Cisco 思科
文章平均质量分 51
blakegao
这个作者很懒,什么都没留下…
展开
-
rip,null0静态汇总路由以及路由进程中network选项的小问题
null0静态路由在启用rip之前就存在,则rip可以正常通告,如果启用rip之后添加汇总的null0静态路由,则rip会将这条汇总通告成16跳,即不可达(可以在源端debug ip rip查看),解决办法可以先禁用rip之后,添加静态,再启用,或者将静态路由的下一跳改成可达的ip地址。路由协议的network依仗出接口工作,如果静态路由以出接口结尾,可以使用network宣告或者重分发进路由进程原创 2013-09-05 00:26:44 · 2042 阅读 · 0 评论 -
ospf virtrual-link 传递区域和area 0 的汇总问题
根据RFC2328,骨干区域的汇总条目将不允许出现在virtraul-link的传递区域中,abr1 和abr2 之间建立了虚链路,上图中 area0 的区域汇总不允许出现在area 20中,这是因为如果启用了虚链路,abr2实际就变成了Area0 和area 30的边界路由器,即,abr2实际也是区域0的一部分,因此需要有区域0中所有的LSA条目,也就是说,一个区域内的osfp路由器的lsa应该原创 2013-09-07 01:00:11 · 3183 阅读 · 1 评论 -
Cisco Type 7 Password 加密解密原理和代码
Cisco公司用于IOS的密码种类有Type0-7种,其中0为不加密,5为MD5签名,7为很简单的异或加密方法,姑且称为Type7密码。印象中这种加密方式好像是诞生于1997年,本着简化管理的目的,这种强度较弱的加密被保留下来。如果采用DES,RSA等这种强度相对较高的加密方式,管理员的为维护密钥要做很多工作。加密过程,从一个有26个ASCII字符表中,产生一个seed(0-25之原创 2013-09-04 00:25:10 · 3147 阅读 · 0 评论 -
cisco “env_vars” file on flash
cisco 设备flash下env_vars文件是记录存储flash其他部分的信息,由所有boot的相关命令生成,全局模式下的boot system命令制指定系统的启动文件信息就是存储在env_vars里,在进行cisco ios系统升级时,进行过删除旧ios的操作,就有可能出现无法自动加载新系统文件的情况,且提示boot失败的文件是已经删除的就ios系统文件,这是因为env_vars里的boot原创 2013-09-04 00:27:14 · 1201 阅读 · 0 评论 -
iou-web安装指南
关于iou版本更新:请参考: http://www.routereflector.com/,本文只提供安装步骤。 1、下载re-build VMware iou-web 老版本1.1.0-11,安装后需手动升级多次才能升级到最新版1.2.2-17。2、解压iou-web.7z,用VMware打开iou-web.vmx用VMwa原创 2013-09-04 00:38:06 · 8954 阅读 · 0 评论 -
cisco思科IOU/IOL不支持哪些特性?
