ASA软件版本7.2.1
//配置服务器端
ciscoasa(config)#crypto key generate rsa modulus 1024 //指定rsa系数的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024.
ciscoasa(config)#write mem //保存刚刚产生的密钥
ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 outside //0.0.0.0 0.0.0.0 表示任何外部主机都能通过SSH访问outside接口,当然你可以指定具体的主机或网络来进行访问,outside也可以改为inside即表示内部通过SSH访问防火墙
ciscoasa(config)#ssh timeout 30 //设置超时时间,单位为分钟
ciscoasa(config)#ssh version 1 //指定SSH版本,可以选择版本2
//配置客户端
ciscoasa(config)#passwd 密码 //passwd命令所指定的密码为远程访问密码,同样适用于telnet
所有7.0版本以上的用户名默认为pix,其它的版本我不知道。这里可以看出ASA还有PIX的影子的,呵呵,网上说的ASA防火墙配置SSH通过命令 "username 用户名 password 密码"来创建帐号,我测试了n次都说帐号错误.由此看出软件版本7.0上的用户名都是pix.不信大家可以试试.
//相关命令
show ssh //参看SSH配置信息
show crypto key mypubkey rsa //查看产生的rsa密钥值
crypto key zeroize //清空所有产生的密钥
以上命令资料都是来自ASA5500系列防火墙官方配置指南和实际测试通过.
2008年10月10日星期五
ASA配置SSH实战分享
CISCO路由器访问列表详解及实例!
CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤。
(1)标准型IP访问列表的格式
---- 标准型IP访问列表的格式如下:
---- access-list[list number][permit|deny][source address]
---- [address][wildcard mask][log]
---- 下面解释一下标准型IP访问列表的关键字和参数。首先,在access和list这2个关键字之间必须有一个连字符"-";其次,list number的范围在0~99之间,这表明该access-list语句是一个普通的标准型IP访问列表语句。因为对于Cisco IOS,在0~99之间的数字指示出该访问列表和IP协议有关,所以list number参数具有双重功能: (1)定义访问列表的操作协议; (2)通知IOS在处理access-list语句时,把相同的list number参数作为同一实体对待。正如本文在后面所讨论的,扩展型IP访问列表也是通过list number(范围是100~199之间的数字)而表现其特点的。因此,当运用访问列表时,还需要补充如下重要的规则: 在需要创建访问列表的时候,需要选择适当的list number参数。
---- (2)允许/拒绝数据包通过
---- 在标准型IP访问列表中,使用permit语句可以使得和访问列表项目匹配的数据包通过接口,而deny语句可以在接口过滤掉和访问列表项目匹配的数据包。source address代表主机的IP地址,利用不同掩码的组合可以指定主机。
---- 为了更好地了解IP地址和通配符掩码的作用,这里举一个例子。假设您的公司有一个分支机构,其IP地址为C类的192.46.28.0。在您的公司,每个分支机构都需要通过总部的路由器访问Internet。要实现这点,您就可以使用一个通配符掩码 0.0.0.255。因为C类IP地址的最后一组数字代表主机,把它们都置1即允许总部访问网络上的每一台主机。因此,您的标准型IP访问列表中的 access-list语句如下:
---- access-list 1 permit 192.46.28.0 0.0.0.255
---- 注意,通配符掩码是子网掩码的补充。因此,如果您是网络高手,您可以先确定子网掩码,然后把它转换成可应用的通配符掩码。这里,又可以补充一条访问列表的规则5。
---- (3)指定地址
---- 如果您想要指定一个特定的主机,可以增加一个通配符掩码0.0.0.0。例如,为了让来自IP地址为192.46.27.7的数据包通过,可以使用下列语句:
---- Access-list 1 permit 192.46.27.7 0.0.0.0
---- 在Cisco的访问列表中,用户除了使用上述的通配符掩码0.0.0.0来指定特定的主机外,还可以使用"host"这一关键字。例如,为了让来自IP地址为192.46.27.7的数据包通过,您可以使用下列语句:
---- Access-list 1 permit host 192.46.27.7
---- 除了可以利用关键字"host"来代表通配符掩码0.0.0.0外,关键字"any"可以作为源地址的缩写,并代表通配符掩码0.0.0.0 255.255.255.255。例如,如果希望拒绝来自IP地址为192.46.27.8的站点的数据包,可以在访问列表中增加以下语句:
---- Access-list 1 deny host 192.46.27.8
---- Access-list 1 permit any
---- 注意上述2条访问列表语句的次序。第1条语句把来自源地址为192.46.27.8的数据包过滤掉,第2条语句则允许来自任何源地址的数据包通过访问列表作用的接口。如果改变上述语句的次序,那么访问列表将不能够阻止来自源地址为192.46.27.8的数据包通过接口。因为访问列表是按从上到下的次序执行语句的。这样,如果第1条语句是:
---- Access-list 1 permit any
---- 的话,那么来自任何源地址的数据包都会通过接口。
---- (4)拒绝的奥秘
---- 在默认情况下,除非明确规定允许通过,访问列表总是阻止或拒绝一切数据包的通过,即实际上在每个访问列表的最后,都隐含有一条"deny any"的语句。假设我们使用了前面创建的标准IP访问列表,从路由器的角度来看,这条语句的实际内容如下:
---- access-list 1 deny host 192.46.27.8
---- access-list 1 permit any
---- access-list 1 deny any
---- 在上述例子里面,由于访问列表中第2条语句明确允许任何数据包都通过,所以隐含的拒绝语句不起作用,但实际情况并不总是如此。例如,如果希望来自源地址为 192.46.27.8和192.46.27.12的数据包通过路由器的接口,同时阻止其他一切数据包通过,则访问列表的代码如下:
---- access-list 1 permit host 192.46.27.8
---- access-list 1 permit host 192.46.27.12
---- 注意,因为所有的访问列表会自动在最后包括该语句.
