- 博客(44)
- 资源 (2)
- 收藏
- 关注
RSS订阅
原创 推荐的网站(持续更新)
因特网参考文献和文档资料:RFC:1.http://www.networksorcery.com/2.http://www.ietf.org/rfc.htmlBGP AS分配1.http://www.cidr-report.org/as6447/autnums.html
2013-09-04 08:35:24
1250
原创 基于控制层面的host子层面进行流量控制
要求:1。目标地址是本地的telnet流量进行限制队列中的个数最多为5,超过丢弃2.。过滤去往网管端口tcp22的ssh流量,过滤去往closed-ports的流量hostname fw!ip cef! username admin password 0 cisco ! class-map type queu
2013-09-27 23:38:53
739
原创 cisco netflow配置
概述在需要对Cisco设备上查看数据的流量传输情况的时候,我们可以用到的技术是IP Accounting,但是可以看出这个技术记录出的流量是非常简洁的,只能看到数据包的量,却看不到数据包的协议。下面有一项技术在IP Accounting的基础上增加了一些有用的附加功能,它不仅能记录数据的数量,并且还可以记录出协议等信息,这就是NetFlow。Cisco开发的NetFlow共4个版本,分别是
2013-09-27 13:31:12
8510
原创 cisco fpm技术
最近浏览cisco网站,注意到了cisco ios 12.4.15T系列中推出了新的FPM技术。我先来简单的介绍一下cisco fpm技术。fpm技术在cisco iso 12.4.4T中已经推出,在cisco iso 12.4.4T之前,fpm能够检测IP包的前256byte中的最多32byte的数据,检测出与配置相符合的数据,你可以选择丢弃或者允许通过或者 log,当然还有其他功能,这里不一一
2013-09-26 17:54:44
997
原创 关于GRE的思考
gre的设计很巧妙,就是利用可达的地址建立一个通道,来传输不可达的报文。可以理解为:我们本地A想去远方不知道的目标地址c,只要到达一个可达的也知道目的地的路由器b就行,这就说明,ab之间的链路不需要传输bc之间的部分路由,而bc之间也不需要了解ab之间的组成,只要a能到达b,b能到达目的c就完美路由,提供了一种端到端的传输方式,个人认为这就好像在逐跳行为的基础上,建立了一种跨越多跳的机制,以后我们
2013-09-25 00:01:40
647
原创 ripv1汇总问题
ripv1对于与传播链路相同主类相同主网不同子网的不同掩码长度的条目是不会宣告的,例如,传播链路的前缀是1.1.2.0/24,但另一个接口子网是1.2.1.0/16,则这条链路是不会被通告的,但是2.2.3.0,172.16.0.0,这样,与传播链路不同主网,或者不同主类的前缀,不管掩码长度多少,会被汇总后通告。而1.1.4.0/24这样与传播链路相同主类相同主网,不同子网,但掩码长度相同的,会被
2013-09-24 23:24:43
2407
原创 Cisco 命令:ipbroadcast-address
该接口级命令用来设置所在接口的子网全网广播地址,默认是255.255.255.255,正常情况下,我们ping 255.255.255.255,子网内所有注意会回复icmp,如果我们在多路访问网络不同的路由器接口上设置了非默认值,从某一台路由器ping这个“广播地址“,凡是在接口上配置全网广播地址是这个地址的,都会回复icmp,我么可以理解,这个命令来划分具有不同全网广播地址的接口分组,例如一部分
2013-09-24 19:25:00
3370
转载 深入浅出VMware的组网模式
大家都知道VMWare的三种组网模式,分别为Bridge,NAT,Host-Only。VMWare认为使用这三种组网模式则可以搭建出任意的网络拓扑了,事实上也正是如此。如果你对网络很精通,那么应该很容易就可以理解VMWare的网络配置模式,然而即使如此,VMWare由于只是一个虚拟机,没有形象的拓扑展示出来。本文简单的给出三种组网模式的形象化的图示,另外,VMWare的帮助文档中也有相当详细的介绍
2013-09-23 21:08:29
701
原创 BGP Outbound Route Filtering (ORF)理论
【基本知识】1、BGP出站路由过滤概述BGP出口路由过滤功能,以最大限度地减少对等路由器之间发送的BGP更新的数量。该功能,可以帮助减少过滤掉不必要的路由更新以及源路由更新的生成和处理所需的资源量。例如,这个功能可以使用,以减少处理路由条目的数量量,不接受那些来自ISP的不完整的路由。2、BGP出口路由过滤的前提条件在路由器可以发送或接收ORF公告、BGP出口路由过滤功
2013-09-22 19:33:56
2448
转载 BGP交换前缀列表的出口路由过滤"ORF"技术
BGP交换前缀列表的出口路由过滤"ORF"技术拓扑:R5------------R7R5用2个回环口模拟子网(5.5.5.5/32和 55.55.55.55/32)R7用2个回环口模拟子网(7.7.7.7/32和77.77.77.77/32)R5和R7之间是192.168.25.x/24R5的AS号为5R7的AS号为7实验目的:要过滤r7的77.77.77.77
