CCNP路由部分精华<2>

第六章配置基本的边界网关协议（BGP） <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

路由选择协议分为两种类型：
l内部网关协议（IGP）
l外部网关协议（EGP）

BGP是一种域间路由选择协议也称为EGP

自治系统的定义是：在单一技术管理下，采用同一种内部网关协议和统一度量值在AS内转发数据包、并采用一种外部网关协议将数据包转发到其它A S的一组路由器

自治系统可以使用多种IGP，并可以采用多种度量值。从BGP的角度上来说，AS的重要的特性是AS对另一个自治系统来说具有一个统一的内部路由计划，并为其可达的目的地表现出一个一致的画面。A S内部的所有部分必须全互连。

自治系统的指示符是一个16BIT的数，范围是从1~65535，64512~65535的AS编号是留作私用的。

BGP的主要目标是提出供一种能够保证自治系统间无环路的路由信息交换的域间路由系统。BGP路由器交换有关到目的地网络路由路径的信息。

可扩展路由选择协议的比较：
协议内部或外部距离矢量型/链路状态型是否需要体系化度量值
OSPF内部链路状态是开销（COST）
EGIP内部高级距离矢量型否复合
BGP外部高级距离矢量型否路径矢量或属性

何时使用BGP ？
lAS允许数据穿过它到达其它自治系统
lAS有到其它自治系统的多条连接
l必须对进入和离开AS的数据流进行控制

BGP被设计成为让ISP之间进行通信和交换数据包

何时不使用BGP ？
l只有到Internet或另一个AS的单一连接；
l无需考虑路由策略或路由选择；
l路由器缺乏经常性的BGP更新的内存或处理器
l对路由过滤和BGP路径选择过程了解十分有限
l在自治系统间带宽较低

BGP 术语和概念：
BGP用传输控制协议TCP，作茧自缚为它的转输层协议，这样可提供面向边接的可靠传输，BGP使用TCP端口179。在可靠听链路上它不需要定期的路由更新，所以采用触发更新。B GP了送keepalive消息，与OSPF和EIGRP所发送的hello消息相似。BGP路由器交换网络可达性信息，被子称为路径矢量，由路径属性组成，包括路由到达目的地所应该通过的全路径列表。

BGP对等体可以在AS系统内部也可以在AS系统的外部

路由策略或规则的设置被称为基于策略的路由。这些策略是基于路由信息中所承载的以及配置在路由器上的属性。

BGP规定BGP路由器只能够向相邻自治系统中的对等体通告那些它自己使用的路由。

路由器发送关于目的地网络的BGP更新消息，这些更新消息包括有关BGP度量值的信息，被称为路径属性

路径属性分为四类：
----公认的，必遵的；
lAS路径（AS-path）类型编码 2;
l下一跳 (next-hop) 类型编码<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />3
l起源 (origin) 类型编码1
AS路径属性被BGP用来确保无环路环境；
下一跳属性说明了用于去往目的地的下一跳IP地址；
起源属性定义路径信息的起源，它可以有三个值之一：
1．IGP-路由在起始AS的内部，在BGP表中用I表示；
2．EGP-路由通过外部网关协议而被学到，在BGP表中用E表示；
3．不完全-路由起源未知或通过别的方法学到，在BGP表中用？表示。
----公认的，自决的；
l本地优先（local preference）类型编码 5;
它为AS中的路由器提供一个指示哪能条路径被优先选择为该AS出口，它是路由器上配置的属性，只能在AS内的路由器之间进行交换，缺省值是1 00
l原子聚合（Atomic aggregate）类型编码 6
----任选的，可传递的；
l聚合者（aggregator）类型编码 7
l团体（community）类型编码 8 （Cisco定义）
它是一种用来过滤入路由或外出路由的方法，任一BGP路由器都可以在入路由或外出路由更新中或者进行路由再发布时标缀路由。任一BGP 路由器都有可以根据团体属性在入路由或外出路由更新中过滤路由，或者选择优先路由。
----任选的，非传递的。
l多出口标识（Multi-exit-discriminator, MED） 类型编码 4
MED用于向外部邻居指示进本AS的优先路径。MED属性也被子称为路径值。
源ID（Originator-ID）类型编码 9 (Cisco定义)
簇列表（Cluster list）类型编码 10 (Cisco定义)

