2005年05月12日

Foundry设备常见问题

1.如何拒绝恶意用户的登陆
解答:利用ACL的方式控制用户远程Telnet登陆访问:为了提高网络管理的安全性,需配置ACL限制对
Foundry的远程访问

2.为什么在有些端口不能打trunk
解答:trunk能够取得高的带宽,但是端口只能从1,5,9,13,17,21开始.

3.不知道foundry交换机是否能进行SNMP管理
解答:Foundry支持基于SNMP的管理,可通过IronView进行配置和管理.SNMP Community是SNMP管理
的验证手段,并作为缺省情况下Web管理的密码,因此要进行SNMP和Web管理首先需要配置此参数.
Foundry(config)#access-list 1 permit 10.1.8.0/24
Foundry(config)#access-list 1 deny any 以上建立一个标准的访问控制列表
Foundry(config)#no snmp-server community private rw
Foundry(config)#no snmp-server community public ro 把原先所设置snmp访问字段部删除
Foundry(config)#snmp-server community ro 重新设置访问字段
Foundry(config)# snmp-server community ro 可能是Public
Foundry(config)# snmp-server community rw 可能是Private
Foundry(config)# write mem
Foundry(config)# show snmp server

4.如何防止Smurf攻击
解答:1,防止成为Smurf攻击的中介:Smurf攻击必须通过中间网络的路由设备,因此,可以通过中间的
路由设备发现并加以阻止.Foundry可通过全局和端口配置no ip directed-broadcast来实现这一功能.
2,防成为Smurf攻击的目标:为防止Foundry成为Smurf攻击的目标,可以控制ICMP的数量.
全局配置
Foundry(config)# ip icmp burst-normal 5000 burst-max 10000 lockup 300
端口配置
Foundry(config)# int e 3/11
Foundry(config-if-e100-3/11)# ip icmp burst-normal 5000 burst-max 10000 lockup 300
Foundry(config)# mac filter 1 deny 3565.3475.3676 ffff.0000.0000 any etype eq 806
Foundry(config)# mac filter 1024 permit any any
Foundry(config)# int e 1/1
Foundry(config-if-1/1)# mac filter-group 1

5.为什么有时候在Foundry和二层交换机之间做VLAN时,二层交换机上所接的用户上网速度很慢
解答:先查看是否端口上做了一些限制.如果不是,可能是由于交换机间的STP问题导致.

6.用show 什么命令,可以显示我这么foundry的serial number
解答:4802的话,show version就可以了.顺便说一句,其他的系列,没有用Jetcore芯片的,只能拔
出来看每块板子的sn,用Jetcore芯片的,都可以用show version看到sn 

7.tagged和untagged端口有什么用呢
解答:就是IEEE802.1Q tagged协议的打标记和不打标记了.tagged端口可以作为tagged端口加到其他
vlan中,untagged端口只能属于一个vlan.

8.FastIron和BigIron系列有什么区别吗
解答:FastIron主要定位在企业用户市场,产品从桌面型到机框式大型企业交换机;而BigIron定位于
城域网的大型运营商市场,产品可以千兆,万兆和10G的业务端口,并可提供MPLS和VPN业务;Foundry
公司还提供了FastIron4802,FastIron Edge4802等汇聚层L3交换机,作为对BigIron城域网产品的补
充,用于区域性以太网接入的业务汇聚.

9.请问Foundry的单模光口和多模光口如何区分
解答:千兆光口分为4种:SX LX LHA LHB
其中SX: 500M,LX;10KM,LHA:70KM,LHB:150KM
用show media可以显示端口介质

10.foundry 的 telnet 是如何打开
解答:缺省是打开的,而且没有密码.设置密码:enable telnet pass.
你也使用no telnet命令可以关闭telnet service.

2005年04月20日

为了降低设计的复杂性,增强通用性和兼容性,计算机网络都设计成层次结构。这种分层体系使多种不同硬件系统和软件系统能够方便地连接到网络。管理员在分析和排查网络故障时,应充分利用网络这种分层的特点,快速准确地定位并排除故障。然而在实际故障排查过程中,这种分层方法往往被忽略,导致故障排查效率降低。

两种逐层排查方式

  OSI的层次结构为管理员分析和排查故障提供了非常好的组织方式。由于各层相对独立,按层排查能够有效地发现和隔离故障,因而一般使用逐层分析和排查的方法。

  通常有两种逐层排查方式,一种是从低层开始排查,适用于物理网络不够成熟稳定的情况,如组建新的网络、重新调整网络线缆、增加新的网络设备;另一种是从高层开始排查,适用于物理网络相对成熟稳定的情况,如硬件设备没有变动。无论哪种方式,最终都能达到目标,只是解决问题的效率有所差别。

