一些关于Cisco路由器端口故障小结
“咕咕鸡”通过精心收集,向本站投稿了20篇一些关于Cisco路由器端口故障小结,以下是小编整理后的一些关于Cisco路由器端口故障小结,希望能够帮助到大家。
篇1:一些关于Cisco路由器端口故障小结
Cisco器端口状态:CSU──channel server unit,DSU──data server,unit,DTE──DataTerminalEquipment
1、Serial * is down,line protocol is down(DTE)故障:
[1] 路由器未加电.
[2] LINE未与CSU/DSU联接.
[3] 硬件错误.
解决方法:
[1] 检查电源.
[2] 确认所用电缆及串口是否正确.
[3] 换到别的串口上.
2、Serial * is up,line protocol is down(DTE)故障:
[1] 本地或远程路由器配置丢失.
[2] 远程路由器未加电.
[3] 线路故障,开关故障.
[4] 串口的发送时钟在CSU/DSU上未设置.
[5] CSU/DSU故障.
[6] 本地或远程路由器硬件故障.
解决方法:
[1] 将MODEM、CSU或DSU设置为“LOOPBACK”状态,用“SHOW INT S*”命令确认LINE PROTOCOL是否UP,如果UP,证明是邮电局故障或远程路由器已经SHUTDOWN,
[2] 如果远程路由器也出现上述故障,重复步骤[1]。
[3] 检查电缆所连接的串口是否正确,用“SHOW CONTROLLERS”确认哪根电缆连接哪个串口。
[4] 键入“DEBUG SERIAL INTERFACE”,如果LINE PROTOCOL还没有COME UP,或键入的命令显示激活的端口数没有增加,证明路由器硬件错误,更换路由器端口;如果LINE PROTOCOL UP,并且激活的端口数增加,证明故障不在本地的路由器上。
[5] 更换路由器端口。
3、Serial * is up,line protocol is down(DCE)故障:
[1] 路由器端口配置中的CLOCKRATE丢失,
[2] DTE设备未启动。
[3] 远程的CSU/DSU有故障。
[4] 电缆连接错误或有故障。
[5] 路由器硬件错误。
解决方法:
[1] 将CLOCKRATE加到路由器端口配置中。
[2] 将DTE设备设置为SCTE模式。
[3] 确认所用电缆是否正确。
[4] 如果LINE PROTOCOL仍然DOWN,请更换路由器端口。
4、Serial * is up,line protocol is up(looped)故障:
LOOP存在线路中,在激活的软件包中的顺序号,当LOOP初始时变成随机的号码,如果相同的随机号码回到环线上,就产生了一个LOOP。
解决方法:
[1] 用“SH RUN”命令寻找LOOPBACK。
[2] 用“NO LOOPBACK”去掉LOOP。
[3] 如果PROTOCOL仍然DOWN,请与邮电局联系。
5、Serial * is up,line protocol is down(disabled)故障:
[1] 邮电局故障。
[2] CSU/DSU硬件故障。
[3] 路由器硬件故障。
解决方法:
[1]寻找CTS或DSR的双态元件信号。
[2]将CSU/DSU做LOOP(DTE LOOP),如果故障继续,可能是硬件故障;如果故障停止,证明是邮电局故障。
[3]更换坏掉的硬件故障。
6、Serial * is administratively down,line protocol is down故障:
[1] PORT可能被SHUTDOWN。
[2] IP地址重复。
解决方法:
[1] 用“NO SHUTDOWN”命令去掉SHUTDOWN。
[2] 将重复的IP地址中的一个更改。
本文出自 “网络技术自习室” 博客
篇2:Cisco高档路由器故障排除
一、故障现象及处理
单位以Cisco7513路由器作为广域网骨干路由器,采用标准配置,IOS的版本为11.1,一日发现该路由器的2M主干出口线路协议处于down状态,从而使与之相联的网络中断,用“show running-config”命令检查所有运行参数,没有发现错误;又用“show interfaces serial”命令检查串口,发现某些端口状态up,而线路协议是 down,并且出现这种情况的串口均在同一个串口板(A板)上,其它各模块工作正常。经查所有物理线路也都正常,从而排除了线路故障的可能性。然而在一般情况下同一个串口板上的串口同时出现线路故障的可能性也并不大。至此可以初步确定可能A板出了问题。当进入全局配置模式后,再想进入A板上串口的端口配置模式时却发现无法实现,每次键入“interface serial串口号”时,总是报错,但是同样的命令却可以进入其它串口的端口配置模式。这时,可以初步判断IOS本身出现了某种软件故障,用reload 命令重启路由器后系统进入ROMmonitor模式,提示符为“rommon>”,键入命令“boot”可启动路由器但故障依然存在,而且所有A板串口的配置语句全都报错。
再将路由器关电然后加电时观察到:路由器的交流(或直流)OK LED灯为绿色,这说明系统的供电子系统工作正常,风扇旋转正常且输出错误LED灯未亮,这说明冷却子系统工作正常,路由交换处理器(RSP)的LED灯为绿色,这也表示系统工作正常。各接口的Enable LED灯为绿色,表示RSP已完成了接口处理器的初始化。但A板的LED灯全闪了一下就灭了,执行“reset”命令再用“boot”引导系统后所有A板串口的配置语句全部消失了。
进一步检查A板时发现其型号为VIP2,其上的两个子模块中只安装了一个四串口子模块,因此A板上只有四个串(可扩充至8个),其中三个串口已使用,一个空闲。正常时三个使用的串口的LED灯应亮,而未使用的串口的LED灯应为黄色,但目前却是四个串口的LED都不亮。系统启动后,用命令“show version”可以发现系统已找到了A板并识别出该板的型号为VIP2,只是没有详细信息。为进一步压缩故障,将A板调换插槽安装,故障依然存在;将A 板安装在另一台无故障的机器上时,则一切正常,
通过以上的步骤,将故障压缩到路由器配置参数上了。再用“show version”命令,在显示信息的最后一行,发现路由器配置寄存器数值为0x0,将其修改为0x2102后,重新引导路由器,将备份配置从 tftpserver上拷入running-config后,路由器工作恢复正常,至此排除了这一貌似硬件接口损坏而实为软件参数设置错误的故障。
二、故障原因分析
72、75等系列高档路由器寄存器值由四个16进制数组成,其中低4位决定系统的启动方式:
当最低4位为0-0-0-0,路由器不装载系统镜像,而是进入监控状态(ROM monitor mode)或维护状态(Maintenance mode),需要手工引导。
当最低4位为0-0-0-1,路由器装载从ROMs里找到的系统镜像。
当最低4位为0-0-1-0至于1-1-1-1之间,路由器按启动配置中BOOT SYSTEM命令的设置装载操作系统镜像,如果没有设置该命令则从一个默认的网络服务器上的系统镜像中装载操作系统镜像。
当第6位为1时,路由器启动时忽略NVRAM中的配置。例如:
0x0 :不自动装载操作系统镜像而是进入ROM monitor模式等待用户键入命令(如上例故障,仅能用“boot”引导系统不能加载接口模块IOS);
0xf :按启动配置中的命令或从一个默认的网络服务器上的系统镜像中装载操作系统镜像(Cisco 72系列、Cisco75系列等,不能从ROM引导)。
0x101:禁止break健,直接从ROM中引导。
0x2102:一般为引值。
0x2142:启动时忽略startup-config。
现在举一个自动从flash memory引导的例子:
Router # configure terminal
Router (config) # boot system flash gsnew-image
Router (config) # config-register 0x010f
^Z
Router # copy running-config startup-config
Router # reload
篇3:辅助端口 Cisco路由器管理的好帮手
网络管理员若要对Cisco路由器进行设置、配置验证以及统计数据审核,往往需要连接路由器上去。而连接到Cisco路由器上有很多方法,如通过配置端口、辅助端口或者通过应用程序Telnet都可以实现这个目的。不过,笔者最喜欢采用的是通过控制台端口的方式连接到路由器上进行相关的管理与配置。
辅助端口与控制台端口两者是亲兄弟,其功能基本一致。为此,网络管理员可以像使用控制台端口那么去使用它。不过,他有一个作用,是控制台端口无法实现的。若我们要通过控制台端口管理Cisco路由器的话,必须在路由器面前才行。而若我们通过辅助端口管理员路由器的话,则即使远在千里之外,网络管理员仍然可以控制他。当路由器出现问题或者网络管理员需要查看某些信息的时候,就可以采用远程拨号的方式通过辅助端口连接到“脱离网络”的路由器上。正是因为这个杰出的功能,所以其特别受到我们网络管理员的欢迎。
若要使用好辅助端口,其也有一些小诀窍。笔者在这里就当作抛砖引玉,大家一起研究一下如何把Cisco路由器的辅助端口用的更好。
诀窍一:把辅助端口作为后备的控制台端口
众所周知,辅助端口其功能跟控制台端口一致。但是,其默认情况下,使不能够用作第二控制台端口的。这主要是因为控制台端口与辅助端口其端口的形状不同,所以不能够通用。但是,有时候,如控制台端口出现故障或者出于其他方面的原因,我们往往需要把辅助端口当作控制台端口来使用。
其实,这也是一件很容易办到的事情。我不知道大家怎么样,反正在笔者的工具箱中有一条特殊的电缆。利用这条电缆就可以把辅助端口的接口类型转化为配置端口的接口类型,
这种电缆在市场上基本上都可以买到。网络管理员若觉得有这个需要,也可以去配一根,以防不时之需。
在实际工作中,我们还往往将自己的笔记本电脑的串口通过专用的配置连接线与路由器的辅助端口直接相连,进行路由器的配置与维护。
诀窍二:把辅助端口当作异步串行接口使用
在有些路由器上,么有配置异步串行接口。此时,网络管理员就需要把辅助端口配置成异步串行端口来使用。若要达到这个目的,网络管理员可以通过line aux命令来进行配置,把这个辅助端口配置成辅助线路。
不过,这个跟上面的控制台端口不一样。虽然可以通过辅助端口实现异步串行接口的相关功能,但是,其毕竟不是专业的,所以,在性能上达不到异步串行接口的性能。
如异步串行接口支持直接内存访问。也就是说,路由器的缓冲直接将数据分组存储、读取系统内存,而不需要路由器CPU进行干预。很明显,这个特性就降低了路由器CPU的开销,提高路由器的性能。
如路由器具有异步串行接口,则其硬件芯片上有一个PPP帧可以用来消除路由器的中央处理器的开销。这个特性可以保证路由器同时在所有异步端口上保持高速度的通过量。这在实际管理中,非常有用。特别是在几个网络管理专家在共同会诊网络故障的时候,其价值就会体现出来了。
不过,话说回来,虽然把辅助端口当作异步端口来使用,不能够达到专业的异步串行接口那样的性能。可是,已经基本可以满足普通的管理需求。
诀窍三:为辅助端口设置独立的密码,以提高路由器的安全性
通过上面的描述,我们知道,辅助端口可以起到跟控制台端口相同的作用。所以,当辅助端口的密码泄露,被人远程拨号连接到路由器的话,那么对于企业网络的打击石致命的。所以,Cisco路由器为了提高本身的安全性,为辅助端口独立的设置了口令管理。
故网络管理员在口令设置中,最好不要跟其他口令相同。否则的话,会降低路由器本身的安全性。
总之,辅助端口在路由器管理中,具有举足轻重的作用。一般情况下,只有在路由器刚开始配置的时候需要用到控制台端口。而等到后续的网络维护与路由器一般故障排除的过程中,往往都是通过辅助端口来完成的。所以,辅助端口是路由器管理中的一个好帮手。
篇4:Cisco路由器配置及端口的综合讲解
端口是Cisco路由器配置中非常重要的部分,同时我们也要考虑配置文件和进程,才能彻底做好路由器的配置工作,几乎所有路由器都在路由器背后安装了一个控制台端口。控制台端口提供了一个EIA/TIA―232(以前叫作RS―232)异步串行接口、使我们能与路由器通信。至于同控制台口建立哪种形式的物理连接,则取决于路由器的型号。有些路由器采用一个DB25母连接(DB25F),有些则用RJ45连接器。通常,较小的路由器采用RJ45控制台连接器,而较大路由器采用DB25控制台连接器。
辅助端口
大多数Cisco路由器都配备了一个“辅助端口”(Auxiliary Port)。它和控制台湍口类似,提供了一个EIA/TIA―232异步串行连接,使我们能与路由器通信。辅助端口通常用来连接Modem,以实现对路由器的远程管理。远程通信链路通常并不用来传输平时的路由数据包,它的主要的作用是在网络路径或回路失效后访问一个路由器。
Cisco路由器配置文件
1)运行配置,
2)启动配置。
运行Cisco路由器配置
有时也称作“活动配置”,驻留于RAM,包含了目前在路由器中“活动”的I0S配置命令。配置10S时,就相当于更改Cisco路由器配置。两者均以ASCII文本格式显示。所以,我们能够很方便地阅读与操作。一个路由器只能从这两种类型中选择一种。
启动Cisco路由器配置
启动配置驻留在NVRAM中,包含了希望在路由器启动时执行的配置命令。启动完成后,启动配置中的命令就变成了“运行配置”。有时也把启动配置称作“备份配置”。这是由于修改并认可了运行配置后,通常应将运行配置复制到NVRAM里,将作出的改动“备份”下来,以便Cisco路由器配置下次启动时调用。
进程
所谓I0S“进程”、是指一个在路由器上运行的特殊软件任务,用于实现某种功能。例如,IP包的路由选择是由一个进程完成的;而AppleTalk包的路由选择是由另一个进程完成的。
I0S进程的其他例子如路由协议以及内存分配例程等等。当我们将命令放人配置文件对10S进行配置时,实际就相当于对构成10S各进程的行为加以控制。所有这些进程都在路由器上同时运行。至于能在一个路由器上运行的进程数量和种类,则取决于路由器CPU的速度以及安装的RAM容量。可以看出,这类似于PC上运行的程序数取决于CPU的类型以及配备的RAM容量。
篇5:如何发现Cisco路由器
占据着70%市场份额的Cisco路由器有类毛病,比如IOSLOGON,和HISTORY bug,使得用户可以轻易地远程识别Cisco的路由器产品,
如何发现Cisco路由器
,