思科的IOU模拟器运行在Unix系统上只有很少的bug,但是大多数人实际是将文件运行在了Linux上,也就是IOL。 IOL是很强大,但它也并不是万能的,也有一些特性不支持,实验没法做。与GNS3想比,各有千秋吧。综合网友们的调测意见,下面罗列了一些:Not supported/working on Layer 3 IOL (Linux)Multicast原创 2013-09-04 00:41:03 · 6358 阅读 · 0 评论 -
让AAA和local认证同时生效
一般在用AAA服务器进行用户授权访问管理的时候,local认证会作为一个备份策略使用。一般配置为:aaa authentication login TelnetManage group tacacs+ local,同时在line vty下配置login authentication TelnetManage其中TelnetMange为在acs sever上配置的用户转载 2013-09-04 08:24:41 · 2350 阅读 · 0 评论 -
深入理解ipv6ip tunnel
在6to4,auto-tunnel以及isatap中,隧道没有设置目标地址,目标地址是根据发包中目的ipv6地址确定的,因此这些隧道属于触发式连同,所以不支持除了bgp之外的大部分路由协议,因为它们是根据对端的链路本地地址建立邻居的,这不满足建立邻居的条件,而为了让多个ipv6孤岛之间可以互相连通转发包到正确的孤岛网络,必须在各个孤岛的边缘路由器进行一下的设置:1.添加一条通往隧道所在网络原创 2013-09-04 08:25:52 · 5403 阅读 · 0 评论 -
关于eigrp路由条目自动汇总的出接口Null0
这个以Null0为出接口的自动汇总条目是出现在发生汇总的路由器上,下面讨论两种各种情况:1,R1router eigrp 100network 10.1.1.0 0.0.0.255network 172.16.1.0 0.0.0.255network 172.16.2.0 0.0.0.255network 172.16.3.0 0.0.0.2原创 2013-09-04 08:30:18 · 2358 阅读 · 0 评论 -
BGP MED
MED的作用: 区分到达相同的邻居自治系统的多个出口、入口点。边界路由器通告给eBGP对等体之前,对路由中的MED操作:1.如果是eBGP路由,会清除它的MED。2.如果是iBGP路由,会清除它的MED。(如果需要强制宣告MED,可以通过路由映射命令set-metric-type internal。)3. 如果是本地被注入,携带MED值。其度量值:a: 如果原创 2013-09-04 08:31:24 · 3430 阅读 · 0 评论 -
Cisco IOS 宏命令
众所周知,在网络工程师的日常工作中,可能需要管理的网络设备(交换机、路由器、防火墙、AP等)会上百台甚至上千台,这个时候如何有效率地进行管控和处理日常事务就显得非常必要了。批处理和宏是一个比较普遍的方法,能为网络工程师的日常工作提高极大效率,而Cisco IOS中也包含了宏命令,能对设备进行批量处理。 路由器上的宏命令在思科路由器中可以使用TCL脚本语言来编辑脚本实现宏管控原创 2013-09-04 08:33:48 · 1220 阅读 · 0 评论 -
关于BGP邻居的密码认证
一个例子:R1 R2已经建立BGP邻居,此时在R1上启用密码认证,由于R2还没有启用密码,使得R1上不断提示Md5认证信息不匹配,此时使用硬重置所有邻居,然后在R2上立即启用密码,这时R1会使用心得tcp连接R2,在show tcp brief中可以看到R1的原连接处于FIN_WAIT1状态,R2的原连接处于LAST_ACK状态,持续大约一分多钟,之后旧连接被清除,两者新的连接由于都配置了密码原创 2013-09-04 08:39:05 · 6416 阅读 · 0 评论 -
Cisco IOS Zone-Based Firewall
要求:outbound流量:1。监控http/smtp/telnet/ICMP协议2. 限制tcp三次握手必须在15秒内完成3.进行半开连接限制(high:1000/low:800)inbound 流量:1,放行访问内部服务器的http流量2.进行半开连接限制(high:100/low:80)简单配置:******************************原创 2013-09-11 14:36:37 · 1698 阅读 · 0 评论 -
ntp 简单配置
server:(config)#clock timezone GMT +8 /*必须先配置时区,后配置时间*/#clock set 12:00:00 1 may 2012(config)#ntp authentication-key 1 md5 cisco /*创建key认证*/(config)#ntp authenticate /*启用认证*/(config)#原创 2013-09-06 13:09:43 · 1175 阅读 · 0 评论 -