2013-09-21 23:49:41
1433
原创 使用MQC配置NBAR
配置NBAR的步骤和命令如下所示。(1)如果需要,从思科网站下载PDLM文件,并把它存放在Flash内存中。(2)启用快速转发特性。NBAR需要CEF支持。Router(config)# ip cef (3)加载PDLM文件到内存中。Router(config)# ip nbar pdlm flash://directory/file-name direct
2013-09-20 20:20:25
1030
翻译 cisco qos table-map
show table-mapTo display the configuration of a specified table map or all table maps, use the show table-map command in EXEC mode.show table-map table-map-nameSyntax Description
2013-09-20 12:05:48
1578
转载 手机上网的秘密
现在的智能手机都带有3G功能和WIFI功能,默认起作用的是WIFI。为何接入WIFI后,3G就能停用呢?实际上并没有被停用,改变的只是默认路由而已,3G分组网络依然存在。有一种现象可以揭示它,比如你接入了公司内部的一个WIFI热点,而该WIFI只是一个内部网络,无法接入互联网,此时你的手机显示在使用WIFI而不是3G,然而此时你依然能获得MZone,QQ,微信等应用为你推送的信息,如果3G分组网络
2013-09-18 22:55:05
741
原创 cisco 路由器配置dhcp和中继理需要注意的问题
I、需要注意的是路由器连接到交换机的端口需要配置ip dhcp relay information trusted,否则客户端将无法得到IP地址。 这是因为交换机配置了(默认情况)ipdhcp snooping information option,此时交换机会在客户端发出的DHCP请求报文中插入选项82信息。另一方面由于DHCP服务器(这里指Cisco IOS DHCP服务器)与客户端
2013-09-18 18:43:42
2571
原创 与ip route-cache 相关的命令解释
利用ip route-cache这个接口配置命令,可以为IP路由控制对高速交换缓存的使用。为了禁用下面这些交换模式,可以利用该命令的“no”格式。ip route-cache [cbus]no ip route-cache [cbus]ip route-cache same-interfaceno ip route-cache same-interfaceip route-ca
2013-09-18 11:14:00
4247
原创 Cisco nat inside接口,outside接口,nvi接口的区别
r2上,e0/0为outside,e0/1为inside,使用ip nat outside sour static 1.1.1.1 202.100.1.5将outside的1.1.1.1 转换成inside的202.100.1.5,但由于数据包先经过了outside,outside接口是pre-routing性质,因此会先做nat后路由,去包没什么问题,回包由于先路由,以转换后的全局目标地址寻找回
2013-09-16 20:53:27
5055
转载 TCP协议的部分解析
说明:1).本文以TCP的发展历程解析容易引起混淆,误会的方方面面2).本文不会贴大量的源码,大多数是以文字形式描述,我相信文字看起来是要比代码更轻松的3).针对对象:对TCP已经有了全面了解的人。因为本文不会解析TCP头里面的每一个字段或者3次握手的细节,也不会解释慢启动和快速重传的定义4).除了《TCP/IP详解》(卷一,卷二)以及《Unix网络编程》以及Linux源代码之外,
2013-09-16 19:33:30
1601
转载 彻底理解Cisco NAT内部的一些事
为了配一条NAT,发生了很多事。一.Inside和Outside很多在Cisco配置过NAT的人都有过一个疑问,那就是inside和outside的区别!以下是Cisco官方文档上关于NAT执行顺序的说明:注意红色和蓝色圈住的部分,对于inside-outside而言,NAT发生在路由之后,而对于outside-inside而言,NAT发生在路由之前。这是目前为止,我们唯一需要
2013-09-16 19:29:12
3696
1
原创 简单实现内网主机通过防火墙nat回环路由实现安全互访
对指定的主机做单一静态nat映射,访问相同内网主机时,使用目的主机的全局地址,可以实现在防火墙出接口先将数据包交由ISP边缘路由器,再返回给防火墙的特殊效果。可能需要点到点链路子网掩码不同从而达到效果(防火墙/出接口掩码小于对端接口掩码),但模拟器在两端掩码相同的情况下仍然出现了相同的nat回包路由效果。
2013-09-16 10:30:32
6294
原创 cisco后退桥接和IRB的原理
fallback bridge将svi和路由接口划入同一个桥接组,实现同一个桥接组之间不可路由流量在这些接口之间转发,而后退桥接这种情况可路由流量不能桥接,这时由于是桥接不可路由流量,所以这些svi和路由接口不必配置ip。且每个svi下对应的逻辑子网生成树实例是可以被桥接的,就是说,一个实例跨越了路由域或者桥接域,但这使生成树排错增加了难度,官方不建议这样配置。每一个桥接组对应一个bvi,通过可路