---- 顺便讨论一下标准型IP访问列表的参数"log",它起日志的作用。一旦访问列表作用于某个接口,那么包括关键字"log"的语句将记录那些满足访问列表中"permit"和"deny"条件的数据包。第一个通过接口并且和访问列表语句匹配的数据包将立即产生一个日志信息。后续的数据包根据记录日志的方式,或者在控制台上显示日志,或者在内存中记录日志。通过Cisco IOS的控制台命令可以选择记录日志方式。
扩展型IP访问列表
---- 扩展型IP访问列表在数据包的过滤方面增加了不少功能和灵活性。除了可以基于源地址和目标地址过滤外,还可以根据协议、源端口和目的端口过滤,甚至可以利用各种选项过滤。这些选项能够对数据包中某些域的信息进行读取和比较。扩展型IP访问列表的通用格式如下:
---- access-list[list number][permit|deny]
---- [protocol|protocol key word]
---- [source address source-wildcard mask][source port]
---- [destination address destination-wildcard mask]
---- [destination port][log options]
---- 和标准型IP访问列表类似,"list number"标志了访问列表的类型。数字100~199用于确定100个惟一的扩展型IP访问列表。"protocol"确定需要过滤的协议,其中包括IP、TCP、UDP和ICMP等等。
---- 如果我们回顾一下数据包是如何形成的,我们就会了解为什么协议会影响数据包的过滤,尽管有时这样会产生副作用。图2表示了数据包的形成。请注意,应用数据通常有一个在传输层增加的前缀,它可以是TCP协议或UDP协议的头部,这样就增加了一个指示应用的端口标志。当数据流入协议栈之后,网络层再加上一个包含地址信息的IP协议的头部。
由于IP头部传送TCP、UDP、路由协议和ICMP协议,所以在访问列表的语句中,IP协议的级别比其他协议更为重要。但是,在有些应用中,您可能需要改变这种情况,您需要基于某个非IP协议进行过滤
---- 为了更好地说明,下面列举2个扩展型IP访问列表的语句来说明。假设我们希望阻止TCP协议的流量访问IP地址为192.78.46.8的服务器,同时允许其他协议的流量访问该服务器。那么以下访问列表语句能满足这一要求吗?
---- access-list 101 permit host 192.78.46.8
---- access-list 101 deny host 192.78.46.12
---- 回答是否定的。第一条语句允许所有的IP流量、同时包括TCP流量通过指定的主机地址。这样,第二条语句将不起任何作用。可是,如果改变上面2条语句的次序
反向访问列表
有5个VLAN,分别为 管理(63)、办公(48)、业务(49)、财务(50)、家庭(51)。
要求: 管理可以访问其它,而其它不能访问管理,并且其它VLAN之间不能互相访问!
其它的应用不受影响,例如通过上连进行INTERNET的访问
方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。
在入方向放置reflect
ip access-list extended infilter
permit ip any any reflect cciepass
!
在出方向放置evaluate
ip access-list extended outfilter
evaluate cciepass
deny ip 10.54.48.0 0.0.0.255 any
deny ip 10.54.49.0.0.0.0.255 any
deny ip 10.54.50.0 0.0.0.255 any
deny ip 10.54.51.0 0.0.0.255 any
permit ip any any
!应用到管理接口
int vlan 63
ip access-group infilter in
ip access-group outfilter out
方法二:在管理VLAN接口上不放置任何访问列表,而是在其它VLAN接口都放。
以办公VLAN为例:
在出方向放置reflect
ip access-list extended outfilter
permit ip any any reflect cciepass
!
在入方向放置evaluate
ip access-list extended infilter
deny ip 10.54.48.0 0.0.0.255 10.54.49.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.50.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.51.0 0.0.0.255
deny ip 10.54.48.0 0.0.0.255 10.54.63.0 0.0.0.255
evaluate cciepass
permit ip any any
!
应用到办公VLAN接口:
int vlan 48
ip access-group infilter in
ip access-group outfilter out
总结:
1) Reflect放置在允许的方向上(可进可出)
2) 放在管理VLAN上配置简单,但是不如放在所有其它VLAN上直接。
3) 如果在内网口上放置: 在入上设置Reflect
如果在外网口上放置: 在出口上放置Reflect
LAN WAN
-
inbound outbound
4)reflect不对本地路由器上的数据包跟踪,所以对待进入的数据包时注意,要允许一些数据流进入.
关于访问列表的in/out
不管在那个端口启用,就在那个端口下ip access-group x in/out
所谓IN,就是在数据包进入路由器之前作访问表的对照,如果是OUT,就是数据可以先进路由器,然后在出路由器时检查访问列表,所以默认是IN.
例如,假如你的例子中,E口是指向内网,并用IN,就是数据包----来自内网----在进入路由器之前并检查.
思科的访问列表中,最后默认为DENY ANY,所以一般都要在列表最后一项加,access-list xxx permit ip any any
从IOS12.0开始,CISCO路由器新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,当然也可以二者结合起来,控制对网络数据包的转发。
一、使用方法
这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。它需要先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。并且,对于编号访问表和名称访问表都适用。
二、使用规则
用time-range 命令来指定时间范围的名称,然后用absolute命令或者一个或多个 periodic命令来具体定义时间范围。
IOS命令格式为:
time-range time-range-name absolute [start time date] [end time date] periodic days-of-the week hh:mm to [days-of-the week] hh:mm
我们分别来介绍下每个命令和参数的详细情况
time-range : 用来定义时间范围的命令
time-range-name:时间范围名称,用来标识时间范围,以便于在后面的访问列表中引用
absolute: 该命令用来指定绝对时间范围。它后面紧跟这start和 end两个关键字。在这两个关键字后面的时间要以24小时制、hh:mm(小时:分钟)表示,日期要按照日/月/年来表示。可以看到,他们两个可以都省略。如果省略start及其后面的时间,那表示与之相联系的permit 或deny语句立即生效,并一直作用到end处的时间为止;若省略如果省略end及其后面的时间,那表示与之相联系的permit 或deny语句在start处表示的时间开始生效,并且永远发生作用,当然把访问列表删除了的话就不会起作用了。
怎么样,看明白了吗?上面讲的就是命令和基本参数为了便于理解,我们看两个例子。
1、如果要表示每天的早8点到晚8点就可以用这样的语句:
absolute start 8:00 end 20:00
2、再如,我们要使一个访问列表从2006年10月1日早5点开始起作用,直到2006年10月31日晚24点停止作用,语句如下:
absolute start 5:00 1 December 2000 end 24:00 31 December 2000
这样一来,我们就可以用这种基于时间的访问列表来实现,而不用半夜跑到办公室去删除那个访问列表了。这对于网络管理员来说,是个很好的事情。如果你恰好是网管。。哇。。。什么也不要讲了,快回去好好配置吧:)。好了接下来,让我们接着看下一个periodic命令及其参数。一个时间范围只能有一个 absolute语句,但是可以有几个periodic语句。
periodic:主要是以星期为参数来定义时间范围的一个命令。它的参数主要有宾 Monday,Tuesday,Wednesday,Thursday,Friday,Saturday,Sunday中的一个或者几个的组合,也可以是 daily(每天)、 weekday(周一到周五)或者 weekend(周末)。
示例一: 带Established选项的扩展访问列表
拓扑:
R2-(S2/0)-----------------(S2/0)-R1(S2/1)---------------(S2/1)-R3带有Established的扩展访问列表允许内部用户访问外部网络,而拒绝外部网络访问内部网络,而没带Established的标准访问列表和扩展访问列表没有这个特性.
