30选5玩法|福彩30选5开奖结果321|
 

分类:CISCO

CISCO相关技术

做IT太久了希望能造福社会吧

4 Comments CISCO

QQ图片20140528121728

 

 

状态

五月 2014
350-080
CCIE Data Center Written
通过

五月 2012
350-001
CCIE Routing and Switching Written
通过

五月 2010
350-029
CCIE Service Provider written
通过

四月 2007
350-018
CCIE Security written
通过

十月 2006
350-001
CCIE Routing and Switching Written
通过

%SPANTREE-7-RECV_1Q_NON_TRUNK solution!

No Comments CISCO

fter the connection between two switches could not be established I went to see the log of the uplink switch and the first thing I have noticed was this:

%LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
%SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk FastEthernet0/1 VLAN300.
%SPANTREE-7-BLOCK_PORT_TYPE: Blocking FastEthernet0/1 on VLAN0300. Inconsistent port type.

The two switches were connected via access ports and this message was on my side, since the other side was the service provider and I was not given the technical details of “the other side”.

In short, interface was receiving BPDU’s which weren’t supposed to be there. This was the interface configuration:

interface FastEthernet0/1
description UPLINK
switchport access vlan 300
switchport mode access
spanning-tree portfast

Portfast port is designed to be connected to a device where BPDU’s are not expected. When BPDU guard is enabled (globally or per interface), the port will shutdown and enter a errdisable state. BPDU guard global enable is a great solution to protect portfast ports on a access switch where you don’t expect a switch to be plugged in.

------中间广告---------

In short, interface was receiving BPDU’s which weren’t supposed to be there!

The solution is the “spanning-tree bpdufilter enable” command which disables spanning tree on a port and that is made by restricting (filtering) sending and receiving BPDU’s. When enabled on a global level, BPDU filter will apply to all portfast ports.

Here is the configuration:

Global
switch1(config)#spanning-tree portfast bpdufilter default

Interface
switch1(config)#int fa0/1
switch1(config-if)#spanning-tree bpdufilter enable

Tagged with: %SPANTREE-7-RECV_1Q_NON_TRUNK ? cisco ? spanning tree

BGP ALL IN ONE 详解

No Comments CISCO

BGP

为什么使用BGP

BGP是可靠的,基于TCP(Port Numer 179)进行建立和维护连接,并且具有并使用TCP的滑动窗口的机?#35780;?#26356;新路由表,可以支持一次性的大量路由条目的更新. BGP是增量更新,同时也是触发更新;周期性的发送Keepalive 信息来验证TCP连接是否正常,以确保对方的路由器状态是正常的。

PS:EIGRP(使用IPV4协议号89)和OSPF-V2(使用IPV4协议号88)使用One-One 窗口机制,OSPF一次更新100条路由。

BGP的使用原则

1. 多条路径时,BGP Speaker只选最优的给自己使用

2. BGP Speaker只把自己的路由通告给邻居

3. 从EBGP获得的路由会向它所有BGP 邻居通告(EBGP/IBGP)

BGP Speaker从IBGP获得的路由不会通告给它的IBGP邻居(BGP 的水平分割)IGP是基于端口的水平分割;而IBGP是基于邻居的水平分割。水平分割的作用是避免产生路由环路。

4. BGP Speaker从IBGP获得的路由是否通告给它的EBGP邻居要服从IGP和BGP是否同步来决定

5. 邻居关系一建立,BGP Speaker就把自己所有的BGP最优路由通告给新的邻居

BGP邻?#26377;?#21830;过程(4Message

1. Open (code 1):用于建立连接,包含版本号(如BGP3/BGP4)Hold Time=180s(是一个协商的过程,以较小的Hold Time为准),Router-ID(OSPF和BGP可以手动配置),AS号(范围从1~65535,其中64512~65535 的AS编号范围留作?#25509;?;

2. KeepAlives(code 4):周期发送用于维护连接检查路径(这个包是不可靠的),T=Hold Time/3, Hold Time=0 => No KeepAlive.,keepalive 是个19 字节周期发送的BGP 消息头标,没有数据域。

3. Update(code 2):消息包含了三个组件?#21644;?#32476;层可达性消息(NLRI)、路径属性和被撤销的路由。包括到达目的网络的路径和属性,更新路由信息用,一次更新只有一条路径,但可以有多条网络。Update可以删除(宣告不可达)和增加(宣告可达)路由.其内容是前缀的长度。

4. Notification(code 3)?#21644;?#32476;中出现错误(Error),检测到后断开连接并发送通知给对方。

5.Route-Reflesh message:一个可选的message (negotiated during capability advertisement) that is sent to request dynamic BGP route updates from the Adj-RIB-Out table of a remote BGP speaker

PS :BG Ptime

在BGP路由配置模?#36739;?#21487;以配置全局的BGP timer :timers bgp 70 210

对于特定的neighbor可以使用特定的 BGP timer:neighbor 172.17.1.2 timers 80 240

过程:Idel,connect,open sent,open confirm,establish。

BGP邻居建立会话的5种状态:

1. Idle:查找路由表,该过程BGP?#36816;?#30340;资源进行初始化,?#27425;?#19968;个连接重试计时器,发起一条TCP 连接,并开始倾听远程对等体所发起的连接。

2. Connect:?#19994;?#36335;由表后进行TCP三次握手,TCP 连接成功,则转到OpenSent状态,TCP连接失败,则转到active 状态,将尝试再次连接。

3. Open Sent:握上手后发送Open message消息,等待其对等体发送打开消息,如果出错,则发送一条出错消息并退回?#38556;?#29366;态,如果无错,则开始发送Keepalive 并?#27425;籯eepalive 计时器。

4. Open Confirm:收到对方发来的Open消息,如果收到keepalive 消息,BGP 就进入established状态,邻居关系协商完成;如果系统收到一条更新或keepalive 消息,它将重新启动保持计时器;如果收到Notification消息,BGP 就退回到?#38556;?#29366;态。

5. Established:会话建立,邻居关系协商过程最终状态;这时BGP将开?#21152;?#23427;的对等体交换路由更新数据包。

PS: Active状态:当路由器发送出OPEN包给邻居等待回应,如果长时间未接收到回应则超时,超时后状态更改为Idle,试图发起TCP连接获得对等体,成功转到Open Sent状态,连接重试计时器超时,退回连接状态。,这是由于TCP链路上出现了问题所致。??

产生问题的原因主要有:

1. Neighbor命令后面的ip-address配置有错;

2. 没有打上Neighbor命令(两边都要)

3. 更新源错误,或者更新源不可达。

Debug信息:

Aspen#

18:24:33: BGP: 192.168.1.221 went from Idle to Active

18:24:41: BGP: 192.168.1.221 went from Active to OpenSent

18:24:42: BGP: 192.168.1.221 went from OpenSent to OpenConfirm

18:24:42: BGP: 192.168.1.221 went from OpenConfirm to Established

18:24:43: BGP: 192.168.1.221 computing updates, neighbor version 0, table version

n 1, starting at 0.0.0.0

18:24:43: BGP: 192.168.1.221 update run completed, ran for 0ms, neighbor version

0, start version 1, throttled to 1, check point net 0.0.0.0

BGP Input Events

BGP的3个数据库

邻居表、BGP转发表(也叫转发库)、IP路由表。

BGP同步和黑洞问题

BGP 路由器不应该将从其内部BGP 邻居处学到的目的地网络通告给其外部邻居路由器,除非这些目的地网络是通过IGP 可达的。不同步的时候,路由表里面显示的是 非最优(①下一跳是否可达 ②同步原则是否满足),同步默认是打开的,全互连时(用于IBGP)需要关闭同步,命令是:Router(config-router)#no synchronization

BGP 路由进程

从对等体处收到的路由->输入策略引擎->路由判定过程(BGP 表)->路由器所用的路由(IP 路由表)->输出策略引擎->通告给对等体的路由

BGP的下一跳跳属性

1. 在多路广播网络中,其下一条属性不变
clip_image001

如图:B 通过EBGP通告网络172.30.0.0 给A而不改变其下一跳属性 10.10.10.2,这?#20013;?#20026;防止了一个不必要的Hop,因为他们都同在一个多路广播网络里面。如果改变了其下一跳属性为10.10.10.1,当AS 65000作为一个Transit AS的时候, AS 64520的EBGP Router就不是以最优的路径通过AS 65000。

PS:BGP是一种AS-by-AS的路由协议,它的下一跳指的是下一个AS.而不是下一个Router

1. 从EBGP学习到的路由,其下一跳属性不变,可以手动做next-hop-self

2. 在IBGP关系中,下一跳地址,就是通告该路由的IBGP 的 更新源。????#25925;荝outer-id???

jeans_young:

next_hop的三个规则是这样的:
a.如果是由EBGP peer通告的BGP update报文,那么next_hop就是AS外这个EBGP peer的IP地址。(实际?#24076;?#26159;与本AS直连的接口IP地址)
b. 假如BGP update报文是由IBGP peer通告的,那么next_hop就是这个IBGP peer发出更新报文的接口IP地址
c.如果update 报文最开始是由EBGP peer通告,但是是从本AS内的边界路由器(也就是IBGP peer),那么next_hop是EBGP peer的通告出更新的接口IP地址,而不是本AS的这个IBGP peer。
ps:其实,前两条规则,比较容易理解,我们可以这样?#19988;?#21069;两条:谁通告的,那么下一跳就是它。主要是第三条有点特殊。但是只要我们把BGP协议本身的起源想一想就容易理解了。BGP是对于大型互联网的一个路由协议。它其实我们应该把它理解成路径向量协议。也就是说它的视角是AS,而不是单个的router。BGP是宏观视角,IGP则是微观视角。所以,像第三种情况,我?#19988;?#25226;视?#24039;?#21319;到一个更高的高度——从AS来看。那么就容易理解了。既然是IBGP peer转发通告EBGP peer发来的路由,那么得追根溯源。最终追到EBGP peer。所?#36816;?#25165;是真正的下一跳。
这里,我们会发现一个问题,就是假如这个边界路由器没有告诉本AS的其它路由器到这个EBGP peer怎么走,那么这样路由不可达就会导致数据包被丢弃。所以引入了next_hop_self机制,配置在边界路由器?#24076;?#20351;得IBGP peer要发路由更新给EBGP peer的时候,强制从自己这里走,因为对于边界路由器来讲,他是知道怎么到达EBGP peer的。这个其实有点类似于代理的概念。比如proxy ARP。就是把自己的MAC地址通告给ARP请求者,而不是把ARP请求的真正目的MAC回送回去。目的就是代理。

BGP属性

①公认属性(Must be recognized by all compliant BGP implementations Are propagated to other neighbors)

