存档

‘√思科华为’ 分类的存档

no ip redirects no ip unreachables

2011年1月12日 1 条评论


no redirects

路由器A和路由器B在同一个网段中。现在有PC的网关设置为A的地址 192.18.3.1. 在发送数据过程中可能会出现发往 192.168.2.X 网段的数据。这样数据包会先到A的接口再流向B。
ip redirects 可以使用ICMP 包。告知PC 以后发往192.168.2.X 的数据直接发给B。而不需要通过自己。

是关闭这项功能。特别是在HSRP中。主要是为了避免让客户端使用真实的MAC地址通讯。

ICMP unreachables are normally limited to no more than one every one-half second per input interface, but this can changed by using the ip icmp rate-limit unreachables global configuration command.

如用用户使用ACL列表。那么所有不符合条件的数据包在经过路由器时会被丢弃。返回显示 目标主机不可达。因为没有合适的路由。 使用 no ip unreachables 后。只会出现 timeout 。

分类: √思科华为 标签: ,

ip反解析

2011年1月7日 没有评论

  1. [root@li99 ~]# dig -x 210.34.80.3 +trace
  2.  
  3. ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_5.3 <<>> -x 210.34.80.3 +trace
  4. ;; global options:  printcmd
  5. .                       23589   IN      NS      l.root-servers.net.
  6. .                       23589   IN      NS      c.root-servers.net.
  7. .                       23589   IN      NS      e.root-servers.net.
  8. .                       23589   IN      NS      d.root-servers.net.
  9. .                       23589   IN      NS      a.root-servers.net.
  10. .                       23589   IN      NS      f.root-servers.net.
  11. .                       23589   IN      NS      g.root-servers.net.
  12. .                       23589   IN      NS      k.root-servers.net.
  13. .                       23589   IN      NS      j.root-servers.net.
  14. .                       23589   IN      NS      m.root-servers.net.
  15. .                       23589   IN      NS      b.root-servers.net.
  16. .                       23589   IN      NS      h.root-servers.net.
  17. .                       23589   IN      NS      i.root-servers.net.
  18. ;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 87 ms
  19.  
  20. 210.in-addr.arpa.       86400   IN      NS      ns1.apnic.net.
  21. 210.in-addr.arpa.       86400   IN      NS      ns3.apnic.net.
  22. 210.in-addr.arpa.       86400   IN      NS      ns4.apnic.net.
  23. 210.in-addr.arpa.       86400   IN      NS      dns1.telstra.net.
  24. 210.in-addr.arpa.       86400   IN      NS      sec1.authdns.ripe.net.
  25. 210.in-addr.arpa.       86400   IN      NS      tinnie.arin.net.
  26. ;; Received 206 bytes from 199.7.83.42#53(l.root-servers.net) in 326 ms
  27.  
  28. 34.210.in-addr.arpa.    86400   IN      NS      dns.edu.cn.
  29. 34.210.in-addr.arpa.    86400   IN      NS      ns2.net.edu.cn.
  30. 34.210.in-addr.arpa.    86400   IN      NS      dns2.edu.cn.
  31. ;; Received 107 bytes from 202.12.29.25#53(ns1.apnic.net) in 240 ms
  32.  
  33.  
  34. 80.34.210.in-addr.arpa. 86400   IN      NS      DNS1.FAFU.EDU.CN.
  35. 80.34.210.in-addr.arpa. 86400   IN      NS      DNS2.FAFU.EDU.CN.
  36. ;; Received 123 bytes from 202.112.0.33#53(ns2.net.edu.cn) in 39 ms
  37.  
  38. 80.34.210.in-addr.arpa. 7200    IN      SOA     dns1.fafu.edu.cn. feedback.fafu.edu.cn. 2009101303 3600 7200 360000 7200
  39. ;; Received 103 bytes from 210.34.80.1#53(DNS1.FAFU.EDU.CN) in 44 ms
分类: √windows, √思科华为 标签: ,

