增加网络中的邻接点数量。 (英文原文请参看:http://www.nxtbook.com/nxtbooks/cisco/packet-1q-06/ )

[ 本帖最后由 garnett_wu 于 2007-6-12 23:53 编辑 ]

TOP

garnett_wu

版主

Rank: 9Rank: 9Rank: 9

UID
93352 
帖子
10832 
精华
22 
积分
5950 
菊花元
4350 元 
威望
32 点 
阅读权限
100 
在线时间
2159 小时 
注册时间
2006-1-16 
最后登录
2008-7-24 
49楼 发表于 2007-6-3 11:33  只看该作者

浮动路由技术

这个实验:上面的主链路运行的是OSPF协议,下面的备份用的是静态路由,要是正常我们配置完了,那么下面的
ISDN将成为主链路了,因为静态路由的AD=1 ,而上面的主链路运行的是OSPF=110,要是想避免这种问题的话我们
要用浮动静态路由技术,也就是说把下面的备份链路使用是的静态路由的AD值给设置大一些没,让它的AD大过OSPF
的AD,这样在路由表里面计算出来的最佳路径就是OSPF的路径了,也实现了 我们这次实验的目的!
r1
r1(config)#int lo0
r1(config-if)#ip add 1.1.1.1 255.255.255.0
r1(config-if)#int e0
r1(config-if)#ip add 192.168.1.1 255.255.255.0
r1(config-if)#no shu
r1(config-if)#exit
r1(config)#username r2 password cisco
r1(config)#isdn swiwch-type basic-net3
r1(config)#dialer-list 7 protocol ip permit
r1(config)#int bri 0
r1(config-if)#ip add 172.168.1.1 255.255.255.0
r1(config-if)#no shut
r1(config-if)#dialer map ip 172.168.1.2 name r2 broadcast ########
r1(config-if)#encapsulation ppp
r1(config-if)#ppp authencapion chap
r1(config-if)#dialer-group 7
r1(config-if)#dialer idle-timeout 160
r1(config)#ip route 6.6.6.6 255.255.255.0 172.168.1.2 130
r1(config)#router ospf 10
r1(config-router)#net 192.168.1.1 0.0.0.0 area 0
r1(config-router)#net 1.1.1.1 0.0.0.0 area0
r2
r6(config)#int lo0
r6(config-if)#ip add 6.6.6.6 255.255.255.0
r6(config-if)#int e0
r6(config-if)#ip add 192.168.1.2 255.255.255.0
r6(config-if)#no shut
r6(config-if)#exit
r6(config)#username r1 passwork cisco
r6(config)#isdn switch-type basci-net3
r6(config)#dialer-list 2 protocol ip permit
r6(config)#int bei 0
r6(config-if)#ip add 172.168.1.2 255.255.255.0
r6(config-if)#no shu
r6(config-if)#encapsulation ppp
r6(config-if)#ppp auhtencapion chap
r6(config-if)#dialer-group 2
r6(config-if)#dialer map ip 172.168.1.1 name r1 broadcast ########
r6(config-if)#dialer idle-timeout 160
r6(config-if)#exit
r6(config)#ip route 1.1.1.1 255.255.255.0 172.168.1.1 130
r6(config)#router ospf 10
r6(config-router)#net 192.168.1.2 0.0.0.0 area 0
r6(config-router)#net 6.6.6.6 0.0.0.0 area 0

TOP

garnett_wu

版主

Rank: 9Rank: 9Rank: 9

UID
93352 
帖子
10832 
精华
22 
积分
5950 
菊花元
4350 元 
威望
32 点 
阅读权限
100 
在线时间
2159 小时 
注册时间
2006-1-16 
最后登录
2008-7-24 
50楼 发表于 2007-6-12 23:52  只看该作者