②Well-known mandatory attributes(Must be present in all update messages)

③Well-known discretionary attributes(May be present in update messages)

④可选(Recognized by some implementations (could be private), expected not to be recognized by everyone ,Recognized optional attributes are propagated to other neighbors based on their meaning )

⑤可选传递属性(If not recognized, are marked as partial and
propagated to other neighbors )

⑥可选不可传递属性(Discarded if not recognized)

公认必选:ORIGIN/AS_PATH/NEXT_HOP

公认自选:LOCAL_PREF/ATOMIC_AFFREGATE

任选可透明传递:AGGREGATOR/COMMUNITY

任选非可透明传递:MED/ORIGINATOR_ID/CLUSTER_LIST

AS-path (prepending):BGP中用于检测环路,当一个AS-PATH中有两个相同的AS号说明有环路产生,如果自己的AS出现在某接收到的路由AS-PATH中,?接?#31456;穡?#26159;一个?#34892;?#21015;表。

Next-hop详见上方。

MED又叫BGP的metrics值(没有MED的路由->MED=0;缺少MED的路由,将成为最先优选的路由),作用是影响邻居AS的路由选择。在有多出口的本AS中,决定邻居AS更优先从哪个出口进入本AS,默?#29616;?#26159;0,值越小优先?#23545;?#39640;。MED仅向EBGP邻居发送。它是可选的、非传递属性。bgp bestpath missing-as-worst命令修改cisco ios对med的行为,使得和最新的ietf标准(丢失MED->将MED设置成无穷大;缺少MED的路由,将成为最后优选的路由)一致

如果没有启用bgp deterministic-med,接收到的路由的顺序可能影响基于med的最有路径选择,当从多个as收到同一条路由,而且具有完全一样的路径长度和不同的med,就会发生下面?#37027;?#20917;:

A) ASPATH 1, MED 100, internal, igp metric to NEXT_HOP 10

B) ASPATH 2, MED 150, internal, igp metric to NEXT_HOP 5

C) ASPATH 1, MED 200, external

在没有配置bgp deterministic-med的路由会优选B(?#31995;?#30340;IGP metric),接着是C(EBGP>IBGP),而C的MED值高于A

在启用bgp deterministic-med的Router,将清除对基于MED最优路径选择的临时依赖,它可以确保满足MED的原始要求,来控制进入本AS的流量的选择,会对进入被AS的所有路由进行med比?#24076;?#26368;后选择有最小med?#26723;腁是最优路径,但是如果Router配置了bgp always-compare-med,将总是采用BGP MED 判断。

WeightCisco Only):权重,(范围0 到 65,535)weight是CISCO?#25509;?#30340;?#38382;?#36335;由器配置了权重后在本地?#34892;В?#32570;省情况下,从对等学习到的所有路由的Weight都是0,由本Router产生的路由的Weight都是32768。作用是影响路由选择,值越大优先?#23545;?#39640;。不向BGP邻居发送,仅限本地路由器,

neighbor {ip-address | peer-group-name} weight default-weight,将邻居发送来的路由的weight值改变

Local-preferenceLocal-preference是在一个多出口的as中控制流量更优先的从哪个出口出去, Local-preference的默?#29616;?#26159;100,更改?#26723;?#21629;令是:Router(config-router)# bgp default local-preference value 他的值越高,其优先?#23545;?#22823;.本地优先?#21040;?#22312;AS内部中?#34892;?(学习的路由影响出去的流量,公告出去的路由影响进来的流量.)

Origin起源(也叫起点)属性。

注入BGP路由表有三种方式(来源/起源):

一种是用Network命令进行,在BGP路由表显示为i(源属性:0),另一种是再发布EGP获得的,在路由表中显示为E(源属性:1),最后一种是从IGP或静态路由再发布过来的,显示为?(源属性:2)。

Communities(团体)

扩展communities属性(AS号:AS自己定义的号码)

将他们化成10进制就是CISCO路由器对标准communities属性的表示方法。

(1).INTERNET:INTERNET团体没有一个确定的值,所有属于这个团体的路由豆芽一个缺省值,可以自由的公布属于这个团体的路由(Advertise to any peer)

(2)NO_EXPORT(4294967041或者0Xffffff01):接收到的携带该?#26723;?#36335;由不能公布给EBGP对等体,或者如果配置了一个联盟,该路由不能在联盟范围以外公布――邻居
(3)NO_ADVERTISE(4294967042或者0Xffffff02):接收到的携带该?#26723;?#36335;由不能公布给EBGP或者IBGP的对等体。――不广播,只留给自己,?#36816;劍―o not advertise to any peer /will go to next-hop only

(5).LOCAL_AS(4294967043或者0Xffffff03):RFC1997称这个属性为NO_EXPORT_SUBCONFED.不能将接收到的携带该?#26723;?#36335;由公布给EBGP对等体,以及在联?#22235;?#30340;其他AS的对等。――本AS内

(6).None(Removes the community with: set community none)

Transit AS

Stub AS经过这个AS才能到达其它的AS。

BGP汇总(Route Aggregation)

1. BGP默认是自动汇总(主类网络)的,可以用 no auto-summary来关闭

可以用network *.*.*.* mask *.*.*.* 来手动汇总(只有在路由表里面有这些条目的时候,才可以用这条命令来实现手动汇总,而且只能用这条命令公布200条前缀)Network命令不仅宣告汇总路由,并且也将具体路由宣告出去。如果不想将具体路由宣告出去,需进行过滤(前面提到的Outbound策略)。Network命令本身不能做汇总,需要IP route命令配合。这?#21482;?#24635;比较麻?#24120;?#25105;们并不推荐。只当需要将已由IGP汇总(OSPF、EIGRP等)后的路由原封不动地发布到BGP里?#37027;?#20917;下才使用。(自动汇总只能汇总到主类网络)

PS: Network命令是将已存在(和已由IGP汇总)的路由表宣告到BGP?#23567;?#26080;Mask的宣告将是有类网络(A、B、C),有Mask的则是无类网络。

2. Router(config)# ip route prefix mask null0 Null 0是空端口,不是一个物理的端口,目的是告诉其它路由从我这个路由走,但具体怎么走,不是指定一个物理的端口。只是在路由表里面形成类似于已经汇总的路由,有点路由欺骗的味道,当到达本Router的数据包目的地可达的时候(有相关的路由),不会出现问题,但是,当路由不可到达的时候,所有的包将发送给NULL0口,这样可以防止DDOS攻击。

ip route 192.168.192.0 255.255.248.0 null0(在IGP表里面有的条目)

router bgp 100

network 192.168.192.0 mask 255.255.248.0(向所有建立的邻居都发送聚合路由)

3.

Router(config-router)# aggregate-address ip-address mask [summary-only] [as-set]

对BGP表中的路由器条目进行汇总,在BGP路由进程配置模?#36739;?Aggregate-address汇总命令它是创建一个汇总的路由并进行宣告。

Summary-only?#38382;?#26159;只宣告汇总路由,抑制具体路由(不发布具体路由)。

AS-Set?#38382;?#19981;同路由经过的AS可能不一样,这条命令的作用在于汇总路由知道具体路由所经过的AS的集?#24076;?#19981;是?#34892;?#30340;AS-PATH),以避免产生环路。

这样汇总不须人工指定空端口,系统会自动产生。

Sun#show ip bgp 192.168.192.0 255.255.248.0

BGP routing table entry for 192.168.192.0/21, version 23

Paths: (1 available, best #1)

Advertised to non peer-group peers:

192.168.1.229

300, (aggregated by 300 192.168.1.250)

192.168.1.233 from 192.168.1.233 (192.168.1.250)

Origin IGP, localpref 100, valid, external, atomic-aggregate, best, ref 2

②用aggregate-addresssuppress-map过滤/抑制路由

router bgp 100

no sy

neighbor 192.168.1.253 remote-as 200

neighbor 192.168.1.246 remote-as 200

aggregate-address 192.168.192.0 255.255.248.0 suppress-map VERMONT

aggregate-address 192.168.192.0 255.255.248.0 suppress-map CALIFORNIA

aggregate-address 192.168.192.0 255.255.248.0 attribute-map ORIGIN suppress-map

VERMONT

aggregate-address 192.168.192.0 255.255.248.0 as-set summary-only advertise-map

ALLOW_ROUTE

!

ip prefix-list SUPPRESSEDROUTES seq 5 permit 192.168.192.0/22 le 24

ip prefix-list SUPPRESSEDROUTES seq 10 permit 192.168.199.0/24

access-list 1 permit 192.168.195.0 0.0.0.255(隐式拒绝all,表示对其他所有路由都不抑制)

access-list 2 deny 192.168.197.0

access-list 2 permit any

!

route-map VERMONT permit 10

match ip address 1

!

route-map CALIFORNIA permit 10

match ip address prefix-list SUPPRESSEDROUTES

route-map ORIGIN permit 10

set origin incomplete

!

route-map ALLOW_ROUTE permit 10

match ip address 2

在access-list中的permit表示运行被抑制的,而deny是不运行被抑制。

③用aggregate-addressattribute-map改变聚合路由的属性

例子在上方,聚合路由有一个IGP的ORIGUN属性。

④neighbor *.*.*.* distribute-list命令过滤路由

neighbor 192.168.1.249 distribute-list 1 out(阻止出站路由)(in-阻止入站路由)!

access-list 1 deny 192.168.192.0(拒绝)

access-list 1 permit any(其他的允许)

⑤用aggregate-addressadvertise-map去掉community属性

例子在上方。

PS:EIGRP本地自动汇总,关掉自动汇总,show ip route后马上看到效果。

BGP默认是打开自动汇总的,如果关掉自动汇总,在发给对方的时候才看到效果,也就是给对等体发送的是汇总路由,在本地看不出,

clip_image002

BGP选路原则

PS:在show ip bgp *.*.*.*后面不合法的BGP路由:

1. 如果启用了BGP同步—当前IOS软件的缺省配置,路由器会忽略那些在输入show ip bgp *.*.*.*命令语句后系统输出信息中被注明“not sychronized”的路径—在IP路由表中一定会有一条内部路径(IBGP)与一个地址前缀的匹配被看作是合法路径。

2. 忽略那些下一跳不可达的路径。这就是为什么运行IGP协议非常重要,因为IGP使得与路径的相关下一跳地址可达。

3. 忽略那些从EBGP Peer得到的,本地AS号码出现在AS-PATH中的路径信息。这类路径信息在路由器入口就被拒绝,甚至还来不及按照到BGP RIB库?#23567;?#21516;样规则可以使用与ACLS,IP Prefixs,AS路径或者团体属性列表进行判?#24076;?#24182;拒绝,除非对等体配置了inbound soft reconfiguration命令语句

4. 如果Router启用了 Bgp bestpath enforce-first-as ,当对等体送来的更新信息中在AS序列项对等体的AS号码不在第一位,则发送一个NOTIFICATION报文并中止回话连接。

5. 忽略那些在输入show ip bgp *.*.*.*命令语句后系统输出信息中被注明“(received-only)”的路径。这条路径被路由器上实施的策?#36816;?#25298;绝,但仍就被保存在路由器内,因为发送这条路径信息的对等体配置了“soft reconfiguration inbound”。

6. 忽略那些下一跳度量值被标记为不可达的路径。

IOS软件BGP最优路径算法:

1.优选有最大Weight的路由

3.优选有最大LOCAL_PREF?#26723;?#36335;由(范围 0到 4,294,967,295).

