标签:路由器

路由器

路由器接口

No Comments CISCO ,

查看接口状态

提问 查看当前路由器接 口状态

回答

Router1#show interfaces

Router1#show interfaces FastEthernet0/1

Router1#show ip interface brief

Router1#show ip interface FastEthernet0/1

注释 show interface命令得输出有很多得信息,网上一些中文文档详细介绍输出得含义,这里不翻译了。Txload和rxload这两个测量值得周期缺省是5分钟,可以使用load-interval 60 命令来修改其为60秒,必须是30得倍数,最长10分钟。再来一个隐藏命令

Router1#show interfaces FastEthernet0/1 stats

FastEthernet0/1

          Switching path    Pkts In   Chars In   Pkts Out  Chars Out

               Processor     294567   18704930     239526   22219870

             Route cache       7758     681257      48303    6129834

                   Total     302325   19386187     287829   28349704

Processor是process switching,Route cache是Fast Switching

16.2.  配置串行接口

提问 为广域网连接配置串行接口

回答

Router3#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router3(config)#interface Serial1

Router3(config-if)#description WAN Connection to Chicago

Router3(config-if)#ip address 192.168.99.5 255.255.255.252

Router3(config-if)#encapsulation hdlc

Router3(config-if)#clock rate 56000

Router3(config-if)#no shutdown

Router3(config-if)#exit

Router3(config)#end

Router3#

注释 在DCE侧需要配置clock rate,如果是DTE配置了clock rate路由器会忽略此配置。通过show controller serial 命令来判断连接线缆得类型。缺省情况路由器会认为串口为1.544M带宽,而实际可能不是,为了准确进行路由协议度量值计算,需要人工bandwidth命令来修改,注意这里得单位是Kilobits每秒,而clock rate是bits每秒

16.3.  使用内置T1 CSU/DSU

提问 使用内置T1 CSU/DSU配置广域网连接

回答

Router1#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router1(config)#interface Serial0/1

Router1(config-if)#ip address 192.168.99.9 255.255.255.252

Router1(config-if)#no shutdown

Router1(config-if)#service-module t1 timeslots 1-12

Router1(config-if)#exit

Router1(config)#end

Router1#

注释 缺省每个channel使用64Kbps,如果电路是56k的需要在上述service module命令后面加上speed 56。还有很多的参数,需要和对端一致

Router1(config-if)#service-module t1 linecode ami

Router1(config-if)#service-module t1 data-coding inverted

Router1(config-if)#service-module t1 framing sf

Router1(config-if)#service-module t1 fdl ansi

Router1(config-if)#service-module t1 fdl att

Router1(config-if)#service-module t1 remote-alarm-enable

通常运营商会提供时钟,如果在实验网络需要其成为DCE需要配置service-module t1 clock source internal 来提供时钟

16.4. 使用内置ISDN PRI 模块

提问 配置内置ISDN PRI 模块

回答

Router8#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router8(config)#isdn switch-type primary-dms100

Router8(config)#controller T1 0

Router8(config-controlle)#framing esf

Router8(config-controlle)#clock source line primary

Router8(config-controlle)#linecode b8zs

Router8(config-controlle)#pri-group timeslots 1-24

Router8(config-controlle)#exit

Router8(config)#end

Router8#

注释 无

16.5.  使用内置56 Kbps CSU/DSU

提问 配置内置56 Kbps CSU/DSU

回答

Router2#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router2(config)#interface Serial0/1

Router2(config-if)#ip address 192.168.99.25 255.255.255.252

Router2(config-if)#no shutdown

Router2(config-if)#service-module 56k clock rate 9.6

Router2(config-if)#exit

Router2(config)#end

Router2#

注释 这种模块没有见过,有点晕,先略一下

16.6.  配置异步串行接口

提问 配置一个同步/异步串行接口工作于异步模式

回答

Router3#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router3(config)#interface Serial1/7

Router3(config-if)#physical-layer async

Router3(config-if)#encapsulation ppp

Router3(config-if)#exit

Router3(config)#line 40

Router3(config-line)#speed 115200

Router3(config-line)#exit

Router3(config)#end

Router3#

注释 在配置了physical-layer async命令以后需要查看line号

Router3#show line

  Tty Typ    Tx/Rx    A Modem Roty AccO AccI  Uses  Noise  Overruns  Int

    0 CTY             -    -     -    -    -     0      0     0/0      –

   40 TTY  9600/9600  -    -     -    -    -     0      0     0/0     Se1/7

   65 AUX  2400/2400  F    -     -    -    -     0      0     0/0      –

看到Se1/7为line 40,同时其速率变为9600,所以需要使用speed命令来修改速率

16.7.  配置ATM子接口

提问 基于PVC得ATM链路互联

回答

老方法

Router2#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router2(config)#interface ATM0/0

Router2(config-if)#no ip address

Router2(config-if)#exit

Router2(config)#interface ATM0/0.1 point-to-point

Router2(config-subif)#description PVC to New York

Router2(config-subif)#ip address 192.168.250.146 255.255.255.252

Router2(config-subif)#atm pvc 1 0 60 aal5snap 10000 5000 3 oam 5

Router2(config-subif)#exit

Router2(config)#end

Router2#

11.3以后使用思科特性周期性发送ATM OAM信元来测试VC

Router2#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router2(config)#interface ATM0/0

Router2(config-if)#no ip address

Router2(config-if)#exit

Router2(config)#interface ATM0/0.1 point-to-point

Router2(config-subif)#description PVC to New York

Router2(config-subif)#ip address 192.168.250.146 255.255.255.252

Router2(config-subif)#pvc 0/60

Router2(config-if-atm-vc)#vbr-nrt 10000 5000 30

Router2(config-if-atm-vc)#oam-pvc manage 5

Router2(config-if-atm-vc)#exit

Router2(config)#end

Router2#

注释 第一种方法验证Router2#show atm pvc 0/60

ATM0/0.1: VCD: 1, VPI: 0, VCI: 60, etype:0x0, AAL5 – LLC/SNAP, Flags: 0x830

PeakRate: 10000, Average Rate: 5000, Burst Cells: 96, VCmode: 0xE000

OAM frequency: 5 second(s), InARP frequency: 15 minute(s)

InPkts: 1292959637, OutPkts: 3327374998, InBytes: 2196038015, OutBytes: 813592646

InPRoc: 19959239, OutPRoc: 24660, Broadcasts: 19481389

InFast: 1212924649, OutFast: 3297025318, InAS: 60075750, OutAS: 10843631

OAM F5 cells sent: 6804133, OAM cells received: 6740056

Status: ACTIVE

VCD是本地有效,VPI VCI必须和对端相同,至于封装协议推荐是AAL5SNAP,如果需要支持PPP则改为AAL5CISCOPPP

在新方法里面已经没有配置VCD了,并且如果3个OAM信元没有收到就会标记此接口断掉,在12.2(4)T后还引入了Router2(config)#snmp-server enable traps atm pvc extension oam failure loopback 来支持SNMP告警

 

设置有效载荷绕码(Payload Scrambling)

提问

回答

Router2#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router2(config)#interface ATM0/0

