山東網(wǎng)通城域網(wǎng)Foundry設(shè)備操作手冊_第1頁
山東網(wǎng)通城域網(wǎng)Foundry設(shè)備操作手冊_第2頁
山東網(wǎng)通城域網(wǎng)Foundry設(shè)備操作手冊_第3頁
山東網(wǎng)通城域網(wǎng)Foundry設(shè)備操作手冊_第4頁
山東網(wǎng)通城域網(wǎng)Foundry設(shè)備操作手冊_第5頁
已閱讀5頁,還剩52頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

Foundry 設(shè)備操作手冊 Page 1 of 57 上海競天科技股份有限公司 Foundry 設(shè)備操作手冊 Foundry 設(shè)備操作手冊 Page 2 of 57 上海競天科技股份有限公司 目錄 第一部分 日常檢測 .4 1 全面自檢 dm diag .4 2 模塊檢查 Show module.4 3 光口類型檢查 Show media .5 4 內(nèi)存檢查 show memory .5 5 cpu 檢查 Show cpu .6 6 操作系統(tǒng)檢查 show flash .6 7 版本檢查 show version.7 8 所有接口的簡明檢查 show interface brief .8 9 單個接口狀態(tài)顯示 show interface ethernet solt / number .9 10 接口日常檢測其它命令 . 10 11 顯示路由表 show ip route . 10 12 查看路由信息還有以下常用命令 . 11 13 檢查 log 信息 Show log . 11 第二部分 數(shù)據(jù)配置 . 13 1 端口物理配置 . 13 2 路由配置 . 15 3 安全配置 . 24 4 策略路由 . 26 5 組播 . 27 第三部分 系統(tǒng)操作 . 31 1 console 口 . 31 2 命令行接口( Cli) . 31 3 賬號設(shè)置 . 32 4 Telnet/SSH 配置 . 34 5 SNMP 配置 . 35 6 Syslog 設(shè)置 . 36 7 權(quán)限控制 . 36 8 軟件升級 . 37 9 硬件板卡更換 . 38 10 配置文件上傳 . 39 11 數(shù)據(jù)備份 . 39 第四部分 常用診斷命令 . 41 1 show flash . 41 2 show version . 41 3 show module . 42 4 show chassis . 43 5 show statistic . 43 6 show interface brief . 44 7 show interface . 44 8 show cpu. 45 9 show log . 45 10 show tech . 46 11 ping . 46 12 traceroute . 46 Foundry 設(shè)備操作手冊 Page 3 of 57 上海競天科技股份有限公司 13 show mac . 46 14 show mac statistic. 47 15 show mac e x/x . 47 16 show mac vlan x. 47 13 show arp. 48 14 show arp x.x.x.x . 48 15 show arp eth x/x . 48 16 show arp mac xxxx.xxxx.xxxx . 48 17 show ip route . 48 18 show ip cache . 49 19 show ip interface . 49 20 show ip ospf interface . 50 21 show ip ospf neighbor . 51 22 show ip bgp neighbor . 51 23 設(shè)置鏡像端口 . 52 24 抓包工具 dm raw . 53 Foundry 設(shè)備操作手冊 Page 4 of 57 上海競天科技股份有限公司 第一部分 日常檢測 硬件 1 全面自檢 dm diag dm diag 命令是一條 foundry 公司的硬件檢測命令。該命令用在特權(quán)模式下。用于檢測整個機框及機框上所有模塊的硬件診斷。它不同于其他廠商的健康檢查。在檢查期間。設(shè)備將停止一些應(yīng)用 。并且鍵入該命令后需要 重起才能開始自檢 。 操作如下: bigiron router # dm diag bigiron router # reload 當設(shè)備自檢發(fā)現(xiàn)問題時 會出現(xiàn)如下信息 FATAL ERROR: did not pass diagnosis, for more detail error message, please check the output above for lines start with ? SYSTEM STOPPED, Please Check with Foundry Networks Support #FAIL DIAG 當設(shè)備自檢完畢。未發(fā)現(xiàn)硬件問題的時候時。設(shè)備會自動結(jié)束自檢?;氐狡胀J?。 該條命令使用是需要注意 2 點。 1 設(shè)備將停止一些應(yīng)用。停止所有數(shù)據(jù)轉(zhuǎn)發(fā)。 2 在鍵入 dm diag 之后需要重起之后才開始重起。 2 模塊檢查 Show module 該條命令用在特權(quán)模式下 bigiron # show module 用于顯示機框上所使用模塊的類型及對應(yīng)槽位。以及模塊的狀態(tài) 端口數(shù)量 。及模塊的 mac 地址。 bigiron # show module Module Status Ports Starting MAC S1: B4GMR4 M4 Management Module, SYSIF 2 M4, ACTIV 4 0004.8017.f100 S2: B4GMR4 M4 Management Module, SYSIF 2 M4, STAND 4 0004.8017.f120 S3: S4: B8G Fiber Switch Module OK 8 0004.8017.f100 S5: B8G Fiber Switch Module, OK 8 0004.8017.f100 Foundry 設(shè)備操作手冊 Page 5 of 57 上海競天科技股份有限公司 S6: S7: S8: B24E Copper Switch Module OK 24 0004.8017.f100 如圖顯示 機筐的一號和二號槽位上使用著 2 快 4 型管理模塊。互為備份。他們各有 4 個端口。一號曹位的管理模塊現(xiàn)在處于活動狀態(tài)( active)。而二號曹位的管理模塊處于備用狀態(tài)( stand)。4 號和 5 號曹位上使用的是 2 塊 8 個光口的接口模塊。狀態(tài)是 ok 即正常狀態(tài)。 8 號曹位上使用的是是一塊 包含 24 個 rj45 端口的接口模塊。 3 光口類型檢查 Show media 該條命令用于顯示設(shè)備上所有的千兆光口的數(shù)量。類型。對應(yīng)模塊的位子。 Bigiron router #show media 1/1:G-LH 1/2:G-LH 1/3:G-LH 1/4:G-SX 2/1:G-SX 2/2: 2/3: 2/4: 4/1:LHB 4/2:LHB 4/3:LHB 4/4:LHB 4/5:LX 4/6:LX 4/7:LX 4/8:LX 5/1:M-LX 5/2:M-LX 5/3: 5/4: 5/5: 5/6: 5/7: 5/8: 如圖顯示 一號模塊上使用了 3 塊 中距和一塊短距的 gbic 四號模塊上有 4 塊長距和 4 快中距模塊 五號模塊上使 用了 2 塊 mini 中距的 gbic 模塊 4 內(nèi)存檢查 show memory 該條命令用在特權(quán)模式下。用于顯示內(nèi)存的占用率 bigiron #show memory Total DRAM: 536813568 bytes Dynamic memory: 515842048 bytes total, 376293268 bytes free, 27% used BGP memory: 812800 bytes (1%) used from dynamic memory OSPF memory: 990832 bytes (1%) used from dynamic memory 如圖所示。 內(nèi)存總共為 512mb 此時機器還有 376mb 的內(nèi)存為空閑還未被使用。 Foundry 設(shè)備操作手冊 Page 6 of 57 上海競天科技股份有限公司 5 cpu 檢查 Show cpu 該條命令顯示 cpu 的利用率 有當前的利用率 5 秒中的利用律及 1 分鐘和 5 分鐘之內(nèi)的平均利用律。并且該條命令還顯示 cpu 最高時候的利用律大小及時間。 telnet878hexin1#show cpu 96 percent busy, from 3328163 sec ago Its been more than 50 hours since last call, the CPU utilization data collected may have wrapped around and result in high utilization 1 sec avg: 8 percent busy 5 sec avg: 8 percent busy 60 sec avg: 8 percent busy 300 sec avg: 8 percent busy 如圖顯示 現(xiàn)在 cpu 的利用律是 8% 利用律最高的時候是發(fā)生在 3328163 秒之前。那時 cpu 的利用律是 96% 軟件 6操作系統(tǒng)檢查 show flash 該條命令在特權(quán)模式下使用。用于顯示主備管理模塊 flash 中存放的操作系統(tǒng)版本。引導文件的版本。 bigiron#show flash Active management module: Code Flash Type: AMD 29F032B, Size: 64 * 65536 = 4194304, Unit: 2 Boot Flash Type: AMD 29F040, Size: 8 * 65536 = 524288 Compressed Pri Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Compressed Sec Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Maximum Code Image Size Supported: 3866112 (0x003afe00) Boot Image size = 251628, Version 07.05.04 (M2B07504.bin) Standby management module: Code Flash Type: AMD 29F032B, Size: 64 * 65536 = 4194304, Unit: 2 Boot Flash Type: AMD 29F040, Size: 8 * 65536 = 524288 Compressed Pri Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Compressed Sec Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Maximum Code Image Size Supported: 3866112 (0x003afe00) Boot Image Version 07.05.04 (M2B07504.bin) Foundry 設(shè)備操作手冊 Page 7 of 57 上海競天科技股份有限公司 如圖顯示 該機器在 2 個 flash 中 。主 flash 和備 flash 中均使用了版本號為 07.5.05uT53 的軟件。并且使用了 M2B07504.bin 版本的引導文件( bootcode) 7 版本檢查 show version 該條命令顯示機器當前使用模塊的哪個 flash 和使用什么操作系統(tǒng) 。以及機器運行的時間 (最近一次重起到現(xiàn)在為止的時間) .并且顯示了模塊和機器的序列號。 Bigiron #show version SW: Version 07.5.05uT53 Copyright (c) 1996-2002 Foundry Networks, Inc. Compiled on Nov 20 2003 at 03:30:23 labeled as B2R07505u (3583481 bytes) from Primary B2R07505u.bin HW: NetIron 800 Router, SYSIF version 21 = SL 1: B4GMR4 M4 Management Module, SYSIF 2, M4, ACTIVE Serial #: Non-exist. 8192 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 0, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 1, version 0209 = SL 2: B4GMR4 M4 Management Module, SYSIF 2, M4, STANDBY Serial #: Non-exist. 8192 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 4, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 5, version 0209 = SL 4: B8G Fiber Switch Module Serial #: Non-exist. 2048 KB BRAM, SMC version 1, ICBM version 21 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 12, version 0209 256 KB PRAM(256K+0K) and shared CAM entries for DMA 13, version 0209 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 14, version 0209 256 KB PRAM(256K+0K) and shared CAM entries for DMA 15, version 0209 = SL 5: B8G Fiber Switch Module, SYSIF 2 (Mini GBIC) Serial #: CH05030843 2048 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 16, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 17, version 0209 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 18, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 19, version 0209 = SL 8: B24E Copper Switch Module Serial #: Non-exist. 