2010年5月17日 星期一

Cisco switch port mode

 cisco網路中,交換機在區域網路中最終穩定狀態的接口類型主要有四種:access/ trunk/ multi/ dot1q-tunnel。

  1、access: 主要用來接入終端設備,如PC機、伺服器、列印伺服器等。
  2、trunk: 主要用在連接其它交換機,以便在線路上承載多個vlan。
  3、multi: 在一個線路中承載多個vlan,但不像trunk,它不對承載的數據打標簽。主要用於接入支援多vlan的伺服器或者一些網路分析設備。現在基本不使用此類接口,在cisco的網路設備中,也基本不支援此類接口了。
  4、dot1q-tunnel: 用在Q-in-Q隧道配置中。

  Cisco網路設備支援動態協商連接埠的工作狀態,這為網路設備的實施提供了一定的方便(但不建議使用動態方式)。cisco動態協商協議從最初的 DISL(Cisco私有協議)發展到DTP(公有協議)。根據動態協議的實現方式,Cisco網路設備接口主要分為下面幾種模式:

  1、switchport mode access: 強制接口成為access接口,並且可以與對方主動進行協商,誘使對方成為access模式。
  2、switchport mode dynamic desirable: 主動與對協商成為Trunk接口的可能性,如果鄰居接口模式為Trunk/desirable/auto之一,則接口將變成trunk接口工作。如果不能形成trunk模式,則工作在access模式。這種模式是現在交換機的默認模式。
  3、switchport mode dynamic auto: 只有鄰居交換機主動與自己協商時才會變成Trunk接口,所以它是一種被動模式,當鄰居接口為Trunk/desirable之一時,才會成為 Trunk。如果不能形成trunk模式,則工作在access模式。
  4、switchport mode trunk: 強制接口成為Trunk接口,並且主動誘使對方成為Trunk模式,所以當鄰居交換機接口為trunk/desirable/auto時會成為Trunk接口。
  5、switchport nonegotiate: 嚴格的說,這不算是種接口模式,它的作用隻是阻止交換機接口發出DTP數據包,它必須與switchport mode trunk或者switchport mode access一起使用。
  6、switchport mode dot1q-tunnel: 配置交換機接口為隧道接口(非Trunk),以便與用戶交換機的Trunk接口形成不對稱鏈路。

2010年3月22日 星期一

OSPF與EIGRP的比較

OSPF與EIGRP的比較

OSPF和EIGRP都是近年來出現的比較好的動態路由協議,OSPF以協議標準化強,支持廠家多,受到廣泛應用,而EIGRP協議由網絡界公認的領先廠商Cisco公司發明,並靠其在業界的影響力和絕對的市場份額,也受到用戶的普遍認同。然而這兩種協議究竟哪種更好,誰更適合網絡未來發展的需要?本文就用戶普遍關心的問題,從技術角度客觀分析這兩種協議各自的優缺點,以便網絡集成商和企業用戶在網絡設計規劃時,能作為參考。


一、OSPF協議

(一)、OSPF協議簡介
  OSPF是Open Shortest Path First(即"開放最短路由優先協議")的縮寫。它是IETF組織開發的一個基於鏈路狀態的自治系統內部路由協議。在IP網絡上,它通過收集和傳遞自治系統的鏈路狀態來動態地發現並傳播路由。
  每一台運行OSPF協議的路由器總是將本地網絡的連接狀態,(如可用接口信息、可達鄰居信息等)用LSA(鏈路狀態廣播)描述,並廣播到整個自治系統中去。這樣,每台路由器都收到了自治系統中所有路由器生成的LSA,這些LSA的集合組成了LSDB(鏈路狀態數據庫)。由於每一條LSA是對一台路由器周邊網絡拓撲的描述,則整個LSDB就是對該自治系統網絡拓撲的真實反映。
  根據LSDB,各路由器運行SPF(最短路徑優先)算法。構建一棵以自己為根的最短路徑樹,這棵樹給出了到自治系統中各節點的路由。在圖論中,"樹"是一種無環路的連接圖。所以OSPF計算出的路由也是一種無環路的路由。

