小麦

 


如图所示，两台路由器被两个以太网连接起来，其中一个以太网包括一个简单的网桥。该网桥同时还负责处理其他几条没有画出的链路流量，所以有时网桥会变得十分拥挤。主机Milne是一台承担重要任务的服务器，网络管理员担心网桥会延误Milne的流量，所以在Roo上添加了一条指向Milne的主机路由，该中路指引数据包使用图上方的以太网以避开该网桥。
         这种解决方案看上去是合理的，但是实际并非如此。在添加上面那条静态路由后，数据包经Roo不但不能被路由到服务器，而且经过Kanga路由器的数据也不能到达服务器，尽管没有对Kanga作过任何改动。
         第一步首先检查路由表
Roo#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default,
       U - per-user static route
Gateway of last resort is not set
     172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
C       172.16.20.0/24 is directly connected, Ethernet0
C       172.16.21.0/24 is directly connected, Ethernet1
S       172.16.20.75/32 [1/0] via 172.16.21.2
 
Roo的路由表指明目标地址为172.16.20.75的数据包实际上被转发到Kanga的接口E1上，这正是我们所期望的。由于目标网络直接连接到Kanga上，所以不再需要进一步路由。经过快速检查确实在Kanga和Milne上的两个以太网接口都工作正常。
         从Roo向Milne执行跟踪命令，发现以下症状。Kanga应该发向Milne的数据包被发向Roo的接口E0。Roo又将数据包发给Kanga接口E1，接着Kanga再次将数据包发回给Roo。这看上去像是发生了路由选择环路，但是为什么呢？
Roo#trace 172.16.20.75
Type escape sequence to abort.
Tracing the route to 172.16.20.75
1 172.16.21.2 0 msec 0 msec 0 msec
2 172.16.20.1 4 msec 0 msec 0 msec
3 172.16.21.2 4 msec 0 msec 0 msec
4 172.16.20.1 0 msec 0 msec 4 msec
5 172.16.21.2 0 msec 0 msec 4 msec
6 172.16.20.1 0 msec 0 msec 4 msec
7 172.16.21.2 0 msec 0 msec 4 msec
8 172.16.20.1 0 msec 0 msec 4 msec
9 172.16.21.2 4 msec 0 msec 4 msec
10 172.16.20.1 4 msec 0 msec 4 msec
11 172.16.21.2 4 msec
Roo#
         此故障的可疑之处在于Kanga不应该对数据包进行路由选择，但实事恰恰相反。
         Kanga应该能够识别出数据包的目标地址属于它的直连网络172.16.20.0，然后使用数据链路向主机传送数据包。因此疑点发生在数据链路上。路由器是否具有经过某条逻辑路径到达目标网络的正确信息，这一点我们可以通过查看路由表来获知。同样的，我们应该检查ARP高速缓冲区，来确定路由器是否具有经过某条物理路径到达某台主机的正确信息。
         查看Kanga的ARP高速缓冲Kanga#show arpProtocol Address     Age (min)  Hardware Addr   Type  InterfaceInternet 172.16.21.1         2  00e0.1e58.dc3c  ARPA  Ethernet1Internet 172.16.20.2         -  00e0.1e58.dcb1  ARPA  Ethernet0Internet 172.16.21.2         -  00e0.1e58.dcb4  ARPA  Ethernet1Internet 172.16.20.75        2  00e0.1e58.dc39  ARPA  Ethernet0Kanga#
 
