上一篇
下一篇
cisco路由器的基本安装维护
作者:Zero 日期:2008-07-31
cisco路由器的基本安装维护
1 控制口连接
先将cisco2500/1000系列路由器附件中的控制电缆rj45的一端连接到cisco的con
sole口上,ciso7000/4000系列路由器则将modem电缆的db25的一端接到cisco的c
onsole口上,db9的一端连接到pc的com1/2上。
在pc上设置仿真终端程序:比如用windows中的terminal程序,使用com1/2,960
0bps,8
data bit,2stop
bit。其余使用默认值。做好控制口连接后,打开路由器的电源开关。
2 初始安装
一般建议使用机器安装,这样既美观又便于维护。
!!!注意:路由器必须使用带有有效地的电源。一般要求使用的电源的零地间
的电压<4v,零火/地火的电压就为220v。地线保护基本上要求上网的设备需有保
护地线,这些设备包括主机、工作站
、hub、交换器、路由器及连接路由器的modem等。配置路由器的终端或pc机也必
须使用带有有效地的电源。
cisco的同步串行接口是多用的,通过不同的电缆可引出不同的接口,如rs232、
v.35等。并且cisco的同步串行接口电缆的电缆是特别预制的。
第一次安装时系统会自动进入dialog
setup。依次回答路由器名称,加密超级登录密码,超级登录密码,远程登录密码
,动态路由协议,各个接口的配置等。之后回答yes保存该配置。然后等2分钟,
按
回车数下。出现路由器名称。打入enable命令,回答超级登录密码。出现路由器
名称#。打入config
terminal配置路由器:
no service config
no ip domain-lookup
(进一步的配置)
按ctrl-z退出,出现路由器名称#。打入write
memory保存配置。
3 一般同步拨号、专线、ddn连接配置
ipx routing ipx routing
interface serial 0 interface serial 0
ip address 1.1.1.1 255.0.0.0 ip address 1.1.1.2.
255.0.0.0
ipx network 111 ipx
network 111
interface ethernet 0 interface ethernet 0
ip address 12.1.1.1 255.0.0.0 ipaddress 16.1.1.1
255.0.0.0
ipx network 123456 ipx
network 987654
router igrp 1 router
igrp 1
network 1.0.0.0 network 1.0.0.0
network 12.0.0.0 network
16.0.0.0
4 x.25连接配置
ip routing ip
routing
interface serial 0 interface serial 0
ip address 1.1.1.1 255.0.0.0 ip address 1.1.1.2
255.0.0.0
encapsulation x25 encapsulation x25
x25 address 32699 x25 address 32688
x25 htc 16 x25 htc 16
x25 idle
6 x25 idle 6
x25 map ip 1.1.1. 2 32688 broadcast x25 map ip 1.1.1.1
32699 broadcast
interface ethernet 0 interface ethernet 0
ip address 12.1.1.1 255.0.0.0 ip address 16.1.1.1 255.0.0.0
router igrp 1 router igrp
1
network 1.0.0.0 network 1.0.0.0
network 12.0.0.0 network 16.0.0.0
5 一般故障判断
首先看modem的状态,如果modem的dcd不亮,则表示线路连接故障,请先检查线路
连接。
再检查路由器的电缆连接。
将控制终端连接到路由器上。按回车数下,出现路由器名称,打入show
interface serial 0
观看第一行,line和line protocol的状态:
如果line is
up,表示路由器接收的该线路接口的dcd信号;否则表示线路接口的dcd信号为低
。
如果line protocol is
up,表示该线路接口的线路协议匹配成功。否则表示线路协议匹配失败。
打入show interface ethernet 0
如果line protocol is up,表示该线路接口连接正常。
6 故障检测及排除方法
通信系统在运行中可能出现一些故障,我们如何迅速地找出故障所在,并及时修
改,是维持系统正常运行的关键,下面,我们就端口、线路、链路等方面,提供
一些参考方法:
(2)判断以太端口故障:
对于以太端口故障的诊断,我们可以用 show interface
ethernet 0
(对于以太端口0的诊断)的命令,它用来检查一条链路的状态,如下所示:
router# show int ethernet 0
ethernet 0 is up,line protocol is up
: 正常 ===============ethernet 0 is up,line protocol is up
: 连接故障,路由器未接到lan上 ======ethernet 0 is up,line
protocol is down
: 接口故障 ====== ethernet 0 is down,line protocol is down(disable)
: 接口被人为地关闭 ===== ethernet 0 is administratively down,line
protocol is down(可在配置状态中 interface_mode
下去掉shutdown命令)。
此外,当我们怀疑端口有物理性故障时,可用 shown
version,将显示出物理性正常的端口,而出现物理故障的端口将不被显示出来。
(2)判断串行端口故障
当发现与远程的通信中断时,我们应按照下面这个顺序来隔离故障:
线路---*}端口
判断线路是否中断
:ddn线路。查看dtu的指示灯,dtu上共有四种指示灯:power、line、dtr、rea
dy
。power灯在dtu上电后应保持长亮,而line、ready灯就表示了该dtu与ddn节点机
连接的情况,正常情况下这两个灯也应该长亮。
如果发现有异,应及时与ddn网管中心联系。dtr灯表示dtu与dte(路由器)的连
接情况,当路由器上电后,若串口状态正常,则dtu上的dtr灯也应保持长亮(当
线路不通时,偶尔闪熄一下)。
:模拟线路。查看modem上的指示灯,对于同步专线,一般来说,cd、td、rd应保
持长亮,当有数据在广域网线路上传输时,td和rd灯将不停闪烁,当这些灯不正
常时,应与电信部门联系。
(b)判断端口故障:
对于串行端口故障的诊断,我们可以用 show interface serial
0
(对于串行端口0的诊断,别的串行端口的诊断类似)的命令,它用来检查一条链路
的状态,如下所示:
router# show int serial 0
serial 0 is up,line protocol is up
: serialt 0 is up,line protocol is up=====正常
: serial 0 is up,line protocol is
down=====端口无物理故障,但上层协议未通(ip、ipx、x25等,请查看路由器的
配置命令,检查地址是否匹配)。
: serial 0 is down,line protocol is
down(disable):端口出现物理性故障,只有更换端口。
: serial 0 is down,line protocol is
down:dce设备(moden/dtu)未送来载波/时钟信号,请与电信部门联系。
: serial 0 is administratively down,line protocol is
down====接口被人为地关闭,可在配置状态中 interface_mode
下去掉shutdown命令。
此外,当我们怀疑端口有物理性故障时,可用 shown
version,将显示出物理性正常的端口,而出现物理故障的端口将不被显示出来。
7 一般命令
(=后面的命令是11.0以后提供的等效命令)
enable 进入超级登录
disable 退出超级登录
show config=show start 显示nvram的配置
write terminal=show run 显示当前有效的配置
write memory=copy run start 保存当前有效的配置到nvram中
write erase 清除nvram的配置
show interface serial 0 显示串行接口0的状态
show ip route 显示当前ip路由表
show ipx route 显示当前ipx路由表
show ipx servers 显示当前ipx服务器表
config
terminal 从终端上配置路由器,按ctrl-z退出
ipx routing 在该路由器上激活ipx
interface serial 0 配置同步串行接口0
encapsulation ppp 该接口的线路协议为ppp
ip address 12.1.1.1
255.0.0.0 该接口的ip地址是12.1.1.1,子网掩码是255.0.0.0
ipx
nework 123456 该接口的ipx网络地址是123456
router rip 配置路由协议rip
network 12.0.0.0 该路由协议包括12.0.0.0网络
--------------------------------------------------------------------------------
2...关于路由器常见问题
1. 如果要在路由器上实现nat,对ios有何要求?
需要ip plus ios
2. 在2511上执行erase flash时为什么会收到如下信息:
error while erasing flash: device is read-only
因为此时2511是从flash启动的,可用以下命令改变启动方式:
conf t
config-register 0x101
router# reload
router(boot)#copy tftp flash.
在boot模式下你可以删除或升级flash中的内容。
另外要注意在升级flash之后将启动方式改回flash.
router(boot)#conf t
router(boot)(config)# config-reg 0x102
router(boot)(config)#^z
router(boot)#reload
3.cisco3600系列路由器目前是否支持广域网接口卡wic-2t和wic-2a/s?
cisco3600系列路由器在12.007xk及以上版本支持wic-2t和wic-2a/s这两种广域网接口卡。
但是需要注意的是:
只有快速以太网混合网络模块能够支持这两种广域网接口卡。
支持这两种接口卡的网络模块如下所示:
nm-1fe2w, nm-2fe2w, nm-1fe1r2w, nm-2w。
而以太网混合网络模块不支持,如下所示:
nm-1e2w,nm-2e2w, nm1e1r2w。
4.cisco3600系列路由器的nm(4a/s,nm(8a/s网络模块和wic(2a/s广域网接口卡支持的最大异/同步速率各是多少?
这些网络模块和广域网接口卡既能够支持异步,也能够支持同步。支持的最大异步速率均为115.2kbps,最大同步速率均为128kbps。
5.wic-2t与wic-1t的电缆各是哪种?
wic-1t:db60转v35或rs232、 449等电缆。 如:cab-v35-mt。
wic-2t:smart型转v35或rs232、 449等电缆。 如: cab-ss-v35-mt。
6.cisco 7000系列上的me1与cisco 2600/3600上的e1、 ce1有什么区别?
cisco 7000上的me1可配置为e1、 ce1, 而cisco 2600/3600上的e1、 ce1仅支持自己的功能。
7.cisco 2600系列路由器,是否支持vlan间路由,对ios软件有何需求?
cisco(2600系列路由器中,只有cisco2620和cisco2621可以支持vlan间的 路由(百兆端口才支持vlan间路由)。并且如果支持vlan间路由,要求ios软件必须包括ip plus特性集。
8.cisco3660路由器与3620/3640路由器相比在硬件上有那些不同?
不同点如下:
* cisco3660路由器基本配置包括1或2个10/100m自适应快速以太网接口;而cisco3620/3640基本配置中不包括以太网接口。
* cisco3660路由器支持网络模块热插拔,而 cisco3620/3640不支持网络模块热插拔。
* cisco3660的冗余电源为内置, 而cisco3620/3640的冗余电源为外置的。
9. 为什么我的3640不能识别nm-1fe2w?
需要将ios升级到12.0.7t
--------------------------------------------------------------------------------
3...
关于交换机的常见问题
a.关于堆叠技术:
1.catalyst 3500xl/2900xl的堆叠是如何实现的?
a. 需要使用专门的堆叠电缆,1米长或50厘米长(cab-gs-1m或cab-gs-50cm)以及专门的千兆堆叠卡gigastack gbic (ws-x3500-xl) (该卡已含cab-gs-50cm 堆叠电缆)。
b. 可以选用2种堆叠方法:菊花链法(提供1g的带宽)或点对点法(提供 2g的带宽)。
c. 2种方法都可以做备份。
d. 菊花链法最多可支持9台交换机的堆叠, 点对点法最多可支持8台。
2. catalyst 3500 xl系列交换机做堆叠时,是否支持冗余备份?
catalyst3500xl系列交换机的堆叠有两种实现方法:菊花链方式和点到点方式。
当使用菊花链方式时,堆叠的交换机依次连接,交换机之间可以达到1gbps的传输带宽;
当使用点到点方式时,需要一台单独的 catalyst3508g-xl交换机, 其余的交换机通过堆叠gbic卡和堆叠线缆与3508g相连,这种方法最大可以达到2gbps的全双工传输带宽。
这两种方法都分别支持堆叠的冗余连接。当使用菊花链连接方式时,冗余连接是通过将最上面的交换机与最下面的交换机用堆叠线缆相连接完成的。而当使用点到点连接时,是通过使用第2台3508交换机来完成的。
3. catalyst3500 xl的一个千兆口使用堆叠卡做堆叠后, 另外一个千兆口是否可以连接千兆的交换机或千兆的服务器?
可以。需使用1000base-sx gbic或1000base-lx/lh gbic。
b. 关于集群技术
1. 能够支持cluster技术的产品目前主要有哪几种,其软件版本要求如何?
此主题相关图片如下:
c.ethernet channel technology
1. ethernet channel tech. 可以应用在什么网络设备之间?如何使用?
可以应用在交换机之间, 交换机和路由器之间,交换机和服务器之间
可以将2个或4个10/100mbps或1000mbps端口使用 ethernet channel tech.,达到最多400m(10/100mbps端口)、4g(1000mbps端口) 或800m(10/100mbps端口)、8g(1000mbps端口) 的带宽。
2. ethernet channel technology有什么作用?
增加带宽,负载均衡,线路备份
3. 当端口设置成 ethernet channel时,如何选择线路?
根据数据帧的以太网源地址和目的地址最后1位或2位做或运算,决定从哪条链路输出。对于路由器来说是根据网络地址做或运算,以决定链路的输出。
4. ethernet channel technology 与 pagp (port aggregation protocol ) 的区别?
pagp是 ethernet channel的增强版,它支持在 ethernet channel 上的 spanning tree protocol和uplink fast,并支持自动配置 ethernet channel 的捆绑。
d. catalyst 4000 系列
1.catalyst 4003和catalyst 4006有何区别?
catalyst4003和4006都是模块化的千兆以太网交换机。它们的区别主要有以下几个方面。
此主题相关图片如下:
2.catalyst4000系列是否支持isl?
从supervisor engine software release 5.1开始支持。
3.catalyst4000交换机的冗余电源选项4008/2和4008/3有何区别?
catalyst4003交换机机箱上有两个电源插槽,出厂时本身自带一个电源,4008/2是专为其定制的冗余电源。catalyst4006的机箱上有三个电源插槽,出厂时带有2个电源供电,4008/3是为其定制的专用冗余电源。
4.catalyst 4006的三层交换模块是否不含以太网端口?
不,catalyst4006的三层交换模块含有32个10/100自适应端口和2个千兆端口。 在4003上使用时可替代原有的ws-x4232-gb-rj模块, 从而不影响网络结构。
5.ws-c4003-s1与ws-c4003-s1-82有什么区别?