4.优选从本路由器始发的路由(包括本地network配置的重分布,或者在IGP表中已经有一些需要被配置路由聚合的地址,在BGP中用Aggregate命令配置的路由聚?#24076;?/p>

5.优选有最短AS_PATH的路由

A.如果配置了Bgp bestpath as-path ignore,则这个步骤被忽略

B.B.一个AS路径集被当作一个AS,无论在这个集?#29616;?#26377;多少AS。AS路径长度中没有包括。AS_CONFED_SEQUENCE。

6.根据Origin属性.优选具有最低起源类型的路由(IGP>EG>Incomplete)

7.优选最小MED ?#26723;?#36335;由(范围 0到4,294,967,295).

A.只有在通过两条路径得到第一个AS(对等体)是同一个AS时才进行MED比?#24076;?#20219;何子自治域的联盟系统都会被忽略。也就是说,只有在AS序列号中第一个AS号码一致时,才进行MED比?#24076;?#20219;何联盟AS序列号(AS_CONFED_SEQUENCE)都会被忽略。

B.如果路由器上配置了 bgp always—compare—med ,在全部的路径进行MED比较。但是这需要全体AS都同时启用这个功能,否则有可能发生路由环路。

C.如果路由器上配置了 bgp bestpath med confed ,将?#36816;?#26377;只包括AS_CONFED_SEQUENCE的路径进行MED比?#24076;?#21363;路径是起源于本地联盟)。

D.如果接收到的路径没有分配MED值,则将此路径分配为0,除非路由器上配置了bestpath missing—is—worst,将被看作MED值为4,294,967,295的路由将在注入到BGP路由选择表之前被改为4,294,967,294。

E.BGP明确的MED值9(详见本章后面的“BGP明确的MED”段落)也可以影响此步骤。

8.外部路由EBGP优先于联盟(confederation)外部路由优于内部路由IBGP(优选 E-BGP路由)

注意,路径中包括AS_CONFEND_SEQUENCE属性对联盟只有在本地?#34892;В?#22240;此被看作是内部路径。无法区别外部联盟和内部联盟。

9. 优选能通过最近的IGP邻居到达的路径(优选对BGP下一跳具有最低IGP度量?#26723;?#36335;径);

10.如果在路由器上配置了maximum—pathsN,而且从同一个对等体自治域/子自治域接收到多条外部/外部联盟的路径,则最多可以将N条最近接收到的路径加入到IP路由选择表?#23567;?#36825;可以使得eBGP在多条路径上进行负载分担。目前N所代表的最大数目是6;当没有启?#20040;?#21151;能时,缺省数值是1。在输入了show ip bgp x.x.x.x后系统输出信息中可以看到最早接收到的路径被标记为最优路径,在将这条最优路径转发到内部对等体之前,需要执行与next_hop_self作用相同的功能。

11.如果是external的路由,优选最老的路由(最先被学习到的路由).

A.此步骤可以将路由摆动的影响减到最小,因为新接收到的路径不会取代老的,即使这条新接收的路径是通过下面提及到的额外路径选择标准来进行选择的。这使得只在iBGP路径下应用额外的选择步骤更有意义。

B.此步骤可以被bgp bestpath compare_routerid命令语句所关闭。

C.如果路由器标志是一样的,此步骤可以被屏蔽,因为这说明路由器正在从自己那里接?#31456;?#30001;。

D.如果当前没有最优路由器,此步骤可以被屏蔽。当提供某个路径的对等体路由器宏机,就会发生丢失

当前最优路径?#37027;?#20917;。

12.如果在同一时间学习到多条到同一目的地的路由,优选最小BGP-router-ID的路由,注意,如果一个路径包括路由反射器属性,起始者标识将代替路由器标?#23545;?#36335;径选择过程中起作用。

12.如果路由从路由反射器上学习到 ,优选最小Cluster-ID(BGP_ID of the route reflector)长度的路由,而且它运行客户机和其他反射器族中的RR/Clients 之间做对等连接,在这种情况下,路由器必须知道BGP协议中的RR的具体配置。

13.优选具有最低对等体地址接收到的路径。这个地址是在BGP对等体上配置并使用的地址,这个地址是本地对等体路由器在其上配置TCP邻居并与远端对等体建立连接时采用的地址。

step12的翻译是这样的:如果从相同的主机收到路径,不论它是对等体?#25925;?#36335;由反射器,选择拥有最低对等体IP地址(直连接口的地址或者如果没有直连的话,最近间接相连的接口的地址)的邻居学来的路径。
就像这个图?#37027;?#20917;:路由器ABCD处在同一个AS中,A到达D穿过了一个网云,路由器A从路由器D收到两条到达它的路由。如何选择呢。按step12的意?#21152;?#35813;是选择路径A。这是我的理解。大家讨论下。
clip_image004

AS-Path/Prefix-List/Outbound/Route-map过滤

限制从邻居收到路由Prefix的数量

Neighbor *.*.*.* maximum-prefix threshold-value [warning-only]:限制从一个邻居接收前缀的数量,[warning-only]?#38382;?#34920;示当邻居公布?#37027;?#32512;超过了最大?#26723;?0%,Router就生成一个日志消息。

限制从邻居收到路由as路径长度

(1) as路径过滤(filter-list/ip as-path access-list 1 permit …)

(2) Router bgp 109

Neighbor 192.168.1.1 remote-as 65534

Neighbor 192.168.1.1 maxas-limit 10

所有接收到的地址前缀都在BGP 路由表里,但是只有那些as路径长度低于或者等于10的地址前缀才可以进入BGP路由选择处理进程。

路由反射器(Cluster-id)

#路由反射器不改变客户传来的路由的属性

#RR和它的client 就形成一个Cluster,如果AS中有多个RP及其相应的Client,就可以通过不同的Cluster-ID 来区分,对于Cluster内部的Client来说,它不需要FULL-MESHed,并且Client 只与和它位于同一Cluster内部的RP向连接即可,它不会去Cluster外部的BGP Speaker 建立Peer关系。(RFC1966)

#RR防止环路的机制:两个属性originaor_id,包含了始发这条路由的路由器的route-id,因此RR不会将此路由?#31181;?#26032;发回给源,如果发起者收到一个带有自己的RID的更新消息,它会不理睬该消息;RR有一个单点故障问题,如果RR?#19994;簦?#21017;client就会丢失他们唯一的NLRI来源,这样就可以做一个双RR备份,此时cluster-list(是一个任选非传递属性,当一个RR将一条路由从一个client反射到一个non-client,它将它的cluster-id加到cluster-list?#24076;?#22914;果cluster-list是空的,rr就生成一个,其包含RR的cluster-id(在最新版本的IOS里面,cluster-id在配置RR的时候自动生成),当RR收到一个更新消息的时候,他检查cluster-list,如果在cluster-list里面看到自己的cluster-id值,就不会接收这条路由。????)

可以避免环路,

clip_image005

(1)两个RR配置相同的cluster-id

1.在client1上有一条1.1.1.0的路由,它将这条路由传给它的两个RR(RR1/RR2),RR1和RR2都接收这条路由,因为路由反射器的性质打破了IBGP的水平分割的原则,两个RR互相把这条路由传给对方和另外?#30446;?#25143;端,这时候,他们互相在cluster-list里面看到了自己的cluster-id,他们就不接收这条路由(不放进BGP database),所以在RR1/RR2看到的这条路由只有从client1传来的。在client2/3上看到分别从RR1/RR2收到这条路由,但是优选从RR1收到的(我觉得这里面又包含先从谁那里先收到这条路由的问题)

2.在RR1上有一条2.2.2.0的路由,这时候RR1将这条路由传给了RR2和它的3个client,RR2接收这条路由并且把他÷他们传给他的client,这时候3个client同时从RR1和RR2收到这条路由,它在路由的cluster-list里面看到两者有相同的cluster-id,他们优选从RR1收到的路由,由于RR的client就是普通的IBGP路由器,存在水平分割的原则,他们就不会把这条路由传给其他的IBGP邻居。

PS :在Rr的client上的路由里面才看到cluster-list.

在as内部,不改变BGP的下一条属性,show ip b和show ip b *.*.*.*的内容不一样,后者可以看到路由的详细情况。

clip_image006

r1#sho ip b 22.22.22.0

BGP routing table entry for 22.22.22.0/24, version 2

Paths: (2 available, best #2, table Default-IP-Routing-Table)

Not advertised to any peer

Local

2.2.2.2 (metric 65) from 3.3.3.3 (3.3.3.3)

Origin IGP, metric 0, localpref 100, valid, internal

Originator: 22.22.22.22, Cluster list: 0.0.0.1

Local

2.2.2.2 (metric 65) from 2.2.2.2 (22.22.22.22)

Origin IGP, metric 0, localpref 100, valid, internal, best

r1#sh ip b 44.44.44.0

BGP routing table entry for 44.44.44.0/24, version 3

Paths: (2 available, best #2, table Default-IP-Routing-Table)

Not advertised to any peer

Local

4.4.4.4 (metric 129) from 3.3.3.3 (3.3.3.3)

Origin IGP, metric 0, localpref 100, valid, internal

Originator: 44.44.44.44, Cluster list: 0.0.0.1

Local

4.4.4.4 (metric 129) from 2.2.2.2 (22.22.22.22)

Origin IGP, metric 0, localpref 100, valid, internal, best

Originator: 44.44.44.44, Cluster list: 0.0.0.1

—————————————————————————————————————-

r2#sho ip b 22.22.22.0

本文隐藏内容 登陆 后才可以浏览

—————————————————————————————————————-

r3#sho ip b 22.22.22.0

BGP routing table entry for 22.22.22.0/24, version 2

Paths: (1 available, best #1, table Default-IP-Routing-Table)

Advertised to non peer-group peers:

1.1.1.1 4.4.4.4

Local

2.2.2.2 (metric 11) from 2.2.2.2 (22.22.22.22)

