收藏
下载资源

[信息与通信]Cisco网络设备以及故障排查讲解

上传人:公**** 文档编号:585316112 上传时间:2024-09-02 格式:PPT 页数:245 大小:7.78MB
返回 下载 相关 举报
[信息与通信]Cisco网络设备以及故障排查讲解_第1页
第1页 / 共245页
[信息与通信]Cisco网络设备以及故障排查讲解_第2页
第2页 / 共245页
[信息与通信]Cisco网络设备以及故障排查讲解_第3页
第3页 / 共245页
[信息与通信]Cisco网络设备以及故障排查讲解_第4页
第4页 / 共245页
[信息与通信]Cisco网络设备以及故障排查讲解_第5页
第5页 / 共245页
点击查看更多>>
资源描述

《[信息与通信]Cisco网络设备以及故障排查讲解》由会员分享,可在线阅读,更多相关《[信息与通信]Cisco网络设备以及故障排查讲解(245页珍藏版)》请在金锄头文库上搜索。

1、Cisco网络设备网络设备日常维护与故障诊断日常维护与故障诊断讲师讲师:xxxCCIE#17xxx目录一一. 序言序言二二. Cisco产品线产品线 三三. 设备信息收集设备信息收集四四. 密码恢复密码恢复 五五. IOS确认以及升级确认以及升级六六. 故障处理故障处理 七七. 设备配置以及优化设备配置以及优化八八. 设备性能参数设备性能参数 一一.序言序言经常听到一些网络运维或管理人员抱怨,大部分Cisco的产品和技术文档没有中文版本,在网站或论坛中查找又十分麻烦因此本课程并不想讨论一些深入的技术问题,只是根据平时对于Cisco网络设备的支持经验总结了一些在网络运维中经常会遇到的问题,进行汇

2、总,便于网络管理,运维人员遇到相关问题时可以借鉴参考故障排查需从宏观的方向来分析,然后定位到具体的故障点,根据排查思路,大体的排查方向基本分为以下3个部分:1.硬件方向2.软件方向3.配置方向二二.Cisco产品线产品线目录目录Cisco常见路由器产品常见路由器产品Cisco常见交换机产品常见交换机产品Cisco常见安全产品常见安全产品7200系列产品系列产品7300系列产品系列产品6500/7600系列产品系列产品12000系列产品系列产品网络设备的发展 OSI的7层结构,TCP/IP的5层结构冲突域、广播域TCP/IP协议的4个层次网络设备的分类Hub是物理层设备交换机是数据链路层设备。如

3、2948,2950,6509路由器是网络层设备。如2600现在的路由交换机3550,7609GSRCisco700SeriesCisco1000SeriesCisco1600SeriesCisco2500SeriesCisco3600SeriesCisco4000SeriesAS5x00SeriesCisco7200SeriesRemote/HomeOfficeSolutionsBranchOfficeSolutionsCentralSiteSolutionsCiscoWorks企业网络产品- 路由器路由器Cisco2600SeriesCisco7500SeriesCisco12000Seri

4、esEnterpriseandWANCoreSolutions企业网络产品- 局域网交换机局域网交换机Cisco1548MicroSwitch10/100Catalyst3000seriesCatalyst3500/4000seriesCatalyst2900seriesDesktop/WorkgroupSolutionsCiscoWorksWiringCloset/BackboneSolutionsCatalyst2900seriesXLCatalyst1900/2820seriesCatalyst5000seriesCatalyst6000seriesCatalyst8500seriesB

5、uildingBackboneSolutionsEnterpriseBackboneSolutionsLightStream1010Cisco1500MicroHubCiscoFastHub100CiscoFastHub300CiscoFastHub200100MbpsSolutionsCisco1528MicroHub10/100HP10BaseTHub-16M10/100MbpsSolutions10MbpsSolutions- 局域网集线器局域网集线器企业网络产品SmallOfficeMedium-SizedOfficeCentralSiteCiscoIOSFirewallfeature

6、setCentriFirewallPIXFirewallMicroWebserverLocalDirector企业网络产品- Internet产品产品电信运营商网络产品LS1010Cat8540IGX8400MGX8220GSR12000MGX8800BPX8600TGX8750CiscoStrataViewPlus园区网城域网省级网服务商广域网用户端接入设备PacketOverSDH核心主干小型网络接入多业务广域网设备Cisco3800服务商广域网边缘设备或核心设备大型全球性网络的核心设备类似于类似于NortelPassport4400类似于类似于NortelPassport6400类似于类

7、似于NortelPassport7400类似于类似于NortelConcord系列系列CiscoCatalyst2960CiscoCatalyst3750CiscoCatalyst3560CiscoCatalyst4500CiscoCatalyst6500CiscoCatalystExpress500Cisco800SeriesCisco3800,Cisco2800,Cisco1800Cisco7600SeriesCisco7200SeriesCisco12000Series产品线产品线有可能记住有可能记住有可能记住有可能记住CiscoCiscoCiscoCisco每个产品的功能以及特性吗每个

8、产品的功能以及特性吗每个产品的功能以及特性吗每个产品的功能以及特性吗? ? ? ?没关系没关系没关系没关系, , , ,查文档吧查文档吧查文档吧查文档吧! ! ! !Cisco路由器产品线Cisco 800 系列系列集成多集成多业务业务路由器允路由器允许许小型机构以小型机构以宽带宽带速度运行安全并速度运行安全并发发服服务务,包括防火,包括防火墙墙、VPN 和无和无线线局域网局域网 无无线线支持:支持:850 和和870 系列上提供了可系列上提供了可选选IEEE 802.11 b/g 增增强强安全特性,包括状安全特性,包括状态态化化检测检测防火防火墙墙和硬件和硬件辅辅助加密助加密(830 和和8

9、70 系列),以及用于系列),以及用于VoIP 的的QoS特性特性 DMZ、拨拨号号备备份和份和带带外管理(外管理(Cisco 830、850 和和870 系列)系列) 安全安全设备设备管理器(管理器(SDM)GUI 工具,用于工具,用于简单简单和高和高级级配置配置Cisco 1800 系列系列模模块块化固定架构化固定架构提供多种局域网和广域网提供多种局域网和广域网选选项项;Cisco 1841上的网上的网络络接口能接口能够现场够现场升升级级,提,提供了灵活性,并可支持未来技供了灵活性,并可支持未来技术术 固定配置路由器型号提供了固定配置路由器型号提供了10/100 以太网、以太网、ADSL

10、over ISDN、ADSL over POTS,或配,或配备备集成集成ISDN BRI 的的 G.SHDSL 广域网接口(广域网接口(1801、1802、 1803 和和1812)或模)或模拟调拟调制解制解调调器器(1811)备备份接口份接口 1800 系列的所有型号都通系列的所有型号都通过过IEEE 802.11 a/b/g 提供无提供无线线局域网接入功能局域网接入功能Cisco路由器产品线Cisco路由器产品线Cisco 2800 系列系列(由由2500,2600一路一路发发展展过过来,来,不断提升不断提升设备设备性能和性能和扩扩展能展能力,做力,做为为中小型分支机构的中小型分支机构的标

11、标准接入路由器是首准接入路由器是首选设备选设备)经过经过了了优优化的集成多化的集成多业务业务路由器,能路由器,能为为中小型企中小型企业业和大型企和大型企业业分支机构路由安全、分支机构路由安全、线线速地供速地供应应数数据、据、语语音和音和视频视频并并发发服服务务,支持支持HWIC,VWIC卡卡 为为1 到到6 条条T1/E1 连连接提供出色性能,支持多接提供出色性能,支持多项项服服务务 高高级级安全特性,包括状安全特性,包括状态态化防火化防火墙墙、IPS、VPN 和和NAC 凭借凭借DES、3DES 和和AES 提供内置加密功能提供内置加密功能 支持支持IEEE 802.11 a/b/g WLA

12、N 的无的无线线接入点接入点1Screwholesforgroundlug5High-speedWANinterfacecardslot12FastEthernetport0/06High-speedWANinterfacecardslot23FastEthernetport0/17High-speedWANinterfacecardslot34High-speedWANinterfacecardslot08Networkmoduleenhanced(NME)slot1Cisco 3800 系列系列(由由经经典的典的3600系列系列发发展展而来,可而来,可扩扩展性很展性很强强,作,作为为大中型

13、企大中型企业业的分支机构的分支机构接入路由器性能是很好的接入路由器性能是很好的)集成多集成多业务业务路由器路由器 最高的性能和密度,能最高的性能和密度,能够够以高达以高达T3/E3 的的线线速运行并速运行并发发数据、安全、数据、安全、语语音和高音和高级级服服务务 更高的可用性和永更高的可用性和永续续性,具有性,具有热热插拔功能插拔功能(OIR);冗余系);冗余系统统和和馈线电馈线电源源选项选项 高速广域网接口卡(高速广域网接口卡(HWIC)为为其他服其他服务务留出了网留出了网络络模模块块插槽插槽 增增强强安全性安全性 扩扩展缺省和最大内存容量,展缺省和最大内存容量,ECC(错误纠错误纠正代正代

14、码码)DDR SDRAM内存能内存能够检测够检测和和纠纠正正SDRAM错误错误,无需用,无需用户户介入介入Cisco路由器产品线1 1 Network module slot 2 Network module slot 2 6 6 HWIC slot 2 HWIC slot 2 2 2 Screw holes for grounding lug Screw holes for grounding lug 7 7 HWIC slot 0 HWIC slot 0 3 3 Network module slot 1 Network module slot 1 8 8 Console and auxi

15、liary ports Console and auxiliary ports 4 4 HWIC slot 3 HWIC slot 3 9 9 Gigabit Ethernet ports Gigabit Ethernet ports 5 5 HWIC slot 1 HWIC slot 1 10 10 Slot for optional SFP module Slot for optional SFP module Cisco路由器产品线Cisco 7200 系列系列(大概要算是大概要算是cisco路由路由产产品品中生命力相当中生命力相当长长的了,一直的了,一直没有被淘汰,引擎没有被淘汰,引擎

16、还还一直在一直在升升级级中。作中。作为语为语音网关或音网关或vpn网关是不网关是不错错的的选择选择。不。不过过由于是由于是软软件件转发转发,当流量,当流量比比较较大大时时,对对cpu的消耗是的消耗是很大的。只支持很大的。只支持单单引擎是其引擎是其一个弱点一个弱点)以小巧机箱提供智能服以小巧机箱提供智能服务务、高度模、高度模块块化特性、高化特性、高性能、投性能、投资资保保护护和可和可扩扩展性的展性的优优化的化的OC3/GE 广广域网域网边缘边缘路由器路由器 模模块块化的化的3RU 机箱机箱 4 或者或者6 插槽型号,用于端口适配器插槽型号,用于端口适配器 1 个个I/O 插槽插槽 可以可以选择选

17、择系系统处统处理器(理器(NPE),速度最高可达),速度最高可达1Mpps 内置千兆以太网内置千兆以太网连连接(接(NPE-G1 上的上的3 个端口)个端口)(铜缆铜缆或光或光纤纤) 广泛的局域网和广域网广泛的局域网和广域网选项选项,包括以太网、快,包括以太网、快速以太网、千兆以太网、令牌速以太网、千兆以太网、令牌环环网、串行、网、串行、ISDN、HSSI、ATM、SONET 分分组组,以及包括,以及包括IP-IP 网关和网关和QoS 在内的在内的语语音支持。音支持。Cisco路由器产品线Cisco 7300 系列系列(支持双引擎支持双引擎, ,由于使用了由于使用了PXF转发转发机制,性能有了

18、很机制,性能有了很大提升,承大提升,承载载卡提供了更多卡提供了更多的接口卡密度和的接口卡密度和类类型。不知型。不知道将来是否有可能完全替代道将来是否有可能完全替代7200系列系列)7304:以光速:以光速为电为电信运信运营营商和企商和企业业网网络络提供高性提供高性能能IP 服服务务的网的网络边缘络边缘路由器路由器7301:广域网:广域网边缘边缘路由器,在路由器,在1RU机箱中提供了机箱中提供了智能服智能服务务、PA模模块块化、高性能、投化、高性能、投资资保保护护和可和可扩扩展性展性MSC-100+SPAMSC-100+SPA7300-cc-pa+PA7300-cc-pa+PA卡卡Cisco路由

19、器产品线Cisco 7500 系列系列(VIP技技术术通通过过分布式分布式处处理增理增强强了了转发转发性能,减少引擎性能,减少引擎负负担。担。) 高性能交高性能交换换通通过过支持高速介支持高速介质质和高密度配置,和高密度配置,为为关关键键任任务应务应用程序提供高度的性能;通用程序提供高度的性能;通过过利用利用通用接口通用接口处处理器理器(VIP)和和Cisco Express Forwarding的的处处理功能,理功能,Cisco 7500 系列的系系列的系统统容量每秒可以超容量每秒可以超过过100万个信息包万个信息包 全面的全面的Cisco IOS软软件支持和高性能的网件支持和高性能的网络络

20、服服务务增增强强高速高速执执行服行服务质务质量、安全、量、安全、压缩压缩和加密和加密等网等网络络服服务务;VIP技技术术通通过过分布式分布式IP服服务务特性特性扩扩展了展了这这些服些服务务的性能的性能. 高密度端口提供高密度端口以及广泛的局域高密度端口提供高密度端口以及广泛的局域网和广域网介网和广域网介质质,大大降低了每端口成本,并允,大大降低了每端口成本,并允许许灵活地灵活地进进行配置行配置 公用端口适配器公用端口适配器VIP利用和利用和Cisco 7200相同相同的端口适配器,的端口适配器,简简化了化了备备件存件存储储,并保,并保护护客客户户的的接口投接口投资资Cisco路由器产品线Cis

21、co 7600 系列系列(从(从6500系列交系列交换换机机发发展而展而来,加入了更多的广域网接来,加入了更多的广域网接口和特性支持,从而模糊了口和特性支持,从而模糊了交交换换机和路由器的区分,做机和路由器的区分,做为边缘设备为边缘设备是很好的是很好的选择选择) 在在单单一平台中整合局域网一平台中整合局域网/ 城域网城域网/ 广域网广域网 可可扩扩展的背板展的背板带宽带宽(从(从32Gbps到到720Gbps)和)和性能(从性能(从30Mpps到到400Mpps以上),以上),带带全新全新Sup720引擎和分布式引擎和分布式转发线转发线卡卡 服服务务以太网的大容量以太网的大容量汇汇聚聚 广泛的

22、广域网广泛的广域网/ 城域网接口(从城域网接口(从NxDS0、T1、T3 到到OC-48)和)和线线速服速服务务 适用于适用于电电信运信运营营商商边缘边缘、城域网、三网合一部、城域网、三网合一部署和高端企署和高端企业业解决方案解决方案 也支持也支持Catalyst 6500 系列系列线线卡和卡和7500/7200 系系列端口适配器列端口适配器SIP+SPAFLEXWAN+PACisco路由器产品线Cisco XR 12000/12000 系列系列(无需多(无需多说说,主要的运,主要的运营营商商核心和核心和边缘设备边缘设备,各种板卡,各种板卡不断更新丰富,提供不断更新丰富,提供稳稳定的定的各种服

23、各种服务务。虽虽然然现现在已在已经经推推出了性能更出了性能更强强,扩扩展性更展性更为为庞庞大的大的CRS-1,但在国内,但在国内应应用用还还不是很广泛不是很广泛 ,仍以,仍以GSR为为主)主)电电信运信运营营商商级级多服多服务边缘务边缘路由器,支持用路由器,支持用户户迁移迁移到融合式到融合式IP 网网络络基基础设础设施施 支持支持边缘优边缘优化化线线卡,通卡,通过过10G 上行上行链链路路实现实现了了线线速速边缘应边缘应用的最大价用的最大价值值,同,同时时保持了保持了线线速性能速性能 多达多达9 个机箱个机箱选项选项,配,配备备新新电电源和改源和改进进的的风风扇,扇,支持一系列支持一系列SPA

24、 和和SIP 广泛的广泛的线线卡和卡和SPA,支持,支持POS、ATM、以太网、以太网、DPT/RPR ,以及,以及铜缆铜缆、通道化物理接口、通道化物理接口 服服务务增增强强(L3VPN、L2VPN、QoS)在)在满满足足最最严严格的客格的客户户服服务务水平水平协议协议的同的同时时,确保了流量,确保了流量个个性化性化Cisco交换机产品线Catalyst 2960 系列系列(2900,2950系列的替代系列的替代产产品,作品,作为为楼楼层层接入二接入二层层交交换换机是很好的机是很好的选择选择)独立的固定配置交独立的固定配置交换换机机 第二第二层层交交换换机,提供第二到四机,提供第二到四层层智能

