2005年10月13日

来源:黑基论坛

一,路由器访问控制的安全配置
1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。
2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
3,严格控制CON端口的访问。具体的措施有:
A,如果可以开机箱的,则可以切断与CON口互联的物理线路。
B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。
C,配合使用访问控制列表控制对CON口的访问。
如:Router(Config)#Access-list 1 permit 192.168.0.1
    Router(Config)#line con 0
    Router(Config-line)#Transport input none
    Router(Config-line)#Login local
    Router(Config-line)#Exec-timeoute 5 0
    Router(Config-line)#access-class 1 in
    Router(Config-line)#end
D,给CON口设置高强度的密码。
4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
  Router(Config)#line aux 0
  Router(Config-line)#transport input none
  Router(Config-line)#no exec
5,建议采用权限分级策略。如:
Router(Config)#username BluShin privilege 10 G00dPa55w0rd
Router(Config)#privilege EXEC level 10 telnet
Router(Config)#privilege EXEC level 10 show ip access-list
6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。
7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。
8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:
Router(Config)#ip ftp username BluShin
Router(Config)#ip ftp password 4tppa55w0rd
Router#copy startup-config ftp:
9,及时的升级和修补IOS软件。

二,路由器网络服务安全配置
1,禁止CDP(Cisco Discovery Protocol)。如:
  Router(Config)#no cdp run
  Router(Config-if)# no cdp enable
2,禁止其他的TCP、UDP Small服务。
  Router(Config)# no service tcp-small-servers
  Router(Config)# no service udp-samll-servers
3,禁止Finger服务。
  Router(Config)# no ip finger
  Router(Config)# no service finger
4,建议禁止HTTP服务。
  Router(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。如:
Router(Config)# username BluShin privilege 10 G00dPa55w0rd
Router(Config)# ip http auth local
Router(Config)# no access-list 10
Router(Config)# access-list 10 permit 192.168.0.1
Router(Config)# access-list 10 deny any
Router(Config)# ip http access-class 10
Router(Config)# ip http server
Router(Config)# exit
5,禁止BOOTp服务。
  Router(Config)# no ip bootp server
禁止从网络启动和自动从网络下载初始配置文件。
  Router(Config)# no boot network
  Router(Config)# no servic config
6,禁止IP Source Routing。
  Router(Config)# no ip source-route
7,建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
  Router(Config)# no ip proxy-arp
  Router(Config-if)# no ip proxy-arp
8,明确的禁止IP Directed Broadcast。
  Router(Config)# no ip directed-broadcast
9,禁止IP Classless。
  Router(Config)# no ip classless
10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。
  Router(Config-if)# no ip unreacheables
  Router(Config-if)# no ip redirects
  Router(Config-if)# no ip mask-reply
11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:
  Router(Config)# no snmp-server community public Ro
  Router(Config)# no snmp-server community admin RW
  Router(Config)# no access-list 70
  Router(Config)# access-list 70 deny any
  Router(Config)# snmp-server community MoreHardPublic Ro 70
  Router(Config)# no snmp-server enable traps
  Router(Config)# no snmp-server system-shutdown
  Router(Config)# no snmp-server trap-anth
  Router(Config)# no snmp-server
  Router(Config)# end
12,如果没必要则禁止WINS和DNS服务。
  Router(Config)# no ip domain-lookup
  如果需要则需要配置:
  Router(Config)# hostname Router
  Router(Config)# ip name-server 202.102.134.96
13,明确禁止不使用的端口。
  Router(Config)# interface eth0/3
  Router(Config)# shutdown

三,路由器路由协议安全配置
1,首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱。
Router(Config)# no ip proxy-arp 或者
Router(Config-if)# no ip proxy-arp
2,启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。
  Router(Config)# router ospf 100
Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100
! 启用MD5认证。
! area area-id authentication 启用认证,是明文密码认证。
!area area-id authentication message-digest
Router(Config-router)# area 100 authentication message-digest
Router(Config)# exit
Router(Config)# interface eth0/1
!启用MD5密钥Key为routerospfkey。
!ip ospf authentication-key key 启用认证密钥,但会是明文传输。
!ip ospf message-digest-key key-id(1-255) md5 key
Router(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey
3,RIP协议的认证。只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。
Router(Config)# config terminal
! 启用设置密钥链
Router(Config)# key chain mykeychainname
Router(Config-keychain)# key 1
!设置密钥字串
Router(Config-leychain-key)# key-string MyFirstKeyString
Router(Config-keyschain)# key 2
Router(Config-keychain-key)# key-string MySecondKeyString
!启用RIP-V2
Router(Config)# router rip
Router(Config-router)# version 2
Router(Config-router)# network 192.168.100.0
Router(Config)# interface eth0/1
! 采用MD5模式认证,并选择已配置的密钥链
Router(Config-if)# ip rip authentication mode md5
Router(Config-if)# ip rip anthentication key-chain mykeychainname
4,启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口,启用passive-interface。但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。
! Rip中,禁止端口0/3转发路由信息
Router(Config)# router Rip
Router(Config-router)# passive-interface eth0/3
!OSPF中,禁止端口0/3接收和转发路由信息
Router(Config)# router ospf 100
Router(Config-router)# passive-interface eth0/3
5,启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。
Router(Config)# access-list 10 deny 192.168.1.0 0.0.0.255
Router(Config)# access-list 10 permit any
! 禁止路由器接收更新192.168.1.0网络的路由信息
Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 in
!禁止路由器转发传播192.168.1.0网络的路由信息
Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 out
6,建议启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。
Router# config t
! 启用CEF
Router(Config)# ip cef
!启用Unicast Reverse-Path Verification
Router(Config)# interface eth0/1
Router(Config)# ip verify unicast reverse-path
四,路由器审核安全配置

五,路由器其他安全配置
1,及时的升级IOS软件,并且要迅速的为IOS安装补丁。
2,要严格认真的为IOS作安全备份。
3,要为路由器的配置文件作安全备份。
4,购买UPS设备,或者至少要有冗余电源。
5,要有完备的路由器的安全访问和维护记录日志。
6,要严格设置登录Banner。必须包含非授权用户禁止登录的字样。
7,IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log
Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log
Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log
Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any log
Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any log
Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log
8,建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。如:
Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.0.255 any
Router(Config)# access-list 101 deny ip any any log
Router(Config)# interface eth 0/1
Router(Config-if)# description “internet Ethernet”
Router(Config-if)# ip address 192.168.0.254 255.255.255.0
Router(Config-if)# ip access-group 101 in
9,TCP SYN的防范。如:
A: 通过访问列表防范。
Router(Config)# no access-list 106
Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established
Router(Config)# access-list 106 deny ip any any log
Router(Config)# interface eth 0/2
Router(Config-if)# description “external Ethernet”
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 106 in
B:通过TCP截获防范。(这会给路由器产生一定负载)
Router(Config)# ip tcp intercept list 107
Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255
Router(Config)# access-list 107 deny ip any any log
Router(Config)# interface eth0
Router(Config)# ip access-group 107 in
10,LAND.C 进攻的防范。
Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254 log
Router(Config)# access-list permit ip any any
Router(Config)# interface eth 0/2
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 107 in
11,Smurf进攻的防范。
Router(Config)# access-list 108 deny ip any host 192.168.1.255 log
Router(Config)# access-list 108 deny ip any host 192.168.1.0 log
12,ICMP协议的安全配置。对于进入ICMP流,我们要禁止ICMP协议的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探测。对于流出的ICMP流,我们可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。
! outbound ICMP Control
Router(Config)# access-list 110 deny icmp any any echo log
Router(Config)# access-list 110 deny icmp any any redirect log
Router(Config)# access-list 110 deny icmp any any mask-request log
Router(Config)# access-list 110 permit icmp any any
! Inbound ICMP Control
Router(Config)# access-list 111 permit icmp any any echo
Router(Config)# access-list 111 permit icmp any any Parameter-problem
Router(Config)# access-list 111 permit icmp any any packet-too-big
Router(Config)# access-list 111 permit icmp any any source-quench
Router(Config)# access-list 111 deny icmp any any log
! Outbound TraceRoute Control
Router(Config)# access-list 112 deny udp any any range 33400 34400
! Inbound TraceRoute Control
Router(Config)# access-list 112 permit udp any any range 33400 34400
13,DDoS(Distributed Denial of Service)的防范。
! The TRINOO DDoS system
Router(Config)# access-list 113 deny tcp any any eq 27665 log
Router(Config)# access-list 113 deny udp any any eq 31335 log
Router(Config)# access-list 113 deny udp any any eq 27444 log
! The Stacheldtraht DDoS system
Router(Config)# access-list 113 deny tcp any any eq 16660 log
Router(Config)# access-list 113 deny tcp any any eq 65000 log
! The TrinityV3 System
Router(Config)# access-list 113 deny tcp any any eq 33270 log
Router(Config)# access-list 113 deny tcp any any eq 39168 log
! The SubSeven DDoS system and some Variants
Router(Config)# access-list 113 deny tcp any any range 6711 6712 log
Router(Config)# access-list 113 deny tcp any any eq 6776 log
Router(Config)# access-list 113 deny tcp any any eq 6669 log
Router(Config)# access-list 113 deny tcp any any eq 2222 log
Router(Config)# access-list 113 deny tcp any any eq 7000 log
13,建议启用SSH,废弃掉Telnet。但只有支持并带有IPSec特征集的IOS才支持SSH。并且IOS12.0-IOS12.2仅支持SSH-V1。如下配置SSH服务的例子:
Router(Config)# config t
Router(Config)# no access-list 22
Router(Config)# access-list 22 permit 192.168.0.22
Router(Config)# access-list deny any
Router(Config)# username BluShin privilege 10 G00dPa55w0rd
! 设置SSH的超时间隔和尝试登录次数
Router(Config)# ip ssh timeout 90
Router(Config)# ip ssh anthentication-retries 2
Router(Config)# line vty 0 4
Router(Config-line)# access-class 22 in
Router(Config-line)# transport input ssh
Router(Config-line)# login local
Router(Config-line)# exit
!启用SSH服务,生成RSA密钥对。
Router(Config)# crypto key generate rsa
The name for the keys will be: router.blushin.org
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys .Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus[512]: 2048
Generating RSA Keys…
[OK]
Router(Config)#