其所利用的端口是: tcp-id-port 1999/tcp cisco identification port tcp-id-port 1999/udp cisco identification port 一般地,运行I
篇6:cisco端口镜像设置
cisco 3550要做端口镜像,用来流量分析,记录命令备查,
moniter sess 1 source inter f 0/1 both
//f0/1是被监视的端口
moniter sess 1 dest int f 0/3
//f0/3是镜像报文输出端口,此端口可接一个计算机装
用wirshark等软件分析流量
篇7:路由器故障排除
路由器接口故障排除
串口故障排除
串口出现连通性问题时,为了排除串口故障,一般是从show interface serial命令开始,分析它的屏幕输出报告内容,找出问题之所在,
路由器故障排除大全
。串口报告的开始提供了该接口状态和线路协议状态。接口和线路协议的可能组合有以下几种:1.串口运行、线路协议运行,这是完全的工作条件。该串口和线路协议已经初始化,并正在交换协议的存活信息。
2.串口运行、线路协议关闭,这个显示说明路由器与提供载波检测信号的设备连接,表明载波信号出现在本地和远程的调制解调器之间,但没有正确交换连接两端的协议存活信息。可能的故障发生在路由器配置问题、调制解调器操作问题、租用线路干扰或远程路由器 故障,数字式调制解调器的时钟问题,通过链路连接的两个串口不在同一子网上,都会出现这个报告。
3.串口和线路协议都关闭,可能是电信部门的线路故障、电缆故障或者是调制解调器故障。
4.串口管理性关闭和线路协议关闭,这种情况是在接口配置中输入了shutdown命令。通过输入no shutdown命令,打开管理性关闭。
接口和线路协议都运行的状况下,虽然串口链路的基本通信建立起来了,但仍然可能由于信息包丢失和信息包错误时会出现许多潜在的故障问题。正常通信时接口输入或输出信息包不应该丢失,或者丢失的量非常小,而且不会增加。如果信息包丢失有规律性增加,表明 通过该接口传输的通信量超过接口所能处理的通信量。解决的办法是增加线路容量。查找其它原因发生的信息包丢失,查看show interface serial命令的输出报告中的输入输出保持队列的状态。当发现保持队列中信息包数量达到了信息的最大允许值,可以增加保持队列设置的大小。
以太接口故障排除
以太接口的典型故障问题是:带宽的过分利用;碰撞冲突次数频繁;使用不兼容的帧类型。使用show interface ethernet命令可以查看该接口的吞吐量、碰撞冲突、信息包丢失、和帧类型的有关内容等。
1.通过查看接口的吞吐量可以检测网络的带宽利用状况。如果网络广播信息包的百分比很高,网络性能开始下降。光纤网转换到以太网段的信息包可能会淹没以太口,互联网发生这种情况可以采用优化接口的措施,即在以太接口使用no ip route-cache命令,禁用快速转换,并且调整缓冲区和保持队列的设置。
2.两个接口试图同时传输信息包到以太电缆上时,将发生碰撞。以太网要求冲突次数很少,不同的网络要求是不同的,一般情况下发现冲突每秒有三五次就应该查找冲突的原因了。碰撞冲突产生拥塞,碰撞冲突的原因通常是由于敷设的电缆过长、过分利用、或者“聋 ”节点。以太网络在物理设计和敷设电缆系统管理方面应有所考虑,超规范敷设电缆可能引起更多的冲突发生。
3.如果接口和线路协议报告运行状态,并且节点的物理连接都完好,可是不能通信。引起问题的原因也可能是两个节点使用了不兼容的帧类型。解决问题的办法是重新配置使用相同
帧类型。如果要求使用不同帧类型的同一网络的两个设备互相通信,可以在路由器接口 使用子接口,并为每个子接口指定不同的封装类型。
异步通信口故障排除
互连网络的运行中,异步通信口的任务是为用户提供可靠服务,但又是故障多发部位。异步通信口故障一般的外部因素是:拨号链路性能低劣;电话网交换机的连接质量问题;调制解调器的设置。检查链路两端使用的调制解调器:连接到远程PC机端口调制解调器的问 题不太多,因为每次生成新的拨号时通常都初始化调制解调器,利用大多数通信程序都能在发出拨号命令之前发送适当的设置字符串;连接路由器端口的问题较多,这个调制解调器通常等待来自远程调制解调器的连接,连接之前,并不接收设置字符串。如果调制解调器丢失 了它的设置,应采用一种方法来初始化远程调制解调器。简单的办法是使用可通过前面板配置的调制解调器;另一种方法是将调制解调器接到路由器的异步接口,建立反向telnet,发送设置命令配置调制解调器。
show interface async 命令、show line命令是诊断异步通信口故障使用最多的工具。show interface async 命令输出报告中,接口状态报告关闭的唯一的情况是,接口没有设置封装类型。线路协议状态显示与串口线路协议显示相同。show line命令显示接口接收和传输速度设置以及EIA状态显示。show line命令可以认为是接口命令(show interface async)的扩展。查看show line命令输出的EIA信号可以判断网络状态。
确定异步通信口故障一般可用下列步骤:检查电缆线路质量;检查调制解调器的参数设置;检查调制解调器的连接速度;检查rxspeed 和txspeed是否与调制解调器的配置匹配;通过show interface async 命令和 show line命令查看端口的通信状况;从show line命令的报告检查EIA状态显示;检查接口封装;检查信息包丢失及缓冲区丢失情况。
篇8:cisco 2800路由器密码恢复
前提,思科路由 和 电脑的超级终端连接好,
开启路由,按 ctrl+break键
进入如下界面
当然可以选择yes 进行用户名和密码的重新创建
篇9:Cisco路由器常见问题详解
目前思科路由器的用户非常多,这里我们主要分析了Cisco路由器常见问题的解决方法,在这里拿出来和大家分享一下,希望对大家有用,
Cisco路由器常见问题1、问题:Cisco3600系列路由器目前是否支持广域网接口卡WIC-2T和WIC-2A/S?
回答:Cisco3600系列路由器在1XK及以上版本支持WIC-2T和WIC-2A/S这两种广域网接口卡。但是需要注意的是:只有快速以太网混合网络模块能够支持这两种广域网接口卡。支持这两种接口卡的网络模块如下所示:NM-1FE2W,NM-2FE2W,NM-1FE1R2W,NM-2W。而以太网混合网络模块不支持,如下所示:NM-1E2W,NM-2E2W,NM1E1R2W。
Cisco路由器常见问题2、问题:cisco3600系列路由器的NM-4A/S,NM-8A/S网络模块和WIC-2A/S广域网接口卡支持的最大异/同步速率各是多少?
回答:这些网络模块和广域网接口卡既能够支持异步,也能够支持同步。支持的最大异步速率均为1152Kbps,最大同步速率均为128Kbps。
Cisco路由器常见问题3、问题:IC-2T与WIC-1T的电缆各是哪种?
回答:WIC-1T:DB60转V35或RS232、449等电缆。如:CAB-V35-MT。WIC-2T:SMART型转V35或RS232、449等电缆。如:CAB-SS-V35-MT。
Cisco路由器常见问题4、问题:isco7000系列上的ME1与Cisco2600/3600上的E1、CE1有什么区别?
