directed-broadcast 定向广播
默认,路由器丢弃广播
但有些应用需要路由器转发广播,例如:DHCP服务器在远程网络
接口上手工开启转发广播的功能
accesslist 10 permit any
interface f0/0
ip directed-broadcast 10
广播转发到哪里呢?
例子:本地10.1.1.0/24 广播为10.255.255.255 , DHCP服务器地址 192.168.1.100/24
dhcp服务器网段的广播地址为192.168.1.255 ,所以要在接口上定义 转发到哪里
单播转发给DHCP服务器
intface f0/0
ip helper-address 192.168.1.100
*接口默认只转发通过的协议 (没有的协议默认不转发,自己加协议和端口号)
TFTP 69 DNS 53 TS 37 NNS 137 NDS 138 BPCSD67 68 TS 49
R1(config)ip forward-protocol udp 3001
————————————————————————————
DHCP
windows主机使用DHCP获取地址时: 先发一个广播,等待1秒没应答,发送第二个,等9秒无应答发送第三个,
等待13秒无应答发送最后一个,等待16秒后,四个广播包都没应答,放弃请求
网卡自动配一个私有IP(169.254.0.0/16网段),网卡图标黄色感叹号(受限制连接),此时出现DHCP服务器也救不
了这台主机
CISCO做DHCP客户端,会一直等待。直到出现DHCP服务器分一个IP, 有使用限制的,租约时间。时间过去一半时
续约,续约不成的话,75%再续约,还不成就放弃使用此地址
配置 R1—–R2
R2(config)service dhcp
ip dhcp pool ccie1
network 10.1.1.0 255.255.255.0 可供客户使用的地址段
default-router 10.1.1.1 网关
dns-server 10.1.1.1 10.1.1.2 DNS
ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1到10.1.1.10的地址
lease 1 1 1 租约1天1小时1分钟
客户端
int f0/1
ip address dhcp
*服务器从哪个接口受到请求,就将相同网段地址发给客户端,如果没有相同网段就丢弃请求包
————————————————————————————
DCHP中继
10.1.1.0/24 23.1.1.0/24 34.1.1.0/24
R1————-R2————-R3————–R4
client server
R1发送广播请求DHCP服务器,但R2默认丢弃广播,R4收不到请求广播
解决:DHCP中继,让R2单播发送给R4
R2
interface f0/0
ip helper-address 34.1.1.4
R4
service dhcp
ip dhcp pool ccie1
network 10.1.1.0 255.255.255.0
default-router 10.1.1.2 (R2)
ip dhcp excluded-address 10.1.1.1 10.1.1.10
ip dhcp pool ccie2
network 34.1.1.0 255.255.255.0
default-router 34.1.1.4
ip dhcp excluded-address 34.1.1.1 34.1.1.10
*为什么不将接受请求的接口网段地址发给客户端?
因为一个option82选项 在中继后自动添加
dhcpd:setting giaddr to 10.1.1.1
服务器要有到10.1.1.0的路由
R4 ip route 10.1.1.0 255.255.255.0 34.1.1.3
不同vlan分配不同ip
不同地址池
interface vlan 10
ip helper-address X.X.X.X
————————————————————————————
IP与MAC地址绑定
只有相应的MAC地址才能获取相应IP
为一个ip单独创建地址池 host pool
ip dhcp pool ccie
host 10.1.1.100/24
client-indetifier 01aa.bbcc.ddee.ff *MAC前加01表示以太网
————————————————————————————
DHCP安全ARP
R3 DHCP server
|10.1.1.1
|
|
|
SW———R2 欺骗者
| 冒充10.1.1.2
|
|
|10.1.1.2
R1 DHCP client
R1的ip和mac绑定了,R3正好刷新了MAC表
R1断开了 R2冒充
定期ARP讯问 10.1.1.2 是否还存在 ,只有R1能回答
两个feature
update arp 地址池下开启,定期讯问客户端
Authorized ARP 接口下开启,禁止通过ARP更新和学习MAC地址
配置
ip dhcp pool ccie
update arp
interface f0/0
arp authorized 禁止动态更新ARP
arp timeout 60 60秒无应答删除ARP条目
————————————————————————————
DHCP监听 (禁止不合法的DHCP服务器提供服务,在交换机上完成)
10.1.1.1
R1————-SW————-R3————Internet
client | server
|
|20.1.1.1
R2
冒充DHCP server
R2冒充服务器发20.1.1.0/24的地址 * DHCP用先到的地址 , arp用后到的
配置
SW ip dhcp snooping
ip dhcp snooping vlan 1
将连接真正DHCP服务器的接口变为信任接口 (默认都为不信任接口)
interface f0/0
ip dhcp snooping trust
*只有信任接口可以应答DHCP请求,其他接口丢弃
还得让R3对giaddr为 0.0.0.0的请求做应答(SW开启DHCP snooping后默认开启中继)
* R3 ip dhcp relay information trusted
————————————————————————————
ip accounting 记账
记录通过路由器的流量
*只能记录从接口出去的流量!!