2013-09-16 10:24:39
2485
转载 在Catalyst 2948G-L3交换机上使用BVI配置IP上行链路重定向功能
介绍Catalyst 2948G-L3交换机IP上行链路重定向功能将在高速以太网接口接收的业务重定向至某个千兆以太网接口。当业务来源于高速以太网接口上的某个主机而前往另一个高速以太网接口上的主机时,2948G - L3交换机将该业务重定向至千兆以太网接口而非直接在这两个高速以太网接口之间对该业务进行路由。IP上行链路重定向功能使服务供应商能够向不同客户(例如对于网络主机)提供高
2013-09-15 18:56:10
1267
翻译 Configuring IP Uplink Redirect on Catalyst 2948G-L3 Switches
IntroductionThis document provides a sample configuration for the IP uplink redirect feature on the Catalyst 2948G-L3 switch. Enabling IP uplink redirect restricts devices connected to the Fast Ethe
2013-09-15 18:43:55
1284
转载 Cisco IRB BVI
Cisco路由器提供集成的路由与桥接(Integrated Routing and Bridging,IRB)功能。当配置了IRB后,不可路由的协议数据流可以在配置为相同网桥组的端口上实现桥接交换,同时可以路由的协议数据流则在其他的路由端口或不同的网桥组之间实现路由。 这里提到了一个概念,即网桥组(Bridge-Group)。要实现不同的端口之间的桥接交换,必须将这些端口归到同一个网桥组当
2013-09-15 16:23:07
4060
原创 Cisco IOS Zone-Based Firewall
要求:outbound流量:1。监控http/smtp/telnet/ICMP协议2. 限制tcp三次握手必须在15秒内完成3.进行半开连接限制(high:1000/low:800)inbound 流量:1,放行访问内部服务器的http流量2.进行半开连接限制(high:100/low:80)简单配置:******************************
2013-09-11 14:36:37
1699
原创 ospf virtrual-link 传递区域和area 0 的汇总问题
根据RFC2328,骨干区域的汇总条目将不允许出现在virtraul-link的传递区域中,abr1 和abr2 之间建立了虚链路,上图中 area0 的区域汇总不允许出现在area 20中,这是因为如果启用了虚链路,abr2实际就变成了Area0 和area 30的边界路由器,即,abr2实际也是区域0的一部分,因此需要有区域0中所有的LSA条目,也就是说,一个区域内的osfp路由器的lsa应该
2013-09-07 01:00:11
3184
1
原创 ntp 简单配置
server:(config)#clock timezone GMT +8 /*必须先配置时区,后配置时间*/#clock set 12:00:00 1 may 2012(config)#ntp authentication-key 1 md5 cisco /*创建key认证*/(config)#ntp authenticate /*启用认证*/(config)#
2013-09-06 13:09:43
1176
原创 rip,null0静态汇总路由以及路由进程中network选项的小问题
null0静态路由在启用rip之前就存在,则rip可以正常通告,如果启用rip之后添加汇总的null0静态路由,则rip会将这条汇总通告成16跳,即不可达(可以在源端debug ip rip查看),解决办法可以先禁用rip之后,添加静态,再启用,或者将静态路由的下一跳改成可达的ip地址。路由协议的network依仗出接口工作,如果静态路由以出接口结尾,可以使用network宣告或者重分发进路由进程
2013-09-05 00:26:44
2048
原创 关于nat和inspect的特点
nat优先于inpsect,因此在同一个路由器流量转发之前,先做nat转换,后进行inspect监控。但inspect对自己产生的流量不进行监控,也就是说,从本地产生并发出的流量,在本地的inspect没有记录,如果结合了deny的ACL,则in方向不会放行这个回来的流量。
2013-09-04 08:40:02
921
原创 关于BGP邻居的密码认证
一个例子:R1 R2已经建立BGP邻居,此时在R1上启用密码认证,由于R2还没有启用密码,使得R1上不断提示Md5认证信息不匹配,此时使用硬重置所有邻居,然后在R2上立即启用密码,这时R1会使用心得tcp连接R2,在show tcp brief中可以看到R1的原连接处于FIN_WAIT1状态,R2的原连接处于LAST_ACK状态,持续大约一分多钟,之后旧连接被清除,两者新的连接由于都配置了密码
2013-09-04 08:39:05
6419
原创 Zmap详细用户手册及DDOS的可行性
