feature提示由于內(nèi)容較多閱讀時(shí)建議開啟結(jié)構(gòu)圖

1、Feature（提示：由于內(nèi)容較多，閱讀時(shí)，建議開啟 文檔結(jié)構(gòu)圖.）目錄Directed-broadcast（定向廣播）1DHCP4IP Accounting（記賬）17NetFlow22W29DRP （Director Response Protocol）30IP Event Dampening(IP 事件懲罰)32Core dump（）.35GLBP （Gateway Load Balancing Protocol ）36SLA （Service Level Agreements）49NTP（網(wǎng)絡(luò)時(shí)間協(xié)議）63Summer-time 夏令時(shí)67Syslog and local loggin

2、g69FTP&TFTP72HTTP&HTTPS73SNMP76RMON（監(jiān)視）81Embedded Event Manager (EEM)83SCP（安全協(xié)議）105Directed-broadcast（定向廣播）概述在默認(rèn)情況下，Cisco 路由器在收到任何廣播數(shù)據(jù)的時(shí)候，默認(rèn)都是丟棄而不轉(zhuǎn)發(fā)，在某些時(shí)候，有些廣播是必須的，比如通常使用的 NetBios Name Server 協(xié)議，DNS 協(xié)議，還有 DHCP 協(xié)議。就像 DHCP 協(xié)議，當(dāng)主機(jī)在沒有地址的情況下，向服務(wù)器請求 IP 地址，正因?yàn)樽约簺]有 IP 地址，卻又不知道服務(wù)器在哪，所以需要使用廣播來查找，這時(shí)，如果服務(wù)器在網(wǎng)絡(luò)，而

3、路由器又轉(zhuǎn)發(fā)廣播，那么將給的 DHCP 帶來麻煩。要如何才能在這種情況下讓網(wǎng)絡(luò)正常工作呢，那就是讓路由器幫把廣播轉(zhuǎn)發(fā)到比如需要到達(dá)的目標(biāo)網(wǎng)絡(luò)，這樣需要到達(dá)網(wǎng)絡(luò)的廣播，稱為定向廣播，本地網(wǎng)絡(luò)是 /24 的網(wǎng)段，需要將廣播發(fā)到 /24 的網(wǎng)段，那么只想讓廣播在 /24 網(wǎng)段發(fā)送，廣播地址為 55，但如果直接這樣發(fā)，是到達(dá)不了 /24 網(wǎng)段的，所以需要得到路由器的允許。Directed-broadcast每個(gè)網(wǎng)絡(luò)都是與路由器的某個(gè)接口相連的，這個(gè)網(wǎng)絡(luò)需要向網(wǎng)絡(luò)發(fā)送廣播，首先就是發(fā)送到路由器與之相連的接口，那么當(dāng)路由器從該接口收到廣播之后，決定是丟棄還是轉(zhuǎn)發(fā)，就在于路由器的接口是否允許定向廣播功能，如

4、果需要讓路由器幫能。轉(zhuǎn)發(fā)定向廣播，就需要在接口上手工配置 directed-broadcast 轉(zhuǎn)發(fā)功配置1配置 Directed-broadcast（1）定義 ACLR1(config)#acs-list 10 permit any注：ACL 是用來告訴接口哪些數(shù)據(jù)包是可以傳遞定向廣播的，加了 ACL 之后，只傳遞該 ACL所有允許的數(shù)據(jù)，如果不加 ACL，默認(rèn)傳遞所有定向廣播數(shù)據(jù)。（2）在接口上開啟 directed-broadcastR1(config)#f0/0R1(config-if)#ip directed-broadcast 10注：IOS 12.0 開始，默認(rèn)接口上是關(guān)閉 di

5、rected-broadcast 的。（注意 IOS 版本，請以自身為準(zhǔn)。）Forward-protocol在路由器接口上開了 directed-broadcast 之后，路由器便能夠?qū)⒃摻涌谏鲜盏降亩ㄏ驈V播發(fā)往相應(yīng)的網(wǎng)絡(luò)，比如從 /24 收到的廣播發(fā)往 55，但是如果一個(gè)目標(biāo)地址為 55（此廣播稱為本地廣播）的 DHCP 廣播請求包，需要發(fā)往 DHCP 服務(wù)器所在的 /24 網(wǎng)絡(luò)（DHCP 服務(wù)器地址為00），路由器會(huì)自動(dòng)將該廣播包轉(zhuǎn)到 00 嗎？當(dāng)然是不會(huì)，那么又如何讓路由器在收到目標(biāo)地址為 55 的廣播包，就知道要轉(zhuǎn)發(fā)到 00 呢？這就需要在路由器接口上定義 ip helper-addr

6、ess，之后路由器就會(huì)將廣播轉(zhuǎn)成單播發(fā)到 ip helper-address 后面的目標(biāo) IP，但是要注意的是，什么樣的廣播才會(huì)被轉(zhuǎn)發(fā)到 ip helper-address 后面的目標(biāo) IP，是需要根據(jù) forward-protocol 來定義的，如果 forward-protocol 不允許任何協(xié)議，那么路由器就不會(huì)將任何廣播發(fā)到ip helper-address 后面的目標(biāo) IP。forward-protocol 默認(rèn)允許通過的協(xié)議為：Trivial File Transfer (TFTP) (port 69)Name System (port 53)Time service (port

7、37)NetBIOS Name Server (port 137)NetBIOS Datagram Server (port 138)Boot Protocol (BOOTP) cnt and server datagrams (ports 67 and 68)TACACS service (port 49)所以默認(rèn)情況下，在接口上加了 ip helper-address，路由器也就只能轉(zhuǎn)發(fā)這些默認(rèn)的端口。配置1配置 forward-protocol（1）定義可以轉(zhuǎn)發(fā)的協(xié)議和端口R1(config)#ip forward-protocol udp 3001注：默認(rèn)是開啟 forward-pro