2048 KB BRAM, SMC version 2, ICBM version 21 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 28, version 0808 256 KB PRAM(256K+0K) and shared CAM entries for DMA 29, version 0808 256 KB PRAM(256K+0K) and shared CAM entries for DMA 30, version 0808 Foundry 設(shè)備操作手冊 Page 8 of 57 上海競天科技股份有限公司 = Active management module: 466 MHz Power PC processor 750 (version 8/8302) 66 MHz bus 512 KB boot flash memory 8192 KB code flash memory 256 KB SRAM 512 MB DRAM Standby management module: 466 MHz Power PC processor 750 (version 8/8300) 66 MHz bus 512 KB boot flash memory 8192 KB code flash memory 256 KB SRAM 512 MB DRAM The system uptime is 36 days 18 hours 15 minutes 44 seconds The system started at 06:34:46 GMT+08 Thu Feb 19 2004 如圖顯示 該機器現(xiàn)在使用的是 Primary flash 中的 B2R07505u.bin 版本 。并且已經(jīng)運行了 36天 18 小時 15 分鐘 44 秒。 接口 8 所有接口的簡明檢查 show interface brief 該條命令用于顯示所有端口的簡要信息 telnet878hexin1#show interface brief Port Link State Dupl Speed Trunk Tag Priori MAC Name 1/1 Down None None None 1 Yes level0 0004.8017.f100 1/2 Up Forward Full 1G 1 Yes level0 0004.8017.f100 1/3 Up Forward Full 1G None Yes level0 0004.8017.f100 1/4 Up Forward Full 1G None No level0 0004.8017.f100 2/1 Up Forward Full 1G None Yes level0 0004.8017.f120 4/1 Up Forward Full 1G None Yes level0 0004.8017.f100 4/2 Up Forward Full 1G None Yes level0 0004.8017.f100 4/3 Down None None None None Yes level0 0004.8017.f100 4/4 Up Forward Full 1G None Yes level0 0004.8017.f100 4/5 DisabNone None None None No level0 0004.8017.f100 4/6 Up Forward Full 1G None Yes level0 0004.8017.f100 4/7 Up Forward Full 1G None Yes level0 0004.8017.f100 4/8 Up Forward Full 1G None No level0 0004.8017.f100 如圖 Foundry 設(shè)備操作手冊 Page 9 of 57 上海競天科技股份有限公司 Port 表示端口的位子 Link State 表示鏈路的狀態(tài) up 起來 down 不通 disable 被禁用 Dupllex 表示是否是全雙工 Speed 表示接口的速率 Trunk 表示此端口是否與其他端口做了鏈路棒定 Tag 該端口是否是一個打過標記的端口 Priori MAC 表示該端口的 mac 地址 Name 端口的名稱 9 單個接口狀態(tài)顯示 show interface ethernet solt / number 該條命令用于顯示單個端口或虛接口的信息 包括狀態(tài) , 收到和發(fā)出包的總數(shù)。 300 秒內(nèi)平均 接口上收到和發(fā)出的數(shù)據(jù)量和包的數(shù)量。以及收到的一些錯誤包的信息。并且還顯示了該端口的利用率 bigiron#show interface ethe 2/1 GigabitEthernet2/1 is up, line protocol is up Hardware is GigabitEthernet, address is 0004.8017.f120 (bia 0004.8017.f120) Configured speed 1Gbit, actual 1Gbit, configured duplex fdx, actual fdx Member of 173 L2 VLANs, port is tagged, port state is FORWARDING STP configured to ON, priority is level0, flow control enabled mirror disabled, monitor disabled Not member of any active trunks Not member of any configured trunks No port name MTU 1500 bytes, encapsulation ethernet 300 second input rate: 52393320 bits/sec, 9219 packets/sec, 5.37% utilization 300 second output rate: 42003616 bits/sec, 8905 packets/sec, 4.33% utilization 190495871039 packets input, 137190393592587 bytes, 0 no buffer Received 12300155 broadcasts, 12115 multicasts, 190483558769 unicasts 0 input errors, 0 CRC, 0 frame, 43 ignored 0 runts, 0 giants, DMA received 190495620045 packets 197334575599 packets output, 62124697648963 bytes, 0 underruns Transmitted 1792726054 broadcasts, 1196844157 multicasts, 194345005388 unicasts 0 output errors, 0 collisions, DMA transmitted 197334575675 packets mtu: 1518 Foundry 設(shè)備操作手冊 Page 10 of 57 上海競天科技股份有限公司 10 接口日常檢測其它命令 show interface : 顯示所有借口的狀態(tài) show ip interface solt/number 顯示 3 層物理接口的狀態(tài)和配置在該接口上的 ip 地址和掩碼 show interface pos solt / number 顯示 pos 模塊上的接口信息 show interface atm solt / number 顯示 atm 模塊上的接口信息 路由 11 顯示路由表 show ip route 該命令顯示機 器中的路由表信息 bigiron router #show ip route Total number of IP routes: 814 B:BGP D:Connected R:RIP S:Static O:OSPF *:Candidate default Destination NetMask Gateway Port Cost Type 97 v210 B 1 97 v210 B 2 97 v210 B 3 97 v210 B 4 97 v210 B 如圖顯示 Destination : 表示目的網(wǎng)絡(luò)號 NetMask : 表示目的網(wǎng)絡(luò)的子網(wǎng)掩碼 Geteway : 表示去達目的網(wǎng)絡(luò)的可用網(wǎng)關(guān) Port : 表示去達目的網(wǎng)絡(luò)通過的接口 Foundry 設(shè)備操作手冊 Page 11 of 57 上海競天科技股份有限公司 Cost : 表示去達目的網(wǎng)絡(luò)的路由代價值 Type : 表示該條路由使用了哪種協(xié)議 類型其中: B:表示 BGP 協(xié)議 D:表示直連網(wǎng)段 R:表示 RIP 協(xié)議 S:靜態(tài)路由協(xié)議 O:表示 ospf 協(xié)議 *: 表示缺省路由 12 查看路由信息還有以下常用命令 show ip ospf route 顯示 ospf 協(xié)議的路由。 show ip static route 顯示靜態(tài)路由。 show ip bgp route 顯示 bgp 協(xié)議路由。 show ip route 顯示缺省路由。 Log 信息 13 檢查 log信息 Show log 用于顯示機器中的 log 信息 bigiron#show log Syslog logging: enabled (0 messages dropped, 0 flushes, 26 overruns) Buffer logging: level ACDMEINW, 500 messages logged level code: A=alert C=critical D=debugging M=emergency E=error I=informational N=notification W=warning Dynamic Log Buffer (500 lines): Feb 26 02:08:18:N:OSPF intf retransmit, rid , intf addr 7, nbr rid 6, pkt type is link state update, LSA type 1, LSA id , LSA rid Feb 20 06:35:54:N:OSPF intf retransmit, rid , intf addr 7, nbr rid 6, pkt type is link state update, LSA type 5, LSA id 4, LSA rid 29 Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Foundry 設(shè)備操作手冊 Page 12 of 57 上海競天科技股份有限公司 Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:41:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Feb 18 03:47:40:I:SNMP Auth. failure, intruder IP: Foundry 設(shè)備操作手冊 Page 13 of 57 上海競天科技股份有限公司 第二部分 數(shù)據(jù)配置 1 端口物理配置 改變端口速度: 城域網(wǎng)中常用的端口分百兆口和千兆口,對百兆口來說,默認的情況是 10/100M 自適應(yīng)的,協(xié)商也是自動的??梢酝ㄟ^如下命令來改動 bigiron(config)# interface e 3/12 bigiron(config)#speed-duplex 100-full (全雙工 100M) 這一點在和其 他廠商互聯(lián)時,為避免雙方的協(xié)商問題,通常會強制制定 對千兆口來說,速度是固定的,所以只需改變 802.3x 流控協(xié)商方式 bigiron(config)# interface e 1/8 bigiron(config)#gig-default neg-off (缺省為 auto-gig) 給端口加注釋 bigiron(config)# interface e 1/8 bigiron(config)# port-name xiaoqu-hexin8000 注釋的長度對 bigiron 來說不能超過 255 個字符,對小交 換機來說不能超過 64 個字符 disable 或 enable 開端口 端口在缺省狀態(tài)下都是打開的,你可以根據(jù)需要來禁止它 bigiron(config)# interface e 1/8 bigiron(config)# disable 如果重新打開端口 bigiron(config)# interface e 1/8 bigiron(config)# enable route-only 端口配置了 route-only 后,該端口就無法轉(zhuǎn)發(fā)廣播包,屬于路由器端口,做交換機使用時不建議打開 bigiron(config)# interface e 1/8 bigiron(config)# route-only 配置接口地址 作為路由器使用時,可在端口上直接配置地址 bigiron(config)# interface e 1/8 bigiron(config)# ip address 端口鏡像 端口鏡像可用來做抓包分析,具體配置如下 首先,指定一個鏡像端口,該端口用來接分析儀 bigiron(config)# mirror e 1/7 在要鏡像的端口下,打開進 或出的流量 bigiron(config)# interface e 1/8 bigiron(config)# monitor both 端口捆綁 Foundry 設(shè)備操作手冊 Page 14 of 57 上海競天科技股份有限公司 端口捆綁可以用來擴展帶寬并且提供冗余 ,它允許 2 到 4 個口捆綁在一起 bigiron(config)# trunk switch e 1/7 to 1/8 VLAN 的配置 Vlan 是用來隔離廣播域的技術(shù)。 