Cisco IRB BVI
Cisco路由器提供集成的路由与桥接(Integrated Routing and Bridging,IRB)功能。当配置了IRB后,不可路由的协议数据流可以在配置为相同网桥组的端口上实现桥接交换,同时可以路由的协议数据流则在其他的路由端口或不同的网桥组之间实现路由。 这里提到了一个概念,即网桥组(Bridge-Group)。要实现不同的端口之间的桥接交换,必须将这些端口归到同一个网桥组当转载 2013-09-15 16:23:07 · 4052 阅读 · 0 评论 -
Configuring IP Uplink Redirect on Catalyst 2948G-L3 Switches
IntroductionThis document provides a sample configuration for the IP uplink redirect feature on the Catalyst 2948G-L3 switch. Enabling IP uplink redirect restricts devices connected to the Fast Ethe翻译 2013-09-15 18:43:55 · 1284 阅读 · 0 评论 -
简单实现内网主机通过防火墙nat回环路由实现安全互访
对指定的主机做单一静态nat映射,访问相同内网主机时,使用目的主机的全局地址,可以实现在防火墙出接口先将数据包交由ISP边缘路由器,再返回给防火墙的特殊效果。可能需要点到点链路子网掩码不同从而达到效果(防火墙/出接口掩码小于对端接口掩码),但模拟器在两端掩码相同的情况下仍然出现了相同的nat回包路由效果。原创 2013-09-16 10:30:32 · 6286 阅读 · 0 评论 -
彻底理解Cisco NAT内部的一些事
为了配一条NAT,发生了很多事。一.Inside和Outside很多在Cisco配置过NAT的人都有过一个疑问,那就是inside和outside的区别!以下是Cisco官方文档上关于NAT执行顺序的说明:注意红色和蓝色圈住的部分,对于inside-outside而言,NAT发生在路由之后,而对于outside-inside而言,NAT发生在路由之前。这是目前为止,我们唯一需要转载 2013-09-16 19:29:12 · 3690 阅读 · 1 评论 -
Cisco nat inside接口,outside接口,nvi接口的区别
r2上,e0/0为outside,e0/1为inside,使用ip nat outside sour static 1.1.1.1 202.100.1.5将outside的1.1.1.1 转换成inside的202.100.1.5,但由于数据包先经过了outside,outside接口是pre-routing性质,因此会先做nat后路由,去包没什么问题,回包由于先路由,以转换后的全局目标地址寻找回原创 2013-09-16 20:53:27 · 5040 阅读 · 0 评论 -
cisco CBAC
ip inspect nameTo define a set of inspection rules, use the ip inspect name command in global configuration mode. To remove the inspection rule for a protocol or to remove the entire set of in翻译 2013-10-04 18:47:24 · 1478 阅读 · 0 评论 -
cisco后退桥接和IRB的原理
fallback bridge将svi和路由接口划入同一个桥接组,实现同一个桥接组之间不可路由流量在这些接口之间转发,而后退桥接这种情况可路由流量不能桥接,这时由于是桥接不可路由流量,所以这些svi和路由接口不必配置ip。且每个svi下对应的逻辑子网生成树实例是可以被桥接的,就是说,一个实例跨越了路由域或者桥接域,但这使生成树排错增加了难度,官方不建议这样配置。每一个桥接组对应一个bvi,通过可路原创 2013-09-16 10:24:39 · 2484 阅读 · 0 评论 -
cisco qos table-map
show table-mapTo display the configuration of a specified table map or all table maps, use the show table-map command in EXEC mode.show table-map table-map-nameSyntax Description翻译 2013-09-20 12:05:48 · 1578 阅读 · 0 评论 -
使用MQC配置NBAR