8、tocol 的，且只能轉(zhuǎn)發(fā)默認(rèn)協(xié)議和端口。（2）在接口下配置 ip helper-addressR1(config)#f0/0R1(config-if)# ip helper-address 00注：默認(rèn)是關(guān)閉 ip helper-address 的。說明：通過以上配置之后，當(dāng)路由器從 f0/0 接口上收到目標(biāo)地址為 55的廣播，并且目標(biāo)為 UDP 3001 的廣播之后，就會(huì)轉(zhuǎn)成單播發(fā)往 00。如果沒有配置 forward-protocol，路由器就只能轉(zhuǎn)發(fā)默認(rèn)的協(xié)議和端口。DHCP概述DHCP 應(yīng)該是一個(gè)大家都非常熟悉的協(xié)議，可能算不上什么 feature，平時(shí)使用電腦時(shí)，經(jīng)常會(huì)用到，它的功

9、能也是大家所知道的：動(dòng)態(tài)地為主機(jī)分配 IP 地址以節(jié)省工作量。由此可以看出，DHCP 可以由兩個(gè)部分組成，即 DHCP 服務(wù)器和 DHCP客戶端（通常為所使用的 PC）。那么在 Cisco 設(shè)備分別扮演 DHCP 服務(wù)器和 DHCP客戶端時(shí)，與其它設(shè)備有什么不同之處呢，下面來詳細(xì)地介紹。DHCP 是一個(gè)協(xié)議，無論它運(yùn)行在主機(jī)上，還是在路由器或交換機(jī)上，其運(yùn)行的規(guī)則，就像 TCP/IP 協(xié)議一樣，是不允許使用任何命令更改的，DHCP 前身是UDP 67(cisco 設(shè)備上稱為 bootps)，客BOOTP 協(xié)議，使用的端為：服務(wù)器端是戶端是 UDP 68（cisco 設(shè)備上稱為 bootpc）,

10、CCIE 考生需牢記。當(dāng)一臺主機(jī)接入網(wǎng)絡(luò)后，在沒有 IP 地址的情況下，向網(wǎng)絡(luò)上發(fā)送 DHCP 請求獲得 IP 地址時(shí)，正因?yàn)樽约哼€沒有 IP 地址，所以發(fā)送數(shù)據(jù)包時(shí)，源 IP 為 ,源 MAC 正常，而自己也不可能知道誰是 DHCP 服務(wù)器，所以數(shù)據(jù)包是目標(biāo) IP 地址為 55、目標(biāo) MAC地址為的廣播包。當(dāng)本地網(wǎng)絡(luò)中如果存在 DHCP 服務(wù)器，那么 DHCP 服務(wù)器從某個(gè)網(wǎng)卡收到請求后，便向客戶端發(fā)送一個(gè)地址信息，其中包含需要使用的IP 地址，子網(wǎng)掩碼，網(wǎng)關(guān)，DNS 等信息，同時(shí)這些信息會(huì)攜帶一個(gè)租約時(shí)間（即這個(gè)地址客戶端可以使用多久，過了這個(gè)時(shí)間，那么服務(wù)器將該地址提供給其它客戶端使用）

11、，當(dāng)然，客戶端也可以提前結(jié)束該地址的使用。當(dāng)使用的客戶端為 windows 主機(jī)，其接入網(wǎng)絡(luò)之后，當(dāng)網(wǎng)卡配置為 DHCP獲得地址時(shí)，就開始向網(wǎng)絡(luò)中請求地址，先發(fā)送一個(gè)廣播包，等待 1 秒之后，如果沒有服務(wù)器應(yīng)答，就開始嘗試發(fā)送第二個(gè)廣播包，如果又等了 9 秒沒有收到應(yīng)答，則發(fā)送第三個(gè)廣播包，第三個(gè)是等 13 秒，還沒有應(yīng)答，最后再發(fā)送一個(gè)包，等待16 秒后，最終在四個(gè)廣播包沒有應(yīng)答的情況下，也就是從發(fā)送第一個(gè)請求包到 39秒之后，默認(rèn)是放棄請求，但最后也會(huì)為網(wǎng)卡自動(dòng)配上一個(gè)私有 IP 地址，地址段為 /16,并且你會(huì)看到網(wǎng)卡連接圖標(biāo)上出現(xiàn)黃色感嘆號，狀態(tài)名為“受限制或無連接”，即使這時(shí)網(wǎng)絡(luò)中出

12、現(xiàn)了 DHCP 服務(wù)器，也救不了這臺主機(jī)，這就是 windows主機(jī)作為 DHCP 客戶端的情況。那么使用 Cisco 設(shè)備作為 DHCP 客戶端的不同之處是什么呢？當(dāng) Cisco 設(shè)備的接口配置為 DHCP 獲得地址時(shí)，便向網(wǎng)絡(luò)中發(fā)出廣播，如果等待 5 秒都沒有收到應(yīng)答，就再次發(fā)送，再等 10 秒，沒有收到就再發(fā)，然后再等15 秒,20 秒，25 秒，30 秒60 秒，由此可以看出其間隔是隨著次數(shù)的增加而每次加 5 秒，但嘗試到 60 秒后，便不再增加，又會(huì)重新回到 5 秒，以次類推，Cisco設(shè)備在得不到地址的情況下，并不會(huì)為接口自動(dòng)配上網(wǎng)段為 /16 的地址，所以如果網(wǎng)絡(luò)中之后出現(xiàn) DH

