|
 | 作者: tuzi [tuzi]
 版主 |
登录 |
| 23.如何升级路由器? 解答: (1)安装TFTP服务器软件。在这里假设装有该软件的计算机IP地址为10.10.10.1。 (2)路由器IOS升级及配置文件的保存 说明:Cisco把它的系统软件存放在Flash memory里,每次启动路由器时,从Flash memory里调出系统并执行它。开机后进入初始化配置或用"confige","setup"作配置后, 所作的配置要保存起来以便下一次启动直接运行,这就是配置文件了。配置文件存在非 易失的NVRAM中。配置文件分成start-up confige和running confige两种。Start-up confige是开机时启动NVRAM配置。由于Cisco路由器指令系统是即时生效的,故运行的配 置可能与启动时的配置不同,把running configer写到NVRAM中才是start-up confige。 路由器的系统文件和配置文件都可以象主机一样拷贝进来,拷贝出去。当系统出现故障, 系统升级,配置文件拷贝,我们需要把服务器里软件拷贝到路由器里。把系统映象从网 络服务器拷贝到Flash Memory。网络上要有台计算机作TFTP Server,用TFTP把系统文件 拷贝到路由器的Flash memeory中。建议大家在作系统升级时,为防止不正确操作等引起 的升级失败,请先把路由器原有的系统备份下来,包括FLASH中IOS和NVRAM中的配置文件 。 下面以3640路由器升级过程为例: cisco3640# copy tftp flash IP address or name of remote host [255.255.255.255]?10.10.10.1(TFTP服务器地址 ) Name of file to copy? c3640-is-mz_120-7_t.bin(该文件要存放在TFTP服务器TFTP软 件目录下) Copy c3640-is-mz_120-7_t.bin from 10.10.10.1 into flash memory? [confirm] Flash is filled to capacity. Erasure is needed before flash may be written. Erase flash before writing? [confirm] eeeeeeeeeeeeeeee... Loading from 10.10.10.1:!!!!... [OK - 8141044/8388608 bytes] Verifying via checksum... vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv vvvvvv vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv vvvvvv vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv vvvvvv vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv vvvvvvvvvvvvvvvvvvvvvvvvvvvvv Flash verification successful. Length = 8141044, checksum = 0x12AD 在做完上面步骤后,需要把配置文件从网络服务器拷贝到路由器NVRAM。 从TFTP Server中把文件拷入路由器 copy tftp running-config 或copy tftp startup-config 。 24.如何备份系统映象和配置文件? 解答: (1)备份系统映象:把系统文件和配置文件保存在网中的服务器上是一个很好的做法, 帮助你在系统或配置文件丢失时,尽快恢复系统正常运行。拷贝系统映象到网络服务器, 首先用命令show flash显示IOS文件的文件名,然后拷贝系统文件到TFTP Server:copy flash tftp。 (2)备份配置文件:拷贝配置文件到网络服务器,把配置文件保存在TFTP Server中 copy running-config tftp 或copy startup-config tftp 。 25.升级过程需要注意哪些问题? 解答: 配置路由器的计算机最好能使用串口接到路由器的CONSOL口上,TFTP服务器软件安装在 该计算机上,以利于将IOS文件可靠的传送。TFTP服务器的IP的地址要和路由器的以太网 口在一个网段上。网络大家在升级IOS时要注意,升级新版本IOS文件如果大于FLASH内存 容量时,应增加FLASH容量。 请大家在做升级时一定要慎重,以免丢失操作系统文件, 不能启动系统。 26.如何做CISCO路由器的基本安装维护? 解答: CISCO路由器的基本安装维护 ,一般包括以下几方面: a. 控制口连接 先将CISCO2500/1000系列路由器附件中的控制电缆RJ45的一端连接到CISCO的CON SOLE口上,CISO7000/4000系列路由器则将MODEM电缆的DB25的一端接到CISCO的C ONSOLE口上,DB9的一端连接到PC的COM1/2上。在PC上设置仿真终端程序:比如用WINDOW S中的TERMINAL程序,使用COM1/2,9600BPS,8 DATA BIT,2STOP BIT。其余使用默认值 。做好控制口连接后,打开路由器的电源开关。 b. 初始安装 一般建议使用机器安装,这样既美观又便于维护。 !!!注意:路由器必须使用带有有效地的电源。一般要求使用的电源的零地间的电压 4V,零火/地火的电压就为220V。地线保护基本上要求上网的设备需有保护地线,这些设 备包括主机、工作站 、HUB、交换器、路由器及连接路由器的MODEM等。配置路由器的终 端或PC机也必 须使用带有有效地的电源。CISCO的同步串行接口是多用的,通过不同的 电缆可引出不同的接口,如RS232、V.35等。并且CISCO的同步串行接口电缆的电缆是特 别预制的。 第一次安装时系统会自动进入DIALOG SETUP。依次回答路由器名称,加密超 级登录密码,超级登录密码,远程登录密码 ,动态路由协议,各个接口的配置等。之后 回答YES保存该配置。然后等2分钟,按 回车数下。出现路由器名称。打入ENABLE命令, 回答超级登录密码。出现路由器 名称#。打入CONFIG TERMINAL配置路由器:NO SERVICE CONFIG 及NO IP DOMAIN-LOOKUP ,(进一步的配置)按CTRL-Z退出,出现路 由器名称#。打入WRITE MEMORY保存配置。 c. 一般同步拨号、专线、DDN连接配置 IPX routing INTERFACE SERIAL 0 IP ADDRESS 1.1.1.1 255.0.0.0 IPX NETWORK 111 INTERFACE ETHERNET 0 IP ADDRESS 12.1.1.1 255.0.0.0 IPX NETWORK 123456 ROUTER IGRP 1 NETWORK 1.0.0.0 NETWORK 12.0.0.0 d. X.25连接配置 IP ROUTING INTERFACE SERIAL 0 IP ADDRESS 1.1.1.1 255.0.0.0 ENCAPSULATION X25 X25 ADDRESS 32699 X25 HTC 16 X25 IDLE 6 X25 map ip 1.1.1. 2 32688 broadcast INTERFACE ETHERNET 0 IP ADDRESS 12.1.1.1 255.0.0.0 ROUTER IGRP 1 NETWORK 1.0.0.0 NETWORK 12.0.0.0 e. 一般故障判断 首先看MODEM的状态,如果MODEM的DCD不亮,则表示线路连接故障,请先检查线路连接。 再检查路由器的电缆连接。 将控制终端连接到路由器上。按回车数下,出现路由器名称 ,打入show interface serial 0 观看第一行,line和line protocol的状态:如果line is up,表示路由器接收的该线路接口的DCD信号;否则表示线路接口的DCD信号为低 。 如果line protocol is up,表示该线路接口的线路协议匹配成功。否则表示线路协议匹 配失败。打入show interface ethernet 0 如果line protocol is up,表示该线路接口 连接正常。 f. 故障检测及排除方法 通信系统在运行中可能出现一些故障,我们如何迅速地找出故障所在,并及时修改,是 维持系统正常运行的关键,下面,我们就端口、线路、链路等方面,提供一些参考方法 : (1)判断以太端口故障: 对于以太端口故障的诊断,我们可以用 show interface ethernet 0 对于以太端口0的诊断)的命令,它用来检查一条链路的状态,如下所示: router# show int ethernet 0 :正常 ===============Ethernet 0 is up,line protocol is up :连接故障,路由器未接到LAN上 ======Ethernet 0 is up,line protocol is down :接口故障 ====== Ethernet 0 is down,line protocol is down(disable) :接口被人为地关闭 ===== Ethernet 0 is administratively down,line protocol is down(可在配置状态中 interface_mode 下去掉shutdown命令)。 