25、服智能服务务 快速以太网和千兆以太网快速以太网和千兆以太网连连接接 最多最多48 个个10/100 端口或端口或10/100/1000 端口端口 通通过过外部外部电电源提供交流源提供交流电电源故障保源故障保护护Cisco交换机产品线Catalyst 3560 系列系列(3550的替代的替代产产品,用于品,用于实实现现低成本的三低成本的三层层交交换换) 快速以太网和千兆以太网配置快速以太网和千兆以太网配置 扩扩展的网展的网络络安全功能安全功能 精确的网精确的网络络控制和控制和带宽优带宽优化化 网网络络可可扩扩展性展性 更低更低总拥总拥有成本(有成本(TCO)Cisco交换机产品线Catalyst

26、 3750 系列系列 通通过过CiscoStackwiseTM 技技术术、智能网、智能网络络服服务务和千兆以太网和千兆以太网优优化,提供了最高化,提供了最高级别级别的永的永续续堆叠。堆叠。 提供的配置可以互提供的配置可以互联联并可堆叠至并可堆叠至9 台交台交换换机。机。Cisco交换机产品线Catalyst 4500 系列系列(早期的(早期的4000,5000交交换换机机二二层层交交换换引擎和三引擎和三层层路由模路由模块块分开分开,已已经经被被现现在比在比较较成成熟的熟的4500交交换换机代替,机代替,虽虽然然不如不如6500的功能的功能强强大,但作大,但作为为模模块块化交化交换换机性价比机性

27、价比还还是是不不错错的)的)适用于企适用于企业业局域网接入局域网接入层层、第二、第二层层/ 第三第三层层分布分布层层、SMB和分支机构融合网和分支机构融合网络络的模的模块块化交化交换换机,机,具有集成化智能第二到四具有集成化智能第二到四层层服服务务 便于便于扩扩展、不断演展、不断演进进的模的模块块化架构提供了投化架构提供了投资资保保护护 多达多达384 个基于光个基于光纤纤或者或者铜缆铜缆的的FE 或或GE 端口端口和和线线速万兆以太网上行速万兆以太网上行链链路路 速率最高可达速率最高可达136 Gbps 和和102Mpps 的高性能的高性能第二第二/ 三三/ 四四层层交交换换 先先进进的网的

28、网络络控制功能,可控制功能,可预测预测的性能、精确的的性能、精确的QoS、高、高级级安全功能和基于安全功能和基于web 的网的网络络管理管理Cisco交换机产品线Catalyst 6500 系列系列(应该应该是是cisco交交换换机中的机中的顶顶梁梁产产品,不断品,不断发发展至今已展至今已经经很成熟,功能也越来越很成熟,功能也越来越强强大,大,大量的服大量的服务务模模块块(入侵(入侵检测检测,防火防火墙墙)都可以集成到系)都可以集成到系统统中。不中。不过过随着随着7600的的产产生,生,不知道是否会被逐步被替代。不知道是否会被逐步被替代。毕毕竟竟7600还还可以提供更好的可以提供更好的广域网支

29、持)广域网支持)适用于企适用于企业业园区骨干网、配园区骨干网、配线间线间、服、服务务器器汇汇聚或聚或者互者互联联网数据中心的高性能多网数据中心的高性能多层层交交换换机,具有集机,具有集成化智能服成化智能服务务 多达多达1152 个个10/100 端口和端口和577个个10/100/1000 端端口、多达口、多达410个高性能千兆以太网端口、多达个高性能千兆以太网端口、多达32个个10GE 端口、多千兆第四到七端口、多千兆第四到七层层服服务务和安全服和安全服务务,如防火,如防火墙墙、入侵、入侵检测检测和和负载负载均衡均衡 第四到七第四到七层层服服务务 最高可达最高可达720Gbps 的交的交换换

30、容量,分容量,分组组吞吐率可吞吐率可以以扩扩展到展到425Mpps (IPv4)或)或200Mpps (IPv6)Cisco安全产品线思科公司防火墙系列产品特性一览表思科公司防火墙系列产品特性一览表PIX 501PIX 506EPIX 515E-URPIX 525-UR, 支持千兆PIX 535-UR, 支持千兆FWSM高端防火墙模块VPN对等端最大数量1025200020002000N/A物理接口个数2个10BaseT 4端口交换机2个10BaseT2个10/1004个10/1002个10/1006个FE/GE2个10/1008个FE/GE4096双向吞吐量(Mbps)60100188360

31、1.7GHz5.5G3DES (VAC/VAC+)(Mbps)316130145425N/A最大连接数7,50025,000130,000380,000500,0001,000,000Cisco安全产品线PIX 501PIX 506EPIX 515E-URPIX 525-UR, 支持千兆PIX 535-UR, 支持千兆FWSM高端防火墙模块每秒支持的最大连接数3807005,0007,5009,400100,000是否支持OSPF是是是是是是支持虚拟防火墙否否是,7.0版本是,7.0版本是,7.0版本是,2.2版本, 支持256个支持透明防火墙是,7.0版本是,7.0版本是,7.0版本是,7.

32、0版本是,7.0版本是,2.2版本支持802.1q Trunk否否是是是是支持FailOver否否是是是是Cisco安全产品线pix525Cisco安全产品线Cisco ASA Cisco ASA 55005500Cisco ASA 5505 Cisco ASA 5505 Cisco ASA 5510 Cisco ASA 5510 Cisco ASA 5520Cisco ASA 5520Cisco ASA Cisco ASA 55405540Cisco ASA Cisco ASA 55505550最高防火墙吞吐量(Mbps)15030045065012003DES/AES VPN 吞吐量(Mb

33、ps)100170225325425最高VPN 用户会话数10/2525075050005000最高连接数10,000/25,00050,000/130,000280,000400,000650,000最高连接数 / 秒30006000900020,00028,000每秒数据包数(64 字节)85000190,000320,000500,000600,000集成式端口8端口10/100 交换机,带 2 个以太网供电端口5-10/1004-10/100/1000 , 1-10/1004-10/100/1000 , 1-10/1008-10/100/1000 , 1-10/100Cisco ASA

34、 5500Cisco ASA 5500Cisco Cisco ASA 5505 ASA 5505 Cisco ASA 5510 Cisco ASA 5510 Cisco ASA 5520Cisco ASA 5520Cisco ASA 5540Cisco ASA 5540Cisco Cisco ASA ASA 55505550支持的 SSC/SSM未来,SSCCSC-SSM AIP-SSM 4GE-SSMCSC-SSM AIP-SSM 4GE-SSMCSC-SSM AIP-SSM 4GE-SSM否入侵防御不适用是(AIP-SSM)是(AIP-SSM)是(AIP-SSM)否并发威胁迁移吞吐量(防火

35、墙 IPS 服务)不适用150(AIP-SSM-10) 300(AIP-SSM-20)225(AIP-SSM-10) 375(AIP-SSM-20)450(AIP-SSM-20)不适用Anti-X(防病毒、防间谍件、文件阻挡、防垃圾邮件、防诱骗和 URL 过滤)不适用是(CSC-SSM)是(CSC-SSM)是(CSC-SSM)不适用防病毒、防间谍件和文件阻挡(只对 CSC-SSM)的最高用户数不适用500(CSC-SSM-10) 1000(CSC-SSM-20)500(CSC-SSM-10) 1000(CSC-SSM-20)500(CSC-SSM-10) 1000(CSC-SSM-20)不适用

36、L2 透明防火墙是是是是是高可用性支持不支持 / 无状态 A/S不支持 /A/A 和 A/SA/A 和 A/SA/A 和 A/SA/A 和 A/SCisco安全产品线Cisco安全产品线ASA5500Why ASA 5500 replace PIX功能模块功能模块ASA55ASA550000PIXPIX2 27 7层防火墙层防火墙IPSec VPNIPSec VPNSSL VPN SSL VPN IPS IPS 入侵检测入侵检测模块模块CSC CSC 病毒控制病毒控制模块模块特色功能特色功能ASA5ASA5500500PIXPIX抓包与自诊断功抓包与自诊断功能能NAC in VPN NAC i

37、n VPN TunnelTunnelFailover Failover 无需无需LicenseLicenseIPSIPS模块支持旁路模块支持旁路与并联两种工作与并联两种工作模式模式MARSMARS,CSMCSM,ASDMASDM统一网管统一网管协同协同7200系列产品7206 的PA卡flexwanVIP7300-cc-pa7300-cc-pa7300系列 7300引擎 7304端口适配器载波卡7304半高SPA共享端口适配卡6500/7600系列6500系列产品系列产品6500 vs 76006509/7609结构6500/7600引擎Sup720引擎构架需要高速风扇和需要高速风扇和2500

38、W以上电源以上电源7600引擎/板卡6500线卡结构(DFC)WS-X6748-SFPWS-X6148A-GE-TX6500线卡结构(BUS/SF)6500软件特性12000系列Cisco GSR 系列路由器包括12000、12400、12800 三种系列每个系列的矩阵带宽不同,导致转发性能差异每个系列又由插槽个数的不同区分不同的机箱型号,例如12000系列有8槽位的12008也有16槽位的1201612816/12416产品介绍Cisco GSR 系列路由器包括12000、12400、12800 三种系列Cisco 12016 使用80G 矩阵,有16 个插槽,可支持15 个OC-48c/S

39、TM-16c 接口Cisco 12416 使用和12016 一样的机箱,通过替换矩阵卡,升级到320G 矩阵,可支持15 个OC-192c/STM-64c 接口Cisco 12816 使用和12016 一样的机箱,通过替换矩阵卡,升级到1280G 矩阵,可支持15 个2XOC-192c/STM-64c 接口12016由四部分组成:由四部分组成:机箱卡位:机箱卡位:由上到下分为三个板卡卡位:上卡位,交换矩阵由上到下分为三个板卡卡位:上卡位,交换矩阵卡位、下卡位。卡位、下卡位。上卡位有上卡位有8个用户定义的槽位,最左侧插告警卡个用户定义的槽位,最左侧插告警卡(非用户定义槽位非用户定义槽位),最右边

40、的第,最右边的第7槽一般预留给槽一般预留给RP,其余,其余7个槽位个槽位(0-6)插线卡,下卡位与上卡位插线卡,下卡位与上卡位相反。其中如果有冗余的相反。其中如果有冗余的RP,则插在下卡位的,则插在下卡位的最左侧槽最左侧槽slot8,如果没有冗余的,如果没有冗余的RP,该槽位也,该槽位也可以插线卡。可以插线卡。交换矩阵卡位有交换矩阵卡位有3个不工作的槽位和个不工作的槽位和5个与背板连个与背板连接的的工作的槽位组成。左边的标记接的的工作的槽位组成。左边的标记CSC0和和CSC1的槽位插的槽位插CSC调度卡,右边的标记为调度卡,右边的标记为SFC0/1/2的插的插SFC卡,不工作的槽位是没有标记卡

41、,不工作的槽位是没有标记的。的。背板:机箱卡位连接到机箱背部的背板上,背板给所背板:机箱卡位连接到机箱背部的背板上,背板给所有的板卡和风扇供有的板卡和风扇供DC电,给板卡之间提供物理的通电,给板卡之间提供物理的通信,包括网络数据或者内部和信,包括网络数据或者内部和MBUS之间的系统通信。之间的系统通信。制冷系统:机箱上下各有一个风扇模块制冷系统:机箱上下各有一个风扇模块电源:标准为电源:标准为4个直流电源组,个直流电源组,3个交流电源组,可选个交流电源组,可选4个交流电源组个交流电源组12016硬件及板卡介绍交换矩阵交互矩阵提供线卡和RP之间的同步连接,交换矩阵包括两块时钟调度卡CSC和三块交

42、换矩阵卡SFC,其中一块CSC和三块SFC是主用的矩阵,另外一块CSC备份这四块卡12416:10G的矩阵,型号为GSR16/320-CSC和GSR16/320-SFC,每块矩阵可以给每个板卡提供10G连接,双工后得出总的交换带宽16102320G12816:40G的矩阵,每块矩阵可以给每个板卡提供10G连接,双工后得出总的交换带宽164021.28T通过更换矩阵,可以将12016升级为12416或者12816,矩阵卡支持热插拔CSC卡包括矩阵电路以及调度、时钟同步功能,SFC接受CSC的调度和时钟信息必须最少有一块CSCGSR的维护总线MBUSMBUS和和MBUS模块管理系统所有的维护功能模

43、块管理系统所有的维护功能MBUS包括两条冗余的总线连接到所有的线卡、包括两条冗余的总线连接到所有的线卡、RP、矩阵、告警卡、电、矩阵、告警卡、电源和风扇,这些部件都包含源和风扇,这些部件都包含MBUS模块保持和模块保持和MBUS的通信。不同部件上的通信。不同部件上的的MBUS模块通过不同的方式供电模块通过不同的方式供电MBUS模块执行以下功能:模块执行以下功能:板卡的加电或关电控制:系统加电后,所有的板卡的加电或关电控制:系统加电后,所有的MBUS模块都加电,然模块都加电,然后后RP和和CSC上的上的MBUS模块再使得其余部件加电。模块再使得其余部件加电。设备发现:设备发现:RP使用使用MBU

44、S发现其余板卡的信息,包括槽位、类型等发现其余板卡的信息,包括槽位、类型等代码下载:线卡通过代码下载:线卡通过MBUS从从RP下载简化的操作系统,完整的下载简化的操作系统,完整的OS通通过矩阵下载过矩阵下载环境监控和告警:通过环境监控和告警:通过MBUS取得各个部件的环境参数,然后再通过取得各个部件的环境参数,然后再通过MBUS发给发给RP诊断:诊断:RP通过通过MBUS下载诊断程序到测试的板卡上下载诊断程序到测试的板卡上通过通过attach登录到板卡登录到板卡日志日志路由处理器RPRP主要负责处理网络路由协议并且更新线卡的CEF转发表RP有两种,GRP和PRPRP还包含IOS文件,执行维护功

45、能,包括:诊断、console口支持和线卡监控PRP2板卡板卡线卡线卡提供外部的用户物理接口线卡和RP保持通信,同步路由信息,并且线卡相互之间通过交换矩阵卡交换数据包每个线卡上具有一个线缆架方便走线所有的线卡都支持热插拔12816硬件体系结构12000启动顺序GSR的板卡引擎常见板卡的引擎:常见板卡的引擎:ENGINE 1:单端口:单端口GE板卡板卡ENGINE 2:3端口端口GE、单端口、单端口2.5GENGINE 3:4端口端口ISE GE、单端口、单端口ISE 2.5GENGINE 4或或4+:单端口:单端口10GE、10端口端口GE、单端口、单端口10G POS、4端口端口2.5G P

46、OSENGINE 6:8端口端口2.5G POS、2端口端口10G POS使用命令查看具体板卡:使用命令查看具体板卡:shdiag|in(SLOT|Engine)SLOT 0 (RP/LC 0 ): 2 Port ES Packet Over SONET OC-192c/STM-64 Single Mode/IR SC connectorL3 Engine: 6 - Backbone 2P OC192/ 8P OC48 (20 Gbps)GSR的板卡内存线卡包括以下两种内存:线卡包括以下两种内存:路由内存:路由内存:DRAM包转发内存:包转发内存:SDRAM且包含一系列收且包含一系列收(RX)

47、或者发或者发(TX)的缓存,帮助管理出入线卡的数据的缓存,帮助管理出入线卡的数据包包线卡的内存型号和位置和线卡的引擎型号有关,以线卡的内存型号和位置和线卡的引擎型号有关,以engine 4为例:为例:4代引擎的线卡ISE Line Card Memory Locations ISE Line Card Memory Locations 1 1 Route memory SODIMM0 Route memory SODIMM0 3 3 Four packet memory SODIMM sockets Four packet memory SODIMM sockets (not field se