13、CP 服務(wù)器，就會(huì)為該設(shè)備的接口分發(fā)一個(gè) IP 地址。當(dāng) DHCP 客戶端得到 IP 地址后，因?yàn)榈刂肥褂檬怯袝r(shí)間限制的，當(dāng)這個(gè)時(shí)間過去一半的時(shí)候，客戶端會(huì)向服務(wù)器續(xù)約，以請求繼續(xù)使用該地址，服務(wù)器同意后，該地址的使用時(shí)間會(huì)被刷新，如果在時(shí)間過去一半時(shí)，續(xù)約不成功，便會(huì)在總時(shí)間過去 75%的時(shí)候再續(xù)約一次，如果還不成功，就會(huì)放棄該地址的使用權(quán)。服務(wù)器與客戶端之間并沒有o 這樣的數(shù)據(jù)包來保持會(huì)話狀態(tài)，所以當(dāng)一臺客戶端得到一個(gè) IP 地址的使用權(quán)后，中途離開網(wǎng)絡(luò)，服務(wù)器是無法知道的，也就無法將該 IP 地址重新分配給他人使用，所以建議大家在配置服務(wù)器時(shí)，可以將租約配的越短越好，以免造成一個(gè)地址發(fā)給

14、客戶使用，而這臺客戶機(jī)已經(jīng)離開了，該 IP 地址還長時(shí)間不能重新發(fā)給新的客戶使用，建議租約配置為 1 分鐘，因?yàn)橐粋€(gè)地址在租約過半時(shí)，客戶端會(huì)續(xù)約，也就是可以再次使用同一個(gè)地址，所以不用擔(dān)心一分鐘之后，客戶端會(huì)重新獲得別的 IP 地址。當(dāng)一臺 DHCP 客戶端收到服務(wù)器提供的 IP地址后，會(huì)使用 Gratuitous ARP 來查訊網(wǎng)絡(luò)，即使用該 IP 地址為目的 IP，目標(biāo) MAC為發(fā)到網(wǎng)絡(luò)里，如果有人回答該數(shù)據(jù)包，則證明該 IP 地址在網(wǎng)絡(luò)中已經(jīng)有他人在使用，那么將向 DHCP 服務(wù)器重新請求獲得別的 IP 地址。（注：Gratuitous ARP通過正常無法關(guān)閉）配置DHCP 基礎(chǔ)1配置

15、 DHCP Server（1）開啟 DHCP 功能r2(config)#service dhcp（2）配置 DHCP 地址池地址池名為 ccie1r2(config)#ip dhcp pool ccie1r2(dhcp-config)#network 可供客戶端使用的地址段網(wǎng)關(guān)r2(dhcp-config)#default-router r2(dhcp-config)#dns-server DNS租期為 1 天 1 小時(shí) 1 分（默認(rèn)為一天）r2(dhcp-config)#lease 1 1 1地址池名為 ccie1r2(config)#ip dhcp pool ccie2r2(dhcp-co

16、nfig)#network 可供客戶端使用的地址段網(wǎng)關(guān)r2(dhcp-config)#default-router r2(dhcp-config)#dns-server DNS租期為 1 天 1 小時(shí) 1 分（默認(rèn)一天）r2(dhcp-config)#lease 1 1 1（3）去掉不提供給客戶端的地址注：因?yàn)槟承?IP 地址不希望提供給客戶端，比如網(wǎng)關(guān)地址，所以要將這些地址從地址池中移除，這樣服務(wù)器就不會(huì)將這些地址發(fā)給客戶端使用。r2(config)#ip dhcp excluded-address 0移除 到 0r2(config)#ip dhcp excluded-address 0移除

17、 到 02配置 DHCP C nt（1）配置接口使用 DHCPr1(config)#f0/1r1(config-if)#ip address dhcp3查看命令：（1）在服務(wù)器上查看哪些地址分配給了哪些主機(jī)：R2#Show ip dhcp binding4查看結(jié)果查看 DHCPCnt 會(huì)看到接口 F0/0 的 IP 地址為 1 并且產(chǎn)生一條指向 的默認(rèn)路由（換成 PC 就會(huì)變成網(wǎng)關(guān)是 ），路由器并不需要得到 DNS。在這里，DHCP Server 上明明配了兩個(gè)地址池，網(wǎng)段分別為 /24 和 /24,為什么客戶端向服務(wù)器請求地址的時(shí)候，服務(wù)器就偏偏會(huì)把 /24網(wǎng)段的地址發(fā)給客戶，而不會(huì)錯(cuò)把 /

18、24 網(wǎng)段的地址發(fā)給客戶呢。這是因?yàn)榉?wù)器從哪個(gè)接口收到 DHCP 請求，就只能向客戶端發(fā)送地址段和接收接口地址相同的網(wǎng)段，如果不存在相同網(wǎng)段，就會(huì)丟棄請求數(shù)據(jù)包。圖中接收接口地址為 ，而地址池 ccie1 中的網(wǎng)段 /24 正好和接收接口是相同網(wǎng)段，所以向客戶端發(fā)送了 IP 地址 1。DHCP 中繼如圖中所示，當(dāng) R1 的接口配置為 DHCP 獲得地址后，那么將從 F0/0 發(fā)出目的地為 55 的廣播請求包，如果 R2 為 DHCP 服務(wù)器，便會(huì)響應(yīng)客戶端，但它不是 DHCP 服務(wù)器，因此 R2 收到此廣播包后便默認(rèn)丟棄該請求包。而真正的 DHCP 服務(wù)器是 R4，R1 的廣播包又如何能到達(dá)

