山東網(wǎng)通城域網(wǎng)Foundry設(shè)備操作手冊(cè)

Foundry 設(shè)備操作手冊(cè) Page 1 of 57 上海競(jìng)天科技股份有限公司 Foundry 設(shè)備操作手冊(cè) Foundry 設(shè)備操作手冊(cè) Page 2 of 57 上海競(jìng)天科技股份有限公司 目錄 第一部分 日常檢測(cè) .4 1 全面自檢 dm diag .4 2 模塊檢查 Show module.4 3 光口類型檢查 Show media .5 4 內(nèi)存檢查 show memory .5 5 cpu 檢查 Show cpu .6 6 操作系統(tǒng)檢查 show flash .6 7 版本檢查 show version.7 8 所有接口的簡(jiǎn)明檢查 show interface brief .8 9 單個(gè)接口狀態(tài)顯示 show interface ethernet solt / number .9 10 接口日常檢測(cè)其它命令 . 10 11 顯示路由表 show ip route . 10 12 查看路由信息還有以下常用命令 . 11 13 檢查 log 信息 Show log . 11 第二部分 數(shù)據(jù)配置 . 13 1 端口物理配置 . 13 2 路由配置 . 15 3 安全配置 . 24 4 策略路由 . 26 5 組播 . 27 第三部分 系統(tǒng)操作 . 31 1 console 口 . 31 2 命令行接口（ Cli） . 31 3 賬號(hào)設(shè)置 . 32 4 Telnet/SSH 配置 . 34 5 SNMP 配置 . 35 6 Syslog 設(shè)置 . 36 7 權(quán)限控制 . 36 8 軟件升級(jí) . 37 9 硬件板卡更換 . 38 10 配置文件上傳 . 39 11 數(shù)據(jù)備份 . 39 第四部分 常用診斷命令 . 41 1 show flash . 41 2 show version . 41 3 show module . 42 4 show chassis . 43 5 show statistic . 43 6 show interface brief . 44 7 show interface . 44 8 show cpu. 45 9 show log . 45 10 show tech . 46 11 ping . 46 12 traceroute . 46 Foundry 設(shè)備操作手冊(cè) Page 3 of 57 上海競(jìng)天科技股份有限公司 13 show mac . 46 14 show mac statistic. 47 15 show mac e x/x . 47 16 show mac vlan x. 47 13 show arp. 48 14 show arp x.x.x.x . 48 15 show arp eth x/x . 48 16 show arp mac xxxx.xxxx.xxxx . 48 17 show ip route . 48 18 show ip cache . 49 19 show ip interface . 49 20 show ip ospf interface . 50 21 show ip ospf neighbor . 51 22 show ip bgp neighbor . 51 23 設(shè)置鏡像端口 . 52 24 抓包工具 dm raw . 53 Foundry 設(shè)備操作手冊(cè) Page 4 of 57 上海競(jìng)天科技股份有限公司 第一部分 日常檢測(cè) 硬件 1 全面自檢 dm diag dm diag 命令是一條 foundry 公司的硬件檢測(cè)命令。該命令用在特權(quán)模式下。用于檢測(cè)整個(gè)機(jī)框及機(jī)框上所有模塊的硬件診斷。它不同于其他廠商的健康檢查。在檢查期間。設(shè)備將停止一些應(yīng)用 。并且鍵入該命令后需要 重起才能開始自檢 。 操作如下： bigiron router # dm diag bigiron router # reload 當(dāng)設(shè)備自檢發(fā)現(xiàn)問題時(shí) 會(huì)出現(xiàn)如下信息 FATAL ERROR: did not pass diagnosis, for more detail error message, please check the output above for lines start with ? SYSTEM STOPPED, Please Check with Foundry Networks Support #FAIL DIAG 當(dāng)設(shè)備自檢完畢。未發(fā)現(xiàn)硬件問題的時(shí)候時(shí)。設(shè)備會(huì)自動(dòng)結(jié)束自檢。回到普通模式。 該條命令使用是需要注意 2 點(diǎn)。 1 設(shè)備將停止一些應(yīng)用。停止所有數(shù)據(jù)轉(zhuǎn)發(fā)。 2 在鍵入 dm diag 之后需要重起之后才開始重起。 2 模塊檢查 Show module 該條命令用在特權(quán)模式下 bigiron # show module 用于顯示機(jī)框上所使用模塊的類型及對(duì)應(yīng)槽位。以及模塊的狀態(tài) 端口數(shù)量 。及模塊的 mac 地址。 bigiron # show module Module Status Ports Starting MAC S1: B4GMR4 M4 Management Module, SYSIF 2 M4, ACTIV 4 0004.8017.f100 S2: B4GMR4 M4 Management Module, SYSIF 2 M4, STAND 4 0004.8017.f120 S3: S4: B8G Fiber Switch Module OK 8 0004.8017.f100 S5: B8G Fiber Switch Module, OK 8 0004.8017.f100 Foundry 設(shè)備操作手冊(cè) Page 5 of 57 上海競(jìng)天科技股份有限公司 S6: S7: S8: B24E Copper Switch Module OK 24 0004.8017.f100 如圖顯示 機(jī)筐的一號(hào)和二號(hào)槽位上使用著 2 快 4 型管理模塊?；閭浞荨Ｋ麄兏饔?4 個(gè)端口。一號(hào)曹位的管理模塊現(xiàn)在處于活動(dòng)狀態(tài)（ active）。而二號(hào)曹位的管理模塊處于備用狀態(tài)（ stand）。4 號(hào)和 5 號(hào)曹位上使用的是 2 塊 8 個(gè)光口的接口模塊。狀態(tài)是 ok 即正常狀態(tài)。 8 號(hào)曹位上使用的是是一塊 包含 24 個(gè) rj45 端口的接口模塊。 3 光口類型檢查 Show media 該條命令用于顯示設(shè)備上所有的千兆光口的數(shù)量。類型。對(duì)應(yīng)模塊的位子。 Bigiron router #show media 1/1:G-LH 1/2:G-LH 1/3:G-LH 1/4:G-SX 2/1:G-SX 2/2: 2/3: 2/4: 4/1:LHB 4/2:LHB 4/3:LHB 4/4:LHB 4/5:LX 4/6:LX 4/7:LX 4/8:LX 5/1:M-LX 5/2:M-LX 5/3: 5/4: 5/5: 5/6: 5/7: 5/8: 如圖顯示 一號(hào)模塊上使用了 3 塊 中距和一塊短距的 gbic 四號(hào)模塊上有 4 塊長(zhǎng)距和 4 快中距模塊 五號(hào)模塊上使 用了 2 塊 mini 中距的 gbic 模塊 4 內(nèi)存檢查 show memory 該條命令用在特權(quán)模式下。用于顯示內(nèi)存的占用率 bigiron #show memory Total DRAM: 536813568 bytes Dynamic memory: 515842048 bytes total, 376293268 bytes free, 27% used BGP memory: 812800 bytes (1%) used from dynamic memory OSPF memory: 990832 bytes (1%) used from dynamic memory 如圖所示。 內(nèi)存總共為 512mb 此時(shí)機(jī)器還有 376mb 的內(nèi)存為空閑還未被使用。 Foundry 設(shè)備操作手冊(cè) Page 6 of 57 上海競(jìng)天科技股份有限公司 5 cpu 檢查 Show cpu 該條命令顯示 cpu 的利用率 有當(dāng)前的利用率 5 秒中的利用律及 1 分鐘和 5 分鐘之內(nèi)的平均利用律。并且該條命令還顯示 cpu 最高時(shí)候的利用律大小及時(shí)間。 telnet878hexin1#show cpu 96 percent busy, from 3328163 sec ago Its been more than 50 hours since last call, the CPU utilization data collected may have wrapped around and result in high utilization 1 sec avg: 8 percent busy 5 sec avg: 8 percent busy 60 sec avg: 8 percent busy 300 sec avg: 8 percent busy 如圖顯示 現(xiàn)在 cpu 的利用律是 8% 利用律最高的時(shí)候是發(fā)生在 3328163 秒之前。那時(shí) cpu 的利用律是 96% 軟件 6操作系統(tǒng)檢查 show flash 該條命令在特權(quán)模式下使用。用于顯示主備管理模塊 flash 中存放的操作系統(tǒng)版本。引導(dǎo)文件的版本。 bigiron#show flash Active management module: Code Flash Type: AMD 29F032B, Size: 64 * 65536 = 4194304, Unit: 2 Boot Flash Type: AMD 29F040, Size: 8 * 65536 = 524288 Compressed Pri Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Compressed Sec Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Maximum Code Image Size Supported: 3866112 (0x003afe00) Boot Image size = 251628, Version 07.05.04 (M2B07504.bin) Standby management module: Code Flash Type: AMD 29F032B, Size: 64 * 65536 = 4194304, Unit: 2 Boot Flash Type: AMD 29F040, Size: 8 * 65536 = 524288 Compressed Pri Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Compressed Sec Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Maximum Code Image Size Supported: 3866112 (0x003afe00) Boot Image Version 07.05.04 (M2B07504.bin) Foundry 設(shè)備操作手冊(cè) Page 7 of 57 上海競(jìng)天科技股份有限公司 如圖顯示 該機(jī)器在 2 個(gè) flash 中 。主 flash 和備 flash 中均使用了版本號(hào)為 07.5.05uT53 的軟件。并且使用了 M2B07504.bin 版本的引導(dǎo)文件（ bootcode） 7 版本檢查 show version 該條命令顯示機(jī)器當(dāng)前使用模塊的哪個(gè) flash 和使用什么操作系統(tǒng) 。以及機(jī)器運(yùn)行的時(shí)間 （最近一次重起到現(xiàn)在為止的時(shí)間） .并且顯示了模塊和機(jī)器的序列號(hào)。 Bigiron #show version SW: Version 07.5.05uT53 Copyright (c) 1996-2002 Foundry Networks, Inc. Compiled on Nov 20 2003 at 03:30:23 labeled as B2R07505u (3583481 bytes) from Primary B2R07505u.bin HW: NetIron 800 Router, SYSIF version 21 = SL 1: B4GMR4 M4 Management Module, SYSIF 2, M4, ACTIVE Serial #: Non-exist. 8192 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 0, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 1, version 0209 = SL 2: B4GMR4 M4 Management Module, SYSIF 2, M4, STANDBY Serial #: Non-exist. 8192 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 4, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 5, version 0209 = SL 4: B8G Fiber Switch Module Serial #: Non-exist. 2048 KB BRAM, SMC version 1, ICBM version 21 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 12, version 0209 256 KB PRAM(256K+0K) and shared CAM entries for DMA 13, version 0209 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 14, version 0209 256 KB PRAM(256K+0K) and shared CAM entries for DMA 15, version 0209 = SL 5: B8G Fiber Switch Module, SYSIF 2 (Mini GBIC) Serial #: CH05030843 2048 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 16, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 17, version 0209 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 18, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 19, version 0209 = SL 8: B24E Copper Switch Module Serial #: Non-exist. 