【網(wǎng)絡(luò)工程】交換機(jī)經(jīng)典配置及【文案】汽車系列

XX3Com8016交換機(jī)DHCP配置1功能需求及組網(wǎng)說明8016DHCP配置『配置環(huán)境參數(shù)』1.DHCPserver的IP地址192.168.0.10/242.DHCPserver連接在交換機(jī)G1/0/0，屬于vlan100，網(wǎng)關(guān)即vlan100虛接口地址/243.交換機(jī)通過G1/0/1連接SwitchAG1/1，G1/0/2連接SwitchBG1/14.SwitchA通過G2/1連接SwitchCG1/15.vlan10的用戶網(wǎng)段為/246.vlan20的用戶網(wǎng)段為/247.vlan30的用戶網(wǎng)段為/248.SwitchA和SwitchC為二層交換機(jī)，SwitchB為三層交換機(jī)『組網(wǎng)需求』1.8016作DHCPrelay，利用遠(yuǎn)端DHCPserver為SwitchA下面的vlan10分配IP地址2.SwitchB上的vlan20用戶以8016上的vlan20虛接口為網(wǎng)關(guān)，8016作DHCPserver直接為其分配IP地址3.SwitchC上的vlan30用戶以SwitchB上的vlan30虛接口為網(wǎng)關(guān)，8016作DHCPserver為其分配IP地址2數(shù)據(jù)配置步驟『8016DHCPrelay數(shù)據(jù)流程』DHCPRelay的作用則是為了適應(yīng)客戶端和服務(wù)器不在同一網(wǎng)段的情況，通過Relay，不同子網(wǎng)的用戶可以到同一個(gè)DHCPserver申請IP地址，這樣便于地址池的管理和維護(hù)?！?016DHCPrelay配置】1.DHCPserver要配置到一個(gè)VLAN上，這個(gè)VLAN可以是任意的，但是要實(shí)現(xiàn)Relay，不要將Server同任何客戶端配置到同一個(gè)VLAN內(nèi)，建議專門劃出VLAN給DHCPserver組使用，這里將DHCP服務(wù)器組1對應(yīng)的端口的VLAN配置為100。[Quidway]vlan100[Quidway-vlan100]portgigabitethernet1/0/0[Quidway]interfacevlanif1002.配置DHCPserver的網(wǎng)關(guān)地址[Quidway-Vlanif100]ipaddress3.配置DHCP服務(wù)器組1對應(yīng)的IP地址。[Quidway]dhcprelayserver-group1server04.配置DHCP服務(wù)器組1服務(wù)的VLAN范圍為10[Quidway]dhcprelayserver-group1vlan105.進(jìn)入G1/0/1，設(shè)置為trunk端口，允許vlan10通過[Quidway-gigabitethernet1/0/1]porttrunkpermitvlan106.配置VLAN10的對應(yīng)網(wǎng)關(guān)地址。[Quidway]interfacevlanif10[Quidway-Vlanif10]ipaddress『8016作DHCPserver數(shù)據(jù)流程』內(nèi)置DHCPserver下掛的用戶類型有兩種：一種是S8016的VLAN用戶，用戶直接向S8016發(fā)起DHCP請求，這類稱為VLAN地址池用戶；另一種是中間經(jīng)過了DHCP中繼設(shè)備（例如MA5200設(shè)備），DHCP請求在到達(dá)S8016之前經(jīng)過了DHCPrelay，這類稱為全局地址池用戶?！?016vlan用戶】1.用戶所在VLANID為20，創(chuàng)建并進(jìn)入VLAN配置視圖。[Quidway]vlan202.將VLAN20用戶地址分配方式設(shè)置為本地。[Quidway-vlan20]addressallocatelocal3.配置VLAN20接口IP地址，同時(shí)指定了DHCPserver可分配的地址資源為~55。[Quidway]interfacevlan20[Quidway-Vlanif20]ipaddress4.S8016下掛了一臺(tái)DNS服務(wù)器，IP地址是5，在S8016中設(shè)置DNS服務(wù)器的IP地址，同時(shí)將這個(gè)IP地址在地址池中禁止分配給用戶。[Quidway-vlan2]dhcpserverforbidden-ip5[Quidway-vlan2]dnsprimary-ip55.進(jìn)入G1/0/2，設(shè)置為trunk端口，允許vlan20通過[Quidway-gigabitethernet1/0/2]porttrunkpermitvlan20【全局地址用戶】1.創(chuàng)建全局地址池，并命名為“abc”，地址池用戶網(wǎng)關(guān)地址為[Quidway]dhcpserverip-poolabc2.配置路由IP信息[Quidway]dhcpservergatewayabc3.S8016下掛了另外一臺(tái)DNS服務(wù)器，IP地址是5，在S8016中設(shè)置DNS服務(wù)器的IP地址，同時(shí)將這個(gè)IP地址在地址池中禁止分配給用戶。[Quidway]dnsprimary-ipabc5[Quidway]dhcpserverforbidden-ipabc54.配置VLAN200與SwitchB相應(yīng)的虛接口vlan200在同一個(gè)網(wǎng)段[Quidway]interfacevlanif200[Quidway-Vlanif200]ipaddress【SwitchB相關(guān)配置】1.創(chuàng)建（進(jìn)入）vlan30[SwitchB]vlan302.將E0/1加入到vlan30[SwitchB-vlan30]portEthernet0/13.實(shí)際當(dāng)中一般將上行端口設(shè)置成trunk屬性，允許vlan透傳[SwitchB-GigabitEthernet2/1]portlink-typetrunk4.允許SwitchC的vlan從G2/1端口透傳通過[SwitchB-GigabitEthernet2/1]porttrunkpermitvlan305.實(shí)際當(dāng)中一般將上行端口設(shè)置成trunk屬性，允許vlan透傳[SwitchB-GigabitEthernet1/1]portlink-typetrunk6.允許所有膙lan從E0/3端口透傳通過，也可以指定具體的vlan值[SwitchB-GigabitEthernet1/1]porttrunkpermitvlan307.創(chuàng)建（進(jìn)入）vlan30的虛接口[SwitchB]interfaceVlan-interface308.給vlan30的虛接口配置IP地址[SwitchB-Vlan-interface30]ipaddress[SwitchB]9.定義一個(gè)DHCPserver[SwitchB]dhcp-server0ip[SwitchB-Vlan-interface30]dhcp-server010.創(chuàng)建（進(jìn)入）vlan200的虛接口，vlan200用于SwitchB與8016互連[SwitchB]interfaceVlan-interface20011.給vlan200的虛接口配置IP地址[SwitchB-Vlan-interface200]ipaddress【SwitchC相關(guān)配置】1.創(chuàng)建（進(jìn)入）vlan30[SwitchC]vlan302.將E0/1加入到vlan30[SwitchC-vlan30]portEthernet0/13.實(shí)際當(dāng)中一般將上行端口設(shè)置成trunk屬性，允許vlan透傳[SwitchC-GigabitEthernet1/1]portlink-typetrunk4.允許所有的vlan從E0/3端口透傳通過，也可以指定具體的vlan值[SwitchC-GigabitEthernet1/1]porttrunkpermitvlan303測試驗(yàn)證1.PC1、PC2和PC3都能夠正確的獲取IP地址和網(wǎng)關(guān)2.PC1、PC2和PC3都能夠PING通自己的網(wǎng)關(guān)及DHCPserverXX交換機(jī)端口鏡像配置--------------------------------------------------------------------------------【3026等交換機(jī)鏡像】S2008/S2016/S2026/S2403H/S3026等交換機(jī)支持的都是基于端口的鏡像，有兩種方法：方法一1.配置鏡像（觀測）端口[SwitchA]monitor-porte0/82.配置被鏡像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2方法二1.