Router2(config-if)#atm ds3-scramble  (atm e3-scramble

Router2(config-if)#exit

Router2(config)#end

Router2#

------中间广告---------

Router4#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router4(config)#interface ATM0/0

Router4(config-if)#atm scrambling cell-payload

Router4(config-if)#exit

Router4(config)#end

Router4#

注释 暂略

16.9.  传统的ATM承载IP(Classical IP Over ATM)

提问 配置路由器支持SVC和传统的ATM承载IP

回答

首先ATMARP Server

Router1#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router1(config)#interface ATM1/0

Router1(config-if)#no ip address

Router1(config-if)#atm ilmi-keepalive

Router1(config-if)#pvc 0/5 qsaal

Router1(config-if-atm-vc)#exit

Router1(config-if)#pvc 0/16 ilmi

Router1(config-if-atm-vc)#exit

Router1(config-if)#exit

Router1(config)#interface ATM1/0.1 multipoint

Router1(config-subif)#ip address 192.168.123.1 255.255.255.0

Router1(config-subif)#atm esi-address A000C0A87B01.01

Router1(config-subif)#atm arp-server self

Router1(config-subif)#exit

Router1(config)#end

Router1#

其他Client

Router2#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router2(config)#interface ATM1/0

Router2(config-if)#no ip address

Router2(config-if)#atm ilmi-keepalive

Router2(config-if)#pvc 0/5 qsaal

Router2(config-if-atm-vc)#exit

Router2(config-if)#pvc 0/16 ilmi

Router2(config-if-atm-vc)#exit

Router2(config-if)#exit

Router2(config)#interface ATM1/0.1 multipoint

Router2(config-subif)#ip address 192.168.123.2 255.255.255.0

Router2(config-subif)#atm esi-address A000C0A87B02.01

Router2(config-subif)#atm arp-server nsap 47.00918100000000e014cd0001.A000C0A87B01.01

Router2(config-subif)#exit

Router2(config)#end

Router2#

注释 除了上面的使用ATM SVC以外,还有Local Area Network Emulation (LANE)和Multiple Protocols over ATM (MPOA)也支持,都是解决Quasi Signaling Application Adaptation Layer (QSAAL) 协议和nterim Local Management Interface (ILMI)的问题。在客户机配置arp服务器的地址要记得加上前缀,并不仅仅是服务器的ESI地址

16.10.  配置以太网接口特性

提问 对以太网接口得速率,双工等特性进行配置

回答

Router1#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router1(config)#interface FastEthernet0/0

Router1(config-if)#media-type 100BaseX

Router1(config-if)#duplex full

Router1(config-if)#speed 100

Router1(config-if)#mac-address 0AAA.ABCD.0101

Router1(config-if)#arp timeout 60

Router1(config-if)#keepalive 5

Router1(config-if)#exit

Router1(config)#end

Router1#

注释 无

16.11.  配置令牌环接口特性

提问 配置令牌环接口

回答

Router2#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router2(config)#interface TokenRing0

Router2(config-if)#ring-speed 4

Router8(config-if)#full-duplex

Router2(config-if)#mac-address 0006.1111.aaaa

Router2(config-if)#exit

Router2(config)#end

Router2#

注释 不是所有得令牌环模块都支持全双工

16.12.  使用ISL协议配置Vlan Trunks

提问 使用ISL协议配置Vlan Trunks

回答

Router1#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router1(config)#interface FastEthernet0/0

Router1(config-if)#no ip address

Router1(config-if)#speed 100

Router1(config-if)#full-duplex

Router1(config-if)#exit

Router1(config)#interface FastEthernet0/0.1

Router1(config-subif)#encapsulation isl 1

Router1(config-subif)#ip address 172.25.1.5 255.255.255.0

Router1(config-subif)#exit

Router1(config)#interface FastEthernet0/0.2

Router1(config-subif)#encapsulation isl 2

Router1(config-subif)#ip address 172.16.2.1 255.255.255.0

Router1(config-subif)#exit

Router1(config)#interface FastEthernet0/0.3

Router1(config-subif)#encapsulation isl 574

Router1(config-subif)#ip address 10.22.1.2 255.255.255.0

Router1(config-subif)#exit

Router1(config)#end

Router1#

注释 通常所说的单臂路由,ISL是思科特有的

Router1#show interfaces FastEthernet0/0.3

Encapsulation ISL Virtual LAN, Color 574.

在12.2(4)T以后增加了

Router1(config)#interface FastEthernet0/0.1

Router1(config-if)#ip unnumbered Loopback0

16.13.  使用802.1Q协议配置VLAN Trunks

提问 使用802.1Q协议配置Vlan Trunks

回答

Router2#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router2(config)#interface FastEthernet1/0

Router2(config-if)#no ip address

Router2(config-if)#speed 100

Router2(config-if)#full-duplex

Router2(config-if)#exit

Router2(config)#interface FastEthernet1/0.1

Router2(config-subif)#encapsulation dot1Q 1 native

Router2(config-subif)#ip address 172.25.1.47 255.255.255.0

Router2(config-subif)#exit

Router2(config)#interface FastEthernet1/0.2

Router2(config-subif)#encapsulation dot1Q 2

Router2(config-subif)#ip address 172.25.22.4 255.255.255.0

Router2(config-subif)#exit

Router2(config)#interface FastEthernet1/0.3

Router2(config-subif)#encapsulation dot1Q 548

Router2(config-subif)#ip address 172.20.1.1 255.255.255.0

Router2(config-subif)#exit

Router2(config)#end

Router2#

注释 这里面要注意的是native vlan的配置,缺省是vlan 1,但是也可以设定为其他的,要保证路由器的native vlan和交换机的是一致的

<!–[if !supportLists]–>16.14.       <!–[endif]–>LPD Printer Support

提问 把打印机接到路由器的异步串行口上

回答

Router1#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router1(config)#printer rtlpr1 line 161

Router1(config)#end

Router1#

注释 首先要有一台主机支持Berkeley Unix LPD print program,然后配置主机etc/printcap 把打印工作转到路由器,然后你的打印机要支持串口连接,最后通过show line的命令找到AUX端口的line号,也就是上例子中的161,同时建议下面配置

Router1(config)#line aux 0

Router1(config-line)#no exec

Router1(config-line)#no login

Router1(config-line)#no password

Router1(config-line)#transport input none

Router1(config-line)#speed 115200

Router1(config-line)#exit

Router1#show printer

Printer  Line  Rotary  Errors Connections Datafiles Controlfiles   Bytes

rtlpr1    161     0         0         0          0         0           0

Router1#

配置Cisco路由器上SSH服务

No Comments CISCO , , ,

 