Origin IGP, metric 0, localpref 100, valid, internal, best

r3#sho ip b 44.44.44.0

BGP routing table entry for 44.44.44.0/24, version 3

Paths: (1 available, best #1, table Default-IP-Routing-Table)

Advertised to non peer-group peers:

1.1.1.1 2.2.2.2

Local, (Received from a RR-client)

4.4.4.4 (metric 75) from 4.4.4.4 (44.44.44.44)

Origin IGP, metric 0, localpref 100, valid, internal, best

—————————————————————————————————————-

r4#sho ip b 22.22.22.0

BGP routing table entry for 22.22.22.0/24, version 3

Paths: (2 available, best #2, table Default-IP-Routing-Table)

Not advertised to any peer

Local

2.2.2.2 (metric 65) from 3.3.3.3 (3.3.3.3)

Origin IGP, metric 0, localpref 100, valid, internal

Originator: 22.22.22.22, Cluster list: 0.0.0.1

Local

2.2.2.2 (metric 65) from 2.2.2.2 (22.22.22.22)

Origin IGP, metric 0, localpref 100, valid, internal, best

r4#sho ip b 44.44.44.0

BGP routing table entry for 44.44.44.0/24, version 2

Paths: (1 available, best #1, table Default-IP-Routing-Table)

Advertised to non peer-group peers:

2.2.2.2 3.3.3.3

Local

0.0.0.0 from 0.0.0.0 (44.44.44.44)

Origin IGP, metric 0, localpref 100, weight 32768, valid, sourced, local, best

(1)两个RR配置不同的cluster-id

1.在client1上有一条1.1.1.0的路由,它将这条路由传给它的两个RR(RR1/RR2),RR1和RR2都接收这条路由,因为路由反射器的性质打破了IBGP的水平分割的原则,两个RR互相把这条路由传给对方和clients,根据bgp的选路原则,他们会优选有较小IGP metric的路由,这时候,就是选择从client1接收的路由。

2.在RR1上有一条2.2.2.0的路由,这时候RR1将这条路由传给了RR2和它的3个client,因为在这条路由的cluster-list里的cluster-id不一样,他们就互相都接收了这条路由,因为路由反射器的性质打破了IBGP的水平分割的原则,他们又把这条路由再传给clients,而3个client在接收这条路由的同时,由于RR的client就是普通的IBGP路由器,存在水平分割的原则,他们就不会把这条路由传给其他的IBGP邻居,但是他们收到了两次这条路由信息的更新,根据bgp的选路原则,他们会优选有较小IGP metric的路由,这时候,就是选择从RR1接收的路由。

clip_image007

(1)如果路由是从Non-client的IBGP学习到的,只将她反射给client。

(2)如果路由是从client学习到的,将它反射给除了发起该路由的client以外的所有non-clent及其client

(3)如果路由是从EBGP对等体学习到的,将它反射给所有的client和non-client。

Confederations(联盟)

由子AS组成的AS,

clip_image008
联盟AS9184是由AS65510/AS65520/AS65530组成的。

AS_path两类属性:as_sequence和as_set,联盟为AS_path增加了两个属性类型。AS_CONFED_SEQUENCE和AS_CONFED_SET

AS_CONFED_SEQUENCE:由属于本地联盟中的自治系统的AS号组成的?#34892;?#21015;表,在联?#22235;?#37096;防止路由环路。

AS_CONFED_SET:由属于本地联盟中的自治系统的AS号组成的无序列表,在联?#22235;?#37096;防止在做路由聚合的时候,由于丢失AS信息而引起路由环路。

在联盟中,到联?#36865;?#37096;的EBGP路由优先与到AS成员的EBGP路由,到AS成员的EBGP路由优于IBGP路由,联盟和AS之间还有一个不同:例如NEXT_HOP/MED,可以不?#26377;?#25913;地公布给联盟的其他AS成员中的EBGP对端,而且也可以发送LOCAL_PREF.

在RR环境下,只要RR支?#33268;?#30001;反射器功能就可以,在联盟环境下,所有的Router都要支持这一特性,因为所有Router都必须识别AS_PATH中的AS_CONFED_SEQUENCE和AS_CONFED_SET类别,因为向联?#36865;?#38754;公布路由的时候,要把这些AS_PATH类去掉,因此其他AS的路由器不要支持联盟。

当向联?#36865;?#37096;的EBGP对等体发送update消息的时候,会将AS_CONFED_SEQUENCE和AS_CONFED_SET

从AS_PATH属性中去掉,将联盟as号加到AS_PATH中,因为这一点,外部的对等体就把联盟看作是一个AS而不是一个自治系统的集合。

PS: AS-Path/AS-Set?#37027;?#21035;:AS-Path(?#34892;?#21015;表)/AS-Set(无序集?#24076;?/p>

Sugarbush#show ip bgp

BGP table version is 19, local router ID is 172.20.1.1

Status codes: s suppressed, d damped, h history, * valid, > best, i – internal

Origin codes: i – IGP, e – EGP, ? – incomplete

Network Next Hop Metric LocPrf Weight Path

Network Next Hop Metric LocPrf Weight Path

*> 192.168.192.0/21 192.168.1.230 0 400 300 i

*> 192.168.192.0/21 192.168.1.233 0 300 {200,100,500} ?

Peer Group(对等体组)

如果在某一Router的旁边有一些路由器,它们都有一致的策略,就可以指定一个邻居组(对等组)

创建组的命令:Router(config-router)# neighbor [peer-group-name] peer-group

添加成员的命令:Router(config-router)# neighbor [ip-address] peer-group [peer-group-name]

这样的?#20040;?#26159;简化配置。

BGP Route Damping(BGP路由抑制)

bgp dampening [[route-map map-name] [half-life-time reuse-value suppress-value

maximum-suppress-time]]

Penalty:默?#29616;?#26159;1000 per flap

Suppress-value:范围1~20000;默?#29616;?#26159;2000

Reuse-value:范围1~2000;默?#29616;?#26159;750

Half-life:范围1~45min;默?#29616;?#26159;15 minutes

Maximum-suppress-time:范围1~255;默?#29616;?#26159;60 minutes, or 4 times the half-life

例子:对172.16.220.0/20做抑制
clip_image009

ROUTER C

router ospf 10

redistribute bgp 1 subnets

network 192.68.0.0 0.0.255.255 area 0

router bgp 1

bgp dampening route-map SELECTIVE_DAMPENING

network 192.68.11.0

neighbor 172.16.20.2 remote-as 3

neighbor 192.68.6.1 remote-as 1

no auto-summary

access-list 1 permit 172.16.220.0 0.0.0.255

route-map SELECTIVE_DAMPENING permit 10

match ip address 1

set dampening 20 950 2500 80

route-map SELECTIVE_DAMPENING permit 20

改进BGP的聚合

BGP的邻居?#29616;?/p>

#bgp的?#29616;?#20165;仅限制于邻居之间.

例如:\

nei 5.5.5.5 password cisco(默认就是md5?#29616;?

调用?#29616;?#21151;能需要CISCO ios软件在TCP连接中每发送一个TCP字段就生成并校验MD5摘要,如果调用了?#29616;ぃ?#20294;是其中一个字段没有通过?#29616;ぃ?#20250;向console口发送一个message

如果只是在一边配置了?#29616;ぃ?/p>

%TCP-6-BADAUTH: No MD5 digest from [peer’s IP address]:11003 to [local router’s IP address]:179

如果两边的?#29616;?#23494;码不匹配:

%TCP-6-BADAUTH: Invalid MD5 digest from [peer’s IP address]:11004 to [local router’s IP address]:179

正则表达式

. ?#25105;?#21333;一字符,包括空格,句号  .标志匹配?#25105;?#19968;个字符,包括空格,如:当我们使用permit .*的时候,表示匹配所有的路由。

[] 在方括弧中罗列的任何字符

[^] 除了在方括弧中罗列字符外任何字符

– 在由连字符所分隔的两个字符之间的?#25105;?#23383;符, 表示两个AS之间的连接符,如:permit ^254_253_252$, 表示起源于252,经过253和254的路由条目

? 字符或模式出现0次或1次,标志匹配前面的一个字符,注意:只是匹配一个字符。?允许前面的字符出现一次或者是空。如:permit 254[0-9]?$,那么就是只匹配起源于AS 254/2540—2549的路由,注意?在CISCO路由器上用CTRL-V来替代。

* 字符或模式出现0次或多次,标志匹配前面的一个字符,注意,和?不同的是,*允许前面的字符出现许多次或者是空,而?只允许匹配出现一次或者是空。如:permit 254[0-9]*$,那么就是只匹配起源于AS 254/2540—25499999……..的路由 如果是permit 254[5-9],那么就是匹配起源自AS 254/2545-2549/25455-25459/254555-
254599…………

+ 字符或模式出现1次或多次,+和*?#37027;?#21035;就是*可以匹配空,但是+必须匹配一个值才行如permit ^254+$,表示起源于254或者2544/25444……..而permit ^254*$则可以匹配起源于AS 25/254/25444。

^ 一行?#30446;?#22987;,标志一个表达式?#30446;?#22987;,如果不用这个字符,那么默认就没有开始的限制了。如:当使用permit ^254,那么表示的意思就是和本地相连的AS是254传过来的路由全部都允许了。如果使用简单的permit 254,那么就是只要是经过了AS 254的路由,全部都被允许了,其实和permit _254_表达的意思相同。

$ 一行的结束,标志一个表达式的结束,如果不用这个字符,那么默认就没有结束的限制了。如:当使用了permit 254$,那么表示的意思就是起源于AS 254的路由全部被接受,如果permit 254那么见上面的解释。

| 由元字符特殊字符分隔的?#31181;?#19968;

_ 一个逗号,行?#30446;?#22987;,行的结束或空格

BGP的其他性质

1.BGP和ISIS一样以链路为边界。

2.BGP不支持负载均衡,因为通过它复杂的选路原则一定可以决定一条最优的路由。

3.BGP版本向后兼容,如果发现对方是更低的版本,将会?#26723;?#33258;己的版本来与之兼容,当前的版本是BGP V4。

4.BGP Peer=BGP Speaker=BGP Neighbor

5. 在本AS内,BGP的AS-PATH属性不变,在离开本AS的时候,会在AS-PATH前面附?#30001;?#26412;AS的AS 号。

6.一个Router 只能运行一个BGP实例(不会把一个路由器放到多个BGP(AS)中)。但是可以采用local-as这来使Router可以同时有2个asn(但是实际?#29616;?#29992;一个),这是对于Ebgp邻居而言的,如果在A(as 109)—–EBGP—-B(as 159) 之间,A配置了

neighbor 145.2.2.2 local-as 210这时候,B就会以为它正在和Asn是210的EBGP Peer建立邻居关系,A在向B通过路由更新的时候,会把路由里面的as号码改成local-as中配置的asn,在A上显示的从B上学习到的路由就是210_159,在B上显示的从A上学习到的路由就是159_210就相当于as210和as159的EBGP在通信。这在两个ISP何必的时候作为过渡策略使用,避免大面积的地?#20998;?#26032;规划和网络环境的重新配置。

