思科网络网管员指南第一章:设备管理方式管理系统文件管理系统文件基本上就是备份IOS镜像,配置文件等,一般使用TFTP或者FTP方式.TFTP基于UDP端口69,是一个简化的FTP协议.但是有一些权限比如缺乏安全性,有16MB文件大小的限制,使用UDP缺乏可靠性,新的IOS版本开始支持FTP,TCP端口21的传输协议,尽管也是类似Telnet的明文传输.注意:关于TFTP传输文件大小限制的讨论参见我的blog.Windows下的TFTP Server: Solarwind’s TFTP, 3Com TFTP DaemonGUI界面很简单的配置Linux下的TFTP ServerLinux下有内置的TFTP服务器,由xinetd或者inetd来控制.首先要修改inetd.conf指定你的TFTP目录.创建相应的目录和修改权限(mkdir /tftpboot, chmod 666 /tftpboot, chown nobody /tftpboot),创建文件(linux下的tftpd 有安全特性,必须要求所要传输的文件要存在于TFTP目录: touchrouter-config.cfg, chmod a+wr *),重启进程生效(/etc/inetd restart). IOS下的TFTP Server思科设备可以配置为TFTP Server来共享自己的IOS镜像.例子如下:Router#show flashPCMCIA flash directory:File Length Name/status1 10685392 /c1600-osy56i-l.121-16.bin[10685456 bytes used, 6091760 available, 16777216 total]16384K bytes of processor board PCMCIA flash (Read ONLY)Router#conf tRouter(config)#tftp-server flash:c1600-osy56i-l.121-16.binWindows下的FTP服务器:IIS这个有点复杂了..暂略.Linux 下的FTP 服务器:vsFTP,WUFtp,Proftp Vsftp 安装略,修改vsftpd.conf注意:只要记住copy 是源文件地址到目标文件地址的命令格式就可以了.为了解决FTP 的安全传输的问题,从12.2T 开始思科开始支持Secure Copy Protocol (SCP).通过配置ip scp server enable 来实现,详细解释参考思科网站.第二章 网络连通性介绍系统内置的一些测试工具比如Ping,Traceroute,whois,nslookup 等.尽管很简单很基础,但是里面还是有些值 得注意的问题,还将介绍一个小案例.网络连通性基本测试工具Ping 可以说是再平常不过的测试工具了,主要用来测试两点间的连通性,Round-Trip 的延迟和丢包率等. Windows 下Ping 的使用 Ping /?可以显示ping 的各种参数,不过我相信没几个人看完这些参数的.下面介绍几个有用的参数.Ping 缺省认为1000毫秒为超时,使用-w 参数可以修改此超时时间,比如在有些无线环境中Roundtrip 时间就很长,如果使用缺省值ping 就可能会出现Request timed out 情况.-t 参数可以保持持久ping,Ctrl-Break 可以保持命令继续执行看当前的汇总,Ctrl-c 则是停止命令. -a 解析主机名-f用来设置DF位,-l用来设置数据载荷的大小.通常用来检测网络的MTU.注意:MTU为最大传输单元,不同的网络情况此值都有不同,特别是在配置VPN的时候很重要,因为数据头有很多额外的开销.如果用户数据包大于MTU就会在传输中被分段.Windows下缺省Ping数据包大小为56字节,一般不会出现MTU问题,但是用户应用数据一般就不会只有这么小,所以要使用-l来测试.注意:MTU是数据载荷大小和IP头大小的和,而在windows下ping的IP头为28字节,所以最终的MTU大小应为-l的值和28之和.Linux下Ping的使用Linux下ping跟windows下略有不同,缺省就是持续ping,-c参数可以指定ping 的次数.类似于windows的MTU问题,-M do是设置DF位,-c来设置数据载荷的大小.注意:Linux下ping的IP头为28字节.IOS下ping的使用IOS下的Ping在用户模式和特权模式下都有,相应的权限不同,除了可以针对IP 协议以外,也支持IPX,AppleTalk等协议.缺省是5个包,每个包的大小为100字节,超时为2秒,使用流出端口的地址作为包的源地址.没有持续ping的参数,可以变相的通过将ping的次数设为最大值9999999来实现.可以通过组合键Ctrl-Shift-6加x来实现ping的中断.由于特权模式下的ping参数是通过对话的形式实现,所以不需要过多介绍.注意:在平常的网络中可能由于安全的限制只能使用特定的源地址进行ping(比如设备的loopback地址),而缺省这里使用的流出端口地址可能是被禁止的,所以需要通过特权模式的ping来设定源地址来避免这种情况.Ping的变种Fping:一般ping只能一次测试一个主机,fping可以同时测试多个主机.基于linux的,可以在这里下载.Hping:ping是基于ICMP Echo Request的.而有些网络的防火墙禁止了ICMP,Hping可以提供基于TCP,UDP等协议来测试远端主机的连通性.也是基于linux的,在此下载.SmokePing:此软件可以给你图形化的显示网络性能比如延时,丢包率等等.在此下载.Ping的测试步骤(这个好像CCNA爱考)1.Ping 127.0.0.1 确认本地的TCP/IP堆栈工作正常2.Ping 本机IP地址确认网卡和链路工作正常3.Ping 网络网关确认网关之间路由正常4.Ping 远端主机确认和远端主机连通TraceRoute使用TTL的特性来检查网络的连通性,提供了网络路径等Ping所不能提供的更详细排错信息.Windows下tracert的使用Windows下是基于ICMP Echo Request协议的,可以使用-d参数来禁止地址翻译,-h指定最大跳数,-w指定超时时间.Linux下traceroute的使用Linux下是基于UDP协议(当然也可以使用-I参数来恢复使用ICMP协议),一般第一个包使用端口33434,后面的包的端口依次增加来减少被禁止的可能,当然此端口可以使用-p参数来修改,-n禁止地址解析增加输出速度.IOS下traceroute的使用IOS下的traceroute跟ping比较类似也是分不同模式,也通过对话选择形式进行参数调整.