directed-broadcast 定向广播
默认,路由器丢弃广播
但有些应用需要路由器转发广播,例如:DHCP服务器在远程网络
接口上手工开启转发广播的功能
accesslist 10 permit any
interface f0/0
ip directed-broadcast 10
广播转发到哪里呢?
例子:本地10.1.1.0/24 广播为10.255.255.255 , DHCP服务器地址 192.168.1.100/24
dhcp服务器网段的广播地址为192.168.1.255 ,所以要在接口上定义 转发到哪里
单播转发给DHCP服务器
intface f0/0
ip helper-address 192.168.1.100
但有些应用需要路由器转发广播,例如:DHCP服务器在远程网络
接口上手工开启转发广播的功能
accesslist 10 permit any
interface f0/0
ip directed-broadcast 10
广播转发到哪里呢?
例子:本地10.1.1.0/24 广播为10.255.255.255 , DHCP服务器地址 192.168.1.100/24
dhcp服务器网段的广播地址为192.168.1.255 ,所以要在接口上定义 转发到哪里
单播转发给DHCP服务器
intface f0/0
ip helper-address 192.168.1.100
*接口默认只转发通过的协议 (没有的协议默认不转发,自己加协议和端口号)
TFTP 69 DNS 53 TS 37 NNS 137 NDS 138 BPCSD67 68 TS 49
TFTP 69 DNS 53 TS 37 NNS 137 NDS 138 BPCSD67 68 TS 49
R1(config)ip forward-protocol udp 3001
————————————————————————————
DHCP
windows主机使用DHCP获取地址时: 先发一个广播,等待1秒没应答,发送第二个,等9秒无应答发送第三个,
等待13秒无应答发送最后一个,等待16秒后,四个广播包都没应答,放弃请求
网卡自动配一个私有IP(169.254.0.0/16网段),网卡图标黄色感叹号(受限制连接),此时出现DHCP服务器也救不
了这台主机
CISCO做DHCP客户端,会一直等待。直到出现DHCP服务器分一个IP, 有使用限制的,租约时间。时间过去一半时
续约,续约不成的话,75%再续约,还不成就放弃使用此地址
DHCP
windows主机使用DHCP获取地址时: 先发一个广播,等待1秒没应答,发送第二个,等9秒无应答发送第三个,
等待13秒无应答发送最后一个,等待16秒后,四个广播包都没应答,放弃请求
网卡自动配一个私有IP(169.254.0.0/16网段),网卡图标黄色感叹号(受限制连接),此时出现DHCP服务器也救不
了这台主机
CISCO做DHCP客户端,会一直等待。直到出现DHCP服务器分一个IP, 有使用限制的,租约时间。时间过去一半时
续约,续约不成的话,75%再续约,还不成就放弃使用此地址
配置 R1—–R2
R2(config)service dhcp
ip dhcp pool ccie1
network 10.1.1.0 255.255.255.0 可供客户使用的地址段
default-router 10.1.1.1 网关
dns-server 10.1.1.1 10.1.1.2 DNS
ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1到10.1.1.10的地址
lease 1 1 1 租约1天1小时1分钟
客户端
int f0/1
ip address dhcp
*服务器从哪个接口受到请求,就将相同网段地址发给客户端,如果没有相同网段就丢弃请求包
————————————————————————————
DCHP中继
10.1.1.0/24 23.1.1.0/24 34.1.1.0/24
R1————-R2————-R3————–R4
client server
R1发送广播请求DHCP服务器,但R2默认丢弃广播,R4收不到请求广播
解决:DHCP中继,让R2单播发送给R4
R2
interface f0/0
ip helper-address 34.1.1.4
R4
service dhcp
ip dhcp pool ccie1
network 10.1.1.0 255.255.255.0
default-router 10.1.1.2 (R2)
ip dhcp excluded-address 10.1.1.1 10.1.1.10
ip dhcp pool ccie2
network 34.1.1.0 255.255.255.0
default-router 34.1.1.4
ip dhcp excluded-address 34.1.1.1 34.1.1.10
*为什么不将接受请求的接口网段地址发给客户端?