7. iBGP TTL = 255

eBGP TTL= 1

8.当重分布OSPF到BGP中的时候,或者如果存在RR ,Ospf的 router-id必须和BGP的router-id一样。
#redistribute ospf 10 match internal external 1 external 2
  default-metric 2
redistribute ospf internal external 1 external 2: 必须显式的匹配internals & externals OSPF路由
default-metric 2:  Assigns a metric of 2 hops in BGP to the OSPF routes

#router eigrp 100
redistribute bgp 100 route-map test
route-map test permit 10
set automatic-tag
set as-path tag

This will redistribute the BGP path and Origin code into EIGRP /… [Cisco conly]

BGP的几种管理距离

Internal BGP :200

External Border Gateway Protocol (BGP):20
Local BGP:200

Exterior Gateway Protocol (EGP):140

router bgp 200

distance bgp 20 95 200

BGP -4 Command

1.Router(config-router)#neighbor {ip-address | peer-group-name} remote-as autonomous-system

可以用IP地址或对等组名来指定,这个ip-address是对方邻居的路由更新源。EBGP(ip-address应该是与本Router直连的IP)IBGP(ip-address是对方路由器上任?#25105;?#20010;IP地址,只要是路由可达,一般是用L0口做更新源,因为这样做可以提高BGP网络的健壮性),用Lo口做更新源一般用于IBGP中,在EBGP中使用,要满足路由可达的原则。

PS:

①两个BGP Neighbor的更新源必须匹配,不然数据包将会被丢弃。

②在EBGP中的TCP包的TTL值是1,所以有了Neighbor ip-address ebgp-multihop x(x是TTL的值) 命令。

2.Router(config-router)#neighbor {ip-address|peer-group-name} shutdown| soft-reconfiguration inbound

Shutdown:邻居关系并没有被删除,而是暂时不可用,一般用于维护和更改策略,它防止路由摆动(Route Flapping),管理shut down。

Soft-reconfiguration inbound:告诉Router存储所有从它的Neighbor更新的路由,才可以让新的inbound policy 生效而不要重新Reset BGP(会话连接仍然维持),这是条内存密集型命令。

3.clear ip bgp {* | address | peer-group-name} [soft [in | out]]

*:所有的BGP会话都将被Reset,全部BGP路由表将被丢弃,BGP会话状态更改为Idle。

Address:特定IP地址的邻居将被Reset,其BGP会话状态更改为Idle,清除从该BGP Peer 学习到的路由。邻居关系将重新建立。

Peer-group-name:指定的 BGP peer-group 将被Reset

Soft out:Router 不会丢失从Neighbor那边学习到的路由,Router重新发送所有BGP路由给Neighbor而不要Reset BGP会话(连接仍然维持),对inbound policy 无效,在做Onbound policy时,这条命令强烈建议使用。

Soft in:Routes advertised to this neighbor are not withdrawn,Router存储所有从它的Neighbor更新的路由,才可以使?#20040;?#20648;的,未经改动的更新信息来执行新的inbound policy,而不要重新Reset BGP(会话连接仍然维持)。

下列情况下必须手动Reset 邻居关系

1.补充或者改变与BGP相关的ACLS

2.改变与BGP有关的weight

3.改变与BGP有关的distribute-list

4.改变与BGP有关的Timer

5.改变与BGP有关的Admin distance

6.改变与BGP有关的Router-map

4.建立Neighbor关?#26723;?#29305;例(配置练习)

A以对方的LO0(2.2.2.2)口来建立邻居(在as 100中)

B以对方的直连接口(12.12.12.1)来建立邻居(在as 200中)

clip_image011
A:Router bgp 100

Neighbor 2.2.2.2 remote-as 200

neighbor 2.2.2.2 ebgp-multihop 2

B: Router bgp 200

Neighbor 12.12.12.1 remote-as 100

Neighbor 12.12.12.1 update-source lo0

待续…

4.r2#show ip rou

Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP

D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area

N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2

E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP

i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area

* – candidate default, U – per-user static route, o – ODR

P – periodic downloaded static route

r2#show ip bgp

BGP table version is 13, local router ID is 2.2.2.2

Status codes: s suppressed, d damped, h history, * valid, > best, i – internal

Origin codes: i – IGP, e – EGP, ? – incomplete

Network Next Hop Metric LocPrf Weight Path

*>i11.11.11.0/24 1.1.1.1 0 100 0 i

*> 45.45.45.0/24 4.4.4.4 0 0 400 i

5. show ip bgp paths 显示BGP 拓扑图

和show ip bgp 显示BGP 路由表?#37027;?#21035;?

6. ?#25509;蠥S号码剥离:

RTA(config)#router bgp 1

RTA(config-router)#neighbor 172.16.20.2 2 remote-as 65001

RTA(config-router)#neighbor 192.168.6.3 remote-as 7

RTA(config-router)#neighbor 192.168.6.3 remove-private-as

1. Bgp配置缺省路由和路由聚合

① ip route 0.0.0.0 0.0.0.0 null0

router bgp 100

network 0.0.0.0(向所有建立的邻居都发送缺省路由)

② router bgp 100

neighbor *.*.*.* default-originate(只是向特定的邻居发送缺省路由,如果只想发送缺省路由,则需要做路由过滤,这条命令不需要)手动建立一条缺省路由。)

2. Neighbor *.*.*.* version :不同版本的BGP直接的手动协商。

3.

IP NAT OUSIDE 反向NAT项目解决方案

1 Comment CISCO, 网络技术

-microsoft-office-visio-

项目目的:

?#26412;㊣DC服务器需要去 X.X.X.X安全网段获取数据,但目的服务器只允行100.1.1.0段的IP地址访问相应服务。

项目分析:

根据需求,有两个最佳方案可选

1.在入口或出口路由器上做反向NAT。将外网流量?#25104;?#36827;来变成可信任流量。即反向NAT? ip nat outside

2.做代理服务器。不过前提是将代理服务器?#25104;?#20986;去给 客户服务器。

项目实施:

这次我们用ROUTER2做主路由

配置如下

interface GigabitEthernet0/0

ip address 192.168.130.44 255.255.255.0

ip nat inside

duplex auto

speed auto

interface GigabitEthernet0/1

ip address 99.1.1.1 255.255.255.0

ip nat outside

image

本文隐藏内容 登陆 后才可以浏览

为防止?#25104;?#36827;来的服务器获取其它数据需要?#36816;?#36827;行限制

access-list

image

140 deny ip any any (108 matches)

interface GigabitEthernet0/0

ip address 192.168.130.x 255.255.255.0

image?? 为什么要放在这个口,可以动下?#28304;?/p>

ip access log

.Feb 18 09:22:14.113: %SEC-6-IPACCESSLOGP: list D100 permitted udp 100.1.1.3(9909) -> 192.168.130.218(8000), 1 packet

PPP、SLIP和MP配置命令

No Comments CISCO

PPP、SLIP和MP配置命令
3.1.1 encapsulation ppp
设置接口的链路层协议封装为PPP。
encapsulation ppp
【缺省情况】
接口的缺省链路层协议封装为PPP。
?#20037;?#20196;模式】
接口配置模式
【使用?#25913;稀?
PPP协议是提供在点到点链路上?#24615;?#32593;络层数据包的一种链路层协议。PPP定义了一整套的协议包括链路控制协议(LCP)、网络层控制协议(NCP)和验证协议(PAP和CHAP)。PPP由于能够提供用户验证、易于扩充和支持同异步而获得较广泛的应用。
接口的链路层封装协议应与对端接口一致。
【举例】
设置接口Serial0的链路层协议封装为PPP。
Quidway(config-if-Serial0)#encapsulation ppp
【相关命令】
show interface
3.1.2 encapsulation slip
设置接口的链路层协议封装为SLIP。
encapsulation slip
【缺省情况】
接口的链路层协议封装缺省为PPP。
?#20037;?#20196;模式】
接口配置模式
【使用?#25913;稀?
在点到点链路上可以采用更简单的链路层协议SLIP(Serial Line IP),主要用于在点到点串口连?#30001;?#36816;行TCP/IP。
SLIP 协议只简单定义帧开始和结束符,以便在串行线路上截取IP报文,与PPP相比,没有地址概念、没?#34892;?#21830;过程、不区分报文类型(因此同一时间只能支持一种网络协议)而且没有?#26469;?#21151;能。
接口的链路层封装协议应与对端接口一致。
【举例】
在接口Serial0上封装链路层协议SLIP。
Quidway(config-if-serial0)#encapsulation slip
【相关命令】
show interface
3.1.3 multilink-user
配置根据用户名进行MP捆绑。
multilink-user user-name bind interface-type interface-number
?#38745;问?#35828;明】
user-name 为用户名。
interface-type 为接口类型。
number 为接口序号。
?#20037;?#20196;模式】
全局配置模式
【使用?#25913;稀?
指定的接口应封装为PPP,并指定了MP属性。
在通过PPP验证后,根据对端用户名来决定是否进行MP捆绑, ?#21738;一个接口的工作?#38382;?#36827;行MP捆绑,如果指定虚接口模板,则将形成一个新的虚拟接口使用。
在虚拟接口模板上可以配置的工作?#38382;?#21253;括:
本地IP地址和为PPP对端分配的IP地址(或IP地址池)
IPX网络号和主机号等
PPP工作?#38382;?#32570;省封装PPP)
包过滤规则
【举例】
指定用户名Quidway对应虚接口模板1,并配置该虚拟接口模板的IP 地址是 202.38. 60.1 。
Quidway(config)#multilink-user Quidway bind virtual-template 1
Quidway(config)#interface virtual-template 1
Quidway(config-virtual-template1)#ip address 202.38.160.1 255.255.255.0
【相关命令】
ppp multilink
3.1.4 ppp authentication
设置PPP对对端路由器的验证方式。
ppp authentication { chap | pap | chap pap | pap chap } [ callin ] [ default | name-list ]
?#38745;问?#35828;明】
chap和pap二者必选其一,或者二者都选。
callin表示只在远端用户呼入时才验证对方。
default和name-list是AAA的验证方法表。
【缺省情况】
PPP缺省为不验证。
?#20037;?#20196;模式】
接口配置模式
【使用?#25913;稀?
PPP有两种验证方式:
PAP为两次握手验证,口令为明文。
CHAP为三次握手验证,口令为密文。
PPP验证对端路由器可以只采用CHAP或PAP验证方法,也可以采用两种验证方法,按顺序在前一种验证失败之后,采用后一种验证。一般来说,CHAP验证更为安全可靠。
在异步拨号口?#24076;?#21487;以只在呼入时进行验证,在呼出时不进行验证,?#26376;?#30001;器作为接入服务器使用时,需要这样配置。