这个示例首先用OSPF来使全网互联.
R1:
r1#sh run
*Mar 1 00:25:17.275: %SYS-5-CONFIG_I: Configured from console by console
Building configuration...
Current configuration : 1410 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname r1
!
logging queue-limit 100
!
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
mpls ldp logging neighbor-changes
!
!
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial2/0
ip address 12.1.1.1 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-point
serial restart_delay 0
frame-relay map ip 12.1.1.2 102 broadcast
no frame-relay inverse-arp
!
interface Serial2/1
ip address 13.1.1.1 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-point
serial restart_delay 0
frame-relay map ip 13.1.1.3 113 broadcast
!
interface Serial2/2
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/3
no ip address
shutdown
serial restart_delay 0
!
router ospf 10
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
!
ip http server
no ip http secure-server
ip classless
!
!
!
!
!
call rsvp-sync
!
!
mgcp profile default
!
!
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
no login
!
!
end
R2:
r2#sh run
Building configuration...
*Mar 1 00:27:29.871: %SYS-5-CONFIG_I: Configured from console by console
Current configuration : 1298 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname r2
!
logging queue-limit 100
!
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
mpls ldp logging neighbor-changes
!
!
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface Loopback0
ip address 2.2.2.2 255.255.255.0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial2/0
ip address 12.1.1.2 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-point
serial restart_delay 0
frame-relay map ip 12.1.1.1 201 broadcast
no frame-relay inverse-arp
!
interface Serial2/1
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/2
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/3
no ip address
shutdown
serial restart_delay 0
!
router ospf 10
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
!
ip http server
no ip http secure-server
ip classless
!
!
!
!
!
call rsvp-sync
!
!
mgcp profile default
!
!
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
no login
!
!
end
r3
r3#sh run
Building configuration...
Current configuration : 1298 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname r3
!
logging queue-limit 100
!
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
mpls ldp logging neighbor-changes
!
!
!
!
!
!
!
!
!
!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum-recipients 0
!
!
!
!
interface Loopback0
ip address 3.3.3.3 255.255.255.0
!
interface FastEthernet0/0
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
interface Serial2/0
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/1
ip address 13.1.1.3 255.255.255.0
encapsulation frame-relay
ip ospf network point-to-point
serial restart_delay 0
frame-relay map ip 13.1.1.1 311 broadcast
no frame-relay inverse-arp
!
interface Serial2/2
no ip address
shutdown
serial restart_delay 0
!
interface Serial2/3
no ip address
shutdown
serial restart_delay 0
!
router ospf 10
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
!
ip http server
no ip http secure-server
ip classless
!
!
!
!
!
call rsvp-sync
!
!
mgcp profile default
!
!
!
dial-peer cor custom
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
no login
!
!
end
监视和测试配置:
我们让R2作为内部网络,R3作为内部网络,以下配置使R2发起访问R3没问题,从R3访问R2则被拒绝.注意这个配置方案是针对基于TCP的应用,任何 TCP通讯都是双向的,从R2发起的访问外部网络之后,外部网络的流量得以通过,这个时候TCP报文,ACK或RST位被设置为1
R1(configure)access-list 101 permit tcp any any established log-input
R1(configure)access-list 101 permit ospf any any
R1(configure)access-list 101 deny ip any any log-input
R1(configure)int s2/1
R1(configure-if)ip access-group 101 in
以上log-input是为了显示监视数据报文被过滤的情况,接下来用debug ip packet detailed来监视报文经过R1的情况,应该路由器还有OSPF报文产生,因此我们对DEBUG信息做了限制.
