2013年07月24日

一.概述:

实际工作中估计会经常碰到用ASA接两家ISP线路,比如电信和网通,而又没有足够的预算买负载均衡设备,但是又想实现链路负载分担和自动切换,从电信来的流量,从电信线路回去,从网通来的流量从网通线路回去,当其中一条线路出现故障时,所有的流量从没有出现故障线路走。
二.基本思路:
A.用OSPF模拟运营商网络,主要是为了不想手工添加路由

B.通过添加默认路由走电信线路、监控电信线路的网关,和高metric的默认路由走网通线路,实现:

—-电信来的流量走电信回去(需要C手工配置网通静态路由相配合)

—-电信链路出现故障时,走网通线路

C.通过添加网通的静态路由走网通线路,并监控网通线路的网关,实现:

—-网通来的流量走网通回去

—-网通链路出现故障时,走电信线路的默认路由

D.对于静态NAT,实际环境只有当两条ISP线路都正常时,才会同时能被访问

E.测试环境,实现静态NAT当一条线路出现故障时,还能同时被访问,实现的方法是:

—ASA两个外部接口配置两条静态NAT

—ASA两个相连的ISP路由器把另外一家ISP所NAT的网段发布出去,并将metric设置比OSPF默认的大

三.测试拓扑:

四.基本配置:
A.R1:
①接口配置:
interface Loopback0
ip address 1.1.1.1 255.255.255.0
interface Loopback61
ip address 61.1.3.1 255.255.255.0
ip ospf network point-to-point
interface Loopback202
ip address 202.100.3.1 255.255.255.0
ip ospf network point-to-point
interface FastEthernet0/0
ip address 202.100.2.1 255.255.255.0
no shut
interface FastEthernet0/1
ip address 61.1.2.1 255.255.255.0
no shut
②路由配置:
router ospf 1
router-id 1.1.1.1
passive-interface default
no passive-interface FastEthernet0/0
no passive-interface FastEthernet0/1
network 61.1.2.1 0.0.0.0 area 0
network 61.1.3.1 0.0.0.0 area 0
network 202.100.2.1 0.0.0.0 area 0
network 202.100.3.1 0.0.0.0 area 0
B:R2:
①接口配置:
interface Loopback0
ip address 2.2.2.2 255.255.255.0
interface FastEthernet0/0
ip address 202.100.1.2 255.255.255.0
no shut
interface FastEthernet0/1
ip address 202.100.2.2 255.255.255.0
no shut
interface FastEthernet1/0
ip address 23.1.1.1 255.255.255.252
no shut
②路由配置:
router ospf 1
router-id 2.2.2.2
log-adjacency-changes
passive-interface default
no passive-interface FastEthernet0/1
no passive-interface FastEthernet1/0
network 23.1.1.1 0.0.0.0 area 0
network 202.100.1.2 0.0.0.0 area 0
network 202.100.2.2 0.0.0.0 area 0
C.R3:
①接口配置:
interface Loopback0
ip address 3.3.3.3 255.255.255.0
interface FastEthernet0/0
ip address 61.1.1.3 255.255.255.0
no shut
interface FastEthernet0/1
ip address 61.1.2.3 255.255.255.0
no shut
interface FastEthernet1/0
ip address 23.1.1.2 255.255.255.252
no shut
②路由配置:
router ospf 1
router-id 3.3.3.3
passive-interface default
no passive-interface FastEthernet0/1
no passive-interface FastEthernet1/0
network 23.1.1.2 0.0.0.0 area 0
network 61.1.1.3 0.0.0.0 area 0
network 61.1.2.3 0.0.0.0 area 0
D.ASA842:
①接口配置:
interface GigabitEthernet0
nameif Inside
security-level 100
ip address 10.1.1.10 255.255.255.0
no shut
interface GigabitEthernet1
nameif Outside
security-level 0
ip address 202.100.1.10 255.255.255.0
no shut
interface GigabitEthernet2
nameif Backup
security-level 0
ip address 61.1.1.10 255.255.255.0
no shut
②两条线路的动态PAT配置:
object network inside_net
subnet 0.0.0.0 0.0.0.0
object network inside_any
subnet 0.0.0.0 0.0.0.0
object network inside_net
nat (Inside,Outside) dynamic interface
object network inside_any
nat (Inside,Backup) dynamic interface
③两条线路的静态NAT配置:
object network Inside_host_outside
host 10.1.1.4
object network Inside_host_backup
host 10.1.1.4
object network Outside-to-backup
host 10.1.1.4
object network Backup-to-outside
host 10.1.1.4
object network Inside_host_outside
nat (Inside,Outside) static 202.100.1.4
object network Inside_host_backup
nat (Inside,Backup) static 61.1.1.4
object network Outside-to-backup
nat (Inside,Outside) static 61.1.1.4
object network Backup-to-outside
nat (Inside,Backup) static 202.100.1.4
—-每条线路配置两条NAT,保证一条ISP线路出现故障时,两条静态NAT都能被访问
④防火墙策略配置:

class-map ALL_IP
match any
policy-map global_policy
class inspection_default
inspect icmp
class ALL_IP
set connection decrement-ttl
service-policy global_policy global
access-list outside extended permit icmp any any
access-list outside extended permit udp any any range 33434 33523
access-list outside extended permit tcp any object Inside_host_outside eq telnet
access-group outside in interface Outside
access-group outside in interface Backup

E:R4:
①接口配置:
interface Loopback0
ip address 192.168.1.4 255.255.255.0
interface FastEthernet0/0
ip address 10.1.1.4 255.255.255.0
no shut
②路由配置:
ip route 0.0.0.0 0.0.0.0 10.1.1.10
③telnet配置:
line vty 0 4
password cisco
login
五.ASA842 SLA及路由配置:
①sla配置:
sla monitor 1
type echo protocol ipIcmpEcho 202.100.1.2 interface Outside
frequency 10
sla monitor schedule 1 life forever start-time now
sla monitor 2
type echo protocol ipIcmpEcho 61.1.1.3 interface Backup
frequency 10
sla monitor schedule 2 life forever start-time now
②track配置:
track 1 rtr 1 reachability
track 2 rtr 2 reachability
③静态路由配置:
route outside 0 0 202.100.1.2 1 track 1
route backup 0 0 61.1.1.3 254
—默认路由走电信线路,当电信线路出现故障时自动切换到网通线路
route Backup 61.1.2.0 255.255.255.0 61.1.1.3 1 track 2
route Backup 61.1.3.0 255.255.255.0 61.1.1.3 1 track 2
—当网通线路正常时,到网通的网络的数据走网通的线路,否则走电信的默认路由
route Inside 192.168.1.0 255.255.255.0 10.1.1.4 1
—增加一条回指路由
六.关于静态NAT:
—为了使两条线路其中一条线路出现故障时,两个被静态NAT地址都能访问,需要:
A.每条线路配置两条静态NAT
—-前面已经配置
B.每个相连的ISP路由器把另外一家ISP所NAT的网段发布出去,并将metric设置比ospf默认的大
—-这种情况在实际环境基本无法实现,两家ISP不可能会帮客户做这样的事情,除非给的费用足够多
—-测试环境下还是可以玩一玩的
①R2路由器:
ip route 61.1.1.0 255.255.255.0 202.100.1.10 254 tag 10
route-map ASA842 permit 10
match tag 10
router ospf 1
redistribute static metric 130 subnets route-map ASA842
②R3路由器:
ip route 202.100.1.0 255.255.255.0 61.1.1.10 254 tag 10
route-map ASA842 permit 10
match tag 10
router ospf 1
redistribute static metric 130 subnets route-map ASA842

七.效果测试:

A.线路正常的情况下:

R4#traceroute 202.100.3.1 source l0
Type escape sequence to abort.
Tracing the route to 202.100.3.1
1 202.100.1.2 160 msec 108 msec 56 msec
2 202.100.2.1 36 msec * 24 msec
R4#traceroute 61.1.3.1 source l0
Type escape sequence to abort.
Tracing the route to 61.1.3.1
1 61.1.1.3 112 msec 8 msec 0 msec
2 61.1.2.1 112 msec * 68 msec
—去电信的流量走电信,去网通的流量走网通

R1#traceroute 202.100.1.4 source l202
Type escape sequence to abort.
Tracing the route to 202.100.1.4
1 202.100.2.2 32 msec 56 msec 20 msec
2 202.100.1.10 40 msec * 24 msec
3 202.100.1.4 80 msec * 16 msec
R1#traceroute 202.100.1.4 source l61
Type escape sequence to abort.
Tracing the route to 202.100.1.4
1 202.100.2.2 140 msec 180 msec 80 msec
2 202.100.1.10 64 msec * 88 msec
3 202.100.1.4 140 msec * 84 msec
R1#traceroute 61.1.1.4 source l61
Type escape sequence to abort.
Tracing the route to 61.1.1.4
1 61.1.2.3 116 msec 32 msec 0 msec
2 61.1.1.10 4 msec * 4 msec
3 61.1.1.4 208 msec * 128 msec
R1#traceroute 61.1.1.4 source l202
Type escape sequence to abort.
Tracing the route to 61.1.1.4
1 61.1.2.3 8 msec 120 msec 192 msec
2 61.1.1.10 0 msec * 20 msec
3 61.1.1.4 152 msec * 204 msec
—-两个被静态NAT地址都能被访问,并且电信的地址走电信接口,网通的地址走网通的接口

B.电信线路不正常的情况下:

R4#traceroute 202.100.3.1 source l0
Type escape sequence to abort.
Tracing the route to 202.100.3.1
1 10.1.1.10 188 msec * 28 msec
2 61.1.1.3 44 msec 0 msec 0 msec
3 61.1.2.1 108 msec * 84 msec
R4#traceroute 61.1.3.1 source l0
Type escape sequence to abort.
Tracing the route to 61.1.3.1
1 10.1.1.10 0 msec * 20 msec
2 61.1.1.3 100 msec 32 msec 0 msec
3 61.1.2.1 108 msec * 72 msec
—去电信和网通的流量都走网通
R1#traceroute 202.100.1.4 source l202
Type escape sequence to abort.
Tracing the route to 202.100.1.4
1 61.1.2.3 4 msec 184 msec 52 msec
2 61.1.1.10 0 msec * 0 msec
3 202.100.1.4 152 msec * 12 msec
R1#traceroute 202.100.1.4 source l61
Type escape sequence to abort.
Tracing the route to 202.100.1.4
1 61.1.2.3 36 msec 4 msec 16 msec
2 61.1.1.10 200 msec * 16 msec
3 202.100.1.4 184 msec * 148 msec
R1#traceroute 61.1.1.4 source l61
Type escape sequence to abort.
Tracing the route to 61.1.1.4
1 61.1.2.3 48 msec 0 msec 0 msec
2 61.1.1.10 4 msec * 32 msec
3 61.1.1.4 148 msec * 180 msec
R1#traceroute 61.1.1.4 source l202
Type escape sequence to abort.
Tracing the route to 61.1.1.4
1 61.1.2.3 76 msec 52 msec 0 msec
2 61.1.1.10 0 msec * 16 msec
3 61.1.1.4 172 msec * 112 msec
—-电信和网通被静态NAT的地址都能被电信和网通的用户访问

C.网通线路不正常的情况下:

R4#traceroute 202.100.3.1 source l0
Type escape sequence to abort.
Tracing the route to 202.100.3.1
1 10.1.1.10 8 msec * 28 msec
2 202.100.1.2 108 msec 72 msec 84 msec
3 202.100.2.1 88 msec * 128 msec
R4#traceroute 61.1.3.1 source l0
Type escape sequence to abort.
Tracing the route to 61.1.3.1
1 10.1.1.10 0 msec * 76 msec
2 202.100.1.2 112 msec 96 msec 24 msec
3 202.100.2.1 248 msec * 76 msec
—去电信和网通的流量都走电信
R1#traceroute 202.100.1.4 source l202
Type escape sequence to abort.
Tracing the route to 202.100.1.4
1 202.100.2.2 4 msec 156 msec 76 msec
2 *
202.100.1.10 40 msec *
3 202.100.1.4 68 msec * 24 msec
R1#traceroute 202.100.1.4 source l61
Type escape sequence to abort.
Tracing the route to 202.100.1.4
1 202.100.2.2 92 msec 60 msec 124 msec
2 202.100.1.10 4 msec * 36 msec
3 202.100.1.4 152 msec * 60 msec
R1#traceroute 61.1.1.4 source l61
Type escape sequence to abort.
Tracing the route to 61.1.1.4
1 202.100.2.2 32 msec 136 msec 116 msec
2 202.100.1.10 80 msec * 56 msec
3 61.1.1.4 120 msec * 120 msec
R1#traceroute 61.1.1.4 source l202
Type escape sequence to abort.
Tracing the route to 61.1.1.4
1 202.100.2.2 4 msec 140 msec 112 msec
2 202.100.1.10 64 msec * 64 msec
3 61.1.1.4 156 msec * 80 msec
—-电信和网通被静态NAT的地址都能被电信和网通的用户访问

2013年07月09日

中小型企业cisco IP电话部署案例一

—–CME

亚威讲师袁阳

IP电话是将模拟的声音信号经过压缩封包之后,以数据封包的形式在IP网络进行语音信号的传输。它使你可以通过现有的IP网络资源传送语音、传真、视频和数据等业务。可以实现语音,视频和数据在同一网络共存。达到节约企业电话成本,同时实现统一消息、虚拟电话、虚拟语音/传真邮箱、查号业务、Internet呼叫中心、电视会议、电子商务、传真存储转发和各种信息的存储转发等业务。

下面先简单介绍一下VOIP中用到的电话种类,有关Voip原理在我的后续技术文章中给大家介绍。

1.数字电话:如Cisco 79XX系列。此类电话可以直接把人的声音模拟信号转为数字信号,用采样,量化,编码,压缩等技术实现模拟和数字之间的转换。

2. IP Soft Phone:如CISCO IP Communicator.此类电话为装在PC上的软件,也可以实现IP电话。

3.普通模拟电话:

此类电话为最常见的家用模拟电话。只能处理模拟信号,要在IP网中传输,必须通过DSP(数字信号处理器)实现模拟和数字之间的转化。

有关Voip原理在我的后续技术文章中给大家介绍。下面通过一个实例给大家介绍一下有关IP PHONE 在中小型企业的部署:

企业ABC有总部和一个分支,总部在北京,分支在上海,网络现状是:北京和上海之间以有WAN的连接用与数据的传输,北京和上海间电话走PSTN电话网,每个月有一大部分的长途电话费用支出。现在想把语音和数据都用WAN去传输,电话用的是数字电话CISCO7960或 cisco Ip communicator 软电话。

测试环境:

1. Cisco 3725路由器2台

2. Cisco 3550交换机 2台

3. Cisco 7960 IP 电话2台

4. Cisco Ip communicator 软电话

配置包括CISCO 7960的配置,3550 Switch的配置,3725 Router 的配置等,今天先给大家介绍一下CISCO 3725路由器做CME的配置。其他的在后面的技术文章中陆续给大家介绍。

在部署IP电话时IP电话需要通过DHCP获的IP地址,网关,TFTP地址等,并去TFTP获的配置文件等,可以注册在CISCO的一个专用的叫Callmanage上(功能后面给大家介绍,有些功能象PBX)或注册到路由器,叫CME,对与大的IP电话网可以用Callmanage, 中小型电话网可以用CME实现注册。下面介绍CME的配置:

总部和分支路由器实现CME。北京DN(电话号码)为4001和1001 BR-DN为5001和5002。总部和分支的连接用FR。注意也可以让总部和分支的IP电注册到同一个CME上。

北京配置如下:

一:路由器做DHCP服务器

ip dhcp pool pool1

network 100.1.1.0 255.255.255.0

default-router 100.1.1.1

option 150 ip 100.1.1.1(150指TFTP服务器地址)

ip dhcp excluded-address 100.1.1.1

二.路由器接口和协议的配置

interface Serial0/0

ip address 10.1.1.1 255.255.255.0

encapsulation frame-relay

frame-relay map ip 10.1.1.2 103 broadcast

no frame-relay inverse-arp

interface FastEthernet0/1

ip address 100.1.1.1 255.255.255.0

duplex auto

speed auto

router rip

network 10.0.0.0

network 100.0.0.0

三.VOIP路由和CME

dial-peer voice 1 voip(voip路由)

destination-pattern 5…(当以5开头的电话号码发给10.1.1.2)

session target ipv4:10.1.1.2

telephony-service

max-ephones 10

max-dn 5

ip source-address 100.1.1.1 port 2000

auto assign 1 to 2 type 7960

time-zone 42

create cnf-files version-stamp Jan 01 2002 00:00:00

max-conferences 8 gain -6

!

!

ephone-dn 1 dual-line

number 4001 (电话号码)

!

!

ephone-dn 2 dual-line

number 4002(电话号码0

!

!

ephone 1

mac-address 0007.0E81.10A3 (7960电话的MAC地址,电话号码为4001)

type 7960

button 1:1

ephone 2

mac-address 000C.2952.E6F2 (本电话为CISCO 软电话,电话号码为4002)

type CIPC

button 1:2

上海路由器配置:

一:路由器做DHCP服务器

ip dhcp excluded-address 200.1.1.1

ip dhcp pool pool1

network 200.1.1.0 255.255.255.0

default-router 200.1.1.1

option 150 ip 200.1.1.1

二.路由器接口和协议的配置

interface FastEthernet0/0

ip address 200.1.1.1 255.255.255.0

duplex auto

speed auto

interface Serial0/0

ip address 10.1.1.2 255.255.255.0

encapsulation frame-relay

frame-relay map ip 10.1.1.1 301 broadcast

no frame-relay inverse-arp

frame-relay lmi-type ansi

router rip

network 10.0.0.0

network 200.1.1.0

三.VOIP路由和CME

dial-peer voice 1 voip

destination-pattern 4…

session target ipv4:10.1.1.1 (当以4开头的电话号码发给10.1.1.1)

telephony-service

max-ephones 5

max-dn 5

ip source-address 200.1.1.1 port 2000

auto assign 1 to 2

create cnf-files version-stamp Jan 01 2002 00:00:00

max-conferences 8 gain -6

web admin system name Admin password admin

!

!

ephone-dn 1 dual-line

number 5001

!

!

ephone-dn 2 dual-line

number 5002

!

