cisco技术网文转帖（二）

wolf2602

本帖的内容打部分转自网络，希望大家能用到其中的一些相关内容

Xmodem恢复灌IOS

1，进入switch: ,输入flash_init
2,更改波特率提高传输速度 set BAUD 115200 (可以不改，但是灌的速度很慢。用unset BAUD恢复默认，也可以在灌入后，进入config(line)＃speed 9600改回默认）
3, copy xmodem: flashxx.bin
4,在超级终端里点发送文件－用xmodem 或是xmodem1K发送IOS（xxx.bin)文件。
传送完后，就可以用boot命令加载IOS进行正常的启动。
Switch: boot
这样就完成了本次提升速度的全过程，不过后来分析，知道set BAUD这个命令其实在存放在env_vars这个文件里面的，这个文件是环境变量文件，在启动加载时候起作用。当然在交换机进入正常后，要改回这个速度，否则以后你用超级终端都要用这个速度才能正常连接,怎么改这个速度？哈哈，简单的办法就是删除这个文件，当然也可以copy出这个文件，修改后在copy回去，一切OK。
这样，以后大家灌IOS时候就不用再浪费时间等待哦


cisco3745 IOS丢失恢复过程


XX交通局客户cisco3745 IOS丢失，只能进入ROMMON模式。解决过程：
1。连接console线缆。
2。加电进入ROMMON模式
System received a Software forced crash ***

signal= 0x17, code= 0x5, context= 0x80020ae0

PC = 0x800080d4, Cause = 0x20, Status Reg = 0x3041a803

c3745 processor with 131072 Kbytes of main memory

Main memory is configured to 64 bit mode with parity disabled

Readonly ROMMON initialized

Compact Flash:External not present

c3745 processor with 131072 Kbytes of main memory

Main memory is configured to 64 bit mode with parity disabled
Rommon 1 >
3。输入dir 显示如下。
rommon 2> dir flash:
1 -rw- 21342280 <no date> ?
rommon 1 >
IOS文件名处显示为？，怀疑IOS文件有误，决定重传。
4。输入confreg修改console baud rate为最高值115200,重启路由器。
rommon 3 >confreg
Configuration Summary
enabled are:
break/abort has effect
console baud: 9600
boot: the ROM Monitor

do you wish to change the configuration? y/n [n]: y
enable "diagnostic mode"? y/n [n]:
enable "use net in IP bcast address"? y/n [n]:
enable "load rom after netboot fails"? y/n [n]:
enable "use all zero broadcast"? y/n [n]:
disable "break/abort has effect"? y/n [n]:
enable "ignore system config info"? y/n [n]:
change console baud rate? y/n [n]: y
enter rate: 0 = 9600, 1 = 4800, 2 = 1200, 3 = 2400
4 = 19200, 5 = 38400, 6 = 57600, 7 = 115200 [0]: 7
change the boot characteristics? y/n [n]:

Configuration Summary
enabled are:
break/abort has effect
console baud: 115200
boot: the ROM Monitor

do you wish to change the configuration? y/n [n]:

You must reset or power cycle for new config to take effect.

rommon 4 >reset

5。修改终端的baud rate为115200,与路由器匹配，以免产生乱码。
6。输入xmodem -r 命令,建议用最小的IOS，这样恢复时间可缩短。该文件为14M左右，上传用了55分钟。
rommon 1>xmodem -r c3745-ipbase-mz[1].124-2.T.bin
7。传输完成后，路由器会自动重启，进入正常模式。此时输入dir 显示结果如下。文件名处仍为？且<no date> 说明FLASH内无映象。
Router# dir
Directory of flash:/

1 -rw- 21342280 <no date> ?