回答:Cisco7000上的ME1可配置为E1、CE1,而Cisco2600/3600上的E1、CE1仅支持自己的功能。
Cisco路由器常见问题5、问题:cisco2600系列路由器,是否支持VLAN间路由,对IOS软件有何需求?
回答:Cisco2600系列路由器中,只有Cisco2620和Cisco2621可以支持VLAN间的路由(百兆端口才支持VLAN间路由),
并且如果支持VLAN间路由,要求IOS软件必须包括IPPlus特性集。
Cisco路由器常见问题6、问题:Cisco3660路由器与3620/3640路由器相比在硬件上有那些不同?
回答:不同点如下:Cisco3660路由器基本配置包括1或2个10/100M自适应快速以太网接口;而Cisco3620/3640基本配置中不包括以太网接口。Cisco3660路由器支持网络模块热插拔,而Cisco3620/3640不支持网络模块热插拔。 Cisco3660的冗余电源为内置,而Cisco3620/3640的冗余电源为外置的。
Cisco路由器常见问题7、问题:Cisco1720是否支持语音?
回答:不支持。
Cisco路由器常见问题8、问题:Cisco805和其他Cisco800系列路由器的区别?
回答:Cisco805是一个串行口的路由器,它能够为小型办公室提供因特网的接入(可以通过专线、X25、FrameRelay或者异步拨号)。而其他800系列产品则提供的是ISDN的接口,用于因特网的接入。
Cisco路由器常见问题9、问题:Cisco800系列路由器与Cisco1600系列比较起来,支持的特性有何不同?
回答:Cisco800系列路由器不支持,但是Cisco1600系列路由器能够支持的功能如下所示:OpenShortestPathFirst(OSPF)协议,HotStandbyRouterProtocol(HSRP)协议,TACAS+协议,RADIUS协议,AppleTalk协议,DLSW协议,IBM功能。
Cisco路由器常见问题10、问题:Cisco800系列路由器和700系列路由器有何区别?
回答:区别如下:Cisco800系列路由器集成了CiscoIOS功能,而Cisco700系列不支持。与Cisco700系列比较起来,Cisco800提供了更高性能的处理器,更多的内存等。Cisco800可以用于小型的办公室环境,但是Cisco700系列主要用于家庭使用。
篇10:Cisco路由器使用疑问
[分析]: 以太网上的服务器未设网关,当报文从路由器转发给服务器后,服务器从报文中判别源地址不是本网地址,按协议规则应对报文应发给网关,但由于未设网关地址招致服务器不能照应做出回答,所以远程终端处因收不到报文而惹起超时错误,加设网关后服务器可顺利回发应对报文完成ping的协议流程。
[疑问] 两台2501专线连通后,相互ping对端时丢报严重
[处理]:可在两端相应衔接专线的串口上翻转时钟,配置命令为 invert transmit-clock
[分析]: 丢报严重能够是线路上的时钟错位招致线路两端路由器收和发不能同步惹起,在接口上将时钟翻转 invert transmit-clock后相当于使时钟改动半个周期而使时钟对准。时钟不准并不是丢报严重的独一原由,假设改动时钟后仍不能处理疑问,且确认配置无误,则须要检验线路能不能正常。
[疑问] 配置x.25地址映射时,提示地址映射反复。
[处理]:运用命令 no x25 map ip 删除以前的地址映射,再重新配置新的地址映射。
[分析]:在X.25地址映射中,一个ip地址只好对应一个x121地址,当一个IP地址配置成两个不一样的x121地址时,将惹起抵触。
[疑问] 用户用QUIDWAY路由器衔接时广域网口的PPP协议不通,判别疑问所在。
[处理]:PPP协议属ISO二层协议,所以判别疑问所在要从第一层起判别,用show in s N (N为所用串口)检查底层DTR,DSR,RTS,CTS,DCD信号能不能都UP, 如不是,标明DTE与DCE间物理线路没连好,查一下衔接电缆疑问,当串口提示UP且无错帧时,标明物理层正常。如物理层没疑问,则用show in s N命令查一下LCP,IPCP能不能OPEN如LCP OPEN而IPCP INITIAL,标明PPP验证没议决,查一下PPP验证的疑问。
[分析]:PPP协议不通普通集中在物理层有疑问或是验证出错,物理层的形态可从show in s N命令中的查询信息中得到,物理层正常时串口应是UP,还应观察能不能有许多错帧,假设错帧许多也标明物理层有疑问,虽然串口提示是UP。物理层的疑问扫除后,假设还不通须要检验验证能不能正确,以PAP为例。
验证方配置:
config# user 169 passWord 0 169
config-if-serial0# ppp authentication pap
被验证方配置:
config-if-serial0# ppp pap send-username 169 password 169
验证中留意用户名和口令一致。
[疑问] 华为2501路由器和 CISCO 的路由器ppp对接不通
[分析]: CISCO 路由器的默许协议是 HDLC,而华为的路由器默许协议为 PPP,用户运用华为路由器的时分,由于和CISCO的路由器类似,容易误以为 CISCO 也是PPP协议而没有改动CISCO的配置,当在2501 上用show in s N(N为串口号,0或1)命令时,会觉察串口 up,链路协议 down,
将CISCO 端协议改为PPP即可。
[处理]:在CISCO端的协议封装改为PPP
命令:enc ppp 且将华为2501的广域网口地址设为和CISCO的广域网口地址同一网段。
[疑问]近来,有用户提出用QUIDWAY4001作接入服务器的要求,确实,对一个企业或公司来说,用QUIDWAY4001的PRI口做30路用户的接入,确实是一个不错的挑选。下面是一个配置实例。
[分析]: 依据用户需求,QUIDWAY4001的 CE1/PRI口 走PRI30B+D信令可以接入30路用户.
[处理]: 配置如下:
sh run
Now create configuration...
Current configuration
!
user aa password 0 123
user bb password 0 321
dialer-list 1 protocol ip permit
ip local pool 1 192.168.1.1 192.168.1.31
snmp-server traps enable
hostname Quidway4001
!
controller e 0
pri-group timeslot 1-31
!
interface Ethernet0
ip address 100.10.10.1 255.255.0.0
!
interface Serial0
enable
encapsulation ppp
!
interface Serial1
flowcontrol normal
encapsulation ppp
!
interface Serial2:15
encapsulation ppp
ppp authentication pap
peer default ip address pool 1
ip address 192.168.1.254 255.255.0.0
dialer in-band
dialer-group 1
!
router rip
!
end
篇11:cisco的端口显示 errdisable
解决端口出现err-disabled问题
关于接口处于err-disable的故障排查
故障症状:
线路不通,物理指示灯灭或者显示为橙色(不同平台指示灯状态不同)
show interface 输出显示接口状态:
FastEthernet0/47 is down, line protocol is down (err-disabled)
接口状态是err-disable.
sw1#show interfaces status
Port Name Status Vlan Duplex Speed Type
Fa0/47 err-disabled 1 auto auto 10/100BaseTX
如果出现了接口状态为err-disable,show interfaces status err-disabled命令能查看触发err-disable的原因,
下面示例原因为bpduguard,在连接了交换机的端口配置了spanning-tree bpduguard enable.
sw1#show interfaces status err-disabled
Port Name Status Reason
Fa0/47 err-disabled bpduguard
接口产生err-disable的原因可以由以下的命令来查看,系统缺省的配置是所有列出的原因都能导致接口被置为err-disable.
sw1#show errdisable detect
ErrDisable Reason Detection status
----------------- ----------------
udld Enabled
bpduguard Enabled
security-violatio Enabled
channel-misconfig Enabled
psecure-violation Enabled
dhcp-rate-limit Enabled
unicast-flood Enabled
vmps Enabled
pagp-flap Enabled
dtp-flap Enabled
link-flap Enabled
l2ptguard Enabled
gbic-invalid Enabled
loopback Enabled
dhcp-rate-limit Enabled
unicast-flood Enabled
从列表中,我们可以看出常见的原因有udld,bpduguard,link-flap以及loopback等。
具体由什么原因导致当前接口err-disable可以由show interface status err-disable来查看。
在接口模式下采用shutdown,no shutdown进行手动的激活。
在缺省配置下,一旦接口被置为err-disable,IOS将不会试图恢复接口。
这个可以由show errdisable recovery来查看,timer status下面所有的值都是disable.