!

ephone 1

mac-address 0005.5E7C.C704

type 7960

button 1:1

ephone 2

mac-address 000C.2918.5C32

type CIPC

button 1:2

以上只给出了CME的配置。没有连接PSTN,打不了外线。连接PSTN有下面作用:

1. WAN线路允余

2. 打外线

3. CAC等

本文没考虑QOS,SRST,PSTN,CAC,以及 CCM等,以后会给大家陆续介绍。

2013年06月05日

CISCO DHCP 复习一下

——————————————————————

1.配置DHCP Server
(1)开启DHCP 功能
r2(config)#service dhcp
(2)配置DHCP 地址池
r2(config)#ip dhcp pool ccie1 地址池名为ccie1
r2(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客户端使用的地址段
r2(dhcp-config)#default-router 10.1.1.1 网关
r2(dhcp-config)#dns-server 10.1.1.1 10.1.1.2 DNS
r2(dhcp-config)#lease 1 1 1 租期为1 天1 小时1 分(默认为一天)
r2(config)#ip dhcp pool ccie2 地址池名为ccie1
r2(dhcp-config)#network 20.1.1.0 255.255.255.0 可供客户端使用的地址段
r2(dhcp-config)#default-router 20.1.1.1 网关
r2(dhcp-config)#dns-server 20.1.1.1 20.1.1.2 DNS
r2(dhcp-config)#lease 1 1 1 租期为1 天1 小时1 分(默认一天)
(3)去掉不提供给客户端的地址
注:因为某些IP 地址不希望提供给客户端,比如网关地址,所以我们要将这些地址
从地址池中移除,这样服务器就不会将这些地址发给客户端使用。
r2(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10
r2(config)#ip dhcp excluded-address 20.1.1.1 20.1.1.10 移除20.1.1.1 到20.1.1.10
2.配置DHCP Client
(1)配置接口使用DHCP
r1(config)#int f0/1
r1(config-if)#ip address dhcp
3.查看命令:
(1)在服务器上查看哪些地址分配给了哪些主机:
R2#Show ip dhcp binding
4.查看结果
查看DHCP Client 会看到接口 F0/0 的IP 地址为10.1.1.11 并且产生一条指向
10.1.1.1 的默认路由(换成PC 就会变成网关是10.1.1.1),路由器并不需要得到DNS。
在这里,DHCP Server 上明明配了两个地址池,网段分别为 10.1.1.0/24 和
20.1.1.0/24,为什么客户端向服务器请求地址的时候,服务器就偏偏会把10.1.1.0/24
网段的地址发给客户,而不会错把20.1.1.0/24 网段的地址发给客户呢。这是因为服
务器从哪个接口收到DHCP 请求,就只能向客户端发送地址段和接收接口地址相同
的网段,如果不存在相同网段,就会丢弃请求数据包。图中接收接口地址为10.1.1.1,
而地址池ccie1 中的网段10.1.1.0/24 正好和接收接口是相同网段,所以向客户端发
送了IP 地址10.1.1.11。
DHCP 中继

2.png (47.99 KB)

2010-11-26 14:41

如图中所示,当R1 的接口配置为DHCP 获得地址后,那么将从F0/0 发出目的
地为255.255.255.255 的广播请求包,如果R2 为DHCP 服务器,便会响应客户端,
但它不是DHCP 服务器,因此R2 收到此广播包后便默认丢弃该请求包。而真正的
DHCP 服务器是R4,R1 的广播包又如何能到达R4 这台服务器呢,R4 又如何向R1
客户端发送正确的IP 地址呢。
路由器是不能够转发广播的,因此,除非能够让R2 将客户端的广播包单播发向
R4 这台服务器。我们的做法就是让R2 将广播包通过单播继续前转到R4 这台服务
器,称为DHCP 中继,通过IP help-address 功能来实现。
1.R2 配置
(1)配置将DHCP 广播前转到34.1.1.4
注:IP help-address 功能默认能够前转DHCP 协议,所以无需额外添加。
R2(config)#int f0/0
R2(config-if)#ip helper-address 34.1.1.4
2.配置DHCP Server:
(1)开启DHCP 功能
R4(config)#service dhcp
(2)配置DHCP 地址池
R4(config)#ip dhcp pool ccie1 地址池名为ccie1
R4(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客户端使用的地址段
R4(dhcp-config)#default-router 10.1.1.1 网关
R4(config)#ip dhcp pool ccie2 地址池名为ccie1
R4(dhcp-config)#network 34.1.1.0 255.255.255.0 可供客户端使用的地址段
R4(dhcp-config)#default-router 34.1.1.4 网关
(3)去掉不提供给客户端的地址
R4(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10
R4(config)#ip dhcp excluded-address 34.1.1.1 34.1.1.10 移除 20.1.1.1 到
20.1.1.10
(4)配置正确地址池的路由
R4(config)#ip route 10.1.1.0 255.255.255.0 34.1.1.3
注: R3 无需做任何配置!
3.查看结果
查看DHCP Client 会看到接口F0/0 的IP 地址为10.1.1.11,那么DHCP 服务器R4
又是根据什么来判断出客户端需要的是哪个网段的IP 地址呢,为什么还是没有错把
34.1.1.0/24 网段的地址发给客户呢。不是说服务器从哪个接口收到请求,就把这个
接口相同网段的地址发给客户端吗?按照之前的理论,应该是发送34.1.1.0/24 的地
址给客户啊。在这里,能够指导服务器发送正确IP 地址给客户端,是因为有一个被
称为option 82 的选项,这个选项只要DHCP 请求数据包被中继后便会自动添加,此
选项,中继路由器会在里面的giaddr 位置写上参数,这个参数,就是告诉服务器,客
户端需要哪个网段的IP地址才能正常工作。中继路由器从哪个接口收到客户的DHCP
请求,就在option 82 的giaddr 位置写上该接收接口的IP 地址,然后服务器根据giaddr
位置上的IP 地址,从地址池中选择一个与该IP 地址相同网段的地址给客户,如果
没有相应地址池,则放弃响应,所以,服务器R4 能够正确发送10.1.1.0/24 的地址
给客户,正是因为R2 在由于IP help-address 的影响下,将giaddr 的参数改成了自己
接收接口的地址,即将giaddr 参数改成了10.1.1.1,通过debug 会看到如下过程:
*Mar100:28:36.666: DHCPD: setting giaddr to 10.1.1.1.
*Mar100:28:36.666HCPD:BOOTREQUESTfrom0063.6973.636f.2d30.3031.322e.
6439.6639.2e63.3638.302d.4661.302f.30 forwarded to 34.1.1.4.
从上面debug 信息可以看到R2 是将giaddr 改成 10.1.1.1 后发中继发向34.1.1.4
的,需要知道的是,经过中继后发来的DHCP 请求包如果giaddr 位置不是某个IP 地
址而是0.0.0.0 的话,服务器是丢弃该请求而不提供IP 地址的。
注:当服务器上存在10.1.1.0/24 网段的地址池时,服务器要将该地址池发送给客户,
就必须存在到达10.1.1.0 网段的路由(默认路由也行),并且客户端必须位于该路由的
方向,如果方向不对,该地址池也是不能够发给客户使用的。
不同VLAN 分配不同地址

3.png (69.93 KB)

2010-11-26 14:41

如图3 中所示,两个DHCP 客户端分别位于交换机上两个不同的VLAN,交换机
上的VLAN 接口将作为他们的网关,R3 是DHCP 服务器,这两个客户端必须得到不
同网段的地址,否则无法与外网通信,在这种情况下,服务器R3 也必须正确为R1
分配10.1.1.0/24 网段的地址,必须为R2 分配20.1.1.0/24 的地址,配置如下:
1.配置DHCP Server
(1)开启DHCP 功能
R3(config)#service dhcp
(2)配置DHCP 地址池
R3(config)#ip dhcp pool ccie1 地址池名为ccie1
R3(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客户端使用的地址段
R3(dhcp-config)#default-router 10.1.1.1 网关
R3(config)#ip dhcp pool ccie2 地址池名为ccie1
R3(dhcp-config)#network 20.1.1.0 255.255.255.0 可供客户端使用的地址段
R3(dhcp-config)#default-router 20.1.1.1 网关
(3)去掉不提供给客户端的地址
R3(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10
R3(config)#ip dhcp excluded-address 20.1.1.1 20.1.1.10 移除 20.1.1.1 到
20.1.1.10
(4)配置正确地址池的路由
R3(config)#ip route 10.1.1.0 255.255.255.0 30.1.1.1
R3(config)#ip route 20.1.1.0 255.255.255.0 30.1.1.1
2.配置交换机
(1)配置相应接口信息
sw(config)#vlan 10
sw(config-vlan)#exit
sw(config)#vlan 20
sw(config-vlan)#exit
sw(config)#int f0/1
sw(config-if)#switchport mode access
sw(config-if)#switchport access vlan 10
sw(config-if)#exit
sw(config)#int f0/2
sw(config-if)#switchport mode access
sw(config-if)#switchport access vlan 20
sw(config-if)#exit
sw(config)#int vlan 10
sw(config-if)#ip address 10.1.1.1 255.255.255.0
sw(config-if)#ip helper-address 30.1.1.3 单播前转DHCP 广播到30.1.1.3
sw(config-if)#exit
sw(config)#int vlan 20
sw(config-if)#ip address 20.1.1.1 255.255.255.0
sw(config-if)#ip helper-address 30.1.1.3 单播前转DHCP 广播到30.1.1.3
3.配置DHCP Client
(1)配置R1
r1(config)#int f0/1
r1(config-if)#ip address dhcp
(2)配置R2
r2(config)#int f0/1
r1(config-if)#ip address dhcp
4.查看结果:
按上述配置完之后,客户端R1 的F0/0 便能够收到地址10.1.1.11,客户端R2 便
能够收到地址20.1.1.11,然后就可以全网通信。在上述的情况下,服务器R3 能够
正确为R1 分配10.1.1.0/24 网段的地址,能够正确为R2 分配20.1.1.0/24 网段的地址,
同样也是因为交换机在收到R1 的DHCP 广播包后,将giaddr 的参数改成了10.1.1.1,
收到R2 的广播包后,将giaddr 的参数改成了20.1.1.1,所以最后服务器R3 能够根
据 giaddr=10.1.1.1 的包分配10.1.1.0/24 的地址,根据giaddr=20.1.1.1 的包分配
20.1.1.0/24 的地址。
IP 与MAC 地址绑定
在配置DHCP 时,地址池中除了移除掉的IP 地址之外,所有的地址都会按顺序
分配给客户,所以客户机得到的 IP 地址是无法固定的,有时需要每次固定为某些
PC 分配相同的IP 地址,那么这时就可以配置DHCP 服务器以静态将IP 地址和某些
MAC 绑定,只有相应的MAC 地址才能获得相应的IP 地址。在Cisco 设备上静态将
IP 与MAC 绑定的方法为,需要将某个IP 地址绑定给MAC 地址,就为该IP 地址单独
创建地址池,称为host pool,地址池中需要注明IP 地址和掩码位数,并且附上一个
MAC 地址,以后这个IP 地址就只分配给这个MAC 地址,所以host pool 只能有一个
IP 地址和一个MAC 地址,如果需要为多个客户绑定IP 和MAC,就必须得单独为每
个客户都配置各自的host pool,还要注意的是,在host pool 中,MAC 地址的表示
方法和平常不一样,比如一个主机网卡的MAC 地址为aabb.ccdd.eeff,在地址池中,
需要在前面加上01 (01 表示为以太网类型),结果为01aa.bbcc.ddee.ff
1.配置host pool:
(1)配置pool 名
r1(config)#ip dhcp poo ccie
(2)配置IP 地址
r1(dhcp-config)#host 10.1.1.100 /24
(3)配置与该IP 地址对应的MAC 地址
r1(dhcp-config)#client-identifier 01aa.bbcc.ddee.ff
2.查看配置结果:
(1)查看服务器地址分配状态
r1#sh ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
10.1.1.100 01aa.bbcc.ddee.ff Infinite Manual
r1#
说明:从以上结果可以看出,IP 地址10.1.1.100 已经手工与MAC 地址aabb.ccdd.eeff
做了绑定,以后只要MAC 地址为aabb.ccdd.eeff 的客户端请求IP 地址时,才能获得
IP 地址10.1.1.100。
DHCP 安全ARP

