博客日志

2007-9-17 20:42 | Cisco路由器安全配置必用的10条命令

当谈到配置一台新的cisco路由器,多数配置依赖于路由器的类型以及它将服务的用途。然而,有一些东西是你在每台新的cisco路由器上都应该配置的。
  有哪个命令的标准是你希望思科在每台路由器上都使用的吗?每位管理员都其自己的“正确”配置每台路由器的命令。
  这是我认为你应该在每台路由器上都配置的十条命令的列表(没有特别的顺序)。
  在路由器上配置一个登录帐户
  我强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号。这样做,意味着你需要用户和口令来获得访问权。
  除此之外,我建议为用户名使用一个秘密口令,而不仅有一个常规口令。它用md5加密方法来加密口令,并且大大提高了安全性。举例如下:
  router(config)# username root secret my$password
  在配置了用户名后,你必须启用使用该用户名的端口。举例如下:
  router(conf……
编辑 | 阅读全文(64) | 回复(0),峰峦猎人 发表于 2007-9-17 20:42

2007-9-17 20:16 | Switching 命令大全

1.在基于IOS的交换机上设置主机名/系统名: switch(config)# hostname hostname
在基于CLI的交换机上设置主机名/系统名:
switch(enable) set system name name-string
2.在基于IOS的交换机上设置登录口令:
switch(config)# enable password level 1 password
在基于CLI的交换机上设置登录口令:
switch(enable) set password
switch(enable) set enalbepass
3.在基于IOS的交换机上设置远程访问:
switch(config)# interface vlan 1
switch(config-if)# ip address ip-address netmask
switch(config-if)# ip……
编辑 | 阅读全文(47) | 回复(0),峰峦猎人 发表于 2007-9-17 20:16

2007-9-15 15:31 | CWDM产品的现状、存在的问题和发展趋势

沈成彬 上海市电信有限公司邵信科上海电信技术研究院
  由于数据业务的飞速发展,网络融合的速度在加快,城域网正成为当前网络建设的热点,而且市场竞争的压力使得电信运营商对网络的成本(包括建设成本和运维成本)更加敏感。针对市场的这种需求,低成本的城域网CWDM产品应运而生。
      随着全光谱CWDM联盟(FCA)对CWDM技术的有力推动和ITU-T对CWDM的标准化使得CWDM技术成为设备制造商和运营商关注的重点。2002年5月,ITU-T第15研究组通过CWDM波长栅格的标准G.694.2,成为CWDM技术发展史上的里程碑。第15研究组还提出了定义CWDM系统接口的G.capp标准草案。我国的上海贝尔等企业在CWDM技术的标准化中也作出了一定的贡献,相关国内标准也正在讨论中。
    &nbs……
编辑 | 阅读全文(26) | 回复(0),峰峦猎人 发表于 2007-9-15 15:31

2007-9-15 15:25 | acl规则

网络中经常提到的acl规则是Cisco IOS所提供的一种访问控制技术。
初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。

基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。

功能:网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。

在实施ACL的过程……
编辑 | 阅读全文(41) | 回复(0),峰峦猎人 发表于 2007-9-15 15:25

2007-9-15 15:24 | 什么是ACL

ACL(access control list)

访问控制表



ACL是存在于计算机中的一张表,它使操作系统明白每个用户对特定系统对象,例如文件目录或单个文件的存取权限。每个对象拥有一个在访问控制表中定义的安全属性。这张表对于每个系统用户有拥有一个访问权限。最一般的访问权限包括读文件(包括所有目录中的文件),写一个或多个文件和执行一个文件(如果它是一个可执行文件或者是程序的时候)。Windows NT,Novell公司的Netware,Digital公司的 OpenVMS和基于UNIX系统是使用这种访问控制表的系统。而此表的实现在各个系统中却不一样。

在Windows NT中,每个系统对象和一个访问控制表相关。每个ACL都有一个或多个访问控制入口,包括用户名或用户组的名称。对于每个用户,组或人物,他们的访问权限在表中的一个位串中记录。一般说来,系统管理员和对象的所有者创建对象……
编辑 | 阅读全文(84) | 回复(0),峰峦猎人 发表于 2007-9-15 15:24

2007-9-15 15:21 | 思科HSRP协议

HSRP:热备份路由器协议(HSRP:Hot Standby Router Protocol)
     热备份路由器协议(HSRP)的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说,当源主机不能动态知道第一跳路由器的 IP 地址时,HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器,对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。
  负责转发数据包的路由器称之为主动路由器(Active Router)。一旦主动路由器出现故障,HSRP 将激活备份路由器(Standby Routers)取代主动路由器。HSRP 协议提供了一种决定使用主动路……
编辑 | 阅读全文(32) | 回复(0),峰峦猎人 发表于 2007-9-15 15:21