2048 KB BRAM, SMC version 2, ICBM version 21 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 28, version 0808 256 KB PRAM(256K+0K) and shared CAM entries for DMA 29, version 0808 256 KB PRAM(256K+0K) and shared CAM entries for DMA 30, version 0808 Foundry 設(shè)備操作手冊(cè) Page 8 of 57 上海競(jìng)天科技股份有限公司 = Active management module: 466 MHz Power PC processor 750 (version 8/8302) 66 MHz bus 512 KB boot flash memory 8192 KB code flash memory 256 KB SRAM 512 MB DRAM Standby management module: 466 MHz Power PC processor 750 (version 8/8300) 66 MHz bus 512 KB boot flash memory 8192 KB code flash memory 256 KB SRAM 512 MB DRAM The system uptime is 36 days 18 hours 15 minutes 44 seconds The system started at 06:34:46 GMT+08 Thu Feb 19 2004 如圖顯示 該機(jī)器現(xiàn)在使用的是 Primary flash 中的 B2R07505u.bin 版本 。并且已經(jīng)運(yùn)行了 36天 18 小時(shí) 15 分鐘 44 秒。 接口 8 所有接口的簡(jiǎn)明檢查 show interface brief 該條命令用于顯示所有端口的簡(jiǎn)要信息 telnet878hexin1#show interface brief Port Link State Dupl Speed Trunk Tag Priori MAC Name 1/1 Down None None None 1 Yes level0 0004.8017.f100 1/2 Up Forward Full 1G 1 Yes level0 0004.8017.f100 1/3 Up Forward Full 1G None Yes level0 0004.8017.f100 1/4 Up Forward Full 1G None No level0 0004.8017.f100 2/1 Up Forward Full 1G None Yes level0 0004.8017.f120 4/1 Up Forward Full 1G None Yes level0 0004.8017.f100 4/2 Up Forward Full 1G None Yes level0 0004.8017.f100 4/3 Down None None None None Yes level0 0004.8017.f100 4/4 Up Forward Full 1G None Yes level0 0004.8017.f100 4/5 DisabNone None None None No level0 0004.8017.f100 4/6 Up Forward Full 1G None Yes level0 0004.8017.f100 4/7 Up Forward Full 1G None Yes level0 0004.8017.f100 4/8 Up Forward Full 1G None No level0 0004.8017.f100 如圖 Foundry 設(shè)備操作手冊(cè) Page 9 of 57 上海競(jìng)天科技股份有限公司 Port 表示端口的位子 Link State 表示鏈路的狀態(tài) up 起來 down 不通 disable 被禁用 Dupllex 表示是否是全雙工 Speed 表示接口的速率 Trunk 表示此端口是否與其他端口做了鏈路棒定 Tag 該端口是否是一個(gè)打過標(biāo)記的端口 Priori MAC 表示該端口的 mac 地址 Name 端口的名稱 9 單個(gè)接口狀態(tài)顯示 show interface ethernet solt / number 該條命令用于顯示單個(gè)端口或虛接口的信息 包括狀態(tài) ， 收到和發(fā)出包的總數(shù)。 300 秒內(nèi)平均 接口上收到和發(fā)出的數(shù)據(jù)量和包的數(shù)量。以及收到的一些錯(cuò)誤包的信息。并且還顯示了該端口的利用率 bigiron#show interface ethe 2/1 GigabitEthernet2/1 is up, line protocol is up Hardware is GigabitEthernet, address is 0004.8017.f120 (bia 0004.8017.f120) Configured speed 1Gbit, actual 1Gbit, configured duplex fdx, actual fdx Member of 173 L2 VLANs, port is tagged, port state is FORWARDING STP configured to ON, priority is level0, flow control enabled mirror disabled, monitor disabled Not member of any active trunks Not member of any configured trunks No port name MTU 1500 bytes, encapsulation ethernet 300 second input rate: 52393320 bits/sec, 9219 packets/sec, 5.37% utilization 300 second output rate: 42003616 bits/sec, 8905 packets/sec, 4.33% utilization 190495871039 packets input, 137190393592587 bytes, 0 no buffer Received 12300155 broadcasts, 12115 multicasts, 190483558769 unicasts 0 input errors, 0 CRC, 0 frame, 43 ignored 0 runts, 0 giants, DMA received 190495620045 packets 197334575599 packets output, 62124697648963 bytes, 0 underruns Transmitted 1792726054 broadcasts, 1196844157 multicasts, 194345005388 unicasts 0 output errors, 0 collisions, DMA transmitted 197334575675 packets mtu: 1518 Foundry 設(shè)備操作手冊(cè) Page 10 of 57 上海競(jìng)天科技股份有限公司 10 接口日常檢測(cè)其它命令 show interface : 顯示所有借口的狀態(tài) show ip interface solt/number 顯示 3 層物理接口的狀態(tài)和配置在該接口上的 ip 地址和掩碼 show interface pos solt / number 顯示 pos 模塊上的接口信息 show interface atm solt / number 顯示 atm 模塊上的接口信息 路由 11 顯示路由表 show ip route 該命令顯示機(jī) 器中的路由表信息 bigiron router #show ip route Total number of IP routes: 814 B:BGP D:Connected R:RIP S:Static O:OSPF *:Candidate default Destination NetMask Gateway Port Cost Type 97 v210 B 1 97 v210 B 2 97 v210 B 3 97 v210 B 4 97 v210 B 如圖顯示 Destination ： 表示目的網(wǎng)絡(luò)號(hào) NetMask ： 表示目的網(wǎng)絡(luò)的子網(wǎng)掩碼 Geteway ： 表示去達(dá)目的網(wǎng)絡(luò)的可用網(wǎng)關(guān) Port ： 表示去達(dá)目的網(wǎng)絡(luò)通過的接口 Foundry 設(shè)備操作手冊(cè) Page 11 of 57 上海競(jìng)天科技股份有限公司 Cost ： 表示去達(dá)目的網(wǎng)絡(luò)的路由代價(jià)值 Type ： 表示該條路由使用了哪種協(xié)議 類型其中： B:表示 BGP 協(xié)議 D:表示直連網(wǎng)段 R:表示 RIP 協(xié)議 S:靜態(tài)路由協(xié)議 O:表示 ospf 協(xié)議 *: 表示缺省路由 12 查看路由信息還有以下常用命令 show ip ospf route 顯示 ospf 協(xié)議的路由。 show ip static route 顯示靜態(tài)路由。 show ip bgp route 顯示 bgp 協(xié)議路由。 show ip route 顯示缺省路由。 Log 信息 13 檢查 log信息 Show log 用于顯示機(jī)器中的 log 信息 bigiron#show log Syslog logging: enabled (0 messages dropped, 0 flushes, 26 overruns) Buffer logging: level ACDMEINW, 500 messages logged level code: A=alert C=critical D=debugging M=emergency E=error I=informational N=notification W=warning Dynamic Log Buffer (500 lines): Feb 26 02:08:18:N:OSPF intf retransmit, rid , intf addr 7, nbr rid 6, pkt type is link state update, LSA type 1, LSA id , LSA rid Feb 20 06:35:54:N:OSPF intf retransmit, rid , intf addr 7, nbr rid 6, pkt type is link state update, LSA type 5, LSA id 4, LSA rid 29 Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Foundry 設(shè)備操作手冊(cè) Page 12 of 57 上海競(jìng)天科技股份有限公司 Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Foundry 設(shè)備操作手冊(cè) Page 13 of 57 上海競(jìng)天科技股份有限公司 第二部分 數(shù)據(jù)配置 1 端口物理配置 改變端口速度： 城域網(wǎng)中常用的端口分百兆口和千兆口，對(duì)百兆口來說，默認(rèn)的情況是 10/100M 自適應(yīng)的，協(xié)商也是自動(dòng)的。可以通過如下命令來改動(dòng) bigiron(config)# interface e 3/12 bigiron(config)#speed-duplex 100-full (全雙工 100M) 這一點(diǎn)在和其 他廠商互聯(lián)時(shí)，為避免雙方的協(xié)商問題，通常會(huì)強(qiáng)制制定 對(duì)千兆口來說，速度是固定的，所以只需改變 802.3x 流控協(xié)商方式 bigiron(config)# interface e 1/8 bigiron(config)#gig-default neg-off （缺省為 auto-gig） 給端口加注釋 bigiron(config)# interface e 1/8 bigiron(config)# port-name xiaoqu-hexin8000 注釋的長(zhǎng)度對(duì) bigiron 來說不能超過 255 個(gè)字符，對(duì)小交 換機(jī)來說不能超過 64 個(gè)字符 disable 或 enable 開端口 端口在缺省狀態(tài)下都是打開的，你可以根據(jù)需要來禁止它 bigiron(config)# interface e 1/8 bigiron(config)# disable 如果重新打開端口 bigiron(config)# interface e 1/8 bigiron(config)# enable route-only 端口配置了 route-only 后，該端口就無法轉(zhuǎn)發(fā)廣播包，屬于路由器端口，做交換機(jī)使用時(shí)不建議打開 bigiron(config)# interface e 1/8 bigiron(config)# route-only 配置接口地址 作為路由器使用時(shí)，可在端口上直接配置地址 bigiron(config)# interface e 1/8 bigiron(config)# ip address 端口鏡像 端口鏡像可用來做抓包分析，具體配置如下 首先，指定一個(gè)鏡像端口，該端口用來接分析儀 bigiron(config)# mirror e 1/7 在要鏡像的端口下，打開進(jìn) 或出的流量 bigiron(config)# interface e 1/8 bigiron(config)# monitor both 端口捆綁 Foundry 設(shè)備操作手冊(cè) Page 14 of 57 上海競(jìng)天科技股份有限公司 端口捆綁可以用來擴(kuò)展帶寬并且提供冗余 ,它允許 2 到 4 個(gè)口捆綁在一起 bigiron(config)# trunk switch e 1/7 to 1/8 VLAN 的配置 Vlan 是用來隔離廣播域的技術(shù)。 Bigiron 支持基于 2 層端口的 vlan ,也支持基于協(xié)議的 vlan,常用的就是基于端口的 vlan 創(chuàng)建一個(gè) vlan bigiron(config)# vlan 200 (200 是 vlan ID 號(hào) ) 給 vlan 添加注釋 bigiron(config)# vlan 200 name testvlan 給 vlan 添加端口 bigiron(config)# vlan 200 bigiron(config)# untag e 1/7 to 1/8 (untag 指不加 802.1q 標(biāo)記 ) bigiron(config)# tag e 2/1 （指該端口需要加 8021.q 的標(biāo)記，通常該端口需要和其他 vlan 公用，加標(biāo)記就是為區(qū)分）下圖就是未加標(biāo)記的包和加了 802.1q 的 包的區(qū)別 如果希望在不同的 vlan 之間通信的話，就需要在 vlan 上創(chuàng)建一個(gè)虛接口，通過這個(gè)虛接口，不同的 vlan 用戶之間才能通信 給 vlan 添加一個(gè) virtual interface(VE)虛接口 bigiron(config)# vlan 200 bigiron(config)# router-interface ve 200 給虛接口 ve 配置一個(gè) IP 地址 bigiron(config)# interface ve 200 bigiron(config)# ip address Foundry 設(shè)備操作手冊(cè) Page 15 of 57 上海競(jìng)天科技股份有限公司 2 路由配置 RIP 是 routing information protocol 的簡(jiǎn)稱。它是所有路由協(xié)議中最簡(jiǎn)單的協(xié)議。 