Bigiron 支持基于 2 層端口的 vlan ,也支持基于協(xié)議的 vlan,常用的就是基于端口的 vlan 創(chuàng)建一個 vlan bigiron(config)# vlan 200 (200 是 vlan ID 號 ) 給 vlan 添加注釋 bigiron(config)# vlan 200 name testvlan 給 vlan 添加端口 bigiron(config)# vlan 200 bigiron(config)# untag e 1/7 to 1/8 (untag 指不加 802.1q 標記 ) bigiron(config)# tag e 2/1 (指該端口需要加 8021.q 的標記,通常該端口需要和其他 vlan 公用,加標記就是為區(qū)分)下圖就是未加標記的包和加了 802.1q 的 包的區(qū)別 如果希望在不同的 vlan 之間通信的話,就需要在 vlan 上創(chuàng)建一個虛接口,通過這個虛接口,不同的 vlan 用戶之間才能通信 給 vlan 添加一個 virtual interface(VE)虛接口 bigiron(config)# vlan 200 bigiron(config)# router-interface ve 200 給虛接口 ve 配置一個 IP 地址 bigiron(config)# interface ve 200 bigiron(config)# ip address Foundry 設(shè)備操作手冊 Page 15 of 57 上海競天科技股份有限公司 2 路由配置 RIP 是 routing information protocol 的簡稱。它是所有路由協(xié)議中最簡單的協(xié)議。 RIP 是基于距離矢量算法的協(xié)議,他的協(xié)議信息封裝在 UDP 數(shù)據(jù)報文中。 當路由器啟動后,首先通過運行 RIP 協(xié)議的接口分別向外發(fā)送一個 RIP request 報文。在此以后,每隔 30 秒向外發(fā)送一次更新報文。對于某一條從其他路由器學習的路由信息,如果在 180 秒內(nèi)沒有收到這條路由信息的更新報文,就將這條路由信息標志為不可達,若在其后 120 秒內(nèi)仍未收到更新報文,就將 該條路由從路由表中刪除。 RIP 使用跳數(shù)( Hop Count)來衡量到達目的網(wǎng)段的距離,稱為路由代價。在 RIP 中,路由器和它直接相連網(wǎng)絡(luò)的跳數(shù)是 0,每通過一個路由器跳數(shù)加一, RIP 規(guī)定 metric 取值 0-15,大于或等于 16 的跳數(shù)被定義為無窮大,即目的網(wǎng)絡(luò)不可達。 RIP 包括 RIP-1 和 RIP-2 兩個版本, RIP-2 支持可變長掩碼和認證, RIP-1 不支持,目前,主要采用 RIP-2 為防止 RIP 協(xié)議產(chǎn)生環(huán)路, RIP 采用了一些措施來提高這方面的性能: RIP 支持水平分割( split horizon)和 Poison reverse. 盡管 RIP 協(xié)議存在一些缺陷,但在簡單的網(wǎng)絡(luò)中, RIP 協(xié)議可以很快收斂,另外, RIP 協(xié)議配置簡單,易于使用。 RIP 協(xié)議的配置方法如下: 在全局啟動 RIP 協(xié)議 bigiron(config)#router rip 在接口上配置 rip 協(xié)議,注意,對端設(shè)備也要配置相同的協(xié)議,才能保證正常通信 NetIron(config-if-1)# int e 2 NetIron(config-if-2)# ip addr 01 NetIron(config-if-2)# ip rip v2-only 接口上可以指定 RIP 的版本 其他和主機相連的接口無需指定 RIP 協(xié)議 配置 OSPF OSPF(Open Shortest Path First)是一個自治系統(tǒng)內(nèi)部路由協(xié)議,用于在單一自治系統(tǒng) (autonomous system,AS)內(nèi)計算產(chǎn)生路由。與 RIP 等距離向量路由協(xié)議不同的是, OSPF 是基于鏈路狀態(tài)的路由協(xié)議。它能夠在網(wǎng)絡(luò)鏈路變化時快速產(chǎn)生新路由,并能夠管理比 RIP 范圍更大的網(wǎng)絡(luò)自治系統(tǒng)。 OSPF 協(xié)議從命名上看,顯然它有兩個基本特點。首先它 是開放的,區(qū)別于 CISCO 的 IGRP,EIGRP 協(xié)議,所以它被更廣泛的應(yīng)用。第二個特點就是 OSPF 協(xié)議使用最短路徑優(yōu)先( SPF)算法進行路由計算工作。也就是我們在圖論所說的 Dijkstra 算法。 OSPF 是自治系統(tǒng)內(nèi)部使用的鏈路狀態(tài)路由協(xié)議, OSPF 通過路由器之間通告鏈路狀態(tài)信息( LSA),來建立鏈路狀態(tài)數(shù)據(jù)庫,然后就可以根據(jù) SPF 算法計算出到每個結(jié)點的最短路徑樹了,進而可計算出路由。它的工作方式與我們熟悉的 RIP 和 IGRP 協(xié)議不同, OSPF 只須發(fā)送當前結(jié)點到相鄰結(jié)點的路由結(jié)構(gòu)信息,而 RIP 和 IGRP 需要結(jié) 點把自己保留的路由表或路由表的一部分全部發(fā)送到相鄰結(jié)點,相鄰結(jié)點根據(jù)這些信息更新自己的路由表,顯然 OSPF 協(xié)議發(fā)送的信息量少,而 RIP 的發(fā)送的信息量較多。在通告的鏈路狀態(tài)結(jié)構(gòu)中, OSPF 協(xié)議支持 IP 子網(wǎng)結(jié)構(gòu)。 OSPF 使用 Hello 協(xié)議向相鄰的路由器定期發(fā)送一個問候包,缺省是 10 秒,并接收鄰居路由器發(fā)來的 hello 信息。這個 hello 包不但可以幫助路由器在初始工作時了解相鄰結(jié)構(gòu),而且可以在Foundry 設(shè)備操作手冊 Page 16 of 57 上海競天科技股份有限公司 運行中了解相鄰路由器的工作情況,如果相鄰的路由器關(guān)機了,或鏈路不通了,就不會從相應(yīng)鄰居那里收到回應(yīng) hello 信息了 , 從而能夠很快知道哪些路由器不能工作了,能夠?qū)W(wǎng)絡(luò)拓撲結(jié)構(gòu)的變化做到快速反應(yīng)。 如果網(wǎng)絡(luò)支持多個路由器,通過 Hello 協(xié)議可以實現(xiàn)在一個網(wǎng)段的諸多 OSPF 路由器中選擇一個主控路由器 DR 和一個備份路由器 BDR,在進行鏈路數(shù)據(jù)庫同步時,由主控路由器向整個網(wǎng)絡(luò)發(fā)送 LSA, 以減少流量開銷。 可以通過在接口上設(shè)置優(yōu)先級來決定哪個路由器成為 DR, 如果兩個鄰居優(yōu)先級相同時,那個 routerid 最高的路由器將作為 DR, 次高的作為 BDR OSPF 允許將自治系統(tǒng)內(nèi)的網(wǎng)絡(luò)劃分成區(qū)域來管理。域間傳輸更加抽象的鏈路狀態(tài)宣告 LSA。這樣可以進一步減少網(wǎng)絡(luò)開銷。由此 OSPF 路由器可分為: 1、 內(nèi)部路由器 :所有端口在同一區(qū)域的路由器,維護一個鏈路狀態(tài)數(shù)據(jù)庫。 2、 區(qū)域邊界路由器 (ABR): 具有連接多區(qū)域端口的路由器,一般作為一個區(qū)域的出口。 ABR為每一個所連接的區(qū)域建立鏈路狀態(tài)數(shù)據(jù)庫,負責將所連接區(qū)域的路由摘要信息發(fā)送到主干區(qū)域,而主干區(qū)域上的 ABR 則負責將這些信息發(fā)送到各個區(qū)域。 3、 自治系統(tǒng)邊界路由器 (ASBR): 至少擁有一個連接外部自治域網(wǎng)絡(luò)(如非 OSPF 的網(wǎng)絡(luò))端口的路由器,負責將非 OSPF 網(wǎng)絡(luò)信息傳入 OSPF 網(wǎng)絡(luò)。 OSPF 路由器之間交換的鏈路狀態(tài)公告 (LSA)信息也相應(yīng)分為 : LSA TYPE 1,router lsa:由每臺路由器為所屬的區(qū)域產(chǎn)生的 LSA,描述本區(qū)域路由器鏈路到該區(qū)域的狀態(tài)和代價。一個邊界路由器可能產(chǎn)生多個 LSA TYPE 1. LSA TYPE 2,network lsa:由 DR 產(chǎn)生,含有連接某個區(qū)域路由器的鏈路狀態(tài)和代價信息。只有DR 可以監(jiān)測該信息。 LSA TYPE 3, summary ABR lsa:由 ABR 產(chǎn)生,含有 ABR 與本地內(nèi)部路由器連接信息,可以描述本區(qū)域到主干區(qū) 域的鏈路信息。它通常傳送匯總的 OSPF 信息給其他 LSA TYPE 4, summary ASBR lsa:由 ABR 產(chǎn)生,由主干區(qū)域發(fā)送到其他 ABR, 含有 ASBR 的鏈路信息,與 LSA TYPE 3 的區(qū)別在于 TYPE 4 描述到 OSPF 網(wǎng)絡(luò)的外部路由,而 TYPE 3 則描述區(qū)域內(nèi)路由。 LSA TYPE 5:由 ASBR 產(chǎn)生,含有關(guān)于自治域外的鏈路信息。除了根區(qū)域( stub 區(qū)域) ,LSA TYPE 5 在整個網(wǎng)絡(luò)中發(fā)送。 OSPF 的區(qū)域由骨干區(qū)域 (域 0)連接,所有區(qū)域都必須在邏輯上連接。對于物理上分開的區(qū) 域 , 我們提供需連接 virtual link 來使域間具有邏輯上的連通性。 virtual link 的兩端必須都是 ABR。 OSPF routerid 的選擇 Foundry 的 router id 首先選用配在最低號的 loopback 上的地址 如果沒有配置 loopback 地址,那么系統(tǒng)就選用設(shè)備上的最小的接口地址 配置 OSPF 需要以下 4 個基本步驟: 1 全局打開 OSPF foundry(config)# router ospf 2 定義一個或多個 OSPF area foundry(config)# router ospf foundry(config)# area 或 area 0 都可以 ,具體的配置格式如下 foundry(config)# area nssa | stub 3 給接口指定 IP 地址和掩碼 foundry(config)# int ve 1 foundry(config)# ip add 52 Foundry 設(shè)備操作手冊 Page 17 of 57 上海競天科技股份有限公司 4 把接口指定到 area 中 foundry(config-if)# ip ospf area 0 給出一個具體的配置例子: 其他可選的配置參數(shù)還有: 等價路徑的負載均衡 BigIron(config)#ip load-sharing 4 Foundry 缺省支持 4 條等價路徑,最多支持 8 條 路由重分發(fā) foundry(config)# router ospf foundry(config)# redistribution rip foundry(config)# redistribution static Foundry 設(shè)備操作手冊 Page 18 of 57 上海競天科技股份有限公司 area 的地址總結(jié) BigIron(config)#router ospf BigIron(config-ospf-router)#area 2 range 2 40 BigIron(config-ospf-router)#area 0 range 4 40 外部路由的地址總結(jié) BigIron(config)#router ospf BigIron(config-ospf-router)#summary-address /22 OSPF stub 域的配置 BigIron(config)#router ospf BigIron(config-ospf-router)#area 3 stub 1 OSPF 路由重分發(fā)的過濾 BigIron(config)#router ospf BigIron(config-ospf-router)#permit redistribute 1 rip address /24 BigIron(config-ospf-router)#deny redistribute 2 rip BGP 的配置 BGP( Border Gateway Protocol)是自治系統(tǒng)之間動態(tài)發(fā)現(xiàn)路由的協(xié)議,是目前唯一可用的外部網(wǎng)關(guān)協(xié)議( EGP)。 BGP 協(xié)議常用于 ISP 之間。它通過交換帶有自治系統(tǒng)號( AS)序列屬性的路徑可達性信息,來構(gòu)造自治區(qū)域的拓撲圖,為自治系統(tǒng)( AS)提供一個無環(huán)的路由環(huán)境。從算法角度來說, BGP 也是距離矢量算法,只不過它是采用 AS 路徑來替代了通常意義上的距離,稱之為路徑矢量算法更合適些。 Foundry 設(shè)備操作手冊 Page 19 of 57 上海競天科技股份有限公司 BGP 協(xié)議是在 RFC1163、 1267、 1654、 1655 和 1771 中定義的一個 IETF 標準,最新的標準稱為 BGP 4,即版本 4, HOS 支 持 BGP-4。 BGP-4 正迅速成為事實上的 internet 外部路由協(xié)議標準,其特性描述如下: 與內(nèi)部協(xié)議不同, BGP 協(xié)議的側(cè)重點在于控制路由的傳播和選擇最佳路由,而不在于發(fā)現(xiàn)和計算路由。 通過在路由中攜帶 AS 路徑信息來徹底消除路由環(huán)路。 使用 TCP 作為其傳輸層協(xié)議,提高了協(xié)議的可靠性。 BGP-4 支持無類域間路由 CIDR( Classless Interdomain Routing)。 CIDR 的引入簡化了路由聚合( Routes Aggregation)。 路由更新時只是 發(fā)送增量路由,極大地減少了 BGP 傳播路由時所占用的帶寬,適合于在internet 上傳播大量的路由信息。 BGP-4 提供豐富的路由策略。使得 BGP 便于擴展,以支持 internet 網(wǎng)絡(luò)的新發(fā)展。 BGP 在路由器上以下列兩種模式運行: IBGP(InternaI BGP) EBGP(ExternaI BGP) 當 BGP 運行于同一自治系統(tǒng) (AS)內(nèi)部時,稱為 IBGP;當 BGP 運行于不同自治系統(tǒng)之間時,稱為 EBGP。處于不同模式時,協(xié)議的運行有所不同,這也是在配置中要注意的一點。其他的 IGP沒有類似的概念。 BGP 協(xié)議有四類消息: Open Message Update Message Notification Message Keepalive Message Open Message是連接建立后第一個發(fā)送的消息,它用于建立 BGP鄰居間的連接關(guān)系。 