19、 R4 這臺服務(wù)器呢，R4 又如何向 R1客戶端發(fā)送正確的 IP 地址呢。路由器是不能夠轉(zhuǎn)發(fā)廣播的，因此，除非能夠讓 R2 將客戶端的廣播包單播發(fā)向R4 這臺服務(wù)器。的做法就是讓 R2 將廣播包通過單播繼續(xù)前轉(zhuǎn)到 R4 這臺服務(wù)器，稱為 DHCP 中繼，通過 IP help-address 功能來實(shí)現(xiàn)。1R2 配置（1）配置將 DHCP 廣播前轉(zhuǎn)到 注：IP help-address 功能默認(rèn)能夠前轉(zhuǎn) DHCP 協(xié)議，所以無需額外添加。R2(config)#f0/0R2(config-if)#ip helper-address 2配置 DHCP Server:（1）開啟 DHCP 功能R4(c

20、onfig)#service dhcp（2）配置 DHCP 地址池地址池名為 ccie1R4(config)#ip dhcp pool ccie1R4(dhcp-config)#network 可供客戶端使用的地址段網(wǎng)關(guān)R4(dhcp-config)#default-router 地址池名為 ccie1R4(config)#ip dhcp pool ccie2R4(dhcp-config)#network 可供客戶端使用的地址段網(wǎng)關(guān)R4(dhcp-config)#default-router （3）去掉不提供給客戶端的地址R4(config)#ip dhcp excluded-address

21、0 移除 到 0R4(config)#ip dhcp excluded-address 0移除 到0（4）配置正確地址池的路由R4(config)#ip route 注： R3 無需做任何配置！3查看結(jié)果查看 DHCP C nt 會(huì)看到接口 F0/0 的 IP 地址為 1，那么 DHCP 服務(wù)器 R4又是根據(jù)什么來判斷出客戶端需要的是哪個(gè)網(wǎng)段的 IP 地址呢，為什么還是沒有錯(cuò)把 /24 網(wǎng)段的地址發(fā)給客戶呢。不是說服務(wù)器從哪個(gè)接口收到請求，就把這個(gè)接口相同網(wǎng)段的地址發(fā)給客戶端嗎？按照之前的理論，應(yīng)該是發(fā)送 /24 的地址給客戶啊。在這里，能夠指導(dǎo)服務(wù)器發(fā)送正確 IP 地址給客戶端，是因?yàn)橛幸粋€(gè)

22、被稱為 option 82 的選項(xiàng)，這個(gè)選項(xiàng)只要 DHCP 請求數(shù)據(jù)包被中繼后便會(huì)自動(dòng)添加，此選項(xiàng),中繼路由器會(huì)在里面的 giaddr 位置寫上參數(shù)，這個(gè)參數(shù)，就是告訴服務(wù)器，客戶端需要哪個(gè)網(wǎng)段的IP 地址才能正常工作。中繼路由器從哪個(gè)接口收到客戶的DHCP請求，就在option 82 的giaddr 位置寫上該接收接口的IP 地址，然后服務(wù)器根據(jù)giaddr位置上的 IP 地址，從地址池中選擇一個(gè)與該 IP 地址相同網(wǎng)段的地址給客戶，如果沒有相應(yīng)地址池，則放棄響應(yīng)，所以，服務(wù)器 R4 能夠正確發(fā)送 /24 的地址給客戶，正是因?yàn)?R2 在由于 IP help-address 的影響下，將 g

23、iaddr 的參數(shù)改成了自己接收接口的地址，即將 giaddr 參數(shù)改成了 ，通過 debug 會(huì)看到如下過程：*Mar100:28:36.666: DHCPD: setting giaddr to .*Mar100:28:36.666:DHCPD:BOOTREQUESTfrom0063.6973.636f.2d30.3031.322e.6439.6639.2e63.3638.302d.4661.302f.30 forwarded to .從上面debug 信息可以看到 R2 是將giaddr 改成 后發(fā)中繼發(fā)向 的，需要知道的是，經(jīng)過中繼后發(fā)來的 DHCP 請求包如果 giaddr 位置不是

24、某個(gè) IP 地址而是 的話，服務(wù)器是丟棄該請求而不提供 IP 地址的。注：當(dāng)服務(wù)器上存在 /24 網(wǎng)段的地址池時(shí)，服務(wù)器要將該地址池發(fā)送給客戶，就必須存在到達(dá) 網(wǎng)段的路由(默認(rèn)路由也行)，并且客戶端必須位于該路由的方向，如果方向不對，該地址池也是不能夠發(fā)給客戶使用的。不同 VLAN 分配不同地址如圖 3 中所示，兩個(gè) DHCP 客戶端分別位于交換機(jī)上兩個(gè)不同的 VLAN，交換機(jī)上的 VLAN 接口將作為他們的網(wǎng)關(guān)，R3 是 DHCP 服務(wù)器，這兩個(gè)客戶端必須得到不同網(wǎng)段的地址，否則無法與通信，在這種情況下，服務(wù)器 R3 也必須正確為 R1分配 /24 網(wǎng)段的地址，必須為 R2 分配 /24 的

25、地址，配置如下：1配置 DHCP Server（1）開啟 DHCP 功能R3(config)#service dhcp（2）配置 DHCP 地址池地址池名為 ccie1R3(config)#ip dhcp pool ccie1R3(dhcp-config)#network 可供客戶端使用的地址段網(wǎng)關(guān)R3(dhcp-config)#default-router 地址池名為ccie1R3(config)#ip dhcp pool ccie2R3(dhcp-config)#network 可供客戶端使用的地址段網(wǎng)關(guān)R3(dhcp-config)#default-router （3）去掉不提供給客戶端