思科评测题答案

2010年10月20日 1 条评论

1. 广域网在OSI模型的哪两层上发挥作用?(选择两项。) CE
会话层
网络层
物理层
传输层
数据链路层

2. 哪一协议能够在不同的自治系统之间进行路由? A
EGP
IGP
IPP
IPX
TCP

3. 两台路由器直接用双绞线直连时,需要多少对线缆传输数据?A
两对
三对
五对
四对

4. TCP/IP协议运行在OSI模型上的哪两层? (选择两项。) AC
网络层
物理层
传输层
数据链路层

5. 您的公司在圣何塞和罗利部署有路由器。使用哪种网络才能够将这些路由器连接在一起? A
广域网
局域网
EPA
SAN

6. 当一个网络中部署了多台交换机时,哪一种方法能够消除循环? B
微分段
生成树协议
在交换机间安装路由器
在可能出现循环时,仅使用一个交换机

7. OSI模型的哪一层负责数据转换工作? B
应用层
表示层
会话层
传输层
数据链路层

8. 一个特定局域网段上的所有主机均使用了150.1.1开头的IP地址,并启用了子网划分功能,将前三个八位位组视为子网。哪一个子网编号将用于代表这一子网? C
192.168.10.60
192.168.10.47
150.1.1.0
192.168.10.54

9. Class B网络的高位模式是什么? C
01xxxxxx
0xxxxxxx
10xxxxxx
110xxxxx

10. 以下哪一个是OSI模型中的一层,但不是TCP/IP协议堆栈的一部分? E
物理层
数据链路层
网络层
传输层
表示层

11. 以下哪两项是TCP/IP协议堆栈的一部分? (选择两项。) CE
应用层
会话层
互联网层
表示层
网络接入层

12. 在路径选择过程中,路由协议可能会使用这些标准中的哪三个? (选择三项。) CDE
延迟
权重
方向
跳数
带宽
MED

13. Class A网络的高位模式是什么? D
01xxxxxx
111xxxxx
10xxxxxx
0xxxxxxx

14. 以下那一项恰当地描述了交换机“泛洪”(flooding)操作? A
如果交换机中没有针对目标地址的记录,它将向所有端口传输该数据帧,数据帧的来源端口除外。
如果交换机确定数据帧的目标MAC地址位于同来源端口相同的网段,它不会转发数据帧。
如果交换机确定数据帧的目标MAC地址与来源端口的网络不同,它将向相关网段传输该数据帧。
当拒绝服务攻击发生时,它会导致交换机的CAM表被写满。

15. 在一个24端口交换机上,当所有端口均启用全双工支持时,在不产生冲突的情况下最多可以同时通过多少个帧? D
1
8
16
24
32
64

16. 在不产生冲突的情况下,一个24端口集线器能够同时通过多少个帧? A
1
2
4
8

17. 根据RFC 1918,以下哪两个地址属于私有地址? (选择两项。) AC
10.12.21.1
18.24.7.245
172.16.34.18
172.47.88.89
212.45.22.12

18. 路由器使用哪一类物理接口与广域网链路进行连接?D
以太网
主机总线适配器
并行接口
串行接口

19. 两台计算机之间需要传输多少TCP段才能建立一个TCP连接? C
一个
两个
三个
五个
取决于设定的TCP窗口大小

20. 假设您正在访问一个网站,要下载一个名为logo.gif的图片。该标识的大小为4,000字节。假定MSS值为1480字节,服务器需要向您的浏览器返回多少个片段以向您发送该标识? B
2个片段
3个片段
4个片段
5个片段
10个片段

21. 路由器R4有两个以太网接口正在工作,每一个接口均配置有IP地址。R4在其路由表中至少需具备多少个路由? C
一个路由,针对每一个直接连接的子网进行拆分
两个路由,用于支持所有直接连接的子网
两个路由,每一个直接连接的子网一个
四个路由,每一个直接连接的子网两个
六个路由,每一个直接连接的子网两个

22. 以下哪一命令可用于在路由器上加载新版本的Cisco IOS软件? A
copy tftp flash
copy ftp flash
load flash tftp
copy flash ftp
copy tftp startup-config

