ETH103規約報文格式

❶ 華為鏈路聚合配置

配置鏈路聚合
1、創建聚合組
sys
interface eth-trunk 2
2、配置聚合模式為手工模式
interface eth-trunk 2
mode manual load-balance 表示手工模式
mode lacp   lacp模式，可以自動檢測鏈路是否錯誤；
3、將介面成員加入聚合組
interface eth-trunk 2
trunkport g1/0/1 to 1/0/3 mode { active | passive }
或者進到介面模式下：
interface g1/0/1
eth-trunk 2 mode { active | passive }
注意：
一個乙太網介面只能加入到一個Eth-Trunk介面；
當成員介面加入Eth-Trunk後，學習MAC地址或ARP地址時是按照Eth-Trunk來學習的，而不是按照成員介面來學習；
刪除聚合組時需要先刪除聚合組中的成員介面
4、配置鏈路聚合的負載分擔方式（可選）
Eth-Trunk的負載分擔是逐流進行的，逐流負載分擔能保證包的順序，保證了同一數據
流的幀在同一條物理鏈路轉發。而不同數據流在不同的物理鏈路上轉發從而實現分擔負載；
可以配置普通負載分擔模式，基於報文的IP地址或MAC地址來分擔負載；
由於負載分擔只對出方向的流量有效，因此鏈路兩端介面的負載分擔模式可以不一致，兩端互不影響；
配置普通負載分擔方式：
interface eth-trunk 2
load-balance { dst-ip | dst-mac | src-ip | src-mac | src-dst-ip | src-dstmac }
dst-ip（目的IP地址）模式：根據目的IP地址進行負載分擔；
dst-mac（目的MAC地址）模式；
src-ip（源IP地址）模式；
src-mac（源MAC地址）模式；
src-dst-ip（源IP地址異或目的IP地址）模式：根據源IP異或目的IP地址的結果進行負載分擔。
src-dst-mac（源MAC地址異或目的MAC地址）模式；
5、檢查配置結果
display eth-trunk 2 查看Eth-Trunk的配置信息；
display trunkmembership eth-trunk 2，查看Eth-Trunk的成員介面信息

❷ TELNET命令的報文格式

0000 00 00 00 00 00 00 00 00 00 00 00 00 08 00 45 10 ..............E.
0010 00 39 4b 44 40 00 40 06 ef 68 7f 00 01 01 7f 00 .9KD@[email protected]......
0020 01 01 86 b3 04 d2 e1 ed 3e c8 e1 ad c0 31 80 18 ........>....1..
0030 04 01 00 2e 00 00 01 01 08 0a 00 2e 9d 04 00 2e ................
0040 82 d3 70 77 64 0d 0a ..pwd..
這是執行pwd命令的數據包
其中eth 14位元組 ip 20位元組 tcp 32位元組 tcp payload 5位元組(telnet命令)
最後兩位元組 0d 換行 0a 回車

❸ 華為靜態鏈路聚合配置

華為鏈路聚合分為兩種：

● 手動負載均衡模式：在這種模式下，Eth-Trunk的建立、成員介面的加入都是手工配置的，沒有協議
的參與。在該模式下所有活動鏈路都參與數據轉發，平均分坦流量。如果某條活動鏈路出現故障，鏈
路聚合組自動在剩餘的活動鏈路上平均分配流量。

● LACP模式：在LACP模式中，鏈路兩端的設備相互發送LACP報文，協商聚合參數。協商完成後，兩台
設備確定活動介面和非活動介面。LACP模式需要的動創建一個Eth-Trunk口，並添加成員。LACP模式
也叫M:N模式，M代表活動成員鏈路。N代表非活動鏈路，用於冗餘備份。LACP與手動負載均衡的區別在
於，在LACP模式中，有一些鏈路充當備份鏈路，如果有一條活動鏈路發生故障，該鏈路傳輸的數據被
切換到一條優先順序最高的備用鏈路上，這條備用鏈路轉變為活動狀態。而在手動負載均衡模式中，所
有的成員都處於轉發狀態。