因为一个option82选项 在中继后自动添加
dhcpd:setting giaddr to 10.1.1.1
————————————————————————————
DCHP中继
10.1.1.0/24 23.1.1.0/24 34.1.1.0/24
R1————-R2————-R3————–R4
client server
R1发送广播请求DHCP服务器,但R2默认丢弃广播,R4收不到请求广播
解决:DHCP中继,让R2单播发送给R4
R2
interface f0/0
ip helper-address 34.1.1.4
R4
service dhcp
ip dhcp pool ccie1
network 10.1.1.0 255.255.255.0
default-router 10.1.1.2 (R2)
ip dhcp excluded-address 10.1.1.1 10.1.1.10
ip dhcp pool ccie2
network 34.1.1.0 255.255.255.0
default-router 34.1.1.4
ip dhcp excluded-address 34.1.1.1 34.1.1.10
*为什么不将接受请求的接口网段地址发给客户端?
因为一个option82选项 在中继后自动添加
dhcpd:setting giaddr to 10.1.1.1
服务器要有到10.1.1.0的路由
R4 ip route 10.1.1.0 255.255.255.0 34.1.1.3
不同vlan分配不同ip
不同地址池
interface vlan 10
ip helper-address X.X.X.X
————————————————————————————
IP与MAC地址绑定
只有相应的MAC地址才能获取相应IP
为一个ip单独创建地址池 host pool
R4 ip route 10.1.1.0 255.255.255.0 34.1.1.3
不同vlan分配不同ip
不同地址池
interface vlan 10
ip helper-address X.X.X.X
————————————————————————————
IP与MAC地址绑定
只有相应的MAC地址才能获取相应IP
为一个ip单独创建地址池 host pool
ip dhcp pool ccie
host 10.1.1.100/24
client-indetifier 01aa.bbcc.ddee.ff *MAC前加01表示以太网
————————————————————————————
DHCP安全ARP
R3 DHCP server
|10.1.1.1
|
|
|
SW———R2 欺骗者
| 冒充10.1.1.2
|
|
|10.1.1.2
R1 DHCP client
R1的ip和mac绑定了,R3正好刷新了MAC表
R1断开了 R2冒充
定期ARP讯问 10.1.1.2 是否还存在 ,只有R1能回答
host 10.1.1.100/24
client-indetifier 01aa.bbcc.ddee.ff *MAC前加01表示以太网
————————————————————————————
DHCP安全ARP
R3 DHCP server
|10.1.1.1
|
|
|
SW———R2 欺骗者
| 冒充10.1.1.2
|
|
|10.1.1.2
R1 DHCP client
R1的ip和mac绑定了,R3正好刷新了MAC表
R1断开了 R2冒充
定期ARP讯问 10.1.1.2 是否还存在 ,只有R1能回答
两个feature
update arp 地址池下开启,定期讯问客户端
Authorized ARP 接口下开启,禁止通过ARP更新和学习MAC地址
配置
ip dhcp pool ccie
update arp
update arp 地址池下开启,定期讯问客户端
Authorized ARP 接口下开启,禁止通过ARP更新和学习MAC地址
配置
ip dhcp pool ccie
update arp
interface f0/0
arp authorized 禁止动态更新ARP
arp timeout 60 60秒无应答删除ARP条目
————————————————————————————
DHCP监听 (禁止不合法的DHCP服务器提供服务,在交换机上完成)
10.1.1.1
R1————-SW————-R3————Internet
client | server
|
|20.1.1.1
R2
冒充DHCP server
arp authorized 禁止动态更新ARP
arp timeout 60 60秒无应答删除ARP条目
————————————————————————————
DHCP监听 (禁止不合法的DHCP服务器提供服务,在交换机上完成)
10.1.1.1
R1————-SW————-R3————Internet
client | server
|
|20.1.1.1
R2
冒充DHCP server
R2冒充服务器发20.1.1.0/24的地址 * DHCP用先到的地址 , arp用后到的
配置
SW ip dhcp snooping
ip dhcp snooping vlan 1
将连接真正DHCP服务器的接口变为信任接口 (默认都为不信任接口)
interface f0/0
ip dhcp snooping trust
*只有信任接口可以应答DHCP请求,其他接口丢弃
配置
SW ip dhcp snooping
ip dhcp snooping vlan 1
将连接真正DHCP服务器的接口变为信任接口 (默认都为不信任接口)
interface f0/0
ip dhcp snooping trust
*只有信任接口可以应答DHCP请求,其他接口丢弃
还得让R3对giaddr为 0.0.0.0的请求做应答(SW开启DHCP snooping后默认开启中继)
* R3 ip dhcp relay information trusted
————————————————————————————
ip accounting 记账
记录通过路由器的流量
*只能记录从接口出去的流量!!