另外可以采用已经定义的AAA验证方法表进行验证。

无论是CHAP或PAP,只是一种验证过程,最终能否通过验证,还需要AAA来作决定,AAA可以利用本地验证数据库验证或由AAA服务器进行验证。

【举例】

在接口Serial0?#24076;?#37319;用PAP方法验证对端路由器。

Quidway(config-if-Serial0)#ppp authentication pap

【相关命令】

user,ppp chap host,ppp pap sent-username,aaa authentication ppp

3.1.5 ppp callback

允许或禁止PPP发送或接受回呼请求。

[ no ] ppp callback { request | accept }

?#38745;问?#35828;明】

no表示禁止该功能。

request表示发送回呼请求。

accept表示接受回呼请求。

【缺省情况】

缺省为禁止发送和接受回呼请求。

?#20037;?#20196;模式】

接口配置模式

【使用?#25913;稀?/p>

回呼功能可以为主叫方节省传输费用,在某些特殊情况下需要支持回呼功能。

【举例】

设置接口Serial0允许接受回呼请求。

Quidway#ppp callback accept

【相关命令】

encapsulation ppp

3.1.6 ppp chap host

采用CHAP验证时,配置本地路由器名。

ppp chap host hostname

?#38745;问?#35828;明】

hostname为本地路由器名

【缺省情况】

缺省的本地路由器名为Quidway或用hostname命令配置的路由器域名。

?#20037;?#20196;模式】

接口配置模式

【使用?#25913;稀?/p>

配置CHAP验证时,要将各自的hostname配置为对端的user,而且对应的password要一致。

【举例】

配置接口Serial0进行CHAP验证时,本地路由器名为QuidwayR2501。

Quidway(config-if-Serial0)#ppp chap host QuidwayR2501

【相关命令】

ppp authentication,user

3.1.7 ppp multilink

配置封装PPP的接口工作在MP方式。

[ no ] ppp multilink

【缺省情况】

封装PPP的接口缺省工作在SP方式。

?#20037;?#20196;模式】

接口配置模式

【使用?#25913;稀?/p>

为了增加带宽,可以将多个PPP链路捆绑使用,形成一个逻辑MP接口使用,此时需要在相关物理接口?#29616;?#23450;虚接口模板。

no ppp multilink取消该接口的MP工作属性。

【举例】

配置封装PPP的接口Serial0工作在MP方式。

Quidway(config-if-Serial0)#ppp multilink

【相关命令】

encapsulation ppp,multilink-user,interface virtual-template

3.1.8 ppp negotiation timeout

设置PPP协商超时时间。

ppp negotiate timeout seconds

?#38745;问?#35828;明】

seconds为协商超时时间,单位为秒。在PPP协商过程中,如果在这个时间间隔内没有收到对端的应答报文,则PPP将会重发前一次发送的报文。

【缺省情况】

缺省的PPP协商超时时间为3秒。

?#20037;?#20196;模式】

接口配置模式

【举例】

设置PPP协商超时时间为10秒。

Quidway(config-if-Serial0)#ppp negotiate timeout 10

【相关命令】

encapsulation ppp

3.1.9 ppp pap sent-username

配置本地路由器被对端路由器采用PAP方式验证时发送的用户名和口令。

ppp pap sent-username sent-username password { 0 | 7 } password

?#38745;问?#35828;明】

sent-username为发送的用户名。

password为发送?#30446;?#20196;。

0和7分别表示?#29992;?#26174;示和不?#29992;?#26174;示口令。

【缺省情况】

被对端以PAP方式验证时,本地路由器缺省发送的用户名和口令均为quidway。

?#20037;?#20196;模式】

接口配置模式

【使用?#25913;稀?/p>

当本地路由器被对端以PAP方式验证时,本地路由器发送的用户名sent-username和口令password应与对端路由器的user和password一致。

【举例】

设置本地路由器被对端以PAP方式验证时发送的用户名为QuidwayR2501,口令为Quidway。

Quidway(config-if-Serial0)#ppp pap sent-username QuidwayR2501 password Quidway

【相关命令】

ppp authentication pap,user

3.1.10 show user

查看用户数据库。

show user

?#20037;?#20196;模式】

特权用户模式

【使用?#25913;稀?/p>

该命令显示信息包括为了进行验证而配置的用户名和口令,其中口令的显示根据原来用户定义时是否进行?#29992;?#26174;示来不同对待。

【举例】

Quidway#show user

user password

Cisco cisco

【相关命令】

user

3.1.11 user

设置或删除用于验证的用户数据库。

user user password { 0 | 7 } password

no user user

?#38745;问?#35828;明】

user 和 password 为用户名及其口令。

0 和 7 分别表示?#29992;?#26174;示和不?#29992;?#26174;示口令。

【缺省情况】

系统缺省的用户数据库为空。

?#20037;?#20196;模式】

全局配置模式

【使用?#25913;稀?/p>

用户数据库既可用于CHAP验证,也可用于PAP验证。另外对于用户口令的显示,最好采用?#29992;?#26174;示方式。

【举例】

增加一用户:用户名和口令为Quidway1,要求口令为?#29992;?#26174;示。

Quidway#user Quidway1 password 0 Quidway1

【相关命令】

show user,ppp chap host,ppp pap sent-username

(作者:不详责任编辑:)

原创:手把手交你 cisco 3560X 不支持ip policy pbr的解决方法

2 Comments CISCO

昨天要弄个PBR  sdm prefer routing后?#25925;?#27809;有ip policy命令试过各种办法都不?#23567;!!?#24754;具的一天

后来才搞明白一个一直没注意 的问题,以前的3560我都?#24039;?#36807;lisence的。这个没有

注意 show ver 如果是ipbase的不支持一定要 ipsevice的才行

License Level: ipbase

License Type: Permanent

Next reload license Level: ipbase

所?#26376;錚?#21482;能升请 license了

手把手交你申请cisco license

clip_image002

填写PAK码

clip_image004

clip_image006

clip_image008

udi Product ID and Serial Number can be found by using "Show License UDI" CLI on your router.

如下图

clip_image010

clip_image012

最后

clip_image014

绝招 手把手交你激活cisco license

将license文件上传到C3560X

Switch#copy tftp: flash:

Address or name of remote host []? 19.16.1.22  ---------- TFTP的主机名

Source filename []? FDO1649R2QZ_20130805185651258.lic  ---- 要上传的license文件

Destination filename [FDO1649R2QZ_20130805185651258.lic]?---确认

Accessing tftp://19.16.1.22/FDO1649R2QZ_20130805185651258.lic…

Loading FDO1649R2QZ_20130805185651258.lic from 19.16.1.22 (via Vlan130): !

[OK – 1160 bytes]-------------------------OK完成

1160 bytes copied in 8.153 secs (142 bytes/sec)

Switch#

现在激活

Switch#license install flash:FDO1649R2QZ_20130805185651258.lic  ----license的路径 回车确认

  <cr>

Switch#license install flash:FDO1649R2QZ_20130805185651258.lic

Installing licenses from "flash:FDO1649R2QZ_20130805185651258.lic"

Installing…Feature:ipservices…Successful:Supported    ----------看到没 ipservices了

1/1 licenses were successfully installed

0/1 licenses were existing licenses

0/1 licenses were failed to install

Switch# 搞定 现在show version试试

是不是跟原来的不一样了

License Level: ipbase

License Type: Permanent

Next reload license Level: ipservices        -----牛B的。

现在重启

重启后的,哈哈,搞定吃饭去

License Level: ipservices

License Type: Permanent

Next reload license Level: ipservices

clip_image015

OSPF路由选择排障案例

No Comments CISCO

 

?#24067;?#24179;台

路由器

软件版本

所有

案例简介

本案例中涉及OSPF在特定情况下的LSA选择问题,此问题关联了FA地址及NSSA的一些特性。通过对故障逐一分析,也汇总了相关知识。以下是一个真实案例, 为保护客户资?#24076;?路由器输出信息已被修改。

故障诊断步骤

R1, R2 和 R3是NSSA区域,R1和R2是骨干区域。在R3?#29616;?#20998;发网络10.10.119.0/27到NSSA?#23567;?#23458;户发现R2正常从R3习?#20040;薔SSA路由,但是R1是从R2学来的E1路由。

clip_image001

1. 收集信息,确认问题,发现R1和R2都有TYPE 7和TYPE 5 路由,但R1选了TYPE5而R2选择了NSSA,这是为什么?[1]

R1#show ospf database external 10.10.119.0
            OSPF Router with ID (10.10.191.131) (Process ID 18181)
                Type-5 AS External Link States
  Routing Bit Set on this LSA
  LS age: 652
  Options: (No TOS-capability, DC)
  LS Type: AS External Link
  Link State ID: 10.10.119.0 (External Network Number)
  Advertising Router: 10.10.191.132
  LS Seq Number: 80000399
  Checksum: 0x3768
  Length: 36
  Network Mask: /27
        Metric Type: 1 (Comparable directly to link state metric)
        TOS: 0
        Metric: 1
        Forward Address: 10.10.72.89
        External Route Tag: 1
R1#sh ospf database nssa-external 10.10.119.0
            OSPF Router with ID (10.10.191.131) (Process ID 18181)
                Type-7 AS External Link States (Area 7)
  LS age: 312
  Options: (No TOS-capability, Type 7/5 translation, DC)
  LS Type: AS External Link
  Link State ID: 10.10.119.0 (External Network Number)
  Advertising Router: 10.10.72.89
  LS Seq Number: 8000fe93
  Checksum: 0x240
  Length: 36
  Network Mask: /27
        Metric Type: 1 (Comparable directly to link state metric)
        TOS: 0
        Metric: 1
        Forward Address: 10.10.72.89
        External Route Tag: 1

2. 根据数据库的信息,R1学来的E1路由应该是R2把TYPE7转为TYPE5后,发给R1的。仔细查看路由表,发现虽然R1从R2学来的路由,但下一跳仍然通过R3,这是为什么?[2]这些端口都在NSSA中,NSSA中会有5类路由么?[3]