2005年08月12日

来源:网络

文章难度似乎高于CCNA要求,放这里权当参考,可以加深一下这个链路状态路由协议的理解。

DR:designated router.多路访问网络中,为避免router间建立完全相邻关系而引起大量开销,ospf在区域中选举一个DR,每个router都与之建立完全相邻关系。router用hello协议选举一个DR。在广播型网络里,hello报文使用多播地址224.0.0.5周期性广播,并发现邻居。在NBMA中,DR负责向其他路由器逐一发送hello报文。

BMA:广播式多点接入网络。如常见的以太网。在BMA中,必须有一个DR、BDR。
NBMA:非广播式多点接入网络。如FrameRelay,x.25,ATM等。在NBMA中,需要special ospf configuration,并且需要定义neighbor关系,也要有DR、BDR。
点到点网络(ptp):有一个物理上的串行电路连接;或者是逻辑上的,如FR中由VC连接起来。

ptp拓扑中不需要DR or BDR,邻居是自动发现的。
点到多点网络(PtMP):同样不需要DR or BDR。

协议操作:

1、建立邻接关系。
router发送含有自身ID(如loopback端口or最大的IP地址)的hello报文。若是点到点或点到多点网络则跳过下一步,直接进入第三步。若为multiaccess网络,则进入选举步骤。
2、选举DR/BDR。
(不同类型的网络选举DR/BDR的方式不同。)
multiaccess网络,ospf需要建立起作为link state和lsa更新的中心节点。选举利用hello报文内priority字段值和router id确定,这两个均可以直接设置。
3、发现路由。
multiaccess内,DR与BDR互换信息,并同时与本子网内其他路由器交换link state信息。point to piont or point to multipoint网络中,相邻路由器间互换链路状态信息。
4、选择路由。
根据cost,用spf算法决定best路由。
5、维护路由。
当link state变化时,通过flooding过程通告其他路由器,更新数据库,重新计算路由表。另外,ospf路由信息也会自动更新,默认时间30分钟。

OSPF中的四种router:
在ospf多区域网络中,路由器可以按不同的需要同时成为以下四种路由器的几种。
1.内部路由器,所有端口在同一区域的路由器,维护一个link state database。
2.主干路由器,具有连接主干区域端口的路由器。
3.区域边界路由器(ABR),具有连接多区域端口的router,一般作为一个area的出口,ABR为

每个连接的区域建立link state database,负责将所连接的区域的路由摘要信息发送到主干区域,而主干区域上的ABR则负责将这些信息发送到各个区域。
4.自治系统边界路由器ASBR,至少拥有一个连接外部自治域网络端口的路由器,负责将非ospf

网络信息传入ospf网络。

在eigrp中,router会与neighbor交换路由信息。而ospf中,却picky得多,建立了adjacency才会交换。not all the neighbors will become adjacent.不是所有的neighbor都能adjacent.

如果路由器在不同的域有多个接口,路由器会为每个area创建一个单独的树来运行spf运算。if router have multiple interfaces in different areas,then it will contruct separate trees for each area for spf caculation.

ospf中的path metric是bandwidth.(来自于ospf 和rip对照的表)
ospf uses a metric refered to as cost.cisco uses a simple equation of 10^8/

bandwidth.

配置最简单的ospf需要两步:
router(config)#router ospf process-id
router(config-router)#network 10.0.0.0 0.255.255.255 area 0

其中process-id只有本地意义,不同的router可以设成不同的值。
area后的数字可以十进制的,也可以是点分十进制,如0.0.0.0 同于0。//这个是ccna的要求
当一台优先级更高的路由器被加到了网络中,原来的DR和BDR不变,只有原来的DR和BDR失效时才会改变。

OSPF启动过程:
1.交换过程(exchange process) 
当一个路由器A启动时,它处于DOWN状态,它从其各个接口通过224.0.0.5发送HELLO数据包到其它运行OSPF的路由器,其它路由器收到这个H ELLO包后就会把它加入自己的邻居列表中,这叫"init"状态,之后发送一个单点传送回复HELLO包,其中包含着自己的和其它相邻路由器的信息,路由器A 收到这个HELLO后,会把其中有相邻关系数据库加入到自己的库中这叫"two-way"状态,此时就建立了双向通信。
2.发现路由
在选出了DR和BDR之后,路由器就被认为是处于"准启动(exstart)状态",并且已准备好发现有关网络的链路状态信息,以及生成它们的链路状态数据库。用来发现网络路由的这个过程称为交换协议,它被执行来使用权路由器达到通信的" 全(FULL)"状态。在这个协议中的第一步是让DR和BDR建立起与其它各路由器的毗邻关系。当毗邻的路由器处于"全"状态时,它们不会重复执行交换协议,除非" 全"状态发生了变化。 

3.选择路由 
当路由器有了一个完整的链路状态数据库时,它就准备好要创建它的路由表以便能够转发数据流。CISCO路由器上缺省的开销度量是基于网络介质的带宽。要计算到达目的地的最低开销,链路状态型路由选择协议(比如OSPF)采用Dijkstra算法,OSPF路由表中最多保存6条等开销路由条目以进行负载均衡,可以通过"maximum-paths"进行配置。
如果链路上出现fapping翻转,就会使路由器不停的计算一个新的路由表,就可能导致路由器不能收敛。路由器要重新计算客观存它的路由表之前先等一段落时间,缺省值为5 秒。在CISCO配置命令中 "timers spf spf-delay spy-holdtime"可以对两次连续SPF计算之间的最短时间(缺省值10秒)进配置。 
4.维护路由信息 
在链路状态型路由环境中,所有路由器的拓朴结构数据库必须保持同步这一点很重要。当链路状态发生了变化时,路由器通过扩散(flooding)过程将这一变化通知给网络中其他路由器,链路状态更新数据包提供了扩散LSA的技术。各LSA都有有它自己的老化计时器,承载在LS寿命域内。缺省值为30分钟。

修改路由器的优先级:router(config)#ip ospf priority number 
number是1-255的数,缺省是1,0表示不能被选举为DR或BDR. 

修改链路开销要通过"ip ospf cost cost"命令覆盖分配给一个OSPF接口的缺省开销值.


当一个网段上的DR和BDR选择产生后,该网段上的其余所有路由器都只与DR及BDR建立相邻关系。

对于ABR来说,由于一个区域边界路由器同时与几个区域相联,因此一个区域边界路由器上会同时运行几套OSPF计算方法,每一个方法针对一个OSPF区域。
 

2005年08月10日

来源:www.net130.com

hostname Router1 ;路由器名称
enable secret xxxx ;特权访问口令为 xxxx
interface serial 0 ;定义接口
deion To Internet ; 目的描述
ip address 162.70.73.33 255.255.255.248 ;设置IP地址
ip access-list 101 in ; 定义入站过滤器
ip access-list 102 out ;定义出站过滤器
access-list 101 permit tcp any any established Note 1 ;允许所有tcp业务流入,会话始于园区网内
access-list 101 permit tcp any host 144.254.1.3 eq ftp ;允许 ftp 到不洁网(dirty net )中的ftp服务器
access-lsit 101 permit tcp any host 144.254.1.3 eq ftp-data ! ;允许 ftp 数据到不洁网中的ftp服务器
access-list 101 deny ip 127.0.0.0 0.255.255.255 any ;阻止来自Internet并以RFC
access-list 101 deny ip 10.0.0.0 0.255.255.255 any ;保留地址为源的数据包入站
access-list 101 deny ip 172.16.0.0 0.240.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny icmp any any echo-reply ;拒绝任何应答
access-list 101 deny icmp any any host-unreachable ;拒绝任何无法接通的主机
access-list 101 deny udp any any eq snmp ;拒绝引入的SNMP
access-list 101 deny udp any eq 2000 ;拒绝引入的openwindows
access-list 101 deny udp any any gt 6000 ;拒绝引入的X-windows
access-list 101 deny tcp any any eq 2000 ; 拒绝引入的openwindows
access-list 101 deny tcp any any gt 6000 ;拒绝引入的X-windows
access-list 101 deny udp any any eq 69 ; 拒绝引入的tftpd
access-list 101 deny udp any any eq 111 ; 拒绝引入的SunRPC
access-list 101 deny udp any any eq 2049 ;拒绝引入的NFS
access-list 101 deny tcp any any eq 111 ; 拒绝引入的SunRPC
access-list 101 deny tcp any any eq 2049 ; 拒绝引入的 NFS
access-list 101 deny tcp any any eq 87 ; 拒绝引入的连接
access-list 101 deny tcp any any eq 512 ; 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 513 ; 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 514 ; 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 515 ; 拒绝引入的 lpd
access-list 101 deny tcp any any eq 540 ; 拒绝引入的 uucpd
access-list 101 permit ip any any ; 其它均允许
access-list 102 permit ip 144.254.0.0 0.0.255.255 any ; 只允许有源的包
access-list 102 deny ip any any ;园区网到Internet的地址

aaa new-model ; 在全范围实现AAA
aaa authentication login default tacacs+ ;默认登录方法经由 tacacs+
aaa authentication login staff tacacs+ local ;通过tacacs+鉴别工作人员用户名… ; 如果无法连接服务器,退而求其次的方法是本地鉴别
aaa authorization exec tacacs+ local ; 鉴别通过后,授权运行 exec shell
aaa authorization commands 0 tacacs+ none ;鉴别与指定特权等级相关的运行模式指令
aaa authorization commands 1 tacacs+ none ; 如果无可用的tacacs+ 服务器,
aaa authorization commands 15 tacacs+ local ; 15级权限指令就需要本地鉴别,其它不需要任何鉴别
aaa accounting update newinfo ; 每当有新的记帐信息需要报告时,中间记帐记录将被送到服务器
aaa accounting exec start-stop tacacs+ ; 对终端会话进行记帐
aaa accounting network start-stop tacacs ; 对所有 PPP, SLIP和ARAP连接记帐
username user1 password 7 user1 ;创建本地口令并以加密格式存储
tacacs-server host 244.252.5.9 ; 定义tacacs+ 服务器地址
tacacs-server key xxxxxxx ; 定义共享的 tacacs+ 密码
line con 0
exec-timeout 5 30 ; 确认控制台会话结束时间
login authentication user1 ;只有用户名工作人员可接入控制台
line aux 0
transport input none ;没有telnet进入
no exec ;该端口没有得到运行提示
line vty 0 3
exec-timeout 5 30 ; 确认 telnet 会话结束时间
login authentication default ; 通过 tacacs+ 登录鉴别
privilege level 15 ; 获得15 级权限
line vty 4
exec-timeout 5 30 ; 确认 telnet 会话结束时间
login authentication user1 ; 鉴别为工作人员
rotary 1
privilege level 1
logging on ; 开启syslog
logging 244.252.5.5 ;定义syslog服务器地址
logging console information ; 定义登录的信息