32112636 bytes total (10770292 bytes free)
8。使用copy tftp flash命令。将IOS文件拷入FLASH内。就可完在恢复。
route#copy tftp flash:
此次升级过程中未发现3745的ROMMON模式下有TFTPDNLD命令，可用于IOS的恢复，而该命令在26系列的有的。



[

wolf2602

b]HSRP基本配置

配置步骤如下：
1.选一个虚拟地址作为HSRP地址。这个地址必须位于要运行HSRP的局域网所获得的地址空间之中。通常把这个地址称为备用地址。备份组中的每台路由器都必须都用如下命令定义同一个虚拟IP地址。
standby group_number ip a.b.c.d
备份组号是一个唯一的号码，在以太网或FDDI上可以识别1到255个备份组，如果不指定组号，默认采用第0组。
如果在VLAN中继上配置HSRP，每个VLAN或以太子接口都必须在不同的备份组中。

2.确定主路由器，将该路由器的优先级至少设为101。另外再用preempt命令使这台路由器参与主路由器的选择。通过下面两条命令完成：
standby group_number preempt
standby group_number priority 1-255

-------参数preempt使得组中具有最高优先级的路由器成为主路由器。
-------参数priority为路由器分配一个优先级，默认情况下是100，优先级最高的路由器会成为主路由器，或成为活动路由器。

3.用下面的命令配置主路由器的跟踪，认证以及计时器进行配置
-------standby group_number track interface_name [cost]
-------在对某接口进行跟踪时，如果该接口停止工作，HSRP会把该接口的优先级减去10。运用这条命令，HSRP组可以根据接口的工作状态使路由器在主路由器和备份路由器之间切换。默认的值10可以通过这条命令加以更改。
-------standby group_number authentication character_string
-------这条命令可以创建认证信息以进行HSRP组操作，这样可是确保只有授权了的路由器才能进入HSRP组中。这里的“character_string”字符串必须和HSRP组中所有的路由器项匹配。
--------standby group_number timers hello_interval_seconds holddown_timer_seconds
参数timers可以设置hello消息和抑制计时器的时间长度。抑制计时器是路由器在宣告转入活动状态之前应该等待的时间。默认值分别是3秒和10秒，这些计时器设置必须和组中所有路由器相匹配。
-------standby group_number mac-address H.H.H
这条命令指定一个MAC地址的静态条目，有利于对来自下游设备的HSRP地址进行管理和过滤。
4.通过为路由器分配99以下的优先级，把备份组中别的路由器配置为备份路由器。
5.配置备份路由器的优先级取代功能、跟踪、认证以及计时器。

例：
HSRP主路由器的配置：

int e0
standby 1 ip 172.16.1.1
standby 1 priority 105
standby 1 preempt
standby 1 track s0
standby 1 authentication cisco

HSRP备份路由器的配置

int e0
standby 1 ip 172.16.1.1
standby 1 priority 101
standby 1 preempt
standby 1 track s0
standby authentication cisco


Route-map 配置实例

随着我国宽带技术的普及,各个公司都会有一至二条Internet接入线路，这些线路可能由电信、网通、长宽、联通等不同的IS提供，尽管他们在

局端采用的技术可能有不同，但对客户而言都是同样接入方式，以太网接入，全部采用8个0的缺省路由，而且每个ISP都提供了几个公网IP,因

此需用到多个NAT地址池,若采用普通的NAT转换,则会发现只有一个NAT地址池起作用,路由器并不会使用其余地址池，那么，如何配置CISCO路由

器以实现多NAT地址池转换，就要用到ROUTE map，我前些日子作了一个工程，正好用到此项技术，考虑到这种实现方法今后会越来越多，特将

配置过程写出来，供各位共享。

第一步：进入配置模式：
ROUTER>EN
ROUTER#CONFIG T

第二步:配置端口
/*接局域网*/
Router(Config)>int fa 0/0
Router(Config-if)>ip addr 192.168.0.1 255.255.255.0
Router(Config-if)>no shut
Router(Config-if)>ip nat inside

/*接ISP1网口*/
Router(Config-if)>int fa 0/1
Router(Config-if)>ip addr 168.168.18.158 255.255.255.252
Router(Config-if)>no shut
Router(Config-if)>ip nat outside

/*接ISP2网口*/
Router(Config-if)>int s1/0
Router(Config-if)>ip addr 68.18.18.2 255.255.255.224
Router(Config-if)>no shut
Router(Config-if)>ip nat outside