Notification Message 是錯誤通告消息。 Keepalive Message 是用于檢測連接有效性的消息。 Update Message是 BGP 系統(tǒng)中最重要的信息,用于在鄰居之間交換路由信息,它 最多由三部分構(gòu)成:不可達路由 (unreachable)、路徑屬性 (Path Attributes)、網(wǎng)絡(luò)可達性信息 (NLRI, Network Layer Reachability Inforrnation)。 啟動 BGP 協(xié)議 啟動 BGP 協(xié)議時應(yīng)指定本地的自治系統(tǒng)號。 Foundry(config)# router bgp Foundry(config)# local-as 64982 (64982 指的是自治系統(tǒng)號 ) 要使本地路由器主動向相鄰路由器發(fā)出 BGP 連接請求,請參照 neighbor 的配置。 BGP協(xié)議基于 TCP連接,要與其他設(shè)備通訊, BGP必須配置鄰居。 這一點與其他路由協(xié)議不同。一般的路由協(xié)議都能通過類似發(fā)送組播包之類的機制自動發(fā)現(xiàn)鄰居,只有在 NBMA網(wǎng)絡(luò)上才需要配置鄰居。而 BGP的鄰居配置是必須的。另外在配置鄰居時還需要指定鄰居的 AS號,使本設(shè)備能決定是建立 IBGP連接還是 EBGP連接。 Foundry(config)# router bgp Foundry(config)#neighbor remote-as 64071 BGP協(xié)議中要求 EBGP連接的鄰居之間必 須在一個直接相連的子網(wǎng)內(nèi),對于一跳之外的 EBGP鄰居發(fā)來的報文,都會直接丟棄。但是,在有的組網(wǎng)情況下, EBGP鄰居不能夠在一個直接相連的子網(wǎng)內(nèi)。針對這種情況 ,需要采用 ebgp-multihop的配置 Foundry(config)#neighbor ebgp-multihop 3 Foundry 設(shè)備操作手冊 Page 20 of 57 上海競天科技股份有限公司 向 BGP 發(fā)布本網(wǎng)的網(wǎng)絡(luò) 可以通過 network 命令或 redistribute rip/ospf 來向 bgp 發(fā)布本地網(wǎng)絡(luò),通常不建議用 redistribute的方式向 BGP 發(fā)布路由,而是通過 network 發(fā)布 ,最多通過 network 可以指定 600 條,注意,用 network 通告的時候,必須在本地路由表中存在一條和 network 完全一致的路由 Foundry(config)# router bgp Foundry(config)#network BGP 與 IGP 的同步 BGP 協(xié)議規(guī)定:一個 BGP 路由器不將從內(nèi)部 BGP 鄰居得知的目的地通告給外部鄰居,除非該目的地也能通過 IGP 得知的。若一個路由器能通過 IGP 得知該目的地,則可認為路由能在 AS中傳播,內(nèi)部可達性已有 了保證。 BGP 的主要任務(wù)之一就是向其它自治系統(tǒng)發(fā)布該自治系統(tǒng)的網(wǎng)絡(luò)可達性信息。 因此, BGP 必須與 IGP(如 RIP、 OSPF 等 )同步來通告路由。同步是指 BGP 必須等待直到 IGP 在其所在自治系統(tǒng)中成功傳播該選路信息后,才向其它自治系統(tǒng)通告過渡信息。也就是說,當一個路由器從 IBGP 鄰居收到一個關(guān)于目的地的更新信息、在把它通告給其它 EBGP 鄰居之前,要試圖驗證該目的地通過自治系統(tǒng)內(nèi)部能否到達 (即驗證該目的地是否存在于 IGP,若 IGP 認識這個目的地,才通告給其它的 EBGP 鄰居,否則將把這個路由當作與 IGP不同步 來處理,不進行通告 )。缺省情況下, BGP 與 IGP 是同步的。 使 BGP 與 IGP 同步的簡單方法是將 BGP 發(fā)現(xiàn)的網(wǎng)絡(luò)路由導入到 IGP 路由表中,再由 BGP 發(fā)布出去。有關(guān) BGP 與 IBGP 同步更詳細的描述,請參考有關(guān)的 RFC 文檔。 在下列情況下,可將邊界路由器上的同步選項安全地關(guān)掉: 當 AS 中所有的路由器能組成 IBGP 全連通網(wǎng)時。在這種情況下,通過任何邊界路由器中的 EBGP得知的路由都可通過 IBGP 自動傳遞到其它所有路由器, AS 內(nèi)部的可達性可以得到保證。 當該 AS 不是一個過渡 AS。 要配置 BGP 不與 IGP 同步,請在 BGP 協(xié)議配置模式下執(zhí)行下列命令Foundry(config)# router bgp Foundry(config)#no synchronization BGP的路徑屬性 BGP 路徑屬性是用來記錄與路由相關(guān)的參數(shù)的,它可以記錄路徑的信息、路由的優(yōu)先級、下一跳、路由聚合信息等等。 BGP 路徑屬性在 Update 報文中隨同 NLRI 信息一起發(fā)送,在 BGP 路由過濾和路由選擇過程中起作用。每個 Update 報文中攜帶的路徑屬性可以不同。每個路徑屬性由以下三部分組成:路徑屬性類型、路徑屬性長度、路徑屬性數(shù) 據(jù)。 BGP 路徑屬性可以分成四類: 1. 強制的( well-known mandatory):這種屬性每個 Update 報文中必須存在。所有的廠家設(shè)備都要能識別。一旦發(fā)現(xiàn)收到的報文中少了一個必遵的屬性,馬上就發(fā)送 Notification 報文拆除鄰居關(guān)系。像 AS_path 就是個必遵屬性。 2. 可選的( well-know discretionary):這種屬性所有廠家設(shè)備必須都能識別,但是不要求每個Update 報文都包含。像 Local_Pref 就是個可選屬性。 3. 過渡的( optional transitive):這種 屬性不要求所有廠家設(shè)備都能識別。不管是否能識別,在收到后要轉(zhuǎn)發(fā)給其他設(shè)備。 4. 非過渡的( optional nontransitive):這種屬性不要求所有廠家設(shè)備都能識別。對于不能識別的情況,直接丟棄。 常見的屬性有以下這些 Origin( well-known mandatory, Type Code 1) AS-Path( well-known mandatory, Type Code 2) Next hop( well-known mandatory, Type Code 3) Foundry 設(shè)備操作手冊 Page 21 of 57 上海競天科技股份有限公司 MED( optional nontransitive, Type Code 4) Local-Preference ( well-know discretionary, Type Code 5) Atomic-Aggregate ( well-know discretionary, Type Code 6) Aggregator ( optional transitive, Type Code 7) Community ( optional transitive, Type Code 8) Originator_ID ( optional nontransitive, Type Code 9) Cluster List ( optional nontransitive, Type Code 10) MED 屬性 多出口鑒別器( Multiple exit discriminator, MED或 MULTI_EXIT_DISC)屬性是在 BGP Update報文中可選的一個路徑參數(shù),主要是在自治系統(tǒng)之間交換路由時的一個輔助判別標準。自治系統(tǒng)內(nèi)部使用本地優(yōu)先級屬性 (LocaI Preference)進行出自治系統(tǒng)路由的選擇;而 MED屬性用于判斷進入該自治系統(tǒng)的最佳路由。當一個運行 BGP的自治系統(tǒng)得到目的地址相同、下一跳不同的多條路由時,在其它條件相同的情況下, MED值最小的路由將被優(yōu)先選作進入該自治系統(tǒng)的外部路由。在缺省情況下,自治系統(tǒng)的 MED值為 0。 協(xié)議要求:路由器通過 EBGP隨路由更新收到的 MED,會不做任何改變地傳送給所有 IBGP鄰居 foundry(config)# router bgp foundry(config)# default-metric 30 比較來自不同自治系統(tǒng)的路由的 MED值 一般情況下,路由器只比較來自同一自治系統(tǒng)路由的 MED屬性,不比較來自不同自治系統(tǒng)路由的 MED值。若非得要比較的話,請用“ bgp always-compare-med”命令來實現(xiàn)。缺省情況下,不允許比較來自不同自治系路由的 MED屬性值。 foundry(config)# router bgp foundry(config)#bgp always-compare-med 配置本地優(yōu)先級 local-preference IBGP 收到了其他選擇條件一樣的路由后,根據(jù) IBGP 的 Update 報文中一個叫 LOCAL_PREF 的路徑屬性來在 AS 內(nèi)部區(qū)別路由的優(yōu)先級。我們稱為本地優(yōu)先級。 本地優(yōu)先級高的優(yōu)先選擇。缺省情況下,本地優(yōu)先級值為 100 foundry(config)# router bgp foundry(config)# default-local-preference 200 路由聚合 在很多組網(wǎng)情況下, AS內(nèi)部的網(wǎng)絡(luò)可以通過無類域間路由( CIDR( Classless Interdomain Routing)來聚合成一條路由,從而減少 AS之間路由的數(shù)目。 比如以下網(wǎng)絡(luò)都在一個 AS 1中: /24 /24 /24 /24 我們就可以把它們聚合成 /22的路由通告其他 AS。 在使用路由聚合時要小心確認,包含在聚合路由里的網(wǎng)絡(luò)是否在一起,不要造成路由重疊的情況。 我們可以利用aggregate-address可以對 BGP路由進行聚合。在配置路由聚合的同時,還可進行一系列參數(shù)的配置。 要聚合 BGP路由,請在 BGP協(xié)議配置模式下執(zhí)行下列命令: foundry(config)# router bgp foundry(config)#aggregate-address Foundry 設(shè)備操作手冊 Page 22 of 57 上海競天科技股份有限公司 要注意:聚合路由不是配置后馬上就產(chǎn)生的。至少得有一條滿足在指定范圍內(nèi)的具體路由生效后,才會產(chǎn)生聚合路由。 如果有可用的符合指定范圍的具體 BGP 路由,用不帶參數(shù)的 aggregate address 命令就可以在BGP 路由選擇表中創(chuàng)建一條聚合記錄。它是本地聚合的,而且設(shè)置了原子聚合屬性以表示可能在聚合中丟失了信息 (除非指定了 as-set 關(guān)鍵字,否則缺省情況下是設(shè)定原子聚合屬性的 )。 使用 as-set 關(guān)鍵字可以創(chuàng)建一條聚合記錄,該路由的 AS 路徑會包含一個 AS 集合,它綜合了所 Foundry 設(shè)備操作手冊 Page 23 of 57 上海競天科技股份有限公司 有具體路由的 AS路徑信息。建議在聚合較多 AS路徑時不要使用此關(guān)鍵字,因為當具體路由的 AS路徑或可達性信息發(fā)生變化時,該路由必須不斷撤銷和重新更新。 BGP 的路由策略 發(fā)送缺省路由 缺省情況下,不向鄰居發(fā)布缺省路由。使用該命令,向鄰居發(fā)布缺省路由 foundry(config)# router bgp foundry(config)# neighbor default-originate 將自身作為下一跳 BGP 在向鄰居發(fā)布路由時,把自身地址作為所發(fā)布路由的下一跳。當 BGP 運行于非全連通的網(wǎng)絡(luò)環(huán)境(例如 x.25 和幀中繼)時,該功能非常有用,因為在這種網(wǎng)絡(luò)環(huán)境下,某個鄰居可能不能直接訪問同一子網(wǎng)內(nèi)的其他鄰居。 foundry(config)# router bgp foundry(config)# neighbor next-hop-self 配置鄰居的路由策略 foundry(config)# router bgp foundry(config)# neighbor route-map test in/out 案例說明 在目前的城域網(wǎng)中,主要的 BGP配置如下,城域網(wǎng)的連接拓撲見下圖 router bgp default-metric 50 local-as 64988 neighbor remote-as 64988 neighbor next-hop-self neighbor update-source loopback 1 neighbor 13 remote-as 65010 neighbor 13 route-map out SETINBOUND network network network network network network network network network network access-list 1 permit 55 access-list 1 permit 55 Foundry 設(shè)備操作手冊 Page 24 of 57 上海競天科技股份有限公司 access-list 1 permit 55 route-map SETINBOUND permit 10 match ip address 1 set metric 20 route-map SETINBOUND permit 20 3 安全配置 交換機的安全配置包括訪問控制列表 (access control list),防止 DoS( deny of service)攻擊等 訪問控制列表 訪問控制列表可以根據(jù)源 IP 或目的 IP 以及 TCP/UDP 的應(yīng)用端口來允許或拒絕數(shù)據(jù)包。主要分為標準的和擴展的 2 種。 ACL 的 ID 是在全局定義的,而 acl 只有施加到端口才有效。 ACL 的默認行為就是拒絕任何沒有明確允許的流量,所以千萬不能把一個空的 acl 加到端口下,否則會導致系統(tǒng)無法管理。 