ubuntu:更新内核与清理无用文件

当我第一次更新内核时，提示我

“引导文件menu.list经过编辑，是否自动更新？

当时我想，更新了还要重新编辑，麻烦。

”no“。

为什么我要编辑它？因为硬件的问题，我加了个参数 noapic，才能启动系统。

于是，问题来了，虽然机器上安装了新内核，但是menu.list由于没有更新，我不得不使用旧内核。

自己把新内核的文件名手工添加进了menu.list里，因为我不知道uuid是什么，就没写。

重启系统…

选择新添加的内核…

引导成功…

…

ubuntu系统到启动画面那里就卡住了。

经过一番搜索，提问后弄好了。

uuid好像是记录的硬盘信息。当初我想过把旧内核的uuid复制到新内核上去，但是因为不知道uuid是什么，害怕万一出什么大错误就糟了。

毕竟，我最害怕涉及到”引导“”硬盘数据“的问题。

下面是更新内核需要的一些知识

编辑软件源

sudo gedit /etc/apt/sources.list

查看系统存在的内核。

dpkg -l|grep linux

或

dpkg –get-selections|grep linux

显示当前的内核

uname -a

升级内核

apt-get dist-upgrade

删除内核

sudo apt-get remove 内核名

带有image的文件是需要删除的，一定要写全版本等字符。其他相关的文件会自动删除。

例如：

sudo apt-get remove –purge linux-image-2.6.24-19-generic

–purge参数表示彻底删除。

另外，我删除2.6.24-19的内核时，忘了自己当前正使用此内核。不过，幸好有惊无险。删除不了当前使用的内核。

更新menu.list

sudo update-grub

先将menu.list备份，然后改名或删除。这样会自动重建文件。然后将原来的menu.list 中需要的东西拷贝到新的menu.list中。

重建时，grub不会将其他系统的引导信息也添加进去。需要的从原来的文件中复制一下就行了。

系统垃圾清理

sudo apt-get autoclean 清理旧版本的软件缓存
sudo apt-get clean 清理所有软件缓存
sudo apt-get autoremove 删除系统不再使用的孤立软件

参考网页：

http://gflyer2911.spaces.live.com/blog/cns!1966A72836DAFE56!148.entry

Ubuntu Linux与Windows系统不同，Ubuntu Linux不会产生无用垃圾文件，但是在升级缓存中，Ubuntu Linux不会自动删除这些文件，今天就来说说这些垃圾文件清理方法。

1，非常有用的清理命令：

sudo apt-get autoclean
sudo apt-get clean
sudo apt-get autoremove

这三个命令主要清理升级缓存以及无用包的。

2，清理opera firefox的缓存文件：

ls ~/.opera/cache4
ls ~/.mozilla/firefox/*.default/Cache

3，清理Linux下孤立的包：

图形界面下我们可以用：gtkorphan
sudo apt-get install gtkorphan -y
终端命令下我们可以用：deborphan
sudo apt-get install deborphan -y

4，卸载：tracker

这个东西一般我只要安装Ubuntu就会第一删掉tracker 他不仅会产生大量的cache文件而且还会影响开机速度。所以在新得利里面删掉就行。

5，删除多余的内核：一定不要删错哦，切记！！

打开终端敲命令：dpkg --get-selections|grep linux

有image的就是内核文件

删除老的内核文件：

sudo apt-get remove 内核文件名 （例如：linux-image-2.6.27-2-generic）

内核删除，释放空间了，应该能释放130－140M空间。

最后不要忘了看看当前内核：uname -a

附录：

包管理的临时文件目录:

包在

/var/cache/apt/archives

没有下载完的在

/var/cache/apt/archives/partial

使用Ubuntu一段时间后，就会发觉由于自动升级，系统里安装了很多内核。像我，竟然安装了下面那么多，这个造成了漫长的启动列表。必须删掉一些不用的。

首先就是使用如下命令，列出所有安装的内核，下表中，带有image的就是内核文件。从中选择要卸载的包，用apt-get来卸载

[tc@ibm:~]$ dpkg --get-selections|grep linux
libselinux1 install
linux-386 install
linux-image-2.6.15-23-386 install
linux-image-2.6.15-27-386 install
linux-image-2.6.15-27-686 install
linux-image-2.6.15-28-386 install
linux-image-2.6.15-28-686 deinstall
linux-image-386 install
linux-kernel-headers install
linux-restricted-modules-2.6.15-23-386 install
linux-restricted-modules-2.6.15-27-386 install
linux-restricted-modules-2.6.15-27-686 install
linux-restricted-modules-2.6.15-28-386 install
linux-restricted-modules-2.6.15-28-686 deinstall
linux-restricted-modules-386 install
linux-restricted-modules-common install
linux-sound-base install
util-linux install

具体的卸载方法为
sudo apt-get remove linux-image-2.6.15-23-386

这样就可以实现自动删除内核文件了，还可以释放磁盘空间。

另外还要记录一个命令。
uname -a

使用这个命令可以查看当前系统使用的内核。

Nokia PC Suite on windows2003

Nokia PC Suite 7.0.9.2 on win2003

因為PC一直不穩,我想說還是用我以前常用的windows server 2003好了..
沒想到甚麼都搞定了以後Nokia PC suite給我來個不支援..
我google了半天也是沒有一個人說過話
可能很少人會用server當機子吧
反正我用了相容性設定來安裝
竟然好了


連線也ok...
也不知道怎麼回事Nokia就不肯說他也可以support 2003,
到底是為什麼呢 ?
這先留在這,如果萬一我crush的時候再說嚕...

把PPT变成EXE文件

几 乎每一个经常使用Powerpoint软件的人都曾经有过这样的想法：能不能把所有需要的文件（PPT播放程序、PPT文件、声音视频等外部文件）都封装 到一个EXE文件中呢？这样，不但方便（全部只有一个文件）还可以起到保护源文件的作用。答案是肯定的，而且完全不需要其他高级程序，只要有 PowerPoint Viewer 2003 （因为pptview97对高版本支持不好，所以采用2003版本）和WinRAR两个软件就能实现。
（一）准备：
①幻灯片源文件（你要打包的幻灯片源程序，如*.PPT/PPS/POT）；
②Microsoft Office PowerPoint Viewer 2003（PPT播放程序）；
③WinRAR（我用的是3.30中文版）。
（二）步骤：
第一步：
①安装Microsoft Office PowerPoint Viewer 2003 ；
② 把C:\Program Files\Microsoft PowerPoint Viewer\ 内的文件都复制到工作文件夹ABC中（包 括：ppvwintl.dll; unicows.dll; gdiplus.dll; icons.icl; pptview.exe; saext.dll; intldate.dll）；
③把你要打包的PPT文件（如123.ppt和需要的声音视频文件）也复制到ABC文件夹内。
第二步：
安装WinRAR3.30中文版，接下来步骤全部用WinRAR完成。
①选中ABC文件夹内的所有文件，在选中文件上点击右键，选择“添加到档案文件(A)...”。