目前Cisco的产品只支持SSH-1,还不支持SSH-2。下面以GSR 12008为例详细介绍SSH-1的配置方法(斜体字为配置输入的命令):
① 配置hostname和ip domain-name:
Router#configure terminal
Router(config)#hostname TEST-GSR12008
TEST-GSR12008(config)#ip domain-name jx.cn.net
② 配置登录用户名和密码(以本地认证为例):
TEST-GSR12008(config)#username test password 0 test
注:添加一个用户:test,口令:test
TEST-GSR12008(config)#line vty 0 4
TEST-GSR12008(config-line)#login local
在这两部分做完以后,用show run命令就能够看到:
hostname TEST-GSR12008
!
boot system flash gsr-k3p-mz.120-14.S.bin
enable secret 5 $1$DMyW$gdSIOkCr7p8ytwcRwtnJG.
enable password 7 094F47C31A0A
!
username test password 7 0835495D1D
clock timezone PRC 16
redundancy
main-cpu
auto-sync startup-config
!
!
!
!
ip subnet-zero
no ip finger
ip domain-name jx.cn.net
ip name-server 202.101.224.68
ip name-server 202.101.226.68
!
③ 配置SSH服务:
TEST-GSR12008(config)#crypto key generate rsa
The name for the keys will be: TEST-GSR12008.jx.cn.net
注:SSH的关键字名就是hostname + . +ip domain-name
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 注:选择加密位数,用默认就行了
Generating RSA keys …
[OK]
TEST-GSR12008(config)#end
TEST-GSR12008#write
Building configuration…
这时候用show run命令可以看到:
ip subnet-zero
no ip finger
ip domain-name jx.cn.net
ip name-server 202.101.224.68
ip name-server 202.101.226.68
ip ssh time-out 120
ip ssh authentication-retries 3
!
用命令show ip ssh也能看到:
SSH Enabled – version 1.5
Authentication timeout: 120 secs; Authentication retries: 3
现在SSH服务已经启动,如果需要停止SSH服务,用以下命令:
TEST-GSR12008(config)#crypto key zeroize rsa
④设置SSH参数
配置好了SSH之后,通过show run命令我们看到SSH默认的参数:超时限定为120秒,认证重试次数为3次,可以通过下面命令进行修改:
TEST-GSR12008(config)#ip ssh {[time-out seconds]} | [authentication-retries interger]}
如果要把超时限定改为180秒,则应该用:
TEST-GSR12008(config)# ip ssh time-out 180
如果要把重试次数改成5次,则应该用:
TEST-GSR12008(config)# ip ssh authentication-retries 5
这样,SSH已经在路由器上配置成功了,就能够通过SSH进行安全登录了。

路由器上防止(DDoS)攻击

No Comments CISCO , ,

 

1、使用 ip verfy unicast reverse-path 网络接口命令9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
这个功能检查每一个经过路由器的数据包。在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源 IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用 Unicast RPF需要打开路由器的"CEF swithing"或"CEF distributed switching"选项。不需要将输入接口配置为CEF交换(switching)。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换(switching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。9pY黑色海岸线网络安全资讯站
在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
2、使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
参考以下例子:9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
interface xy9pY黑色海岸线网络安全资讯站
ip access-group 101 in9pY黑色海岸线网络安全资讯站
access-list 101 deny ip 10.0.0.0 0.255.255.255 any9pY黑色海岸线网络安全资讯站
access-list 101 deny ip 192.168.0.0 0.0.255.255 any9pY黑色海岸线网络安全资讯站
access-list 101 deny ip 172.16.0.0 0.15.255.255 any9pY黑色海岸线网络安全资讯站
access-list 101 permit ip any any9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
3、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
参考以下例子:9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
{ISP中心} — ISP端边界路由器 — 客户端边界路由器 — {客户端网络}9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子:9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
access-list 190 permit ip {客户端网络} {客户端网络掩码} any9pY黑色海岸线网络安全资讯站
access-list 190 deny ip any any [log]9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
interface {内部网络接口} {网络接口号}9pY黑色海岸线网络安全资讯站
ip access-group 190 in9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
以下是客户端边界路由器的ACL例子:9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
access-list 187 deny ip {客户端网络} {客户端网络掩码} any9pY黑色海岸线网络安全资讯站
access-list 187 permit ip any any9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
access-list 188 permit ip {客户端网络} {客户端网络掩码} any9pY黑色海岸线网络安全资讯站
access-list 188 deny ip any any9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
interface {外部网络接口} {网络接口号}9pY黑色海岸线网络安全资讯站
ip access-group 187 in9pY黑色海岸线网络安全资讯站
ip access-group 188 out9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
如果打开了CEF功能,通过使用单一地址反向路径转发(Unicast RPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能。为了支持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口。9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
4、使用CAR(Control Access Rate)限制ICMP数据包流量速率9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
参考以下例子:9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
interface xy9pY黑色海岸线网络安全资讯站
rate-limit output access-group 2020 3000000 512000 786000 conform-action9pY黑色海岸线网络安全资讯站
transmit exceed-action drop9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
access-list 2020 permit icmp any any echo-reply9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
请参阅IOS Essential Features 获取更详细资料。9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
5、设置SYN数据包流量速率9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
interface {int}9pY黑色海岸线网络安全资讯站
rate-limit output access-group 153 45000000 100000 100000 conform-action9pY黑色海岸线网络安全资讯站
transmit exceed-action drop9pY黑色海岸线网络安全资讯站
rate-limit output access-group 152 1000000 100000 100000 conform-action9pY黑色海岸线网络安全资讯站
transmit exceed-action drop9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
access-list 152 permit tcp any host eq www9pY黑色海岸线网络安全资讯站
access-list 153 permit tcp any host eq www established9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
在实现应用中需要进行必要的修改,替换:9pY黑色海岸线网络安全资讯站
45000000为最大连接带宽9pY黑色海岸线网络安全资讯站
1000000为SYN flood流量速率的30%到50%之间的数值。9pY黑色海岸线网络安全资讯站
burst normal(正常突变)和 burst max(最大突变)两个速率为正确的数值。9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
注意,如果突变速率设置超过30%,可能会丢失许多合法的SYN数据包。使用"show interfaces rate-limit"命令查看该网络接口的正常和过度速率,能够帮助确定合适的突变速率。这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
警告:一般推荐在网络正常工作时测量SYN数据包流量速率,以此基准数值加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差。9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
另外,建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
6、搜集证据并联系网络安全部门或机构9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
如果可能,捕获攻击数据包用于分析。建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为:9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
tcpdump -i interface -s 1500 -w capture_file9pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
snoop -d interface -o capture_file -s 15009pY黑色海岸线网络安全资讯站
9pY黑色海岸线网络安全资讯站
本例中假定MTU大小为1500。如果MTU大于1500,则需要修改相应参数。将这些捕获的数据包和日志作为证据提供给有关网络安全部门或机构

三层交换机与路由器的比较

在大型局域网中,这种功能体现很完美,对掌握三层交换机很有帮助,但现在有些厂家的交换机也可以直接接Internet提供路由器功能.

