課件分析講稿9.feature

1、Feature目錄Directed-broadcast（定向廣播）1DHCP4IP Accounting（記賬）18NetFlow23W30DRP （Director Response Protocol）32IP Event Dening(IP事件懲罰)33Core dump（）.36GLBP （Gateway Load Balancing Protocol ）38SLA （Service Level Agreements）52NTP（網絡時間協(xié)議）66Summer-time夏令時70Syslog and local logging72FTP&TFTP75HTTP&HTTPS76SNMP79R

2、MON（監(jiān)視）84Embedded Event Manager (EEM)86SCP（安全協(xié)議）110Directed-broadcast（定向廣播）概述在默認情況下，Cisco 路由器在收到任何廣播數據的時候，默認都是丟棄而不轉發(fā)，在某些時候，有些廣播是必須的，比如通常使用的NetBios Name Server 協(xié)議，DNS 協(xié)議，還有 DHCP 協(xié)議。就像 DHCP 協(xié)議，當主機在沒有地址的情況下，向服務器請求 IP 地址，正因為自己沒有 IP 地址，卻又不知道服務器在哪，所以需資源請關注鴻鵠：ht要使用廣播來查找，這時，如果服務器在網絡，而路由器又轉發(fā)廣播，那么將給的 DHCP 帶來麻

3、煩。要如何才能在這種情況下讓網絡正常工作呢，那就是讓路由器幫把廣播轉發(fā)到比如需要到達的目標網絡，這樣需要到達網絡的廣播，稱為定向廣播，本地網絡是 /24 的網段，需要將廣播發(fā)到 /24 的網段，那么只想讓廣播在 /24 網段發(fā)送，廣播地址為 55，但如果直接這樣發(fā)，是到達不了 /24 網段的，所以需要得到路由器的允許。Directed-broadcast每個網絡都是與路由器的某個接口相連的，這個網絡需要向網絡發(fā)送廣播，首先就是發(fā)送到路由器與之相連的接口，那么當路由器從該接口收到廣播之后，決定是丟棄還是轉發(fā)，就在于路由器的接口是否允許定向廣播功能，如果需要讓路由器幫能。轉發(fā)定向廣播，就需要在接口

4、上手工配置 directed-broadcast 轉發(fā)功配置1配置 Directed-broadcast（1）定義 ACLR1(config)#acs-list 10 permit any注：ACL 是用來告訴接口哪些數據包是可以傳遞定向廣播的，加了 ACL 之后，只傳遞該 ACL所有允許的數據，如果不加ACL，默認傳遞所有定向廣播數據。（2）在接口上開啟 directed-broadcastR1(config)#f0/0R1(config-if)#ip directed-broadcast 10注：IOS 12.0 開始，默認接口上是關閉 directed-broadcast 的。（注意 I

5、OS 版本，請以自身為準。）Forward-protocol資源請關注鴻鵠：ht在路由器接口上開了 directed-broadcast 之后，路由器便能夠將該接口上收到的定向廣播發(fā)往相應的網絡，比如從 /24 收到的廣播發(fā)往 55，但是如果一個目標地址為 55（此廣播稱為本地廣播）的 DHCP 廣播請求包，需要發(fā)往 DHCP 服務器所在的 /24 網絡（DHCP 服務器地址為00），路由器會自動將該廣播包轉到 00 嗎？當然是不會，那么又如何讓路由器在收到目標地址為 55 的廣播包，就知道要轉發(fā)到 00 呢？這就需要在路由器接口上定義 ip helper-address，之后路由器就會將廣播

6、轉成單播發(fā)到 ip helper-address 后面的目標 IP，但是要注意的是，什么樣的廣播才會被轉發(fā)到 ip helper-address 后面的目標 IP，是需要根據 forward-protocol 來定義的，如果 forward-protocol 不允許任何協(xié)議，那么路由器就不會將任何廣播發(fā)到ip helper-address 后面的目標 IP。forward-protocol 默認允許通過的協(xié)議為：Trivial File Transfer (TFTP) (port 69)Name System (port 53)Time service (port 37)NetBIOS Nam

7、e Server (port 137)NetBIOS Datagram Server (port 138)Boot Protocol (BOOTP) c nt and server datagrams (ports 67 and 68)TACACS service (port 49)所以默認情況下，在接口上加了ip helper-address，路由器也就只能轉發(fā)這些默認的端口。配置1配置 forward-protocol（1）定義可以轉發(fā)的協(xié)議和端口R1(config)#ip forward-protocol udp 3001注：默認是開啟 forward-protocol 的，且只能轉發(fā)默

