无线信号一搜即到,无线网络一连即上,这是很多安全隐患的根源,没有一定的保护措施,无线网络犹如毫无遮挡在市井裸奔,所以在无线网络中隐藏电脑和无线路由器非常重要。想深度潜水,请看无线网络隐藏终极大法。
在无线网络中隐藏电脑
要在无线网络中隐藏自己的电脑,方法有很多,例如单击“开始/运行”,然后输入“cmd”开启命令提示符窗口,在该窗口中输入“net config server /hidden:yes”,或者在无线网络连接的属性窗口中,取消“Microsoft网络的文件和打印机共享”,这样其他人通过网上邻居就无法找到自己的电脑了。
为了防止电脑的IP地址泄漏,可以启动无线网络连接的防火墙功能,并在防火墙属性的“高级”标签中设置ICMP,将所有传入和传出请求都禁止,这样别人就无法用ping.exe来判断自己的电脑是否在线了。
WinXP默认自动管理无线网络,实际上只有需要访问无线网络资源时,才有必要让系统自动连接到无线网络,所以在平时可以取消“用indows配置我的无线网络设置”选项,这不但安全,而且更加节省了资源。或者点击“高级”按钮,取消“自动连接到非首选的网络”,这样系统不会轻易连接到以前没有检测到的无线网络。
让无线路由器隐身却可访问
要在空气中隐藏无线路由器最直接的方法是让它停止SSID广播,SSID广播功能将无线路由器所创建的无线网络让客户端可以搜索到,这虽然方便了用户接入无线网络,但是也方便了非法接入,所以在需要安全的场合,比如公司网络,最好将它禁止。
这样一来,用WinXP或无线网卡自带程序就无法像平常一样搜寻到该无线路由器创建的无线网络,要访问它就只能手动添加首选网络并指定SSID名称。
隐藏SSID广播却无法对付NetStumber,它还是可以检测到隐藏的无线网络,所以必须再利用无线路由器本身的一些功能,包括了停止DHCP服务并且修改LAN口的默认IP地址,由于无线网络的SSID采用广播方式向外发散,即使无线网络被检测到,如果入侵者没有获得或配置与无线路由器同网段的IP地址,还是无法连接到无线路由器的,这也是TCP/IP网络连通讯的先决条件,即同个网络间设备的IP地址必须在同一网段。
分类 : 技术文摘 | 发表时间 12-06-2006
路由知识总结
2006-4-25 制作人:万毅
LAN的设计目标:
运行在有限的地理区域
允许网络设备同时访问高带宽的介质;
通过局部管理控制网络的权限;
提供全时的局部服务;
连接物理上相邻的设备。
WAN交换模式
&O1548;WAN的设计目标:
运行在广阔的地理区域;通过低速串行链路进行访问;网络控制服从公共服务的规则;提供全时的或部分时间的连接;连接物理上分离的、遥远的、甚至全球的设备。
&O1548;电路交换:基于电话网的电路交换
优点:时延小、透明传输;
缺点:带宽固定,网络资源利用率低。
&O1548;分组交换:以分组为单位存储转发
优点:多路复用,网络资源利用率高;
缺点:实时性差。
物理层:定义电压、接口、线缆标准、传输距离等。
数据链路层分为2个子层:LLC子层和MAC子层。
&O1548;数据链路层的功能:
物理地址定义&O1472;网络拓扑结构&O1472;链路参数&O1472;差错验证&O1472;物理介质访问&O1472;流控制(可选)
&O1548;WAN数据链路层标准:HDLC&O1472;PPP&O1472;ISDN&O1472;X.25&O1472;Frame Relay
&O1548;WAN数据链路层设备:Modem、ISDN终端适配器&O1472;CSU/DSU、广域网交换机
传输层功能:分段上层数据;建立端到端连接;将数据从一端主机传送到另一端主机。
传输层协议:主要有TCP/IP协议栈的TCP协议和UDP协议,IPX/SPX协议栈的SPX协议等。
WAN接口与线缆
&O1548;窄带广域网
&O1672;PSTN:Public Switched Telephone Network,公共交换电话网
&O1672;ISDN:Integrated Services Digital Network,综合业务数字网
&O1672;DDN:Digital Data Network,数字数据网
&O1672;帧中继:Frame Relay
&O1672;X.25:公用分组交换网
&O1548;宽带广域网
&O1672; ATM:异步传输模式
&O1672; SDH:同步数字系列
异步串口
&O1672;两种异步串口:异步串口分为设置成异步方式的同/异步串口和专用异步串口
&O1672;异步串口可以设为专线方式和拨号方式,常用的是拨号方式
同步串口
&O1672;可以工作在DTE和DCE两种方式
&O1672;可以外接多种类型电缆
&O1672;支持多种链路层协议
&O1672;支持IP和IPX网络层协议
常见局域网类型
以太网( Ethernet )
令牌总线网( Token Bus )
令牌环网( Token Ring )
FDDI
以太网的类型
10M 以太网(标准以太网)
&O1548;10Base-T 3类4类&O1548;5类&O1548;超5类&O1548;6类
&O1672;目前使用最广泛的局域网标准之一
&O1672;使用双绞线作为物理传输介质
10Base5
&O1672;曾经广泛应用于主干局域网
&O1672;使用粗同轴电缆作为物理传输介质
&O1548;10Base2
&O1672;使用细同轴电缆作为物理传输介质
100M 以太网(快速以太网)
&O1548;100Base-TX
&O1672;物理介质采用5类以上双绞线
&O1672;网段长度最多100米
&O1548;100Base-FX
&O1672;物理介质采用单模光纤,网段长度可达10公里
&O1672;物理介质采用多模光纤,网段长度最多2000米
&O1548;快速以太网由IEEE 802.3u标准定义
1000M 以太网(千兆以太网)
&O1548;1000Base-T
&O1672;物理介质采用5类以上双绞线,网段长度最多100米
&O1548;1000Base-F
&O1672;物理介质采用多模光纤,网段长度最多500米
&O1548;IEEE 802.3z和802.3ab
路由器的作用
&O1548;路由器的核心作用是实现网络互连&O1548;分组数据转发&O1672;路由(寻径),路由表建立、刷新、查找
&O1672;子网间的速率适配,&O1672;隔离网络,防止网络风暴,指定访问规则(防火墙),异种网络互连
路由指在Internet上将信息从源主机发送到目标主机的过程。分为直接递交/间接递交
距离矢量协议 定期将路由表复制给相邻的路由器并且进行矢量堆加。
链路状态协议 传递最佳的路径信息给其它的路由器。
如何解决路由环路
1 定义最大跳数
2 水平分割
3 路由中毒
4 病毒反转
5 抑制时间
6 触发更新
各个路由协议的管理距离(AD):
1.直接相连:0
2.静态路由:1
3.EIGRP 汇总路由(summary route):5
4.外部BGP:20
5.内部EIGRP:90
6:IGRP:100
7.OSPF:110
8.IS-IS:115
9.RIP(v1,v2):120
10.外部EIGRP:170
11.内部BGP:200
未知:255(最大值)
同种设备用交叉线 , 异种设备用直连线,,Router/PC可以看作同种设备,,Switch/Hub可以看作同种设备。
路由查找方法
有类(classful)路由查找方法:先查主网络地址,再查子网地址,如果不匹配就丢弃。
注:RIPv1 IGRP(有类)可以通过 ip classless 来更改。
无类(classless)路由查找方法:直接查找已知路由之间执行一位一位( bit-by-bit)的最佳匹配。也即最大公有位
自制系统/Autonomous System:
一组使用相同路由协议交换路由信息的路由器,缩写为AS。
内部网关协议/Interior Gateway Protocol:
被一个AS内的路由器所使用的路由协议,缩写为IGP。每个AS使用单一的IGP,不同的AS会使用不同的IGP。
点对点网络/Point-to-point networks:
仅仅连接一对路由器的网络。56k的串行线路是一个点对点网络的例子。
广播网络/Broadcast networks:
支持多台(大于两台)路由器接入的网络,同时有能力发送一条信息就能到所有接入的路由器(广播)。
非广播网络/Non-broadcast networks:
支持多台(大于两台)路由器接入的网络,但没有广播能力。在非广播网络上运行的OSPF有两种模式。第一种被称为非广播多路接入/non-broadcast multi-access(NBMA),模拟OSPF在广播网络上的操作;第二种被称为点对多点/Point-to-Multipoint,将非广播网络看作是一系列点对点的连接。非广播网络被作为NBMA网络还是点对多点网络,取决于OSPF在该网络上所配置的运行模式。
接口/Interface:
是指路由器与所接入的网络之间的一个连接。接口通过下层协议和路由协议获取与其相关的状态信息。指向网络的接口只和单一的IP地址及掩码相关(除非是无编号的点对点网络)。接口有时也被称为连接/link。
AS 分类:路由选择域 Routing Domain一组进程域的集合。
进程域 Process Domain一组使用相同路由协议的路由器。
IGP环境内可以有多个PD,可以把域内通信隔离然后通过EGP协议通信..
路由器分类:
1 内部路由 Interior Route
(主干到达分支的路径)
2 系统路由 System Route
(边界上被汇总的地址路径)
3 外部路由 Exterior Route
(缺省路由,不查找目的网络)
注:把缺省路由归于外部路由是IGRP和EIGRP独有的
RIP 和OSFP是用0.0.0.0 通告
AS之间使用 外部路由
AS内 同一网络使用 内部路由
AS内 不同网络使用 系统路由
路由器基本命令
设置命令
分类 : 技术文摘 | 发表时间 11-06-2006
最近Cisco已经公布CCNA 640-801考试大纲,该考试已经在6月30日生效。然而,目前参加640-801考试的考生偏少,为了给广大考生提供复习方便,ChinaITLab工作人员根据最新考试大纲以及ICDN2.1教材,为您收集全套CCNA IOS配置命令,希望对您的学习考试有所帮助!
