标签:router

配置Cisco路由器上SSH服务

No Comments CISCO , , ,

 

目前Cisco的产品只支持SSH-1,还不支持SSH-2。下面以GSR 12008为例详细介绍SSH-1的配置方法(斜体字为配置输入的命令):
① 配置hostname和ip domain-name:
Router#configure terminal
Router(config)#hostname TEST-GSR12008
TEST-GSR12008(config)#ip domain-name jx.cn.net
② 配置登录用户名和密码(以本地认证为例):
TEST-GSR12008(config)#username test password 0 test
注:添加一个用户:test,口令:test
TEST-GSR12008(config)#line vty 0 4
TEST-GSR12008(config-line)#login local
在这两部分做完以后,用show run命令就能够看到:
hostname TEST-GSR12008
!
boot system flash gsr-k3p-mz.120-14.S.bin
enable secret 5 $1$DMyW$gdSIOkCr7p8ytwcRwtnJG.
enable password 7 094F47C31A0A
!
username test password 7 0835495D1D
clock timezone PRC 16
redundancy
main-cpu
auto-sync startup-config
!
!
!
!
ip subnet-zero
no ip finger
ip domain-name jx.cn.net
ip name-server 202.101.224.68
ip name-server 202.101.226.68
!
③ 配置SSH服务:
TEST-GSR12008(config)#crypto key generate rsa
The name for the keys will be: TEST-GSR12008.jx.cn.net
注:SSH的关键字名就是hostname + . +ip domain-name
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 注:选择加密位数,用默认就行了
Generating RSA keys …
[OK]
TEST-GSR12008(config)#end
TEST-GSR12008#write
Building configuration…
这时候用show run命令可以看到:
ip subnet-zero
no ip finger
ip domain-name jx.cn.net
ip name-server 202.101.224.68
ip name-server 202.101.226.68
ip ssh time-out 120
ip ssh authentication-retries 3
!
用命令show ip ssh也能看到:
SSH Enabled – version 1.5
Authentication timeout: 120 secs; Authentication retries: 3
现在SSH服务已经启动,如果需要停止SSH服务,用以下命令:
TEST-GSR12008(config)#crypto key zeroize rsa
④设置SSH参数
配置好了SSH之后,通过show run命令我们看到SSH默认的参数:超时限定为120秒,认证重试次数为3次,可以通过下面命令进行修改:
TEST-GSR12008(config)#ip ssh {[time-out seconds]} | [authentication-retries interger]}
如果要把超时限定改为180秒,则应该用:
TEST-GSR12008(config)# ip ssh time-out 180
如果要把重试次数改成5次,则应该用:
TEST-GSR12008(config)# ip ssh authentication-retries 5
这样,SSH已经在路由器上配置成功了,就能够通过SSH进行安全登录了。

根据条件通告BGP路由 Conditionally Advertising BGP Routes

No Comments CISCO , ,

 

通过设定条件达到通告路由的方法

SUMMARY STEPS

1. enable
2. configure terminal
3. router bgp autonomous-system-number
4. neighbor {ip-address | peer-group-name} remote-as autonomous-system-number
5. neighbor ip-address advertise-map map-name {exist-map map-name | non-exist-map map-name}
6. exit
7. route-map map-tag [permit | deny] [sequence-number]
8. match ip address {access-list-number [access-list-number… | access-list-name…] | access-list-name [access-list-number… | access-list-name] | prefix-list prefix-list-name [prefix-list-name…]}
9. Repeat Steps 7 and 8 for every prefix to be tracked.
10. exit
11. access-list access-list-number {deny | permit} source [source-wildcard] [log]
12. Repeat Step 11 for every access list to be created.
13. exit

EX: RA 产生一条Default-route RB 如果BGP table 中有10.10.11.0/30这个路由的话,就通告Default-route 给EBGP R3

A:

nei 10.10.2.2 default-orginate //让RA产生一条默认路由

B:

ip prefix-list 11 per 10.10.11.0/30 //。。。

route-map R11

match ip add prefix-list 11 //…

ip prefix-list DEF-R per 0.0.0.0/0 //…

route-map DEF-R

match ip add pre DEF-R

下面是应用的方法

1) nei 10.10.3.3 advertise-map DEF-R exist-map R11 //如果R11路由存在的话就通告DEF-R这条路由

2) nei 10.10.3.3 advertise-map DEF-R non-exist-map R11 //如果R11的路由不存在的话,就通告DEF-R这条路由

DETAILED STEPS Command or Action Purpose

Step 1
enable

Example:

Router> enable
Enables privileged EXEC mode.
•Enter your password if prompted.
Step 2
configure terminal

Example:

------中间广告---------

Router# configure terminal
Enters global configuration mode.
Step 3
router bgp autonomous-system-number

Example:

Router(config)# router bgp 45000
Enters router configuration mode for the specified routing process.
Step 4
neighbor {ip-address | peer-group-name} remote-as autonomous-system-number

Example:

Router(config-router)# neighbor 192.168.1.2 remote-as 40000
Adds the IP address of the neighbor in the specified autonomous system to the IPv4 multiprotocol BGP neighbor table of the local router.
Step 5
neighbor ip-address advertise-map map-name {exist-map map-name | non-exist-map map-name}

Example:

Router(config-router)# neighbor 192.168.1.2 advertise-map map1 exist-map map2
Adds the IP address of the neighbor in the specified autonomous system to the IPv4 multiprotocol BGP neighbor table of the local router.
Step 6
exit

Example:

Router(config-router)# exit
Exits router configuration mode and enters global configuration mode.
Step 7
route-map map-tag [permit | deny] [sequence-number]

Example:

Router(config)# route-map map1 permit 10
Configures a route map and enters route map configuration mode.
•In this example, a route map named map1 is created.
Step 8
match ip address {access-list-number [access-list-number… | access-list-name…] | access-list-name [access-list-number…|access-list-name] | prefix-list prefix-list-name [prefix-list-name…]}

Example:

Router(config-route-map)# match ip address 1
Configures the route map to match a prefix that is permitted by a standard access list, an extended access list, or a prefix list.
•In this example, the route map is configured to match a prefix permitted by access list 1.
Step 9
Repeat Steps 7and 8 for every prefix to be tracked.

Step 10
exit

Example:

Router(config-route-map)# exit
Exits route map configuration mode and enters global configuration mode.
Step 11
access-list access-list-number {deny | permit} source [source-wildcard] [log]

Example:

Router(config)# access-list 1 permit 172.17.0.0
Configures a standard access list.
•In this example, access list 1 permits advertising of the 172.17.0.0. prefix depending on other conditions set by the neighbor advertise-map command.
Step 12
Repeat Step 11 for every access list to be created.

Step 13
exit

Example:

Router(config)# exit
Exits global configuration mode and returns to privileged EXEC mode.
Step 14
exit

Example:

Router(config-router)# exit
Exits router configuration mode and enters global configuration mode.

引用http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cg/hirp_c/ch05/brbbasic.htm#wp1083233

路由器网络接口interface port详解(一)

目录

(1) 接口和活动状态
(2) 硬件字段为你提供接口的硬件类型
(3) Internet地址
(4) MTU
(5) BW
(6) DLY
(7) 可靠性
(8) 负载

Router# show interface e0/0 Ethernet0/0 is up, line protocol is down Hardware is AmdP2, address is 0009.4375.5e20 (bia 0009.4375.5e20) Internet address is 192.168.1.53/24 MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, reliability 172/255, txload 3/255, rxload 39/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 00:00:07, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 50 packets output, 3270 bytes, 0 underruns 50 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred 50 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out

(1) 接口和活动状态

在上面的显示中,内容表示硬件接口是活动的,而处理行协议的软件过程相信此接口可用。如果路由器操作员拆卸此硬件接口,第一个字段将显示信息is administratively down.如果路由器在活动间隔内收到5000个以上的错误,单词Disabled将出现在此字段中,以显示连路由器自动禁用此端口。行协议字段还显示以前提到的三个描述之一:up、down、administratively down.如果字段项是up,则表示处理行协议和软件过程相信此接口可用,因为她正在接收keepalives的目的也是如此,其他设备可以确定某个空闲连接是否仍然活动。对于以太网接口,Keepalives的默认值是10s。我们不久将注意到,Keepalives设置可以通过为特定接口使用show interfaces命令来获得。可以用keepalive interface 命令来改变keepalives设置。此命令的格式如下:Keepalive seconds

(2) 硬件字段为你提供接口的硬件类型

在以上的例子中,硬件是CISCO扩展总线(CxBus)以太网,即接口处理器的533-Mbps数据总线。因此,硬件通知我们高速CxBus接口处理器用于支持以太网连接。同时还要注意显示字段包括接口的Mac地址。Mac是48位长的。因为Mac地址的头24位是表示生产厂家ID,所以十六进制数00-10-79是由IEEE分配给Csico的标识符。