后者除了含有前者所含的机箱、电源、引擎外,还含有1个48*10/100端口的模块和1个32*10/100+2*1000端口的模块。
6.catalyst 4000系列模块化交换机使用千兆交换模块时, 如何选用目前存在的两种交换模块(产品编号如下)?
ws-x4306-gb catalyst 4000 gigabit ethernet module, 6-ports (gbic)
ws-x4418-gb catalyst 4000 ge module, servertching 18-ports (gbic)
这两个模块的使用环境不同
ws-x4306-gb 是一个6口的千兆交换模块,每个端口独占千兆的带宽,适合做网络的主干,用来连接具有千兆接口的交换机;也可以与具有千兆网卡的服务器相连。 ws-x4418-gb 是一个18口的千兆交换模块,其中有两个口是独占千兆的带宽,另外16个口共享8g的全双工的带宽,但每个端口可以突发到千兆。此模块适合在服务器比较集中的地方连接千兆的服务器,而不适合连接网络主干。
e. catalyst 5000 系列
1.catalyst5500交换机上的百兆光纤模块ws-x5201和ws-x5201r有何区别,为何后者功能比前者多,但价格却比前者便宜?
在功能上,ws-x5201r上支持802.1q/isl协议,而ws-x5201上没有。ws-x5201r价格上更便宜是因为它被制造出来的时间较前者晚,因而在成本上较前者更低,所以价格更便宜。
2.cisco5500系列交换机的交换引擎具有多种类型,它们之间有何异同点?
cisco5500系列交换机的交换引擎主要有以下5种:supervisor ii,supervisor iig, supervisor iiif, supervisor iiig, supervisor iii。
它们的主要区别如下表所示:
此主题相关图片如下:
3.catalyst5500交换机的msm模块能否实现在广域网上的路由交换功能?
不能,这是因为该模块虽然可以实现第三层的功能,但由于它所支持的路由协议与传统路由器所支持的路由协议不同(前者路由选择算法较后者简单),因此它只能在内部网(intranet)中实现第三层交换功能,而不能在广域网中(internet)作为路由。
4.catalyst 5000上ws-x5012与ws-x5012a (48 端口 ethernettching module) 有什么区别?
ws-x5012a是ws-x5012为降低生产成本而形成的改进版, 两者功能相同, 价格相同。
5.catalyst 5000上ws-x5014是什么模块?
48端口10baset rj-45交换以太网模块, 支持全双工/半双工的自适应, 适合于配线间应用, 需2个插槽。
6.catalyst 5000上ws-x5410(9端口gectching module)占用几个插槽?
2个。
7.catalyst5000/5500是否都支持ws-x5410(9端口gectching module) 模块?
目前只有在5500系列和引擎iii 4.2(1)版上才支持。
f. catalyst 6000 系列
1.catalyst 6000系列的背板带宽和包转发速率各为多少?
catalyst 6500系列的背板带宽可扩展到256gbps, 包转发速率可扩展到150mpps; catalyst 6000系列作为一个经济有效的解决方案可提供到32gbps的背板带宽和15mpps的包转发速率。
2.catalyst 6000系列的msfc 要求多少m dram ?
catalyst 6000系列ios软件存放在msfc里, msfc要求有128m dram。 缺省配置已含128m dram。
3.catalyst 6000系列上的插槽是否有限制?
除第一个插槽专用于引擎, 第二个插槽可用于备份引擎或线卡, 其它插槽都用于线卡。
4.catalyst 6000系列有几种引擎?
catalyst 6000系列的引擎分为supervisor engine 1和supervisor engine 1a两种, 其中 supervisor engine 1a 有两个特定的备份引擎。其型号分别如下:
此主题相关图片如下:
5.catalyst 6000系列上备份引擎与主引擎必须是一致的吗?
是的。 catalyst 6000系列的备份引擎与主引擎必须是一致的, 例如, 不能将不带msfc&pfc的引擎给带msfc&pfc的引擎作备份。 另外, ws-x6k-sup1a-pfc 和 ws-x6k-sup1a-msfc有专门的备份引擎。
主、备引擎的对应关系如下:
此主题相关图片如下:
6.catalyst 6000系列支持的路由协议有哪些?
catalyst 6000系列支持的路由协议有:ospf, igrp, eigrp, bgp4, is-is, rip和rip ii; 对于组播pim支持sparse和dense两种模式; 支持的非 ip 路由协议有: nlsp, ipx rip/sap, ipx eigrp, rtmp, apple talk eigrp和decnet phase iv和v。
7.catalyst 6000系列支持的网络协议有哪些?
msm上支持 6mpps 的 ip、 ip 组播和 ipx 。 引擎上的msfc 支持 15mpps的 ip、 ip 组播、ipx以及 appletalk、 vines、 decnet.
8.catalyst6000上若引擎为sup-1a-2ge, 怎么实现三层交换的功能?
用msm实现。 6000上只有含有msfc的引擎才能通过msfc实现三层交换功能, 在6000上, msfc是不能单独订购的。
9.catalyst? 6000交换机和catalyst? 6500交换机有何区别?6000交换机是否可以升级到6500交换机?
catalyst? 6000系列交换机的背板带宽为32g,而6500系列交换机的背板带宽最大可以扩展到256g。由于这两个系列的交换机使用的背板总线结构不同,所以6000交换机不能升级到6500系列交换机。
但这两个系列交换机使用相同的交换模块。
g. catalyst 3500xl 系列
1.catalyst3508g是否也可以同catalyst3524一样采用菊花链堆叠模式?
完全可以。
h. 其它
1.catalyst2900xl/3500xl系列交换机可支持多少个mac地址和多少个基于端口的vlan?
此主题相关图片如下:
2.在交换机之间配置uplink-fast时,是否需要关闭原有spanning-tree选项?
不需要,uplink-fast实际上使用的是一种简化的spanning-tree算法, 与标准的spanning-tree兼容,因此不需关闭该功能。
3.当用户配置catalyst? 5000或6000等型号交换机时,有一些交换模块只能提供telco接口,如何选择?
为了增加交换机端口密度,象catalyst? 5000等一些型号的以太网交换机提供了telco的接口,这种接口的物理连接类型为rj21,每个接口能够对应12个rj45的接口。当配置这种交换模块时,需要配置rj21转化成rj45的线缆。
注意当选择线缆时:当这种交换模块提供100m的交换时,需选用5类双绞线的电缆,而不要选用3类双绞线的电缆。
4.cisco catalyst系列千兆交換机上的sx、lx和cx的信號在多模和單模光纖上的傳輸距离各是多遠?
此主题相关图片如下:
5.百兆光纖模塊在多模和單模光纖上的傳輸距离是多少?
百兆在多模光纖上的最大傳輸距离是400米(dte-dte),和300米(中 間 有 1个中 繼 器 )。在單模光 纖上的傳輸距离沒有被具体定義。但在實際使用當中,百兆模塊經常用來傳輸距离在1-2公里左右的多模光 纖或距离在30-40公里左右的单模光纤上的數据流量,在撸乐智闆r下,其传输速率已經達不到百兆。(见下表)
此主题相关图片如下:
--------------------------------------------------------------------------------
4...cisco adsl 配置说明
!
vpdn enable
no vpdn logging <=由于adsl的pppoe应用是通过虚拟拨号来实现的所以在路由器中需要使用vpdn的功能
!
vpdn-group pppoe <=为pppoe启动了vpdn的进程
request-dialin
protocol pppoe <=设置拨号协议为pppoe
!
interface fastethernet0 <=设置公司内部网络地址
ip address 192.168.0.1 255.255.255.0
ip nat inside <=为启用nat转换,设置fast ethernet端口为内部网络,从内部网络收到的数据的原地址转换为公网地址
!
interface atm0 <=设置adsl端口
no ip address <=请不要设置地址
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
hold-queue 224 in
interface atm0.1 point-to-point <=adsl的通讯 依靠vc,所以必须设定点到点vc
pvc 8/35 <=设置pvc的相关参数, 即vci和vpi的值,如果不清楚请向局端查询
pppoe-client dial-pool-number 1 <=pppoe拨号进程使用了常规的拨号进程,这里引用了dialer-pool 1
!
interface dialer1 <=建立一个虚拟拨号端口 ip address negotiated <=由于局端提供动态地址,所以必须设定地址为协商获得
ip mtu 1492 <=修改mtu值以适用于adsl网络
ip nat outside <=为启用nat转换,设置该端口为外部网络
encapsulation ppp <=使用ppp的帧格式
dialer pool 1
ppp authentication pap callin <=设置拨号的验证方式为pap
ppp pap sent vip pass vip <=发送用户名和密码
ip nat inside source list 1 interface dialer1 overload
<=设置了nat的转换方式,使用了dialer 1端口的动态地址
ip classless
ip route 0.0.0.0 0.0.0.0 dialer1
<=将所有不可路由的数据报转发给adsl线路,设定缺省路由
no ip http server
!
access-list 1 permit 10.92.1.0 0.0.0.255
--------------------------------------------------------------------------------
5...ddn配置实例
对于一个局域网的外连,有很多种方式ddn专线就是其中的一种(具体外连方式请见网络基础部分).在下面的实例中介绍了蓝色家园内部局域网接入当地isp的配置.
蓝色家园内部局域网:10.1.8.0/24
蓝色家园路由器的ethernet 0:10.1.8.1/24
serial 0: 192.168.0.1/30
isp路由器 serial 0: 192.168.0.2/30
具体拓扑图如下:
此主题相关图片如下:
也许cisco操作系统的玄虚性以及其在市场中的占有率,决定了人们对其技术的一种仰慕,甚至想把自己的技术奋斗目标与 cisco 绑定.但是,技术总归是技术,一切都是从头开始的.
下面给出蓝色家园路由器的基本配置
1.route>en 进入特权状态
2.route#config t 通过端口进行配置
3.在配置状态下
给出e0/s0的ip地址
#int e0/0
#ip add 10.1.8.1 255.255.255.0
#no shut
#int s0/0
#ip add 192.168.0.1 255.255.255.252
#en ppp (允许在专线上发送ppp包,如果不写,对于两端都是cisco路由器是没问题的,会默认为cisco 自己的打包方式)
# no shut
4.给出蓝色家园到isp的路由,因为蓝色家园只有一个出路,所以给出静态路由
#ip route 0.0.0.0 0.0.0.0 192.168.0.2
或者
#ip route 0.0.0.0 0.0.0.0 serial 0
5.为了保证远程管理的telnet 必须给出登陆用户
#line vty 0 4
&nnbsp; #password bluegarden
6.ctrl+z退出特权配置状态 wr将配置写入路由器即可
当然以上只是一个基本配置,能够保证数据通道的畅通.但是并没有充分利用路由器的功能,例如:nat、安全等等。
下面给出一个完整的配置 with nat(为了明确例子,广域网连接中的子网变成192.168.1.0/24)
hostname bluegarden
!
enable password bluegarden
!
no ip name-server
!
ip subnet-zero
no ip domain-lookup
ip routing
!
interface ethernet 0
no shutdown
ip address 10.1.8.1 255.255.255.0
ip address 192.16.1.1 255.255.255.0
ip nat inside
!
interface serial 0
no shutdown
ip address 192.168.1.2 255.255.255.0
ip nat outside
encapsulation hdlc
ip nat pool bluegarden 192.16.1.10 192.168.50 prefix-length 24
ip nat inside source list 1 pool bluegarden
router rip
version 2
network 10.1.8.0 255.255.255.0
passive-interface serial 0
access-list 1 permit 10.1.8.0 0.0.0.255
!
ip classless
!
ip route 0.0.0.0 0.0.0.0 serial 0
no ip http server
snmp-server community public ro
no snmp-server location
no snmp-server contact
!
line console 0
password bluegarden
login
!
line vty 0 4
password bluegarden
login
!
end
>ctrl z
#wr
--------------------------------------------------------------------------------
6...cisco3640路由器设置
一、 设置路由器管理信息
1、 用扁平控制线接上9孔接头,连接console到终端或pc串口,设置终端或直接连至串口的超级终端的参数:band率9600,无奇偶校验,8位数据位,1位停止位.
2、 路由器上电,终端屏幕会显示上电过程。
3、 进入特权模式设置口令
line vty 0 4
password bc123
exit
enable secret bc123fzq123
exit
4、 在特权模式设置路由器信息:
hostname bc3640
ip domain-list jzl.cq
ip domain-list jz2.cq
ip domain-name jzl.cq
ip name-sever 10.54.34.1
5、 进入全局模式,配置以太网地址
configure timinal
interface fastethernet 0/0
ip address 192.168.254.254 255.255.255.0
no shutdown
exit
interface fastethernet 1/0
ip address 10.154.34.253 255.255.255.252
noshut down
exit
设置ip路由功能开放
ip routing
设置拨入客户名和口令
username user1 password 123
设置拨号组参数,为拨号客户指定ip地址
line 65 72
autoselect ppp
modem inout
transport inputall
exit
interface group-async1
ip unnumbered fastethernet 1/0
encapsulation ppp
dialer in band
dialer map ip 10.154.34.247 name user 1
async default routing
anync mode interactive
peer default ip address pool default
ppp authentication chap pap
group-ranger 65 72 ;路由器远程拨入端口
设置内部ospf路由协议、静态路由
access-list 77 permit 10.154.34.0 0.0.1.255
router ospf 110
redistribute connected subnets
redistribute static subnets
passive-interface fastethernet 0/0
network 10.154.34.0 0.0.255 area 0
network 10.154.35.0 0.0.0.255 area 0
distribute-list 77 out
exit
ip default-gateway 10.154.34.254
ip router 0.0.0.0 0.0.0.0 10.154.34.254
ip router 10.0.0.0 255.0.0.0 10.154.34.254
ip router 192.168.0.0 255.255.0.0 192.168.254.1
设置nat转换
access-list 99 deny 192.168.3.1
access-list 99 permit 192.168.3.0 0.0.0.255
access-list 99 permit 192.168.0.0 0.0.255.255
ip nat pool netdyn 10.154.35.1 10.154.35.126 netmask 255.255.255.0
ip nat inside source list 99 pool netdyn overload
ip nat inside source static 192.168.3.1 10.154.35.1
interface fastethernet1/0
ip nat outside
exit
interface group-async1
ip nat outside
exit
interface fastethernet 0/0
ip nat insider
exit
write memory
二、 cisco路由器广域网配置向导
1、 dial-on demand routing (ddr)是用公共电话网提供了网络连接。通常的,广域网大多数使用专线连接的,路由器连接到类似modem or isdntas 的数据终端dce设备上,他们支持同步v.25bits协议,你可以用scripts and dialer命令设定拨号串。
ddr比较适用于用户对数率要求不高,偶尔有数据传输或只是在特定时候传输数据,比如银行每晚传送报表等等情况下。
当一个感兴趣的包到达路由器时,产生一个ddr请求,路由器发送呼叫建立信息给指定的串口的dce设备,这个呼叫就把本地的和远程的设备连接起来,一旦没有数据传输,空闲时间开始记时,超过设置的记时时间,连接终止。ddr现在都用静态路由来传输数据,避免路由交换引起的ddr拨号。
和xns可以通过ddr路由寻址,同步串口,异步串口和isdn端口可以配置成到一个或多个目的地的ddr连接。
下面是一个典型的ddr连接:
在配置ddr过程中,我们可以把一个或几个物理端口配置成一个逻辑拨号接口,他可以是同步v.25方式,同步dyr启动拨号或异步chatscript方式
在端口配置模式下:
在一个端口激活dial-on-demand routing
命令:dialer in-band
指定一个端口为拨号访问组:dialer-group group-number
指定一个单一电话号码:dialer string dialer-string
断线前空前等待时间:dialer idle-time seconds
定义一个或多个目的电话号码表:
dialer map protocol net-hop-address dialer-string
限定传输的access-list表或特定协议:
dialer-list dialer-group list access-list-number或
dialer-list dialer-group protocol protocol name(permit/deny/list access-list-number)
具体配置:
!