R2#show route 10.10.119.0 de
  Tag 1, type NSSA extern 1
    10.10.183.142, from 10.10.72.89, via TenGigE0/0/0/0
    10.10.183.98, from 10.10.72.89, via TenGigE0/1/2/0
R1#show route10.10.119.0 de
  Tag 1, type extern 1
    10.10.183.74, from 10.10.191.132, via TenGigE0/2/0/0
    10.10.183.138, from 10.10.191.132, via TenGigE0/3/2/0
R1#show ospf inter ten0/2/0/0 | i Area
  Internet Address 10.10.183.73/30, Area 7
R1#
R1#show ospf inter ten0/3/2/0 | i Area
  Internet Address 10.10.183.137/30, Area 7

3. 首先R1和R2是ABR,所以即使存在5类路由也是ok的,那么为什么从R2学来的路由,反而从R3走呢?[4]因为FA地址,对于FA地址简单回忆下:

o 它是OSPF特有的,它的作用主要是在告诉域内路由器在特定场合?#36335;?#38382;域外路由不要找ASBR,要找FA这个转发地址

o 只有满足特定条件,FA地址才不为"0.0.0.0",详细规则请看相关文档

o 如果把FA地址过?#35828;簦?#37027;么这个外部路由不会加入路由表

o 只有当FA地址为(intra-area)O或IA(inter-area)时,才可以把此E2路由放入路由表。小心重分发静态到OSPF,如果写的下一跳是地址,而且属于直连,他不会被加入路由表;相反写端口可以,因为不符合规则,FA全零

o 在NSSA跟正常区域不同,根据"RFC 3101, specially section 2.3 Type-7 LSAs",转换时必须有FA地址,所以如果重分发静态时,下一跳写成端口,FA会成为全零,这样会有问题。

"6. Those Type-7 LSAs that are to be translated into Type-5 LSAs must have their forwarding address set."

4. 根据上面的信息,已经很清楚的知道,虽然路由从R2学来,但转发仍然根据FA从跟R3直连的端口出去。

5. 那么对于为什么R1会从R2学来E1,而不是R2从R1学E1,有什么规律么?[5]搭个环境测试下,发现很容易能重现问题,看来这是正常的,那么有文档么?[6]

6. 查了下RFC,发现了下面的信息可以解释上面的疑问:

o 对于为什么R1从R2学来E1路由,根据RFC 2328的信息:

"If two routers, both reachable from one another, originate functionally equivalent AS-external-LSAs (i.e., same destination, cost and non-zero forwarding address), then the LSA originated by the router having the highest OSPF Router ID is used."

因为R2(132) 优于R1(131),所以R2转换并发给R1。

o 对于为什么R1选择了E1而不是NSSA,根据RFC 1587:

"When a type-5 LSA and a type-7 LSA are found to have the same type and an equal distance, the following priorities apply (listed from highest to lowest) for breaking the tie.

a. Any type 5 LSA.

b. A type-7 LSA with the P-bit set and the forwarding address non-zero.

c. Any other type-7 LSA."

解答总结

  • [1] 根据RFC1587,当type-5 和type-7有同样类型和同样距离时,type-5 > type-7(P-bit+FA) > type-7
  • [2] 当LSA有FA地址时,需要向FA地址转发,而不是向ASBR转发。
  • [3] 如果一个路由器属于NSSA,他不会存在type-5 LSA,但如果此路由器是ABR,那么是有可能的。
  • [4] FA地址。
  • [5] 根据RFC 2328,如果两个路由器彼此可达,当两台设备产生等价LSA时,将使用拥有高Router ID的LSA。
  • [6] RFC 2328,RFC1587

相关命令

  • show ospf database external x.x.x.x
  • show ospf database nssa x.x.x.x
  • show route x.x.x.x detail
  • show ospf inter xxx | i xxx

相关错误信息

其他相关文档

 

 

原文 http://www.cisco.com/cisco/web/support/CN/111/1117/1117102_OspfCaseStudyNewest.html

CISCO设备安全配置脚本

No Comments CISCO ,

网络安全重中之重顶在最前面的当然更重要.

service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //?#29992;?#26410;?#29992;艿目?#20196;;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实?#26159;?#20917;做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器?#24076;?#23558;很
no ip finger //容易得到任何?#34892;?#29992;户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供?#29616;?#21151;能;
no ip source-route //源路由可以在ip包?#20998;?#25351;定数据包应该的实?#20107;?#30001;,带来网络安全问题;
no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指?#20037;?#26377;可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // 黑客通过破坏路由表,利?#20040;?#21151;能发起DOS攻击;
no ip unreachables // smurf攻击的?#38382;劍?#21033;用icmp不可达,更改源地址改为攻击设备地址;
no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击;
no ip directed-broadcast // 定向广播是可路由的,DOS攻击利?#20040;?#29305;性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻?#25925;?#25454;包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //?#29992;?#26410;?#29992;艿目?#20196;;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实?#26159;?#20917;做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器?#24076;?#23558;很
no ip finger //容易得到任何?#34892;?#29992;户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供?#29616;?#21151;能;
no ip source-route //源路由可以在ip包?#20998;?#25351;定数据包应该的实?#20107;?#30001;,带来网络安全问题;
no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指?#20037;?#26377;可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // 黑客通过破坏路由表,利?#20040;?#21151;能发起DOS攻击;
no ip unreachables // smurf攻击的?#38382;劍?#21033;用icmp不可达,更改源地址改为攻击设备地址;
no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击;
no ip directed-broadcast // 定向广播是可路由的,DOS攻击利?#20040;?#29305;性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻?#25925;?#25454;包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //?#29992;?#26410;?#29992;艿目?#20196;;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实?#26159;?#20917;做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器?#24076;?#23558;很
no ip finger //容易得到任何?#34892;?#29992;户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供?#29616;?#21151;能;
no ip source-route //源路由可以在ip包?#20998;?#25351;定数据包应该的实?#20107;?#30001;,带来网络安全问题;
no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指?#20037;?#26377;可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // 黑客通过破坏路由表,利?#20040;?#21151;能发起DOS攻击;
no ip unreachables // smurf攻击的?#38382;劍?#21033;用icmp不可达,更改源地址改为攻击设备地址;
no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击;
no ip directed-broadcast // 定向广播是可路由的,DOS攻击利?#20040;?#29305;性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻?#25925;?#25454;包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //?#29992;?#26410;?#29992;艿目?#20196;;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实?#26159;?#20917;做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器?#24076;?#23558;很
no ip finger //容易得到任何?#34892;?#29992;户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供?#29616;?#21151;能;
no ip source-route //源路由可以在ip包?#20998;?#25351;定数据包应该的实?#20107;?#30001;,带来网络安全问题;
no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指?#20037;?#26377;可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // 黑客通过破坏路由表,利?#20040;?#21151;能发起DOS攻击;
no ip unreachables // smurf攻击的?#38382;劍?#21033;用icmp不可达,更改源地址改为攻击设备地址;
no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击;
no ip directed-broadcast // 定向广播是可路由的,DOS攻击利?#20040;?#29305;性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻?#25925;?#25454;包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;
service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //?#29992;?#26410;?#29992;艿目?#20196;;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实?#26159;?#20917;做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器?#24076;?#23558;很
no ip finger //容易得到任何?#34892;?#29992;户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供?#29616;?#21151;能;
no ip source-route //源路由可以在ip包?#20998;?#25351;定数据包应该的实?#20107;?#30001;,带来网络安全问题;
no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指?#20037;?#26377;可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // 黑客通过破坏路由表,利?#20040;?#21151;能发起DOS攻击;
no ip unreachables // smurf攻击的?#38382;劍?#21033;用icmp不可达,更改源地址改为攻击设备地址;
no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击;
no ip directed-broadcast // 定向广播是可路由的,DOS攻击利?#20040;?#29305;性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻?#25925;?#25454;包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;

service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //?#29992;?#26410;?#29992;艿目?#20196;;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实?#26159;?#20917;做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器?#24076;?#23558;很
no ip finger //容易得到任何?#34892;?#29992;户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供?#29616;?#21151;能;
no ip source-route //源路由可以在ip包?#20998;?#25351;定数据包应该的实?#20107;?#30001;,带来网络安全问题;
no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指?#20037;?#26377;可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // 黑客通过破坏路由表,利?#20040;?#21151;能发起DOS攻击;
no ip unreachables // smurf攻击的?#38382;劍?#21033;用icmp不可达,更改源地址改为攻击设备地址;
no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击;
no ip directed-broadcast // 定向广播是可路由的,DOS攻击利?#20040;?#29305;性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻?#25925;?#25454;包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;