ip default-network同静态路由的区别

对于一些准备CCNA和CCNP的人来说,配置一条静态路由和使用思科的命令IP default-network的区别是一个令人迷惑的地方。

初一看,他们都是一样的。结果都是配置一个目的地,使得路由器知道如果一个包在路由表中没有指定的路由的话,这个包将会被发往何地。


 他们之间的主要区别是:配置一条静态缺省路由仅是为你在配置的路由器定义一条路由,
而ip default-network将通过使用的路由协议进行传播。

下面,我们在一个星形网络(hub-and-spoke network)中来试验ip default-network命令。R1为中心,R2和R3叶子。他们通过网络172.12.123.0/24连接起来,而且每台路由器都根据它的路由器号码被配置了32位掩码的LOOPBACK地址(1.1.1.1/32,等等)。路由协议使用RIP协议,LOOPBACK地址在网络中被广播。 R1路由器配置有一个串口,地址为10.1.1.1/24,这个网络被通过使用命令ip default-network 10.0.0.0命令,配置为一条缺省网络。它还没有被RIP广播。
接下来,路由协议广播了这条路由。使用RIP,缺省网络被广播为0.0.0.0(如果使用了IGRP,它会显示网络号,但是被标识成IGRP的外部路由)。这个路由被指定为R1的一条缺省的路由,正如我们在下面看到的。

R1#show ip route

Gateway of last resort is not set

1.0.0.0/32 is subnetted, 1 subnets
C 1.1.1.1 is directly connected, Loopback0
R 2.0.0.0/8 [120/1] via 172.12.123.2, 00:00:11, Serial0
R 3.0.0.0/8 [120/1] via 172.12.123.3, 00:00:11, Serial0
172.12.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.12.21.0/30 is directly connected, BRI0
C 172.12.123.0/24 is directly connected, Serial0
* 10.0.0.0/24 is subnetted, 1 subnets
C 10.1.1.0 is directly connected, Serial1

在R2和R2上,缺省的RIP路由也将出现: R2#show ip route
Gateway of last resort is 172.12.123.1 to network 0.0.0.0

R 1.0.0.0/8 [120/1] via 172.12.123.1, 00:00:00, Serial0.213
2.0.0.0/32 is subnetted, 1 subnets
C 2.2.2.2 is directly connected, Loopback0
R 3.0.0.0/8 [120/2] via 172.12.123.1, 00:00:00, Serial0.213
172.12.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.12.21.0/30 is directly connected, BRI0
C 172.12.123.0/24 is directly connected, Serial0.213
R* 0.0.0.0/0 [120/1] via 172.12.123.1, 00:00:00, Serial0.213

R3#show ip route
Gateway of last resort is 172.12.123.1 to network 0.0.0.0

R 1.0.0.0/8 [120/1] via 172.12.123.1, 00:00:27, Serial0.31
R 2.0.0.0/8 [120/2] via 172.12.123.1, 00:00:28, Serial0.31
3.0.0.0/32 is subnetted, 1 subnets
C 3.3.3.3 is directly connected, Loopback0
172.12.0.0/24 is subnetted, 1 subnets
C 172.12.123.0 is directly connected, Serial0.31
R* 0.0.0.0/0 [120/1] via 172.12.123.1, 00:00:28, Serial0.31 所以缺省路由起了使用:如果我们在R2和R3上PING10.1.1.1,即使他们在路由表中没有配置的路由,他们会使用缺省路由。
R2#ping 10.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 68/68/68 ms

R3#ping 10.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 68/68/68 ms

当决定是使用缺省路由还是使用default network时,要记信:如果想路由协议广播这条路由,那么使用default-network命令,否则使用缺省路由就可以了。





TOP

garnett_wu

版主

Rank: 9Rank: 9Rank: 9

UID
93352 
帖子
10832 
精华
22 
积分
5950 
菊花元
4350 元 
威望
32 点 
阅读权限
100 
在线时间
2159 小时 
注册时间
2006-1-16 
最后登录
2008-7-24 
51楼 发表于 2007-7-16 21:29  只看该作者