interface serial 0
ip address 131.108.126.1 255.255.255.0
dialer in-band
dialer-group 1
!
dialer map ip 131.108.126.2 55551234
!
dialer idle-timeout 300
dialer backup example
a) 同步v.25bits方式
configuration for routera:
interface serial 10:0
backup delay 0 10
backup interface serial 110
ip address 16.217.30.2 255.255.255.252
!
interface serial 110
ip address 16.30.16.81 255.255.255.25.0
encapsulation ppp
dialer in-band
dialer string 8292
dialer-group 1
pulse-time 1
!
dilar-list 1 protocol ip permit
b) 辅助口作拨号备份
configuration for routera:
chat-script mydial “””atdt 8292” timeout 60 “connect”
!
interface serial 0
backup delay 0 0
backup interface async1
ip address 16.3.1.1 255.255.255.0
encapsulation ppp
!
interface async1
ip address 16.3.2.1 255.255.255.0
encapsulation ppp
keepalive 9
async default routing
async dynamic address
async dynamic routing
async mode dedicated
dialer string 8292
dialer-group 1
!
dialer-list 1 protocol ip permit
!
line aux 0
script dialer mydial
modeinout
transport output none
stopbits 1
flowcontrol hardware
speed 9600
subinterface example (frame realay)
configuration for routera:
interface serial 0
encapsulation frame-relay
interface serial 0.1 multipoint
ip address 11.10.11.1 255.255.255.0
frame-relay interface-dlci 41
frame-relay interface-dlci42
configuration for routerc:
interface serial 0
encapsulation frame-relay
interface serial 0.1 point-point
ip address 11.10.16.2 255.255.255.0
frame-realy interface-dlci 46
configuration for routerb:
interface serial 0
encapsulation frame-relay
interface serial 0.1 multipoint
ip address 11.10.11.3 255.255.255.0
frame-relay interface-dlci 43
frame-relay interface-dlci 44
!
interface serial 0.2 point-point
ip address 11.10.13.1 255.255.255.0
frame-realy interface-dlci 48
frame relaytching example
configuration for routera:
frame-relaytching
no ip address
frame-relay encapsulation
frame-relay route 163 tun0 43
frame-relay intf-type dce
!
interface serial0
ip address 131.108.100.1 255.255.255.0
!
interface tu 0
tunnel source serial 1
tunnel destintion 131.108.13.2
configuration for routerb:
frame-relaytching
!
interface serial 0
no ip address
frame-relay encapsulation
frame-relay router 9 tun0 43
frame-relay interface-type dce
!
int tu 0
tunnel source serial 1
tunnel destination 131.108.100.1
channelized e1interface example
假设是7500系列路由器,e1接口(mip板)在插槽4上面。
一个channel-group 可对应多个时间槽,本例中serial4/0:1有5*64的速率
configuration for router :
controller e1 0
framing no-crc4
chanel-group 0 timeslots1
channel-group 1 timeslots 2,7-9,20 speed 64
!
interface serial4/0:0
ipaddress 16.217.30.2 255.255.255.252
encapsulation ppp
!
interface serial 4/0:1
ip address 16.205030.5 255.255.255.252
x.25 example
在配置x.25 时,为减少路由交换引起的呼叫,通常用静态路由,而当一对多情况下,不在一个子网中用subinface 配置
configuration for router:
interface serial 0
ip address 131.108.100.1 255.255.255.0
encapsulation x.25
x.25 address 041673226839
x.25 htc 16
x.25 map ip 131.108.100.2 041675222222
int s 0.1
ip address 131.108.101.1 255.255.255.0
x.25 mapip 131.108.101.2 041674222222
!
ip router 131.108.100.0 255.255.255.0 131.108.100.2
ip router 131.108.101.0 255.255.255.0 131.108.101.2
--------------------------------------------------------------------------------
7...cisco路由器基于时间的访问列表的应用[转贴]
cisco路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议极其端口的数据包过滤。随着网络的发展和用户要求的变化,从ios12.0开始,cisco路由器新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间或者根据一星期中的不同日期(当然也可以二者结合起来)控制网络数据包的转发。
一、使用方法
这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。它需要先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。并且,对于编号访问表和名称访问表都适用。
二、使用规则
用time-range 命令来指定时间范围的名称,然后用absolute命令或者一个或者多个 periodic命令来具体定义时间范围,ios命令格式为:
time-range time-range-name absolute [start time date] [end time date] periodic days-of-the week hh:mm to [days-of-the week] hh:mm
我们分别来介绍一下每个命令和参数的详细情况:
time-range:
用来定义时间范围的命令
time-range-name:
时间范围名称,用来标识时间范围,以便于在后面的访问列表中引用
absolute:
该命令用来指定绝对时间范围。它后面紧跟这start和 end两个关键字。在这两个关键字后面的时间要以24小时制、hh:mm(小时:分钟)表示,日期要按照日/月/年来表示。可以看到,他们两个可以都省略。如果省略start及其后面的时间,那表示与之相联系的permit 或deny语句立即生效,并一直作用到end处的时间为止;若省略如果省略end及其后面的时间,那表示与之相联系的permit 或deny语句在start处表示的时间开始生效,并且永远发生作用,当然把访问列表删除了的话就不会起作用了。
上面讲的就是命令和基本参数为了便于理解,下面我们来看两个例子。
如果要表示每天的早8点到晚8点就可以用这样的语句:
absolute start 8:00 end 20:00
再如,我们要使一个访问列表从2000年12月1日早5点开始起作用,直到2000年12月31日晚24点停止作用,语句如下:
absolute start 5:00 1 december 2000 end 24:00 31 december 2000
这样一来,我们就可以用这种基于时间的访问列表来实现,而不用半夜跑到办公室去删除那个访问列表了,这对于网络管理员来说应该是件好事吧。接下来,让我们看下一个periodic命令及其参数。一个时间范围只能有一个absolute语句,但是可以有几个periodic语句。
periodic:主要是以星期为参数来定义时间范围的一个命令。它的参数主要有monday、tuesday、wednesday、thursday、friday、saturday、sunday中的一个或者几个的组合,也可以是daily(每天)、weekday(周一到周五)或者weekend(周末)。
我们还是来看几个具体的例子。比如表示每周一到周五的早9点到晚10点半,就可以用:
periodic weekday 9:00 to 22:30
每周一早7点到周二的晚8点就可以用:
periodic monday to tuesday 20:00
好了,我们已经把这个时间范围如何定义弄清楚了,下面让我们看看如何在实际情况下应用这种基于时间的访问列表。
此主题相关图片如下:
例1:在如上图所示的网络中,路由器有两个以太网接口e0和e1,分别连接着202.111.170.0和202.222.100.0两个子网络,其中202.111.170.50和202.222.100.100分别是web服务器1和web服务器2。还有一个串口s1,连入internet。为了让202.111.170.0子网公司员工在工作时间不能进行web浏览,从2000年12月1日1点到2000年12月31日晚24点这一个月中,只有在周六早7点到周日晚10点才可以通过公司的网络访问internet。我们做如下的基于时间的访问控制列表来实现这样的功能:
router# config t
router(config)# interface ethernet 0
router(config-if)#ip access-group 101 in
router(config-if)#time-range http
router(config-if)#absolute start 1:00 1 december 2000 end 24:00 31
december 2000 periodic saturday 7:00 to sunday 22:00
router(config-if)#ip access-list 101 permit tcp any any eq 80 http
我们是在一个扩展访问列表的基础上再加上时间控制就达到了目的。因为是要控制web访问的协议,所以必须要用扩展列表,也就是说,编号要在100-199之间。这些关于访问列表的基础知识,请参考其他关于cisco或者ccna的基础文档。我们定义了这个时间范围名称是http,这样,我们就在列表中的最后一句方便的引用了。有了以上的详细讲解,这个很好看懂了。我们再看下面一个例子。
例2:网络结构同上例,现在假设我们的访问要求变了,服务器web2(ip:202.222.100.100)上放着的是新年贺岁版的公司主页,我们希望在2001年12月31日24:00点前,internet的用户访问的是服务器web1(ip:202.111.170.50)上的主页内容,而不能访问web2上的内容。在此之后的新年里,访问的是新年版主页而不能访问旧版本的主页。那么,我们利用带有时间控制的访问列表来自动实现这个功能,而再也不用让网管员在新年半夜时手动删除了。列表内容如下:
router# config t
router(config)#interface serial 0
router(config-if)#ip access-group web in
router(config-if)#
time-range changewebabsolute end 24:00 31 december 2000
router(config-if)#ip access-list extended web
permit tcp any host 202.111.170.50 eq 80 changeweb
deny tcp any host 202.222.100.100 eq 80 changeweb
permit tcp any host 202.222.100.100 eq 80
现在让我们分析一下这个访问控制列表。第一句是进入端口控制模式。第二句是应用名称访问列表web,并且是用在serial 0的入口方向,就是数据流入路由器的时候做协议控制分析。第三句,定义一个时间范围名称是changeweb。第四句是定义扩展名称访问列表web。第五、六句是表示在新年前,只能允许访问web1。第七句是允许所有到web2的web访问。这样第七句不是在没有时间限制的情况下全部允许了web2的访问吗?那我们的目的是如何实现的呢?不要忘记,路由器中访问控制列表的每个表项的顺序是很重要的,它是从上到下执行的,这样,在新年之前,也就是第五、六句起左右的时候,访问web2的要求已经被禁止了,所以,第七句就没有用了,而在新年之后呢,第五、六句失效了,第七句才发挥它的作用。允许所有对web2的访问请求,那么,新年之后,还能访问web1服务器吗?当然不能,因为我们第七句只允许访问web2,隐含的意思就是,其余的全部禁止。
好了,看到这儿,你不是觉的你的想法都被cisco路由器实现了?合理有效的利用基于时间的访问控制列表,可以更有效、更安全、更方便的保护我们的内部网络。这样你的网络才会更安全,网络管理员也会更轻松!
用access-list 对抗“冲击波”病毒[转贴]
最近“冲击波”病毒”(worm_msblast.a)开始在国内互联网和部分专网上传播。我以前在接入层做的access-list起了作用!
大家可以参考之
access-list 120 deny 53 any any
access-list 120 deny 55 any any
access-list 120 deny 77 any any
access-list 120 deny 103 any any
以上几条慎用!
access-list 120 deny tcp any any eq echo
access-list 120 deny tcp any any eq chargen
access-list 120 deny tcp any any eq 135
access-list 120 deny tcp any any eq 136
access-list 120 deny tcp any any eq 137
access-list 120 deny tcp any any eq 138
access-list 120 deny tcp any any eq 139
access-list 120 deny tcp any any eq 389
access-list 120 deny tcp any any eq 445
access-list 120 deny tcp any any eq 4444//新加
access-list 120 deny udp any any eq 69 //新加
access-list 120 deny udp any any eq 135
access-list 120 deny udp any any eq 136
access-list 120 deny udp any any eq 137
access-list 120 deny udp any any eq 138
access-list 120 deny udp any any eq 139
access-list 120 deny udp any any eq snmp
access-list 120 deny udp any any eq 389
access-list 120 deny udp any any eq 445
access-list 120 deny udp any any eq 1434
access-list 120 deny udp any any eq 1433
access-list 120 permit ip any any
附录:处理办法!