在Kanga的高速缓冲中，Milne的IP地址与MAC标识符00e0.1e58.dc39相对应。但是当检查Milne的接口时，发现Milne的MAC地址为0002.6779.0f4c，因此断定Kanga一字获取了不正确的信息。
         再次查看Kanga的ARP高速缓冲，令人感到疑惑的是与Milne相对就的MAC标识类似于Kanga自己的CISCO接口的MAC标识符。因为Milne不是CISCO产品，所以MAC标识符的前3个字节应该与Kanga接口的MAC标识符不同。网络上其他CISCO产品惟有Roo，因此应该检查一下Roo的ARP高速缓冲。经查Roo接口E0的MAC标识符即为00e0.1e58.dc39。
Roo#show arp
Protocol Address     Age (min)  Hardware Addr    Type   Interface
Internet 172.16.21.1        -   00e0.1e58.dc3c   ARPA   Ethernet0
Internet 172.16.20.1        -   00e0.1e58.dc39   ARPA   Ethernet0
Internet 172.16.20.2        7   00e0.1e58.dcb1   ARPA   Ethernet0
Internet 172.16.21.2        7   00e0.1e58.dcb4   ARPA   Ethernet1
Roo#
    所以Kanga错误地认为Roo的接口E0就是Milne的接口。Kanga使用00e0.1e58.dc39作为发向Milne数据帧的目标标识符，Roo接收到该帧，在读取封装数据包目标地址之后，又将数据包路由回Kanga。
    但Kanga是如何得到这个错误信息的呢？答案是代理ARP。当Kanga首次收到发往Milne的数据包时，它将发送ARP请求，该请求将询问Milne的MAC，Milne发回了响应，但是Roo也在接口E0收到了此ARP请求。由于在Roo上也有一条通向Milne的路由，这条路由所在的网络不是Roo收到ARP请求的网络，所以Roo发送了一个代理ARP应答。Kanga收到Milne的ARP应答后将相关信息输入到ARP高速缓冲内，由于网桥的时延生成了来自Roo代理ARP的应答随后到达Kanga，这时Kanga用新信息覆盖了ARP缓冲内的原始信息。   
    解决该问题的办法有两种，一种是使用以下命令关闭Roo E0接口上的代理ARP功能 Roo(config)#interface e0 Roo(config-if)#no ip proxy-arp
第二种办法是在Kanga上为Milne配置静态ARP表项 Kanga(config)#arp 172.16.20.75 0002.6779.0f4c arpa
该表项不会被任何ARP应答所覆盖。
    两种方法哪一种最好取决于网络环境。使用静态ARP表项意味着如果Milne的网络接口被更换，那么需要修改相应的ARP表项来反应新的MAC标识符。另一方面，如果没有主机使用代理ARP功能，关闭此功能也是一种很好的办法。
 
    PS. 本案例参照《TCP/IP路由技术卷一》，我曾向大家推荐过这本书，在此，我再次向大家推荐，学网络不能不读卷一，学思科不能不读卷一，学IGP更不能不读卷一！[/img]..

          首先，向一直关注本BLOG的博友们表示歉意，最近由于工作繁忙很少来博客，也没有及时给大家带来好的文章分享，今天借这个时间在这里跟大家一起来研究一下关于不同VLAN之间的通信问题。
         没错，正如标题所说，今天我要提出的观点是，不同VLAN之间就算没有三层设备也可以相互通信。记得当初我在网络工程师联盟群里提出这个观点时，很多群友都表示反对，并劝说我应该尊重事实（因为他们认为，事实上这样是不可能通的），虽然在..

第一步：根据Flash卡的容量大小从CCO上下载Catalyst 6509相应的Native IOS系统软件；
通过show slot0:可以查看到Flash卡的容量，我们所选择的软件大小应该小于或等于Flash卡的容量。 假如Flash卡容量为24M，我们选择Catalyst 6509的IOS软件c6sup22-psv-mz.121-8b.E15，该软件用于S2和MSFC2，为服务提供商的特性软件，版本是12.18b(E15)。大小为18.1MB，与现有的Flash卡的容量相当。
这些从CCO的软件中心下载c6sup22-psv-mz.121-8b.E15保存在机器的TFTP主目录里。
第二步：保存现有的CatOS系统软件和交换机配置文件；
若软件转换后..

任何企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘，这使得内部网络与Internet之间或者与其他外部网络互相隔离，并限制网络互访从而保护企业内部网络。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。
在众多的企业级主流防火墙中，Cisco PIX防火墙是所有同类产品性能最好的一种。Cisco PIX系列防火墙目前有5种型号PIX506，515，520，525，535。其中PIX535是PIX 500系列中最新，功能也是最强大的一款。它可以提供..

本实验以WS-3550-48 SMI为例，详细描述对于2900xl/3500xl/2950/3550系列交换机的密码恢复流程
一、将一台终端或装有超级终端软件的PC接到交换机的console口上。终端参数设置如下：
速率：9600bps
校验位：无
数据位：8
停止位：1
流控：无
二、拨掉电源
三、按住前面板的mode键不放，插上电源，等3－5秒后松开mode键。你会看到如下提示：
Interrupt within 5 seconds to abort boot process.
Boot process terminated.
The system is unable to boot automatically.  The BOOT
environment variable needs to be set to a b..