(3) Internet地址

如果某个接口是为IP路由配置,那么将为它分配一个Internet地址。此地址后面是他的子网掩码。IP地址是205.141.192.1/24。反斜杠(/)后面表示此地址的头24位表示网络,他等于子网掩码255.255.255.0。

(4) MTU

最大传输单元(MTU)表示运行在接口上的协议的信息字段所支持的最大字节数。因为以太网桢的信息字段的最大长度是1500字节,所以它的MTU显示为1500字节。对于几乎所有的以太网应用程序,默认的1500字节MTU应该是有效的。对于令牌环,默认的MTU值为8192字节;但是应该注意的一点是RFC1191建议的MTU值为16-Mbps令牌环选择17914的,而为4-Mbps令牌环选择4464字节。最小的MTU是64个字节,而最大的值是65535字节。如果IP数据报超过最大的MTU,将对它进行分段,这将增加额外开销,因为每个最后的数据报都包含它自己的报头。虽然在高速LAN连接中,通常无需担心与分段有关的额外开销,但在低速串行接口上,这可能会是一个比较严重的问题。可以用MTUinterface命令来改变默认的MTU,此命令格式如下:

mtu bytes

字节数可以是从64~6553。

(5) BW

接口带宽(BW)通常指的是接口的运行速率,用每秒千字节表示。因为以太网运行速率为10Mbps,所以BW值显示为10 000Kb。

可以用Bandwidth命令设置信息带宽值,但实际上不用它来调整接口的带宽,因为对于某些类型的介质,如以太网,带宽是固定的。对于其他的介质,如串行线,通常通过调整硬件来调整其运行速率。例如通过DSU/CSU上设置不同的时钟速率来提高或降低串行接口的运行速率。因此,bandwidth命令主要目的是使当前带宽与高层协议通信。可以通过以下命令格式设置带宽值,千位表示以千位每秒表示的带宽。Bandwidth kilobits

(6) DLY

此字段表示接口的延迟,用微秒表示。以太网的延迟(DLY)为1000s。可以使用delay interface命令为接口设置延迟值。此命令的格式如下:

delay tens-of-microseconds

(7) 可靠性

可靠性字段表示接口的可靠性,用255分之几表示。此字段中所显示的值由在5分钟内的幂平均值计算。因为以太网为每个桢计算CRC,所以可靠性是基于CRC错误率,而不是位错误率。255/255表示接口在5分钟内100%可靠。

虽然没有可靠性命令,可以考虑定期使用的一个重要命令是clear conuter EXEC命令。此命令的功能是清楚或重置接口计数器。此命令的一般格式取决于正在使用的路由器。下面显示的是第二种格式用于Cisco7000系列产品:

clear counter [type number]

clear counter [type slot/port]