此外,当我们怀疑端口有物理性故障时,可用 shown version,将显示出物理性正常的端 口,而出现物理故障的端口将不被显示出来。 (2)判断串行端口故障 (a) 判断线路: DDN线路:查看DTU的指示灯,DTU上共有四种指示灯:Power、Line、DTR、Ready 。Powe r灯在DTU上电后应保持长亮,而Line、Ready灯就表示了该DTU与DDN节点机 连接的情况 ,正常情况下这两个灯也应该长亮。 如果发现有异,应及时与DDN网管中心联系。DTR灯 表示DTU与DTE(路由器)的连 接情况,当路由器上电后,若串口状态正常,则DTU上的D TR灯也应保持长亮(当线路不通时,偶尔闪熄一下)。 :模拟线路。查看MODEM上的指示灯,对于同步专线,一般来说,CD、TD、RD应保持长亮 ,当有数据在广域网线路上传输时,TD和RD灯将不停闪烁,当这些灯不正常时,应与电 信部门联系。 (b)判断端口故障: 对于串行端口故障的诊断,我们可以用 show interface serial 0 (对于串行端口0的诊断,别的串行端口的诊断类似)的命令,它用来检查一条链路的状态 ,如下所示: router# show int serial 0 Serial 0 is up,line protocol is up : Serialt 0 is up,line protocol is up=====正常 : serial 0 is up,line protocol is down=====端口无物理故障,但上层协议未通(IP 、IPX、X25等,请查看路由器的 配置命令,检查地址是否匹配)。 : Serial 0 is down,line protocol is down(disable):端口出现物理性故障,只有更 换端口。 : Serial 0 is down,line protocol is down:DCE设备(MODEN/DTU)未送来载波/时钟 信号,请与电信部门联系。 : Serial 0 is administratively down,line protocol is down====接口被人为地关闭 ,可在配置状态中 interface_mode 下去掉shutdown命令。 此外,当我们怀疑端口有物 理性故障时,可用 shown version,将显示出物理性正常的端口,而出现物理故障的端口 将不被显示出来。 g. 一般命令 (=后面的命令是11.0以后提供的等效命令) enable 进入超级登录 disable 退出超级登录 show config=show start 显示NVRAM的配置 write terminal=show run 显示当前有效的配置 write memory=copy run start 保存当前有效的配置到NVRAM中 write erase 清除NVRAM的配置 show interface serial 0 显示串行接口0的状态 show ip route 显示当前IP路由表 show ipx route 显示当前IPX路由表 show ipx servers 显示当前Ipx服务器表 config terminal 从终端上配置路由器,按CTRL-Z退出 ipx routing 在该路由器上激活IPX interface serial 0 配置同步串行接口0 encapsulation ppp 该接口的线路协议为PPP ip address 12.1.1.1 255.0.0.0 该接口的IP地址是12.1.1.1,子网掩码是255.0.0.0 ipx nework 123456 该接口的IPX网络地址是123456 router rip 配置路由协议RIP network 12.0.0.0 该路由协议包括12.0.0.0网络 27.举例说明CISCO 路由器如何实现NAT? 解答: 目前,全国xx系统计算机网络必须统一通过国家xx局从yy院出口访问Internet,这就需要 利用yy院分配的Internet合法地址210.X.X.X,而xx系统内部使用的IP地址是 11.X.X.X.,这样使用起来会存在以下主要问题: a. 每个省xx局分配到的210地址资源十分有限,不能满足上网需求。 b. 210地址是Internet合法地址,因此配置210地址的机器安全性差,易受Internet用 户的攻击。 为解决这些问题,我们考虑用Cisco7206路由器在内部地址11.X.X.X 到Internet合法地 址210.X.X.X之间进行翻译,程序如下: interface Ethernet0/0 ip address 11.35.181.1 55.255.240.0 no ip directed�� broadcast ip nat inside ! interface Serial0/0.1 point��to��point ip address 210.72.49.1 255.255.255.252 secondary ip address 11.35.1.38 255.255.255.252 no ip directed��broadcast ip nat outside ! router eigrp 130 passive��interface Ethernet0/0 network 11.0.0.0 network 210.72.49.0 ! ip nat pool 163net 210.72.49.17 210.72.49.30 netmask 255.255.255.240 ip nat inside source list 100 pool 163net overload ip classless ! access��list 100 deny ip any 11.0.0.0 0.255.255.255 22 access��list 100 permit ip any any 23 ! end ----在以上配置中,有两点需要解释: ----1. 第7、17行中的IP地址210.72.49.1,210.72.49.17~ 210.72.49.30是分配给省x x局的Internet合法地址。 ----2. 由于国家xx局内网(11.X.X.X)和外网(210.X.X.X)是通过防火墙进行隔离, 因此需要配置第21行,才能使得省局配置11.X.X.X 地址的机器既能访问国家xx局内部网 ,又能访问Internet。否则只能访问Internet而不能访问国家xx局内部网。 28.如何改变CISCO 路由器寄存器值? 配置目的:寄存器配置用于更改路由器启动过程。 启动位由4位16进制寄存器组成 格式:0xABCD 赋值范围从0x0到0xFFFF 0x2102 :工业默认值 0x2142 :从FLASH中启动,但不使用NVRAM中的配置文件(用于口令恢复) 0x2101 :从Boot RAM中启动,应用于更新系统文件 0x2141 :从Boot RAM中启动,但不使用NVRAM中的配置文件 其中C位的第三位为1时表示关闭Break键,反之表示打开Break键。 0x141:表示关闭Break键,不使用NVRAM中的配置文件,并且从系统默认的ROM中 的系统中启动。 0x0040:表示允许路由气读取NVRAM中的配置文件。 监视命令功能 o:以位的形式显示实际配置的当前起作用的寄存器, o Displays the virtual configuration register, currently in effect, wi th a description of the bits o/r:重置实际配置的寄存器为以下值: 9600 (端口速率) Break是否有效 是否忽略NVRAM中的配置 是否从ROM 中启动 如:o/r 0x2102 寄存器配置定义表 位顺序 十六进制 意义 00 to 03 0x0000 to 0x000F 启动字段 06 0x0040 使得系统软件忽略NVRAM中的内容 07 0x0080 OEM位开启 08 0x0100 Break键关闭 10 0x0400 IP广播到所有域 11 to 12 0x0800 to 0x1000 Console口速率 13 0x2000 如果网络启动失败,默认从ROM中启动 14 0x4000 IP broadcasts do not have net numbers 15 0x8000 启动诊断信息同时忽略NVRAM内容 (1)工业默认寄存器位 0x2102。这个只有以下几个部分组成 bit 13 = 0x2000, bit 8 = 0x0100, and bits 00 到 03 = 0x0002. 下表启动位注释 (配置寄存器位 00 到 03) 启动位的意义 0x0:启动后停留在bootstrap状态 0x1:从 ROM 中启动 0x2到0xF:指定默认的启动文件启动系统, 下表为 Console口速率设定表 速率 12位 11位 9600 0 0 4800 0 1 1200 1 0 2400 1 1 29.CISCO远程访问服务器中,DTE、DCE 如何实现连接? 在CISCO远程访问服务器中,用三对线连接DTE和DCE,每对线中,一条发送,一条接收: 1、TX/RX 数据传输线路 发送:DTE->TX->DCE 接收:DTE DCE设备(MODEM)通过RX发送数据给DTE,通过TX接收来自DTE的数据,发送 接收的速率 在MODEM上设置。