② 出现“档案文件名字和参数”窗口。在“常规”标签中的“创建释放格式档案文件(X)”选项前打勾，并为档案文件任取一个文件名（如 123.exe），注意以EXE结尾，然后点击“高级”标签。“压缩方式”最好选择“存储”，这样打开的速度最快。当然，假如空间紧张也可以适当调整。

③在“高级”标签中点击“SFX选项(X)…”按钮。

④出现“高级自释放选项”窗口。在“常规”标签下的“释放后运行（F）”中，输入：“pptview.exe 123.ppt”，pptview.exe和123.ppt中间有一空格。

⑤在“模式”标签中，在“解压到临时文件夹（T）”前打上勾；“缄默模式”选择“全部隐藏”。这样可以在打开文件时，不出现任何提示，播放幻灯片；并在退出演示后，不在演示电脑上留下任何痕迹。

⑥在“文字和图标”标签中，“自定义SFX图标”中给即将生成的EXE文件指定一个ICO图标。也可以不指定，使用默认的SFX图标了。强烈建议指定一个个性化的图标，这样一般人就看不出这是用WinRAR制作的了。

⑦确定再确定之后，开始压缩，最后生成一个123.exe文件。

　 　双击123.exe，开始播放幻灯片，退出之后在演示电脑内没有留下任何痕迹，目的达到。这样的一个exe文件，体积比PPT源文件增 加了4.5M左右（主要是PowerPoint Viewer 2003），假如在“压缩方式”中选择压缩选项，体积还可以进一步缩小2M左右。

cisco的DAI技术

内容摘要：ARP防范在全部是Cisco交换网络里，可以通过帮定每台设备的ip和mac地址可以解决。但是这样做比较麻烦，可以用思科 Dynamic ARP Inspection 机制解决。

　　ARP防范在全部是Cisco交换网络里，可以通过帮定每台设备的ip和mac地址可以解决。但是这样做比较麻烦，可以用思科 Dynamic ARP Inspection 机制解决。

　　防范方法

　　思科 Dynamic ARP Inspection (DAI)在交换机上提供IP地址和MAC地址的绑定， 并动态建立绑定关系。DAI 以 DHCP Snooping绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN，对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。

　　配置示例

　　IOS 全局命令：

　　ip dhcp snooping vlan 100,200

　　no ip dhcp snooping information option

　　ip dhcp snooping

　　ip arp inspection vlan 100,200 /* 定义对哪些 VLAN 进行 ARP 报文检测

　　ip arp inspection log-buffer entries 1024

　　ip arp inspection log-buffer logs 1024 interval 10

　　IOS 接口命令：

　　ip dhcp snooping trust

　　ip arp inspection trust /* 定义哪些接口是信任接口，通常是网络设备接口， TRUNK 接口等

　　ip arp inspection limit rate 15 (pps) /* 定义接口每秒 ARP 报文数量

　　对于没有使用 DHCP 设备可以采用下面办法：

　　arp access-list static-arp

　　permit ip host 10.66.227.5 mac host 0009.6b88.d387

　　ip arp inspection filter static-arp vlan 201

　　配置DAI后的效果：

　　在配置 DAI技术的接口上，用户端不能采用指定地址地址将接入网络。

　　由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系，无法实施中间人攻击，攻击工具失效。

　　下表为实施中间人攻击是交换机的警告：

　　3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16,

　　vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2

　　由于对 ARP请求报文做了速度限制，客户端无法进行认为或者病毒进行的IP扫描、探测等行为，如果发生这些行为，

　　交换机马上报警或直接切断扫描机器。如下表所示：

　　3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******报警

　　3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/ 30 in err-disable state ******切断端口

　　I49-4500-1#.....sh int f.5/30

　　FastEthernet5/30 is down, line protocol is down (err-disabled)

　　Hardware is Fast Ethernet Port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d)

　　MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,

　　reliability 255/255, txload 1/255, rxload 1/255

　　I49-4500-1#......

　　用户获取 IP地址后，用户不能修改IP或MAC，如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可，

　　对于这种修改可以使用下面讲到的 IP Source Guard技术来防范。下表为手动指定IP的报警：

　　3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30,

　　vlan 1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC Fri Dec 29 2000 ])

手把手教你配置Windows2003集群

集群是在一组计算机上运行相同的软件并虚拟成一台主机系统为客户端与应用提供服务；计算机通过缆线物理连接并通过集群软件实现程序上的连接，可以使计算机 实现单机无法实现的容错和负载均衡。集群技术在企业组织部署关键业务、电子商务与商务流程应用等领域，具有举足轻重的作用。

本文主要带领大家一起，参与到基于Windows2003操作系统的集群配置中来，从以下的配置过程中，希望读者朋友能切实了解到Windows2003集群技术在Windows2003中的具体应用。

一、总体情况

Windows Server 2003的企业版和Datacenter版都可以支持最大达8个节点的集群配置；其典型的特征是可为数据库、消息系统、文件与打印服务这些关键业务应用， 提供高可用性和可扩展性，在集群中的多个服务器（节点）保持不间断的联系。即是说如果在集群中的某一节点因出错或维护不可用时，另一节点会立刻提供服务， 以实现容错。正在访问服务的用户可以继续访问，而不会察觉到服务已经由另一台服务器（节点）提供。

二、安装前准备

集群服务作为Windows Server 2003 操作系统的一个主要部分，不再是一个可选的组件。以下配置过程主要分为“安装前准备”、“服务安装”以及“创建集群”三方面进行。

在这一步中，主要明白在软、硬件方面都应作怎样的准备，才能让集群服务正常安装并运行起来。首先在软件方面，要求群集中的所有计算机上均安装有 Windows Server 2003操作系统；需要有一个域名解析系统；所有的节点必须是同一个域的成员，需要一个域级账户，而且要是每个节点上的本地管理员组的成员。

硬件方面，要求群集中的每个节点拥有两块网卡；每个节点上的所有网络界面均拥有静态IP地址；一个唯一的NetBIOS名称；群集磁盘上的所有分区必须格式化为NTFS等等。

三、服务安装

在第一个节点上开始安装群集服务前，必须先在每一个群集节点上执行以下步骤：

• 在每个节点上安装 Windows Server 2003操作系统。
  
• 设置网络。
  
• 设置磁盘。

提示：要配置群集服务，您必须以一个具有所有节点管理权限的账户登录。每个节点都必须是同一个域的成员。如果您选择将其中一个节点作为域控制器，则应在相同的子网上再设置一个域控制器，以便消除单点故障，并对该节点进行维护。