type表示特定的接口类型。如果你不指定特定接口,所有接口的计数器都被清除。

(8) 负载

接口上的发送和接收负载均显示为255分之几。与可靠性字段类似,负载字段也是计算5分钟内的幂平均值。从上面可以看出,发送(Txload)负载表示为3/255,而接收(rxload)负载为39/255。因为以太网运行速率为10Mbps,所以可以通过将每分数乘以运行速率来获得接口活动的一般指示。这是因为每个以太网桢都至少有26个额外字节,而当信息字段少于45字节时,将使PAD字符添加到信息字段中。【未完待续】
目录
(9)封装
(10)回送
(11)ARP类型
(12)ARP超时
(13)最后的输入和输出
(14)输出中断
(15)最后一次清除
(16)排队策略
(9)封装
此字段表示分配给接口的封装方法。在上面的例子中,封装显示为ARPA,他的标准的以太网2.0版封装方法。其他封装方法还包括IEEE 802.3以太网的关键字iso1,以及IEEE 802.3桢的关键字snap(子网访问协议)桢变异。
(10)回送
回送字段表示接口是否处于运行的回送模式。如果设置回送,这是当技术人员夜间将接口放入回送接口进行测试,而忘了重置回送时发生的常见问题,这会导致第二天早上会有一些有趣的电话打到控制中心。
可以使用Loopback interface设置命令将接口置于运行的回送模式。Loopback命令没有参数,应使用no Loopback命令删除或禁用回送。以下例子显示了将以太网接口设置为回送模式。
Interface ethernet0/0
Loopback
可以使用show interface loopback
EXEC命令查看回送的状态。如果你的路由器有大量的接口,并且技术人员进行定期检测,那么在一大早使用此命令以避免不必要的问题是一个不错的主意。
(11)ARP类型
此字段表示分配的地址解析协议(ARP)类型。在IP环境中,ARP类型是ARPA。默认情况下,以太网接口使用ARPA关键字以指定IP接口上的ARPA封装。可以通过使用arp interface 命令将封装更改为HP PROBE或SNAP,此命令格式如下:
arp {arpa/probe/snap}
请注意HP
Probe被IOS用于试图解析IEEE802.3或以太网本地数据连路地址。应将ARP类型设为probe,以使得一个或多个路由器接口透明地与使用称为”虚拟地址请求和回复”的地址解析技术的HP IEEE802.3 主机通信。
(12)ARP超时
此字段表示当非活动时,ARP项在清洗之前保留于缓存中的时间长度。ARP超时的默认值为4个小时,如上面例子所示:
可以通过使用ARP timeout命令调整 ARP缓存项在缓存中的时间长度。此命令格式如:
arp timeout seconds
(13)最后的输入和输出
此字段表示最后一个分组或侦被接口成功接收或发送以来的小时、分钟和秒数。可以使用此字段中的值确定活动接口是否依然激活或者死接口何时出现故障。关于前者,在第一个show interface 命令指示接口新的最后输出(这还可以指示是否有问题发生)后10秒或1分钟,再输入第二个show interface命令。它还表示如果出现问题,并非由于无法接收分组。例如,上面的例子中,最后一个成功输入发生在2秒之前。如果我们等待几秒,并发布又一个show interface命令,就可以获得对此计数器的更新。
(14)输出中断
输出中断字段表示自接口由于发送时间太长而进行最后一次重置以来的时间。此字段的值用小时、分钟和秒数指定,或者如果未发生中断(hang)情况,将永不显示。如果自最后一次重置以来的小时数超过24,将显示天数和小时数,直到字段益出。当发生此情形时,将在此字段中显示星号(*)。
(15)最后一次清除
此字段表示测量累计统计信息的接口计数器最后一次被重置为0的时间。清除会影响几乎所以的统计信息,除了诸如负载和可靠性等路由统计信息之外。
最后一次清除所显示的实际值是基于32位ms计数器的使用。显示星号表示经过的时间太长无法显示,而显示0:00:00表示计数器在2的31次幂ms到2的32次幂ms之前清除。在许多路由器上最后一次清除值将以星期和月或日和小时表示。例如,在上面的例子里,show interfaces计数器最后一次清除显示为1w2d。
(16)排队策略
此字段表示分配给接口的配对策略。默认为先入后出(First in first out ,FIFO)。如果以前为接口分配了优先级配对方式,将在此字段中列出此配对方法。【未完待续】
目录
(17)队列消息
(18)5-分钟I/O速率
(19)分组和字节输入
(20)无缓冲
(21)接收的广播
(22)Runts
(23)Giants
(24)Throttles
(17)队列消息
对于输出和输入队列,显示为m/n形式的一队数字,随后是由于队列已满而丢失的分组数。这里替代了m的值表示队列中的分组数,而替代n的值表示用分组表示最大队列大小。通过检查丢失的分组数以及在一段时间内m和n之间的关系,就可以确定是否需要建议对特定接口的队列长度进行调整以减少丢失的分组。但是,还应考虑与接口相连的介质和使用级别,以确定对输出队列长度进行调试是否有益。使用率高的介质最有可能引起队列中分组的丢失:路由器在传输数据时,将遭遇困难,从而导致输出分组排队,而这反过来导致当输出队列已满,且有其他分组到达以便通过接口传输到介质时出现分组丢失。在输入方,丢失的分组和m和n的较大比值表示路由器正忙于进行其他工作,而无法适时地处理进入的分组。如果次情形持续的时间比较长,则通常表示需要一个更强大的路由器以满足工作需要。通常,此情形可通过许多路由器接口的进入方向上的大量丢失的分组而观察到。