Acl也可被用來控制 telnet, web 管理以及 SNMP 訪問等 標準訪問控制列表的表示符如下: no access-list deny|permit /|log no access-list deny|permit host |log no access-list deny|permit anylog 注意,當添加了 log 后,系統(tǒng)會用 cpu 往 log 添加被拒絕的包的紀錄,如果包的數(shù)量大的話,F(xiàn)oundry 設(shè)備操作手冊 Page 25 of 57 上海競天科技股份有限公司 會導致交換機 cpu 升高,建議平時不要使用 配置一個標準的訪問控制列表的例子: BigIron(config)# access-list 1 deny host 6 BigIron(config)# access-list 1 deny host 2 BigIron(config)# access-list 1 deny host IPHost1 BigIron(config)# access-list 1 permit any BigIron(config)# int eth 1/1 BigIron(config-if-1/1)# ip access-group 1 in 擴展的訪問控制列表可以根據(jù) IP 協(xié)議類型,源和目的 IP 地址以及 tcp/udp 的應(yīng)用端口來進行控制,其中常見的協(xié)議包括: Internet Control Message Protocol (ICMP) Internet Group Management Protocol (IGMP) Internet Gateway Routing Protocol (IGRP) Internet Protocol (IP) Open Shortest Path First (OSPF) Transmission Control Protocol (TCP) User Datagram Protocol (UDP) 表達格式如下: no access-list deny | permit | | established precedence | tos dscp-marking 802.1ppriority-marking 例子: BigIron(config)# access-list 103 deny tcp /24 /24 BigIron(config)# access-list 103 deny tcp /24 eq ftp /24 BigIron(config)# access-list 103 deny tcp /24 /24 lt telnet neq 5 BigIron(config)# access-list 103 deny udp any range 5 Bigiron(config)# int ve 5 Bigiron(config)#ip access-group 5 in 注意,由于 foundry 的 設(shè)備結(jié)構(gòu),建議 acl 只加到設(shè)備的 in 方向,不要添加到 out 方向 每個會話的第一個 tcp/udp 包都將由 cpu 處理,另外,所有的基于 icmp 包的 acl 也由 cpu 處理。 (這是針對 ironcore 的結(jié)構(gòu)來說的 ) 防止 DoS 攻擊的配置 防止惡性用戶對設(shè)備發(fā)動 tcp sync 攻擊 Bigiron(config)# ip tcp burst-normal 10 burst-max 100 lockup 30 系統(tǒng)會在突發(fā)大于 10 個包的時候開始丟棄包,如果突發(fā)大于 100 的話,系統(tǒng)就會丟棄所有的包。直到過了 30 秒 Foundry 設(shè)備操作手冊 Page 26 of 57 上海競天科技股份有限公司 4 策略路由 所謂策略路由,顧名思義,即是根據(jù)一定的策略進行報文轉(zhuǎn)發(fā),因此策略路由是一種比目的路由更靈活的路由機制。在路由器轉(zhuǎn)發(fā)一個數(shù)據(jù)報文時,首先根據(jù)配置的規(guī)則對報文進行過濾,匹配成功則按照一定的轉(zhuǎn)發(fā)策略進行報文轉(zhuǎn)發(fā)。這種規(guī)則可以是基于標準和擴展訪問控制列表,也可以基于報文的長度;而轉(zhuǎn)發(fā)策略則是控制報文按照指定的策略路由表進行轉(zhuǎn)發(fā),也可以修改報文的 IP 優(yōu)先字段。因此,策略路由是對傳統(tǒng) IP 路由機制的有效增強。 策略路由一般可應(yīng)用在如下目的: 1多個 ISP出口的業(yè)務(wù)網(wǎng)關(guān) 2負載分擔 3靈活的路由備份 策 略路由是基于 route-map 表、多策略路由表以及多轉(zhuǎn)發(fā)表實現(xiàn)的。 Route-map 在路由策略一章時已經(jīng)介紹,它是由一組 match 子句和 set 子句構(gòu)成,當需做策略路由的報文匹配route-map 中的 match 子句定義的規(guī)則時,將按照 set 子句的配置決定該報文的路由方式,包括控制報文的發(fā)送下一跳 ,發(fā)送接口以及設(shè)置報文的 IP 優(yōu)先權(quán)字段。 在 route-map表中定義規(guī)則和報文所使用的轉(zhuǎn)發(fā)表表號,當報文匹配規(guī)則(包括訪問控制列表和報文長度)時,就按照指定的轉(zhuǎn)發(fā)表進行路由查找。如果查找成功,則正常轉(zhuǎn)發(fā);如果查找失 敗,則繼續(xù)在系統(tǒng)轉(zhuǎn)發(fā)表中查找,成功則繼續(xù)轉(zhuǎn)發(fā),失敗則丟棄報文。 配置策略路由需要以下 3 個步驟 1 定義一個訪問控制列表,把你要進行區(qū)分的流量整理出來 BigIron(config)# access-list 99 permit 55 2 配置一個 route-map,把策略的目的用語句表達出來 BigIron(config)# route-map test-route permit 99 BigIron(config-routemap test-route)# match ip address 99 BigIron(config-routemap test-route)# set ip next-hop BigIron(config-routemap test-route)# exit 3 把策略添加到接口下 BigIron(config)# interface ve 1 BigIron(config-vif-1)# ip policy route-map test-route 例如,指定 3 段地址,當滿足第一段地址時,下一跳是 , 滿足第二段時,下一跳是 , 滿足第三段時,下一跳是 ,然后在接口 ve1 下添加該策略 BigIron(config)# access-list 50 permit 55 BigIron(config)# access-list 51 permit 55 BigIron(config)# access-list 52 permit 55 BigIron(config)# route-map test-route permit 50 BigIron(config-routemap test-route)# match ip address 50 BigIron(config-routemap test-route)# set ip next-hop BigIron(config-routemap test-route)# exit BigIron(config)# route-map test-route permit 51 BigIron(config-routemap test-route)# match ip address 51 BigIron(config-routemap test-route)# set ip next-hop Foundry 設(shè)備操作手冊 Page 27 of 57 上海競天科技股份有限公司 BigIron(config-routemap test-route)# exit BigIron(config)# route-map test-route permit 52 BigIron(config-routemap test-route)# match ip address 52 BigIron(config-routemap test-route)# set ip next-hop BigIron(config-routemap test-route)# exit BigIron(config)# interface ve 1 BigIron(config-vif-1)# ip address /24 BigIron(config-vif-1)# ip address /24 BigIron(config-vif-1)# ip address /24 BigIron(config-vif-1)# ip policy route-map test-route 5 組播 IP通信主要有三種方式:第一種是在一臺源 IP主機和一臺目的 IP主機之間進行,即單播( unicast);第二種是在一臺源 IP主機和網(wǎng)絡(luò)中所有其它的 IP主機之間進行,即廣播( broadcast);第三種是在屬于同一組的主機之間進行,即組播 (multicast)。當要將信息發(fā)送給網(wǎng)絡(luò)中的多個主機而非所有主機時,如果采用廣播方式,不僅會將信息發(fā)送給不需要的主機而浪費帶寬,也可能由于路由回環(huán)引起嚴重的廣播風暴;如果采用單播方式,則由于 IP包的重復(fù)發(fā)送會白白浪費掉大量帶寬,也增加了服務(wù)器的負載,而組播通信方式則能 有效地解決這種單點發(fā)送、多點接收的問題。 IP 組播是指在 IP網(wǎng)絡(luò)中將數(shù)據(jù)包以盡力傳送( best-effort)的形式發(fā)送到網(wǎng)絡(luò)中的某個確定節(jié)點子集,這個子集稱為組播組( multicast group)。 IP組播的基本思想是:源主機只發(fā)送一份數(shù)據(jù),這份數(shù)據(jù)中的目的地址為組播組地址;組播組中的所有接收者都可接收到同樣的數(shù)據(jù)拷貝,并且只有組播組內(nèi)的主機(目標主機)所在的網(wǎng)段可以接收該數(shù)據(jù),網(wǎng)絡(luò)中其它網(wǎng)段不能收到。組播組用 D類 IP地址( 55)來標識 IP組播中,使 用 IGMP(互連網(wǎng)組管理協(xié)議)作為主機 -路由器之間的組播成員管理協(xié)議;主要使用 PIM-SM(協(xié)議無關(guān)組播協(xié)議稀疏模式)、 PIM-DM(協(xié)議無關(guān)組播協(xié)議密集模式)、 DVMRP(距離向量組播路由協(xié)議)等協(xié)議作為路由器 -路由器之間的組播路由協(xié)議。 IANA將 MAC地址范圍 01:00:5E:00:00:00 01:00:5E:7F:FF:FF分配給組播使用,這就要求將28位的 IP組播地址空間映射到 23位的 MAC地址空間中,具體的映射方法是將組播地址中的低 23位放入 MAC地址的低 23位,如下圖所示。所以一個組 播 MAC地址對應(yīng)于 32個組播 IP地址。 IGMP( Internet Group Management Protocol)協(xié)議運行于主機和與主機直連的路由器之間,IGMP 實現(xiàn)的功能是雙向的:一方面,通過 IGMP 協(xié)議,主機通知本地路由器希望加入并接收某個特定組播組的信息;另一方面,路由器通過 IGMP 協(xié)議周期性地查詢局域網(wǎng)內(nèi)某個已Foundry 設(shè)備操作手冊 Page 28 of 57 上海競天科技股份有限公司 知組的成員是否處于活動狀態(tài)(即該網(wǎng)段是否仍有屬于某個組播組的成員),實現(xiàn)所連網(wǎng)絡(luò)組成員關(guān)系的收集與維護。通過 IGMP,在路由器中記錄的信息是某個組播組是否在本地有組成員,而不是組播 組與主機之間的對應(yīng)關(guān)系。 到目前為止, IGMP 有三個版本: IGMPv1( RFC1112)中定義了基本的組成員查詢和報告過程;目前通用的是 IGMPv2,由 RFC2236 定義,在 IGMPv1 的基礎(chǔ)上添加了組成員快速離開的機制; IGMPv3 中增加的主要功能是成員可以指定接收或指定不接收某些組播源的報文。 IGMPv2 中指定三種 IGMP 報文:組成員查詢報文( Membership Query),組成員報告報文( Membership Report)和組成員離開報文( Leave Group)。 組播路由協(xié)議 根據(jù)協(xié) 議的作用范圍,組播協(xié)議分為主機 -路由器之間的協(xié)議(組播成員管理協(xié)議),以及路由器 -路由器之間協(xié)議(組播路由協(xié)議)。組成員關(guān)系協(xié)議包括 IGMP(互連網(wǎng)組管理協(xié)議);組播路由協(xié)議又分為域內(nèi)組播路由協(xié)議和域間組播路由協(xié)議。域內(nèi)組播路由協(xié)議包括PIM-SM、 PIM-DM、 DVMRP等協(xié)議,域間組播路由協(xié)議包括 MBGP、 MSDP等協(xié)議。同時為了有效抑制組播數(shù)據(jù)在二層網(wǎng)絡(luò)中的擴散,引入了 IGMP Snooping等二層組播監(jiān)聽機制。 通過 IGMP和二層組播監(jiān)聽機制,在路由器和交換機中建立起直聯(lián)網(wǎng)段內(nèi)的組成員關(guān)系信息,具 體地說,就是哪個接口下有哪個組播組的成員。域內(nèi)組播路由協(xié)議根據(jù) IGMP維護的這些組播組成員關(guān)系信息,運用一定的組播路由算法構(gòu)造組播分發(fā)樹,在路由器中建立組播路由狀態(tài),路由器根據(jù)這些狀態(tài)進行組播數(shù)據(jù)包轉(zhuǎn)發(fā)。域間組播路由協(xié)議根據(jù)網(wǎng)絡(luò)中配置的域間組播路由策略,在各自治系統(tǒng)( AS, Autonomous System)間發(fā)布具有組播能力的路由信息以及組播源信息,使組播數(shù)據(jù)能在域間進行轉(zhuǎn)發(fā)。 組播路由是一個從數(shù)據(jù)源端到多個接收端的無環(huán)數(shù)據(jù)傳輸路徑,組播路由協(xié)議的任務(wù)就是構(gòu)建組播路由即組播數(shù)據(jù)分發(fā)樹。通常,根據(jù)網(wǎng)路實際 情況此類路由協(xié)議又可以稀疏模式和密集模式兩大類 稀疏模式基于以下假設(shè):所有主機都默認不接收組播數(shù)據(jù),只有明確要求加入的主機才接收,即只向明確要求組播數(shù)據(jù)的接口轉(zhuǎn)發(fā)。接收點如果需要接收某組播數(shù)據(jù),必須向該組“匯集點”( RP, Rendezvous Point)發(fā)送加入消息。組播發(fā)送時也必須首先向“匯集點”注冊。 