RIP 是基于距離矢量算法的協(xié)議，他的協(xié)議信息封裝在 UDP 數(shù)據(jù)報(bào)文中。 當(dāng)路由器啟動(dòng)后，首先通過運(yùn)行 RIP 協(xié)議的接口分別向外發(fā)送一個(gè) RIP request 報(bào)文。在此以后，每隔 30 秒向外發(fā)送一次更新報(bào)文。對(duì)于某一條從其他路由器學(xué)習(xí)的路由信息，如果在 180 秒內(nèi)沒有收到這條路由信息的更新報(bào)文，就將這條路由信息標(biāo)志為不可達(dá)，若在其后 120 秒內(nèi)仍未收到更新報(bào)文，就將 該條路由從路由表中刪除。 RIP 使用跳數(shù)（ Hop Count）來衡量到達(dá)目的網(wǎng)段的距離，稱為路由代價(jià)。在 RIP 中，路由器和它直接相連網(wǎng)絡(luò)的跳數(shù)是 0，每通過一個(gè)路由器跳數(shù)加一， RIP 規(guī)定 metric 取值 0-15，大于或等于 16 的跳數(shù)被定義為無窮大，即目的網(wǎng)絡(luò)不可達(dá)。 RIP 包括 RIP-1 和 RIP-2 兩個(gè)版本， RIP-2 支持可變長(zhǎng)掩碼和認(rèn)證， RIP-1 不支持，目前，主要采用 RIP-2 為防止 RIP 協(xié)議產(chǎn)生環(huán)路， RIP 采用了一些措施來提高這方面的性能： RIP 支持水平分割（ split horizon）和 Poison reverse. 盡管 RIP 協(xié)議存在一些缺陷，但在簡(jiǎn)單的網(wǎng)絡(luò)中， RIP 協(xié)議可以很快收斂，另外， RIP 協(xié)議配置簡(jiǎn)單，易于使用。 RIP 協(xié)議的配置方法如下： 在全局啟動(dòng) RIP 協(xié)議 bigiron(config)#router rip 在接口上配置 rip 協(xié)議，注意，對(duì)端設(shè)備也要配置相同的協(xié)議，才能保證正常通信 NetIron(config-if-1)# int e 2 NetIron(config-if-2)# ip addr 01 NetIron(config-if-2)# ip rip v2-only 接口上可以指定 RIP 的版本 其他和主機(jī)相連的接口無需指定 RIP 協(xié)議 配置 OSPF OSPF(Open Shortest Path First)是一個(gè)自治系統(tǒng)內(nèi)部路由協(xié)議，用于在單一自治系統(tǒng) (autonomous system,AS)內(nèi)計(jì)算產(chǎn)生路由。與 RIP 等距離向量路由協(xié)議不同的是， OSPF 是基于鏈路狀態(tài)的路由協(xié)議。它能夠在網(wǎng)絡(luò)鏈路變化時(shí)快速產(chǎn)生新路由，并能夠管理比 RIP 范圍更大的網(wǎng)絡(luò)自治系統(tǒng)。 OSPF 協(xié)議從命名上看，顯然它有兩個(gè)基本特點(diǎn)。首先它 是開放的，區(qū)別于 CISCO 的 IGRP，EIGRP 協(xié)議，所以它被更廣泛的應(yīng)用。第二個(gè)特點(diǎn)就是 OSPF 協(xié)議使用最短路徑優(yōu)先（ SPF）算法進(jìn)行路由計(jì)算工作。也就是我們?cè)趫D論所說的 Dijkstra 算法。 OSPF 是自治系統(tǒng)內(nèi)部使用的鏈路狀態(tài)路由協(xié)議， OSPF 通過路由器之間通告鏈路狀態(tài)信息（ LSA），來建立鏈路狀態(tài)數(shù)據(jù)庫，然后就可以根據(jù) SPF 算法計(jì)算出到每個(gè)結(jié)點(diǎn)的最短路徑樹了，進(jìn)而可計(jì)算出路由。它的工作方式與我們熟悉的 RIP 和 IGRP 協(xié)議不同， OSPF 只須發(fā)送當(dāng)前結(jié)點(diǎn)到相鄰結(jié)點(diǎn)的路由結(jié)構(gòu)信息，而 RIP 和 IGRP 需要結(jié) 點(diǎn)把自己保留的路由表或路由表的一部分全部發(fā)送到相鄰結(jié)點(diǎn)，相鄰結(jié)點(diǎn)根據(jù)這些信息更新自己的路由表，顯然 OSPF 協(xié)議發(fā)送的信息量少，而 RIP 的發(fā)送的信息量較多。在通告的鏈路狀態(tài)結(jié)構(gòu)中， OSPF 協(xié)議支持 IP 子網(wǎng)結(jié)構(gòu)。 OSPF 使用 Hello 協(xié)議向相鄰的路由器定期發(fā)送一個(gè)問候包，缺省是 10 秒，并接收鄰居路由器發(fā)來的 hello 信息。這個(gè) hello 包不但可以幫助路由器在初始工作時(shí)了解相鄰結(jié)構(gòu)，而且可以在Foundry 設(shè)備操作手冊(cè) Page 16 of 57 上海競(jìng)天科技股份有限公司 運(yùn)行中了解相鄰路由器的工作情況，如果相鄰的路由器關(guān)機(jī)了，或鏈路不通了，就不會(huì)從相應(yīng)鄰居那里收到回應(yīng) hello 信息了 , 從而能夠很快知道哪些路由器不能工作了，能夠?qū)W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化做到快速反應(yīng)。 如果網(wǎng)絡(luò)支持多個(gè)路由器，通過 Hello 協(xié)議可以實(shí)現(xiàn)在一個(gè)網(wǎng)段的諸多 OSPF 路由器中選擇一個(gè)主控路由器 DR 和一個(gè)備份路由器 BDR，在進(jìn)行鏈路數(shù)據(jù)庫同步時(shí)，由主控路由器向整個(gè)網(wǎng)絡(luò)發(fā)送 LSA, 以減少流量開銷。 可以通過在接口上設(shè)置優(yōu)先級(jí)來決定哪個(gè)路由器成為 DR, 如果兩個(gè)鄰居優(yōu)先級(jí)相同時(shí)，那個(gè) routerid 最高的路由器將作為 DR, 次高的作為 BDR OSPF 允許將自治系統(tǒng)內(nèi)的網(wǎng)絡(luò)劃分成區(qū)域來管理。域間傳輸更加抽象的鏈路狀態(tài)宣告 LSA。這樣可以進(jìn)一步減少網(wǎng)絡(luò)開銷。由此 OSPF 路由器可分為： 1、 內(nèi)部路由器 :所有端口在同一區(qū)域的路由器，維護(hù)一個(gè)鏈路狀態(tài)數(shù)據(jù)庫。 2、 區(qū)域邊界路由器 (ABR): 具有連接多區(qū)域端口的路由器，一般作為一個(gè)區(qū)域的出口。 ABR為每一個(gè)所連接的區(qū)域建立鏈路狀態(tài)數(shù)據(jù)庫，負(fù)責(zé)將所連接區(qū)域的路由摘要信息發(fā)送到主干區(qū)域，而主干區(qū)域上的 ABR 則負(fù)責(zé)將這些信息發(fā)送到各個(gè)區(qū)域。 3、 自治系統(tǒng)邊界路由器 (ASBR): 至少擁有一個(gè)連接外部自治域網(wǎng)絡(luò)（如非 OSPF 的網(wǎng)絡(luò)）端口的路由器，負(fù)責(zé)將非 OSPF 網(wǎng)絡(luò)信息傳入 OSPF 網(wǎng)絡(luò)。 OSPF 路由器之間交換的鏈路狀態(tài)公告 (LSA)信息也相應(yīng)分為 : LSA TYPE 1,router lsa：由每臺(tái)路由器為所屬的區(qū)域產(chǎn)生的 LSA，描述本區(qū)域路由器鏈路到該區(qū)域的狀態(tài)和代價(jià)。一個(gè)邊界路由器可能產(chǎn)生多個(gè) LSA TYPE 1. LSA TYPE 2,network lsa：由 DR 產(chǎn)生，含有連接某個(gè)區(qū)域路由器的鏈路狀態(tài)和代價(jià)信息。只有DR 可以監(jiān)測(cè)該信息。 LSA TYPE 3, summary ABR lsa：由 ABR 產(chǎn)生，含有 ABR 與本地內(nèi)部路由器連接信息，可以描述本區(qū)域到主干區(qū) 域的鏈路信息。它通常傳送匯總的 OSPF 信息給其他 LSA TYPE 4, summary ASBR lsa：由 ABR 產(chǎn)生，由主干區(qū)域發(fā)送到其他 ABR, 含有 ASBR 的鏈路信息，與 LSA TYPE 3 的區(qū)別在于 TYPE 4 描述到 OSPF 網(wǎng)絡(luò)的外部路由，而 TYPE 3 則描述區(qū)域內(nèi)路由。 LSA TYPE 5：由 ASBR 產(chǎn)生，含有關(guān)于自治域外的鏈路信息。除了根區(qū)域（ stub 區(qū)域） ,LSA TYPE 5 在整個(gè)網(wǎng)絡(luò)中發(fā)送。 OSPF 的區(qū)域由骨干區(qū)域 (域 0)連接，所有區(qū)域都必須在邏輯上連接。對(duì)于物理上分開的區(qū) 域 , 我們提供需連接 virtual link 來使域間具有邏輯上的連通性。 virtual link 的兩端必須都是 ABR。 OSPF routerid 的選擇 Foundry 的 router id 首先選用配在最低號(hào)的 loopback 上的地址 如果沒有配置 loopback 地址，那么系統(tǒng)就選用設(shè)備上的最小的接口地址 配置 OSPF 需要以下 4 個(gè)基本步驟： 1 全局打開 OSPF foundry(config)# router ospf 2 定義一個(gè)或多個(gè) OSPF area foundry(config)# router ospf foundry(config)# area 或 area 0 都可以 ,具體的配置格式如下 foundry(config)# area nssa | stub 3 給接口指定 IP 地址和掩碼 foundry(config)# int ve 1 foundry(config)# ip add 52 Foundry 設(shè)備操作手冊(cè) Page 17 of 57 上海競(jìng)天科技股份有限公司 4 把接口指定到 area 中 foundry(config-if)# ip ospf area 0 給出一個(gè)具體的配置例子： 其他可選的配置參數(shù)還有： 等價(jià)路徑的負(fù)載均衡 BigIron(config)#ip load-sharing 4 Foundry 缺省支持 4 條等價(jià)路徑，最多支持 8 條 路由重分發(fā) foundry(config)# router ospf foundry(config)# redistribution rip foundry(config)# redistribution static Foundry 設(shè)備操作手冊(cè) Page 18 of 57 上海競(jìng)天科技股份有限公司 area 的地址總結(jié) BigIron(config)#router ospf BigIron(config-ospf-router)#area 2 range 2 40 BigIron(config-ospf-router)#area 0 range 4 40 外部路由的地址總結(jié) BigIron(config)#router ospf BigIron(config-ospf-router)#summary-address /22 OSPF stub 域的配置 BigIron(config)#router ospf BigIron(config-ospf-router)#area 3 stub 1 OSPF 路由重分發(fā)的過濾 BigIron(config)#router ospf BigIron(config-ospf-router)#permit redistribute 1 rip address /24 BigIron(config-ospf-router)#deny redistribute 2 rip BGP 的配置 BGP（ Border Gateway Protocol）是自治系統(tǒng)之間動(dòng)態(tài)發(fā)現(xiàn)路由的協(xié)議，是目前唯一可用的外部網(wǎng)關(guān)協(xié)議（ EGP）。 BGP 協(xié)議常用于 ISP 之間。它通過交換帶有自治系統(tǒng)號(hào)（ AS）序列屬性的路徑可達(dá)性信息，來構(gòu)造自治區(qū)域的拓?fù)鋱D，為自治系統(tǒng)（ AS）提供一個(gè)無環(huán)的路由環(huán)境。從算法角度來說， BGP 也是距離矢量算法，只不過它是采用 AS 路徑來替代了通常意義上的距離，稱之為路徑矢量算法更合適些。 Foundry 設(shè)備操作手冊(cè) Page 19 of 57 上海競(jìng)天科技股份有限公司 BGP 協(xié)議是在 RFC1163、 1267、 1654、 1655 和 1771 中定義的一個(gè) IETF 標(biāo)準(zhǔn)，最新的標(biāo)準(zhǔn)稱為 BGP 4，即版本 4， HOS 支 持 BGP-4。 BGP-4 正迅速成為事實(shí)上的 internet 外部路由協(xié)議標(biāo)準(zhǔn)，其特性描述如下： 與內(nèi)部協(xié)議不同， BGP 協(xié)議的側(cè)重點(diǎn)在于控制路由的傳播和選擇最佳路由，而不在于發(fā)現(xiàn)和計(jì)算路由。 通過在路由中攜帶 AS 路徑信息來徹底消除路由環(huán)路。 使用 TCP 作為其傳輸層協(xié)議，提高了協(xié)議的可靠性。 BGP-4 支持無類域間路由 CIDR（ Classless Interdomain Routing）。 CIDR 的引入簡(jiǎn)化了路由聚合（ Routes Aggregation）。 路由更新時(shí)只是 發(fā)送增量路由，極大地減少了 BGP 傳播路由時(shí)所占用的帶寬，適合于在internet 上傳播大量的路由信息。 BGP-4 提供豐富的路由策略。使得 BGP 便于擴(kuò)展，以支持 internet 網(wǎng)絡(luò)的新發(fā)展。 BGP 在路由器上以下列兩種模式運(yùn)行： IBGP(InternaI BGP) EBGP(ExternaI BGP) 當(dāng) BGP 運(yùn)行于同一自治系統(tǒng) (AS)內(nèi)部時(shí)，稱為 IBGP；當(dāng) BGP 運(yùn)行于不同自治系統(tǒng)之間時(shí)，稱為 EBGP。處于不同模式時(shí)，協(xié)議的運(yùn)行有所不同，這也是在配置中要注意的一點(diǎn)。其他的 IGP沒有類似的概念。 BGP 協(xié)議有四類消息： Open Message Update Message Notification Message Keepalive Message Open Message是連接建立后第一個(gè)發(fā)送的消息，它用于建立 BGP鄰居間的連接關(guān)系。 Notification Message 是錯(cuò)誤通告消息。 Keepalive Message 是用于檢測(cè)連接有效性的消息。 Update Message是 BGP 系統(tǒng)中最重要的信息，用于在鄰居之間交換路由信息，它 最多由三部分構(gòu)成：不可達(dá)路由 (unreachable)、路徑屬性 (Path Attributes)、網(wǎng)絡(luò)可達(dá)性信息 (NLRI， Network Layer Reachability Inforrnation)。 啟動(dòng) BGP 協(xié)議 啟動(dòng) BGP 協(xié)議時(shí)應(yīng)指定本地的自治系統(tǒng)號(hào)。 Foundry(config)# router bgp Foundry(config)# local-as 64982 (64982 指的是自治系統(tǒng)號(hào) ) 要使本地路由器主動(dòng)向相鄰路由器發(fā)出 BGP 連接請(qǐng)求，請(qǐng)參照 neighbor 的配置。 