此外Cisco还为BGP定义了一个权重属性（Cisco 专用）；
权重属性是CISCO自己定义的属性，它用于路径的选择过程。它被本地化地配置在路由器上，并针对每个不同的邻居。它只提供本地路由策略，不能传给任何B GP邻居。
权重的值可以从0~65535，由本地路由器始发的路径的缺省值为32768。其它路径的缺省权重值为0，高权重值的路由被优选。

公认属性是一种所有BGP实施都有必须能识别的属性
任选属性不要求所有BGP的实施都有必须支持；它可能是一个私有属性。

BGP同步在当前IOS版本中在缺省情况下启用

BGP 的消息类型：
l打开（open）
--版本
--我的自治系统
--保持时间
--BGP标识符（路由器ID）
--任选参数域长度
--任选参数
lKeepalive
l更新（updata）
--撤消路由
--路径属性
--网络层可达性信息
l通知（notification）

Keepalive消息只由消息头构成，长度为19字节；在缺省情况下每60秒发送一次。其它类型的消息长度在19字节和4096字节之间。缺省的保持时间是1 80秒。

配置BGP
激活BGP协议：
router bgp autonomous-system

标识本地路由器将与之建成立的对等路由器
neighbor {ip-address|peer-group-name} remote-as autonomous-system

改变下一跳属性
neighbor {ip-address|peer-group-name} next-hop-self

关闭BGP同步
no synchronization

在BGP表中创建一个归纳地址
aggregate-address ip-address mask [summary-only][as-set]

复位BGP
clear ip bgp{*|address}[soft[in|out]]

show ip bgp 显示BGP路由表中的条目
show ip bgp summary 显示所有BGP连接状态
show ip bgp neighbors 显示有关邻居的TCP和BGP连接信息。
Dampening BGP衰减
Events BGP事件
Keepalives BGP keepalive
Updates BGP更新

第七章：在可扩展的网络中实施BGP

横向隔离规则规定：
通过IBGP学到的路由永远不能被传输到其它IGBP对等体。

路由反射器（Route Reflector）
路由反射器让被配置为路由反射器的路由器向其他IBGP对等体传输由IBGP所学到的路由来修改BGP的横向隔离规则。

路由反射器的优点：
配置了BGP路由反射器，就不再需要全互连的IBGP对等体。路由反射器被允许向其它IBGP对等体传输IBGP路由。当内部邻居命令语句数量过多时，I SP就会采用路由反射器技术。路由反射器通过让主要路由器给它们的路由反射器客户复制路由更新来减少AS内BGP邻居关系的数量（这样可以减少T CP连接）。
路由反射器不影响IP数据包所要经过的路径；只有发布路由信息的那条路径受影响。如果路由反射器没有被正确配置，那么将可能产生路由环路。

路由反射器的术语：
路由反射器：是被配置为允许它把通过IBGP所学到的路由通告（或反射）到其他IBGP对等体的路由器。
集群：路由反射器出其它客户的组合；
客户：路由反射器和其他路由有部分IBGP对等关系的这些路由器
非客户：不是路由反射器的客户的其他IBGP的对等体；
originator（始发者） ID：是任选的、非传递BGP属性，它被路由反射器创建。这个属性带有本能AS内部由始发者的路由ID；
路由反射器集群表：路由报经过的集群ID序列。

originator（始发者） ID、集群ID和集群表有助于在路由反射器配置中防止产生路由环路。

用来将路由器配置为BGP路由反射器，并且将指定的邻居配置为它的客户：
neighbor ip-address route-reflector-client
ip-address：将被标识为客户的BGP邻居的IP地址
bgpcluster-id cluster-id: 配置集群ID
show ip bgp neighbors: 显示那个邻居是路由反射器客户

策略控制和前缀列表（Prefix list）
发布列表利用访问控制列表来指定哪些路由信息将被过滤。
采用前缀列表的优点：
l在大型列表的加载和路由查找方面比访问控制列表有显著的性能改进
l支持增量修改；
l较友好的命令行接口
l更大的灵活性

配置前缀列表：
ip prefix list-name [seq seq-value][deny | permit]network/len [ge ge-value] [le le-value]