通过RS232连接的MODEM与路由器速率必须一致。 2、RTS/CTS 硬件流控 DTE->RTS->DCE DTE 当DTE数据缓存满,将降低RTS信号,通知DCE不要在发送数据,同理,DCE将 降低CTS信号,通知DTE不要在发送数据。MODEM与访问服务器必须设置为硬件流控 。 3、DTR/DCD MODEM控制 DTE->RTS->DCE DTE 当远程访问服务器(DTE)READY,DTR输出信号为高,通过将DTR信号降低, 远程访问服务器挂断线路。MODEM通过DCD信号通知DTE,显示有一拨号拨入,需远 程访问服务器提供服务,MODEM的DCD信号消失,表示MODEM丢掉该次拨号。 29.ISDN路由器中的SPID号怎样确定? 解答: SPID只在北美网络中有效,在中国没有用到。SPID 只是北美的ISDN通信标准,中国是沿 用欧洲标准,设置ROUTER不需设SPID。. 30.如何看ROUTER的CPU利用率,一般在多少的范围是正常的? 解答: show proc cpu 一般来说不应超过80% 。 The Cisco routers are not overutilized. (5-minute CPU utilization under 75%) 31.E1线路如何提供多条专线接入? 解答: 可以使用Channelized E1(信道化E1)模块,一个端口总带宽为2M,共可分为32个时隙 ,第0个时隙同步用,第16个时隙有些接入设备可以用,所以最起码可以在其中接入30个 64K专线,也可以把几个时隙复用,以增加一个Channel Group的带宽。 E1线路可以通过复用设备来连接!(不过复用设备比较贵)举一个简单的例子!你可以 用美国UT斯达康公司的接入网设备(ACS600)来连接!用他的2M广域卡来连接你的E1( 但是你的E1必须具备Channelized E1(信道化E1)模块G.704接口75欧姆或120欧姆、) 而后就简单的多了!ACS600具备多种线路接口卡(v.35 v.24 ...) 将这种接口连接一 个高速modem、再配好ACS600内部参数而从modem上接线。再者ACS600还有与相同设备或D DN设备相连的功能!把您想要连接的线路延伸! 32.局域网通过DDN互联,可以不用路由器吗? 解答: 实际上,是可以的,但是你不可能使用微机自己的COM口,因为串口是跑异步通信的,而 DDN/DTU用的是同步信号,所以不行。需要单独购买支持IP协议并配有管理软件的接口卡 (支持DDN)的。 DDN线路可以是同步的,DTU的A/B口也是同步/异步可选的,这由网管 来设。 做的广域网当中,就有利用异步DDN线路通过DTU接到计算机串口上(一般来 , 计算机串口最大支持115.2K的异步速率),再通过NT的NULL MODEM利用 AS来连通两台NT 的。 33. Cisco路由器口令如何恢复? 解答: Cisco路由器是广泛应用的计算机网络通信设备之一。在日常运行中,路由器在整个系统 中起着重要的作用,免不了经常对它进行操作。例如:修改路由器配置文件、诊断网络 故障等。一旦密码被遗忘,就对工作造成极大麻烦,此时,如何恢复密码变得尤为重要 。 Flash Memory是只读的,所以要修改Flash Memory, 内容时,首先要进入Boot ROM Monitor运行模式下。ROM Monitor运行环境主要用于密码的恢复。 要进入不同的运行环 境,就需要对Configuration Register Value进行设置,详见下表Register Value与运 行环境之关系,以满足用户对不同运行环境的需要。 运行环境与Register Value ------------------------------------------------------------------ 运行环境 提示符 RegisterValue 主要应用 IOS Router> 0x2102 正常运行模式 Boot ROM Monitor Router(boot)> 0x1 操作系统版本升级 ROM Monitor > 0x0 密码的恢复 ------------------------------------------------------------------ ConfigurationRegisterValue 含义 0x2102 缺省设置。 bit13=0x2000 Flash引导失败5次后,自动从Rom引导。 bit8=0x0100 关闭Break键。 Boot field=0x2 从Flash中引导正常运行模式。 0x2101 bit13=0x2000 Flash引导失败5次后,自动从Rom引导。 bit8=0x0100 关闭Break键。 Boot field=0x1 进入Boot Rom运行模式。Router(boot)> 0x142 bit8=0x0040 进入 Rom Monitor运行模式。> Boot field=0x2 从Flash中引导正常运行模式。 ------------------------------------------------------------------ 当用户忘记或错误地修改了口令,需要进行恢复时,可以按照如下步骤操作: 1.进入rom中断状态 2.读出当前引导方式: >e/s2000002 3.作如下改变,忽视nvram引导: >o/r0x**4* 4.重启路由器: >i 5.进入steup模式,对所有问题回答no 6.进入超级用户: router>enable 7.下载nvram: router#config memory 8.恢复初始启动值,并激活所有端口: "hostname"#config terminal "hostname"(config)#config-register 0x"value" "hostname"(#config)#interface xx "hostname"(config-if)#no shutdown 9.查询口令: "hostname"#show configuration(show startup-config) 10.修改和存储口令: "hostname"#config terminal "hostname"(config-line)#line console0 "hostname"(config-line)#login "hostname"(config-line)#password xxxxxxxx "hostname"(config-line)#(cntl-z) "hostname"#write memory(copy running-config startup-config) 11.将RegisterValue恢复为缺省设置: 不然路由器重起后已做的配置可能会丢失! "hostname"#config terminal "hostname"(config)#config-register 0x2102 交换机产品部分问题解答 Catalyst2900XL/3500XL系列交换机问题解答 1. Catalyst2900XL/3500XL 系列交换机可支持多少个 MAC 地址和多少个基于端口的 VLAN ? 解答: 型号 支持 MAC 地址数 基于端口的 VLAN 数 Catalyst 2912-XL 2048个 MAC 地址 64个基于端口的 VLAN Catalyst 2912MF-XL 8192个 MAC 地址 250个基于端口的 VLAN Catalyst 2924-XL 2048个 MAC 地址 64个基于端口的 VLAN Catalyst 2924C-XL 2048个 MAC 地址 64个基于端口的 VLAN Catalyst 2924M-XL 8192个 MAC 地址 250个基于端口的 VLAN Catalyst 3500-XL 系列 8192个 MAC 地址 250个基于端口的 VLAN 2. Catalyst 3500XL 系列:Catalyst3508G 是否也可以同Catalyst3524 一样采用菊花 链堆叠模式? 解答:完全可以 3. Catalyst 2900XL系列交换机是否可与Catalyst 3500XL系列交换机堆叠? 解答:带有千兆端口的 Catalyst 2900XL 交换机如 Catalyst 2924M, 可与 Catalyst 3500XL 交换机堆叠。 但此时 2900XL 系列交换机的成本会较高, 故最好用 3500XL 交换机堆叠。 4. Catalyst 2948G 是否可以与 Catalyst 3500XL 用 GigaStack GBIC 堆叠? 解答:不可以。 Catalyst 2948G 与 Catalyst 3500XL 的结构不同, 而且 Catalyst 2948G 不支持GigaStack GBIC模块, 故不能进行堆叠 5. Catalyst 3500XL系列交换机支持何种服务功能? 解答:Catalyst 3500XL系列交换机支持多种质量保证技术: * IEEE802.1p流量优先级服务 对于标记的数据帧,可以通过标记区域的3个比特的服务(CoS)参数,将流量划分成8 个优先级。 * 基于端口的划分流量优先级服务 交换机所有端口都支持两个优先级的队列:低优先级队列和高优先级队列,通过对端口 进行优先级的划分,可以确保重要的应用能够优先得到服务。 