26、的地址R3(config)#ip dhcp excluded-address 0移除 到 0R3(config)#ip dhcp excluded-address 0移除0 到（4）配置正確地址池的路由R3(config)#ip route R3(config)#ip route 2配置交換機(jī)（1）配置相應(yīng)接口信息sw(config)#vlan 10sw(config-vlan)#exitsw(config)#vlan 20sw(config-vlan)#exitsw(config)#f0/1sw(config-if)#switchport mode acssw(config-if)#swit

27、chport acs vlan 10sw(config-if)#exitsw(config)#f0/2sw(config-if)#switchport mode acssw(config-if)#switchport acs vlan 20sw(config-if)#exitsw(config)#vlan 10sw(config-if)#ip address 單播前轉(zhuǎn) DHCP 廣播到 sw(config-if)#ip helper-address sw(config-if)#exitsw(config)#vlan 20sw(config-if)#ip address 單播前轉(zhuǎn) DHCP 廣播

28、到 sw(config-if)#ip helper-address 3配置 DHCP C nt（1）配置 R1r1(config)#f0/1r1(config-if)#ip address dhcp(2)配置 R2r2(config)#f0/1r1(config-if)#ip address dhcp4查看結(jié)果：按上述配置完之后，客戶端 R1 的 F0/0 便能夠收到地址 1,客戶端 R2 便能夠收到地址 1，然后就可以全網(wǎng)通信。在上述的情況下，服務(wù)器 R3 能夠正確為 R1 分配 /24 網(wǎng)段的地址，能夠正確為 R2 分配 /24 網(wǎng)段的地址，同樣也是因?yàn)榻粨Q機(jī)在收到 R1 的 DHCP 廣

29、播包后，將 giaddr 的參數(shù)改成了 ，收到 R2 的廣播包后，將 giaddr 的參數(shù)改成了 ，所以最后服務(wù)器 R3 能夠根據(jù)giaddr= 的包分配 /24 的地址，根據(jù) giaddr= 的包分配 /24 的地址。IP 與 MAC 地址綁定在配置 DHCP 時(shí)，地址池中除了移除掉的 IP 地址之外，所有的地址都會(huì)按順序分配給客戶，所以客戶機(jī)得到的 IP 地址是無法固定的，有時(shí)需要每次固定為某些 PC 分配相同的 IP 地址，那么這時(shí)就可以配置 DHCP 服務(wù)器以靜態(tài)將 IP 地址和某些 MAC 綁定，只有相應(yīng)的 MAC 地址才能獲得相應(yīng)的 IP 地址。在 Cisco 設(shè)備上靜態(tài)將 IP

30、與 MAC 綁定的方法為，需要將某個(gè) IP 地址綁定給 MAC 地址，就為該 IP 地址單獨(dú)創(chuàng)建地址池，稱為 host pool，地址池中需要注明 IP 地址和掩碼位數(shù)，并且附上一個(gè) MAC 地址，以后這個(gè) IP 地址就只分配給這個(gè) MAC 地址，所以 host pool 只能有一個(gè) IP 地址和一個(gè) MAC 地址，如果需要為多個(gè)客戶綁定 IP 和 MAC，就必須得單獨(dú)為每個(gè)客戶都配置各自的 host pool，還要注意的是，在 host pool 中，MAC 地址的表示方法和平常不一樣，比如一個(gè)主機(jī)網(wǎng)卡的 MAC 地址為 aabb.ccdd.eeff，在地址池中，需要面加上 01（01 表示

31、為以太網(wǎng)類型），結(jié)果為 01aa.bbcc.ddee.ff1 配置 host pool:（1） 配置 pool 名r1(config)#ip dhcp poo ccie（2）配置 IP 地址r1(dhcp-config)#host 00 /24（3）配置與該 IP 地址對應(yīng)的 MAC 地址r1(dhcp-config)#cnt-identifier 01aa.bbcc.ddee.ff2查看配置結(jié)果：（1）查看服務(wù)器地址分配狀態(tài)r1#sh ip dhcp bindingBindings from all pools not assoted with VRF:IP addressCnt-ID/Le

32、ase expirationTypeHardware address/User name0001aa.bbcc.ddee.ffInfiniteManualr1#說明：從以上結(jié)果可以看出，IP 地址 00 已經(jīng)手工與 MAC 地址 aabb.ccdd.eeff做了綁定，以后只要 MAC 地址為 aabb.ccdd.eeff 的客戶端請求 IP 地址時(shí)，才能獲得IP 地址 00。DHCP 安全 ARPCisco 設(shè)計(jì)的 DHCP 安全 ARP 也許不是絕對的安全，但也起到了一定的作用，原本設(shè)計(jì)為一個(gè)需要計(jì)費(fèi)的公共熱點(diǎn) PVLAN（公共無線場所），如圖 4 中所示，R3 為 DHCP 服務(wù)器，為 的

33、 R1 提供正確 IP 地址以提供網(wǎng)絡(luò)服務(wù)，當(dāng)服務(wù)器 R3 為客戶端 R1 提供 IP 地址 之后，就已經(jīng)記住了它的 MAC 地址，在正常情況下，如果 R1 退出，服務(wù)器是不知道的，并且當(dāng)網(wǎng)絡(luò)中有者接入后，也可冒充 這個(gè)地址進(jìn)行上網(wǎng)，當(dāng)然 R1 和 R2 的 MAC 地址肯定是不一樣的，如果這時(shí)服務(wù)器R3 由于自動(dòng)更新 ARP 表的 MAC 地址，就能夠順利讓 R2 上網(wǎng)?；谏鲜鲈?，需要在服務(wù)器 R3 和客戶端 R1 之間提供某種安全機(jī)制，即服務(wù)器定期 ARP 訊問 是否還存在，在訊問時(shí)，只有 R1 能夠回答。在完成這種機(jī)制，需要兩個(gè) feature 來支持，第一個(gè)是 Update Arp