2005年08月09日

A:You’ve been assigned the CIDR (classless inter domain routing) block of
115.64.4.0/22 from your ISP. Which of the IP addresses below can you use for a
host? (Select all valid answers)
A. 115.64.8.32
B. 115.64.7.64
C. 115.64.6.255
D. 115.64.3.255
E. 115.64.5.128
F. 115.64.12.128
Answer: B, C, E
Explanation:
115.64.4.0 = 01110011.01000000.00000100.00000000
Subnet mask = 11111111.11111111.11111100.00000000= 255.255.252.0
Subnet number = 01110011.01000000.00000100.00000000= 115.64.4.0
Broadcast = 01110011.01000000.00000111.11111111= 115.64.7.255
Valid address range = 115.64.4.1 – 115.64.7.254

B:You have a Class C network, and you need ten subnets. You wish to have as many
addresses available for hosts as possible. Which one of the following subnet masks
should you use?
A. 255.255.255.192
B. 255.255.255.224
C. 255.255.255.240
D. 255.255.255.248
E. None of the above
Answer: C
Explanation:
Using the 2n-2 formula, we will need to use 4 bits for subnetting, as this will provide for
24-2 = 14 subnets. The subnet mask for 4 bits is then 255.255.255.240.

上面这两道题,单独理解都很容易,但是,我结合两道题的答案看起来,觉得有点问题。题B说了,能够利用的子网为24-2,很明显,它是考虑将子网全“0”和全“1”排除了。那么,在题A中,为什么又把全“0”和全“1”的情况(即115.64.4.0和115.64.7.0两个子网)包括进去了?

2005年08月08日

持续更新中

使用cisco技术设计简单LAN(15问)

  1. router,switch和bridge能够划分LAN。
  2. router能够包交换,包过滤,网络间通信。增加路由器能够减少碰撞冲突,但是无法是碰撞消失。增加路由器使一个网络的广播域增加,但是广播域大小变小。路由器不转发广播。
  3. 一个hub的所有接口是一个冲突域,一个广播域。一个交换机的所有接口是一个广播域,但是每个接口是一个冲突域。一个路由器的每个接口是一个广播域,也是一个冲突域。
  4. 增加一个路由器会使一个网络的广播域从一变为二,而这时网段一到网段二的链路层的数据包传输将需要路由,虽然整个网络的传输量减少了(广播域变小),但是网段间的传输效率确实降低了。由于路由器的增加,冲突将大大减少(见2)。
  5. 路由器不转发广播,能够基于第三层的信息进行包过滤。增加任何一个网络设备都会增加时延。交换机的处理速度快于路由器,因为交换机工作于第二层,而路由器工作于第三层,需要寻找三层目的地址,效率低于交换机。
  6. 见3
  7. hub支持半双工模式,所有接口是一个冲突域,其接口的主机间通信经常发生碰撞。
  8. 见3
  9. unicast address 单播地址,是指向一个特定主机发送广播,一般就是一个主机地址。multicast address组播地址,所有的D段ip都是组播地址,他们不区分网络id和主机id。eg:172.16.128.255/18她的实际广播地址是172.16.191.255,所以172.16.128.255是一个单播地址。
  10. 网桥和交换机都工作于第二层,交换机的端口数量一般比网桥多。
  11. hub和repeater能够扩大一个网络的覆盖面积。而交换机,路由器等虽然也能扩大面积但是同时也划分了网络。
  12. CDP是一个cisco特有的协议。为了转发CDP消息,接口必须支持SNAP头部。任何LAN接口,HDLC,帧中继和ATM都支持CDP。交换机和路由器都能够发现邻接路由器的三层地址细节,即使没有配置三层协议——因为CDP并不依靠任何三层协议。CDP能够发现的邻接路由器的细节有:1〉设备标识号——如主机名;2〉地址列表——网络层和链路层地址;3〉端口标识号——端口的别名;4〉功能列表——设备能干什么,如路由或者交换;5〉平台——model和OS类型
  13. 如果考虑只有一个缺省vlan的话,无论是几个交换机无连,网络也只有一个广播域。交换机和hub并不划分广播域,只有路由器才划分广播域。

按设计需求分配IP地址(54问)

  1. 私有ip地址范围:A类:10.0.0.0——10.255.255.255;B类:172.16.0.0——172.31.255.255;C类:192.168.0.0——192.168.255.255
  2. http://blog.donews.com/dugu/archive/2005/08/09/501761.aspx
  3. vlan间路由的知识,路由器的连接交换机的接口必须no ip address,然后在其每个vlan对应的子接口上设置各自的ip(这里可以理解为设置为网关ip)

停止更新

三种广播地址

  1. Local Network Broadcast:255.255.255.255
  2. Directed Broadcast:172.16.3.255//假设掩码为255.255.255.0
  3. All Subnet Broadcast:172.16.255.255

       在老版本路由器中,除第一种广播会被隔离外,其他两种广播都会被转发。而新版本路由器中,所有类型广播都被隔离。

区别交叉线和直连线

培训的时候,老师说过的,但是还是没怎么记住,今天看了视屏,又巩固了一遍:

Use a crossover cable when BOTH ports are designed with an "x" or neither port is designed with an "x"!

一般来说,交换机或者hub的接口都带有"x",如1x,2x……,而PC机的网卡和路由器的接口都没有"x"。

实际上,从原理上解释是因为,交换机的接口RJ45,管脚1,2是用于接收,管脚3,6用于发送。而PC机的网卡和路由器的接口,管脚1,2用于发送,管脚3,6用于接收。所以,对于交换机连接交换机,用交叉线。而交换机连接PC或者路由器,就要用直连线。

综上,相同设备(交换机和hub,PC机和路由器)之间连接用交叉线,不同设备连接用直连线。

routing Protocol和routed Protocol

前者是路由协议,是用来路由和维持路由表的协议,如rip等;后者是被路由协议,是用来承载用户数据的协议,如ip,ipx等。

路由协议

IGRPEIGRP都为CISCO的转有协议,不允许其他厂商使用。

OSPF是flooded链路状态信息出去,LSA(链路状态信息公告)只是在一个area进行flooded,路由器收集area上的所有lsa信息,形成一个连路状态信息数据库,OSPF使用SPF算法计算最佳路径。使用OSPF需要分层,需要有骨干网和普通网,比较适合分层的结构化网络。它使用COST来计算最佳路径:10*8/带宽

RouterID:为路由器启动过程当中,所有端口中能够激活的最大的ip地址为RouterID。不过,为了稳定,一般将loopback口优先考虑设置为RouterID。

Autonomous Systems:自制系统

他是一个范围,具有相同管理域下的所有网络设备的组合,称为一个自制系统。如:网通,电信和铁通都可以理解为一个自制系统。在一个自制系统内部运行的协议,成为IGPs(内部网关协议):RIP,IGRP等。运行在不同自制系统之间的协议称为EGPs(外部网关协议):BGP。

Administrative Distance:管理距离

他是用来衡量路由协议好坏的一个标准。其值越小,说明可行度越高。RIP的缺省管理距离是120,而IGRP为100。

路由协议的分类:

  1. Distance Vector(距离矢量路由协议):定期的把自己的整个路由表广播给邻居,如RIP和IGRP。
  2. Hybrid Routing(杂合协议):具有1,3两者特点的协议,如:EIGRP。EIGRP相比IGRP:1〉快速收敛;2〉减少了带管占用;3〉支持更多的高层协议;4〉类似的Metric计算方法;5〉相同的负载均衡方式
  3. Link State(链路状态路由协议):只有网路拓扑结构发生变化的时候,才会向网上所有的路由器发送变化部分的更新,如:OSPF。链路状态路由协议具有三个特点:1〉发送自己的端口发连接的链路状态信息;2〉以组播方式发送;3〉触发式更新,无更新周期;4〉路由的获取是自己计算的(SPF)。

Major Classful Network(主有类网络)

Rip和Igrp都只支持主有类网络的路由,即路由信息不带有子网掩码。主有类网络路由协议,将在网络边界汇总。他不支持不连续的网络。

在不连续网路中,使用静态路由的时候,需要使用ip classless命令以支持无类路由,否则,网络将无法连通。

负载均衡

RIP和IGRP默认支持4条路径的负载均衡,最大可以支持到6条。但是,RIP只能支持等效负载均衡,而IGRP却可以支持非等效的负载均衡:1〉使用命令variant multiplier 来确定一个倍数n(即为multiplier值),假设最佳路经的Metrics值为X,而另一条可行路经的Metrics值为Y+Z(其中Y为源地址到下一跳的Metrics值,而Z为下一跳的值到目的地值的Metrics值),那么X,Y,Z和n必须满足的关系:Z<X且Y+Z<n*X

Metrics

距离矢量用来选择最佳路径的依据。对于RIP:仅仅用Hop Count,跳数来衡量Metrics值。对于IGRP:用带宽,时延,负载,可靠性和最大传输单元来确定Metrics值(但是缺省只用带宽和时延来确定)。

Routing Loop(路由环路)

由谣言传送的特性所导致,当然此特性仅在距离矢量路由协议上存在。解决方法有:

  1. 定义一个最大值,RIP的最大跳数定义为15跳。
  2. Split Horizon(水平分割):a发送更新信息给b后,b不能再发送同样的更新信息给a。
  3. Route Poisoning(路由毒杀):当路由器C的直连网络无法到达时,路由器C并不立即删除对应网络的路由条目,而是将Metrics值标识为无限大,即不可到达。在C下次更新信息的时候,将把这个不可到达信息发送给邻接路由器。以避免由于C直接删除路由条目,而导致的路由环路。
  4. Poison Reverse(反转毒杀):在3的情况下,C发送某个网路不可到达的信息给邻接路由器B后,B并不立即更新路由条目为不可到达,而是设置对应路由条目为Possible Down,然后再次将这个Possible Down信息发送给C(这种情况已经打破了水平分割的原则,但是也仅允许这种特例才能打破水平分割原则),其目的在于,要求C确认是否真的不可到达,同时也是防止C收到的是其他路由器的错误信息。
  5. Holddown Timers:在3的情况下,当C发送不可到达信息给B时,B由于以前的路由条目为能够到达,而现在收到的不可到信息比以前的信息更坏,将进入holddown状态,此时不再接收信息直到收到比以前更好的信息或者时间到达后,才会退出holddown状态(注意:仅仅是不再接收对应路由条目的信息,但是会发送这个possible down路由条目出去,同时其他的路由条目的发送与接收也不会被影响)。
  6. Triggered Updates(触发更新):在3的情况下,路由器C将立刻把网络不可到达的信息发送给邻接路由器,而邻接路由器也会立刻将此信息发送出去,此时是立刻发送信息,路由器B没有机会产生谣言,无法形成路由环路。

ACL配置

在配置Acl的时候,应该注意:标准acl应该设置在目的网络的路由器上,而扩展acl则要设置在源地址网络附近的路由器上。因为对于标准acl,如果设置在源地址网络附近的路由器上,将会扩大acl的应用范围;而若把扩展acl设置在目的网络附近的路由器上,将会增加沿途路由器对于不必要的数据转发的负担。

交换机的三大功能

  1. Address Learning
  2. Forward / Filter decision
  3. Loop avoidance

广播风暴

由于冗余拓扑结构的存在,会导致广播风暴。当在存在冗余交换机B的网络中,某台pc发送一个广播后,交换机A.B的MAC表中都没有目的地址条目,就会flood到自己的所有接口上,而flood出去的帧又会被其他交换机再次flood,由此形成广播风暴。

Multiple Frame Copies多帧复制

同样在存在冗余交换机的网络中,当交换机刚刚启动后,地址表中没有任何条目时,某x发送一个unicast帧给同一个网段的y,这个时候,交换机A本应丢弃这个单播帧的,但是由于还没有学习到地址条目,就会将这个帧flood到所有端口,而此时冗余交换机B收到这个帧后,由于同样的没有学习到mac条目,他也会再次flood到所有的端口,而这个时候,目的地址y收到了来自x,A,B的三个同样的帧。造成了帧的重复接收,这种情况,对计数问题有很大的影响。

MAC DATABASE Instability Mac地址的不稳定性

在上一种的情况下,同样在交换机刚启动的时候,x发送一个单播帧给y的时候,交换机A会先会在port0端口接收到来自x的帧,此时mac表中,将x的地址和port0建立关联,接下来,冗余交换机B同样会将x地址和自己的port0建立关联,同时也会flood这个帧到自己的port1端口,这个时候,A的port1端口收到的来自B 的port1端口的帧,交换机A又会认为x的地址和port1也建立了关联,可是,这种情况显然是不应该存在的。这就造成了MAC地址的不稳定。

Spanning-Tree Protocol 

交换机间每两秒种发送一个Bpdu(Bridge Protocol Data Unit),它包含有桥的状态信息和身份标志。Root Bridge 是指有最小Bridge ID的桥,而Bridge ID的大小由两部分决定:前半部分为Bridge Priority(交换机缺省为32768),后部分为Mac Address。此时其他交换机就为NonRoot Bridge,他选取和Root Bridege通信速度更快的接口为root port。 Designated Port由端口优先级(默认相同)和端口地址决定。Root Bridge在一个广播域下决定,而Root Port和Designated Port在一个冲突域下决定。

改变一些参数,使得stp更快捷,就成为了Rapid Spanning-Tree Protocol 。

本征VLAN(NATIVE VLAN)

它是指在802.1Q封装的Trunk中,不加上tag的vlan。这样的vlan由于不需要封装就可以在trunk上传输,因此可以通过hub(hub没有封装数据帧的能力)。一般vlan1缺省为本征vlan。

Per-Vlan Spanning Tree

PVST:他是指每一个vlan都能够启动一个STP。

VTP(Vlan Trunk Protocol)

它是用来将一个vtp域下的vlan配置信息进行同步,周期性的在域间利用Trunk通告vlan的配置信息。在一个VTP域下的交换机具有相同的域名和密码。VTP有三种模式:Server,Client和Transparent。VTP通告以组播的方式每五分钟发送一次,Server和Client将会同步信息到最新版本号。

VTP Prunning(VTP的修整)

由于一个VTP域中,不是每个端口都有端口对应所有的VLAN,实际上对于某个制定的VLAN,有很多交换机没有任何端口加入的这个VLAN的,如果仍然在这些交换机相连的Trunk上传输这个vlan的信息,将占用一些不必要的带宽。所以,就有了VTP域的修整,也就是在这些不必要的传输VLAN信息的Trunk上过滤掉flooded信息以节省带宽。

配置VLAN

  1. 首先考虑是否创建VTP域:一般在很多交换机的时候才需要创建域。在建立一个vtp域的时候,需要:VTP域名,VTP模式,是否启用VTP修整,密码和VTP Trap。需要注意的是,在添加一个新的交换机到一个vtp域的时候,为了避免新的交换机由于配置信息的版本号过高而将其错误的配置信息传播出去,应该将新的交换机的vtp模式设置为Client模式。 delete vtp命令可以将vtp配置信息版本号调整至0。
  2. 建立Trunk:两台以上交换机互连的时候建立Trunk。
  3. 创建VLAN
  4. 分配端口给VLAN

19系列交换机中,在全局模式下直接建立vtp的一些设置,而在29系列中,需要在特权模式下,命令vlan database进入vlan设置。

NAT配置

NAT配置的时候,需要注意相对于内网的外部路由器在建立路由表的时候,应该创建路由到inside Global ip address,而非inside Local ip address。

广域网

连接方式:

  1. 专线(leased line):24小时服务,64K基本,T1(1.5M),E1(2M), T3(45M),E3(34M)。
  2. 交换式电路:异步DSTN;同步ISDN(Serial同步口) //1,2两种方式都属于点对点的电路连接方式
  3. 包交换:发出的数据包头有特定信息,网络会根据包头中的特定信息来确定包往哪儿发送。虚电路,可以实现点对多。

使用协议:

广域网在二层使用的协议:

  1. 专线:HDLC(分为cisco hdlc:支持多协议——所有的cisco产品默认支持和标准hdlc:只支持单协议ip),PPP(由hdlc发展起来的,由NCP支持多协议,LCP支持链路捆绑,身份验证CHAP和PAP,数据加密等),SLIP(早期的只用于服务IP协议的一种协议)
  2. 包交换:X.25(帧中继前生),Frame Relay(主要用于接入网),ATM(主要用于骨干网)

PPP的认证方式

PAP:两次握手,直接明文发送用户名和密码

CHAP:三次握手(A<————>B):

1〉A先发送一个challage|编号01|id|random|hostname(routerB)|

2〉B发送一个Respond   |编号02|id|Hash|hostname(routerA)|,其中Hash值是B用A发送过来的random值和他查询hostname对应的密码一起用MD5计算出来的。

3〉A根据B发送过来的hostname来查找一个密码和原来备份得random值一起计算一个Hash值,用这个计算出来的Hash值,和B发送过来的Hash值比较,如果一致,则A向B发送一个Welcome信息(编号03);如果不一致则发送Refuse(编号04)。

帧中继

几个术语:

PVC:永久式虚电路

SVC:交换式虚电路

DLCI:数据链路连接标志,只用于本地虚电路的一个编号

LMI:帧中继信令信号,查询维护DLCI状态信息的工具

CIR:可保障信息速率

EIR:网络通行情况下最大的峰值速率

FECN / BECN:前 / 后 向拥塞通告信息

帧中继是一个非广播型网络结构,它的数据帧有两种类型:

1〉CISCO(所有CISCO设备采用);

2〉IETF。

        由于数据帧格式所限,他的广播包只能到达一个唯一目的地。他一般采用星型网络拓扑结构,有点对点和点对多点两种结构。

LMI工作过程

CISCO产品支持三种LMI标准:

CISCO;ANSI T1.617 Annex D;ITU-T Q.933 Annex A

帧中继反转Arp和LMI信号A〈——Frame Relay Cloud——〉B

  1. A向帧中继交换机发送一个hello包,请求咨询A的网络状态
  2. 帧中继交换机查询虚电路表,将A的接口对应的虚电路的DLCI全部发送给A
  3. A发送一个包给B,B将把本地DLCI号和A的IP地址对应(称作反转ARP)

帧中继能够和ATM,ATM终端互连

ISDN

ISDN有两类接入方式:

  1. BRI:有2B(64K*2, 使用PPP或者HDLC协议)和1D(16K,信令信号,LAPD协议)信道
  2. PRI:欧洲标准:30B+1D(64K*30+64K=2M,E1);美洲标准:23B+1D(23K*64+64=1.5M,T1)

ISDN网络结构:

NT-1连接U口(两根线)和T口(四根线);

NT-2将一个T口分为许多相同功能的S口(增加接口类似HUB的功能)

TA:终端适配器,接口为R口,对于本身不支持ISDN的I,E,Q系列协议的设备,需要这个终端适配器来转换信号

U口:将TE1和NT-1接口合在一起

Dial-on-Demand Router(按需拨号路由)

他使用一个isdn物理链路远程接入路由器。在需要的时候连接,结束时断开连接,使用isdn或者pstn。

DDR操作过程

  1. 定义到目的路由器的静态路由
  2. 定义感兴趣流量
  3. 拨号信息查询
  4. 数据传输
  5. 呼叫终止

拨号的几个概念

Dialer Interface:为了设置拨号参数而虚拟的一个接口

Dialer Pool:组织物理接口的一个平台,并不实际存在

Physical Interface:加入到拨号池中

路由器 <一>

  最简单的网络可以想象成单线的总线,各个计算机可以通过向总线发送分组以互相通信。但随着网络中的计算机数目增长,这就很不可行了,会产 生许多问题:

    1、带宽资源耗尽。
    2、每台计算机都浪费许多时间处理无关的广播数据。 

    3、网络变得无法管理,任何错误都可能导致整个网络瘫痪。
    4、每台计算机都可以监听到其他计算机的通信。

  把网络分段可以解决这些问题,但同时你必须提供一种机制使不同网段的计算机可以互相通信,这通常涉及到在一些ISO网络协议层选择性地在网段间传送数据,我们来看一下网络协议层和路由器的位置。

  我们可以看到,路由器位于网络层。本文假定网络层协议为IPv4,因为这是最流行的协议,其中涉及的概念与其他网络层协议是类似的。

    一、路由与桥接

  路由相对于2层的桥接/交换是高层的概念,不涉及网络的物理细节。在可路由的网络中,每台主机都有同样的网络层地址格式(如IP地址),而无论它是运行在以太网、令牌环、FDDI还是广域网。网络层地址通常由两部分构成:网络地址和主机地址。

  网桥只能连接数据链路层相同(或类似)的网络,路由器则不同,它可以连接任意两种网络,只要主机使用的是相同的网络层协议。

  路由器 <二>

    二、连接网络层与数据链路层


  网络层下面是数据链路层,为了它们可以互通,需要“粘合”协议。ARP(地址解析协议)用于把网络层(3层)地址映射到数据链路层(2层)地址,RARP(反向地址解析协议)则反之。

  虽然ARP的定义与网络层协议无关,但它通常用于解析IP地址;最常见的数据链路层是以太网。因此下面的ARP和RARP的例子基于IP和以太网,但要注意这些概念对其他协议也是一样的。

    1、地址解析协议

  网络层地址是由网络管理员定义的抽象映射,它不去关心下层是哪种数据链路层协议。然而,网络接口只能根据2层地址来互相通信,2层地址通过ARP从3层地址得到。

  并不是发送每个数据包都需要进行ARP请求,回应被缓存在本地的ARP表中,这样就减少了网络中的ARP包。ARP的维护比较容易,是一个比较简单的协议。

    2、简介

  如果接口A想给接口B发送数据,并且A只知道B的IP地址,它必须首先查找B的物理地址,它发送一个含有B的IP地址的ARP广播请求B的物理地址,接口B收到该广播后,向A回应其物理地址。

  注意,虽然所有接口都收到了信息,但只有B回应该请求,这保证了回应的正确且避免了过期的信息。要注意的是,当A和B不在同一网段时,A只向下一跳的路由器发送ARP请求,而不是直接向B发送。 接收到ARP分组后处理,注意发送者的对被存到接收ARP请求的主机的本地ARP表中,一般A想与B通信时,B可能也需要与A通信。 

    3、IP地址冲突

  ARP产生的问题中最常见的是IP地址的冲突,这是由于两个不同的主机IP地址相同产生的,在任何互联的网络中,IP地址必须是唯一的。这时会收到两个ARP回应,分别指出了不同的硬件地址,这是严重的错误,没有简单的解决办法。

  为了避免出现这类错误,当接口A初试化时,它发送一个含有其IP地址的ARP请求,如果没有收到回应,A就假定该IP地址没有被使用。我们假定接口B已经使用了该IP地址,那么B就发送一个ARP回应,A就可以知道该IP地址已被使用,它就不能再使用该IP地址,而是返回错误信息。这样又产生一个问题,假设主机C含有该IP地址的映射,是映射到B的硬件地址的,它收到接口A的ARP广播后,更新其ARP表使之指向A的硬件地址。为了解决这个错误,B再次发送一个ARP请求广播,这样主机C又更新其ARP表再次指向B的硬件地址。这时网络的状态又回到先前的状态,有可能C已经向A发送了应该发送给B的IP分组,这很不幸,但是因为IP提供的是无保证的传输,所以不会产生大的问题。

    4、管理ARP缓存表

  ARP缓存表是对的列表,根据IP地址索引。该表可以用命令arp来管理,其语法包括:

    向表中添加静态表项 — arp -s

    从表中删除表项 — arp -d

    显示表项 — arp -a

  ARP表中的动态表项(没有手动加入的表项)通常过一段时间自动删除,这段时间的长度由特定的TCP/IP实现决定。

5、静态ARP地址的使用

  静态ARP地址的典型使用是设置独立的打印服务器,这些设备通常通过telnet来配置,但首先它们需要一个IP地址。没有明显的方法来把此信息告诉该设备,好象只能使用其串口来设置。但是,这需要找一个合适的终端和串行电缆,设置波特率、奇偶校验等,很不方便。

  假设我们想给一个打印服务器设置IP地址P-IP,并且我们知道其硬件地址P-hard,在工作站A上创建一个静态ARP表项把P-IP映射到P-hard,这样,虽然打印服务器不知道自己的IP地址,但是所有指向P-IP的数据就将被送到P-hard。我们现在就可以telnet到P-IP并配置其IP地址了,然后再删除该静态ARP表项。

  有时会在一个子网里配置打印服务器,而在另一个子网里使用它,方法与上面类似。假设其IP地址为P-IP,我们分配一个本网的临时IP地址T-IP给它,在工作站A上创建临时ARP表项把T-IP映射到P-hard,然后telnet到T-IP,给打印服务器配以IP地址P-IP。接下来就可以把它放到另一个子网里使用了,别忘了删除静态ARP表项。

    6、代理ARP

  可以通过使用代理ARP来避免在每台主机上配置路由表,在使用子网时这特别有用,但注意,不是所有的主机都能理解子网的。基本的思想是即使对于不在本子网的主机也发送ARP请求,ARP代理服务器(通常是网关)回应以网关的硬件地址。

  代理ARP简化了主机的管理,但是增加了网络的通信量(不是很明显),并且可能需要较大的ARP缓存,每个不在本网的IP地址都被创建一个表项,都映射到网关的硬件地址。在使用代理ARP的主机看来,世界就象一个大的没有路由器物理网络。

路由器 <三>

    三、IP地址

  在可路由的网络层协议中,协议地址必须含有两部分信息:网络地址和主机地址。存贮这种信息最明显的方法是用两个分离的域,这样我们必须考虑到两个域的最大长度,有些协议(如IPX)就是这样的,它在小型和中型的网络里可以工作的很好。

  另一种方案是减少主机地址域的长度,如24位网络地址、8位主机地址,这样就有了较多的网段,但每个网段内的主机数目很少。这样一来,对于多于256个主机的网络,就必须分配多个网段,其问题是很多的网络给路由器造成了难以忍受的负担。

  IP把网络地址和主机地址一起包装在一个32位的域里,有时主机地址部分很短,有时很长,这样可以有效利用地址空间,减少IP地址的长度,并且网络数目不算多。有两种将主机地址分离出来的方法:基于类的地址和无类别的地址。

    1、主机和网关

  主机和网关的区别常产生混淆,这是由于主机意义的转变。在RFC中(1122/3和1009)中定义为:

    主机是连接到一个或多个网络的设备,它可以向任何一个网络发送和从其接收数据,但它从不把数据从一个网络传向另一个。

    网关是连接到多于一个网络的设备,它选择性的把数据从一个网络转发到其它网络。

  换句话说,过去主机和网关的概念被人工地区分开来,那时计算机没有足够的能力同时用作主机和网关。主机是用户工作的计算机,或是文件服务器等。现代的计算机的能力足以同时担当这两种角色,因此,现代的主机定义应该如此:

    主机是连接到一个或多个网络的设备,它可以向任何一个网络发送和从其接收数据。它也可以作为网关,但这不是其唯一的目的。

  路由器是专用的网关,其硬件经过特殊的设计使其能以极小的延迟转发大量的数据。然而,网关也可以是有多个网卡的标准的计算机,其操作系统的网络层有能力转发数据。由于专用的路由硬件较便宜,计算机用作网关已经很少见了,在只有一个拨号连接的小站点里,还可能使用计算机作为非专用的网关。

    2、基于类的地址

  最初设计IP时,地址根据第一个字节被分成几类:

    0: 保留
    1-126: A类(网络地址:1字节,主机地址:3字节)
    127: 保留
    128-191: B类(网络地址:2字节,主机地址:2字节)
    192-223: C类(网络地址:3字节,主机地址:1字节)
    224-255: 保留

    3、子网划分

  虽然基于类的地址系统对因特网服务提供商来说工作得很好,但它不能在一个网络内部做任何路由,其目的是使用第二层(桥接/交换)来导引网络中的数据。在大型的A类网络中,这就成了个特殊的问题,因为在大型网络中仅使用桥接/交换使其非常难以管理。在逻辑上其解决办法是把大网络分割成若干小的网络,但在基于类的地址系统中这是不可能的。为了解决这个问题,出现了一个新的域:子网掩码。子网掩码指出地址中哪些部分是网络地址,哪些是主机地址。在子网掩码中,二进制1表示网络地址位,二进制0表示主机地址位。传统的各类地址的子网掩码为:

    A类:255.0.0.0

    B类:255.255.0.0

    C类:255.255.255.0

  如果想把一个B类网络的地址用作C类大小的地址,可以使用掩码255.255.255.0。

  用较长的子网掩码把一个网络分成多个网络就叫做划分子网。要注意的是,一些旧软件不支持子网,因为它们不理解子网掩码。例如UNIX的routed路由守护进程通常使用的路由协议是版本1的RIP,它是在子网掩码出现前设计的。
 上面只介绍了三种子网掩码:255.0.0.0、255.255.0.0和255.255.255.0,它们是字节对齐的子网掩码。但是也可以在字节中间对其进行划分,这里不进行详细讲解,请参照相关的TCP/IP书籍。

  子网使我们可以拥有新的规模的网络,包括很小的用于点到点连接的网络(如掩码255.255.255.252,30位的网络地址,2位的主机地址:两个主机的子网),或中型网络(如掩码255.255.240.0,20位网络地址,12位主机地址:4094个主机的子网)。

  注意DNS被设计为只允许字节对齐的IP网络(在in-addr.arpa.域中)。

    4、超网(supernetting)