**********************************
(1)对于未感染的主机:
建议安http://microsoft.com/technet/securi...in/ms03-026.asp中指定的patch
(2)对于已感染的系统:
可能无法从microsoft升级补丁,建议用以下方式处理:
i. 断掉机器的物理网络连接。
ii. 执行注册表编辑命令:regedit, 检查
"hkey_local_machine\\software\\microsoft\\windows
currentversion\\run\\windows auto update" 中是
否存在 msblast.exe的键值,如果存在则删除。
iii.运行任务管理器,关闭msblast.exe进程。
iv.完成用下述两种操作之一:
a.关闭dcom: 设置hkey_local_machine\\software\\microsoft\\ole
中enabledcom键值为n.
b.设置防火墙或microsoft\'s internet
connection filter (icf)阻止incoming方向的以下端口:
69/udp 135/tcp 135/udp 139/tcp
139/udp 445/tcp 445/udp 4444/tcp。
v. 重新联接网络,安装http://microsoft.com/technet/securi...in/ms03-026.asp中指定的patch
--------------------------------------------------------------------------------
8...备份线路的配置
备份线路的配置
一、 主链路down之后,启用isdn线路
1、 配置备份线路(在主接口的接口模式下):
router(config-if)# backup interface
2、 配置备份延迟(在主接口的接口模式下):
router(config-if)# backup delay {enable-delay|never} {disable-delay|never}
其中:enable-delay表示当主接口down之后,发起备份的时间间隔;
disable-delay表示主链路恢复后,关闭备份链路的时间间隔。
二、 主链路的负载达到设定值时,启用备份链路同时传输
1、 配置备份线路(在主接口的接口模式下):
router(config-if)# backup interface
2、 配置负载参数(在主接口的接口模式下):
router(config-if)# backup load
其中:x表示,当主链路的负载达到主链路带宽的x%时,启用备份链路;
y表示,当总的链路的负载达到主链路带宽的y%时,关闭备份链路。
三、 还可以使用逻辑接口作为备份。
四、 使用浮点静态路由(floating static route)作备份
通过改变静态路由的管理距离(ad),让备份链路上的静态路由有较高的ad值。正常状态时,使用主链路的路由(因其ad值较低),当主链路down时,就会自动启用备份链路。
例子:
主链路路由: ip router 172.16.254.0 255.255.255.0 serial 0
备份链路路由:ip router 172.16.254.0 255.255.255.0 serial 1 20
注意:
1、 当两条链路静态路由的ad值设为一样的时候,可实现静态路由的等价值负载均衡。
2、 两条不同出口路径的默认路由,当其ad值不同时,可以像上面的静态路由那样实现备份;但是当其ad值相同时,不能实现所谓的“默认路由的等价值负载均衡”,只会是先配置的那条默认路由生效。
fw:注意:
1、 当两条链路静态路由的ad值设为一样的时候,可实现静态路由的等价值负载均衡。
2、 两条不同出口路径的默认路由,当其ad值不同时,可以像上面的静态路由那样实现备份;但是当其ad值相同时,不能实现所谓的“默认路由的等价值负载均衡”,只会是先配置的那条默认路由生效。
链路和出口有什么不同,能否解释一下第二句的意思!
fw:第2句的意思是:你有两个internet出口,接不同的isp,分别接你的router的s0和s1,
如果你的配置是:
ip router 0.0.0.0 0.0.0.0 s0
ip router 0.0.0.0 0.0.0.0 s1
那么,实际你的internet出口只用到了s0,因为第二句配置不会生效。因为
ip router 0.0.0.0 0.0.0.0 s0
是默认路由,只能是先配置的默认路由生效,后面一句
ip router 0.0.0.0 0.0.0.0 s1
是不起作用的。这就是:不能实现所谓的“默认路由的等价值负载均衡”。
如果你的s0和s1接到同一个网段(172.16.0.0/16),且你的配置如下:
ip router 172.16.0.0 255.255.0.0 s0
ip router 172.16.0.0 255.255.0.0 s1
则此时你到目标网段172.16.0.0/27时,s0和s1两个出口都会使用到,因为上面两句配置的是静态路由,不是默认路由。这就叫做静态路由的等价值负载均衡。
fw:上面有一句话写错了,
“则此时你到目标网段172.16.0.0/27时”应该改为:
“则此时你到目标网段172.16.0.0/16时”。
fw:再说两句
链路:一般是指路由器和其他设备连接的物理线路。
出口:一般是指整个网络或局部网络和外部网络相连接的网络线路。常用来特指内部网络和isp连接的物理线路。
--------------------------------------------------------------------------------
9...好东西好东西!
--------------------------------------------------------------------------------
10...cisco 路由器寄存器配置
配置目的:寄存器配置用于更改路由器启动过程。
启动位由4位16进制寄存器组成
格式:0xabcd
赋值范围从0x0到0xffff
0x2102 :工业默认值
0x2142 :从flash中启动,但不使用nvram中的配置文件(用于口令恢复)
0x2101 :从boot ram中启动,应用于更新系统文件
0x2141 :从boot ram中启动,但不使用nvram中的配置文件
其中c位的第三位为1时表示关闭break键,反之表示打开break键。
0x141:表示关闭break键,不使用nvram中的配置文件,并且从系统默认的rom中
的系统中启动。
0x0040:表示允许路由气读取nvram中的配置文件。
监视命令功能
o:以位的形式显示实际配置的当前起作用的寄存器,
o displays the virtual configuration register, currently in effect, wi
th a description of the bits
o/r:重置实际配置的寄存器为以下值:
?9600 (端口速率)
?break是否有效
?是否忽略nvram中的配置
?是否从rom 中启动
如:o/r 0x2102
表b-1 寄存器配置定义表
位顺序 十六进制 意义
00 to 03 0x0000 to 0x000f 启动字段
06 0x0040 使得系统软件忽略nvram中的内容
07 0x0080 oem位开启
08 0x0100 break键关闭
10 0x0400 ip广播到所有域
11 to 12 0x0800 to 0x1000 console口速率
13 0x2000 如果网络启动失败,默认从rom中启动
14 0x4000 ip broadcasts do not have net numbers
15 0x8000 启动诊断信息同时忽略nvram内容
(1)工业默认寄存器位 0x2102。这个只有以下几个部分组成
bit 13 = 0x2000, bit 8 = 0x0100, and bits 00 到 03 (参照 tableb-2) = 0
x0002.
表 b-2 启动为注视 (配置寄存器位 00 到 03)
启动位的意义
0x0:启动后停留在bootstrap状态
0x1:从 rom 中启动
0x2到0xf:指定默认的启动文件启动系统,
表b-3 console口速率设定表
速率 12位 11位
9600 0 0
4800 0 1
1200 1 0
2400 1 1
--------------------------------------------------------------------------------
11...路由器的安全配置
随着internet的快速发展和政府、企业上网工程的日益推广,越来越多的政府机关和企业在网络上建立网站来进行对外宣传,这样,网络上的安全问题就显得日益突出。许多政府机关及企业都安装了防火墙来保证网络服务器的安全,却往往忽视了站在最前沿的“卫士”——路由器。在网络上,一旦有人恶意进入你的路由器,将对你的网络安全产生极大的威胁。
实际上,路由器可以看作是一台具有中央处理器、内存、操作系统的计算机,将地理上分散的网络连接在一起,实现它们之间的网络通信。所以,路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用。在实际的工作中,我们接触到比较多的是cisco的路由器,下面就以cisco路由器为例,看看路由器的配置。
cisco路由器中的操作系统叫做互连网络操作系统(internet operating system),或简称为ios,对cisco路由器的配置可以通过手工使用连接到控制端口的终端或者利用telnet会话等方式进行配置,常用的是利用console口进行配置,将cisco自带的配置线和一台计算机的com口连接好,在windows 95/98或windows nt中的超级终端进行连接,步骤如下:
1、 在超级终端中新建连接,在连接时使用下拉式菜单种选择直连串口连接1(或者直连串口连接2),在com口的属性页中按还原默认设置,将波特率设置为9600bps、数据位8位,奇偶校验位无、停止位1,确认即可。
2、 确认之后,进入超级终端的控制窗口,这时你就可以利用这个连接对路由器进行配置。如果你的路由器是第一次打开电源,路由器将会进入到初始化配置对话,这是可根据提示一步步地对路由器进行配置。配置时请注意你输入的enable password和virtual terminal password,这两个密码将对你的路由器安全举足轻重。enable password是你进入特权模式的口令,virtual terminal password是通过虚拟终端(telnet访问)时的密码。
3、 如果你的路由器已经配置完毕,请在特权模式下执行:(特权模式的提示符为“#”)
router(config)>#sh run
你可能会看到有这么几行:
line vty 0 4
password *****(*为你设置的密码)
或
login local
这几行配置的含义是:
第一行定义五个允许的telnet访问(编码0-4),下一行表明进入到提示符前要输入密码*****或是以路由中设立的用户名和密码登录。可以看出,利用路由器中的用户名和密码登录将比直接利用密码登录安全。
下面我大致写一下在路由器中建立用户,设置进入密码和虚终端密码的步骤:
router>
//进入到特权模式下
router >enable
password:
//进入到全局模式下
router #conf t
enter configuration commands, one per line. end with cntl/z.
//给自己的路由器起一个名字
router (config)#hostname myrouter
//将enable的密码设置为ababab
router (config)#enable password ababab
//在路由器中建立用户名称为aaa密码为bbb
myrouter (config)#username aaa password bbb
//配置console口
myrouter (config)#line con 0
//用路由器中的用户名和密码登录
myrouter (config-line)#login local
myrouter (config-line)#flowcontrol hardware
myrouter (config-line)#end
//配置远程登录虚终端0-4
myrouter (config)#line vty 0 4
//用路由器中的用户名和密码登录
myrouter (config-line)#login local
myrouter (config-line)#end
myrouter (config)#end
//将刚才的设置存盘
myrouter >write
配置完成之后,你可以用telnet远程登录你的路由器来测试一下,看登录和进入特权模式是否需要密码。
--------------------------------------------------------------------------------
12...cisco设备上设置dhcp实例
客户想把dhcp server迁移到6509交换机的msfc上,要求还挺复杂:
1.同时为多个vlan的客户机分配地址
2.vlan内有部分地址采用手工分配的方式
3.为客户指定网关、wins服务器等
4.vlan 2的地址租用有效期限为1天,其它为3天
5.按mac地址为特定用户分配指定的ip地址
最终配置如下:
ip dhcp excluded-address 10.1.1.1 10.1.1.19 //不用于动态地址分配的地址
ip dhcp excluded-address 10.1.1.240 10.1.1.254
ip dhcp excluded-address 10.1.2.1 10.1.2.19
!
ip dhcp pool global //global是pool name, 由用户指定
network 10.1.0.0 255.255.0.0 //动态分配的地址段
domain-name client.com //为客户机配置域后缀
dns-server 10.1.1.1 10.1.1.2 //为客户机配置dns服务器
netbios-name-server 10.1.1.5 10.1.1.6 //为客户机配置wins服务器
netbios-node-type h-node //为客户机配置节点模式(影响名称解释的顺利,如h-node=先通过wins服务器解释...)
lease 3 //地址租用期限: 3天
ip dhcp pool vlan1
network 10.1.1.0 255.255.255.0 //本pool是global的子pool, 将从global pool继承domain-name等option
default-router 10.1.1.100 10.1.1.101 //为客户机配置默认网关
!
ip dhcp pool vlan2 //为另一vlan配置的pool
network 10.1.2.0 255.255.255.0
default-router 10.1.2.100 10.1.2.101
lease 1
!
ip dhcp pool vlan1_john //总是为mac地址为...的机器分配...地址
host 10.1.1.21 255.255.255.0
client-identifier 010050.bade.6384 //client-identifier=01加上客户机网卡地址
!
ip dhcp pool vlan1_tom
host 10.1.1.50 255.255.255.0
client-identifier 010010.3ab1.eac8
相关的dhcp调试命令:
no service dhcp //停止dhcp服务[默认为启用dhcp服务]
sh ip dhcp binding //显示地址分配情况
show ip dhcp conflict //显示地址冲突情况
debug ip dhcp server {events | packets | linkage} //观察dhcp服务器工作情况
如果dhcp客户机分配不到ip地址,常见的原因有两个。第一种情况是没有把连接客户机的端口设置为portfast方式。ms客户机开机后检查网卡连接正常,link是up的,就开始发送dhcpdiscover请求,而此时交换机端口正在经历生成树计算,一般需要30-50秒才能进入转发状态。ms客户机没有收到dhcp server的响应就会给网卡设置一个169.169.x.x的ip地址。解决的方法是把交换机端口设置为portfast方式:catos(4000/5000/6000): set spantree portfast mod_num/port_num enable; ios(2900/3500): interface ... ; spanning-tree portfast。
另外一种情况是dhcp服务器和dhcp工作站不在同一个vlan,这时候通常通过设置ip helper-address来解决:
interface vlan1
ip address 10.1.1.254 255.255.255.0 //假设dhcp服务器地址为10.1.1.8
interface vlan2
ip address 10.1.2.254 255.255.255.0
ip helper-address 10.1.1.8 //假设这是dhcp客户机所在的vlan
参考资料网页:
dhcp configuring
dhcp commands
ip helper-address
portfast
--------------------------------------------------------------------------------
13...学习!楼主继续贴~~!支持!
--------------------------------------------------------------------------------
14...楼主很认真
--------------------------------------------------------------------------------
15...关于路由器cpu利用率过高的解决
show process cpu 如显示ip input process is using a lot of cpu resources,检查以下情况:
一、fasttching 在大流量的外出接口上是否被disabled.可以用 show interfacestching 命令察看接口流量.然后在接口上重新 re-enable fasttching .记住 fasttching是配置在output 接口.
二、fasttching on the same interface是否被disabled. 如一个接口配有多个网段(secondary addresses )并且在这些网段间流量很大时 路由器工作在processtches方式 .这种情况下要在接口上enable ip route-cache same-interface
三、不能被fasttched的包有tching cache没有entry的包、目的地是路由器的包、需要协议转换的包、做了policy routing的包、x.25 encapsulation的包、multilink ppp、压缩和加密的包目的地是router的包
举例:1.路由更新信息(取决于路由协议) 过快的更新值显示网络不稳定并增加了cpu utilization. 可以用show ip route检查路由表
2.其它人登录运行命令导致大量log输出3.spoof 攻击.用show ip traffic 命令确认,可发现大量到本地的包.
第二步,用 show interfaces 和show interfacestching命令识别大量包进出的端口;一旦你确认进入端口后,打开 ip accounting on the outgoing interface看其特征.如果是攻击, 源地址会不断变化但是目的地址不变.可以用access list暂时解决此类问题 (最好在接近攻击源的设备上配置), 最终解决办法是停止攻击源。
4.需policy routing的包.在 cisco ios version 11.3以前, policy-routed packets不能被 fasttched. ios version 11.3 以后允许 policy-routed packets to be fasttched.使用接口命令ip route-cache policy。
5.通过x.25封装的包,因为有 flow control on the second open system interconnection (osi) layer.7.compressed traffic.如没有compression service adapter (csa) in the router, compressed packets must be processtched.8.encrypted traffic. 如没有 encryption service adapter (esa) in the router, encrypted packets must be processtched.
9.大量的user datagram protocol (udp) 流量. 可以用解决 spoof attack的步骤解决.
10.大量组播流穿越路由器。可以enable fasttching of multicast packets using the ip mroute-cache interface configuration command (fasttching of multicast packets is off by default).
11.大量广播包。 check the number of broadcast packets in the show interfaces command output.
12.路由器被 over-used 不能处理amount of traffic, 可以用 load among other routers 或者 考虑另购买high-end router.
13.路由器配置了ip nat (network address translation)并且有很多 dns (domain name system) 包穿越 router. udp or tcp packets with source and/or destination port 53 (dns) are always punted to process level by nat.