34、，在地址式下開啟，這個(gè) feature 便是定期訊問網(wǎng)絡(luò)中 DHCP 客戶端的;第二個(gè)是 AuthorizedARP（ARP）,只能在以太網(wǎng)接口下開能是該接口下通過 ARP 自動(dòng)更新和學(xué)習(xí) MAC 地址，這樣一來，接口下將不能有手動(dòng)配置 IP 的設(shè)備接入，因?yàn)槭止づ渲?IP 接入后，服務(wù)器不會(huì)更新自己的 ARP 表，也就無法完成到新設(shè)備的二層MAC 地址封裝，也就無法和新設(shè)備進(jìn)行通信，只有合法的 DHCP 客戶端才能正常通信，所以，如果為客戶端分配 IP 地址，就無法做這樣的保護(hù)，并且到客戶端的下一跳必須是自己的客戶端，因?yàn)槿绻皇?，是無法通信的，因?yàn)?ARP 不存在到它的條目。1配置安全 A

35、RP：（1）開啟 DHCP 功能R3(config)#service dhcp（2）配置 DHCP 地址池地址池名為 ccie1R3(config)#ip dhcp pool ccie1R3(dhcp-config)#network 可供客戶端使用的地址段網(wǎng)關(guān)R3(dhcp-config)#default-router 開啟定期 ARP 訊問R3(dhcp-config)#update arp（3）去掉不提供給客戶端的地址R3(config)#ip dhcp excluded-address 0 移除 到 0（4）在接口下開啟 Authorized ARPR3(config)#f0/0動(dòng)態(tài)更新

36、 ARPR3(config-if)#Router(config-if)# arp authorized60 秒客戶無應(yīng)答則刪除 ARP 條 目R3(config-if)# arp timeout 60說明：通過以上配置之后，當(dāng) DHCP 客戶端從服務(wù)器獲得 IP 地址后，服務(wù)器便會(huì)定期查訊該 IP 地址，如果 60 秒沒有回答，便從 ARP 表中刪除該條目。DHCP如圖 5 中所示，客戶端 R1 只有正確從服務(wù)器 R3 中獲得 /24 網(wǎng)段的 IP地址才能夠正確上網(wǎng)，如果當(dāng)網(wǎng)絡(luò)中出現(xiàn)另外一臺錯(cuò)誤的 DHCP 服務(wù)器（圖中 R2）， R2 向客戶端 R1 發(fā)出 /24 的地址，那么將導(dǎo)致 R1

37、網(wǎng)絡(luò)中斷，在這樣的情況下，就需要聽（DHCP Snoo不合法的 DHCP 服務(wù)器向網(wǎng)絡(luò)中提供 DHCP 服務(wù)，這就需要 DHCP 監(jiān)）。DHCP Snoo是在交換機(jī)上完成的，如上圖中，只要告訴交換機(jī)，只有 F0/3 發(fā)來的 DHCP 應(yīng)答地址才轉(zhuǎn)發(fā)給客戶端，其它接口發(fā)來的應(yīng)答地址統(tǒng)統(tǒng)被丟棄。要做到這一點(diǎn)，就要告訴交換機(jī)，F(xiàn)0/3 接口是它可能信任的 DHCP 地址，其它接口都是不的，不能提供 DHCP 應(yīng)答，那么在實(shí)現(xiàn)這個(gè)功能時(shí)，就需要將交換機(jī)上的接口分為任接口和不任接口兩種，默認(rèn)交換機(jī)全為不之后，沒有任何一個(gè)接口上的 DHCP Snoo時(shí)，必須指明在哪個(gè) VLAN 上任接口，也就是說交換機(jī)開

38、啟 DHCP Snoo服務(wù)器能提供服務(wù)。在交換機(jī)上配置 DHCP進(jìn)行，其它沒有的 VLAN 不受上述規(guī)則限制。1交換機(jī)上配置 DHCP Snoo注：交換機(jī)上所有接口全部劃入 VLAN1（1）在交換機(jī)上開啟 DHCP Snoo開啟 DHCP Snoosw(config)#ip dhcp snoo在交換機(jī)上啟用 DHCP Snoosw(config)#ip dhcp snoovlan 1（2）將相應(yīng)接口變?yōu)樾湃谓涌冢J(rèn)全部為不）sw(config-if)#ip dhcp snootrust2查看命令：（1）查看 dhcp snooSw#sh ip dhcp snoo說明：通過以上配置之后，只有交

39、換機(jī) F0/3 接口上（信任接口）的設(shè)備能夠應(yīng)答 DHCP 請求，而其它所有接口，比如 R2 過來的 DHCP 應(yīng)答是會(huì)被丟棄的。但是你會(huì)發(fā)現(xiàn)，在這之后，R1 還是無法獲得服務(wù)器 R3 發(fā)來的 DHCP 地址。這是因?yàn)殚_了 DHCP Snoo 的交換機(jī)默認(rèn)會(huì)產(chǎn)生中繼效果，即將 DHCP 請求包的 giaddr 的參數(shù)改成 ，交換機(jī)的這種中繼效果是無法關(guān)閉的，當(dāng)一個(gè)服務(wù)器收到中繼后并且將 giaddr 設(shè)置為 而不是 IP 地址的請求包時(shí)，默認(rèn)是要丟棄該數(shù)據(jù)包而不作應(yīng)答的，所以服務(wù)器 R3 丟棄了該請求數(shù)據(jù)包。要讓客戶 R1 能夠正常收到 DHCP 提供的 IP 地址，就要讓 DHCP 服務(wù)器對