什么是文件系统
UNIX的文件系统是一些文件和目录的集合。每个文件系统被存储在单独的逻辑卷或整个硬盘分区上。典型的HP-UX主机通常有多个文件系统。下面是你的机器上可能存在的几个文件系统：
    /usr下的文件通常被存储在一个文件系统中。
    /var下的文件通常被存储在另一个文件系统中。
    /tmp下的文件通常也被存储在另一个文件系统中。
    根文件系统是一个包含/etc、/dev、/sbin等目录的特殊文件系统。
配置多个文件..

环境：系统现有两块磁盘，一块作为主盘，一块作为镜像盘
用ioscan -nfCdisk可以查看到两个磁盘
/dev/dsk/c0t0d0         //此盘为主盘
/dev/dsk/c0t2d0         //此盘将作为镜像盘
用swinstall –l bundle查看系统是否安装MirrorDisk/UX
镜像的步骤：
1、pvcreate  -f  -B  /dev/rdsk/c0t2d0 //使用参数“-B”创建一个用于镜像的可引导的LVM磁盘：
2、vgextend /dev/vg00 /dev/dsk/c0t2d0 //将上一步的LVM磁盘添加到根卷组中
3、mk..

期盼多时的网络工程师考试成绩终于揭晓：
基础知识（综合知识） 62 
应用技术（案例分析） 64 
07年12月报名，08年5月因地震延期至同年11月，不料考试前一天试卷丢失，再次延迟，终于在12月22日完成了这次刻骨铭心的认证考试。
根据试题分析，这次考试并不算困难，上午卷除了前10个题稍有难度之外，其余的考得很基础，下午试题更是简单，没有拿到更高的分数是一个遗憾，只因准备不够充分，5月地震之后因为忙着考CCNP就再也没碰过网工教材，考试前就花了一晚上时间，能达到这个分数也算是给自己交了一份比较满意的答卷吧..

可以肯定,不论是在实验室里还是在其他的地方,帧中继交换机都是很有用的设备。就像引导寄存器一样,帧中继交换机的设置也是路由器设置中非常精深的内容之一。学会如何配置帧中继交换机,就能够建立很多不同的网络模型。由于我们是“服务提供者”,必须能够自主分配那些与M&T或MCI所提供的完全—致的DLCI。通过在实验室里建立精确的网络模型,不但能够增加安装网络的信心,还能降低配置错误或设备发生问题的概率。这一节将侧重讲述如何将—台Cisco 路由器配置成—台帧中继交换机。从本质上来说,帧中继交换技术是—种基于数据链路连接标识(..

要讨论路由器的启动顺序，我们先来看看路由器的硬件组成：


   我们知道，路由器里有一个叫做IOS的软件，IOS叫做网际操作系统，可以等同的认为它就是路由器的操作系统，像我们常用的XP一样。路由器会使用IOS来完成路由表的生成和维护。
   同样的，作为路由器来讲，也有一个类似于我们PC系统中BIOS一样作用的部分，叫做MiniIOS。MiniIOS可以使我们在路由器的FLASH中不存在IOS时，先引导起来，进入恢复模式，来使用TFPF或X-MODEM等方式去给FLASH中导入IOS文件。所以，路由器的启动过程应该是这样的：

1. 路由器在加电后首先会进行POST。Power On Self Test (上电自检，对硬件进行检测的过程)
2. POST完成后，首先读取ROM里的BootStrap程序进行初步引导。
3. 初步引导完成后，尝试定位并读取完整的IOS镜像文件。在这里，路由器将会首先在FLASH中查找IOS文件，如果找到了IOS文件的话，那么读取IOS文件，引导路由器。
4. 如果在FLASH中没有找到IOS文件的话，那么路由器将会进入BOOT模式，在BOOT模式下可以使用TFTP上的IOS文件。或者使用TFTP/X-MODEM来给路由器的FLASH中传一个IOS文件(一般我们把这个过程叫做灌IOS)。传输完毕后重新启动路由器，路由器就可以正常启动到CLI模式。
5. 当路由器初始化完成IOS文件后，就会开始在NVRAM中查找STARTUP-CONFIG文件，STARTUP-CONFIG叫做启动配置文件。该文件里保存了我们对路由器所做的所有的配置和修改。当路由器找到了这个文件后，路由器就会加载该文件里的所有配置，并且根据配置来学习、生成、维护路由表，并将所有的配置加载到RAM(路由器的内存)里后，进入用户模式，最终完成启动过程。
6. 如果在NVRAM里没有STARTUP-CONFIG文件，则路由器会进入询问配置模式，也就是俗称的问答配置模式，在该模式下所有关于路由器的配置都可以以问答的形式进行配置。不过一般情况下我们基本上是不用这样的模式的。我们一般都会进入CLI(Comman Line Interface)命令行模式，后对路由器进行配置。
[/img]..