service nagle //Nagle减轻TCP协议在传送小包上的问题,优化登录连接进程,减少路由器负担;
service tcp-keepalives-in //删除意外中断的tcp连接,提供保持活动功能来检测和删除死连接,
service tcp-keepalives-out //允许其他设备使用VTP线路;
service timestamps debug datetime msec show-timezone localtime
service timestamps log deatetime msec show-timezone localtime
service password-encryption //?#29992;?#26410;?#29992;艿目?#20196;;
!
no service dhcp //阻止路由器成为DHCP服务器或中继代理;(根据实?#26159;?#20917;做)
logging buffered 16384
no logging console
enable secret children
no enable password
! AAA验证
aaa new-model
aaa authentication login xjccw group radius local
username xjccw password 7 095444070D
radius-server host 10.60.4.35 auth-port 1645 acct-port 1646
radius-server timeout 120
radius-server key 7 083946401D
! AAA失效后执行
username xjccw password xjccw
! 关闭http-server
no ip http server
no ip http secure-server
! 支持非零子网路由及无类路由
ip subzero
ip classess
! 关闭不需要的服务
no services pad //提供pad(packet assembler/disassembler数据包组合/分拆)功能,成为黑客的立足点;
no services tcp-small-servers //tcp、udp低端口服务(port:19或更低),容易建立DOS攻击,
no services udp-small-servers //同时占用其他进程的CPU资源;抵御UDP回声fraggle攻击;
!
no boot network //启动过程中用到TFTP,对加载过程没有安全保护;
no service config //如果NVRAM没有配置,使用TFTP广播发现配置文件,存在安全隐患;
!
no services finger //finger检测谁登陆一台主机的程序,如果有黑客知道谁在路由器?#24076;?#23558;很
no ip finger //容易得到任何?#34892;?#29992;户的用户ID;
!
no ip identd //identd(tcp 113)允许远程设备为识别目的查询TCP端口,identd不提供?#29616;?#21151;能;
no ip source-route //源路由可以在ip包?#20998;?#25351;定数据包应该的实?#20107;?#30001;,带来网络安全问题;
no ip bootp server //容易DOS攻击,bootp没有安全机制;
no ip domain-lookup //可以立即响应“%Unknown command”消息,指?#20037;?#26377;可用名称解析;
! 开启cef,快速转发及mpls自身分标签行为
ip cef
! ntp功能启用
clock timezone CHN 8
ntp authenticate
ntp update-calendar
ntp server 132.163.4.101
! 环回口
inter lo0
no ip redirects
no ip unreachables
no ip proxy-arp
! 接口或子接口
inter g*/*
Descri connect to **** //描述接口,使show interface des 更清晰直接;
no ip redirects // 黑客通过破坏路由表,利?#20040;?#21151;能发起DOS攻击;
no ip unreachables // smurf攻击的?#38382;劍?#21033;用icmp不可达,更改源地址改为攻击设备地址;
no ip mask-reply // smurf攻击的改进版,发起定向广播DOS攻击;
//使用ICMP掩码答复消息,了解到设备的身份信息,利用漏洞攻击;
no ip directed-broadcast // 定向广播是可路由的,DOS攻击利?#20040;?#29305;性;
no ip proxy-arp // 关闭代理ARP功能;
no mop enabled // 维护操作系统协议(maintenance operation protocol),如果打开了mop服务,cisco路由器可能从mop服务器上下载ios,要阻止一个mop DOS攻击,接口上关闭mop服务;
ip route-cache flow //启动 netflow,跟踪DOS攻击源;
ip verify unicast reverse-path //单播逆向路径转发以帮助阻?#25925;?#25454;包欺骗;
ip access-group BinDu in //病毒ACL接口应用
ip access-group BinDu out
! 病毒ACL配置
deny icmp any any echo-reply //拒绝任何应答
deny icmp any any host-unreachable //拒绝任何无法接通的主机
deny udp any any eq snmp //拒绝引入的SNMP
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 139
deny tcp any any eq 445
deny udp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 707
deny tcp any any eq 1023
deny udp any any eq 1052
deny tcp any any eq 1068
deny tcp any any eq 1080
deny udp any any eq 1025
deny tcp any any eq 1433
deny tcp any any eq 1434
deny udp any any eq 1434
deny udp any any eq 1978
access-list 101 deny udp any any eq 2000 //拒绝引入的openwindows
access-list 101 deny tcp any any eq 2000 //拒绝引入的openwindows
deny udp any any eq 2002
access-list 101 deny udp any any eq 2049 //拒绝引入的NFS
access-list 101 deny tcp any any eq 2049 //拒绝引入的 NFS
deny tcp any any eq 2745
deny tcp any any eq 2847
deny tcp any any eq 3055
deny tcp any any eq 3127
deny tcp any any eq 3128
deny tcp any any eq 3198
deny tcp any any eq 3372
deny udp any any eq 4156
deny tcp any any eq 4444
deny udp any any eq 4444
deny tcp any any eq 4662
deny tcp any any eq 6000
deny tcp any any eq 8006
deny udp any any eq 8006
deny tcp any any eq 8094
deny udp any any eq 8094
deny udp any any eq 10702
deny udp any any eq 13072
deny udp any any eq 16881
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
access-list 101 permit ip any any //其它均允许
!
logging source-interface Loopback0
logging 10.60.4.49
logging trap informational
logging facility local1
!
snmp-server community xjccw RO
snmp-server community xjccw2007 RW
snmp-server host 10.60.4.49 xjccw
!
line con 0
transport input none
line aux 0
transport input none
no exec
line vty 0 4
exec-timeout 60 0
password xjccw
login authentication xjccw
access-class Telnet in
!
scheduler allocate 3000 1000 //限制CPU资源用来处理接口中断情况,3000是处理中断的毫秒数,1000是指定保持中断的毫秒数;

本文出自 “千金难买” 博客

ASA5505密码破解

No Comments CISCO

 

1. Power-cycle your security appliance by removing and re-inserting the power plug at the power strip.

重新插拔电源线
2. When prompted, press Esc to interrupt the boot process and enter ROM Monitor mode. You should immediately see a rommon prompt (rommon #0>).
按ESC键进入ROM Monitor模式,可以看到提示符rommon #0>
3. At the rommon prompt, enter the confreg command to view the current configuration register setting: rommon #0>confreg
输入命令confreg回?#25285;?#26597;看当前的寄存器的值
4. The current configuration register should be the default of 0x01 (it will actually display as 0x00000001). The security appliance will ask if you want to make changes to the configuration register. Answer no when prompted.
寄存器的初始值为0x01,ASA会出现询问是否改变寄存器的设置,输入no回车
5. You must change the configuration register to 0x41, which tells the appliance to ignore its saved (startup) configuration upon boot:

改变寄存器的值为0x41

rommon #1>confreg 0x41
6. Reset the appliance with the boot command:

重启设备

rommon #2>boot
7. Notice that the security appliance ignores its startup configuration during the boot process. When it finishes booting, you should see a generic User Mode prompt:

此时,ASA会跳过startup配置,启动完成后直接进入用户模式

ciscoasa>
8. Enter the enable command to enter Privileged Mode. When the appliance prompts you for a password, simply press (at this point, the password is blank):

进入特权模式,密码为空

ciscoasa>enable

Password:

ciscoasa#
9. Copy the startup configuration file into the running configuration with the following command:

将startup配置保存至running配置中

ciscoasa#copy startup-config running-config

Destination filename [running-config]?
10. The previously saved configuration is now the active configuration, but since the security appliance is already in Privileged Mode, privileged access is not disabled. Next, in configuration mode, enter the following command to change the Privileged Mode password to a known value (in this case, we’ll use the password system):

重新设置特权模式的密码为system

asa#conf t

asa(config)#enable password system
11. While still in Configuration Mode, reset the configuration register to the default of 0x01 to force the security appliance to read its startup configuration on boot:

改回寄存器的值,强制ASA从startup读取配置启动

asa(config)#config-register 0x01
12. Use the following commands to view the configuration register setting:

查看当前寄存器的值

asa(config)#exit

asa#show version
13. At bottom of the output of the show version command, you should see the following statement: Configuration register is 0x41 (will be 0x1 at next reload)
在输出的最后会看到寄存器的值会在重启设备后由0x41变成0x1
14. Save the current configuration with the copy run start command to make the above changes persistent:

保存配置

asa#copy run start

Source filename [running-config]
15. Reload the security appliance: asa# reload System config has been modified. Save? [Y]es/[N]o:yes
输入reload命令重启设备,询问是否保存配置,输入yes回车
Cryptochecksum: e87f1433 54896e6b 4e21d072 d71a9cbf
2149 bytes copied in 1.480 secs (2149 bytes/sec) Proceed with reload? [confirm]
When your security appliance reloads, you should be able to use your newly reset password to enter privileged mode.
设备重启后,你可以使用重置后的密码进入特权模式

Cisco思?#24179;换?#26426;QOS限速配置实例

No Comments CISCO

每个接口每个方向只支持一个策略;一个策略可以用于多个接口。

因此所有PC的下载速率的限制?#21152;?#35813;定义在同一个策略

(在本例子当中为policy-map user-down),而PC不同速?#23454;那?#20998;是在Class-map分别定义。

1、在交换机上启动QOS

Switch(config)#mls qos //在交换机上启动QOS

2、分别定义PC1(10.10.1.1)和PC2(10.10.2.1)访问控制列表

Switch(config)#access-list 10 permit 10.10.1.0 0.0.0.255 //控制pc1上行流量 Switch(config)#access-list 100 permit any 10.10.1.0 0.0.0.255 //控制pc1下行流量 Switch(config)#access-list 11 permit 10.10.2.0 0.0.0.255 //控制pc2上行流量 Switch(config)#access-list 111 permit any 10.10.2.0 0.0.0.255 //控制pc2下行流量

class-map mach-all {name}

match access-group 110

policy-map

class

二、详细配置过程

注?#22909;?#20010;接口每个方向只支持一个策略;一个策略可以用于多个接口。因此所有PC的下载速率的限制?#21152;?#35813;定义在同一个策略(在本例子当中

为policy-map user-down),而PC不同速?#23454;那?#20998;是在Class-map分别定义。

1、在交换机上启动QOS

Switch(config)#mls qos //在交换机上启动QOS

2、分别定义PC1(10.10.1.1)和PC2(10.10.2.1)访问控制列表

Switch(config)#access-list 10 permit 10.10.1.0 0.0.0.255 //控制pc1上行流量

Switch(config)#access-list 100 permit any 10.10.1.0 0.0.0.255 //控制pc1下行流量

Switch(config)#access-list 11 permit 10.10.2.0 0.0.0.255 //控制pc2上行流量

Switch(config)#access-list 111 permit any 10.10.2.0 0.0.0.255 //控制pc2下行流量

3、定义类,并和上面定义的访问控制列表绑定

Switch(config)# class-map user1-up //定义PC1上行的类,并绑定访问列表10

Switch(config-cmap)# match access-group 10

Switch(config-cmap)# exit

Switch(config)# class-map user2-up

Switch(config-cmap)# match access-group 11 //定义PC2上行的类,并绑定访问列表10

Switch(config-cmap)# exit

Switch(config)# class-map user1-down

Switch(config-cmap)# match access-group 100 //定义PC1下行的类,并绑定访问列表100

Switch(config-cmap)# exit

Switch(config)# class-map user2-down

Switch(config-cmap)# match access-group 111 //定义PC2下行的类,并绑定访问列表111

Switch(config-cmap)# exit

4、定义策略,把上面定义的类绑定到该策略

Switch(config)# policy-map user1-up //定义PC1上行的速率为1M

Switch(config-pmap)# class user1-up

Switch(config-pmap-c)# trust dscp

Switch(config-pmap-c)# police 1024000 1024000 exceed-action drop

Switch(config)# policy-map user2-up //定义PC2上行的速率为2M

Switch(config-pmap)# class user2-up

Switch(config-pmap-c)# trust dscp

Switch(config-pmap-c)# police 2048000 1024000 exceed-action drop

Switch(config)# policy-map user-down

Switch(config-pmap)# class user1-down

Switch(config-pmap-c)# trust dscp

Switch(config-pmap-c)# police 1024000 1024000 exceed-action drop

Switch(config-pmap-c)# exit

Switch(config-pmap)# class user2-down

Switch(config-pmap-c)# trust dscp

Switch(config-pmap-c)# police 2048000 1024000 exceed-action drop

Switch(config-pmap-c)# exit

5、在接口上运用策略

Switch(config)# interface f0/1

Switch(config-if)# service-policy input user1-up

Switch(config)# interface f0/2

Switch(config-if)# service-policy input user2-up

Switch(config)# interface g0/1

Switch(config-if)# service-policy input user-down

30选5玩法