三层交换机与路由器的比较

为了适应网络应用深化带来的挑战,网络在规模和速度方向都在急剧发展,局域网的速度已从最初的10Mbit/s 提高到100Mbit/s,目前千兆以太网技术已得到普遍应用。
在网络结构方面也从早期的共享介质的局域网发展到目前的交换式局域网。交换式局域网技术使专用的带宽为用户所独享,极大的提高了局域网传输的效率。可以说,在网络系统集成的技术中,直接面向用户的第一层接口和第二层交换技术方面已得到令人满意的答案。但是,作为网络核心、起到网间互连作用的路由器技术却没有质的突破。在这种情况下,一种新的路由技术应运而生,这就是第三层交换技术:说它是路由器,因为它可操作在网络协议的第三层,是一种路由理解设备并可起到路由决定的作用;说它是交换器,是因为它的速度极快,几乎达到第二层交换的速度。二层交换机、三层交换机和路由器这三种技术究竟谁优谁劣,它们各自适用在什么环境?为了解答这问题,我们先从这三种技术的工作原理入手:
1.二层交换技术
二层交换机是数据链路层的设备,它能够读取数据包中的MAC地址信息并根据MAC地址来进行交换。
交换机内部有一个地址表,这个地址表标明了MAC地址和交换机端口的对应关系。当交换机从某个端口收到一个数据包,它首先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的,它再去读取包头中的目的MAC地址,并在地址表中查找相应的端口,如果表中有与这目的MAC地址对应的端口,则把数据包直接复制到这端口上,如果在表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应时,交换机又可以学习一目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。
二层交换机就是这样建立和维护它自己的地址表。由于二层交换机一般具有很宽的交换总线带宽,所以可以同时为很多端口进行数据交换。如果二层交换机有N个端口,每个端口的带宽是M,而它的交换机总线带宽超过N×M,那么这交换机就可以实现线速交换。二层交换机对广播包是不做限制的,把广播包复制到所有端口上。
二层交换机一般都含有专门用于处理数据包转发的ASIC (Application specific Integrated Circuit)芯片,因此转发速度可以做到非常快。
2.路由技术
路由器是在OSI七层网络模型中的第三层——网络层操作的。
路由器内部有一个路由表,这表标明了如果要去某个地方,下一步应该往哪走。路由器从某个端口收到一个数据包,它首先把链路层的包头去掉(拆包),读取目的IP地址,然后查找路由表,若能确定下一步往哪送,则再加上链路层的包头(打包),把该数据包转发出去;如果不能确定下一步的地址,则向源地址返回一个信息,并把这个数据包丢掉。
路由技术和二层交换看起来有点相似,其实路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层(数据链路层),而路由发生在第三层。这一区别决定了路由和交换在传送数据的过程中需要使用不同的控制信息,所以两者实现各自功能的方式是不同的。
路由技术其实是由两项最基本的活动组成,即决定最优路径和传输数据包。其中,数据包的传输相对较为简单和直接,而路由的确定则更加复杂一些。路由算法在路由表中写入各种不同的信息,路由器会根据数据包所要到达的目的地选择最佳路径把数据包发送到可以到达该目的地的下一台路由器处。当下一台路由器接收到该数据包时,也会查看其目标地址,并使用合适的路径继续传送给后面的路由器。依次类推,直到数据包到达最终目的地。
路由器之间可以进行相互通讯,而且可以通过传送不同类型的信息维护各自的路由表。路由更新信息主是这样一种信息,一般是由部分或全部路由表组成。通过分析其它路由器发出的路由更新信息,路由器可以掌握整个网络的拓扑结构。链路状态广播是另外一种在路由器之间传递的信息,它可以把信息发送方的链路状态及进的通知给其它路由器。
3.三层交换技术
一个具有第三层交换功能的设备是一个带有第三层路由功能的第二层交换机,但它是二者的有机结合,并不是简单的把路由器设备的硬件及软件简单地叠加在局域网交换机上。
从硬件上看,第二层交换机的接口模块都是通过高速背板/总线(速率可高达几十Gbit/s)交换数据的,在第三层交换机中,与路由器有关的第三层路由硬件模块也插接在高速背板/总线上,这种方式使得路由模块可以与需要路由的其他模块间高速的交换数据,从而突破了传统的外接路由器接口速率的限制。在软件方面,第三层交换机也有重大的举措,它将传统的基于软件的路由器软件进行了界定。
其做法是:
对于数据包的转发:如IP/IPX包的转发,这些规律的过程通过硬件得以高速实现。
对于第三层路由软件:如路由信息的更新、路由表维护、路由计算、路由的确定等功能,用优化、高效的软件实现。
假设两个使用IP协议的机器通过第三层交换机进行通信的过程,机器A在开始发送时,已知目的IP地址,但尚不知道在局域网上发送所需要的MAC地址。要采用地址解析(ARP)来确定目的MAC地址。机器A把自己的IP地址与目的IP地址比较,从其软件中配置的子网掩码提取出网络地址来确定目的机器是否与自己在同一子网内。若目的机器B与机器A在同一子网内,A广播一个ARP请求,B返回其MAC地址,A得到目的机器B的MAC地址后将这一地址缓存起来,并用此MAC地址封包转发数据,第二层交换模块查找MAC地址表确定将数据包发向目的端口。若两个机器不在同一子网内,如发送机器A要与目的机器C通信,发送机器A要向“缺省网关”发出ARP包,而“缺省网关”的IP地址已经在系统软件中设置。这个IP地址实际上对应第三层交换机的第三层交换模块。所以当发送机器A对“缺省网关”的IP地址广播出一个ARP请求时,若第三层交换模块在以往的通信过程中已得到目的机器C的MAC地址,则向发送机器A回复C的MAC地址;否则第三层交换模块根据路由信息向目的机器广播一个ARP请求,目的机器C得到此ARP请示后向第三层交换模块回复其MAC地址,第三层交换模块保存此地址并回复给发送机器A。以后,当再进行A与C之间数据包转发进,将用最终的目的机器的MAC地址封装,数据转发过程全部交给第二层交换处理,信息得以高速交换。既所谓的一次选路,多次交换。
第三层交换具有以下突出特点:
有机的硬件结合使得数据交换加速;
优化的路由软件使 得路由过程效率提高;
除了必要的路由决定过程外,大部分数据转发过程由第二层交换处理;
多个子网互连时只是与第三层交换模块的逻辑连接,不象传统的外接路由器那样需增加端口,保护了用户的投资。
4.三种技术的对比
可以看出,二层交换机主要用在小型局域网中,机器数量在二、三十台以下,这样的网络环境下,广播包影响不大,二层交换机的快速交换功能、多个接入端口和低廉价格为小型网络用户提供了很完善的解决方案。在这种小型网络中根本没必要引入路由功能从而增加管理的难度和费用,所以没有必要使用路由器,当然也没有必要使用三层交换机。
三层交换机是为IP设计的,接口类型简单,拥有很强二层包处理能力,所以适用于大型局域网,为了减小广播风暴的危害,必须把大型局域网按功能或地域等因素划他成一个一个的小局域网,也就是一个一个的小网段,这样必然导致不同网段这间存在大量的互访,单纯使用二层交换机没办法实现网间的互访而单纯使用路由器,则由于端口数量有限,路由速度较慢,而限制了网络的规模和访问速度,所以这种环境下,由二层交换技术和路由技术有机结合而成的三层交换机就最为适合。
路由器端口类型多,支持的三层协议多,路由能力强,所以适合于在大型网络之间的互连,虽然不少三层交换机甚至二层交换机都有异质网络的互连端口,但一般大型网络的互连端口不多,互连设备的主要功能不在于在端口之间进行快速交换,而是要选择最佳路径,进行负载分担,链路备份和最重要的与其它网络进行路由信息交换,所有这些都是路由完成的功能。
在这种情况下,自然不可能使用二层交换机,但是否使用三层交换机,则视具体情况而下。影响的因素主要有网络流量、响应速度要求和投资预算等。三层交换机的最重要目的是加快大型局域网内部的数据交换,揉合进去的路由功能也是为这目的服务的,所以它的路由功能没有同一档次的专业路由器强。在网络流量很大的情况下,如果三层交换机既做网内的交换,又做网间的路由,必然会大大加重了它的负担,影响响应速度。在网络流量很大,但又要求响应速度很高的情况下由三层交换机做网内的交换,由路由器专门负责网间的路由工作,这样可以充分发挥不同设备的优势,是一个很好的配合。当然,如果受到投资预算的限制,由三层交换机兼做网间互连,也是个不错的选择。