*只记录转发的流量 (自己发出去和发给自己的流量,不能记录)
interface f0/0
ip accounting
————————————————————————————
NetFlow
在ip accounting基础上增加附加功能,不仅可以看到数据量,还能记录出协议
配置条件:
开启路由功能
开启CEF
基于接口开启
R1 interface f0/0
ip flow ingress
————————————————————————————
ip accounting 记账
记录通过路由器的流量
*只能记录从接口出去的流量!!
*只记录转发的流量 (自己发出去和发给自己的流量,不能记录)
interface f0/0
ip accounting
————————————————————————————
NetFlow
在ip accounting基础上增加附加功能,不仅可以看到数据量,还能记录出协议
配置条件:
开启路由功能
开启CEF
基于接口开启
R1 interface f0/0
ip flow ingress
定义远程采集主机(最多两台)
ipflow-export destination 10.1.1.2 9991 定义远程ip地址,设备将抓取远程主机通过的数据包(默认端口UDP 9991)
ipflow-export destination 10.1.1.2 9991 定义远程ip地址,设备将抓取远程主机通过的数据包(默认端口UDP 9991)
ip flow-export source f0/0 配置数据包源地址
ip flow-export ver 9 全局定义NETFLOW版本
ip flow-export ver 9 全局定义NETFLOW版本
————————————————————————————
GLBP
组IP映射到多个MAC, 所有成员都能为用户提供数据转发,实现负载均衡
GLBP
组IP映射到多个MAC, 所有成员都能为用户提供数据转发,实现负载均衡
组内成员间有HELLO(3S)交流,组播地址224.0.0.12 ,UDP 3222
选择一台路由器做 active virtual geteway AVG, 其他路由器做AVG备份
选择一台路由器做 active virtual geteway AVG, 其他路由器做AVG备份
AVG任务:为各成员分配虚拟MAC
为用户转发数据的路由器 称 AVF
为用户转发数据的路由器 称 AVF
AVG也是AVF
配置
interface F0/1
glbp 10 ip 10.1.1.100 组10 虚拟ip 10.1.1.100
glbp 10 priority 200 优先级200 使其成为AVG, 默认100
glbp 10 preempt 配置抢占
glbp 10 weighting 200 配置权重,影响分担流量
glbp 10 weighting track 1 decrement 30 配置监控信息
show glbp
配置
interface F0/1
glbp 10 ip 10.1.1.100 组10 虚拟ip 10.1.1.100
glbp 10 priority 200 优先级200 使其成为AVG, 默认100
glbp 10 preempt 配置抢占
glbp 10 weighting 200 配置权重,影响分担流量
glbp 10 weighting track 1 decrement 30 配置监控信息
show glbp
配置GLBP认证
interface f0/0
glbp 10 authentication MD5 key-string cisco
interface f0/0
glbp 10 authentication MD5 key-string cisco
————————————————————————————
SLA
测量网络延迟和性能
SLA
测量网络延迟和性能
R1———R2 ———–R3
测 R1 到R3
R1(config)ip sla monitor 1 定义会话号码 1
type tcp-connect dest-ipaddr 23.1.1.3 dest-port 23 source-ipadde 12.1.1.1
定义数据类型为TCP 23
frequency 60 定义频率 60秒一次
ip sla monitor schedule 1 start-time now life forever 定义会话发起时间为现在,无人工干预永不停止
type tcp-connect dest-ipaddr 23.1.1.3 dest-port 23 source-ipadde 12.1.1.1
定义数据类型为TCP 23
frequency 60 定义频率 60秒一次
ip sla monitor schedule 1 start-time now life forever 定义会话发起时间为现在,无人工干预永不停止
R3 ** ip sla monitor responder
show ip sla monitor statistics
show ip sla monitor statistics
—————————————————————————————————–
NTP
stratum 时间精准度高低。 stratum越小 ,精准度越高 默认8
NTP
stratum 时间精准度高低。 stratum越小 ,精准度越高 默认8
cisco既可作NTP 客户端,也可以做NTP服务器端
服务器
先配时区,再配时间
先配时区,再配时间
R1(config) clock timezone GMT +8
R1#clock set 20:20:00 1 oct 2008
* R1(config) ntp master 5 stratum为5
* R1(config) ntp source loopback 0 配置NTP数据包源地址
R1(config) ntp authenticate 开启认证
R1(config) ntp authentication-key 1 md5 cisco 定义KEY1密码
* R1(config) ntp trusted-key 1 使用key1
R1#clock set 20:20:00 1 oct 2008
* R1(config) ntp master 5 stratum为5
* R1(config) ntp source loopback 0 配置NTP数据包源地址
R1(config) ntp authenticate 开启认证