OSPF協議為了減少自身的開銷,提出了以下概念:
(1). DR:
在各類可以多址訪問的網絡中,如果存在兩台或兩台以上的路由器,該網絡上要選舉出一個"指定路由器"(DR)。"指定路由器"負責與本網段內所有路由器進行LSDB的同步。這樣,兩台非DR路由器之間就不再進行LSDB的同步。大大節省了同一網段內的帶寬開銷。

(2). AREA:
OSPF可以根據自治系統的拓撲結構劃分成不同的區域(AREA),這樣區域邊界路由器(ABR)向其它區域發送路由信息時,以網段為單位生成摘要LSA。這樣可以減少自治系統中的LSA的數量,以及路由計算的複雜度。
OSPF使用4類不同的路由,按優先順序來說分別是:
區域內路由
區域間路由
第一類外部路由
第二類外部路由
區域內和區域間路由描述的是自治系統內部的網絡結構,而外部路由則描述了應該如何選擇到自治系統以外目的地的路由。一般來說,第一類外部路由對應於OSPF從其它內部路由協議所引入的信息,這些路由的花費和OSPF自身路由的花費具有可比性;第二類外部路由對應於OSPF從外部路由協議所引入的信息,它們的花費遠大於OSPF自身的路由花費,因而在計算時,將只考慮外部的花費。

(二)、OSPF協議主要優點:

1、OSPF是真正的LOOP- FREE(無路由自環)路由協議。源自其算法本身的優點。(鏈路狀態及最短路徑樹算法)

2、OSPF收斂速度快:能夠在最短的時間內將路由變化傳遞到整個自治系統。

3、提出區域(area)劃分的概念,將自治系統劃分為不同區域後,通過區域之間的對路由信息的摘要,大大減少了需傳遞的路由信息數量。也使得路由信息不會隨網絡規模的擴大而急劇膨脹。

4、將協議自身的開銷控制到最小。見下:
1)用於發現和維護鄰居關係的是定期發送的是不含路由信息的hello報文,非常短小。包含路由信息的報文時是觸發更新的機制。(有路由變化時才會發送)。但為了增強協議的健壯性,每1800秒全部重發一次。
2)在廣播網絡中,使用組播地址(而非廣播)發送報文,減少對其它不運行ospf 的網絡設備的干擾。
3)在各類可以多址訪問的網絡中(廣播,NBMA),通過選舉DR,使同網段的路由器之間的路由交換(同步)次數由 O(N*N)次減少為 O (N)次。
4)提出STUB區域的概念,使得STUB區域內不再傳播引入的ASE路由。
5)在ABR(區域邊界路由器)上支持路由聚合,進一步減少區域間的路由信息傳遞。
6)在點到點接口類型中,通過配置按需播號屬性(OSPF over On Demand Circuits),使得ospf不再定時發送hello報文及定期更新路由信息。只在網絡拓撲真正變化時才發送更新信息。

5、通過嚴格劃分路由的級別(共分四極),提供更可信的路由選擇。

6、良好的安全性,ospf支持基於接口的明文及md5 驗證。

7、OSPF適應各種規模的網絡,最多可達數千台。

二、EIGRP協議
(一)、EIGRP協議簡介
EIGRP和早期的IGRP協議都是由Cisco發明,是基於距離向量算法的動態路由協議。EIGRP(Enhanced Interior Gateway Routing Protocol)是增強版的IGRP協議。它屬於動態內部網關路由協議,仍然使用矢量-距離算法。但它的實現比IGRP已經有很大改進,其收斂特性和操作效率比IGRP有顯著的提高。
EIGRP的收斂特性是基於DUAL ( Distributed Update Algorithm ) 算法的。DUAL 算法使得路徑在路由計算中根本不可能形成環路。它的收斂時間可以與已存在的其他任何路由協議相匹敵。

(二)、EIGRP協議主要優點:
1. 精確的路由計算和多路由的支持
EIGRP協議繼承了IGRP協議的最大的優點:矢量路由權。EIGRP協議在路由計算中要對網絡帶寬,網絡時延,信道佔用率,信道可信度等因素作全面的綜合考慮,所以EIGRP的路由計算更為準確,更能反映網絡的實際情況。同時EIGRP協議支持多路由,使路由器可以按照不同的路徑進行負載分擔。