关于Windows 2003操作系统的具体安装过程，这里不再详述，大家可以参考Microsoft相关技术文档。这里主要介绍余下两步。

1：设置网络

每个群集节点要求至少要有两块网卡用于两个或多个独立网络，以避免单点故障。其中一个网络适配器用于连接到公用网络，而另一个则用于连接到仅由群集节点组成的专用网络。拥有多个网络适配器的服务器被称为“多宿主”。在这部分的网络配置中，可从以下几方面进行。

• 规划好两块网卡的名称
  
  依次在“控制面板/网络连接”中，右击本地连接的网卡图标，选择“重命名”命令，将此连接命名为“专用”；然后将另一个网卡连接图标命名为“公用”。新的连接名称将出现在“群集管理器”中，并将在联机时自动复制到其他所有的群集节点。
  
  
• 确定绑定的顺序网络
  
  在“网络连接”窗口内，依次单击主菜单上的“高级/高级设置”命令，在弹出的窗口中确定顺序为公用、专用和远程访问连接，如图1所示。
  
  
  
  
  
  
  

  图1

  
  
• 配置专用连接属性
  
  步骤1：在网络连接窗口中，右键单击专用连接图标，选择属性命令。
  步骤2：在“常规选”项卡下，清除所有其他客户端、服务和协议的复选框，确认只勾选了“Internet 协议 (TCP/IP)” 复选框，如图 2 所示。
  
  
  
  
  
  
  

  图2

  
  步骤3：在图3中单击右上角“配置”按钮，打开如图3所示界面后，在“高级”选项卡下，为网卡选择一个合适的传输速度值；建议将同一路径上的所有设备设定为 10 兆字节每秒 (Mbps) 和半双工，即保证集群环境内所有网卡速率保持一致。
  
  
  
  
  
  
  

  图3

  
  步 骤4：配置专用网络网卡地址。在图2所示界面中双击“Internet 协议 (TCP/IP)”，在打开的如图4所示IP地址配置界面中，为专用网络的网卡配置唯一的IP地址。比如可将10.0.0.0 到 10.255.255.255 (A 类)的地址段作为集群环境的专用IP地址段。
  
  
  
  
  
  
  

  图4

  
  步骤5：然后单击IP地址配置界面右下角的“高级”按钮。确保清除了在 DNS 中注册此连接的地址和在 DNS 注册中使用此连接的 DNS 后缀复选框；然后切换到“WINS”选项卡，勾选“禁用TCP/IP上的NetBIOS”选项，如图5所示。
  
  
  
  
  
  
  

  图5

  
  提示：以上三方面的内容在群集中的所有其他节点上，都应进行同样的设置。
  
  
• 设置群集用户账户
  
  群集服务需要一个域用户账户，该账户应为每个可运行群集服务的节点上的“本地管理员”组成员。因为安装需要用户名和密码，所以该用户账户必须在配置群集服务前予以创建。该用户账户只能专门用于运行群集服务，而不能属于个人。
  
  依 次单击“开始/程序/管理工具/ Active Directory 用户和计算机”后，即可开始创建过程。注意最后在“Active Directory 用户和计算机”管理单元的左侧窗格中，右击群集后选择将成员添加到组；然后单击管理员，这样将给予新用户账户在该计算机上的管理特权。

2：设置磁盘

设置磁盘时注意，为了避免破坏群集磁盘，在其他节点上启动操作系统前，确认至少在一个节点上安装、配置并运行了 Windows Server 2003 和群集服务。在完成群集服务配置之前，所开启的节点数不要超过一个，这一点至关重要。

• 创建仲裁磁盘
  
  仲裁磁盘用于存储群集配置数据库检查点和日志文件，日志文件可协助管理群集和维护一致性。一般情况下应创建一个最小 50 MB 的逻辑驱动器用来作为仲裁磁盘。
  
  
• 配置共享磁盘
  
• 共享磁盘的配置，主要是从硬盘空余空间中分配一个仲裁磁盘和最少一个数据磁盘出来，用于集群管理（最好再加装一块硬盘，专用于集群）； 然后右击磁盘分区，选择“格式化”命令；接着在如图6所示窗口中，在卷标框中，键入该磁盘的名称；然后选择“NTFS”文件系统；最后单击“确定”按钮即 可。
  
  
  
  
  
  
  

  图6

  
  提示：为共享磁盘分配驱动器卷标至关重要，因为在还原磁盘时这会大大减少故障排除时间。

四、创建集群

通过以上准备工作后，即可开始集群的创建。操作步骤如下所示：

步骤1：依次单击“开始/程序/管理工具/群集管理器”选项，然后打开如图7所示对话框；从下拉列表中选择“创建新群集”。

图7

步骤2：然后会弹出群集创建的向导，单击“下一步”后，在如图8所示设置窗口中，输入域名及集群名后单击“下一步”按钮。

图8

步骤3：然后输入将要作为第一个节点创建群集的服务器的名称，如图9所示。

提示：如果在本地使用一个不属于具有本地管理特权的域帐户的账户登录，向导将提示您指定一个新账户。这不是启动群集服务所用的帐户。

图9

步骤4：接着会弹出如图10所示界面。这里是在查找可能导致安装出现问题的硬件或软件问题。检
查所有警告或错误信息。您还可以单击详细信息按钮，了解有关每个警告或提示的详细信息。　　

图10

步骤5：接着会提示输入唯一的群集 IP 地址。创建向导在这当中通过使用子网掩码选择正确的网络，自动与其中一个公用网络关联群集 IP 地址。这里提醒大家注意：群集 IP 地址只能用于管理，而不能用于客户端连接。　

步骤6：然后输入在预安装时创建的群集服务账户的用户名和密码，并选择好域名；此时群集配置向导将验证用户账户和密码。

步骤7：然后是一些确认页面，一切无误后，即可在最后的窗口中单击“完成”按钮；最后的群集管理器配置完成窗口如图11所示。

图11

五、后记

Windows Server 2003 家族提供了两种类型的集群服务：服务器集群和网络负载均衡。在以上部分中，重点给大家介绍了服务器集群从准备到安装的全过程，而网络负载均衡却并没有过多 的涉及，其实该服务的功能也是强大且实有的，它有效增强了Web服务器、流媒体服务器、终端服务器等Internet服务器程序的可用性和扩展性；可与现 存Web服务器群结构无缝集成。