*只记录转发的流量 (自己发出去和发给自己的流量,不能记录)
interface f0/0
ip accounting
————————————————————————————
NetFlow
在ip accounting基础上增加附加功能,不仅可以看到数据量,还能记录出协议
配置条件:
开启路由功能
开启CEF
基于接口开启
R1 interface f0/0
ip flow ingress
定义远程采集主机(最多两台)
ipflow-export destination 10.1.1.2 9991 定义远程ip地址,设备将抓取远程主机通过的数据包(默认端口UDP 9991)
ip flow-export source f0/0 配置数据包源地址
ip flow-export ver 9 全局定义NETFLOW版本
————————————————————————————
GLBP
组IP映射到多个MAC, 所有成员都能为用户提供数据转发,实现负载均衡
组内成员间有HELLO(3S)交流,组播地址224.0.0.12 ,UDP 3222
选择一台路由器做 active virtual geteway AVG, 其他路由器做AVG备份
AVG任务:为各成员分配虚拟MAC
为用户转发数据的路由器 称 AVF
AVG也是AVF
配置
interface F0/1
glbp 10 ip 10.1.1.100 组10 虚拟ip 10.1.1.100
glbp 10 priority 200 优先级200 使其成为AVG, 默认100
glbp 10 preempt 配置抢占
glbp 10 weighting 200 配置权重,影响分担流量
glbp 10 weighting track 1 decrement 30 配置监控信息
show glbp
配置GLBP认证
interface f0/0
glbp 10 authentication MD5 key-string cisco
————————————————————————————
SLA
测量网络延迟和性能
R1———R2 ———–R3
测 R1 到R3
R1(config)ip sla monitor 1 定义会话号码 1
type tcp-connect dest-ipaddr 23.1.1.3 dest-port 23 source-ipadde 12.1.1.1
定义数据类型为TCP 23
frequency 60 定义频率 60秒一次
ip sla monitor schedule 1 start-time now life forever 定义会话发起时间为现在,无人工干预永不停止
R3 ** ip sla monitor responder
show ip sla monitor statistics
—————————————————————————————————–
NTP
stratum 时间精准度高低。 stratum越小 ,精准度越高 默认8
cisco既可作NTP 客户端,也可以做NTP服务器端
服务器
先配时区,再配时间
R1(config) clock timezone GMT +8
R1#clock set 20:20:00 1 oct 2008
* R1(config) ntp master 5 stratum为5
* R1(config) ntp source loopback 0 配置NTP数据包源地址
R1(config) ntp authenticate 开启认证
R1(config) ntp authentication-key 1 md5 cisco 定义KEY1密码
* R1(config) ntp trusted-key 1 使用key1
show clock
NTP client
R3(config) ntp server 10.1.1.1
R3(config) clock timezone GMT +8
R3(config)ntp update-calendar 更新硬件时钟
R3(config)ntp authenticate 开启认证
R3(config)ntp authentication-key 1 md5 cisco
R3(config)ntp trusted-key 1
* R3(config)ntp server 10.1.1.1 key 1 打开对服务器的密码使用,发送给服务器的数据携带密码
show ntp status
—————————————————————————————————
Syslog and local logging
logging 记录设备上发生的事件
事件有等级之分 0 1 2 3 4 5 6 7 八个级别。 指定5,那么0到5 都会记录
0表示最严重事件
将事件记录到设备本地存储器中,称为buffered ,也可以记录在远程服务器
记录在远程,设备无法控制服务器大小
记录在本地可以定义存储器空间 默认4096bytes(自上而下,由老到新)
需手工告诉设备将时间写出本地时间
R1(config)logging on 开启logging服务 (默认开启)
R1(config)logging buffered 开启本地记录
R1(config)logging buffered 9090 制定本地存储器空间大小 Byte
