山东网通城域网思科设备操作手册－Cisco 7609.doc

山东网通城域网思科设备操作手册Cisco 7609 光网服务路由器 浙江大学快威科技集团有限公司山东网通思科设备操作手册-Cisco 7609 目 录1日常检测11.1硬件11.1.1设备工作环境11.1.2设备电源检测11.1.3设备板卡检查11.2软件21.2.1show version21.2.2show process cpu21.2.3show runningconfig21.2.4show startup-config21.2.5show memory21.3端口31.3.1查看端口LED指示灯，若不正常检查是否是物理链路原因。31.3.2用命令查看31.4路由41.4.1网络连通性测试41.4.2查看路由协议信息51.5日志51.5.1show log51.5.2查看syslog服务器52数据配置52.1一般配置52.1.1交换机权限52.1.2配置系统名称62.1.3配置系统日期和时间62.1.4VTP的配置72.1.5VLAN的配置82.2端口82.2.1TRUNK的配置82.2.2多层交换机的第三层接口配置82.3路由92.3.1OSPF及配置92.3.2静态路由配置92.3.3策略路由92.3.4路由再分布102.4安全112.4.1可命名的IP ACL112.4.2Console的安全性112.5Qos122.5.1限速命令rate-limit122.5.2限速命令service policy123系统操作133.1硬件143.2软件143.2.1交换机IOS保存和升级143.2.2保存配置153.2.3备份配置153.2.4恢复配置154故障诊断和处理164.1硬件164.1.1加电后无反应164.1.2个别板卡状态LED等报警不工作164.2软件164.2.1个别端口故障164.2.2设备工作不稳定174.3路由184.4端口镜像18 浙江大学快威科技集团有限公司1 日常检测主要是对设备的工作环境、硬件工作状态、软件工作情况、设备当前工作性能等进行检测，确保及时发现问题消除事故隐患。1.1 硬件1.1.1 设备工作环境对设备工作环境的温度、湿度进行、供电、设备通风等进行检查确认环境不影响设备的运行及设备安全。1.1.2 设备电源检测此设备为双电源，工作正常时input和on指示灯为绿色output fail为报警灯（正常时不亮）。当一个发生故障时设备仍能正常工作但等于失去的冗余电源降低了设备运行的可靠性。所以应定期查看确保发现问题及时解决。1.1.3 设备板卡检查检查设备板卡工作状态（正常时LED为绿色，双引擎的活动引擎除状态绿色外，active绿色表明为当前活动引擎）。1.2 软件查看软件版本、软件文件名及存储位置、配置文件保存、系统性能等。常用命令如下：1.2.1 show version查看硬件平台、软件版本、系统运行时间、系统手册如何重启、交换机序列号、内存等。1.2.2 show process cpu 查看设备cpu利用率，以此判断系统运行负载情况。1.2.3 show runningconfig查看系统运行的配置。1.2.4 show startup-config查看存储在NVRAM中的配置需定期保存配置（详见系统软件操作）1.2.5 show memory用于检查系统空闲内存数量，了解资源使用情况。1.3 端口1.3.1 查看端口LED指示灯，若不正常检查是否是物理链路原因。1.3.2 用命令查看查看端口状态（ethernet is up，Line protocol is up 为正常）端口 ip 地址、最大传输单元（MTU）、带宽（BW）、延时（DLY）、接口可靠性（Rely）、接口负载（Load）、封装（encapsulation）、最后一个数据包被成功接收后的时间（Last input）、最后一个数据包被成功发送后的时间（Last output）等。主要命令见下表Show Commands for Interfaces Command 目的 show interfaces interface-id显示所有端口或某一端口的状态和配置.show interfaces interface-id status err-disabled显示一系列端口的状态或错误关闭的状态show interfaces interface-id switchport显示二层端口的状态，可以用来决定此口是否为二层或三层口。show interfaces interface-id description显示端口描述show ip interface interface-id显示所有或某一端口的IP可用性状态show running-config interface interface-id显示当前配置中的端口配置情况show version显示软硬件等情况1.4 路由1.4.1 网络连通性测试l 扩展ping （测试可达性）RW-HC-ZX-01-7609-A#pingProtocol ip: Target IP address: Repeat count 5: 100Datagram size 100: 2000Timeout in seconds 2: Extended commands n: ySource address or interface: lo 0Type of service 0: Set DF bit in IP header? no: Validate reply data? no: Data pattern 0xABCD: Loose, Strict, Record, Timestamp, Verbosenone: Sweep range of sizes n: Type escape sequence to abort.Sending 100, 2000-byte ICMP Echos to , timeout is 2 seconds:Packet sent with a source address of !Success rate is 100 percent (100/100), round-trip min/avg/max = 8/10/36 msl 扩展traceroute（测试路径）JRW-HC-ZX-01-7609-A#traceroute Protocol ip: Target IP address: Source address: Numeric display n: Timeout in seconds 3: Probe count 3: 1Minimum Time to Live 1: Maximum Time to Live 30: 6Port Number 33434: Loose, Strict, Record, Timestamp, Verbosenone: Type escape sequence to abort.Tracing the route to 1 7 8 msec 2 4 64 msec1.4.2 查看路由协议信息l Show ip route +一个具体的网段（显示路由表）l Show ip route static（显示静态路由）l Show ip route ospf （ospf 学到的路由）l Show ip ospf interface（ospf 接口）l Show ip ospf neighour（ospf 邻居）l Show ip ospf datebase （显示ospf的数据库）1.5 日志1.5.1 show log查看系统日志1.5.2 查看syslog服务器配置将系统日志发送到syslog服务器logging 2 数据配置2.1 一般配置2.1.1 交换机权限缺省交换机的访问权限Enable password密码（特权密码）在配置文件中明码设置无（缺省）Enable secret密码（特权密码）在配置文件中加密设置无（缺省）Line密码（telnet密码）在配置文件中明码设置无（缺省）l 配置特权密码特权密码为交换机的最高权限，可以对交换机进行所有的操作。如果在交换机的特权模式下，对交换机的操作要多加注意。交换机特权模式可以采用二种方式设置，二种密码的功能一致，没有区别：采用enable password设置：采用密码显示switch#configure terminal；进入交换机全局配置模式，switch为交换机的缺省名称switch(config)#enable password XXXX；其中XXXX为用户设置的密码，区分大小写。用enble secret设置：采用加码显示switch#configure terminal；进入交换机全局配置模式，switch为交换机的缺省名称switch(config)#enable secret XXXX；其中XXXX为用户设置的密码，区分大小写。l 密码加密可以采用命令使明码显示的密码加密，具体操作：switch#configure terminal；进入交换机全局配置模式，switch为交换机的缺省名称switch(config)# service password-encryption ；缺省为disable方式l 配置telnet密码switch#configure terminal；进入交换机全局配置模式，switch为交换机的缺省名称switch(config)# line vty 0 4 ；进入line子接口配置模式switch(config-line)#password XXXX；XXXX为用户配置密码，为125个字母，第一个字母不能为数字，区分大小写。switch(config-line)#login；使用本地用户登陆2.1.2 配置系统名称switch#configure terminal；进入交换机全局配置模式，switch为交换机的缺省名称switch(config)#hostname jxdx-c7609；jxdx-c7609为用户配置名称jxdx-c7609 (config)#2.1.3 配置系统日期和时间配置系统时钟：如果没有外部同步时钟使用，重启后变成出厂时间。switch# clock set hh:mm:ss day month year或switch# clock set hh:mm:ss month day year例如：switch# clock set 13:32:00 23 OCT 20022.1.4 VTP的配置l CISCO VTP原理VTP 即VLAN干道协议，它是由Cisco创建，在交换式网络中维持VLAN配置的一致性。它通过 通过混合介质主干将以太网VLAN映射到高速主干VLAN，实现对VLAN的准确跟踪和监管，并且动态报告网络中增加的VLAN。l VTP管理域在同一个管理域中的所有交换机可以共享他们的VLAN信息，一个交换机只能参加到一个VTP管理域中；不同域中的交换机不能共享VTP信息。l VTP 保留号VTP保留号对维护VTP很关键，因为交换机根据VTP通告中的版本号来决定使用哪个VLAN数据库。 VTP服务器修改VTP数据库时，将配置Version Number增1。 