CISCO路由器实现双线接入

第一步:
配置cnc接口:
interface GigabitEthernet5/1
ip address 60.10.135.11 255.255.255.224
ip nat outside

配置tel接口:
interface GigabitEthernet5/9
ip address 219.148.157.22 255.255.255.252
ip nat outside

配置内网接口:
interface GigabitEthernet5/2
ip address 192.168.0.1 255.255.255.0
ip nat inside

第二步:配置accelist-list

access-list 100 permit ip 192.168.0.0 0.0.0.255 any

第三步:分别配置cnc和tel的地址池
ip nat pool pool2 60.10.135.11 60.10.135.11 netmask 255.255.255.224
ip nat pool pool1 219.148.157.22 219.148.157.22 netmask 255.255.255.252

第四步:配置两个route-map

route-map isp2 permit 10
match ip address 100
match interface GigabitEthernet5/1
!
route-map isp1 permit 10
match ip address 100
match interface GigabitEthernet5/9

第五步:配置两个nat

ip nat inside source route-map isp1 pool pool1 overload
ip nat inside source route-map isp2 pool pool2 overload

第六步:配置路由
缺省从电信走:ip route 0.0.0.0 0.0.0.0 219.148.157.21
目的地址是网通的走网通,例如:ip route 202.99.168.0 255.255.248.0 60.10.135.1
将全国的网通地址段全部添加上即可完成。唉,魂牵梦绕的她终于走到了我跟前。

路由器网络接口interface port详解(三)

目录

(17)队列消息
(18)5-分钟I/O速率
(19)分组和字节输入
(20)无缓冲
(21)接收的广播
(22)Runts
(23)Giants
(24)Throttles

(17)队列消息

对于输出和输入队列,显示为m/n形式的一队数字,随后是由于队列已满而丢失的分组数。这里替代了m的值表示队列中的分组数,而替代n的值表示用分组表示最大队列大小。通过检查丢失的分组数以及在一段时间内m和n之间的关系,就可以确定是否需要建议对特定接口的队列长度进行调整以减少丢失的分组。但是,还应考虑与接口相连的介质和使用级别,以确定对输出队列长度进行调试是否有益。使用率高的介质最有可能引起队列中分组的丢失:路由器在传输数据时,将遭遇困难,从而导致输出分组排队,而这反过来导致当输出队列已满,且有其他分组到达以便通过接口传输到介质时出现分组丢失。在输入方,丢失的分组和m和n的较大比值表示路由器正忙于进行其他工作,而无法适时地处理进入的分组。如果次情形持续的时间比较长,则通常表示需要一个更强大的路由器以满足工作需要。通常,此情形可通过许多路由器接口的进入方向上的大量丢失的分组而观察到。

在上面的show interfaces中队列信息字段值显示目前任一队列中均无分组。而且,虽然输出队列已满而造成63个分组丢失,但没有分组由于输入队列而丢失。后者是一种常见情形,因为大多数路由器(除非配置过度)不应该在处理进入的数据方面有问题。

(18)5-分钟I/O速率

下一个字段显示在前5分钟通过接口发送和接收的平均位数和平均分组数。当解释在此字段中显示的数据时,必须考虑几个因素。首先,必须考虑接口的运行模式和接口相连的网络的配置。例如,如果接口是LAN接口,则即可以运行在混乱模式,从而度曲LAN上的每一侦,也可以运行在非混乱模式,即仅读取广播榛和直接投递到接口的桢。

如果端口处于混乱模式,则读取所有的分组,并提供一种测试在网络中流动的数据的方法。如果接口不处于混乱状态,则仅对她发送和接收的流量有感觉,这可能只占网络中所有流量的一小部分。

考虑到网络配置,如果接口连接到只有一个站的LAN,如WEB服务器,那么所有的流量将流经路由器的接口。这意味着可以获得一种相对准确的测试网络活动方法,而无需考虑接口所处的模式。

需要考虑的另一个因素是5分钟I/O速率表示5分钟时间常数的幂平均值之一事实。因此,任意一个5分钟I/O速率都是这段时间内每秒流量的大概值。但是4个5分钟的时间跨度所产生的平均值将在20分钟的统一流量的即时速率的2%以内。

因为分组的长度可变,所以每秒位率通常比从传输介质角度检查接口上的活动更有用。在上面的例子中,输入速率1540000bps约表示接口运行速率的1/6。你可能会感到奇怪,为什么输入速率比接口输出速率大将近一个数量级,回答在于接口的连接。在这一特定的路由器使用环境中,以太网接口连接到一个只具有一个另外的站(即公司WEB服务器)的10BASE-TLAN。WEB页请求以统一资源定位器(URL)的形式流动,而对URL请求的响应是WEB页;这解释了为什么输入和输出方向上的流量级别不成正比。现在,我们了解了5分钟I/O速率,接下来让我们介绍可为某个接口显示的特定分组的输入和输出信息。

(19)分组和字节输入

此字段首先表示路由器接收的无错误分组的总数量。其次,它还表示路由器接收的无错误分组的总字节数。

如果用字节数除以分组数,就可以获得字节表示的平均分组长度。此信息可用于为在接口上流动的流量类型提供一般表示。例如,相对短的分组通常传输交互式的查询/响应流量,而相对长的分组通常传输包括WEB页的文件及包含在大多数这些页中的图形。

(20)无缓冲

无缓冲字段表示接口所接收的、由于路由器缺乏缓冲空间而不得不丢弃的分组数。不要将此缓冲空间与接口的内部缓冲弄混。当出现连续的“无缓冲”情形时,通常表示路由器需要更多的内存。但是,如果定期遇到no buffers值,则可能是由于LAN上的广播风暴或者串行端口上的噪音发作所致。可以通过检查下一字段确定出现无缓冲值的原因是否属于广播风暴所致。

(21)接收的广播

此字段表示接口所接收的广播或多播分组的总数量。要注意的重要一点是许多广播是自然通信过程的一部分。例如,用于将第三层IP地址解析为第2层Mac地址的ARP取决于发放一个广播,以查询与必须获得的第3层地址相关的第2层地址的LAN的每一站,如此才能正确形成侦来传递分组。同样,在Novell IPX环境中,服务器每30s广播服务声明协议(SAP)分组。这些定义了服务器所提供的服务。

