山东网通城域网思科设备操作手册Cisco

1、山东网通城域网思科设备操作手册Cisco 12816 GSR路由器 浙江大学快威科技集团有限公司目 录1日常检测11.1硬件11.1.1设备工作环境11.1.2设备电源检测11.1.3设备板卡检查11.2软件21.2.1show version21.2.2show process cpu21.2.3show runningconfig21.2.4show startup-config21.2.5show memory21.3端口31.3.1查看端口LED指示灯，若不正常检查是否是物理链路原因。31.3.2用命令查看31.4路由41.4.1网络连通性测试41.4.2查看路由协议信息51.5日志5

2、1.5.1show log51.5.2查看syslog服务器52数据配置52.1一般配置52.1.1路由器权限52.1.2配置系统名称62.1.3配置系统日期和时间62.1.4接口配置72.2路由72.2.1OSPF及配置72.2.2静态路由配置82.2.3策略路由82.2.4路由再分布92.3安全92.3.1可命名的IP ACL92.3.2Console的安全性92.4Qos102.4.1限速命令rate-limit102.4.2限速命令service policy113系统操作113.1硬件123.2软件133.2.1交换机IOS保存和升级133.2.2保存配置143.2.3备份配置143

3、.2.4恢复配置144故障诊断和处理144.1硬件154.1.1加电后无反应154.1.2个别板卡状态LED等报警不工作154.2软件154.2.1个别端口故障154.2.2设备工作不稳定154.3路由164.4端口镜像171 日常检测主要是对设备的工作环境、硬件工作状态、软件工作情况、设备当前工作性能等进行检测，确保及时发现问题消除事故隐患。1.1 硬件1.1.1 设备工作环境对设备工作环境的温度、湿度进行、供电、设备通风等进行检查确认环境不影响设备的运行及设备安全。1.1.2 设备电源检测此设备为四电源，工作正常时PWR OK指示灯为绿色FAULT和TEMP为报警灯（正常时不亮）。当电源检

4、测到故障时候FAULT灯会亮（黄色），当电源检测到自身环境温度过高时，TEMP灯会亮（黄色）。当一个电源发生故障时设备仍能正常工作但失去了一个冗余电源降低了设备运行的可靠性。所以应定期查看确保发现问题及时解决。1.1.3 设备板卡检查检查设备板卡工作状态（正常时LED为绿色，双引擎的活动引擎除状态绿色外，红色发光显示板显示active表明为当前活动引擎）。1.2 软件查看软件版本、软件文件名及存储位置、配置文件保存、系统性能等。常用命令如下：1.2.1 show version查看硬件平台、软件版本、系统运行时间、系统手册如何重启、交换机序列号、内存等。1.2.2 show process c

5、pu 查看设备cpu利用率，以此判断系统运行负载情况。1.2.3 show runningconfig查看系统运行的配置。1.2.4 show startup-config查看存储在NVRAM中的配置需定期保存配置（详见系统软件操作）1.2.5 show memory用于检查系统空闲内存数量，了解资源使用情况。1.3 端口1.3.1 查看端口LED指示灯，若不正常检查是否是物理链路原因。1.3.2 用命令查看查看端口状态（ethernet is up，Line protocol is up 为正常）端口 ip 地址、最大传输单元（MTU）、带宽（BW）、延时（DLY）、接口可靠性（Rely）、

6、接口负载（Load）、封装（encapsulation）、最后一个数据包被成功接收后的时间（Last input）、最后一个数据包被成功发送后的时间（Last output）等。主要命令见下表Show Commands for Interfaces Command 目的 show interfaces interface-id显示所有端口或某一端口的状态和配置.show interfaces interface-id status err-disabled显示一系列端口的状态或错误关闭的状态show interfaces interface-id switchport显示二层端口的状态，可以用

7、来决定此口是否为二层或三层口。show interfaces interface-id description显示端口描述show ip interface interface-id显示所有或某一端口的IP可用性状态show running-config interface interface-id显示当前配置中的端口配置情况show version显示软硬件等情况1.4 路由1.4.1 网络连通性测试l 扩展ping （测试可达性）RW-HC-ZX-01-7609-A#pingProtocol ip: Target IP address: Repeat count