基于端口划分的流量优先级服务只对没有标记的数据帧起作用,基于IEEE802.1p标准来 划分服务优先级只对标记的数据帧起作用。这两种划分方法互相补充,交换机都支持。 但当使用两种标准时,只在当数据帧离开交换机时起作用。 注:标记的数据帧指当采用IEEE802.1p/Q,ISL或其它技术时,当数据帧经过交换机时, 会被交换机标记(增加标记的区域)。 关于堆叠技术/集群技术的问题解答 1:Catalyst 3500XL/2900XL 的堆叠是如何实现的? 解答: ? 需要使用专门的堆叠电缆,1米长或50厘米长( CAB-GS-1M 或 CAB-GS-50CM )以及专门 的千兆堆叠卡 GigaStack GBIC (WS-X3500-XL) (该卡已含 CAB-GS-50CM 堆叠电缆)。 ? 可以选用2种堆叠方法:菊花链法(提供 1G 的带宽)或点对点法(提供 2G 的带宽)。 ? 2种方法都可以做备份。 ? 菊花链法最多可支持9台交换机的堆叠, 点对点法最多可支持8台 2:Catalyst 3500 XL 系列交换机做堆叠时,是否支持冗余备份? 解答:Catalyst3500XL系列交换机的堆叠有两种实现方法:菊花链方式和点到点方式。 ? 当使用菊花链方式时,堆叠的交换机依次连接,交换机之间可以达到 1Gbps 的传输带 宽; ? 当使用点到点方式时,需要一台单独的 Catalyst3508G-XL 交换机, 其余的交换机通 过堆叠GBIC卡和堆叠线缆与 3508G 相连,这种方法最大可以达到 2Gbps 的全双工传输 带宽。 这两种方法都分别支持堆叠的冗余连接。当使用菊花链连接方式时,冗余连接是通过将 最上面的交换机与最下面的交换机用堆叠线缆相连接完成的。而当使用点到点连接时, 是通过使用第2台3508交换机来完成的。 3:Catalyst3500 XL 的一个千兆口使用堆叠卡做堆叠后, 另外一个千兆口是否可以连 接千兆的交换机或千兆的服务器? 解答:可以。需使用 1000Base-SX GBIC 或 1000Base-LX/LH GBIC。 4. 够支持 Cluster 技术的产品目前主要有哪几种,其软件版本要求如何? 解答: 名称 软件版本要求 交换机类别 Catalyst 1900/2820系列 9.00.00及以上,此时Command Switch要求12.0(5)Xp及以上 Member Switch Catalyst 2924 XL (A,EN) 免费升级到11.2(8x)SA及以上 Member Switch 免费升级到11.2(8x)SA及以上 (含Command Capable软件) Command Switch Catalyst 3508G XL(A,EN) 11.2(8x)SA及以上(已含Command Capable 软件) Member Switch 或Command Switch Catalyst 4000 系列交换机问题解答 1.Catalyst 4003和Catlyst 4006交换机的交换引擎有何区别? 解答: 这两种型号的交换机的交换引擎是不兼容的。其共同点和区别如下: 特性 Supervisor Engine I(4003) Supervisor Engine II(4006) 双千兆口上连 没有 有 支持16,000MAC地址 支持 不支持 支持1024个VLAN 支持 支持 SNMP 支持 支持 RMON 支持 支持 10 Mbps Out-of-Band Management (RJ-45) 支持 不支持 10/100 Mbps Out-of-Band Management (RJ-45) 不支持 支持 FEC和GEC技术 支持 支持 24 Gbps交换容量,18mpps第2层转发速率 支持 支持 6 Mpps第3层路由能力 支持 支持 2. Catalyst 4000 系列是否支持 ISL? 解答:从 Supervisor Engine Software Release 5.1 开始支持。 3. Catalyst4000 交换机的冗余电源选项 4008/2 和 4008/3 有何区别? 解答:Catalyst4003 交换机机箱上有两个电源插槽,出厂时本身自带一个电源,4008/2 是专为其定制的冗余电源。Catalyst 4006 的机箱上有三个电源插槽,出厂时带有2个 电源供电,4008/3 是为其定制的专用冗余电源。 4. Catalyst 4006 的三层交换模块是否不含以太网端口? 解答:不,Catalyst4006 的三层交换模块含有32个10/100自适应端口和2个千兆端口。 在4003上使用时可替原有的 WS-X4232-GB-RJ 模块, 从而不影响网络结构。 5. Catalyst 4000 系列模块化交换机使用千兆交换模块时, 如何选用目前存在的两种 交换模块(产品编号如下)? WS-X4306-GB Catalyst 4000 Gigabit Ethernet Module, 6-Ports (GBIC) WS-X4418-GB Catalyst 4000 GE Module, Server Switching 18-Ports (GBIC) 解答:这两个模块的使用环境不同 ? WS-X4306-GB 是一个6口的千兆交换模块,每个端口独占千兆的带宽,适合做网络的主 干,用来连接具有千兆接口的交换机;也可以与具有千兆网卡的服务器相连。 ? WS-X4418-GB 是一个18口的千兆交换模块,其中有两个口是独占千兆的带宽,另外16 个口共享8G的全双工的带宽,但每个端口可以突发到千兆。此模块适合在服务器比较集 中的地方连接千兆的服务器,而不适合连接网络主干。 6. Catalyst4003/4006上的WS-X4232-RJ-XX模块与WS-U4504-FX-MT模块是如何使用的? 解答:后者是插在前者上的子卡,前者模块上有子卡接口,可以插上不同UPLINK子卡, 或不同功能子卡。 7. Catalyst 4003/4006应该如何选配冗余电源? 解答:Catalyst 4003第二个电源为冗余电源:WS-X4008/2或WS-X4008-DC/2 Catalyst 4006第三个电源为冗余电源:WS-X4008/3或WS-X4008-DC/3 两者均需单独订购。 Catalyst 6000 系列交换机问题解答 1. Catalyst 6000 系列的背板带宽和包转发速率各为多少? 解答:Catalyst 6500 系列的背板带宽可扩展到 256Gbps, 包转发速率可扩展到 150Mpps;Catalyst 6000 系列作为一个经济有效的解决方案可提供到 32Gbps 的背板带 宽和 15Mpps 的包转发速率。 2. Catalyst 6000 系列的 MSFC 要求多少 M DRAM ? 解答:Catalyst 6000 系列 IOS 软件存放在 MSFC 里, MSFC 要求有128M DRAM。 缺省 配置已含128M DRAM。 3. Catalyst 6000 系列上的插槽是否有限制? 解答:除第一个插槽专用于引擎, 第二个插槽可用于备份引擎或线卡, 其它插槽都用 于线卡。 4. Catalyst 6000 系列有几种引擎? 解答:Catalyst 6000系列的引擎分为 Supervisor Engine 1 和 Supervisor Engine 1A 两种, 其中 Supervisor Engine 1A 有两个特定的备份引擎。其型号分别如下: 型号 描述 WS-X6K-SUP1-2GE Catalyst 6000 Supervisor Engine1 引擎, 含两个千兆端口(需购 GBIC ) WS-X6K-SUP1A-2GE Catalyst 6000 Supervisor Engine1A 引擎, 加强的 QOS 特性, 含两个千兆端口(需购GBIC) WS-X6K-SUP1A-PFC Catalyst 6000 Supervisor Engine1A 引擎, 含两个千兆端口(需购 GBIC )和 PFC 卡 WS-X6K-S1A-PFC/2 Catalyst 6000 Supervisor Engine1A 冗余引擎,含两个千兆端口( 需购 GBIC )和 PFC 卡 WS-X6K-SUP1A-MSFC Catalyst 6000 Supervisor Engine1A 引擎, 含两个千兆端口(需 购 GBIC )和 MSFC、PFC 卡 WS-X6K-S1A-MSFC/2 Catalyst 6000 Supervisor Engine1A 冗余引擎, 含两个千兆端口 (需购 GBIC )和 MSFC、PFC 卡 5. Catalyst 6000 系列上备份引擎与主引擎必须是一致的吗? 解答:是的。 Catalyst 6000 系列的备份引擎与主引擎必须是一致的, 例如, 不能将 不带MSFC&PFC的引擎给带 MSFC&PFC 的引擎作备份。 另外, WS-X6K-SUP1A-PFC 和 WS-X6K-SUP1A-MSFC 有专门的备份引擎。 主、备引擎的对应关系如下: 主引擎 备份引擎 WS-X6K-SUP1-2GE WS-X6K-SUP1-2GE WS-X6K-SUP1A-2GE WS-X6K-SUP1A-2GE WS-X6K-SUP1A-PFC WS-X6K-S1A-PFC/2 WS-X6K-SUP1A-MSFC WS-X6K-S1A-MSFC/2 6. Catalyst 6000 系列支持的路由协议有哪些? 