? 给出一个帮助屏幕
0.0.0.0 255.255.255.255 通配符命令;作用与any命令相同
access-class 将标准的IP访问列表应用到VTY线路
access-list 创建-个过滤网络的测试列表
any 指定任何主机或任何网络;作用与0.0.0.0 255.255.255.255命令相同
Backspace 删除一个字符
Bandwidth 设置–个串行接口止的带宽
Banner 为登录到本路由器上的用户创建–个标志区
cdp enable 打开-个特定接口的CDP
cdp holdtime 修改CDP分组的保持时间
cdp run 打开路由器上的CDP
cdp timer 修改CDP更新定时器
clear counters 清除某一接口上的统计信息、
clear line 清除通过Telnet连接到路由器的连接
clear mac-address-table 清除该交换机动态创建的过滤表
clock rate 提供在串行DCE接口上的时钟
config memory 复制startup-config到running-config
config network 复制保存在TFTP主机上的配置到running-config
config terminal 进人全局配置模式并修改running-config
config-register 告诉路由器如何启动以及如何修改配置寄存器的设置
copy flash tftp 将文件从闪存复制到TFTP主机
copy run start copy running-config startup-config的快捷方式,将配置复制到NVRAM中
copy run tftp 将running-config文件复制到TFTP主机
Copy tftp flash 将文件从TFTP主机复制到闪存
Copy tftp run 将配置从TFTP主机复制为running-config文件
Ctrl+A 移动光标到本行的开始位置
Ctrl+D 删除一个字符
Ctrl+E 移动光标到本行的末尾
Ctrl+F 光标向前移动一个字符
Ctrl+R 重新显示一行,
Ctrl+Shitf+6,then X 当telnet到多个路由器时返回到原路由器
Ctrl+U 删除一行
Ctrl+W 删除一个字
CTRL+Z 结束配置模式并返回EXEC(执行状态)
debug dialer 显示呼叫建立和结束的过程
debug frame-relay lmi 显示在路由器和帧中继交换机之间的lmi交换信息
debug ip igrp events 提供在网络中运行的IGRP路由选择信息的概要
debug ip igrp transactions 显示来自相邻路由器要求更新的请求消息和由路由器发到相邻路由器的广播消息
debug ip rip 发送控制台消息显示有关在路由器接口上收发RIP数据包的信息
debug ipx 显示通过路由器的RIP和SAP信息
debug isdn q921 显示第层进程
debug isdn q931 显示第三层进程
delete nvram 删除1900交换机-NVRAM的内容
delete vip 删除交换机的VTP配置
description 在接口上设置—个描述
dialer idle-timeout number 告诉BRI线路如果没有发现触发DDR的流量什么时候断
开
dialer list number protocol 为DDR链路指定触发DDR的流量
protocol permit/deny
dialer load-threshold number 设置描述什么时候在ISDN链路上启闭第二个BRI的参数
inbound/outbound/either
Dialer map protocol address 代替拨号串用于作ISDN网络中提供更好的安全性
name hostname number
dialer string 设置用于拨叫BRl接口的电话号码
disable 从特权模式返回用户模式
disconnect 从原路由器断开同远楞路由豁的连接
dupler 设置一个接口的双工
enable 进入特权模式
enable password 设置不加密的启朋口令
enable password level 1 设置用户模式口令
enable password level 15 设置启用模式口令
enable secret 设置加密的启用秘密口令。如果设置则取代启用口令
encapsulation 在接口上设置帧类型
encapsulation frame-relay 修改帧中继串行链路上的封装类型
encapsulation frame-relay 将封装类型设置为因特网工程任务组 (IETF,Internet
Enginering Task Force)类型。连接Cisco路由器和非
Cisco路由器
encapuslation hdlc 恢复串行路由器的默认封装HDLC
encapuslation isl 2 为VLAN 2设置ISL路由
encapuslation ppp 将串行链路上的封装修改为PPP
erase starup 删除startup-config
erase starup-config 删除路由器上的NVRAM的内容
Esc?B 向后移动一个宇
Esc?F 向前移动一个宇
exec-timeout 为控制台连接设置以秒或分钟汁的超时
exit 断开远程路由器的Teln讨连接
frame-relay interface-dlci 在串行链路或子接口上配置PVC地址
frame-relay lmi-type 在串行链路上配置LMI类型
frame-relay map protocl 创建用于帧中继网络的静态映射
address
Host 指定一个主机地址
Hostname 设置一台路由器或交换机的名字
int e0.10 创建一个子接口
int f0/0.1 创建一个子接口
interface 进人接口配置模式,也可以使用show命令
interface e0/5 配置Ethernet接口5
interface ethernet 0/1 配置接口e0/1
interface f0/26 配置Fast Ethernet接口26
interface fastehernet 进人Fast Ethernet端口的接口配置模式,也可以使用
0/0 show命令
interface fastethernet 创建一个子接口
0/0.1
interface fastethernet0/26 配置接口f0/26
interface s0.16 multipoint 在串行链路上创建用于帧中继网络的多点子接口
interface s0.16 point-to-point 在串行链路上创建用于帧中继网络的点对点子接口 interface serial 5 进人接口serial 5的配置模式,也可以使用show命令
ip access-group 将IP访问列表应用到一个接口
ip address 设置一个接口或交换机IP地址
ip classless 一个全局配置命令,用于告诉路由器当目的网络没
有出现在路由表中时通过默认路由转发数据包
ip default-gateway 设置该交换机的默认网关
ip domain-lookup 打开DNS查找功能 (默认时打开)
ip domain-name 将域名添加到DNS查找名单中
ip host 在路由器上创建主机表
ip name-server 最多设置6个DNS服务器的IP地址
Ip route 在路由器上创建静态和默认路由
ipx access-group 将IPX访问列表应用到一个接口
ipx input-sap-filter 将输入型IPX SAP过滤器应用到一个接口
ipx network 为接口分配吧X网络号
ipx output-sap-filter 将输出型IPX SAP过滤器应用到一个接口
ipx ping 用于测试互联网络上IPX包的因特网探测器
ipx routing 打开IPX路由
isdn spidl 为ISDN交换机设置标识第一个DSO的号码
isdn spid2 为ISDN交换机设置标识第二个DSO的号码
isdn switch-type 设置路由器与之通信的ISDN交换类型。可以往接口模
式和全局配置模式下设置
K 用在1900交换机启动时并将该交换机置于CLI模式
Line 进入配置模式以修改和设置用户模式口令
line aux 进人辅助接口
分类 : 技术文摘 | 发表时间 10-06-2006
一、基本设置方式
一般来说,可以用5种方式来设置Cisco思科路由器:
1.Console口接终端或运行终端仿真软件的微机;
2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;
3.通过Ethernet上的TFTP服务器;
4.通过Ethernet上的TELNET程序;
5.通过Ethernet上的SNMP网管工作站。
但Cisco思科路由器的第一次设置必须通过第一种方式进行,一般用超级终端通过com口进行控制。此时终端的硬件设置如下:
波特率 :9600
数据位 :8
停止位 :1
奇偶校验: 无
二、命令操作
Cisco思科路由器所用的操作系统是IOS.共有以下几种状态:
1、router>
在router>提示符下,Cisco思科路由器处于用户命令状态,这时用户可以看Cisco思科路由器的连接状态,访问其它网络和主机,但不能看到和更改Cisco思科路由器的设置内容。此时输入?并回车,可以查看到在此状态下可以用的命令。(IOS允许你在任何时候用这种方式查看在某种状态下可以用的命令)。在敲入enable并回车后,按照系统提示输入密码,(在新的Cisco思科路由器第一次进行调试的时候不需要输入密码,直接回车即可)进入#提示符,就可以对Cisco思科路由器进行各种操作了。
2、router#
Cisco思科路由器进入特权命令状态router#后,不但可以执行所有的用户命令,还可以看到和更改Cisco思科路由器的设置内容。此时就可以对Cisco思科路由器的名字、密码等进行设置。
3、router(config)#
在router#提示符下键入configure terminal,出现提示符router(config)#,此时Cisco思科路由器处于全局设置状态,这时可以设置Cisco思科路由器的全局参数。
4、router(config-if)#;
router(config-line)#;
router(config-router)#;…
Cisco思科路由器处于局部设置状态,这时可以设置Cisco思科路由器某个局部的参数。
5、Cisco思科路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时Cisco思科路由器不能完成正常的功能,只能进行软件升级和手工引导。在此状态下,可以进行口令恢复。
三、常用命令
1.帮助
在IOS操作中,无论任何状态和位置,都可以键入“?”得到系统的帮助。系统会显示此时可以使用的命令。
2.改变命令状态
任务命令
进入特权命令状态enable
退出特权命令状态disable
进入设置对话状态Setup
进入全局设置状态config terminal
退出全局设置状态End
进入端口设置状态interface type slot/number
进入子端口设置状态interface type number.subinterface [point-to-point | multipoint]
进入线路设置状态line type slot/number
进入路由设置状态router protocol
退出局部设置状态Exit
3.显示命令
任务命令
查看版本及引导信息show version
查看运行设置show running-config
查看开机设置show startup-config
显示端口信息show interface type slot/number
显示路由信息show ip router
4.拷贝命令
用于IOS及CONFIG的备份和升级
5.网络命令
任务命令
登录远程主机telnet hostname|IP address
网络侦测ping hostname|IP address
路由跟踪Trace hostname|IP address
6.基本设置命令
任务命令
全局设置config terminal
设置访问用户及密码username username password password
设置特权密码enable secret password
设置Cisco思科路由器名hostname name
设置静态路由ip route destination subnet-mask next-hop
启动IP路由ip routing
启动IPX路由Ipx routing
端口设置interface type slot/number
设置IP地址ip address address subnet-mask
设置IPX网络Ipx network network
激活端口no shutdown
物理线路设置line type number
启动登录进程login [local|tacacs server]
设置登录密码password password
四、总体设置
在router#特权命令状态下,可以用setup对Cisco思科路由器进行总体设计,利用这个设计过程可以省略手工设置的烦琐。但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。
进入设置对话过程后,Cisco思科路由器首先会显示一些提示信息:
— System Configuration Dialog —
At any point you may enter a question mark ‘?’ for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets ‘[]‘.
这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助,按ctrl-c可以退出设置过程,缺省设置将显示在‘[]’中。然后Cisco思科路由器会问是否进入设置对话:
Would you like to enter the initial configuration dialog? [yes]:
如果按y或回车,Cisco思科路由器就会进入设置对话过程。首先你可以看到各端口当前的状况:
First, would you like to see the current interface summary? [yes]:
Any interface listed with OK? value “NO” does not have a valid configuration
InterfaceIP-AddressOK?MethodStatusProtocol
Ethernet0unassignedNOunsetupup
Serial0unassignedNOunsetupup
……………………………
然后,Cisco思科路由器就开始全局参数的设置:
Configuring global parameters:
1.设置Cisco思科路由器名:
Enter host name [Router]:
2.设置进入特权状态的密文(secret),此密文在设置以后不会以明文方式显示:
The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret: cisco
3.设置进入特权状态的密码(password),此密码只在没有密文时起作用,并且在设置以后会以明文方式显示:
The enable password is used when there is no enable secret
and when using older software and some boot images.
Enter enable password: pass
4.设置虚拟终端访问时的密码:
Enter virtual terminal password: cisco
5.询问是否要设置Cisco思科路由器支持的各种网络协议:
Configure SNMP Network Management? [yes]:
Configure DECnet? [no]:
Configure AppleTalk? [no]:
Configure IPX? [no]:
Configure IP? [yes]:
Configure IGRP routing? [yes]:
Configure RIP routing? [no]:
………
6.如果配置的是拨号访问服务器,系统还会设置异步口的参数:
Configure Async lines? [yes]:]
1)设置线路的最高速度:
Async line speed [9600]:
2)是否使用硬件流控:
Configure for HW flow control? [yes]:
3)是否设置modem:
Configure for modems? [yes/no]: yes
4)是否使用默认的modem命令:
Configure for default chat script? [yes]:
5)是否设置异步口的PPP参数:
Configure for Dial-in IP SLIP/PPP access? [no]: yes
6)是否使用动态IP地址:
Configure for Dynamic IP addresses? [yes]:
7)是否使用缺省IP地址:
Configure Default IP addresses? [no]: yes
是否使用TCP头压缩:
Configure for TCP Header Compression? [yes]:
9)是否在异步口上使用路由表更新:
Configure for routing updates on async links? [no]: y
10)是否设置异步口上的其它协议。接下来,系统会对每个接口进行参数的设置。
1.Configuring interface Ethernet0:
1)是否使用此接口:
Is this interface in use? [yes]:
2)是否设置此接口的IP参数:
Configure IP on this interface? [yes]:
3)设置接口的IP地址:
IP address for this interface: 192.168.162.2
4)设置接口的IP子网掩码:
Number of bits in subnet field [0]:
Class C network is 192.168.162.0, 0 subnet bits; mask is /24
在设置完所有接口的参数后,系统会把整个设置对话过程的结果显示出来:
The following configuration comm
and script was created:
hostname Router
enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1
enable password pass
…………
请注意在enable secret后面显示的是乱码,而enable password后面显示的是设置的内容。就是说,secret密码的优先级比较高,在两个密码都设了的情况下,secret密码起作用。
显示结束后,系统会问是否使用这个设置:
Use this configuration? [yes/no]: yes
如果回答yes,系统就会把设置的结果存入Cisco思科路由器的NVRAM中,然后结束设置对话过程,使Cisco思科路由器开始正常的工作。
广域网协议设置
PPP
PPP(Point-to-Point Protocol)是SLIP(Serial Line IP protocol)的继承者,它提供了跨过同步和异步电路实现Cisco思科路由器到Cisco思科路由器(router-to-router)和主机到网络(host-to-network)的连接。
CHAP(Challenge Handshake Authentication Protocol)和PAP(Password Authentication Protocol) (PAP)通常被用于在PPP封装的串行线路上提供安全性认证。使用CHAP和PAP认证,每个Cisco思科路由器通过名字来识别,可以防止未经授权的访问。
任务命令
设置PPP封装encapsulation ppp1
设置认证方法ppp authentication {chap | chap pap | pap chap | pap} [if-needed] [list-name | default] [callin]
指定口令username name password secret
设置DCE端线路速度clockrate speed
举例
Cisco思科路由器Router1和Router2的S0口均封装PPP协议,采用CHAP做认证,在Router1中应建立一个用户,以对端Cisco思科路由器主机名作为用户名,即用户名应为router2。同时在Router2中应建立一个用户,以对端Cisco思科路由器主机名作为用户名,即用户名应为router1。所建的这两用户的password必须相同。
设置如下:
Router1:
hostname router1
username router2 password xxx
interface Serial0
ip address 192.200.10.1 255.255.255.0
clockrate 1000000
ppp authentication chap
!
Router2:
hostname router2
username router1 password xxx
interface Serial0
ip address 192.200.10.2 255.255.255.0
ppp authentication chap
!
ISDN
1.综合数字业务网(ISDN)
综合数字业务网(ISDN)由数字电话和数据传输服务两部分组成,一般由电话局提供这种服务。ISDN的基本速率接口(BRI)服务提供2个B信道和1个D信道(2B+D)。BRI的B信道速率为64Kbps,用于传输用户数据。D信道的速率为16Kbps,主要传输控制信号。在北美和日本,ISDN的主速率接口(PRI)提供23个B信道和1个D信道,总速率可达1.544Mbps,其中D信道速率为64Kbps。而在欧洲、澳大利亚等国家,ISDN的PRI提供30个B信道和1个64Kbps D信道,总速率可达2.048Mbps。我国电话局所提供ISDN PRI为30B+D。
2.基本命令
任务命令
设置ISDN交换类型isdn switch-type switch-type1
接口设置interface bri 0
设置PPP封装encapsulation ppp
设置协议地址与电话号码的映射dialer map protocol next-hop-address [name hostname] [broadcast] [dial-string]
启动PPP多连接ppp multilink
设置启动另一个B通道的阈值dialer load-threshold load
显示ISDN有关信息show isdn {active | history | memory | services | status [dsl | interface-type number] | timers}
注:1.交换机类型如下表,国内交换机一般为basic-net3。
按区域分关键字 交换机类型
Australia
basic-ts013 Australian TS013 switches
Europe
basic-1tr6 German 1TR6 ISDN switches
basic-nwnet3 Norway NET3 switches (phase 1)
basic-net3 NET3 ISDN switches (UK, Denmark, and other nations); covers the Euro-ISDN E-DSS1 signalling system
primary-net5 NET5 switches (UK and Europe)
vn2 French VN2 ISDN switches
vn3 French VN3 ISDN switches
Japan
ntt Japanese NTT ISDN switches
primary-ntt Japanese ISDN PRI switches
North America
basic-5ess AT&T basic rate switches
basic-dms100 NT DMS-100 basic rate switches
basic-ni1 National ISDN-1 switches
primary-4ess AT&T 4ESS switch type for the U.S. (ISDN PRI only)
primary-5ess AT&T 5ESS switch type for the U.S. (ISDN PRI only)
primary-dms100 NT DMS-100 switch type for the U.S. (ISDN PRI only)
New Zealand
basic-nznet3 New Zealand Net3 switches
3.ISDN实现DDR(dial-on-demand routing)实例:
设置如下:
Router1:
hostname router1
user router2 password cisco
!
isdn switch-type basic-net3
!
interface bri 0
ip address 192.200.10.1 255.255.255.0
encapsulation ppp
dialer map ip 192.200.10.2 name router2 572
dialer load-threshold 80
ppp multilink
dialer-group 1
ppp authentication chap
!
dialer-list 1 protocol ip permit
!