r1(config)#access-list 102 permit tcp any any
我们这样做 让R2发起telnet访问R3
r1#telnet 3.3.3.3
Trying 3.3.3.3 ... Open
r3>
*Mar 1 00:55:53.003: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.003: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 44, sending
*Mar 1 00:55:53.007: TCP src=11001, dst=23, seq=2398697781, ack=0, win=4128 SYN
*Mar 1 00:55:53.179: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 3.3.3.3(23) (Serial2/1 ) -> 13.1.1.1(11001), 1 packet
*Mar 1 00:55:53.183: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), routed via RIB
*Mar 1 00:55:53.183: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 44, rcvd 3
*Mar 1 00:55:53.187: TCP src=23, dst=11001, seq=949632690, ack=2398697782, win=4128 ACK SYN
*Mar 1 00:55:53.187: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.191: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 40, sending
*Mar 1 00:55:53.191: TCP src=11001, dst=23, seq=2398697782, ack=949632691, win=4128 ACK
*Mar 1 00:55:53.199: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.203: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 49, sending
*Mar 1 00:55:53.203: TCP src=11001, dst=23, seq=2398697782, ack=949632691, win=4128 ACK PSH
*Mar 1 00:55:53.207: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.211: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 40, sending
*Mar 1 00:55:53.215: TCP src=11001, dst=23, seq=2398697791, ack=949632691, win=4128 ACK
*Mar 1 00:55:53.455: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), routed via RIB
*Mar 1 00:55:53.455: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 52, rcvd 3
*Mar 1 00:55:53.459: TCP src=23, dst=11001, seq=949632691, ack=2398697791, win=4119 ACK PSH
*Mar 1 00:55:53.459: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), routed via RIB
*Mar 1 00:55:53.463: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 45, rcvd 3
*Mar 1 00:55:53.467: TCP src=23, dst=11001, seq=949632703, ack=2398697791, win=4119 ACK PSH
*Mar 1 00:55:53.467: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), routed via RIB
*Mar 1 00:55:53.471: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 43, rcvd 3
*Mar 1 00:55:53.471: TCP src=23, dst=11001, seq=949632708, ack=2398697791, win=4119 ACK PSH
*Mar 1 00:55:53.475: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), routed via RIB
*Mar 1 00:55:53.479: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 46, rcvd 3
*Mar 1 00:55:53.479: TCP src=23, dst=11001, seq=949632711, ack=2398697791, win=4119 ACK PSH
*Mar 1 00:55:53.483: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.487: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 43, sending
*Mar 1 00:55:53.487: TCP src=11001, dst=23, seq=2398697791, ack=949632717, win=4102 ACK PSH
*Mar 1 00:55:53.491: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.495: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 43, sending
*Mar 1 00:55:53.495: TCP src=11001, dst=23, seq=2398697794, ack=949632717, win=4102 ACK PSH
*Mar 1 00:55:53.499: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.503: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 49, sending
*Mar 1 00:55:53.503: TCP src=11001, dst=23, seq=2398697797, ack=949632717, win=4102 ACK PSH
*Mar 1 00:55:53.659: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), routed via RIB
*Mar 1 00:55:53.663: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 43, rcvd 3
*Mar 1 00:55:53.663: TCP src=23, dst=11001, seq=949632717, ack=2398697797, win=4113 ACK PSH
*Mar 1 00:55:53.867: IP: tableid=0, s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), routed via RIB
*Mar 1 00:55:53.867: IP: s=13.1.1.1 (local), d=3.3.3.3 (Serial2/1), len 40, sending
*Mar 1 00:55:53.871: TCP src=11001, dst=23, seq=2398697806, ack=949632720, win=4099 ACK
*Mar 1 00:55:53.963: IP: tableid=0, s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), routed via RIB
*Mar 1 00:55:53.967: IP: s=3.3.3.3 (Serial2/1), d=13.1.1.1 (Serial2/1), len 40, rcvd 3
*Mar 1 00:55:53.967: TCP src=23, dst=11001, seq=949632720, ack=2398697806, win=4104 ACK
注意R3返回R2的数据报文得以通过,接下来我们测试从R3发起访问R2的情况
r3#telnet 2.2.2.2
Trying 2.2.2.2 ...
% Destination unreachable; gateway or host down
r1#
*Mar 1 01:02:22.779: %SEC-6-IPACCESSLOGP: list 101 denied tcp 13.1.1.3(11002) (Serial2/1 ) -> 2.2.2.2(23), 1 packet
*Mar 1 01:02:22.783: IP: s=13.1.1.3 (Serial2/1), d=2.2.2.2, len 44, access denied
*Mar 1 01:02:22.783: IP: tableid=0, s=13.1.1.1 (local), d=13.1.1.3 (Serial2/1), routed via RIB
*Mar 1 01:02:22.787: IP: s=13.1.1.1 (local), d=13.1.1.3 (Serial2/1), len 56, sending
*Mar 1 01:02:24.139: IP: s=12.1.1.2 (Serial2/0), d=224.0.0.5, len 80, rcvd 0
*Mar 1 01:02:24.315: IP: s=13.1.1.1 (local), d=224.0.0.5 (Serial2/1), len 80, sending broad/multicast
*Mar 1 01:02:25.139: IP: s=12.1.1.1 (local), d=224.0.0.5 (Serial2/0), len 80, sending broad/multicast
注意,TCP协议的第一次发送是SYN字段,这是用来同步准备建立一个新连接的两端主机,而ACK位由接收者置位从而向发送者表明数据已经成功接收.RST(reset)位说明什么时候重新启动连接.带Eetablished的扩展访问列表只允许ACK或RST位置1的TCP报文通过.
1) Reflect放置在允许的方向上(可进可出)
2) 放在管理VLAN上配置简单,但是不如放在所有其它VLAN上直接。
3) 如果在内网口上放置: 在入上设置Reflect
如果在外网口上放置: 在出口上放置Reflect
LAN WAN
-
inbound outbound
4)reflect不对本地路由器上的数据包跟踪,所以对待进入的数据包时注意,要允许一些数据流进入
reflect+evalute实现单向访问控制列表的最新实验结果
interface Vlan12
ip address 10.147.18.92 255.255.255.240
ip access-group in-filter in
ip access-group out-filter out
ip helper-address 10.147.17.193
no ip redirects
standby 12 ip 10.147.18.94
standby 12 priority 150
standby 12 preempt
第一步:
ip access-list extended in-filter
evaluate abcd
deny ip any any
ip access-list extended out-filter
permit ip any any reflect abcd
结果从VLAN12上的客户机ping其它VLAN的机器,提示:
Reply from 10.147.18.92: Destination net unreachable.
第二步:
将上面的访问控制列表改为:
ip access-list extended in-filter
permit ip any any reflect abcd
ip access-list extended out-filter
evaluate abcd
deny ip any any
结果从VLAN12的客户机可以ping通其它vlan的机器,但其它vlan的机器ping不通vlan12的机器.