8、認協(xié)議和端口。資源請關注鴻鵠：ht（2）在接口下配置 ip helper-addressR1(config)#f0/0R1(config-if)# ip helper-address 00注：默認是關閉 ip helper-address 的。說明：通過以上配置之后，當路由器從 f0/0 接口上收到目標地址為 55的廣播，并且目標為 UDP 3001 的廣播之后，就會轉成單播發(fā)往 00。如果沒有配置 forward-protocol，路由器就只能轉發(fā)默認的協(xié)議和端口。DHCP概述DHCP 應該是一個大家都非常熟悉的協(xié)議，可能算不上什么 feature，平時使用電腦時，經常會用到，它的功能也是大

9、家所知道的：動態(tài)地為主機分配 IP 地址以節(jié)省工作量。由此可以看出，DHCP 可以由兩個部分組成，即 DHCP 服務器和 DHCP客戶端（通常為所使用的PC）。那么在 Cisco 設備分別扮演 DHCP 服務器和 DHCP客戶端時，與其它設備不同之處呢，下面來詳細地介紹。DHCP 是一個協(xié)議，無論它運行在主機上，還是在路由器或交換機上，其運行的規(guī)則，就像 TCP/IP 協(xié)議一樣，是不允許使用任何命令更改的，DHCP 前身是UDP 67(cisco 設備上稱為 bootps)，客BOOTP 協(xié)議，使用的端為：服務器端是戶端是 UDP 68（cisco 設備上稱為 bootpc）,CCIE 考生需

10、牢記。當一臺主機接入網絡后，在沒有 IP 地址的情況下，向網絡上發(fā)送 DHCP 請求獲得 IP 地址時，正因為自己還沒有 IP 地址，所以發(fā)送數據包時，源 IP 為 ,源 MAC 正常，而自己也不可能知道誰是 DHCP 服務器，所以數據包是目標 IP 地址為 55、目標 MAC地址為的廣播包。當本地網絡中如果存在 DHCP 服務器，那么 DHCP 服務器從某個網卡收到請求后，便向客戶端發(fā)送一個地址信息，其中包含需要使用的IP 地址，子網掩碼，網關，DNS 等信息，同時這些信息會攜帶一個租約時間（即這個地址客戶端可以使用多久，過了這個時間，那么服務器將該地址提供給其它客戶端使用），當然，客戶端也

11、可以提前結束該地址的使用。當使用的客戶端為 windows 主機，其接入網絡之后，當網卡配置為 DHCP資源請關注鴻鵠：ht獲得地址時，就開始向網絡中請求地址，先發(fā)送一個廣播包，等待 1 秒之后，如果沒有服務器應答，就開始嘗試發(fā)送第二個廣播包，如果又等了 9 秒沒有收到應答，則發(fā)送第三個廣播包，第三個是等 13 秒，還沒有應答，最后再發(fā)送一個包，等待16 秒后，最終在四個廣播包沒有應答的情況下，也就是從發(fā)送第一個請求包到 39秒之后，默認是放棄請求，但最后也會為網卡自動配上一個私有 IP 地址，地址段為 /16,并且你會看到網卡連接圖標上出現黃色感嘆號，狀態(tài)名為“受限制或無連接”，即使這時網絡

12、中出現了 DHCP 服務器，也救不了這臺主機，這就是 windows主機作為 DHCP 客戶端的情況。那么使用 Cisco 設備作為 DHCP 客戶端的不同之處是什么呢？當 Cisco 設備的接口配置為 DHCP 獲得地址時，便向網絡中發(fā)出廣播，如果等待 5 秒都沒有收到應答，就再次發(fā)送，再等 10 秒，沒有收到就再發(fā)，然后再等 15 秒,20 秒，25 秒，30 秒60 秒，由此可以看出其間隔是隨著次數的增加而每次加 5 秒，但嘗試到 60 秒后，便不再增加，又會重新回到 5 秒，以次類推，Cisco設備在得不到地址的情況下，并不會為接口自動配上網段為 /16 的地址，所以如果網絡中之后出現

13、 DHCP 服務器，就會為該設備的接口分發(fā)一個 IP 地址。當 DHCP 客戶端得到 IP 地址后，因為地址使用是有時間限制的，當這個時間過去一半的時候，客戶端會向服務器續(xù)約，以請求繼續(xù)使用該地址，服務器同意后，該地址的使用時間會被刷新，如果在時間過去一半時，續(xù)約不成功，便會在總時間過去 75%的時候再續(xù)約一次，如果還不成功，就會放棄該地址的使用權。服務器與客戶端之間并沒有o 這樣的數據包來保持會話狀態(tài)，所以當一臺客戶端得到一個 IP 地址的使用權后，中途離開網絡，服務器是無法知道的，也就無法將該 IP 地址重新分配給他人使用，所以建議大家在配置服務器時，可以將租約配的越短越好，以免造成一個地

