Jakee_NB

autostart = False
[localhost]
port = 7200
udp = 10000
workingdir = ..\tmp\

一、前言
我们知道,随着网络的发展和用户要求的变化,从Cisco IOS12.0 开始,CISCO 路由器新增加了一种基于时间的访问列表。通过它,可以根据一天中的不同时间,或者根据一星期中的不同日期,当然也可以二者结合起来,控制对网络数据包的转发,实现对网络的安全保护。
二、使用方法
这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。它需要先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。并且,对于编号访问表和名称访问表都适用。

　　IOS是路由器交换机设备的核心，IOS全称internet operate system，中文是网络操作系统的意思。他就好比计算机的操作系统windows一样，虽然是软件但出现问题就无法进行任何软件的运行了。所以如果IOS出现问题的话路由交换设备将无法正常运行，配置命令都将荡然无存。我们只能通过重新安装IOS来解决。

1)模式转换命令
用户模式—-特权模式,使用命令”enable”
特权模式—-全局配置模式,使用命令”config t”
全局配置模式—-接口模式,使用命令”interface+接口类型+接口号”
全局配置模式—-线控模式,使用命令”line+接口类型+接口号”
注:
用户模式:查看初始化的信息.
特权模式:查看所有信息、调试、保存配置信息
全局模式：配置所有信息、针对整个路由器或交换机的所有接口
接口模式：针对某一个接口的配置
线控模式：对路由器进行控制的接口配置

我们经常看到的服务器，从外观类型可以分成三种，分别是塔式服务器、机架式服务器和刀片式服务器。由于企业机房空间有限等因素，刀片服务器和机架服务器越来越受用户的欢迎，那么它们到底有什么特点，刀片和机架服务器到底哪个更好呢?本文就和大家一起来探讨这个问题。
一、机架服务器及其特点
机架式服务器是指可以直接安装到标准19英寸机柜当中的服务器，通常这样的服务器从大小来看有点类似交换机，因此机架服务器实际上是工业标准化下的产品，其外观按照统一标准来设计，配合机柜统一使用，以满足企业的服务器密集部署需求。机架服务器的主要作用是为节省空间，由于能够将多台服务器装到一个机柜上，不仅可以占用更小的空间，而且也便于统一管理。一个普通机柜的高度是42U(1U=1.75英寸或4.4厘米)，机架服务器的宽度为19英寸，而大多数机架服务器是1U-4U高。
机架服务器的优点是占用空间小，而且便于统一管理，但由于内部空间限制，扩充性较受限制，例如1U的服务器大都只有1到2个PCI扩充槽。此外，散热性能也是一个需要注意的问题，此外还需要有机柜等设备，因此这种服务器多用于服务器数量较多的大型企业使用，也有不少企业采用这种类型的服务器，但将服务器交付给专门的服务器托管机构来托管，尤其是目前很多网站的服务器都采用这种方式。

基础:
子网划分(subnetting)的优点:
1.减少网络流量
2.提高网络性能
3.简化管理
4.易于扩大地理范围
怎么样创建一个子网:
如何划分子网?
首先要熟记
2 的幂:2 的0 次方到9 次方的值分别为:1,2,4,8,16,32,64,128,256和512。
还有要明白的是:子网划分是借助于取走主机位,把这个取走的部分作为子网位。
因此这个意味划分越多的子网,主机将越少。

首先说明一下,帧中继一般都租用ISP的,以上的配置都是电信给你配置好的.你得到的就是蓝色字体的两个DLCI值,用于识别帧中继的线路.如果真的要自己去搞的话,就好像我写的那样红色字体一定不能缺,也必须在前面.然后蓝色部分也必须要按顺序来!因为后一句的输入前提是要在DCE上输入,而不能在DTE上.前一句也定义了DCE端,因为我的环境是模拟互联网的环境.