关闭前缀列表条目序号
no ip prefix-list sequence-number

重新启用序号自动生成功能
ip prefix-list sequence-number

查看前缀列表
show ip prefix-list

配置邻居连接权重
neighbor {ip-address | peer-group-name} weight weight

改变缺省的本地优先值
bgp default local-preference value

二、客户机上联口的快速定位

　

---- IP地址是Internet /Intranet网上主机通讯的逻辑地址，由用户手动设置或系统自动分配。局域网上若有两台主机IP地址相重，则两台主机相互报警，造成应用混乱。在校园网上，有几百台，甚至上千台主机上网，如何控制IP地址盗用呢？

---- 采用Vlan虚网技术，可控制一段IP地址在某一Vlan中使用，而在其它Vlan中无效。但在同一Vlan的有效IP范围内，仍然会出现IP盗用。

---- 我们利用3COM周边交换机记录上网网卡MAC地址的功能，从盗用IP的MAC地址追踪其客户机上联交换机的端口位置，然后禁止此端口的使用，并用行政手段对盗用者采取处罚措施，彻底根治IP盗用事件。具体方法如下：

---- 1、建立合法的客户机IP-MAC对应数据库；

---- 2、利用简单网络协议定期从NB2 3COM路由器中读取mib库地址1.3.6.1.2.1.3.1.1.2 中IP-MAC表，如下所示：IP地址202.112.162.2的MAC地址为00104B04B81A

　

---- 依照标准数据库，检查是否有新的MAC地址或IP-MAC不对应的MAC地址。若有，则执行下一步。

---- 3、在二十几台交换机3COM SW1000中，读取mib库地址1.3.6.1.4.1.43.10.9.5.1.6.1 中的MAC地址表。下表为某台交换机记录的部分下联口网卡MAC表，第三口上联一台主机，第九口上联3台主机。

　

---- 找出此盗用IP的MAC地址出自哪台交换机的哪个端口，并发信通知网络管理员。

---- 4、网络管理员确认后，禁止此交换机端口的使用。

---- 另外，可以简化以上步骤，将上述第三步，设计成CGI公共网关接口程序，根据用户反映的盗用IP地址或MAC地址，在Web网页上输入此地址，调用MAC定位的CGI程序，返回该MAC地址上联交换机端口的位置。

三、系统数据的备份

　

---- 常采用磁带机来备份大容量数据，但对于少量的系统关键数据，用两台主机间硬盘备份更方便、灵活，如定时发电子邮件或用FTP将数据传至另一台机器上。备份时，应注意数据的安全性、可靠性，如：防止网上数据的截获、防止已损害数据复盖原来备份的数据。我们在两台UNIX主机间，利用UNIX的信任关系，实现数据远程拷贝，将一台主机中的关键数据先加密，用cron定期将此数据拷贝到另一台主机。

---- 具体方法如下：

---- 1、建立机器B (hostb) 信任机器A (hosta)的信任关系。

---- 在hostb主机的用户backdata根目录下建.rhost文件，内容为：hosta root。

---- 表明hosta的root用户有权在hostb的用户backdata目录下进行远程操作。

---- 2、在hosta中，编写远程拷贝Shell程序backdata.sh。将源文件按当前月份和星期几备份，备份数据每周复盖一次。

　

---- 3、在hosta中，用crontab -e设计定时操作：每天2点钟执行上述程序。

四、Windows与Linux间的资源共享

　

---- 1、从Windows共享linux资源

---- 小红帽redhat 6.0中自带编译好的samba程序，提供samba文件共享服务。首先，设置配置文件/etc/smb.conf。如下所示，设置：本机的工作组或域名，netbios机器名，本地或NT域控制器口令认证方法；本地认证时，需要用命令/usr/bin/smbpasswd生成用户口令文件/etc/smbpasswd；设置共享目录：如film共享目录对应实际目录/disk1/film。

　

---- 修改配置后，可用工具testparm测试此配置是否正常。然后，执行/etc/rc.d/init.d/smb start|restart启动或重启smaba服务（包括smbd和nmbd服务）。