可以一次性定義鏡像和被鏡像端口[SwitchA]portmirrorEthernet0/1toEthernet0/2observing-portEthernet0/8【8016交換機(jī)端口鏡像配置】1.假設(shè)8016交換機(jī)鏡像端口為E1/0/15，被鏡像端口為E1/0/0，設(shè)置端口1/0/15為端口鏡像的觀測端口。[SwitchA]portmonitorethernet1/0/152.設(shè)置端口1/0/0為被鏡像端口，對其輸入輸出數(shù)據(jù)都進(jìn)行鏡像。[SwitchA]portmirroringethernet1/0/0bothethernet1/0/15也可以通過兩個(gè)不同的端口，對輸入和輸出的數(shù)據(jù)分別鏡像1.設(shè)置E1/0/15和E2/0/0為鏡像（觀測）端口[SwitchA]portmonitorethernet1/0/152.設(shè)置端口1/0/0為被鏡像端口，分別使用E1/0/15和E2/0/0對輸入和輸出數(shù)據(jù)進(jìn)行鏡像。[SwitchA]portmirroringgigabitethernet1/0/0ingressethernet1/0/15[SwitchA]portmirroringgigabitethernet1/0/0egressethernet2/0/0『基于流鏡像的數(shù)據(jù)流程』基于流鏡像的交換機(jī)針對某些流進(jìn)行鏡像，每個(gè)連接都有兩個(gè)方向的數(shù)據(jù)流，對于交換機(jī)來說這兩個(gè)數(shù)據(jù)流是要分開鏡像的。【3500/3026E/3026F/3050】〖基于三層流的鏡像〗1.定義一條擴(kuò)展訪問控制列表[SwitchA]aclnum1012.定義一條規(guī)則報(bào)文源地址為/32去往所有目的地址[SwitchA-acl-adv-101]rule0permitipsource0destinationany3.定義一條規(guī)則報(bào)文源地址為所有源地址目的地址為/32[SwitchA-acl-adv-101]rule1permitipsourceanydestination04.將符合上述ACL規(guī)則的報(bào)文鏡像到E0/8端口[SwitchA]mirrored-toip-group101interfacee0/8〖基于二層流的鏡像〗1.定義一個(gè)ACL[SwitchA]aclnum2002.定義一個(gè)規(guī)則從E0/1發(fā)送至其它所有端口的數(shù)據(jù)包[SwitchA]rule0permitingressinterfaceEthernet0/1(egressinterfaceany)3.定義一個(gè)規(guī)則從其它所有端口到E0/1端口的數(shù)據(jù)包[SwitchA]rule1permit(ingressinterfaceany)egressinterfaceEthernet0/14.將符合上述ACL的數(shù)據(jù)包鏡像到E0/8[SwitchA]mirrored-tolink-group200interfacee0/8【5516】支持對入端口流量進(jìn)行鏡像配置端口Ethernet3/0/1為監(jiān)測端口，對Ethernet3/0/2端口的入流量鏡像。[SwitchA]mirrorEthernet3/0/2ingress-toEthernet3/0/1【6506/6503/6506R】目前該三款產(chǎn)品只支持對入端口流量進(jìn)行鏡像，雖然有outbount參數(shù)，但是無法配置。鏡像組名為1，監(jiān)測端口為Ethernet4/0/2，端口Ethernet4/0/1的入流量被鏡像。[SwitchA]mirroring-group1inboundEthernet4/0/1mirrored-toEthernet4/0/2【補(bǔ)充說明】1.鏡像一般都可以實(shí)現(xiàn)高速率端口鏡像低速率端口，例如1000M端口可以鏡像100M端口，反之則無法實(shí)現(xiàn)2.8016支持跨單板端口鏡像XX路由器qoscar+nat+dhcp+vlan配置心得--------------------------------------------------------------------------------好久沒有寫博客了，也好久沒有泡壇了，工作壓力是大了很多，但實(shí)際上還是自己懶了很多，也比以前浮澡了很多，趁今天領(lǐng)導(dǎo)都去開會(huì)的機(jī)會(huì)，把昨天的幫客戶解決網(wǎng)絡(luò)問題的心得寫一下，供大家參考，也希望大家提出寶貴意見。客戶網(wǎng)絡(luò)環(huán)境：一個(gè)小型辦公網(wǎng)絡(luò)，有兩家公司（A、B）在一個(gè)寫字樓辦公，共申請一條4M獨(dú)享VDSL專線（其中A是繳3M的專線費(fèi)用，B是繳1M的專線費(fèi)用），共60臺(tái)電腦左右，各30臺(tái)電腦，各三臺(tái)非網(wǎng)管24口D-LINK交換機(jī)，一臺(tái)XX1821路由器（1wan口，4lan口）。用戶特殊需求：（1）、A、B不能互訪。（2）、A、B都通過XX路由器DHCP獲取地址。（3）、A、B帶寬必須劃分開，A享受3M帶寬，B享受1M帶寬（原來的時(shí)候B公司網(wǎng)絡(luò)流量過大經(jīng)常影響到A公司網(wǎng)絡(luò)辦公）。簡單解決方案：根據(jù)現(xiàn)有網(wǎng)絡(luò)條件，實(shí)際上僅通過XX1821路由器可以實(shí)現(xiàn)以上功能，具體實(shí)施如下：（1）、在XX路由器1821內(nèi)部網(wǎng)關(guān)口（eth1/0）劃分子接口（eth1/0.1、eth1/0.2），分別配置兩個(gè)網(wǎng)關(guān)（、），并分別進(jìn)行封裝與vlan2、vlan3相對應(yīng)。（2）、在XX路由器1821兩個(gè)lan口（eth1/1、eth1/2）劃分兩個(gè)vlan(vlan2、vlan3)。（3）、分別在兩個(gè)不同的邏輯子接口（eth1/0.1、eth1/0.2）配置nat并應(yīng)用。（4）、分別在兩個(gè)不同的邏輯子接口（eth1/0.1、eth1/0.2）配置dhcp，在同一物理接口針對兩個(gè)vlan網(wǎng)絡(luò)應(yīng)用dhcp來分配兩個(gè)不同的網(wǎng)段。（5）、由于該路由器lan口為二層端口，無法實(shí)現(xiàn)qoscar限速，只能考慮在其唯一的內(nèi)部網(wǎng)關(guān)接口（eth1/0）的子接口上實(shí)現(xiàn)qoscar限速達(dá)到帶寬限制的作用。（6）、配置wan口地址（X、X、X、X），配置staticroute地址，大功告成。（7）、配置用戶登錄（super、console、vty等）用戶名及密碼（這里僅配置密碼模式）。（8）、測試并觀察端口信息、負(fù)載信息等，隨時(shí)調(diào)整相應(yīng)策略，由于考慮到其設(shè)備處理能力及時(shí)間緊迫，并未增加太多策略（如ACL等）和功能。具體配置如下：#sysnameQuidway#clocktimezonegmt-12:000minus12:00:00#cpu-usagecycle1min#connection-limitdisableconnection-limitdefaultactiondenyconnection-limitdefaultamountupper-limit50lower-limit20#webset-packageforceflash:/http.zip#radiusschemesystem#domainsystem#local-user*******passwordcipher.]