❹ 網關的跨網關

現行的IPV4的IP地址是32位的，根據頭幾位再劃分為A、B、C三類地址；但由於INTERNET的迅猛發展，IP資源日漸枯竭，可供分配的IP地越來越少，跟一日千里的INTERNET發展嚴重沖突，在

IPV6還遠未能全面升級的情況下，惟有以代理伺服器的方式，實行內部網地址跟公網地址進行轉化而實現接入INTERNET。
中介作用的代理伺服器就是一個網關，也就是這個網關帶給現階段的多媒體通訊系統無盡的煩惱。在IP資源可憐的情況下，惟有以網關甚至多層網關的方式接入寬頻網， 因為多媒體通訊系統的協議如H.323等要進行業務的雙方必須有一方有公網的IP地址，寬頻有幾個用戶能符合這個要求？microsoft的NETMEETING等等多媒體通訊系統就是處於這種尷尬的位置；跨網關成為頭疼的難題。
跨網關：網路數據通過層層網關，受制於網關節點速度，網路速度大大降低。跨網關技術基於底層網路協議，突破網關瓶頸，實現客戶點對點交流。 網關的主要功能：網關（Gateway）又稱網間連接器、協議轉換器。網關在傳輸層上以實現網路互連，是最復雜的網路互連設備。網關既可以用於廣域網互連，也可以用於區域網互連。
網關主要規格及參數：
安全網關主要介面類型： RJ45主要介面數目： 3口。
主要參數：支持協議： TCP/IP協議，ICMP協議,RIPv2協議，靜態路由協議，動態路由協議,PAP協議，CHAP協議，NAT協議，PPPoE協議，250K個並發會話數，新建會話數7K/秒，防火牆性能120Mbps,40G硬碟,100條VPN隧道數，3DES加密性能30Mbps，病毒郵件掃描25000封/小時，垃圾郵件15000封/小時，HTTP掃描1MB/S; 內置防火牆。
網關選用要點及訂貨主要技術條件
網關是將兩個使用不同協議的網路段連接在一起的設備。它的作用就是對兩個網路段中的使用傳輸協議的數據進行互相的翻譯轉換。比如：一個企業內部區域網就常常需要通過網關發送電子郵件到Internet的相關地址。
1) 網關具有高可擴展性
2) 網關能夠多協議支持，，能夠對SMTP、HTTP、FTP和POP3通信進行掃描，對網路和用戶應有的保護功能。
3) 網關能透明的聯機掃描，保存諸如源IP和MAC地址等信息。透明掃描選項在易於安裝的同時，還可以讓您對內部Web伺服器進行保護。
4) 網關能夠進行內容管理，防止用戶接收或發送帶有某種類型附件的郵件、容量過大的郵件或帶有過多、過大附件的郵件。
5) 檢測垃圾郵件與反中繼。
6) 網關訂貨主要技術條件能滿足不同通信協議的網路互連，使文件可以在這些網路之間傳輸，阻止黑客入侵、檢查病毒、身份認證與許可權檢查等很多安全功能，需要VPN完成或在同VPN與相關產品協同完成。
7) 主機房的網關選擇規格尺寸要能安裝在主機櫃中。 RIP根據V-D演算法的特點，將協議的參加者分為主動機和被動機兩種。主動機主動向外廣播路由刷新報文，被動機被動地接收路由刷新報文。一般情況下，主機作為被動機，路由器則既是主動機又是被動機，即在向外廣播路由刷新報文的同時，接受來自其它主動機的V-D報文，並進行路由刷新。
RIP規定，路由器每30秒向外廣播一個V-D報文，報文信息來自本地路由表。
RIP的V-D報文中，其距離以驛站計：與信宿網路直接相連的路由器規定為一個驛站，相隔一個路由器則為兩個驛站……，以此類推，一條路由的距離為該路由（從信源機到信宿機）上的路由器數。
為防止尋徑環長期存在，RIP規定，長度為16的路由為無限長路由，即不存在的路由。所以一條有效的路由長度不得超過15。正是這一規定限制了RIP的使用范圍，使RIP局限於中小型的網路網點中。