2. 較少的帶寬佔用
使用EIGRP協議的對等路由器之間週期性的發送很小的hello報文,以此來保證從前發送報文的有效性。路由的發送使用增量發送方法,即每次只發送發生變化的路由。發送的路由更新報文采用可靠傳輸,如果沒有收到確認信息則重新發送,直至確認。EIGRP還可以對發送的EIGRP報文進行控制,減少EIGRP報文對接口帶寬的佔用率,從而避免連續大量發送路由報文而影響正常數據業務的事情發生。

3. 無環路由和較快的收斂速度
路由計算的無環路和路由的收斂速度是路由計算的重要指標。EIGRP協議由於使用了DUAL算法,使得EIGRP協議在路由計算中不可能有環路路由產生,同時路由計算的收斂時間也有很好的保證。因為,DUAL算法使得EIGRP在路由計算時,只會對發生變化的路由進行重新計算;對一條路由,也只有此路由影響的路由器才會介入路由的重新計算。
4. MD5認證
為確保路由獲得的正確性,運行EIGRP協議進程的路由器之間可以配置MD5認證,對不符合認證的報文丟棄不理,從而確保路由獲得的安全。

5. 任意掩碼長度的路由聚合
EIGRP協議可以通過配置,對所有的EIGRP路由進行任意掩碼長度的路由聚合,從而減少路由信息傳輸,節省帶寬。

6. 同一目的但優先級的路由可實現負載分擔
去往同一目的的路由表項,可根據接口的速率、連接質量、可靠性等屬性,自動生成路由優先級,報文發送時可根據這些信息自動匹配接口的流量,達到幾個接口負載分擔的目的。

7. 協議配置簡單
使用EIGRP協議組建網絡,路由器配置非常簡單,它沒有複雜的區域設置,也無需針對不同網絡接口類型實施不同的配置方法。使用EIGRP協議只需使用router eigrp命令在路由器上啟動EIGRP 路由進程,然後再使用network 命令使能網絡範圍內的接口即可。

三、OSPF和EIGRP的比較

OSPF和EIGRP都是收斂速度較快並且不會形成環路的算法,網絡帶寬佔用較小,使用靈活,安全性較好的路由協議。但是從以上分析可以看出,各自還是有優缺點。

(一)、OSPF的缺點

1、配置相對複雜。由於網絡區域劃分和網絡屬性的複雜性,需要網絡分析員有較高的網絡知識水平才能配置和管理OSPF網絡。

2、路由負載均衡能力較弱。OSPF雖然能根據接口的速率、連接可靠性等信息,自動生成接口路由優先級,但通往同一目的的不同優先級路由,OSPF只選擇優先級較高的轉發,不同優先級的路由,不能實現負載分擔。只有相同優先級的,才能達到負載均衡的目的,不像EIGRP那樣可以根據優先級不同,自動匹配流量。

(二)、EIGRP的缺點

1. EIGRP沒有區域(AREA)的概念,而OSPF在大規模網絡的情況下,可以通過劃分區域來規劃和限制網絡規模。所以EIGRP適用於網絡規模相對較小的網絡,這也是矢量-距離路由算法(RIP協議就是使用這種算法)的局限所在。

2. 運行EIGRP的路由器之間必須通過定時發送HELLO報文來維持鄰居關係,這種鄰居關係即使在撥號網絡上,也需要定時發送HELLO報文,這樣在按需撥號的網絡上,無法定位這是有用的業務報文還是EIGRP發送的定時探詢報文,從而可能誤觸發按需撥號網絡發起連接,尤其在備份網絡上,引起不必要的麻煩。所以一般運行EIGRP的路由器,在撥號備份端口還需配置Dialer list和Dialer group,以便過濾不必要的報文,或者運行TRIP協議,這樣做增加路由器運行的開銷。而OSPF可以提供對撥號網絡按需撥號的支持,只用一種路由協議就可以滿足各種專線或撥號網絡應用的需求。