观察发现,我从vlan12的客户机上ping 其它vlan里面的任何一台机器的话,就会自动生成一条动态度的
access-list,(假如 我从vlan12的机器10.147.18.90 ping vlan1里面的10.147.17.251)
记录如下:
Reflexive IP access list abcd
permit icmp host 10.147.17.251 host 10.147.18.90 (8 matches) (time left 297)
permit udp host 202.96.170.163 eq 8000 host 10.147.18.90 eq 4000 (6 matches) (time left 247)
permit udp host 224.0.0.2 eq 1985 host 10.147.18.93 eq 1985 (155 matches) (time left 299)
Extended IP access list in-filter
permit ip any any reflect abcd
Extended IP access list out-filter
evaluate abcd
deny ip any any (289 matches)
第三步:我想实现功能:vlan12里的机器能访问所有其他vlan,除了vlan 2(10.147.16.0/255.255.255.128)外均
不能访问vlan12:
将访问控制列表改为:
ip access-list extended in-filter
permit ip any any reflect abcd
ip access-list extended out-filter
evaluate abcd
permit ip 10.147.16.0 0.0.0.128 any
deny ip any any
结果一开始几分钟内,除了定义的VLAN2(10.147.16.0/255.255.255.128)外,其它vlan的机器均ping不通vlan 12 的机器
后来就全部PING
不通,和第二次开发步的结果相同 .
cisco自动端口绑定
interface FastEthernet0/5
port security max-mac-count 1
这种方法似乎可以在终端第一次接入端口时,交换机自动生成一个:
mac-address-table secure H.H.H FastEthernet0/5 vlan #
的配置命令行哦
如果端口换机器,或者终端换网卡,直接在全局配置模式下用命令:
no mac-address-table secure H.H.H vlan #
就可以去掉那个绑定,然后再接进去,又自动生成新的配置命令行了
2008年10月8日星期三
手机使用小秘诀,让你的手机永远有电
1 隐形的备用电池
你的手机电 量不足了,为了让它能够继续使用,按*3370#键,手机会重新启动,启动完毕后,你就会发现电量增加了50%。这部分隐藏的备用电量用完了你就必须得充 电了,再次充电的时候,隐形的备用电池也同时充电,下次电量低的时候又可以用这个方法。知道这个在紧急情况下如果手机电量不足非常管用。
2 车用遥控器落在车里了?
你的车用遥控能打开吧?如果可以,在你有一天将车用遥控器落在车里而且备用的遥控又在家里的话,你会发现有个手机真方便,用手机拨通家里人的手机,将 你的手机拿在离车门一英尺的地方,同时家里人拿着遥控器在他的手机旁边按响遥控器上的开锁键,这边你的车门就可以打开了。这个方法不管你把车开得离家有多 远都奏效。
3 紧急情况
全世界的手机都可以拨打的共同紧急救援号码是112,加入你发现自己所在的地区无手机信号覆盖,同时你又遇到了紧急状况,用你的手机拨打112准没 错,因为这时候你的手机会自动搜索所有可用的网络并建立起紧急呼叫。特别有趣的是,即使你的手机是在键盘锁定的状态,你同样可以拨打112。试试吧!
*日常维护必用*:
1、手机电池不要等到没电才充电。
一般我们都会有一种想法就是手机的电池电力要全部放完再充电比较好基本上是没错的,因为我们在以前使用的充电电池大部分是镍氢(NiH)电池,而镍氢 电池有所谓的记忆效应若不放完电再充的话会导致电池寿命急速减少。因此我们才会用到最后一滴电才开始充电。但现在的手机及一般IA产品大部分都用锂 (Li)电池,而锂电池的话就没有记忆效应的问题。若大家还是等到全部用完电后再充的话反而会使得锂电池内部的化学物质无法反应而寿命减少。最好的方法就 是没事就充电让它随时随地保持最佳满格状态,这样你的电池就可用的又长又久喔。这是从厂商那得到的讯息,并经过本身测试而得。
2、当手机正在充电时,请勿接电话!!
原因是手机在充电时,来电接 听的话会有潜在的危险。印度有一个31岁在保险公司任职业务经理的年轻人,十几天前在手机还接着充电器的时候接听电话,过了几秒大量的电流经过手机,这个 年轻人被摔落到地面,家人发现时,手指烧伤,心跳微弱,并且已经失去意识。经紧急送到医院后,医生宣布到院死亡。行动电话是目前大家最常使用的现代发明。 然而,我们也必须要警觉到仪器致死的危险。
3、手机剩一格时不要使用
收讯满格与只剩一格时相比,发射强度竟然相差1000倍以上.所以……常讲手机的人……要注意哦……^0^、昨天从一位手机商那儿获得一项很重要的讯 息,那就是当你发现手机的收讯强度只剩下一格的时候,宁可挂断不谈或者是改用公用电话.千万不要再滔滔不绝、口沫横飞、浓情蜜意、欲罢不能、没完没了…为 什幺呢?大家都知道手机的电磁波一直是让人担心的问题.而手机的设计为了在收讯较差的地区仍能保有相当的通话质量,会加强手机的电磁波发射强度.当收讯满 格与只剩一格时相比,发射强度竟然相差1000倍以上.电磁波强度高达0.6W(瓦特).0.6W究竟有多强呢?我无法具体描述它对你的脑袋会有什幺不良 影响,但可以换成两个例子来比较:
1)把喇叭直径约4公分左右的小型收音机音量开到最大然后贴在耳朵上,那样的噪音能量一般为0.25W,不到0.5W。
2)把手指头放在输出强度0.1W的雷射光前面(相当于光纤网络的?D干线能量)几秒钟内你会有灼痛的感觉,你能长时间忍受上述这两种状况吗?
那你又如何确认0.6W的电磁波紧贴在你的耳朵上会没事呢?