@*********service-typetelnetterminallevel3service-typeftp#aclnumber2000\\配置natAclrule0permitsource55#aclnumber3000\\配置natAclrule0permitipsource55aclnumber3001\\配置FirewallAclrule0denyipdestination55aclnumber3002\\配置FirewallAclrule0denyipdestination55#interfaceEthernet1/0ipaddressdhcp-alloc#interfaceEthernet1/0.1ipaddressdhcpselectinterface\\dhcp應(yīng)用于子接口dhcpserverdns-list015firewallpacket-filter3001inbound\\firewallACL過濾應(yīng)用于接口vlan-typedot1qvid2\\子接口封裝dot1qqoscarinboundanycir4096000cbs204800ebs1000greenpassreddiscard\\流量限速qoscar配置qoscaroutboundanycir4096000cbs204800ebs1000greenpassreddiscard\\流量限速qoscar配置#interfaceEthernet1/0.2ipaddressdhcpselectinterface\\dhcp應(yīng)用于子接口dhcpserverdns-list015firewallpacket-filter3002inbound\\firewallACL過濾應(yīng)用于接口vlan-typedot1qvid3\\子接口封裝dot1qqoscarinboundanycir1024000cbs51200ebs1000greenpassreddiscard\\流量限速qoscar配置qoscaroutboundanycir1024000cbs51200ebs1000greenpassreddiscard\\流量限速qoscar配置#interfaceEthernet1/1portaccessvlan2\\將e1/1端口加入vlan2#interfaceEthernet1/2portaccessvlan3\\將e1/1端口加入vlan2#interfaceEthernet1/3#interfaceEthernet1/4#interfaceEthernet2/0\\進(jìn)入wan口配置ipaddressX、X、X、X24natoutbound3000natoutbound2000#interfaceNULL0#FTPserverenable#iproute-staticy、y、y、ypreference60#user-interfacecon0\\用戶登錄配置authentication-modepasswordsetauthenticationpasswordcipher0HB8%-MB%I^[Q1R','&6NQ!!user-interfacevty04userprivilegelevel3setauthenticationpasswordcipher0HB8%-MB%I^[Q1R','&6NQ!!#return[Quidway]XX路由器和交換機(jī)配置地址轉(zhuǎn)換--------------------------------------------------------------------------------一.端口：路由器——ethernet（以太口）、Serial（串口）、loopback（虛擬端口）交換機(jī)——ethernet、vlan、loopback注意：交換機(jī)默認(rèn)其24個(gè)端口全在vlan1里面，交換機(jī)在給vlan配了ip之后就具有路由器的功能了。另一個(gè)需要注意的是，所用的端口是否被shutdown了，如果被shutdown了，需要進(jìn)入相應(yīng)的端口執(zhí)行undoshutdown。二.配置ip除了交換機(jī)的以太口不可以配置ip外，其他端口都可以，配置方法相同。[Quidway]interface*（所要配置的端口，如vlan1）[Quidway-*]ipadd*.*.*.*（ip）*.*.*.*（掩碼）/*（掩碼位數(shù)，一般只在路由器上適用）三.NAT上網(wǎng)（此命令是在VRP版本為3.4的路由器上測試的，在其他版本上是否適用，未經(jīng)考察）組網(wǎng)圖：R1E0/2E0/3E0/1E1:192.192.169.*/24E0:/24Ip:0/24網(wǎng)關(guān):Ip:1/24網(wǎng)關(guān):Ip:2/24網(wǎng)關(guān):Ip:3/24網(wǎng)關(guān):PCAPCBPCCE0/4TointernetPCDS1E0/5NAPT工作過程：P191.用地址池的方法上網(wǎng)：首先配置路由器的接口的ip地址，然后配置地址轉(zhuǎn)換，把所有內(nèi)網(wǎng)地址轉(zhuǎn)換成所配置的地址池中的地址，參考命令如下：[R1]aclnumber2000//在vrp為3.4的路由器上，2000-2999表示basicacl[R1-acl-basic-2000]rulepermitsource55（地址掩碼的反碼）[R1-acl-basic-2000]ruledenysourceany#這個(gè)訪問控制列表定義了IP源地址為/24的外出數(shù)據(jù)包[R1]nataddress-group1（地址池的組號(hào)）05#這條命令定義了一個(gè)包含6個(gè)公網(wǎng)地址（10～15）的地址池，地址池代號(hào)為1[R1]interfacee1[R1-Ethernet1]natoutbound2000（acl的編號(hào)）address-group1（地址池的代號(hào)）[R1]iproute-static（千萬不要忘記這一步，?。?上面設(shè)置了路由器的E0和E1端口IP地址，并在路由表中添加缺省路由。2.共用一個(gè)ip上網(wǎng)首先配置路由器的接口的ip地址，參考命令如下：system[Router]sysnameR1[R1]interfacee0[R1-Ethernet0]ipadd24[R1]interfacee1[R1-Ethernet1]ipadd024//這里假設(shè)出口ip是0然后配置地址轉(zhuǎn)換，參考命令如下：[R1]aclnumber2000//在vrp為3.4的路由器上，2000-2999表示basicacl[R1-acl-basic-2000]rulepermitsource55（地址掩碼的反碼）[R1-acl-basic-2000]ruledenysourceany#這個(gè)訪問控制列表定義了IP源地址為/24的外出數(shù)據(jù)包[R1]interfacee1[R1-Ethernet1]natserverprotocoltcpglobal0（E1的ip）inside（內(nèi)網(wǎng)網(wǎng)關(guān)E0的ip）[R1-Ethernet1]natoutbound2000（acl的編號(hào)）[R1]iproute-static#上面設(shè)置了路由器的E0和E1端口IP地址，并在路由表中添加缺省路由。注：有的組網(wǎng)圖可能會(huì)復(fù)雜一些，比如交換機(jī)上劃分了vlan，需要在路由器上添加到交換機(jī)的路由四、配置路由1.默認(rèn)路由[Quidway]iproute-static（目的地址）（地址掩碼）*.*.*.*（下一條地址）2.靜態(tài)路由[Quidway]iproute-static*.*.*.*（目的地址）*.*.*.*（地址掩碼）*.*.*.*（下一條地址）3.rip（交換機(jī)和路由器的配置相同）[Quidway]rip[Quidway-rip]network*.*.*.*（所要啟動(dòng)rip協(xié)議的端口的網(wǎng)絡(luò)號(hào)）4.ospf（交換機(jī)和路由器的配置相同）[Quidway]routerid*.*.*.*[Quidway]ospf[Quidway-ospf]area*（啟動(dòng)ospf的自治區(qū)域）[Quidway-ospf-area-0.0.0.*]network*.*.*.*（所要啟動(dòng)rip協(xié)議的端口的網(wǎng)絡(luò)號(hào)）*.*.*.*（網(wǎng)絡(luò)掩碼的反碼）注：要注意交換機(jī)/路由器對應(yīng)端口所在的自治區(qū)域。幀在網(wǎng)絡(luò)通信中的變化端口鏡像：將某些指定端口（出或入方向）的數(shù)據(jù)流量映射到監(jiān)控端口，以便集中使用數(shù)據(jù)捕獲軟件進(jìn)行數(shù)據(jù)分析[S1]intere0/13[S1-Ethernet0/13]portlink–typeTrunk[S1-Ethernet0/13]porttrunkpermitVLAN23這樣E0/13既屬于VLAN2又屬于VLAN3，“Tagged”表示從該端口通過的保溫都要打上IEEE802.1q標(biāo)記，用于標(biāo)記該報(bào)文所屬的VLAN。區(qū)域內(nèi)，每臺(tái)路由器描述的是自己能夠確保正確的信息--自己周邊的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)--無論路由器位于網(wǎng)絡(luò)中什么位置，都可以準(zhǔn)確無誤得接收到全網(wǎng)的拓?fù)浣Y(jié)構(gòu)圖；OSPF根據(jù)收集到的鏈路狀態(tài)用最短路徑樹算法計(jì)算路由，從算法上本身保證了不會(huì)生成自環(huán)路由；當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生變化時(shí)，會(huì)有一臺(tái)或多臺(tái)路由器感知到這一變化，重新描述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并將其通知給其它路由器，每個(gè)路由器收到更新信息后，都會(huì)立即重新運(yùn)行最短路徑樹算法，得到新的路由。