缺省3个包使用UDP端口33434,超时时间为3秒,使用流出端口的地址作为包的源地址.网络连通性高级测试工具尽管有很多网络工具可以供网管使用,这里仅仅介绍一些系统内置的工具. Whois:提供域名信息的工具,linux内置,尽管现在也有win下的版本Nslookup:针对DNS服务器的查询域的MX,A,CNAME记录.win和linux下都可以使用,set query=all,或者mx等可以查询全部或者部分的信息.在Linux下还有一个类似的dig命令,提供的输出更多,更易懂,并且所有的参数可以通过一个命令行完成,方便制作脚本.常用命令格式为dig @dns-server targetdomain query-type.Netstat是一个可以在win和linux下使用的获得端口,连接,路由等网络信息的工具.Win下的netstat:不加参数显示当前活动的TCP连接,后面可以加数字(秒)得到不停刷新的信息.-n显示地址而不是域名,-a显示所有的连接,在xp和2003还有一个新的-o的参数可以显示相应连接的PID(process identification).-e显示接口的摘要信息,-o显示协议的摘要信息.-r显示系统路由信息,相同于route print命令.Linux下的netstat:不加参数会显示当前活动的所有连接包括Unix Sockets信息-atuwp参数可以去掉socket信息,-t参数显示当前活动的TCP连接,-c可以周期性的自动刷新.-n等同于win下的.-i显示接口的摘要信息,-s显示协议的摘要信息,-r显示路由表,相同于route命令.Nbstat:win下的Arp:Win和Linux下查询MAC地址和IP地址映射信息的工具.-a显示arp表,-s 指定一个静态的映射,-d删除一个映射.案例一般情况下我们认为只要能Ping通就代表网络没有问题了,对于有少量的丢包也认为是正常现象,其实有时候问题就隐藏在这些小量丢包的后面.有一个企业网络,客户老是抱怨使用改企业的内部应用老是有问题,而内部人员则没有发现什么问题.从内部ping也很正常,后来尝试持续ping边缘路由器,发现虽然能通但是隔30秒就会time out一两次.开始被认为是正常现象,后来研究发现ping 使用的ICMP的包,而对ICMP包的处理在路由器上的优先级是很低的,如果路由器出现CPU负荷过高就会不相应ICMP,进而导致time out.去边缘路由器show cpu 一看果然CPU利用率90%,检查配置发现没有开启ip route-cache,并且路由器每隔30秒会收到上游发送的BGP路由,从而导致路由器停止处理数据包,出现服务无法相应的状况.开启路由器快速交换后解决问题.小小的Ping发现了网络大问题.第四章Syslog服务讲述Syslog的架构和如何在思科的网络环境下部署Linux和Win下的ang=EN-US>syslog服务器,以及相应思科设备的配置.Syslog简介Syslog协议允许设备向消息收集器发送相应的事件信息.使用UDP端口514,不需要确认,大小为1024字节.包含Facility,Severity,Hostname,Timestamp,Message五种信息.Facility是syslog对信息源的大致分类,比如该事件来源于操作系统,进程等,用整数表示.其中16-17的local use可以为哪些没有被明确定义的进程或者应用所使用,通常思科IOS设备,CatOS交换机,VPN3000使用Facility Local7发送syslog信息,PIX防火墙使用local4,当然这些缺省值是可以修改的.Severity 信息源或者1位数字进行分类.Hostname 设备名或者IP地址,如果多接口使用传送信息端口的IP地址. Timestamp 时间戳是本地时间,IOS允许添加时区信息,前面加个特殊字符比如*,格式如下: MMM DD HH:MM:SS Timezone *.Message 信息.Syslog服务器的部署内置syslogd的配置/etc/syslog.conf文件控制syslogd的配置.里面有根据facility和severity 来定义的规则,格式为facility.severitydestination-file-path,里面缺省的记录系统的信息不需要更改.对于思科设备来说facility从local0到local7,severity为前面提到的debug,info,notice,warning,err,crit,alert,emerg和none.为了方便定义规一个复杂的例子如下:local6.*;local6.!=err /var/log/allexcepterror.log 写入所有facility为local6的信息到all*.log文件,只排除severity为err的信息缺省情况下syslogd只能接收来自本地的syslog信息,如果要接收远端的syslog信息,启动的时候要加上-r选项配置基于linux的syslog-ng服务器由于内置syslogd的有facility分类笼统,信息过滤弱等缺陷,推荐使用syslog-ng来替代.去该网站下载安装后通过修改/etc/syslog-ng文件来进行软件的配置.该文件包含5个部分:options,source,destination,filter和log.Options 定义全局选项,格式为options { option1(value);option2(value); ... };Source 定义守护进程收集信息的源,格式为source identifier{ source-driver(params); source-driver(params); ... };Destination 定义所收集信息经过过滤后保存的地方,格式为destination identifier { destination-driver(params); destination-driver(params);例子destination hosts { file("/var/log/host/$DATE" create_dirs(yes)); }; 按照日期来保存文件,如果没有相应的目录为自动创建.Filter 定义过滤规则,格式为filter identifier { expression; };Log 把source,filter,destination合并,实现来自某个source的信息符合特定的filter后送到所定义的destination.