---- 现在，可以在windows下浏览cauic工作组下机器名为linuxzrm的共享资源。

---- 2、从linux共享windows资源

---- 利用linux的工具smbmount将windows下共享目录按smb文件系统，装载到本机目录下。下面的shell程序（需超级用户执行）表明，以用户名为zoup、口令为z12345身份，将windows服务器VOD下共享目录rmcontent，装载到本机/vodcontent目录下，安装点属于本机用户zou用户组staff。

　

---- 将以上命令放到系统启动文件中，系统每次启动后，会自动装载windows共享目录。如：在文件/etc/rc.d/rc.local中添加以下语句：

五、cisco路由器IP流量的获取

　

---- 用cisco路由器作网际路由器时，一般都利用cisco的IP包过滤功能来统计IP流量。方法是在cisco路由器的每个出入口添加ip accounting output-packets命令，cisco路由器会自动统计这些端口的IP流量。

---- 常用snmp或telnet终端仿真（show ip account）方法，获取IP流量。在Cisco IOS v.11以上版本中，提供了http服务器功能，用户可从WWW网页管理cisco路由器，不需要任何编程，即可很容易地采集IP流量，为了安全起见，还可限制访问服务器的客户机。方法如下：

　

---- 在客户机202.112.162.5中，用网页下载工具wget定期采集、清除IP流量。方法如下：

 

 

 

　

系统管理员快速入门　

四川农业大学网络中心尹翔

计算机网络正日益延伸到世界的每一个角落，也许就在明天，新的网络建成，而匮乏的人力使得你可能就成为系统管理员。面对多样而又庞杂的设备，用户的诸多要求又纷至沓来，是否使你眼花缭乱之外又一脑浆糊，多么渴望快速地熟悉整个系统，使尴尬成为过去。本文并不能提供一劳永逸的窍门，只不过是面对新手，就个人经验，讲述一些系统管理必备的知识，以提供一快速入门的办法。

一般说来，网络系统划为五个部分，即：主机系统、交换设备、路由设备、布线系统以及其它辅助系统，如UPS、稳压电源之类。幸运的是，一般系统集成商在完成系统集成后，诸如布线系统、辅助系统都已一次性调试成功。交换设备和路由设备也已大体就绪，至多需要你做一些小小改动。作为系统管理员的你，只需了解这些设备的状态灯的含义，判断是否发生硬件故障，一般小的故障，关掉设备重启后，大多会自动排除。真正的问题，大都需要厂商协助解决，也就是说，快速入门的关键只需要掌握占整体五分之一的主机系统，即可从容应对。当然，交换与路由设备上也许你会做一些设置改变，但那是你成为高级管理员之后的事了，这里就暂且不提，以下就是快速入门的重点。

用户管理

无论是UNIX还是NT，对于用户的管理都是居于第一位的，作为一个新手，首先必须立刻掌握对用户的增加和删除以及限制等操作。这包括两个方面：一个是学会使用友好的图形界面的管理工具集，在SUN Solaris系统中是Openwin环境下的/usr/bin/admintools工具集；在SCO UNIX中使用Sysadmsh管理Shell来管理用户；在Novell系统中，则只需使用Syscon菜单即可完成用户及用户组的添加、删除以及限制设置等等，多用户的同批管理，则使用makeusr和userdef实用程序来做；在NT中，则使用程序组中管理工具（公用）组下的域用户管理工具或用户管理工具。使用这些工具，就可以十分简单明了地进行用户的创建、删除以及锁定和权限限制等操作。在NT下用户组的管理和控制面板中的系统属性程序管理用户环境设置简要文件，使用System Policy Editor配置一个域范围的基于计算机或用户的配置以及编写登录脚本。二是学会字符命令行下的用户管理，主要在UNIX或Linux环境下，包括用编辑工具Vi、emacs等对/etc/passwd进行操作或直接使用addusr、deleusr等用户管理命令以及使用pwconv命令使/etc/passwd与shadow文件保持一致，使用SCO的/etc/rmuser命令删除用户，用newgrp命令将用户添加到新组，另外包括用户目录的建立命令mkdir，赋于用户属性和组属性命令chown和chgrp,以及用户区域限制命令quota限制用户区域大小，用来避免用户区域占用硬盘空间过大，而使系统崩溃。其中，特别提醒一点，如果想对用户权限进行严格限制时，用户的注册shell可使用/usr/lib/rsh。用户的.profile和.login文件可使用系统标准的配置文件，或者也可在.profile中进行相应设置，用SU命令或SU?Username进入用户环境以进行具体检测。另外，对用户的消息发布系统，在NT中是使用Alert功能发出，对远程主机则使用Server Manager中的computer|send message功能。在Novell中采用send命令。在UNIX中是使用wall或write指令，也可使用每日消息文件/etc/motd或news命令发出/usr/new文件内容。