區(qū)域間，通過ABR將一個(gè)區(qū)域內(nèi)已計(jì)算出的路由封裝成Type3類的LSA發(fā)送到另一個(gè)區(qū)域中來傳遞路由信息。此時(shí)的OSPF是基于D-V算法的。為消除自環(huán)，所有ABR將本區(qū)域內(nèi)的路由信息封裝成LSA后統(tǒng)一發(fā)送給骨干區(qū)域，再由骨干區(qū)域?qū)⑦@些信息發(fā)送給其他區(qū)域，骨干區(qū)域內(nèi)每一條LSA都確切知道生成者信息（所有區(qū)域必須和骨干區(qū)域相連，骨干區(qū)域自身也必須是連通的）。所以就不會(huì)產(chǎn)生路由自環(huán)。服務(wù)器00我要用的ip：13；網(wǎng)關(guān)：附：displayiproutingiproute-static*.*.*.*(目標(biāo)ip)*.*.*.*(掩碼)*.*.*.*(下一條ip)iproute*.*.*.*(目標(biāo)ip)*.*.*.*(掩碼)*.*.*.*(下一條ip)undoiproute-static*.*.*.*(目標(biāo)ip)*.*.*.*(掩碼)*.*.*.*(下一條ip)import-routestatic將靜態(tài)路由引入ospfdisplayospflsa假如S1上的vlan3與R1的e0/0相連，要設(shè)定其Metric值為100[S1]intervlan3[S1-Vlan-interface3]ospfcost100[R1]intere0/0[R1-Ethernet0]ospfcost100[R1]tracert*.*.*.*(目標(biāo)ip)1ip12ip23ip3說明R1到達(dá)目標(biāo)先到ip1再到ip2再到ip3(目標(biāo))，由此可得出最短路徑樹查看交換機(jī)的ＭＡＣ地址：displayarpXX路由器交換機(jī)VLAN配置實(shí)例--------------------------------------------------------------------------------使用4臺(tái)PC（pc多和少，原理是一樣的，所以這里我只用了4臺(tái)pc），XX路由器（R2621）、交換機(jī)（S3026e）各一臺(tái)，組建一VLAN，實(shí)現(xiàn)虛擬網(wǎng)和物理網(wǎng)之間的連接。實(shí)現(xiàn)防火墻策略，和訪問控制（ACL）。方案說明：四臺(tái)PC的IP地址、掩碼如下列表：P1網(wǎng)關(guān)IP為P2網(wǎng)關(guān)IP為P3網(wǎng)關(guān)IP為P4網(wǎng)關(guān)IP為路由器上Ethernet0的IP為Ethernet1的IP為firewall設(shè)置默認(rèn)為deny實(shí)施命令列表：交換機(jī)上設(shè)置，劃分VLAN：sys//切換到系統(tǒng)視圖[Quidway]vlanenable[Quidway]vlan2[Quidway-vlan2]porte0/1toe0/8[Quidway-vlan2]quit//默認(rèn)所有端口都屬于VLAN1,指定交換機(jī)的e0/1到e0/8八個(gè)端口屬于VLAN2[Quidway]vlan3[Quidway-vlan3]porte0/9toe0/16[Quidway-vlan3]quit//指定交換機(jī)的e0/9到e0/16八個(gè)端口屬于VLAN3[Quidway]disvlanall[Quidway]discu路由器上設(shè)置，實(shí)現(xiàn)訪問控制：[Router]interfaceethernet0[Router-Ethernet0]ipaddress[Router-Ethernet0]quit//指定ethernet0的ip[Router]interfaceethernet1[Router-Ethernet1]ipaddress[Router-Ethernet1]quit//開啟firewall，并將默認(rèn)設(shè)置為deny[Router]fireenable[Router]firedefaultdeny//允許訪問//firewall策略可根據(jù)需要再進(jìn)行添加[Router]acl101[Router-acl-101]rulepermitipsourcedestination[Router-acl-101]quit//啟用101規(guī)則[Router-Ethernet0]firepa101[Router-Ethernet0]quit[Router-Ethernet1]firepa101[Router-Ethernet1]quitXX三層以太網(wǎng)交換機(jī)基本原理及轉(zhuǎn)發(fā)流程--------------------------------------------------------------------------------1.二層轉(zhuǎn)發(fā)流程1.1.MAC地址介紹MAC地址是48bit二進(jìn)制的地址，如：00-e0-fc-00-00-06?？梢苑譃閱尾サ刂贰⒍嗖サ刂泛蛷V播地址。單播地址：第一字節(jié)最低位為0，如：00-e0-fc-00-00-06多播地址：第一字節(jié)最低位為1，如：01-e0-fc-00-00-06廣播地址：48位全1，如：ff-ff-ff-ff-ff-ff注意：1）普通設(shè)備網(wǎng)卡或者路由器設(shè)備路由接口的MAC地址一定是單播的MAC地址才能保證其與其它設(shè)備的互通。2）MAC地址是一個(gè)以太網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)上運(yùn)行的基礎(chǔ)，也是鏈路層功能實(shí)現(xiàn)的立足點(diǎn)。1.2.二層轉(zhuǎn)發(fā)介紹交換機(jī)二層的轉(zhuǎn)發(fā)特性，符合802.1D網(wǎng)橋協(xié)議標(biāo)準(zhǔn)。交換機(jī)的二層轉(zhuǎn)發(fā)涉及到兩個(gè)關(guān)鍵的線程：地址學(xué)習(xí)線程和報(bào)文轉(zhuǎn)發(fā)線程。學(xué)習(xí)線程如下：XX認(rèn)證技術(shù)文章21）交換機(jī)接收網(wǎng)段上的所有數(shù)據(jù)幀，利用接收數(shù)據(jù)幀中的源MAC地址來建立MAC地址表；2）端口移動(dòng)機(jī)制：交換機(jī)如果發(fā)現(xiàn)一個(gè)包文的入端口和報(bào)文中源MAC地址的所在端口不同，就產(chǎn)生端口移動(dòng)，將MAC地址重新學(xué)習(xí)到新的端口；3）地址老化機(jī)制：如果交換機(jī)在很長一段時(shí)間之內(nèi)沒有收到某臺(tái)主機(jī)發(fā)出的報(bào)文，在該主機(jī)對應(yīng)的MAC地址就會(huì)被刪除，等下次報(bào)文來的時(shí)候會(huì)重新學(xué)習(xí)。注意：老化也是根據(jù)源MAC地址進(jìn)行老化。報(bào)文轉(zhuǎn)發(fā)線程:1）交換機(jī)在MAC地址表中查找數(shù)據(jù)幀中的目的MAC地址，如果找到，就將該數(shù)據(jù)幀發(fā)送到相應(yīng)的端口，如果找不到，就向所有的端口發(fā)送；2）如果交換機(jī)收到的報(bào)文中源MAC地址和目的MAC地址所在的端口相同，則丟棄該報(bào)文；3）交換機(jī)向入端口以外的其它所有端口轉(zhuǎn)發(fā)廣播報(bào)文。1.3.VLAN二層轉(zhuǎn)發(fā)介紹報(bào)文轉(zhuǎn)發(fā)線程:引入了VLAN以后對二層交換機(jī)的報(bào)文轉(zhuǎn)發(fā)線程產(chǎn)生了如下的影響：1）交換機(jī)在MAC地址表中查找數(shù)據(jù)幀中的目的MAC地址，如果找到（同時(shí)還要確保報(bào)文的入VLAN和出VLAN是一致的），就將該數(shù)據(jù)幀發(fā)送到相應(yīng)的端口，如果找不到，就向（VLAN內(nèi)）所有的端口發(fā)送；2）如果交換機(jī)收到的報(bào)文中源MAC地址和目的MAC地址所在的端口相同，則丟棄該報(bào)文；3）交換機(jī)向（VLAN內(nèi)）入端口以外的其它所有端口轉(zhuǎn)發(fā)廣播報(bào)文。以太網(wǎng)交換機(jī)上通過引入VLAN，帶來了如下的好處：1）限制了局部的網(wǎng)絡(luò)流量，在一定程度上可以提高整個(gè)網(wǎng)絡(luò)的處理能力。2）虛擬的工作組，通過靈活的VLAN設(shè)置，把不同的用戶劃分到工作XX認(rèn)證技術(shù)文章3組內(nèi)；3）安全性，一個(gè)VLAN內(nèi)的用戶和其它VLAN內(nèi)的用戶不能互訪，提高了安全性。