14、址發(fā)給客戶使用，而這臺客戶機已經離開了，該 IP 地址還長時間不能重新發(fā)給新的客戶使用，建議租約配置為 1 分鐘，因為一個地址在租約過半時，客戶端會續(xù)約，也就是可以再次使用同一個地址，所以不用擔心一分鐘之后，客戶端會重新獲得別的 IP 地址。當一臺 DHCP 客戶端收到服務器提供的 IP地址后，會使用Gratuitous ARP 來查訊網絡，即使用該 IP 地址為目的 IP，目標 MAC為發(fā)到網絡里，如果有人回答該數據包，則證明該 IP 地址在網絡中已經有他人在使用，那么將向 DHCP 服務器重新請求獲得別的 IP 地址。（注：Gratuitous ARP通過正常無法關閉）配置DHCP 基礎資

15、源請關注鴻鵠：ht1配置 DHCP Server（1）開啟 DHCP 功能r2(config)#service dhcp（2）配置 DHCP 地址池地址池名為 ccie1r2(config)#ip dhcp pool ccie1r2(dhcp-config)#network 可供客戶端使用的地址段網關r2(dhcp-config)#default-router r2(dhcp-config)#dns-server DNS租期為 1 天 1 小時 1 分（默認為一天）r2(dhcp-config)#lease 1 1 1地址池名為 ccie1r2(config)#ip dhcp pool cci

16、e2r2(dhcp-config)#network 可供客戶端使用的地址段網關r2(dhcp-config)#default-router r2(dhcp-config)#dns-server DNS租期為 1 天 1 小時 1 分（默認一天）r2(dhcp-config)#lease 1 1 1（3）去掉不提供給客戶端的地址注：因為某些 IP 地址不希望提供給客戶端，比如網關地址，所以要將這些地址從地址池中移除，這樣服務器就不會將這些地址發(fā)給客戶端使用。資源請關注鴻鵠：ht移除 到 0r2(config)#ip dhcp excluded-address 0移除 到 0r2(config)#

17、ip dhcp excluded-address 02配置 DHCP C nt（1）配置接口使用 DHCPr1(config)#f0/1r1(config-if)#ip address dhcp3查看命令：（1）在服務器上查看哪些地址分配給了哪些主機：R2#Show ip dhcp binding4查看結果查看 DHCPC nt 會看到接口 F0/0 的 IP 地址為1 并且產生一條指向 的默認路由（換成 PC 就會變成網關是 ），路由器并不需要得到 DNS。在這里，DHCP Server 上明明配了兩個地址池，網段分別為 /24 和 /24,為什么客戶端向服務器請求地址的時候，服務器就偏偏會

18、把 /24網段的地址發(fā)給客戶，而不會錯把 /24 網段的地址發(fā)給客戶呢。這是因為服務器從哪個接口收到 DHCP 請求，就只能向客戶端發(fā)送地址段和接收接口地址相同的網段，如果不存在相同網段，就會丟棄請求數據包。圖中接收接口地址為 ，而地址池 ccie1 中的網段 /24 正好和接收接口是相同網段，所以向客戶端發(fā)送了 IP 地址 1。DHCP 中繼資源請關注鴻鵠：ht如圖中所示，當 R1 的接口配置為 DHCP 獲得地址后，那么將從 F0/0 發(fā)出目的地為 55 的廣播請求包，如果 R2 為 DHCP 服務器，便會響應客戶端，但它不是 DHCP 服務器，因此 R2 收到此廣播包后便默認丟棄該請求包

19、。而真正的 DHCP 服務器是 R4，R1 的廣播包又如何能到達 R4 這臺服務器呢，R4 又如何向 R1客戶端發(fā)送正確的 IP 地址呢。路由器是不能夠轉發(fā)廣播的，因此，除非能夠讓 R2 將客戶端的廣播包單播發(fā)向R4 這臺服務器。的做法就是讓 R2 將廣播包通過單播繼續(xù)前轉到 R4 這臺服務器，稱為 DHCP 中繼，通過 IP help-address 功能來實現。1R2 配置（1）配置將 DHCP 廣播前轉到 注：IP help-address 功能默認能夠前轉 DHCP 協(xié)議，所以無需額外添加。R2(config)#f0/0R2(config-if)#ip helper-address 2

20、配置 DHCP Server:（1）開啟 DHCP 功能R4(config)#service dhcp（2）配置 DHCP 地址池地址池名為 ccie1R4(config)#ip dhcp pool ccie1R4(dhcp-config)#network 可供客戶端使用的地址段網關R4(dhcp-config)#default-router 資源請關注鴻鵠：ht地址池名為 ccie1R4(config)#ip dhcp pool ccie2R4(dhcp-config)#network 可供客戶端使用的地址段網關R4(dhcp-config)#default-router （3）去掉不提供給

