Cisco路由器的安全配置簡易例項(三)

xsdan發表於2009-03-25
如果路由器由於臨時重啟動而完全崩潰,則相應的錯誤訊息將包含在show version命令的輸出中。show stack命令用於跟蹤路由器的堆疊,提供路由器臨時重新啟動的原因。如果由於錯誤而導致重新啟動,堆疊記錄將在輸出的末尾顯示。為了抽取與故障相關的資訊,堆疊記錄需要解碼。[@more@]這一工作通常由 TAC工程師完成。此外,擁有相應CCO登入ID的使用者可以透過將show stack命令的輸出傳送到CCO而獲得解碼資訊。堆疊記錄解碼的結果有時與Cisco路由器的bug有關。

  當使用者向Cisco TAC報告故障時,支援技術人員通常要求使用者傳送show tech_support命令的輸出結果。這個命令將導致下述命令的按序執行:Show version、Show controllers、Show buffers、Show interface、Show stack、Show process cpu、Show process memory和Show running-config。這些命令的組合將給出路由器配置以及大多數關鍵效能引數的詳細資訊。show tech_support命令的輸出對於Cisco TAC技術人員解決複雜網路問題是十分有用。

  與介面相關的命令  

  下面我們將闡述一些直接與路由器活躍介面相關的命令。show interface brief將顯示每一個路由器介面的IP地址資訊以及第二層的狀態資訊(如下所示)。其他與IP對應的協議的相關性資訊可以透過相應命令屬性獲得,比如show ipx interface brief。

  YH-Router#sh ip in brief Interface IP-Address OK? Method Status Protocol TokenRing0/0 172.26.12.3 YES NVRAM up up TokenRing0/1 172.27.12.3 YES NVRAM up up TokenRing0/2 172.28.12.3 YES NVRAM up up TokenRing0/3 unassigned YES NVRAM administratively down down Ethernet1/0 172.30.12.3 YES NVRAM up up Ethernet1/0 172.31.12.3 YES NVRAM up up Ethernet1/0 172.32.12.3 YES NVRAM up up Ethernet1/0 172.33.12.3 YES NVRAM up up
  
  show interface命令可以獲得更多的資訊。我們以乙太網為例來討論這些通用介面引數。

  YH-Router#sh int e1/0 Ethernet1/0 is up,line protcol is up Hardware is cxBus Ethernet,address is 00e0.f78a.6d40(bia 00e0.f78a.6d40) Description:seg=E2 LAB SRV1 Internet address is 172.30.12.3/16 MTU 1500bytes,BW 10000Kbit,DLY 1000usec,rely 255/255,load 1/255 Encapsulation ARPA, loopback not set, keepalive set(10sec) ARP type:ARPA,ARP Timeout 04:00:00 Last input 00:00:00,output 00:00:00,output hang never Queueing strategy:fifo Output queue 0/40,44 drops;input queue 0/75,66114 drops 5 minute input rate 181000 bits/,23 packets/sec 5 minute output rate 43000 bits/sec,26 packets/sec 525599659 packets input,2042735431 bytes, 0 no buffer Received 4004547 broadcasts,10 runts,0 giants 139 input errors, 0 CRC, 129 frame, 0 overrun, 0 ignored, 0 abort 0 input packets with dribble condition detected 481020335 packets output, 1069273018 bytes, 47 underruns 20 output errors, 95880485 collisions, 0 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buf
  fers swapped out
  

  其中:

  Ethernet 1/0 is up 表明OSI模型的第一層成功啟動。

  Line protocol up 表明第二層成功啟動 。

  Description 使用者自定義的描述。使用這一功能給出介面準確的描述是十分重要的。在一個大型組織中,一個區域性網路的工程師很難定位發生故障的路由器。

  MTU 指定最大傳輸單元,使用者可以配置。

  BW、Dly、rely、load(頻寬、延遲、可靠性和負載):這些引數與IGRP/EIGRP標準有關。頻寬和延遲的配置可以影響到路由選擇。在工作正常的介面中,可靠性的值為255。除非在十分繁忙的條件下,否則負載通常不應超過150/255。

  Encapsulation 它指在介面的第二層封裝。在乙太網中,對於IP,Cisco的預設設定為ARPA,而IPX的預設設定為Novell-Ether。

  從輸出中還能獲取哪些其他的資訊呢?讀者可以看到,ARP timeout的值為4小時(該值為預設設定)。從路由器介面輸入到輸出的時間不到1秒鐘。輸出從未被掛起。介面計數器最後一次被清0是在5個星期以前。在評估介面的統計資訊時,這些資料是十分有用的。在通常情況下,可以將計數器清0以便作進一步的監視。

  介面所採用的是FIFO排隊規則。輸出佇列和輸入佇列的預設長度分別為40和75。佇列中都不包含報文。在計數器最後一次被清0後,輸入佇列丟失了許多報文。但是,正如我們前面所說的,計數器5個星期未被清0;因此,該值不能說明一定發生了網路故障。在這種情況下,應該首先將計數器清0,然後再監視輸出佇列的丟失報文數。

  同時,命令的輸出中還顯示每1秒鐘透過路由器介面的平均資訊量(以位元組為單位)以及報文數。這些引數的總量資訊、路由器介面觀測到的所有廣播報文的數量也在命令的輸出中顯示。如果廣播報文的數量增長非常迅速,尤其是如果相對於輸入報文的數量非常高,則表明在區域網段中有廣播風暴。由於某些特定的應用程式需要頻繁使用廣播報文,因此確定廣播報文的數量閥值是很困難的。但是,如果廣播報文的數量超過了整個輸入報文的30%,則需要使用區域網協議分析儀進一步檢測網路。

 我們還可以獲取介面的下列錯誤檢測資訊:

  Runts 是指大小小於最小值的報文。在示例的乙太網中,該值為64。乙太網中指定最小報文大小大小是由於在這種傳輸模式下的工作站需要檢測碰撞。如果乙太網段中包含乙太網中繼器並且其距離符合規定的標準,最小報文大小大小可以使處在這種傳輸模式下的工作站檢測線路中的任何碰撞。

  Giants 指大小超過線路可以承受的最大報文大小的報文。乙太網的MTU通常為1500位元組,或者最大的封裝資料為1500位元組。

  Input errors 指到達報文中檢測到的錯誤,也可能表明網段本身發生了錯誤。

  Output errors 指輸出報文中的錯誤,它可能表明路由器介面本身發生了故障。

  CRCs 由於報文不正確的乙太網校驗和而檢測到的迴圈冗餘校驗錯。它可能由於網段的噪聲引起,或者由於網路卡故障、報文衝突引發。CRC的頻率應是每100000個輸入報文中發生一次。

  Frame errors 指接收到的幀的型別與路由器乙太網幀型別(IP協議幀型別為ARPA)不匹配。

  Aborts 在碰撞檢測中過度的重傳而導致的問題。在乙太網中,重傳的最大次數不超過15次。

  Dribble condition 指接收到的幀比MTU大,但不屬於Giants。

  Babble 是指持續接收到可疑的幀。


來源:Cisco.net

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/262387/viewspace-1019422/,如需轉載,請註明出處,否則將追究法律責任。

相關文章