  超网是与子网类似的概念–IP地址根据子网掩码被分为独立的网络地址和主机地址。但是,与子网把大网络分成若干小网络相反,它是把一些小网络组合成一个大网络–超网。

  假设现在有16个C类网络,从201.66.32.0到201.66.47.0,它们可以用子网掩码255.255.240.0统一表示为网络201.66.32.0。但是,并不是任意的地址组都可以这样做,例如16个C类网络201.66.71.0到201.66.86.0就不能形成一个统一的网络。不过这其实没关系,只要策略得当,总能找到合适的一组地址的。

    5、可变长子网掩码(VLSM)

  如果你想把你的网络分成多个不同大小的子网,可以使用可变长子网掩码,每个子网可以使用不同长度的子网掩码。例如:如果你按部门划分网络,一些网络的掩码可以为255.255.255.0(多数部门),其它的可为255.255.252.0(较大的部门)。

    6、无类别地址(CIDR)

  因特网上的主机数量增长超出了原先的设想,虽然还远没达到232,但地址已经出现匮乏。1993年发表的RFC1519–无类别域间路由CIDR(Classless Inter-Domain Routing)–是一个尝试解决此问题的方法。CIDR试图延长IPv4的寿命,与128位地址的IPv6不同,它并不能最终解决地址空间的耗尽,但IPv6的实现是个庞大的任务,因特网目前还没有做好准备。CIDR给了我们缓冲的准备时间。

  基于类的地址系统工作的不错,它在有效的地址使用和少量的网络数目间做出了较好的折衷。但是随着因特网意想不到的成长出现了两个主要的问题:

    已分配的网络数目的增长使路由表大得难以管理,相当程度上降低了路由器的处理速度。

    僵化的地址分配方案使很多地址被浪费,尤其是B类地址十分匮乏。

  为了解决第二个问题,可以分配多个较小的网络,例如,用多个C类网络而不是一个B类网络。虽然这样能够很有效地分配地址,但是更加剧了路由表的膨胀(第一个问题)。

  在CIDR中,地址根据网络拓扑来分配。连续的一组网络地址可以被分配给一个服务提供商,使整组地址作为一个网络地址(很可能使用超网技术)。例如:一个服务提供商被分配以256个C类地址,从213.79.0.0到213.79.255.0,服务提供商给每个用户分配一个C类地址,但服务提供商外部的路由表只通过一个表项–掩码为255.255.0.0的网络213.79.0.0–来分辨这些路由。

  这种方法明显减少了路由表的增长,CIDR RFC的作者估计,如果90%的服务提供商使用了CIDR,路由表将以每3年54%的速度增长,而如果没有使用CIDR,则增长速度为776%。如果可以重新组织现有的地址,则因特网骨干上的路由器广播的路由数量将大大减少。但这实际是不可行的,因为将带来巨大的管理负担。

路由器 <四>  

    四、路由

    1、路由表

  如果一个主机有多个网络接口,当向一个特定的IP地址发送分组时,它怎样决定使用哪个接口呢?答案就在路由表中。来看下面的例子:

目的 子网掩码 网关 标志 接口
201.66.37.0 255.255.255.0 201.66.37.74 U eth0
201.66.39.0 255.255.255.0 201.66.39.21 U eth1

  主机将所有目的地为网络201.66.37.0内主机(201.66.37.1-201.66.37.254)的数据通过接口eth0(IP地址为201.66.37.74)发送,所有目的地为网络201.66.39.0内主机的数据通过接口eth1(IP地址为201.66.39.21)发送。标志U表示该路由状态为“up”(即激活状态)。对于直接连接的网络,一些软件并不象上例中一样给出接口的IP地址,而只列出接口。
 此例只涉及了直接连接的主机,那么目的主机在远程网络中如何呢?如果你通过IP地址为201.66.37.254的网关连接到网络73.0.0.0,那么你可以在路由表中增加这样一项:  

  目的
  掩码
  网关
  标志
  接口

  73.0.0.0
  255.0.0.0
  201.66.37.254
  UG
  eth0

  此项告诉主机所有目的地为网络73.0.0.0内主机的分组通过201.66.37.254路由过去。标志G(gateway)表示此项把分组导向外部网关。类似的,也可以定义通过网关到达特定主机的路由,增加标志H(host): 

  目的 掩码 网关 标志 接口
  91.32.74.21 255.255.255.255 201.66.37.254 UGH eth0

  下面是路由表的基础,除了特殊表项之外:

  目的 掩码 网关 标志 接口
  127.0.0.1 255.255.255.255 127.0.0.1 UH lo0
  default 0.0.0.0 201.66.37.254 UG eth1

 第一项是loopback接口,用于主机给自己发送数据,通常用于测试和运行于IP之上但需要本地通信的应用。这是到特定地址127.0.0.1的主机路由(接口lo0是IP协议栈内部的“假”网卡)。第二项十分有意思,为了防止在主机上定义到因特网上每一个可能到达网络的路由,可以定义一个缺省路由,如果在路由表中没有与目的地址相匹配的项,该分组就被送到缺省网关。多数主机简单地通过一个网卡连接到网络,因此只有通过一个路由器到其它网络,这样在路由表中只有三项:loopback项、本地子网项和缺省项(指向路由器)。

    2、重叠路由


  假设在路由表中有下列重叠项: 

  目的 掩码 网关 标志 接口
  1.2.3.4 255.255.255.255 201.66.37.253 UGH eth0
  1.2.3.0 255.255.255.0 201.66.37.254 UG eth0
  1.2.0.0 255.255.0.0 201.66.37.253 UG eth1
  default 0.0.0.0 201.66.39.254 UG eth1

   之所以说这些路由重叠是因为这四个路由都含有地址1.2.3.4,如果向1.2.3.4发送数据,会选择哪条路由呢?在这种情况下,会选择第一条路由,通过网关201.66.37.253。原则是选择具有最长(最精确)的子网掩码。类似的,发往1.2.3.5的数据选择第二条路由。

  注意:这条原则只适用于间接路由(通过网关)。把两个接口定义在同一子网在很多软件实现上是非法的。例如下面的设置通常是非法的(不过有些软件将尝试在两个接口进行负载平衡):

  接口 IP地址 子网掩码
  eth0 201.66.37.1 255.255.255.0
  eth1 201.66.37.2 255.255.255.0

  对于重叠路由的策略是十分有用的,它允许缺省路由作为目的为0.0.0.0、子网掩码为0.0.0.0的路由进行工作,而不需要作为路由软件的一个特殊情况来实现。

  回头来看看CIDR,仍使用上面的例子:一个服务提供商被赋予256个C类网络,从213.79.0.0到213.79.255.0。该服务提供商外部的路由表只以一个表项就了解了所有这些路由:213.79.0.0,子网掩码为255.255.0.0。假设一个用户移到了另一个服务提供商,他拥有网络地址213.79.61.0,现在他是否必须从新的服务提供商处取得新的网络地址呢?如果是,意味着他必须重新配置每台主机的IP地址,改变DNS设置,等等。幸运的是,解决办法很简单,原来的服务提供商保持路由213.79.0.0(子网掩码为255.255.0.0),新的服务提供商则广播路由213.79.61.0(子网掩码为255.255.255.0),因为新路由的子网掩码较长,它将覆盖原来的路由。

  3、静态路由

  回头看看我们已建立的路由表,已有了六个表项:

  目的 掩码 网关 标志 接口
  127.0.0.1 255.255.255.255 127.0.0.1 UH lo0
  201.66.37.0 255.255.255.0 201.66.37.74 U eth0
  201.66.39.0 255.255.255.0 201.66.39.21 U eth1
  default 0.0.0.0 201.66.39.254 UG eth1
  73.0.0.0 255.0.0.0 201.66.37.254 UG eth0
  91.32.74.21 255.255.255.255 201.66.37.254 UGH eth0

  这些表项分别是怎么得到的呢?第一个是当路由表初始化时由路由软件加入的,第二、三个是当网卡绑定IP地址时自动创建的,其余三个必须手动加入,在UNIX系统中,这是通过命令route来做的,可以由用户手工执行,也可以通过rc脚本在启动时执行。上述方法涉及的是静态路由,通常在启动时创建,并且没有手工干预的话将不再改变。

 路由器 <五>

  四、路由

  4、路由协议

  主机和网关都可以使用称作动态路由的技术,这使路由表可以动态改变。动态路由需要路由协议来增加和删除路由表项,路由表还是和静态路由一样地工作,只是其增添和删除是自动的。

  有两种路由协议:内部的和外部的。内部协议在自制系统(AS)内部路由,而外部协议则在自制系统间路由。自制系统通常在统一的控制管理之下,例如大的公司或大学。小的站点常常是其因特网服务提供商自制系统的一部分。

  这里只讨论内部协议,很少有人涉及到甚至听说外部协议。最常见的外部协议是外部网关协议EGP(External Gateway Protocol)和边缘网关协议BGP(Border Gateway Protocol),BGP是较新的协议,在逐渐地取代EGP。

  5、ICMP重定向

  ICMP通常不被看作路由协议,但是ICMP重定向却与路由协议的工作方式很类似,所以将在这里讨论一下。假设现在有上面所给的六个表项的路由表,分组被送往201.66.43.33,看看路由表,除了缺省路由外,这并不能匹配任何路由。静态路由将其通过路由器201.66.39.254发送(trip 1),但是,该路由器知道所有发向子网201.66.43.0的分组应该通过201.66.39.253,因此,它把分组转发到适当的路由器(trip 2)。但是如果主机直接把分组发到201.66.39.253就会提高效率(trip 3)。

    因为路由器把分组从同一接口发回了分组,所以它知道有更好的路由,路由器可以通过ICMP重定向指示主机使用新的路由。虽然路由器知道所有发向201.66.43.0子网的分组应该通过201.66.39.253,它通常只发送特定的主机的ICMP重定向(此例中是201.66.43.33)。主机将在路由表中创建一个新的表项: 
目的 掩码 网关 标志 接口
  201.66.43.33 255.255.255.255 201.66.39.253 UGHD eth1