把电脑加入域后，设置自动登陆

保存为： 自动登陆.vbs

On Error Resume Next
Dim zesoUser,zesoPassword,zesoChange
zesoChange = MsgBox ("选择Y开始设置自动登陆，N取消自动登陆",vbYesNo,"系统自动登陆器.eddie")
If zesoChange = vbYes Then
zesoUser = InputBox (" 网盟专用","系统自动登陆器.eddie","请在这里输入您要自动登陆的用户名")
zesoPassword = InputBox (" 网盟专用","系统自动登陆器.eddie","请在这里输入您要自动登陆的用户密码")
Set WshShell = wscript.CreateObject ("wscript.shell")
WshShell.RegWrite "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Defaultpassword", zesoPassword ,"REG_SZ"
WshShell.RegWrite "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Autoadminlogon", 1 ,"REG_SZ"
WshShell.RegWrite "HKLM\Software\Microsoft\Windows

GPUpdate 刷新组策略设置(使组策略立即生效)

Windows中修改组策略后，重启计算机能使组策略生效，但是使用gpupdate命令可以立即刷新组策略使设置生产。

gpupdate 命令可刷新本地组策略设置和基于 Active Directory 的组策略设置，包括运行该命令的计算机上的安全设置。您可以在装有 Windows XP 和更高版本的计算机上本地使用 gpupdate 立即刷新策略。在运行 Windows 2000 的计算机上，通过使用带有 /refreshpolicy选项的 secedit 命令可以提供此功能。
语法

Gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot]
参数

/target:{computer | user}

只处理 Computer 设置或当前的 User 设置。默认情况下，将同时处理计算机设置和用户设置。

/force

忽略所有处理优化并重新应用所有设置。客户端上的组策略引擎跟踪应用于用户和计算机的 GPO 版本。默认情况下，如果任何 GPO 版本都没有更改，并且 GPO 的列表依然相同，则组策略引擎将不会重新处理策略。此选项将替代此优化功能，并强制组策略引擎重新处理所有策略信息。

/wait:value

策略处理等待完成的秒数。默认值为 600 秒。0 表示“不等待”，-1 表示“无限期等待”。

/logoff

刷新完成后才注销。对于在后台刷新周期内不进行处理、而在用户登录时进行处理的那些组策略客户端扩展来说（例如，用户软件安装和文件夹重定向）），该选项为必需选项。如果没有调用要求用户注销的扩展，则该选项无效。

/boot

刷新完成后重新启动计算机。对于在后台刷新周期内不进行处理、而在计算机启动时进行处理的那些组策略客户端扩展来说（例如，计算机软件安装），该选项为必需选项。如果没有调用要求重新启动计算机的扩展，则该选项无效。

/?

在命令提示符下显示帮助。
注释
•

如果出现语法错误，则会以类似于该“帮助”主题的方式显示语法摘要。
示例

下面的示例说明了如何使用 gpupdate 命令：
•

gpupdate
•

gpupdate /target:computer
•

gpupdate /force /wait:100
•

gpupdate /boot
格式图例

格式 意义

斜体


用户必须提供的信息

粗体


用户必须像显示的一样准确键入的元素

省略号 (...)


可在命令行中重复多次的参数

在方括号 ([]) 之间


可选项目

在大括号 ({}) 之间；将选项用管道 (|) 隔开。示例：{even|odd}


用户必须从中只选择一个选项的选项集

Courier font


代码或程序输出

Cisco路由器存储器及IOS升级

一、首先介绍Cisco路由器的存储器

路由器与计算机有相似点是，它也有内存、操作系统、配置和用户界面，Cisco路由器中，操作系统叫做
互连网操作系统（Internetwork Operating System）或IOS。下面主要介绍路由器的存储器。

ROM:只读存储器包含路由器正在使用的IOS的一份副本；

RAM:IOS将随机访问存储器分成共享和主存。主要用来存储运行中的路由器配置和与路由协议有关的IOS数据结构；

闪存(FLASH)：用来存储IOS软件映像文件，闪存是可以擦除内存，它能够用IOS的新版本覆写，IOS升级主要是闪存中的IOS映像文件进行更换。

NVRAM：非易失性随机访问存储器，用来存储系统的配置文件。

下表是常用类型路由器的内存功能。

表：路由器内存详细信息一览表

内存类型
2500、2600、3600
4000、7000

ROM
不能升级的基本IOS
可升级IOS

共享RAM
存储缓冲区
存储缓冲区

主RAM
只有路有表和IOS数据结构
从闪存装入IOS, 路有表和IOS数据结构

闪存(FLASH)
包含IOS(路由器从闪存运行IOS)
包含IOS

NVRAM
配置文件
配置文件


　

注：因为2500、2600、3600系列从闪存中运行IOS，所以，在路由器运行期间，2500、2600、3600可能没有足够的内存升级IOS。在4000、7000系列中，IOS在主RAM中运行，因此，在路由器运行期间，闪存能够升级。

　

二、安装TFTP服务器软件。此类软件有TFTPServer等（http://cisco-net.myrice.com网站上有该软件），在这里假设装有该软件的计算机IP地址为10.10.10.1。

　

三、路由器IOS升级及配置文件的保存

　

Cisco 把它的系统软件存放在Flash memory里，每次启动路由器时，从Flash memory里调出系统并执行它。开机后进入初始化配置或 用"configer"，"setup"作配置后,所作的配置要保存起来以便下一次启动直接运行，这就是配置文件了。配置文件存在非易失的NVRAM中。 配置文件分成start-up configer和running configer两种。Start-up configer是开机时启动NVRAM配 置。由于Cisco路由器指令系统是即时生效的，故运行的配置可能与启动时的配置不同，把running configer写到NVRAM中才是 start-up configer。

　

路由器的系统文件和配置文件都可以象主机一样拷贝进来,拷贝出去。

　

1、升级系统映象和配置文件

当系统出现故障，系统升级，配置文件拷贝，我们需要把服务器里软件拷贝到路由器里。把系统映象从网络服务器拷贝到Flash Memory。网络上要有台计算机作TFTP Server，用TFTP把系统文件拷贝到路由器的Flash memeory中。

建议大家在作系统升级时，为防止不正确操作等引起的升级失败，请先把路由器原有的系统备份下来，包括FLASH中IOS和NVRAM中的配置文件。


拷贝系统文件到Flash memory：

copy tftp flash

copy tftp file-id (Cisco 7000,7200和7500系列)

　

cisco2600# copy tftp flash

IP address or name of remote host [255.255.255.255]?10.10.10.1(TFTP服务器地址)

Name of file to copy? c3640-is-mz_120-7_t.bin（该文件要存放在TFTP服务器TFTP软件目录下）

Copy c3640-is-mz_120-7_t.bin from 10.10.10.1 into flash memory? [confirm]

Flash is filled to capacity.

Erasure is needed before flash may be written.

Erase flash before writing? [confirm]

eeeeeeeeeeeeeeee...

Loading from 10.10.10.1:!!!!...