21、客戶端的地址R4(config)#ip dhcp excluded-address 0 移除 到 0R4(config)#ip dhcp excluded-address 0移除 到0（4）配置正確地址池的路由R4(config)#ip route 注： R3 無需做任何配置！3查看結果查看 DHCP C nt 會看到接口 F0/0 的 IP 地址為 1，那么 DHCP 服務器 R4又是根據什么來判斷出客戶端需要的是哪個網段的 IP 地址呢，為什么還是沒有錯把 /24 網段的地址發(fā)給客戶呢。不是說服務器從哪個接口收到請求，就把這個接口相同網段的地址發(fā)給客戶端嗎？按照之前的理論，應該是發(fā)送 /2

22、4 的地址給客戶啊。在這里，能夠指導服務器發(fā)送正確 IP 地址給客戶端，是因為有一個被稱為 option 82 的選項，這個選項只要 DHCP 請求數據包被中繼后便會自動添加，此選項,中繼路由器會在里面的 giaddr 位置寫上參數，這個參數，就是告訴服務器，客戶端需要哪個網段的IP 地址才能正常工作。中繼路由器從哪個接口收到客戶的DHCP請求，就在option 82 的giaddr 位置寫上該接收接口的IP 地址，然后服務器根據giaddr位置上的 IP 地址，從地址池中選擇一個與該 IP 地址相同網段的地址給客戶，如果沒有相應地址池，則放棄響應，所以，服務器 R4 能夠正確發(fā)送 /24 的

23、地址給客戶，正是因為 R2 在由于 IP help-address 的影響下，將 giaddr 的參數改成了自己接收接口的地址，即將 giaddr 參數改成了 ，通過 debug 會看到如下過程：*Mar100:28:36.666: DHCPD: setting giaddr to .*Mar100:28:36.666:DHCPD:BOOTREQUESTfrom0063.6973.636f.2d30.3031.322e.資源請關注鴻鵠：ht6439.6639.2e63.3638.302d.4661.302f.30 forwarded to .從上面debug 信息可以看到R2 是將giaddr

24、 改成 后發(fā)中繼發(fā)向的，需要知道的是，經過中繼后發(fā)來的 DHCP 請求包如果 giaddr 位置不是某個 IP 地址而是 的話，服務器是丟棄該請求而不提供 IP 地址的。注：當服務器上存在 /24 網段的地址池時，服務器要將該地址池發(fā)送給客戶，就必須存在到達 網段的路由(默認路由也行)，并且客戶端必須位于該路由的方向，如果方向不對，該地址池也是不能夠發(fā)給客戶使用的。不同 VLAN 分配不同地址如圖 3 中所示，兩個 DHCP 客戶端分別位于交換機上兩個不同的VLAN，交換機上的 VLAN 接口將作為他們的網關，R3 是 DHCP 服務器，這兩個客戶端必須得到不同網段的地址，否則無法與通信，在這

25、種情況下，服務器 R3 也必須正確為 R1分配 /24 網段的地址，必須為 R2 分配 /24 的地址，配置如下：資源請關注鴻鵠：ht1配置 DHCP Server（1）開啟 DHCP 功能R3(config)#service dhcp（2）配置 DHCP 地址池地址池名為 ccie1R3(config)#ip dhcp pool ccie1R3(dhcp-config)#network 可供客戶端使用的地址段網關R3(dhcp-config)#default-router 地址池名為 ccie1R3(config)#ip dhcp pool ccie2R3(dhcp-config)#netw

26、ork 可供客戶端使用的地址段網關R3(dhcp-config)#default-router （3）去掉不提供給客戶端的地址R3(config)#ip dhcp excluded-address 0移除 到 0R3(config)#ip dhcp excluded-address 0移除 0 到（4）配置正確地址池的路由R3(config)#ip route R3(config)#ip route 2配置交換機（1）配置相應接口信息sw(config)#vlan 10sw(config-vlan)#exit資源請關注鴻鵠：htsw(config)#vlan 20sw(config-vlan)

27、#exitsw(config)#f0/1sw(config-if)#switchport mode acssw(config-if)#switchport acs vlan 10sw(config-if)#exitsw(config)#f0/2sw(config-if)#switchport mode acssw(config-if)#switchport acs vlan 20sw(config-if)#exitsw(config)#vlan 10sw(config-if)#ip address 單播前轉 DHCP 廣播到 sw(config-if)#ip helper-address sw