  注意标志D,对所有由ICMP重定向创建的路由设置此标志。将来此类分组将通过新路由发送(trip 3)。

  6、RIP

  RIP是一种简单的内部路由协议,已经存在很久,被广泛地实现(UNIX的routed就使用RIP)。它使用距离向量算法,所以其路由选择只是基于两点间的“跳(hop)”数,穿过一个路由器认为是一跳。主机和网关都可以运行RIP,但是主机只是接收信息,而并不发送。路由信息可以从指定网关请求,但通常是每隔30秒广播一次以保持正确性。RIP使用UDP通过端口520在主机和网关间通信。网关间传送的信息用于建立路由表,由RIP选定的路由总是具有距离目的跳数最少的。RIP版本1在简单、较小的网络中工作得不错,但是在较大的网络中,就出现一些问题,有些问题在RIP版本2中已纠正,但有些是由于其设计产生的限制。在下面的讨论中,适用于两种版本时简单称为RIP,RIP v1和RIP v2则指特定的版本。

  RIP并没有任何链接质量的概念,所有的链路都被认为是相同的,低速的串行链路被认为与高速的光纤链路是同样的。RIP以最小的跳数来选择路由,因此当在下面两个路由中选择时:

    100Mbps的光纤链路,路由器,然后是10Mbps的以太网

    9600bps的串行链路

  RIP将选择后者。RIP也没有链路流量等级的概念。例如对于两条以太网链路,其中一个很繁忙,另一个根本没有数据流,RIP可能会选择繁忙的那条链路。

  RIP中的最大hop数是15,大于15则认为不可到达。因此在很大的自制系统中,hop数很可能超过15,使用RIP是很不现实的。RIP v1不支持子网,交换的信息中不含子网掩码,对给定路由确定子网掩码的方法各不相同,RIP v2则弥补了此缺点。RIP每隔30秒才进行信息更新,因此在大网中断链信息可能要花些时间才能传播开来,路由信息的稳定时间可能更长,并且在这段时间内可能产生路由环路。对此有一些解决办法,但这里不进行讨论。

  可以看出,RIP是一个简单的路由协议,有一些限制,尤其在版本1中。不过,它常常是某些操作系统的唯一选择。

2005年08月07日

停止更新

交换机:

switch#show mac-address-table   //显示交换机中的mac地址表

switch(config)#mac-address-table permanent hhhh.hhhh.hhhh ethernet0/1  //添加永久地址表

switch(config)#mac-address-table restricted static hhhh.hhhh.hhhh e0/1 e0/2  //添加受限地址表——只允许来自e0/2的接口,且目的地址是hhhh.hhhh.hhhh的数据帧,才能发送到e0/1.非e0/2的其他接口来的任何数据帧,不被允许发送到e0/1.

swith(config-if)#port secure max-mac-count 1 //设置接口的最大学习的mac地址数,设置范围1-132,一旦学习到一个mac地址,由动态转化为静态地址表,此时一旦有第二台试图从此接口发送数据,将根据管理员设定自动关闭端口或者其他。此命令只在19系列有效。在29,35系列上,用命令:port security max-mac-count 1-132

switch#show mac-address-table security //显示有每个端口的port secure设置情况,不过,我的测试中,只有1900系列交换机是这个命令,而29,35系列的交换机只有show port securityshow mac-address-table secure命令

switch(config)#address-violation {suspend|disable|ignore} //设置违反port secure设置后,系统如何处理。这个命令在29,35系列交换机上都没有。在29,35系列上,用命令:port security action {shutdown|trap}

swith#copy nvram tftp://host/dst_file  //区别和路由器的备份格式copy nvram tftp

switch#delete nvram //区别路由器清除命令erase nvram

VLAN配置

SWITCH1900(config)#vtp transparent

SWITCH1900(config)#vtp domain switchlab

SWITCH2950#vlan database

SWITCH2950(vlan)#vtp { server | client | transparent }

SWITCH2950(vlan)#vtp domain domain-name

SWITCH2950(vlan)#vtp password password

SWITCH2950(vlan)#vtp pruning

SWITCH2950(vlan)#snmp-server enable traps vtp

SWITCH2950(vlan)#exit

SWITCH2950(config-if)#switchport mode trunk //在29上启用接口的trunk功能

SWITCH1900(config-if)#trunk on //在19上启用trunk

switch(config)#vlan vlan-number (name vlan-name ) //vlan号一旦创建,不可变更,但是vlan名可以修改

SWITCH1900(config-if)#vlan-membership {static vlan-number | dynamic } //19系列端口接入vlan

SWITCH2950(config-if)#switchport access vlan vlan-number //29系列端口接入vlan

SWITCH1900#show vtp

SWITCH2950#show vtp status

SWITCH1900#show trunk { A  | B } //19系列上显示trunk信息

SWITCH2950#show interface fa0/2 switchport //29系列上显示trunk信息

SWITCH2950(config-if)#switchport trunk encapsulation { dot1q | isl }

SWITCH2950(config-if)#switchport trunk pruning

路由器:

创建ACL

router(config)#access-list 1-99 {permit|deny|remark} {hostname|any|host}  反码//IP标准ACL,缺省反码是0.0.0.0

router(config)#access-list 100-199 {permit|deny|dynamic|remark} {各种协议} //IP扩展ACL

应用ACL

router(config-if)#ip access-group 1-199 {in | out} //缺省为输出访问控制列表设置掩码显示格式

router#terminal ip netmask-format {bit-count | decimal | hexadecimal}

DNS设置

router(config)#ip host d61 10.100.21.61  //本地数据库建立d61和10.100.21.61的映射

router(config)#ip name-server server-address

router(config)#ip domain lookup //Enable IP Domain Name System hostname translation,DNS is enabled by default.

VLAN间路由设置

router(config-if)#no ip address

router(config-if)#int fa0/0.1

router(config-subif)#ip address ip-address mask

router(config-subif)#encapsulation isl valan-number

router(config-if)#int fa0/0.2

router(config-subif)#ip address ip-address mask

router(config-subif)#encapsulation isl valan-number

RIP配置

router(config)#router rip

router(config-rouer)#network network-number //这里要求为主有类网络号,即没有经过子网划分的网络号,RIPv1仅仅支持主有类网络。

IGRP配置

router(config)#router igrp autonormous-system  //进入配置igrp协议,参数autonomous-system则是规定只有相同的这个值,才能互相发送自己的路由表信息。

router(config-rouer)#variance multiplier //配置IGRP协议中的负载均衡应满足的条件(倍数)

router(config-rouer)#traffic-share { balanced | min } //使用balanced参数才可以利用上一条命令来实现规定范围的负载均衡(按Metrics值的反比来分配流量),而用min参数,则必须使用最小Metrics值的路径来传输。

router(config-rouer)#network network-number   //这里要求为主有类网络号

router#debug ip igrp events

router#debug ip igrp translations //相比上一条命令,更加详细

EIGRP配置

router(config)#router eigrp autonormous-system  //进入配置eigrp协议,参数autonomous-system则是规定只有相同的这个值,才能互相发送路由表信息。

router(config-rouer)#variance multiplier //配置EIGRP协议中的负载均衡应满足的条件(倍数)

router(config-rouer)#traffic-share { balanced | min } //使用balanced参数才可以利用上一条命令来实现规定范围的负载均衡(按Metrics值的反比来分配流量),而用min参数,则必须使用最小Metrics值的路径来传输。

router(config-rouer)#network network-number   //尽管这里仍然要求为主有类网络号,但是由于端口上设置的子网掩码确实发送出去了,当然,在网络边界,无类网络仍然会被汇总,所以Eigrp不作处理的话,还是不支持连续网络。(因为它的路由汇总功能可以手工关闭,这样它就可以支持不连续网络了)

router#show ip eigrp neighbors

router#show ip eigrp topology

router#show ip route eigrp

OSPF配置

router(config)#router ospf process-id  //这里的process-id仅仅是用来在路由器本地标识一个ospf进程,并不要求所有的路由器一致

router(config-rouer)#network address mask area area-id   //这里的address可以为地址,也可以为网络号。mask则必须为反码。area则是指定该路由器在哪一个area。他支持不连续的网络。

router#show ip ospf interface //观察端口处于哪一个area以及端口的近邻(adjacency)信息

router#show ip ospf neighbor //显示邻居信息,neighbor指所有的可通信的设备。

router#debug ip ospf events

router#debug ip ospf packet //比上一条更详细

NAT配置

router(config)#ip nat inside source static 192.168.1.1 202.1.1.1 //inside Local ip——>inside Global ip,静态转换

router(config-if)#ip nat { inside | outside }

router#show ip nat translations

router#clear ip nat translations *  //清除所有的nat转换列表

router(config)#ip nat pool pool-name start-ip end-ip netmask mask //创建一个地址转换池

router(config)#access-list 1 permit ip wildmask //此处相当于inside local ip addr

router(config)#ip nat inside source list 1 pool pool-name (overload) //参数为使用地址复用,即使用端口对应

router(config)#ip nat inside source list 1  interface s0 overload //使用端口地址转换,此处就不再使用地址池

PPP配置

routerA(config)#username routerB password cisco //用户名设置为对方的hostname,密码必须和对方一致

routerA(config-if)#encapsulation ppp //封装PPP协议

routerA#debug ppp negotiation //观看PPP协议的协商过程

routerA(config-if)#ppp authentication chap

帧中继配置

routerA(config-if)#encapsulation frame-relay

routerA(config-if)#frame-relay map ip 10.0.0.1 dlci-number broadcast //点对多点模式下必须指出所有的dlci号的映射关系

routerA(config)#interface serial 0 { point-to-point | multi-point }  //进入物理接口

routerA(config-if)#no ip address ip mask //进入子接口配置前,应先去掉物理接口ip

routerA(config-subif)#bandwidth 512 //进入子接口配置的话,带宽应该在子接口下配置

routerA(config)#interface serial 0.1 { point-to-point | multipoint }  //进入子接口

routerA(config-subif)#frame-relay interface-dlci dlci-number //子接口模式必须手工明确指出dlci号,因为帧中继协议只能告诉物理接口是用那一个dlci号,而不能告诉逻辑接口

routerA(config-if)#frame-relay lmi-type {cisco | ansi | q933a} //缺省为cisco标准

routerA#show frame-relay traffic

routerA#clear frame-relay-inarp //清除反转arp映射表

routerA#show frame-relay lmi

routerA#show frame-relay map //显示反转arp映射表

routerA#show frame-relay pvc //显示虚电路dlci号

ISDN配置

Router(config)#isdn switch-type switch-type //在所有接口上应用

Router(config-if)#isdn switch-type switch-type //在某一个接口上应用

Router(config)#controller { T1 | E1 } slot/port  //对某个接口的控制器设定为T1或E1

T1配置

Router(config-controller)#framing esf  //传帧类型

Router(config-controller)#linecode b8zs //线路编码

Router(config-controller)#pri-group timeslots 1-24 //开通的时序范围

Router(config-controller)#interface Serial3/0:23 //对第23路信令信号设置

Router(config-if)#isdn switch-type primary-5ess

Router#show isdn active

Router#show interface bri0

Router#show isdn status

Router#debug isdn q921

Router#debug isdn 9321

DDR配置

Router(config)#dialer-list 1 protocol ip permit //设定感兴趣流量,这个命令将使任何ip都能连接网络

Router(config)#dialer-list 1 protocol ip list 101 //由访问控制列表来控制感兴趣流量

Router(config)#access-list 101 deny tcp any any eq ftp //设定访问控制列表

Router(config)#access-list 101 permit ip any any //设定访问控制列表

Router(config-if)#dialer-group 1 //应用感兴趣流量设定1

Router(config-if)#dialer map ip 10.1.1.1 name central 5555200 //设置拨号号码,使用dialer map,说明静态路由使用的是下一跳地址的ip,这个ip和拨号号码建立了映射关系