40、即使 giaddr 為 的請求包也作出應(yīng)答。配置如下：R3(config-if)#ip dhcp relay information trusted最后，從上圖中，如果 R3 本身還不是 DHCP 服務(wù)器，如果 DHCP 服務(wù)器還在網(wǎng)絡(luò)，需要 R3 提供中繼并轉(zhuǎn)發(fā)該請求包到服務(wù)器的話，那么 R3 除了在接口下配置ip dhcp relay information trusted 之外，還必須配置 ip helper-address，兩者。IP Accounting（記賬）有時(shí)需要在路由器上查看某臺主機(jī)通過路由器的流量是多少，這時(shí)就需要路由器能夠下該主機(jī)的數(shù)據(jù)量。主機(jī)之間進(jìn)行通信時(shí)，發(fā)出的數(shù)據(jù)包

41、都有源 IP 和目的 IP 共兩個(gè) IP 地址，路由器在流量時(shí)，可根據(jù)這些 IP 地址來定義要的流量。雖然通信時(shí)數(shù)據(jù)包有兩個(gè)地址，但路由器只需要定義一個(gè)地址即可，這個(gè)地址不需要說明是源還是目的，也就是說一個(gè)數(shù)據(jù)包無論是源 IP 匹配還是目的 IP 匹配，都會(huì)被路由器流量時(shí)，但是在條目里，會(huì)同時(shí)寫上流量發(fā)生的源 IP 和目的 IP。在是 Byte,其中包含了數(shù)據(jù)包的包頭和數(shù)據(jù)大小。在路由器開啟記賬功能后，會(huì)影響到路由器的工作性能，請慎用。需要注意的是，路由器只能從接口出去的流量，并且從自己發(fā)出的流量和發(fā)往自己的流量是不能的。路由器的每一條包含一個(gè)源 IP 和一個(gè)目標(biāo) IP，這一對稱為一個(gè)條目，路

42、由器能的條目數(shù)量是可以隨意更改的，默認(rèn)最多能512 條。配置1配置 IP Accounting（1）在路由器接口下直接開啟 IP Accountingr1(config)#f0/0r1(config-if)#ip accounting注：只能從接口 f0/0 出去的數(shù)據(jù)包2（1）在 R2 上，以測試 R2 到 R4 的數(shù)據(jù)不作，只有 R4 返回 R2 的才。r2#Type escsequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Sucs rate is 100 percent (5/5), r

43、ound-trip min/avg/max = 4/4/8 ms（2）再從 R4R2r4#Type escsequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Sucs rate is 100 percent (5/5), round-trip min/avg/max = 8/8/12 ms(3)查看 R1 上的流量r1#sh ip accou*Mar 1 00:08:53.750: %SYS-5-CONFIG_I: Configured from consoy consoler1#sh ip a

44、ccountingSourceDestinationPacketsBytes10500Accounting data age is 0說明：可以看出，R2 到 R4 的流量沒有做，因?yàn)闆]有目的為 的，只看到有 R4 到 R2 的流量，因?yàn)橛心康臑?的。（4）再測試 R1 的接口 f0/0 是否還會(huì)別的流量r3#Type escsequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Sucs rate is 100 percent (5/5), round-trip min/avg/max = 4/4

45、/8 msr3#r1#sh ip accountingSourceDestinationPacketsBytes1010005500Accounting data age is 2說明：從以上數(shù)據(jù)表明，R1 會(huì)從接口 f0/0 出去的任何流量（5）再測試到 R1 的流量r3#Type escsequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Sucs rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 msr3#r1#sh ip a

46、ccountingSourceDestinationPacketsBytes1010005500Accounting data age is 2說明：發(fā)現(xiàn)沒有到 R1（即 IP 地址為 ）的流量，說明從 R1 發(fā)起的流量和發(fā)到 R1 的流量是不做的。3配置單獨(dú)到某固定 IP 的流量（1）配置 R1 只到 R3()的流量（ 后面為通配符掩碼r1(config)#ip accounting-list wildcard）（2）在接口上應(yīng)用記賬功能r1(config)#f0/0r1(config-if)#ip accounting output-packets注：命令 ip accounting ou

47、tput-packets 和 ip accounting 功能相同。（3）測試 R3 到 R4 的流量r3#Type escsequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Sucs rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 ms（4）測試 R2 到 R4 的流量R2#Type escsequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 se

48、conds:!Sucs rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 ms（5）查看流量r1#sh ip accountingSourceDestinationPacketsBytes5500Accounting data age is 1說明：從結(jié)果中看出，只要數(shù)據(jù)包中有 這個(gè)地址，便會(huì)，其它統(tǒng)統(tǒng)不作。NetFlow概述在需要對 Cisco 設(shè)備上查看數(shù)據(jù)的流量傳輸情況的時(shí)候，可以用到的技術(shù)是 IP Accounting，但是可以看出這個(gè)技術(shù)出的流量是非常簡潔的，只能看到數(shù)據(jù)包的量，卻看不到數(shù)據(jù)包的協(xié)議。下面有一項(xiàng)技術(shù)在

49、IP Accounting 的基礎(chǔ)上增加了一些有用的附加功能，它不僅能這就是 NetFlow。數(shù)據(jù)的數(shù)量，并且還可以出協(xié)議等信息，Cisco 開發(fā)的 NetFlow 共 4 個(gè)版本，分別是 ver 1 ，ver 5，ver 8，ver 9，它們的特點(diǎn)是：V9 不向后兼容 v8 和 v5，需要獨(dú)立開啟。V8 只支持聚合緩存，不支持新 feature。V5 只支持主緩存，不支持新 feature。V1，不要使用，建議用 5 和 9。Netflow 在網(wǎng)絡(luò)設(shè)備上抓包，在每臺設(shè)備上獨(dú)立進(jìn)行，不需要所有設(shè)備開啟。配置 Netflow 的條件：（1）必須先開啟路由功能，（2）CEF 必開（3）并且會(huì)消耗額