23. 在以太网线缆中使用的RJ-45接头需要用多少根线才能实现数据的收发? C
一条
两条
四条
八条

24. 以下哪两项属于路由协议? (选择两项。) AD
RIP
IPX

OSPF
广播

25. OSI参考模型中有多少层? D
3
4
6
7

26. IP地址172.16.12.4/26采用哪一个子网掩码? D
255.0.0.0
255.255.0.0
255.255.255.0
255.255.255.192
255.255.255.224

27. 哪一个术语定义了电信运营商承诺每秒通过单个PVC的字节数? C
访问速率
BECN
CIR
FECN
标头速率

28. 哪一选项恰当地描述了单播流量? A
被发送到一个设备的数据流量
被发送到同一VLAN中所有设备的数据流量
通过外部AS重新分发的数据流量
发送到配置用来接收相同数据流的路由器的数据流量

29. 哪一种拓扑结构采用了中央设备来为其他设备提供点对点连接? D
总线型
树型
环型
星型

30. 以下哪两项属于路由器的主要功能? (选择两项。) AB
提供数据包转发功能
提供路径判断功能
提供端点连接功能
对广域网链路进行微分段

31. 以下哪两项属于Class C地址? (选择两项。) DE
10.8.25.87
172.16.24.45
189.45.107.2
192.168.1.7
212.45.22.2

32. 帧中继在OSI模型的哪一层传输数据包? B
第1层
第2层
第3层
第4层
第6层

33. 以下哪四个属于广域网数据链路层协议? (选择四项。) ABCD
HDLC
PPP
帧中继
ATM
分组交换
专线
信元交换

分类: √思科华为 标签: ,

另类方式屏蔽国内IP

2010年7月11日 没有评论

很多朋友有做英文站被国内网络CC、DDOS的经历,然后就会寻求屏蔽国内访问的相关方式,经常用到的就是通过IP数据库进行分析,排除法进行筛选,不过这样做多少增加了服务器cpu的压力,如果攻击频繁,cpu资源很快就会耗尽。
如果您仅仅需要国外的流量,或者说想上面所谈到的屏蔽国内的访问量,那么下面的方式也许是一个非常简单实用的方式了

域名NS交给dnspod。分线路解析。

首先,我们添加一个默认的解析地址,(请自行对照是您网站的正确IP地址),然后我们依次添加选择3种不同线路的错误IP地址,比如 127.0.0.1,这样来自于国内的访问几乎被彻底的解析到错误的IP地址,也就是可以被另类的屏蔽掉了。

分类: √windows, √思科华为, √文章精选 标签: , , , , , , ,

组播

2010年7月1日 1 条评论

224.0.0.0 - Base address
224.0.0.1 - 网段中所有支持多播的主机
224.0.0.2 - 网段中所有支持多播的路由器
224.0.0.4 - 网段中所有的DVMRP路由器
224.0.0.5 - 所有的OSPF路由器
224.0.0.6 - 所有的OSPF指派路由器
224.0.0.7 - 所有的ST路由器
224.0.0.8 - 所有的ST主机
224.0.0.9 - 所有RIPv2路由器
224.0.0.10 - 网段中所有支的路由器
224.0.0.11 - Mobile-Agents
224.0.0.12 - DHCP server / relay agent.
224.0.0.13 - 所有的PIM路由器
224.0.0.22 - 所有的IGMP路由器
224.0.0.251 - 所有的支持组播的DNS服务器