如果VTP服务器删除了所有VLAN，并使用了更高的配置版本号，那么该管理域中的其他设备也将删除他们的VLAN。配置版本号相同的两个VLAN数据库互不更新对方，因为它认为这两个数据库内容相同。l VTP的三种模式服务器：缺省模式，可建立、修改和删除VLAN，向同一域中的交换机通告它的VLAN配置，并接受从Trunk链路上收到的通告与其它交换机进行VLAN配置的同步。客户机：行为同服务器模式，但不能建立、改变或删除VLAN；倾听vlan信息，使得自己的vlan配置信息保持与vtp服务器同步；也可以把vlan信息转发给其它交换机。透明：不参与VTP。在vtp v2中，配置为透明模式的交换机将在Trunk端口上转发VTP信息以保证其他交换机接收到更新信息，但这些交换机将不修改自己的数据库，也不发送指示VLAN状态发生变化的更新信息。Vtp v1中，透明模式的交换机也不转发vtp信息到其它交换机。需要注意的是透明模式下的交换机可以在本地创建vlan，但这些vlan的变化信息不会扩散到其它交换机。l VTP的三种通告方式Summary advertisementsvtp服务器发送，每隔300s。Subset advertisementsvtp服务器发送。如vlan增删、vlan的激活和挂起。Advertisement requests from clientsvtp客户发送，vtp服务器回复Summary advertisements和Subset advertisements。两种原因促使vtp客户要发送请求：一种是从Subset advertisements了解到vtp状态发生变化；另一种是从Summary advertisements获悉有更高的vtp version number。l VTP的配置配置交换机的VTP 模式switch#config terminal；进入全局配置模式switch(config)# vtp mode server；配置交换机为VTP Serverswitch(config)# vtp mode client；配置交换机为VTP clientswitch(config)# vtp mode transparent；配置交换机为VTP transparent 在运营商为了网络稳定一般都是配成这种模式。注意：交换机只可以配置成三种模式中的一种。l 配置交换机的VTP 域switch# config terminal；进入全局配置模式，switch为交换机的缺省名称switch(config)# vtp domain domain-name；要求实现VLAN信息同步的交换机在相同的域中，域名长度132字符2.1.5 VLAN的配置l VLAN的创建switch#configure terminal；进入交换机全局配置模式，switch为交换机的缺省名称switch(config)#vlan vlan_id；vlan_id为用户配置的VLAN号switch(vlan)#name string；string为用户定义的vlan名l VLAN的删除switch#configure terminal；进入交换机全局配置模式，switch为交换机的缺省名称switch(config)#no vlan vlan_id；vlan_id为用户配置的VLAN号2.2 端口2.2.1 TRUNK的配置l Trunk的配置在CISCO7609交换机上配置802.1Q的Trunk：switch # configure terminal; 进入交换机全局配置模式，switch为交换机的缺省名称switch (config)# interface fastethernet 5/8;进入需配置Trunk模式的端口switch (config-if)# switchport trunk encapsulation dot1q;把Trunk封装成dot1qswitch (config-if)# switchport mode trunk;在端口上启用 Trunkl 查看Trunkswitch #show interface fastethernet 5/8 trunk;查看端口的2.2.2 多层交换机的第三层接口配置可配置为第三层的接口可分为以下几种情况l 物理接口如 g0/1；f3/2；atm0/0/1配置方法如下switch#conf tswitch(config)#int g0/1switch(config-if)#ip address 4 52l 逻辑接口主要loopback 接口(用于OSPF的ID)；VLAN接口；子接口配置方法：switch#conf tswitch(config)#int VLAN 20switch(config-if)#ip address 1 522.3 路由路由配置我们主要介绍OSPF动态路由协议；静态路由协议；策略路由；路由再分布。2.3.1 OSPF及配置让我们从对O S P F的一个简要的介绍开始， O S P F用链路状态算法来计算在每个区域中到所有目的的最短路径，当一个路由器首先开始工作，或者任一个路由变化发生，这个配备给O S P F的路由器将L S A扩散到同一级区域内所有路由器，这些L S A包含这个路由器的链接状态和它与邻居路由器联系的信息，从这些L S A的收集中形成了链路状态数据库，在这个区域中的所有路由器都有一个特定的数据库来描述这个区域的拓扑结构。这个路由器于是就运行D i s k j t r a算法，这个算法利用链路状态数据库在该区域中形成到所有目的的最短路径树，从这个最短路径树中形成了I P路由表。