PIM-SM(協(xié)議無關(guān)組播協(xié)議稀疏模式)是此模式的典型組播路由協(xié)議 密集模式組播路由適用于小型網(wǎng)絡(luò),其組建過程基于以下假設(shè):當組播源開始發(fā)送組播數(shù)據(jù)時,域內(nèi)所有的網(wǎng)絡(luò)節(jié)點都需要接收數(shù)據(jù),因此采用“擴散 -剪枝”方式(與稀疏模式的“加入 -剪切”方式不同)進行組播數(shù)據(jù)包的轉(zhuǎn)發(fā)。組播源開始發(fā)送數(shù)據(jù)時,沿途路由器向除組播源對應(yīng)的 RPF( Reverse Path Forwarding,逆向路徑轉(zhuǎn)發(fā))接口之外的所有接口轉(zhuǎn)發(fā)組播數(shù)據(jù)包。然后剪切掉不要組播的分支 PIM-DM(協(xié)議無關(guān)組播協(xié)議密集模式)和 DVMRP(距離向量組播路由協(xié)議)是此模式的典型組播路由協(xié)議 在組播中,報文是發(fā)送給一組接收者的,這些接收者用一個邏輯地址標識。路由器在接收到報文后,必須根據(jù)源和目的地址確定出上游(指向組播源)和下游方向,把報文沿著 遠離組播源的方向進行轉(zhuǎn)發(fā)。這個過程稱作 RPF( Reverse Path Forwarding,逆向路徑轉(zhuǎn)發(fā))。 RPF 執(zhí)行過程中會用到原有的單播路由表以確定上游和下游的鄰接結(jié)點。只有當報文是從上游鄰接結(jié)點對應(yīng)的接口(稱作 RPF接口)到達時,才向下游轉(zhuǎn)發(fā),否則丟棄 組播的配置 Foundry 設(shè)備操作手冊 Page 29 of 57 上海競天科技股份有限公司 首先需要在全局啟動組播功能 BigIron(config)# ip multicast-routing 啟動組播路由協(xié)議 pim-dm BigIron(config)ip multicast routing BigIron(config)router pim BigIron(config)int e3 BigIron(config)ip address /24 BigIron(config)ip pim 啟動組播路由協(xié)議 pim-sm PIM-SM( Protocol Independent Multicast Sparse Mode,協(xié)議無關(guān)組播協(xié)議稀疏模式)是一種典型的稀疏模式組播路由協(xié)議。 在 PIM-SM 域中,運行 PIM-SM 協(xié)議的路由器周期性地發(fā)送 Hello 消息,用以發(fā)現(xiàn)鄰接的PIM 路由器,并且負責在多 路訪問網(wǎng)絡(luò)中進行 DR 的選舉。這里, DR 負責與其直連的組成員向組播樹根節(jié)點的方向發(fā)送 “加入 /剪枝 ”消息,或是將直連組播源的數(shù)據(jù)發(fā)向組播分發(fā)樹,還負責發(fā)起 SPT(最短路徑樹)切換。同時 PIM-SM 通過設(shè)置 “匯聚點 ”( RP Rendezvous Point)和引導路由器 BSR( Bootstrap router)向所有的 PIM-SM 路由器通告組播路由信息,控制路由分發(fā)樹的生成 . 理解共享樹和最短路徑樹 默認情況下,組成員接收的數(shù)據(jù)都是通過樹根為 “匯集點 ”( RP, Rendezvous Point)的分發(fā)樹得到組播數(shù) 據(jù),發(fā)送者總是先將組播數(shù)據(jù)發(fā)送給 RP,然后再由 RP 分發(fā)給加入到此分發(fā)樹的接收者,這種類型的分發(fā)樹被成為共享樹( Shared Tree,也稱 RPT)。如下圖所示 . 如果通過葉子路由器的組播數(shù)據(jù)流量達到一定值,該路由器可以將分發(fā)樹的根轉(zhuǎn)向源,形成新的轉(zhuǎn)發(fā)樹,此樹叫做最短路徑樹( SPT)。 路由器 DR 發(fā)現(xiàn)源則會向 RP 注冊,發(fā)現(xiàn)成員則向 RP 申請加入分發(fā)樹,成為分發(fā)樹的葉子 . BigIron(config)ip multicast routing BigIron(config)router pim BigIron(config-pim-router)bsr-candidate eth 2/2 30 255 BigIron(config-pim-router)rp-candidate eth 2/2 Foundry 設(shè)備操作手冊 Page 30 of 57 上海競天科技股份有限公司 BigIron(config-pim-router)rp-address BigIron(config)int eth 2/2 BigIron(config)ip address /24 BigIron(config)ip pim-sparse 啟動組播路由協(xié)議 dvmrp BigIron(config)ip multicast routing BigIron(config)router dvmrp BigIron(config)int eth 2/2 BigIron(config)ip address /24 BigIron(config)ip dvmrp Foundry 設(shè)備操作手冊 Page 31 of 57 上海競天科技股份有限公司 第三部分 系統(tǒng)操作 對 foundry 設(shè)備的配置可以通過 console 口、 telnet 遠程登錄、 web 管理方式來進行。當設(shè)備是新安裝時,必須通過 console 口進行初始配置,給設(shè)備設(shè)置了 ip 地址以 后,則可采用另外兩種方式做配置。 Console 口和 telnet 是通過命令行( cli)的方式來對設(shè)備進行配置或檢查設(shè)備狀態(tài)信息。 Web 方式則是圖形化的 Web 界面操作。 1 console口 foundry 設(shè)備的 console 口是標準的 DB-9 公接頭,通過 vt-100 或vt-100 終端仿真軟件來連接。出廠連接參數(shù): 9600 波特率、 8數(shù)據(jù)位、無奇偶校驗、 1 停止位、無流控。 連接的線纜采用直通線纜(不是 Null-Modem 線纜)。 另外,該 console 可通過 Modem(調(diào)制解調(diào)器)方式來連接,這樣的話,你就 可以遠程電話撥號來連接 console 口。如果在設(shè)備端和管理端都具備直線電話,可以方便對設(shè)備的控制,特別是在管理 ip 地址誤刪的情況下,可以保證對設(shè)備的配置權(quán)。從 console口到 modem 的線纜為交叉的 modem to modem 線纜(通常是DB 9 到 DB 25 線纜) 2 命令行接口( Cli) Cli 是命令行操作界面,是 console 和 telnet 方式的控制界面。 Foundry 設(shè)備操作手冊 Page 32 of 57 上海競天科技股份有限公司 Cli 分為 3 種不同的級別,不同的級別具有不同的控制權(quán)利。 User EXEC(用戶模式) 你可以顯示設(shè)備的信息(但不能改變),同時可以執(zhí)行一 些基本的任務(wù),如:連通性檢查的 ping 和traceroute Privileged EXEC(特權(quán)模式) 包括了用戶模式下的所有命令,另外可以修改部分配置(注意:這些修改的配置不要求保存到系統(tǒng)配置文件,如果要求保存到系統(tǒng)配置文件,則不能在該模式下進行修改),例如:設(shè)置系統(tǒng)時鐘。 CONFIG(配置模式) 可以對設(shè)備進行配置修改,如果要求這些修改后的配置在設(shè)備重新啟動后仍舊生效,則必須用 write memory 命令把修改的配置保存到系統(tǒng)配置文件。 以上三種配置模式通過相應(yīng)的命令進行切換: 3 賬號設(shè)置 賬號設(shè)置分為“一般賬號設(shè)置”和“ aaa 賬號設(shè)置”,“一般賬號設(shè)置”不含用戶名,只須設(shè)置密碼(最多 3 個賬號);“ aaa 賬號設(shè)置”可同時設(shè)置賬號名和密碼(最多 16 個賬號)。另外,兩種方式的密碼長度必須在 32 字符以內(nèi)。 你可以根據(jù)自己的要求來決定采用哪種賬號設(shè)置方式( aaa 用戶模式 特權(quán)模式 配置模式 Enable 命令賬號信息 Config t 命令 Exit 或 end 命令 Exit 命令 Foundry 設(shè)備操作手冊 Page 33 of 57 上海競天科技股份有限公司 authentication 命令用于 aaa 賬號設(shè)置的驗證)。 3.1 一般賬號設(shè)置(只需設(shè)置密碼): 設(shè)備初始狀態(tài)(出廠設(shè)置)時,未設(shè)置密碼。 從用戶模式進入特權(quán)模式后,根據(jù)用戶輸入的密碼可以有不同的權(quán)限。 設(shè)備可以設(shè)置三個不同的 密碼,不同級別的密碼具備不同的管理權(quán)限。 超級用戶密碼:完全的讀寫權(quán)限,通常由系統(tǒng)管理員使用 BigIron(config)# enable super-user-password SuPswd 端口配置用戶密碼:允許對端口的配置進行讀寫。不能改變系統(tǒng)范圍內(nèi)的其它參數(shù)。 BigIron(config)# enable port-config-password PCPswd 只讀用戶密碼 允許讀設(shè)備配置、狀態(tài)信息。不能修改任何配置: BigIron(config)# enable read-only-password ROPswd 3.2 AAA 賬號設(shè)置(只需設(shè)置密碼): 通過 aaa 賬號設(shè)置方式,你可以建立本地(最多 16 個)或遠程賬號(如 radius,賬號數(shù)量和認證服務(wù)器相關(guān), foundry 設(shè)備沒有限制),每個賬號包括用戶名和密碼。在此列出建立本地賬號及應(yīng)用本地賬號的命令。 建立本地賬號: 建立本地賬號時也可以規(guī)定每個賬號的權(quán)限(超級用戶賬號、端口配置賬號、只讀賬號設(shè)置)。 Foundry 設(shè)備操作手冊 Page 34 of 57 上海競天科技股份有限公司 Syntax: no username privilege password | nopassword 其中: privilege 參數(shù)指定該賬號的權(quán)利,有如下三種選項。 0 Full access (super-user) 4 Port-configuration access 5 Read-only access 例如: BigIron(config)# username waldo privilege 5 password whereis 使本地賬號生效: Syntax: no aaa authentication snmp-server | web-server | enable | login default 例如: BigIron(config)# aaa authentication enable default local BigIron(config)# username waldo privilege 5 password whereis Method 選項: Table 6.1: Authentication Method Values Method 值 描述 tacacsor tacacs+ 使用 TACACS/TACACS+ server認證 . (需進一步配置 tacacs/tacacs+ 服務(wù)器參數(shù)) radius 使用 radius server來認證(需進一步配置 radius 服務(wù)器參數(shù)) local 采用本地建立的賬號 (該選項和本節(jié)相關(guān)) line 使用 telnet 使用的口令。 telnet 使用的口令用 enable telnet password 命令配置。 is enable 略 none 無需認證。用戶總是能獲得認證成功 4 Telnet/SSH配置 設(shè)置 telnet 登錄密碼: enable telnet password .其中 password 為密碼。如果未設(shè)置該密Foundry 設(shè)備操作手冊 Page 35 of 57 上海競天科技股份有限公司 碼,則 telnet 可以不要求認證,用戶直接進入 cli 的用戶執(zhí)行模式。如已設(shè)置該密碼,則用戶必須輸入該密碼(沒有用戶名要求)才能進入 cli 的執(zhí)行模式。 另外可以通過 aaa 認證方式,要求用戶 telnet 登錄時輸入 “用戶名”“密碼”, 如: aaa authentication longin default local username waldo privilege 5 password whereis 用戶輸入用戶名“ waldo”, 和 密碼 “ whereis”后,將成功登錄。 SSH 配置: Foundry 設(shè)備支持 ssh 安全登錄方式,配置方法如下: SSH 配置命令: (見 security.pdf 目錄: D:hexiaojunproject四川 foundry 技術(shù)文檔 fastiron II) 1)生成公鑰私鑰密碼對,同時將遠程登錄調(diào)整為 ssh 方式。 BigIron(config)# crypto key generate rsa BigIron(config)# write memory 2)刪除公鑰私鑰密碼對;禁止 ssh方式,恢復(fù)到 telnet 方式。 BigIron(config)# crypto key zeroize rsa BigIron(config)# write memory 5 SNMP配置 SNMP 配置命令 : FastIron(config)# ip address 5 (設(shè)備要求有一個可管理的 ip地址) FastIron(config)# snmp-server contact “Bill Clinton”(配置設(shè)備聯(lián)系方式,該命令可不配置) FastIron(config)# snmp-server location the_white_house(配置設(shè)備位置,該命令也可不配置) Foundry 設(shè)備操作手冊 Page 36 of 57 上海競天科技股份有限公司 FastIron(config)# snmp-server host 5 *(配置設(shè)備 trap server 的 地址及信息的分類, trap server根據(jù) *字段,可對 trap進行分類。該命令必須配置) FastIron(config)# snmp-server community ro (配置設(shè)備的可讀字符串,該命令必須配置,用于 snmp通信的驗證,相當于密碼。該密碼不具備寫的權(quán)利,只有讀的權(quán)利) FastIron(config)# snmp-server community * rw(配置設(shè)備的可寫字符串,該命令必須配置。用于snmp 通信的驗證,相當于密碼。