BGP協(xié)議基于 TCP連接，要與其他設(shè)備通訊， BGP必須配置鄰居。 這一點(diǎn)與其他路由協(xié)議不同。一般的路由協(xié)議都能通過類似發(fā)送組播包之類的機(jī)制自動(dòng)發(fā)現(xiàn)鄰居，只有在 NBMA網(wǎng)絡(luò)上才需要配置鄰居。而 BGP的鄰居配置是必須的。另外在配置鄰居時(shí)還需要指定鄰居的 AS號(hào)，使本設(shè)備能決定是建立 IBGP連接還是 EBGP連接。 Foundry(config)# router bgp Foundry(config)#neighbor remote-as 64071 BGP協(xié)議中要求 EBGP連接的鄰居之間必 須在一個(gè)直接相連的子網(wǎng)內(nèi)，對(duì)于一跳之外的 EBGP鄰居發(fā)來的報(bào)文，都會(huì)直接丟棄。但是，在有的組網(wǎng)情況下， EBGP鄰居不能夠在一個(gè)直接相連的子網(wǎng)內(nèi)。針對(duì)這種情況 ,需要采用 ebgp-multihop的配置 Foundry(config)#neighbor ebgp-multihop 3 Foundry 設(shè)備操作手冊(cè) Page 20 of 57 上海競(jìng)天科技股份有限公司 向 BGP 發(fā)布本網(wǎng)的網(wǎng)絡(luò) 可以通過 network 命令或 redistribute rip/ospf 來向 bgp 發(fā)布本地網(wǎng)絡(luò)，通常不建議用 redistribute的方式向 BGP 發(fā)布路由，而是通過 network 發(fā)布 ，最多通過 network 可以指定 600 條，注意，用 network 通告的時(shí)候，必須在本地路由表中存在一條和 network 完全一致的路由 Foundry(config)# router bgp Foundry(config)#network BGP 與 IGP 的同步 BGP 協(xié)議規(guī)定：一個(gè) BGP 路由器不將從內(nèi)部 BGP 鄰居得知的目的地通告給外部鄰居，除非該目的地也能通過 IGP 得知的。若一個(gè)路由器能通過 IGP 得知該目的地，則可認(rèn)為路由能在 AS中傳播，內(nèi)部可達(dá)性已有 了保證。 BGP 的主要任務(wù)之一就是向其它自治系統(tǒng)發(fā)布該自治系統(tǒng)的網(wǎng)絡(luò)可達(dá)性信息。 因此， BGP 必須與 IGP(如 RIP、 OSPF 等 )同步來通告路由。同步是指 BGP 必須等待直到 IGP 在其所在自治系統(tǒng)中成功傳播該選路信息后，才向其它自治系統(tǒng)通告過渡信息。也就是說，當(dāng)一個(gè)路由器從 IBGP 鄰居收到一個(gè)關(guān)于目的地的更新信息、在把它通告給其它 EBGP 鄰居之前，要試圖驗(yàn)證該目的地通過自治系統(tǒng)內(nèi)部能否到達(dá) (即驗(yàn)證該目的地是否存在于 IGP，若 IGP 認(rèn)識(shí)這個(gè)目的地，才通告給其它的 EBGP 鄰居，否則將把這個(gè)路由當(dāng)作與 IGP不同步 來處理，不進(jìn)行通告 )。缺省情況下， BGP 與 IGP 是同步的。 使 BGP 與 IGP 同步的簡(jiǎn)單方法是將 BGP 發(fā)現(xiàn)的網(wǎng)絡(luò)路由導(dǎo)入到 IGP 路由表中，再由 BGP 發(fā)布出去。有關(guān) BGP 與 IBGP 同步更詳細(xì)的描述，請(qǐng)參考有關(guān)的 RFC 文檔。 在下列情況下，可將邊界路由器上的同步選項(xiàng)安全地關(guān)掉： 當(dāng) AS 中所有的路由器能組成 IBGP 全連通網(wǎng)時(shí)。在這種情況下，通過任何邊界路由器中的 EBGP得知的路由都可通過 IBGP 自動(dòng)傳遞到其它所有路由器， AS 內(nèi)部的可達(dá)性可以得到保證。 當(dāng)該 AS 不是一個(gè)過渡 AS。 要配置 BGP 不與 IGP 同步，請(qǐng)?jiān)?BGP 協(xié)議配置模式下執(zhí)行下列命令Foundry(config)# router bgp Foundry(config)#no synchronization BGP的路徑屬性 BGP 路徑屬性是用來記錄與路由相關(guān)的參數(shù)的，它可以記錄路徑的信息、路由的優(yōu)先級(jí)、下一跳、路由聚合信息等等。 BGP 路徑屬性在 Update 報(bào)文中隨同 NLRI 信息一起發(fā)送，在 BGP 路由過濾和路由選擇過程中起作用。每個(gè) Update 報(bào)文中攜帶的路徑屬性可以不同。每個(gè)路徑屬性由以下三部分組成：路徑屬性類型、路徑屬性長(zhǎng)度、路徑屬性數(shù) 據(jù)。 BGP 路徑屬性可以分成四類： 1. 強(qiáng)制的（ well-known mandatory）：這種屬性每個(gè) Update 報(bào)文中必須存在。所有的廠家設(shè)備都要能識(shí)別。一旦發(fā)現(xiàn)收到的報(bào)文中少了一個(gè)必遵的屬性，馬上就發(fā)送 Notification 報(bào)文拆除鄰居關(guān)系。像 AS_path 就是個(gè)必遵屬性。 2. 可選的（ well-know discretionary）：這種屬性所有廠家設(shè)備必須都能識(shí)別，但是不要求每個(gè)Update 報(bào)文都包含。像 Local_Pref 就是個(gè)可選屬性。 3. 過渡的（ optional transitive）：這種 屬性不要求所有廠家設(shè)備都能識(shí)別。不管是否能識(shí)別，在收到后要轉(zhuǎn)發(fā)給其他設(shè)備。 4. 非過渡的（ optional nontransitive）：這種屬性不要求所有廠家設(shè)備都能識(shí)別。對(duì)于不能識(shí)別的情況，直接丟棄。 常見的屬性有以下這些 Origin（ well-known mandatory， Type Code 1） AS-Path（ well-known mandatory， Type Code 2） Next hop（ well-known mandatory， Type Code 3） Foundry 設(shè)備操作手冊(cè) Page 21 of 57 上海競(jìng)天科技股份有限公司 MED（ optional nontransitive， Type Code 4） Local-Preference （ well-know discretionary， Type Code 5） Atomic-Aggregate （ well-know discretionary， Type Code 6） Aggregator （ optional transitive， Type Code 7） Community （ optional transitive， Type Code 8） Originator_ID （ optional nontransitive， Type Code 9） Cluster List （ optional nontransitive， Type Code 10） MED 屬性 多出口鑒別器（ Multiple exit discriminator, MED或 MULTI_EXIT_DISC）屬性是在 BGP Update報(bào)文中可選的一個(gè)路徑參數(shù)，主要是在自治系統(tǒng)之間交換路由時(shí)的一個(gè)輔助判別標(biāo)準(zhǔn)。自治系統(tǒng)內(nèi)部使用本地優(yōu)先級(jí)屬性 (LocaI Preference)進(jìn)行出自治系統(tǒng)路由的選擇；而 MED屬性用于判斷進(jìn)入該自治系統(tǒng)的最佳路由。當(dāng)一個(gè)運(yùn)行 BGP的自治系統(tǒng)得到目的地址相同、下一跳不同的多條路由時(shí)，在其它條件相同的情況下， MED值最小的路由將被優(yōu)先選作進(jìn)入該自治系統(tǒng)的外部路由。在缺省情況下，自治系統(tǒng)的 MED值為 0。 協(xié)議要求：路由器通過 EBGP隨路由更新收到的 MED，會(huì)不做任何改變地傳送給所有 IBGP鄰居 foundry(config)# router bgp foundry(config)# default-metric 30 比較來自不同自治系統(tǒng)的路由的 MED值 一般情況下，路由器只比較來自同一自治系統(tǒng)路由的 MED屬性，不比較來自不同自治系統(tǒng)路由的 MED值。若非得要比較的話，請(qǐng)用“ bgp always-compare-med”命令來實(shí)現(xiàn)。缺省情況下，不允許比較來自不同自治系路由的 MED屬性值。 foundry(config)# router bgp foundry(config)#bgp always-compare-med 配置本地優(yōu)先級(jí) local-preference IBGP 收到了其他選擇條件一樣的路由后，根據(jù) IBGP 的 Update 報(bào)文中一個(gè)叫 LOCAL_PREF 的路徑屬性來在 AS 內(nèi)部區(qū)別路由的優(yōu)先級(jí)。我們稱為本地優(yōu)先級(jí)。 本地優(yōu)先級(jí)高的優(yōu)先選擇。缺省情況下，本地優(yōu)先級(jí)值為 100 foundry(config)# router bgp foundry(config)# default-local-preference 200 路由聚合 在很多組網(wǎng)情況下， AS內(nèi)部的網(wǎng)絡(luò)可以通過無類域間路由（ CIDR（ Classless Interdomain Routing）來聚合成一條路由，從而減少 AS之間路由的數(shù)目。 比如以下網(wǎng)絡(luò)都在一個(gè) AS 1中： /24 /24 /24 /24 我們就可以把它們聚合成 /22的路由通告其他 AS。 在使用路由聚合時(shí)要小心確認(rèn)，包含在聚合路由里的網(wǎng)絡(luò)是否在一起，不要造成路由重疊的情況。 我們可以利用aggregate-address可以對(duì) BGP路由進(jìn)行聚合。在配置路由聚合的同時(shí)，還可進(jìn)行一系列參數(shù)的配置。 要聚合 BGP路由，請(qǐng)?jiān)?BGP協(xié)議配置模式下執(zhí)行下列命令： foundry(config)# router bgp foundry(config)#aggregate-address Foundry 設(shè)備操作手冊(cè) Page 22 of 57 上海競(jìng)天科技股份有限公司 要注意：聚合路由不是配置后馬上就產(chǎn)生的。至少得有一條滿足在指定范圍內(nèi)的具體路由生效后，才會(huì)產(chǎn)生聚合路由。 如果有可用的符合指定范圍的具體 BGP 路由，用不帶參數(shù)的 aggregate address 命令就可以在BGP 路由選擇表中創(chuàng)建一條聚合記錄。它是本地聚合的，而且設(shè)置了原子聚合屬性以表示可能在聚合中丟失了信息 (除非指定了 as-set 關(guān)鍵字，否則缺省情況下是設(shè)定原子聚合屬性的 )。 使用 as-set 關(guān)鍵字可以創(chuàng)建一條聚合記錄，該路由的 AS 路徑會(huì)包含一個(gè) AS 集合，它綜合了所 Foundry 設(shè)備操作手冊(cè) Page 23 of 57 上海競(jìng)天科技股份有限公司 有具體路由的 AS路徑信息。建議在聚合較多 AS路徑時(shí)不要使用此關(guān)鍵字，因?yàn)楫?dāng)具體路由的 AS路徑或可達(dá)性信息發(fā)生變化時(shí)，該路由必須不斷撤銷和重新更新。 BGP 的路由策略 發(fā)送缺省路由 缺省情況下，不向鄰居發(fā)布缺省路由。使用該命令，向鄰居發(fā)布缺省路由 foundry(config)# router bgp foundry(config)# neighbor default-originate 將自身作為下一跳 BGP 在向鄰居發(fā)布路由時(shí)，把自身地址作為所發(fā)布路由的下一跳。當(dāng) BGP 運(yùn)行于非全連通的網(wǎng)絡(luò)環(huán)境（例如 x.25 和幀中繼）時(shí)，該功能非常有用，因?yàn)樵谶@種網(wǎng)絡(luò)環(huán)境下，某個(gè)鄰居可能不能直接訪問同一子網(wǎng)內(nèi)的其他鄰居。 foundry(config)# router bgp foundry(config)# neighbor next-hop-self 配置鄰居的路由策略 foundry(config)# router bgp foundry(config)# neighbor route-map test in/out 案例說明 在目前的城域網(wǎng)中，主要的 BGP配置如下，城域網(wǎng)的連接拓?fù)湟娤聢D router bgp default-metric 50 local-as 64988 neighbor remote-as 64988 neighbor next-hop-self neighbor update-source loopback 1 neighbor 13 remote-as 65010 neighbor 13 route-map out SETINBOUND network network network network network network network network network network access-list 1 permit 55 access-list 1 permit 55 Foundry 設(shè)備操作手冊(cè) Page 24 of 57 上海競(jìng)天科技股份有限公司 access-list 1 permit 55 route-map SETINBOUND permit 10 match ip address 1 set metric 20 route-map SETINBOUND permit 20 3 安全配置 交換機(jī)的安全配置包括訪問控制列表 (access control list)，防止 DoS（ deny of service）攻擊等 訪問控制列表 訪問控制列表可以根據(jù)源 IP 或目的 IP 以及 TCP/UDP 的應(yīng)用端口來允許或拒絕數(shù)據(jù)包。主要分為標(biāo)準(zhǔn)的和擴(kuò)展的 2 種。 ACL 的 ID 是在全局定義的，而 acl 只有施加到端口才有效。 ACL 的默認(rèn)行為就是拒絕任何沒有明確允許的流量，所以千萬不能把一個(gè)空的 acl 加到端口下，否則會(huì)導(dǎo)致系統(tǒng)無法管理。 