         路由器交换机等设备初始时没有任何配置，必须通过CONSOLE口进行，但我的本本没有COM口，怎么办呢？ 没关系，来个USB转串口RS232，插上之后来配置吧，问题又出现啦，提示：找不到COM口，哎，这又是怎么回事呢？原来是没有安装USB TO RS232的驱动，赶紧下一个装上吧，安装方法：
        在win98、winme、win2000、XP系统里，只需先双击driver里hidcominst程序，再插上串口线，系统即可自动可完成安装。在xp系统下，完成以上步骤后，有时在设备管..

        监控端口特性用于网络管理员监听switch上各端口的进出数据包或进入某一VLAN的所有端口的数据包。基本原理如下：
        在switch上配置要监听的端口或vlan（souce port or souce vlan），同时指定监听
终端要接入交换机的端口(destination port)。这样，switch 就会将所有进入或发出
souce port 的数据包复制一份发到destination port 从而起到数据包监听的效果。目
前大多数Catalyst系列交换机均支持该特性。
基本配置步骤如下：（以Catalyst 3550 ..

详细介绍CISCO IOS命名规则
首先说说IOS的运行平台，c2500、c2600、c4500、c2950代表运行此IOS的硬件平台，例如：C2500指2500系列路由器。
其次，看看IOS的版本，IOS有主版本号：11.0、11.1、11.2、11.3、12.0、12.1、12.2、12.3、12.4等，这些主版本号相当于windows的版本有win98、win2000、winxp、win2003。
当Cisco发布了某个主版本号的IOS以后，它会对它进行维护（仅修正bug，不添加新功能），每维护一次，维护版本号加1。例如c2500-is-l.121-27.bin中的“121-27”代表主版本号为12.1，维护了27次。
当一个主版本号的IOS发布一..

2008 年下半年网络工程师考试试题及答案
●计算机内存一般分为静态数据区、代码区、栈区和堆区，若某指令的操作数之一
采用立即数寻址方式，则该操作数位于 （1） 。
（1）A. 静态数据区  B. 代码区      C. 栈区      D. 堆区 
 ●计算机在进行浮点数的相加（减）运算之前先进行对阶操作，若 x 的阶码大于 y
的阶码，则应将 （2） 。
（2）A. x的阶码缩小至与y的阶码相同，且使x的尾数部分进行算术左移
B. x的阶码缩小至与y的阶码相同，且使x的尾数部分进行..

华为HCNE—网络工程师培训教材， 希望对各位有所帮助！

HUB路由器配置
r1#sh ru
hostname r1
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco1234 address 0.0.0.0 0.0.0.0
!         
crypto ipsec transform-set ccie esp-3des esp-sha-hmac
mode transport
!
crypto ipsec profile cisco
set transform-set ccie
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip next-hop-self eigrp 100
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp network-id 10000
no ip split-horizon eigrp 100
tunnel source Serial0/0
tunnel mode gre multipoint
tunnel key 10000
tunnel protection ipsec profile cisco
!
interface Loopback0
ip address 10.1.1.1 255.255.255.0
!
interface Serial0/0
ip address 173.16.1.1 255.255.255.0
!
router eigrp 100
network 10.0.0.0
network 192.168.1.0
no auto-summary
ip route 0.0.0.0 0.0.0.0 173.16.1.2

    Spoke路由器配置
r2#sh run
hostname r2
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco1234 address 0.0.0.0 0.0.0.0        
!
crypto ipsec transform-set ccie esp-3des esp-sha-hmac
mode transport
!
crypto ipsec profile cisco
set transform-set ccie
!
interface Tunnel0
ip address 192.168.1.2 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast 173.16.1.1
ip nhrp map 192.168.1.1 173.16.1.1
ip nhrp network-id 10000
ip nhrp nhs 192.168.1.1
tunnel source Serial0/0
tunnel mode gre multipoint
tunnel key 10000
tunnel protection ipsec profile cisco
!
interface Loopback0
ip address 10.2.2.1 255.255.255.0
!
interface Serial0/0
ip address 173.16.2.1 255.255.255.0
!
router eigrp 100
network 10.0.0.0
network 192.168.1.0
no auto-summary
ip route 0.0.0.0 0.0.0.0 173.16.2.2