[OK - 8141044/8388608 bytes]

Verifying via checksum...
vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv vvvvvvvvvvvvvvvvvvvvvvvvvvvvv

Flash verification successful. Length = 8141044, checksum = 0x12AD

　

把配置文件从网络服务器拷贝到路由器NVRAM。

从TFTP Server中把文件拷入路由器 copy tftp running-config 或copy tftp startup-config 。

　

2、备份系统映象和配置文件

把系统文件和配置文件保存在网中的服务器上是一个很好的做法，帮助你在系统或配置文件丢失时,尽快恢复系统正常运行。

拷贝系统映象到网络服务器，首先显示IOS文件的文件名： show flash ，拷贝系统文件到TFTP Server：copy flash tftp。

拷贝配置文件到网络服务器，把配置文件保存在TFTP Server中 copy running-config tftp 或copy startup-config tftp 。

　

以上是我在工作中总结的经验，供大家参考。升级过程还需注意以下几点：

配置路由器的计算机最好能使用串口接到路由器的CONSOL口上，TFTP服务器软件安装在该计算机上，以利于将IOS文件可靠的传送。TFTP服务器的IP的地址要和路由器的以太网口在一个网段上。
网络大家在升级IOS时要注意，升级新版本IOS文件如果大于FLASH内存容量时，应增加FLASH容量。
请大家在做升级时一定要慎重，以免丢失操作系统文件，不能启动系统。

Cisco交换机的ACL 过滤经典配置

在交换机上创建 ACL 时， 可以用字符串也可以用数字来命名 ACL，一般可采用

字符串+数字的方式加以命名，以便于识别；至于是标准 ACL 还是扩展ACL，是通过字段来识
别的，如标准 ACL 用standard 识别，扩展 ACL 用extended 识别。
下例的配置显示如何在交换机上创建一条扩展 ACL，名字为 anti-virus，并将这条 ACL 应用
到 fastEthernet 0/1 端口的 in 方向：
Switch#configure terminal
Switch(config)#ip access-list extended anti-virus
Switch(config-ext-nacl)#deny tcp any any eq 135
Switch(config-ext-nacl)#deny tcp any any eq 136
Switch(config-ext-nacl)#deny tcp any any eq 137
Switch(config-ext-nacl)#deny tcp any any eq 138
Switch(config-ext-nacl)#deny tcp any any eq 139
Switch(config-ext-nacl)#deny tcp any any eq 445
Switch(config-ext-nacl)#deny tcp any any eq 593
Switch(config-ext-nacl)#deny tcp any any eq 4444
Switch(config-ext-nacl)#deny tcp any any eq 5554
Switch(config-ext-nacl)#deny tcp any any eq 9995
Switch(config-ext-nacl)#deny tcp any any eq 9996
Switch(config-ext-nacl)#deny udp any any eq 135
Switch(config-ext-nacl)#deny udp any any eq 136
Switch(config-ext-nacl)#deny udp any any eq 137
Switch(config-ext-nacl)#deny udp any any eq 138
Switch(config-ext-nacl)#deny udp any any eq 139
Switch(config-ext-nacl)#deny udp any any eq 445
Switch(config-ext-nacl)#deny udp any any eq 593
Switch(config-ext-nacl)#deny udp any any eq 1434
Switch(config-ext-nacl)#deny udp any any eq 4444
Switch(config-ext-nacl)#deny udp any any eq 5554
Switch(config-ext-nacl)#deny udp any any eq 9995
Switch(config-ext-nacl)#deny udp any any eq 9996
Switch(config-ext-nacl)#permit ip any any
Switch(config-ext-nacl)#exit
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#ip access-group anti-virus in
Switch(config-if)#^Z
Switch#

注意事项：
任意一条扩展 ACL 的最后都默认隐含了一条 deny ip any any 的 ACE 表项。如果您不想
让该隐含 ACE 起作用，则您必须手工设置一条 permit ip any any 的 ACE 表项，以让不
符合其它所有 ACE 匹配条件的报文通过；
在有些应用中还会用到上述的一些端口，比如 TCP/UDP 的 137、138，此时就要将这些端
口从扩展 ACL 中去掉；

CBAC and NAT配置举例

　　3640 Router 
　　Current configuration: 
　　! 
　　version 12.0 
　　service timestamps debug uptime 
　　service timestamps log uptime 
　　no service password-encryption 
　　! 
　　hostname sec-3640 
　　! 
　　aaa new-model 
　　aaa group server tacacs+ RTP 
　　server 171.68.120.214 
　　! 
　　aaa authentication login default group RTP none 
　　aaa authorization exec default group RTP none 
　　aaa authorization auth-proxy default group RTP 
　　enable secret 5 $1$pqRI$3TDNFT9FdYT8Sd/q3S0VU1 
　　enable password ww 
　　! 
　　ip subnet-zero 
　　! 
　　ip inspect name myfw cuseeme timeout 3600 
　　ip inspect name myfw ftp timeout 3600 
　　ip inspect name myfw http timeout 3600 
　　ip inspect name myfw rcmd timeout 3600 
　　ip inspect name myfw realaudio timeout 3600 
　　ip inspect name myfw smtp timeout 3600 
　　ip inspect name myfw sqlnet timeout 3600 
　　ip inspect name myfw streamworks timeout 3600 
　　ip inspect name myfw tftp timeout 30 
　　ip inspect name myfw udp timeout 15 
　　ip inspect name myfw tcp timeout 3600 
　　ip inspect name myfw vdolive 
　　ip auth-proxy auth-proxy-banner 
　　ip auth-proxy auth-cache-time 10 
　　ip auth-proxy name list_a http 
　　ip audit notify log 
　　ip audit po max-events 100 
　　cns event-service server 
　　! 
　　interface FastEthernet0/0 
　　ip address 40.31.1.144 255.255.255.0 
　　ip access-group 116 in 
　　no ip directed-broadcast 
　　ip nat outside 
　　ip auth-proxy list_a 
　　no ip route-cache 
　　no ip mroute-cache 
　　speed auto 
　　half-duplex 
　　no mop enabled 
　　! 
　　interface FastEthernet1/0 
　　ip address 10.14.14.14 255.255.255.0 
　　no ip directed-broadcast 
　　ip nat inside 
　　ip inspect myfw in 
　　speed auto 
　　half-duplex 
　　no mop enabled 
　　! 
　　! --- (interfaces deleted) 
　　! 
　　nat pool outsidepool 40.31.1.50 40.31.1.60 netmask 255.255.255.0 
　　ip nat inside source list 1 pool outsidepool 
　　ip nat inside source static 10.14.14.15 40.31.1.77 
　　ip classless 
　　ip route 0.0.0.0 0.0.0.0 40.31.1.1 
　　ip route 171.68.118.0 255.255.255.0 40.31.1.1 
　　ip route 171.68.120.0 255.255.255.0 40.31.1.1 
　　no ip http server 
　　! 
　　access-list 116 permit tcp host 171.68.118.143 host 40.31.1.144 eq www 
　　access-list 116 deny tcp host 171.68.118.143 any 
　　access-list 116 deny udp host 171.68.118.143 any 
　　access-list 116 deny icmp host 171.68.118.143 any 
　　access-list 116 permit icmp any any 
　　access-list 116 permit tcp any any 
　　access-list 116 permit udp any any 
　　dialer-list 1 protocol ip permit 
　　dialer-list 1 protocol ipx permit 
　　! 
　　tacacs-server host 171.68.120.214 
　　! 
　　line con 0 
　　transport input none 
　　line aux 0 
　　line vty 0 4 
　　password ww 
　　! 
　　end