為了保證路由的及時有效性，RIP採用觸發刷新技術和水平分割法。當本地路由表發生修改時，觸發廣播路由，刷新報文，以迅速達到最新路由的廣播和全局路由的有效。水平分割法，是指當路由器從某個網路介面發送RIP路由刷新報文時，其中不包含從該介面獲取的路由信息。這是由於從某網路介面獲取的路由信息對於該介面來說是無用信息，同時也解決了兩路由器間的慢收斂問題。
對於區域網的路由，RIP規定了路由的超時處理。主要是考慮到這樣一個情況，如果完全根據V-D演算法，一條路由被刷新，是因為出現一條路由開銷更小的路由，否則，路由會在路由表中一直保存下去，即使該路由崩潰。這勢必造成一定的錯誤路由信息。為此，RIP規定，所有機器對其尋徑表中的每一條路由都設置一個時鍾，每增加一條新路由，相應設置一個新時鍾。在收到的V-D報文中假如有關於此路由的表目，則將時鍾清零，重新計時。假如在120秒內一直未收到該路由的刷新信息，則認為該路由崩潰，將其距離設為16，廣播該路由信息。如果再過60後仍未收到該路由的刷新信息，則將它從路由表中刪除。如果某路由在距離被設為16後，在被刪除前路由被刷新，亦將時鍾清零，重新計時，同時廣播被刷新的路由信息。至於路由被刪除後是否有新的路由來代替被刪除路由，取決於去往原路由所指信宿有無其它路由。假如有，相應路由器會廣播之。機器一旦收到其它路由的信息，自然會利用V-D演算法建立一條新路由。否則，去往原信宿的路由不再存在。
RIP啟動和運行的整個過程如下所描述：某路由器剛啟動RIP時，以廣播的形式向相鄰路由器發送請求報文，相鄰路由器的RIP收到請求報文後，響應請求，回發包含本地路由表信息的響應報文。RIP收到響應報文後，修改本地路由表的信息，同時以觸發修改的形式向相鄰路由器廣播本地路由修改信息。相鄰路由器收到觸發修改報文後，又向其各自的相鄰路由器發送觸發修改報文。在一連串的觸發修改廣播後，各路由器的路由都得到修改並保持最新信息。同時，RIP每30秒向相鄰路由器廣播本地路由表，各相鄰路由器的RIP在收到路由報文後，對本地路由進行的維護，在眾多路由中選擇一條最佳路由，並向各自的相鄰網廣播路由修改信息，使路由達到全局的有效。同時RIP採取一種超時機制對過時的路由進行超時處理，以保證路由的實時性和有效性。RIP作為內部路由器協議，正是通過這種報文交換的方式，提供路由器了解本自治系統內部個網路路由信息的機制。
RIP-2支持版本1和版本2兩種版本的報文格式。在版本2中，RIP還提供了對子網的支持和提供認證報文形式。版本2的報文提供子網掩碼域，來提供對子網的支持；另外，當報文中的路由項地址域值為0xFFFF時，默認該路由項的剩餘部分為認證。RIP2對撥號網的支持則是參考需求RIP和觸發RIP的形式經修改而加入的新功能。這時，我們只是要求在撥號網撥通之後對路由進行30秒一次的廣播，而在沒撥通時並不作如是要求，這是根據具體情況變通的結果。 雖然RIP有很長的歷史，但它還是有自身的限制。它非常適合於為早期的網路互聯計算路由；然而，技術進步已極大地改變了互聯網路。建造和使用的方式。因此，RIP會很快被今天的互聯網路所淘汰。RIP的一些最大限制是：
·不能支持長於15跳的路徑。
·依賴於固定的度量來計算路由。
·對路由更新反應強烈。
·相對慢的收斂。
·缺乏動態負均衡支持。 RIP(RoutinginformationProtocol）是應用較早、使用較普遍的內部網關協議（InteriorGatewayProtocol，簡稱IGP），適用於小型同類網路，是典型的距離向量(distance-vector）協議。文檔見RFC1058、RFC1723。