下面的示例中,由于手工配置了bpduguard恢复,所以timer status的值变为Enable.
sw1#show errdisable recovery
ErrDisable Reason Timer Status
----------------- --------------
udld Disabled
bpduguard Enabled
security-violatio Disabled
channel-misconfig Disabled
vmps Disabled
pagp-flap Disabled
dtp-flap Disabled
link-flap Disabled
l2ptguard Disabled
psecure-violation Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
unicast-flood Disabled
loopback Disabled
Timer interval: 300 seconds
Interfaces that will be enabled at the next timeout:
Interface Errdisable reason Time left(sec)
--------- ----------------- --------------
Fa0/47 bpduguard 217
配置IOS重新激活errdisable的接口,使用以下命令:
sw1(config)#errdisable recovery cause bpduguard
sw1(config)#errdisable recovery cause ?
all Enable timer to recover from all causes
bpduguard Enable timer to recover from BPDU Guard error disable state
channel-misconfig Enable timer to recover from channel misconfig disable state
dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state
dtp-flap Enable timer to recover from dtp-flap error disable state
gbic-invalid Enable timer to recover from invalid GBIC error disable state
l2ptguard Enable timer to recover from l2protocol-tunnel error disable state
link-flap Enable timer to recover from link-flap error disable state
loopback Enable timer to recover from loopback detected disable state
pagp-flap Enable timer to recover from pagp-flap error disable state
psecure-violation Enable timer to recover from psecure violation disable state
security-violation Enable timer to recover from 802.1x violation disable state
udld Enable timer to recover from udld error disable state
unicast-flood Enable timer to recover from unicast flood disable state
vmps Enable timer to recover from vmps shutdown error disable
配置完上述命令后,IOS在一段时间后试图恢复被置为err-disable的接口,这段时间缺省为300秒,
但是,如果引起err-disable的源没有根治,在恢复工作后,接口会再次被置为err-disable.
调整err-disable的超时时间,可以使用以下命令:
sw1(config)#errdisable recovery interval ?
<30-86400>timer-interval(sec)
可以调整在30-86400秒,缺省是300秒。
如果产生err-disable的原因是udld,下面有一条命令非常管用:
sw1#udld reset
No ports are disabled by UDLD.
同时,接口在被置为err-disable的时候,通常有一系列的日志产生,如下:
*Mar 15 15:47:19.984: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/47 with BPDU Guard enabled. Disabling port.
sw1#
*Mar 15 15:47:19.984: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/47, putting Fa0/47 in err-disable state
sw1#
*Mar 15 15:47:21.996: %LINK-3-UPDOWN: Interface FastEthernet0/47, changed state to down
收集这些日志也非常管用。
所以建议配置一个syslog server,收集log信息。
*************************
sw1#show interfaces status
Port Name Status Vlan Du…
***************
开启errdisable功能,这样可以使用show errdisable来查看引发errdisable的原因是什么,再更加信息内容进行解决。
******************
你要是想不影响使用的话,先用
no errdisable detect cause loopback
篇12:cisco的端口显示errdisable1
解决端口出现err-disabled问题
关于接口处于err-disable的故障排查
故障症状:
线路不通,物理指示灯灭或者显示为橙色(不同平台指示灯状态不同)
show interface 输出显示接口状态:
FastEthernet0/47 is down, line protocol is down (err-disabled)
接口状态是err-disable.
sw1#show interfaces status
Port Name Status Vlan Duplex Speed Type
Fa0/47 err-disabled 1 auto auto 10/100BaseTX
如果出现了接口状态为err-disable,show interfaces status err-disabled命令能查看触发err-disable的原因,
下面示例原因为bpduguard,在连接了交换机的端口配置了spanning-tree bpduguard enable.
sw1#show interfaces status err-disabled
Port Name Status Reason
Fa0/47 err-disabled bpduguard
接口产生err-disable的原因可以由以下的命令来查看,系统缺省的配置是所有列出的原因都能导致接口被置为err-disable.
sw1#show errdisable detect
ErrDisable Reason Detection status
----------------- ----------------
udld Enabled
bpduguard Enabled
security-violatio Enabled
channel-misconfig Enabled
psecure-violation Enabled
dhcp-rate-limit Enabled
unicast-flood Enabled
vmps Enabled
pagp-flap Enabled
dtp-flap Enabled
link-flap Enabled
l2ptguard Enabled
gbic-invalid Enabled
loopback Enabled
dhcp-rate-limit Enabled
unicast-flood Enabled
从列表中,我们可以看出常见的原因有udld,bpduguard,link-flap以及loopback等。
具体由什么原因导致当前接口err-disable可以由show interface status err-disable来查看。
在接口模式下采用shutdown,no shutdown进行手动的激活。
在缺省配置下,一旦接口被置为err-disable,IOS将不会试图恢复接口。
这个可以由show errdisable recovery来查看,timer status下面所有的值都是disable.
下面的示例中,由于手工配置了bpduguard恢复,所以timer status的值变为Enable.
sw1#show errdisable recovery
ErrDisable Reason Timer Status
----------------- --------------
udld Disabled
bpduguard Enabled
security-violatio Disabled
channel-misconfig Disabled
vmps Disabled
pagp-flap Disabled
dtp-flap Disabled
link-flap Disabled
l2ptguard Disabled
psecure-violation Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
unicast-flood Disabled
loopback Disabled
Timer interval: 300 seconds
Interfaces that will be enabled at the next timeout:
Interface Errdisable reason Time left(sec)
--------- ----------------- --------------
Fa0/47 bpduguard 217
配置IOS重新激活errdisable的接口,使用以下命令:
sw1(config)#errdisable recovery cause bpduguard
sw1(config)#errdisable recovery cause ?
all Enable timer to recover from all causes
bpduguard Enable timer to recover from BPDU Guard error disable state
channel-misconfig Enable timer to recover from channel misconfig disable state
dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state
dtp-flap Enable timer to recover from dtp-flap error disable state
gbic-invalid Enable timer to recover from invalid GBIC error disable state
l2ptguard Enable timer to recover from l2protocol-tunnel error disable state
link-flap Enable timer to recover from link-flap error disable state
loopback Enable timer to recover from loopback detected disable state
pagp-flap Enable timer to recover from pagp-flap error disable state
psecure-violation Enable timer to recover from psecure violation disable state
security-violation Enable timer to recover from 802.1x violation disable state
udld Enable timer to recover from udld error disable state
unicast-flood Enable timer to recover from unicast flood disable state
vmps Enable timer to recover from vmps shutdown error disable
配置完上述命令后,IOS在一段时间后试图恢复被置为err-disable的接口,这段时间缺省为300秒,
但是,如果引起err-disable的源没有根治,在恢复工作后,接口会再次被置为err-disable.