2007-9-15 15:19 | VRRP协议

虚拟路由冗余协议 Virtual Router Redundancy Protocol (VRRP)
概要:
虚拟路由冗余协议 Virtual Router Redundancy Protocol (VRRP) , VRRP 协议是保证访问一些资源不会中断,即通过多台路由器组成一个网关集合,如果其中一台路由器出现故障,会自动启用另外一台。两个或多个路由器建立起一个动态的虚拟集合,每一个路由器都可以参与处理数据,这个集合最大不能超过 255 个虚拟路由器 ( 可参考虚拟路由协议 ) 。一般现在的路由器都支持该协议。
规格
需要功能包 : system
软件等级 : Level1
操作路径 : /ip vrrp
相关协议和标准 : VRRP , AH , HMAC-MD5-96 within ESP and AH
属性
虚拟路由冗余协议是一种为路由提供高效率的路由选择协议。一……
编辑 | 阅读全文(77) | 回复(0),峰峦猎人 发表于 2007-9-15 15:19

2007-9-15 15:17 | 详解HSRP和VRRP的不同之处

1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制.并且,不像HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生(如果”拥有”虚拟路由器地址的路由器被建立并且正在运行,那么应该总是由这个虚拟路由器管理—等价于HSRP中的活动路由器),但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址,它指定使用的MAC地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符).   2.另外一个不同是VRRP不使用HSRP中的政变或者一个等价消息,VRRP的状态机比HSRP的要简单,HSRP有6个状态(初始(Initial)状态,学习(Learn)状态,监听(Listen)状态,对话(Speak)状态,备份(Standby)状态,……
编辑 | 阅读全文(41) | 回复(0),峰峦猎人 发表于 2007-9-15 15:17

2007-9-15 15:12 | 多层交换实现的4个步骤

MLS(MultiLayer Switching,多层交换)为交换机提供基于硬件的第三层高性能交换。它采用先进的专用集成电路(ASIC)交换部件完成子网间的IP包交换,可以大大减轻路由器在处理数据包时所引起的过高系统开销。
MLS是一种用硬件处理包交换和重写帧头,从而提高IP路由性能的技术。Cisco多层交换技术支持所有传统路由协议,而原来由路由器完成的帧转发和重写功能现在已经由交换机的硬件完成。MLS将传统路由器的包交换功能迁移到第三层交换机上。当然,这首先要求交换的路径必须存在。
MLS由以下三个部分组成:

1. 多层路由处理器 (MLS-RP) 它相当于网络中的路由器,负责处理每个数据流的第一个数据包,协助MLS交换引擎 (MLS-SE)在第三层的CAM (Content-Addressable Memory)中建立捷径条目(Shortcut Entry)。MLS-RP可以是……
编辑 | 阅读全文(33) | 回复(0),峰峦猎人 发表于 2007-9-15 15:12

2007-9-15 15:6 | 什么么是线速转发

交换机的背板带宽,是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。背板带宽标志了交换机总的数据交换能力,单位为Gbps,也叫交换带宽,一般的交换机的背板带宽从几Gbps到上百Gbps不等。一台交换机的背板带宽越高,所能处理数据的能力就越强,但同时设计成本也会越高。
一般来讲,计算方法如下:
1)线速的背板带宽
考察交换机上所有端口能提供的总带宽。计算公式为端口数*相应端口速率*2(全双工模式)如果总带宽≤标称背板带宽,那么在背板带宽上是线速的。
2)第二层包转发线速
第二层包转发率=千兆端口数量×1.488Mpps+百兆端口数量*0.1488Mpps+其余类型端口数*相应计算方法,如果这个速率能≤标称二层包转发速率,那么交换机在做第二层交换的时候可以做到线速。
3)第三层包转发线速
第三层包转发率=千兆端口数量×1.488Mpps+百兆端口数量*0.1488Mpp……
编辑 | 阅读全文(43) | 回复(0),峰峦猎人 发表于 2007-9-15 15:6