Router2:
hostname router2
user router1 password cisco
!
isdn switch-type basic-net3
!
interface bri 0
ip address 192.200.10.2 255.255.255.0
encapsulation ppp
dialer map ip 192.200.10.1 name router1 571
dialer load-threshold 80
ppp multilink
dialer-group 1
ppp authentication chap
!
dialer-list 1 protocol ip permit
!
CiscoCisco思科路由器同时支持回拨功能,我们将Cisco思科路由器Router1作为Callback Server,Router2作为Callback Client。
与回拨相关命令:
任务命令
映射协议地址和电话号码,并在接口上使用在全局模式下定义的PPP回拨的映射类别。dialer map protocol address name hostname class classname dial-string
设置接口支持PPP回拨ppp callback accept
在全局模式下为PPP回拨设置映射类别map-class dialer classname
通过查找注册在dialer map里的主机名来决定回拨. dialer callback-server [username]
设置接口要求PPP回拨ppp callback request
设置如下:
Router1:
hostname router1
user router2 password cisco
!
isdn switch-type basic-net3
!
interface bri 0
ip address 192.200.10.1 255.255.255.0
encapsulation ppp
dialer map ip 192.200.10.2 name router2 class s3 572
dialer load-threshold 80
ppp callback accept
ppp multilink
dialer-group 1
ppp authentication chap
!
map-class dialer s3
dialer callback-server username
dialer-list 1 protocol ip permit
!
Router2:
hostname router2
user router1 password cisco
!
isdn switch-type basic-net3
!
interface bri 0
ip address 192.200.10.2 255.255.255.0
encapsulation ppp
dialer map ip 192.200.10.1 name router1 571
dialer load-threshold 80
ppp callback request
ppp multilink
dialer-group 1
ppp authentication chap
!
dialer-list 1 protocol ip permit
!
相关调试命令:
debug dialer
debug isdn event
debug isdn q921
debug isdn q931
debug ppp authentication
debug ppp error
debug ppp negotiation
debug ppp packet
show dialer
show isdn status
举例:
执行debug dialer命令观察router2呼叫router1,router1回拨router2的过程.
router1#debug dialer
router2#ping 192.200.10.1
router1#
00:03:50: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up
00:03:50: BRI0:1PP callback Callback server starting to router2 572
00:03:50: BRI0:1: disconnecting call
00:03:50: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down
00:03:50: BRI0:1: disconnecting call
00:03:50: BRI0:1: disconnecting call
00:03:51: %LINK-3-UPDOWN: Interface BRI0:2, changed state to up
00:03:52: callback to router2 already started
00:03:52: BRI0:2: disconnecting call
00:03:52: %LINK-3-UPDOWN: Interface BRI0:2, changed state to down
00:03:52: BRI0:2: disconnecting call
00:03:52: BRI0:2: disconnecting call
00:04:05: : Callback timer expired
00:04:05: BRI0:beginning callback to router2 572
00:04:05: BRI0: Attempting to dial 572
00:04:05: Freeing callback to router2 572
00:04:05: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up
00:04:05: BRI0:1: No callback negotiated
00:04
:05: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
00:04:05: dialer Protocol up for Vi1
00:04:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed state
to up
00:04:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, chang
ed state to up
00:04:11: %ISDN-6-CONNECT: Interface BRI0:1 is now connected to 572
#router1
4.ISDN访问首都在线263网实例:
本地局部网地址为10.0.0.0/24,属于保留地址,通过NAT地址翻译功能,局域网用户可以通过ISDN上263网访问Internet。263的ISDN电话号码为2633,用户为263,口令为263,所涉及的命令如下表:
任务命令
指定接口通过PPP/IPCP地址协商获得IP地址ip address negotiated
指定内部和外部端口ip nat {inside | outside}
使用ppp/pap作认证ppp authentication pap callin
指定接口属于拨号组1dialer-group 1
定义拨号组1允许所有IP协议dialer-list 1 protocol ip permit
设定拨号,号码为2633dialer string 2633
设定登录263的用户名和口令ppp pap sent-username 263 password 263
设定默认路由ip route 0.0.0.0 0.0.0.0 bri 0
设定符合访问列表2的所有源地址被翻译为bri 0所拥有的地址ip nat inside source list 2 interface bri 0 overload
设定访问列表2,允许所有协议access-list 2 permit any
具体配置如下:
hostname Cisco2503
!
isdn switch-type basic-net3
!
ip subnet-zero
no ip domain-lookup
ip routing
!
interface Ethernet 0
ip address 10.0.0.1 255.255.255.0
ip nat inside
no shutdown
!
interface Serial 0
shutdown
no description
no ip address
!
interface Serial 1
shutdown
no description
no ip address
!
interface bri 0
ip address negotiated
ip nat outside
encapsulation ppp
ppp authentication pap callin
ppp multilink
dialer-group 1
dialer hold-queue 10
dialer string 2633
dialer idle-timeout 120
ppp pap sent-username 263 password 263
no cdp enable
no ip split-horizon
no shutdown
!
ip classless
!
! Static Routes
!
ip route 0.0.0.0 0.0.0.0 bri 0
!
! Access Control List 2
!
access-list 2 permit any
!
dialer-list 1 protocol ip permit
!
! Dynamic NAT
!
ip nat inside source list 2 interface bri 0 overload
snmp-server community public ro
!
line console 0
exec-timeout 0 0
!
line vty 0 4
!
end
路由协议配置
RIP协议
RIP(Routing information Protocol)是应用较早、使用较普遍的内部网关协议(Interior Gateway Protocol,简称IGP),适用于小型同类网络,是典型的距离向量(distance-vector)协议。文档见RFC1058、RFC1723。
RIP通过广播UDP报文来交换路由信息,每30秒发送一次路由信息更新。RIP提供跳跃计数(hop count)作为尺度来衡量路由距离,跳跃计数是一个包到达目标所必须经过的Cisco思科路由器的数目。如果到相同目标有二个不等速或不同带宽的Cisco思科路由器,但跳跃计数相同,则RIP认为两个路由是等距离的。RIP最多支持的跳数为15,即在源和目的网间所要经过的最多Cisco思科路由器的数目为15,跳数16表示不可达。
1.有关命令
任务命令
指定使用RIP协议router rip
指定RIP版本version {1|2}1
指定与该Cisco思科路由器相连的网络network network
注:1.Cisco的RIP版本2支持验证、密钥管理、路由汇总、无类域间路由(CIDR)和变长子网掩码(VLSMs)
2.举例
Router1:
router rip
version 2
network 192.200.10.0
network 192.20.10.0
!
相关调试命令:
show ip protocol
show ip route
IGRP协议
IGRP (Interior Gateway Routing Protocol)是一种动态距离向量路由协议,它由Cisco公司八十年代中期设计。使用组合用户配置尺度,包括延迟、带宽、可靠性和负载。
缺省情况下,IGRP每90秒发送一次路由更新广播,在3个更新周期内(即270秒),没有从路由中的第一个Cisco思科路由器接收到更新,则宣布路由不可访问。在7个更新周期即630秒后,Cisco IOS 软件从路由表中清除路由。
1.有关命令
任务命令
指定使用igrp协议router igrp autonomous-system1
指定与该Cisco思科路由器相连的网络network network
指定与该Cisco思科路由器相邻的节点地址neighbor ip-address
注:1、autonomous-system可以随意建立,并非实际意义上的autonomous-system,但运行IGRP的Cisco思科路由器要想交换路由更新信息其autonomous-system需相同。
2.举例
Router1:
router igrp 200
network 192.200.10.0
network 192.20.10.0
!
虚拟局域网(VLAN)
当前在我们构造企业网络时所采用的主干网络技术一般都是基于交换和虚拟网络的。交换技术将共享介质改为独占介质,大大提高网络速度。虚拟网络技术打破了地理环境的制约,在不改动网络物理连接的情况下可以任意将工作站在工作组或子网之间移动,工作站组成逻辑工作组或虚拟子网,提高信息系统的运作性能,均衡网络数据流量,合理利用硬件及信息资源。同时,利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低网络维护费用。随着虚拟网络技术的应用,随之必然产生了在虚拟网间如何通讯的问题.
交换机间链路(ISL)协议
ISL(Interior Switching Link)协议用于实现交换机间的VLAN中继。它是一个信息包标记协议,在支持ISL接口上发送的帧由一个标准以太网帧及相关的VLAN信息组成。如下图所示,在支持ISL的接口上可以传送来自不同VLAN的数据。
虚拟局域网(VLAN)路由实例
3.1. 例一:
设备选用Catalyst5500交换机1台,安装WS-X5530-E3管理引擎,多块WS-X5225R及WS-X5302路由交换模块,WS-X5302被直接插入交换机,通过二个通道与系统背板上的VLAN 相连,从用户角度看认为它是1个1接口的模块,此接口支持ISL。在交换机内划有3个虚拟网,分别名为default、qbw、rgw,通过WS-X5302实现虚拟网间路由。
以下加重下横线部分,如set system name 5500C为需设置的命令。
设置如下:
Catalyst 5500配置:
begin
set password $1$FMFQ$HfZR5DUszVHIRhrz4h6V70
set enablepass $1$FMFQ$HfZR5DUszVHIRhrz4h6V70
set prompt Console>
set length 24 default
set logout 20
set banner motd ^C^C
!
#system
set system baud 9600
set system modem disable
set system name 5500C
set system location
set system contact
!
#ip
set interface sc0 1 10.230.4.240 255.255.255.0 10.230.4.255
set interface sc0 up
set interface sl0 0.0.0.0 0.0.0.0
set interface sl0 up
set arp agingtime 1200
set ip redirect enable
set ip unreachable enable
set ip fragmentation enable
set ip route 0.0.0.0 10.230.4.15 1
set ip alias default 0.0.0.0
!
#Command alias
!
#vtp
set vtp domain hne
set vtp mode server
set vtp v2 disable
set vtp pruning disable
set vtp pruneeligible 2-1000
clear vtp pruneeligible 1001-1005
set vlan 1 name default type ethernet mtu 1500 said 100001 state active
set vlan 777 name rgw type ethernet mtu 1500 said 100777 state active
set vlan 888 name qbw type ethernet mtu 1500 said 100888 state active
set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active
set vlan 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active bridge 0×0 stp ieee
set vlan 1005 name trnet-default type trbrf mtu 1500 said 101005 state active bridge 0×0 stp ibm
set vlan 1003 name token-ring-default type trcrf mtu 1500 said 101003 state active parent 0 ring 0×0 mode srb aremaxhop 7 stemaxhop 7
!
#set boot command
set boot config-register 0×102
set boot system flash bootflash:cat5000-sup3
.4-3-1a.bin
!
#module 1 : 2-port 1000BaseLX Supervisor
set module name 1
set vlan 1 1/1-2
set port enable 1/1-2
!
#module 2 : empty
!
#module 3 : 24-port 10/100BaseTX Ethernet
set module name 3
set module enable 3
set vlan 1 3/1-22
set vlan 777 3/23
set vlan 888 3/24
set trunk 3/1 on isl 1-1005
#module 4 empty
!
#module 5 empty
!
#module 6 : 1-port Route Switch
set module name 6
set port level 6/1 normal
set port trap 6/1 disable
set port name 6/1
set cdp enable 6/1
set cdp interval 6/1 60
set trunk 6/1 on isl 1-1005
!
#module 7 : 24-port 10/100BaseTX Ethernet
set module name 7
set module enable 7
set vlan 1 7/1-22
set vlan 888 7/23-24
set trunk 7/1 on isl 1-1005
set trunk 7/2 on isl 1-1005
!
#module 8 empty
!
#module 9 empty
!