Acl也可被用來控制 telnet, web 管理以及 SNMP 訪問等 標(biāo)準(zhǔn)訪問控制列表的表示符如下： no access-list deny|permit /|log no access-list deny|permit host |log no access-list deny|permit anylog 注意，當(dāng)添加了 log 后，系統(tǒng)會(huì)用 cpu 往 log 添加被拒絕的包的紀(jì)錄，如果包的數(shù)量大的話，F(xiàn)oundry 設(shè)備操作手冊(cè) Page 25 of 57 上海競(jìng)天科技股份有限公司 會(huì)導(dǎo)致交換機(jī) cpu 升高，建議平時(shí)不要使用 配置一個(gè)標(biāo)準(zhǔn)的訪問控制列表的例子： BigIron(config)# access-list 1 deny host 6 BigIron(config)# access-list 1 deny host 2 BigIron(config)# access-list 1 deny host IPHost1 BigIron(config)# access-list 1 permit any BigIron(config)# int eth 1/1 BigIron(config-if-1/1)# ip access-group 1 in 擴(kuò)展的訪問控制列表可以根據(jù) IP 協(xié)議類型，源和目的 IP 地址以及 tcp/udp 的應(yīng)用端口來進(jìn)行控制，其中常見的協(xié)議包括： Internet Control Message Protocol (ICMP) Internet Group Management Protocol (IGMP) Internet Gateway Routing Protocol (IGRP) Internet Protocol (IP) Open Shortest Path First (OSPF) Transmission Control Protocol (TCP) User Datagram Protocol (UDP) 表達(dá)格式如下： no access-list deny | permit | | established precedence | tos dscp-marking 802.1ppriority-marking 例子： BigIron(config)# access-list 103 deny tcp /24 /24 BigIron(config)# access-list 103 deny tcp /24 eq ftp /24 BigIron(config)# access-list 103 deny tcp /24 /24 lt telnet neq 5 BigIron(config)# access-list 103 deny udp any range 5 Bigiron(config)# int ve 5 Bigiron(config)#ip access-group 5 in 注意，由于 foundry 的 設(shè)備結(jié)構(gòu)，建議 acl 只加到設(shè)備的 in 方向，不要添加到 out 方向 每個(gè)會(huì)話的第一個(gè) tcp/udp 包都將由 cpu 處理，另外，所有的基于 icmp 包的 acl 也由 cpu 處理。 (這是針對(duì) ironcore 的結(jié)構(gòu)來說的 ) 防止 DoS 攻擊的配置 防止惡性用戶對(duì)設(shè)備發(fā)動(dòng) tcp sync 攻擊 Bigiron(config)# ip tcp burst-normal 10 burst-max 100 lockup 30 系統(tǒng)會(huì)在突發(fā)大于 10 個(gè)包的時(shí)候開始丟棄包，如果突發(fā)大于 100 的話，系統(tǒng)就會(huì)丟棄所有的包。直到過了 30 秒 Foundry 設(shè)備操作手冊(cè) Page 26 of 57 上海競(jìng)天科技股份有限公司 4 策略路由 所謂策略路由，顧名思義，即是根據(jù)一定的策略進(jìn)行報(bào)文轉(zhuǎn)發(fā)，因此策略路由是一種比目的路由更靈活的路由機(jī)制。在路由器轉(zhuǎn)發(fā)一個(gè)數(shù)據(jù)報(bào)文時(shí)，首先根據(jù)配置的規(guī)則對(duì)報(bào)文進(jìn)行過濾，匹配成功則按照一定的轉(zhuǎn)發(fā)策略進(jìn)行報(bào)文轉(zhuǎn)發(fā)。這種規(guī)則可以是基于標(biāo)準(zhǔn)和擴(kuò)展訪問控制列表，也可以基于報(bào)文的長(zhǎng)度；而轉(zhuǎn)發(fā)策略則是控制報(bào)文按照指定的策略路由表進(jìn)行轉(zhuǎn)發(fā)，也可以修改報(bào)文的 IP 優(yōu)先字段。因此，策略路由是對(duì)傳統(tǒng) IP 路由機(jī)制的有效增強(qiáng)。 策略路由一般可應(yīng)用在如下目的： 1多個(gè) ISP出口的業(yè)務(wù)網(wǎng)關(guān) 2負(fù)載分擔(dān) 3靈活的路由備份 策 略路由是基于 route-map 表、多策略路由表以及多轉(zhuǎn)發(fā)表實(shí)現(xiàn)的。 Route-map 在路由策略一章時(shí)已經(jīng)介紹，它是由一組 match 子句和 set 子句構(gòu)成，當(dāng)需做策略路由的報(bào)文匹配route-map 中的 match 子句定義的規(guī)則時(shí)，將按照 set 子句的配置決定該報(bào)文的路由方式，包括控制報(bào)文的發(fā)送下一跳 ,發(fā)送接口以及設(shè)置報(bào)文的 IP 優(yōu)先權(quán)字段。 在 route-map表中定義規(guī)則和報(bào)文所使用的轉(zhuǎn)發(fā)表表號(hào)，當(dāng)報(bào)文匹配規(guī)則（包括訪問控制列表和報(bào)文長(zhǎng)度）時(shí)，就按照指定的轉(zhuǎn)發(fā)表進(jìn)行路由查找。如果查找成功，則正常轉(zhuǎn)發(fā)；如果查找失 敗，則繼續(xù)在系統(tǒng)轉(zhuǎn)發(fā)表中查找，成功則繼續(xù)轉(zhuǎn)發(fā)，失敗則丟棄報(bào)文。 配置策略路由需要以下 3 個(gè)步驟 1 定義一個(gè)訪問控制列表，把你要進(jìn)行區(qū)分的流量整理出來 BigIron(config)# access-list 99 permit 55 2 配置一個(gè) route-map,把策略的目的用語句表達(dá)出來 BigIron(config)# route-map test-route permit 99 BigIron(config-routemap test-route)# match ip address 99 BigIron(config-routemap test-route)# set ip next-hop BigIron(config-routemap test-route)# exit 3 把策略添加到接口下 BigIron(config)# interface ve 1 BigIron(config-vif-1)# ip policy route-map test-route 例如，指定 3 段地址，當(dāng)滿足第一段地址時(shí)，下一跳是 , 滿足第二段時(shí)，下一跳是 , 滿足第三段時(shí)，下一跳是 ，然后在接口 ve1 下添加該策略 BigIron(config)# access-list 50 permit 55 BigIron(config)# access-list 51 permit 55 BigIron(config)# access-list 52 permit 55 BigIron(config)# route-map test-route permit 50 BigIron(config-routemap test-route)# match ip address 50 BigIron(config-routemap test-route)# set ip next-hop BigIron(config-routemap test-route)# exit BigIron(config)# route-map test-route permit 51 BigIron(config-routemap test-route)# match ip address 51 BigIron(config-routemap test-route)# set ip next-hop Foundry 設(shè)備操作手冊(cè) Page 27 of 57 上海競(jìng)天科技股份有限公司 BigIron(config-routemap test-route)# exit BigIron(config)# route-map test-route permit 52 BigIron(config-routemap test-route)# match ip address 52 BigIron(config-routemap test-route)# set ip next-hop BigIron(config-routemap test-route)# exit BigIron(config)# interface ve 1 BigIron(config-vif-1)# ip address /24 BigIron(config-vif-1)# ip address /24 BigIron(config-vif-1)# ip address /24 BigIron(config-vif-1)# ip policy route-map test-route 5 組播 IP通信主要有三種方式：第一種是在一臺(tái)源 IP主機(jī)和一臺(tái)目的 IP主機(jī)之間進(jìn)行，即單播（ unicast）；第二種是在一臺(tái)源 IP主機(jī)和網(wǎng)絡(luò)中所有其它的 IP主機(jī)之間進(jìn)行，即廣播（ broadcast）；第三種是在屬于同一組的主機(jī)之間進(jìn)行，即組播 (multicast)。當(dāng)要將信息發(fā)送給網(wǎng)絡(luò)中的多個(gè)主機(jī)而非所有主機(jī)時(shí)，如果采用廣播方式，不僅會(huì)將信息發(fā)送給不需要的主機(jī)而浪費(fèi)帶寬，也可能由于路由回環(huán)引起嚴(yán)重的廣播風(fēng)暴；如果采用單播方式，則由于 IP包的重復(fù)發(fā)送會(huì)白白浪費(fèi)掉大量帶寬，也增加了服務(wù)器的負(fù)載，而組播通信方式則能 有效地解決這種單點(diǎn)發(fā)送、多點(diǎn)接收的問題。 IP 組播是指在 IP網(wǎng)絡(luò)中將數(shù)據(jù)包以盡力傳送（ best-effort）的形式發(fā)送到網(wǎng)絡(luò)中的某個(gè)確定節(jié)點(diǎn)子集，這個(gè)子集稱為組播組（ multicast group）。 IP組播的基本思想是：源主機(jī)只發(fā)送一份數(shù)據(jù)，這份數(shù)據(jù)中的目的地址為組播組地址；組播組中的所有接收者都可接收到同樣的數(shù)據(jù)拷貝，并且只有組播組內(nèi)的主機(jī)（目標(biāo)主機(jī)）所在的網(wǎng)段可以接收該數(shù)據(jù)，網(wǎng)絡(luò)中其它網(wǎng)段不能收到。組播組用 D類 IP地址（ 55）來標(biāo)識(shí) IP組播中，使 用 IGMP（互連網(wǎng)組管理協(xié)議）作為主機(jī) -路由器之間的組播成員管理協(xié)議；主要使用 PIM-SM（協(xié)議無關(guān)組播協(xié)議稀疏模式）、 PIM-DM（協(xié)議無關(guān)組播協(xié)議密集模式）、 DVMRP（距離向量組播路由協(xié)議）等協(xié)議作為路由器 -路由器之間的組播路由協(xié)議。 IANA將 MAC地址范圍 01:00:5E:00:00:00 01:00:5E:7F:FF:FF分配給組播使用，這就要求將28位的 IP組播地址空間映射到 23位的 MAC地址空間中，具體的映射方法是將組播地址中的低 23位放入 MAC地址的低 23位，如下圖所示。所以一個(gè)組 播 MAC地址對(duì)應(yīng)于 32個(gè)組播 IP地址。 IGMP（ Internet Group Management Protocol）協(xié)議運(yùn)行于主機(jī)和與主機(jī)直連的路由器之間，IGMP 實(shí)現(xiàn)的功能是雙向的：一方面，通過 IGMP 協(xié)議，主機(jī)通知本地路由器希望加入并接收某個(gè)特定組播組的信息；另一方面，路由器通過 IGMP 協(xié)議周期性地查詢局域網(wǎng)內(nèi)某個(gè)已Foundry 設(shè)備操作手冊(cè) Page 28 of 57 上海競(jìng)天科技股份有限公司 知組的成員是否處于活動(dòng)狀態(tài)（即該網(wǎng)段是否仍有屬于某個(gè)組播組的成員），實(shí)現(xiàn)所連網(wǎng)絡(luò)組成員關(guān)系的收集與維護(hù)。通過 IGMP，在路由器中記錄的信息是某個(gè)組播組是否在本地有組成員，而不是組播 組與主機(jī)之間的對(duì)應(yīng)關(guān)系。 到目前為止， IGMP 有三個(gè)版本： IGMPv1（ RFC1112）中定義了基本的組成員查詢和報(bào)告過程；目前通用的是 IGMPv2，由 RFC2236 定義，在 IGMPv1 的基礎(chǔ)上添加了組成員快速離開的機(jī)制； IGMPv3 中增加的主要功能是成員可以指定接收或指定不接收某些組播源的報(bào)文。 IGMPv2 中指定三種 IGMP 報(bào)文：組成員查詢報(bào)文（ Membership Query），組成員報(bào)告報(bào)文（ Membership Report）和組成員離開報(bào)文（ Leave Group）。 組播路由協(xié)議 根據(jù)協(xié) 議的作用范圍，組播協(xié)議分為主機(jī) -路由器之間的協(xié)議（組播成員管理協(xié)議），以及路由器 -路由器之間協(xié)議（組播路由協(xié)議）。組成員關(guān)系協(xié)議包括 IGMP（互連網(wǎng)組管理協(xié)議）；組播路由協(xié)議又分為域內(nèi)組播路由協(xié)議和域間組播路由協(xié)議。域內(nèi)組播路由協(xié)議包括PIM-SM、 PIM-DM、 DVMRP等協(xié)議，域間組播路由協(xié)議包括 MBGP、 MSDP等協(xié)議。同時(shí)為了有效抑制組播數(shù)據(jù)在二層網(wǎng)絡(luò)中的擴(kuò)散，引入了 IGMP Snooping等二層組播監(jiān)聽機(jī)制。 通過 IGMP和二層組播監(jiān)聽機(jī)制，在路由器和交換機(jī)中建立起直聯(lián)網(wǎng)段內(nèi)的組成員關(guān)系信息，具 體地說，就是哪個(gè)接口下有哪個(gè)組播組的成員。域內(nèi)組播路由協(xié)議根據(jù) IGMP維護(hù)的這些組播組成員關(guān)系信息，運(yùn)用一定的組播路由算法構(gòu)造組播分發(fā)樹，在路由器中建立組播路由狀態(tài)，路由器根據(jù)這些狀態(tài)進(jìn)行組播數(shù)據(jù)包轉(zhuǎn)發(fā)。域間組播路由協(xié)議根據(jù)網(wǎng)絡(luò)中配置的域間組播路由策略，在各自治系統(tǒng)（ AS， Autonomous System）間發(fā)布具有組播能力的路由信息以及組播源信息，使組播數(shù)據(jù)能在域間進(jìn)行轉(zhuǎn)發(fā)。 組播路由是一個(gè)從數(shù)據(jù)源端到多個(gè)接收端的無環(huán)數(shù)據(jù)傳輸路徑，組播路由協(xié)議的任務(wù)就是構(gòu)建組播路由即組播數(shù)據(jù)分發(fā)樹。通常，根據(jù)網(wǎng)路實(shí)際 情況此類路由協(xié)議又可以稀疏模式和密集模式兩大類 稀疏模式基于以下假設(shè)：所有主機(jī)都默認(rèn)不接收組播數(shù)據(jù)，只有明確要求加入的主機(jī)才接收，即只向明確要求組播數(shù)據(jù)的接口轉(zhuǎn)發(fā)。接收點(diǎn)如果需要接收某組播數(shù)據(jù)，必須向該組“匯集點(diǎn)”（ RP， Rendezvous Point）發(fā)送加入消息。組播發(fā)送時(shí)也必須首先向“匯集點(diǎn)”注冊(cè)。 