2007-9-15 14:58 | 二层交换,三层交换,路由的技术对比

三层交换技术的基本原理:   对于第三层路由软件:如路由信息的更新、路由表维护、路由计算、路由的确定等功能,用优化、高效的软件实现。
  假设两个使用IP协议的机器通过第三层交换机进行通信的过程,机器A在开始发送时,已知目的IP地址,但尚不知道在局域网上发送所需要的MAC地址。要采用地址解析(ARP)来确定目的MAC地址。机器A把自己的IP地址与目的IP地址比较,从其软件中配置的子网掩码提取出网络地址来确定目的机器是否与自己在同一子网内。若目的机器B与机器A在同一子网内,A广播一个ARP请求,B返回其MAC地址,A得到目的机器B的MAC地址后将这一地址缓存起来,并用此MAC地址封包转发数据,第二层交换模块查找MAC地址表确定将数据包发向目的端口。若两个机器不在同一子网内,如发送机器A要与目的机器C通信,发送机器A要向“缺省网关”发出ARP包,而“缺省网关”的IP地址已经在系统软件中设置。这……
编辑 | 阅读全文(27) | 回复(0),峰峦猎人 发表于 2007-9-15 14:58

2007-9-15 14:44 | 什么是交换机的背板带宽

背板带宽
f5B f @ jE.j ]bbs.51cto.com  交换机的背板带宽,是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。背板带宽标志了交换机总的数据交换能力,单位为Gbps,也叫交换带宽,一般的交换机的背板带宽从几Gbps到上百Gbps不等。一台交换机的背板带宽越高,所能处理数据的能力就越强,但同时设计成本也会越高。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水 J9R h h0['x
bbs.51cto.com t W+|
^ S&M%^ @
  一般来讲,计算方法如下:         L4C*^)[ h
1)线速的背板带宽
8t0f;y9q3X0t51CTO技术论坛考察交换机上所有端口能提供的总带宽。……
编辑 | 阅读全文(83) | 回复(0),峰峦猎人 发表于 2007-9-15 14:44

2007-9-13 17:13 | Cisco Catalyst 4506双机热备配置

catalyst4506#show run
刚给用户做的catalyst 4506双机热备配置,经测试ACL、standby均工作正常。。该配置是主交换机配置,从交换机各VLAN的IP配置不同外(应与主交换机各VLAN的IP在同一网段),其它均相同。。
Current configuration : 4307 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service compress-config
!
hostname 4506-1
!
enable secret 5 $1$f6uA$uOeBnswuinoLFBNsxSP561
!
ip subnet-zero
no ……
编辑 | 阅读全文(65) | 回复(0),峰峦猎人 发表于 2007-9-13 17:13

2007-9-5 14:36 | Cisco 4506交换机 Trunk配置实例

一台4506switch,通过trunk口和3550连接,在3550下再通过trunk接6台交换机!
  
  具体配置如下:
  
  4506:
  在int gi4/1上做trunk,encapsulation dot1q
         vtp domain cisco
         vtp mode server划分了10个vlan
  
  3550:
  做了6个trunk口和下面的6太交换机连接!
         int range fa0/1-6
         switchport trunk encapsulation dot1q
         switchport mode trunk
         vtp domain cisco
         vtp mode client
  
  其它6台交换机的fa0/1做为trunk口和上面的355……
编辑 | 阅读全文(43) | 回复(0),峰峦猎人 发表于 2007-9-5 14:36

2007-9-5 14:21 | 布线技术:千兆光纤GBIC和SFP技术规格介绍

1、何为GBIC
  GBIC是Giga Bitrate Interface Converter的缩写,是将千兆位电信号转换为光信号的接口器件。GBIC设计上可以为热插拔使用。GBIC
是一种符合国际标准的可互换产品。采用GBIC接口设计的千兆位交换机由于互换灵活,在市场上占有较大的市场分额。
2、何为SFP
  SFP是SMALL FORM PLUGGABLE的缩写,可以简单的理解为GBIC的升级版本。SFP模块体积比GBIC模块减少一半,可以在相同的面板上配置多出一倍以上的端口数量。SFP模块的其他功能基本和GBIC一致。有些交换机厂商称SFP模块为小型化GBIC(MINI-GBIC)。 SFP模块体积比GBIC模块减少一半,可以在相同的面板上配置多出一倍以上的端口数量。SFP模块的其他功能基本和GBIC相同。
3、光纤分……
编辑 | 阅读全文(24) | 回复(0),峰峦猎人 发表于 2007-9-5 14:21
(共 56 条) 1 2 3 4

仅列出标题
峰峦猎人

致力于企业信息化推广事业(开发、实施、管理)
搜索
搜索峰峦猎人的博客:

标题正文标题+正文
博客信息
  • 创建:2008-2-22
  • 文章:701
  • 评论:223
  • 访问:78168
  •