　

安全及日志管理

作为一个系统管理员，必须要能对系统事故找到故障原因，这就涉及到必须对系统的各项日志进行察看分析。在NT中是使用Administrative Tools菜单中Event Viewer查看系统的SYSTEM、SECURITY、APPLICATION日志文件。对Netware而言，错误日志是SYS＄LOG.ERR文件，通过syscon菜单中supervisor options下view file server errorlog观察记录，另外文卷错误日志文件是各文卷中的VOL＄LOG.LOG以及事务跟踪处理系统错误日志文件SYS:文卷中的TTS＄LOG.ERR文件；UNIX中各项日志包括/usr/adm目录下的系统错误登记文件message、使用su命令的记录文件sulog、每个用户记录上次注册时间的登记文件lastlog、系统中注册用户的有关信息文件wtmp、每个用户所执行命令的内容项文件acct以及/etc目录下当前注册用户的有关信息文件utmp和其他应用程序产生的日志文件。对于其中的一些日志文件，可以采用who或w命令查看当前系统的登录使用者（XENIX系统中还可以用whodo命令确定当前用户的行为）；last命令查看以前的登录情况，这些命令都可以合并使用grep进行条件控制选择过滤；用find查看文件及其属主，特别监控具有根访问权的进程及文件以及检查开机文件/etc/inetd.conf、/etc/rc.local、/etc/passwd和corn或at运行的文件，并用corntab －l 与corntab －r命令对用户的corntab文件进行列出与删除管理；使用ls －lR生成主检查表，并定期生成新表，使用diff命令进行比较，并使检查通过的新表成为新的主检查表，直到下一次检查为止。个人强烈建议在inetd.conf中注释掉所有的r打头的命令文件，以及去掉/etc/hosts.equiv中的所有项并不允许用户设立个人的.rhosts文件，使可信主机不予设立或为空以加强系统的安全。

系统进程管理

在UNIX中，系统报告命令包括df用来报告自由磁盘块数;du用来总结磁盘使用状况;nice用来改变某个命令所设优先权；Pstat用来报告系统信息，如节点表或进程表；sar用来报告系统的活动状态如CPU的使用和缓冲区的活动状况；time用来打印过去的时间、系统时间以及命令的执行时间；uptime用来报告系统的活动状况，如系统启动时间及已运行时间；vmsfat用来报告页数及系统统计数字，如分支点的情况。BSD UNIX中的ps －aux或system V中的ps －ef以及LINUX中的ps aux用来查看进程状态及其宿主，并使用kill命令及时停止不正常的进程。在NT中则使用Task Manager查看cpu和内存的使用情况，进行进程管理，另外也使用performance monitor进行状态监控，以及时做出调节。值得注意的是，随着网络应用的扩大，病毒成为对网络安全的一大威协。为此，在网络上安装病毒检测和清除工具已经成为网络管理必须要做的。

　

备份管理

作为一个较重要的系统，及时备份是必需的，那么在一开始就必须养成及时定时备份的习惯。掌握备份的基本方法和步骤，以及使用基本的备份还原命令，如：NT中使用管理工具集中的NTBackup程序。因在Backup中不存在调度能力，备份必须手工完成或用AT命令行实现调度；以及采用第三方的备份解决方案。UNIX中系统V使用tar、cpio以及backup、restor、rolcopy，BSD中则使用tar、dump、restor等等，SCO中使用sysadmin进行文件系统后备和恢复文件。备份还必须制定计划，指定何时进行何种备份，包括全集备份和递增备份，如可以每周做一次全集备份，每天进行一次递增备份，或者如系统不经常变化，则可每月一次全集备份，每周一次递增备份。

