Cisco路由器的安全配置简易实例

r4y53ee

1 引言 作为网络工程师，在网络环境出现故障时，及时定位故障并解决故障是十分重要的。本文以CISCO路由式网络为基础，先容使用诊断工具对Cisco路由器进行故障诊断的方法。限于篇幅，我们所先容的内容和示例主要是基于IP报文的，基于IPX和Appletalk等协议的诊断技术与此类似。 2 路由器的功能特性和体系结构 在学习Cisco路由器上可使用的各种故障排除和诊断工具之前，了解路由器的基本体系结构是十分重要的。网络工程师应该理解诊断命令执行时所起的作用以及对于路由器性能所产生的影响。 交换与路由是我们在网络互联中经常碰到的术语。此处所说的交换与局域网中的帧级交换是完全不同的概念。交换过程是指路由器如何在两个不同的接口间传送报文。 比如，路由器在以太网接口0接收到一个报文。路由器首先从报文中获取MAC头信息，然后检查网络层报文头。路由器检查路由表是否有与报文的目的地址匹配的表项。假设路由表中包含匹配的项，并且下一跳地址是另外一个路由器，该路由器可以通过以太网接口1到达。然后路由器需要检查下一跳的第二层地址。假如它没有该地址，则需要在以太网接口1发送ARP广播报文。假如没有接收到ARP响应，路由器则将该报文丢弃。假如有响应信息，路由器则建立到下一跳路由器的以太网帧。在这个例子中，路由器从接收到以太网帧到建立并发送以太网帧的整个过程称为交换过程。需要留意的是，ARP解析过程通常不以为是交换过程的一部分。上面的过程中，执行路由表查询以寻找下一跳的地址表明采用了交换过程。这是一种最简单的报文交换方法，因而其开销和延迟都比较大。所有的路由协议终极都依靠于路由表的建立，路由器通过接收运行相同协议的相邻路由器发送的路由更新报文来更新相应的路由表，我们称之为路由过程（routing process），它主要由路由处理器完成。 目前在国内应用比较广泛的Cisco路由器包括2500系列、4000系列、7000系列和7500系列，这些路由器进行路由的过程基本上是相似的，但是交换的过程却根据其系统结构的不同而不同。7000系列支持过程交换、快速交换、自治交换和硅交换。Cisco 7500系列路由器比7000系列在体系结构方面有很多改进。路由处理器和交换处理器的功能被集成到路由器交换处理器（RSP）中。这一新的体系结构减少了快速交换时系统总线的负载。集成后的功能对路由处理器和交换处理器都作了性能、稳定性、可扩充性和安全等方面的优化。7500系列路由器既不支持自治交换也支持硅交换，它支持更加灵活的优化交换。 Cisco 4000/2500系列路由器的硬件结构比7000/7500系列路由器的硬件结构简单。这些设备只在交换过程中才共享存储器。所有的报文缓存和Cache都位于共享存储器中，因此只支持快速交换或过程交换。 需要知道过程交换需要通过查询路由表来做出路由选择，而且其他交换技术都是通过缓存来进步交换速度的，由于其缓存的位置不同而分别称为不同的技术。 3 故障诊断与排除命令 Cisco ISO操纵系统软件提供了一组功能丰富的命令，可以用来进行故障查找与排除、题目诊断以及性能检测。命令大致可以分为两类：show命令和debug命令。同时，还包含一组用于连接这两类命令的clear命令。下面我们分别讲解各命令 3.1 show命令 在这一节中，我们将讲述最常用的show命令，阐述这些命令的输出以及这些命令适用于解决的故障类型。为了叙述清楚，这些命令被分为全局系统命令、与接口相关的命令和与协议相关的命令。我们仅讨论最常使用的命令。 全局系统命令 本节将列出与路由器软件和硬件相关的输出命令，其中包括存储区和电源。show version命令是最基本的命令之一，它显示路由器本身以及其所使用的软、硬件的基本信息。show hardware命令的功能与show version命令类似。 命令的输出信息包括：IOS的版本、路由器持续运行的时间约23周、最近一次重启动的原因、路由器主存的大小、共享存储器的大小、闪存的大小、IOS映像的文件名，以及路由器从何处启动等信息。show version命令显示了路由器的很多非常有用的信息。在解决题目时，通常应该从这个命令开始收集数据。 假如路由器的多个接口同时丢失报文，则可能由于路由器内存不足或者CPU过载。用户可以使用show memory命令检查内存利用率（如下所示）。CPU利用率可以使用show process命令检查。YH-Router#show memory Head Total(b) Used(b) Free(b) Lowest(b) Largest(b) Processor 60DB19C0 19195456 6162924 13032532 11615164 11250780 Fast 60DB19C0 131072 128344 2728 2728 2684 show memory的前两行显示了存储器的一般信息，它表明系统有足够可用的内存。同时它还显示内存中没有碎片，由于在13.03兆字节可用内存中最大的可用块接近11.25兆字节。内存碎片表明内存被划分为了很多不连续的块。它将导致内存的利用率降低，严重时可能产生内存错误从而也严重影响路由器的性能。 现在看一看路由器中有很多内存碎片的情形（如下所示）。此时我们有足够多的可用内存（8.4兆字节），但是其中最大的块仅为0.5兆字节。连续内存中没有足够大的可用块，这有可能导致严重的内存分配题目。这些题目有时表现为一个或多个接口间歇性的丢失报文。此时路由器产生内存碎片错误消息。 HX-Router#sh mem Head Total(b) Used(b) Free(b) Lowest(b) Largest(b) Processor 60DB19C0 19195456 10713712 8481744 192680 586748 Fast 60DB19C0 131072 90936 40136 40136 40092 使用命令show memory free，用户可以看到可用内存被划分为很多很小的碎片。需要留意的是，路由器中存在一定数目的内存碎片是正常的。固然并没有一个很严格的界限来划分内存碎片的可接       1/3 123下一页尾页