#module 10 : 12-port 100BaseFX MM Ethernet
set module name 10
set module enable 10
set vlan 1 10/1-12
set port channel 10/1-4 off
set port channel 10/5-8 off
set port channel 10/9-12 off
set port channel 10/1-2 on
set port channel 10/3-4 on
set port channel 10/5-6 on
set port channel 10/7-8 on
set port channel 10/9-10 on
set port channel 10/11-12 on
#module 11 empty
!
#module 12 empty
!
#module 13 empty
!
#switch port analyzer
!set span 1 1/1 both inpkts disable
set span disable
!
#cam
set cam agingtime 1-2,777,888,1003,1005 300
end
5500C> (enable)
WS-X5302路由模块设置:
Router#wri t
Building configuration…
Current configuration:
!
version 11.2
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Router
!
enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6.
!
ip subnet-zero
!
interface Vlan1
ip address 10.230.2.56 255.255.255.0
!
interface Vlan777
ip address 10.230.3.56 255.255.255.0
!
interface Vlan888
ip address 10.230.4.56 255.255.255.0
!
no ip classless
!
line con 0
line aux 0
line vty 0 4
password router
login
!
end
Router#
3.1. 例二:
交换设备仍选用Catalyst5500交换机1台,安装WS-X5530-E3管理引擎,多块WS-X5225R在交换机内划有3个虚拟网,分别名为default、qbw、rgw,通过Cisco3640Cisco思科路由器实现虚拟网间路由。交换机设置与例一类似。
Cisco思科路由器Cisco3640,配有一块NM-1FE-TX模块,此模块带有一个快速以太网接口可以支持ISL。Cisco3640快速以太网接口与交换机上的某一支持ISL的端口实现连接,如交换机第3槽第1个接口(3/1口)。
Router#wri t
Building configuration…
Current configuration:
!
version 11.2
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Router
!
enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6.
!
ip subnet-zero
!
interface FastEthernet1/0
!
interface FastEthernet1/0.1
encapsulation isl 1
ip address 10.230.2.56 255.255.255.0
!
interface FastEthernet1/0.2
encapsulation isl 777
ip address 10.230.3.56 255.255.255.0
!
interface FastEthernet1/0.3
encapsulation isl 888
ip address 10.230.4.56 255.255.255.0
!
no ip classless
!
line con 0
line aux 0
line vty 0 4
password router
login
!
end
Router#
安全性管理
对Cisco思科路由器的安全性管理主要包括:建立口令以保护访问Cisco思科路由器的安全,使用正确的访问表以管理通过Cisco思科路由器的可接受数据流等。
1、口令管理
下面显示了设置控制从终端进行访问的口令的命令。
命令 操作效果
Line console 0 为控制台终端建立一个口令
Line vty 0 4 telnet连接建立一个口令
Enable-password 为特权exec模式建立一个口令
Enable-secret 使用MD5加密方法建立密码口令
Service password-encryption 保护口令,避免其通过idsplay命令
将口令显示出来
2、报文过滤
cisco的防火墙功能主要是通过报文的过滤实现的。
它可以实现对多种数据流的控制,如限制流入、以及流出等。通过对访问列表的编写,我们可以实现对特定网络或主机的数据流限制。
Accsess-list 的编号有特定的范围:
IP standard access list
IP extended access list
Extended 48-bit MAC address access list
Protocol type-code access list
48-bit MAC address access list
例如我们可以定义如下的访问表来实现允许任何主机到主机160..10.2.101的报文:
Accsess-list 101 permit ip any host 160.10.2.101
而下面的语句允许使用客户源端口(小于1024的端口留给服务器用)方式的主机发往160.10.2.100的udp报文通过,且报文的目的端口必须为dns端口(53)。其中gt为great than。
Accsess-list 101 permit udp any gt 1023 host 160.10.2.100 eq 53
建立好访问列表以后,要想让它进行报文过滤,必须将它应用到端口上。在进入要控制的端口后,用如下的命令应用此访问表:
router(config-if)#ip access-group 101 in
其中的in表示对向里(针对此端口来说)的数据进行过滤。要注意的是,一个端口只能有一个向里和向外的列表,如果有几个,则只有第一个起作用。
参考:
CiscoCisco思科路由器口令恢复
当CiscoCisco思科路由器的口令被错误修改或忘记时,可以按如下步骤进行操作:
1.开机时按使进入ROM监控状态
2.按o 命令读取配置寄存器的原始值
> o
3.作如下设置,使忽略NVRAM引导
>o/r0x**4*Cisco2500系列命令
rommon 1 >confreg 0x**4*Cisco2600、1600系列命令
一般正常值为0×2102
4.重新启动Cisco思科路由器
>I
rommon 2 >reset
5.在“Setup”模式,对所有问题回答No
6.进入特权模式
Router>enable
7.下载NVRAM
Router>configure memory
8.恢复原始配置寄存器值并激活所有端口
“hostname”#configure terminal
“hostname”(config)#config-register 0x“value”
“hostname”(config)#interface xx
“hostname”(config)#no shutdown
9.查询并记录丢失的口令
“hostname”#show configuration (show startup-config)
10.修改口令
“hostname”#configure terminal
“hostname”(config)line console 0
“hostname”(config-line)#login
“hostname”(config-line)#password xxxxxxxxx
“hostname”(config-line)#
“hostname”(config-line)#write memory(copy running-config startup-config)
2、IP地址分配
地址类网络主机网络地址范围标准二进制掩码
AN.H.H.H1-1261111 1111 0000 0000 0000 0000 0000 0000
BN.N.H.H128-1911111 1111 1111 1111 0000 0000 0000 0000
CN.N.N.H192-2231111 1111 1111 1111 1111 1111 0000 0000
子网位个数子网掩码子网数主机数
B类地址
2255.255.192.0216382
3255.255.224.068198
4255.255.240.0144894
5255.255.248.0302846
6255.255.252.0621822
7255.255.254.0126518
8255.255.255.0254254
9255.255.255.128518126
10255.255.255.192182262
11255.255.255.224284630
12255.255.255.240489414
13255.255.255.24881986
14255.255.255.252163822
C类地址
2255.255.255.192262
3255.255.255.224630
4255.255.255.2401414
5255.255.255.248306
6255.255.255.252622
Cisco思科路由器
最简单的网络可以想象成单线的总线,各个计算机可以通过向总线发送分组以互相通信。但随着网络中的计算机数目增长,这就很不可行了,会产生许多问题:
1、带宽资源耗尽。
2、每台计算机都浪费许多时间处理无关的广播数据。
3、网络变得无法管理,任何错误都可能导致整个网络瘫痪。
4、每台计算机都可以监听到其
分类 : 技术文摘 | 发表时间 10-06-2006
路由器的分类应用离不开对路由器的工作原理的剖析,而路由器的工作原理则决定了其主要分类及其应用的范围。为了简单地说明路由器的工作原理,现在我们假设有这样一个简单的网络。
如图所示,A、B、C、D四个网络通过路由器连接在一起,现在我们来看一下在如图所示网络环境下路由器又是如何发挥其路由、数据转发作用的。现假设网络A中一个用户A1要向C网络中的C3用户发送一个请求信号时,信号传递的步骤如下:
第1步:用户A1将目的用户C3的地址C3,连同数据信息以数据帧的形式通过集线器或交换机以广播的形式发送给同一网络中的所有节点,当路由器A5端口侦听到这个地址后,分析得知所发目的节点不是本网段的,需要路由转发,就把数据帧接收下来。
第2步:路由器A5端口接收到用户A1的数据帧后,先从报头中取出目的用户C3的IP地址,并根据路由表计算出发往用户C3的最佳路径。因为从分析得知到C3的网络ID号与路由器的C5网络ID号相同,所以由路由器的A5端口直接发向路由器的C5端口应是信号传递的最佳途经。
第3步:路由器的C5端口再次取出目的用户C3的IP地址,找出C3的IP地址中的主机ID号,如果在网络中有交换机则可先发给交换机,由交换机根据MAC地址表找出具体的网络节点位置;如果没有交换机设备则根据其IP地址中的主机ID直接把数据帧发送给用户C3,这样一个完整的数据通信转发过程也完成了。
(路由器工作原理图)
从上面可以看出,不管网络有多么复杂,路由器其实所作的工作就是这么几步,所以整个路由器的工作原理基本都差不多。当然在实际的网络中还远比上图所示的要复杂许多,实际的步骤也不会像上述那么简单,但总的过程是这样的。
纵论多样的路由器分类应用:
在我们较为详细地了解了路由器产品的工作原理后,按照不同的划分标准可将它划分为多种类型。其中常见的分类有以下几类:
从性能档次分为高、中、低档路由器。通常将路由器吞吐量大于40Gbps的路由器称为高档路由器,背吞吐量在25Gbps~40Gbps之间的路由器称为中档路由器,而将低于25Gbps的看作低档路由器。当然这只是一种宏观上的划分标准,各厂家划分并不完全一致,实际上路由器档次的划分不仅是以吞吐量为依据的,是有一个综合指标的。以市场占有率最大的Cisco公司为例,12000系列为高端路由器,7500以下系列路由器为中低端路由器。
(HyperChip公司Petabit路由器)
从结构上分为“模块化路由器”和“非模块化路由器”。模块化结构可以灵活地配置路由器,以适应企业不断增加的业务需求,非模块化的就只能提供固定的端口。通常中高端路由器为模块化结构,低端路由器为非模块化结构。
从功能上划分,可将路由器分为“骨干级路由器”,“企业级路由器”和“接入级路由器”。骨干级路由器是实现企业级网络互连的关键设备,它数据吞吐量较大,非常重要。对骨干级路由器的基本性能要求是高速度和高可靠性,为了获得高可靠性,网络系统普遍采用诸如热备份、双电源、双数据通路等传统冗余技术,从而使得骨干路由器的可靠性一般不成问题。企业级路由器连接许多终端系统,连接对象较多,但系统相对简单,且数据流量较小,对这类路由器的要求是以尽量便宜的方法实现尽可能多的端点互连,同时还要求能够支持不同的服务质量,接入级路由器主要应用于连接家庭或ISP内的小型企业客户群体。
按所处网络位置划分通常把路由器划分为“边界路由器”和“中间节点路由器”。很明显“边界路由器”是处于网络边缘,用于不同网络路由器的连接,关于这种路由器技术的详细剖析我们将在以后的文章中讲解;而“中间节点路由器”则处于网络的中间,通常用于连接不同网络,起到一个数据转发的桥梁作用。由于各自所处的网络位置有所不同,其主要性能也就有相应的侧重,如中间节点路由器因为要面对各种各样的网络。如何识别这些网络中的各节点呢?靠的就是这些中间节点路由器的MAC地址记忆功能,基于上述原因,选择中间节点路由器时就需要在MAC地址记忆功能更加注重,也就是要求选择缓存更大,MAC地址记忆能力较强的路由器。但是边界路由器由于它可能要同时接受来自许多不同网络路由器发来的数据,所以这就要求这种边界路由器的背板带宽要足够宽,当然这也要由边界路由器所处的网络环境而定。
从性能上可分为“线速路由器”以及“非线速路由器”。所谓“线速路由器”就是完全可以按传输介质带宽进行通畅传输,基本上没有间断和延时。通常线速路由器是高端路由器,具有非常高的端口带宽和数据转发能力,能以媒体速率转发数据包;中低端路由器是非线速路由器,但是一些新的宽带接入路由器也有线速转发能力。
在四类不同级别网路中的应用:
(随处可见的各类路由器应用)
互联网各种级别的网络中随处都可见到各种类型的路由器。接入网络使得家庭和小型企业可以连接到某个互联网服务提供商;企业网中的企业级路由器连接一个校园或企业内成千上万的计算机;骨干网上的模块化路由器终端系统通常是不能直接访问的,它们连接长距离骨干网上的ISP和企业网络。互联网的快速发展无论是对骨干网、企业网还是接入网都带来了不同的挑战,骨干网要求路由器能对少数链路进行高速路由转发,企业级路由器不但要求端口数目多、价格低廉,而且要求配置起来简单方便,并提供QoS。
接入路由器:接入路由器连接家庭或ISP内的小型企业客户。接入路由器一般主要时非线速路由器,现在已经开始不只是提供SLIP或PPP连接,还支持诸如PPTP和IPSec等虚拟私有网络协议。这些协议要能在每个端口上运行。诸如ADSL等技术将很快提高各家庭的可用带宽,这将进一步增加接入路由器的负担。由于这些趋势,接入路由器将来会支持许多异构和高速端口,并在各个端口能够运行多种协议,同时还要避开电话交换网。
企业级路由器:企业或校园级路由器连接许多终端系统,其主要目标是以尽量便宜的方法实现尽可能多的端点互连,并且进一步要求支持不同的服务质量。许多现有的企业网络都是由Hub或网桥连接起来的以太网段。尽管这些设备价格便宜、易于安装、无需配置,但是它们不支持服务等级。相反,有路由器参与的网络能够将机器分成多个碰撞域,并因此能够控制一个网络的大小。
此外,路由器还支持一定的服务等级,至少允许分成多个优先级别。但是路由器的每端口造价要贵些,并且在能够使用之前要进行大量的配置工作。因此,企业路由器的成败就在于是否提供大量端口且每端口的造价很低,是否容易配置,是否支持QoS。另外还要求企业级路由器
分类 : 技术文摘 | 发表时间 10-06-2006
如果你拥有投资某些功能强大的网络管理系统的时间和金钱,你可以投入到仅需按下几个按钮就能恢复你的网络的设备上。如果你在制定一个典型的中型网络的预算,这里列出了你发现故障后应该采取的措施。我这里所说的网络指的是路由器、交换机、防火墙等基础设施,不包括以不同方式连接到网络的服务器和PC。路由器、交换机和同类的产品仍然容易受到“rootkits”和恶意软件/固件的攻击。但是,路由器和交换机等产品并不像基于Windows、Linux或者OS X操作系统的设备那样容易受到攻击。最普通的攻击是针对协议实施的并且导致出现黑洞,添满你的交换机FDB地址,使交换机不能学习到新的的MAC地址,或者通过耗尽你的带宽来拒绝服务。
另一个需要指出的是,你在实施下列任务时,由于机构的性质的不同,执行的顺序可能有很大的不同。例如,在一个企业,你担心的主要问题是尽快恢复连接。而另一个企业也许管理非常严格和可以容忍暂时的断开连接,因此这样的企业将愿意花一些时间做收集法律证据的工作。
1.保留日志:几乎在每一个案例中,你都要保留每一台设备中的日志。如果你要得到更多的日志作证据,你还可以采取本指南范围以外的一些步骤。
2.通知有关当局:根据攻击的性质,你要通知某些人。根据你的机构的情况,这个需要通知的人也许是一位审查经理或者一位IT官员。你也许还要通知警察或者联邦调查局等有关当局。你也许还应该通知服务提供商和运营商。而且,你还需要通知你的用户,特别是通过你的网络实施的攻击中暴露的那些网络的用户。你有这些人上班时和下班后的联系方式信息,对吗?