28、(config-if)#exitsw(config)#vlan 20sw(config-if)#ip address 單播前轉 DHCP 廣播到 sw(config-if)#ip helper-address 3配置 DHCP C nt（1）配置 R1r1(config)#f0/1r1(config-if)#ip address dhcp資源請關注鴻鵠：ht(2)配置 R2r2(config)#f0/1r1(config-if)#ip address dhcp4查看結果：按上述配置完之后，客戶端 R1 的 F0/0 便能夠收到地址 1,客戶端 R2 便能夠收到地址 1，然后就可以全網通信。在上

29、述的情況下，服務器 R3 能夠正確為R1 分配 /24 網段的地址，能夠正確為 R2 分配 /24 網段的地址，同樣也是因為交換機在收到R1 的DHCP 廣播包后，將 giaddr 的參數改成了 ，收到 R2 的廣播包后，將 giaddr 的參數改成了 ，所以最后服務器 R3 能夠根據 giaddr= 的包分配 /24 的地址，根據 giaddr= 的包分配/24 的地址。IP 與 MAC 地址綁定在配置 DHCP 時，地址池中除了移除掉的 IP 地址之外，所有的地址都會按順序分配給客戶，所以客戶機得到的 IP 地址是無法固定的，有時需要每次固定為某些 PC 分配相同的 IP 地址，那么這時就

30、可以配置 DHCP 服務器以靜態(tài)將 IP 地址和某些 MAC 綁定，只有相應的 MAC 地址才能獲得相應的 IP 地址。在 Cisco 設備上靜態(tài)將 IP 與 MAC 綁定的方法為，需要將某個 IP 地址綁定給 MAC 地址，就為該 IP 地址單獨創(chuàng)建地址池，稱為 host pool，地址池中需要注明 IP 地址和掩碼位數，并且附上一個 MAC 地址，以后這個 IP 地址就只分配給這個 MAC 地址，所以 host pool 只能有一個 IP 地址和一個 MAC 地址，如果需要為多個客戶綁定 IP 和 MAC，就必須得單獨為每個客戶都配置各自的 host pool，還要注意的是，在 host

31、pool 中，MAC 地址的表示方法和平常不一樣，比如一個主機網卡的 MAC 地址為 aabb.ccdd.eeff，在地址池中，需要面加上 01（01 表示為以太網類型），結果為 01aa.bbcc.ddee.ff1 配置 host pool:（1） 配置 pool 名r1(config)#ip dhcp poo ccie資源請關注鴻鵠：ht（2）配置 IP 地址r1(dhcp-config)#host 00 /24（3）配置與該 IP 地址對應的 MAC 地址r1(dhcp-config)#cnt-identifier 01aa.bbcc.ddee.ff2查看配置結果：（1）查看服務器地址分

32、配狀態(tài)r1#sh ip dhcp bindingBindings from all pools not assoted with VRF:IP addressC nt-ID/Lease expirationTypeHardware address/User name0001aa.bbcc.ddee.ffInfiniteManualr1#說明：從以上結果可以看出，IP 地址 00 已經手工與 MAC 地址 aabb.ccdd.eeff做了綁定，以后只要 MAC 地址為 aabb.ccdd.eeff 的客戶端請求 IP 地址時，才能獲得IP 地址 00。DHCP 安全 ARP資源請關注鴻鵠：htC

33、isco 設計的DHCP 安全ARP 也許不是安全，但也起到了一定的作用，原本設計為一個需要計費的公共熱點 PVLAN（公共無線場所），如圖 4 中所示，R3 為DHCP 服務器，為的 R1 提供正確 IP 地址以提供網絡服務，當服務器 R3 為客戶端 R1 提供 IP 地址 之后，就已經記住了它的 MAC 地址，在正常情況下，如果 R1 退出，服務器是不知道的，并且當網絡中有者接入后，也可冒充 這個地址進行上網，當然 R1 和 R2 的 MAC 地址肯定是不一樣的，如果這時服務器R3 由于自動更新ARP 表的MAC 地址，就能夠順利讓 R2 上網?；谏鲜鲈颍枰诜掌?R3 和客戶端

34、R1 之間提供某種安全機制，即服務器定期 ARP 訊問 是否還存在，在訊問時，只有 R1 能夠回答。在完成這種機制，需要兩個 feature 來支持，第一個是 Update Arp，在地址式下開啟，這個 feature 便是定期訊問網絡中 DHCP 客戶端的;第二個是 AuthorizedARP（ARP）,只能在以太網接口下開能是該接口下通過 ARP 自動更新和學習 MAC 地址，這樣一來，接口下將不能有手動配置 IP 的設備接入，因為手工配置 IP 接入后，服務器不會更新自己的 ARP 表，也就無法完成到新設備的二層MAC 地址封裝，也就無法和新設備進行通信，只有合法的 DHCP 客戶端才能