无论是什么原因导致high cpu utilization in the ip input process, 都可以用 debugging ip packets察看.因为 cpu utilization已经较高, debugging产生的许多信息只能通过 logging buffered而不能 logging to a console。 debugging过程不要超过 3-5秒。如果发现可疑的源可以断掉其设备的连接或者用acl过滤到目的地的包
1 控制口连接
先将cisco2500/1000系列路由器附件中的控制电缆rj45的一端连接到cisco的con
sole口上,ciso7000/4000系列路由器则将modem电缆的db25的一端接到cisco的c
onsole口上,db9的一端连接到pc的com1/2上。
在pc上设置仿真终端程序:比如用windows中的terminal程序,使用com1/2,960
0bps,8
data bit,2stop
bit。其余使用默认值。做好控制口连接后,打开路由器的电源开关。
2 初始安装
一般建议使用机器安装,这样既美观又便于维护。
!!!注意:路由器必须使用带有有效地的电源。一般要求使用的电源的零地间
的电压<4v,零火/地火的电压就为220v。地线保护基本上要求上网的设备需有保
护地线,这些设备包括主机、工作站
、hub、交换器、路由器及连接路由器的modem等。配置路由器的终端或pc机也必
须使用带有有效地的电源。
cisco的同步串行接口是多用的,通过不同的电缆可引出不同的接口,如rs232、
v.35等。并且cisco的同步串行接口电缆的电缆是特别预制的。
第一次安装时系统会自动进入dialog
setup。依次回答路由器名称,加密超级登录密码,超级登录密码,远程登录密码
,动态路由协议,各个接口的配置等。之后回答yes保存该配置。然后等2分钟,
按
回车数下。出现路由器名称。打入enable命令,回答超级登录密码。出现路由器
名称#。打入config
terminal配置路由器:
no service config
no ip domain-lookup
(进一步的配置)
按ctrl-z退出,出现路由器名称#。打入write
memory保存配置。
3 一般同步拨号、专线、ddn连接配置
ipx routing ipx routing
interface serial 0 interface serial 0
ip address 1.1.1.1 255.0.0.0 ip address 1.1.1.2.
255.0.0.0
ipx network 111 ipx
network 111
interface ethernet 0 interface ethernet 0
ip address 12.1.1.1 255.0.0.0 ipaddress 16.1.1.1
255.0.0.0
ipx network 123456 ipx
network 987654
router igrp 1 router
igrp 1
network 1.0.0.0 network 1.0.0.0
network 12.0.0.0 network
16.0.0.0
4 x.25连接配置
ip routing ip
routing
interface serial 0 interface serial 0
ip address 1.1.1.1 255.0.0.0 ip address 1.1.1.2
255.0.0.0
encapsulation x25 encapsulation x25
x25 address 32699 x25 address 32688
x25 htc 16 x25 htc 16
x25 idle
6 x25 idle 6
x25 map ip 1.1.1. 2 32688 broadcast x25 map ip 1.1.1.1
32699 broadcast
interface ethernet 0 interface ethernet 0
ip address 12.1.1.1 255.0.0.0 ip address 16.1.1.1 255.0.0.0
router igrp 1 router igrp
1
network 1.0.0.0 network 1.0.0.0
network 12.0.0.0 network 16.0.0.0
5 一般故障判断
首先看modem的状态,如果modem的dcd不亮,则表示线路连接故障,请先检查线路
连接。
再检查路由器的电缆连接。
将控制终端连接到路由器上。按回车数下,出现路由器名称,打入show
interface serial 0
观看第一行,line和line protocol的状态:
如果line is
up,表示路由器接收的该线路接口的dcd信号;否则表示线路接口的dcd信号为低
。
如果line protocol is
up,表示该线路接口的线路协议匹配成功。否则表示线路协议匹配失败。
打入show interface ethernet 0
如果line protocol is up,表示该线路接口连接正常。
6 故障检测及排除方法
通信系统在运行中可能出现一些故障,我们如何迅速地找出故障所在,并及时修
改,是维持系统正常运行的关键,下面,我们就端口、线路、链路等方面,提供
一些参考方法:
(2)判断以太端口故障:
对于以太端口故障的诊断,我们可以用 show interface
ethernet 0
(对于以太端口0的诊断)的命令,它用来检查一条链路的状态,如下所示:
router# show int ethernet 0
ethernet 0 is up,line protocol is up
: 正常 ===============ethernet 0 is up,line protocol is up
: 连接故障,路由器未接到lan上 ======ethernet 0 is up,line
protocol is down
: 接口故障 ====== ethernet 0 is down,line protocol is down(disable)
: 接口被人为地关闭 ===== ethernet 0 is administratively down,line
protocol is down(可在配置状态中 interface_mode
下去掉shutdown命令)。
此外,当我们怀疑端口有物理性故障时,可用 shown
version,将显示出物理性正常的端口,而出现物理故障的端口将不被显示出来。
(2)判断串行端口故障
当发现与远程的通信中断时,我们应按照下面这个顺序来隔离故障:
线路---*}端口
判断线路是否中断
:ddn线路。查看dtu的指示灯,dtu上共有四种指示灯:power、line、dtr、rea
dy
。power灯在dtu上电后应保持长亮,而line、ready灯就表示了该dtu与ddn节点机
连接的情况,正常情况下这两个灯也应该长亮。
如果发现有异,应及时与ddn网管中心联系。dtr灯表示dtu与dte(路由器)的连
接情况,当路由器上电后,若串口状态正常,则dtu上的dtr灯也应保持长亮(当
线路不通时,偶尔闪熄一下)。
:模拟线路。查看modem上的指示灯,对于同步专线,一般来说,cd、td、rd应保
持长亮,当有数据在广域网线路上传输时,td和rd灯将不停闪烁,当这些灯不正
常时,应与电信部门联系。
(b)判断端口故障:
对于串行端口故障的诊断,我们可以用 show interface serial
0
(对于串行端口0的诊断,别的串行端口的诊断类似)的命令,它用来检查一条链路
的状态,如下所示:
router# show int serial 0
serial 0 is up,line protocol is up
: serialt 0 is up,line protocol is up=====正常
: serial 0 is up,line protocol is
down=====端口无物理故障,但上层协议未通(ip、ipx、x25等,请查看路由器的
配置命令,检查地址是否匹配)。
: serial 0 is down,line protocol is
down(disable):端口出现物理性故障,只有更换端口。
: serial 0 is down,line protocol is
down:dce设备(moden/dtu)未送来载波/时钟信号,请与电信部门联系。
: serial 0 is administratively down,line protocol is
down====接口被人为地关闭,可在配置状态中 interface_mode
下去掉shutdown命令。
此外,当我们怀疑端口有物理性故障时,可用 shown
version,将显示出物理性正常的端口,而出现物理故障的端口将不被显示出来。
7 一般命令
(=后面的命令是11.0以后提供的等效命令)
enable 进入超级登录
disable 退出超级登录
show config=show start 显示nvram的配置
write terminal=show run 显示当前有效的配置
write memory=copy run start 保存当前有效的配置到nvram中
write erase 清除nvram的配置
show interface serial 0 显示串行接口0的状态
show ip route 显示当前ip路由表
show ipx route 显示当前ipx路由表
show ipx servers 显示当前ipx服务器表
config
terminal 从终端上配置路由器,按ctrl-z退出
ipx routing 在该路由器上激活ipx
interface serial 0 配置同步串行接口0
encapsulation ppp 该接口的线路协议为ppp
ip address 12.1.1.1
255.0.0.0 该接口的ip地址是12.1.1.1,子网掩码是255.0.0.0
ipx
nework 123456 该接口的ipx网络地址是123456
router rip 配置路由协议rip
network 12.0.0.0 该路由协议包括12.0.0.0网络
--------------------------------------------------------------------------------
2...关于路由器常见问题
1. 如果要在路由器上实现nat,对ios有何要求?
需要ip plus ios
2. 在2511上执行erase flash时为什么会收到如下信息:
error while erasing flash: device is read-only
因为此时2511是从flash启动的,可用以下命令改变启动方式:
conf t
config-register 0x101
router# reload
router(boot)#copy tftp flash.
在boot模式下你可以删除或升级flash中的内容。
另外要注意在升级flash之后将启动方式改回flash.
router(boot)#conf t
router(boot)(config)# config-reg 0x102
router(boot)(config)#^z
router(boot)#reload
3.cisco3600系列路由器目前是否支持广域网接口卡wic-2t和wic-2a/s?
cisco3600系列路由器在12.007xk及以上版本支持wic-2t和wic-2a/s这两种广域网接口卡。
但是需要注意的是:
只有快速以太网混合网络模块能够支持这两种广域网接口卡。
支持这两种接口卡的网络模块如下所示:
nm-1fe2w, nm-2fe2w, nm-1fe1r2w, nm-2w。
而以太网混合网络模块不支持,如下所示:
nm-1e2w,nm-2e2w, nm1e1r2w。
4.cisco3600系列路由器的nm(4a/s,nm(8a/s网络模块和wic(2a/s广域网接口卡支持的最大异/同步速率各是多少?
这些网络模块和广域网接口卡既能够支持异步,也能够支持同步。支持的最大异步速率均为115.2kbps,最大同步速率均为128kbps。
5.wic-2t与wic-1t的电缆各是哪种?
wic-1t:db60转v35或rs232、 449等电缆。 如:cab-v35-mt。
wic-2t:smart型转v35或rs232、 449等电缆。 如: cab-ss-v35-mt。
6.cisco 7000系列上的me1与cisco 2600/3600上的e1、 ce1有什么区别?
cisco 7000上的me1可配置为e1、 ce1, 而cisco 2600/3600上的e1、 ce1仅支持自己的功能。
7.cisco 2600系列路由器,是否支持vlan间路由,对ios软件有何需求?
cisco(2600系列路由器中,只有cisco2620和cisco2621可以支持vlan间的 路由(百兆端口才支持vlan间路由)。并且如果支持vlan间路由,要求ios软件必须包括ip plus特性集。
8.cisco3660路由器与3620/3640路由器相比在硬件上有那些不同?
不同点如下:
* cisco3660路由器基本配置包括1或2个10/100m自适应快速以太网接口;而cisco3620/3640基本配置中不包括以太网接口。
* cisco3660路由器支持网络模块热插拔,而 cisco3620/3640不支持网络模块热插拔。
* cisco3660的冗余电源为内置, 而cisco3620/3640的冗余电源为外置的。
9. 为什么我的3640不能识别nm-1fe2w?
需要将ios升级到12.0.7t
--------------------------------------------------------------------------------
3...
关于交换机的常见问题
a.关于堆叠技术:
1.catalyst 3500xl/2900xl的堆叠是如何实现的?
a. 需要使用专门的堆叠电缆,1米长或50厘米长(cab-gs-1m或cab-gs-50cm)以及专门的千兆堆叠卡gigastack gbic (ws-x3500-xl) (该卡已含cab-gs-50cm 堆叠电缆)。
b. 可以选用2种堆叠方法:菊花链法(提供1g的带宽)或点对点法(提供 2g的带宽)。
c. 2种方法都可以做备份。
d. 菊花链法最多可支持9台交换机的堆叠, 点对点法最多可支持8台。
2. catalyst 3500 xl系列交换机做堆叠时,是否支持冗余备份?
catalyst3500xl系列交换机的堆叠有两种实现方法:菊花链方式和点到点方式。
当使用菊花链方式时,堆叠的交换机依次连接,交换机之间可以达到1gbps的传输带宽;
当使用点到点方式时,需要一台单独的 catalyst3508g-xl交换机, 其余的交换机通过堆叠gbic卡和堆叠线缆与3508g相连,这种方法最大可以达到2gbps的全双工传输带宽。
这两种方法都分别支持堆叠的冗余连接。当使用菊花链连接方式时,冗余连接是通过将最上面的交换机与最下面的交换机用堆叠线缆相连接完成的。而当使用点到点连接时,是通过使用第2台3508交换机来完成的。
3. catalyst3500 xl的一个千兆口使用堆叠卡做堆叠后, 另外一个千兆口是否可以连接千兆的交换机或千兆的服务器?
可以。需使用1000base-sx gbic或1000base-lx/lh gbic。
b. 关于集群技术
1. 能够支持cluster技术的产品目前主要有哪几种,其软件版本要求如何?
此主题相关图片如下:
c.ethernet channel technology
1. ethernet channel tech. 可以应用在什么网络设备之间?如何使用?
可以应用在交换机之间, 交换机和路由器之间,交换机和服务器之间
可以将2个或4个10/100mbps或1000mbps端口使用 ethernet channel tech.,达到最多400m(10/100mbps端口)、4g(1000mbps端口) 或800m(10/100mbps端口)、8g(1000mbps端口) 的带宽。
2. ethernet channel technology有什么作用?
增加带宽,负载均衡,线路备份
3. 当端口设置成 ethernet channel时,如何选择线路?
根据数据帧的以太网源地址和目的地址最后1位或2位做或运算,决定从哪条链路输出。对于路由器来说是根据网络地址做或运算,以决定链路的输出。
4. ethernet channel technology 与 pagp (port aggregation protocol ) 的区别?
pagp是 ethernet channel的增强版,它支持在 ethernet channel 上的 spanning tree protocol和uplink fast,并支持自动配置 ethernet channel 的捆绑。
d. catalyst 4000 系列
1.catalyst 4003和catalyst 4006有何区别?
catalyst4003和4006都是模块化的千兆以太网交换机。它们的区别主要有以下几个方面。
此主题相关图片如下:
2.catalyst4000系列是否支持isl?
从supervisor engine software release 5.1开始支持。
3.catalyst4000交换机的冗余电源选项4008/2和4008/3有何区别?
catalyst4003交换机机箱上有两个电源插槽,出厂时本身自带一个电源,4008/2是专为其定制的冗余电源。catalyst4006的机箱上有三个电源插槽,出厂时带有2个电源供电,4008/3是为其定制的专用冗余电源。
4.catalyst 4006的三层交换模块是否不含以太网端口?
不,catalyst4006的三层交换模块含有32个10/100自适应端口和2个千兆端口。 在4003上使用时可替代原有的ws-x4232-gb-rj模块, 从而不影响网络结构。
5.ws-c4003-s1与ws-c4003-s1-82有什么区别?