H3C 交换机配置文件备份方法

1、首先在一台计算机上运行TFTP Server软件，这里使用的是SolarWinds TFTP Server 8.0，在设置中配置好Root 目录；在安全中配置好文件的传送方向（接收、发送、发送\接收）；高级中可以配置允许通过的IP地址段，这里不做配置；之后就可以登录交换机进行配置文件的传送了。
2、通过Telnet登录到SMC交换机，在特权模式下输入如下命令：
tftp 172.20.34.2  put config.cfg  config.cfg   \\这条命令的意思是将该交换机的config.cfg配置文件通过TFTP上传到TFTPserver 172.20.34.2上，文件名为config.cfg
  File will be transferred in binary mode.  Copying file to remote tftp server. Please wait... |  TFTP:     2881 bytes sent in 0 second(s).  File uploaded successfully.       \\看到上面的4行，表示文件上传成功。
3、文件保存在第1步设置的Root目录中。
4、当要将备份的配置文件下载到交换机上时则使用下面的命令：
tftp 172.20.34.2  get config.cfg  config.cfg   

用3662做NAT＋Firewall的配置实例

　　Building configuration...

　　 Current configuration : 1966 bytes

　　 !

　　 ! Last configuration change at 18:34:27 UTC Fri Nov 29 2002

　　 ! NVRAM config last updated at 18:01:28 UTC Fri Nov 29 2002

　　 !

　　 version 12.1

　　 no service single-slot-reload-enable

　　 service timestamps debug uptime

　　 service timestamps log uptime

　　 service password-encryption

　　 !

　　 hostname cisco3662

　　 !

　　 enable secret 5

　　 enable password 7

　　 !

　　 ip subnet-zero

　　 no ip domain-lookup

　　 !

　　 ip inspect name internetin cuseeme timeout 3600

　　 ip inspect name internetin ftp timeout 3600

　　 ip inspect name internetin h323 timeout 3600

　　 ip inspect name internetin http timeout 3600

　　 ip inspect name internetin rcmd timeout 3600

　　 ip inspect name internetin realaudio timeout 3600

　　 ip inspect name internetin smtp timeout 3600

　　 ip inspect name internetin sqlnet timeout 3600

　　 ip inspect name internetin streamworks timeout 3600

　　 ip inspect name internetin tcp timeout 3600

　　 ip inspect name internetin tftp timeout 30

　　 ip inspect name internetin udp timeout 15

　　 ip inspect name internetin vdolive timeout 3600

　　 ip audit notify log

　　 ip audit po max-events 100

　　 !

　　 !

　　 interface FastEthernet0/0

　　 ip address 211.123.212.2 255.255.255.128

　　 ip nat outside

　　 ip inspect internetin in

　　 duplex auto

　　 speed auto

　　 !

　　 interface FastEthernet0/1

　　 no ip address

　　 shutdown

　　 duplex auto

　　 speed auto

　　 !

　　 interface FastEthernet1/0

　　 ip address 172.16.255.106 255.255.255.224

　　 ip nat inside

　　 duplex auto

　　 speed auto

　　 !

　　 ip nat pool outpool 211.123.212.65 211.123.212.85 netmask 255.255.255.128

　　 ip nat inside source list 11 pool outpool overload

　　 ip classless

　　 ip route 0.0.0.0 0.0.0.0 211.123.212.1

　　 ip route 172.16.0.0 255.255.0.0 FastEthernet1/0

　　 ip route 192.168.0.0 255.255.0.0 FastEthernet1/0

　　 no ip http server

　　 !

　　 access-list 11 permit 172.16.0.0 0.0.255.255

　　 access-list 11 permit 192.168.0.0 0.0.255.255

　　 !

　　 !

　　 line con 0

　　 exec-timeout 5 0

　　 line aux 0

　　 line vty 0 4

　　 exec-timeout 5 0

　　 password 7

　　 login

　　 !

　　 end

通过源IP 地址对Telnet 登录用户进行控制

通过源IP 地址对Telnet 登录用户进行控制，仅允许IP 地址为10.110.100.52 的
Telnet 用户登录到交换机
# 定义基本ACL 2000。
system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[H3C-acl-basic-2000] quit
# 在VTY 用户界面引用基本ACL 2000，对Telnet 登录用户进行控制。
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] acl 2000 inbound

h3c S5600 镜像端口配置

system-view
mirroring-group 1 local
mirroring-group 1 mirroring-port GigabitEthernet 1/0/11 both (监听口，如果还有依次增加)
.....
mirroring-group 1 mirroring-port GigabitEthernet 1/0/20 both

mirroring-group 1 monitor-port GigabitEthernet 1/0/24 (分析口，接安装了公安监控软件的电脑)
配置完成之后输入以下命可以显示镜像组1的配置情况
display mirroring-group 1

使用Telnet远程管理PIX详解及配置

在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令浏览第三接口。列表从上往下的第三项是第三接口。 
串行控制台让单一用户配置PIX防火墙，但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后，您就可使用Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容： 

配置Telnet控制台访问（Configuring Telnet Console Access） 

测试Telnet访问（Testing Telnet Access） 

保护外部接口上的Telnet连接（Securing a Telnet Connection on the Outside Interface） 

Trace Channel特性（Trace Channel Feature） 

(一)、配置Telnet控制台访问（Configuring Telnet Console Access） 
按照以下步骤来配置Telnet控制台访问： 
步骤1 
使用PIX防火墙telnet命令。例如，如想让一台位于内部接口之上、 地址为192.168.1.2的主机访问PIX防火墙，就输入以下命令。 
telnet 192.168.1.2 255.255.255.255 inside 
如果设置了IPSec，您即可让位于外部接口上的主机访问PIX防火墙控制台。具体信息请参见"保护外部接口上的Telnet连接（Securinga Telnet Connection on the Outside Interface）"部分。使用如下命令。telnet 209.165.200.225 225.255.225.224 outside 
步骤2 
如需要，可对PIX防火墙在断开一个Telnet会话前，该会话可闲置的时间长度进行设置。默认值5分钟对大多数情况来说过短，需予以延 
长直至完成所有生产前测试和纠错。按下例所示设置较长的闲置时间。telnet timeout 15; 
步骤3 
如果您想用认证服务器来保护到控制台的访问，您可使用aaa authentication telnet console命令，它需要您在验证服务器上有一个用户名和口令。当您访问控制台时，PIX防火墙提示您提供这些登录条件。如果验证服务器离线，您仍可使用用户名pix和由enable password命令设置的口令访问控制台。 
步骤4 用write memory命令保存配置中的命令 