48、rviceable) (not field serviceable) 2 2 Route memory SODIMM1 Route memory SODIMM1 4 4 Four TLU/PLU memory SODIMM sockets Four TLU/PLU memory SODIMM sockets (not field serviceable) (not field serviceable) GSR的板卡内存告警卡出厂自带两块告警卡,一块在上卡位的最左侧,一块在下卡位的最右侧。告警卡较其他槽位窄,和背板的连接也和其他板卡不同。告警卡的主要功能:LED提供系统通过MBUS检测到的三个级

49、别的告警(critical红, major红, and minor黄),可以和外部扩展的告警系统连接(声音告警、可视告警等)显示告警卡、CSC卡和SFC卡的状态告警卡告警卡面板指示灯含义CISCO路由器面板指示灯(尤其是告警灯)的含义及简单应对步骤: GSR设备,其板卡上有允许指示面板,其正常的显示如下: 板卡RUN IOS GRP卡RP ACTV同时Alarm卡应为绿灯,如果Alarm卡出现黄灯,说明有板卡没有正常识别,或者有CSC/SFC卡有故障。如果按下Alarm卡上的重置健后,仍显示黄灯,请报告故障 电源系统有3AC模块、4AC模块和4DC模块三种电源系统,通常使用4DC模块。全冗余的

50、4DC配置中,模块A1和B1为上半部分机箱(上风扇和上卡位)提供冗余的电源,模块A2和B2为下半部分机框(矩阵、下半卡位和下风扇)提供冗余的电源支持热插拔,可以拔出A1/B1中的一个或者A2/B2中的一个电源DC电源电源风扇系统路由器有两个风扇系统。一个风扇系统在上卡位的上面,另外一个在下卡位的下面两个风扇模块保持整个机箱内各部件可接受的温度环境。这两个风扇模块是一样的,可以互换一个风扇模块包括三个风扇、一个风扇控制卡、一个把手和两个面板上的LED灯。风扇的前面有一个塑料的咬合卡盖风扇模块风扇模块空气过滤网整个系统从位于中部交换矩阵前的空气过滤网进风没有空气过滤网,不要开机每个月检查并清洗一次

51、过滤网设备前面板的卡盖风扇、卡位的卡盖风扇、卡位的卡盖空气过滤器的卡盖空气过滤器的卡盖卡位、风扇的卡盖是扣上去的;空气过滤器的卡盖需要拉下来悬挂线卡结构线卡结构线卡高速包转发GSR的时钟矩阵12410(2CSC,5SFC)12008, 12012, 12016, 12406, and 12416 (2CSC,3SFC)Command hw-module slot X shutdownGSR时钟矩阵带宽计算12016:(GSR16/80-CSC , GSR16/80-SFC)每块矩阵通过1.25G线路连接每个槽位,4块csc,sfc可以提供2.5G全双工带宽到line card(双向为5G),即

52、120xx系列的GSR可以支持2.5G的板卡实现全双工,当少于4块矩阵时,2.5G板卡将无法实现全双工线速转发(3GE卡的支持问题).机箱有16个插槽,矩阵对每个插槽提供2.5G2(全双工)的带宽支持,则机箱的总带宽为2.5G21680G12416:(GSR16/320-CSC , GSR16/320-SFC)每块矩阵通过5G线路连接每个槽位,4块csc,sfc可以提供10G全双工带宽到line card(双向为20G),即124xx系列的GSR可以支持10G的板卡实现全双工,当少于4块矩阵时,10G板卡将无法实现全双工线速转发.机箱有16个插槽,矩阵对每个插槽提供10G2(全双工)的带宽支持

53、,则机箱的总带宽为10G216320G12816交换矩阵连接每个插槽的容量为40Gbps(40G),Cisco 12816 路由器的交换能力为1.28TbpsGSR的机箱风路温度过高原因温度过高原因如果是如果是16-20槽槽csc,sfc温度温度高通常是过滤网脏高通常是过滤网脏板卡没有插但并未封上挡板板卡没有插但并未封上挡板设备维护:关电以下三种维护情况下,需要对设备进行关机操作:拔出或安装电源模块移动或安装机箱更换电源的保险丝其余的维护工作均不需要对设备关机操作更换风扇模块取下风扇前面的卡盖取下风扇前面的卡盖更换风扇更换风扇风扇支持热插拔,但是拔出风扇后,相应的卡位的制冷系统就不再工作了,因

54、此,在设备过热之前,完成受损风扇的更换工作;上面的风扇扇面朝下,下面的风扇扇面朝上。插入后LED长绿更换空气过滤器取下过滤器取下过滤器安装过滤器安装过滤器至少每一个月检查清洗/更换一次注意操作过程中,不要让过滤罩上的灰尘进入机箱内部;更换DC电源模块取下取下PEM安装安装PEM电源较重,需要双手操作;先关闭电源,取下PEM时,需要先松开外加螺丝,然后压出外扳把手安装前,先将外扳把手拉到垂直,装上后,再压上,最后上螺丝安装后,电源上的FAULT LED闪一下灭掉,然后PWR OK长绿更换RP更换更换RP建议不要在系统运行时插拔主用RP板卡,更换前注意保存配置不要混用RP板卡类型。使用外扳把手压紧

55、确保RP完全安装到背板上,因为部分虚接可能会导致系统重启或者挂起。更换交换矩阵卡更换矩阵更换矩阵SFC都可以热插拔,如果只有一个CSC,则需要关电插拔有些老的型号板卡的外扳把手可以旋转90度,新的是70度,插拔时注意。插拔时接触金属底壳即可,不要接触电器器件。更换矩阵卡前需要先打开空气过滤器,更换完成后,再装好。CSC-SFC从左往右依次排列矩阵的显示LED灯在告警卡上更换告警卡更换矩阵更换矩阵和其他板卡不同,告警卡没有外扳把手更换告警卡后,三个系统LED灯应该全灭,标识ENABLED的板卡状态LED和矩阵LED应该长绿,标识FAIL的其他灯全灭三.设备信息收集1.系统版本信息2.设备序列号a

56、).机箱序列号 b).模块序列号3.端口信息a).IOS操作系统设备 b).CatOS操作系统设备c).E1或POS端口4.CPU使用信息 5.内存使用信息 6.日志信息a).配置打开日志功能 b).显示日志记录 c).日志记录时间 1.系统版本信息- show version -Cisco Internetwork Operating System Software IOS (tm) 3600 Software (C3640-IS-M), Version 12.2(2)XT3, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)TAC Support: http:

57、/ (c) 1986-2002 by cisco Systems, Inc.Compiled Wed 13-Mar-02 23:16 by shawnkImage text-base: 0x600089A8, data-base: 0x6155A000ROM: System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)ROM: 3600 Software (C3640-IS-M), Version 12.2(2)XT3, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1

58、)FZ_R3640 uptime is 10 minutesSystem returned to ROM by power-onSystem image file is flash:c3640-is-mz.122-2.XT3.bincisco 3640 (R4700) processor (revision 0x00) with 60416K/5120K bytes of memory.Processor board ID 25115809R4700 CPU at 100Mhz, Implementation 33, Rev 1.0Bridging software.X.25 software

59、, Version 3.0.0.Basic Rate ISDN software, Version 1.1.1 FastEthernet/IEEE 802.3 interface(s)2 Serial(sync/async) network interface(s)8 ISDN Basic Rate interface(s)16 terminal line(s)DRAM configuration is 64 bits wide with parity disabled.125K bytes of non-volatile configuration memory.16384K bytes o

60、f processor board System flash (Read/Write)Configuration register is 0x21022.设备序列号机箱序列号设备序列号是获得厂商技术支持和换修备件的唯一标识,因此如何查找各种设备或模块的序列号需要关注。当然有个别情况设备中通过命令显示的序列号不正确,或者有些机型无法通过命令显示,那么只有从设备外部所贴的条码标签来查看。通常机箱标签会在电源附近,模块标签会在板卡芯片一面,多为黄色条形码。格式大多为8位连续数字或者11位连续字母数字的组合(前三位为字母)a).机箱序列号机箱序列号1). 12000系列路由器系列路由器Show gsr

61、 chassis Router# sh gsr chassisBackplane NVRAM version 0x20 Contents - Chassis: type 12406 Fab Ver: 2 Chassis S/N: TBA061500102). 7600,6500,4500,3500,2900系列交换机,系列交换机,7300系列路由器系列路由器Show version3). 7500系列路由器系列路由器在高版本在高版本IOS支持支持Show RSP chassis4). 7200,3600,2600系列路由器系列路由器无法通过命令获得无法通过命令获得5). 4000,5000系列

62、系列CATOS交换机交换机Show version6). PIX500系列防火墙系列防火墙Show versionb).模块序列号模块序列号1). 12000系列路由器系列路由器Show diagSLOT 0 (RP/LC 0 ): 3 Port Gigabit Ethernet MAIN: type 68, 800-6376-01 rev E0 Deviation: 0 HW config: 0x00 SW key: 00-00-00 PCA: 73-4775-02 rev E0 ver 2 Design Release 2.0 S/N CAB0443FB002). 7600,6500,50

63、00,4000系列系列Show moduleMod Ports Card Type Model Serial No.- - - - - 1 24 CEF720 24 port 1000mb SFP WS-X6724-SFP SAD0805062B 5 2 Supervisor Engine 720 (Active) WS-SUP720-BASE SAD081502DB3). 2600,3600,7200,7500系列系列Show diag3.端口信息 IOS操作系统设备操作系统设备Show interfaceSerial1/0:0 is up, line protocol is up Hard

64、ware is Multichannel E1 Description: XiTai(No.3926) Internet address is 202.105.196.29/30 MTU 1500 bytes, BW 2048 Kbit, DLY 20000 usec, reliability 255/255, txload 113/255, rxload 197/255 Encapsulation HDLC, crc 16, Data non-inverted Keepalive set (10 sec) Last input 00:00:08, output 00:00:00, outpu

65、t hang never Last clearing of show interface counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total/threshold/drops) Conversations 0/13/16 (active/max active/max total) Reserved Conversations 0/0

66、 (allocated/max allocated) 5 minute input rate 1587000 bits/sec, 319 packets/sec 5 minute output rate 915000 bits/sec, 262 packets/sec 164240 packets input, 108936956 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abor

67、t 126688 packets output, 59191590 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 output buffer failures, 0 output buffers swapped out 1 carrier transitions no alarm present Timeslot(s) Used:UNFRAMED, transmit delay is 0 flags3.端口信息 CatOS操作系统设备操作系统设备对于CatOS来说,交换引擎是用show MAC和sh

68、ow CAM命令来检查端口状态和累计计数的(注意不是实时的)。如果希望即时统计,可以先clear counters清除计数再观察。* show port *Port Name Status Vlan Level Duplex Speed Type- - - - - - - - 1/1 notconnect 1 normal full 1000 No GBIC 1/2 notconnect 1 normal full 1000 No GBIC 2/1 connected trunk normal full 1000 1000BaseSX 2/2 connected 1 normal full 1

69、000 1000BaseSX 2/3 notconnect 1 normal full 1000 1000BaseSX 2/4 notconnect 1 normal full 1000 1000BaseSX 2/5 connected trunk normal full 1000 1000BaseSX 2/6 connected trunk normal full 1000 1000BaseSX* show mac *Port Rcv-Unicast Rcv-Multicast Rcv-Broadcast- - - - 2/1 545760 0 1091 2/2 3531 0 582 2/5

70、 457809 16938 520 2/6 0 244 0 3/1 120120 16553 823.端口信息 E1或或POS端口端口对于E1和POS端口,我们还需要关注show controller的信息。例如B1,B2,B3的错误计数,PSE,NSE的错误计数都与物理层和时钟的故障有关 4.CPU使用信息CPU利用率是我们经常关注的信息,如果cpu利用率升高会导致整个设备的转发性能下降 1.我们可以用show process cpu来检查当前的cpu利用率- show process cpu -CPU utilization for five seconds: 38%/20%; one m

71、inute: 33%; five minutes: 34%2.对于过去72小时内的cpu利用率,可以用show process cpu history来观察。分为过去60秒,过去60分钟,和过去72小时三个表来记录平均利用率变化- show process cpu history -bj7301-1 03:41:36 PM Thursday Sep 8 2005 UTC3.对于PIX系列防火墙,显示cpu利用率的命令为show cpu usage- show cpu usage -CPU utilization for 5 seconds = 2%; 1 minute: 1%; 5 minut

72、es: 1%5.内存使用信息我们可以通过show process memory和show memory summary命令检查内存使用情况。需要注意的是我们不光要注意系统free内存,还要关注mem pool中的largest内存(最大可用内存块),两者要都足够才能确保系统运行 环境变量检查查看环境变量show environment确认温度、电压、风扇等环境变量值是否在正常范围内Slot # Hot Sensor Inlet Sensor (deg C) (deg C)0 40.0 29.0Slot MBUS | CARD | PLIM Voltage Lines # 5V | 3.3V 5

73、.0V 2.5V | V3 V4 V5 V6 V7 V8 0 4952 3292 - - 1496 - - - 2496 1788Slot # 48V AMP_48 (Volt) (Amp)PEM1 54 4 PWR-GSR16-DC= Standard DC PEMSlot # Fan 0 Fan 1 Fan 2 (RPM) (RPM) (RPM)28 2970 2919 2922 GSR16-BLOWER=路由表检测查看路由信息命令如下:# Show ip route - 查看当前所有路由表# Show ip route summary - 查看路由表汇总信息# Show ip route

74、 static - 查看静态路由表# Show ip route connect - 查看直连端口路由表# Show ip route ospf - 查看ospf路由表# Show ip route isis - 查看isis路由表#Show ip route bgp - 查看BGP路由表#Show ip cef - 查看cef转发表注:在检查ospf和bgp路由表时,要重点查看缺省路由的状态。OSPF路由协议检查查看路由信息命令如下:# show ip ospf neighbour -查看OSPF邻居状态 # show ip ospf interface -查看OSPF端口信息 # show

75、 ip ospf database -查看OSPF数据库 # show ip ospf border-routers - 查看OSPF域边界路由器# Show ip route ospf - 查看ospf路由表BGP路由协议检查查看路由信息命令如下:# show ip bgp -查看BGP表 # show ip bgp prefix -查看特定BGP信息 # Show ip bgp neighbour - 查看BGP邻居状态# Show ip bgp summary - 查看汇总的BGP邻居状态更新路由后的操作命令如下:# clear ip bgp neighbor-ip-address so

76、ft in - 更新BGP邻居发布的路由# clear ip bgp neighbor-ip-address soft out - 更新向BGP邻居发布的路由注:不要运行# clear ip bgp *,会导致本机所有BGP进程重启。中继状态观察检测CISCO路由器中继状态的检查和监测(命令、输出查看内容等)查看中继信息命令如下:# show interfaces description# show ip interface brief# show interface POS /# show contr pos X/X (详细介绍) (可以查看光的衰耗)可以看到当前中继的描述信息和端口状态系统

77、软件和系统配置的备份查看 查看系统软件命令如下:#dir 看到当前flash:中的IOS软件如果需要备份IOS,命令如下#copy disk0:filename tftp将IOS备份到当地的TFTP服务器上系统配置的查看命令如下:#show running-config 查看当前运行配置#show startup-config 查看启动配置注意:两个引擎间的关系 seconddisc 。 running-config 和startup-config关系思科常见的思科常见的2个端口隐匿命令个端口隐匿命令ROUTERsh int gi1/0/0 switching 路由器接口交换方面的信息路由器接

78、口交换方面的信息 GigabitEthernet1/0/0 to-xx-12012-1-Gi9/3-GE:1 Throttle count 0 Drops RP 0 SP SPD Flushes Fast 12 SSE 0 SPD Aggress Fast 0 SPD Priority Inputs 2486570 Drops 0 Protocol Path Pkts In Chars In Pkts Out Chars Out Other Process 0 0 2423483 145417722ROUTER#show int gi1/0/0 stats GigabitEthernet1/0

79、/0 Switching path Pkts In Chars In Pkts Out Chars Out Processor 2544288 629635668 3467254 2217930765 Route cache 0 0 0 0 Distributed cef 130546767214 41610498647258 135423113259 59106724315984 Total 130549311502 41611128282926 135426580513 59108942246749注:交换模式分为处理器、路由缓存和分布式交换缓存。后者的数据包独立于前两者而单独计算6.日志