RIP通過廣播UDP報文來交換路由信息，每30秒發送一次路由信息更新。RIP提供跳躍計數（hopcount）作為尺度來衡量路由距離，跳躍計數是一個包到達目標所必須經過的路由器的數目。如果到相同目標有二個不等速或不同帶寬的路由器，但跳躍計數相同，則RIP認為兩個路由是等距離的。
RIP最多支持的跳數為15，即在源和目的網間所要經過的最多路由器的數目為15，跳數16表示不可達。
1、有關命令
任務命令
指定使用RIP協議routerrip
指定RIP版本version{1|2}1
指定與該路由器相連的網路networknetwork
註：
1、Cisco的RIP版本2支持驗證、密鑰管理、路由匯總、無類域間路由(CIDR）和變長子網掩碼(VLSMs)
2、舉例
Router1：routerrip version2 network 192.200.10.0 network192.20.10.0！
相關調試命令：showipprotocol
showiproute
在全局設置模式下：
1．啟動RIP路由 routerrip
2．設置參與RIP路由的子網network子網地址
3．允許在非廣播型網路中進行RIP路由廣播neighbor相鄰路由器相鄰埠的IP地址
4．設置RIP的版本
RIP路由協議有2個版本，在與其它廠商路由器相連時，注意版本要一致，預設狀態下，Cisco路由器接收RIP版本1和2的路由信息，但只發送版本1的路由信息，設置RIP的版本vesion1或2。
另外，還可以控制特定埠發送或接收特定版本的路由信息。
1．只在特定埠發版本1或2的信息，在埠設置模式下ripsendversion1或2
2．同時發送版本1和2的信息ipripsendreceive1or2
3．在特定埠接受版本1或2的路由信息ipripreceive1or2
4．同時接受版本1和2的路由信息ipripreceive1or2
選擇路由協議幾點建議：
1．在大型網路中，建議使用ospf、eigrp。
2．如果網路中含有變長了網掩碼（VISM）不能使用igrp,rip版本1，可以使用rip版本2，ospf，eigrp或靜態路由。
3．如果使用路由安全設置，可以使用RIP版本1或OSPF。
4．選用ospf,eigrp在系統穩定後所佔帶寬比RIP，IGRP少得多，IGRP比RIP所佔帶寬也少。
5．綜合使用動態路由，靜態路由，預設路由，以保證路由的冗餘。
6．在撥號線路上盡量使用靜態路由，以節省費用。
7．在小型網路上數據量不大的情況下，且不需要高可性，廣域網線路為X.25SVC時，建議用靜態路由。 1、在下面的網路里，有三台路由器，所有的路由器都運行RIP協議，僅要實現三台路由器互通
配置 Joe(config)#routerripJoe(config-router-rip)#network192.168.0.0/24Joe(config-router-rip)#network192.168.1.0/24Hamer(config)#routerripHamer(config-router-rip)#network192.168.1.0/24Hamer(config-router-rip)#network133.81.1.0/24Tom(config)#routerripTom(config-router-rip)#network192.168.1.0/24Tom(config-router-rip)#network133.81.2.0/242、在下面的網路里，有三台路由器，所有的路由器都運行RIP協議，要實現：
（1）Ros的E0埠接收Hata和Bito發來的路由更新報文。
（2）Ros在E0發送的更新報文僅發送給Bito。