3. EIGRP的無環路計算和收斂速度是基於分佈式的DUAL算法的,這種算法實際上是將不確定的路由信息(active route)散播(向鄰居發query報文),得到所有鄰居的確認後(reply報文)再收斂的過程,鄰居在不確定該路由信息可靠性的情況下又會重複這種散播,因此某些情況下可能會出現該路由信息一直處於active狀態(這種路由被稱為stuck in active route),並且,如果在active route的這次DUAL計算過程中,出現到該路由的後繼(successor)的metric發生變化的情況,就會進入多重計算,這些都會影響DUAL算法的收斂速度。而OSPF算法則沒有這種問題,所以從收斂速度上看,雖然整體相近,但在某種特殊情況下,EIGRP還有不理想的情況。

4、EIGRP是Cisco公司的私有協議。Cisco公司是該協議的發明者和唯一具備該協議解釋和修改權的廠商。如果要支持EIGRP協議需向Cisco公司購買相應版權,並且Cisco公司修改該協議沒有義務通知任何其他廠家和使用該協議的用戶。而OSPF是開放的協議,是IETF組織公佈的標準。世界上主要的網絡設備廠商都支持該協議,所以它的互操作性和可靠性由於公開而得到保障,並且在眾多的廠商支持下,該協議也會不斷走向更加完善。


附錄: Quidway(R) 系列路由器對OSPF的支持

Quidway(R) 系列路由器上所實現的OSPF軟件遵循 Internet RFC 2328所描述的協議文本,下面列出一些主要特色:

支持STUB區域:定義STUB區域以節省該區域內路由器引入ASE路由時的開銷。也可以用該命令過濾區域間路由。

支持按需撥號:OSPF 按需撥號(OSPF over On Demand Circuits)是對OSPF協議的一種改進,它通過抑制HELLO報文和連接狀態廣播報文的定時傳送,使得協議在ISDN、X.25 、SVCs 和 撥號線等按需撥號網上運行得更為有效。

豐富的路由策略:支持引入其它路由協議發現的路由。支持路由過濾功能。

授權驗證字:OSPF對同一區域內的相鄰路由器之間可以選擇明文驗證字和MD5加密驗證字兩種報文合法性驗證手段。

路由器接口參數的靈活配置:在路由器的接口上,可以配置OSPF的參數包括:輸出花費、HELLO報文發送間隔、重傳間隔、接口傳輸時延、路由優先級、相鄰路由器"死亡"時間、報文驗證方式和報文驗證字等。

虛連接: Quidway(R) 系列路由器的OSPF支持虛連接。以保證和增強骨幹區域的連通性。

支持多種接口類型:支持協議中規定的廣播,NBMA,點到多點,點到點四種接口類型。並支持將某種類型的接口任意改為其它類型。

支持配置鄰接點:在NBMA等不支持多播發送報文的網絡上,可以手工配置鄰接點,單播發送協議報文。

支持區域間路由聚合: 如果某區域中存在一些連續的網段,可以在它的區域邊界路由器(ABR)上使用聚合命令將這些連續的網段聚合成一個網段。可以減少其它區域中鏈路狀態數據庫(LSDB)的規模。

豐富的調試信息: Quidway(R) 系列路由器的OSPF,提供了豐富的調試信息幫助用戶診斷故障。

2010年3月17日 星期三

追查異常流量

當公司對外線路流量衝高之後,使用Ntop工具還是追查不到,有可能該流量是被加密處理過,簡易的追查方式是:

先從Cisco Router上,流量較大的interface追起:
1. sh ip cache s0/0 flow
2. 把IP Flow Switching Cache貼到文字檔,再開啟EXCEL載入此文字檔,以空白分隔
3. 打開有一個Pkts欄位,排序這個欄位,把最高的幾筆IP找出來
4. 到Cisco PIX上,show conn | in 這幾個IP
5. 查看是誰在連這些可疑IP的什麼服務port,如下:

T121F-PIX525# sh conn | in 203.69.138.8
TCP out 203.69.138.8:443 in 10.185.59.199:2353 idle 0:00:00 Bytes 366945414 flags UIO
TCP out 203.69.138.8:443 in 10.185.59.199:2367 idle 0:00:00 Bytes 365583735 flags UIO
TCP out 203.69.138.8:443 in 10.185.59.199:2359 idle 0:00:00 Bytes 364010407 flags UIO
TCP out 203.69.138.8:443 in 10.185.59.199:2363 idle 0:00:00 Bytes 363703764 flags UIO

該死的user(10.185.59.199)正在爽爽的使用https下載東西。
下一步就看你要讓他怎麼個死法了。

2009年3月17日 星期二

機殼前面板的音效排線要如何插排針?