另外，還有常見的兩個(gè)概念VLAN的終結(jié)和透傳，從字面意思上就可以很好的了解這兩個(gè)概念。所謂VLAN的透傳就是某個(gè)VLAN不僅在一臺(tái)交換機(jī)上有效，它還要通過某種方法延伸到別的以太網(wǎng)交換機(jī)上，在別的設(shè)備上照樣有效；終結(jié)的意思及相對，某個(gè)VLAN的有效域不能再延伸到別的設(shè)備，或者不能通過某條鏈路延伸到別的設(shè)備。VLAN透傳可以使用802.1Q技術(shù)，VLAN終結(jié)可以使用PVLAN技術(shù)。IEEE802.1Q協(xié)議是VLAN的技術(shù)標(biāo)準(zhǔn),主要是修改了標(biāo)準(zhǔn)的幀頭，添加了一個(gè)tag字段，其中包含了VLANID等VLAN信息，具體實(shí)現(xiàn)這里不談，如果有興趣可以看相關(guān)的標(biāo)準(zhǔn)和資料。注意：在Trunk端口轉(zhuǎn)發(fā)報(bào)文的時(shí)候，如果報(bào)文的VLANTag等于端口上配置的默認(rèn)VLANID，則該報(bào)文的Tag應(yīng)該去掉，對端收到這個(gè)不帶Tag信息的報(bào)文后，從端口的PVID獲得報(bào)文的所屬VLAN信息，因此配置的時(shí)候必須保證連接兩臺(tái)交換機(jī)之間的一條Trunk鏈路兩端的PVID設(shè)置相同。為什么要去Tag呢？這樣做是為了保證一般的用戶插到Trunk上以后，仍舊可以正常通信，因?yàn)槠胀ㄓ脩魺o法識(shí)別帶有802.1QVlan信息的報(bào)文。使用802.1Q技術(shù)可以很好的實(shí)現(xiàn)VLAN的透傳，可是有的時(shí)候需要把VLAN終結(jié)掉，也就是說這個(gè)VLAN邊界在哪里終止，PVLAN技術(shù)可以很好的實(shí)現(xiàn)這個(gè)功能，同時(shí)達(dá)到節(jié)省VLAN的目的。cisco的PVLAN意思是privatevlan，而我們的PVLAN意思是primaryvlan。這里的VLAN有兩類：Primaryvlan和secondaryvlan（子VLAN）。實(shí)現(xiàn)了接入用戶二層報(bào)文的隔離，同時(shí)上層交換機(jī)下發(fā)的報(bào)文可以被每一個(gè)用戶接收到，簡化了配置，節(jié)省了VLAN資源。具體實(shí)現(xiàn)這里不談，如果有興趣可以相關(guān)資料。XX認(rèn)證技術(shù)文章4下面談?wù)勅龑咏粨Q流程。用VLAN分段，隔離了VLAN間的通信，用支持VLAN的路由器（三層設(shè)備）可以建立VLAN間通信。但使用路由器來互聯(lián)企業(yè)園區(qū)網(wǎng)中不同的VLAN顯然不合時(shí)代的潮流。因?yàn)槲覀兛梢允褂萌龑咏粨Q來實(shí)現(xiàn)。差別1（性能）：傳統(tǒng)的路由器基于微處理器轉(zhuǎn)發(fā)報(bào)文，靠軟件處理，而三層交換機(jī)通過ASIC硬件來進(jìn)行報(bào)文轉(zhuǎn)發(fā)，性能差別很大；差別2（接口類型）：三層交換機(jī)的接口基本都是以太網(wǎng)接口，沒有路由器接口類型豐富；差別3：三層交換機(jī)，還可以工作在二層模式，對某些不需路由的包文直接交換，而路由器不具有二層的功能。首先讓我們看一下設(shè)備互通的過程：如圖所示：交換機(jī)上劃分了兩個(gè)VLAN，在VLAN1，VLAN2上配置了路由接口用來實(shí)現(xiàn)vlan1和vlan2之間的互通。A和B之間的互通（以A向B發(fā)起ping請求為例）：1）A檢查報(bào)文的目的IP地址，發(fā)現(xiàn)和自己在同一個(gè)網(wǎng)段；2）A---->BARP請求報(bào)文，該報(bào)文在VLAN1內(nèi)廣播；3）B---->AARP回應(yīng)報(bào)文；4）A---->Bicmprequest;5）B---->Aicmpreply;A和C之間的互通（以A向C發(fā)起ping請求為例）：1）A檢查報(bào)文的目的IP地址，發(fā)現(xiàn)和自己不在同一個(gè)網(wǎng)段；2）A---->switch（intvlan1）ARP請求報(bào)文，該報(bào)文在VLAN1內(nèi)廣播；XX認(rèn)證技術(shù)文章53）網(wǎng)關(guān)---->AARP回應(yīng)報(bào)文；4）A---->switchicmprequest（目的MAC是intvlan1的MAC，源MAC是A的MAC，目的IP是C，源IP是A）；5）switch收到報(bào)文后判斷出是三層的報(bào)文。檢查報(bào)文的目的IP地址，發(fā)現(xiàn)是在自己的直連網(wǎng)段；6）switch（intvlan2）---->CARP請求報(bào)文，該報(bào)文在VLAN2內(nèi)廣播；7）C--->switch（intvlan2）ARP回應(yīng)報(bào)文；8）switch（intvlan2）---->Cicmprequest（目的MAC是C的MAC，源MAC是intvlan2的MAC，目的IP是C，源IP是A）同步驟4）相比報(bào)文的MAC頭進(jìn)行了重新的封裝，而IP層以上的字段基本上不變；9）C---->Aicmpreply，這以后的處理同前面icmprequest的過程基本相同。以上的各步處理中，如果ARP表中已經(jīng)有了相應(yīng)的表項(xiàng)，則不會(huì)給對方發(fā)ARP請求報(bào)文。怎么樣來區(qū)分二和三層的數(shù)據(jù)流？3526產(chǎn)品是三層以太網(wǎng)交換機(jī)，在其處理流程中既包括了二層的處理功能，又包括了三層的處理功能。區(qū)別二三層轉(zhuǎn)發(fā)的基本模型：vlan1vlan2ACB如圖所示：三層交換機(jī)劃分了2個(gè)VLAN，A和B之間的通信是在一個(gè)VLAN內(nèi)6完成，對與交換機(jī)而言是二層數(shù)據(jù)流，A和C之間的通信需要跨越VLAN，是三層的數(shù)據(jù)流。上面提到的是宏觀的方法，具體到微觀的角度，一個(gè)報(bào)文從端口進(jìn)入后，Swtich設(shè)備是怎么來區(qū)分二層包文，還是三層報(bào)文的呢？從A到B的報(bào)文由于在同一個(gè)VLAN內(nèi)部，報(bào)文的目的MAC地址將是主機(jī)B的MAC地址，而從A到C的報(bào)文，要跨越VLAN，報(bào)文的目的MAC地址是設(shè)備虛接口VLAN1上的MAC地址。因此交換機(jī)區(qū)分二三層報(bào)文的標(biāo)準(zhǔn)就是看報(bào)文的目的MAC地址是否等于交換機(jī)虛接口上的MAC地址。以XXS3526交換機(jī)為例，三層交換機(jī)整個(gè)處理流程中分成了三個(gè)大的部分：1）平臺(tái)軟件協(xié)議棧部分這部分中關(guān)鍵功能有：運(yùn)行路由協(xié)議，維護(hù)路由信息表；IP協(xié)議棧功能，在整個(gè)系統(tǒng)的處理流程中，這部分擔(dān)負(fù)著重要的功能，當(dāng)硬件不能完成報(bào)文轉(zhuǎn)發(fā)的時(shí)候，這部分可以代替硬件來完成報(bào)文的三層轉(zhuǎn)發(fā)。另外對交換機(jī)進(jìn)行telnet,ping,ftp,snmp的數(shù)據(jù)流都是在這部分來處理。舉例：showiproute：RoutingTables:Destination/MaskProtoPreMetricNexthopInterface/0Static600VLAN-Interface/21Direct00VLAN-Interface/32Direct00InLoopBack0/30Direct000VLAN-Interface0/32Direct00InLoopBack0/8Direct00InLoopBack0/32Direct00InLoopBack0XX認(rèn)證技術(shù)文章7維護(hù)ARP表showarp：IpAddressMac_AddressVLANIDPortNameType00e0.fc00.55182GigabitEthernet2/1Dynamic50010.b555.f0391Ethernet0/9Dynamic00800.20aa.f41d1Ethernet0/10Dynamic370010.a4aa.fce61Ethernet0/12Dynamic00010.b555.e04f1Ethernet0/8Dynamic2）硬件處理流程主要的表項(xiàng)是：二層MAC地址表，和三層的ipfdb表，這兩個(gè)表中用于保存轉(zhuǎn)發(fā)信息，在轉(zhuǎn)發(fā)信息比較全的情況下，報(bào)文的轉(zhuǎn)發(fā)和處理全部由硬件來完成處理，不需要軟件的干預(yù)。