配置NBAR的步骤和命令如下所示。(1)如果需要,从思科网站下载PDLM文件,并把它存放在Flash内存中。(2)启用快速转发特性。NBAR需要CEF支持。Router(config)# ip cef (3)加载PDLM文件到内存中。Router(config)# ip nbar pdlm flash://directory/file-name direct原创 2013-09-20 20:20:25 · 1030 阅读 · 0 评论 -
Cisco设备光模块解密方法
Cisco设备只能用cisco品牌的光模块,其他品牌或杂牌的光模块思科设备是绝对不支持的。如果你硬是插上别的光模块,cisco端口信息上就会显示Unsupport或Unknown。日志显示以下情况中一种或几种:%PM_SCP-SP-3-TRANSCEIVER_UNSUPPORTED: Unsupported transceiver in LAN port */*%PHY-4-CHECK原创 2013-10-07 15:12:51 · 2942 阅读 · 0 评论 -
mac address-table notification feature
mac地址的新增或者删除,就是当有device加入 或者device移除时,发出告警,配置如下:1. 全局 mac addresstiable notification [history-size] [interval]2.接口下 snmp trap mac-notification3.全局 snmp-server enable traps mac-notificationht原创 2013-10-07 15:40:48 · 1485 阅读 · 0 评论 -
BGP Outbound Route Filtering (ORF)理论
【基本知识】1、BGP出站路由过滤概述BGP出口路由过滤功能,以最大限度地减少对等路由器之间发送的BGP更新的数量。该功能,可以帮助减少过滤掉不必要的路由更新以及源路由更新的生成和处理所需的资源量。例如,这个功能可以使用,以减少处理路由条目的数量量,不接受那些来自ISP的不完整的路由。2、BGP出口路由过滤的前提条件在路由器可以发送或接收ORF公告、BGP出口路由过滤功原创 2013-09-22 19:33:56 · 2444 阅读 · 0 评论 -
BGP交换前缀列表的出口路由过滤"ORF"技术
BGP交换前缀列表的出口路由过滤"ORF"技术拓扑:R5------------R7R5用2个回环口模拟子网(5.5.5.5/32和 55.55.55.55/32)R7用2个回环口模拟子网(7.7.7.7/32和77.77.77.77/32)R5和R7之间是192.168.25.x/24R5的AS号为5R7的AS号为7实验目的:要过滤r7的77.77.77.77转载 2013-09-21 23:49:41 · 1429 阅读 · 0 评论 -
ip virtual-reassembly:IP虚拟分片重组
把分片的报文在自身组装起来,这样可以识别一些攻击之类的FW功能。IP虚拟分片重组为了避免每个业务模块(如:IPSec、NAT和防火墙)单独处理后片先到(报文分片后)这种情况而导致复杂度过高,设备需要收到IP报文后就对分片报文进行虚拟分片重组。IP虚拟分片重组功能可以对分片报文进行检验、排序和缓存,保证后续业务模块处理的都是顺序正确的分片报文。同时,IP虚拟分片重组功能还可以对下原创 2013-10-10 13:39:05 · 17181 阅读 · 0 评论 -
与ip route-cache 相关的命令解释
利用ip route-cache这个接口配置命令,可以为IP路由控制对高速交换缓存的使用。为了禁用下面这些交换模式,可以利用该命令的“no”格式。ip route-cache [cbus]no ip route-cache [cbus]ip route-cache same-interfaceno ip route-cache same-interfaceip route-ca原创 2013-09-18 11:14:00 · 4220 阅读 · 0 评论 -
cisco 路由器配置dhcp和中继理需要注意的问题
I、需要注意的是路由器连接到交换机的端口需要配置ip dhcp relay information trusted,否则客户端将无法得到IP地址。 这是因为交换机配置了(默认情况)ipdhcp snooping information option,此时交换机会在客户端发出的DHCP请求报文中插入选项82信息。另一方面由于DHCP服务器(这里指Cisco IOS DHCP服务器)与客户端原创 2013-09-18 18:43:42 · 2566 阅读 · 0 评论 -
关于nat和inspect的特点
nat优先于inpsect,因此在同一个路由器流量转发之前,先做nat转换,后进行inspect监控。但inspect对自己产生的流量不进行监控,也就是说,从本地产生并发出的流量,在本地的inspect没有记录,如果结合了deny的ACL,则in方向不会放行这个回来的流量。原创 2013-09-04 08:40:02 · 921 阅读 · 0 评论 -