解答:Catalyst 6000 系列支持的路由协议有:OSPF, IGRP, EIGRP, BGP4, IS-IS , RIP 和 RIP II; 对于组播 PIM 支持 sparse 和dense 两种模式; 支持的非 IP 路 由协议有: NLSP, IPX RIP/SAP, IPX EIGRP, RTMP, Apple Talk EIGRP 和 DECnet Phase IV 和 V。 7. Catalyst 6000 系列支持的网络协议有哪些? 解答:MSM 上支持 6Mpps 的 IP、 IP 组播和 IPX 。 引擎上的 MSFC 支持 15Mpps 的 IP、 IP 组播、IPX 以及 AppleTalk、 VINEs、 DECnet. 8. Catalyst 6000 上若引擎为 SUP-1A-2GE, 怎么实现三层交换的功能? 解答:用 MSM 实现。 6000 上只有含有 MSFC 的引擎才能通过 MSFC 实现三层交换功能 , 在 6000 上, MSFC 是不能单独订购的。 9. Catalyst 6000 交换机和 Catalyst 6500 交换机有何区别?6000 交换机是否可以升 级到 6500 交换机? 解答:Catalyst 6000 系列交换机的背板带宽为 32G,而 6500 系列交换机的背板带宽 最大可以扩展到 256G。由于这两个系列的交换机使用的背板总线结构不同,所以 6000 交换机不能升级到 6500 系列交换机。 但这两个系列交换机使用相同的交换模块 。 10. 在 Catalyst 6000系列产品中 PFC 和 MSFC 有什么区别? 是否两者都需要? 解答:PFC 子卡不需三层路由引擎就可支持智能L3/4交换服务( delivers intelligent Layer 3/4 switching services), 例如 QoS 和安全性。 PFC通过专有的 基于 ASIC 的包检测机制提供流量的访问控制、 分类、 划分优先级。 另外, PFC 可 与高级的包排序、 冲突避免技术结合, 使流量得到预定的速率, 从而明显地提高性能 及获得网络操作的可预测性。 超出规定的流量按用户设定的要求可能被丢掉或以较低的 速率转发。 MSFC 需要与 PFC 一起使用, 以提供除了PFC提供的 QoS 和安全性以外的 完全多协议路由支持。 11. Catalyst 6000上1300W 电源及1000W 电源有什么区别? 解答:在 Catalyst 6009/6509上必须用1300W 电源, 在 Catalyst 6006/6506上可以用 1000W 或1300W 电源。 关于 Ethernet Channel Technology 的问题解答 1.Ethernet Channel Tech. 可以应用在什么网络设备之间?如何使用? 解答: ? 可以应用在交换机之间, 交换机和路由器之间,交换机和服务器之间 ? 可以将2个或4个10/100Mbps或1000Mbps端口使用 Ethernet Channel Tech.,达到最多 400M(10/100Mbps端口)、4G(1000Mbps 端口) 或800M(10/100Mbps端口)、8G(1000Mbps 端口) 的带宽。 2. Ethernet Channel Technology 有什么作用? 解答:增加带宽,负载均衡,线路备份 3. 当端口设置成 Ethernet Channel 时,如何选择线路? 解答:根据数据帧的以太网源地址和目的地址最后1位或2位做或运算,决定从哪条链路 输出。对于路由器来说是根据网络地址做或运算,以决定链路的输出。 4. Ethernet Channel Technology 与 PAgP (Port Aggregation Protocol ) 的区别? 解答:PAgP 是 Ethernet Channel 的增强版,它支持在 Ethernet Channel 上的 Spanning Tree Protocol 和 Uplink Fast,并支持自动配置 Ethernet Channel 的捆绑 。 交换机产品的其他问题解答 1. Cisco Catalyst 系列千兆交�Q机上的 SX、LX 和 CX 的信号在多模和单模光纤上的 传输距离各是多远? 解答: 信号传输方式 介质类型 光纤直径/导线阻抗 传输距离 SX MMF 62.5um 275米 50um 550米 LX/LH MMF 62.5um 550米 50um 550米 SMF 9um 5-7公里 ZX SXF 9um 70-100公里 CX BALANCED 150-ohm 25米 2. 百兆光�w模�K在多模和�文9饫w上的�鬏�距离是多少? 解答:百兆在多模光�w上的最大�鬏�距离是400米(DTE-DTE),和300米(中�g有1个中�^器 )。在�文9饫w上的�鬏�距离�]有被具体定�x。但在���H使用��中,百兆模�K��常用���� ��距离在1-2公里左右的多模光�w或距离在30-40公里左右的单模光纤上的�稻萘髁浚�在 �@种情�r下,其传输速率已���_不到百兆。(见下表) 信号传输速率 介质类型 光纤直径 传输距离(DTE-DTE) 传输距离(中间有1个中继器) 100兆 MMF 62.5um 400米 300米 100兆 SMF 9um 未定义 未定义 3. 在交换机之间配置 Uplink-Fast 时,是否需要关闭原有 Spanning-Tree 选项? 解答:需要,由于 Uplink-Fast 实际上使用的是一种简化的 Spanning-Tree 算法,所 以,在使用 Uplink-fast 时需将设备所支持的标准的 Spanning-tree 关闭,否则容易 发生冲突。 4. 目前 Cisco 有哪些交换机可支持三层交换功能? 解答:Catalyst 2948G-L3、 Catalyst 4908G-L3、 Catalyst 4003、 Catalyst 4006、 Catalyst 5000系列、 Catalyst 6000系列、 Catalyst 8500系列。 5. Cisco产品中,当使用千兆的接口时,是否需要配置GBIC接口卡?Catalyst交换机的1 000Base-LX/LH GBIC支持单模/多模光纤,是否是自适应的? 解答:为了增加系统的灵活性,保护用户的投资,Cisco的千兆接口都支持GBIC接口卡。 GBIC接口卡需要单独订购。用户可以根据自己的实际情况,选择符合自己需要的GBIC接 口卡。目前Cisco的网络产品支持3种类型的GBIC接口卡:1000Base SX,1000Base LX/LH,1000Base ZX.。目前Cisco交换机产品中,4000系列(包括4000)以上全部支持以 上这3种型号的GBIC接口卡,4000系列以下仅仅支持1000Base SX,1000BaseLX/LH两种 。Catalyst交换机的1000Base-LX/LH GBIC支持单模/多模光纤,当支持多模光纤时,需 购买CAB-GELX-625连接GBIC和多模光纤。 6. uplinkFast、PortFast、BackboneFast能否在不同的物理介质上是实现(如光纤双绞 线之间互为备份)?解答:可以,该功能是通过软件实现的,与物理介质无关。 7. Cisco 产品的光纤模块中MT接口是何标准? 解答:这是一种新制定的EIA/TIA光纤跳线接口标准,其外形类似传统的RJ接口,因而缩 小了传统光纤接口在设备面板上占用的面积,故又称MT-RJ接口。目前大部分生产光纤设 备的厂商都已参照该标准推出了相应的产品。 多媒体技术部分问题解答 1、 问题 对于CISCO路由器来说,当配置模拟语音接口(VIC)时,有三种选择,FXS、FXO、 E&M, 分别代表什么含义?如何使用? 解答: FXS:Foreign exchnge office 直接与普通模拟电话机、传真机相连 FXO:Foreign exchnge sttion 直接以模拟方式与电话局的程控交换机相连的接口 E&M:Er&Mouth 用来与PBX中继线相连,它是一个2线或4线电话和中继线接口的信令技术 2、 问题 如果需要CISCO路由器支持语音功能,需要什么样的IOS软件版本? 解答: 需要IP PLUS以上的IOS软件版本。 3、 问题 目前支持VoIP的Cisco设备主要有哪些? 解答: Cisco 1750-2V:10/100Bse-T 模块化路由器带2个语音通道。 Cisco 1750-4V: 10/100Bse-T 模块化路由器带4个语音通道。 Cisco2600系列,Cisco3600系列:模块化路由器,需配合NM-1V or NM-2V以及相应的 语音模块来实现VoIP。 Cisco MC 3800:多业务集中器,配合语音模块实现VoIP。 S5300:Cisco S5300语音网关 Cisco7200/7500:配合P-VXB-2TE1+或P-VXC-2TE1+ 模块实现VoIP。 4、 问题 64K DDN专线最多可同时传输多少路语音? 解答: 在传统的语音应用中,常见的压缩方式有4种: ITU标准 数据率 延迟 G.711 64kbps 0.75毫秒 G.726 32kbps 1毫秒 G.728 16kbps 3-5毫秒 G.729 8kbps 10毫秒 不同的压缩标准,产生的语音效果不同。Cisco VoIP技术采用的是G.729标准进行语音压 缩,由于IP数据包包头会消耗部分带宽,一路语音总共会消耗12.8K的带宽,则64K/12.8 K=5路语音。 5、 问题 Cisco2600/3600上的VIC-2E&M支持哪几类标准? 