如果你一直利用Telnet控制网络设备，你可以考虑采用其他更安全的方式。本文告诉你如何用SSH替换Telnet.
　　使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。很快地，会有人进行监听，并且他们会利用你安全意识的缺乏。
　　SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。
　　在使用SSH的时候，一个数字证书将认证客户端（你的工作站）和服务器（你的网络设备）之间的连接，并加密受保护的口令。SSH1使用RSA加密密钥，SSH2使用数字签名算法（DSA）密钥保护连接和认证。
　　加密算法包括Blowfish，数据加密标准（DES），以及三重DES（3DES）。SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。
　　实施SSH的第一步是验证你的设备支持SSH.请登录你的路由器或交换机，并确定你是否加载了一个支持SSH的IPSec IOS镜像。

在ScreenOS端的设置
一、设置L2TP 用户
1. Objects > Users > Local > New：输入以下内容，然后单击OK：
User Name: Adam
Status: Enable
L2TP User: （选择）
User Password: AJbioJ15
Confirm Password: AJbioJ15
2. Objects > Users > Local > New：输入以下内容，然后单击OK：
User Name: Betty
Status: Enable
L2TP User: （选择）
User Password: BviPsoJ1
Confirm Password: BviPsoJ1
3. Objects > Users > Local > New：输入以下内容，然后单击OK：
User Name: Carol
Status: Enable
L2TP User: （选择）
User Password: Cs10kdD3
Confirm Password: Cs10kdD3

Cisco路由配置语句汇总
　　启动接口，分配IP地址：
　　router>
　　router> enable
　　router#
　　router# configure terminal
　　router（config）#
　　router（config）# interface Type Port
　　router（config-if）# no shutdown
　　router（config-if）# ip address IP-Address Subnet-Mask
　　router（config-if）# ＾z
　　配置RIP路由协议：30秒更新一次

　为保证Windows XP系统安全，很多朋友都在公共电脑上设置了组策略的“只运行许可的Windows应用程序”项，以此来防范外来程序对系统的破坏。而疏忽大意或为了防范他人修改组策略，一些朋友干脆连“gpedit.msc”文件也一并排除在允许运行程序之外，结果造成系统被锁死，导致无法运行所有程序，无奈之下只得重装系统。其实有因必有果，对此问题还是有解决方法的。
1.计划任务法
打开“控制面板”→“任务计划”，启动向导建立一个名为MMC的任务计划，执行的程序是“C:\Windows\System32\mmc.exe”。完成后，在任务计划窗口右击新建的MMC选择“运行”，在打开的控制台程序窗口，单击菜单栏的“文件”→“打开”，定位到“C:\Windows\System32\gpedit.msc”程序，打开组策略编辑窗口，依次展开“本地计算机策略”→“用户配置”→“管理模板”→“系统”，双击右侧窗格的“只运行许可的Windows应用程序”，在弹出的窗口将其设置为“未配置”。单击“确定”退出并关闭组策略编辑窗口，当系统弹出“是否将更改保存到gpedit.msc”询问窗口时，单击“是”确定保存，即可解锁。

步骤一：配置各路由器的IP地址，并使用ping命令确认直连接口相互可以ping通。
步骤二：在R1上配置到R2的回环接口的静态路由．

R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.1.2
R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2
步骤三：分析：查看R1的路由表

PCA login: root ；使用root用户
password: linux [...]

agg路由默认是reject的，generate routes(生成路由)默认是将路由表里所有的路由条目当作contributing routes,可以加个policy选哪几个明细进来，如果此时明细没有了，那么他不会通告默认路由出来,当contributing route中有路由条目的下一跳为reject或者discard时，不能成为合法的contributing route。
T I P S ：generate本身并不改变contributing routes的下一跳，但数据包到达本地路由器的时候，依然根据最常掩码匹配原则来选择下一跳的出口，generate真正其作用应当是但 contributing routes内无法找到与数据包目标网段所匹配的条目的时候，则使用generate的下一跳将其转发出去，更直接的关系为发送到primary contributing route的下一跳接口上。
他们很多相同特性，汇总路由，本地路由表必须有明细，

Sw1 -> Server Mode
Sw2 -> Client Mode
Sw3 -> Client Mode
步骤一： 将sw1与sw2与sw3的端口指定为trunk工作模式。
步骤二： 配置vtp
SW1#vlan database
SW1(vlan)#vtp domain cisco
VTP domain cisco modified