一份较全的h.323 gateway配置

1: Building configuration...
2:
3: Current configuration : 3258 bytes
4: !
5: version 12.3
6: service timestamps debug datetime msec
7: service timestamps log datetime msec
8: no service password-encryption
9: !
10: hostname D-HPM-2611XM-1
11: !
12: boot-start-marker
13: boot-end-marker
14: !
15: card type e1 1 1
16: logging buffered 4096 debugging
17: enable password xxxxx
18: !
19: no aaa new-model
20: !
21: resource policy
22: !
23: clock timezone UTC 8
24: no network-clock-participate slot 1
25: no network-clock-participate wic 0
26: ip subnet-zero
27: ip cef
28: !
29: !
30: no ip dhcp use vrf connected
31: !
32: !
33: ip domain name cisco.com
34: ip name-server 202.106.116.1
35: no ip ips deny-action ips-interface
36: !
37: !
38: !
39: no ftp-server write-enable
40: isdn switch-type primary-net5
41: voice-card 1
42: dsp services dspfarm
43: !
44: !
45: !
46: !
47: voice service voip
48: !
49: !
50: !
51: !
52: !
53: !
54: !
55: !
56: !
57: !
58: !
59: !
60: !
61: !
62: controller E1 1/0
63: framing NO-CRC4
64: pri-group timeslots 1-31
65: !
66: translation-rule 1
67: Rule 1 ^0 964460
68: !
69: !
70: no crypto isakmp ccm
71: !
72: !
73: !
74: !
75: interface FastEthernet0/0
76: ip address 58.135.192.66 255.255.255.192
77: duplex auto
78: speed auto
79: !
80: interface Serial0/0
81: no ip address
82: shutdown
83: no fair-queue
84: no dce-terminal-timing-enable
85: !
86: interface BRI0/0
87: no ip address
88: shutdown
89: isdn switch-type basic-net3
90: isdn point-to-point-setup
91: !
92: interface FastEthernet0/1
93: no ip address
94: shutdown
95: duplex auto
96: speed auto
97: !
98: interface Serial0/1
99: no ip address
100: shutdown
101: no dce-terminal-timing-enable
102: !
103: interface BRI1/0
104: no ip address
105: isdn switch-type basic-net3
106: isdn overlap-receiving
107: isdn point-to-point-setup
108: isdn incoming-voice voice
109: !
110: interface Serial1/0:15
111: no ip address
112: isdn switch-type primary-net5
113: isdn incoming-voice voice
114: no cdp enable
115: !
116: interface BRI1/1
117: no ip address
118: isdn switch-type basic-net3
119: isdn overlap-receiving
120: isdn point-to-point-setup
121: isdn incoming-voice voice
122: !
123: ip classless
124: ip route 0.0.0.0 0.0.0.0 58.135.192.126
125: !
126: !
127: no ip http server
128: no ip http secure-server
129: !
130: !
131: !
132: !
133: control-plane
134: !
135: !
136: !
137: voice-port 1/0/0
138: compand-type a-law
139: cptone CN
140: connection plar 4000
141: !
142: voice-port 1/0/1
143: compand-type a-law
144: cptone CN
145: connection plar 4000
146: !
147: voice-port 1/0:15
148: cptone CN
149: connection plar 4000
150: !
151: !
152: !
153: sccp local FastEthernet0/0
154: sccp ccm 58.135.192.65 identifier 1 version 4.1
155: sccp
156: !
157: sccp ccm group 2
158: associate ccm 1 priority 1
159: associate profile 2 register conference
160: !
161: sccp ccm group 1
162: associate ccm 1 priority 1
163: associate profile 1 register transcoder
164: !
165: dspfarm profile 1 transcode
166: codec g711ulaw
167: codec g711alaw
168: codec g729ar8
169: codec g729abr8
170: codec gsmfr
171: maximum sessions 4
172: associate application SCCP
173: !
174: dspfarm profile 2 conference
175: codec g711ulaw
176: codec g711alaw
177: codec g729ar8
178: codec g729abr8
179: codec g729r8
180: codec g729br8
181: maximum sessions 2
182: associate application SCCP
183: !
184: !
185: dial-peer voice 999 pots
186: destination-pattern .T
187: translate-outgoing called 1
188: port 1/0:15
189: !
190: dial-peer voice 5 voip
191: destination-pattern 4000
192: session target ipv4:58.135.192.65
193: dtmf-relay h245-signal
194: codec g711alaw
195: !
196: dial-peer voice 10 pots
197: destination-pattern 0T
198: translate-outgoing called 1
199: port 1/0/0
200: !
201: dial-peer voice 15 pots
202: destination-pattern 0T
203: translate-outgoing called 1
204: port 1/0/1
205: !
206: gateway
207: timer receive-rtp 600
208: !
209: !
210: !
211: !
212: gatekeeper
213: shutdown
214: !
215: !
216: line con 0
217: line aux 0
218: line vty 0 4
219: exec-timeout 0 0
220: password xxxxx
221: login
222: line vty 5 15
223: exec-timeout 0 0
224: password xxxxx
225: login
226: !
227: ntp clock-period 17208328
228: ntp server 207.46.232.189
229: !
230: end