格式为log { source(s1);source(s2); ...filter(f1); filter(f2); ...destination(d1); destination(d2); ...flags(flag1[, flag2...]); };配置基于Windows的syslog服务器Kiwi Syslog是一个免费的图形化syslog服务软件,安装配置比较简单.配置思科设备对syslog的支持路由器下syslog支持的配置配置示例:Router(config)#logging 192.168.0.30 配置syslog服务器地址,可以定义多个Router(config)#service timestamps debug datetime localtime show-timezone msecRouter(config)#service timestamps log datetime localtime show-timezone msec syslog信息包含时间戳Router(config)#logging facility local3 定义facility级别,缺省为local7,可以设置从local0到local7Router(config)#logging trap warning 定义severity级别缺省为infor级别Router(config)#endRouter#show loggingSyslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)Console logging: level debugging, 79 messages loggedMonitor logging: level debugging, 0 messages loggedBuffer logging: disabledTrap logging: level warnings, 80 message lines loggedLogging to 192.168.0.30, 57 message lines logged交换机下syslog支持的配置配置示例:Console> (enable) set logging timestamp enable 定义信息包含日期戳Console> (enable) set logging server 192.168.0.30 指定服务器地址,最多可以指定3个Console> (enable) set logging server facility local4 定义facility级别,缺省为local7,Console> (enable) set logging server severity 4 定义severity级别除了前面提到的路由器上的severity级别以外还有一些交换机特有的Console> (enable) set logging server enable 启用syslog服务Console> (enable) show loggingLogging buffered size: 500timestamp option: enabledLogging history size: 1Logging console: enabledLogging server: enabled{192.168.0.30}server facility: LOCAL4server severity: warnings(4Current Logging Session: enabledFacility Default Severity Current Session Severity------------- ----------------------- ------------------------cdp 3 4drip 2 4PIX防火墙下syslog支持的配置配置示例:Firewall(config)# loggin timestamp 定义信息包含日期戳Firewall(config)# logging host 192.168.0.30 服务器地址,可以指定以udp或者tcp来发送信息,对于思科的PIX FW syslog 软件只发送tcp.Firewall(config)# logging facility 21 定义facility级别,防火墙使用两位字符,local0对应16,依次类推,缺省为20也就是local4Firewall(config)# logging trap 7 定义severity级别,7为debug,0为emer,1为alert.Firewall(config)# logging on 启用syslogFirewall(config)# no logging message 111005 抑制特定的syslog信息Firewall(config)# exitFirewall# show loggingSyslog logging: enabledFacility: 21Timestamp logging: enabledStandby logging: disabledConsole logging: disabledMonitor logging: disabledBuffer logging: disabledTrap logging: level debugging, 6 messages loggedLogging to inside 192.168.0.30History logging: disabledDevice ID: disabledVPN Concentrator下syslog支持的配置在web管理界面下Configuration > System > Events > Syslog Servers通过add来增加syslog server的地址和facility级别. Configuration > System > Events > General下通过severity to syslog的下拉菜单选择发送信息的serverity级别.然后保存修改.。