根据具体情况选择排查方式

  具体采用哪种方式,可根据具体情况来选择。例如,遇到某客户端不能访问Web服务的情况,如果管理员首先去检查网络的连接线缆,就显得太悲观了,除非明确知道网络线路有所变动。比较好的选择是直接从应用层着手,可以这样来排查:首先检查客户端Web浏览器是否正确配置,可尝试使用浏览器访问另一个Web服务器;如果Web浏览器没有问题,可在Web服务器上测试Web服务器是否正常运行;如果Web服务器没有问题,再测试网络的连通性。即使是Web服务器问题,从底层开始逐层排查也能最终解决问题,只是花费的时间太多了。如果碰巧是线路问题,从高层开始逐层排查也要浪费时间。

  在实际应用中往往采用折衷的方式,凡是涉及到网络通信的应用出了问题,直接从位于中间的网络层开始排查,首先测试网络连通性,如果网络不能连通,再从物理层(测试线路)开始排查;如果网络能够连通,再从应用层(测试应用程序本身)开始排查。

  首先使用ping命令测试连通性。在TCP/IP网络中,排查网络问题的第一步常常是使用ping命令。如果能够成功地ping到远程主机,就排除了网络连接出现故障的可能性。即使是使用ping命令,也有一个逐步检测判断的步骤。

  例如,这里要测试网络能否正常通信。通常从ping远程计算机开始(例中在主机A上ping主机B),成功说明系统和网络正常,失败说明主机离线或网络故障。失败后再ping同一子网的网关(例中为192.168.1.1)来确认主机A是否能够连接到路由器。失败后再ping环回地址127.0.0.1来确认TCP/IP协议软件是否有问题,如果有问题,需要重新安装TCP/IP协议软件。也可以采用另一种步骤,从ping环回地址127.0.0.1开始,失败说明TCP/IP协议软件安装有问题,如果成功再ping同一子网的网关,如果成功再ping其他网关(路由器)逐步排查网络各个环节,直到最后ping远程主机。只要成功地ping到远程主机,可以判断网络问题一般发生在更高层次。

分层排查网络的措施

  每个网络层次都有相应的检测排查工具和措施。在最底层的物理层,专业人员往往采用专门的线缆测试仪,没有测试仪的可通过网络设备(网卡、交换机等)信号灯进行目测。数据链路层的问题不多,对于TCP/IP网络,可以使用简单的arp命令来检查MAC地址(物理地址)和IP地址之间的映射问题。网络层出现问题的可能性大一些,路由配置容易出现错误,可通过route命令来测试路由路径是否正确,也可使用ping命令来测试连通性。协议分析器(如微软提供的网络监视器)具有很强的检测和排查能力,能够分析链路层及其以上层次的数据通信,当然包括传输层。至于应用层,可使用应用程序本身进行测试。

2005年04月15日

这些都是只有厂家或者是一级代理商的工程师才可能知道的问题。

我做foundry设备也有几年了,虽然不是什么高级代理商,但是常常也有一些问题需要和厂家的工程师沟通,幸而他们的工程师还不错,会很耐心的给你解答一些问题。

这是个很早很早以前就遇到了的问题,原来有一客户打电话跟我说,他们的设备很久没弄,超级用户密码忘了,怎么办?其实我也是问foundry工程师才知道的。

好了,说了这么多废话,方法如下:

1. 通过串口线连接设备,打开开始-程序-附件-超级终端(当然需要设置,会调试设备的就不用我在这里多说了吧,选择COM通讯接口,波特率: 9600,数据位: 8,停止位: 1,奇偶校验: none,流控制: none (off));

2. 给设备加电或重启设备,在设备启动之后狂按“b”键;

3. 看到出现的提示符“>”,然后输入隐含命令:no password(此命令通过“?”看不到);

4.从primary重启,启动之后就可以清除密码。

ps:要注意的是,如果设备处在工作状态(也就是设备正上线使用),就千万要注意选择时间去做,否则用户打电话来,上级怪罪下来,可别怪我没提醒你!

2005年04月13日

Arris CMTS1000设备简单配置手册

1. 通过串行接口登陆设备,参数设置为:

选择COM通讯接口
波特率: 9600
数据位: 8
停止位: 1
奇偶校验: none
流控制: none (off)

2. 初始登陆名root,密码为空。

3. console状态下命令集

Commands available:
  authentication         set authentication string
  cable                  set for Euro DOCSIS*
  dhcptrace              DHCP Trace*
  dir                    List installed software albums*
  error-trace            Set error tracing feature*
  exit                   Exit the console session
  get                    Get an SNMP object*
  help                   This message or more detailed help*
  llc-ping               Send LLC TEST packet to a modem*
  logout                 Exit the console session
  manage                 Manage the MIB
  modem                  Display modem status*
  more                   Control ‘more’ display operation*
  next                   Get the next SNMP object*
  output                 Turn Off/On background output*
  passwd                 Change password*
  ping                   Send ICMP ECHO packet*
  port                   Display port information*
  putcfg                 upload current configuration params*
  quit                   Exit the console session
  reset                  Restart the CMTS*
  set                    Set an SNMP object*
  system                 Display system characteristics  
  who                    Display users logged on

cable,
console> cable
cable <europe/northamerica>配置欧洲标准或者北美标准,这里指定配europe,通常使用欧洲标准,这很重要,如果CMTS和cable猫使用不同的标准就不能通讯。
The upstream frequency split is 5-65 MHz and the downstream frequency split is100-860 MHz.
配置成功的状态:
console> cable europe
success