恢复与容错管理

当系统出现故障时，作为系统管理员必须能定位并解决问题，这依赖于对控制台出错信息以及日志文件的分析，更重要的是平日的备份以及应急系统盘的制备。对于NT而言，是建立系统引导盘、紧急修复盘等，并使用Disk Adminstrator建立镜像等RAID操作。对于UNIX而言，也依赖于系统安装盘与紧急修复盘的建立。特别地，系统做任何改动后，都要重新生成新的系统恢复盘，并进行同步备份和使用单用户模式来排除系统的绝大部分问题，即启动时使用boot －single命令，这是一个关键。当然，管理员的口令是绝对不能忘记的，否则，那会造成很×××烦，但对于管理人员而言，自己以及其它用户都加上口令的使用限制，如口令字长度和日期限制以及其它限制，是非常必要的。太过简单的口令往往会造成不安全的隐患。在容错上则还包括经常地运行各类维护系统命令，如超级块维护命令SYNC，文件系统检查命令fsck。

文件系统与开关机管理

在所有的多用户系统中，由于广泛采用文件缓冲，使对文件的修改在内存进行之后再写入磁盘，内核程序定时刷新这些缓冲区，以保持文件与缓冲区间同步。因而，不终止系统就关机，往往会造成同步的破坏，而出现文件系统的错误。在NT中，使用启动菜单中的关闭系统选项来关闭系统；UNIX则采用shutdown、halt(haltsys)、reboot等命令。一般推荐使用shutdown加参数来关机或进入单用户备份状态，直到完成关机程序后，才能关闭电源，无论如何，这是必须牢记的。

另外，在维护文件系统时，应经常运行超级块一致命令sync，文件系统检查及错误修改命令fsck，新建一个文件系统时使用mkfs命令，系统V的fsstat将报告文件系统的状态，以及设备管理命令mount、umount。 NOVELL中采用FILER菜单管理文件服务器的文件系统。

网络管理

网络管理，包括对E?mail、DNS以及WWW的调试。对于E?mail而言，是使用sendmail －bt －C filename进行，或先mail user，再telnet host 110，通过user username；pass passwd；list；retr ＊；quit等pop3命令进行调试。对于DNS，则使用nslookup命令进行域名解析，看能否正确解析出IP地址。对于WWW，则是通过浏览器进行检查。另外是察看～/httpd/下的浏览日志，对于NT而言，则通过管理工具下的server manager察看各服务程序是否正常运行，其余检测步骤则与UNIX系统相同，只是不使用sendmail命令，而采用telnet host 25，用helo host，send from:< yourname@hostname >，rcpt to:< username@hostname >，data，messagebody，“.”，exit等smtp命令进行检测,POP3命令都相同。WWW的管理则直接通过http形式的在线管理方式进行，操作简易明了，应该不会有什么问题。

另外，在网络日常管理中，则包括使用ping察看网络连接状态，netstat察看协议统计数据和当前网络的连接状态，ifconfig进行网络接口设置，tracert进行路由状态监察。对NT系统而言，除以上命令外，还包括使用/winnt/system32/Regedit32来控制注册表，以及IPconfig察看IP设置，以及用与NT server配套的Network monitor进行网络负载和性能统计。Novell系统中则使用NETADMIN实用程序或图形界面的管理工具Netware Adminstrator来管理和规划网络，以及用monitor菜单监控本地服务器的各项状态。相对于UNIX的第三方工具集，能够作为管理者运行的网络管理软件主要有HP的OpenView、BAY的optivity、IBM 的Netview和SUN的SunNetManager。

小结

总之，作为一个系统管理人员，掌握以上的操作是起码而且必须的，另外就是及时进行系统升级，使得系统的已知漏洞均被修复，以防******。但有一点必须指出，作为一个新手，无论如何，不犯一些操作错误几乎是不可能的，唯一的办法就是在做任何改动操作之前，首先应做好要改动部分的备份，并详细地记录下自己的操作，做一步记一步，细致、小心、认真，这样才能尽量使系统的正常运行得到一个相对可靠的保证。另外作为一个特别的提醒，当你外出时，不要忘记使用锁屏程序使屏幕锁定，以免外人乘机***系统。

 

转载于:https://blog.51cto.com/fang780727/25699