80、信息日志对于设备维护是一个非常重要的信息,因此建议打开设备的日志功能,如果有可能的话最好建立日志服务器,将日志信息记录到外部服务器,避免由于设备重启而丢失日志信息 1).配置打开日志功能配置打开日志功能对于IOS设备来说,我们通过配置logging buffer来打开日志输出到buffer内存的记录功能,也可以配置logging console打开输出到console口的日志功能可以在logging buffer后面加上记录日志的级别,级别越高,记录的信息越多。比如logging buffer 6,对应information级别,那么会将一些普通的日志信息也记录下来。最高级别为debug,如果

81、要对系统进行debug,需要将日志打开到debug级别才能将debug信息记录到buffer 2).显示日志记录显示日志记录 对于IOS设备来说,通过show log来查看日志记录,我们可以看到在前面会显示当前各种日志所记录的级别Router#sho logSyslog logging: enabled (9 messages dropped, 1 messages rate-limited, 0 flushes, 0 overruns, xml disabled) Console logging: level debugging, 21 messages logged, xml disabl

82、ed Monitor logging: level debugging, 0 messages logged, xml disabled Buffer logging: level debugging, 21 messages logged, xml disabled Logging Exception size (8192 bytes) Count and timestamp logging messages: disabled Trap logging: level informational, 26 message lines logged*Feb 12 17:26:24.507: %S

83、YS-5-CONFIG_I: Configured from console beLog Buffer (8192 bytes):*Feb 12 17:19:50.739: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up*Feb 12 17:19:50.743: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up*Feb 12 17:19:50.751: %LINK-3-UPDOWN: Interface Serial1/1, changed state

84、to up*Feb 12 17:19:50.755: %LINK-3-UPDOWN: Interface Serial1/2, changed state to up*Feb 12 17:19:50.759: %LINK-3-UPDOWN: Interface Serial1/3, changed state to up对于CatOS设备来说,可以用show logging buffer -1023查看全部日志 3).日志记录时间日志记录时间有时我们会发现日志中的时间格式我们看不懂,例如3W9D之类,这是一个时间格式问题,这种格式表示从开机以来的第3周第9天如果我们想换成我们习惯的标准日期时间

85、格式,可以在配置种加入命令:service timestamps log datetime localtime 四.密码恢复2950,3550等系列非模块化交换机等系列非模块化交换机1.将终端或将终端或PC(使用超级终端使用超级终端)连接到交换机连接到交换机console端口端口2.将连接速度设为将连接速度设为96003.将交换机电源拔掉将交换机电源拔掉4.按住按住mode键,同时将交换机加电。当端口键,同时将交换机加电。当端口1X上的等灭掉后上的等灭掉后1-2秒可以松开秒可以松开mode键。如下的几行软件信息将会显示出来,提示你密码恢复功能是键。如下的几行软件信息将会显示出来,提示你密码恢复

86、功能是否被禁止否被禁止如果显示信息如下所示:如果显示信息如下所示:The system has been interrupted prior to initializing the flash file system. The following commands will initialize the flash file system,and finish loading the operating system software:flash_initload_helperboot可以进行密码恢复进程如果显示信息如下所示:如果显示信息如下所示:The password-recovery m

87、echanism has been triggered, butis currently disabled.请遵照后面的禁止密码恢复机制情况请遵照后面的禁止密码恢复机制情况四.密码恢复2950,3550等系列非模块化交换机等系列非模块化交换机密码恢复进程密码恢复进程第一步:初始化第一步:初始化flash文件系统文件系统switch: flash_init第二步:加载一些第二步:加载一些helper文件文件switch# load_helper第三步:显示第三步:显示flash内存中的内容内存中的内容switch: dir flash:交换机文件系统显示如下:交换机文件系统显示如下:Direct

88、ory of flash: 13 drwx 192 Mar 01 1993 22:30:48 c3550-i5q3l2-mz-121-0.0.53 11 -rwx 5825 Mar 01 1993 22:31:59 config.text 17 -rwx 27 Mar 01 1993 22:30:57 env_vars 5 -rwx 90 Mar 01 1993 22:30:57 system_env_vars 18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat 16128000 bytes total (10003456 bytes free) 第四步:将配置

89、文件名改为第四步:将配置文件名改为config.text.old,这个文件包含定义的密码。,这个文件包含定义的密码。switch: rename flash:config.text flash:config.text.old第五步:启动系统第五步:启动系统switch: boot将会提示你进入将会提示你进入setup程序,在提示处回答程序,在提示处回答NContinue with the configuration dialog? yes/no: N四.密码恢复2950,3550等系列非模块化交换机等系列非模块化交换机第六步:在switch提示符下,进入特权模式switch enable第七步

90、:将配置文件改回初始名switch# rename flash:config.text.old flash:config.text 第八步:copy配置文件到内存switch# copy flash:config.text system:running-configSource filename config.text?Destination filename running-config?一律回车确认,现在配置文件已经加载了,可以更改password第九步:更改passwordswitch# config terminalswitch(config)# enable secret orswi

91、tch(config)# enable password switch(config)# exitswitch#switch# copy running-config startup-config 禁止密码恢复机制情况禁止密码恢复机制情况如果密码恢复机制被禁止,提示信息如下:The password-recovery mechanism has been triggered, butis currently disabled. Access to the boot loader promptthrough the password-recovery mechanism is disallowe

92、d atthis point. However, if you agree to let the system bereset back to the default system configuration, accessto the boot loader prompt can still be allowed. Would you like to reset the system back to the default configuration (y/n)?四.密码恢复2600,3600,7200,7500,12000等系列路由器等系列路由器1.将终端或PC(使用超级终端)连接到交换机

93、console端口2.将连接速度设为96003.关机重新启动,启动过程中60秒内按break中断启动过程,系统会进入 rommon提示符在rommon模式下键入confreg 0x2142使系统不加载配置文件启动rommon 1 confreg 0x2142You must reset or power cycle for new config to take effect在rommon提示符下键入reset使系统重启系统启动后,对所有setup的提问回答no或按ctrl-C跳过此时设备启动为出厂设置,没有任何配置,可以enable进入特权模式进入特权模式后执行copy startup run

94、,将原来的配置复制到当前的内存中此时已经恢复原来的配置,可以进入配置模式更改密码Config thostname(config)# enable secret 在配置模式下将寄存器值改回原来的0x2102 hostname(config)#config-register 0x2102改完后退出配置模式,write存盘再重启设备,将恢复为改过密码的配置 五. IOS确认以及升级IOS是网络产品的灵魂,它提供丰富的特性功能支持,但也和其他操作系统软件一样,有着改之不完的bug。我们选择Cisco,并非它足够稳定,而是相对稳定。cisco对于大部分bug都有相应的说明和回避方法提供,也会相对及时地在

95、下一版本改正。毕竟没有一切完美的产品嘛。Cisco在下一代的软件中采用了软件的分布式结构,将不同的功能分布到不同的软件模块去执行,这样即使某一个软件模块出现问题,不至于影响到整个系统的运行。特性越复杂的ios相对bug也越多,通常我们遇到的一些系统自动重启或者日志中的告警多半都与软件bug相关,因此选择一个相对稳定的ios版本是非常重要的。 Cisco的路由交换设备分为IOS和CatOS两种系统,早期的4000,5000,6000是混合型的操作系统,即在交换层上还采用CatOS,而路由层采用IOS。但Cisco在逐渐取消这种结构,6500和4500已经可以转换成和其他的路由设备一样的单一Nat

96、ive IOS结构。IOS选择的原则选择的原则对于IOS的版本选择并非越高越好,因为对于一个新版本的推出,由于使用的人少,还不能验证其稳定性。因此我们需要的是一个稳定的版本,而不是一个很新的版本。当然除非您需要新版本中新支持的特性或者出于回避某些漏洞的需求。 在cisco IOS版本下载页面都会标注每个版本的分类,包括ED、LD、GD或DFIOS选择的原则选择的原则ED 代表“早期部署”。早期部署版本提供新的特性、平台或接口支持。多数非主要版本都包含ED版本。GD 代表“普遍部署”。如果Cisco认为Cisco IOS 软件的主要版本适合在客户网络中需要这些特性和功能的任何地方使用,则这种主要

97、版本进入“普遍部署”阶段。进入“普遍部署”阶段的标准基于但并不限于从采用这些版本的生产和试验网络中获得的客户反馈调查、客户工程师故障报表以及报告的现场实际运行情况。只有主要版本才能进入普遍部署阶段。LD 代表“有限部署”。介于初次发售到进入GD阶段之间,Cisco IOS软件的主要版本处于其生命周期的“有限部署”阶段。DF 代表“延期”。因为存在众所周知的缺陷,DF版本不可以下载。在您的路由器上不要安装这些版本。在选择版本时,我们建议尽量采用GD版本。只有在您的硬件和软件特性使您无法作出其它选择时,才采用ED 版本 IOS选择的原则选择的原则对不同的产品,IOS分为11.0,12.0,12.1

98、,12.2,12.3,12.4等几个大的系列,每个IOS系列又细分S,SX,E,T等不同小的系列,对于每个小的系列又会有不同的小版本号,这个小版本号的递增,表示不断升级的补丁 例如12.0(28)S1,12.0(28)S212.0(28)S6,表示在12.0(28)S这一系列已经升级过6次补丁,他们支持的特性是相同的,只是越靠后的版本越稳定,因此我们在升级IOS时首选我们原来使用的系列中小版本号高的版本,它肯定与我们原来的应用环境兼容,并更加稳定 针对每个IOS版本还区分不同的属性,一般有IP,IP PLUS,ENTERPRISE,SERVICE PROVIDER等属性,每个属性所包含的支持特

99、性都不同,分别对应普通用户,企业用户,运营商等不同的应用环境IOS选择的原则选择的原则IOS的选择是一个比较复杂的事情首先要判断什么版本才能支持您设备上要使用的硬件板卡;其次您需要支持什么特性,比如vpn,mpls,qinq;最后选定了版本还要看您的内存和flash是否足够大虽然在cisco网站上有相应的工具(software advisor)可以在一定程度上帮助您分析,但确实是一件比较麻烦的工作,有些特性还是要到相应的release notes去查找下面是software advisor的链接,需要cco帐号http:/ 1.准备tftp server软件放在pc上,如果要升级的软件大于16

100、M,请不要用cisco的tftp server软件。将下载的ios文件放在tftp server目录下。2.将pc连接到网络中,最好是通过局域网连接,确保可以ping通网络设备的地址。3.在网络设备上show flash查看原来的ios文件。对于不同设备可能存储在不同位置,flash,bootflash或disk0上。如果剩余间不足,那么需要将原来的文件删除例如 delete bootflash: c7200-boot-mz.120-2.XE2再次show flash,系统有可能只是在文件上标注了一个D,- show bootflash: all -#- ED -type- -crc- -se

101、ek- nlen -length- -date/time- name1 .D. image 18794911 2FB1D0 23 2863440 Jan 01 2000 00:00:54 c7200-boot-mz.120-2.XE22 . config 25FF6D89 323674 9 164897 Jan 15 2002 03:09:40 crashinfo3 . config 7127DD9A 34BCE0 9 165356 Nov 12 2004 00:54:13 crashinfo4 . crashinfo 27D3746A 37EC20 25 208573 Mar 27 2005

102、 05:59:14 crashinfo_20050327-0559145088 bytes available (3402784 bytes used)那么需要执行squeeze bootflash:命令将标记D的文件彻底擦除。注意此时由于注意此时由于bootflash中已经没有中已经没有ios文件,设备一定不要重起,否则系统中没有文件,设备一定不要重起,否则系统中没有ios文件将无法启动,只能通过文件将无法启动,只能通过xmodem方式从方式从console口上传文口上传文件,会非常慢。件,会非常慢。4.在空间足够的情况下,在网络设备上执行copy tftp bootflash:系统会提示输

103、入源文件地址,即pc机ip地址;输入源文件名,即要上传的文件名,例如c7200-is-mz.122-23.bin输入目的文件名,c7200-is-mz.122-23.bin。系统会上传该文件到bootflash中。5.如果原来的配置中有启动变量配置,需要更改。例如 boot system flash bootflash:c7200-is-mz.121-21.bin,需要将该配置no掉,重新配置boot system flash bootflash:c7200-is-mz.122-23.bin,存盘重启即可。6.启动后show version检查是否版本已经变更。由于设置不正确导致的无法启动由于

104、设置不正确导致的无法启动如果设备启动进入rommon提示符,那么有可能是某些设置的不正确导致无法启动。 首先确认ios文件是否存在:在rommon提示符下dir bootflash:或dir flash:dir disk0:检查是否文件存在。Dir bootflash:-#- ED -type- -crc- -seek- nlen -length- -date/time- name1 . image 18794911 2FB1D0 23 2863440 Jan 01 2000 00:00:54 c7200-is-mz.122-23.bin5088 bytes available (340278

105、4 bytes used)如果文件存在,可以键入boot bootflash: c7200-is-mz.121-21.bin指定系统从该文件启动,通常系统可以引导起来。一般是启动变量设置不正确导致的。当系统进入正常模式后再通过上一节的配置方法改正启动变量(boot system flash XXXX)。另一种情况是即使启动变量正确,系统仍然每次重启都自动进入rommon状态,这有可能是寄存器值设置不正确。如果是在rommon状态下,可以通过confreg 0x2102来改正寄存器值,如果是在正常模式下,可以在配置中配置config-register 0x2102,存盘重启即可。最糟糕的一种情况

106、是检查flash发现文件都不存在了,或者由于文件损坏在系统启动过程中就跳回rommon状态而无法进入正常模式。那么只有通过xmodem来恢复ios文件了。用TFTPDNLD方式恢复IOS文件 1.通过console线将pc与网络设备console口连接,用超级终端登录系统,系统在rommon模式。2.将pc通过交叉线连接到路由器的以太口,并启动tftp server,将IOS文件放在相应目录下。3.在路由器上可以通过set命令查看当前参数设置。rommon 3 set PS1=rommon ! IP_ADDRESS=172.18.16.76 IP_SUBNET_MASK=255.255.255

107、.192 DEFAULT_GATEWAY=172.18.16.65 TFTP_SERVER=172.18.16.2 TFTP_FILE=quake/rel22_Jan_16/c2600-i-mz4.分别设置几个相关参数rommon 16 IP_ADDRESS=171.68.171.0rommon 17 IP_SUBNET_MASK=255.255.254.0rommon 18 DEFAULT_GATEWAY=171.68.170.3rommon 19 TFTP_SERVER=171.69.1.129rommon 20 TFTP_FILE=c2600-is-mz.113-2.0.3.Q5.执行t

108、ftpdnld将IOS文件下载到路由器。rommon 21 tftpdnld IP_ADDRESS: 171.68.171.0 IP_SUBNET_MASK: 255.255.254.0 DEFAULT_GATEWAY: 171.68.170.3 TFTP_SERVER: 171.69.1.129 TFTP_FILE: c2600-is-mz.113-2.0.3.QInvoke this command for disaster recovery only.WARNING: all existing data in all partitions on flash will be lost!Do

109、 you wish to continue? y/n: n: yReceiving c2600-is-mz.113-2.0.3.Q from 171.69.1.129 !.!.!File reception completed.Copying file c2600-is-mz.113-2.0.3.Q to flash.Erasing flash at 0x607c0000program flash location 0x60440000rommon 22 用用Xmodem方式恢复方式恢复IOS文件文件1.通过console线将pc与网络设备console口连接,用超级终端登录系统,系统在rom

110、mon模式。2.键入xmodem命令rommon 1 xmodem -c c2600-is-mz.122-10a.bin Do not start the sending program yet. Invoke this application only for disaster recovery. Do you wish to continue? y/n n: y (选择 yes) Ready to receive file . 3.此时,在超级终端的菜单上的“传送”-“发送文件”-选择IOS镜像文件所在地以及选择使用“xmodem”协议,点击“发送”即可 由于系统等待接收文件的时间有限,因

111、此在菜单选择的时候要快一些,如果发现系统已经提示超时了,只有再执行一遍xmodem命令,再选择发送。4.然后等待几十分钟左右就把IOS灌进去了,具体时间与ios文件大小相关,由于console口当前只有9600速率,因此会很慢,而且最好不要在这台pc上操作其他命令,否则有可能导致传送中断。 5.将文件发送完成后,dir bootflash:检查文件是否存在,再设置启动变量启动即可。六. 故障处理在网络中,即使两个现象完全相同的故障也可能是不同的原因造成的,因为我们的网络千差万别,引起故障的原因也就千遍万化,有些是设备的原因,有些是人为的原因。我们所能提供的也就是对故障分析的一些方法和原则,以及