第三步:设置NAT地址池
Router(Config)>Ip Nat Pool Isp1_pool 218.18.18.2 218.18.18.6 Netmask 255.255.255.224
Router(Config)>Ip Nat Pool Isp2_pool 68.18.18.4 68.18.18.10 Netmask 255.255.255.224

第四步:设置访问控制列表和NAT转换规则
Router(Config)>Access-list 100 permit Ip 192.168.0.0 0.0.0.255 any
Router(Config)>Ip Nat Inside Source Route-map Isp1 Pool Isp1_pool
Router(Config)>Ip Nat Inside Source Route-map Isp2 Pool Isp2_pool

第五步:设置ROUTE MAP规则
Router(Config)>Route-map Isp1 Permit 10
Router(Config-route-map)>Match Ip address 100
Router(Config-route-map)>Match Int Fa 0/1

Router(Config)>Route-map Isp2 Permit 10
Router(Config-route-map)>Match Ip address 100
Router(Config-route-map)>Match Int S1/0

第六步:设置浮动静态路由
Router(Config)>Ip Route 0.0.0.0 0.0.0.0 168.168.18.157
Router(Config)>Ip Route 0.0.0.0 0.0.0.0 68.18.18.1 20

第七步:结束并保存配置:
Router(Config)>end
Router#Copy Ru St




Trunk配置实例



　　一台4506Switch，通过trunk口和3550连接，在3550下再通过Trunk接6台交换机。

　　具体配置如下：
　　4506：
　　在int gi4/1上做trunk,encapsulation dot1q
　　　　vtp domain cisco
　　　　vtp mode server划分了10个vlan

　　3550：
　　做了6个Trunk口和下面的6太交换机连接。
　　　　int range fa0/1-6
　　　　switchport trunk encapsulation dot1q
　　　　switchport mode trunk
　　　　vtp domain cisco
　　　　vtp mode client

　　其它6台交换机的fa0/1做为Trunk口和上面的3550连接；
　　　　int range fa0/1
　　　　witchport trunk encapsulation dot1q
　　　　switchport mode trunk
　　　　vtp domain cisco
　　　　vtp mode client

　　交换机都做Trunk是可以互相学习到vlan信息的；

关于802.1x

一、802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。
1、802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。
2、802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道）
3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。
二、802.1X的认证体系分为三部分结构：
Supplicant System，客户端(PC/网络设备)Authenticator System，认证系统
Authentication Server System，认证服务器
三、认证过程
1、认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；2、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等；
3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。
四、配置
1、先配置switch到radius server的通讯
全局启用802.1x身份验证功能
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x {default} method1[method2...]
指定radius服务器和密钥
switch(config)#radius-server host ip_add key string
2、在port上起用802.1x
Switch# configure terminal
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# end



故障检测检查表
第一级故障检测
　　接口处于”UP/UP”状态？
　　显示IP接口摘要
　　显示ATM接口情形
　　显示端口（CAT 5000）
　　显示MAC（CAT 5000）
　　常用的接口故障检测：show controllers.
　　连接的哪一端是DCE，哪一端是DTE？
　　Show cdp neighbor.

　　1、祯中继故障检测

　　路由器与祯中继交换机是否正确通信？
　　Show frame PVC显示的DLCI是否处于激活状态？
　　路由器送出分组吗？(debug frame packet/show frame PVC(分组进/分组出)
　　你的祯中继分组语句正确吗？(show frame-relay map)
　　实验环境最受欢迎的祯中继故障检测工具:debug frame packet.

　　2. ISDN/DDR故障检测

　　ISDN
　　Show isdn status
　　Debug isdn q921
　　Debug isdn q931
　　最受欢迎的ISDN故障检测工具，debug isdn q931

　　DDR
　　出境业务流是否是有兴趣的业务流
　　Show dialer
　　Show dialer map
　　Debug dialer packet
　　Debug dialer events
　　记住——当怀疑的时候，保持拨号者列表的配置尽可能的简单。

ISDN呼叫是否正常设置？
　　Debug isdn q931
　　由呼叫方产生的Q931信息是什么？
　　由被呼叫方产生的Q931信息是什么？
　　最受欢迎的DDR故障检测工具ebug dialer packet.
　　PPP权威认证是否正常发生？
　　Debug PPP authentication