8、5: 100Datagram size 100: 2000Timeout in seconds 2: Extended commands n: ySource address or interface: lo 0Type of service 0: Set DF bit in IP header? no: Validate reply data? no: Data pattern 0xABCD: Loose, Strict, Record, Timestamp, Verbosenone: Sweep range of sizes n: Type escape sequence to abort

9、.Sending 100, 2000-byte ICMP Echos to , timeout is 2 seconds:Packet sent with a source address of !Success rate is 100 percent (100/100), round-trip min/avg/max = 8/10/36 msl 扩展traceroute（测试路径）JRW-HC-ZX-01-7609-A#traceroute Protocol ip: Target IP address: Sour

10、ce address: Numeric display n: Timeout in seconds 3: Probe count 3: 1Minimum Time to Live 1: Maximum Time to Live 30: 6Port Number 33434: Loose, Strict, Record, Timestamp, Verbosenone: Type escape sequence to abort.Tracing the route to 1 7 8 msec 2

11、4 64 msec1.4.2 查看路由协议信息l Show ip route +一个具体的网段（显示路由表）l Show ip route static（显示静态路由）l Show ip route ospf （ospf 学到的路由）l Show ip ospf interface（ospf 接口）l Show ip ospf neighour（ospf 邻居）l Show ip ospf datebase （显示ospf的数据库）1.5 日志1.5.1 show log查看系统日志1.5.2 查看syslog服务器配置将系统日志发送到syslog服务器logging 2 数据配置2.1 一般

12、配置2.1.1 路由器权限缺省交换机的访问权限Enable password密码（特权密码）在配置文件中明码设置无（缺省）Enable secret密码（特权密码）在配置文件中加密设置无（缺省）Line密码（telnet密码）在配置文件中明码设置无（缺省）l 配置特权密码特权密码为交换机的最高权限，可以对交换机进行所有的操作。如果在交换机的特权模式下，对交换机的操作要多加注意。交换机特权模式可以采用二种方式设置，二种密码的功能一致，没有区别：采用enable password设置：采用密码显示switch#configure terminal；进入交换机全局配置模式，switch为交换机的缺省

13、名称switch(config)#enable password XXXX；其中XXXX为用户设置的密码，区分大小写。用enble secret设置：采用加码显示switch#configure terminal；进入交换机全局配置模式，switch为交换机的缺省名称switch(config)#enable secret XXXX；其中XXXX为用户设置的密码，区分大小写。l 密码加密可以采用命令使明码显示的密码加密，具体操作：switch#configure terminal；进入交换机全局配置模式，switch为交换机的缺省名称switch(config)# service passwo

14、rd-encryption ；缺省为disable方式l 配置telnet密码switch#configure terminal；进入交换机全局配置模式，switch为交换机的缺省名称switch(config)# line vty 0 4 ；进入line子接口配置模式switch(config-line)#password XXXX；XXXX为用户配置密码，为125个字母，第一个字母不能为数字，区分大小写。switch(config-line)#login；使用本地用户登陆2.1.2 配置系统名称switch#configure terminal；进入交换机全局配置模式，switch为交换机

15、的缺省名称switch(config)#hostname jxdx-c7609；jxdx-c7609为用户配置名称jxdx-c7609 (config)#2.1.3 配置系统日期和时间配置系统时钟：如果没有外部同步时钟使用，重启后变成出厂时间。switch# clock set hh:mm:ss day month year或switch# clock set hh:mm:ss month day year例如：switch# clock set 13:32:00 23 OCT 20022.1.4 接口配置可配置的接口可分为以下几种情况l 物理接口如 g0/1；f3/2；atm0/0/1配置方

16、法如下switch#conf tswitch(config)#int g0/1switch(config-if)#ip address 4 52l 逻辑接口主要loopback 接口(用于OSPF的ID)；子接口配置方法：switch#conf tswitch(config)#int loopback 0switch(config-if)#ip address 1 522.2 路由路由配置我们主要介绍OSPF动态路由协议；静态路由协议；策略路由；路由再分布。2.2.1 OSPF及配置让我们从

17、对O S P F的一个简要的介绍开始， O S P F用链路状态算法来计算在每个区域中到所有目的的最短路径，当一个路由器首先开始工作，或者任一个路由变化发生，这个配备给O S P F的路由器将L S A扩散到同一级区域内所有路由器，这些L S A包含这个路由器的链接状态和它与邻居路由器联系的信息，从这些L S A的收集中形成了链路状态数据库，在这个区域中的所有路由器都有一个特定的数据库来描述这个区域的拓扑结构。这个路由器于是就运行D i s k j t r a算法，这个算法利用链路状态数据库在该区域中形成到所有目的的最短路径树，从这个最短路径树中形成了I P路由表。在网络中发生的任何改变将会被