分类: √思科华为 标签: ,

ipv6部份整理

2010年6月3日 没有评论

地址8个段每段16bit(16进制)
自动配置 stateless
无广播也就没有ARP(NDP邻居发现协议 替代ARP)
IPsec必须被启用(可以做到端到端的加密)包一离站就被加密
IPV6报头中没有check因为它认为可以通过底层链路保证或者通过TCP提供保证
没有分段字段通过nexthead链结到下一个协议的报头
因为没有分段了,所以如果需要分段那么就需要拓展报头模型是在IPV6的头部后加上上层协议的报头,每个报头还有一个nexthead以供链结 链结下一个报头的值
例如TCP 6 UDP 17 分段44 路由选择43 逐跳可选 0 ESP 50 AH 51 目的地可选60 没有下一个报头59
组播取消了IGMP PIM中的dense mode取消了
必须支持1280的MTU最少
对移动和QOS的支持很好(IPV6的报头有一个flow lable的字段流标签.所谓流其实在IPV4中既有体现流即为一个5元组:原目的地址原目的端口和协议ID号由于太大了容易分片的时候给切好几块去,那么就可能不是一个流了自然计算也不同,但IPV6的流实际上是3元组源目的地址和flow label)
IPv6即插即用不需要DHCP管理但是用也没毛病
地址不是点分十进制的而是通过:十六进制的
进网的PC如果启用IPV6的话会收到路由器的组播(prefix)然后+自己的MAC就能形成自己的IP
EUI地址:一般是前64位然后掰开两半中加入FFFE就能形成后64位
IPV6的traffic class = TOS + flowlable
OSPF V3不支持MD5的加密
割接问题
双栈 路由器运行两个地址族
tunnel
NAT 虽然不愿意但是还是一种解决办法
为什么不愿意用NAT因为它提供不聊端到端的安全或者其他策略应用
IPV6的NAT有transport 和network模式总的来说要比IPV4复杂
0::/32非指定地址缺省路由
0::1/32 loopback
global公网 2000-3FFF::/8 起头为0010的
linklocal 在网段上建立的不可全局路由的地址NDP用fe80::/16 起头为1111 1110 10
site local 私网 fec0-FEFF ::/8 1111 1110 11 最新的为FC00::/8 1111 1100 FD00 ::/81111 1101
FF的就是组播:ff02::1网络所有的节点 ::2是所有的路由器这个就和那个224的相同了
协议更新的组播地址也就基本一样连最后一位也都一样
还有一种写地址的方法即把前面96b都写成0后面的32b变成IPV4的16进制版不过强烈不推荐
其实前缀写对了后面的64位愿意这么写就这么写(mac的那种需要在地址后加eui则自动生成)
地址的分段一般的规律:
/23的是注册机构
/35的是ISP
/48的是按栈点划分公司时候用的
/64就等于是划子网了
如果访问的是ipv6的网页的话写法
http:://[2001:1:4f3a:206::ae14]:8080/index.html前面的大括号的作用就是吧后面的端口和前面的地址区别开
12.2T以上的IOS支持IPV6或者用域名
(config)# unicast-routing
打开IPV6的单波功能
然后就需要包接口分配到IPV6的环境中去
接口下ipv6 enable
然后show ipv6 int 看到的就是ipv6的link-local地址
写地址 ipv6 address 2000::1/64 (eui)
link-local为什么不能随便改:
其实可以随便改,但是必须前面是fe80的前缀
1个接口可以配好多地址因为它可以自动的找寻合适的邻居
一个组播的地址:
8bit FF
4bit lifetime 至0是永久至1是暂时的
然后跟着4bit的scope 至1为node(节点) 2link 网段的相当于广播 5 site 本地的 8 organization
F global
最后的112bit就是groupID了
anycast 如果运用在组播上就是假如两个路由器都配6.6.6.6如果在一个OSPF的环境中 这个6.6.6.6的地址被选做RP那么其他的路由器根据这个地址会根据metric找最近的设备做RP相当于load blance
单播也是类似的运用比如做网关
节点请求的组播地址:FF02::1:FF/104的这个前缀加上接口上地址的后24bit就够成了节点请求的地址
作用可以做DAD之类的(网段重复地址检测)
ICMPV6
通告地址前缀用的
RS 路由器请求包 133
RA 路由答复包 134
通告邻居身份的
NS 邻居请求包 135
NA 邻居通告 136
重定向的
REDIRECT 重定向 137(跟IPV4的差不多)
debug ipv6 pac
debug ipv6 nd
这两个命令查stateless配置的过程和替代ARP
现象先做个重复地址检查DAD
NS包:发自己的地址到网络上如果重复就会收到恢复,和DHCP配置的时候PING 那个自动分配的地址的行为类似
发以个源为空目的为自己的节点请求组播地址 FF02::1:FF/104加后24位链路地址
如果收不到回复就证明自己的地址是唯一的
然后发个NA包说明此地址我拥有了
NA只通告一次除非收到别人发的NS那证明地址重复了,才重新发个NA证明链路上已经有这个地址了第二阶段:
向网段上发RA就是发前缀
RA只对PC起作用
默认200秒发一次
show ipv6 (有些IOS不支持)还可以看到是stateless 还是dhcp 配置成的
可以强行的指定neighbour
全局模式下
R1(config)#ipv6 neighbor fec0:: ethernet 1/0 ?
H.H.H 48-bit hardware address
前缀加接口加MAC
接口模式下通告前缀
R1(config-if)#ipv6 nd prefix FEC0::1/64 ? 存活期30天优选期7天也可以改为不通告后面也有禁止自动配置和不再链路上用的选项
<0-4294967295> Valid Lifetime (secs)
at Expire prefix at a specific time/date
infinite Infinite Valid Lifetime
no-advertise Do not advertise prefix
no-autoconfig Do not use prefix for autoconfiguration
off-link Do not use prefix for onlink determination
改发RA NA的时间:
R1(config-if)#ipv6 nd ?
dad Duplicat Address Detection
managed-config-flag Hosts should use DHCP for address config
ns-interval Set advertised NS retransmission interval
other-config-flag Hosts should use DHCP for non-address config
prefix Configure IPv6 Routing Prefix Advertisement
ra-interval Set IPv6 Router Advertisement Interval
ra-lifetime Set IPv6 Router Advertisement Lifetime
reachable-time Set advertised reachability time
suppress-ra Suppress IPv6 Router Advertisements
如果网络只是为了跑路由或者根本没主机那么就写最后一条就不发RA了
IPV6的路由
rip ng 下一代的距离矢量协议
ISIS 是用地址族来与IPV4的地址路由进行区别(address family)重分布时候不会把直连接口带进去
rip ng
IPV6所有的网段路由通告都在接口上完成有点类似ISIS
接口下ipv6 rip ng(只是一个tag为了和其他的rip进程区别)enable (激活)default-in (公布缺省)1.only只公布缺省2.originate 什么都公布
清路由clear ipv route *
rip的更新端口IPV4 520 IPV6 521 224.0.0.9 FF02::9
全局下ipv6 router rip ng
更改通告端口为了区别不同的进程
进程下port 528 -group FF02::9
接口下ipv6 rip ng enable
ipv6 rip ng defa 通告默认路由
show ipv rip
偏移列表没有了变成偏移值:
ipv6 rip ng metric-offset 3(接口下)
debug rip
或者直接写 debug ip pac 101 detail 101是个permit eq 521 的列表
这种列表在测试时很好用可以把不需要的都deny
路由表
L是 local
C是 CONNECT 对应每一个直连接口都有一个L一个C
ISIS 试验做不了,我的IOS支持IPV6的不支持ISIS 支持ISIS 的不支持IPV6
router isis
net 49.0001.0000.0000.0002.00
接口上做 ipv router isis v6
增加个loopback 0
然后进程下passive-int l0
只通告但是不发信息(其他协议是激活这个端口是只收但是不通告.ISIS与其他协议的区别,其他协议连通告都不发.它passvie了但是还是通告出去了)
ISIS 一跳默认就是10