    Spoke路由器配置
r3#sh run
hostname r3
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco1234 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ccie esp-3des esp-sha-hmac
mode transport
!
crypto ipsec profile cisco
set transform-set ccie
!
interface Tunnel0
ip address 192.168.1.3 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast 173.16.1.1
ip nhrp map 192.168.1.1 173.16.1.1
ip nhrp network-id 10000
ip nhrp nhs 192.168.1.1
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 10000
tunnel protection ipsec profile cisco
!
interface Loopback0
ip address 10.3.3.1 255.255.255.0
!
interface FastEthernet0/0
ip address 173.16.3.1 255.255.255.0
duplex auto
speed auto
!
router eigrp 100
network 10.0.0.0
network 192.168.1.0
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 173.16.3.2

[/img]..

           曾经有一份OFFER摆在我面前，但是我没有珍惜，等到失去的时候才后悔莫及，尘世间最痛苦的事莫过于此，如果上天给我一次机会再来一次的话，我会再拒绝那份OFFER一次，如果非要在这个拒绝上加一个期限，我希望是一万年。
            已经过去了一周，但拿下OFFER那一刻的激动场面仍然历历在目，这是深信服的软件测试工程师。本来我应骋的是网络工程师，但笔试前一天接到深信服的通知，因为网络工程师已经招满，..

        全国计算机技术与软件专业技术资格考试办公室发出紧急通告称，2008年下半年软考试卷因转运中发生丢失，本次软考推迟到2008年12月20日、21日进行，报考人员不再重新报名。不知道软考工作人员是干啥的，去年12月报名，现在还不能考，我郁闷之极！
 

PIX525有三个以太接口，分别接入内网，外网和中间区域。
    设置：(pix515只有两个口而且固定的优先级)
ePix525#conf t
Pix525(config)#nameif ethernet0 inside security100
Pix525(config)#nameif ethernet1 dmz security50
Pix525(config)#nameif ethernet2 outside security0
 
    设置接口工作方式：
Pix525(config)#interface ethernet0 auto
Pix525(config)#interface ethernet1 auto
Pix525(config)#interface ethernet2 auto
 
    设置接口IP地址：
Pix525(config)#ip address outside 133.0.0.1 255.255.255.252
Pix525(config)#ip address inside 10.66.1.200 255.255.0.0
Pix525(config)#ip address dmz 10.65.1.200 255.255.0.0
 
    定义地址池1：
Pix525(config)#global (outside) 1 133.1.0.1-133.1.0.14 netmask
255.255.255.240
    (240对应二进制11110000)
 
    设置内部主机在inside口对外访问的动态NAT：
Pix525(config)#nat (inside) 1 0 0
    1 0 0表示任意内部主机经地址池1进行转换。inside 口默认permit any。
 
    设置对外访问的一条默认路由：
Pix525(config)#route outside 0 0 133.0.0.2
    0 0表示任意主机，133.0.0.2表示下一跳。
 
    设置静态NAT，外部对企业IP133.1.0.1的访问变换到dmz区的10.65.1.101:
Pix525(config)#static (dmz,outside) 133.1.0.1 10.65.1.101
Pix525(config)#static (dmz,outside) 133.1.0.2 10.65.1.102
 
    括号内接口高安全级在前，后边的IP地址是外网在前。133.1.0.1和133.1.0.2
是对外发布的IP地址，对这两个IP的访问将会被路由到outside口。并进行NAT转换,
访问dmz中的服务器。
 
    设置内部主机访问dmz区时，将自己转换自己:
Pix525(config)#static (inside,dmz) 10.66.0.0 10.66.0.0 netmask
255.255.0.0
 
    设置访问控制例表:
PIX525(config)#access-list 101 permit tcp any host 133.1.0.1 eq www
PIX525(config)#access-list 101 permit tcp any host 133.1.0.2 eq ftp
PIX525(config)#access-list 101 deny ip any any
PIX525(config)#access-group 101 in interface outside
 
PIX525(config)#show run    (显示配置信息)
PIX525(config)#show static (显示静态地址转换列表)
PIX525(config)#show nat    (显示动态地址转换列表)
 [/img]..