4.png (61.55 KB)

2010-11-26 14:41

Cisco 设计的DHCP 安全ARP 也许不是绝对的安全,但也起到了一定的作用,原
本设计为一个需要计费的公共热点PVLAN (公共无线场所),如图4 中所示,R3 为
DHCP 服务器,为付费的R1 提供正确IP 地址以提供网络服务,当服务器R3 为客户
端R1 提供IP 地址 10.1.1.2 之后,就已经记住了它的MAC 地址,在正常情况下,如
果R1 退出,服务器是不知道的,并且当网络中有欺骗者接入后,也可冒充10.1.1.2
这个地址进行上网,当然R1 和R2 的MAC 地址肯定是不一样的,如果这时服务器
R3 由于自动更新ARP 表的MAC 地址,就能够顺利让R2 上网。
基于上述原因,需要在服务器R3 和客户端R1 之间提供某种安全机制,即服务器
定期ARP 讯问10.1.1.2 是否还存在,在讯问时,只有R1 能够回答。
在完成这种机制,需要两个feature 来支持,第一个是Update Arp,在地址池模
式下开启,这个feature 便是定期讯问网络中DHCP 客户端的;第二个是Authorized
ARP (ARP 授权),只能在以太网接口下开启,功能是禁止该接口下通过ARP 自动更
新和学习MAC 地址,这样一来,接口下将不能有手动配置IP 的设备接入,因为手
工配置IP 接入后,服务器不会更新自己的ARP 表,也就无法完成到新设备的二层
MAC 地址封装,也就无法和新设备进行通信,只有合法的DHCP 客户端才能正常通
信,所以,如果为远程客户端分配IP 地址,就无法做这样的保护,并且到远程客户
端的下一跳必须是自己的客户端,因为如果不是,是无法通信的,因为ARP 不存在
到它的条目。
1.配置安全ARP:
(1)开启DHCP 功能
R3(config)#service dhcp
(2)配置DHCP 地址池
R3(config)#ip dhcp pool ccie1 地址池名为ccie1
R3(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客户端使用的地址段
R3(dhcp-config)#default-router 10.1.1.1 网关
R3(dhcp-config)#update arp 开启定期ARP 讯问
(3)去掉不提供给客户端的地址
R3(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10
(4)在接口下开启Authorized ARP
R3(config)#int f0/0
R3(config-if)#Router(config-if)# arp authorized 禁止动态更新ARP
R3(config-if)# arp timeout 60 60 秒客户无应答则删除ARP 条 目
说明:通过以上配置之后,当DHCP 客户端从服务器获得IP 地址后,服务器便会定
期查讯该IP 地址,如果60 秒没有回答,便从ARP 表中删除该条目。
DHCP 监听

5.png (61.6 KB)

2010-11-26 14:41

如图5 中所示,客户端R1 只有正确从服务器R3 中获得10.1.1.0/24 网段的IP
地址才能够正确上网,如果当网络中出现另外一台错误的DHCP 服务器(图中R2),
R2 向客户端R1 发出20.1.1.0/24 的地址,那么将导致R1 网络中断,在这样的情况下,
就需要禁止不合法的DHCP 服务器向网络中提供DHCP 服务,这就需要DHCP 监听
(DHCP Snooping)。DHCP Snooping 是在交换机上完成的,如上图中,只要告诉交换
机,只有F0/3 发来的DHCP 应答地址才转发给客户端,其它接口发来的应答地址统
统被丢弃。要做到这一点,就要告诉交换机,F0/3 接口是它可能信任的DHCP 地址,
其它接口都是不可信的,不能提供DHCP 应答,那么在实现这个功能时,就需要将
交换机上的接口分为可信任接口和不可信任接口两种,默认交换机全为不可信任接
口,也就是说交换机开启DHCP Snooping 之后,没有任何一个接口上的DHCP 服务
器能提供服务。在交换机上配置DHCP Snooping 时,必须指明在哪个VLAN 上进行
监听,其它没有监听的VLAN 不受上述规则限制。
1.交换机上配置DHCP Snooping
注:交换机上所有接口全部划入VLAN1
(1)在交换机上开启DHCP Snooping
sw(config)#ip dhcp snooping 开启DHCP Snooping
sw(config)#ip dhcp snooping vlan 1 在交换机上启用DHCP Snooping
(2)将相应接口变为信任接口(默认全部为不可信)
sw(config-if)#ip dhcp snooping trust
2.查看命令:
(1)查看dhcp snooping
Sw#sh ip dhcp snooping
说明:通过以上配置之后,只有交换机F0/3 接口上(信任接口)的设备能够应
答DHCP 请求,而其它所有接口,比如R2 过来的DHCP 应答是会被丢弃的。但是你
会发现,在这之后,R1 还是无法获得服务器R3 发来的DHCP 地址。这是因为开了
DHCP Snooping 的交换机默认会产生中继效果,即将DHCP 请求包的giaddr 的参数改
成0.0.0.0,交换机的这种中继效果是无法关闭的,当一个服务器收到中继后并且将
giaddr 设置为0.0.0.0 而不是IP 地址的请求包时,默认是要丢弃该数据包而不作应答
的,所以服务器R3 丢弃了该请求数据包。要让客户R1 能够正常收到DHCP 提供的
IP 地址,就要让DHCP 服务器对即使giaddr 为0.0.0.0 的请求包也作出应答。配置如
下:
R3(config-if)#ip dhcp relay information trusted
最后,从上图中,如果R3 本身还不是DHCP 服务器,如果DHCP 服务器还在远程
网络,需要R3 提供中继并转发该请求包到服务器的话,那么R3 除了在接口下配置
ip dhcp relay information trusted 之外,还必须配置ip helper-address,两者缺一不可。

2013年05月15日

Cisco 3750交换机配置DHCP服务器实例网络环境:一台3750交换机,划分三个vlan, vlan2 为服务器所在网络,命名为server,IP地址段为192.168.2.0,子网掩码:255.255.255.0,网关:192.168.2.1,域 服务器为Windwos/index.html’ target=’_blank’>windows 2003 advance server,同时兼作DNS服务器,IP地址为192.168.2.10,vlan3为客户机1所在网络,IP地址段为192.168.3.0,子网掩 码:255.255.255.0,网关:192.168.3.1命名为work01,vlan4为客户机2所在网络,命名为work02,IP地址段为 192.168.4.0,子网掩码:255.255.255.0,网关:192.168.4.1,3750作DHCP服务器,端口1-8划到VLAN 2,端口9-16划分到VLAN 3,端口17-24划分到VLAN 4.

DHCP服务器实现功能:

各VLAN保留2-10的IP地址不分配置,例如:192.168.2.0的网段,保留192.168.2.2至192.168.2.10的IP地

址段不分配.

安全要求:

VLAN 3和VLAN 4 不允许互相访问,但都可以访问服务器所在的VLAN 2,

默认访问控制列表的规则是拒绝所有包。

配置命令及步骤如下:

第一步:创建VLAN:

Switch>en

Switch#Vlan Database

Switch(Vlan)>Vlan 2 Name server

Switch(Vlan)>Vlan 3 Name work01

Switch(vlan)>Vlan 4 Name work02

第二步:设置VLAN IP地址:

Switch#Config T

Switch(Config)>Int Vlan 2

Switch(Config-vlan)Ip Address 192.168.2.1 255.255.255.0

Switch(Config-vlan)No Shut

Switch(Config-vlan)>Int Vlan 3

Switch(Config-vlan)Ip Address 192.168.3.1 255.255.255.0

Switch(Config-vlan)No Shut

Switch(Config-vlan)>Int Vlan 4

Switch(Config-vlan)Ip Address 192.168.4.1 255.255.255.0

Switch(Config-vlan)No Shut

Switch(Config-vlan)Exit

/*注意:由于此时没有将端口分配置到VLAN2,3,4,所以各VLAN会DOWN掉,待将端口分配到各VLAN后,VLAN会起来*/

第三步:设置端口全局参数

Switch(Config)Interface Range Fa 0/1 – 24

Switch(Config-if-range)Switchport Mode Access

Switch(Config-if-range)Spanning-tree Portfast

第四步:将端口添加到VLAN2,3,4中

/*将端口1-8添加到VLAN 2*/

Switch(Config)Interface Range Fa 0/1 – 8

Switch(Config-if-range)Switchport Access Vlan 2

/*将端口9-16添加到VLAN 3*/

Switch(Config)Interface Range Fa 0/9 – 16

Switch(Config-if-range)Switchport Access Vlan 3

/*将端口17-24添加到VLAN 4*/

Switch(Config)Interface Range Fa 0/17 – 24

Switch(Config-if-range)Switchport Access Vlan 4

Switch(Config-if-range)Exit

/*经过这一步后,各VLAN会起来*/

第五步:配置3750作为DHCP服务器

/*VLAN 2可用地址池和相应参数的配置,有几个VLAN要设几个地址池*/

Switch(Config)Ip Dhcp Pool Test01

/*设置可分配的子网*/

Switch(Config-pool)Network 192.168.2.0 255.255.255.0

/*设置DNS服务器*/

Switch(Config-pool)Dns-server 192.168.2.10

/*设置该子网的网关*/

Switch(Config-pool)Default-router 192.168.2.1

/*配置VLAN 3所用的地址池和相应参数*/

Switch(Config)Ip Dhcp Pool Test02

Switch(Config-pool)Network 192.168.3.0 255.255.255.0

Switch(Config-pool)Dns-server 192.168.2.10

Switch(Config-pool)Default-router 192.168.3.1

/*配置VLAN 4所用的地址池和相应参数*/

Switch(Config)Ip Dhcp Pool Test03

Switch(Config-pool)Network 192.168.4.0 255.255.255.0

Switch(Config-pool)Dns-server 192.168.2.10

Switch(Config-pool)Default-router 192.168.4.1

第六步:设置DHCP保留不分配的地址

Switch(Config)Ip Dhcp Excluded-address 192.168.2.2 192.168.2.10

Switch(Config)Ip Dhcp Excluded-address 192.168.3.2 192.168.3.10

Switch(Config)Ip Dhcp Excluded-address 192.168.4.2 192.168.4.10

第七步:启用路由

/*路由启用后,各VLAN间主机可互相访问*/

Switch(Config)Ip Routing

第八步:配置访问控制列表

Switch(Config)access-list 103 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

Switch(Config)access-list 103 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

Switch(Config)access-list 103 permit udp any any eq bootpc

Switch(Config)access-list 103 permit udp any any eq tftp

Switch(Config)access-list 103 permit udp any eq bootpc any

Switch(Config)access-list 103 permit udp any eq tftp any

Switch(Config)access-list 104 permit ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255

Switch(Config)access-list 104 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255

Switch(Config)access-list 104 permit udp any eq tftp any

Switch(Config)access-list 104 permit udp any eq bootpc any

Switch(Config)access-list 104 permit udp any eq bootpc any

Switch(Config)access-list 104 permit udp any eq tftp any

第九步:应用访问控制列表

/*将访问控制列表应用到VLAN 3和VLAN 4,VLAN 2不需要*/

Switch(Config)Int Vlan 3

Switch(Config-vlan)ip access-group 103 out

Switch(Config-vlan)Int Vlan 4

Switch(Config-vlan)ip access-group 104 out

第十步:结束并保存配置

Switch(Config-vlan)End

Switch#write memory

实验内容:

一、配置DHCP服务器,可以为PC1与PC2分配IP地址及相关参数

二、配置DHCP服务器为PC1与PC2分配固定的IP地址

实验过程:

一、

实验步骤:

第一步:DHCPServer 路由器的初始化配置

Router>enable

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname DHCPServer

DHCPServer(config)#int f0/0

DHCPServer(config-if)#ip add 192.168.1.1 255.255.255.0

DHCPServer(config-if)#no shut

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state

to up

DHCPServer(config-if)#exit

DHCPServer(config)#

第二步:开启路由器的DHCP功能

DHCPServer(config)#server dhcp //开启路由器的DHCP服务功能

第三步:创建DHCP的地址池和要分配的相关参数

DHCPServer(config)#ip dhcp pool Cisco //创建DHCP地址池并且命名为Cisco

DHCPServer(dhcp-config)#network 192.168.1.0 255.255.255.0 //创建可分配的地址段

DHCPServer(dhcp-config)#default-router 192.168.1.1 //定义可以分配的网关

DHCPServer(dhcp-config)#dns-server 8.8.8.8 //定义DNS服务器地址

DHCPServer(dhcp-config)#exit

第四步:排除不想分配出去的地址池

DHCPServer(config)#ip dhcp ex

DHCPServer(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10

//排除不想分配的IP地址

第五步:查看PC是否获得了IP地址

DHCPServer#show ip dhcp binding

//查看DHCP服务器分配IP地址的情况

Bindings from all pools not associated with VRF:

IP address Client-ID/ Lease expiration Type

Hardware address/

User name

192.168.1.11 0100.0d60.7fe6.1f Mar 03 1993 12:51 PM Automatic

192.168.1.12 0100.0d5e.41bb.b4 Mar 03 1993 12:51 PM Automatic

//其中红色的为PC机的标识信息

二、

实验步骤:

第一步:获取PC1与PC2 的MAC地址

1、在运行中输入CMD ,出现命令提示符

2、在命令提示符中输入IPconfig /all 查看相关网卡的MAC地址

在这里我们获取到了PC1与PC2的MAC地址

PC1:00-0D-60-7F-E6-1F

PC2:00-0D-5E-41-BB-B4

第二步:创建新的DHCP Pool

注意:不能在使用了network命令的dhcp pool中执行下面的命令,否则会出现错误提示。

解决办法就是创建一个新的DHCP pool 。

DHCPServer(config)#ip dhcp pool PC1

DHCPServer(dhcp-config)#host 192.168.1.111 255.255.255.0 //需要指配的IP地址

DHCPServer(dhcp-config)#client-identifier 0100.0d60.7fe6.1f //需要指定的MAC地址

DHCPServer(dhcp-config)#ip dhcp pool PC2

DHCPServer(dhcp-config)#host 192.168.1.101 255.255.255.0

DHCPServer(dhcp-config)#client-identifier 0100.0d5e.41bb.b4

DHCPServer(dhcp-config)#

第三步、在PC机上输入ipconfig /release 释放所获得的IP地址

1、运行中输入 CMD,打开命令提示符

2、在命令提示符中输入ipconfig /release 释放地址

3、在命令提示符中输入ipconfig /renew 重新获取IP地址

第四步:在DHCP服务器上查看已经分配出去的IP地址

DHCPServer#show ip dhcp binding

//查看DHCP服务器分配IP地址的情况

Bindings from all pools not associated with VRF:

IP address Client-ID/ Lease expiration Type

Hardware address/

User name

192.168.1.111 0100.0d60.7fe6.1f Infinite Manual

192.168.1.101 0100.0d5e.41bb.b4 Infinite Manual

// 手动

//其中红色的为PC机的标识信息

注:

Client-ID 由两部分组成,前面的01表示Ethernet介质类型,后面为主机的MAC地址。

2012年12月06日
一、综述
防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。
NetScreen防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对Netscreen防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。
二、Netscreen防火墙日常维护
围绕防火墙可靠运行和出现故障时能够快速恢复为目标,Netscreen防火墙维护主要思路为:通过积极主动的日常维护将故障隐患消除在萌芽状态;故障发生时,使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行;故障处理后及时进行总结与改进避免故障再次发生。
常规维护:
在防火墙的日常维护中,通过对防火墙进行健康检查,能够实时了解Netscreen防火墙运行状况,检测相关告警信息,提前发现并消除网络异常和潜在故障隐患,以确保设备始终处于正常工作状态。
1、 日常维护过程中,需要重点检查以下几个关键信息:
Session如已使用的Session数达到或接近系统最大值,将导致新Session不能及时建立连接,此时已经建立Session的通讯虽不会造成影响;但仅当现有session连接拆除后,释放出来的Session资源才可供新建连接使用。维护建议:当Session资源正常使用至85%时,需要考虑设备容量限制并及时升级,以避免因设备容量不足影响业务拓展。
CPU: Netscreen是基于硬件架构的高性能防火墙,很多计算工作由专用ASIC芯片完成,正常工作状态下防火墙CPU使用率应保持在50%以下,如出现CPU利用率过高情况需给予足够重视,应检查Session使用情况和各类告警信息,并检查网络中是否存在攻击流量。通常情况下CPU利用率过高往往与攻击有关,可通过正确设置screening对应选项进行防范。
Memory: NetScreen防火墙对内存的使用把握得十分准确,采用“预分配”机制,空载时内存使用率为约50-60%,随着流量不断增长,内存的使用率应基本保持稳定。如果出现内存使用率高达90%时,需检查网络中是否存在攻击流量,并察看为debug分配的内存空间是否过大(get dbuf info单位为字节)。
2、在业务使用高峰时段检查防火墙关键资源(如:Cpu、Session、Memory和接口流量)等使用情况,建立网络中业务流量对设备资源使用的基准指标,为今后确认网络是否处于正常运行状态提供参照依据。当session数量超过平常基准指标20%时,需检查session表和告警信息,检查session是否使用于正常业务,网络中是否存在flood攻击行为。当Cpu占用超过平常基准指标50%时,需查看异常流量、告警日志、检查策略是否优化、配置文件中是否存在无效的命令。
3、防火墙健康检查信息表:
设备型号
软件版本
设备序列号
设备用途
XX区防火墙
设备状态
主用/备用
设备组网方式
如:Layer3 口型A/P
检查对象
检查命令
相关信息
检查结果
备注
Session
Get session
CPU
Get perf cpu
Memory
Get memory
Interface
Get interface
路由表
Get route
HA状态
Get nsrp
事件查看
Get log event
告警信息
Get alarm event
机箱温度
Get chassis
LED
LED指示灯检查
设备运行
参考基线
Session
Cpu
Memory
接口流量
业务类型
机箱温度
4、 常规维护建议:
1、配置System-ip地址,指定专用终端管理防火墙;
2、更改netscreen账号和口令,不建议使用缺省的netscreen账号管理防火墙;设置两级管理员账号并定期变更口令;仅容许使用SSH和SSL方式登陆防火墙进行管理维护。
3、深入理解网络中业务类型和流量特征,持续优化防火墙策略。整理出完整网络环境视图(网络端口、互联地址、防护网段、网络流向、策略表、应用类型等),以便网络异常时快速定位故障。
4、整理一份上下行交换机配置备份文档(调整其中的端口地址和路由指向),提供备用网络连线。防止防火墙发生硬件故障时能够快速旁路防火墙,保证业务正常使用。
5、在日常维护中建立防火墙资源使用参考基线,为判断网络异常提供参考依据。
6、重视并了解防火墙产生的每一个故障告警信息,在第一时间修复故障隐患。
7、建立设备运行档案,为配置变更、事件处理提供完整的维护记录,定期评估配置、策略和路由是否优化。
8、故障设想和故障处理演练:日常维护工作中需考虑到网络各环节可能出现的问题和应对措施,条件允许情况下,可以结合网络环境演练发生各类故障时的处理流程,如:NSRP集群中设备出现故障,网线故障及交换机故障时的路径保护切换。
9、设备运行档案表
设备型号
软件版本
设备序列号
设备用途
XX区防火墙
设备状态
主用/备用
设备组网方式
如:Layer3 口型A/P
保修期限
供应商联系方式
配置变更
变更原因
变更内容
结果
负责人
事件处理
事件现象
处理过程
结果
负责人
应急处理
当网络出现故障时,应迅速检查防火墙状态并判断是否存在攻击流量,定位故障是否与防火墙有关。如果故障与防火墙有关,可在防火墙上打开debug功能跟踪包处理过程,检验策略配置是否存在问题。一旦定位防火墙故障,可通过命令进行NSRP双机切换,单机环境下发生故障时利用备份的交换机/路由器配置,快速旁路防火墙。在故障明确定位前不要关闭防火墙。
1、 检查设备运行状态
网络出现故障时,应快速判断防火墙设备运行状态,通过Console口登陆到防火墙上,快速查看CPU、Memory、Session、Interface以及告警信息,初步排除防火墙硬件故障并判断是否存在攻击行为。
2、 跟踪防火墙对数据包处理情况
如果出现部分网络无法正常访问,顺序检查接口状态、路由和策略配置是否有误,在确认上述配置无误后,通过debug命令检查防火墙对特定网段数据报处理情况。部分地址无法通过防火墙往往与策略配置有关。
3、 检查是否存在攻击流量
通过查看告警信息确认是否有异常信息,同时在上行交换机中通过端口镜像捕获进出网络的数据包,据此确认异常流量和攻击类型,并在Screen选项中启用对应防护措施来屏蔽攻击流量。
4、 检查NSRP工作状态
使用get nsrp命令检查nsrp集群工作状态,如nsrp状态出现异常或发生切换,需进一步确认引起切换的原因,引起NSRP切换原因通常为链路故障,交换机端口故障,设备断电或重启。设备运行时务请不要断开HA心跳线缆。
5、 防火墙发生故障时处理方法
如果出现以下情况可初步判断防火墙存在故障:无法使用console口登陆防火墙,防火墙反复启动、无法建立ARP表、接口状态始终为Down、无法进行配置调整等现象。为快速恢复业务,可通过调整上下行设备路由指向,快速将防火墙旁路,同时联系供应商进行故障诊断。
总结改进
故障处理后的总结与改进是进一步巩固网络可靠性的必要环节,有效的总结能够避免很多网络故障再次发生。
1、在故障解决后,需要进一步总结故障产生原因,并确认该故障已经得到修复,避免故障重复发生。
2、条件容许的情况下,构建防火墙业务测试环境,对所有需要调整的配置参数在上线前进行测试评估,避免因配置调整带来新的故障隐患。
3、分析网络可能存在的薄弱环节和潜在隐患,通过技术论证和测试验证来修复隐患。
故障处理工具
Netscreen防火墙提供灵活多样的维护方式,其中故障处理时最有用的两个工具是debug(调试)和snoop(探听),debug用于跟踪防火墙对指定包的处理,snoop用于捕获流经防火墙的数据包,由于debug和snoop均需要消耗防火墙的cpu和memory资源,在使用时务必要设置过虑列表,防火墙将仅对过虑列表范围内的包进行分析,包分析结束后应在第一时间关闭debug和snoop功能。下面简要介绍一下两个工具的使用方法。
Debug跟踪防火墙对数据包的处理过程
1. Set ffilter src-ip x.x.x.x dst-ip x.x.x.x dst-port xx
设置过滤列表,定义捕获包的范围
2、clear dbuf 清除防火墙内存中缓存的分析包
3、debug flow basic 开启debug数据流跟踪功能
4、发送测试数据包或让小部分流量穿越防火墙
5、undebug all 关闭所有debug功能
6、get dbuf stream 检查防火墙对符合过滤条件数据包的分析结果
7、unset ffilter 清除防火墙debug过滤列表
8、clear dbuf 清除防火墙缓存的debug信息
9、get debug 查看当前debug设置
Snoop捕获进出防火墙的数据包,与Sniffer嗅包软件功能类似。
1. Snoop filter ip src-ip x.x.x.x dst-ip x.x.x.x dst-port xx
设置过滤列表,定义捕获包的范围
2、clear dbuf 清除防火墙内存中缓存的分析包
3、snoop 开启snoop功能捕获数据包
4、发送测试数据包或让小部分流量穿越防火墙
5、snoop off 停止snoop
6、get db stream 检查防火墙对符合过滤条件数据包的分析结果
7、snoop filter delete 清除防火墙snoop过滤列表
8、clear dbuf 清除防火墙缓存的debug信息
9、snoop info 查看snoop设置
三、Netscreen 冗余协议(NSRP)
Nsrp协议提供了灵活的设备和路径冗余保护功能,在设备和链路发生故障的情况下进行快速切换,切换时现有会话连接不会受到影响。设计nsrp架构时通常采用基于静态路由的active/passive主备模式、口型或全交叉型连接方式。
NSRP部署建议
l 基于端口和设备的冗余环境中,无需启用端口和设备级的抢占模式(preempt),避免因交换机端口不稳定而引发nsrp反复切换。
l 当配置两组或两组以上的防火墙到同一组交换机上时,每组nsrp集群应设置不同的cluster ID号,避免因相同的cluster ID号引发接口MAC地址冲突现象。
l 防火墙nsrp集群建议采用接口监控方式,仅在网络不对称的情况下有选择使用Track-ip监控方式。在对称网络中接口监控方式能够更快更准确的反映网络状态变化。
l 在单台防火墙设备提供的session和带宽完全可以满足网络需求时,建议采用基于路由的Active-Passive主备模式,该模式组网结构清晰,便于维护和管理。
l 设备运行时应保证HA线缆连接可靠,为确保HA心跳连接不会出现中断,建议配置HA备份链路“secondary-path”。
l NSRP许多配置参数是经过检验的推荐配置,通常情况下建议采用这些缺省参数。
NSRP常用维护命令
l get license-key 查看防火墙支持的feature,其中NSRPA/A模式包含了A/P模式,A/P模式不支持A/A模式。Lite版本是简化版,支持设备和链路冗余切换,不支持配置和会话同步。
l exec nsrp sync global-config check-sum 检查双机配置命令是否同步
l exec nsrp sync global-config save 如双机配置信息没有自动同步,请手动执行此同步命令,需要重启系统。
l get nsrp 查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。
l Exec nsrp sync rto all from peer 手动执行RTO信息同步,使双机保持会话信息一致
l exec nsrp vsd-group 0 mode backup 手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备没有启用抢占模式。
l exec nsrp vsd-group 0 mode ineligible 手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备已启用抢占模式。
l set failover on/set failover auto启用并容许冗余接口自动切换
l exec failover force 手动执行将主用端口切换为备用端口。
l exec failover revert 手动执行将备用端口切换为主用端口。
l get alarm event 检查设备告警信息,其中将包含NSRP状态切换信息
四、策略配置与优化(Policy)
防火墙策略优化与调整是网络维护工作的重要内容,策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多,因此建议在设置策略时尽量保证统一规划以提高设置效率,提高可读性,降低维护难度。
策略配置与维护需要注意地方有:
l 试运行阶段最后一条策略定义为所有访问允许并作log,以便在不影响业务的情况下找漏补遗;当确定把所有的业务流量都调查清楚并放行后,可将最后一条定义为所有访问禁止并作log,以便在试运行阶段观察非法流量行踪。试运行阶段结束后,再将最后一条“禁止所有访问”策略删除。
l 防火墙按从上至下顺序搜索策略表进行策略匹配,策略顺序对连接建立速度会有影响,建议将流量大的应用和延时敏感应用放于策略表的顶部,将较为特殊的策略定位在不太特殊的策略上面。
l 策略配置中的Log(记录日志)选项可以有效进行记录、排错等工作,但启用此功能会耗用部分资源。建议在业务量大的网络上有选择采用,或仅在必要时采用。另外,对于策略配置中的Count(流量统计)选项,如非必要建议在业务时段不使用。
l 简化的策略表不仅便于维护,而且有助于快速匹配。尽量保持策略表简洁和简短,规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。
l 策略用于区段间单方向网络访问控制。如果源区段和目的区段不同,则防火墙在区段间策略表中执行策略查找。如果源区段和目的区段相同并启用区段内阻断,则防火墙在区段内部策略表中执行策略查找。如果在区段间或区段内策略表中没有找到匹配策略,则安全设备会检查全局策略表以查找匹配策略。
l MIP/VIP地址属于全局区段地址,配置策略时建议通过全局区段来配置MIP/VIP地址相关策略,MIP/VIP地址虽然可为其余区段调用,但由于其余区段的“any”地址并不包括全局区段地址,在定义策略时应加以注意,避免配置不生效的策略。
l 策略变更控制。组织好策略规则后,应写上注释并及时更新。注释可以帮助管理员了解每条策略的用途,对策略理解得越全面,错误配置的可能性就越小。如果防火墙有多个管理员,建议策略调整时,将变更者、变更具体时间、变更原因加入注释中,便于后续跟踪维护。
五、攻击防御(Screen)
Netscreen防火墙利用Screening功能抵御互联网上流行的DoS/DDoS的攻击,一些流行的攻击手法有Synflood,Udpflood,Smurf,Ping of Death,Land Attack等,防火墙在抵御这些攻击时,通过专用ASIC芯片来进行处理,适当开启这些抗攻击选项对防火墙的性能不会产生太大影响。如果希望开启Screening内的其它选项,在开启这些防护功能前有几个因素需要考虑:
· 抵御攻击的功能会占用防火墙部分CPU资源;
· 自行开发的一些应用程序中,可能存在部分不规范的数据包格式;
  • 网络环境中可能存在非常规性设计。
如果因选择过多的防攻击选项而大幅降低了防火墙处理能力,则会影响正常网络处理的性能;如果自行开发的程序不规范,可能会被IP数据包协议异常的攻击选项屏蔽;非常规的网络设计也会出现合法流量被屏蔽问题。
要想有效发挥Netscreen Screening攻击防御功能,需要对网络中流量和协议类型有比较充分的认识,同时要理解每一个防御选项的具体含义,避免引发无谓的网络故障。防攻击选项的启用需要采用逐步逼近的方式,一次仅启用一个防攻击选项,然后观察设备资源占用情况和防御结果,在确认运行正常后再考虑按需启用另一个选项。建议采用以下顺序渐进实施防攻击选项:
l 设置防范DDoS Flood攻击选项
l 根据掌握的正常运行时的网络流量、会话数量以及数据包传输量的值,在防范DDoS的选项上添加20%的余量作为阀值。
l 如果要设置防范IP协议层的选项,需在深入了解网络环境后,再将IP协议和网络层的攻击选项逐步选中。
l 设置防范应用层的选项,在了解应用层的需求以及客户化程序的编程标准后,如不采用ActiveX控件,可以选择这些基于应用层的防攻击选项。
l 为检查网络中是否存在攻击流量,可以临时打开该区段screening顶部Generate Alarms without Dropping Packet选项,确认攻击类型后再将该选项去除。
l 在设置screening选项的过程中,应密切注意防火墙CPU的利用率,以及相关应用的使用情况;如果出现异常(CPU利用率偏高了或应用不能通过),则立刻需要取消相关的选项。
l 建议正常时期在untrust区启用防flood攻击选项,在办公用户区启用flood和应用层防护选项,在核心业务区不启用screening选项,仅在网络出现异常流量时再打开对应的防御功能。
五、特殊应用处理
长连接应用处理
在金融行业网络中经常会遇到长连接应用,基于状态检测机制的防火墙在处理此类应用时要加以注意。缺省情况下,Netscreen防火墙对每一个会话的连接保持时间是30分钟(TCP)和5分钟(UDP),超时后状态表项将会被清除。所以在实施长连接应用策略时要配置合适的timeout值,以满足长连接应用的要求。配置常连接应用需注意地方有:
l 如果在长连接应用中已经设计了心跳维持机制(如每隔几分钟,客户端与服务端之间传送心跳以维持会话),此时无需防火墙上设置timeout时间,使用默认配置即可。
l 长连接应用中没有心跳机制时,通常情况下建议timeout值为36小时。应用通常在工作时间建立连接,这样可在下班后时间拆除连接。
l 在配置 timeout值时,特别提醒不要使用“never timeout”(永不超时)的选项。该选项将可能造成防火墙的session被大量消耗同时这些session处于僵死状态。如果需要超时等待的时间确实很长,建议配置一个具体的长时间段(如一周)。
不规范TCP应用处理
正常TCP应用连接建立需要3次握手,然而某些用户定制的应用程序因开发规范不严谨或特殊需要,存在类似SYN没有置位的连接请求,对于这类不严谨的通讯处理应加以特别注意,因为netscreen防火墙在默认情况下,对这种不严谨的TCP连接视为非法连接并将连接阻断。建议跟踪网络中每类业务的通讯状况,在某些应用发生通讯障碍时,通过debug分析是否是防火墙拒绝了不严谨的TCP 包,确认后通过设置unset flow tcp-syn-check 的命令来使防火墙取消这种防范机制。
VOIP应用处理
Netscreen防火墙默认启用H.323应用代理机制,应用代理的作用是使防火墙能够理解应用通讯的内容,让防火墙能够从信令通道中提取出协商的端口信息,并在防火墙上动态的打开这些端口,在语音通讯结束后,再动态关闭这些临时端口。但由于H.323协议的复杂性和各厂家实现上的差异,容易造成防火墙在与各厂家VOIP系统互操作上存在兼容性问题,出现IP话机无法注册、语音连接无法建立、拨号时间较长等故障现象。解决方法两种:
1、set alg h323 disable 直接关闭防火墙上的h.323应用代理功能,让H.323语音流量按常规应用连接方式进行通信。
2、Set policy id X from trust to untrust any any h.323 permit
Set policy id X application ignore
通过访问控制策略使H.323应用采用常规连接方式进行通信。(注:很多用户定制程序使用自定义的端口号,ignore参数使防火墙忽略端口的应用类型,仅按常规方式处理通信连接。此参数也适用于端口号非21/20的FTP应用)
附录:JUNIPER防火墙Case信息表
设备型号
软件版本
设备序列号
故障级别
网络结构
如:Layer3 A/P 口型结构
故障现象
具体描述
资源占用
Get session info
Get pre cpu detail
Get memory
状态信息
Get config
Get system
Get interface
Get nsrp
Get route
Get arp
Get chassis
Get socket
Get pport
日志查看
Get log event
Get alarm event
Get log system
关联信息
Get tech-support
通过tftp服务器收集后作为文件附件一并附上