3.检查你的基础设施是否被攻破:如果攻击的性质不是拒绝服务攻击,而且一个服务器管理员在几台使用P2P文件共享软件的PC中发现了“rootkit”,或者你的入侵检测系统通知你这些攻击来自于你的一台路由器的时候,你就需要检查你的路由器和交换机,确保这些设备没有被攻破。简单的方法是验证软件镜像的效验核是否与厂商提供的一致。
4.恢复你的设置:如果你确保你是正确的,你可以卸载这些软件镜像并且把设备恢复到厂商默认的设置,然后从备份资料中恢复你的设置。你确实对你的全部设置做过备份,对吗?
额外说一个小窍门:虽然大多数管理员都在他们的网络上的设置管理工具中保留他们的设备设置文件,但是,网络中断会使你在最需要这些信息的时候无法访问这些信息。好的方法是在U盘或者CD盘中保存全部的设置文件,以便在需要恢复操作台时使用。但是,你一定要采取措施保证这些备份设备的物理安全。你不要让这些备份文件落入坏人手中,因为在许多配置文件中很容易找到破解的口令。
5.分步骤防御攻击:如果这种攻击的实质是拒绝服务攻击,那么,你有很多种方法阻止这种攻击。你有可能不能在攻击一开始就阻止,因为像微软和联邦政府这样采取严格预算的公司也一直受到拒绝服务攻击。但是,你应该准备好采取一些常用的步骤,如手工分流防火墙的通信或者在你的屏蔽路由器上使用一些临时的ACL(访问控制列表),或者干脆关闭被攻击的内部机器的端口。替代的方法是,你可以设置一个入侵防御系统自动做这些事情。
同以往一样,关键是有备无患。同保险一样,它令人讨厌,但是,偶尔会得到巨大的回报。
一、基本设置方式
一般来说,可以用5种方式来设置路由器:
1.Console口接终端或运行终端仿真软件的微机;
2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;
3.通过Ethernet上的TFTP服务器;
4.通过Ethernet上的TELNET程序;
5.通过Ethernet上的SNMP网管工作站。
但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下:
波特率 :9600
数据位 :8
停止位 :1
奇偶校验: 无
二、命令状态
1. router>
路由器处于用户命令状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但不能看到和更改路由器的设置内容。
2. router#
在router>提示符下键入enable,路由器进入特权命令状态router#,这时不但可以执行所有的用户命令,还可以看到和更改路由器的设置内容。
3. router(config)#
在router#提示符下键入configure terminal,出现提示符router(config)#,此时路由器处于全局设置状态,这时可以设置路由器的全局参数。
4. router(config-if)#; router(config-line)#; router(config-router)#;…
路由器处于局部设置状态,这时可以设置路由器某个局部的参数。
5. >
路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。
设置对话状态
这是一台新路由器开机时自动进入的状态,在特权命令状态使用SETUP命令也可进入此状态,这时可通过对话方式对路由器进行设置。
三、设置对话过程
显示提示信息
全局参数的设置
接口参数的设置
显示结果
利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。
进 入设置对话过程后,路由器首先会显示一些提示信息:
— System Configuration Dialog —
At any point you may enter a question mark ’?’ for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets ’[]’.
这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助,按ctrl-c可以退出设置过程,缺省设置将显示在‘[]’中。然后路由器会问是否进入设置对话:
Would you like to enter the initial configuration dialog? [yes]:
如果按y或回车,路由器就会进入设置对话过程。首先你可以看到各端口当前的状况:
First, would you like to see the current interface summary? [yes]:
Any interface listed with OK? value “NO” does not have a valid configuration
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned NO unset up up
Serial0 unassigned NO unset up up
……… ……… … …… … …
然后,路由器就开始全局参数的设置:
Configuring global parameters:
1.设置路由器名:
Enter host name [Router]:
2.设置进入特权状态的密文(secret),此密文在设置以后不会以明文方式显示:
The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret: cisco
3.设置进入特权状态的密码(password),此密码只在没有密文时起作用,并且在设置以后会以明文方式显示:
The enab
le password is used when there is no enable secret
and when using older software and some boot images.
Enter enable password: pass
4.设置虚拟终端访问时的密码:
Enter virtual terminal password: cisco
5.询问是否要设置路由器支持的各种网络协议:
Configure SNMP Network Management? [yes]:
Configure DECnet? [no]:
Configure AppleTalk? [no]:
Configure IPX? [no]:
Configure IP? [yes]:
Configure IGRP routing? [yes]:
Configure RIP routing? [no]:
………
6.如果配置的是拨号访问服务器,系统还会设置异步口的参数:
Configure Async lines? [yes]:
1) 设置线路的最高速度:
Async line speed [9600]:
2) 是否使用硬件流控:
Configure for HW flow control? [yes]:
3) 是否设置modem:
Configure for modems? [yes/no]: yes
4) 是否使用默认的modem命令:
Configure for default chat s cript? [yes]:
5) 是否设置异步口的PPP参数:
Configure for Dial-in IP SLIP/PPP access? [no]: yes
6) 是否使用动态IP地址:
Configure for Dynamic IP addresses? [yes]:
7) 是否使用缺省IP地址:
Configure Default IP addresses? [no]: yes
是否使用TCP头压缩:
Configure for TCP Header Compression? [yes]:
9) 是否在异步口上使用路由表更新:
Configure for routing updates on async
;links? [no]: y
10) 是否设置异步口上的其它协议。
接下来,系统会对每个接口进行参数的设置。
1.Configuring interface Ethernet0:
1) 是否使用此接口:
Is this interface in use? [yes]:
2) 是否设置此接口的IP参数:
Configure IP on this interface? [yes]:
3) 设置接口的IP地址:
IP address for this interface: 192.168.162.2
4) 设置接口的IP子网掩码:
Number of bits in subnet field [0]:
Class C network is 192.168.162.0, 0 subnet bits; mask is /24
在设置完所有接口的参数后,系统会把整个设置对话过程的结果显示出来:
The following configuration command s cript was created:
hostname Router
enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1
enable password pass
…………
请注意在enable secret后面显示的是乱码,而enable password后面显示的是设置的内容。
显示结束后,系统会问是否使用这个设置:
Use this configuration? [yes/no]: yes
如果回答yes,系统就会把设置的结果存入路由器的NVRAM中,然后结束设置对话过程,使路由器开始正常的工作。
四、常用命令
1. 帮助
在IOS操作中,无论任何状态和位置,都可以键入“?”得到系统的帮助。
2. 改变命令状态
任务 命令
进入特权命令状态 enable
退出特权命令状态 disable
进入设置对话状态 setup
进入全局设置状态 config terminal
退出全局设置状态 end
进入端口设置状态 interface type slot/number
进入子端口设置状态 interface type number.subinterface [point-to-point | multipoint]
进入线路设置状态 line type
slot/number
进入路由设置状态 router protocol
退出局部设置状态 exit
3. 显示命令
任务 命令
查看版本及引导信息 show version
查看运行设置 show running-config
查看开机设置 show startup-config
显示端口信息 show interface type slot/number
显示路由信息 show ip router
4. 拷贝命令
用于IOS及CONFIG的备份和升级
5. 网络命令
任务 命令
登录远程主机 telnet hostname|IP address
网络侦测 ping hostname|IP address
路由跟踪 trace hostname|IP address
6. 基本设置命令
任务 命令
全局设置 config terminal
设置访问用户及密码 username username password password
设置特权密码 enable secret password
设置路由器名 hostname name
设置静态路由 ip route
destination subnet-mask next-hop
启动IP路由 ip routing
启动IPX路由 ipx routing
端口设置 interface type slot/number
设置IP地址 ip address address subnet-mask
设置IPX网络 ipx network network
激活端口 no shutdown
物理线路设置 line type number
启动登录进程 login [local|tacacs server]
设置登录密码 password password
五、配置IP寻址
1. IP地址分类
IP地址分为网络地址和主机地址二个部分,A类地址前8位为网络地址,后24位为主机地址,B类地址16位为网络地址,后16位为主机地址,C类地址前24位为网络地址,后8位为主机地址,网络地址范围如下表所示:
种类
; 网络地址范围
A 1.0.0.0 到126.0.0.0有效 0.0.0.0 和127.0.0.0保留
B 128.1.0.0到191.254.0.0有效 128.0.0.0和191.255.0.0保留
C 192.0.1.0 到223.255.254.0有效 192.0.0.0和223.255.255.0保留
D 224.0.0.0到239.255.255.255用于多点广播
E 240.0.0.0到255.255.255.254保留 255.255.255.255用于广播
2. 分配接口IP地址
任务 命令
接口设置 interface type slot/number
为接口设置IP地址 ip address ip-address mask
掩玛(mask)用于识别IP地址中的网络地址位数,IP地址(ip-address)和掩码(mask)相与即得到网络地址。
3. 使用可变长的子网掩码
通过使用可变长的子网掩码可以让位于不同接口的同一网络编号的网络使用不同的掩码,这样可以节省IP地址,充分利用有效的IP地址空间。
如下图所示:
Router1和Router2的E0端口均使用了C类地址192.1.0.0作为网络地址,Router1的E0的网络地址为192.1.0.128,掩码为255.255.255.192, Router2的E0的网络地址为192.1.0.64,掩码为255.255.255.192,这样就将一个C类网络地址分配给了二个网,既划分了二个子网,起到了节约地址的作用。
4. 使用网络地址翻译(NAT)
NAT(Network Address Translation)起到将内部私有地址翻译成外部合法的全局地址的功能,它使得不具有合法IP地址的用户可以通过NAT访问到外部Internet.
当建立内部网的时候,建议使用以下地址组用于主机,这些地址是由Network Working Group(RFC 191保留用于私有网络地址分配的.
?; Class A:10.1.1.1 to 10.254.254.254
?; Class B:172.16.1.1 to 172.31.254.254
?; Class C:192.168.1.1 to 192.168.254.254
命令描述如下:
任务 命令
定义一个标准访问列表 access-list access-list-number permit source [source-wildcard]
定义一个全局地址池 ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]
建立动态地址翻译 ip nat inside source {list {access-list-number | name} pool name [overload]
| static local-ip global-ip}
指定内部和外部端口 ip nat {inside | outside}
如下图所示,
路由器的Ethernet 0端口为inside端口,即此端口连接内部网络,并且此端口所连接的网络应该被翻译,Serial 0端口为outside端口,其拥有合法IP地址(由NIC或服务提供商所分配的合法的IP地址),来自网络10.1.1.0/24的主机将从IP地址池c2501中选择一个地址作为自己的合法地址,经由Serial 0口访问Internet。命令ip nat inside source list 2 pool c2501 overload中的参数overload,将允许多个内部地址使用相同的全局地址(一个合法IP地址,它是由NIC或服务提供商所分配的地址)。命令ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192定义了全局地址的范围
分类 : 技术文摘 | 发表时间 03-06-2006
1 如果我本地下载了cisco的IOS,想给我的cisco 2505更新我的IOS,我使用的是windows附带的超级终端,连接我pc上的com1和cisco 2505的console。现在,我该如何操作呢?