(本文為轉貼)

●(01)●(02)
●(03)●(04)
■(05)■(06)
●(07) (08)
■(09)■(10)
註:■JUMPER CAPS 跳帽線,若要使用前面板音效的功能,則將跳帽線移除,將前面板音效連接排線安裝在此接針上。

●(01)麥克風
 例:MIC, MIC-IN, MIC2

●(02)接地
 例:GND, G, GROUND, AGND

●(03)有些麥克風不用此電源
 例:MICB, MIC-BIAS, MIC-POWER, MIC VCC, MICPWR

●(04)用不到
 例:+5VA, VCC, Audio Power

■(05)主機板輸出到R-前外接
 例:RO, SPKOUT-R, R-INLET, R-LET, EAR R, Line out_R

■(06)R輸出到主機板
 例:RI, RETURN-R, R-OUT, LINE_IN R, BLINE_OUT_R

●(07)用不到
 例:NC, HP-ON, Reserved

 (08)空白,防呆用

■(09)主機板輸出到L-前外接
 例:LO, SPKOUT-L, L-INLET, L-LET, EAR L, Line out_L

■(10)L輸出到主機板
 例:LI, RETURN-L, L-OUT, LINE_IN L, BLINE_OUT_L

一般的接法是用跳線帽聯接Line out_R/BLINE_OUT_R和Line out_L /BLNE_OUT_L,如果要接前置的音頻線那就撥掉跳線帽。

前面板的MIC插孔通過連接線與(01)和(03)相連,耳機輸出插孔與(05)和(09)針相連,同時返回兩根線到(06)和(10)。當前面板插入耳機時,音箱就自動停止放音,只有耳機有聲音。當拔出耳機時,音頻信號從(05)和(09)輸出,通過前面板的耳機插座後再輸入到(06)和(10)針,再連接到後置的Line OUT插座向外輸出音頻信號到音箱。如果(05)和(09)針脫落或鬆動,前後都不會有聲音;如果只有(06)或(10)脫落,那就只有後面的音箱沒有聲音。


麥克風無聲音時,該如何確認及排除此問題?
參考網站:http://www.ongood.com.tw/tech/sound.htm

一、麥克風安裝位置
確認麥克風插於主機板粉紅色之音效孔上。

二、音效驅動程式

1. 控制台→聲音及音訊裝置(聲音及多媒體)
2. 音訊→音效錄音→Realtek AC97 Audio
3. 語音→語音錄音→Realtek AC97 Audio


三、麥克風設定

1. 音量控制內容→選項→內容
2. 播放→勾選「麥克風」或「MIC」或「Microphone」→確定
3. 調整麥克風音量→「靜音」未勾選
4. 進階→勾選「Mic2 Select」及「Mic Boost」或「其他麥克風」及「麥克風驅動」
5. 音量控制內容→選項→內容
6. 錄音→勾選「麥克風」或「MIC」或「Microphone」→確定
7. 錄音控制→麥克風→選取


四、單機硬體測試
控制台→聲音及音訊裝置→語音→測試硬體→下一步→麥克風旁有綠色的光棒出現→下一步

2008年8月21日 星期四

如何不靠網管工具,追查異常流量來源

案例:由Core Switch上發現某vlan或某interface流量爆升達100Mb/s,且持續發生,假設你又沒有足夠的網管工具協助你

步驟:
1. 清除interface Counters
#clear counters

2. 檢查各interface流量,找出異常流量之interface
#show interfaces stats
找到相對應的in最大量及out最大量的interface,即為可疑流量之兩端

3. 確認該interface是否向下串接switch
#show cdp neighbors
若是向下串接switch,則連入該switch重複步驟1,2,3的動作,持續查出末端