如果你是严格的IP环境,那么更有可能从ARP请求获得一部分广播。如果你具有以来于时间的应用程序,那么确确实实可以通过为运行以来于时间的应用程序将固定项设置为路由器的ARP缓存,从而用一个动作解决两个问题。这样做不仅可以避免路由器必须执行ARP操作,还允许解析过程通过检查内存而发生,这比等待广播的响应快得多。因为数据流量在ARP广播期间中断,所以减少ARP广播能够提高接口的信息传输功能。因为ARP表在路由器内部维护。

(22)Runts

Runt是一个错误情形术语,与它相关的分组长度小于某个协议相关的最小长度。在以太网环境中,最小分组长度在适配卡上是64字节,而在LAN上是72字节。因此,如果某个接口接收到以太网分组小于72字节,那么它将是一个错误情形,分组将被丢弃。通常,冲突可以引起Runt的产生,而出现故障的适配卡也可以引起此情形的发生。

(23)Giants

Giants是又一个错误情形。它表示分组超过了协议最大分组长度。在以太网环境中,适配卡的最大分组长度是1518字节,而在网络中流动的分组最大长度为1526字节。因此长度(包括前导码和起始界符字段)超过1526字节的分组被视为Giant。这样的分组也会被丢弃,而Giant数表示由于此情形而丢弃的分组数。导致Giant分组的通常原因是滞后冲突或适配卡出现故障。

(24)Throttles

虽然这样情形很少发生,但是如果路由器察觉缓冲或处理器过载,将关掉它的接收器。这一情形称为Throttles,而实际并非通信问题。相反,它是一个路由器功能问题,要求你检查系统缓冲及处理器的状态。如果使用show interfaces命令时指示有大量的“无缓冲”和Throttle,那么通常表示应考虑给路由器添加内存。【完】

小编说话:如果你想阐述自己的观点,请在下面的“发表评论”中发言
(责任编辑:赵纪雷)

路由器网络接口interface port详解(二)

目录

(9)封装
(10)回送
(11)ARP类型
(12)ARP超时
(13)最后的输入和输出
(14)输出中断
(15)最后一次清除
(16)排队策略

(9)封装

此字段表示分配给接口的封装方法。在上面的例子中,封装显示为ARPA,他的标准的以太网2.0版封装方法。其他封装方法还包括IEEE 802.3以太网的关键字iso1,以及IEEE 802.3桢的关键字snap(子网访问协议)桢变异。

(10)回送

回送字段表示接口是否处于运行的回送模式。如果设置回送,这是当技术人员夜间将接口放入回送接口进行测试,而忘了重置回送时发生的常见问题,这会导致第二天早上会有一些有趣的电话打到控制中心。

可以使用Loopback interface设置命令将接口置于运行的回送模式。Loopback命令没有参数,应使用no Loopback命令删除或禁用回送。以下例子显示了将以太网接口设置为回送模式。

Interface ethernet0/0

Loopback

可以使用show interface loopback

EXEC命令查看回送的状态。如果你的路由器有大量的接口,并且技术人员进行定期检测,那么在一大早使用此命令以避免不必要的问题是一个不错的主意。

(11)ARP类型

此字段表示分配的地址解析协议(ARP)类型。在IP环境中,ARP类型是ARPA。默认情况下,以太网接口使用ARPA关键字以指定IP接口上的ARPA封装。可以通过使用arp interface 命令将封装更改为HP PROBE或SNAP,此命令格式如下:

arp {arpa/probe/snap}

请注意HP

Probe被IOS用于试图解析IEEE802.3或以太网本地数据连路地址。应将ARP类型设为probe,以使得一个或多个路由器接口透明地与使用称为”虚拟地址请求和回复”的地址解析技术的HP IEEE802.3 主机通信。

(12)ARP超时

此字段表示当非活动时,ARP项在清洗之前保留于缓存中的时间长度。ARP超时的默认值为4个小时,如上面例子所示:

可以通过使用ARP timeout命令调整 ARP缓存项在缓存中的时间长度。此命令格式如:

arp timeout seconds

(13)最后的输入和输出

此字段表示最后一个分组或侦被接口成功接收或发送以来的小时、分钟和秒数。可以使用此字段中的值确定活动接口是否依然激活或者死接口何时出现故障。关于前者,在第一个show interface 命令指示接口新的最后输出(这还可以指示是否有问题发生)后10秒或1分钟,再输入第二个show interface命令。它还表示如果出现问题,并非由于无法接收分组。例如,上面的例子中,最后一个成功输入发生在2秒之前。如果我们等待几秒,并发布又一个show interface命令,就可以获得对此计数器的更新。

(14)输出中断

输出中断字段表示自接口由于发送时间太长而进行最后一次重置以来的时间。此字段的值用小时、分钟和秒数指定,或者如果未发生中断(hang)情况,将永不显示。如果自最后一次重置以来的小时数超过24,将显示天数和小时数,直到字段益出。当发生此情形时,将在此字段中显示星号(*)。

(15)最后一次清除

此字段表示测量累计统计信息的接口计数器最后一次被重置为0的时间。清除会影响几乎所以的统计信息,除了诸如负载和可靠性等路由统计信息之外。

最后一次清除所显示的实际值是基于32位ms计数器的使用。显示星号表示经过的时间太长无法显示,而显示0:00:00表示计数器在2的31次幂ms到2的32次幂ms之前清除。在许多路由器上最后一次清除值将以星期和月或日和小时表示。例如,在上面的例子里,show interfaces计数器最后一次清除显示为1w2d。

(16)排队策略

此字段表示分配给接口的配对策略。默认为先入后出(First in first out ,FIFO)。如果以前为接口分配了优先级配对方式,将在此字段中列出此配对方法。【未完待续】

下一篇文章:《路由器网络接口解析大全(三)》

小编说话:如果你想阐述自己的观点,请在下面的“发表评论”中发言
(责任编辑:赵纪雷)

路由器网络接口interface port详解(一)

目录

(1) 接口和活动状态
(2) 硬件字段为你提供接口的硬件类型
(3) Internet地址
(4) MTU
(5) BW
(6) DLY
(7) 可靠性
(8) 负载

Router# show interface e0/0 Ethernet0/0 is up, line protocol is down Hardware is AmdP2, address is 0009.4375.5e20 (bia 0009.4375.5e20) Internet address is 192.168.1.53/24 MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, reliability 172/255, txload 3/255, rxload 39/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 00:00:07, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 50 packets output, 3270 bytes, 0 underruns 50 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 50 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out

(1) 接口和活动状态

在上面的显示中,内容表示硬件接口是活动的,而处理行协议的软件过程相信此接口可用。如果路由器操作员拆卸此硬件接口,第一个字段将显示信息is administratively down.如果路由器在活动间隔内收到5000个以上的错误,单词Disabled将出现在此字段中,以显示连路由器自动禁用此端口。行协议字段还显示以前提到的三个描述之一:up、down、administratively down.如果字段项是up,则表示处理行协议和软件过程相信此接口可用,因为她正在接收keepalives的目的也是如此,其他设备可以确定某个空闲连接是否仍然活动。对于以太网接口,Keepalives的默认值是10s。我们不久将注意到,Keepalives设置可以通过为特定接口使用show interfaces命令来获得。可以用keepalive interface 命令来改变keepalives设置。此命令的格式如下:Keepalive seconds