112、一些常见故障原因供您参考,具体故障还要根据具体情况判断 六. 故障处理1.故障信息的收集故障信息的收集在故障发生的时候,由于已经影响到了业务,因此很多人急于恢复故障,总是直接将设备重启。原则上说业务为首要保证,因此并不能说这么做有问题。但同时带来的后果是由于设备重启,故障现象和故障日志都会随着重启而丢失,这对于查找故障原因来说是非常不利的,如果没有这些数据,我们只能凭空猜想故障的可能性。如果不能正确分析出原因,很有可能下次仍然出现同样问题,反而造成更大的损失。诚然我们需要尽快恢复业务,但仍希望能在最短时间内登录设备,将最基本的show tech和show log信息保留下来 六. 故障处理Te

113、ch-support 和 crash文件Cisco的大部分设备信息都可以通过show tech显示出来,而show log可以记录一段时间内的系统日志信息,这两项数据对于故障诊断来说是最基本的信息来源 对于设备自动重启这类故障,cisco会自动生成一个crashinfo文件,存放在bootflash或flash中,我们可以用more命令查看该文件的内容或者用tftp拷贝出来。该文件会记录在自动重启前发生过什么,是什么原因导致的系统重启。但该文件并不是每次自动重启都能生成,有时候来不及生成就已经crash了,有时候是由于bootflash空间不足,无法保存下来。该文件只要生成就不会由于重启而丢失

114、,是诊断这类故障的一个很有效的记录 六. 故障处理故障描述和测试 对于正确描述故障现象,很对人认为是一件简单的事情,通常认为自己只是使用者,我只需要告诉我的技术支持者我受到的影响就行了,其实这是远远不够的,您所提供的信息越详尽,越准确,对于故障的分析和解决来说就越有效率实际上要准确描述故障点和现象并不简单。需要多进行一些测试才能准确地定位故障点大致在哪里,大概与什么相关。这些对于其他工程师的进一步分析和判断是很重要的,避免延误时机或走偏了方向 故障分类故障分类硬故障硬故障硬故障硬故障链路问题链路问题链路问题链路问题, , , ,硬件故障硬件故障硬件故障硬件故障, , , ,性能不足性能不足性能

115、不足性能不足, , , ,环境问题环境问题环境问题环境问题软故障软故障软故障软故障配置错误配置错误配置错误配置错误, , , ,软件软件软件软件bug,bug,bug,bug,病毒攻击病毒攻击病毒攻击病毒攻击环路环路环路环路4.4.4.4.拓扑正确性拓扑正确性拓扑正确性拓扑正确性流量分析流量分析流量分析流量分析8.8.8.8.攻击攻击攻击攻击软件软件软件软件 bugbugbugbug测试方法测试方法测试方法测试方法1.1.1.1.孤立故障点孤立故障点孤立故障点孤立故障点温度温度温度温度5.5.5.5.环境问题环境问题环境问题环境问题三层配置三层配置三层配置三层配置二层配置二层配置二层配置二层配

116、置2.2.2.2.配置合理性配置合理性配置合理性配置合理性产品结构产品结构产品结构产品结构6.6.6.6.产品性能产品性能产品性能产品性能自环测试自环测试自环测试自环测试3.3.3.3.传输问题传输问题传输问题传输问题硬件表象硬件表象硬件表象硬件表象隐性故障隐性故障隐性故障隐性故障7.7.7.7.硬件故障硬件故障硬件故障硬件故障故障关注内容故障关注内容网络丢包网络丢包传输链路传输链路端口配置端口配置硬件故障硬件故障CpuCpu高高流量拥塞流量拥塞双工速率双工速率限速限速板卡板卡槽位槽位病毒病毒环路环路路由振荡路由振荡应用应用测试测试孤立孤立故障点故障点故障推导故障推导故障信息收集故障信息收集u

117、 拓扑信息拓扑信息拓扑信息拓扑信息uu 测试定位故障范围测试定位故障范围测试定位故障范围测试定位故障范围uu Show techShow techShow techShow techuu Show log Show log Show log Show loguu Crashinfo Crashinfo Crashinfo Crashinfo文件文件文件文件uu 网管网管网管网管/ / / /日志服务器记录日志服务器记录日志服务器记录日志服务器记录目录目录1.1.1.1.孤立故障点孤立故障点孤立故障点孤立故障点2.2.2.2.配置合理性配置合理性配置合理性配置合理性3.3.3.3.传输问题传输问

118、题传输问题传输问题4.4.4.4.拓扑是否正确拓扑是否正确拓扑是否正确拓扑是否正确5.5.5.5.环境问题环境问题环境问题环境问题6.6.6.6.产品性能影响产品性能影响产品性能影响产品性能影响7.7.7.7.硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障8.8.8.8.攻击流量分析方法攻击流量分析方法攻击流量分析方法攻击流量分析方法9.9.9.9.软件软件软件软件bugbugbugbug孤立故障点孤立故障点故障现象故障现象: pc1: pc1访问访问svr1svr1不通不通测试测试1: pc11: pc1到到R1,R2R1,R2通吗通吗? ?测试测试2: pc12:

119、 pc1到到R3R3通吗通吗? ?测试测试3: Svr13: Svr1到到R3R3通吗通吗? ?测试测试4: Svr14: Svr1到到R1,R2R1,R2通吗通吗? ?如何确定故障点在哪里如何确定故障点在哪里? ?确定故障点为确定故障点为R2R2到到Svr1Svr1的路由不正确的路由不正确? ?目录目录1.1.1.1.孤立故障点孤立故障点孤立故障点孤立故障点2.2.2.2.配置合理性配置合理性配置合理性配置合理性3.3.3.3.传输问题传输问题传输问题传输问题4.4.4.4.拓扑是否正确拓扑是否正确拓扑是否正确拓扑是否正确5.5.5.5.环境问题环境问题环境问题环境问题6.6.6.6.产品性

120、能影响产品性能影响产品性能影响产品性能影响7.7.7.7.硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障8.8.8.8.攻击流量分析方法攻击流量分析方法攻击流量分析方法攻击流量分析方法9.9.9.9.软件软件软件软件bugbugbugbug静态路由静态路由谨慎配置静态路由,通常不恰当的静态路由是导致路由环路的根源谨慎配置静态路由,通常不恰当的静态路由是导致路由环路的根源Fa0/0:10.1.1.1Fa0/0:10.1.1.1Fa0/0:10.1.1.2Fa0/0:10.1.1.2Ip route 192.168.0.0 255.255.0.0 10.1.1.1Ip r

121、oute 192.168.0.0 255.255.0.0 10.1.1.1192.168.0.0192.168.0.0Ip route 192.168.0.0 255.255.0.0 10.1.1.2Ip route 192.168.0.0 255.255.0.0 10.1.1.2静态路由静态路由1.1.路由器将会发送路由器将会发送192.168.x.x192.168.x.x的的arparp请求到防火墙请求到防火墙2.2.防火墙防火墙只能对只能对接口地址,接口地址,globalglobal地址作地址作arparp代理的应答代理的应答( (开启开启arparp代理代理) )3.3.如果防火墙上如

122、果没有地址转换(路由模式),将不会对到如果防火墙上如果没有地址转换(路由模式),将不会对到192.168.x.x192.168.x.x的的arp requestarp request作应答作应答%SPANTREE-2-RECV_1Q_NON_TRUNK: %SPANTREE-2-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk FastEthernet0/22 on vlan 1.Received 802.1Q BPDU on non trunk FastEthernet0/22 on vlan 1.Spanning-treeSpanni

123、ng-treeInt Fa0/1Int Fa0/1switchport mode accessswitchport mode accessSwitch port access vlan 1Switch port access vlan 1Int Fa0/1Int Fa0/1switchport mode trunkswitchport mode trunkswitchport trunk encapsulation dot1qswitchport trunk encapsulation dot1q802.1Q bpdu802.1Q bpdulset spantree portfast bpdu

124、-filter x/x enableset spantree portfast bpdu-filter x/x enablelspanning-tree bpdufilter enablespanning-tree bpdufilter enableFa0/1Fa0/1Fa0/1Fa0/1Firewall NATFirewall NAT故障现象故障现象: :防火墙部分用户无法上网或访问缓慢防火墙部分用户无法上网或访问缓慢测试:排除物理故障测试:排除物理故障故障原因:故障原因:FirewallFirewall上只配置了一个上只配置了一个globalglobal地址,最多地址,最多只支持只支持65

125、53565535个个xlatexlate转换,当连接数过大的时候就会出转换,当连接数过大的时候就会出现现xlatexlate分配不足的现象分配不足的现象解决方法:再分配一个解决方法:再分配一个globalglobal地址地址asa5540(config)# show run globalasa5540(config)# show run global global (outside) 1 221.7.77.203 global (outside) 1 221.7.77.203 global (outside) 1 221.7.77.204global (outside) 1 221.7.77.

126、204目录目录1.1.1.1.孤立故障点孤立故障点孤立故障点孤立故障点2.2.2.2.配置合理性配置合理性配置合理性配置合理性3.3.3.3.传输问题传输问题传输问题传输问题4.4.4.4.拓扑是否正确拓扑是否正确拓扑是否正确拓扑是否正确5.5.5.5.环境问题环境问题环境问题环境问题6.6.6.6.产品性能影响产品性能影响产品性能影响产品性能影响7.7.7.7.硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障8.8.8.8.攻击流量分析方法攻击流量分析方法攻击流量分析方法攻击流量分析方法9.9.9.9.软件软件软件软件bugbugbugbug%SONET-4-ALAR

127、M: POS2/6: B1 BER below threshold, TC alarm cleared%SONET-4-ALARM: POS2/6: B1 BER below threshold, TC alarm cleared%SONET-4-ALARM: POS2/6: B1 BER exceeds threshold, TC alarm declared%SONET-4-ALARM: POS2/6: B1 BER exceeds threshold, TC alarm declared%SONET-4-ALARM: POS2/6: B2 BER below threshold, TC

128、alarm cleared%SONET-4-ALARM: POS2/6: B2 BER below threshold, TC alarm cleared%SONET-4-ALARM: POS2/6: B2 BER exceeds threshold, TC alarm declared%SONET-4-ALARM: POS2/6: B2 BER exceeds threshold, TC alarm declared%SONET-4-ALARM: POS2/6: B3 BER below threshold, TC alarm cleared%SONET-4-ALARM: POS2/6: B

129、3 BER below threshold, TC alarm cleared%SONET-4-ALARM: POS2/6: B3 BER exceeds threshold, TC alarm declared%SONET-4-ALARM: POS2/6: B3 BER exceeds threshold, TC alarm declared传输问题传输问题1.1.Show logShow logPOS5/1 is up, line protocol is up POS5/1 is up, line protocol is up Hardware is Packet over SONET H

130、ardware is Packet over SONET Received 0 broadcasts, 13 runts, 0 giants, 0 throttles Received 0 broadcasts, 13 runts, 0 giants, 0 throttles 0 parity 0 parity 400 input errors, 387 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort400 input errors, 387 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 7875284684 p

131、ackets output, 4776917679075 bytes, 0 underruns 7875284684 packets output, 4776917679075 bytes, 0 underruns 0 output errors, 0 applique, 0 interface resets0 output errors, 0 applique, 0 interface resets 0 output buffer failures, 0 output buffers swapped out 0 output buffer failures, 0 output buffers

132、 swapped out 0 carrier transitions0 carrier transitions2.2.Show interfaceShow interface传输问题传输问题POS5/0POS5/0SECTIONSECTION LOF = 0 LOS = 0 LOF = 0 LOS = 0 BIP(B1) = 12345BIP(B1) = 12345LINELINE AIS = 0 RDI = 0 FEBE = 0 AIS = 0 RDI = 0 FEBE = 0 BIP(B2) = 12345BIP(B2) = 12345PATHPATH AIS = 3 RDI = 4 FE

133、BE = 1579 AIS = 3 RDI = 4 FEBE = 1579 BIP(B3) = 12345BIP(B3) = 12345 LOP = 0 NEWPTR = 12 PSE = 0 NSE = 55 LOP = 0 NEWPTR = 12 PSE = 0 NSE = 553.3.Show controllerShow controller传输问题传输问题传输传输传输问题传输问题由近及远分段打环测试,排除故障点由近及远分段打环测试,排除故障点目录目录1.1.1.1.孤立故障点孤立故障点孤立故障点孤立故障点2.2.2.2.配置合理性配置合理性配置合理性配置合理性3.3.3.3.传输问题

134、传输问题传输问题传输问题4.4.4.4.拓扑是否正确拓扑是否正确拓扑是否正确拓扑是否正确5.5.5.5.环境问题环境问题环境问题环境问题6.6.6.6.产品性能影响产品性能影响产品性能影响产品性能影响7.7.7.7.硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障8.8.8.8.攻击流量分析方法攻击流量分析方法攻击流量分析方法攻击流量分析方法9.9.9.9.软件软件软件软件bugbugbugbug拓扑连接拓扑连接故障现象:客户端到网关不通或丢包故障现象:客户端到网关不通或丢包测试:影响范围在测试:影响范围在1 12 2个个vlanvlan,或者,或者1 12 2台交换机

135、台交换机FastEthernet0/2 is up, line protocol is up (connected)FastEthernet0/2 is up, line protocol is up (connected) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets

136、/sec 581325 packets input581325 packets input, 141272501 bytes, 0 no buffer, 141272501 bytes, 0 no buffer Received 210438 broadcastsReceived 210438 broadcasts (0 multicast) (0 multicast)拓扑连接拓扑连接分析受影响的设备各端口,发现有些端口上广播包比例过大分析受影响的设备各端口,发现有些端口上广播包比例过大目录目录1.1.1.1.孤立故障点孤立故障点孤立故障点孤立故障点2.2.2.2.配置合理性配置合理性配置合理

137、性配置合理性3.3.3.3.传输问题传输问题传输问题传输问题4.4.4.4.拓扑是否正确拓扑是否正确拓扑是否正确拓扑是否正确5.5.5.5.环境问题环境问题环境问题环境问题6.6.6.6.产品性能影响产品性能影响产品性能影响产品性能影响7.7.7.7.硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障8.8.8.8.攻击流量分析方法攻击流量分析方法攻击流量分析方法攻击流量分析方法9.9.9.9.软件软件软件软件bugbugbugbug温度过高环境原因温度过高环境原因16-20槽槽csc,sfc温度高通常温度高通常是过滤网脏是过滤网脏板卡没有插但并未封上挡板板卡没有插但并未

138、封上挡板机房温度过高机房温度过高机房风路阻塞机房风路阻塞1201612016温度问题温度问题目录目录1.1.1.1.孤立故障点孤立故障点孤立故障点孤立故障点2.2.2.2.配置合理性配置合理性配置合理性配置合理性3.3.3.3.传输问题传输问题传输问题传输问题4.4.4.4.拓扑是否正确拓扑是否正确拓扑是否正确拓扑是否正确5.5.5.5.环境问题环境问题环境问题环境问题6.6.6.6.产品性能影响产品性能影响产品性能影响产品性能影响7.7.7.7.硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障8.8.8.8.攻击流量分析方法攻击流量分析方法攻击流量分析方法攻击流量分析

139、方法9.9.9.9.软件软件软件软件bugbugbugbugCiscoCatalyst2960CiscoCatalyst3750CiscoCatalyst3560CiscoCatalyst4500CiscoCatalyst6500CiscoCatalystExpress500Cisco800SeriesCisco3800,Cisco2800,Cisco1800Cisco7600SeriesCisco7200SeriesCisco12000Series产品性能影响产品性能影响有可能记住每个产品的特性吗有可能记住每个产品的特性吗有可能记住每个产品的特性吗有可能记住每个产品的特性吗? ? ? ?没关

140、系没关系没关系没关系, , , ,查文档吧查文档吧查文档吧查文档吧! ! ! !案例案例1 1:72007200的带宽点问题的带宽点问题现象:现象:72067206上某块板卡端口突然不转发数据,端口状态正常上某块板卡端口突然不转发数据,端口状态正常测试:确认板卡,线路均正常测试:确认板卡,线路均正常可疑日志可疑日志( (通常在启动日志或通常在启动日志或showversion中可见中可见):):%PLATFORM-3-PACONFIG:Exceeds600bandwidthpointsforslots0,1,3&57206带宽点问题带宽点问题1Portadapterslot5(leftbus)5