解答: 目前支持Type I, II, III, 和V 6、 问题 VWIC卡是否可以插在WIC槽中?2600上是否支持VWIC卡? 解答: VWIC卡既可以插在WIC槽中,用于数据传送;也可以插在NM-HDV中,用于语音通信。现在 ,2600和3600上,都支持VWIC。在2600上,可以将VWIC直接插入WIC槽中,在3600上,需 购买混合卡做母卡,然后将VWIC插入混合卡中的WIC槽中。 7、 问题 VWIC-1MFT-E1接口卡插在Cisco2600路由器上的WIC插槽中,能否划分出通道? 解答: 不能,该卡只有与NM-HDV模块一同使用时才能划分出30个语音通道。当单独使用时,只 能支持非通道化的2M E1线路,同WIC-1T功能相似。 8、 问题 是否可以同IP Phone 直接接到交换机上实现VOIP? 解答: 可以,需要Cll nger 软件支持。配合具备In-line Power 的语音模块,同时支持语音和 数据的VVID解决方案。 Catlyst 6500系列:使用WS-X6348-RJ45V模块。 Catlyst 4000系列:使用WS-X4148-RJ45V模块。 Catlyst 3524XL-PWR-EN 交换机。 9、 问题 支持Inline Power 的CISCO交换机有哪些? 解答: Catlyst 3524XL-PWR-EN; Catlyst 4000 + WS-X4148-RJ45V; Catlyst 6500 + WS-X6348-RJ45V; 10、问题 CISCO1750上要支持语音需要购买什么产品? 解答: 购买UPG1750-2V或UPG1750-4V升级包。该升级工具含IP/VOICE SW、DSP、Flsh、DRM, 使1750具有支持2路或4路语音的功能。 配置比较: 名称 FL解答SH(M) DR解答M(M) IOS软件 DSP (块) 语音 (路) 1750 4 16 IP 0 0 1750-2V 8 24 IP PLUS 1 2 1750-4V 8 24 IP PLUS 2 4 11、问题 VOIP 能够运行在哪些专线上面? 解答: VOIP技术是通过高质量的语音编码器对语音信号进行数字化、压缩、封装成数据包的处 理,从而形成较小的IP数据包。当语音以数据包的形式存在时,它能够穿过任意类型的I P网络(包括DDN、ATM、FrameRelay、以太网等)。构成VoIP over FrameRelay or VoIP over ATM。 12、问题 CISCO公司是通过哪些技术来保证VOIP的语音质量? 解答: Cisco公司的VoIP技术要求端到端网络延迟最大不能超过200毫秒。 延迟时间主要由下面因素组成:编码/解码,数据包封装,端口输出排对,链路传输时 间,端口输入排对延迟,防抖缓冲延迟等。 当网络能够满足语音传输所占用的带宽,通过对网络进行有效的拥塞控制,并使用高质 量的编码解码器,使用Voice over IP技术的通话质量会达到与标准公用电话一样的质量 效果。 Cisco公司在IP网络的QoS技术方面在业界具有领先的地位,通过在IOS软件使用资 源保留协议(RSVP),IP位的优先级别技术,多种队列技术和高质量模数转换和压缩等 技术,可以有效的控制网络阻塞,从而能够保证语音在IP网络上的有效传输。 13、问题 CISCO公司是否有同G.703标准直接相连的接口卡? 解答: 有,通过VWIC-1MFT-G703或VWIC-2MFT-G703可以直接连接G.703。 当VWIC-1MFT-G703或VWIC-2MFT-G703直接插到WIC插槽中时,它不能提供 划分通道的功能,但可以起到与WIC-1T模块相同的功能,同时提供G.703 标准接口。而在以前的应用中,需要特定的协议转换器将G.703的接口标准 转化成V.35标准。 14、问题 除了VOIP方式以外,还有哪些技术可以支持语音应用? 解答: VoFR Voice over FrameRelay VoATM Voice over ATM 15、问题 在CISCO 解答VVID解决方案中,数据和语音是否需要各自独立的布线? 解答: 不需要。在解答VVID解决方案中,数据和语音完全共存在一套布线体系中,两 者可以共存,并不相互影响。 CiscoWorks部分问题解答 1. CiscoWorks是否能够管理到其它厂家的网络产品? 解答:只要第3方厂家的网络产品支持标准的SNMP的协议,那么CiscoWorks 能够对其提 供监视的功能。但是 CiscoWorks应用程序中的其它元件象 CiscoView 等只是针对 Cisco 的网络设备,不能对第3方的网络产品提供支持。 2. CiscoWorks for Windows 这个网络管理程序适合工作的范围? 解答:其适合工作的范围为: 中、小型企业 大型企业的部门网络系统 大型企业的分支办公室 财政比较紧张的企、事业单位 3. Cisco Works for Windows 网管软件何时使用?最多可以管理多少节点 ? 解答:Cisco Works for Windows 网络管理软件主要应用在中小型企业的网络环境。 它 是一个综合的,经济有效的,功能强大的网络管理工具,能够对交换机路由器,访问服 务器,集线器等网络设备进行有效的管理。Cisco Works for Windows 网络管理软件可 以安装在 Windows95/98/NT 等操作系统上。 这个网络管理软件最多可以管理数百个节 点。 4. CiscoWorks2000 网管软件由几个部分组成? 解答:CiscoWorks2000目前由3个部分组成: Routed WAN Management Solution 用来管理广域网络的企业级网络管理解决方案 Service Management Solution 用来监视网络系统服务级别的企业级网络管理解决方案 LAN Management Solution 用来管理包含路由器和交换机的局域网络,是企业级的解决方案 5. Campus Bundle for HP-UX/AIX 和 LAN Management Solution (LMS) for NT and Solaris 有何区别? 解答:Campus Bundle for HP-UX/AIX 运行在 HP-UX 或者 IBM AIX 的 UNIX 操作系统 上,支持 LAN Management Management Solution 的部分功能,包括 Campus Manager, RME, Traffic Director and Cisco View。而 LAN Management Solution (NT/Solaris),则运行在 Windows NT 和 SUN Solaris 操作系统上,除了以上功能外, 还包括 Content Flow Monito r等。 6. LAN Management Solution 和 Campus Bundle 是否都是基于 Web 界面? 解答:LAN Management Solution 和 Campus Bundle 中的 Campus Manager, CiscoView, 和 RME 是基于 Web 界面的。但是 TrafficDirector5.8 还不是基于 Web 界面的。 LMS 所独有的 Content Flow Monitor 也是基于 Web 界面的。 8. CiscoView 5.1 是否可以单独定购? 解答:CiscoView 5.1 不可以单独定购,它集成于 CiscoWorks2000 或者 CiscoWorks for Windows 中。 9. CiscoView5.1 是否支持远程访问? 解答:支持。你可以通过浏览器在网络中任意一点对 CiscoView 进行访问。 10. CiscoView 5.1最多同时支持多少用户的访问? 解答:大约10个。 11. CiscoWorks2000 Routed WAN Management (RWAN) 解决方案的特性? 解答:RWAN提供强大的管理功能,用来管理基于路由的广域网络系统。它对复杂的网络 系统具有配置、监视、排错等功能 其包含的应用程序为: Access Control List (ACL) Manager 当对路由器和PIX防火墙设定访问控制列表时,使 用这个应用程序可以简化访问控制列表的设置、管理、优化等工作。 Internetwork Performance Monitor (IPM) 广域网络中,对网络响应时间和网络的可用 性进行故障排除的应用程序。 TrafficDirector 完整的网络流量监视和故障排除应用程序,对于广域网络的各种问题 提供早期检测。 Resource Manager Essentials (RME) 功能强大的基于WEB的网络管理应用程序,能够访 问到重要的网络信息,可以管理网络的配置和软件改变的信息。 CiscoView 图形化设备管理应用程序,实时的设备状态监控,配置管理等。 12. CiscoWorks2000 中的组件 RWAN(Routed WAN) 网络管理软件能够安装在何种操作平 台上? 解答:RWAN 只可以安装在 Microsoft Windows NT 和 Sun Solaris 操作系统上。 13. Cisco Voice Manager 支持何种路由器? 解答:Cisco Voice Manager 支持的具有语音功能的路由器种类为: Cisco 2600,3600 , 5300, 7200,和1750。 