R1(config) ntp authentication-key 1 md5 cisco 定义KEY1密码
* R1(config) ntp trusted-key 1 使用key1
show clock
NTP client
R3(config) ntp server 10.1.1.1
R3(config) clock timezone GMT +8
R3(config)ntp update-calendar 更新硬件时钟
R3(config)ntp authenticate 开启认证
R3(config)ntp authentication-key 1 md5 cisco
R3(config)ntp trusted-key 1
* R3(config)ntp server 10.1.1.1 key 1 打开对服务器的密码使用,发送给服务器的数据携带密码
show ntp status
—————————————————————————————————
Syslog and local logging
Syslog and local logging
logging 记录设备上发生的事件
事件有等级之分 0 1 2 3 4 5 6 7 八个级别。 指定5,那么0到5 都会记录
0表示最严重事件
将事件记录到设备本地存储器中,称为buffered ,也可以记录在远程服务器
事件有等级之分 0 1 2 3 4 5 6 7 八个级别。 指定5,那么0到5 都会记录
0表示最严重事件
将事件记录到设备本地存储器中,称为buffered ,也可以记录在远程服务器
记录在远程,设备无法控制服务器大小
记录在本地可以定义存储器空间 默认4096bytes(自上而下,由老到新)
记录在本地可以定义存储器空间 默认4096bytes(自上而下,由老到新)
需手工告诉设备将时间写出本地时间
R1(config)logging on 开启logging服务 (默认开启)
R1(config)logging buffered 开启本地记录
R1(config)logging buffered 9090 制定本地存储器空间大小 Byte
R1(config)logging buffered errors 定义存储日志级别 3 记录0 到3 (默认7 debugging)
R1(config)logging console 定义console下弹出日志
R1#terminal monitor 定义telnet方式登录设备时也能看到弹出日志(默认关闭)
R1(config)logging monitor errors 定义传到telnet下的事件等级为3 errors
R1(config)service timestamps log datetime msec show-timezone localtime 定义时间 (默认非本地)
syslog
将事件记录到远程服务器上
定义服务器ip,
知道远程存储类型,称为facility local0 local1 local2 local3 local4 local5 local6 local7
八个类型 默认 local
R1(config)logging host 10.1.1.1 定义远程服务器ip
R1(config)logging facility local6 定义远程存储类型local6
R1(config)logging trap 7 定义发生到远程服务器事件等级 默认6
R1(config)logging on 开启logging服务 (默认开启)
R1(config)logging buffered 开启本地记录
R1(config)logging buffered 9090 制定本地存储器空间大小 Byte
R1(config)logging buffered errors 定义存储日志级别 3 记录0 到3 (默认7 debugging)
R1(config)logging console 定义console下弹出日志
R1#terminal monitor 定义telnet方式登录设备时也能看到弹出日志(默认关闭)
R1(config)logging monitor errors 定义传到telnet下的事件等级为3 errors
R1(config)service timestamps log datetime msec show-timezone localtime 定义时间 (默认非本地)
syslog
将事件记录到远程服务器上
定义服务器ip,
知道远程存储类型,称为facility local0 local1 local2 local3 local4 local5 local6 local7
八个类型 默认 local
R1(config)logging host 10.1.1.1 定义远程服务器ip
R1(config)logging facility local6 定义远程存储类型local6
R1(config)logging trap 7 定义发生到远程服务器事件等级 默认6
—————————————————————————————————–
FTP&TFTP
配置FTP服务器 (需要IOS支持)
router(config) ftp-server enable 开启ftp功能
router(config)ftp-server topdir flash:abc.bin 指定ftp共享目录
FTP&TFTP
配置FTP服务器 (需要IOS支持)
router(config) ftp-server enable 开启ftp功能
router(config)ftp-server topdir flash:abc.bin 指定ftp共享目录
将cisco设备配置为FTP client
router(config)ip ftp username ccie
router(config)ip ftp password cisco
router(config)ip ftp username ccie
router(config)ip ftp password cisco
配置为TFTP服务器
router(config)tftp-server flash:abc.bin
router(config)tftp-server flash:abc.bin
—————————————————————————————————–
SNMP
SNMP工作在网络设备和网络管理软件之间
配置了SNMP的设备称 SNMP代理
装了管理软件的主机 称为 SNMP管理
SNMP代理将自己的状态信息发送给SNMP管理, SNMP管理将信息以图形化界面汇报给用户.