141、Portadapterslot6(rightbus)2Portadapterslot3(leftbus)6Portadapterslot4(rightbus)3Portadapterslot1(leftbus)7Portadapterslot2(rightbus)4PortAdapterJacketCardslot0(mb0bus),andportadapterslot77206带宽点计算带宽点计算对于对于NPE-G1引擎引擎I/Ocontroller不受带宽点影响(实际大多不需要不受带宽点影响(实际大多不需要I/Ocontroller)LeftBusBandwidthPointsRightB

142、usBandwidthPointsPortAdapters:PortAdapters:PA-E390PA-E390PA-E390PA-2E3180PA-4E1G/1200PA-2E3180I/OController:C7200-I/O-2FE/E400Totalpointsleftbus:580Totalpointsrightbus:450PCIbusmb1(Slots1,3and5)hasanaggregateof600bandwidthpoints.Totalof580bandwidthpointshavebeenusedonPCIbusmb1.PCIbusmb2(Slots2,4,6)h

143、asanaggregateof600bandwidthpoints.Totalof450bandwidthpointshavebeenusedonPCIbusmb2.7206带宽点计算带宽点计算7206带宽点计算带宽点计算3GE3GE卡问题卡问题案例案例2 2:GSRGSR上上3GE-GBIC-SC3GE-GBIC-SC板卡板卡cpucpu高高现象:现象:3GE-GBIC-SC3GE-GBIC-SC上配置双向上配置双向ACLACL可能会导致可能会导致cpucpu高,高,测试:删除出方向测试:删除出方向ACLACL后可以恢复正常后可以恢复正常故障原因:源于该类型板卡对故障原因:源于该类型板卡对E

144、gressEgress方向的方向的ACLACL支持问题。支持问题。案例案例3 3:1201612016上上3GE-GBIC-SC3GE-GBIC-SC板卡丢包板卡丢包现象:当流量不大时使用正常现象:当流量不大时使用正常, ,但当但当3 3个端口流量和增大到个端口流量和增大到2.5G2.5G时发生丢包时发生丢包测试:流量未达到端口带宽值,但发生丢包,排除链路问题测试:流量未达到端口带宽值,但发生丢包,排除链路问题故障原因:故障原因:1201612016的的SFCSFC矩阵是矩阵是2.5G2.5G的,如果插槽上使用的,如果插槽上使用3GE3GE卡在流量小时卡在流量小时可能还没有影响,但流量大或流量

145、类型变化时会发生丢包可能还没有影响,但流量大或流量类型变化时会发生丢包目录目录1.1.1.1.孤立故障点孤立故障点孤立故障点孤立故障点2.2.2.2.配置合理性配置合理性配置合理性配置合理性3.3.3.3.传输问题传输问题传输问题传输问题4.4.4.4.拓扑是否正确拓扑是否正确拓扑是否正确拓扑是否正确5.5.5.5.环境问题环境问题环境问题环境问题6.6.6.6.产品性能影响产品性能影响产品性能影响产品性能影响7.7.7.7.硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障8.8.8.8.攻击流量分析方法攻击流量分析方法攻击流量分析方法攻击流量分析方法9.9.9.9.软

146、件软件软件软件bugbugbugbug硬件表象及隐性故障硬件表象及隐性故障故障现象:故障现象:1201612016上一块上一块pospos卡端口丢包,甚至板卡卡端口丢包,甚至板卡crashcrash测试:排除链路故障测试:排除链路故障问题:是否一定是这块板卡的硬件故障?问题:是否一定是这块板卡的硬件故障?GSRGSR的矩阵结构的矩阵结构对于一个模块化,分布式处理的系统,一个表面上的板卡故障对于一个模块化,分布式处理的系统,一个表面上的板卡故障可能与其他关联部件相关可能与其他关联部件相关1.25G1.25G2.5G2.5G全双工全双工检查激活的检查激活的SFCSFC卡有哪些卡有哪些检查激活的检查

147、激活的CSCCSC卡是哪一块卡是哪一块show controller clockshow controller clock检查每块线卡上的矩阵错误和增长情况检查每块线卡上的矩阵错误和增长情况 (you must use (you must use attach!attach!) )show controller fia show controller fia (通常连续做(通常连续做3 3次)次)比较每块线卡的输出,孤立故障点比较每块线卡的输出,孤立故障点FabricFabric故障诊断故障诊断-showcontrollersfia-Fabricconfiguration:40Gbpsband

148、width,redundantfabricMasterScheduler:Slot17BackupScheduler:Slot16FromFabricFIAErrorsredundoverflow0celldrops0cellparity0Switchcardspresent0x001FSlots1617181920Switchcardsmonitored0x001FSlots1617181920Slot:1617181920Name:csc0csc1sfc0sfc1sfc2los00000stateOffOffOffOffOffcrc160001231230FabricFabric故障诊断故

149、障诊断l板卡和交换矩阵之间的板卡和交换矩阵之间的CRCCRC错误可能有几种原因错误可能有几种原因( (以概率从大到小排序)以概率从大到小排序)1.1.板卡故障板卡故障2.SFC2.SFC故障(故障(SFCSFC到每个槽位都有单独的通道,可能只是到其中一个通道的接到每个槽位都有单独的通道,可能只是到其中一个通道的接口有问题,那么现象也会是只有一块板卡上对这个口有问题,那么现象也会是只有一块板卡上对这个SFCSFC有有CRCCRC错误,如果我们错误,如果我们将这块板卡换个槽位就没有错误了,可以排除板卡故障)将这块板卡换个槽位就没有错误了,可以排除板卡故障)3.3.其他板卡故障(由于报错的槽板卡只是

150、在从其他板卡故障(由于报错的槽板卡只是在从SFCSFC收到数据的时候发现错误收到数据的时候发现错误, ,那么也有可能是发出该数据的板卡有问题那么也有可能是发出该数据的板卡有问题. .但这种情况通常在其他板卡上也但这种情况通常在其他板卡上也会收到该错误)会收到该错误)4.4.最坏的情况是机箱槽位故障,但概率很低,我们总是将这种可能放在最后最坏的情况是机箱槽位故障,但概率很低,我们总是将这种可能放在最后考虑考虑FabricFabric故障诊断故障诊断目录目录1.1.1.1.孤立故障点孤立故障点孤立故障点孤立故障点2.2.2.2.配置合理性配置合理性配置合理性配置合理性3.3.3.3.传输问题传输问

151、题传输问题传输问题4.4.4.4.拓扑是否正确拓扑是否正确拓扑是否正确拓扑是否正确5.5.5.5.环境问题环境问题环境问题环境问题6.6.6.6.产品性能影响产品性能影响产品性能影响产品性能影响7.7.7.7.硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障8.8.8.8.攻击流量分析方法攻击流量分析方法攻击流量分析方法攻击流量分析方法9.9.9.9.软件软件软件软件bugbugbugbug流量分析方法流量分析方法l 路由器开启路由器开启netflow监控监控l 路由器路由器debugippacketl 路由器用路由器用ACL匹配故障数据流类型匹配故障数据流类型l 交换

152、机用抓包工具抓包(交换机用抓包工具抓包(sniffer,ethereal) ) span,monitorsession通过对攻击流量的分析定位攻击源,进行适当屏蔽通过对攻击流量的分析定位攻击源,进行适当屏蔽NetflowNetflow监控监控l路由器接口开启路由器接口开启netflownetflow InterfaceFa0/0Iproute-cacheflowRouter#showipcacheflowSrcIfSrcIPaddressDstIfDstIPaddressPrSrcPDstPPktsEt2/0192.168.137.78Et3/0*192.168.10.670600410041

153、39Et2/0172.19.216.196Et3/0*192.168.10.38060077007739Et0/0.110.56.78.128Et1/0.1172.16.30.2310600B300B348Et0/0.110.10.18.1Et1/0.1172.16.30.112110043004347Et0/0.110.162.37.71Et1/0.1172.16.30.21806027C027C48Et0/0.1172.16.6.1Null224.0.0.911020802081Et0/0.110.231.159.251Et1/0.1172.16.10.20600DC00DC48Et2/0

154、10.234.53.1Et3/0*192.168.10.32060016001539Et2/010.210.211.213Et3/0*192.168.10.12706006E006E38Et0/0.110.234.53.1Et1/0.1172.16.30.222010000000047Et0/0.110.90.34.193Et1/0.1172.16.10.2060016001548Et0/0.110.10.10.2Et1/0.1172.16.10.2060016001548NetflowNetflow监控监控DebugDebug分析分析慎用慎用debugdebug命令,及时关闭命令,及时关闭-

155、no debug all-no debug allDebugicmpDebugarpDebugippacket101access-list101permitiphostanyhost1.1.1.1Loggingbuffer/monitor7TerminalmonitorACLACL跟踪跟踪该访问控制列表根本没有过滤任何流量,所有条目均为许可。该访问控制列表根本没有过滤任何流量,所有条目均为许可。然而,由于它通过有效的方法对数据包进行了分类,因此该表然而,由于它通过有效的方法对数据包进行了分类,因此该表可用于临时诊断三种类型的攻击:可用于临时诊断三种类型的攻击:smurfsmurf、SYNSYN

156、泛洪和泛洪和fragglefraggle。 access-list 169 permit icmp any any echo access-list 169 permit icmp any any echo access-list 169 permit icmp any any echo-reply access-list 169 permit icmp any any echo-reply access-list 169 permit udp any any eq echo access-list 169 permit udp any any eq echo access-list 169

157、permit udp any eq echo any access-list 169 permit udp any eq echo any access-list 169 permit tcp any any established access-list 169 permit tcp any any established access-list 169 permit tcp any any access-list 169 permit tcp any any access-list 169 permit ip any any access-list 169 permit ip any an

158、y interface serial 0 interface serial 0 ip access-group 169 inip access-group 169 in如果发出如果发出show access-listshow access-list命令,我们将看到与以下内容相似的输出:命令,我们将看到与以下内容相似的输出: ACLACL跟踪跟踪ExtendedIPaccesslist169permiticmpanyanyecho(2matches)permiticmpanyanyecho-reply(21374matches)permitudpanyanyeqechopermitudpanye

159、qechoanypermittcpanyanyestablished(150matches)permittcpanyany(15matches)permitipanyany(45matches)ACLACL跟踪跟踪显而易见,到达串行接口的大部分流量由显而易见,到达串行接口的大部分流量由ICMPICMP响应答复数据包组成。响应答复数据包组成。这可能是这可能是smurfsmurf攻击的迹象,我们的站点是最终目标,而并非反射者。攻击的迹象,我们的站点是最终目标,而并非反射者。通过更改访问控制列表,我们能够收集到有关攻击的更多信息,通过更改访问控制列表,我们能够收集到有关攻击的更多信息,access-

160、list169permiticmpanyanyecho-replylog-input将将log-inputlog-input关键词添加到与可疑流量匹配的访问控制列表条目中关键词添加到与可疑流量匹配的访问控制列表条目中这样可使路由器记录与访问控制列表条目匹配信息。这样可使路由器记录与访问控制列表条目匹配信息。 假定配置了假定配置了logging bufferedlogging buffered,我们可以通过使用,我们可以通过使用show logshow log命令看命令看到产生的结果信息到产生的结果信息: :ACLACL跟踪跟踪%SEC-6-IPACCESSLOGDP:list169denied

161、icmp192.168.45.142(Serial0*HDLC*)-10.2.3.7(0/0),1packet%SEC-6-IPACCESSLOGDP:list169deniedicmp192.168.45.113(Serial0*HDLC*)-10.2.3.7(0/0),1packet%SEC-6-IPACCESSLOGDP:list169deniedicmp192.168.212.72(Serial0*HDLC*)-10.2.3.7(0/0),1packet%SEC-6-IPACCESSLOGDP:list169deniedicmp172.16.132.154(Serial0*HDLC*)

162、-10.2.3.7(0/0),1packet%SEC-6-IPACCESSLOGDP:list169deniedicmp192.168.45.15(Serial0*HDLC*)-10.2.3.7(0/0),1packetSnifferSniffer抓包抓包l对于交换机可以对端口做流量镜像对于交换机可以对端口做流量镜像 对该端口的各方向数据流进行抓包对该端口的各方向数据流进行抓包Monitorsession1sourceintfaceFa0/1inputMonitorsession1destinationFa0/2l对于对于4500,6500,76004500,6500,7600交换机可以直接对

163、进入交换机可以直接对进入cpucpu的流量的流量作镜像作镜像, ,更清晰的捕获进入更清晰的捕获进入cpucpu的异常流量的异常流量SnifferSniffer抓包抓包1.1.路由模块(路由模块(RPRP)上需要配置端口镜像,源端口可以选一个不使用的状态为)上需要配置端口镜像,源端口可以选一个不使用的状态为downdown的端口,的端口,目的端口为连接目的端口为连接sniffersniffer软件的端口软件的端口Router(config)#monitorsession1sourceinterfacefast3/3Router(config)#monitorsession1destination

164、interfacefast3/22.2.切换到交换模块(切换到交换模块(SPSP)上)上Router#remoteloginswich3.3.在交换模块上添加在交换模块上添加cpucpu流量到刚才定义的镜像中流量到刚才定义的镜像中Router-sp#testmonitorsession1addrp-inbandrx目录目录1.1.1.1.孤立故障点孤立故障点孤立故障点孤立故障点2.2.2.2.配置合理性配置合理性配置合理性配置合理性3.3.3.3.传输问题传输问题传输问题传输问题4.4.4.4.拓扑是否正确拓扑是否正确拓扑是否正确拓扑是否正确5.5.5.5.环境问题环境问题环境问题环境问题6.

165、6.6.6.产品性能影响产品性能影响产品性能影响产品性能影响7.7.7.7.硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障硬件表像及隐性故障8.8.8.8.攻击流量分析方法攻击流量分析方法攻击流量分析方法攻击流量分析方法9.9.9.9.软件软件软件软件bugbugbugbug七七.设备配置以及优化设备配置以及优化1.攻击流量分析方法攻击流量分析方法2.攻击方式以及防御方法攻击方式以及防御方法3.常见网管应用方式常见网管应用方式流量分析方法流量分析方法l 路由器开启路由器开启netflownetflow监控监控l 路由器路由器debug ip packetdebug ip packetl

166、 路由器用路由器用ACLACL匹配故障数据流类型匹配故障数据流类型l 交换机用抓包工具抓包(交换机用抓包工具抓包(sniffer,ethereal)sniffer,ethereal) span, monitor sessionspan, monitor session目的:通过对攻击流量的分析定位攻击源,进行适当屏蔽目的:通过对攻击流量的分析定位攻击源,进行适当屏蔽NetflowNetflow监控监控路由器接口开启路由器接口开启netflownetflow Interface Fa0/0 Interface Fa0/0 Ip route-cache flow Ip route-cache fl

167、ow简介简介:跟快速转发一样,开辟出一块内存空间出来,存储的东西要比快速转发跟快速转发一样,开辟出一块内存空间出来,存储的东西要比快速转发的内容要多一点,一般用于流量审计的内容要多一点,一般用于流量审计Router#showipcacheflowSrcIfSrcIPaddressDstIfDstIPaddressPrSrcPDstPPktsEt2/0192.168.137.78Et3/0*192.168.10.67060041004139Et2/0172.19.216.196Et3/0*192.168.10.38060077007739Et0/0.110.56.78.128Et1/0.1172

168、.16.30.2310600B300B348Et0/0.110.10.18.1Et1/0.1172.16.30.112110043004347Et0/0.110.162.37.71Et1/0.1172.16.30.21806027C027C48Et0/0.1172.16.6.1Null224.0.0.911020802081Et0/0.110.231.159.251Et1/0.1172.16.10.20600DC00DC48Et2/010.234.53.1Et3/0*192.168.10.32060016001539Et2/010.210.211.213Et3/0*192.168.10.127

169、06006E006E38Et0/0.110.234.53.1Et1/0.1172.16.30.222010000000047Et0/0.110.90.34.193Et1/0.1172.16.10.2060016001548Et0/0.110.10.10.2Et1/0.1172.16.10.2060016001548NetflowNetflow监控监控Netflow监控监控R2(config-if)#doshipcacverboseflowIPpacketsizedistribution(13totalpackets):(包的大小)(包的大小)1-326496128160192224256288

170、320352384416448480.000.230.000.769.000.000.000.000.000.000.000.000.000.000.00051254457610241536204825603072358440964608.000.000.000.000.000.000.000.000.000.000.000IPFlowSwitchingCache,4027568bytes1active,60878inactive,5added71agerpolls,0flowallocfailuresActiveflowstimeoutin30minutesInactiveflowstime

171、outin15secondsIPSubFlowCache,270472bytes1active,16383inactive,3added,3addedtoflow0allocfailures,0forcefree1chunk,1chunkaddedlastclearingofstatisticsneverProtocolTotalFlowsPacketsBytesPacketsActive(Sec)Idle(Sec)-Flows/Sec/Flow/Pkt/Sec/Flow/FlowUDP-other20.01520.00.015.3ICMP20.051000.00.415.2Total:40.