(二)、测试Telnet访问（Testing Telnet Access） 　执行以下步骤来测试Telnet访问： 步骤1 
从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正使用Windows 95或Windows NT，点击Start>Run来启动Telnet会话。例如， 
如果内部接口IP地址是192.168.1.1，输入以下命令。telnet 192.168.1.1 
步骤2 
PIX防火墙提示您输入口令： 
PIX passwd: 
输入cisco，然后按Enter键。您即登录到PIX防火墙上了。 
默认口令为cisco，您可用passwd命令来更改它。 
您可在Telnet控制台上输入任意您可从串行控制台上设置的命令，但如果您重启PIX防火墙，您将需在其重启动后登录PIX防火墙。 
一些Telnet应用，如Windows 95或Windows NT Telnet会话可能不支持通过箭头键使用的PIX防火墙命令历史记录特性。然而，您可按Ctrl-P来获取最近输入的命令。 
步骤3 
一旦您建立了Telnet访问，您可能想在纠错时浏览ping（探查）信息。您可用debug icmp trace命令浏览来自Telnet会话的ping信息。Trace Channel特性也对debug的显示有影响，这将在"Trace Channel特性（Trace Channel Feature）"中详述。 
成功的ping信息如下： 
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2>209.165.201.1 
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23 
步骤4 
此外，您可使用Telnet控制台会话来浏览系统日志信息： 
a. 用logging monitor 7命令启动信息显示。"7"将使所有系统日志级别均得以显示。如果您正在生产模式下使用PIX防火墙，您可能希望使用logging buffered 7命令唇?信息存储在您可用show logging命令浏览的缓存中，还可用clear logging命令清理缓存以便更方便地浏览。如想停止缓存信息，使用no logging buffered命令。 
您也可将数目从7降至较小值，如3，以限制所显示的信息数。b. 如果您输入logging monitor命令，然后输入terminal monitor命令来使信息在您的Telnet会话中显示。如想禁止信息显示，使用terminal no monitor命令。 
例1给出了使用Telnet允许主机访问PIX防火墙控制台的命令。 
例1 使用Telnet 
telnet 10.1.1.11 255.255.255.255 
telnet 192.168.3.0 255.255.255.0 
第一个telnet命令允许单一主机，10.1.1.11用Telnet访问PIX防火墙控制台。网络掩模的最后八位字节中的数值255表明只有指定主机可访问该控制台。 
第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX防火墙控制台。网络掩模的最后八位字节中的数值0允许那一网络中的所有主机进行访问。然而，Telnet只允许16台主机同时访问PIX防火墙控制台。 

(三)、保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface) 
本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容： ? 概述（Overview） 
? 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client) 
? 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client) 
概述（Overview） 
如果您正使用Cisco Secure Policy Manager 2.0或更高版本，本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中，PIX防火墙的外部接口的IP地址是168.20.1.5，Cisco Secure VPN Client的IP地址来自于虚拟地址池，为10.1.2.0。 
有关此命令的具体信息，请参见《Cisco PIX防火墙命令参考》中telnet命令页。 
您将需在您的VPN客户机上设置两个安全策略。一个用于保护您的Telnet连接，另一个保护您到内部网络的连接。 
使用Cisco Secure VPN Client (Using Cisco Secure VPN Client) 
本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行 
步骤1 
创建一个access-list命令语句，定义需从PIX防火墙到使用来自 
本地虚拟地址池中目的地址的VPN客户机而进行保护的流量access 
-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0 
步骤2 
定义哪台主机可用Telnet访问PIX防火墙控制台： 
telnet 10.1.2.0 255.255.255.0 outside 
从本地池和外部接口指定VPN客户机的地址。 
步骤3 
在VPN客户机中，创建一个安全策略，将远程方身份识别IP地址与网关IP地址定义为相同--PIX防火墙外部接口的IP地址。在此例中，PIX防火墙的外部IP地址为168.20.1.5。 
步骤4 
配置VPN客户机上的其它安全策略，以与PIX防火墙的安全策略相配。 
使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client) 
本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中，PIX防火墙外部接口的IP地址为168.20.1.5，Cisco VPN 3000 Client的IP地址来自于虚拟地址池，为10.1.2.0。 
定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。 
telnet 10.1.2.0 255.255.255.0 outside 


(四)、Trace Channel特性（Trace Channel Feature） 
debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。 
如果一个debug命令不使用Trace Channel，每个会话都独立运作，意味着任意从会话中启动的命令只出现在该会话中。在默认状态下，不使用Trace Channel的会话的输出是禁用的。 
Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话，还是您只使用PIX防火墙串行控制台： 
o 如果您仅使用PIX防火墙串行控制台，所有debug命令都显示在串行控制台上。 
o 如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台，那么无论您在何处输入debug命令，输出均显示在Telnet控制台会话上。 
o 如果您有2个或更多Telnet控制台会话，则第一个会话是Trace Channel。如果那一会话关闭，那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。 
debug 命令在所有Telnet和串行控制台会话间共享。 
注意 Trace Channel特性的缺点是，如果一位管理员正使用串行控制台，另一管理员启动一个Telnet控制台会话，则串行控制台上的debug命令输出会在毫无警告的情况下停止。此外，Telnet控制台会话上的管理员将突然看到debug命令的输出，这可能是其不希望出现的局面。如果您正使用串行控制台，且未出现debug命令的输出 ，使用who命令来查看是否有Telnet控制台会话正在运行。