1、 接入层AAA管理
网络服务提供者要对上网用户进行登记、识别，对不同的用户进行分类，赋予不同的访问权限。要对用户上网进行记录和数据采集，以便生成帐单，。这就是通常所说的AAA管理（Authentication, Authorization, Accounting – 验证、授权、统计）。
对于接入层的AAA管理，曾经出现过多种协议规范以及在其之上的应用。这些协议和应用有一个共同的特点，就是它们都是由接入设备供应商开发的。原因就是接入层的认证、授权、统计与网络接入设备有密不可分的关系。现在RADIUS协议已经成为标准的AAA管理通信协议，被广泛使用。
2、 什么是RADIUS协议？
RADIUS协议是指远程验证拨号用户服务（Remote Authentication Dial In User Service）协议。RADIUS协议在协议层里属于应用层协议，采用客户机/服务器模式（Client/Server Model），使用的底层网络协议为用户数据报协议（UDP/IP）。
3、 RADIUS协议规定了什么？
RADIUS协议是IETF（Internet Engineering Task Force）的提议标准（Propoesd Standard）。RADIUS包括两个文档，RFC2138和RFC2139。RFC2138标题为“Remote Authentication Dial In User Service”，。RFC2139标题为“RADIUS Accounting”。RADIUS协议定义了一个严格的通信规范，包括通信包的数据格式、请求和应答方式、安全措施等。RADIUS也提供了一个可扩展的应用规范，开发者可根据这个应用规范完成基本、通用的功能，并可拓展其它专用的应用。

一、路由策略
路由策略，是路由发布和接收的策略。其实，选择路由协议本身也是一种路由策略，因为相同的网络结构，不同的路由协议因为实现的机制不同、开销计算规则不同、优先级定义不同等可能会产生不同的路由表，这些是最基本的。通常我们所说的路由策略指的是，在正常的路由协议之上，我们根据某种规则、通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果，注意，改变的是结果（即路由表），规则并没有改变，而是应用这些规则。
例如，A路由器和B路由器之间是双链路（分别为AB1和AB2）且带宽相同，运行是OSPF路由协议，但是两条链路的稳定性不一样，公司想设置AB1为主用电路，当主用电路（AB1）出现故障的时候才采用备用电路（AB2），如果采取默认设置，则两条电路为负载均衡，这时就可以采取分别设置AB1和AB2电路的COST（开销）值，将AB1电路的COST值改小或将AB2电路的COST值设大，OSPF会产生两条开销不一样的路由，COST（开销）越小路由代价越低，所以优先级越高，路由器会优先采用AB1的电路。还可以不改COST值，而将两条电路的带宽（BandWidth）设置为不一致，将AB1的带宽设置的比AB2的大，根据OSPF路由产生和发现规则，AB1的开销（COST）会比AB2低，路由器同样会优先采用AB1的电路。

Panabit是目前国内开放度最高、免费、专业的应用层流量管理系统，特别针对P2P应用的识别与控制，截止2008年05月，已经支持实际主流应用150种以上，并以两周更新一次特征库的速度持续更新(包括已支持协议和新增协议两方面的更新，Panabit已识别协议列表请关注Panabit网站首页”支持协议”)。Panabit在精确识别协议即对应用分类的基础上，根据用户自定义策略，提供灵活方便的流量管理机制：带宽限速、带宽保证、带宽预留，并可基于协议/协议组、IP/IP组进行参数化的策略设置。
Panabit流控系统定位于网络设备级OS，需要安装在一台独立硬件中。Panabit发布的标准版，都是最新研究成果和最新稳定版本，无有效期等限制，完全可以满足DIY百兆级专业流控设备。Panabit在网站公开发布的第一个标准版是Panabit V7.04，于2007.04.30 Panabit官方网站发布。
Panabit流控引擎，基于稳定性坚如磐石的FreeBSD开发，安装Panabit之前，需要先安装好FreeBSD 操作系统；为了方便使用，自Panabit V7.09起，同步发布Live CD版，使用Live CD无需安装，直接光盘启动，Panabit即全部运行在内存中。