4.12593+电话号码=陷阱
你是不是把外地朋友的电话用17951+电话号码的格式储存在电话号码本里?而不是单独拨?那么收费就会从0.39元每分钟变成1.3元每分钟.我也向1860查询过了他们的解释是如果储存在电话号码本里?系统将 无法识别。所以无法获得资费优惠,必须每次在键盘上直接按12xxx。神州行用户如此?动感地带用户,全球通也一样。如果你是一个中国移动用户,当你知道 中国移动为你设置以下的陷阱的时候,便不再惊讶于你的话费为何会像长了翅膀一样的飞走。用12593+电话号码可以优惠,但如果你预先将“12593+电 话号码“存在手机的电话本,使用的时候调出来然后拔打出去,这时中国移动不承认你使用了12593这种优惠的拔打方式,而按照直接拔打的方式计费。如果你 是在漫游,两种计费方式可以相差7倍之多!当我得知如此计费之后,我真的不知如何表达我的愤怒,后来打10086咨询时,如果不是主动冶询问这个问题,工 号为6608的小姐根本就不告诉我这样的计费。
5、手机费的寄生虫
手机莫名其妙定置了无用短信, 强烈建议大家都看一下自己有没有中招,最简单方法退订每月偷你手机费的寄生虫!中国移动在3.15被迫推出一项新业务,如果您是中国移动的手机用户,键入 数字“0000“,发送短信至10086,数秒钟内将自动回复一条短信列表,显示您的手机上究竟订制了哪些短信服务,究竟是哪些短信服务商明着、暗着每月 扣除您的手机费;键入数字“00000“,发送短信至186201,即可退订所有短信服务。
6.不要赶着凑正好1分钟
我们打电话的时候常常会为了正好赶在1:00前结束而庆幸,但其实并不是这样的,据一位中国移动的工作人员说,其实在你通话到0:55的时候就已经算一分钟了,所以0:55~1:00的通话时间其实是算你2分钟的钱~
7.手机一进水,请切记不要作任何按键动作,尤其是关机(一按任何动作,水马上会跟着电路板流串),正确的方法为马上打开外盖,直接将电池拿下,直接强迫断电,可保主机板不被水侵袭。
这个常识非常重要,故转告各位,使大家的手机可用久一点。学一学吧!以后以备不时之需啊!
8.如何让手机电池起死回生
当你的行动电话电池使用时间变短(记忆效应或老化)时,你是否会再买一颗电池来更换呢?
下次当你碰到这种情况时请省下你的钱,告诉你一个很有效的方法不妨试试看:
1)把电池用报纸包起来再放进塑料袋裹包好放入冷冻库三天(报纸可吸收多余水份)
2)三天后取出常温下放二天
3)二天后将电池充电,充饱后装进行动电话裹测试(预估可救回80%-90%)
本讯息由知名电池厂商工程师透露,根据测试过的朋友指出效果相当有效.
至于有没有效果,反正电池快没用了,而且冰箱人人有,各位朋友不妨试试看吧!
9.给你的手机做个CPR吧!
手机是否常断电?或是明明充饱了电没多久就又没电了?
一定怀疑过是不是手机的寿命终了?
别担心,它只是一时“心跳停止”,只要一块小小的橡皮擦就能起死回生了!
把电池取出后用橡皮擦把电池上的接点(黄铜片)擦干净,再装回手机上,你会发现真是太神奇了!它竟然活过来了!还像颗新的呢!
真的很有用,提供大家做参考!
10.教你如何消除手机屏幕刮痕
大家是否常常会遇到手机屏幕有刮痕而不知如何处理的情况呢?
告诉大家一个好用的秘方....(前几天在电视上看到的)
把牙膏适量挤在湿抹布上后用力在手机屏幕刮伤处前后左右来回用力涂匀.....
你将发现.....手机的屏幕刮痕会因此而消失....很神奇吧...!!
更神奇的事....在用干净的抹布或卫生纸擦干净后..手机屏幕还会变得更亮哦....
台大化学教授表示:原理为牙膏它只是刷牙的辅助用品,具有磨擦作用(修补作用)
和去除菌斑,清洁抛光牙面,因此使用在手机屏幕上面会有同样的效果。
好了,感觉好的话就顶一下吧!
2008年10月7日星期二
思科路由常用配置命令
本文按字母顺序列举了思科路由器常用配置命令,适合思科路由器操作人员随时查看
Access-enable允许路由器在动态访问列表中创建临时访问列表入口
Access-group把访问控制列表(ACL)应用到接口上
Access-list定义一个标准的IP ACL
Access-template在连接的路由器上手动替换临时访问列表入口
Appn向APPN子系统发送命令
Atmsig 执行ATM信令命令
B 手动引导操作系统
Bandwidth 设置接口的带宽
Banner motd 指定日期信息标语
Bfe 设置突发事件手册模式
Boot system 指定路由器启动时加载的系统映像
Calendar 设置硬件日历
Cd 更改路径
Cdp enable 允许接口运行CDP协议
Clear 复位功能
Clear counters 清除接口计数器
Clear interface 重新启动接口上的件逻辑
Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率
Cmt 开启/关闭FDDI连接管理功能
Config-register 修改配置寄存器设置
Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息
Configure memory 从NVRAM加载配置信息
Configure terminal 从终端进行手动配置
Connect 打开一个终端连接
Copy 复制配置或映像数据
Copy flash tftp 备份系统映像文件到TFTP服务器
Copy running-config startup-config 将RAM中的当前配置存储到NVRAM
Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上
Copy tftp flash 从TFTP服务器上下载新映像到Flash
Copy tftp running-config 从TFTP服务器上下载配置文件
Debug 使用调试功能
Debug dialer 显示接口在拨什么号及诸如此类的信息
Debug ip rip 显示RIP路由选择更新数据
Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息
Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息
Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程
Debug ppp 显示在实施PPP中发生的业务和交换信息
Delete 删除文件
Deny 为一个已命名的IP ACL设置条件
Dialer idle-timeout 规定线路断开前的空闲时间的长度
Dialer map 设置一个串行接口来呼叫一个或多个地点
Dialer wait-for-carrier-time 规定花多长时间等待一个载体
Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制
Dialer-list protocol 定义一个数字数据接受器(DDR)拨号表以通过协议或ACL与协议的组合来控制控制拨号
Dir 显示给定设备上的文件
Disable 关闭特许模式
Disconnect 断开已建立的连接
Enable 打开特许模式
Enable password 确定一个密码以防止对路由器非授权的访问
Enable password 设置本地口令控制不同特权级别的访问