调整err-disable的超时时间,可以使用以下命令:
sw1(config)#errdisable recovery interval ?
<30-86400>timer-interval(sec)
可以调整在30-86400秒,缺省是300秒。
如果产生err-disable的原因是udld,下面有一条命令非常管用:
sw1#udld reset
No ports are disabled by UDLD.
同时,接口在被置为err-disable的时候,通常有一系列的日志产生,如下:
*Mar 15 15:47:19.984: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/47 with BPDU Guard enabled. Disabling port.
sw1#
*Mar 15 15:47:19.984: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/47, putting Fa0/47 in err-disable state
sw1#
*Mar 15 15:47:21.996: %LINK-3-UPDOWN: Interface FastEthernet0/47, changed state to down
收集这些日志也非常管用。
所以建议配置一个syslog server,收集log信息。
*************************
sw1#show interfaces status
Port Name Status Vlan Du…
***************
开启errdisable功能,这样可以使用show errdisable来查看引发errdisable的原因是什么,再更加信息内容进行解决。
******************
你要是想不影响使用的话,先用
no errdisable detect cause loopback
执行一下,将已经死掉的端口,no sh 一下
如果没问题,肯定是环路了,你可再找时间,对怀疑有问题的switch用拔插法,一个一个拔掉网线去查,当然,有更有效的方法,你可查看有问题的switch的所有rj45和gi口的状态,哪个有errdisable信息哪个就有问题。
switch#show interfaces status err-disabled
Port Name Status Reason
Fa0/22 err-disabled link-flap
Fa0/37 For office in 100K err-disabled link-flap
Fa0/41 unknow err-disabled link-flap
Fa0/42 Training Dc066 err-disabled link-flap
Fa0/45 Production line VM err-disabled link-flap
switch#show errdisable detect
ErrDisable Reason Detection status
----------------- ----------------
pagp-flap Enabled
dtp-flap Enabled
link-flap Enabled
l2ptguard Enabled
篇13:Cisco 3550端口限速例子
一、网络说明
PC1接在Cisco3550 F0/1上,速率为1M;
PC1接在Cisco3550 F0/2上,速率为2M;
Cisco3550的G0/1为出口,
二、详细配置过程
注:每个接口每个方向只支持一个策略;一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义在同一个策略(在本例子当中
为policy -map user-down),而PC不同速率的区分是在Class-map分别定义。
1、在交换机上启动QOS
Switch(config)#mls qos //在交换机上启动QOS
2、分别定义PC1(10.10.1.1)和PC2(10.10.2.1)访问控制列表
Switch(config)#access-list 10 permit 10.10.1.0 0.0.0.255 //控制pc1上行流量
Switch(config)#access-list 100 permit any 10.10.1.0 0.0.0.255 //控制pc1下行流量
Switch(config)#access-list 11 permit 10.10.2.0 0.0.0.255 //控制pc2上行流量
Switch(config)#access-list 111 permit any 10.10.2.0 0.0.0.255 //控制pc2下行流量
3、定义类,并和上面定义的访问控制列表绑定
Switch(config)# class-map user1-up //定义PC1上行的类,并绑定访问列表10
Switch(config-cmap)# match access-group 10
Switch(config-cmap)# exit
Switch(config)# class-map user2-up
Switch(config-cmap)# match access-group 11 //定义PC2上行的类,并绑定访问列表10
Switch(config-cmap)# exit
Switch(config)# class-map user1-down
Switch(config-cmap)# match access-group 100 //定义PC1下行的类,并绑定访问列表100
Switch(config-cmap)# exit
Switch(config)# class-map user2-down
Switch(config-cmap)# match access-group 111 //定义PC2下行的类,并绑定访问列表111
Switch(config-cmap)# exit
4、定义策略,把上面定义的类绑定到该策略
Switch(config)# policy-map user1-up //定义PC1上行的速率为1M
Switch(config-pmap)# class user1-up
Switch(config-pmap-c)# trust dscp
Switch(config-pmap-c)# police 1024000 1024000 exceed-action drop
Switch(config)# policy-map user2-up //定义PC2上行的速率为2M
Switch(config-pmap)# class user2-up
Switch(config-pmap-c)# trust dscp
Switch(config-pmap-c)# police 2048000 1024000 exceed-action drop
Switch(config)# policy-map user-down
Switch(config-pmap)# class user1-down
Switch(config-pmap-c)# trust dscp
Switch(config-pmap-c)# police 1024000 1024000 exceed-action drop
Switch(config-pmap-c)# exit
Switch(config-pmap)# class user2-down
Switch(config-pmap-c)# trust dscp
Switch(config-pmap-c)# police 2048000 1024000 exceed-action drop
Switch(config-pmap-c)# exit
5、在接口上运用策略
Switch(config)# interface f0/1
Switch(config-if)# service-policy input user1-up
Switch(config)# interface f0/2
Switch(config-if)# service-policy input user2-up
Switch(config)# interface g0/1
Switch(config-if)# service-policy input user-down
篇14:解决Cisco交换机端口假死
进入交换机后,执行show log,会看到如下的提示:
21w6d: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEthernet0/20.
21w6d: %PM-4-ERR_DISABLE: loopback error detected on Fa0/20, putting Fa0/20 in err-disable state
以上信息就明确表示由于检测到第20端口出现了环路,所以将该端口置于了err-disable状态,
查看端口的状态
Switch# show inter fa0/20 status
Port Name Status Vlan Duplex Speed Type
Fa0/20 link to databackup err-disabled 562 auto auto 10/100BaseTX
这条信息更加明确的表示了该端口处于err-disabled状态。
既然看到了该端口是被置于了错误的状态了,我们就应该有办法将其再Oracle_shujuku/' target='_blank'>恢复成正常的状态。
拯救步骤2:将端口从错误状态中恢复回来
进入交换机全局配置模式,执行errdisable recovery cause ?,会看到如下信息:
Switch(config)#errdisable recovery cause ?
all Enable timer to recover from all causes
bpduguard Enable timer to recover from BPDU Guard error disable state
channel-misconfig Enable timer to recover from channel misconfig disable state
dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state
dtp-flap Enable timer to recover from dtp-flap error disable state
gbic-invalid Enable timer to recover from invalid GBIC error disable state
l2ptguard Enable timer to recover from l2protocol-tunnel error disable state
link-flap Enable timer to recover from link-flap error disable state
loopback Enable timer to recover from loopback detected disable state
pagp-flap Enable timer to recover from pagp-flap error disable state
psecure-violation Enable timer to recover from psecure violation disable state
security-violation Enable timer to recover from 802.1x violation disable state
udld Enable timer to recover from udld error disable state
unicast-flood Enable timer to recover from unicast flood disable state
vmps Enable timer to recover from vmps shutdown error disable state
从列出的选项中,我们可以看出,有非常多的原因会引起端口被置于错误状态,由于我们明确的知道这台交换机上的端口是由于环路问题而被置于错误状态的,所以就可以直接键入命令:
Switch(config)#errdisable recovery cause loopback
是啊,就这么简单的一条命令,就把困挠我们很长时间的问题解决了,真的就这么神奇,
那么如何验证这条命令是生效了呢?