SDM(Security Device Manager)是Cisco公司提供的全新图形化路由器管理工具。该工具利用WEB界面、Java技术和交互配置向导使得用户无需了解命令行接口(CLI)即可轻松地完成IOS路由器的状态监控、安全审计和功能配置–甚至连QoS、Easy VPN Server、IPS、DHCP Server、动态路由协议等令中级技术人员都头疼的配置任务也可以利用SDM轻松而快捷地完成，配置逻辑严密、结构规范，真是令人震惊。使用SDM进行管理时，用户到路由器之间使用加密的HTTP连接及SSH v2协议，安全可靠。目前Cisco 的大部分中低端路由器包括8xx, 17xx, 18xx, 26xx(XM), 28xx, 36xx, 37xx, 38xx, 72xx, 73xx等型号都已经可以支持SDM。
路由器必须进行以下配置：
ip http server //开启http服务器
ip http secure-server
ip http authentication local //本地验证，也可以AAA
ip http timeout-policy idle 600 life 86400 request 10000 //修改web接口超时参数
username jakee privilege 15 secret 0 jakee.cn //建立一个优先权15的帐户必须是secret，不能用password关键字
line vty 0 4
login local
transport input telnet [...]

路由器问题：
1、什么时候使用多路由协议？
当两种不同的路由协议要交换路由信息时，就要用到多路由协议。当然，路由再分配也可以交换路由信息。下列情况不必使用多路由协议：
从老版本的内部网关协议（Interior Gateway Protocol，IGP）升级到新版本的IGP。
你想使用另一种路由协议但又必须保留原来的协议。
你想终止内部路由，以免受到其他没有严格过滤监管功能的路由器的干扰。
你在一个由多个厂家的路由器构成的环境下。
什么是距离向量路由协议？
距离向量路由协议是为小型网络环境设计的。在大型网络环境下，这类协议在学习路由及保持路由将产生较大的流量，占用过多的带宽。如果在90秒内没有收到相邻站点发送的路由选择表更新，它才认为相邻站点不可达。每隔30秒，距离向量路由协议就要向相邻站点发送整个路由选择表，使相邻站点的路 由选择表得到更新。这样，它就能从别的站点（直接相连的或其他方式连接的）收集一个网络的列表，以便进行路由选择。距离向量路由协议使用跳数作为度量值，来计算到达目的地要经过的路由器数。
例如，RIP使用Bellman – Ford算法确定最短路径，即只要经过最小的跳数就可到达目的地的线路。最大允许的跳数通常定为15。那些必须经过15个以上的路由器的终端被认为是不可到达的。
距离向量路由协议有如下几种：IP RIP、IPX RIP、Apple Talk RTMP和IGRP。
什么是链接状态路由协议？
链接状态路由协议更适合大型网络，但由于它的复杂性，使得路由器需要更多的CPU资源。它能够在更短的时间内发现已经断了的链路或新连接的路由器，使得协议的会聚时间比距离向量路由协议更短。通常，在1 0秒钟之内没有收到邻站的H E L LO报文，它就认为邻站已不可达。一个链接状态路由器向它的邻站发送更新报文，通知它所知道的所有链路。它确定最优路径的度量值是一个数值代价，这个代价 的值一般由链路的带宽决定。具有最小代价的链路被认为是最优的。在最短路径优先算法中，最大可能代价的值几乎可以是无限的。
如果网络没有发生任何变化，路由器只要周期性地将没有更新的路由选择表进行刷新就可以了（周期的长短可以从30分钟到2个小时）。
链接状态路由协议有如下几种：IP OSPF、IPX NLSP和IS – IS。
一个路由器可以既使用距离向量路由协议，又使用链接状态路由协议吗？
可以。每一个接口都可以配置为使用不同的路由协议；但是它们必须能够通过再分配路由来交换路由信息。（路由的再分配将在本章的后面进行讨论。）