　　3. Catalyst 5000故障检测

　　端口是否激活
　　Show port
　　端口通过祯吗？
　　清除计数器
　　show mac module/port
　　CAM表中是否有特定的MAC地址？
　　Show port
　　Show mac
　　Show cam dynamic
　　Show vlan
　　Show trunk
　　Show spantree

　　4. ATM故障检测

　　Show atm interface status
　　Show atm ilmi
　　Show atm vc

　　5. ATM仿真局域网LANE故障检测

　　LANE设备是否正确地建立所有管理和控制VC?
　　Show lane default
　　Show lane client
　　Show lane database
　　Show lane le-arp
　　Debug lane client all
第二级故障检测

　　1. IP地址

　　分配给特定路由器的接口的IP地址有哪些？
　　Show ip interface brief
　　直接相连的邻居接口IP地址是哪些？
　　Show cdp neighbor detail
　　你能ping通自身的接口吗？

　　2. 特定路由器转发的IP分组

　　ping (standard ping/extended ping)
　　Debug ip packet
　　分组通过正确的接口离开路由器吗？
　　如果debug ip packet显示”unroutable” 信息，检查路由表(show ip route)
　　如果debug ip packe显示”encap failed”信息，检查支持IP分组转发特定接口的过程。
　　如果”encap failed”信息出现在一个多访问接口，例如Ethernet或令牌环，使用debug arp 确保ARP过程正常。
　　如果”encap failed”信息出现在非广播多重访问接口，例如祯中继或ATM，使用debug 祯分组或debug atm分组确保分组映射到目的地址。
　　如果”encap failed”出现在交换连接上，例如ISDN/DDR连接，使debug q931来确保呼叫方正确设置，检查拨号者分组来确保业务流已被定义为“有兴趣的”，或检查PPP权威认证确保PPP权威认证已正确产生。
　　如果debug ip packet仅仅显示sending信息，则所有的IP转发过程都在该路由器上正确操作。检查所有中间路由器或路由业务流的返回路径。

　　3. IP路由

　　IP路由更新信息是否把正确的前缀送出正确的接口了吗？
　　你在正确的接口上收到正确的路由更新信息吗？
　　Debug ip rip
　　Debug ip igrp transactions
　　Debug ip igrp events
　　Debug ip eigrp
4. 跟踪分组通过互连网的路径

　　traceroute (standard traceroute/extened traceroute)

　　5. OSPF

　　参与OSPF进程每个接口的OSPF是否激活？
　　Show Ip ospf interface
　　OSPF邻居之间关系正确形成了吗？
　　Show ip ospf neighbor
　　OSPF的毗邻正确形成了吗？

　　6. NBMA网络上OSPF

　　是否有不同接口混合使用（物理的、点到点子接口和多点子接口），存在接口不匹配情况吗？

　　7. DDR

　　OSPF Hello 分组无限地保持接口处于激活状态吗？

　　8. IP路由分组再分派

　　激活合适的路由协议检错工具，确认路由正确通过再分派进程。
　　在路由再分派过程中存在FLSM/VLSM冲突吗？
　　Show ip protocols
　　Clear ip ospf redistribution

第三级故障检测

　　你的BGP邻居关系形成了吗？
　　Show ip bgp summary
　　BGP 网络已在通告了吗？
　　正在通告的网络在BGP路由器的IGP表中？
　　Show ip route
　　IBGP路由器能ping到广播的下一跳地址吗？
　　如果不能，考虑使用下一跳地址本身。
　　你的BGP表正确形成了吗？
　　Clear ip bgp *
　　Debug ip bgp events
　　Debug ip bgp updates
　　同步是否应该关闭？
　　Show ip bgp
　　Show ip route