故障描述:
alarm 灯亮红灯(常亮),且重启后也不会灭掉

原因分析:
1.Netscrenn 只要有alarm级别以上的日志产生,这个灯就会亮起来,而且不会自动灭掉,
2.Netscrenn OS的版本低的话,重起也会亮红灯

故障解决:
1.在命令行界面运行以下命令清除他们:
clear alarm traffic [回车]
clear alarm event [回车]
接着你就可以用下面的命令来关闭报警灯了:
clear led alarm [回车]

注:
1.报警灯的状态只有在命令行界面下才能够被清除,目前web管理还不支持这个功能。
2.如果您使用的是ScreenOS 4.0.1r1以上版本的话,则不需要在清除报警灯状态前做清除报警事件日志的工作,只需要清除报警灯的状态就可以了。
3.升级Netscrenn OS版本

Tags: .
2012年11月15日

conf t
tunnel-group dbvpn type remote-access
tunnel-group dbvpn general-attributes
address-pool vpn-pool
default-group-policy dbolicy
tunnel-group dbvpn ipsec-attributes
pre-shared-key *

2012年11月09日

E1专线常用组网拓扑!非常实用!

下面是以上几种拓扑的配置:

注意:若IOS是15.0(M) 以后的版本,需先定义卡的类型为E1才能配置E1接口。

card type e1 0 0 //定义卡为E1类型,即可生成E1接口e1 0/0

E1非成帧配置:

R1(config)#controller e1 0/0 //进入E1 0/0接口控制器

R1(config-controller)#linecode hdb3 //可选配置,默认为HDB3(另一种是ami)

R1(config-controller)#framing cr4  //可选配置,默认CR4(NO-CR4)

R1(config-controller)#channel-group 0 unframed//配置为组0非成帧

R1(config-controller)#no shutdown

R1(config-controller)#exit

R1(config)#interface s0/0:0 //进入这个接口(配置E1自动后成的,后面的0表示是组号)

R1(config-if)#encapsulation ppp //封装PPP协议

R1(config-if)#ip address 200.200.200.1 255.255.255.252

R1(config-if)#no shutdown

R2(config)#controller e1 1/0

R2(config-controller)#linecode hdb3

R2(config-controller)#framing cr4

R2(config-controller)#channel-group 0 unframed

R2(config-controller)#no shutdown

R2(config-controller)#exit

R2(config)#interface s1/0:0

R2(config-if)#encapsulation ppp

R2(config-if)#ip address 200.200.200.2 255.255.255.252

R2(config-if)#no shutdown

注:两边组号需一致,通信双方E1接口的帧结构模式必须要一致

E1成帧的配置与调测:

R1(config)#controller e1 0/0 //进入E1 0/0接口控制器

R1(config-controller)#linecode hdb3 //可选配置,默认为HDB3(另一种是ami)

R1(config-controller)#framing cr4  //可选配置,默认CR4(NO-CR4)

R1(config-controller)#channel-group 1 timeslots 1-31//划分时隙1-31都为组1

R1(config-controller)#no shutdown

R1(config-controller)#exit

R1(config)#interface s0/0:1 //进入这个接口(配置E1自动后成的,后面的0表示是组号)

R1(config-if)#encapsulation ppp //封装PPP协议

R1(config-if)#ip address 200.200.200.5 255.255.255.252

R1(config-if)#no shutdown

R2(config)#controller e1 1/0

R2(config-controller)#linecode hdb3

R2(config-controller)#framing cr4

R2(config-controller)#channel-group 1 timeslots 1-31

R2(config-controller)#no shutdown

R2(config-controller)#exit

R2(config)#interface s1/0:1

R2(config-if)#encapsulation ppp

R2(config-if)#ip address 200.200.200.6 255.255.255.252

R2(config-if)#no shutdown

E1成复帧的配置与调测:

R1(config)#controller e1 0/0 //进入E1 0/0接口控制器

R1(config-controller)#linecode hdb3 //可选配置,默认为HDB3(另一种是ami)

R1(config-controller)#framing cr4  //可选配置,默认CR4(NO-CR4)

R1(config-controller)#channel-group 2 timeslots 1-15//划分时隙1-15都为组2

R1(config-controller)#channel-group 3 timeslots 17-31//划分时隙17-31都为组3(这个组用来连接另外一个路由的E1线号,就是点到多点,E1的多路复用)