采用超级终端的zmodem、xmodem协议即可完成
启动路由,按CTRL+BREAK进入ROM状太,copy zmodem flash, 然后点超级终端的发送(当然路径要先设好)
2 HSSI的的价格很贵,又只有一个口,不如高速串口卡上的口多,它的速度确实很快,但是用在什么地方呢?
比如ATM数据接口单元
2 如图:如何将router b模拟成frame relay 的交换机呢?
router a——router b——–router c
router b(config):frame-relay switching
router b serial 1(config-if):en frame ;
frame-relay intf-type dce
frame-relay route dlci1 in s2 dlci2
router b serial 2(config-if):en frame ;
frame-relay intf-type dce
frame-relay route dlci2 in s1 dlci1
4 IPX SPX IP TCP 哪两个是 connection-oriented
SPX TCP
5 AS5300最大支持多少个E1接口?
8个
6 我给本地的Cisco 2505申请了128K的DDN,同时申请了一根市话专线作为备份。我给这市话专线加载了ADSL的modem,使它起到了ADSL的传输速度,大概就是2M,这条DDN和市话专线的另一头都是接到了同一台cisco 3640。一般,在主用的DDN断了以后,备用的端口才自动起来,可是,在我这儿,备份的端口的速度反而比主用的高很多,但由于市话专线的不稳定,我不敢让它做主用。那我想,我能否让这两个端口同时使用,并在网络流量上自动的分配。那么,这可以吗?
如果我配的是ospf协议,那么,由于两个端口的cost不同,是否就能起到网络流量自动分配的作用?
那还有其他协议也支持网络流量自动分配吗?
静态路由也支持吗?
再有,这样就会出现闭合的网络环路,这会造成什么可能的严重后果?我该如何避免?
You can’t use OSPF,but try to use EIGRP
7 ISDN路由器中的SPID号怎样确定?
SPID只在北美网络中有效,在中国没有用到。SPID 只是北美的ISDN通信标准,中国是沿用欧洲标准,设置ROUTER不需设SPID.
8 我现在碰到一个问题,想请教一下,我用的是cisco2511,客户端(win98)拨号上去想访问和2511连接的服务器(nt server,使用了dns服务),拨号上去后,能ping通,要访问服务器,必须要设置登录到服务器所在的域,而拨号成功后登录网络总是失败,提示不能登录到域,如果按确认即可,以后访问正常,如果不选登录到域,则访问服务器不成功!您有什么办法吗?
Cisco2511拨号用户必须是NT的域用户,否测不能登陆NT。
9 cisco 的初始配置
IP address for this interface: 86.101.3.20
Number of bits in subnet field [0]:16
16是什么意思?
Class A network is 86.0.0.0, 16 subnet bits; mask is 255.255.255.0
请问 上文的 16和这一行的地址有什么联系?
用多少位主机ID做子网掩码,你选16不就是是255.255.255.0。因为A的掩码是255.0.0.0
A类地址标准掩码是255。0。0。0,而这里16BIT掩码表示子网的个数,即2的十六次方个-2,写成掩码就是11111111。11111111,即255。255。那么这个子网的掩码就是255。255。255。0
10 联想路由器,作internet专线,对端cisco路由器,
1。广域网口能否封装hdlc?
2。静态路由如何配?
广域口封装为PPP方式,只有两方都是CISCO的产品才可以封装为HDLC。
静态路由应为:ip route 0.0.0.0 0.0.0.0 s1(或S0)或ip route 0.0.0.0 0.0.0.0 对端路由器广域口地址。
11 两台4500路由器,一个配置了4T模块,一个配置了2T模块,一连V.35DTE线,一连V.35DCE线,两线连在一起。查看端口都up了,但协议仍然是down。请问,是怎么回事。
我认为是时钟问题。
在DCE一端的路由器上配置时钟。
12 用CISCO路由器配置ISDN拨号上网,以前都挺好的,但现在出现一个问题。当ISDN只有一个通道UP时,一切正常。而有时候当另一个通道也UP起来时,既B1、B2通道都连上时,从路由器中PING哪儿都不通,返回的信息是:发出去的包要吗是timeout要吗是unreachable。加DEBUG IP ICMP返回信息是IP包被拨号服务器prohibit掉了。真是莫名其妙????那位高手遇到过吗?到底是CISCO路由器问题,还是ISP接入的问题?
when b1 b2 up时,router在作multilink ppp, 同一个packet会被拆开。在isp会resassemble.问题可能在你的路由器。
可试着将你的路由器重新配置。
13 哪些是NBMA网?哪些不是?
Frame-Relay是典型的NBMA网络。
Ethernet是典型的Broadcast网络。
DDN是典型的Point-to-Point网络。
ATM也可以认为是NBMA。
14 我是在2924上配5个vlan,想通过4条线连到5505上,这两边的etherchannel该如何配置,2924我是用snmp来配置的,把各端口指向各vlan以后,按了apply,为什么关机重起后,那些配置全没了.谢谢!
Ciscoworks配置管理是通过替换config文件修改配置的,所以必须将配置导入设备。
2924上的口是fastethernet吗?如果不是不可以做etherchannel的.
你可以做几个TRUNK的LOAD BALANCE来代替
我的2924M-XL的口是fastethernet口,但是standard版,不是enterprise,听说它不支持trunk,vlan我已经设了,但不知道各个属于不同vlans的ports是否要分配不同网段的ip地址?
同一VLAN内的IP地址必须为同一网段.不同VLAN的IP可以在同一网段也可以不在同一网段,但不同VLAN之间一定要通过路由.
VLAN跟IP没什么关系,不过正路的配置是应该这样的,不过要不配成这样也可以啦,在一个VLAN里面有多个IP interface,配多几条路由就可以啦
问题是我现在该怎么把它与5505连接起来,是不是也要在5505上设跟2924一样的vlan,并且把端口set到各个vlan(即与2924上的一一对应?
应该可以做Fast EtherChannel:
Four-Port Fast EtherChannel Configuration Example
This example configuration shows how to configure a four-port Fast Eth
erChannel link between two switches. Figure 6-1 shows two switches con
nected through four 100BaseTX Fast Ethernet ports.
Figure 6-1: Fast EtherChannel Port Bundle Example
Step 1 Make sure that all ports on Switch A and Switch B have the same
port configuration, including VLAN membership, speed, and duplex.
Switch_A> (enable) set vlan 50 1/1-4
VLAN 50 modified.
VLAN 1 modified.
VLAN Mod/Ports
—- ———————–
50 1/1-4
2/1-2
3/1-3
Switch_A> (enable) set port speed 1/1-4 100
Ports 1/1-4 transmission speed set to 100Mbps.
Switch_A> (enable) set port duplex 1/1-4 full
Ports 1/1-4 set to full-duplex.
Switch_A> (enable)
Switch_B> (enable) set vlan 50 3/1-4
VLAN 50 modified.
VLAN 1 modified.
VLAN Mod/Ports
—- ———————–
50 3/1-4
Switch_B> (enable) set port speed 3/1-4 100
Ports 3/1-4 transmission speed set to 100Mbps.
Switch_B> (enable) set port duplex 3/1-4 full
Ports 3/1-4 set to full-duplex.
Switch_B> (enable)
Step 2 You can confirm the cha
nneling status of the switches using the
show port channel command.
Switch_A> (enable) show port channel
No ports channelling
Switch_A> (enable)
Switch_B> (enable) show port channel
No ports channelling
Switch_B> (enable)
Step 3 Configure the ports on Switch A to negotiate a Fast EtherChanne
l bundle with the neighboring switch. This example assumes that the ne
ighboring ports on Switch B are in EtherChannel auto mode. The system
logging messages provide information about the formation of the EtherC
hannel bundle.
Switch_A> (enable) set port channel 1/1-4 desirable
Port(s) 1/1-4 channel mode set to desirable.
Switch_A> (enable) %PAGP-5-PORTFROMSTP:Port 1/1 left bridge port 1/1
%PAGP-5-PORTFROMSTP:Port 1/2 left bridge port 1/2
%PAGP-5-PORTFROMSTP:Port 1/3 left bridge port 1/3
%PAGP-5-PORTFROMSTP:Port 1/4 left bridge port 1/4
%PAGP-5-PORTFROMSTP:Port 1/2 left bridge port 1/2
%PAGP-5-PORTFROMSTP:Port 1/3 left bridge port 1/3
%PAGP-5-PORTFROMSTP:Port 1/4 left bridge port 1/4
%PAGP-5-PORTTOSTP:Port 1/1 joined bridge port 1/1-4
%PAGP-5-PORTTOSTP:Port 1/2 joined bridge port 1/1-4
%PAGP-5-PORTTOSTP:Port 1/3 joined bridge port 1/1-4
%PAGP-5-PORTTOSTP:Port 1/4 joined bridge port 1/1-4
Switch_B> (enable) %PAGP-5-PORTFROMSTP:Port 3/1 left bridge port 3/1
%PAGP-5-PORTFROMSTP:Port 3/2 left bridge port 3/2
%PAGP-5-PORTFROMSTP:Port 3/3 left bridge port 3/3
%PAGP-5-PORTFROMSTP:Port 3/4 left bridge port 3/4
%PAGP-5-PORTFROMSTP:Port 3/2 left bridge port 3/1-4
%PAGP-5-PORTFROMSTP:Port 3/3 left bridge port 3/1-4
%PAGP-5-PORTFROMSTP:Port 3/4 left bridge port 3/1-4
%PAGP-5-PORTTOSTP:Port 3/1 joined bridge port 3/1-4
%PAGP-5-PORTTOSTP:Port 3/2 joined bridge port 3/1-4
%PAGP-5-PORTTOSTP:Port 3/3 joined bridge port 3/1-4
%PAGP-5-PORTTOSTP:Port 3/4 joined bridge port 3/1-4
Step 4 After the EtherChannel bundle is negotiated, use the show port
channel command to verify the configuration.
Switch_A> (enable) show port channel
Port Status Channel Channel Neighbor Neigh
bor
mode status device port
—– ———- ——— ———– ————————- —–
—–
1/1 connected desirable channel WS-C4003 JAB023806(Sw 3/1
1/2 connected desirable channel WS-C4003 JAB023806(Sw 3/2
1/3 connected desirable channel WS-C4003 JAB023806(Sw 3/3
1/4 connected desirable channel WS-C4003 JAB023806(Sw 3/4
—– ———- ——— ———– ————————- —–
—–
Switch_A> (enable)
Switch_B> (enable) show port channel
Port Status Channel Channel Neighbor Neigh
bor
mode status device port
—– ———- ——— ———– ————————- —–
—–
3/1 connected auto channel WS-C5000 009979082(Sw 1/1
3/2 connected auto channel WS-C5000 009979082(Sw 1/2
3/3 connected auto channel WS-C5000 009979082(Sw 1/3
3/4 connected auto channel WS-C5000 009979082(Sw 1/4
—– ———- ——— ———– ————————- —–
—–
Switch_B> (enable)
15 cisco 1605自带两个以太网口,这两个口是在同一网段(相当于集线器上的两个端口),还是不同网段。
我觉得关键是自己的定义,是可以在不同网段上的。
16 CISCO除了2600外还有那些低端型号带E1接口?
只要有wan接口的都会有E1接口的。1000、1600都有的。
17 1601,ping 不到本1601的以太口地址,请问问问题出在哪里? 但是可以正常通讯,怎么回事?
检查路由表,删除多余路由,或者shutdown所有interface,重新no shutdown
18 quidway 2500是CISCO 2500的仿制品.我把他的S0口作为DDN口,而A1口作为DDN的备份拨号口.假如DDN断掉,A1口会自动拨号.
我的问题是:当DDN恢复时,A1会DOWN下,然后UP我的S0口,可是A1口连接的拨号MODEM却不断.也就是说我在为DDN付费的同时,还要付电话费.关于的MODEM 的设置,Quidway自有自己MODEM 的脚本配置,还有就是MODEM的应答方式的设置。
正常现象,你可以设定在一定时间后down a1。
19 由于有大量的DDN专线用户接入,中国电信是否提供通道化的E2或E3电路出租?
cisco有通道化的E2或E3卡,我们主要是做64K或128K的企业接入,如果以E1来计,线多且不好管理。
如果真的是特别大量,也不必划通道,可以共享大出口,成本还比通道低得多,关于大容量的传输,电信可提供ATM端口出租,在深圳的资费表当中称为数字电路,2M起租,可到155M。
我的业务和你相近
我的意思是不一定要划通道,一个是成本较高,一个是设备局限,并且过度依赖电信划通道的目的是保障服务质量,对于接入客户形成有一定规模的情况下可以采用建立自己网络的办法,接入客户共享大出口,可采取保证出口带宽占用率低于一定比例(比如60%)的方法,可以达到与通道式差不多的服务质量,同时自己网络可以采取多出口,反而提高了网络的可用性骨干网走SDH 155M,接7507 POS板,下接3524 1000M口,其下的100M分别接各Sun Enterprise Server,各托管服务器独享10M带宽。
中继E1计30条,其中20条用于PSTN接入,10条PRI E1用于ISDN接入,另有部分租用当地数据通信局DDN电路作专线接入。
必要的时候购买ADSL接点,不过要和电话公司搞好关系,且目前只能覆盖到方圆5公里以内。
20 GE1是什么线路?
是CE1。信道化E1。
是 channel e1,是可以划分信道的2M。
21 我用E1接到CISCO AS5300,PSTN和E1怎么连接?是电信做的吗?拨号号码怎样定?