14. CiscoWorks2000 Voice Manager 2.0是否能够运行在 SUN Solaris 系统上? 解答:可以运行在 Windows NT 和 SUN Solaris 系统上。 15. Cisco Voice Manager 能够对 VoIP 网络提供何种管理功能? 解答:其管理功能为:对语音接口的配置功能,拨号计划,呼叫的记录,语音的质量统 计等。 15. CiscoWorks2000 LMS for NT Server的建议系统需求? 解答:建议系统需求为: 550 MHz multiprocessor Pentium III 512 MB RAM 7GB硬盘空余空间 CD-ROM drive and 17-inch color monitor Windows NT 4.0 Workstation or Server and Service Pack 5 Netscape 4.61或者Internet Explorer 5.0 16.CiscoWorks2000 基本安装步骤 解答: 1. Install Microsoft Windows NT Server 4.0 or Microsoft Windows NT Workstation 4.0 (US English ) 2. Install Service Pack 6a 3. Install IIS4.0 4. Install CiscoWorks2000 CD One 5. Install Resource Manager Essentials 6. Install Campus Manager 3.0 7. Install TrafficDirector 5.8 8. Content Flow Monitor 1.0 17. 有时我试图用ciscoview监测一个设备,但是我得到一个出错信息“unmanageable” ,为什么会这样? 解答:有一下几种原因可能导致这种情况 1. 被监测设备在9秒内对CiscoView SNMP requests无响应。被监测设备必须能从网管工 作站 ping通。 2. CiscoView 与被监测设备的SNMP 设置不匹配。 用show snmp 查看被监测设备的snmp设置 用snmp-server community xxxx RO及snmp-server community xxxx RW命令设置或修改 。 在CiscoView中选择File > Open devices 然后enter the name of the device or IP address that failed.设置正确的read 和read-write community string. 18. 我试图用ciscoview监测一个设备,但是我得到“unsuported device”错误信息, 我如何解决? 解答:这可能是由于您的设备比较新,而CiscoView内没有安装包含该设备信息的Packag e。 你可以从cisco合作伙伴得到该设备的Package并安装该Package。 19. Question 5 - What additional information should I know on Campus Manager 3.0 network topology map discovery? 在我用CWSI发现网络拓扑结构的时候有什么技巧? 解答: 1. 有关拓扑发现的设置在CiscoWorks2000 Server -> Set Up -> Ani Server Admin -> Discovery Settings 2. 关于Seed devices:我们建议把Catalyst交换机设为seed device 。为了正确的发现 VLAN 建议在VTP domain中至少有一个seed device设在VTP server上。 3. 关于jump router boundaries选项:为了发现整个网络拓扑,建议选中该选项。 4. 关于reverse DNS lookup:很少使用,建议关闭该选项 5. 关于filtering:可根据IP地址或VTP domains限制拓扑发现的范围。 20.为什么我的拓扑图上某些图标上有一个“RED-X”? 解答:这说明应用程序与这些设备之间的SNMP通讯出了问题。 原因可能是: 1. SNMP community String不匹配或不正确 通过Edit-->SNMP Communities修改。 3. SNMP Timeouts 值设的太小 网络上的某些设备对SNMP请求的响应比较慢,为了解决这个问题可以简单的增加SNMP Timeout的值。建议范围为30-60秒。 VPN 技术部分问题解答 1.为什么CISCO力推第二层隧道协议,而不是第三层隧道协议? CISCO 都提供这两种方案。CISCO没有着重强调那一个。第二层隧道协议主要用在访问VP N方案,而第三层隧道协议则对Intranet 和Extranet提供VPN方案支持。第三层隧道协议 同样也可用于一些访问VPN的方案,例如,客户端初始化的隧道模式和Internet 大规模 的访问解决方案。 2. 什么是第三层隧道? 第三层隧道不是一个新的技术。RFC1701中定义的GRE已经存在很长时间了。C ISCO在自 从ios 版本9.21就支持该技术。Ipsec是新的为支持加密隧道而定义的IETF标准。CISCO 自从ios 版本11.3(3)T支持该项特性。CISCO在ios 版本12.0(1)T支持移动IP。 3. GRE 的主要作用是什么 ? GRE 是一种基于 IP 的隧道技术,它可被用来在基于 IP 的骨干网上传输多种协议的数 据流量,如 IPX、AppleTalk 等。同时,GRE 还可被用来在 Internet 网络上通过隧道 传输广播和组播信息,如路由更新信息等。需要注意的是,在使用 GRE 之前需要先在作 为 VPN 终点设备的物理接口上进行相关配置,随后可以使用诸如 IPSec 等安全措施保 护隧道。 4. 语音和数据集成的数据流是否能够通过 VPN 进行很好的传输,Cisco 的哪些设备支 持该项功能? 一般来讲,如果没有硬件加速、压缩以及优秀的 QOS 机制,使用加密机制如 IPSec 传 输语音几乎是无法想象的。目前,我们已经距离通过 VPN 传输加密的语音和数据的组合 数据流的目标越来越近,在 7100 系列路由器中使用硬件加密技术已经成为现实,在不 远的将来,这一功能将会在 Cisco7200、3600、2600 以及 1700 系列的路由器中实现。 另外,通过使用对 IPSec 数据包的 LZS 压缩技术和 QOS 机制如 NBAR,都将加速语音 的 VPN 传输。 5. 使用基于 VPN 的防火墙解决方案与使用基于 IPSec 的路由器解决方案相比较,有哪 些优势和不足? 优势: ? 集成的解决方案,不需安装额外的设备。 ? 降低了设备投资成本,减少了设备支持和维护工作。 不足: ? 防火墙可能不支持路由功能和其它一些特性,如QOS。 ? 在同一台设备上同时执行防火墙和加密功能,将会影响设备的性能。 ? 在特定的VPN设备上同时支持的VPN隧道数量过于巨大。 6. IPSec 是什么?它是否是一种新的加密形式? IPSec 是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密 钥交换和加密算法等。IPSec 在遵从 IPSec 标准的设备之间提供安全的通讯,即使这些 设备可能是由不同厂商所提供的 7. L2TP 和 IPSec 在 VPN 的接入实施中起到什么作用? L2TP 提供隧道建立或封装,以及第二层验证。IPSec 提供L2TP 隧道的加密,从而可以 提供对会话的安全保证。用户可以在隧道模式中自己使用 IPSec 功能,但 L2TP 可以提 供更好的用户验证功能。 8.IPSEC和CET的比较? 答案在于你的要求。如果你所需要的是CISCO路由器到CISCO路由器的数据加密,你就可 以用CET,他是更成熟,更高速的解决方案。 如果你需要基于工业界标准,提供对多厂商和远端客户访问连接的支持,你就该用IPSEC 。 再者,如果你要在有或没有加密的情况下对数据认证的支持,IPSEC也是正确的选择。 如果你愿意,你可以在网络中同时配置CET和IPSEC,甚至在同一个设备上。CISCO设备可 以同时支持对多个终端的CET安全会话和IPSEC安全会话. 9. Cisco1700 系列路由器上是否支持硬件 VPN 功能,该硬件产品号是什么 ? 支持,该硬件 VPN 功能模块为:MOD1700-VPN。 10.带 VPN 模块的 Cisco1700 系列路由器与靠 IPSec 软件实现 VPN 功能的 1700 路由 器以及 Cisco800、1600 系列 VPN 路由器相比各有什么特点? 带 IPSec 软件而不带 VPN 模块的 Cisco1700 系列路由器可以对具有256个字节数据包 达到 300kbps 的 3DES 加密,具有 VPN 模块的 1700 路由器对相同大小的数据包达到 3400kbps 的加密速率。Cisco800 和 1600 系列 VP N路由器只能支持56KDES 加密,不 支持 3DES。所能达到的速率适合进行ISDN128K 的连接。 11. 带 VPN 模块的 Cisco1700 系列路由器能否与其它厂商提供的 VPN 产品进行互操作 ? 尽管在许多不同的厂商之间已经就VPN形成了 IPSec 标准,如 PKI 和数字验证等,但仍 有许多厂商在设计和实施 VPN 的时候都或多或少地超出了这一标准。