172、03920.00.215.3SrcIfSrcIPaddressDstIfDstIPaddressPrSrcPDstPPktsSe1/13.3.3.3Se1/010.1.12.101000000005Se1/010.1.12.1Se1/13.3.3.301000008005接口接口源源ip目的接口目的接口目的目的ip优先级源端口目的端口优先级源端口目的端口DebugDebug分析分析慎用慎用debugdebug命令,及时关闭命令,及时关闭-no debug all-no debug allDebug icmpDebug icmpDebug arpDebug arpDebug ip packet

173、101Debug ip packet 101 access-list 101 permit ip host any host 1.1.1.1 access-list 101 permit ip host any host 1.1.1.1Logging buffer/monitor 7Logging buffer/monitor 7Terminal monitorTerminal monitorACLACL跟踪跟踪该访问控制列表根本没有过滤任何流量,所有条目均为许可。该访问控制列表根本没有过滤任何流量,所有条目均为许可。然而,由于它通过有效的方法对数据包进行了分类,因此该表然而,由于它通过有效的

174、方法对数据包进行了分类,因此该表可用于临时诊断三种类型的攻击:可用于临时诊断三种类型的攻击:smurfsmurf、SYNSYN泛洪和泛洪和fragglefraggle。 access-list 169 permit icmp any any echo access-list 169 permit icmp any any echo access-list 169 permit icmp any any echo-reply access-list 169 permit icmp any any echo-reply access-list 169 permit udp any any eq e

175、cho access-list 169 permit udp any any eq echo access-list 169 permit udp any eq echo any access-list 169 permit udp any eq echo any access-list 169 permit tcp any any established access-list 169 permit tcp any any established access-list 169 permit tcp any any access-list 169 permit tcp any any acc

176、ess-list 169 permit ip any any access-list 169 permit ip any any interface serial 0 interface serial 0 ip access-group 169 inip access-group 169 in如果发出如果发出show access-listshow access-list命令,我们将看到与以下内容相似的输出:命令,我们将看到与以下内容相似的输出: ACLACL跟踪跟踪Extended IP access list 169 Extended IP access list 169 permit i

177、cmp any any echo (2 matches) permit icmp any any echo (2 matches) permit icmp any any echo-reply (21374 matches) permit icmp any any echo-reply (21374 matches) permit udp any any eq echo permit udp any any eq echo permit udp any eq echo any permit udp any eq echo any permit tcp any any established (

178、150 matches) permit tcp any any established (150 matches) permit tcp any any (15 matches) permit tcp any any (15 matches) permit ip any any (45 matches)permit ip any any (45 matches)ACLACL跟踪跟踪显而易见,到达串行接口的大部分流量由显而易见,到达串行接口的大部分流量由ICMPICMP响应答复数据包组成。响应答复数据包组成。这可能是这可能是smurfsmurf攻击的迹象,我们的站点是最终目标,而并非反射者。攻击

179、的迹象,我们的站点是最终目标,而并非反射者。通过更改访问控制列表,我们能够收集到有关攻击的更多信息,通过更改访问控制列表,我们能够收集到有关攻击的更多信息,access-list 169 permit icmp any any echo-reply log-inputaccess-list 169 permit icmp any any echo-reply log-input将将log-inputlog-input关键词添加到与可疑流量匹配的访问控制列表条目中关键词添加到与可疑流量匹配的访问控制列表条目中这样可使路由器记录与访问控制列表条目匹配信息。这样可使路由器记录与访问控制列表条目匹配信

180、息。 假定配置了假定配置了logging bufferedlogging buffered,我们可以通过使用,我们可以通过使用show logshow log命令看命令看到产生的结果信息到产生的结果信息: :ACLACL跟踪跟踪%SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.142 (Serial0 *HDLC*) - 10.2.3.7 (0/0), 1 packet %SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.142 (Serial0 *HDLC*) - 10.2.3.

181、7 (0/0), 1 packet %SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.113 (Serial0 *HDLC*) - 10.2.3.7 (0/0), 1 packet %SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.113 (Serial0 *HDLC*) - 10.2.3.7 (0/0), 1 packet %SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.212.72 (Serial0 *HDLC*) - 1

182、0.2.3.7 (0/0), 1 packet %SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.212.72 (Serial0 *HDLC*) - 10.2.3.7 (0/0), 1 packet %SEC-6-IPACCESSLOGDP: list 169 denied icmp 172.16.132.154 (Serial0 *HDLC*) - 10.2.3.7 (0/0), 1 packet %SEC-6-IPACCESSLOGDP: list 169 denied icmp 172.16.132.154 (Serial0 *HDLC

183、*) - 10.2.3.7 (0/0), 1 packet %SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.15 (Serial0 *HDLC*) - 10.2.3.7 (0/0), 1 packet %SEC-6-IPACCESSLOGDP: list 169 denied icmp 192.168.45.15 (Serial0 *HDLC*) - 10.2.3.7 (0/0), 1 packet SnifferSniffer抓包抓包l对于交换机可以对端口做流量镜像对于交换机可以对端口做流量镜像 对该端口的各方向数据流进行抓包对该端

184、口的各方向数据流进行抓包Monitorsession1sourceintfaceFa0/1inputMonitorsession1destinationFa0/2l对于对于4500,6500,76004500,6500,7600交换机可以直接对进入交换机可以直接对进入cpucpu的流量的流量作镜像作镜像, ,更清晰的捕获进入更清晰的捕获进入cpucpu的异常流量的异常流量SnifferSniffer抓包抓包路由模块(路由模块(RPRP)上需要配置端口镜像,这里的源端口可以选一个不使用的状态为)上需要配置端口镜像,这里的源端口可以选一个不使用的状态为downdown的端的端口,目的端口为连接口,

185、目的端口为连接sniffersniffer软件的端口软件的端口Router(config)# monitor session 1 source interface fast3/3Router(config)# monitor session 1 source interface fast3/3Router(config)# monitor session 1 destination interface fast3/2Router(config)# monitor session 1 destination interface fast3/2切换到交换模块(切换到交换模块(SPSP)上)上Rou

186、ter#remote login swichRouter#remote login swich在交换模块上添加在交换模块上添加cpucpu流量到刚才定义的镜像中流量到刚才定义的镜像中Router-sp# test monitor session 1 add rp-inband rxRouter-sp# test monitor session 1 add rp-inband rx攻击方式以及防御方法攻击方式以及防御方法攻击方式以及防御攻击方式以及防御1.DoS和分布式和分布式DoS攻击攻击 2.简单勘查攻击简单勘查攻击 (ACL控制控制)局域网攻击局域网攻击1.MAC Flooding/MAC

187、 Spoofing攻击攻击2.Spanning Tree Protocol攻击攻击3.VLAN相关攻击相关攻击 (DTP,VTP,VLAN Hopping)4.DHCP攻击攻击5.ARP相关攻击相关攻击6.HSRP/VRRP相关攻击相关攻击攻击方式以及防御方法攻击方式以及防御方法DoS和分布式和分布式DoS攻击攻击TCP SYN洪水攻击洪水攻击TCP SYN洪水攻击是一种洪水攻击是一种DoS攻击类型,试图用攻击类型,试图用TCP连接请求来占连接请求来占用资源用资源 在这种情形中,黑客通常使用真实的或者欺骗的源在这种情形中,黑客通常使用真实的或者欺骗的源IP地址,在这种地址,在这种类型的攻击中,

188、黑客用类型的攻击中,黑客用TCP SYN报文洪水来攻击设备,而没有打算报文洪水来攻击设备,而没有打算完成这些连接完成这些连接 攻击方式以及防御方法攻击方式以及防御方法Smurf和和Fraggle攻击攻击Smurf是一种使用是一种使用ICMP回应回应(echo)的的Dos攻击,之所攻击,之所以使用以使用Smurf这个名称是因为最初黑客应用程序是这这个名称是因为最初黑客应用程序是这样称呼的样称呼的ACL控制控制1.访问表类型 - 概述1.1 标准IP访问表1.2 扩展的IP访问表1.3 IP访问表的表项注解1.4 命名的访问表2. Established 参数3.自反访问表4. 动态访问表5.基于

189、上下文的访问控制6. 基于时间的访问表7. TCP拦截ACL控制控制过滤定向广播过滤定向广播可以执行过滤在入口和出口可以执行过滤在入口和出口Router(config)# ip access-list extended smurf-fraggleRouter(config-ext-nacl)# deny icmp any any echoRouter(config-ext-nacl)# deny icmp any any echo-relpyRouter(config-ext-nacl)# deny udp any any eq echoRouter(config-ext-nacl)# den

190、y udp eq echo anyRouter(config-ext-nacl)# deny ip any anyRouter(config-ext-nacl)# exitRouter(config)# interface ethernet 1Router(config)# ip access-group smurf-fraggle inRouter(config)# ip access-group smurf-fraggle outACL控制控制访问表类型Cisco支持两种类型的访问表:标准访问表和扩展访问表标准的访问表只允许过滤源地址,且功能十分有限扩展的访问表允许过滤源地址、目的地址和上

191、层应用数据ACL作用:1.可以匹配流量做策略(QOS,协议再发布)2.简单的包过滤防火墙 ACL控制控制标准的访问表在cisco IOS12.0中,标准访问控制列表在199 和13001999范围内,可以在列表后加 log 关键字,匹配信息可以在控制台显示出来,其用法如下 access-list x deny | permit a.b.c.d wildcard_mask log 标准访问控制列表用于如下方式: 1 数据包过滤 2 路由过滤 3 为NAT或DDR等链路定义期望数据流 ACL控制控制扩展访问控制列表 扩展IP访问控制列表的范围为100199和20002699,通过如下命令配置 ac

192、cess-list 100-199 | 2000-2699 permit | deny protocol_type Source_address Source_address_wildcard destination_address destination_address_wildcard protocol specific options precedence precedencetos toslogestablishedACL控制控制IP访问表的表项注解从版本12.0开始,remark关键字用于标准的和扩展的I P访问表中。关键字remark放在单个访问表语句中的访问表号码之后,并在其后使

193、用注解或标记。带有remark的语句可以放在premit或deny语句的前面或后面来描述ACL控制控制命名的访问控制列表 Cisco IOS 11.2以后出现带命名的访问控制列表,配置方式如下 ip access-list standard | extended access_list_name 然后进入控制列表条目,输入方式如下,前者为标准访问控制列表使用,后者为扩展访问控制列表使用 permit | deny a.b.c.d wildcard_mask permit | deny protocol_type source_address source_address_wildcard de

194、stination_address destination_address_wildcard protocol specific options log ACL控制控制要求只能是由inside网络发起的到外部网络的基于TCP会话的流量可以出去,并且外部的响应流量可以进入由内部发起的ICMP,DNS流量可以出去由外部网络发起的TCP会话的流量不允许进入内部网络,其它流量可以进入ACL控制控制RA:!access-list 101 permit tcp any 192.168.10.0 0.0.0.255 establishedaccess-list 101 permit icmp any any

195、access-list 101 permit udp any any eq 53!int e0ip access-group 101 in!ACL控制控制自反访问表Reflexive-ACL:自反访问表与带established参数的访问表类似,只能是由内部网络发起的,外部网络的响应流量可以进入,由外部网络发起的流量如果没有明确的允许,是禁止进入的Reflexive-ACL的特点:1.当内部网络发起向外部网络的请求时,路由器将其传出,同时自动生成一个临时性的访问表,允许外部网络的响应流量回来 2.外部网络发起的流量无法进入内部网络3.只能基于命名的扩展访问控制列表 4.带established

196、参数的访问表只能基于TCP,而Reflexive-ACL可以基于所有IP协议5.当出站目标端口与入站源端口不匹配的流量,将会被deny,比如FTPACL控制控制 A B允许内部发起的HTTP,SMTP,ICMP流量可以出去,外部的响应流量可以回来其余的流量全部拒绝ACL控制控制RA:!ip access-list extended OUTBOUND permit tcp any any eq www reflect CISCOpermit tcp any any eq smtp reflect CISCOpermit icmp any any reflect CISCO!ip access-l

197、ist extended INBOUNDevaluate CISCO!int s0ip access-group OUBOUND outip access-group INBOUND in!ip reflexive-list timeout 300ACL控制控制动态访问表Dynamic-ACL:利用Dynamic-ACL可以在网络边界路由器上打开一个临时性的缺口,当外部网络的用记获得对内部网络的临时性访问,当访问时间到期,缺口关闭Dynamic-ACL的工作原理:1.用户telnet到内部网络的边界路由器2.边界路由器对用户进行认证3.如果认证成功,路由器创建一个临时性的访问条目,允许外部用户

198、对内部网络进行访问4.当时间到期,路由器切断连接,删除临时性访问条目ACL控制控制要求在正常情况下,outside网络不能访问inside网络,但是当有外部网络需要对内部网络进行临时性访问时,RA可以允许外部网络的主机在通过认证后,可以访问内部网络除HTTP,SMTP之外的任意流量最多访问时间为10分钟,当用户空闲3分钟后,挂断连接用户名为cisco,密码为ciscoACL控制控制RA:!username cisco password ciscousername cisco autocommand access-enable timeout 3 !access-list 101 permit

199、tcp any host 192.168.20.1 eq telnet access-list 101 dynamic TEST timeout 10 deny tcp any any eq http access-list 101 dynamic TEST timeout 10 deny tcp any any eq smtp access-list 101 dynamic TEST timeout 10 permit ip any any ! int s0 ip access-group 101 in ! line vty 0 4 login local !ACL控制控制基于上下文的访问控

200、制CBACCBAC可以基于application layer来过滤CBAC的工作原理:1.出站包到达端口2.访问表检测是否为合法流量3.CBAC基于protocol建立一个state table,基于state table建立一个临时性的访问表,允许外部的响应流量回来。包被转发4.当响应流量入站时,CBAC基于创建的临时性的访问表允许其进入内部网络,同时更新状态表5.流中的后继流量,基于新的状态表,进行转发6.其它的入站流量如果没有明确定义为允许进入,则被拒绝ACL控制控制 a)允许TCP,UDP,ICMP由内向外。b)允许外部到内部的ICMP和HTTP流量,由外向内。c)其它的流量拒绝ACL

201、控制控制RA:!access-list 101 permit tcp 192.168.10.0 0.0.0.255 anyaccess-list 101 permit udp 192.168.10.0 0.0.0.255 anyaccess-list 101 permit icmp 192.168.10.0 0.0.0.255 any!ip inspect name OUTBOUND tcpip inspect name OUTBOUND udp!int e0ip inspect OUTBOUND in (当内部网络流量到达E0出站时,CBAC基于TCP,UDP检测这些流量)ip access

202、-group 101 in (定义出站流量)!access-list 102 permit icmp any 192.168.10.0 0.0.0.255access-list 102 permit tcp any 192.168.10.0 0.0.0.255 eq http!int s0ip access-group 102 in (定义入站流量)!ACL控制控制基于时间的访问表利用基于时间的访问表,可以对流量基于时间进行过滤要求RA内部网络的主机从2009年5月1日到2009年10月1日这段时间内的每个周末8:00到18:00,都不能使用http,smtp.其余的任何时间都可以使用ACL控

203、制控制RA:!time-range ciscoabsolute start 8:00 1 may 2009 end 18:00 1 oct 2009periodic weekend 8:00 to 18:00!access-list 101 deny tcp any any eq http time-range ciscoaccess-list 101 deny tcp any any eq smtp time-range ciscoaccess-list 101 permit ip any any!int s0ip access-group 101 out! time-range只能作用于e