后者除了含有前者所含的机箱、电源、引擎外,还含有1个48*10/100端口的模块和1个32*10/100+2*1000端口的模块。
6.catalyst 4000系列模块化交换机使用千兆交换模块时, 如何选用目前存在的两种交换模块(产品编号如下)?
ws-x4306-gb catalyst 4000 gigabit ethernet module, 6-ports (gbic)
ws-x4418-gb catalyst 4000 ge module, servertching 18-ports (gbic)
这两个模块的使用环境不同
ws-x4306-gb 是一个6口的千兆交换模块,每个端口独占千兆的带宽,适合做网络的主干,用来连接具有千兆接口的交换机;也可以与具有千兆网卡的服务器相连。 ws-x4418-gb 是一个18口的千兆交换模块,其中有两个口是独占千兆的带宽,另外16个口共享8g的全双工的带宽,但每个端口可以突发到千兆。此模块适合在服务器比较集中的地方连接千兆的服务器,而不适合连接网络主干。
e. catalyst 5000 系列
1.catalyst5500交换机上的百兆光纤模块ws-x5201和ws-x5201r有何区别,为何后者功能比前者多,但价格却比前者便宜?
在功能上,ws-x5201r上支持802.1q/isl协议,而ws-x5201上没有。ws-x5201r价格上更便宜是因为它被制造出来的时间较前者晚,因而在成本上较前者更低,所以价格更便宜。
2.cisco5500系列交换机的交换引擎具有多种类型,它们之间有何异同点?
cisco5500系列交换机的交换引擎主要有以下5种:supervisor ii,supervisor iig, supervisor iiif, supervisor iiig, supervisor iii。
它们的主要区别如下表所示:
此主题相关图片如下:
3.catalyst5500交换机的msm模块能否实现在广域网上的路由交换功能?
不能,这是因为该模块虽然可以实现第三层的功能,但由于它所支持的路由协议与传统路由器所支持的路由协议不同(前者路由选择算法较后者简单),因此它只能在内部网(intranet)中实现第三层交换功能,而不能在广域网中(internet)作为路由。
4.catalyst 5000上ws-x5012与ws-x5012a (48 端口 ethernettching module) 有什么区别?
ws-x5012a是ws-x5012为降低生产成本而形成的改进版, 两者功能相同, 价格相同。
5.catalyst 5000上ws-x5014是什么模块?
48端口10baset rj-45交换以太网模块, 支持全双工/半双工的自适应, 适合于配线间应用, 需2个插槽。
6.catalyst 5000上ws-x5410(9端口gectching module)占用几个插槽?
2个。
7.catalyst5000/5500是否都支持ws-x5410(9端口gectching module) 模块?
目前只有在5500系列和引擎iii 4.2(1)版上才支持。
f. catalyst 6000 系列
1.catalyst 6000系列的背板带宽和包转发速率各为多少?
catalyst 6500系列的背板带宽可扩展到256gbps, 包转发速率可扩展到150mpps; catalyst 6000系列作为一个经济有效的解决方案可提供到32gbps的背板带宽和15mpps的包转发速率。
2.catalyst 6000系列的msfc 要求多少m dram ?
catalyst 6000系列ios软件存放在msfc里, msfc要求有128m dram。 缺省配置已含128m dram。
3.catalyst 6000系列上的插槽是否有限制?
除第一个插槽专用于引擎, 第二个插槽可用于备份引擎或线卡, 其它插槽都用于线卡。
4.catalyst 6000系列有几种引擎?
catalyst 6000系列的引擎分为supervisor engine 1和supervisor engine 1a两种, 其中 supervisor engine 1a 有两个特定的备份引擎。其型号分别如下:
此主题相关图片如下:
5.catalyst 6000系列上备份引擎与主引擎必须是一致的吗?
是的。 catalyst 6000系列的备份引擎与主引擎必须是一致的, 例如, 不能将不带msfc&pfc的引擎给带msfc&pfc的引擎作备份。 另外, ws-x6k-sup1a-pfc 和 ws-x6k-sup1a-msfc有专门的备份引擎。
主、备引擎的对应关系如下:
此主题相关图片如下:
6.catalyst 6000系列支持的路由协议有哪些?
catalyst 6000系列支持的路由协议有:ospf, igrp, eigrp, bgp4, is-is, rip和rip ii; 对于组播pim支持sparse和dense两种模式; 支持的非 ip 路由协议有: nlsp, ipx rip/sap, ipx eigrp, rtmp, apple talk eigrp和decnet phase iv和v。
7.catalyst 6000系列支持的网络协议有哪些?
msm上支持 6mpps 的 ip、 ip 组播和 ipx 。 引擎上的msfc 支持 15mpps的 ip、 ip 组播、ipx以及 appletalk、 vines、 decnet.
8.catalyst6000上若引擎为sup-1a-2ge, 怎么实现三层交换的功能?
用msm实现。 6000上只有含有msfc的引擎才能通过msfc实现三层交换功能, 在6000上, msfc是不能单独订购的。
9.catalyst? 6000交换机和catalyst? 6500交换机有何区别?6000交换机是否可以升级到6500交换机?
catalyst? 6000系列交换机的背板带宽为32g,而6500系列交换机的背板带宽最大可以扩展到256g。由于这两个系列的交换机使用的背板总线结构不同,所以6000交换机不能升级到6500系列交换机。
但这两个系列交换机使用相同的交换模块。
g. catalyst 3500xl 系列
1.catalyst3508g是否也可以同catalyst3524一样采用菊花链堆叠模式?
完全可以。
h. 其它
1.catalyst2900xl/3500xl系列交换机可支持多少个mac地址和多少个基于端口的vlan?
此主题相关图片如下:
2.在交换机之间配置uplink-fast时,是否需要关闭原有spanning-tree选项?
不需要,uplink-fast实际上使用的是一种简化的spanning-tree算法, 与标准的spanning-tree兼容,因此不需关闭该功能。
3.当用户配置catalyst? 5000或6000等型号交换机时,有一些交换模块只能提供telco接口,如何选择?
为了增加交换机端口密度,象catalyst? 5000等一些型号的以太网交换机提供了telco的接口,这种接口的物理连接类型为rj21,每个接口能够对应12个rj45的接口。当配置这种交换模块时,需要配置rj21转化成rj45的线缆。
注意当选择线缆时:当这种交换模块提供100m的交换时,需选用5类双绞线的电缆,而不要选用3类双绞线的电缆。
4.cisco catalyst系列千兆交換机上的sx、lx和cx的信號在多模和單模光纖上的傳輸距离各是多遠?
此主题相关图片如下:
5.百兆光纖模塊在多模和單模光纖上的傳輸距离是多少?
百兆在多模光纖上的最大傳輸距离是400米(dte-dte),和300米(中 間 有 1个中 繼 器 )。在單模光 纖上的傳輸距离沒有被具体定義。但在實際使用當中,百兆模塊經常用來傳輸距离在1-2公里左右的多模光 纖或距离在30-40公里左右的单模光纤上的數据流量,在撸乐智闆r下,其传输速率已經達不到百兆。(见下表)
此主题相关图片如下:
--------------------------------------------------------------------------------
4...cisco adsl 配置说明
!
vpdn enable
no vpdn logging <=由于adsl的pppoe应用是通过虚拟拨号来实现的所以在路由器中需要使用vpdn的功能
!
vpdn-group pppoe <=为pppoe启动了vpdn的进程
request-dialin
protocol pppoe <=设置拨号协议为pppoe
!
interface fastethernet0 <=设置公司内部网络地址
ip address 192.168.0.1 255.255.255.0
ip nat inside <=为启用nat转换,设置fast ethernet端口为内部网络,从内部网络收到的数据的原地址转换为公网地址
!
interface atm0 <=设置adsl端口
no ip address <=请不要设置地址
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
hold-queue 224 in
interface atm0.1 point-to-point <=adsl的通讯 依靠vc,所以必须设定点到点vc
pvc 8/35 <=设置pvc的相关参数, 即vci和vpi的值,如果不清楚请向局端查询
pppoe-client dial-pool-number 1 <=pppoe拨号进程使用了常规的拨号进程,这里引用了dialer-pool 1
!
interface dialer1 <=建立一个虚拟拨号端口 ip address negotiated <=由于局端提供动态地址,所以必须设定地址为协商获得
ip mtu 1492 <=修改mtu值以适用于adsl网络
ip nat outside <=为启用nat转换,设置该端口为外部网络
encapsulation ppp <=使用ppp的帧格式
dialer pool 1
ppp authentication pap callin <=设置拨号的验证方式为pap
ppp pap sent vip pass vip <=发送用户名和密码
ip nat inside source list 1 interface dialer1 overload
<=设置了nat的转换方式,使用了dialer 1端口的动态地址
ip classless
ip route 0.0.0.0 0.0.0.0 dialer1
<=将所有不可路由的数据报转发给adsl线路,设定缺省路由
no ip http server
!
access-list 1 permit 10.92.1.0 0.0.0.255
--------------------------------------------------------------------------------
5...ddn配置实例
对于一个局域网的外连,有很多种方式ddn专线就是其中的一种(具体外连方式请见网络基础部分).在下面的实例中介绍了蓝色家园内部局域网接入当地isp的配置.
蓝色家园内部局域网:10.1.8.0/24
蓝色家园路由器的ethernet 0:10.1.8.1/24
serial 0: 192.168.0.1/30
isp路由器 serial 0: 192.168.0.2/30
具体拓扑图如下:
此主题相关图片如下:
也许cisco操作系统的玄虚性以及其在市场中的占有率,决定了人们对其技术的一种仰慕,甚至想把自己的技术奋斗目标与 cisco 绑定.但是,技术总归是技术,一切都是从头开始的.
下面给出蓝色家园路由器的基本配置
1.route>en 进入特权状态
2.route#config t 通过端口进行配置
3.在配置状态下
给出e0/s0的ip地址
#int e0/0
#ip add 10.1.8.1 255.255.255.0
#no shut
#int s0/0
#ip add 192.168.0.1 255.255.255.252
#en ppp (允许在专线上发送ppp包,如果不写,对于两端都是cisco路由器是没问题的,会默认为cisco 自己的打包方式)
# no shut
4.给出蓝色家园到isp的路由,因为蓝色家园只有一个出路,所以给出静态路由
#ip route 0.0.0.0 0.0.0.0 192.168.0.2
或者
#ip route 0.0.0.0 0.0.0.0 serial 0
5.为了保证远程管理的telnet 必须给出登陆用户
#line vty 0 4
&nnbsp; #password bluegarden
6.ctrl+z退出特权配置状态 wr将配置写入路由器即可
当然以上只是一个基本配置,能够保证数据通道的畅通.但是并没有充分利用路由器的功能,例如:nat、安全等等。
下面给出一个完整的配置 with nat(为了明确例子,广域网连接中的子网变成192.168.1.0/24)
hostname bluegarden
!
enable password bluegarden
!
no ip name-server
!
ip subnet-zero
no ip domain-lookup
ip routing
!
interface ethernet 0
no shutdown
ip address 10.1.8.1 255.255.255.0
ip address 192.16.1.1 255.255.255.0
ip nat inside
!
interface serial 0
no shutdown
ip address 192.168.1.2 255.255.255.0
ip nat outside
encapsulation hdlc
ip nat pool bluegarden 192.16.1.10 192.168.50 prefix-length 24
ip nat inside source list 1 pool bluegarden
router rip
version 2
network 10.1.8.0 255.255.255.0
passive-interface serial 0
access-list 1 permit 10.1.8.0 0.0.0.255
!
ip classless
!
ip route 0.0.0.0 0.0.0.0 serial 0
no ip http server
snmp-server community public ro
no snmp-server location
no snmp-server contact
!
line console 0
password bluegarden
login
!
line vty 0 4
password bluegarden
login
!
end
>ctrl z
#wr
--------------------------------------------------------------------------------
6...cisco3640路由器设置
一、 设置路由器管理信息
1、 用扁平控制线接上9孔接头,连接console到终端或pc串口,设置终端或直接连至串口的超级终端的参数:band率9600,无奇偶校验,8位数据位,1位停止位.
2、 路由器上电,终端屏幕会显示上电过程。
3、 进入特权模式设置口令
line vty 0 4
password bc123
exit
enable secret bc123fzq123
exit
4、 在特权模式设置路由器信息:
hostname bc3640
ip domain-list jzl.cq
ip domain-list jz2.cq
ip domain-name jzl.cq
ip name-sever 10.54.34.1
5、 进入全局模式,配置以太网地址
configure timinal
interface fastethernet 0/0
ip address 192.168.254.254 255.255.255.0
no shutdown
exit
interface fastethernet 1/0
ip address 10.154.34.253 255.255.255.252
noshut down
exit
设置ip路由功能开放
ip routing
设置拨入客户名和口令
username user1 password 123
设置拨号组参数,为拨号客户指定ip地址
line 65 72
autoselect ppp
modem inout
transport inputall
exit
interface group-async1
ip unnumbered fastethernet 1/0
encapsulation ppp
dialer in band
dialer map ip 10.154.34.247 name user 1
async default routing
anync mode interactive
peer default ip address pool default
ppp authentication chap pap
group-ranger 65 72 ;路由器远程拨入端口
设置内部ospf路由协议、静态路由
access-list 77 permit 10.154.34.0 0.0.1.255
router ospf 110
redistribute connected subnets
redistribute static subnets
passive-interface fastethernet 0/0
network 10.154.34.0 0.0.255 area 0
network 10.154.35.0 0.0.0.255 area 0
distribute-list 77 out
exit
ip default-gateway 10.154.34.254
ip router 0.0.0.0 0.0.0.0 10.154.34.254
ip router 10.0.0.0 255.0.0.0 10.154.34.254
ip router 192.168.0.0 255.255.0.0 192.168.254.1
设置nat转换
access-list 99 deny 192.168.3.1
access-list 99 permit 192.168.3.0 0.0.0.255
access-list 99 permit 192.168.0.0 0.0.255.255
ip nat pool netdyn 10.154.35.1 10.154.35.126 netmask 255.255.255.0
ip nat inside source list 99 pool netdyn overload
ip nat inside source static 192.168.3.1 10.154.35.1
interface fastethernet1/0
ip nat outside
exit
interface group-async1
ip nat outside
exit
interface fastethernet 0/0
ip nat insider
exit
write memory
二、 cisco路由器广域网配置向导
1、 dial-on demand routing (ddr)是用公共电话网提供了网络连接。通常的,广域网大多数使用专线连接的,路由器连接到类似modem or isdntas 的数据终端dce设备上,他们支持同步v.25bits协议,你可以用scripts and dialer命令设定拨号串。
ddr比较适用于用户对数率要求不高,偶尔有数据传输或只是在特定时候传输数据,比如银行每晚传送报表等等情况下。
当一个感兴趣的包到达路由器时,产生一个ddr请求,路由器发送呼叫建立信息给指定的串口的dce设备,这个呼叫就把本地的和远程的设备连接起来,一旦没有数据传输,空闲时间开始记时,超过设置的记时时间,连接终止。ddr现在都用静态路由来传输数据,避免路由交换引起的ddr拨号。
和xns可以通过ddr路由寻址,同步串口,异步串口和isdn端口可以配置成到一个或多个目的地的ddr连接。
下面是一个典型的ddr连接:
在配置ddr过程中,我们可以把一个或几个物理端口配置成一个逻辑拨号接口,他可以是同步v.25方式,同步dyr启动拨号或异步chatscript方式
在端口配置模式下:
在一个端口激活dial-on-demand routing
命令:dialer in-band
指定一个端口为拨号访问组:dialer-group group-number
指定一个单一电话号码:dialer string dialer-string
断线前空前等待时间:dialer idle-time seconds
定义一个或多个目的电话号码表:
dialer map protocol net-hop-address dialer-string
限定传输的access-list表或特定协议:
dialer-list dialer-group list access-list-number或
dialer-list dialer-group protocol protocol name(permit/deny/list access-list-number)
具体配置:
!