4. 當查出最末端之interface,查該port之MAC與IP
#show mac-address-table
檢查MAC address table,查該出0001.0260.5d6b這個MAC address被記錄於該interface
#show arp | include 0001.0260.5d6b
查出該MAC對應的IP address,若edge switch查不到,請到Core switch上查

5. 查出IP後即可立即處理,或土一點的方法就是到Switch上看接在該port的是哪一台設備。

2008年8月14日 星期四

使用Linuxe建置log server儲存網路設備log

目的:網路設備buffer通常很小,將log保存該設備上,非常不恰當,常常設備出問題,查log因log buffer儲存量有限,造成重要log已被覆蓋而無法找到,或設備損壞,連帶log也沒了,無法查出問題點。故網路設備上常附帶syslog功能讓你將log導出到log server,這裡簡單示範一下。
環境說明:RHEL 5(或其它Linux都有syslog service) + PIX 525 firewall
必要條件:你要有Linux+Firewall的設定權限,網路要通,尤其是Firewall --> Log Server(udp514) ,syslog使用的udp port 514

設定步驟:
1. 設定Linux server上的syslog
vi /etc/sysconfig/syslog
將SYSLOGD_OPTIONS="-m 0"
修改為SYSLOGD_OPTIONS="-r -x -m 0"
說明:-r是允許從遠端主機寫入messages,-x是disable DNS lookup

vi /etc/syslog.conf
新增 local4.* /var/log/pix.log
說明:把local4(PIX預設為local4,在PIX上的facility為20)的所有的log 儲存到 /var/log/pix.log中 附註:修改 *.info;mail,authpriv,cron,local4.none /var/log/messages
(可讓local4不要存入messages)

2. 為了避免日誌過大,配置日誌輪循(man logrotate 查看詳細的幫助資訊)
vi /etc/logrotate.conf
#PIX Firewall log
/var/log/pix.log{
daily
create
rotate 10
sharedscripts
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null grue
endscript
}
說明:詳細請參閱http://linux.vbird.org/linux_basic/0570syslog.php

3. 重起syslog service:
service syslog restart

4. 設定PIX
pix(config)# logging on
pix(config)# logging host 192.168.1.1 <--這裡要寫Linux log server主機IP
pix(config)# logging trap 4
pix(config)# logging facility 20
pix(config)# exit
pix# wri mem
補充:
Log level:
1:(Alerts)
2:(Critical)
3:(Errors)
4:(Warnings)
5:(Notifications)
6:(Informational)
7:(Debugging)

Local對應Facility:
local 0 = Logging Facility 16
local 1 = Logging Facility 17
local 2 = Logging Facility 18
local 3 = Logging Facility 19
local 4 = Logging Facility 20
local 5 = Logging Facility 21
local 6 = Logging Facility 22
local 7 = Logging Facility 23

或使用PDM設定
IP Address 處填寫你的log server IP

★Debug方法:如果你還是設定不起來,可以用以下方法測試
1. 在PIX上下指令檢查設定是否正確?
pix# show logging
Syslog logging: enabled
Facility: 20
Trap logging: level warnings
Logging to inside 192.168.1.1
此為檢查syslog的設定是否正確

2. 在log server上檢查udp port 514是否有listen
linux# netstat -an | grep 514
udp 0 0 0.0.0.0:514 0.0.0.0:*

2008年7月8日 星期二

Windows XP 使用MMC 3.0管理AD

目的:在Windows XP上,也能管理AD、DHCP、DNS、WINS...等等,不需要連到各Server

環境說明:Windows XP perfessional sp3
必要條件:使用Domain Administrator登入或你的帳號擁有Domain Admin權限

步驟:
1. 找來Windows 2003 server 光碟,執行光碟中I386目錄裡的ADMINPAK.MSI
2. 開始 >> 執行 >> mmc
3. 檔案 >> 新增/移除嵌入式管理單元

4. 新增希望加入的單元,如:AD使用者及電腦、DHCP、DNS...


PS. Windows XP perfessional sp2 需要下載1個patch 安裝,才有MMC 3.0
http://www.microsoft.com/downloads/details.aspx?FamilyId=61FC1C66-06F2-463C-82A2-CF20902FFAE0&displaylang=en