背景 Zmap是美国密歇根大学研究者开发出一款工具。在第22届USENIX安全研讨会,以超过nmap 1300倍的扫描速度声名鹊起。相比大名鼎鼎的nmap全网扫描速度是他最大的亮点。在千兆网卡状态下,45分钟内扫描全网络IPv4地址。安装64位版本Debian/Ubuntu 系列 Step1: sudo apt-get install libg
2013-09-04 08:37:12
2836
原创 Cisco IOS 宏命令
众所周知,在网络工程师的日常工作中,可能需要管理的网络设备(交换机、路由器、防火墙、AP等)会上百台甚至上千台,这个时候如何有效率地进行管控和处理日常事务就显得非常必要了。批处理和宏是一个比较普遍的方法,能为网络工程师的日常工作提高极大效率,而Cisco IOS中也包含了宏命令,能对设备进行批量处理。 路由器上的宏命令在思科路由器中可以使用TCL脚本语言来编辑脚本实现宏管控
2013-09-04 08:33:48
1220
转载 Some VMware images
VMware lets you run another computer in your computer. Try out another operating system, test a different platform, preview a new distro. Hopefully this page of VMware images, or “Virtual Appliances”
2013-09-04 08:32:58
1446
原创 BGP MED
MED的作用: 区分到达相同的邻居自治系统的多个出口、入口点。边界路由器通告给eBGP对等体之前,对路由中的MED操作:1.如果是eBGP路由,会清除它的MED。2.如果是iBGP路由,会清除它的MED。(如果需要强制宣告MED,可以通过路由映射命令set-metric-type internal。)3. 如果是本地被注入,携带MED值。其度量值:a: 如果
2013-09-04 08:31:24
3431
原创 关于eigrp路由条目自动汇总的出接口Null0
这个以Null0为出接口的自动汇总条目是出现在发生汇总的路由器上,下面讨论两种各种情况:1,R1router eigrp 100network 10.1.1.0 0.0.0.255network 172.16.1.0 0.0.0.255network 172.16.2.0 0.0.0.255network 172.16.3.0 0.0.0.2
2013-09-04 08:30:18
2358
原创 深入理解ipv6ip tunnel
在6to4,auto-tunnel以及isatap中,隧道没有设置目标地址,目标地址是根据发包中目的ipv6地址确定的,因此这些隧道属于触发式连同,所以不支持除了bgp之外的大部分路由协议,因为它们是根据对端的链路本地地址建立邻居的,这不满足建立邻居的条件,而为了让多个ipv6孤岛之间可以互相连通转发包到正确的孤岛网络,必须在各个孤岛的边缘路由器进行一下的设置:1.添加一条通往隧道所在网络
2013-09-04 08:25:52
5405
转载 让AAA和local认证同时生效
一般在用AAA服务器进行用户授权访问管理的时候,local认证会作为一个备份策略使用。一般配置为:aaa authentication login TelnetManage group tacacs+ local,同时在line vty下配置login authentication TelnetManage其中TelnetMange为在acs sever上配置的用户
2013-09-04 08:24:41
2355
翻译 BOOTP and DHCP options
DescriptionGlossaryRFCsPublicationsObsolete RFCsDescription:Base protocols:BOOTP, Bootstrap Protocol.DHCP, Dynamic Host Configuration Protocol.Links:IANA: BOOTP
2013-09-04 08:21:56
1866
原创 OSPF附录E介绍
1 OSPF附录E涉及的问题在OSPF的标准文档RFC2328中,附录E描述了OSPF在某种特定的环境下会产生路由计算错误,从而给组网应用带来隐患,我们以下图为例来具体阐述这个问题:图1 OSPF协议附录E演示组网图如图1,路由器Rtr A、Rtr B都运行OSPF协议,且所有接口都在区域0。对于上图所示的网络,一种常见的配置步骤可能是:1、在路由器Rtr
2013-09-04 08:18:11
1544
原创 cisco思科IOU/IOL不支持哪些特性?
思科的IOU模拟器运行在Unix系统上只有很少的bug,但是大多数人实际是将文件运行在了Linux上,也就是IOL。 IOL是很强大,但它也并不是万能的,也有一些特性不支持,实验没法做。与GNS3想比,各有千秋吧。综合网友们的调测意见,下面罗列了一些:Not supported/working on Layer 3 IOL (Linux)Multicast
2013-09-04 00:41:03
6362
SDN组网:How SDN will shape networking
2013-04-26
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人