35、正常通資源請關注鴻鵠：ht信，所以，如果為客戶端分配 IP 地址，就無法做這樣的保護，并且到客戶端的下一跳必須是自己的客戶端，因為如果不是，是無法通信的，因為ARP 不存在到它的條目。1配置安全 ARP：（1）開啟 DHCP 功能R3(config)#service dhcp（2）配置 DHCP 地址池地址池名為 ccie1R3(config)#ip dhcp pool ccie1R3(dhcp-config)#network 可供客戶端使用的地址段網關R3(dhcp-config)#default-router 開啟定期ARP 訊問R3(dhcp-config)#update arp（3）去

36、掉不提供給客戶端的地址R3(config)#ip dhcp excluded-address 0 移除 到 0（4）在接口下開啟 Authorized ARPR3(config)#f0/0動態(tài)更新 ARPR3(config-if)#Router(config-if)# arp authorized60 秒客戶無應答則刪除 ARP 條 目R3(config-if)# arp timeout 60說明：通過以上配置之后，當 DHCP 客戶端從服務器獲得 IP 地址后，服務器便會定期查訊該 IP 地址，如果 60 秒沒有回答，便從 ARP 表中刪除該條目。DHCP資源請關注鴻鵠：ht如圖 5 中所示

37、，客戶端 R1 只有正確從服務器 R3 中獲得 /24 網段的 IP地址才能夠正確上網，如果當網絡中出現另外一臺錯誤的DHCP 服務器（圖中 R2）， R2 向客戶端 R1 發(fā)出 /24 的地址，那么將導致 R1 網絡中斷，在這樣的情況下，就需要不合法的 DHCP 服務器向網絡中提供 DHCP 服務，這就需要 DHCP（DHCP Snoo）。DHCP Snoo是在交換機上完成的，如上圖中，只要告訴交換機，只有 F0/3 發(fā)來的 DHCP 應答地址才轉發(fā)給客戶端，其它接口發(fā)來的應答地址統(tǒng)統(tǒng)被丟棄。要做到這一點，就要告訴交換機，F0/3 接口是它可能信任的 DHCP 地址，其它接口都是不的，不能提

38、供 DHCP 應答，那么在實現這個功能時，就需要將交換機上的接口分為任接口和不任接口兩種，默認交換機全為不任接口，也就是說交換機開啟 DHCP Snoo器能提供服務。在交換機上配置 DHCP之后，沒有任何一個接口上的 DHCP 服務Snoo時，必須指明在哪個 VLAN 上進行，其它沒有的 VLAN 不受上述規(guī)則限制。1交換機上配置 DHCP Snoo注：交換機上所有接口全部劃入 VLAN1（1）在交換機上開啟 DHCP Snoo開啟 DHCP Snoosw(config)#ip dhcp snoo在交換機上啟用 DHCP Snoosw(config)#ip dhcp snoovlan 1（2）

39、將相應接口變?yōu)樾湃谓涌冢J全部為不）資源請關注鴻鵠：htsw(config-if)#ip dhcp snootrust2查看命令：（1）查看 dhcp snooSw#sh ip dhcp snoo說明：通過以上配置之后，只有交換機 F0/3 接口上（信任接口）的設備能夠應答 DHCP 請求，而其它所有接口，比如R2 過來的 DHCP 應答是會被丟棄的。但是你會發(fā)現，在這之后，R1 還是無法獲得服務器 R3 發(fā)來的 DHCP 地址。這是因為開了 DHCP Snoo 的交換機默認會產生中繼效果，即將 DHCP 請求包的 giaddr 的參數改成 ，交換機的這種中繼效果是無法關閉的，當一個服務器收

40、到中繼后并且將 giaddr 設置為 而不是 IP 地址的請求包時，默認是要丟棄該數據包而不作應答的，所以服務器 R3 丟棄了該請求數據包。要讓客戶R1 能夠正常收到 DHCP 提供的 IP 地址，就要讓 DHCP 服務器對即使 giaddr 為 的請求包也作出應答。配置如下：R3(config-if)#ip dhcp relay information trusted最后，從上圖中，如果 R3 本身還不是 DHCP 服務器，如果 DHCP 服務器還在網絡，需要 R3 提供中繼并轉發(fā)該請求包到服務器的話，那么 R3 除了在接口下配置ip dhcp relay information trust