配置：
Ros的配置如下： Ros(config)#routerripRos(config-router-rip)#network192.168.1.0/24Ros(config-router-rip)#network10.8.11.0/24Ros(config-router-rip)#passive-interfaceeth0/0Ros(config-router-rip)#neighbor192.168.1.35Bito的配置如下： Bito(config)#routerripBito(config-router-rip)#network192.168.1.0/24Bito(config-router-rip)#network137.1.1.3/24Hata的配置如下： Hata(config)#routerripHata(config-router-rip)#network192.168.1.0/243、有三台路由器，Melu和Haha正常運行，現要添加一台名稱為Toba的HOS路由器使Toba和Haha互相聯通，並且不能破壞Melu和Haha的運行狀態。如下圖所示：
已知Melu和Haha運行的協議為：
（1）Haha上運行的是RIPv1，無認證配置。
（2）Melu上運行的是RIPv2，無認證配置。 HOS默認值是，RIP發送版本1，接收版本1和版本2的update報文。這樣我們只要在Toba上運行起RIP，並且指定192.168.0.1/24為RIP活動網路范圍，Toba就可以和Haha建立聯通了。由於Melu運行的版本為RIPv2，只要讓Toba發送RIPv2報文就可以了。
因而，Toba可以配置為：
Toba(config)#routerrip
Toba(config-router-rip)#network192.168.0.0/24
Toba(config-router-rip)#network10.8.11.0/24 Toba(config-router-rip)#exit
Toba(config)#interfaceeth0/0
Toba(config-if-eth0/0)#ipripsendversion2
4、如下圖所示：有兩台HOS路由器，要求實現Wed和Hax聯通並且要有MD5認證。
分析：
有認證的情況下實現兩台路由器的互聯，這兩台路由器必須配置相同的認證方式和密鑰才能進行雙方的路由的交換，值得注意的是雙方必須發送版本2
Hax(config)#keychainwan
Hax(config-keychain)#key1
Hax(config-keychain-key)#key-stringwan
Hax(config-keychain-key)#exit
Hax(config-keychain)#exit
Hax(config)#interfaceeth0/0
Hax(config-if-eth0/0)#ipripauthenticationkey-chainwan
Hax(config-if-eth0/0)#ipripauthenticationmodemd5 Hax(config-if-eth0/0)#ipripsendversion2
Hax(config-if-eth0/0)#ipripreceiveversion2
5、監視和維護RIP 上面的列表顯示了RIP路由表的詳細信息。
第一列顯示的是每條路由來自哪種方式。如：RIP表示是本路由從其它路由器學習到的路由，Connect表示該路由是直連路由。
第二列的Network指定了該路由目標地址范圍。
第三列NextHop是本路由的下一條地址。
第四列Metric是本路由的度量值。
第五列From標明本路由來自何處。
第六列Time用來顯示當前定時器的已經定時時間長度，當路由沒有過期的時候，顯示的是無效定時時間長度，當路由過期時，顯示的是刪除定時器的時間長度。