分类: √思科华为 标签:

juniper又开始免费认证了~

2010年5月10日 5 条评论

瞻博网络公司网络精英聚焦全新网络加速计划
未来网络正驾乘 Junos,向我们走来。
目前,熟练Junos 技术的网路精英的需求正日益增加,为了帮助我们的客户和合作伙伴以更快更经济的方式
深入了解Junos。瞻博网络( Networks)特别推出了网路精英聚焦全新网络加速计划,以100%折
扣优惠券参加Junos 认证考试,并在成功取得认证后,申请精美礼品。即刻加入到这个计划为您的公司抢先
得到市场机遇,增加市场竞争砝码。
活动有效时间:2010年5月1日-2010年6月30日
适用对象:Juniper的用户和合作伙伴
详细流程: 100%免费考试优惠券申请
I, 针对认证级别:
 企业路由:JNCIA/S-ER
 JUNOS安全:JNCIA-JUNOS, JNCIS-SEC
 企业交换:JNCIA-EX
1. 第1步:立刻访问JUNOS认证计划门户网站 (http://www.juniper.net/fasttrack/),创建新用户,使用
如下的Fast Track Web Access Card # 完成注册,若需要获得100%免费的考试优惠券,请务必提供准
确的您的邮件地址和公司名称/地址。
Fast Track Web Access Card #: JunosNow
如果您已经是Fast Track的用户,请按照下面步骤填入Access Card #: Get2JUNOS
阅读全文…

分类: √思科华为 标签: , , ,