PIM-SM（協(xié)議無關(guān)組播協(xié)議稀疏模式）是此模式的典型組播路由協(xié)議 密集模式組播路由適用于小型網(wǎng)絡(luò)，其組建過程基于以下假設(shè)：當(dāng)組播源開始發(fā)送組播數(shù)據(jù)時(shí)，域內(nèi)所有的網(wǎng)絡(luò)節(jié)點(diǎn)都需要接收數(shù)據(jù)，因此采用“擴(kuò)散 -剪枝”方式（與稀疏模式的“加入 -剪切”方式不同）進(jìn)行組播數(shù)據(jù)包的轉(zhuǎn)發(fā)。組播源開始發(fā)送數(shù)據(jù)時(shí)，沿途路由器向除組播源對(duì)應(yīng)的 RPF（ Reverse Path Forwarding，逆向路徑轉(zhuǎn)發(fā)）接口之外的所有接口轉(zhuǎn)發(fā)組播數(shù)據(jù)包。然后剪切掉不要組播的分支 PIM-DM（協(xié)議無關(guān)組播協(xié)議密集模式）和 DVMRP（距離向量組播路由協(xié)議）是此模式的典型組播路由協(xié)議 在組播中，報(bào)文是發(fā)送給一組接收者的，這些接收者用一個(gè)邏輯地址標(biāo)識(shí)。路由器在接收到報(bào)文后，必須根據(jù)源和目的地址確定出上游（指向組播源）和下游方向，把報(bào)文沿著 遠(yuǎn)離組播源的方向進(jìn)行轉(zhuǎn)發(fā)。這個(gè)過程稱作 RPF（ Reverse Path Forwarding，逆向路徑轉(zhuǎn)發(fā)）。 RPF 執(zhí)行過程中會(huì)用到原有的單播路由表以確定上游和下游的鄰接結(jié)點(diǎn)。只有當(dāng)報(bào)文是從上游鄰接結(jié)點(diǎn)對(duì)應(yīng)的接口（稱作 RPF接口）到達(dá)時(shí)，才向下游轉(zhuǎn)發(fā)，否則丟棄 組播的配置 Foundry 設(shè)備操作手冊(cè) Page 29 of 57 上海競(jìng)天科技股份有限公司 首先需要在全局啟動(dòng)組播功能 BigIron(config)# ip multicast-routing 啟動(dòng)組播路由協(xié)議 pim-dm BigIron(config)ip multicast routing BigIron(config)router pim BigIron(config)int e3 BigIron(config)ip address /24 BigIron(config)ip pim 啟動(dòng)組播路由協(xié)議 pim-sm PIM-SM（ Protocol Independent Multicast Sparse Mode，協(xié)議無關(guān)組播協(xié)議稀疏模式）是一種典型的稀疏模式組播路由協(xié)議。 在 PIM-SM 域中，運(yùn)行 PIM-SM 協(xié)議的路由器周期性地發(fā)送 Hello 消息，用以發(fā)現(xiàn)鄰接的PIM 路由器，并且負(fù)責(zé)在多 路訪問網(wǎng)絡(luò)中進(jìn)行 DR 的選舉。這里， DR 負(fù)責(zé)與其直連的組成員向組播樹根節(jié)點(diǎn)的方向發(fā)送 “加入 /剪枝 ”消息，或是將直連組播源的數(shù)據(jù)發(fā)向組播分發(fā)樹，還負(fù)責(zé)發(fā)起 SPT（最短路徑樹）切換。同時(shí) PIM-SM 通過設(shè)置 “匯聚點(diǎn) ”（ RP Rendezvous Point）和引導(dǎo)路由器 BSR（ Bootstrap router）向所有的 PIM-SM 路由器通告組播路由信息，控制路由分發(fā)樹的生成 . 理解共享樹和最短路徑樹 默認(rèn)情況下，組成員接收的數(shù)據(jù)都是通過樹根為 “匯集點(diǎn) ”（ RP， Rendezvous Point）的分發(fā)樹得到組播數(shù) 據(jù)，發(fā)送者總是先將組播數(shù)據(jù)發(fā)送給 RP，然后再由 RP 分發(fā)給加入到此分發(fā)樹的接收者，這種類型的分發(fā)樹被成為共享樹（ Shared Tree，也稱 RPT）。如下圖所示 . 如果通過葉子路由器的組播數(shù)據(jù)流量達(dá)到一定值，該路由器可以將分發(fā)樹的根轉(zhuǎn)向源，形成新的轉(zhuǎn)發(fā)樹，此樹叫做最短路徑樹（ SPT）。 路由器 DR 發(fā)現(xiàn)源則會(huì)向 RP 注冊(cè)，發(fā)現(xiàn)成員則向 RP 申請(qǐng)加入分發(fā)樹，成為分發(fā)樹的葉子 . BigIron(config)ip multicast routing BigIron(config)router pim BigIron(config-pim-router)bsr-candidate eth 2/2 30 255 BigIron(config-pim-router)rp-candidate eth 2/2 Foundry 設(shè)備操作手冊(cè) Page 30 of 57 上海競(jìng)天科技股份有限公司 BigIron(config-pim-router)rp-address BigIron(config)int eth 2/2 BigIron(config)ip address /24 BigIron(config)ip pim-sparse 啟動(dòng)組播路由協(xié)議 dvmrp BigIron(config)ip multicast routing BigIron(config)router dvmrp BigIron(config)int eth 2/2 BigIron(config)ip address /24 BigIron(config)ip dvmrp Foundry 設(shè)備操作手冊(cè) Page 31 of 57 上海競(jìng)天科技股份有限公司 第三部分 系統(tǒng)操作 對(duì) foundry 設(shè)備的配置可以通過 console 口、 telnet 遠(yuǎn)程登錄、 web 管理方式來進(jìn)行。當(dāng)設(shè)備是新安裝時(shí)，必須通過 console 口進(jìn)行初始配置，給設(shè)備設(shè)置了 ip 地址以 后，則可采用另外兩種方式做配置。 Console 口和 telnet 是通過命令行（ cli）的方式來對(duì)設(shè)備進(jìn)行配置或檢查設(shè)備狀態(tài)信息。 Web 方式則是圖形化的 Web 界面操作。 1 console口 foundry 設(shè)備的 console 口是標(biāo)準(zhǔn)的 DB-9 公接頭，通過 vt-100 或vt-100 終端仿真軟件來連接。出廠連接參數(shù)： 9600 波特率、 8數(shù)據(jù)位、無奇偶校驗(yàn)、 1 停止位、無流控。 連接的線纜采用直通線纜（不是 Null-Modem 線纜）。 另外，該 console 可通過 Modem（調(diào)制解調(diào)器）方式來連接，這樣的話，你就 可以遠(yuǎn)程電話撥號(hào)來連接 console 口。如果在設(shè)備端和管理端都具備直線電話，可以方便對(duì)設(shè)備的控制，特別是在管理 ip 地址誤刪的情況下，可以保證對(duì)設(shè)備的配置權(quán)。從 console口到 modem 的線纜為交叉的 modem to modem 線纜（通常是DB 9 到 DB 25 線纜） 2 命令行接口（ Cli） Cli 是命令行操作界面，是 console 和 telnet 方式的控制界面。 Foundry 設(shè)備操作手冊(cè) Page 32 of 57 上海競(jìng)天科技股份有限公司 Cli 分為 3 種不同的級(jí)別，不同的級(jí)別具有不同的控制權(quán)利。 User EXEC（用戶模式） 你可以顯示設(shè)備的信息（但不能改變），同時(shí)可以執(zhí)行一 些基本的任務(wù)，如：連通性檢查的 ping 和traceroute Privileged EXEC（特權(quán)模式） 包括了用戶模式下的所有命令，另外可以修改部分配置（注意：這些修改的配置不要求保存到系統(tǒng)配置文件，如果要求保存到系統(tǒng)配置文件，則不能在該模式下進(jìn)行修改），例如：設(shè)置系統(tǒng)時(shí)鐘。 CONFIG（配置模式） 可以對(duì)設(shè)備進(jìn)行配置修改，如果要求這些修改后的配置在設(shè)備重新啟動(dòng)后仍舊生效，則必須用 write memory 命令把修改的配置保存到系統(tǒng)配置文件。 以上三種配置模式通過相應(yīng)的命令進(jìn)行切換： 3 賬號(hào)設(shè)置 賬號(hào)設(shè)置分為“一般賬號(hào)設(shè)置”和“ aaa 賬號(hào)設(shè)置”，“一般賬號(hào)設(shè)置”不含用戶名，只須設(shè)置密碼（最多 3 個(gè)賬號(hào)）；“ aaa 賬號(hào)設(shè)置”可同時(shí)設(shè)置賬號(hào)名和密碼（最多 16 個(gè)賬號(hào)）。另外，兩種方式的密碼長(zhǎng)度必須在 32 字符以內(nèi)。 你可以根據(jù)自己的要求來決定采用哪種賬號(hào)設(shè)置方式（ aaa 用戶模式 特權(quán)模式 配置模式 Enable 命令賬號(hào)信息 Config t 命令 Exit 或 end 命令 Exit 命令 Foundry 設(shè)備操作手冊(cè) Page 33 of 57 上海競(jìng)天科技股份有限公司 authentication 命令用于 aaa 賬號(hào)設(shè)置的驗(yàn)證）。 3.1 一般賬號(hào)設(shè)置（只需設(shè)置密碼）： 設(shè)備初始狀態(tài)（出廠設(shè)置）時(shí)，未設(shè)置密碼。 從用戶模式進(jìn)入特權(quán)模式后，根據(jù)用戶輸入的密碼可以有不同的權(quán)限。 設(shè)備可以設(shè)置三個(gè)不同的 密碼，不同級(jí)別的密碼具備不同的管理權(quán)限。 超級(jí)用戶密碼：完全的讀寫權(quán)限，通常由系統(tǒng)管理員使用 BigIron(config)# enable super-user-password SuPswd 端口配置用戶密碼：允許對(duì)端口的配置進(jìn)行讀寫。不能改變系統(tǒng)范圍內(nèi)的其它參數(shù)。 BigIron(config)# enable port-config-password PCPswd 只讀用戶密碼 允許讀設(shè)備配置、狀態(tài)信息。不能修改任何配置： BigIron(config)# enable read-only-password ROPswd 3.2 AAA 賬號(hào)設(shè)置（只需設(shè)置密碼）： 通過 aaa 賬號(hào)設(shè)置方式，你可以建立本地（最多 16 個(gè)）或遠(yuǎn)程賬號(hào)（如 radius，賬號(hào)數(shù)量和認(rèn)證服務(wù)器相關(guān)， foundry 設(shè)備沒有限制），每個(gè)賬號(hào)包括用戶名和密碼。在此列出建立本地賬號(hào)及應(yīng)用本地賬號(hào)的命令。 建立本地賬號(hào)： 建立本地賬號(hào)時(shí)也可以規(guī)定每個(gè)賬號(hào)的權(quán)限（超級(jí)用戶賬號(hào)、端口配置賬號(hào)、只讀賬號(hào)設(shè)置）。 Foundry 設(shè)備操作手冊(cè) Page 34 of 57 上海競(jìng)天科技股份有限公司 Syntax: no username privilege password | nopassword 其中： privilege 參數(shù)指定該賬號(hào)的權(quán)利，有如下三種選項(xiàng)。 0 Full access (super-user) 4 Port-configuration access 5 Read-only access 例如： BigIron(config)# username waldo privilege 5 password whereis 使本地賬號(hào)生效： Syntax: no aaa authentication snmp-server | web-server | enable | login default 例如： BigIron(config)# aaa authentication enable default local BigIron(config)# username waldo privilege 5 password whereis Method 選項(xiàng)： Table 6.1: Authentication Method Values Method 值 描述 tacacsor tacacs+ 使用 TACACS/TACACS+ server認(rèn)證 . （需進(jìn)一步配置 tacacs/tacacs+ 服務(wù)器參數(shù)） radius 使用 radius server來認(rèn)證（需進(jìn)一步配置 radius 服務(wù)器參數(shù)） local 采用本地建立的賬號(hào) （該選項(xiàng)和本節(jié)相關(guān)） line 使用 telnet 使用的口令。 telnet 使用的口令用 enable telnet password 命令配置。 is enable 略 none 無需認(rèn)證。用戶總是能獲得認(rèn)證成功 4 Telnet/SSH配置 設(shè)置 telnet 登錄密碼： enable telnet password .其中 password 為密碼。如果未設(shè)置該密Foundry 設(shè)備操作手冊(cè) Page 35 of 57 上海競(jìng)天科技股份有限公司 碼，則 telnet 可以不要求認(rèn)證，用戶直接進(jìn)入 cli 的用戶執(zhí)行模式。如已設(shè)置該密碼，則用戶必須輸入該密碼（沒有用戶名要求）才能進(jìn)入 cli 的執(zhí)行模式。 另外可以通過 aaa 認(rèn)證方式，要求用戶 telnet 登錄時(shí)輸入 “用戶名”“密碼”， 如： aaa authentication longin default local username waldo privilege 5 password whereis 用戶輸入用戶名“ waldo”, 和 密碼 “ whereis”后，將成功登錄。 SSH 配置： Foundry 設(shè)備支持 ssh 安全登錄方式，配置方法如下： SSH 配置命令： (見 security.pdf 目錄： D:hexiaojunproject四川 foundry 技術(shù)文檔 fastiron II) 1)生成公鑰私鑰密碼對(duì)，同時(shí)將遠(yuǎn)程登錄調(diào)整為 ssh 方式。 BigIron(config)# crypto key generate rsa BigIron(config)# write memory 2)刪除公鑰私鑰密碼對(duì)；禁止 ssh方式，恢復(fù)到 telnet 方式。 BigIron(config)# crypto key zeroize rsa BigIron(config)# write memory 5 SNMP配置 SNMP 配置命令 : FastIron(config)# ip address 5 （設(shè)備要求有一個(gè)可管理的 ip地址） FastIron(config)# snmp-server contact “Bill Clinton”（配置設(shè)備聯(lián)系方式，該命令可不配置） FastIron(config)# snmp-server location the_white_house（配置設(shè)備位置，該命令也可不配置） Foundry 設(shè)備操作手冊(cè) Page 36 of 57 上海競(jìng)天科技股份有限公司 FastIron(config)# snmp-server host 5 *（配置設(shè)備 trap server 的 地址及信息的分類， trap server根據(jù) *字段，可對(duì) trap進(jìn)行分類。