Enable secret 为enable password命令定义额外一层安全性 (强制安全,密码非明文显示)
Encapsulation frame-relay 启动帧中继封装
Encapsulation novell-ether 规定在网络段上使用的Novell独一无二的格式
Encapsulation PPP 把PPP设置为由串口或ISDN接口使用的封装方法
Encapsulation sap 规定在网络段上使用的以太网802.2格式Cisco的密码是sap
End 退出配置模式
Erase 删除闪存或配置缓存
Erase startup-config 删除NVRAM中的内容
Exec-timeout 配置EXEC命令解释器在检测到用户输入前所等待的时间
Exit 退出所有配置模式或者关闭一个激活的终端会话和终止一个EXEC
Exit 终止任何配置模式或关闭一个活动的对话和结束EXEC
format 格式化设备
Frame-relay local-dlci 为使用帧中继封装的串行线路启动本地管理接口(LMI)
Help 获得交互式帮助系统
History 查看历史记录
Hostname 使用一个主机名来配置路由器,该主机名以提示符或者缺省文件名的方式使用
Interface 设置接口类型并且输入接口配置模式
Interface 配置接口类型和进入接口配置模式
Interface serial 选择接口并且输入接口配置模式
Ip access-group 控制对一个接口的访问
Ip address 设定接口的网络逻辑地址
Ip address 设置一个接口地址和子网掩码并开始IP处理
Ip default-network 建立一条缺省路由
Ip domain-lookup 允许路由器缺省使用DNS
Ip host 定义静态主机名到IP地址映射
Ip name-server 指定至多6个进行名字-地址解析的服务器地址
Ip route 建立一条静态路由
Ip unnumbered 在为给一个接口分配一个明确的IP地址情况下,在串口上启动互联网协议(IP)的处理过程
Ipx delay 设置点计数
Ipx ipxwan 在串口上启动IPXWAN协议
Ipx maximum-paths 当转发数据包时设置Cisco IOS软件使用的等价路径数量
Ipx network 在一个特定接口上启动互联网数据包交换(IPX)的路由选择并且选择封装的类型(用帧封装)
Ipx router 规定使用的路由选择协议
Ipx routing 启动IPX路由选择
Ipx sap-interval 在较慢的链路上设置较不频繁的SAP(业务广告协议)更新
Ipx type-20-input-checks 限制对IPX20类数据包广播的传播的接受
Isdn spid1 在路由器上规定已经由ISDN业务供应商为B1信道分配的业务简介号(SPID)
Isdn spid2 在路由器上规定已经由ISDN业务供应商为B2信道分配的业务简介号(SPID)
Isdntch-type 规定了在ISDN接口上的中央办公区的交换机的类型
Keeplive 为使用帧中继封装的串行线路LMI(本地管理接口)机制
Lat 打开LAT连接
Line 确定一个特定的线路和开始线路配置
Line concole 设置控制台端口线路
Line vty 为远程控制台访问规定了一个虚拟终端
Lock 锁住终端控制台
Login 在终端会话登录过程中启动了密码检查
Login 以某用户身份登录,登录时允许口令验证
Logout 退出EXEC模式
Mbranch 向下跟踪组播地址路由至终端
Media-type 定义介质类型
Metric holddown 把新的IGRP路由选择信息与正在使用的IGRP路由选择信息隔离一段时间
Mrbranch 向上解析组播地址路由至枝端
Mrinfo 从组播路由器上获取邻居和版本信息
Mstat 对组播地址多次路由跟踪后显示统计数字
Mtrace 由源向目标跟踪解析组播地址路径
Name-connection 命名已存在的网络连接
Ncia 开启/关闭NCIA服务器
Network 把一个基于NIC的地址分配给一个与它直接相连的路由器把网络与一个IGRP的路由选择的过程联系起来在IPX路由器配置模式下,在网络上启动加强的IGRP
Network 指定一个和路由器直接相连的网络地址段
Network-number 对一个直接连接的网络进行规定
No shutdown 打开一个关闭的接口
Pad 开启一个X.29 PAD连接
Permit 为一个已命名的IP ACL设置条件
Ping 把ICMP响应请求的数据包发送网络上的另一个节点检查主机的可达性和网络的连通性对网络的基本连通性进行诊断
Ping 发送回声请求,诊断基本的网络连通性
Ppp 开始IETF点到点协议
Ppp authentication 启动Challenge握手鉴权协议(CHAP)或者密码验证协议(PAP)或者将两者都启动,并且对在接口上选择的CHAP
和PAP验证的顺序进行规定
Ppp chap hostname 当用CHAP进行身份验证时,创建一批好像是同一台主机的拨号路由器
Ppp chap password 设置一个密码,该密码被发送到对路由器进行身份验证的主机命令对进入路由器的用户名/密码的数量进行了限制
Ppp pap sent-username 对一个接口启动远程PAP支持,并且在PAP对同等层请求数据包验证过程中使用sent-username和password
Protocol 对一个IP路由选择协议进行定义,该协议可以是RIP,内部网关路由选择协议(IGRP),开放最短路径优先(OSPF),还可
以是加强的IGRP
Pwd 显示当前设备名
Reload 关闭并执行冷启动;重启操作系统
Rlogin 打开一个活动的网络连接
Router 由第一项定义的IP路由协议作为路由进程,例如:router rip 选择RIP作为路由协议
Router igrp 启动一个IGRP的路由选择过程
Router rip 选择RIP作为路由选择协议
Rsh 执行一个远程命令
Sdlc 发送SDLC测试帧
Send 在tty线路上发送消息
Service password-encryption 对口令进行加密
Setup 运行Setup命令
Show 显示运行系统信息
Show access-lists 显示当前所有ACL的内容
Show buffers 显示缓存器统计信息
Show cdp entry 显示CDP表中所列相邻设备的信息
Show cdp interface 显示打开的CDP接口信息
Show cdp neighbors 显示CDP查找进程的结果
Show dialer 显示为DDR(数字数据接受器)设置的串行接口的一般诊断信息
Show flash 显示闪存的布局和内容信息
Show frame-relay lmi 显示关于本地管理接口(LMI)的统计信息
Show frame-relay map 显示关于连接的当前映射入口和信息
Show frame-relay pvc 显示关于帧中继接口的永久虚电路(pvc)的统计信息
Show hosts 显示主机名和地址的缓存列表
Show interfaces 显示设置在路由器和访问服务器上所有接口的统计信息
Show interfaces 显示路由器上配置的所有接口的状态
Show interfaces serial 显示关于一个串口的信息