204、xtend-ACL,name extend-ACL. standard-ACL不能调用time-rangeACL控制控制TCP拦截TCP-InterceptTCP-Intercept有工作原理:当采用TCP-Intercept之后,当外部网络发起到内部网络的TCP连接时路由器上的拦截软件将会替代内部真实的主机与发起连接的外部网络主机之间试图建立TCP连接,如果连接成功,那么路由器再把这个连接传递给内部真实的主机。如果连接不成功,那么路由器会强制断开这个连接ACL控制控制RA:!access-list 101 permit tcp any 192.168.10.0 0.0.0.255!ip tc

205、p intercept mode interceptip tcp intercept list 101ip tcp intercept connection-timeout 3600 (缺省24小时)TCP-Intercept的验证:show tcp intercept connectionshow tcp intercept staticsACL控制控制简单勘查攻击简单勘查攻击ICMP-Spoofing(ICMP洪泛攻击洪泛攻击)ICMP洪泛攻击解决的方法:洪泛攻击解决的方法:最好的方法可以利用最好的方法可以利用CAR RA:!int s0rate-limit input access-gr

206、oup 101 64000 2000 2000 conform-action transmit exceed-action drop!access-list 101 permit icmp any any echoaccess-list 101 permit icmp any any echo-reply!show int s0 rate-limit局域网攻击Catalyst 3550 SecurityConfiguring Storm Control storm-control broadcast|multicast|unicast level level .level作用:作用:利用利用3

207、550的风暴控制功能,可以限制单播,组播,广播的的风暴控制功能,可以限制单播,组播,广播的流量流量对进入交换机的流量,在一分钟之内做一个采样,根据对进入交换机的流量,在一分钟之内做一个采样,根据level(最大最大100%,如果是如果是50就说明占用接口带宽的就说明占用接口带宽的50%)设置设置broadcast可以控制广播风暴可以控制广播风暴设置设置unicast,如果为如果为0,就相当于把接口就相当于把接口block掉掉 如果为如果为100,就相当于不限制就相当于不限制局域网攻击Catalyst 3550 SecurityConfiguring Protected Ports switch

208、port protected 作用作用:端口隔离端口隔离设置了设置了switchport protected命令的交换机端口之间是不通的命令的交换机端口之间是不通的,但是和没有设置这个命令的端口之间是通的但是和没有设置这个命令的端口之间是通的Protected 端口支持端口支持802.1Q中继线路中继线路局域网攻击Catalyst 3550 SecurityConfiguring Port Blocking switchport block multicast|unicast作用作用:在期望的端口上阻塞单播扩散,默认情况下,如果数据包具有未知的目在期望的端口上阻塞单播扩散,默认情况下,如果数据

209、包具有未知的目标标MAC地址,那么交换机将把它扩散到与接收端口的地址,那么交换机将把它扩散到与接收端口的VLAN相同的相同的VLAN中的所有端口,某些端口不需要扩散功能中的所有端口,某些端口不需要扩散功能通过使用单播扩散阻塞的特性,将可以避免在不必要的端口上转发单播通过使用单播扩散阻塞的特性,将可以避免在不必要的端口上转发单播(组播)流量(组播)流量 可以明确的在可以明确的在3550上阻止上阻止unicast,multicast流量的转发流量的转发对于已知目的对于已知目的MAC的的2层单播或组播包做限制层单播或组播包做限制 局域网攻击CAM overflow 1.MAC address和CAM

210、 table 局域网攻击CAM overflow 2.CAM 工作原理 1/3 局域网攻击CAM overflow 2.CAM 工作原理 2/3 局域网攻击CAM overflow 2.CAM 工作原理 3/3 局域网攻击CAM overflow 3. CA M overflow攻击原理 1/2 局域网攻击CAM overflow 3. CA M overflow攻击原理 2/2 局域网攻击在在6500系列交换机上的技术系列交换机上的技术:6K-1-720(config)# mac-address-table notification ?mac-moveEnable Mac Move Noti

211、fication6K-1-720(config)# mac-address-table notification mac-move ?局域网攻击 port-scurity1.有效阻止有效阻止MAC Flood和和MAC Spoof攻击攻击a.MAC Flood当特定接口设定的当特定接口设定的MAC table满的时候产生满的时候产生violationb.当一个当一个MAC地址在同一个地址在同一个VLAN里面的两个不同接口学到的时候产生里面的两个不同接口学到的时候产生violation2.Port Security的默认行为的默认行为a.所有的接口所有的接口Port Security功能是功能是

212、disable的的b.默认每一个接口最大默认每一个接口最大MAC地址容量为一个地址容量为一个c.默认默认violation是是shutdown 3.三种三种violation方式方式a.shutdown 使接口处于使接口处于errordisable状态状态,并且告警并且告警b.restrict 丢掉违规数据包丢掉违规数据包,并且告警并且告警c.protect 悄无声息的丢弃数据包悄无声息的丢弃数据包,没有告警产生没有告警产生 4.三种地址学习方式三种地址学习方式a.自动学习自动学习 (默认默认)b.手动指派手动指派 switchport port-security mac-address 00

213、01.0345.ac8bc.Sticky switchport port-security mac-address sticky 0001.0345.ac8b 5.查看查看Port Security的的CPU利用率利用率show process cpu | in Port-S局域网攻击CAM overflow 4.CAM overflow 解决办法 命令:switchport port-scurity switchport port-security max switchport mac-address switchport violation switchport port-security

214、 aging time 局域网攻击Configuring Port Security switchport mode access switchport port-security switchport port-security maximum value switchport port-security mac-address mac-address switchport port-security violation protect|restrict|shutdown switchport port-security aging static time time type absolut

215、e|inactivity局域网攻击VLAN “Hopping” Attacks 1.Trunk Port 工作原理 局域网攻击VLAN “Hopping” Attacks 2.Dynamic Trunk Protocol (DTP) 局域网攻击VLAN “Hopping” Attacks 3.Basic VLAN Hopping Attack 局域网攻击VLAN “Hopping” Attacks 4.Double Tagged 802.1q VLAN Hopping Attack 局域网攻击VLAN “Hopping” Attacks 5.Double Tagged 802.1Q Ether

216、eal Capture 局域网攻击VLAN “Hopping” Attacks 6.Disabling Auto-Trunking 命令: switchport mode access switchport nonegotiate局域网攻击VLAN “Hopping” Attacks 7.VLAN 和 Trunking的安全实施 局域网攻击DHCP Spoof AttacksAttacker activates DHCP server on VLAN.Attacker replies to valid client DHCP requests.Attacker assigns IP confi

217、guration information that establishes rogue device as client default gateway.Attacker establishes “man-in-the-middle” attack.局域网攻击DHCP SnoopingDHCPsnoopingallowstheconfigurationofportsastrustedoruntrusted.UntrustedportscannotprocessDHCPreplies.ConfigureDHCPsnoopingonuplinkstoaDHCPserver.Donotconfigu

218、reDHCPsnoopingonclientports.Securing Against DHCP Snooping AttacksSwitch(config)#ipdhcpsnoopinglimitraterateEnablesDHCPOption82datainsertionSwitch(config)#ipdhcpsnoopinginformationoptionNumberofpacketspersecondacceptedonaportEnablesDHCPsnoopinggloballySwitch(config)#ipdhcpsnoopingSwitch(config-if)#i

219、pdhcpsnoopingtrustConfiguresatrustedinterfaceSwitch(config)#ipdhcpsnoopingvlannumbernumberEnablesDHCPsnoopingonyourVLANsVerifying DHCP SnoopingVerifiestheDHCPsnoopingconfigurationSwitch#showipdhcpsnoopingSwitch#showipdhcpsnoopingSwitchDHCPsnoopingisenabledDHCPSnoopingisconfiguredonthefollowingVLANs:

220、1030-40100200-220Insertionofoption82informationisenabled.InterfaceTrustedRatelimit(pps)-FastEthernet2/1yesnoneFastEthernet2/2yesnoneFastEthernet3/1no20Switch#IPsourceguardisconfiguredonuntrustedL2interfacesIP Source GuardConfiguring IP Source Guard on a SwitchEnablesDHCPsnoopingonaspecificVLANSwitch

221、(config)#ipdhcpsnoopingvlannumber numberEnablesDHCPsnoopinggloballySwitch(config)#ipdhcpsnoopingSwitch(config-if)#ipverifysourcevlandhcp-snoopingport-securityEnablesIPSourceGuard,sourceIP,andsourceMACaddressfilteronaport局域网攻击ARP SpoofingDAIassociateseachinterfacewithatrustedstateoranuntrustedstate.T

222、rustedinterfacesbypassallDAI.UntrustedinterfacesundergoDAIvalidation.Dynamic ARP InspectionSwitch(config)#iparpinspectionvlanvlan_id,vlan_idEnablesDAIonaVLANorrangeofVLANsSwitch(config-if)#iparpinspectiontrustEnablesDAIonaninterfaceandsetstheinterfaceasatrustedinterfaceSwitch(config-if)#iparpinspect

223、ionvalidatesrc-mac dst-macipConfiguresDAItodropARPpacketswhentheIPaddressesareinvalidConfiguring DAIProtection from ARP SpoofingConfigure to protect against rogue DHCP servers.Configure for dynamic ARP inspection.局域网攻击 可关闭的技术Disabling HSRP and VRRPIOS(config)#ip access-list extended HEITHER_VRRP_NOR

224、_HSRPIOS(config-ext-nacl)#remark Specific to VRRPIOS(config-ext-nacl)#permit 112 host 10.10.100.1 host 224.0.0.18IOS(config-ext-nacl)#permit 112 host 10.10.100.2 host 224.0.0.18IOS(config-ext-nacl)#deny 112 any anyIOS(config-ext-nacl)#remark Specific to HSRPIOS(config-ext-nacl)#permit udp host 10.10

225、.100.1 host 224.0.0.2 eq 1985IOS(config-ext-nacl)#permit udp host 10.10.100.2 host 224.0.0.2 eq 1985IOS(config-ext-nacl)#deny udp any any eq 1985IOS(config-ext-nacl)#permit ip any anyIOS(config-ext-nacl)#exitIOS(config)#interface vlan 100IOS(config-if)#ip access-group NEITHER_VRRP_NOR_HSRP inIOS(con

226、fig-if)#exit局域网攻击 可关闭的技术通过通过ACL控制除了控制除了DHCP外的广播和组播外的广播和组播IOS(config)#ip access-list extended NO_BROADCASTIOS(config-ext-nacl)#remark Drop all broadcast packets except DHCPIOS(config-ext-nacl)#permit udp any host 255.255.255.255 eq bootpsIOS(config-ext-nacl)#deny ip any host 255.255.255.255IOS(config

227、-ext-nacl)#deny ip any 0.0.0.255 255.255.255.0IOS(config-ext-nacl)#permit ip any anyIOS(config-ext-nacl)#exit局域网攻击 可关闭的技术通过通过ACL拒绝拒绝OSPFIOS(config)#ip access-list extended NO_OSPFIOS(config-ext-nacl)#deny ip any host 224.0.0.5IOS(config-ext-nacl)#deny ip any host 224.0.0.6IOS(config-ext-nacl)#permit

228、 ip any anyIOS(config-ext-nacl)#exit局域网攻击 可关闭的技术通过通过MACACL拒绝二层协议拒绝二层协议IOS(config)#mac access-list extended CONTROL_PROTOCOLS_ACLIOS(config-ext-nacl)#permit any host 0100.0ccc.cccc 0104 0 (PAgP)IOS(config-ext-nacl)#permit any host 0100.0ccc.cccc 2000 0 (CDP)IOS(config-ext-nacl)#permit any host 0100.0

229、ccc.cccc 2003 0 (VTP)IOS(config-ext-nacl)#permit any host 0100.0ccc.cccc 2004 0 (DTP)IOS(config-ext-nacl)#permit any host 0180.c200.0002 8809 0 (LACP)IOS(config-ext-nacl)#exitIOS(config)#vlan access-map CONTROL_PROTOCOLS_MAP 10IOS(config-access-map)#match mac address CONTROL_PROTOCOLS_ACLIOS(config-

230、access-map)#action dropIOS(config-access-map)#exit常见网管应用方式常见网管应用方式IP AccountingDHCPNTPSNMPNATIP Accounting config)#ip accounting-threshold 350config-if)#ip accounting output-packets (对通过路由器流出的流量进行计帐,对通过路由器流入的流量和路由器自身产生的流量不能计账)验证: #sh ip accounting #clear ip accountingDHCPConfig t service dhcpno ip d

231、hcp conflict loggingip dhcp excluded-address 135.7.56.1ip dhcp excluded-address 135.7.56.5 ip dhcp exculded-address 135.7.56.10 135.7.56.20 ip dhcp pool ABCnetwork 135.7.56.0 255.255.255.0default-router 135.7.56.1.dns-server 150.100.1.50 150.100.1.51domain-name lease infinite 验证:show ip dhcp server

232、statiNetwork Time Protocolr1:ntp serverConfig t clock timezone bjt 8(时区要在时钟之前设置。时区要在时钟之前设置。 NTP只同步时钟,不同步时区。因此需在所有的路由器上设置时区只同步时钟,不同步时区。因此需在所有的路由器上设置时区) clock set 12:00:00 sep 10 2004 ntp master 5 ntp source loopback0 ntp authenticate ntp authentication-key 1 md5 ciscor2:ntp peer(client)Config t clock

233、 timezone bjt -8 ntp server 133.1.1.1 key 1 ntp authenticate ntp authentication-key 1 md5 cisco ntp trusted-key 1验证:验证: show ntp status show ntp associations配置基本SNMP 在在R5R5上配置上配置SNMPSNMP,给定,给定150.100.100.100 150.100.100.100 是是SNMPserverSNMPserver,由于安全的原因只允许这,由于安全的原因只允许这台服务器对台服务器对R5 R5 进行进行SNMP SNMP

234、操作,通信字符串是操作,通信字符串是“CiscoWorksCiscoWorks”要求有读写权限。要求有读写权限。R5 R5 只发送只发送BGP trap,BGP trap,允许网管主机对允许网管主机对R5 R5 进行重启操作。发送进行重启操作。发送trap trap 时要带着通信字符时要带着通信字符串一起发送。串一起发送。 Config tConfig t access-list 20 permit 150.100.100.100 access-list 20 permit 150.100.100.100 snmp-server community CiscoWorks rw 20 snmp-

235、server community CiscoWorks rw 20 (建立与(建立与SNMP-magangerSNMP-maganger之间的通信)之间的通信) snmp-server enable traps bgp snmp-server enable traps bgp (发送哪些信息)(发送哪些信息) snmp-server host 150.100.100.100 traps CiscoWorks bgp (snmp-server host 150.100.100.100 traps CiscoWorks bgp (发送给谁发送给谁) ) snmp-server system-shu

236、tdown snmp-server system-shutdown ( (允许允许reloadreload操作操作) )验证:验证:show snmp SNMP agent 向向SNMP Server发送的消息类型发送的消息类型: trap(不需要确认不需要确认)/ information request,information response(需要确认)(需要确认)/ snmp agent/snmp manager/NAT在在R1R1上设置上设置 NATNAT将将142.3.0.0142.3.0.0的地址翻译为的地址翻译为3.0.0.0/24,3.0.0.0/24,其中其中3.0.0.13

237、.0.0.1的地址已经是的地址已经是lo0lo0的的second address,second address,所有的所有的routerrouter可以可以ping ping 150.1.100.254150.1.100.254这个地址。这个地址。 config tconfig tint loop0 int loop0 ip add 3.0.0.1 255.255.255.0 secondary ip add 3.0.0.1 255.255.255.0 secondary int s0 int s0 ip nat inside ip nat inside int s1 int s1 ip na

238、t inside ip nat inside int e0 int e0 ip nat outside ip nat outside ip nat pool pool-1 3.0.0.2 3.0.0.254 prefix 24 ip nat pool pool-1 3.0.0.2 3.0.0.254 prefix 24 ip nat inside source list 5 pool pool-1 ip nat inside source list 5 pool pool-1 access-list 5 permit 142.3.0.0 0.0.255.255 access-list 5 permit 142.3.0.0 0.0.255.255 八八. 设备性能参数设备性能参数发光端口参数发光端口参数GBIC光模块光模块发光端口参数发光端口参数SFP光模块谢谢 谢谢

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号