interface serial 0
ip address 131.108.126.1 255.255.255.0
dialer in-band
dialer-group 1
!
dialer map ip 131.108.126.2 55551234
!
dialer idle-timeout 300
dialer backup example
a) 同步v.25bits方式
configuration for routera:
interface serial 10:0
backup delay 0 10
backup interface serial 110
ip address 16.217.30.2 255.255.255.252
!
interface serial 110
ip address 16.30.16.81 255.255.255.25.0
encapsulation ppp
dialer in-band
dialer string 8292
dialer-group 1
pulse-time 1
!
dilar-list 1 protocol ip permit
b) 辅助口作拨号备份
configuration for routera:
chat-script mydial “””atdt 8292” timeout 60 “connect”
!
interface serial 0
backup delay 0 0
backup interface async1
ip address 16.3.1.1 255.255.255.0
encapsulation ppp
!
interface async1
ip address 16.3.2.1 255.255.255.0
encapsulation ppp
keepalive 9
async default routing
async dynamic address
async dynamic routing
async mode dedicated
dialer string 8292
dialer-group 1
!
dialer-list 1 protocol ip permit
!
line aux 0
script dialer mydial
modeinout
transport output none
stopbits 1
flowcontrol hardware
speed 9600
subinterface example (frame realay)
configuration for routera:
interface serial 0
encapsulation frame-relay
interface serial 0.1 multipoint
ip address 11.10.11.1 255.255.255.0
frame-relay interface-dlci 41
frame-relay interface-dlci42
configuration for routerc:
interface serial 0
encapsulation frame-relay
interface serial 0.1 point-point
ip address 11.10.16.2 255.255.255.0
frame-realy interface-dlci 46
configuration for routerb:
interface serial 0
encapsulation frame-relay
interface serial 0.1 multipoint
ip address 11.10.11.3 255.255.255.0
frame-relay interface-dlci 43
frame-relay interface-dlci 44
!
interface serial 0.2 point-point
ip address 11.10.13.1 255.255.255.0
frame-realy interface-dlci 48
frame relaytching example
configuration for routera:
frame-relaytching
no ip address
frame-relay encapsulation
frame-relay route 163 tun0 43
frame-relay intf-type dce
!
interface serial0
ip address 131.108.100.1 255.255.255.0
!
interface tu 0
tunnel source serial 1
tunnel destintion 131.108.13.2
configuration for routerb:
frame-relaytching
!
interface serial 0
no ip address
frame-relay encapsulation
frame-relay router 9 tun0 43
frame-relay interface-type dce
!
int tu 0
tunnel source serial 1
tunnel destination 131.108.100.1
channelized e1interface example
假设是7500系列路由器,e1接口(mip板)在插槽4上面。
一个channel-group 可对应多个时间槽,本例中serial4/0:1有5*64的速率
configuration for router :
controller e1 0
framing no-crc4
chanel-group 0 timeslots1
channel-group 1 timeslots 2,7-9,20 speed 64
!
interface serial4/0:0
ipaddress 16.217.30.2 255.255.255.252
encapsulation ppp
!
interface serial 4/0:1
ip address 16.205030.5 255.255.255.252
x.25 example
在配置x.25 时,为减少路由交换引起的呼叫,通常用静态路由,而当一对多情况下,不在一个子网中用subinface 配置
configuration for router:
interface serial 0
ip address 131.108.100.1 255.255.255.0
encapsulation x.25
x.25 address 041673226839
x.25 htc 16
x.25 map ip 131.108.100.2 041675222222
int s 0.1
ip address 131.108.101.1 255.255.255.0
x.25 mapip 131.108.101.2 041674222222
!
ip router 131.108.100.0 255.255.255.0 131.108.100.2
ip router 131.108.101.0 255.255.255.0 131.108.101.2
--------------------------------------------------------------------------------
7...cisco路由器基于时间的访问列表的应用[转贴]
cisco路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议极其端口的数据包过滤。随着网络的发展和用户要求的变化,从ios12.0开始,cisco路由器新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间或者根据一星期中的不同日期(当然也可以二者结合起来)控制网络数据包的转发。
一、使用方法
这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。它需要先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。并且,对于编号访问表和名称访问表都适用。
二、使用规则
用time-range 命令来指定时间范围的名称,然后用absolute命令或者一个或者多个 periodic命令来具体定义时间范围,ios命令格式为:
time-range time-range-name absolute [start time date] [end time date] periodic days-of-the week hh:mm to [days-of-the week] hh:mm
我们分别来介绍一下每个命令和参数的详细情况:
time-range:
用来定义时间范围的命令
time-range-name:
时间范围名称,用来标识时间范围,以便于在后面的访问列表中引用
absolute:
该命令用来指定绝对时间范围。它后面紧跟这start和 end两个关键字。在这两个关键字后面的时间要以24小时制、hh:mm(小时:分钟)表示,日期要按照日/月/年来表示。可以看到,他们两个可以都省略。如果省略start及其后面的时间,那表示与之相联系的permit 或deny语句立即生效,并一直作用到end处的时间为止;若省略如果省略end及其后面的时间,那表示与之相联系的permit 或deny语句在start处表示的时间开始生效,并且永远发生作用,当然把访问列表删除了的话就不会起作用了。
上面讲的就是命令和基本参数为了便于理解,下面我们来看两个例子。
如果要表示每天的早8点到晚8点就可以用这样的语句:
absolute start 8:00 end 20:00
再如,我们要使一个访问列表从2000年12月1日早5点开始起作用,直到2000年12月31日晚24点停止作用,语句如下:
absolute start 5:00 1 december 2000 end 24:00 31 december 2000
这样一来,我们就可以用这种基于时间的访问列表来实现,而不用半夜跑到办公室去删除那个访问列表了,这对于网络管理员来说应该是件好事吧。接下来,让我们看下一个periodic命令及其参数。一个时间范围只能有一个absolute语句,但是可以有几个periodic语句。
periodic:主要是以星期为参数来定义时间范围的一个命令。它的参数主要有monday、tuesday、wednesday、thursday、friday、saturday、sunday中的一个或者几个的组合,也可以是daily(每天)、weekday(周一到周五)或者weekend(周末)。
我们还是来看几个具体的例子。比如表示每周一到周五的早9点到晚10点半,就可以用:
periodic weekday 9:00 to 22:30
每周一早7点到周二的晚8点就可以用:
periodic monday to tuesday 20:00
好了,我们已经把这个时间范围如何定义弄清楚了,下面让我们看看如何在实际情况下应用这种基于时间的访问列表。
此主题相关图片如下:
例1:在如上图所示的网络中,路由器有两个以太网接口e0和e1,分别连接着202.111.170.0和202.222.100.0两个子网络,其中202.111.170.50和202.222.100.100分别是web服务器1和web服务器2。还有一个串口s1,连入internet。为了让202.111.170.0子网公司员工在工作时间不能进行web浏览,从2000年12月1日1点到2000年12月31日晚24点这一个月中,只有在周六早7点到周日晚10点才可以通过公司的网络访问internet。我们做如下的基于时间的访问控制列表来实现这样的功能:
router# config t
router(config)# interface ethernet 0
router(config-if)#ip access-group 101 in
router(config-if)#time-range http
router(config-if)#absolute start 1:00 1 december 2000 end 24:00 31
december 2000 periodic saturday 7:00 to sunday 22:00
router(config-if)#ip access-list 101 permit tcp any any eq 80 http
我们是在一个扩展访问列表的基础上再加上时间控制就达到了目的。因为是要控制web访问的协议,所以必须要用扩展列表,也就是说,编号要在100-199之间。这些关于访问列表的基础知识,请参考其他关于cisco或者ccna的基础文档。我们定义了这个时间范围名称是http,这样,我们就在列表中的最后一句方便的引用了。有了以上的详细讲解,这个很好看懂了。我们再看下面一个例子。
例2:网络结构同上例,现在假设我们的访问要求变了,服务器web2(ip:202.222.100.100)上放着的是新年贺岁版的公司主页,我们希望在2001年12月31日24:00点前,internet的用户访问的是服务器web1(ip:202.111.170.50)上的主页内容,而不能访问web2上的内容。在此之后的新年里,访问的是新年版主页而不能访问旧版本的主页。那么,我们利用带有时间控制的访问列表来自动实现这个功能,而再也不用让网管员在新年半夜时手动删除了。列表内容如下:
router# config t
router(config)#interface serial 0
router(config-if)#ip access-group web in
router(config-if)#
time-range changewebabsolute end 24:00 31 december 2000
router(config-if)#ip access-list extended web
permit tcp any host 202.111.170.50 eq 80 changeweb
deny tcp any host 202.222.100.100 eq 80 changeweb
permit tcp any host 202.222.100.100 eq 80
现在让我们分析一下这个访问控制列表。第一句是进入端口控制模式。第二句是应用名称访问列表web,并且是用在serial 0的入口方向,就是数据流入路由器的时候做协议控制分析。第三句,定义一个时间范围名称是changeweb。第四句是定义扩展名称访问列表web。第五、六句是表示在新年前,只能允许访问web1。第七句是允许所有到web2的web访问。这样第七句不是在没有时间限制的情况下全部允许了web2的访问吗?那我们的目的是如何实现的呢?不要忘记,路由器中访问控制列表的每个表项的顺序是很重要的,它是从上到下执行的,这样,在新年之前,也就是第五、六句起左右的时候,访问web2的要求已经被禁止了,所以,第七句就没有用了,而在新年之后呢,第五、六句失效了,第七句才发挥它的作用。允许所有对web2的访问请求,那么,新年之后,还能访问web1服务器吗?当然不能,因为我们第七句只允许访问web2,隐含的意思就是,其余的全部禁止。
好了,看到这儿,你不是觉的你的想法都被cisco路由器实现了?合理有效的利用基于时间的访问控制列表,可以更有效、更安全、更方便的保护我们的内部网络。这样你的网络才会更安全,网络管理员也会更轻松!
用access-list 对抗“冲击波”病毒[转贴]
最近“冲击波”病毒”(worm_msblast.a)开始在国内互联网和部分专网上传播。我以前在接入层做的access-list起了作用!
大家可以参考之
access-list 120 deny 53 any any
access-list 120 deny 55 any any
access-list 120 deny 77 any any
access-list 120 deny 103 any any
以上几条慎用!
access-list 120 deny tcp any any eq echo
access-list 120 deny tcp any any eq chargen
access-list 120 deny tcp any any eq 135
access-list 120 deny tcp any any eq 136
access-list 120 deny tcp any any eq 137
access-list 120 deny tcp any any eq 138
access-list 120 deny tcp any any eq 139
access-list 120 deny tcp any any eq 389
access-list 120 deny tcp any any eq 445
access-list 120 deny tcp any any eq 4444//新加
access-list 120 deny udp any any eq 69 //新加
access-list 120 deny udp any any eq 135
access-list 120 deny udp any any eq 136
access-list 120 deny udp any any eq 137
access-list 120 deny udp any any eq 138
access-list 120 deny udp any any eq 139
access-list 120 deny udp any any eq snmp
access-list 120 deny udp any any eq 389
access-list 120 deny udp any any eq 445
access-list 120 deny udp any any eq 1434
access-list 120 deny udp any any eq 1433
access-list 120 permit ip any any
附录:处理办法!