18、链路状态包扩散出去，同时使路由器利用这些新信息，重新计算最短路径树。具体配置方法如下。Switch#conf tSwitch(config)#router ospf 300(开启一个OSPF进程)Switch(config_router)#network 1 area 60(向这个进程添加一个接口并指明这个接口所在的区域)2.2.2 静态路由配置静态路由的配置相对比较简单主要是基于目的网络地址到下一跳如： switch(config)#ip route 1 switch(config)#ip r

19、oute 22.2.3 策略路由策略路由提供了这样一种机制：根据网络管理者制定的标准来进行报文的转发。策略路由用m a t c h和s e t语句实现路径的选择。如图所示，所有从P C A到命令入口项服务器的数据流将通过I S D N线路，而从P C A发出的所有其他数据流（以及其他结点的）将通过5 1 2 K的租用线路。路由器A的策略其实很简单。所有从P C A到命令入口项系统的流量让下一跳设置为路由器而所有其他的数据不匹配前面的标准，因此就根据路由表中的入口项进行路由。因为路由器用O S P F作为它的路由协议，所以路

20、由表将使用5 1 2 KB P S的链路。因为O S P F用带宽作为选择最优路线的标准，所以5 1 2 KB P S的链路比1 2 8K B P S 的I S D N链路更符合它的标准。注意策略路由是设置在接收报文接口而不是发送接口。在图中策略就应用在路由器A的Ethernet接口。配置方法分为如下几步义策略应用于那一个接口interface Vlan11 description L3_Link_GuiLin_4507-A ip address 1 52ip policy route-map private-ip-nat（这个接口配置命令使

21、策略路由能够应用于一个特定的接口）定义访问服务列表ip access-list standard private-ippermit 55个全局配置命令定义了路由图的名字并且表明是否要对符合匹配标准的报文进行策略路由。route-map private-ip-nat permit 10match ip address private-ipset ip next-hop 82.2.4 路由再分布因在个地市网络中存在静态路由；直连端口与路由策略应此就需要将其再分布到OSPF中router ospf 300 router-id 220.20

22、0.122.1redistribute connected subnets route-map connect-PIX（将route-map connect-PIX分布到OSPF中直连分布）redistribute static subnets route-map network-nat（将route-map network-nat分布到OSPF中静态分布）2.3 安全2.3.1 可命名的IP ACL创建一个IP 的ACL：ip access-list extended attack-port deny tcp any any eq * deny udp any any eq * deny i

23、cmp any any Permit ip any any将创建的ACL应用到端口：Router(config)# interface g 6/1Router(config-if)# ip access-group attack-port in2.3.2 Console的安全性用户模式密码（只能用一些查看设备状态的命令）；特权模式密码（能使用所有命令查看设备状态和配置设备，请用enale secret配置密码，不要用enable password）；会话超时（console口没有使用一段时间后自动断开，缺省为10分钟）；密码加密（将密码以加密的格式保存，在全局模式要配置service pass

24、word-encryption）；line con 0password *loginline aux 0password *login另外作为安全要求，管理员在登陆完设备后一定要记得用命令exit退出控制模式，而不要将console线直接拔掉。如果不是exit退出的话，console口会处在你原先停留的状态直到timeout。 2.4 Qos2.4.1 限速命令rate-limitrate-limit input | output access-group rate-limit acl-index bps burst-normal burst-max conform-action confor

25、m-action exceed-action exceed-action 第一个数值是bps Average rate, in bits per second (bps). The value must be in increments of 8 kbps.第二个数值是burst-normal Normal burst size, in bytes. The minimum value is bps divided by 2000.第三个数值是burst-max Excess burst size, in bytes.思科文档建议取值公式如下：normal burst = Average ra

26、te* (1 byte)/(8 bits) * 1.5 secondsextended burst = 2 * normal burst举例来说：128K的带宽限制取值 24000 48000512K的带宽限制取值 96000 2M的带宽限制取值 以此类推。第一步：建一个acl，把你要限的数据流定出来，可以是用户地址，也可以是特定协议access-list101permittcpanyanyeqwww 第二步：在端口上应用rate-limitinterface FastEthernet 3/4rate-limitinputrate-limitaccess-group101 conform-ac