拯救步骤3:显示被置于错误状态端口的恢复情况
Switch# show errdisable recovery
ErrDisable Reason Timer Status
----------------- --------------
篇15:Cisco交换机端口安全介绍
通过端口设置,可以限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入,最终确保网络接入安全.
配置网络安全时应该注意如下问题:
1.下面四种端口不能设置:
a.不能是Trunk口.
b.不能是SPAN口
c.不能是EtherChannel口
d.不能是private-VLAN口
2.实现安全端口的大致步骤
a.#conf t
#int interface_id
config-if#switchport mode access
config-if#switchport port-security (启用安全模式)
config-if#switchport port-security maximum value (value=1-3072,指该端口所接计算机台数)
config-if#switchport port-security limit rate invalid-source-mac
config-if#switchport port-security [aging time aging_time |type{absolute|inactivity}] (设置安全端口的老化时间,范围是0-1440min,是可选的)
config-if#switchport port-security mac-address sticky (启用sticky learning)
最后别忘记保存设置:
#copy running-config startup-config
在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址,
ip与mac地址的绑定,这种绑定可以简单有效的防止ip被盗用,别人将ip改成了你绑定了mac地址的ip后,其网络不同,(tcp/udp协议不同,但netbios网络共项可以访问),
具体做法:
cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA
这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了
三、ip与交换机端口的绑定,此种方法绑定后的端口只有此ip能用,改为别的ip后立即断网。有效的防止了乱改ip。
cisco(config)# interface FastEthernet0/17
cisco(config-if)# ip access-group 6 in
cisco(config)#access-list 6 permit 10.138.208.81
这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。
方案1——基于端口的MAC地址绑定:
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal #进入配置模式
Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式
Switch(config-if)switchport port-security mac-address MAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if)no switchport port-security mac-address MAC(主机的MAC地址)
#删除绑定主机的MAC地址
注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用,
(以上功能适用于思科2950、3550、4500、6500系列交换机)
方案2——基于MAC地址的扩展访问列表
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)interface fa0/20
#进入配置具体端口模式
Switch(config)mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)
方案3——IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)mac access-list extended MAC10
#定义一个MAC地址访问控制列表并命名为MAC10
Switch(config)permit host 0009.6b4c.d4bf any
#定义MAC地址为0009.6b4c.d4bf 的主机可以访问任何主机
Switch(config)permit any host 0009.6b4c.d4bf
#定义任何主机可以访问MAC为0009.6b4c.d4bf的主机
Switch(config)ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名为IP10
Switch(config)permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任何主机
Switch(config)permit any 192.168.0.1 0.0.0.0
#定义任何主机都可以访问IP地址为192.168.0.1的主机
完成了这一步就可以进入端口配置模式去配置端口啦!
Switch(config)int fa0/20
#进入端口配置模式
Switch(config-if)
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if)ip access-group IP10 in
#在该端口上应用名为MAC10的访问列表(IP访问控制列表哟)
下面是清除端口上的访问控制列表
Switch(config-if)no mac access-group MAC10 in
篇16:远程异步登陆Cisco 路由器
远程异步登陆Cisco 路由器
关键词:在商业银行广域网建设中,采用PSTN作为DDN线的备份,用cisco2511路由器(共16个异步口,用了6个)作为异步拨号服务器。当技术人员在异地要处理问题时,必须到原地才行。因此,能否用现有网络设备:空闲cisco2511的异步口、Modem、电话线,实现远程登陆到本地局域网?从而实现技术人员在异地可处理问题。我们寻找到不影响目前网络运行,实现远程异步登陆到路由器办法。该方案具体解决如下:
在cisco2511建立一个本地拨号地址池,从已建好的拨号地址池中取出一个地址分配给远程工作站,完成连接。(不能用ipaddress-poollocal命令建立ip地址池,各支行的.异步拨号已分配了ip地址)。远程网点可用客户端程序Netterm来实现或通过Windows95的拨号网络来实现,但需要编写一个脚本程序。网络图如下:
Cisco2511路由器需要完成以下配置:
1、广域网口配置
intgroup-async1/*建立一个异步拨号组*/
ipunnumbedEthernet0/*异步口地址与以太口地址一致*/
encapsulationppp/*封装ppp协议*/
autodectencapsulationppp/*自动检测ppp协议*/
asyncmodeinteractive/*激活异步模式*/
peerdefaultipaddresspooldialpool
dialerin-band
dialer-group1
nocdpenable
pppauthenticationchap/*ppp鉴定握手授权协议*/
group-range810/*拨号异步组的端口的范围*/
2、IP地址和映射表的配置
Iplocalpooldialpool10.141.230.5610.141.230.57
/*设置拨号IP地址池的起始地址和目的地址,容量是2个*/
3、line端的配置
line1214
autoselectduring-login
autoselectppp
loginlocal
modemInOut/*modem自动in和out*/transportinputall
flowcontrolhardware
4、安全检查的配置
username用户名password密码
此用户名,密码定期更改。
5、客户端netterm的配置
启动PC机客户端程序netterm,在“地址薄”加入一个地址。操作过程为:输入主机名称,电话号码(要拨入的号码,此电话只在解决问题时才插入联在异步口的modem上),连接形态选“调制解调器”,端口填“23”,模拟形态选“ansi”,键盘定义选“default”。在“调制解调器设置”中设定端口、速率(与modem支持速率有关)、资料位为“8”、同位为“无”、停止位为“1”,使用“调制解调器启始指令”。地址加好以后,即可进行“连接”。输入用户名、密码,登陆到路由器上;用win95拨号连接,须选中拨号连接图标,右击该图标,在“属性”对话框中单击“制作脚本”项下的“编辑”按钮,编辑制作脚本文件。
地址:合肥市安庆路235号商业银行计算中心
邮码:230061
篇17:cisco路由器的安全防护
cisco路由器的安全防护!