**********************************
(1)对于未感染的主机:
建议安http://microsoft.com/technet/securi...in/ms03-026.asp中指定的patch
(2)对于已感染的系统:
可能无法从microsoft升级补丁,建议用以下方式处理:
i. 断掉机器的物理网络连接。
ii. 执行注册表编辑命令:regedit, 检查
"hkey_local_machine\\software\\microsoft\\windows
currentversion\\run\\windows auto update" 中是
否存在 msblast.exe的键值,如果存在则删除。
iii.运行任务管理器,关闭msblast.exe进程。
iv.完成用下述两种操作之一:
a.关闭dcom: 设置hkey_local_machine\\software\\microsoft\\ole
中enabledcom键值为n.
b.设置防火墙或microsoft\'s internet
connection filter (icf)阻止incoming方向的以下端口:
69/udp 135/tcp 135/udp 139/tcp
139/udp 445/tcp 445/udp 4444/tcp。
v. 重新联接网络,安装http://microsoft.com/technet/securi...in/ms03-026.asp中指定的patch
--------------------------------------------------------------------------------
8...备份线路的配置
备份线路的配置
一、 主链路down之后,启用isdn线路
1、 配置备份线路(在主接口的接口模式下):
router(config-if)# backup interface
2、 配置备份延迟(在主接口的接口模式下):
router(config-if)# backup delay {enable-delay|never} {disable-delay|never}
其中:enable-delay表示当主接口down之后,发起备份的时间间隔;
disable-delay表示主链路恢复后,关闭备份链路的时间间隔。
二、 主链路的负载达到设定值时,启用备份链路同时传输
1、 配置备份线路(在主接口的接口模式下):
router(config-if)# backup interface
2、 配置负载参数(在主接口的接口模式下):
router(config-if)# backup load
其中:x表示,当主链路的负载达到主链路带宽的x%时,启用备份链路;
y表示,当总的链路的负载达到主链路带宽的y%时,关闭备份链路。
三、 还可以使用逻辑接口作为备份。
四、 使用浮点静态路由(floating static route)作备份
通过改变静态路由的管理距离(ad),让备份链路上的静态路由有较高的ad值。正常状态时,使用主链路的路由(因其ad值较低),当主链路down时,就会自动启用备份链路。
例子:
主链路路由: ip router 172.16.254.0 255.255.255.0 serial 0
备份链路路由:ip router 172.16.254.0 255.255.255.0 serial 1 20
注意:
1、 当两条链路静态路由的ad值设为一样的时候,可实现静态路由的等价值负载均衡。
2、 两条不同出口路径的默认路由,当其ad值不同时,可以像上面的静态路由那样实现备份;但是当其ad值相同时,不能实现所谓的“默认路由的等价值负载均衡”,只会是先配置的那条默认路由生效。
fw:注意:
1、 当两条链路静态路由的ad值设为一样的时候,可实现静态路由的等价值负载均衡。
2、 两条不同出口路径的默认路由,当其ad值不同时,可以像上面的静态路由那样实现备份;但是当其ad值相同时,不能实现所谓的“默认路由的等价值负载均衡”,只会是先配置的那条默认路由生效。
链路和出口有什么不同,能否解释一下第二句的意思!
fw:第2句的意思是:你有两个internet出口,接不同的isp,分别接你的router的s0和s1,
如果你的配置是:
ip router 0.0.0.0 0.0.0.0 s0
ip router 0.0.0.0 0.0.0.0 s1
那么,实际你的internet出口只用到了s0,因为第二句配置不会生效。因为
ip router 0.0.0.0 0.0.0.0 s0
是默认路由,只能是先配置的默认路由生效,后面一句
ip router 0.0.0.0 0.0.0.0 s1
是不起作用的。这就是:不能实现所谓的“默认路由的等价值负载均衡”。
如果你的s0和s1接到同一个网段(172.16.0.0/16),且你的配置如下:
ip router 172.16.0.0 255.255.0.0 s0
ip router 172.16.0.0 255.255.0.0 s1
则此时你到目标网段172.16.0.0/27时,s0和s1两个出口都会使用到,因为上面两句配置的是静态路由,不是默认路由。这就叫做静态路由的等价值负载均衡。
fw:上面有一句话写错了,
“则此时你到目标网段172.16.0.0/27时”应该改为:
“则此时你到目标网段172.16.0.0/16时”。
fw:再说两句
链路:一般是指路由器和其他设备连接的物理线路。
出口:一般是指整个网络或局部网络和外部网络相连接的网络线路。常用来特指内部网络和isp连接的物理线路。
--------------------------------------------------------------------------------
9...好东西好东西!
--------------------------------------------------------------------------------
10...cisco 路由器寄存器配置
配置目的:寄存器配置用于更改路由器启动过程。
启动位由4位16进制寄存器组成
格式:0xabcd
赋值范围从0x0到0xffff
0x2102 :工业默认值
0x2142 :从flash中启动,但不使用nvram中的配置文件(用于口令恢复)
0x2101 :从boot ram中启动,应用于更新系统文件
0x2141 :从boot ram中启动,但不使用nvram中的配置文件
其中c位的第三位为1时表示关闭break键,反之表示打开break键。
0x141:表示关闭break键,不使用nvram中的配置文件,并且从系统默认的rom中
的系统中启动。
0x0040:表示允许路由气读取nvram中的配置文件。
监视命令功能
o:以位的形式显示实际配置的当前起作用的寄存器,
o displays the virtual configuration register, currently in effect, wi
th a description of the bits
o/r:重置实际配置的寄存器为以下值:
?9600 (端口速率)
?break是否有效
?是否忽略nvram中的配置
?是否从rom 中启动
如:o/r 0x2102
表b-1 寄存器配置定义表
位顺序 十六进制 意义
00 to 03 0x0000 to 0x000f 启动字段
06 0x0040 使得系统软件忽略nvram中的内容
07 0x0080 oem位开启
08 0x0100 break键关闭
10 0x0400 ip广播到所有域
11 to 12 0x0800 to 0x1000 console口速率
13 0x2000 如果网络启动失败,默认从rom中启动
14 0x4000 ip broadcasts do not have net numbers
15 0x8000 启动诊断信息同时忽略nvram内容
(1)工业默认寄存器位 0x2102。这个只有以下几个部分组成
bit 13 = 0x2000, bit 8 = 0x0100, and bits 00 到 03 (参照 tableb-2) = 0
x0002.
表 b-2 启动为注视 (配置寄存器位 00 到 03)
启动位的意义
0x0:启动后停留在bootstrap状态
0x1:从 rom 中启动
0x2到0xf:指定默认的启动文件启动系统,
表b-3 console口速率设定表
速率 12位 11位
9600 0 0
4800 0 1
1200 1 0
2400 1 1
--------------------------------------------------------------------------------
11...路由器的安全配置
随着internet的快速发展和政府、企业上网工程的日益推广,越来越多的政府机关和企业在网络上建立网站来进行对外宣传,这样,网络上的安全问题就显得日益突出。许多政府机关及企业都安装了防火墙来保证网络服务器的安全,却往往忽视了站在最前沿的“卫士”——路由器。在网络上,一旦有人恶意进入你的路由器,将对你的网络安全产生极大的威胁。
实际上,路由器可以看作是一台具有中央处理器、内存、操作系统的计算机,将地理上分散的网络连接在一起,实现它们之间的网络通信。所以,路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用。在实际的工作中,我们接触到比较多的是cisco的路由器,下面就以cisco路由器为例,看看路由器的配置。
cisco路由器中的操作系统叫做互连网络操作系统(internet operating system),或简称为ios,对cisco路由器的配置可以通过手工使用连接到控制端口的终端或者利用telnet会话等方式进行配置,常用的是利用console口进行配置,将cisco自带的配置线和一台计算机的com口连接好,在windows 95/98或windows nt中的超级终端进行连接,步骤如下:
1、 在超级终端中新建连接,在连接时使用下拉式菜单种选择直连串口连接1(或者直连串口连接2),在com口的属性页中按还原默认设置,将波特率设置为9600bps、数据位8位,奇偶校验位无、停止位1,确认即可。
2、 确认之后,进入超级终端的控制窗口,这时你就可以利用这个连接对路由器进行配置。如果你的路由器是第一次打开电源,路由器将会进入到初始化配置对话,这是可根据提示一步步地对路由器进行配置。配置时请注意你输入的enable password和virtual terminal password,这两个密码将对你的路由器安全举足轻重。enable password是你进入特权模式的口令,virtual terminal password是通过虚拟终端(telnet访问)时的密码。
3、 如果你的路由器已经配置完毕,请在特权模式下执行:(特权模式的提示符为“#”)
router(config)>#sh run
你可能会看到有这么几行:
line vty 0 4
password *****(*为你设置的密码)
或
login local
这几行配置的含义是:
第一行定义五个允许的telnet访问(编码0-4),下一行表明进入到提示符前要输入密码*****或是以路由中设立的用户名和密码登录。可以看出,利用路由器中的用户名和密码登录将比直接利用密码登录安全。
下面我大致写一下在路由器中建立用户,设置进入密码和虚终端密码的步骤:
router>
//进入到特权模式下
router >enable
password:
//进入到全局模式下
router #conf t
enter configuration commands, one per line. end with cntl/z.
//给自己的路由器起一个名字
router (config)#hostname myrouter
//将enable的密码设置为ababab
router (config)#enable password ababab
//在路由器中建立用户名称为aaa密码为bbb
myrouter (config)#username aaa password bbb
//配置console口
myrouter (config)#line con 0
//用路由器中的用户名和密码登录
myrouter (config-line)#login local
myrouter (config-line)#flowcontrol hardware
myrouter (config-line)#end
//配置远程登录虚终端0-4
myrouter (config)#line vty 0 4
//用路由器中的用户名和密码登录
myrouter (config-line)#login local
myrouter (config-line)#end
myrouter (config)#end
//将刚才的设置存盘
myrouter >write
配置完成之后,你可以用telnet远程登录你的路由器来测试一下,看登录和进入特权模式是否需要密码。
--------------------------------------------------------------------------------
12...cisco设备上设置dhcp实例
客户想把dhcp server迁移到6509交换机的msfc上,要求还挺复杂:
1.同时为多个vlan的客户机分配地址
2.vlan内有部分地址采用手工分配的方式
3.为客户指定网关、wins服务器等
4.vlan 2的地址租用有效期限为1天,其它为3天
5.按mac地址为特定用户分配指定的ip地址
最终配置如下:
ip dhcp excluded-address 10.1.1.1 10.1.1.19 //不用于动态地址分配的地址
ip dhcp excluded-address 10.1.1.240 10.1.1.254
ip dhcp excluded-address 10.1.2.1 10.1.2.19
!
ip dhcp pool global //global是pool name, 由用户指定
network 10.1.0.0 255.255.0.0 //动态分配的地址段
domain-name client.com //为客户机配置域后缀
dns-server 10.1.1.1 10.1.1.2 //为客户机配置dns服务器
netbios-name-server 10.1.1.5 10.1.1.6 //为客户机配置wins服务器
netbios-node-type h-node //为客户机配置节点模式(影响名称解释的顺利,如h-node=先通过wins服务器解释...)
lease 3 //地址租用期限: 3天
ip dhcp pool vlan1
network 10.1.1.0 255.255.255.0 //本pool是global的子pool, 将从global pool继承domain-name等option
default-router 10.1.1.100 10.1.1.101 //为客户机配置默认网关
!
ip dhcp pool vlan2 //为另一vlan配置的pool
network 10.1.2.0 255.255.255.0
default-router 10.1.2.100 10.1.2.101
lease 1
!
ip dhcp pool vlan1_john //总是为mac地址为...的机器分配...地址
host 10.1.1.21 255.255.255.0
client-identifier 010050.bade.6384 //client-identifier=01加上客户机网卡地址
!
ip dhcp pool vlan1_tom
host 10.1.1.50 255.255.255.0
client-identifier 010010.3ab1.eac8
相关的dhcp调试命令:
no service dhcp //停止dhcp服务[默认为启用dhcp服务]
sh ip dhcp binding //显示地址分配情况
show ip dhcp conflict //显示地址冲突情况
debug ip dhcp server {events | packets | linkage} //观察dhcp服务器工作情况
如果dhcp客户机分配不到ip地址,常见的原因有两个。第一种情况是没有把连接客户机的端口设置为portfast方式。ms客户机开机后检查网卡连接正常,link是up的,就开始发送dhcpdiscover请求,而此时交换机端口正在经历生成树计算,一般需要30-50秒才能进入转发状态。ms客户机没有收到dhcp server的响应就会给网卡设置一个169.169.x.x的ip地址。解决的方法是把交换机端口设置为portfast方式:catos(4000/5000/6000): set spantree portfast mod_num/port_num enable; ios(2900/3500): interface ... ; spanning-tree portfast。
另外一种情况是dhcp服务器和dhcp工作站不在同一个vlan,这时候通常通过设置ip helper-address来解决:
interface vlan1
ip address 10.1.1.254 255.255.255.0 //假设dhcp服务器地址为10.1.1.8
interface vlan2
ip address 10.1.2.254 255.255.255.0
ip helper-address 10.1.1.8 //假设这是dhcp客户机所在的vlan
参考资料网页:
dhcp configuring
dhcp commands
ip helper-address
portfast
--------------------------------------------------------------------------------
13...学习!楼主继续贴~~!支持!
--------------------------------------------------------------------------------
14...楼主很认真
--------------------------------------------------------------------------------
15...关于路由器cpu利用率过高的解决
show process cpu 如显示ip input process is using a lot of cpu resources,检查以下情况:
一、fasttching 在大流量的外出接口上是否被disabled.可以用 show interfacestching 命令察看接口流量.然后在接口上重新 re-enable fasttching .记住 fasttching是配置在output 接口.
二、fasttching on the same interface是否被disabled. 如一个接口配有多个网段(secondary addresses )并且在这些网段间流量很大时 路由器工作在processtches方式 .这种情况下要在接口上enable ip route-cache same-interface
三、不能被fasttched的包有tching cache没有entry的包、目的地是路由器的包、需要协议转换的包、做了policy routing的包、x.25 encapsulation的包、multilink ppp、压缩和加密的包目的地是router的包
举例:1.路由更新信息(取决于路由协议) 过快的更新值显示网络不稳定并增加了cpu utilization. 可以用show ip route检查路由表
2.其它人登录运行命令导致大量log输出3.spoof 攻击.用show ip traffic 命令确认,可发现大量到本地的包.
第二步,用 show interfaces 和show interfacestching命令识别大量包进出的端口;一旦你确认进入端口后,打开 ip accounting on the outgoing interface看其特征.如果是攻击, 源地址会不断变化但是目的地址不变.可以用access list暂时解决此类问题 (最好在接近攻击源的设备上配置), 最终解决办法是停止攻击源。
4.需policy routing的包.在 cisco ios version 11.3以前, policy-routed packets不能被 fasttched. ios version 11.3 以后允许 policy-routed packets to be fasttched.使用接口命令ip route-cache policy。
5.通过x.25封装的包,因为有 flow control on the second open system interconnection (osi) layer.7.compressed traffic.如没有compression service adapter (csa) in the router, compressed packets must be processtched.8.encrypted traffic. 如没有 encryption service adapter (esa) in the router, encrypted packets must be processtched.
9.大量的user datagram protocol (udp) 流量. 可以用解决 spoof attack的步骤解决.
10.大量组播流穿越路由器。可以enable fasttching of multicast packets using the ip mroute-cache interface configuration command (fasttching of multicast packets is off by default).
11.大量广播包。 check the number of broadcast packets in the show interfaces command output.
12.路由器被 over-used 不能处理amount of traffic, 可以用 load among other routers 或者 考虑另购买high-end router.
13.路由器配置了ip nat (network address translation)并且有很多 dns (domain name system) 包穿越 router. udp or tcp packets with source and/or destination port 53 (dns) are always punted to process level by nat.
无论是什么原因导致high cpu utilization in the ip input process, 都可以用 debugging ip packets察看.因为 cpu utilization已经较高, debugging产生的许多信息只能通过 logging buffered而不能 logging to a console。 debugging过程不要超过 3-5秒。如果发现可疑的源可以断掉其设备的连接或者用acl过滤到目的地的包
文章来自: 
引用通告: 
Tags: 评论: 0 | 引用: 0 | 查看次数: -
发表评论