部分Cisco IOS IPS常见问题
Cisco IOS IPSQ. IOS IPS和IPS有什么不同?A. IOS IPS是带IPS功能的路由器,即可升级支持IPS功能IOS的路由器。而IPS检测器是专门的IPS系统,如Cisco IPS 4200产品。Q. IPS子系统版本指什么? 在哪里查找?A.IOS里面内置的IPS有一个子系统版本号,简单地来说,子版本号标示了IPS的功能版本信息。IOS和IPS子系统的关原创 2013-10-10 23:26:38 · 1977 阅读 · 0 评论 -
Cisco IOS IPS
Cisco IOS IPS:对于发现危害,Cisco IOS IPS可作如下处理:1.发送警告给系统日志服务器或者发送给集中化管理接口。2.丢弃数据包。3.重置连接。4.在一段时间内阻止攻击者为源的IP流量。5.在一段时间内阻止匹配签名的连接。---------------------------------------透明思科IOS原创 2013-10-11 00:06:18 · 1668 阅读 · 0 评论 -
ZBFW结合NAT有关监控顺序问题
无论nat怎么做,inspect总是监控nat转换前的地址,因此穿越zone返回的流量,检查inspect信息也是基于nat转换前的。如果class-map不是匹配的protocol(只匹配protocol默认是任何源目的指定协议流量,且不需要事先放行流量,直接监控!),而是用acl匹配特定源和特定协议的流量,那么这个包无论是否做nat改变了源或目的的地址,inspect总是监控了转换前的地址,而原创 2013-10-10 13:32:08 · 2153 阅读 · 0 评论 -
cisco fpm技术
最近浏览cisco网站,注意到了cisco ios 12.4.15T系列中推出了新的FPM技术。我先来简单的介绍一下cisco fpm技术。fpm技术在cisco iso 12.4.4T中已经推出,在cisco iso 12.4.4T之前,fpm能够检测IP包的前256byte中的最多32byte的数据,检测出与配置相符合的数据,你可以选择丢弃或者允许通过或者 log,当然还有其他功能,这里不一一原创 2013-09-26 17:54:44 · 996 阅读 · 0 评论 -
基于控制层面的host子层面进行流量控制
要求:1。目标地址是本地的telnet流量进行限制队列中的个数最多为5,超过丢弃2.。过滤去往网管端口tcp22的ssh流量,过滤去往closed-ports的流量hostname fw!ip cef! username admin password 0 cisco ! class-map type queu原创 2013-09-27 23:38:53 · 739 阅读 · 0 评论 -
Cisco Macro
Macro使用总结1.使用命令2.远程更换管理地址3.相同策略经常应用至多个端口4.快速配置,减少重复繁琐操作5.参数调用配置-释放port-security端口6.执行多个ping或者其他类功能7.配置注意事项1.使用命令macro apply macro trace macro glob原创 2013-10-13 11:04:33 · 1464 阅读 · 0 评论 -
执行路由核心复制
执行路由核心复制 core dump包含一份当前系统内存中信息的精确拷贝。捕捉包含在内存中信息的方法有: 1) 配置路由器在崩溃时执行Core Dump,存储到TFTP、FTP、RCP服务器: 对TFTP协议,只需指定TFTP服务器IP,不需要任何附加的配置: Router(config)#exception dump 192.168.1.1 ;TFTP服务原创 2013-10-14 21:36:09 · 619 阅读 · 0 评论 -
ip rcmd部分命令
ip rcmd domain-lookupTo reenable the basic DNS security check for rcp and rsh, use the ip rcmd domain-lookup global configuration command. To disable the basic DNS security check for rcp and rsh翻译 2013-10-14 22:29:10 · 1622 阅读 · 0 评论 -
ipsec over GRE
需要注意的问题:1.了解封装的过程:始终查询外层源目地址,并进行相应处理,例如:如果源目地址是隧道的,则进行隧道封装,变成以物理地址为源目的新包;如果在隧道封装之前已经进行了ESP封装,且新包的源目已经是物理地址,则不会进行隧道封装,而是直接送到物理接口发出2.cryto map有两个作用,1.撞击从配置map接口发出且源目为感兴趣流的数据包,并进行封装。2.检查如果进入接口的数据包,如果原创 2013-10-16 19:18:09 · 885 阅读 · 0 评论