該密碼具有寫的權(quán)利) 6 Syslog設(shè)置 配置 syslog 相對比較簡單,只需說明 syslog 服務(wù)器的 ip 地址,此后,系統(tǒng)生成的日志,將發(fā)送到該 ip 地址的主機。 logging host *.*.*.* *.*.*.*是日志服務(wù)器的 ip 地址 7 權(quán)限控制 你可以限制對 web、 telnet、 snmp 的訪問。 可以通過單條命令對單臺主機進行控制,也可以通過單條命令對一組主機進行控制。 另外,也可以完全關(guān)閉部分或全部的服務(wù),禁止所有的用戶訪問。 一條命令只允許單臺機器訪問 : BigIron(config)#web-client 9 BigIron(config)#snmp-client 4 BigIron(config)#telnet-client 6 BigIron(config)#all-client 9 for all three types 或一條命令允許一組管理工作站 : BigIron(config)# telnet access-group 10 你也可以完全禁止這些服務(wù)的訪問 : BigIron(config)#no web-management BigIron(config)#no telnet server BigIron(config)#no snmp-server Foundry 設(shè)備操作手冊 Page 37 of 57 上海競天科技股份有限公司 8 軟件升級 foundry 設(shè)備升級要考慮到兩個系統(tǒng)文件的升級。 Boot code(類似 bios) 和 flash code(類似于運行操作系統(tǒng))。其中 foundry 可以保存兩個 flash code(可以是不同版本),可以設(shè)置指定設(shè)備啟動的時候啟動哪個版本。要注意的是 flash code 的版本和 boot code 的版本是有關(guān)系的,往往較高版本的 flash code 要求較高版本的 boot code。升級 flash code 的時候,要注意 boot code 的一致性。另外就是升級的時候,系統(tǒng)的當前配置不會受影響,升級成功的話,先前的配置仍舊有效。 升級步驟為: 1) 確定系統(tǒng)保存的軟件版本信息: show flash 命令輸出信息: FastIronshow flash Code Flash Type: AMD 29F016, Size: 32 * 65536 = 2097152, Unit: 1 Boot Flash Type: AMD 29F010, Size: 8 * 16384 = 131072 Compressed Primary Code size = 583323, Version 05.0.01T10(注:第一個 flash code的版本號) Compressed Secondary Code size = 584847, Version 03.8.11T10(注:第二個 flash code的版本號) Boot Image Version 03.02.50 (注: boot code 的版本號) Monitor Image Version 1, for DRAM size 2097152 2) 先備份配置文件和原 boot code 、 flash code 文件 (x.x.x.x 是 tftp server 的 IP 地址 ) #copy startup-config tftp x.x.x.x config0715 #copy flash tftp x.x.x.x boot #copy flash tftp x.x.x.x config0715 secondry(或 primary) 3) 升級 boot code (如果 flash code 要求高版本的 boot code,則先對 boot code 進行升級。否則無需升級 boot code) copy tftp flash x.x.x.x m2b07504.bin boot (用 tftp 上的 m2b07504.bin文件升級 boot Foundry 設(shè)備操作手冊 Page 38 of 57 上海競天科技股份有限公司 code) reload (一般要求重新啟動) 4) 升級 flash code #copy tftp flash secondry(或 primary)(注:接著會系統(tǒng)提示輸入 tftp 服務(wù)器的 ip地址、和升級文件名) 5) 命令模式下用新版本引導設(shè)備: #boot system flash sec/sec(假如不成功可以通過關(guān)開電源恢復(fù)到原樣 ) 6) 設(shè)定啟動文件(新升級的版本),并保存配置,重新啟動 #conf t boot system flash secondary exit #wri mem # reload 9 硬件板卡更換 foundry 的模塊更換分為管理模塊更換和接口模塊更換。接口模塊更換比較簡單,因為 foundry 設(shè)備支持熱插拔,直接拔下舊模塊,然后插回新的接口模塊就可以了。管理模塊更換要復(fù)雜一些。如果是單管理模塊更換,則設(shè)備關(guān)電,換上新管理模塊,并從先前在 tftp 上保存的配置文件恢復(fù)到新管理模 塊就可以了。 以下介紹更換管理模塊(雙管理模塊的情況)。 1) 保存當前配置并備份到微機上 wri mem 保存配置:(見 8) 2)確定當前主備模塊位置及 flash code/boot code 版本 , show mod Foundry 設(shè)備操作手冊 Page 39 of 57 上海競天科技股份有限公司 show flash 4) reset # (#為需要換下的管理模塊槽位號 ) 5) reset 以后拔下故障管理模塊 6)安裝 /插入新管理模塊到原槽位 新舊管理模塊內(nèi)存數(shù)量是否一樣?如不一樣,則配置同步不過去, cpu 也會上升到 99% show ver 檢查內(nèi)存是否一樣 7)等待系 統(tǒng)文件同步以及新模塊啟動,業(yè)務(wù)會有短暫中斷。 8)同步 Boot 代碼(如果新模塊與主模塊不一樣) sync-standby boot 9) reset 新模塊 (讓同步后的 boot 代碼生效) reset # ( #為更換操作的槽位號) 10)檢查主備是否正常 show mod 10 配置文件上傳 見“ 8 ”軟件升級的第二步,你可以備份配置文件、 boot code 、flash code 文件到 tftp 服務(wù)器,也可以從 tftp 服務(wù)器下載到foundry 設(shè)備 11 數(shù)據(jù)備份 見“ 8 ”軟件升級的第二 步,你可以備份配置文件、 boot code 、Foundry 設(shè)備操作手冊 Page 40 of 57 上海競天科技股份有限公司 flash code 文件到 tftp 服務(wù)器。也可以從 tftp 服務(wù)器下載到foundry 設(shè)備 Foundry 設(shè)備操作手冊 Page 41 of 57 上海競天科技股份有限公司 第四部分 常用診斷命令 1 show flash show flash命令用于查看交換機存儲器中的啟動以及系統(tǒng)文件,能夠顯示出 Foundry交換機所存儲的兩套軟件代碼的版本號和文件名稱。顯示結(jié)果如下: #sh flash Active management module: Code Flash Type: AMD 29F032B, Size: 64 * 65536 = 4194304, Unit: 2 Boot Flash Type: AMD 29F040, Size: 8 * 65536 = 524288 Compressed Pri Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Compressed Sec Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Maximum Code Image Size Supported: 3866112 (0x003afe00) Boot Image size = 148856, Version 07.02.02 (m2b07202.bin) Standby management module: Code Flash Type: AMD 29F032B, Size: 64 * 65536 = 4194304, Unit: 2 Boot Flash Type: AMD 29F040, Size: 8 * 65536 = 524288 Compressed Pri Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Compressed Sec Code size = 3583481, Version 07.5.05uT53 (B2R07505u.bin) Maximum Code Image Size Supported: 3866112 (0x003afe00) Boot Image Version 07.02.02 (m2b07202.bin) 2 show version show version的主要作用是查看交換機當前運行的軟件版本 號,另外該命令中還可以查看許多其它的有用信息,可用于對模塊及交換機本身的物理診斷: #sh ver SW: Version 07.5.05uT53 Copyright (c) 1996-2002 Foundry Networks, Inc. Compiled on Nov 20 2003 at 03:30:23 labeled as B2R07505u (3583481 bytes) from Primary B2R07505u.bin HW: BigIron 8000 Router, SYSIF version 21 = SL 1: B8GMR Fiber Management Module, SYSIF 2, M3, ACTIVE Serial #: Non-exist. 4096 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 0, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 1, version 0209 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 2, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 3, version 0209 = SL 2: B8GMR Fiber Management Module, SYSIF 2, M3, STANDBY Foundry 設(shè)備操作手冊 Page 42 of 57 上海競天科技股份有限公司 Serial #: Non-exist. 4096 KB BRAM, SMC version 1, ICBM version 21 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 4, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 5, version 0209 512 KB PRAM(512K+0K) and 2048*8 CAM entries for DMA 6, version 0209 512 KB PRAM(512K+0K) and shared CAM entries for DMA 7, version 0209 = SL 3: B8G Fiber Switch Module Serial #: Non-exist. 2048 KB BRAM, SMC version 1, ICBM version 21 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 8, version 0209 256 KB PRAM(256K+0K) and shared CAM entries for DMA 9, version 0209 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 10, version 0209 256 KB PRAM(256K+0K) and shared CAM entries for DMA 11, version 0209 = SL 8: B24E Copper Switch Module Serial #: Non-exist. 2048 KB BRAM, SMC version 2, ICBM version 21 256 KB PRAM(256K+0K) and 2048*8 CAM entries for DMA 28, version 0808 256 KB PRAM(256K+0K) and shared CAM entries for DMA 29, version 0808 256 KB PRAM(256K+0K) and shared CAM entries for DMA 30, version 0808 = Active management module: 400 MHz Power PC processor 740 (version 8/8302) 66 MHz bus 512 KB boot flash memory 8192 KB code flash memory 256 KB SRAM 256 MB DRAM Standby management module: 400 MHz Power PC processor 740 (version 8/8302) 66 MHz bus 512 KB boot flash memory 8192 KB code flash memory 256 KB SRAM 256 MB DRAM The system uptime is 67 days 23 hours 16 minutes 14 seconds The system started at 16:16:28 GMT+00 Wed Dec 15 2004 The system : started=cold start 可以看到,在該命令中還顯示了交換機上各個模塊的類型、工作狀態(tài),各模塊 CAM表的大小,各管理模塊上的內(nèi)存大小,系統(tǒng)自上次啟動以后的 運行時間以及上次啟動的原因。 3 show module 該命令用來顯示交換機上的所有模塊類型及工作狀態(tài),在模塊工作不正常時應(yīng)首先用這個命Foundry 設(shè)備操作手冊 Page 43 of 57 上海競天科技股份有限公司 令來查看模塊的工作狀態(tài)。其輸出如下: #show module Module Status Ports Starting MAC S1: B8GMR Fiber Management Module, SYSIF 2 M3, ACTIV 8 0004.801d.7900 S2: B8GMR Fiber Management Module, SYSIF 2 M3, STAND 8 0004.801d.7920 S3: B8G Fiber Switch Module OK 8 0004.801d.7940 S4: 4 show chassis 是用來顯示交換機的機框、電源及風扇的工作狀態(tài),由于 Foundry交換機管理模塊內(nèi)部安裝有溫度傳感器,該命令還可以顯示交換機當前的運行溫度。 #sh chassis power supply 1 ok power supply 2 ok power supply 3 ok power supply 4 not present power supply 1 to 4 from bottom to top fan 1 ok fan 2 ok fan 3 ok fan 4 ok Current temperature : 28.5 C degrees Warning level : 45 C degrees, shutdown level : 55 C degrees Boot Prom MAC: 0004.801d.7900 5 show statistic 這個命令用于查看端口的流量狀態(tài),命令的輸出結(jié)果如下: Ethernet Packets Collisions Errors Port Receive Transmit Recv Txmit InErr OutErr 1/1 191302621930 0 0 0 1/2 164596840010 0 0 0 1/3 58461590567 30196047240 0 0 0 0 1/4 0 0 0 0 0 0 1/5 6928998284 2229892615 0 0 4343 0 1/6 64322816609 79423384951 99174 0 0 0 1/7 12251439173 3019624913 0 0 82 0 1/8 34325533689 4580070287 0 0 0 0 其中第一列是端口號,后面分別是累計的收發(fā)包數(shù)量、收發(fā)的沖突碰撞次數(shù)、收發(fā)的錯誤包數(shù)量。這個命令常用來檢查端口收發(fā)兩個方向的流量異常問題或物理鏈路問題。 Foundry 設(shè)備操作手冊 Page 44 of 57 上海競天科技股份有限公司 6 show interface brief 在故障診斷中,此命令也是一個常用命令,其輸出如下: #sh int b Port Link State Dupl Speed Trunk Tag Priori MAC Name 8/10 Up Forward Full 100M None Yes level0 0004.801d.79e9 To-7513 8/11 Up Forward Full 100M None No level0 0004.801d.79ea KangLeGongWangB 8/12 Up Forward Full 100M None Yes level0 0004.801d.7900 8/13 Up Forward Full 100M None Yes level0 0004.801d.7900 8/14 Up Forward Full 100M None Yes level0 0004.801d.7900 8/15 Up Forward Full 100M None Yes level0 0004.801d.7900 8/16 Up Forward Full 100M None No level0 0004.801d.79ef ShuiChanJu 8/17 Up Forward Full 100M None Yes level0 0004.801d.7900 8/18 Up Forward Full 100M None Yes level0 0004.801d.7900 8/19 Up Forward Full 100M None No level0 0004.801d.79f2 這個命令以摘要的形式將所有端口的有關(guān)狀態(tài)列了出來。第一列是端口號, link為 up表示端口物理上處于工作狀態(tài); state為 Forward表示端口處于數(shù)據(jù)轉(zhuǎn)發(fā)狀態(tài); Dupl表示端口工作在全雙工或半雙工狀態(tài); Speed表示端口的工作速率; Trunk表示該端口是否參與端口捆綁的配置; Priori為端口的優(yōu)先級;后面分別是端口的 MAC地址以及端口命名。 7 show interface 這個命令詳細地顯示了端口的各種配置參數(shù)和運行狀態(tài),提供了很多有用信息,因此在故障診斷中這個命令也能夠提供很大的幫助。該命令的顯示如下: #sh int e 8/11 FastEthernet8/11 is up, line protocol is up Hardware is FastEthernet, address is 0004.801d.79ea (bia 0004.801d.79ea) Configured speed auto, actual 100Mbit, configured duplex fdx, actual fdx Member of L2 VLAN ID 3013, port is untagged, port state is FORWARDING STP configured to ON, priority is level0, flow control enabled mirror disabled, monitor disabled Not member of any active trunks Not member of any configured trunks Port name is KangLeGongWangBa Internet address is 61/30, MTU 1500 bytes, encapsulation ethernet 300 second input rate: 338144 bits/sec, 352 packets/sec, 0.38% utilization 300 second output rate: 200120 bits/sec, 356 packets/sec, 0.25% utilization 689535 packets input, 84509354 bytes, 0 no buffer Received 0 broadcasts, 0 multicasts, 689535 unicasts 0 input errors, 0 CRC, 0 frame, 0 ignored 0 runts, 0 giants, DMA received 689536 packets Foundry 設(shè)備操作手冊 Page 45 of 57 上海競天科技股份有限公司 692478 packets output, 48538943 bytes, 0 underruns Transmitted 1722 broadcasts, 129 multicasts, 690627 unicasts 0 output errors, 0 collisions, DMA transmitted 692478 packets mtu: 1518 可以看到從該命令的輸出結(jié)果中能看到端口類型、工作狀態(tài)、端口名稱、端口速率及異常數(shù)據(jù)包的累計值等,可以為不同類型的故障提供診斷參考。 8 show cpu 這個命令也是最常用 的命令之一,因為大部分的交換機故障常會伴隨有 CPU利用率的異常。這個命令的顯示結(jié)果中分別列出了 1秒、 5秒、 1分鐘、 5分鐘內(nèi)的 cpu平均利用率,顯示如下: #sh cpu 13 percent busy, from 5041 sec ago 1 sec avg: 11 percent busy 5 sec avg: 11 percent busy 60 sec avg: 12 percent busy 300 sec avg: 12 percent busy 9 show log 交換機通常會將一些 告警信息或日志信息記錄在交換機內(nèi)存中,可以用 show log命令來查看這些信息,以判斷故障發(fā)生前后交換機上有哪些異常情況。 #sh log Syslog logging: enabled (0 messages dropped, 2 flushes, 3 overruns) Buffer logging: level ACDMEINW, 100 messages logged level code: A=alert C=critical D=debugging M=emergency E=error I=informational N=notification W=warning Dynamic Log Buffer (100 lines): Feb 21 15:47:19:I:startup-config was changed by linyiman from telnet client 36 Feb 21 15:43:26:I:linyiman login to USER EXEC mode Feb 21 15:39:13:I:Interface ethernet8/7, state up Feb 21 15:39:13:N:OSPF originate LSA, rid , area , LSA type 5, LSA id 8, LSA router id Feb 21 15:39:13:N:OSPF originate LSA, rid , area , LSA type 5, LSA id 4, LSA router id Feb 21 15:38:14:I:Interface ethernet8/7, state down 這里要說明的是, log中的時間要首先用 clock set命令來設(shè)置,或者配置使用 NTP服務(wù)來獲取時間;另外交換機缺省只保存 50條記錄,如果想增大這個數(shù)值,可以用 logging buffered XXX命令來設(shè)置,在新的軟件版本中最大可設(shè)置為 1000條。 Foundry 設(shè)備操作手冊 Page 46 of 57 上海競天科技股份有限公司 10 show tech show tech命令類似一個批處理命令,包含了以下幾個命 令功能: show configuration show version show interface show statistics show logging dm statistics dm save_area 這個命令是用來收集交換機當前的軟件和硬件信息,用戶在遇到故障而自己又無法診斷時,可將 show tech的輸出結(jié)果導出到文本文件(超級終端和 SecurCRT軟件都有此功能),供原廠商( dm系列的命令是原廠商用于診斷交換機的內(nèi)部命令)或者專業(yè)人員參考。 11 ping ping簡單易用,在診斷網(wǎng)絡(luò)連 通性(三層及以下)的故障時是非常有幫助的,常見的網(wǎng)絡(luò)故障大多數(shù)首先要通過 ping來進行定位和定性。 Foundry支持擴展 ping的功能,其支持的參數(shù)如下: ping source count timeout ttl verify no-fragment quiet data numeric size brief max-print-per-sec 其中常用的幾個參數(shù)有: source ping包使用的源 IP地址 count 連續(xù) ping的數(shù)據(jù)包個數(shù) size ping出的數(shù)據(jù)包大小,缺省是 16字節(jié) 12 traceroute 同 ping一樣, traceroute也是網(wǎng)絡(luò)排錯(尤其是路由問題)中較常使用的一個命令??梢愿鶕?jù)其輸出結(jié)果,驗證數(shù)據(jù)包在到達目的地之前經(jīng)過哪些路由設(shè)備,或者被哪個設(shè)備丟棄。 13 show mac 查看交換機當前的 MAC地址列表。 #show mac Total active entries from all ports = 2209 MAC Address Port Age DMA Valid Flags VLAN DMA:CAM Index . 00e0.4cdc.8c3c 4/12 90 00000000-0000700c 3014 2:11993 12:11232 0050.1822.8877 4/9 85 00000000-0000700c 3004 2:10447 12:11942 000a.ebce.6bc3 4/12 65 00000000-0000700c 3014 2:12166 12:12018 Foundry 設(shè)備操作手冊 Page 47 of 57 上海競天科技股份有限公司 00d0.f850.888d 2/1 0 00000000-0000003c 3054 2:11075 4:11339 注意該命令前面列出了交換機上當前總共學習到的 MAC地址數(shù)量, Foundry交換機缺省最多可以學習 8000個 MAC地址。 14 show mac statistic 查看交換機上各個端口的 MAC地址分布情況。 #sh mac statistic Total entries = 3695 Port MAC Address Count: = Slot Ports 1 1 2 3 4 5 6 7 8 77 1 1457 0 1 140 2019 0 = Slot Ports 2 1 2 3 4 5 6 7 8 0 0 0 0 0 0 0 0 15 show mac e x/x 查看某個物理端口上學習到的 MAC地址列表。 #sh mac e 1/2 Total active entries from slot/port 1/2 = 5 MAC Address Port Age DMA Valid Flags VLAN DMA:CAM Index . 00e0.fc37.e831 1/2 0 00000000-0000000f 2006 0:10270 2:10392 0009.b68b.ed18 1/2 0 00000000-00000003 2003 0:10267 0004.8010.df00 1/2 0 00000000-00000003 129 0:10268 00e0.fc37.e831 1/2 0 00000000-00000003 2003 0:10272 0004.8010.df00 1/2 263 00000000-00000000 1981 16 show mac vlan x 查看交換機通過某個 VLAN中學習到的 MAC地址列表。 #sh mac vlan 106 Total active entries from all ports = 2201 MAC Address Port Age DMA Valid Flags VLAN DMA:CAM Index . 00e0.5211.ab80 2/1 0 00000000-00000030 106 4:10439 00e0.5211.ae8c 2/1 191 00000000-00000000 106 00e0.5211.ab9a

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論