這兩個(gè)表的功能是獨(dú)立的，沒有相互的關(guān)系，因?yàn)橐粋€(gè)報(bào)文只要一進(jìn)入交換機(jī)，硬件就會(huì)區(qū)分出這個(gè)包是二層還是三層。非此即彼。例如：showmacall：MACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)0000.21cf.73f41LearnedEthernet0/192660002.557c.5a0004.7673.0b381LearnedEthernet0/92620005.5d04.96481LearnedEthernet0/162320005.5df5.9f641LearnedEthernet0/16300MAC地址表是精確匹配的IVL方式，其中關(guān)鍵的參數(shù)是：VlanID,Portindex。例如：showipfdball：0:System1:Learned2:UsrCfgAge3:UsrCfgnoAgeOther:ErrorIpAddressRtIfVtagVTValidPortMacStatus722InvalidGigabitEthernet2/100-e0-fc-00-55-18822InvalidGigabitEthernet2/100-e0-fc-00-55-1822InvalidGigabitEthernet2/100-e0-fc-00-55-180022InvalidGigabitEthernet2/100-e0-fc-00-55-182XX認(rèn)證技術(shù)文章80322InvalidGigabitEthernet2/100-e0-fc-00-55-180622InvalidGigabitEthernet2/100-e0-fc-00-55-182路由接口索引（RtIf）：該索引用來確定該轉(zhuǎn)發(fā)表項(xiàng)位于哪個(gè)路由接口下面，對3526產(chǎn)品來講，支持的路由接口數(shù)目是32；Vlantag:該值用來表明所處的VLAN，該VLAN和路由接口是對應(yīng)的；Vlantag有效位（VTValid）：用來標(biāo)識(shí)轉(zhuǎn)發(fā)出去的報(bào)文中是否需要插入Vlantag標(biāo)記。端口索引（Port）：用來說明該轉(zhuǎn)發(fā)表項(xiàng)的出端口；下一跳MAC：三層設(shè)備每完成一跳的轉(zhuǎn)發(fā)，會(huì)重新封裝報(bào)文中的MAC頭，硬件ASIC芯片一般依據(jù)這個(gè)域里面的數(shù)值來封裝報(bào)文頭。兩個(gè)重要的概念：解析，未解析，每次收到報(bào)文，ASIC都會(huì)從其中提取出源和目的地址在MACTable或者IPFdbTable中進(jìn)行查找，如果地址在轉(zhuǎn)發(fā)表中可以找到，則認(rèn)為該地址是解析的，如果找不到，則認(rèn)為該地址是未解析的。根據(jù)這個(gè)地址是源，還是目的，還可以有源解析，目的未解析等等的組合。對于二層未解析，硬件本身可以將該報(bào)文在VLAN內(nèi)廣播，但是對于三層報(bào)文地址的未解析報(bào)文硬件本身則不對該報(bào)文進(jìn)行任何的處理，而產(chǎn)生CPU中斷，靠軟件來處理。硬件部分的處理可以用這句話來描述：收到報(bào)文后，判斷該報(bào)文是二或是三層報(bào)文，然后判斷其中的源，目的地址是否已經(jīng)解析，如果已經(jīng)解析，則硬件完成該報(bào)文的轉(zhuǎn)發(fā)，如果是未解析的情況，則產(chǎn)生CPU中斷，靠軟件來學(xué)習(xí)該未解析的地址。3）驅(qū)動(dòng)代碼部分其中關(guān)鍵的核心有：地址解析任務(wù)：在該任務(wù)中對已經(jīng)報(bào)上來的未解析的地址進(jìn)行學(xué)習(xí)，以便硬件完成后續(xù)的報(bào)文的轉(zhuǎn)發(fā)而不需軟件干預(yù)。地址管理任務(wù)：為了便于軟件管理和維護(hù)，軟件部分保存了一份同硬件中轉(zhuǎn)發(fā)表相同的地址表copy。XX認(rèn)證技術(shù)文章9fib（forwardinginformationbase）表:這個(gè)表的信息來源于iproutetable中的路由信息，之所以把它放在了driver部分，是為了地址解析任務(wù)在學(xué)IP地址時(shí)查找的方便。舉例：showfib：Destination/MaskNexthopFlagInterface/0IVLAN-Interface/21DVLAN-Interface/32DInLoopBack0/300DVLAN-Interface0/32DInLoopBack0/8DInLoopBack0三層轉(zhuǎn)發(fā)主要涉及到兩個(gè)關(guān)鍵的線程：地址學(xué)習(xí)線程和報(bào)文轉(zhuǎn)發(fā)線程，這個(gè)和二層的線程是類似的；1）報(bào)文轉(zhuǎn)發(fā)線程主要根據(jù)地址學(xué)習(xí)線程生成的轉(zhuǎn)發(fā)表（ipfdbtable）信息來對報(bào)文進(jìn)行轉(zhuǎn)發(fā)，如果里面的信息足夠多，這個(gè)轉(zhuǎn)發(fā)的過程全部由硬件來完成，如果信息不夠，則會(huì)要求地址學(xué)習(xí)線程來進(jìn)行學(xué)習(xí)，同時(shí)該報(bào)文硬件不能轉(zhuǎn)發(fā)，會(huì)交給軟件協(xié)議棧來進(jìn)行轉(zhuǎn)發(fā)。2）地址學(xué)習(xí)線程主要用來生成硬件轉(zhuǎn)發(fā)表（ipfdbtable）其實(shí)ipfdbtable和二層的MAC地址表也是類似的，只不過里面的具體表項(xiàng)所代表的含義和所起的作用不同罷了。有一個(gè)問題：在路由器等軟件轉(zhuǎn)發(fā)引擎中，每收一個(gè)報(bào)文都會(huì)去查路由表查下一跳，然后再查ARP表找下一跳的MAC，可是在三層交換機(jī)（如S3526）中，報(bào)文轉(zhuǎn)發(fā)的時(shí)候不需要去查路由表和ARP表，這樣的話，這兩個(gè)表是不是就沒有什么作用了？回答當(dāng)然是否定的，在S3526的三層轉(zhuǎn)發(fā)流程中，過程一般都是這樣的，第一個(gè)報(bào)文硬件無法轉(zhuǎn)發(fā)，要進(jìn)行IP地址的學(xué)習(xí)，同時(shí)為了保證不丟包，該報(bào)文也由軟件來進(jìn)行轉(zhuǎn)發(fā)，在學(xué)習(xí)完成以后，第二，第三個(gè)報(bào)文以XX認(rèn)證技術(shù)文章10后就一直是由硬件來完成轉(zhuǎn)發(fā)了，這個(gè)過程也可以套用“一次路由，多次交換”來形象的進(jìn)行總結(jié)，在一次路由中，要利用路由表和ARP表來學(xué)習(xí)IP地址，和轉(zhuǎn)發(fā)第一個(gè)報(bào)文，在以后的多次交換過程中，則只要有ipfdbtable就可以了。路由器網(wǎng)絡(luò)接口解析大全--------------------------------------------------------------------------------路由器網(wǎng)絡(luò)接口解析大全我們將通過以下幾個(gè)方面來對路由器網(wǎng)絡(luò)接口進(jìn)行全面的介紹和分析。1)接口和活動(dòng)狀態(tài)(2)硬件字段為你提供接口的硬件類型(3)Internet地址(4)MTU(5)BW(6)DLY(7)可靠性(8)負(fù)載(9)封裝(10)回送(11)ARP類型(12)ARP超時(shí)(13)最后的輸入和輸出(14)輸出中斷(15)最后一次清除(16)排隊(duì)策略(17)隊(duì)列消息(18)5-分鐘I/O速率(19)分組和字節(jié)輸入(20)無緩沖(21)接收的廣播(22)Runts(23)Giants(24)Throttles實(shí)例:Router#showinterfacee0/0Ethernet0/0isup,lineprotocolisdownHardwareisAmdP2,addressis0009.4375.5e20(bia0009.4375.5e20)Internetaddressis3/24MTU1500bytes,BW10000Kbit,DLY1000usec,reliability172/255,txload3/255,rxload39/255EncapsulationARPA,loopbacknotsetKeepaliveset(10sec)ARPtype:ARPA,ARPTimeout04:00:00Lastinputnever,output00:00:07,outputhangneverLastclearingof"showinterface"countersneverInputqueue:0/75/0/0(size/max/drops/flushes);Totaloutputdrops:0Queueingstrategy:fifoOutputqueue:0/40(size/max)5minuteinputrate0bits/sec,0packets/sec5minuteoutputrate0bits/sec,0packets/sec0packetsinput,0bytes,0nobufferReceived0broadcasts,0runts,0giants,0throttles0inputerrors,0CRC,0frame,0overrun,0ignored0inputpacketswithdribbleconditiondetected50packetsoutput,3270bytes,0underruns50outputerrors,0collisions,2interfaceresets0babbles,0latecollision,0deferred50lostcarrier,0nocarrier0outputbufferfailures,0outputbuffersswappedout(1)接口和活動(dòng)狀態(tài)在上面的顯示中，內(nèi)容表示硬件接口是活動(dòng)的，而處理行協(xié)議的軟件過程相信此接口可用。