27、tion transmit exceed-action droprate-limitoutput *2.4.2 限速命令service policy1、要启用QOS#qos 或者 #mls qos 2、先做一个acl:ip access-list extended From_HaiShiFaYuan permit ip host 50 any3、做一个class-map调用这个acl： class-map match-any HaiShiFaYuan_data match access-group name From_HaiShiFaYuan 4、定义一个policy

28、-map，在这里限速率：policy-map HaiShiFaYuan-qos class HaiShiFaYuan_data police bps （）byte conform-action transmit exceed-action drop5、在端口上应用这个规则interface GigabitEthernet3/12service-policy input HaiShiFaYuan-qos service-policy output HaiShiFaYuan-qos3 系统操作3.1 硬件按图安装硬件设备(注意主备引擎及ALARM模块的槽位是固定的)。打开电源启动设备。插拔板卡的方

29、法如下图：3.2 软件3.2.1 交换机IOS保存和升级交换机的IOS保存和升级是采用TFTP协议完成，所以首先你必须要下载一个TFTP软件，然后按照下面的步骤来进行：在你的机器上启动TFTP 。登陆到交换机，然后在enable状态下输入如下命令来完成IOS的保存： switch#copy flash tftpSource IP address or hostname 71?Source filename ?cat6000-sup2k8.7-1-1.binDestination filename cat6000-sup2k8.7-1-1.binn?Loading cat

30、6000-sup2k8.7-1-1.bin to 71 (via VLAN1): !OK - bytes如果你要升级IOS文件，那么你首先要检查flash空间是否够，如果空间不够的花，则需要先删除原来的IOS然后在升级。按照如下命令来完成IOS的升级： switch#copy tftp flashSource IP address or hostname ?71Source filename ?cat6000-sup2k8.7-1-1.binDestination filename cat6000-sup2k8.7-1-1.bin? yLoadi

31、ng cat6000-sup2k8.7-1-1.bin from 71 (via VLAN1): !OK - bytes3.2.2 保存配置l 启动tftp服务器，在交换机上ping tftp服务器的ip地址确保网络连接畅通。l copy tftp flash根据提示输入：文件名、tftp服务器地址3.2.3 备份配置l 启动tftp服务器，在交换机上ping tftp服务器的ip地址确保网络连接畅通。l copy startingconfig tftp根据提示输入：文件名、tftp服务器地址3.2.4 恢复配置l 启动tftp服务器，在交换机上ping tftp服务器

32、的ip地址确保网络连接畅通。l copy tftp startingtftp 根据提示输入：文件名、tftp服务器地址4 故障诊断和处理4.1 硬件4.1.1 加电后无反应故障分析：电源或设备故障处理： 查看电源如不能正常工作可断定为设备故障可根据产品序列号报修。4.1.2 个别板卡状态LED等报警不工作故障分析：一般为板卡故障可申请报修。4.2 软件4.2.1 个别端口故障 故障分析：端口根本不工作或工作不稳定，可用show interface fa interface id命令查看端口如端口或line protocol 处于down状态，换一正常端口如正常可断定为端口硬件故障（管理性关闭端

33、口除外）。如故障依旧基本可断定为物理链路故障。处理办法：如硬件故障可报修，链路故障可检查链路。如工作不稳定换端口后故障依旧可show interface查看端口可靠性、负载、误码率等信息来断定是硬件还是链路故障。端口负载偏高、再检查cpu利用率来断定是流量大还是受到攻击，如受到攻击可将此端口流量映射到一端口（ monitor session；monitor session 2 source interface/vlan；monitor session 2 destination interface/vlan）通过抓包工具来分析流量作出相应处理。检查此设备和相关设备配置判断是否是配置错误（如端口速率、双工模式、trunk等）。4.2.2 设备工作不稳定故障分析：可用show process 、show memory命令查看系统资源利用情况，show interface 查看端口流量、对端口做映射分析流量判断故障原因。常见故障是流量过大（常伴随网络攻击）处理方法：根据量端口或ip地址写访问控制列表或Mac地址过滤流量。Router(config)# mac-address-table static mac_address vla