TOP

garnett_wu

版主

Rank: 9Rank: 9Rank: 9

UID
93352 
帖子
10832 
精华
22 
积分
5950 
菊花元
4350 元 
威望
32 点 
阅读权限
100 
在线时间
2159 小时 
注册时间
2006-1-16 
最后登录
2008-7-24 
52楼 发表于 2007-7-16 21:35  只看该作者

IGRP,EIGRP不等值路由负载

在eigrp做不等值路由的负载均衡

  在eigrp中如何做到不等值路由的负载均衡
  EIGRP Load Balancing
  每个路由协议都支持等值路径的负载均衡。除此之外,IGRP和EIGRP也支持不等值路径的负载均衡,使用variance命令。 Variance命令向路由器通告一个n值,n值使用variance命令指定。n值为1-128之间,默认为1.
   网络拓扑
  Variance
  例如,router E有三个路径到网络X
  E-B-A with a metric of 30
  E-C-A with a metric of 20
  E-D-A with a metric of 45
  Router E选择第二个路径,E-C-A的metric为20,20为三个路径的最小值,如果希望EIGRP选择优先E-B-A路径,配置variance值为乘数2
  router eigrp 1
  network x.x.x.x
  variance 2
  这样增加了metric到40(2*20=40)。这样EIGRP包括了所有metric小于40的路由,在上面的配置中,路由器使用了两个路径到达网络X,E-C-A和E-B-A,因为两个路径的metric值都在40以下。因为E-D-A的metric为45,大于40,所以eigrp不选择此路径到达网络X.而且,路由器D报告到达网络X的metric为25,这个值比可行的metric值20要大。这就意味着即使variance设置为3,E -D-A路径也不会被选择为负载均衡的路径,因为router D不是一个可行的后继者。
  Traffic Sharing
  Eigrp不仅支持不等值路径的负载均衡,而且也支持智能负载均衡,例如traffic sharing.有多个路由到达同一目的网络有不同cost的情况下,想要控制在不同路由上的traffic,可以使用traffic sharing命令。使用balanced关键字,路由器按照不同路由的metrics比率成比例的分配流量。这是默认设置
  router eigrp 1
  network x.x.x.x
  variance 2
  traffic-share balanced
  下面是traffic share计算案例
  For path E-C-A: 30/20 = 3/2 = 1
  For path E-B-A: 30/30 = 1
  如果不能整除,我们按照其整数计算(注意:不是四舍五入)。在这个案例中eigrp发送包通过E-C-A和E-B-A的比率为1:1,这样做到了负载均衡的目的。
  现在我们假设在E-B间的metric为25,B-A间的metric为15.这样E-B-A的metric为40,因为40不小于2×20(20是可行的路径metric,2是variance值),这样在E-C-A和E-B-A之间不可以实现负载均衡。如果希望实现负载均衡,我们需要将 variance值设置为3.这样两条链路上的traffic share比率为
  For path E-C-A: 40/20 = 2
  For path E-B-A: 40/40 = 1
  这样eigrp在E-C-A和E-B-A的流量比率为2:1.通过这样的方法,eigrp不仅支持了不等值的路由负载均衡,而且也支持了智能负载均衡
  在关键字min使用时,traffic仅仅通过最小cost路径发送,即使在路由表中有多个路由路径
  router eigrp 1
  network x.x.x.x
  variance 3
  traffic-share min across-interfaces
  这样配置的结果是,eigrp仅仅通过E-C-A的路径发送
  此文章同样适用于igrp

TOP

smartman

社区常客

Rank: 1

UID
166149 
帖子
13 
精华
0 
积分
14 
菊花元
14 元 
威望
0 点 
阅读权限
10 
在线时间
4 小时 
注册时间
2007-12-21 
最后登录
2008-7-19 
53楼 发表于 2008-7-19 12:18  只看该作者

回复 2楼 的帖子

非常好,谢谢

TOP

gcxu

普通长老

Rank: 3Rank: 3

UID
2374 
帖子
41 
精华
0 
积分
284 
菊花元
284 元 
威望
0 点 
阅读权限
20 
来自
天津南开 
在线时间
11 小时 
注册时间
2001-11-19 
最后登录
2008-7-24 
54楼 发表于 2008-7-24 09:38  只看该作者
非常好非常好
我能行的!

TOP