該命令必須配置） FastIron(config)# snmp-server community ro （配置設(shè)備的可讀字符串，該命令必須配置，用于 snmp通信的驗(yàn)證，相當(dāng)于密碼。該密碼不具備寫的權(quán)利，只有讀的權(quán)利） FastIron(config)# snmp-server community * rw（配置設(shè)備的可寫字符串，該命令必須配置。用于snmp 通信的驗(yàn)證，相當(dāng)于密碼。該密碼具有寫的權(quán)利） 6 Syslog設(shè)置 配置 syslog 相對(duì)比較簡(jiǎn)單，只需說明 syslog 服務(wù)器的 ip 地址，此后，系統(tǒng)生成的日志，將發(fā)送到該 ip 地址的主機(jī)。 logging host *.*.*.* *.*.*.*是日志服務(wù)器的 ip 地址 7 權(quán)限控制 你可以限制對(duì) web、 telnet、 snmp 的訪問。 可以通過單條命令對(duì)單臺(tái)主機(jī)進(jìn)行控制，也可以通過單條命令對(duì)一組主機(jī)進(jìn)行控制。 另外，也可以完全關(guān)閉部分或全部的服務(wù)，禁止所有的用戶訪問。 一條命令只允許單臺(tái)機(jī)器訪問 : BigIron(config)#web-client 9 BigIron(config)#snmp-client 4 BigIron(config)#telnet-client 6 BigIron(config)#all-client 9 for all three types 或一條命令允許一組管理工作站 : BigIron(config)# telnet access-group 10 你也可以完全禁止這些服務(wù)的訪問 : BigIron(config)#no web-management BigIron(config)#no telnet server BigIron(config)#no snmp-server Foundry 設(shè)備操作手冊(cè) Page 37 of 57 上海競(jìng)天科技股份有限公司 8 軟件升級(jí) foundry 設(shè)備升級(jí)要考慮到兩個(gè)系統(tǒng)文件的升級(jí)。 Boot code（類似 bios） 和 flash code（類似于運(yùn)行操作系統(tǒng)）。其中 foundry 可以保存兩個(gè) flash code（可以是不同版本），可以設(shè)置指定設(shè)備啟動(dòng)的時(shí)候啟動(dòng)哪個(gè)版本。要注意的是 flash code 的版本和 boot code 的版本是有關(guān)系的，往往較高版本的 flash code 要求較高版本的 boot code。升級(jí) flash code 的時(shí)候，要注意 boot code 的一致性。另外就是升級(jí)的時(shí)候，系統(tǒng)的當(dāng)前配置不會(huì)受影響，升級(jí)成功的話，先前的配置仍舊有效。 升級(jí)步驟為： 1) 確定系統(tǒng)保存的軟件版本信息： show flash 命令輸出信息： FastIronshow flash Code Flash Type: AMD 29F016, Size: 32 * 65536 = 2097152, Unit: 1 Boot Flash Type: AMD 29F010, Size: 8 * 16384 = 131072 Compressed Primary Code size = 583323, Version 05.0.01T10（注：第一個(gè) flash code的版本號(hào)） Compressed Secondary Code size = 584847, Version 03.8.11T10（注：第二個(gè) flash code的版本號(hào)） Boot Image Version 03.02.50 （注： boot code 的版本號(hào)） Monitor Image Version 1, for DRAM size 2097152 2) 先備份配置文件和原 boot code 、 flash code 文件 (x.x.x.x 是 tftp server 的 IP 地址 ) #copy startup-config tftp x.x.x.x config0715 #copy flash tftp x.x.x.x boot #copy flash tftp x.x.x.x config0715 secondry（或 primary） 3) 升級(jí) boot code （如果 flash code 要求高版本的 boot code，則先對(duì) boot code 進(jìn)行升級(jí)。否則無需升級(jí) boot code） copy tftp flash x.x.x.x m2b07504.bin boot （用 tftp 上的 m2b07504.bin文件升級(jí) boot Foundry 設(shè)備操作手冊(cè) Page 38 of 57 上海競(jìng)天科技股份有限公司 code） reload （一般要求重新啟動(dòng)） 4) 升級(jí) flash code #copy tftp flash secondry（或 primary）（注：接著會(huì)系統(tǒng)提示輸入 tftp 服務(wù)器的 ip地址、和升級(jí)文件名） 5) 命令模式下用新版本引導(dǎo)設(shè)備： #boot system flash sec/sec(假如不成功可以通過關(guān)開電源恢復(fù)到原樣 ) 6) 設(shè)定啟動(dòng)文件（新升級(jí)的版本），并保存配置，重新啟動(dòng) #conf t boot system flash secondary exit #wri mem # reload 9 硬件板卡更換 foundry 的模塊更換分為管理模塊更換和接口模塊更換。接口模塊更換比較簡(jiǎn)單，因?yàn)?foundry 設(shè)備支持熱插拔，直接拔下舊模塊，然后插回新的接口模塊就可以了。管理模塊更換要復(fù)雜一些。如果是單管理模塊更換，則設(shè)備關(guān)電，換上新管理模塊，并從先前在 tftp 上保存的配置文件恢復(fù)到新管理模 塊就可以了。 以下介紹更換管理模塊（雙管理模塊的情況）。 1) 保存當(dāng)前配置并備份到微機(jī)上 wri mem 保存配置：（見 8） 2）確定當(dāng)前主備模塊位置及 flash code/boot code 版本 , show mod Foundry 設(shè)備操作手冊(cè) Page 39 of 57 上海競(jìng)天科技股份有限公司 show flash 4) reset # (#為需要換下的管理模塊槽位號(hào) ) 5) reset 以后拔下故障管理模塊 6）安裝 /插入新管理模塊到原槽位 新舊管理模塊內(nèi)存數(shù)量是否一樣？如不一樣，則配置同步不過去， cpu 也會(huì)上升到 99% show ver 檢查內(nèi)存是否一樣 7）等待系 統(tǒng)文件同步以及新模塊啟動(dòng)，業(yè)務(wù)會(huì)有短暫中斷。 8）同步 Boot 代碼（如果新模塊與主模塊不一樣） sync-standby boot 9） reset 新模塊 （讓同步后的 boot 代碼生效） reset # （ #為更換操作的槽位號(hào)） 10）檢查主備是否正常 show mod 10 配置文件上傳 見“ 8 ”軟件升級(jí)的第二步，你可以備份配置文件、 boot code 、flash code 文件到 tftp 服務(wù)器，也可以從 tftp 服務(wù)器下載到foundry 設(shè)備 11 數(shù)據(jù)備份 見“ 8 ”軟件升級(jí)的第二 步，你可以備份配置文件、 boot code 、Foundry 設(shè)備操作手冊(cè) Page 40 of 57 上海競(jìng)天科技股份有限公司 flash code 文件到 tftp 服務(wù)器。也可以從 tftp 服務(wù)器下載到foundry 設(shè)備 Foundry 設(shè)備操作手冊(cè) Page 41 of 57 上海競(jìng)天科技股份有限公司 第四部分 常用診斷命令 1 show flash show flash命令用于查看交換機(jī)存儲(chǔ)器中的啟動(dòng)以及系統(tǒng)文件，能夠顯示出 Foundry交換機(jī)所存儲(chǔ)的兩套軟件代碼的版本號(hào)和文件名稱。顯示結(jié)果如下： #sh flash Active management module: Code Flash Type: AMD 29F032B, Size: 64 * 65536 = 4194304, Unit: 2 Boot Flash Type: AMD 29F040, Size: 8 * 65536 = 524288 Compressed Pri Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Compressed Sec Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Maximum Code Image Size Supported: 3866112 (0x003afe00) Boot Image size = 148856, Version 07.02.02 (m2b07202.bin) Standby management module: Code Flash Type: AMD 29F032B, Size: 64 * 65536 = 4194304, Unit: 2 Boot Flash Type: AMD 29F040, Size: 8 * 65536 = 524288 Compressed Pri Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Compressed Sec Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Maximum Code Image Size Supported: 3866112 (0x003afe00) Boot Image Version 07.02.02 (m2b07202.bin) 2 show version show version的主要作用是查看交換機(jī)當(dāng)前運(yùn)行的軟件版本 號(hào)，另外該命令中還可以查看許多其它的有用信息，可用于對(duì)模塊及交換機(jī)本身的物理診斷： #sh ver SW: Version 07.5.05uT53 Copyright (c) 1996-2002 Foundry Networks, Inc. Compiled on Nov 20 2003 at 03:30:23 labeled as B2R07505u (3583481 bytes) from Primary B2R07505u.bin HW: BigIron 8000 Router, SYSIF version 21 = SL 1: B8GMR Fiber Management Module, SYSIF 2, M3, ACTIVE Serial #: Non-exist. 4096 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 0, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 1, version 0209 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 2, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 3, version 0209 = SL 2: B8GMR Fiber Management Module, SYSIF 2, M3, STANDBY Foundry 設(shè)備操作手冊(cè) Page 42 of 57 上海競(jìng)天科技股份有限公司 Serial #: Non-exist. 4096 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 4, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 5, version 0209 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 6, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 7, version 0209 = SL 3: B8G Fiber Switch Module Serial #: Non-exist. 2048 KB BRAM, SMC version 1, ICBM version 21 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 8, version 0209 256 KB PRAM(256K+0K) and shared CAM entries for DMA 9, version 0209 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 10, version 0209 256 KB PRAM(256K+0K) and shared CAM entries for DMA 11, version 0209 = SL 8: B24E Copper Switch Module Serial #: Non-exist. 2048 KB BRAM, SMC version 2, ICBM version 21 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 28, version 0808 256 KB PRAM(256K+0K) and shared CAM entries for DMA 29, version 0808 256 KB PRAM(256K+0K) and shared CAM entries for DMA 30, version 0808 = Active management module: 400 MHz Power PC processor 740 (version 8/8302) 66 MHz bus 512 KB boot flash memory 8192 KB code flash memory 256 KB SRAM 256 MB DRAM Standby management module: 400 MHz Power PC processor 740 (version 8/8302) 66 MHz bus 512 KB boot flash memory 8192 KB code flash memory 256 KB SRAM 256 MB DRAM The system uptime is 67 days 23 hours 16 minutes 14 seconds The system started at 16:16:28 GMT+00 Wed Dec 15 2004 The system : started=cold start 可以看到，在該命令中還顯示了交換機(jī)上各個(gè)模塊的類型、工作狀態(tài)，各模塊 CAM表的大小，各管理模塊上的內(nèi)存大小，系統(tǒng)自上次啟動(dòng)以后的 運(yùn)行時(shí)間以及上次啟動(dòng)的原因。 3 show module 該命令用來顯示交換機(jī)上的所有模塊類型及工作狀態(tài)，在模塊工作不正常時(shí)應(yīng)首先用這個(gè)命Foundry 設(shè)備操作手冊(cè) Page 43 of 57 上海競(jìng)天科技股份有限公司 令來查看模塊的工作狀態(tài)。