在网络中发生的任何改变将会被链路状态包扩散出去，同时使路由器利用这些新信息，重新计算最短路径树。具体配置方法如下。Switch#conf tSwitch(config)#router ospf 300(开启一个OSPF进程)Switch(config_router)#network 1 area 60(向这个进程添加一个接口并指明这个接口所在的区域)2.3.2 静态路由配置静态路由的配置相对比较简单主要是基于目的网络地址到下一跳如： switch(config)#ip route 1 switch(config)#ip route 22.3.3 策略路由策略路由提供了这样一种机制：根据网络管理者制定的标准来进行报文的转发。策略路由用m a t c h和s e t语句实现路径的选择。如图所示，所有从P C A到命令入口项服务器的数据流将通过I S D N线路，而从P C A发出的所有其他数据流（以及其他结点的）将通过5 1 2 K的租用线路。路由器A的策略其实很简单。所有从P C A到命令入口项系统的流量让下一跳设置为路由器而所有其他的数据不匹配前面的标准，因此就根据路由表中的入口项进行路由。因为路由器用O S P F作为它的路由协议，所以路由表将使用5 1 2 KB P S的链路。因为O S P F用带宽作为选择最优路线的标准，所以5 1 2 KB P S的链路比1 2 8K B P S 的I S D N链路更符合它的标准。注意策略路由是设置在接收报文接口而不是发送接口。在图中策略就应用在路由器A的Ethernet接口。配置方法分为如下几步义策略应用于那一个接口interface Vlan11 description L3_Link_GuiLin_4507-A ip address 1 52ip policy route-map private-ip-nat（这个接口配置命令使策略路由能够应用于一个特定的接口）定义访问服务列表ip access-list standard private-ippermit 55个全局配置命令定义了路由图的名字并且表明是否要对符合匹配标准的报文进行策略路由。route-map private-ip-nat permit 10match ip address private-ipset ip next-hop 82.3.4 路由再分布因在个地市网络中存在静态路由；直连端口与路由策略应此就需要将其再分布到OSPF中router ospf 300 router-id redistribute connected subnets route-map connect-PIX（将route-map connect-PIX分布到OSPF中直连分布）redistribute static subnets route-map network-nat（将route-map network-nat分布到OSPF中静态分布）2.4 安全2.4.1 可命名的IP ACL创建一个IP 的ACL：ip access-list extended attack-port deny tcp any any eq * deny udp any any eq * deny icmp any any Permit ip any any将创建的ACL应用到端口：Router(config)# interface g 6/1Router(config-if)# ip access-group attack-port in2.4.2 Console的安全性用户模式密码（只能用一些查看设备状态的命令）；特权模式密码（能使用所有命令查看设备状态和配置设备，请用enale secret配置密码，不要用enable password）；会话超时（console口没有使用一段时间后自动断开，缺省为10分钟）；密码加密（将密码以加密的格式保存，在全局模式要配置service password-encryption）；line con 0password *loginline aux 0password *login另外作为安全要求，管理员在登陆完设备后一定要记得用命令exit退出控制模式，而不要将console线直接拔掉。如果不是exit退出的话，console口会处在你原先停留的状态直到timeout。 2.5 Qos2.5.1 限速命令rate-limitrate-limit input | output access-group rate-limit acl-index bps burst-normal burst-max conform-action conform-action exceed-action exceed-action 第一个数值是bps Average rate, in bits per second (bps). The value must be in increments of 8 kbps.第二个数值是burst-normal Normal burst size, in bytes. The minimum value is bps divided by 2000.第三个数值是burst-max Excess burst size, in bytes.思科文档建议取值公式如下：normal burst = Average rate* (1 byte)/(8 bits) * 1.5 secondsextended burst = 2 * normal burst举例来说：128K的带宽限制取值 128000 24000 48000512K的带宽限制取值 51200096000 1920002M的带宽限制取值 2048000384000 768000以此类推。