41、ed 之外，還必須配置 ip helper-address，兩者。IP Accounting（記賬）有時需要在路由器上查看某臺主機通過路由器的流量是多少，這時就需要路由器能夠下該主機的數據量。主機之間進行通信時，發(fā)出的數據包都有源 IP 和目的 IP 共兩個 IP 地址，路由器在流量時，可根據這些 IP 地址來定義要的流量。雖然通信時數據包有兩個地址，但路由器只需要定義一個地址即可，這個地址不需明是源還是目的，也就是說一個數據包無論是源 IP 匹配還是目的 IP 匹配，都會被路由器流量時，但是在條目里，會同時寫上流量發(fā)生的源 IP 和目的 IP。在是 Byte,其中包含了數據包的包頭和數據大小

42、。在路由器開啟記賬功能后，會影響到路由器的工作性能，請慎用。需要注意的是，路由器只能從接口出去的流量，并且從自己發(fā)出的流量和發(fā)往自己的流量是不能的。路由器的每一條包含一個源 IP 和一個目標 IP，這一對稱為一個條目，路由器能的資源請關注鴻鵠：ht條目數量是可以隨意更改的，默認最多能512 條。配置1配置 IP Accounting（1）在路由器接口下直接開啟 IP Accountingr1(config)#f0/0r1(config-if)#ip accounting注：只能從接口 f0/0 出去的數據包2（1）在 R2 上，以測試 R2 到 R4 的數據不作，只有 R4 返回 R2 的才。

43、r2#Type escsequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!資源請關注鴻鵠：htSucs rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 ms（2）再從 R4R2r4#Type escsequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Sucs rate is 100 percent (5/5), round-tri

44、p min/avg/max = 8/8/12 ms(3)查看 R1 上的流量r1#sh ip accou*Mar 1 00:08:53.750: %SYS-5-CONFIG_I: Configured from consoy consoler1#sh ip accountingSourceDestinationPacketsBytes10500Accounting data age is 0說明：可以看出，R2 到 R4 的流量沒有做，因為沒有目的為 的，只看到有R4 到 R2 的流量，因為有目的為 的。（4）再測試 R1 的接口 f0/0 是否還會別的流量r3#Type escsequenc

45、e to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Sucs rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 ms資源請關注鴻鵠：htr3#r1#sh ip accountingSourceDestinationPacketsBytes1010005500Accounting data age is 2說明：從以上數據表明，R1 會從接口 f0/0 出去的任何流量（5）再測試到 R1 的流量r3#Type escsequence to abo

46、rt.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Sucs rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 msr3#r1#sh ip accountingSourceDestinationPacketsBytes1010005500Accounting data age is 2說明：發(fā)現沒有到 R1（即 IP 地址為 ）的流量，說明從 R1 發(fā)起的流量和發(fā)到 R1 的流量是不做的。資源請關注鴻鵠：ht3配置單獨到某固定 IP 的流量（1）配置 R1 只

47、到 R3()的流量（后面為通配符掩碼 r1(config)#ip accounting-list wildcard）（2）在接口上應用記賬功能r1(config)#f0/0r1(config-if)#ip accounting output-packets注：命令 ip accounting output-packets 和 ip accounting 功能相同。（3）測試 R3 到 R4 的流量r3#Type escsequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Sucs rate is

48、100 percent (5/5), round-trip min/avg/max = 4/4/8 ms（4）測試 R2 到 R4 的流量R2#Type escsequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Sucs rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 ms（5）查看流量r1#sh ip accounting資源請關注鴻鵠：htSourceDestinationPacketsBytes5500Accounting

49、 data age is 1說明：從結果中看出，只要數據包中有 這個地址，便會，其它統(tǒng)統(tǒng)不作。NetFlow概述在需要對 Cisco 設備上查看數據的流量傳輸情況的時候，可以用到的技術是 IP Accounting，但是可以看出這個技術出的流量是非常簡潔的，只能看到數據包的量，卻看不到數據包的協(xié)議。下面有一項技術在IP Accounting 的基礎上增加了一些有用的附加功能，它不僅能這就是 NetFlow。數據的數量，并且還可以出協(xié)議等信息，Cisco 開發(fā)的NetFlow 共 4 個版本，分別是 ver 1 ，ver 5，ver 8，ver 9，它們的特點是：V9 不向后兼容 v8 和 v5

50、，需要獨立開啟。V8 只支持聚合緩存，不支持新 feature。V5 只支持主緩存，不支持新 feature。V1，不要使用，建議用 5 和 9。Netflow 在網絡設備上抓包，在每臺設備上獨立進行，不需要所有設備開啟。配置Netflow 的條件：（1）必須先開啟路由功能，（2）CEF 必開資源請關注鴻鵠：ht（3）并且會消耗額外CPU 和內存資源。Netflow 抓的含：IP-to-IPIP-to- MPLSFrame RelayATMegress (outgoing)下面 7 個參數相同即被認為是同一流，作相同，否則另作（1）Source IP address（2）Destination