Router(config-if)#dialer string number//使用dialer string说明静态路由使用的是本地端口

Router(config-if)#dialer idle-timeout 180 //设置链路闲置多长时间后,断开连接

Router(config-if)#dialer load-threshold hold { outbound | inbound | either } //设置在超过规定负载的时候,允许第二条链路开通

Router(config)#interface dialer 1 //设置拨号接口1

Router(config-if)#ip addr 10.1.1.1 255.255.255.0

Router(config-if)#encapsulation ppp

Router(config-if)#dialer-group 1  //应用感兴趣流量,根据dialer-list的设置来设置

Router(config-if)#dialer pool 1 //调用拨号池1的资源,和在物理接口bri0上的    dialer pool-member 1的号码匹配,这样设置,拨号参数就可以选用池中的物理接口

Router#show dialer interface bri0 //可以查看物理接口和哪个拨号接口匹配,使用哪个信道等

2005年07月27日

一、 基本路由器的检验命令

show version

show processes

show protocols

show mem

show ip route

show startup-config

show running-config

show flash

>show interfaces

二、 基本路由配置命令

进入:config terminal/memory/network

配置网络时常采用的命令:copy和load

1. 标识:hostname 标识名

2. 启动标识:banner 启动标识

3. 接口:interface 端口号

4. 密码:line 0 6

login

passwd 口令

enable password/secret 口令

5. 接口:

1)配置端口

interface 端口号

clock rate 时钟速率(64000)/* 在串口中配置 */

bandwidth 带宽(缺省56) /* 在串口中配置 */

media-type 介质类型 /* 在以太网口上 */

early-token release /* 在令牌环网口上 */

ring-speed 16 /* 在令牌环网口上 */

no shutdown

write memory

2)检验端口

show interfaces

show controllers

6. 配置环境

1) 引导方式

boot system flash IOS-filename

boot system tftp IOS-filename tftp-address

boot system rom

2) 配置Register值

config-register 0×2102

7. 查看邻居路由

show cdp interface

show cdp neighbors [detail]

show cdp entry routerA

8. IP Address 配置

Ip address 网络地址 掩码

Ip host 主机名 address

Ip name-server 服务器地址1 服务器地址2 。。。

Ip domain-lookup nsap

Show hosts

Ping 主机名/IP地址

Trace 主机名/IP地址

[page]
三、 IP 路由

1. 静态路由

ip routing

ip route 目标网络号 掩码 端口号 [permanent]

2. 缺省路由

ip default-network 网络号

3. 动态路由

1) RIP配置

Router rip

Network 网络号

Show ip route

Show ip protocol

Debug ip

2) OSPF 配置

Router ospf 进程号

Redistribute 其它路由协议

Network 端口网络 反掩码 area 区域号

Area 区域号 range 网络号 掩码

Area 区域号 default-cost 花销值

Ip ospf priority number

Ip ospf cost 花销值

Show ip ospf database

3) BGP 配置

Router bgp 自治域号

Redistribute 其它路由协议

Network 网络号 /* 自治域内 */

Aggregate-address 网络号 掩码 summary-only 汇总网络

Neighbor 相邻网络号 remote-as 自治域号 /* 自治域间的网络 */

四、 流量控制

1) 被动端口

passive interface 端口号

2) 缺省路由

ip default 网络号/端口网络

3) 静态路由

ip route 目标网络号 掩码 端口号

4)ACL过滤表

(全局上) access-list 访问号1 {permit|deny} 反掩码号 [ established]

access-list 访问号2 {permit|deny} IP/TCP协议 源网络 目的网络

操作符 参数

(端口上)access-group 访问号 in|out

distribute-list 访问号 in|out 端口号

4) Null 0 interface

Ip route address mask null 0

[page]
五、 广义网配置

1) PPP

Ppp pap sent-usename 封装

Ppp chap hostname

Ppp chap password

2)X.25

encapsulation x25 [dce]

x25 address

x25 map 协议地址 /*SVC */

x25 pvc pvc号 ip地址 x25地址 /*PVC */

ip switching

x25 route x.121地址 接口 x.121映射地址

2) FrameRelay

Frame-relay local-dlci IP网络号

Frame-relay map 协议地址

Frame-relay lmi-type ansi

2005年07月26日

作者:mecca_gs 

下面是一个Cisco 3640的VOIP配置,对方的结构是北京和汕头两地做VoIP,后接阿尔卡特的PBX。 这里面有很多值得注意的地方,与大家一起分享快乐!

北京一方的3640配置:
Beijing#sh run
Building configuration…

Current configuration:
!
version 12.0
service timestamps debug uptime(设定Debug跟踪日志显示其时间)
service timestamps log uptime(设定看Log时显示其时间)
no service password-encryption(口令不加密)
!
hostname Beijing(主机名)
!
enable secret 5 $1$R.66$z.BUjhNsJcIr8KCcS9uxG.
!
!
!
!
!
voice-card 1(定义语音卡1)
!
voice-card 3(定义语音卡3)
!
ip subnet-zero
no ip domain-lookup
!
isdn voice-call-failure 0
!
!
!
!
controller E1 1/0(配置 E1语音卡)
framing NO-CRC4
ds0-group 0 timeslots 1-15,17-31 type e&m-wink-start(定义语音卡的类型为E&M卡)
cas-custom 0
!
controller E1 3/0(配置 E1语音卡)
framing NO-CRC4
ds0-group 0 timeslots 1-15,17-31 type e&m-wink-start(定义语音卡的类型为E&M卡)
cas-custom 0
!
!
!
interface BRI0/0
no ip address
no ip directed-broadcast
shutdown
isdn guard-timer 0 on-expiry accept
!
interface FastEthernet0/0
no ip address
no ip directed-broadcast
shutdown
duplex auto
speed auto
!
interface Serial0/0
description "Link to MainLand_Shantou by NCIC lease line"
ip address 192.168.1.1 255.255.255.252
no ip directed-broadcast
no ip mroute-cache
no fair-queue
!
interface Serial0/1
no ip address
no ip directed-broadcast
shutdown
clockrate 2000000
!
ip classless
no ip http server
!
!
voice-port 1/0:0(配置模拟语音端口)
compand-type a-law
!
voice-port 3/0:0(配置模拟语音端口)
compand-type a-law
!
dial-peer voice 1 voip (定义拨号对等体到语音)
destination-pattern +445…(为拨号对等体分配电话号码,其中.为通配符)
session target ipv4:192.168.1.2(定义Voip路由,为对端的IP地址)
req-qos guaranteed-delay (语音数据流RVSP的保证,其中Guaranteed-dealy可用于保证整个网络的延时)
ip precedence 5(IP优先级,5为关键)
!
dial-peer voice 2 pots(定义拨号对等体到语音物理端口)
destination-pattern +3…(定义电话话码以3开头的)
port 1/0:0(定义语音端口)
!
dial-peer voice 3 pots(定义拨号对等体到语音物理端口)
destination-pattern +3…(定义电话话码以3开头的)
port 3/0:0(定义语音端口)
!
!
line con 0(设定登陆)
transport input none
line aux 0
line vty 0 4(允许用Telnet)
password cisco(口令为Cisco)
login
!
end

Beijing#

汕头一方的3640配置
Shantou#sh run
Building configuration…
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Shantou
!
enable secret 5 $1$dB/c$tnrMU9IxFCJdix5ssHAdH/
!
!
!
!
!
voice-card 1
!
voice-card 2
!
ip subnet-zero
no ip domain-lookup
!
isdn voice-call-failure 0
!
!
!
!
controller E1 1/0
framing NO-CRC4
ds0-group 0 timeslots 1-15,17-31 type e&m-immediate-start
cas-custom 0
!
controller E1 2/0
framing N
ds0-group 0 timeslots 1-15,17-31 type e&m-immediate-start
cas-custom 0
!
!
!
interface BRI0/0
no ip address
no ip directed-broadcast
encapsulation ppp
isdn guard-timer 0 on-expiry accept
ppp multilink
!
interface FastEthernet0/0
no ip address
no ip directed-broadcast
shutdown
duplex auto
speed auto
!
interface Serial0/0
no ip address
no ip directed-broadcast
no ip mroute-cache
shutdown
no fair-queue
clockrate 2000000
!
interface Serial0/1
ip address 192.168.1.2 255.255.255.252
no ip directed-broadcast
!
ip classless
!
no ip http server
!
!
voice-port 1/0:0
compand-type a-law
!
voice-port 2/0:0
compand-type a-law
!
dial-peer voice 20 voip
destination-pattern +3…
session target ipv4:192.168.1.1
req-qos guaranteed-delay
ip precedence 5
!
dial-peer voice 10 pots
destination-pattern +448…
port 1/0:0
!
dial-peer voice 30 voip
destination-pattern +4…
session target ipv4:192.168.1.1
req-qos guaranteed-delay
ip precedence 5
!
dial-peer voice 40 pots
destination-pattern +449…
port 2/0:0
!
!
line con 0
transport input none
line aux 0
line vty 0 4
password cisco
login
!
end

Shantou#