(2) 硬件字段为你提供接口的硬件类型

在以上的例子中,硬件是CISCO扩展总线(CxBus)以太网,即接口处理器的533-Mbps数据总线。因此,硬件通知我们高速CxBus接口处理器用于支持以太网连接。同时还要注意显示字段包括接口的Mac地址。Mac是48位长的。因为Mac地址的头24位是表示生产厂家ID,所以十六进制数00-10-79是由IEEE分配给Csico的标识符。

(3) Internet地址

如果某个接口是为IP路由配置,那么将为它分配一个Internet地址。此地址后面是他的子网掩码。IP地址是205.141.192.1/24。反斜杠(/)后面表示此地址的头24位表示网络,他等于子网掩码255.255.255.0。

(4) MTU

最大传输单元(MTU)表示运行在接口上的协议的信息字段所支持的最大字节数。因为以太网桢的信息字段的最大长度是1500字节,所以它的MTU显示为1500字节。对于几乎所有的以太网应用程序,默认的1500字节MTU应该是有效的。对于令牌环,默认的MTU值为8192字节;但是应该注意的一点是RFC1191建议的MTU值为16-Mbps令牌环选择17914的,而为4-Mbps令牌环选择4464字节。最小的MTU是64个字节,而最大的值是65535字节。如果IP数据报超过最大的MTU,将对它进行分段,这将增加额外开销,因为每个最后的数据报都包含它自己的报头。虽然在高速LAN连接中,通常无需担心与分段有关的额外开销,但在低速串行接口上,这可能会是一个比较严重的问题。可以用MTUinterface命令来改变默认的MTU,此命令格式如下:

mtu bytes

字节数可以是从64~6553。

(5) BW

接口带宽(BW)通常指的是接口的运行速率,用每秒千字节表示。因为以太网运行速率为10Mbps,所以BW值显示为10 000Kb。

可以用Bandwidth命令设置信息带宽值,但实际上不用它来调整接口的带宽,因为对于某些类型的介质,如以太网,带宽是固定的。对于其他的介质,如串行线,通常通过调整硬件来调整其运行速率。例如通过DSU/CSU上设置不同的时钟速率来提高或降低串行接口的运行速率。因此,bandwidth命令主要目的是使当前带宽与高层协议通信。可以通过以下命令格式设置带宽值,千位表示以千位每秒表示的带宽。Bandwidth kilobits

(6) DLY

此字段表示接口的延迟,用微秒表示。以太网的延迟(DLY)为1000s。可以使用delay interface命令为接口设置延迟值。此命令的格式如下:

delay tens-of-microseconds

(7) 可靠性

可靠性字段表示接口的可靠性,用255分之几表示。此字段中所显示的值由在5分钟内的幂平均值计算。因为以太网为每个桢计算CRC,所以可靠性是基于CRC错误率,而不是位错误率。255/255表示接口在5分钟内100%可靠。

虽然没有可靠性命令,可以考虑定期使用的一个重要命令是clear conuter EXEC命令。此命令的功能是清楚或重置接口计数器。此命令的一般格式取决于正在使用的路由器。下面显示的是第二种格式用于Cisco7000系列产品:

clear counter [type number]

clear counter [type slot/port]