因此,在这之间进 行互操作时有可能会遇到问题。 12. Cisco 系列 VPN 路由器一般可以支持多少个远端移动用户? Cisco1700 系列 VPN 路由器可以支持20-30个用户,如果采用硬件加速技术, 则可以支 持100个左右的用户。Cisco2600/3600 系列 VPN 路由器可以支持100-500个左右的用户 。对于超过500个以上的用户数的 VPN 应用,建议采用 Cisco7XXX 系列的 VPN 路由器 13. Cisco 的 VPN 软件能否在同一个连接中支持多种协议(如IP、IPX 等)? 如果 VPN 支持多协议隧道功能,如 GRE、L2TP 或 PPTP (均在 CiscoIOS 软件中被支持 ),那么就可以支持多协议。 14. 什么是 Cisco VPN Client? Cisco VPN client 是一个软件,用于访问使能VPN产品的服务器端。他提供对Windows95 ,98, NT4.0, 和2000,XP的支持。 15. 什么是CISCO vpn 3002 硬件客户端? CISCO vpn 3002 硬件客户端是一个小的硬件系统,作为一个VPN环境中的客户端。代替 在基于MSDOS,WINDOWS 和NT平台的软件客户端。 安全产品部分问题解答 1. cisco pix 放火墙采用的是何种算法?数据是如何通过防火墙进行转发? Cisco pix 放火墙采用的是自适应安全算法,这是一种同设备连接状态密切相关的安全 检测的方法。每一个进入放火墙的数据包都要通过自适应安全算法和内存中的连接状态 信息的检查。通过这种面向连接的动态防火墙设备,能同时处理500000个并发的连接和 高达1Gbps的吞吐量。可想而知这种同连接状态有关的方法比仅仅检查数据包(如访问列 表)筛选的方法安全的多。 当一个向外发送的包到达一个Pix放火墙较高级别接口时,不管前一个包是否来自哪个主 机,Pix放火墙用自适应安全算法检察该包是否有效。如果不是,该包属于一个新的连接 ,Pix放火墙会为该连接在状态表中创建转换槽。Pix放火墙存储在转换槽中的信息包括 内部的IP地址和全局唯一的IP地址,该地址由NAT,PAT,或身份分配。Pix放火墙接着改变 包的源地址为全局唯一地址,按照要求修改校验和以及其他域的地址,并将包转发给较 低的安全级别借口。 2.Cisco pix failover的作用:? 使用pix 版本5.0,如果你有100Mbps的LAN接口,你可以选择与Stateful Failover选项。 这样一使连接状态自动地在两个放火墙部件之间传递。在failover偶对中的两个部件通 过failover线缆通信。failover线缆是修改过的RS-232串行线缆,它以9600的速率传输 数据。数据提供主部件或从部件的标识号,另外一个部件电源状态,并作为两个部件不 同的failover之间的通信链路。 3. AAA的作用? 访问控制是用来控制允许何种人访问服务器,以及一旦他们能够访问该服务器,以及一 旦他们能够访问该服务器,允许他们使用何种服务的方法。 AAA是使用相同方式配置三种独立的安全功能的一种结构。它提供了完成下列服务的模块 化方法: 认证―一种提供识别用户的方法,包括注册和口令对话框,询问和响应,消息支持以及 根据所选择的安全协议进行加密。 授权―一种提供远程访问控制的方法包括一次性授权或者单项服务服务授权,每个用户 帐户列表和简介,用户包支持以及IP,IPX,ARP和Telnet支持。 记帐―一种给安全服务器收集,发送信息提供服务的方法,这些信息用来开列帐单,审 计和形成报表,如用户标识,开始时间和停止时间,执行的命令,包的数量以及字节数 。 4.RADIUS? RADIUS是分布式客户机/服务器系统,它保护网络不受未授权访问的干扰。在Cisco实现 中,Radius客户机运行于路由器上,并向中央RADIUS服务器发出认证请求,这里的中央 服务器包含了所有的用户认证和网络服务访问信息。Cisco利用其AAA安全模式支持RADIU S,RADIUS也可以用于其他AAA安全协议,比如,TACACS,KERBEROS或本地用户名查找,所 有Cisco平台都支持RADIUS。 5. Cisco加密技术如何实现? 网络数据加密是在IP包一级提供的,只有IP包可以被加密。只有当包满足在路由器上配 置加密时所建立的条件时,这个数据包才会被加密/解密。当加密以后,单个数据包在传 输时可以被检测到,但IP包的内容不能被读取。IP头和上层协议头没有被加密,但TCP或 UDP包内所有的净荷数据都被加密,因此,在传输过程中不能被读取。 6.IPSec如何工作? IPSec为两个同位体(路由器),提供安全隧道。由用户来定义哪些包将被认为是敏感信 息,并将由这些安全隧道传送。并且通过指定这些隧道的参数来定义用于保护这些敏感 的参数。然后,当IPSec看到这样的一个敏感包时,它将建立起相应的安全隧道,通过这 隧道将这份数据包传送给远端同位体。 6. TACACS+的作用? TACACS+是一种安全应用程序,它为用户获得对路由器或网络访问服务器的访问提供集中 化的验证。TACACS+服务在TACACS+后台程序的数据库中进行维护,这种后台程序典型地 运行在UNIX或Windows NT工作站上。在为网络访问服务器配置的TACACS+特性可用之前, 必须能够访问并配置TACACS+服务器。 7. Cisco IOS 软件支持哪几种授权类型? 1) EXEC授权―适用于与用户EXEC终端对话相关的属性。 2) 命令授权―适用于用户发出的EXEC模式命令。命令授权试图给所有的EXEC模式命令 使用指定的特权级别授权. 3) 网络授权―适用于网络连接,包括PPP,SLIP或ARAP连接。 (61-100) 8. Cisco IOS 在网络上管理记帐? 在网络上管理记帐的命令。使用记帐管理可以跟踪单个用户使用的网络资源和群组用户 的网络资源。使用AAA记账功能,不仅可以跟踪用户所访问的服务,还可以跟踪他们所消 耗的网络资源的数量。 9. Kerberos的作用? Kerberos是秘密密钥网络认证协议,使用数据加密标准加密算法进行加密和认证。Kerb eros是为对网络资源的请求进行认证而设计的。与其他秘密密钥系统一样,Kerberos基 于可信任的第三方概念,这个第三方对用户和服务执行安全认证。 10. 锁定和密钥的作用? 锁定和密钥是一种流量过滤安全特性,它动态过滤IP协议流量。锁定和密钥是使用IP动 态扩展访问列表进行配置的,它可以与其他标准访列表或静态访问列表结合起来一起使 用。 11. Cisco Secure Scanner的作用? Cisco Secure Scanner是一种企业级的软件工具,提供卓越的网络系统识别,革新性数 据管理,灵活的用户定义脆弱性规则,全面的安全报告功能以及Cisco24*7的全球支持。 12. Cisco Secure Policy Manager 的作用? Cisco Secure Policy Manager是一个用于Cisco 放火墙,IPSec虚拟网关路由器和入侵 检测系统Sensor的强大,可伸缩的安全政策管理系统。 13. Cisco 安全入侵检测系统的作用? Cisco 安全入侵检测系统可以为企业和服务提供商网络提供一系列高性能的安全监视监 控方案。 14. Cisco Secure访问控制服务器的作用? Cisco Secure访问控制服务器是为了解决Internet和所有共用的,专用的网络或外部企 业网等网络的快速发展为用户如何对网络访问进行控制,授权和记费提出的安全方面的 具体解决工具。 15. Cisco Ios 防火墙的作用? Cisco Ios 防火墙为每一个网络周边集成了稳健的放火墙功能性和入侵检测,丰富了Ci sco软件的安全功能。 16. PIX 防火墙的关于license 信息。 PIX 防火墙的license有Unrestricted, Restricted, and Fail-Over三种配置。这些基 本的配置都可以用VPN DES 和3DES来加强安全性。 Unrestricted―操作在UR模式下的PIX 防火墙允许支持最大数目的接口和最大可支持的 内存。UR的License支持热备份冗余,最小化down网络的时间。 Restricted―操作在R模式下的PIX 防火墙限制支持的接口数和支持的内存大小。限制的 许可特性提供对那些小网络的应用价格优化的防火墙方案。限制的许可特性不支持冗余 的FO特性。 Fail-Over―操作在FO模式下的PIX 防火墙跟另一台带UR许可证的防火墙协同工作,提供 一个热冗余备份的结构。FO许可证提供基于状态的容错特性,从而使能高可用性的网络 结构。在FO模式下的PIX 防火墙维护跟主放火强完全一样的连接实时状态,从而最小化 因为设备或网络失败而引起的连接失败。 UR和FO的许可证有完全一样的特征和性能指数。UR和FO的防火墙中间需要Fail-over的电 缆线。 当前的PIX防火墙是基于特性集的许可证,这类许可秘匙限定哪些特性可用,哪些特性不 可用。以前的PIX放火墙支持基于连接数的秘匙系统,它是限定PIX放火墙支持的最大连 接数。为了统一和易于管理的目的,当前的PIX防火墙都支持基于特性集的许可证。 |
| 地主 发表时间: 04-02-16 14:19 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 系统集成
标题: 思科产品常见问题一百问(补充ZT)