50、外 CPU 和內(nèi)存資源。Netflow 抓的含：IP-to-IPIP-to- MPLSFrame RelayATMegress (outgoing)下面 7 個(gè)參數(shù)相同即被認(rèn)為是同一流，作相同，否則另作（1）Source IP address（2）Destination IP address（3）Source port number（4）Destination port number（5）Layer 3 protocol type（6）Type of service (ToS)（7）Input logicalerfaceNetflow 抓到的包可以向主機(jī)發(fā)送，發(fā)送時(shí)使用協(xié)議 UDP，端可以隨意

51、更改。默認(rèn)為9991，這些主機(jī)的 IP 和端配置說明：Netflow 是基于接口開啟的，在某個(gè)接口開啟后，就在相應(yīng)接口的相應(yīng)方向抓取數(shù)據(jù)包，在接口上開啟 Netflow 時(shí)，有先決條件需要打開。1全局開啟 CEF（必開）R1(config)ip cef2接口開啟 Netflow（可開多個(gè)接口）（1）早于 IOS 版本 12.2(14)S, 12.0(22)S, or 12.2(15)T 的r1(config)#f0/0r1(config-if)#ip route-cache flow（2）等于或晚于 IOS 版本 12.2(14)S, 12.0(22)S, or 12.2(15)T 的r1(c

52、onfig)#f0/0r1(config-if)#ip flow ingress3定義主機(jī)，(最多兩臺)（1）定義IP 地址，設(shè)備將抓過的數(shù)據(jù)包發(fā)向主機(jī)（默認(rèn)端口為 UDP 9991）R1(config)Ip flow-export destination 90(2)配置數(shù)據(jù)包源地址R1(config)# ip flow-export source f0/04定義 Netflow 版本（1）全局定義 Netflow 版本（默認(rèn)版本 1，不同 IOS 支持的版本不同）r1(config)#Ip flow-export ver 55查看效果：（1）在 r2 上R3 的 r2#Type escseq

53、uence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Sucs rate is 100 percent (5/5), round-trip min/avg/max = 4/5/12 msr2#(2)在 R1 上查看：r1#sh ip cache flowIP packet size distribution (10 total packets):1-3264 96 128 160 192 224 256 288 320 352 384 416448480.000 .000 .000 1.00 .000

54、.000 .000 .000 .000 .000 .000 .000 .000 .000 .000512 544 576 1024 1536 2048 2560 3072 3584 4096 4608.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000IP Flow Switching Cache, 278544 bytes2 active, 4094 inactive, 2 added6 agolls, 0 flow alloc failuresActive flows timeout in 30 minutesInactive flo

55、ws timeout in 15 secondslast clearing of sistics neverProtocolTotalFlowsPackets Bytes Packetive(Sec) Idle(Sec)-Flows/Sec/Flow/Pkt/Sec/Flow/FlowSrcIfSrcIPaddressDstIfDstIPaddressPr SrcP DstPPktsFa0/0Fa0/101 0000 08005Fa0/1Fa0/001 0000 00005說明：從以上結(jié)果可以看出，擁有很詳細(xì)的數(shù)據(jù)包。（3）查看更詳細(xì)r1#sh ip cache vere flowIP pac

56、ket size distribution (10 total packets):1-3264 96 128 160 192 224 256 288 320 352 384 416448480.000 .000 .000 1.00 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000512 544 576 1024 1536 2048 2560 3072 3584 4096 4608.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000IP Flow Switching Cache,

57、278544 bytes0 active, 4096 inactive, 2 added32 agolls, 0 flow alloc failuresActive flows timeout in 30 minutesInactive flows timeout in 15 secondslast clearing of sistics neverProtocolTotalFlowsPackets Bytes Packetive(Sec) Idle(Sec)-Flows/Sec/Flow /Pkt/Sec/Flow/FlowICMP20.051000.00.015.0Total:20.051

58、000.00.015.0SrcIfSrcIPaddressDstIfDstIPaddressPr TOSs PktsPort Msk ASPort Msk ASNextHopB/PkActiver1#并且看到協(xié)議也有所。(4).可清除錄R1#clear ip flow ss6聚合參數(shù)說明：可以將數(shù)據(jù)包中某些需要的數(shù)據(jù)聚合后顯示，比如 BGP AS 號碼，或者前綴等信息（1）配置聚合 BGP AS（事先配好 BGP）進(jìn)入聚合配置模式r1(config)#ip flow-aggregation cache as配置可聚合的最多條目r1(config-flow-cache)#cache entrie

59、s 2000配置不活動(dòng)會(huì)話的超時(shí)r1(config-flow-cache)#cache timeout inactive 200時(shí)間配置活動(dòng)會(huì)話的時(shí)間r1(config-flow-cache)#cache timeout active 50開啟r1(config-flow-cache)#enabled（2）配置中 Origin-as 在源和目的中包含 asR1(config)#ip flow-export ver5 peer-as7查看結(jié)果：(1)從 R2r3R2#Type escsequence to abort.Sending 5, 100-byte ICMP Echos to , tim

60、eout is 2 seconds:!Sucs rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 msR2#（2）查看：r1#sh ip cache flow aggregation asIP Flow Switching Cache, 132104 bytes4 active, 1996 inactive, 4 added398 agolls, 0 flow alloc failuresActive flows timeout in 50 minutesInactive flows timeout in 200 seconds