type表示特定的接口类型。如果你不指定特定接口,所有接口的计数器都被清除。

(8) 负载

接口上的发送和接收负载均显示为255分之几。与可靠性字段类似,负载字段也是计算5分钟内的幂平均值。从上面可以看出,发送(Txload)负载表示为3/255,而接收(rxload)负载为39/255。因为以太网运行速率为10Mbps,所以可以通过将每分数乘以运行速率来获得接口活动的一般指示。这是因为每个以太网桢都至少有26个额外字节,而当信息字段少于45字节时,将使PAD字符添加到信息字段中。【未完待续】
目录
(9)封装
(10)回送
(11)ARP类型
(12)ARP超时
(13)最后的输入和输出
(14)输出中断
(15)最后一次清除
(16)排队策略
(9)封装
此字段表示分配给接口的封装方法。在上面的例子中,封装显示为ARPA,他的标准的以太网2.0版封装方法。其他封装方法还包括IEEE 802.3以太网的关键字iso1,以及IEEE 802.3桢的关键字snap(子网访问协议)桢变异。
(10)回送
回送字段表示接口是否处于运行的回送模式。如果设置回送,这是当技术人员夜间将接口放入回送接口进行测试,而忘了重置回送时发生的常见问题,这会导致第二天早上会有一些有趣的电话打到控制中心。
可以使用Loopback interface设置命令将接口置于运行的回送模式。Loopback命令没有参数,应使用no Loopback命令删除或禁用回送。以下例子显示了将以太网接口设置为回送模式。
Interface ethernet0/0
Loopback
可以使用show interface loopback
EXEC命令查看回送的状态。如果你的路由器有大量的接口,并且技术人员进行定期检测,那么在一大早使用此命令以避免不必要的问题是一个不错的主意。
(11)ARP类型
此字段表示分配的地址解析协议(ARP)类型。在IP环境中,ARP类型是ARPA。默认情况下,以太网接口使用ARPA关键字以指定IP接口上的ARPA封装。可以通过使用arp interface 命令将封装更改为HP PROBE或SNAP,此命令格式如下:
arp {arpa/probe/snap}
请注意HP
Probe被IOS用于试图解析IEEE802.3或以太网本地数据连路地址。应将ARP类型设为probe,以使得一个或多个路由器接口透明地与使用称为”虚拟地址请求和回复”的地址解析技术的HP IEEE802.3 主机通信。
(12)ARP超时
此字段表示当非活动时,ARP项在清洗之前保留于缓存中的时间长度。ARP超时的默认值为4个小时,如上面例子所示:
可以通过使用ARP timeout命令调整 ARP缓存项在缓存中的时间长度。此命令格式如:
arp timeout seconds
(13)最后的输入和输出
此字段表示最后一个分组或侦被接口成功接收或发送以来的小时、分钟和秒数。可以使用此字段中的值确定活动接口是否依然激活或者死接口何时出现故障。关于前者,在第一个show interface 命令指示接口新的最后输出(这还可以指示是否有问题发生)后10秒或1分钟,再输入第二个show interface命令。它还表示如果出现问题,并非由于无法接收分组。例如,上面的例子中,最后一个成功输入发生在2秒之前。如果我们等待几秒,并发布又一个show interface命令,就可以获得对此计数器的更新。
(14)输出中断
输出中断字段表示自接口由于发送时间太长而进行最后一次重置以来的时间。此字段的值用小时、分钟和秒数指定,或者如果未发生中断(hang)情况,将永不显示。如果自最后一次重置以来的小时数超过24,将显示天数和小时数,直到字段益出。当发生此情形时,将在此字段中显示星号(*)。
(15)最后一次清除
此字段表示测量累计统计信息的接口计数器最后一次被重置为0的时间。清除会影响几乎所以的统计信息,除了诸如负载和可靠性等路由统计信息之外。
最后一次清除所显示的实际值是基于32位ms计数器的使用。显示星号表示经过的时间太长无法显示,而显示0:00:00表示计数器在2的31次幂ms到2的32次幂ms之前清除。在许多路由器上最后一次清除值将以星期和月或日和小时表示。例如,在上面的例子里,show interfaces计数器最后一次清除显示为1w2d。
(16)排队策略
此字段表示分配给接口的配对策略。默认为先入后出(First in first out ,FIFO)。如果以前为接口分配了优先级配对方式,将在此字段中列出此配对方法。【未完待续】
目录
(17)队列消息
(18)5-分钟I/O速率
(19)分组和字节输入
(20)无缓冲
(21)接收的广播
(22)Runts
(23)Giants
(24)Throttles
(17)队列消息
对于输出和输入队列,显示为m/n形式的一队数字,随后是由于队列已满而丢失的分组数。这里替代了m的值表示队列中的分组数,而替代n的值表示用分组表示最大队列大小。通过检查丢失的分组数以及在一段时间内m和n之间的关系,就可以确定是否需要建议对特定接口的队列长度进行调整以减少丢失的分组。但是,还应考虑与接口相连的介质和使用级别,以确定对输出队列长度进行调试是否有益。使用率高的介质最有可能引起队列中分组的丢失:路由器在传输数据时,将遭遇困难,从而导致输出分组排队,而这反过来导致当输出队列已满,且有其他分组到达以便通过接口传输到介质时出现分组丢失。在输入方,丢失的分组和m和n的较大比值表示路由器正忙于进行其他工作,而无法适时地处理进入的分组。如果次情形持续的时间比较长,则通常表示需要一个更强大的路由器以满足工作需要。通常,此情形可通过许多路由器接口的进入方向上的大量丢失的分组而观察到。
在上面的show interfaces中队列信息字段值显示目前任一队列中均无分组。而且,虽然输出队列已满而造成63个分组丢失,但没有分组由于输入队列而丢失。后者是一种常见情形,因为大多数路由器(除非配置过度)不应该在处理进入的数据方面有问题。
(18)5-分钟I/O速率
下一个字段显示在前5分钟通过接口发送和接收的平均位数和平均分组数。当解释在此字段中显示的数据时,必须考虑几个因素。首先,必须考虑接口的运行模式和接口相连的网络的配置。例如,如果接口是LAN接口,则即可以运行在混乱模式,从而度曲LAN上的每一侦,也可以运行在非混乱模式,即仅读取广播榛和直接投递到接口的桢。
如果端口处于混乱模式,则读取所有的分组,并提供一种测试在网络中流动的数据的方法。如果接口不处于混乱状态,则仅对她发送和接收的流量有感觉,这可能只占网络中所有流量的一小部分。
考虑到网络配置,如果接口连接到只有一个站的LAN,如WEB服务器,那么所有的流量将流经路由器的接口。这意味着可以获得一种相对准确的测试网络活动方法,而无需考虑接口所处的模式。
需要考虑的另一个因素是5分钟I/O速率表示5分钟时间常数的幂平均值之一事实。因此,任意一个5分钟I/O速率都是这段时间内每秒流量的大概值。但是4个5分钟的时间跨度所产生的平均值将在20分钟的统一流量的即时速率的2%以内。
因为分组的长度可变,所以每秒位率通常比从传输介质角度检查接口上的活动更有用。在上面的例子中,输入速率1540000bps约表示接口运行速率的1/6。你可能会感到奇怪,为什么输入速率比接口输出速率大将近一个数量级,回答在于接口的连接。在这一特定的路由器使用环境中,以太网接口连接到一个只具有一个另外的站(即公司WEB服务器)的10BASE-TLAN。WEB页请求以统一资源定位器(URL)的形式流动,而对URL请求的响应是WEB页;这解释了为什么输入和输出方向上的流量级别不成正比。现在,我们了解了5分钟I/O速率,接下来让我们介绍可为某个接口显示的特定分组的输入和输出信息。
(19)分组和字节输入
此字段首先表示路由器接收的无错误分组的总数量。其次,它还表示路由器接收的无错误分组的总字节数。
如果用字节数除以分组数,就可以获得字节表示的平均分组长度。此信息可用于为在接口上流动的流量类型提供一般表示。例如,相对短的分组通常传输交互式的查询/响应流量,而相对长的分组通常传输包括WEB页的文件及包含在大多数这些页中的图形。
(20)无缓冲
无缓冲字段表示接口所接收的、由于路由器缺乏缓冲空间而不得不丢弃的分组数。不要将此缓冲空间与接口的内部缓冲弄混。当出现连续的“无缓冲”情形时,通常表示路由器需要更多的内存。但是,如果定期遇到no buffers值,则可能是由于LAN上的广播风暴或者串行端口上的噪音发作所致。可以通过检查下一字段确定出现无缓冲值的原因是否属于广播风暴所致。
(21)接收的广播
此字段表示接口所接收的广播或多播分组的总数量。要注意的重要一点是许多广播是自然通信过程的一部分。例如,用于将第三层IP地址解析为第2层Mac地址的ARP取决于发放一个广播,以查询与必须获得的第3层地址相关的第2层地址的LAN的每一站,如此才能正确形成侦来传递分组。同样,在Novell IPX环境中,服务器每30s广播服务声明协议(SAP)分组。这些定义了服务器所提供的服务。
如果你是严格的IP环境,那么更有可能从ARP请求获得一部分广播。如果你具有以来于时间的应用程序,那么确确实实可以通过为运行以来于时间的应用程序将固定项设置为路由器的ARP缓存,从而用一个动作解决两个问题。这样做不仅可以避免路由器必须执行ARP操作,还允许解析过程通过检查内存而发生,这比等待广播的响应快得多。因为数据流量在ARP广播期间中断,所以减少ARP广播能够提高接口的信息传输功能。因为ARP表在路由器内部维护。
(22)Runts
Runt是一个错误情形术语,与它相关的分组长度小于某个协议相关的最小长度。在以太网环境中,最小分组长度在适配卡上是64字节,而在LAN上是72字节。因此,如果某个接口接收到以太网分组小于72字节,那么它将是一个错误情形,分组将被丢弃。通常,冲突可以引起Runt的产生,而出现故障的适配卡也可以引起此情形的发生。
(23)Giants
Giants是又一个错误情形。它表示分组超过了协议最大分组长度。在以太网环境中,适配卡的最大分组长度是1518字节,而在网络中流动的分组最大长度为1526字节。因此长度(包括前导码和起始界符字段)超过1526字节的分组被视为Giant。这样的分组也会被丢弃,而Giant数表示由于此情形而丢弃的分组数。导致Giant分组的通常原因是滞后冲突或适配卡出现故障。
(24)Throttles
虽然这样情形很少发生,但是如果路由器察觉缓冲或处理器过载,将关掉它的接收器。这一情形称为Throttles,而实际并非通信问题。相反,它是一个路由器功能问题,要求你检查系统缓冲及处理器的状态。如果使用show interfaces命令时指示有大量的“无缓冲”和Throttle,那么通常表示应考虑给路由器添加内存。【完】