4. 管理

在console状态下输入“manage”才能进入超级用户模式,在此模式下能够对CMTS进行配置。
console> manage

Management subsystem, v2.9.  Type ‘help’ for commands.

[] box#

box下所有的命令树,直接打下一级的命令进入下一层,用back的命令回到上一层:

        box
            sys-obj-resources
  >>        admin
                cm-vendor-list
                cm-vendor-modify/<number>
                bootp-list
                bootp-modify/<index {1-10}>
            accounts
                user-list
                user-modify/<index {1-10}>
                privileges-list
                privileges-modify/<index {1-10}>
            ethernet-level
            cable-level
                mod-iuc-list/<profile {1-10}>
                modulation/<profile {1-10}>/<iuc>
                downstream
                    annex
                frequency-split
                upstream-list                            
                upstream-specific/<channel {4-11}>
                multi-us-list
                multi-us-config/<channel {4-11}
                ingress-avoidance-level
                    ingress-avoidance-us-config-list
                    enable/<channel {4-11}>
                    freq-list/<carrier-path {1-8}>
                    freq-config/<carrier-path {1-8}>/<freq-index {1-10}>
                    change-pref/<channel {4-11}>
                    metric-threshold-config/<channel {4-11}>
                    profile-list/<carrier-path {1-8}>
                    profile-config/<carrier-path {1-8}>/<pref-index {1-3}>
                    tx-profile-list
                    tx-profile-config/<index {1-24}>
                    metric-config
                    freq-status-list/<carrier-path {1-8}>
                    health-list
                modem-list
                modem-specific/<number>
                sid-list
                sid-specific/<sid-num>
                qos-list
                qos-specific/<qos-index>                 
            forwarder
                ethernet-port-fwd
                cable-port-fwd
                port-filter-list
                port-filter-modify/<mac-addr>/<port>
                tp-forwarding-data-base
                spanning-tree
                    ethernet-port-stp
                    cable-port-stp
                link-filter-list
                link-filter-modify/<index>
                ip-filter-list
                ip-filter-modify/<index>
            ip-level
                route-list
                route-modify/<dest-ip-addr>
                icmp
                udp-stats
                udp-entry-list
                tcp-stats
                tcp-connection-list
                arp-list
                arp-modify/<interface>/<ip-addr>         
                multicast-list
                multicast-modify/<ip-addr>
                dns-list
                dns-modify/<index {1-10}>
            snmp
                access-list
                access-specific/<index>
                traps
            baseline-privacy
                auth-list
                authorization/<mac-addr>
                sid-bp-list
                sid-bp-modify/<sid-num>
            event-level
                events-list
            serial-port
如果要查看命令所能够配置的参数或者范围,在输入的命令后打"?":

[cmts1] upstream-specific/4# input-power-window 0    

  — Numeric value out of range.
     Use ‘<parameter> ?’ to display legal values –

[cmts1] upstream-specific/4# input-power-window ?

 Parameter                      Current Value
 ———                      ————-
 input-power-window             60  tenths-of-dB


 Data Type                      Legal Values
 ———                      ————
 Signed integer                 From 20 to 150

(1) 配置CMTS的ip地址、子网掩码以及网关

[cmts1] console> manage

Management subsystem, v2.9.  Type ‘help’ for commands.

[cmts1] box# ip-level

[cmts1] ip-level#

[cmts1] ip-level# config-ip-address 192.168.8.197

[cmts1] ip-level# config-ip-subnet 255.255.255.0

[cmts1] ip-level# config-ip-gateway 192.168.8.1

[cmts1] ip-level# back

[cmts1] box# exit

Leaving management subsystem…

[cmts1] console> system
  Software Version: 3.3.1
  System up time:   00:10:52
  System name:      cmts1
  IP address        192.168.8.197 (mask 255.255.255.0)
  default GATEWAY   192.168.8.1

(2)配置tftp服务器地址

[cmts1] console> manage

[cmts1] box#admin

[cmts1] admin# config-tftp-ip-addr 192.168.8.198

但是通常来说我们是使用软件对CMTS进行配置,可以说CMTS相当于一个大CABLEMODEM,首先CMTS上线向DHCP获取地址,再向TFTP获取配置文件,然后下面的CABLE猫才能够上线。