R1(config)logging buffered errors 定义存储日志级别 3 记录0 到3 (默认7 debugging)
R1(config)logging console 定义console下弹出日志
R1#terminal monitor 定义telnet方式登录设备时也能看到弹出日志(默认关闭)
R1(config)logging monitor errors 定义传到telnet下的事件等级为3 errors
R1(config)service timestamps log datetime msec show-timezone localtime 定义时间 (默认非本地)
syslog
将事件记录到远程服务器上
定义服务器ip,
知道远程存储类型,称为facility local0 local1 local2 local3 local4 local5 local6 local7
八个类型 默认 local
R1(config)logging host 10.1.1.1 定义远程服务器ip
R1(config)logging facility local6 定义远程存储类型local6
R1(config)logging trap 7 定义发生到远程服务器事件等级 默认6
—————————————————————————————————–
FTP&TFTP
配置FTP服务器 (需要IOS支持)
router(config) ftp-server enable 开启ftp功能
router(config)ftp-server topdir flash:abc.bin 指定ftp共享目录
将cisco设备配置为FTP client
router(config)ip ftp username ccie
router(config)ip ftp password cisco
配置为TFTP服务器
router(config)tftp-server flash:abc.bin
—————————————————————————————————–
SNMP
SNMP工作在网络设备和网络管理软件之间
配置了SNMP的设备称 SNMP代理
装了管理软件的主机 称为 SNMP管理
SNMP代理将自己的状态信息发送给SNMP管理, SNMP管理将信息以图形化界面汇报给用户.
SNMP管理上相关软件 称NMS 网络管理系统
SNMP代理使用UDP 162 ,SNMP管理使用UDP 161
一个完整的SNMP包含三个组件
1.SNMP代理
2.SNMP管理
3.MIB
MIB : SNMP代理的所有信息,全部存储在MIB里,发给SNMP管理
SNMP代理使用两种数据包发MIB:1.trap 2.informs
区别: trap :当设备发生各种事件后,产生的MIB,SNMP代理主动发给NMS,不需要NMS请求,不需确认,发完立
即删除
informs :但发生事件后,不会主动通告,除非NMS发request查询,发完存在内存里。需要确认。更可靠
网络管理员还可以通过NMS来更改设备配置,查询设备信息,发送GET ,更改设备配置称为SET
——————————————————————————————-
SNMP版本
三个版本 :V1 V2 V3
验证方式不同:
V1,V2: 使用密码(密码分权限 community),还可以通过ACL
V3:提供用户名密码的方式 支持MD5
MIB
接口信息在MIB中分三类:
1.ifindex(接口索引),是接口在MIB中区分的唯一性方法
2.ifalias(接口别名) 用户给接口定义的名称
3.ifname (接口名) 接口原名
Event MIB (MIB事件)
MIB认为设备上的软硬件在多大的范围内变化可被认为是事件发生,采集方法分三种:
absolute pampling 绝对采集
delta sampling 相对采集
changed sampling 变化采集
配置
R1(config) access-list 10 permit 10.1.1.2 只有10.1.1.2 才能访问
R1(config)snmp-server community cisco rw 10 ACL10 通过的主机 密码cisco 权限 读写
R1(config)snmp-server enable traps bgp 配置trap(也可用informs代理)记录BGP事件,无BGP
记录所有事件
R1(config)snmp-server host 10.1.1.100 version 2c cisco bgp (必须已配置trap)
配置主机10.1.1.100使用密码cisco 并且向主机发送BGP事件,SNMP版本为2c
//配完trap后,相应事件不会对SNMP管理反馈,必须手工指定
R1(config)snmp trap link-status 监控接口状态
R1(config)snmp-server system-shutdown 配置NMS重启设备的权限(默认不可以通过NMS重启设备)
R1(config)snmp-server ifindex persist 接口与MIB绑定
R1(config)snmp mib persist MIB所有信息均绑定