应该由电信具给你一个连选号码。
电信会给你一根从程控那边来的E1线,你只要把它看成一根电话线就可以了,只不过是30路的。
22 小弟有一台CISCO 2501路由器,接有两条DDN专线,都是128K的,分别接于两个串口上,有一台服务器做为WEB服务器,不知如何使两条DDN等于256K,而不是重复128K数据传输?请详细介绍一下。
use the routing protocol that can load balance such as Eigrp
or igrp or OSPF etc….
直接使用静态路由:
Load balancing
23 各位大虾,我的一个CATALYST 2901的密码忘了,请问怎样能清除它?
Step 1:
Attach a terminal or PC with terminal emulation to the admin (console) port of the switch.
Use the following terminal settings : 9600 baud, no parity, 8 data bits, 1 stop bit
Step 2:
Power the switch down, then up.
Step 3:
When you see the password prompt, press Enter (no password within 30seconds).
When asked for a password, just press the enter key within 30 seconds.
A common mistake is to type ‘null’ as password.
Step 4:
Go into enable mode.
Type ‘enable’ at the prompt.
Step 5:
When you see the password prompt, press Enter (null password for 30 seconds).
When asked for a password, just press the enter key within 30 seconds.
A common mistake is to type ‘null’ as password.
Step 6:
Change the password.
Use the ‘set password’ and/or ‘set enablepass’ command. When asked to
give the old password, just hit enter (this works only within 30 seconds!).
24 如26XX系列、36XX系列路由器,以可带16个异步口,如何利用这些异步口,不需通过专用的终端服务器或PC服务器,直接连接在终端上,也就是路由器本身就成了一个终端服务器。
in 36xx first “show line to find the No. of line”second”
(config)# line x y
transport input all
then connect your async cable to other router’s console port
then config name and port number for these routers
for example
ip host r1 2001 1.1.1.1
ip host r2 2002 1.1.1.1
ip host r3 2003 1.1.1.1
the 200x is 2000+ x (line No.) if your line number in show line is
17 then you get 2017.
then in this router you can type r1 to the R1 router.
hope this helps
//
could you please explain “connect your async cable to other router’s c
onsole port”
I am kinda confused on it
//
这正是所谓的Reverse Telnet的概念。
实际网管中,修改路由器配置可以远程Telnet也可以用Console,但一般管理员的工作区和机房是有一段距离的,所以Console线并不常用,而很多时候又的确需要用Console,这时候就可以用一台2509或2511,将异步线接到各路由器和交换机的Console口上,然后telnet xxx.xxx.xxx.xxx 200x,或者更方便的做法是定义一些好记的hostname,这样只要在2509上telnet xxxxxx就可以了。具体的概念和操作步骤你可以到光盘上去找一找。
//
I will give you one example for it and it’s easy and basic for
Cisco lab. (this is for 2511 who config line 1 16 ) for 36/26 it maybe other numbers. use show line to find the number out.
(I connect r2 to 2511 Async-port 2, r3 to As3 (line 3) etc….)
r1#
r1#sh conf
Using 577 out of 32762 bytes
!
version 11.2
no service udp-small-servers
no service tcp-small-servers
!
hostname r1
!
enable password cisco
!
ip subnet-zero
no ip domain-lookup
ip host r2 2002 10.1.1.1
ip host r3 2003 10.1.1.1
ip host r4 2004 10.1.1.1
ip host r5 2005 10.1.1.1
!
interface Loopback1
ip address 10.1.1.1 255.255.255.255
!
interface Ethernet0
no ip address
shutdown
!
interface Serial0
no ip address
shutdown
!
interface Serial1
no ip address
shutdown
!
ip classless
!
!
line con 0
exec-timeout 0 0
line 1 16
transport input all
line aux 0
line vty 0 4
password cisco
login
!
end
r1#r5
Trying r5 (10.1.1.1, 2005)…
% Connection refused by remote host
r1#clear line 5
[confirm]
[OK]
r1#clear line 2
[confirm]
[OK]
r1#clear line 3
[confirm]
[OK]
r1#
r1#clear line 4
[confirm]
[OK]
r1#clear line 1
[confirm]
[OK]
r1#r5
Trying r5 (10.1.1.1, 2005)… Open
00:00:02: 0: stTransl
r1#r2
Trying r2 (10.1.1.1, 2002)… Open
Router>
r1#r3
Trying r3 (10.1.1.1, 2003)… Open
Router>
r1#r4
Trying r4 (10.1.1.1, 2004)… Open
Router>
r1#w
Conn Host Address Byte Idle Conn Name
1 r5 10.1.1.1 50 0 r5
2 r2 10.1.1.1 0 0 r2
3 r3 10.1.1.1 0 0 r3
* 4 r4 10.1.1.1 0 0 r4
r1#1
[Resuming connection 1 to r5 ... ]
ating “Router”…domain server (255.255.255.255)
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#host r5
r5(config)#end
r5#wr
Building configuration…
r1#w
Conn Host Address Byte Idle Conn Name
* 1 r5 10.1.1.1 3 0 r5
2 r2 10.1.1.1 0 0 r2
3 r3 10.1.1.1 0 0 r3
4 r4 10.1.1.1 0 0 r4
r1#2
[Resuming connection 2 to r2 ... ]
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#host r2
r2(config)#end
r2#wr
Building configuration…
[OK]
r2#
r1#3
[Resuming connection 3 to r3 ... ]
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#host r3
r3(config)#end
r3#wr
Building configuration…
r1#4
[Resuming connection 4 to r4 ... ]
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#host r4
r4(config)#end
r4#wr
Building configuration…
r1#w
Conn Host Address Byte Idle Conn Name
1 r5 10.1.1.1 3 0 r5
2 r2 10.1.1.1 4 0 r2
3 r3 10.1.1.1 5 0 r3
* 4 r4 10.1.1.1 0 0 r4
r1#disc 1
Closing connection to r5 [confirm]
r1#disc 2
Closing connection to r2 [confirm]
r1#w
Conn Host Address Byte Idle Conn Name
3 r3 10.1.1.1 5 0 r3
* 4 r4 10.1.1.1 5 0 r4
r1#disc 3
Closing connection to r3 [confirm]
r1#disc 4
Closing connection to r4 [confirm]
r1#r5
Trying r5 (10.1.1.1, 2005)… Open
flashfs[8]: 1 files, 1 directories
flashfs[8]: 0 orphaned files, 0 orphaned directories
flashfs[8]: Total bytes: 16320000
flashfs[8]: Bytes used: 6345728
flashfs[8]: Bytes available: 9974272
flashfs[8]: flashfs fsck took 39 seconds.
flashfs[8]: Initialization complete.
r5#
r1#r2
Trying r2 (10.1.1.1, 2002)… Open
r2#
r1#r3
Trying r3 (10.1.1.1, 2003)… Open
r3#
r1#r4
Trying r4 (10.1.1.1, 2004)… Open
r4#
r1#w
Conn Host Address Byte Idle Conn Name
1 r5 10.1.1.1 0 0 r5
2 r2 10.1.1.1 0 0 r2
3 r3 10.1.1.1 0 0 r3
* 4 r4 10.1.1.1 0 0 r4
r1#1
[Resuming connection 1 to r5 ... ]
r5#
hope this helps and these are reverse-telnet.
25 我在一台cisco2611上误操作erease flash,结果每次启动就进入rommon 1状态。我问别人说是我把ios给删了,我该怎么办????,谁能救我!!我这里只有一台2611cisco路由器!!通过CONSOLE口传多慢呀!
其实进入ROMMON状态以后一样可以用TFTP通过以太网口传IOS的。
我就这么做过。不过必须要在ROMMON状态下配一下TFTP的一些参数,
如:本机IP、TFTP SERVER IP、缺省网关、文件名….
(特别要注意:1、路由器默认使用E0/0口,好象没法改,不过也没必要改;
2、TFTP项下所要求的6个还是7个参数必须全设,包括那些你看上去好象没用的,象:DEFAULT_GATEWAY等。)
it’s very easy. you can find it on cco by search “xmodem”
following are a brief:
1. download IOS to your pc
2. connect the PC with hyper-terminal ‘s comm port to console of
2610 with the console kit (provided by cisco)
3. set your terminal’s speed to 9600 0r higher, as i know 26xx support
console speed upto 115200.
4. rommon > xmodem -s9600 -c (if the rommon can set speed)
if not just xmodem the def speed 9600
Do
not start sending the image yet…
Invoke this application for disaster recovery.
Do you wish to continue? y/n [n]: y
Note, if the console port is attached to a modem, both the
console port and the modem must be operating at the same baud
rate. Use console speed 9600 bps for download [confirm]
Download will be performed at 9600. Make sure your terminal
emulator is set to this speed before sending file.
Ready to receive file …
Returning console speed to 9600.
6. in hyper-terminal use tranbsfer–>send file to select the file to s
end
7. after ios download reboot the machine
分类 : 技术文摘 | 发表时间 03-06-2006
1 定义RING-GROUP有什么要求和意义?
RING-GROUP 是定义 Virtual Ring 的。因为 DLSW+ 将 RIF 终结在 Local Router 上, 因此将广域网部分定义为一个虚拟环。
2 定义DLSW+ LOCAL PEER时,GROUP设置有什么要求?
定义 LOCAL PEER 时, GROUP 设置没什么要求。
假设 Router A 连接 RING 11, Router B 接连 RING 10,它们之间通过广域网连接
(中间可能有 N 个路由器),
Router A:
source-bridge ring-group 15
dlsw local-peer peer-id 5.0.0.1
dlsw remote-peer 0 tcp 10.0.0.1
!
interface tokenring 0
ip address 5.0.0.1 255.255.0.0
ring speed 16
source-bridge 11 1 15
source-bridge spanning
Router B:
source-bridge ring-group 15
dlsw local-peer peer-id 10.0.0.1
dlsw remote-peer 0 tcp 5.0.0.1
!
interface tokenring 0
ip address 10.0.0.1 255.255.0.0
ring speed 16
source-bridge 10 1 15
source-bridge spanning
3 请问DDN与FR有什么区别?
DDN是透明的,可以跑各种协议,FR就是在DDN基础之上封装的
DDN是物理层的标准,
FR是链路层的协议,
DDN只支持点对点,
FR还支持点对多点,
DDN是物理层协议,DDN交换机采用电路交换,
FR包括物理层和数据链路层,FR交换机采用虚电路交换,
DDN交换机和FR交换机是不同的设备,
但通常用户使用FR时,用户端到FR交换机采用DDN线路连接,
4 我听说能在DDN上跑VOICE,那么效果怎么样呢?比如延迟、抖动、QoS、成本等,比在ATM上跑的比,谁好些?
DDN是物理层的标准,当然可以做。
可以的,Cisco的26和36系列都支持,但带宽要宽一点,最好128K向上。
论QOS,TCP/IP要是比ATM好的话那就真地奇怪了。
5 如何让OSPF,EIGRP,RIP转发静态路由?
redistribute
例如:
ospf 100
network 10.10.10.0 0.0.0.255
network 10.10.20.0 0.0.0.255
redi sta subnet
redi connect subnet
6 98怎么通过专线网络登录到另一边的NT SERVER?
如果不在局域网内,NT安装配置装VPN Server,Win98自带VPN Client拨号程序。
7 digital modem和analog modem 的区别和具体用法如何?
数据modem,模拟modem
数据modem是将数据信号(但不是计算机能利用的数据信号,比如
电信上由模拟信号抽样提取出的数据信号调制解调成计算机能利
用的数据信号)
模拟modem是将模拟信号调制解调成计算机能识别的信号
8 cisco2610 具体能配哪些模块?