Show ip interface 列出一个接口的IP信息和状态的小结
Show ip interface 列出接口的状态和全局参数
Show ip protocols 显示活动路由协议进程的参数和当前状态
Show ip route 显示路由选择表的当前状态
Show ip router 显示IP路由表信息
Show ipx interface 显示Cisco IOS软件设置的IPX接口的状态以及每个接口中的参数
Show ipx route 显示IPX路由选择表的内容
Show ipx servers 显示IPX服务器列表
Show ipx traffic 显示数据包的数量和类型
Show isdn active 显示当前呼叫的信息,包括被叫号码、建立连接前所花费的时间、在呼叫期间使用的自动化操作控制(AOC)收费单元以及是否在呼叫期间和呼叫结束时提供AOC信息
Show isdn ststus 显示所有isdn接口的状态、或者一个特定的数字信号链路(DSL)的状态或者一个特定isdn接口的状态
Show memory 显示路由器内存的大小,包括空闲内存的大小
Show processes 显示路由器的进程
Show protocols 显示设置的协议
Show protocols 显示配置的协议。这条命令显示任何配置了的第3层协议的状态
Show running-config 显示RAM中的当前配置信息
Show spantree 显示关于虚拟局域网(VLAN)的生成树信息
Show stacks 监控和中断程序对堆栈的使用,并显示系统上一次重启的原因
Show startup-config 显示NVRAM中的启动配置文件
Show ststus 显示ISDN线路和两个B信道的当前状态
Show version 显示系统硬件的配置,软件的版本,配置文件的名称和来源及引导映像
Shutdown 关闭一个接口
Telnet 开启一个telect连接
Term ip 指定当前会话的网络掩码的格式
Term ip netmask-format 规定了在show命令输出中网络掩码显示的格式
Timers basic 控制着IGRP以多少时间间隔发送更新信息
Trace 跟踪IP路由
Username password 规定了在CHAP和PAP呼叫者身份验证过程中使用的密码
Verify 检验flash文件
Where 显示活动连接
Which-route OSI路由表查找和显示结果
Write 运行的配置信息写入内存,网络或终端
Write erase 现在由copy startup-config命令替换
X3 在PAD上设置X.3参数
Xremote 进入XRemote模式
三层交换机工作原理
三层的涵义
三层交换机中的“三层”指的是OSI(开放系统互连)七层参考模型的下面三层。如果您想理解三层交换,首先就需要理解OSI参考模型。
1、什么是OSI参考模型
OSI参考模型是国际标准化组织为了解决不同系统的互联而提出的模型,它将计算机网络按功能划分为七个层次,这就是网络通信中的七层模型或七层结构,各层名称如图1所示。
图1
图2
2、OSI参考模型与网络设备
OSI参考模型与网络设备,如集线器、交换机、路由器,存在一一对应的关系,图3就是OSI模型下三层与网络设备及网络设备处理的数据单元的对应图。
(1)第一层——物理层
物理层设备是最低层次的网络设备,主要负责实际的信号传输,即比特流。对于物理层设备来讲,它只认识比特流,至于什么MAC地址、IP地址,它什么也不知道。有些校园网中现在还在使用的集线器(Hub)就是典型的物理层设备。
(2)第二层——数据链路层
数据链路层负责在两个主机上建立数据链路连接,向物理层传输数据帧,并对信号进行处理使之无差错并合理地传输。
校园网中我们最常使用的交换机(Switch)就是典型的数据链路层设备。对于数据链路层设备来讲,它只认识帧和比特流(二层以下的数据),至于IP地址(三层以上的东西),它就不知道了。“帧”是第二层的数据单元,而且只在第二层中才有意义。
二层交换机只能连接IP地址在同一子网内的计算机,如果计算机的IP地址在不同的子网内,即使连接在同一台交换机的端口上,虽然近在咫尺,也不能相互通信,因为现在的计算机是通过IP地址相互通信的,而交换机不能识别IP地址。
(3)第三层——网络层
网络层主要负责路由,即选择合适的路径的功能。网络中经常使用的路由器(Router)就是典型的网络层设备,它能够识别帧中的三层地址。比如一台IP 地址为“192.168.1.1”的计算机想与IP地址为“10.1.1.2”的计算机通信,因为它们不在同一子网里,必须通过路由器路由才能实现通信。
三层交换机的工作原理
三层交换是相对于传统的交换概念而提出的。传统的交换技术是在OSI网络参考模型中的第 二层(即数据链路层)进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说,三层交换技术就是二层交换技术+三层转发技 术,三层交换机就是“二层交换机+基于硬件的路由器”。
图3
两台处于不同子网的主机通信,必须要通过路由器进行路由。在图4中,主机A向主机B发送的第1个数据包必须要经过三层交换机中的路由处理器进行路由才能 到达主机B,但是当以后的数据包再发向主机B时,就不必再经过路由处理器处理了,因为三层交换机有“记忆”路由的功能。
三层交换 机的路由记忆功能是由路由缓存来实现的。当一个数据包发往三层交换机时,三层交换机首先在它的缓存列表里进行检查,看看路由缓存里有没有记录,如果有记录 就直接调取缓存的记录进行路由,而不再经过路由处理器进行处理,这样的数据包的路由速度就大大提高了。如果三层交换机在路由缓存中没有发现记录,再将数据 包发往路由处理器进行处理,处理之后再转发数据包。
图4
具有“路由器的功能、交换机的性能” 的三层交换机虽然同时具有二层交换和三层路由的特性,但是三层交换机与路由器在结构和性能上还是存在很大区别的。在结构上,三层交换机更接近于二层交换 机,只是针对三层路由进行了专门设计。之所以称为“三层交换机”而不称为“交换路由器”, 原因就在于此;在交换性能上,路由器比三层交换机的交换性能要弱很多。
二层交换机工作原理
二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地
址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地
址表中。具体的工作流程如下:
(1) 当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道
源MAC地址的机器是连在哪个端口上的;
(2) 再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;
(3) 如表中有与这目的MAC地址对应的端口,把数据包直接复制到这端口上;
(4) 如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应
时,交换机又可以学习一目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所
有端口进行广播了。
不断的循环这个过程,对于全网的MAC地址信息都可以学习到,二层交换机就是这样建立和
维护它自己的地址表。