R1(config-controller)#no shutdown

R1(config-controller)#exit

R1(config)#interface s0/0:2 //进入这个接口(配置E1自动后成的,后面的0表示是组号)

R1(config-if)#encapsulation ppp //封装PPP协议

R1(config-if)#ip address 200.200.200.9 255.255.255.252

R1(config-if)#no shutdown

R1(config)#interface s0/0:3 //进入这个接口(配置E1自动后成的,后面的0表示是组号)

R1(config-if)#encapsulation ppp //封装PPP协议

R1(config-if)#ip address 200.200.200.13 255.255.255.252

R1(config-if)#no shutdown

R2(config)#controller e1 1/0

R2(config-controller)#linecode hdb3

R2(config-controller)#framing cr4

R2(config-controller)#channel-group 2 timeslots 1-15//划分时隙1-15都为组2

R2(config-controller)#no shutdown

R2(config-controller)#exit

R2(config)#interface s1/0:2

R2(config-if)#encapsulation ppp

R2(config-if)#ip address 200.200.200.10 255.255.255.252

R2(config-if)#no shutdown

E1的多链路捆绑:

R1(config)#controller e1 0/0

R1(config-controller)#channel-group 0 unframed //配置成非成帧

R1(config-controller)#no shutdown

R1(config-controller)#exit

R1(config)#controller e1 0/1

R1(config-controller)#channel-group 0 unframed//配置成非成帧

R1(config-controller)#no shutdown

R1(config-controller)#exit

R1(config)#interface multilink 1  //建立多链路逻辑组1

R1(config-if)#ip address 200.200.200.17 255.255.255.252

R1(config-if)#ppp multilink //PPP多链路

R1(config-if)#multilink-group 1 //PPP多链路组1

R1(config)#interface s0/0:0

R1(config-if)#encapsulation ppp //封装PPP协议

R1(config-if)#ppp multilink   //PPP多链路

R1(config-if)#multilink-group 1 //PPP多链路组1

R1(config-if)#no shutdown

R1(config)#interface s0/1:0

R1(config-if)#encapsulation ppp

R1(config-if)#ppp multilink

R1(config-if)#multilink-group 1

R1(config-if)#no shutdown

R2(config)#controller e1 1/0

R2(config-controller)#channel-group 0 unframed

R2(config-controller)#no shutdown

R2(config-controller)#exit

R2(config)#controller e1 1/1

R2(config-controller)#channel-group 0 unframed

R2(config-controller)#no shutdown

R2(config-controller)#exit

R2(config)#interface multilink 1

R2(config-if)#ip address 200.200.200.18 255.255.255.252

R2(config-if)#ppp multilink

R2(config-if)#multilink-group 1

R2(config)#interface s1/0:0

R2(config-if)#encapsulation ppp

R2(config-if)#ppp multilink

R2(config-if)#multilink-group 1

R2(config-if)#no shutdown

R2(config)#interface s1/1:0

R2(config-if)#encapsulation ppp

R2(config-if)#ppp multilink

R2(config-if)#multilink-group 1

R2(config-if)#no shutdown

调试命令:

show controllers e1 0/0

show interface s0/0:0

测试方法:

ping 200.200.200.2 repeat 100      小包测试

ping 200.200.200.2 repeat 100 size 1500 满包测试

ping 200.200.200.2 repeat 100 size 8100 df-bit大包测试不分片

E1模块分类:

E1模块:非信道化模块,只支持非成帧

CE1模块:支持非成帧、成帧、成复帧

CE1 PRI模块:支持成帧、成复帧

E1/CE1接口的排错总结

问题: 物理层down,协议层down

原因分析:对端设备或接口是否正常工作;连接线缆是否正常;本地设备或接口模块是否正常。

排错思路:

1、在光端机上拨码或者通过直通头短接等方式进行本地打 环,若本地接口能提示物理层up、协议层up则排除本地设备和接口模块以及本地接口跳线问题。

2、再在光端机上拨码或者通过链路提供商帮助进行远端打环,以便判断是否是传输链路的问题。

3、最后请求对端配置工程师确认是否是对端方问题。

问题: 物理层up,协议层down

原因分析:链路中有环路;两端帧格式不匹配;线路编码、帧校验式不一致;两端之间时隙绑定不匹配;用户端与电信端时钟不一致;本地接口二层协议不一致;若为PPP,认证 通不过。

排错思路:

1、检查本地接口配置,排除二层协议协商问题以及E1配置参数不匹配问题。

2、由链路提供商协助排错,排除链路环路问题。

问题: 链路能通,有丢包

原因分析:本地接口链路接触不良;链路提供商的链路不稳定;主从时钟问题。

排错思路:

1、清理本地接口和本地跳线连接头,重新连接。

2、由链路提供商协助排错,排除链路不稳定问题。

3、根据情况配置相应的时钟

2012年03月21日
问题:在ASA5520防火墙后用主机telnet外网25端口,返回报错
#telnet smtp.X.com 25
Trying…
Connected to smtp.X.com
Escape character is ‘^]’.
220 *****************************
正常情况是:
#telnet smtp.X.com 25
Trying…
Connected to smtp.X.com 25
Escape character is ‘^]’.
220 entas3-smtp KBAS is ready
正常情况会返回smtp服务器正确信息,如上所述。
产生这个问题的原因是CISCO ASA5520防火墙启用了MailGuard邮件保护功能,过滤了mail信息。造成telnet smtp服务器的信息无法返回。若要解决此问题,可以选择关闭MailGuard功能,但此项操作必定给网络带来不安全的因素,所以须谨慎执行。
要关闭 ASA5520或PIX 防火墙的 Mailguard 功能,请执行以下操作:
1. 建立 Telnet 会话或使用控制台登录到 ASA5520 防火墙。
2. 键入 enable,然后按 Enter 键。
3. 提示您输入密码时,请键入密码,然后按 Enter 键。
4. 键入 configure terminal,然后按 Enter 键。
5. 键入 no fixup protocol smtp 25,然后按 Enter 键。
6. 键入 write memory,然后按 Enter 键。
7. 重新启动或重新加载 ASA5520 防火墙。
Tags: ,.
2012年02月24日

show cdp entry * 同show cdpneighbordetail命令一样,但不能用于1900交换机

show cdp interface 显示启用了CDP的特定接口

show cdp neighbor 显示直连的相邻设备及其详细信息

show cdp neighbor detail 显示IP地址和IOS版本和类型,并且包括show cdp

neighbor命令显示的所有信息

show cdp traffic 显示设备发送和接收的CDP分组数以及任何出错信息

Show controllers s 0 显示接口的DTE或DCE状态

show dialer 显示拨号串到达的次数、B信道的空闲超时时间值、呼叫长度以及接口所连接的路由器的名称

show flash 显示闪存中的文件

show frame-relay Imi 在串行接口上设置LMI类型

show frame-relay map 显示静态的和动态的网络层到PVC的映射

show frame-relay pvc 显示路由器上己配置的PVC和DLCI号

show history 默认时显示最近输人的10个命令

show hosts 显示主机表中的内容

show int fO/26 显示抑/26的统汁

show inter e0/l 显示接口e0/l的统计

show interface So 显示接口serial上的统计信息

show ip 显示该交换机的IP配置

show ip access-list 只显示IP访问列表

show ip interface 显示哪些接口应用了IP访问列表

show ip interface 显示在路由器上配置的路由选择协议及与每个路由选择协议相关的定时器

show ip route 显示IP路由表

show ipx access-list 显示路由器上配置的IPX访问列表

trunk on 将一个端口设为永久中继模式

usemame name password 为了Cisco路由器的身份验证创建用户名和口令password

variance 控制最佳度量和最坏可接受度量之间的负载均衡

vlan 2 name Sales 创建一个名为Sales的VLAN2

lan-membership static 2 给端口分配一个静态VLAN

vtp client 将该交换机设为一个VTP客户

vtp domain 设置为该VTP配置的域名

vtp password 在该VTP域上设置一个口令

vtp pruning enable 使该交换机成为一台修剪交换机

vtp server 将该交换机设为一个VTP服务器

show ipx interface 显示一个特定接口上发送和接收的RIP和SAP信息。也

show ipx servers 显示接口的IPX地址

show ipx route 显示IPX路由表

show ipx traffic 显示Cisco路由器的SAP表

show ipx traffic 显示Cisco路由器上发送和接收的RIP和SAP信息

show isdn active 显示呼叫的号码和呼叫是否在进行中

show isdn status 显示SPID是否有效、是否己连接以及和提供商交换机的通信情况

show mac-address-table 显示该交换机动态创建的过滤表

show protocols 显示在每个接口上配置的被动路由协议和网络地址

show run showrunning-config 命令的缩写;显示当前在该路由器上运行的配置

show sessions 显示通过Telent到远程设备的连接

show start 命令show startup-config的快捷方式。显示保存在NVRAM中的备份配置

show terminal 显示配置的历史记录大、

show trunk A 显示端口26的中继状态

show trunk B 显示端口27的中继状态

show version 给出该交换机的IOS信息以及正常运行时间和基本Ethernet地址

show vlan 显示所有己配置的VLAN

show vlan-membership 显示所有端口的VLAN分配

show vtp 显示一台交换机的VTP配置

shoutdown 设置接口为管理性关闭模式

Tab 为操作者完成命令的完整输入

telnet 连接、查看并在远程设备上运行程序

terminal history size 改变历史记录的大小由默认的10改为256

trace 测试远程设备的连通性并显示通过互联网络找到该远程设备的路径

traffic-share balanced 告诉IGRP路由选择协议要反比于度量值分享链路

traffic-share min 告诉IGRP路由选择协议要使用只有最小开销的路由

trunk auto 将该端口设为自动中继模式

Tags: ,,,.