一、路由器访问控制的安全配置
1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。
2,对于远程访问路由器,建议使用访问控制列表和高强度的密码控制。
3,严格控制CON端口的访问,给CON口设 置高强度的密码。
4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止命令为:
Router(Config)#line aux 0
Router(Config-line)#transport input none
Router(Config-line)#no exec
5,建议采用权限分级策略。如:
Router(Config)#username BluShin privilege 10 G00dPa55w0rd
Router(Config)#privilege EXEC level 10 telnet
Router(Config)#privilege EXEC level 10 show ip access-list
6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。
7,控制对VTY的访问。需要设置强壮的密码。由于VTY在网络的传输过程中不加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。
8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:
Router(Config)#ip ftp username BluShin
Router(Config)#ip ftp password 4tppa55w0rd
Router#copy startup-config ftp:
9,及时的升级和修补IOS软件。
二、路由器网络服务安全配置
1、禁止CDP(Cisco Discovery Protocol)。如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2、禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-small-servers
3、禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4、禁止HTTP服务。
Router(Config)# no ip http server
5、禁止BOOTp服务。
Router(Config)# no ip bootp server
禁止从网络启动和自动从网络下载初始配置文件。
Router(Config)# no boot network
Router(Config)# no servic config
6、禁止IP Source Routing,
Router(Config)# no ip source-route
7、建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8、明确的禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9、禁止IP Classless。
Router(Config)# no ip classless
10、禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11、建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:
Router(Config)# no snmp-server community ro
Router(Config)# no snmp-server community rw
三、路由器防止攻击的安全配置
1、TCP SYN的防范。如:
A: 通过访问列表防范。
Router(Config)# no access-list 106
Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established
Router(Config)# access-list 106 deny ip any any log
Router(Config)# interface eth 0/2
Router(Config-if)# description external Ethernet
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 106 in
B:通过TCP截获防范。
Router(Config)# ip tcp intercept list 107
Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255
Router(Config)# access-list 107 deny ip any any log
Router(Config)# interface eth0
Router(Config)# ip access-group 107 in
篇18:CISCO路由器的攻击以及相关知识
警告: 不要用这破坏cisco系统,或非法访问系统,
CISCO路由器的攻击以及相关知识
,
这篇文章只是以学习为目的。只可以用在合法行为,不能破坏任何系统。这篇文章将一步一步的向你展示如何利用发现的缺陷来获得非法访问。如果你攻入了一个cisco路由器,或者扰乱了系统,将会中断数百个网络客户
篇19:Cisco路由器上如何防止DDoS
1、使用ipverfyunicastreverse-path网络接口命令
这个功能检查每一个经过路由器的数据包,在路由器的CEF(CiscoEXPressForwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。单一地址反向传输路径转发(UnicastReversePathForwarding)在ISP(局端)实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用UnicastRPF需要打开路由器的“CEFswithing”或“CEFdistributedswitching”选项。不需要将输入接口配置为CEF交换(switching)。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换(switching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。UnicastRPF包含在支持CEF的CiscoIOS12.0及以上版本中,但不支持CiscoIOS11.2或11.3版本。
2、使用访问控制列表(ACL)过滤RFC1918中列出的所有地址
参考以下例子:interfacexyipAccess-group101inaccess-list101denyip10.0.0.00.255.255.255anyaccess-list101denyip192.168.0.00.0.255.255anyaccess-list101denyip172.16.0.00.15.255.255anyaccess-list101permitipanyany
3、参照RFC2267,使用访问控制列表(ACL)过滤进出报文
参考以下例子:{ISP中心}--ISP端边界路由器--客户端边界路由器--{客户端网络}ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子:access-list190permitip{客户端网络}{客户端网络掩码}anyaccess-list190denyipanyany[log]interface{内部网络接口}{网络接口号}ipaccess-group190in以下是客户端边界路由器的ACL例子:access-list187denyip{客户端网络}{客户端网络掩码}anyaccess-list187permitipanyanyaccess-list188permitip{客户端网络}{客户端网络掩码}anyaccess-list188denyipanyanyinterface{外部网络接口}{网络接口号}ipaccess-group187inipaccess-group188out如果打开了CEF功能,通过使用单一地址反向路径转发(UnicastRPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能,
为了支持UnicastRPF,只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口。
4、使用CAR(ControlAccessRate)限制ICMP数据包流量速率
参考以下例子:interfacexyrate-limitoutputaccess-group300000051786000conform-actiontransmitexceed-actiondropaccess-list2020permiticmpanyanyecho-reply请参阅IOSEssentialFeatures获取更详细资料。
5、设置SYN数据包流量速率
interface{int}rate-limitoutputaccess-group15345000000100000100000conform-actiontransmitexceed-actiondroprate-limitoutputaccess-group1521000000100000100000conform-actiontransmitexceed-actiondropaccess-list152permittcpanyhosteqwwwaccess-list153permittcpanyhosteqwwwestablished在实现应用中需要进行必要的修改,替换:45000000为最大连接带宽1000000为SYNflood流量速率的30%到50%之间的数值。burstnormal(正常突变)和burstmax(最大突变)两个速率为正确的数值。注意,如果突变速率设置超过30%,可能会丢失许多合法的SYN数据包。使用“showinterfacesrate-limit”命令查看该网络接口的正常和过度速率,能够帮助确定合适的突变速率。这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。警告:一般推荐在网络正常工作时测量SYN数据包流量速率,以此基准数值加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差。另外,建议考虑在可能成为SYN攻击的主机上安装IPFilter等IP过滤工具包。
6、搜集证据并联系网络安全部门或机构
如果可能,捕获攻击数据包用于分析。建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为:tcpdump-iinterface-s1500-wcapture_filesnoop-dinterface-ocapture_file-s1500本例中假定MTU大小为1500。如果MTU大于1500,则需要修改相应参数。将这些捕获的数据包和日志作为证据提供给有关网络安全部门或机构。
更多的技术资料,请参阅以下文档:CharacterizingandTracingPacketFloodsUsingCiscoRoutersImprovingSecurityonCiscoRouters
篇20:Cisco路由器日志设置经验总结
可能很多人对Cisco路由器日志还不是很了解,于是我研究了一下Cisco路由器日志的经验总结,在这里拿出来和大家分享一下,希望对大家有用,Cisco路由器日志对于网络安全来说非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。路由器是各种信息传输的枢纽,被广泛用于企事业单位的网络建设中,承担着局域网之间及局域网与广域网之问连接的重任。
认识syslog设备
首先介绍一下syslog设备,它是标准Unix,的跟踪记录机制,syslog可以记录本地的一些事件或通过网络记录另外一个主机上的事件,然后将这些信息写到一个文件或设备中,或给用户发送一个信息,
syslog机制主要依据两个重要的文件:/etc/syslogd(守护进程)和/etc/syslog.conf配置文件,syslogd的控制是由/etc/syslog.conf来做的。syslog.conf文件指明syslogd程序记录Cisco路由器日志的行为,该程序在启动时查询syslog.conf配置文件。该文件由不同程序或消息分类的单个条目组成,每个占一行。对每类消息提供一个选择域和一个动作域。这些域由tab隔开(注意:只能用tab键来分隔,不能用空格键),其中选择域指明消息的类型和优先级;动作域指明sysloqd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。也就是说第一栏写“在什么情况下”及 “什么程度”。然后用TAB键跳到下一栏继续写 “符合条件以后要做什么”。当指明一个优先级时,syslogd将记录二个拥有相同或更高优先级的消息。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到哪儿。第一栏包含了何种情况与程度,中间用小数点分隔。详细的设定方式如下: 各种不同的情况以下面的宇串来决定:
auth 关于系统安全与使用者认证;
cron关于系统自动排序执行(CronTable);
daemon 关于背景执行程序;
ken 关于系统核心;
Ipr 关于打印机;
mai1 关于电子邮件;
news 关于新闻讨论区;
syslog 关于系统记录本身;
user 关于使用者;
uucp关于UNIX互拷(UUCP)。
【一些关于Cisco路由器端口故障小结】相关文章:
7.故障报告
9.故障的近义词
文档为doc格式