如果路由器操作員拆卸此硬件接口，第一個(gè)字段將顯示信息isadministrativelydown.如果路由器在活動(dòng)間隔內(nèi)收到5000個(gè)以上的錯(cuò)誤，單詞Disabled將出現(xiàn)在此字段中，以顯示連路由器自動(dòng)禁用此端口。行協(xié)議字段還顯示以前提到的三個(gè)描述之一：up、down、administrativelydown.如果字段項(xiàng)是up,則表示處理行協(xié)議和軟件過程相信此接口可用，因?yàn)樗诮邮誯eepalives的目的也是如此，其他設(shè)備可以確定某個(gè)空閑連接是否仍然活動(dòng)。對于以太網(wǎng)接口，Keepalives的默認(rèn)值是10s。我們不久將注意到，Keepalives設(shè)置可以通過為特定接口使用showinterfaces命令來獲得?？梢杂胟eepaliveinterface命令來改變keepalives設(shè)置。此命令的格式如下：Keepaliveseconds(2)硬件字段為你提供接口的硬件類型在以上的例子中，硬件是CISCO擴(kuò)展總線(CxBus)以太網(wǎng)，即接口處理器的533-Mbps數(shù)據(jù)總線。因此，硬件通知我們高速CxBus接口處理器用于支持以太網(wǎng)連接。同時(shí)還要注意顯示字段包括接口的Mac地址。Mac是48位長的。因?yàn)镸ac地址的頭24位是表示生產(chǎn)廠家ID，所以十六進(jìn)制數(shù)00-10-79是由IEEE分配給Csico的標(biāo)識(shí)符。(3)Internet地址如果某個(gè)接口是為IP路由配置，那么將為它分配一個(gè)Internet地址。此地址后面是他的子網(wǎng)掩碼。IP地址是/24。反斜杠(/)后面表示此地址的頭24位表示網(wǎng)絡(luò)，他等于子網(wǎng)掩碼。(4)MTU最大傳輸單元（MTU）表示運(yùn)行在接口上的協(xié)議的信息字段所支持的最大字節(jié)數(shù)。因?yàn)橐蕴W(wǎng)楨的信息字段的最大長度是1500字節(jié)，所以它的MTU顯示為1500字節(jié)。對于幾乎所有的以太網(wǎng)應(yīng)用程序，默認(rèn)的1500字節(jié)MTU應(yīng)該是有效的。對于令牌環(huán)，默認(rèn)的MTU值為8192字節(jié)；但是應(yīng)該注意的一點(diǎn)是RFC1191建議的MTU值為16-Mbps令牌環(huán)選擇17914的，而為4-Mbps令牌環(huán)選擇4464字節(jié)。最小的MTU是64個(gè)字節(jié)，而最大的值是65535字節(jié)。如果IP數(shù)據(jù)報(bào)超過最大的MTU，將對它進(jìn)行分段，這將增加額外開銷，因?yàn)槊總€(gè)最后的數(shù)據(jù)報(bào)都包含它自己的報(bào)頭。雖然在高速LAN連接中，通常無需擔(dān)心與分段有關(guān)的額外開銷，但在低速串行接口上，這可能會(huì)是一個(gè)比較嚴(yán)重的問題。可以用MTUinterface命令來改變默認(rèn)的MTU，此命令格式如下：mtubytes字節(jié)數(shù)可以是從64~6553。(5)BW接口帶寬(BW)通常指的是接口的運(yùn)行速率，用每秒千字節(jié)表示。因?yàn)橐蕴W(wǎng)運(yùn)行速率為10Mbps，所以BW值顯示為10000Kb?？梢杂肂andwidth命令設(shè)置信息帶寬值，但實(shí)際上不用它來調(diào)整接口的帶寬，因?yàn)閷τ谀承╊愋偷慕橘|(zhì)，如以太網(wǎng)，帶寬是固定的。對于其他的介質(zhì)，如串行線，通常通過調(diào)整硬件來調(diào)整其運(yùn)行速率。例如通過DSU/CSU上設(shè)置不同的時(shí)鐘速率來提高或降低串行接口的運(yùn)行速率。因此，bandwidth命令主要目的是使當(dāng)前帶寬與高層協(xié)議通信?？梢酝ㄟ^以下命令格式設(shè)置帶寬值，千位表示以千位每秒表示的帶寬。Bandwidthkilobits(6)DLY此字段表示接口的延遲，用微秒表示。以太網(wǎng)的延遲（DLY）為1000s?？梢允褂胐elayinterface命令為接口設(shè)置延遲值。此命令的格式如下：delaytens-of-microseconds(7)可靠性可靠性字段表示接口的可靠性，用255分之幾表示。此字段中所顯示的值由在5分鐘內(nèi)的冪平均值計(jì)算。因?yàn)橐蕴W(wǎng)為每個(gè)楨計(jì)算CRC，所以可靠性是基于CRC錯(cuò)誤率，而不是位錯(cuò)誤率。255/255表示接口在5分鐘內(nèi)100%可靠。雖然沒有可靠性命令，可以考慮定期使用的一個(gè)重要命令是clearconuterEXEC命令。此命令的功能是清楚或重置接口計(jì)數(shù)器。此命令的一般格式取決于正在使用的路由器。下面顯示的是第二種格式用于Cisco7000系列產(chǎn)品：clearcounter[typenumber]clearcounter[typeslot/port]type表示特定的接口類型。如果你不指定特定接口，所有接口的計(jì)數(shù)器都被清除。(8)負(fù)載接口上的發(fā)送和接收負(fù)載均顯示為255分之幾。與可靠性字段類似，負(fù)載字段也是計(jì)算5分鐘內(nèi)的冪平均值。從上面可以看出，發(fā)送(Txload)負(fù)載表示為3/255，而接收(rxload)負(fù)載為39/255。因?yàn)橐蕴W(wǎng)運(yùn)行速率為10Mbps，所以可以通過將每分?jǐn)?shù)乘以運(yùn)行速率來獲得接口活動(dòng)的一般指示。這是因?yàn)槊總€(gè)以太網(wǎng)楨都至少有26個(gè)額外字節(jié)，而當(dāng)信息字段少于45字節(jié)時(shí)，將使PAD字符添加到信息字段中。(9)封裝此字段表示分配給接口的封裝方法。在上面的例子中，封裝顯示為ARPA，他的標(biāo)準(zhǔn)的以太網(wǎng)2.0版封裝方法。其他封裝方法還包括IEEE802.3以太網(wǎng)的關(guān)鍵字iso1,以及IEEE802.3楨的關(guān)鍵字snap（子網(wǎng)訪問協(xié)議）楨變異。(10)回送回送字段表示接口是否處于運(yùn)行的回送模式。如果設(shè)置回送，這是當(dāng)技術(shù)人員夜間將接口放入回送接口進(jìn)行測試，而忘了重置回送時(shí)發(fā)生的常見問題，這會(huì)導(dǎo)致第二天早上會(huì)有一些有趣的電話打到控制中心。可以使用Loopbackinterface設(shè)置命令將接口置于運(yùn)行的回送模式。Loopback命令沒有參數(shù)，應(yīng)使用noLoopback命令刪除或禁用回送。以下例子顯示了將以太網(wǎng)接口設(shè)置為回送模式。Interfaceethernet0/0Loopback可以使用showinterfaceloopbackEXEC命令查看回送的狀態(tài)。如果你的路由器有大量的接口，并且技術(shù)人員進(jìn)行定期檢測，那么在一大早使用此命令以避免不必要的問題是一個(gè)不錯(cuò)的主意。(11)ARP類型此字段表示分配的地址解析協(xié)議（ARP）類型。在IP環(huán)境中，ARP類型是ARPA。默認(rèn)情況下，以太網(wǎng)接口使用ARPA關(guān)鍵字以指定IP接口上的ARPA封裝?？