PIX防火墙的基本排错的命令

本人将介绍一些Cisco公司的PIX防火墙的基本排错的命令，通过这些命令，我们可以监测到防火墙的性能。

show cpu usage
PIX只有一个CPU来完成所有的工作，从处理包到向console写debug信息。最消耗CPU资源的进程是加密，因此如果PIX要完成数据包的加密工作，最好使用加速卡或专用的VPN Concentrator.日志功能是另外一个消耗大量系统资源的进程。因此，建议在正常情况下关闭PIX向console, monitor, buffer写日志的功能。本命令的结果：
pixfirewall# show cpu usage
CPU utilization for 5 seconds = 1%; 1 minute: 2%; 5 minutes: 1%

show traffic
本命令可以看出在特定的时间内有多少流量流经PIX了。这个特定的时间是上次执行本命令到这次执行本命令的时间间隔。我们可以看到各个接口的数据流量情况。
pixfirewall# show traffic
outside:
received (in 124.650 secs):
295468 packets 167218253 bytes
2370 pkts/sec 1341502 bytes/sec
transmitted (in 124.650 secs):
260901 packets 120467981 bytes
2093 pkts/sec 966449 bytes/sec
inside:
received (in 124.650 secs):
261478 packets 120145678 bytes
2097 pkts/sec 963864 bytes/sec
transmitted (in 124.650 secs):
294649 packets 167380042 bytes
2363 pkts/sec 1342800 bytes/sec

show perfmon
这条命令监测PIX检查的数据的流量和类型。它可以判断出PIX上每秒所做的变换(xlates)和连接数(conn)。
PERFMON STATS Current Average
Xlates 18/s 19/s
Connections 75/s 79/s
TCP Conns 44/s 49/s
UDP Conns 31/s 30/s
URL Access 27/s 30/s
URL Server Req 0/s 0/s
TCP Fixup 1323/s 1413/s
TCPIntercept 0/s 0/s
HTTP Fixup 923/s 935/s
FTP Fixup 4/s 2/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
其中，较重要的有Xlates是每秒钟产生变换的数字；Connections是建立的连接数；TCP Fixup是指PIX每秒钟转发了多少TCP包；TCPIntercept是指有每秒多少SYN包已经超出了开始的设定值；

show block
和show cpu usage在一起使用，可以判断出PIX是否过载了。
当一个数据包进入防火墙的接口，会先排在input接口的队列中，根据数据帧的大小，又被分到不同的block中。如对于以太网帧，使用1550字节的block。如果数据是从千兆口进来的，会使用16384字节的block。PIX然后会根据ASA算法决定是否让包通过。如果PIX过载了，那相应的block会降到或接近0(看CNT这一列)。当该值降到0时，PIX会尝试申请更多的block,最多可到8192。如果没有block可用，包会被丢弃。
256字节的block是stateful failover信息。主PIX向从PIX发送这些包以更新xlates和connection信息。如果某段时间有大量的连接建立和拆除，256字节的block可能会降到0，就是说从PIX可能没有和主PIX同步。这个时间如果不长，是可以接受的，但如果长时间维持在0，需要考虑升级到更高速的PIX了。
另外，日志信息也是通过256字节的block向外部送出的，注意通常不需要将日志的级别设置成debug.
pixfirewall# show blocks
SIZE MAX LOW CNT
4 1600 1597 1600
80 400 399 400
256 500 495 499
1550 1444 1170 1188
16384 2048 1532 1538

show memory
可以看出PIX的内存以及当前可用的内存。正常情况下，PIX的可用内存的变化幅度不应该太大。如果突然发现内存快用光了，要检查是否用攻击发生。可以用show conn count命令看当前PIX中有多少连接，如果PIX内存耗尽，最终会crash.
pixfirewall# show memory
1073741824 bytes total, 1022992384 bytes free

show xlate
显示当前通过PIX的变换数和最多达到的变换数。一个变换是指一个内部地址变换成一个外部合法地址。一台机器可能会与外部的多个目标建立连接，但这时只有一个变换。如果显示的变换数远大于内部的机器数，可能是受到了网络攻击。
pixfirewall# show xlate count
84 in use, 218 most used

show conn count
可以看当前的PIX的最大的连接数。一个connection是一个内部4层信息到外部地址的映射。当PIX收到一个SYN包，就建立一个connection.过高connection数意味着受到了攻击，这时如果用show memory命令虽然连接数很高，但是并没有消耗掉PIX过多的内存资源。
pixfirewall# show conn count
2289 in use, 44729 most used

show interface
这条命令用来判断双工的匹配问题和电缆故障，也可以看出接口是否过载了。如果PIX的CPU资源耗尽了，那么1550字节的block会接近0，如果是千兆口，16384字节的block接近0。另外一个信号是”no buffers”的值不断增加，它表明接口接收包的速率太快，PIX来不及处理，也没有足够的block去承载，已经有丢包产生了。如果”no buffer”伴随着CPU的使用率升高，说明该考虑升级到性能更强的防火墙了。
当数据包进入接口时，被放在input hardware queue中，如果该queue满了，被放在input software queue中。包然后从input queue中被放到block中等待PIX OS的处理，PIX决定把包放到哪个出口，即哪个output hardware queue中，如果该queue满了，就放到output software queue中；如果每个软队列中的max blocks都很大，就称之为”overrun”。常见的情况是入口和出口的数据传输速率不匹配，就会出现overrun，这时应该考虑升级接口了。
pixfirewall# show interface
interface ethernet0 "inside" is up, line protocol is up
Hardware is i82559 ethernet, address is 0002.b31b.99ff
IP address 9.9.9.1, subnet mask 255.255.255.0
MTU 1500 bytes, BW 100000 Kbit full duplex
4630 packets input, 803174 bytes, 0 no buffer
Received 2 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
4535 packets output, 445424 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/1)
output queue (curr/max blocks): hardware (0/2) software (0/1)
如果是runts, input errors, CRCs或frame. errors在增加，可能是双工方式不匹配造成的或电缆故障。

show process
显示当前PIX中的活动的进程有什么。这样就可以看出什么进程使用了过多的CPU资源，什么进程没能使用CPU资源。为了得到这个信息，我们连续两次执行show process命令，间隔1分钟。对有所怀疑的进程，两次的Runtime值相减，时间差(单位是毫秒)就是该进程一分钟所占用的CPU资源。557poll进程通常是占用时间最多的进程，它负责询问以太接口看是否有包需要处理。

总结
我们用show cpu usage命令看PIX的负载情况。一般来说，CPU达到80%时，性能会受到影响；超过90%时，会有丢包的情况发生。这个时候，我们可以通过命令show process来看看什么进程在消耗CPU资源，查出该进程后找相应的办法处理。如果CPU的使用率并不高，但是还是觉得有丢包的情况发生，用show interface命令检查是否有错包出现，即是否有双工匹配问题或电缆问题；如果是”no buffer”增加，同时CPU使用率并不高，说明接口的能力不能满足流量的需求；如果buffer状况很好，检查block,如果1550字节或16384字节的block接近0了，说明PIX由于太忙开始丢包了，这时CPU也会很高。
如果发现在PIX建立新的连接很困难，用命令show conn count检查当前的连接数：如果很高了，用show memory命令看看内存的状况，如果内存很少了，用show conn命令或show local-host命令查一下连接数如此多的原因，很可能是遭遇DoS攻击了。
另外，show traffic命令显示每个接口处理的包数和字节数；show perfmon命令进一步将traffic分成不同的类型。