SNMP管理上相关软件 称NMS 网络管理系统
SNMP
SNMP工作在网络设备和网络管理软件之间
配置了SNMP的设备称 SNMP代理
装了管理软件的主机 称为 SNMP管理
SNMP代理将自己的状态信息发送给SNMP管理, SNMP管理将信息以图形化界面汇报给用户.
SNMP管理上相关软件 称NMS 网络管理系统
SNMP代理使用UDP 162 ,SNMP管理使用UDP 161
一个完整的SNMP包含三个组件
1.SNMP代理
2.SNMP管理
3.MIB
一个完整的SNMP包含三个组件
1.SNMP代理
2.SNMP管理
3.MIB
MIB : SNMP代理的所有信息,全部存储在MIB里,发给SNMP管理
SNMP代理使用两种数据包发MIB:1.trap 2.informs
区别: trap :当设备发生各种事件后,产生的MIB,SNMP代理主动发给NMS,不需要NMS请求,不需确认,发完立
即删除
informs :但发生事件后,不会主动通告,除非NMS发request查询,发完存在内存里。需要确认。更可靠
即删除
informs :但发生事件后,不会主动通告,除非NMS发request查询,发完存在内存里。需要确认。更可靠
网络管理员还可以通过NMS来更改设备配置,查询设备信息,发送GET ,更改设备配置称为SET
——————————————————————————————-
SNMP版本
三个版本 :V1 V2 V3
验证方式不同:
V1,V2: 使用密码(密码分权限 community),还可以通过ACL
V3:提供用户名密码的方式 支持MD5
MIB
接口信息在MIB中分三类:
1.ifindex(接口索引),是接口在MIB中区分的唯一性方法
2.ifalias(接口别名) 用户给接口定义的名称
3.ifname (接口名) 接口原名
SNMP版本
三个版本 :V1 V2 V3
验证方式不同:
V1,V2: 使用密码(密码分权限 community),还可以通过ACL
V3:提供用户名密码的方式 支持MD5
MIB
接口信息在MIB中分三类:
1.ifindex(接口索引),是接口在MIB中区分的唯一性方法
2.ifalias(接口别名) 用户给接口定义的名称
3.ifname (接口名) 接口原名
Event MIB (MIB事件)
MIB认为设备上的软硬件在多大的范围内变化可被认为是事件发生,采集方法分三种:
MIB认为设备上的软硬件在多大的范围内变化可被认为是事件发生,采集方法分三种:
absolute pampling 绝对采集
delta sampling 相对采集
changed sampling 变化采集
配置
R1(config) access-list 10 permit 10.1.1.2 只有10.1.1.2 才能访问
R1(config)snmp-server community cisco rw 10 ACL10 通过的主机 密码cisco 权限 读写
R1(config)snmp-server enable traps bgp 配置trap(也可用informs代理)记录BGP事件,无BGP
记录所有事件
R1(config)snmp-server host 10.1.1.100 version 2c cisco bgp (必须已配置trap)
配置主机10.1.1.100使用密码cisco 并且向主机发送BGP事件,SNMP版本为2c
//配完trap后,相应事件不会对SNMP管理反馈,必须手工指定
changed sampling 变化采集
配置
R1(config) access-list 10 permit 10.1.1.2 只有10.1.1.2 才能访问
R1(config)snmp-server community cisco rw 10 ACL10 通过的主机 密码cisco 权限 读写
R1(config)snmp-server enable traps bgp 配置trap(也可用informs代理)记录BGP事件,无BGP
记录所有事件
R1(config)snmp-server host 10.1.1.100 version 2c cisco bgp (必须已配置trap)
配置主机10.1.1.100使用密码cisco 并且向主机发送BGP事件,SNMP版本为2c
//配完trap后,相应事件不会对SNMP管理反馈,必须手工指定
R1(config)snmp trap link-status 监控接口状态
R1(config)snmp-server system-shutdown 配置NMS重启设备的权限(默认不可以通过NMS重启设备)
R1(config)snmp-server ifindex persist 接口与MIB绑定
R1(config)snmp mib persist MIB所有信息均绑定
No comments:
Post a Comment