第四级故障检测

　　1、IPX

　　指定路由器上运行IPX进程？
　　Show protocols
　　Show ipx interface brief
　　Show cdp neighbor brief
　　IPX业务流正确进出指定路由器吗？
　　Ping ipx
　　Debug ipx packet
　　你能在正确的接口上发送和接收正确的IPX路由更新信息吗？
　　Debug ipx routing activity
　　IPX路由表一致吗？
　　Clear ipx route *
　　Show ipx route
　　SAP表一致吗？
　　Clear ipx route *
　　Show ipx servers
　　假如使用IPX EIGRP，EIGRP邻居关系正确形成了吗？
　　EIGRP拓扑数据库的内容正确且完整吗？
　　EIGRP度量值计算反映了最短路径的正确代价了吗？
　　如果用隧道输送IPX业务流，隧道操作正确吗？
　　Show tunnel/debug tunnel
　　记住—IPX隧道依赖于在隧道端点之间的连接性。
　　保证隧道的一个端点可以由另一个端点到达，ping隧道端口。
　　如果ping连接成功但隧道仍不工作，检查所有中间路由器上访问表。访问表可能封锁了隧道业务流。

　　2. APPLETALK

　　Appletalk进程运行在指定路由器上了吗？
　　Show protocols
　　Show appletalk interface brief
　　Show appletalk interface
　　Show cdp neighbor brief
　　Show apple neighbor
　　Appletalk 业务流正确进出在指定的路由器上吗？
　　Ping appletalk
　　Debug appletalk packet
　　能否在正确的接口上发送和接收正确的路由更新信息？
　　Debug appletalk routing activity
　　Appletalk 路由表一致吗？
　　No appletalk routing/appletalk routing (RTMP only)
　　Show appletalk route
　　区表一致吗？
No appletalk routing (RTMP only)
　　Show appletalk zones
　　Debug appletalk zone
　　如果使用appletalk eigrp，正确形成了 EIGRP邻居关系了吗？
　　EIGRP拓扑数据库的内容正确且完整吗
　　EIGRP度量值计算反映最短路径的正确代价了吗？
　　如果隧道输送appletalk业务流，隧道操作正确吗？
　　Show tunnel/debug tunnel
　　记住—appletalk隧道依赖于隧道端点间的连接性。
　　保证隧道的一个端点可从另一个端点到达，ping隧道端点。
　　如果ping连接成功但隧道仍不工作，检查所有中间路由器上的访问表，因为访问表可能封锁了隧道业务流。

　　3. DECNET

　　DECNET进程运行在指定路由器上了吗？
　　Show protocols
　　Show DECNET
　　Show decnet interface
　　Show cdp neighbor brief
　　DECNET业务流正确进出指定路由器吗？
　　Ping decnet
　　Debug decnet packet
　　能否在正确的端口上发送和接收正确的录由更新信息？
　　Debug decnet routing activity
　　Decnet 路由表一致吗？
　　Show decnet route
第五级 故障检测

　　1. 透明桥

　　所有的网桥组成员都列出相同的根桥了吗？
　　Show span
　　生成树正确形成了吗？
　　桥组中的哪个端口处于封锁状态（如果有的话）？
　　Debug sapn events
　　Show spantree
　　Debug arp

　　2. CRB和IRB

　　Show interface crb
　　Show interface irb
　　Show interface bvi

3. LAT

　　Debug translate
　　Show translate

　　4. 源路由桥接

　　show source

　　5. DLSw+

　　故障检测DLSw+连接的两边
　　你能ping通DLSw+对等进程吗？
　　DLSw disable
　　Show dlsw peer
　　Show dlsw reachability
　　Debug dlsw peer
　　Debug dlsw reachability
　　Debug dlsw core
　　Show span
　　Show source

第六级故障检测
　　1. 访问表

　　记住隐含为所有拒绝
　　记住有方向性的访问表。
　　show access-lists
　　show access-expressions
　　debug access-expressions
　　
　　2. 排队

　　show queue
　　debug custom
　　debug priority
　　
　　3. 策略路由和路由图

　　show ip policy
　　debug ip policy

　　最后补一句，一个熟练的故障检测这必须透彻理解他或她正在排错的技术。常用的故障检测工具是CiscoWorks和Network Asscoiates SNIFFER,这里是培养故障检测技能的开端。

xinglp

好文，收藏了，谢谢楼主