第一步：建一个acl，把你要限的数据流定出来，可以是用户地址，也可以是特定协议access-list101permittcpanyanyeqwww 第二步：在端口上应用rate-limitinterface FastEthernet 3/4rate-limitinputrate-limitaccess-group101 2048000384000 768000 conform-action transmit exceed-action droprate-limitoutput *2.5.2 限速命令service policy1、要启用QOS#qos 或者 #mls qos 2、先做一个acl:ip access-list extended From_HaiShiFaYuan permit ip host 50 any3、做一个class-map调用这个acl： class-map match-any HaiShiFaYuan_data match access-group name From_HaiShiFaYuan 4、定义一个policy-map，在这里限速率：policy-map HaiShiFaYuan-qos class HaiShiFaYuan_data police 2048000 bps 384000 （768000）byte conform-action transmit exceed-action drop5、在端口上应用这个规则interface GigabitEthernet3/12service-policy input HaiShiFaYuan-qos service-policy output HaiShiFaYuan-qos3 系统操作3.1 硬件按图安装硬件设备(注意主备引擎及交换矩阵模块的槽位是固定的)。打开电源启动设备。（可参照设备维护部分）3.2 软件3.2.1 交换机IOS保存和升级交换机的IOS保存和升级是采用TFTP协议完成，所以首先你必须要下载一个TFTP软件，然后按照下面的步骤来进行：在你的机器上启动TFTP 。登陆到交换机，然后在enable状态下输入如下命令来完成IOS的保存： switch#copy flash tftpSource IP address or hostname 71?Source filename ?cat6000-sup2k8.7-1-1.binDestination filename cat6000-sup2k8.7-1-1.binn?Loading cat6000-sup2k8.7-1-1.bin to 71 (via VLAN1): !OK - 1125001 bytes如果你要升级IOS文件，那么你首先要检查flash空间是否够，如果空间不够的花，则需要先删除原来的IOS然后在升级。按照如下命令来完成IOS的升级： switch#copy tftp flashSource IP address or hostname ?71Source filename ?cat6000-sup2k8.7-1-1.binDestination filename cat6000-sup2k8.7-1-1.bin? yLoading cat6000-sup2k8.7-1-1.bin from 71 (via VLAN1): !OK - 1125001 bytes3.2.2 保存配置l 启动tftp服务器，在交换机上ping tftp服务器的ip地址确保网络连接畅通。l copy tftp flash根据提示输入：文件名、tftp服务器地址3.2.3 备份配置l 启动tftp服务器，在交换机上ping tftp服务器的ip地址确保网络连接畅通。l copy startingconfig tftp根据提示输入：文件名、tftp服务器地址3.2.4 恢复配置l 启动tftp服务器，在交换机上ping tftp服务器的ip地址确保网络连接畅通。l copy tftp startingtftp 根据提示输入：文件名、tftp服务器地址4 故障诊断和处理4.1 硬件4.1.1 加电后无反应故障分析：电源或设备故障处理： 查看电源如不能正常工作可断定为设备故障可根据产品序列号报修。4.1.2 个别板卡状态LED等报警不工作故障分析：一般为板卡故障可申请报修。4.2 软件4.2.1 个别端口故障 故障分析：端口根本不工作或工作不稳定，可用show interface fa interface id命令查看端口如端口或line protocol 处于down状态，换一正常端口如正常可断定为端口硬件故障（管理性关闭端口除外）。如故障依旧基本可断定为物理链路故障。处理办法：如硬件故障可报修，链路故障可检查链路。如工作不稳定换端口后故障依旧可show interface查看端口可靠性、负载、误码率等信息来断定是硬件还是链路故障。端口负载偏高、再检查cpu利用率来断定是流量大还是受到攻击，如受到攻击可将此端口流量映射到一端口（ monitor session；monitor session 2 source interface/vlan；monitor session 2 destination interface/vlan）通过抓包工具来分析流量作出相应处理。检查此设备和相关设备配置判断是否是配置错误（如端口速率、双工模式、trunk等