51、 IP address（3）Source port number（4）Destination port number（5）Layer 3 protocol type（6）Type of service (ToS)（7）Input logicalerfaceNetflow 抓到的包可以向9991，這些主機的 IP 和端主機發(fā)送，發(fā)送時使用協(xié)議 UDP，端可以隨意更改。默認為配置資源請關注鴻鵠：ht說明：Netflow 是基于接口開啟的，在某個接口開啟后，就在相應接口的相應方向抓取數據包，在接口上開啟Netflow 時，有先決條件需要打開。1全局開啟 CEF（必開）R1(config)ip cef

52、2接口開啟 Netflow（可開多個接口）（1）早于 IOS 版本 12.2(14)S, 12.0(22)S, or 12.2(15)T 的r1(config)#f0/0r1(config-if)#ip route-cache flow（2）等于或晚于 IOS 版本 12.2(14)S, 12.0(22)S, or 12.2(15)T 的r1(config)#f0/0r1(config-if)#ip flow ingress3定義主機，(最多兩臺)（1）定義IP 地址，設備將抓過的數據包發(fā)向主機（默認端口為 UDP 9991）R1(config)Ip flow-export destinati

53、on 90(2)配置數據包源地址R1(config)# ip flow-export source f0/0資源請關注鴻鵠：ht4定義 Netflow 版本（1）全局定義 Netflow 版本（默認版本 1，不同 IOS 支持的版本不同）r1(config)#Ip flow-export ver 55查看效果：（1）在 r2 上R3 的 r2#Type escsequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Sucs rate is 100 percent (5/5), round-trip

54、min/avg/max = 4/5/12 msr2#(2)在 R1 上查看：r1#sh ip cache flowIP packet size distribution (10 total packets):1-32 64 96 128 160 192 224 256 288 320 352 384 416448 480.000 .000 .000 1.00 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000512 544 576 1024 1536 2048 2560 3072 3584 4096 4608.000 .000 .000

55、 .000 .000 .000 .000 .000 .000 .000 .000IP Flow Switching Cache, 278544 bytes2 active, 4094 inactive, 2 added資源請關注鴻鵠：ht6 agolls, 0 flow alloc failuresActive flows timeout in 30 minutesInactive flows timeout in 15 secondslast clearing of sistics neverProtocolTotalFlows Packets Bytes Packetive(Sec) Id

56、le(Sec)-Flows/Sec/Flow /Pkt/Sec/Flow/FlowSrcIfSrcIPaddressDstIfDstIPaddressPr SrcP DstPPktsFa0/0Fa0/101 0000 08005Fa0/1Fa0/001 0000 00005說明：從以上結果可以看出，擁有很詳細的數據包。（3）查看更詳細r1#sh ip cache vere flowIP packet size distribution (10 total packets):1-32 64 96 128 160 192 224 256 288 320 352 384 416448 480.000

57、 .000 .000 1.00 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000512 544 576 1024 1536 2048 2560 3072 3584 4096 4608.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000IP Flow Switching Cache, 278544 bytes資源請關注鴻鵠：ht0 active, 4096 inactive, 2 added32 agolls, 0 flow alloc failuresActive flows t

58、imeout in 30 minutesInactive flows timeout in 15 secondslast clearing of sistics neverProtocolTotalFlowsPackets Bytes Packetive(Sec) Idle(Sec)-Flows/Sec/Flow /Pkt/Sec/Flow/FlowICMP20.051000.00.015.0Total:20.051000.00.015.0SrcIfSrcIPaddressDstIfDstIPaddressPr TOSs PktsPort Msk ASPort Msk ASNextHopB/P

59、kActiver1#并且看到協(xié)議也有所。(4).可清除錄R1#clear ip flow ss6聚合參數說明：可以將數據包中某些需要的數據聚合后顯示，比如 BGP AS 號碼，或者前綴等信息（1）配置聚合 BGP AS（事先配好 BGP）進入聚合配置模式r1(config)#ip flow-aggregation cache as資源請關注鴻鵠：ht配置可聚合的最多條目r1(config-flow-cache)#cache entries 2000配置不活動會話的超時r1(config-flow-cache)#cache timeout inactive 200時間配置活動會話的時間r1(co

60、nfig-flow-cache)#cache timeout active 50開啟r1(config-flow-cache)#enabled（2）配置中 Origin-as 在源和目的中包含 asR1(config)#ip flow-export ver5 peer-as7查看結果：(1)從 R2r3R2#Type escsequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!Sucs rate is 100 percent (5/5), round-trip min/avg/max = 4/4/