梢酝ㄟ^使用arpinterface命令將封裝更改為HPPROBE或SNAP，此命令格式如下：arp{arpa/probe/snap}請注意HPProbe被IOS用于試圖解析IEEE802.3或以太網(wǎng)本地?cái)?shù)據(jù)連路地址。應(yīng)將ARP類型設(shè)為probe,以使得一個(gè)或多個(gè)路由器接口透明地與使用稱為”虛擬地址請求和回復(fù)”的地址解析技術(shù)的HPIEEE802.3主機(jī)通信。(12)ARP超時(shí)此字段表示當(dāng)非活動(dòng)時(shí)，ARP項(xiàng)在清洗之前保留于緩存中的時(shí)間長度。ARP超時(shí)的默認(rèn)值為4個(gè)小時(shí)，如上面例子所示：可以通過使用ARPtimeout命令調(diào)整ARP緩存項(xiàng)在緩存中的時(shí)間長度。此命令格式如：arptimeoutseconds(13)最后的輸入和輸出此字段表示最后一個(gè)分組或偵被接口成功接收或發(fā)送以來的小時(shí)、分鐘和秒數(shù)?？梢允褂么俗侄沃械闹荡_定活動(dòng)接口是否依然激活或者死接口何時(shí)出現(xiàn)故障。關(guān)于前者，在第一個(gè)showinterface命令指示接口新的最后輸出(這還可以指示是否有問題發(fā)生)后10秒或1分鐘，再輸入第二個(gè)showinterface命令。它還表示如果出現(xiàn)問題，并非由于無法接收分組。例如，上面的例子中，最后一個(gè)成功輸入發(fā)生在2秒之前。如果我們等待幾秒，并發(fā)布又一個(gè)showinterface命令，就可以獲得對此計(jì)數(shù)器的更新。(14)輸出中斷輸出中斷字段表示自接口由于發(fā)送時(shí)間太長而進(jìn)行最后一次重置以來的時(shí)間。此字段的值用小時(shí)、分鐘和秒數(shù)指定，或者如果未發(fā)生中斷(hang)情況，將永不顯示。如果自最后一次重置以來的小時(shí)數(shù)超過24，將顯示天數(shù)和小時(shí)數(shù)，直到字段益出。當(dāng)發(fā)生此情形時(shí)，將在此字段中顯示星號(hào)(*)。(15)最后一次清除此字段表示測量累計(jì)統(tǒng)計(jì)信息的接口計(jì)數(shù)器最后一次被重置為0的時(shí)間。清除會(huì)影響幾乎所以的統(tǒng)計(jì)信息，除了諸如負(fù)載和可靠性等路由統(tǒng)計(jì)信息之外。最后一次清除所顯示的實(shí)際值是基于32位ms計(jì)數(shù)器的使用。顯示星號(hào)表示經(jīng)過的時(shí)間太長無法顯示，而顯示0:00:00表示計(jì)數(shù)器在2的31次冪ms到2的32次冪ms之前清除。在許多路由器上最后一次清除值將以星期和月或日和小時(shí)表示。例如，在上面的例子里，showinterfaces計(jì)數(shù)器最后一次清除顯示為1w2d。(16)排隊(duì)策略此字段表示分配給接口的配對策略。默認(rèn)為先入后出(Firstinfirstout,FIFO)。如果以前為接口分配了優(yōu)先級(jí)配對方式，將在此字段中列出此配對方法。(17)隊(duì)列消息對于輸出和輸入隊(duì)列，顯示為m/n形式的一隊(duì)數(shù)字，隨后是由于隊(duì)列已滿而丟失的分組數(shù)。這里替代了m的值表示隊(duì)列中的分組數(shù)，而替代n的值表示用分組表示最大隊(duì)列大小。通過檢查丟失的分組數(shù)以及在一段時(shí)間內(nèi)m和n之間的關(guān)系，就可以確定是否需要建議對特定接口的隊(duì)列長度進(jìn)行調(diào)整以減少丟失的分組。但是，還應(yīng)考慮與接口相連的介質(zhì)和使用級(jí)別，以確定對輸出隊(duì)列長度進(jìn)行調(diào)試是否有益。使用率高的介質(zhì)最有可能引起隊(duì)列中分組的丟失：路由器在傳輸數(shù)據(jù)時(shí)，將遭遇困難，從而導(dǎo)致輸出分組排隊(duì)，而這反過來導(dǎo)致當(dāng)輸出隊(duì)列已滿，且有其他分組到達(dá)以便通過接口傳輸?shù)浇橘|(zhì)時(shí)出現(xiàn)分組丟失。在輸入方，丟失的分組和m和n的較大比值表示路由器正忙于進(jìn)行其他工作，而無法適時(shí)地處理進(jìn)入的分組。如果次情形持續(xù)的時(shí)間比較長，則通常表示需要一個(gè)更強(qiáng)大的路由器以滿足工作需要。通常，此情形可通過許多路由器接口的進(jìn)入方向上的大量丟失的分組而觀察到。在上面的showinterfaces中隊(duì)列信息字段值顯示目前任一隊(duì)列中均無分組。而且，雖然輸出隊(duì)列已滿而造成63個(gè)分組丟失，但沒有分組由于輸入隊(duì)列而丟失。后者是一種常見情形，因?yàn)榇蠖鄶?shù)路由器（除非配置過度）不應(yīng)該在處理進(jìn)入的數(shù)據(jù)方面有問題。(18)5-分鐘I/O速率下一個(gè)字段顯示在前5分鐘通過接口發(fā)送和接收的平均位數(shù)和平均分組數(shù)。當(dāng)解釋在此字段中顯示的數(shù)據(jù)時(shí)，必須考慮幾個(gè)因素。首先，必須考慮接口的運(yùn)行模式和接口相連的網(wǎng)絡(luò)的配置。例如，如果接口是LAN接口，則即可以運(yùn)行在混亂模式，從而度曲LAN上的每一偵，也可以運(yùn)行在非混亂模式，即僅讀取廣播榛和直接投遞到接口的楨。如果端口處于混亂模式，則讀取所有的分組，并提供一種測試在網(wǎng)絡(luò)中流動(dòng)的數(shù)據(jù)的方法。如果接口不處于混亂狀態(tài)，則僅對她發(fā)送和接收的流量有感覺，這可能只占網(wǎng)絡(luò)中所有流量的一小部分?？紤]到網(wǎng)絡(luò)配置，如果接口連接到只有一個(gè)站的LAN，如WEB服務(wù)器，那么所有的流量將流經(jīng)路由器的接口。這意味著可以獲得一種相對準(zhǔn)確的測試網(wǎng)絡(luò)活動(dòng)方法，而無需考慮接口所處的模式。需要考慮的另一個(gè)因素是5分鐘I/O速率表示5分鐘時(shí)間常數(shù)的冪平均值之一事實(shí)。因此，任意一個(gè)5分鐘I/O速率都是這段時(shí)間內(nèi)每秒流量的大概值。但是4個(gè)5分鐘的時(shí)間跨度所產(chǎn)生的平均值將在20分鐘的統(tǒng)一流量的即時(shí)速率的2%以內(nèi)。因?yàn)榉纸M的長度可變，所以每秒位率通常比從傳輸介質(zhì)角度檢查接口上的活動(dòng)更有用。在上面的例子中，輸入速率1540000bps約表示接口運(yùn)行速率的1/6。你可能會(huì)感到奇怪，為什么輸入速率比接口輸出速率大將近一個(gè)數(shù)量級(jí)，回答在于接口的連接。在這一特定的路由器使用環(huán)境中，以太網(wǎng)接口連接到一個(gè)只具有一個(gè)另外的站（即公司W(wǎng)EB服務(wù)器）的10BASE-TLAN。WEB頁請求以統(tǒng)一資源定位器（URL）的形式流動(dòng)，而對URL請求的響應(yīng)是WEB頁；這解釋了為什么輸入和輸出方向上的流量級(jí)別不成正比?，F(xiàn)在，我們了解了5分鐘I/O速率，接下來讓我們介紹可為某個(gè)接口顯示的特定分組的輸入和輸出信息。(19)分組和字節(jié)輸入此字段首先表示路由器接收的無錯(cuò)誤分組的總數(shù)量。其次，它還表示路由器接收的無錯(cuò)誤分組的總字節(jié)數(shù)。如果用字節(jié)數(shù)除以分組數(shù)，就可以獲得字節(jié)表示的平均分組長度。此信息可用于為在接口上流動(dòng)的流量類型提供一般表示。例如，相對短的分組通常傳輸交互式的查詢/響應(yīng)流量，而相對長的分組通常傳輸包括WEB頁的文件及包含在大多數(shù)這些頁中的圖形。(20)無緩沖無緩沖字段表示接口所接收的、由于路由器缺乏緩沖空間而不得不丟棄的分組數(shù)。不要將此緩沖空間與接口的內(nèi)部緩沖弄混。當(dāng)出現(xiàn)連續(xù)的“無緩沖”情形時(shí)，通常表示路由器需要更多的內(nèi)存。但是，如果定期遇到nobuffers值，則可能是由于LAN上的廣播風(fēng)暴或者串行端口上的噪音發(fā)作所致。可以通過檢查下一字段確定出現(xiàn)無緩沖值的原因是否屬于廣播風(fēng)暴所致。(21)接收的廣播此字段表示接口所接收的廣播或多播分組的總數(shù)量。要注意的重要一點(diǎn)是許多廣播是自然通信過程的一部分。例如，用于將第三層IP地址解析為第2層Mac地址的ARP取決于發(fā)放一個(gè)廣播，以查詢與必須獲得的第3層地址相關(guān)的第2層地址的LAN的每一站，如此才能正確形成偵來傳遞分組。同樣，在NovellIPX環(huán)境中，服務(wù)器每30s廣播服務(wù)聲明協(xié)議(SAP)分組。這些定義了服務(wù)器所提供的服務(wù)。如果你是嚴(yán)格的IP環(huán)境，