NM-16A 16 port Asynchronous Module
NM-32A 32 port Asynchronous Module
NM-4A/S 4-Port Async/Sync Serial Network Module
NM-4B-S/T 4-Port ISDN-BRI Network Module
NM-4B-U 4-Port ISDN-BRI with NT-1 Network Module
NM-8A/S 8-Port Async/Sync Serial Network Module
NM-8B-S/T 8-Port ISDN-BRI Network Module
NM-8B-U 8-Port ISDN-BRI with NT-1 Network Module
NM-1CT1 1-Port Channelized T1/ISDN-PRI Network Module
NM-1CT1-CSU 1-Port Channelized T1/ISDN-PRI with CSU Network Module
NM-2CT1 2-Port Channelized T1/ISDN-PRI Network Module
NM-2CT1-CSU 2-Port Channelized T1/ISDN-PRI with CSU Network Module
NM-1CE1B 1-Port Channelized E1/ISDN-PRI Balanced Network Module
NM-1CE1U 1-Port Channelized E1/ISDN-PRI Unbalanced Network Module
NM-2CE1B 2-Port Channelized E1/ISDN-PRI Balanced Network Module
NM-2CE1U 2-Port Channelized E1/ISDN-PRI Unbalanced Network Module
NM-4E 4-Port Ethernet Network Module
NM-4E1-IMA 4-port E1 ATM Network Module with IMA
NM-4T1-IMA 4-port T1 ATM Network Module with IMA
NM-1E 1-Port Ethernet Network Module
NM-1ATM-25 One port ATM 25Mbps network module
NM-8AM 8Port Analog Modem Network Module
NM-8E1-IMA 8-port E1 ATM Network Module with IMA
NM-8T1-IMA 8-port T1 ATM Network Module with IMA
NM-16AM 16 Port Analog Modem Network Module
NM-HDV-1T1-24 Single-Port 24 Channel T1 Voice/Fax Network Module
NM-HDV-1T1-24E Single-Port 24 Enhanced Channel T1 Voice/Fax Network Mo
dule
NM-HDV-2T1-48 Dual-Port 48 Channel T1 Voice/Fax Network Module
NM-1V One-slot Voice/fax Network Module
NM-2V Two-Slot Voice/fax Network Module
VIC-2FXS Two-port Voice Interface Card – FXS
VIC-2FXO Two-port Voice Interface Card – FXO
VIC-2E/M Two-port Voice Interface Card – E&M
VIC-2FXO-EU Two-port Voice Interface Card – FXO (for Europe)
VIC-2BRI-S/T-TE Two-port Voice Interface Card – BRI (Terminal)
VWIC-1MFT-E1 1-Port RJ-48 Multiflex Trunk – E1
VWIC-2MFT-E1-DI 2-Port RJ-48 Multiflex Trunk – E1 With Drop and Insert
VWIC-1MFT-T1 1-Port RJ-48 Multiflex Trunk – T1
VWIC-2MFT-T1-DI 2-Port RJ-48 Multiflex Trunk – T1 With Drop and Insert
VWIC-2MFT-T1 2-Port RJ-48 Multiflex Trunk – T1
WIC-1T 1-Port Serial WAN Interface Card
WIC-1DSU-56K4 1-port 4-WIRE 56/64 KBPS WAN INTERFACE CARD
WIC-1B-S/T 1-Port ISDN WAN Interface Card(dial and leased line)
WIC-1B-U 1-Port ISDN with NT-1 WAN Interface Card(dial and leased lin
WIC-1DSU-T1 1-Port T1/Fractional T1 DSU/CSU WAN Interface Card
WIC-2T 2-Port Serial WAN Interface Card for Cisco 2600
WIC-2A/S 2-Port Async/Sync Serial WAN Interface Card for Cisco 2600
AIM-COMPR2 8 Mbps Compression Adv. Integration Module for Cisco 2600
9 E1和channeled E1到底有什么区别??
Channeled e1 可以分时系, e1 不可以,
e1 可以 和 serial 口 连, channeled 不可以
10 一个router可以配几个ospf进程吗?有什么意义?
当然可以。主要是用在一个路由器作为几个OSPF的AS的边缘路由器。当然,不推荐如此使用,会消耗大量系统资源。
是用于连接不同的AS吗?但我记得运行ospf的路由器之间交换路由仅需要area一样,不需要进程号一样啊!
另:为什么我配两个ospf进程后有一个为inactive?
没错,即便ABR也不必配多个进程。OSPF与RIP,EIGRP不同,其进程号无关紧要。多配等于画蛇添足
11 cisco 7000系列路由器接入atm网路(通过155M的stm1行吗?),路由器上用什么接口,怎么配置路由器?
cisco 7000系列路由器通过155M的stm1接入atm网路,当然可以!
可用ATM接口直接接入。
也可通过以太口先接入ATM边缘设备,再接入ATM网路。
12 channeled E1 与 g.703,pcm,v.35 ,sdh 是什么概念?
g.703,v35是DDN上用的一些接口协议,PCM(PULSE CODED MODULATION) 好象在电话网中使用;SDH则是光同步网。
13 我用PIX 1000做FIREWALL,想配置PIX,使内部网的一台机器,192.168.128.1 设置成INTERNET上可以完全访问。我是这样设置的:
static 202.150.50.1 192.168.128.1
conduit 202.150.50.1 0 tcp 192.168.128.1 255.255.255.255
conduit 202.150.50.1 0 udp 192.168.128.1 255.255.255.255
我配好后INTERNET上能PING通202.150.50.1 但是HTTP,FTP,POP3等却无法访问。 请各位高手指教。
试一试:
static -a 202.150.50.1 192.168.128.1 secure
conduit 202.150.50.1 tcp:192.168.128.1/32-0
conduit 202.150.50.1 udp:192.168.128.1/32-0
原则:从外到里,缺省都是DENY,除非你指明PERMIT
14 一台CISCO3640,IOS12。0,配置NM-8AM模块,做远程访问。总是无应答声,拿到销售商处,立即好了。但到我处,就是不行。电话线、接头
分类 : 技术文摘 | 发表时间 08-05-2006
做一名成功的网管员不仅要进行网络的规划设计、网络设备的招投标、系统集成等事项外,必须具备一定的“硬件”素质,能选择和采购好的网络设备,进行安装、配置和调试,保证局域网正常、稳定地运行,要想做好这些工作,则必须要具备一定“软件”素质。本文就和大家一起讨论成功网管员必备的“软件”素质。
一、成功网管员必备的“软件”素质
由于许多网络设备的软件以及服务器的操作系统都是英文版的,因此要想熟练地使用和掌握这些软件,我们的网管员必须有一定的英文阅读能力,能够掌握大量的计算机专业词汇,从而能够流畅地阅读原版的白皮书和技术资料,最主要是看懂网络设备和管理软件说明书,了解网络技术的最新发展动态。
若欲提高企业网络应用水平,就必须要有恰当的管理培训。根据企业网建设的经验,技术培训是企业网络建设能否成功的关键环节。因此,网络管理员还往往承担着繁重的技术培训任务,必须能够胜任教师的工作。根据企业网中不同人员的责任和地位,分别对其进行内容以及深度不同的培训,重点是对软件的应用方面的。例如,对网络管理维护人员的培训、对网络开发人员的培训,以及对普通工作人员的培训。培训必须面向应用、富有针对性,真正做到因材施教、学以致用。
1、掌握服务器软件的安装和配置方法
操作系统
计算机是由硬件和软件组成的,缺了任何一样都无法运行。我们对计算机进行操作,都是利用操作系统来完成。服务器上运行的是网络操作系统,网络操作系统(NOS)是网络的心脏和灵魂,是向网络计算机提供服务的特殊的操作系统。它在计算机操作系统下工作,使计算机操作系统增加了网络操作所需要的能力。
一般情况下,NOS是以使网络相关特性达到最佳为目的的,如共享数据文件、软件应用,以及共享硬盘、打印机、调制解调器、扫描仪和传真机等。NOS还对每个网络设备之间的通信进行管理,这是通过NOS中的媒体访问法来实现的。
大家目前比较熟悉的可能就是windows 操作系统,在服务器上运行早期是windows NT Server,现在普遍使用是windows 2000/2003 Server;除了Windows外,一类是UNIX,代表产品包括SUN Solaris、HP-UX、IBM AIX等;还有一类是Linux,它虽说是后起之秀,但由于其开放性和高性价比等特点,近年来获得了长足发展,象redhat、红旗等产品;还有就是Novell系统。
总的来说,Windows是简单易用的操作系统,适合中小型企业及网站建设;UNIX具有非常好的安全性和实时性,广泛用在金融、银行、政府、军事及大型企业;Linux具有高的安全性和稳定性,一般用做网站的服务器和邮件服务器;Novell是工业控制、生产企业、证劵系统比较理想的操作系统。
首先作为网管员必须要了解这些操作系统的使用场合,操作系统在服务器上安装和配置方法,系统的日常运行和管理,掌握出现问题如何解决等技巧,操作系统的安全设置(系统补丁的安装)等等。完成这些工作是我们网管员必须具备软件的素质之一。
应用软件
我们在对操作系统掌握比较熟练后,在OS基础上架构网站(WEB),DNS、DHCP、FTP、Email等服务,以及视频、短信、游戏、BBS等等,都是服务器上的应用软件,还有代理软件、局域网内服务器/客户机上网络防病毒软件的安装与运行;以及企业本身的财务软件、办公系统、管理信息系统以及ERP等应用系统,保证这些应用软件(系统)的正常、稳定运行,是我们成功网管员必须具备软件的重点素质之一。
2、网管软件及网管工具软件
网络管理的需求决定网管系统的组成和规模,任何网管系统无论其规模大小,基本上都是由支持网管协议的网管软件平台、网管支撑软件、网管工作平台和支撑网管协议的网络设备组成。
其中网管软件平台提供网络系统的配置、故障、性能及网络用户分布方面的基本管理,也就是说,网络管理的各种功能最终会体现在网管软件的各种功能的实现上,软件是网管系统的“灵魂”,是网管系统的核心。
网管平台软件的主要作用是收集网络设备的硬件信息,通过这些网管软件可以观看网络拓扑图、设置警报等。网络管理员在很多情况必须借助各种管理软件监控整个网络的运行情况,了解网络服务和用户。
此外,使用管理软件的设备诊断功能是查找故障的好方法。借助网络管理的一些小的工具软件,可以大大减轻网管员日常的重复性劳动和工作压力,提高工作效率,为实现提高生产力,保障企业效益最大化提供基础。这肯定是我们成功网管员必须具备软件的重点素质之一。
3、掌握数据库的安装和配置方法
数据库服务也是服务器提供的重要服务之一,常见的数据库系统有MS SQL Server、MySQL、Oracle、Sybase、DB2等。许多应用系统都是在数据库系统基础上进行的,比如企业信息管理系统、计费系统等,特别是一些大型的Web网站,一般都使用数据库来作为后台支撑,完成三级的Web/Server构架。因此我们也必须要掌握各种数据库的安装和配置方法,做好数据库管理员的日常运行维护工作。
4、掌握数据备份与灾难恢复
在网络系统安全建设中必不可少的一个环节就是数据的常规备份和历史保存。一般在生产本地的备份目的主要有两个:一是生产系统的业务数据由于系统或人为误操作造成损坏或丢失后,可及时在生产本地实现数据的恢复;另一个目的是在发生地域性灾难(地震、火灾、机器毁坏等)时,可及时在本地或异地实现数据及整个系统的灾难恢复。
对于大多数网管员来说,备份是一项繁重的任务。网络备份最好能够实现定时自动备份,这样可以大大减轻管理员的压力。一般来说,为了保护数据安全和提高数据的持续可用性,企业要从RAID保护、冗余结构、数据备份、故障预警等多方面考虑。
作为网管员还必须要学会和掌握备份软件的使用和操作,这样才能做好日常的数据备份和恢复工作。要做到灾难恢复,首先备份系统时要做到满足系统容量不断增加的需求,并且备份软件必须能支持多平台系统。
当网络上连接上其它的应用服务器时,对于网络存储管理系统来说,只需安装支持这种服务器的客户端软件即可将数据备份到磁带库或光盘库中。其次,网络数据存储管理系统是指在分布式网络环境下,通过专业的数据存储管理软件,结合相应的硬件和存储设备,来对全网络的数据备份进行集中管理,从而实现自动化的备份、文件归档、数据分级存储以及灾难恢复等。
5、掌握网络设备与防火墙的配置和调试方法
网管员要熟悉思科等主流厂商的基本网络设备(包括交换机、路由器)的配置和调试方法,这也是网管员最基本的工作之一;为了保障网络的正常稳定运行,网管员还必须了解和掌握网络安全设备(包括防火墙、IDS)的配置和调试方法,因此要学习和调试这些设备命令语句,制定安全策略,根据实际需求,配置好网络设备和安全设备,使它们能发挥最优的、最好的效果
。
二、总结
网管员必须具备创造和应变能力,硬件设备、管理工具、应用软件所提供的直接功能往往是有限的,而显示的网络需求却是无限的,如何用有限的功能满足无限的需要呢?这就需要网络管理员具有很强的、有创造性的应变能力,从而利用现有的功能、手段和技术,通过不同功能的排列、组合和巧妙结合,创造性地实现各种复杂的功能,满足用户各种需求。
网络还是一个系统,因此一项功能的实现往往需要借助于多种措施和设置,而导致故障发生往往由于多种原因,既可能是一因多果,也可能是一果多因。所以网络管理员必须拥有非常强的分析和判断能力,用全面、动态和联系的眼光分析问题,善于进行逻辑推理,从纷繁复杂的现象中发现事物的本质。
网络管理员必须拥有充沛的体力、旺盛的精力和坚韧不拔的毅力。网络总是在不问地断运行,网络管理工作也同样是在日复一日,年复一年地重复进行。长时间的、大强度的脑力劳动无疑是非常辛苦的,所以,网络管理员既要非常热爱自己的工作,又要有强健的体魄支持,两者缺一不可。
除了技术过硬之外,网络管理员还必须具有较好的沟通能力。与网络公司沟通,既可传达公司对功能的需求,构建令人满意的网络,也可以了解网络设计理念,掌握相关的知识和技术;与用户沟通,可以及时掌握用户的需求,更好地为用户提供服务;与领导沟通,可以及时了解领导意图,调整网络服务策略和内容。
因此作为一名成功的网管员还必须具备上面所说的“软”素质,结合“硬件”素质和“软件”素质,才能真正做好企业的“网管”工作。