其輸出如下： #show module Module Status Ports Starting MAC S1: B8GMR Fiber Management Module, SYSIF 2 M3, ACTIV 8 0004.801d.7900 S2: B8GMR Fiber Management Module, SYSIF 2 M3, STAND 8 0004.801d.7920 S3: B8G Fiber Switch Module OK 8 0004.801d.7940 S4: 4 show chassis 是用來顯示交換機(jī)的機(jī)框、電源及風(fēng)扇的工作狀態(tài)，由于 Foundry交換機(jī)管理模塊內(nèi)部安裝有溫度傳感器，該命令還可以顯示交換機(jī)當(dāng)前的運(yùn)行溫度。 #sh chassis power supply 1 ok power supply 2 ok power supply 3 ok power supply 4 not present power supply 1 to 4 from bottom to top fan 1 ok fan 2 ok fan 3 ok fan 4 ok Current temperature : 28.5 C degrees Warning level : 45 C degrees, shutdown level : 55 C degrees Boot Prom MAC: 0004.801d.7900 5 show statistic 這個(gè)命令用于查看端口的流量狀態(tài)，命令的輸出結(jié)果如下： Ethernet Packets Collisions Errors Port Receive Transmit Recv Txmit InErr OutErr 1/1 191302621930 0 0 0 1/2 164596840010 0 0 0 1/3 58461590567 30196047240 0 0 0 0 1/4 0 0 0 0 0 0 1/5 6928998284 2229892615 0 0 4343 0 1/6 64322816609 79423384951 99174 0 0 0 1/7 12251439173 3019624913 0 0 82 0 1/8 34325533689 4580070287 0 0 0 0 其中第一列是端口號(hào)，后面分別是累計(jì)的收發(fā)包數(shù)量、收發(fā)的沖突碰撞次數(shù)、收發(fā)的錯(cuò)誤包數(shù)量。這個(gè)命令常用來檢查端口收發(fā)兩個(gè)方向的流量異常問題或物理鏈路問題。 Foundry 設(shè)備操作手冊(cè) Page 44 of 57 上海競(jìng)天科技股份有限公司 6 show interface brief 在故障診斷中，此命令也是一個(gè)常用命令，其輸出如下： #sh int b Port Link State Dupl Speed Trunk Tag Priori MAC Name 8/10 Up Forward Full 100M None Yes level0 0004.801d.79e9 To-7513 8/11 Up Forward Full 100M None No level0 0004.801d.79ea KangLeGongWangB 8/12 Up Forward Full 100M None Yes level0 0004.801d.7900 8/13 Up Forward Full 100M None Yes level0 0004.801d.7900 8/14 Up Forward Full 100M None Yes level0 0004.801d.7900 8/15 Up Forward Full 100M None Yes level0 0004.801d.7900 8/16 Up Forward Full 100M None No level0 0004.801d.79ef ShuiChanJu 8/17 Up Forward Full 100M None Yes level0 0004.801d.7900 8/18 Up Forward Full 100M None Yes level0 0004.801d.7900 8/19 Up Forward Full 100M None No level0 0004.801d.79f2 這個(gè)命令以摘要的形式將所有端口的有關(guān)狀態(tài)列了出來。第一列是端口號(hào)， link為 up表示端口物理上處于工作狀態(tài)； state為 Forward表示端口處于數(shù)據(jù)轉(zhuǎn)發(fā)狀態(tài)； Dupl表示端口工作在全雙工或半雙工狀態(tài)； Speed表示端口的工作速率； Trunk表示該端口是否參與端口捆綁的配置； Priori為端口的優(yōu)先級(jí)；后面分別是端口的 MAC地址以及端口命名。 7 show interface 這個(gè)命令詳細(xì)地顯示了端口的各種配置參數(shù)和運(yùn)行狀態(tài)，提供了很多有用信息，因此在故障診斷中這個(gè)命令也能夠提供很大的幫助。該命令的顯示如下： #sh int e 8/11 FastEthernet8/11 is up, line protocol is up Hardware is FastEthernet, address is 0004.801d.79ea (bia 0004.801d.79ea) Configured speed auto, actual 100Mbit, configured duplex fdx, actual fdx Member of L2 VLAN ID 3013, port is untagged, port state is FORWARDING STP configured to ON, priority is level0, flow control enabled mirror disabled, monitor disabled Not member of any active trunks Not member of any configured trunks Port name is KangLeGongWangBa Internet address is 61/30, MTU 1500 bytes, encapsulation ethernet 300 second input rate: 338144 bits/sec, 352 packets/sec, 0.38% utilization 300 second output rate: 200120 bits/sec, 356 packets/sec, 0.25% utilization 689535 packets input, 84509354 bytes, 0 no buffer Received 0 broadcasts, 0 multicasts, 689535 unicasts 0 input errors, 0 CRC, 0 frame, 0 ignored 0 runts, 0 giants, DMA received 689536 packets Foundry 設(shè)備操作手冊(cè) Page 45 of 57 上海競(jìng)天科技股份有限公司 692478 packets output, 48538943 bytes, 0 underruns Transmitted 1722 broadcasts, 129 multicasts, 690627 unicasts 0 output errors, 0 collisions, DMA transmitted 692478 packets mtu: 1518 可以看到從該命令的輸出結(jié)果中能看到端口類型、工作狀態(tài)、端口名稱、端口速率及異常數(shù)據(jù)包的累計(jì)值等，可以為不同類型的故障提供診斷參考。 8 show cpu 這個(gè)命令也是最常用 的命令之一，因?yàn)榇蟛糠值慕粨Q機(jī)故障常會(huì)伴隨有 CPU利用率的異常。這個(gè)命令的顯示結(jié)果中分別列出了 1秒、 5秒、 1分鐘、 5分鐘內(nèi)的 cpu平均利用率，顯示如下： #sh cpu 13 percent busy, from 5041 sec ago 1 sec avg: 11 percent busy 5 sec avg: 11 percent busy 60 sec avg: 12 percent busy 300 sec avg: 12 percent busy 9 show log 交換機(jī)通常會(huì)將一些 告警信息或日志信息記錄在交換機(jī)內(nèi)存中，可以用 show log命令來查看這些信息，以判斷故障發(fā)生前后交換機(jī)上有哪些異常情況。 #sh log Syslog logging: enabled (0 messages dropped, 2 flushes, 3 overruns) Buffer logging: level ACDMEINW, 100 messages logged level code: A=alert C=critical D=debugging M=emergency E=error I=informational N=notification W=warning Dynamic Log Buffer (100 lines): Feb 21 15:47:19:I:startup-config was changed by linyiman from telnet client 36 Feb 21 15:43:26:I:linyiman login to USER EXEC mode Feb 21 15:39:13:I:Interface ethernet8/7, state up Feb 21 15:39:13:N:OSPF originate LSA, rid , area , LSA type 5, LSA id 8, LSA router id Feb 21 15:39:13:N:OSPF originate LSA, rid , area , LSA type 5, LSA id 4, LSA router id Feb 21 15:38:14:I:Interface ethernet8/7, state down 這里要說明的是， log中的時(shí)間要首先用 clock set命令來設(shè)置，或者配置使用 NTP服務(wù)來獲取時(shí)間；另外交換機(jī)缺省只保存 50條記錄，如果想增大這個(gè)數(shù)值，可以用 logging buffered XXX命令來設(shè)置，在新的軟件版本中最大可設(shè)置為 1000條。 Foundry 設(shè)備操作手冊(cè) Page 46 of 57 上海競(jìng)天科技股份有限公司 10 show tech show tech命令類似一個(gè)批處理命令，包含了以下幾個(gè)命 令功能： show configuration show version show interface show statistics show logging dm statistics dm save_area 這個(gè)命令是用來收集交換機(jī)當(dāng)前的軟件和硬件信息，用戶在遇到故障而自己又無法診斷時(shí)，可將 show tech的輸出結(jié)果導(dǎo)出到文本文件（超級(jí)終端和 SecurCRT軟件都有此功能），供原廠商（ dm系列的命令是原廠商用于診斷交換機(jī)的內(nèi)部命令）或者專業(yè)人員參考。 11 ping ping簡(jiǎn)單易用，在診斷網(wǎng)絡(luò)連 通性（三層及以下）的故障時(shí)是非常有幫助的，常見的網(wǎng)絡(luò)故障大多數(shù)首先要通過 ping來進(jìn)行定位和定性。 Foundry支持?jǐn)U展 ping的功能，其支持的參數(shù)如下： ping source count timeout ttl verify no-fragment quiet data numeric size brief max-print-per-sec 其中常用的幾個(gè)參數(shù)有： source ping包使用的源 IP地址 count 連續(xù) ping的數(shù)據(jù)包個(gè)數(shù) size ping出的數(shù)據(jù)包大小，缺省是 16字節(jié) 12 traceroute 同 ping一樣， traceroute也是網(wǎng)絡(luò)排錯(cuò)（尤其是路由問題）中較常使用的一個(gè)命令。可以根據(jù)其輸出結(jié)果，驗(yàn)證數(shù)據(jù)包在到達(dá)目的地之前經(jīng)過哪些路由設(shè)備，或者被哪個(gè)設(shè)備丟棄。 13 show mac 查看交換機(jī)當(dāng)前的 MAC地址列表。 #show mac Total active entries from all ports = 2209 MAC Address Port Age DMA Valid Flags VLAN DMA:CAM Index . 00e0.4cdc.8c3c 4/12 90 00000000-0000700c 3014 2:11993 12:11232 0050.1822.8877 4/9 85 00000000-0000700c 3004 2:10447 12:11942 000a.ebce.6bc3 4/12 65 00000000-0000700c 3014 2:12166 12:12018 Foundry 設(shè)備操作手冊(cè) Page 47 of 57 上海競(jìng)天科技股份有限公司 00d0.f850.888d 2/1 0 00000000-0000003c 3054 2:11075 4:11339 注意該命令前面列出了交換機(jī)上當(dāng)前總共學(xué)習(xí)到的 MAC地址數(shù)量， Foundry交換機(jī)缺省最多可以學(xué)習(xí) 8000個(gè) MAC地址。 14 show mac statistic 查看交換機(jī)上各個(gè)端口的 MAC地址分布情況。 #sh mac statistic Total entries = 3695 Port MAC Address Count: = Slot Ports 1 1 2 3 4 5 6 7 8 77 1 1457 0 1 140 2019 0 = Slot Ports 2 1 2 3 4 5 6 7 8 0 0 0 0 0 0 0 0 15 show mac e x/x 查看某個(gè)物理端口上學(xué)習(xí)到的 MAC地址列表。 #sh mac e 1/2 Total active entries from slot/port 1/2 = 5 MAC Address Port Age DMA Valid Flags VLAN DMA:CAM Index . 00e0.fc37.e831 1/2 0 00000000-0000000f 2006 0:10270 2:10392 0009.b68b.ed18 1/2 0 00000000-00000003 2003 0:10267 0004.8010.df00 1/2 0 00000000-00000003 129 0:10268 00e0.fc37.e831 1/2 0 00000000-00000003 2003 0:10272 0004.8010.df00 1/2 263 00000000-00000000 1981 16 show mac vlan x 查看交換機(jī)通過某個(gè) VLAN中學(xué)習(xí)到的 MAC地址列表。 #sh mac vlan 106 Total active entries from all ports = 2201 MAC Address Port Age DMA Valid Flags VLAN DMA:CAM Index . 00e0.5211.ab80 2/1 0 00000000-00000030 106 4:10439 00e0.5211.ae8c 2/1 191 00000000-00000000 106 00e0.5211.ab9a