在上面的show interfaces中队列信息字段值显示目前任一队列中均无分组。而且,虽然输出队列已满而造成63个分组丢失,但没有分组由于输入队列而丢失。后者是一种常见情形,因为大多数路由器(除非配置过度)不应该在处理进入的数据方面有问题。
(18)5-分钟I/O速率
下一个字段显示在前5分钟通过接口发送和接收的平均位数和平均分组数。当解释在此字段中显示的数据时,必须考虑几个因素。首先,必须考虑接口的运行模式和接口相连的网络的配置。例如,如果接口是LAN接口,则即可以运行在混乱模式,从而度曲LAN上的每一侦,也可以运行在非混乱模式,即仅读取广播榛和直接投递到接口的桢。
如果端口处于混乱模式,则读取所有的分组,并提供一种测试在网络中流动的数据的方法。如果接口不处于混乱状态,则仅对她发送和接收的流量有感觉,这可能只占网络中所有流量的一小部分。
考虑到网络配置,如果接口连接到只有一个站的LAN,如WEB服务器,那么所有的流量将流经路由器的接口。这意味着可以获得一种相对准确的测试网络活动方法,而无需考虑接口所处的模式。
需要考虑的另一个因素是5分钟I/O速率表示5分钟时间常数的幂平均值之一事实。因此,任意一个5分钟I/O速率都是这段时间内每秒流量的大概值。但是4个5分钟的时间跨度所产生的平均值将在20分钟的统一流量的即时速率的2%以内。
因为分组的长度可变,所以每秒位率通常比从传输介质角度检查接口上的活动更有用。在上面的例子中,输入速率1540000bps约表示接口运行速率的1/6。你可能会感到奇怪,为什么输入速率比接口输出速率大将近一个数量级,回答在于接口的连接。在这一特定的路由器使用环境中,以太网接口连接到一个只具有一个另外的站(即公司WEB服务器)的10BASE-TLAN。WEB页请求以统一资源定位器(URL)的形式流动,而对URL请求的响应是WEB页;这解释了为什么输入和输出方向上的流量级别不成正比。现在,我们了解了5分钟I/O速率,接下来让我们介绍可为某个接口显示的特定分组的输入和输出信息。
(19)分组和字节输入
此字段首先表示路由器接收的无错误分组的总数量。其次,它还表示路由器接收的无错误分组的总字节数。
如果用字节数除以分组数,就可以获得字节表示的平均分组长度。此信息可用于为在接口上流动的流量类型提供一般表示。例如,相对短的分组通常传输交互式的查询/响应流量,而相对长的分组通常传输包括WEB页的文件及包含在大多数这些页中的图形。
(20)无缓冲
无缓冲字段表示接口所接收的、由于路由器缺乏缓冲空间而不得不丢弃的分组数。不要将此缓冲空间与接口的内部缓冲弄混。当出现连续的“无缓冲”情形时,通常表示路由器需要更多的内存。但是,如果定期遇到no buffers值,则可能是由于LAN上的广播风暴或者串行端口上的噪音发作所致。可以通过检查下一字段确定出现无缓冲值的原因是否属于广播风暴所致。
(21)接收的广播
此字段表示接口所接收的广播或多播分组的总数量。要注意的重要一点是许多广播是自然通信过程的一部分。例如,用于将第三层IP地址解析为第2层Mac地址的ARP取决于发放一个广播,以查询与必须获得的第3层地址相关的第2层地址的LAN的每一站,如此才能正确形成侦来传递分组。同样,在Novell IPX环境中,服务器每30s广播服务声明协议(SAP)分组。这些定义了服务器所提供的服务。
如果你是严格的IP环境,那么更有可能从ARP请求获得一部分广播。如果你具有以来于时间的应用程序,那么确确实实可以通过为运行以来于时间的应用程序将固定项设置为路由器的ARP缓存,从而用一个动作解决两个问题。这样做不仅可以避免路由器必须执行ARP操作,还允许解析过程通过检查内存而发生,这比等待广播的响应快得多。因为数据流量在ARP广播期间中断,所以减少ARP广播能够提高接口的信息传输功能。因为ARP表在路由器内部维护。
(22)Runts
Runt是一个错误情形术语,与它相关的分组长度小于某个协议相关的最小长度。在以太网环境中,最小分组长度在适配卡上是64字节,而在LAN上是72字节。因此,如果某个接口接收到以太网分组小于72字节,那么它将是一个错误情形,分组将被丢弃。通常,冲突可以引起Runt的产生,而出现故障的适配卡也可以引起此情形的发生。
(23)Giants
Giants是又一个错误情形。它表示分组超过了协议最大分组长度。在以太网环境中,适配卡的最大分组长度是1518字节,而在网络中流动的分组最大长度为1526字节。因此长度(包括前导码和起始界符字段)超过1526字节的分组被视为Giant。这样的分组也会被丢弃,而Giant数表示由于此情形而丢弃的分组数。导致Giant分组的通常原因是滞后冲突或适配卡出现故障。
(24)Throttles
虽然这样情形很少发生,但是如果路由器察觉缓冲或处理器过载,将关掉它的接收器。这一情形称为Throttles,而实际并非通信问题。相反,它是一个路由器功能问题,要求你检查系统缓冲及处理器的状态。如果使用show interfaces命令时指示有大量的“无缓冲”和Throttle,那么通常表示应考虑给路由器添加内存。【完】