❺ 我用ethereal軟體抓包，ping 10.22.99.1 -l 1 -t，發現eth網報文的長度是43位元組，按道理乙太網位元組最小是6

乙太網64位元組最小，這個64位元組是包括乙太網頭的（smac/damc/ tpid），你再check一下ethereal

❻ 如何讀懂tcpmp的輸出

tcpmp 是 Linux 下的抓包工具，使用參數比較多，輸出條目比較細。
tcpmp的命令行格式
tcpmp [ -adeflnNOpqStvx ] [ -c 數量 ] [ -F 文件名 ]
[ -i 網路介面 ] [ -r 文件名] [ -s snaplen ]
[ -T 類型 ] [ -w 文件名 ] [表達式 ]

tcpmp的參數選項
-A：以ASCII編碼列印每個報文（不包括鏈路層的頭），這對分析網頁來說很方便；
-a：將網路地址和廣播地址轉變成名字；
-c<數據包數目>：在收到指定的包的數目後，tcpmp就會停止；
-C：用於判斷用 -w 選項將報文寫入的文件的大小是否超過這個值，如果超過了就新建文件（文件名後綴是1、2、3依次增加）；
-d：將匹配信息包的代碼以人們能夠理解的匯編格式給出；
-dd：將匹配信息包的代碼以c語言程序段的格式給出；
-ddd：將匹配信息包的代碼以十進制的形式給出；
-D：列出當前主機的所有網卡編號和名稱，可以用於選項 -i；
-e：在輸出行列印出數據鏈路層的頭部信息；
-f：將外部的Internet地址以數字的形式列印出來；
-F<表達文件>：從指定的文件中讀取表達式,忽略其它的表達式；
-i<網路界面>：監聽主機的該網卡上的數據流，如果沒有指定，就會使用最小網卡編號的網卡（在選項-D可知道，但是不包括環路介面），linux 2.2 內核及之後的版本支持 any 網卡，用於指代任意網卡；
-l：如果沒有使用 -w 選項，就可以將報文列印到 標准輸出終端（此時這是默認）；
-n：顯示ip，而不是主機名；
-N：不列出域名；
-O：不將數據包編碼最佳化；
-p：不讓網路界面進入混雜模式；
-q：快速輸出，僅列出少數的傳輸協議信息；
-r<數據包文件>：從指定的文件中讀取包(這些包一般通過-w選項產生)；
-s<數據包大小>：指定抓包顯示一行的寬度，-s0表示可按包長顯示完整的包，經常和-A一起用，默認截取長度為60個位元組，但一般ethernetMTU都是1500位元組。所以，要抓取大於60位元組的包時，使用默認參數就會導致包數據丟失；
-S：用絕對而非相對數值列出TCP關聯數；
-t：在輸出的每一行不列印時間戳；
-tt：在輸出的每一行顯示未經格式化的時間戳記；
-T<數據包類型>：將監聽到的包直接解釋為指定的類型的報文，常見的類型有rpc （遠程過程調用）和snmp（簡單網路管理協議）；
-v：輸出一個稍微詳細的信息，例如在ip包中可以包括ttl和服務類型的信息；
-vv：輸出詳細的報文信息；
-x/-xx/-X/-XX：以十六進制顯示包內容，幾個選項只有細微的差別，詳見man手冊；
-w<數據包文件>：直接將包寫入文件中，並不分析和列印出來；
expression：用於篩選的邏輯表達式；

tcpmp的表達式
表達式是一個邏輯表達式，tcpmp利用它作為過濾報文的條件，如果一個報文滿足表達式的條件，則這個報文將會被捕獲。如果沒有給出任何條件，則網路上所有的信息包將會被截獲。
在表達式中一般如下幾種類型的關鍵字:
關於類型的關鍵字，主要包括host，net，port
例如，
host 210.27.48.2，指明 210.27.48.2是一台主機，net 202.0.0.0 指明202.0.0.0是一個網路地址，port 23 指明埠號是23。
如果沒有指定類型，預設的類型是host.
關於傳輸方向的關鍵字:src,dst,dst or src,dst and src
例如，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網路地址是202.0.0.0 。如果沒有指明方向關鍵字，則預設是src or dst關鍵字。
關於協議的關鍵字：fddi,ip,arp,rarp,tcp,udp
Fddi指明是在FDDI(分布式光纖數據介面網路)上的特定的網路協議，實際上它是"ether"的別名，fddi和e ther具有類似的源地址和目的地址，所以可以將fddi協議包當作ether的包進行處理和分析。
其他的幾個關鍵字就是指明了監聽的包的協議內容。如果沒有指定任何協議，則tcpmp將會監聽所有協議的信息包。
邏輯運算符關鍵字
非運算 'not ' '! '
與運算 'and','&&'
或運算 'or' ,'||'
這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要，下面舉幾個例子來說明。
其他重要關鍵字
除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway, broadcast,less,greater。
案例
想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包：
tcpmp host 210.27.48.1
想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信，使用命令
tcpmp host 210.27.48.1 and \(210.27.48.2 or 210.27.48.3\)
如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
tcpmp ip host 210.27.48.1 and ! 210.27.48.2
如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令：
tcpmp tcp port 23 host 210.27.48.1
輸出結果介紹
下面我們介紹幾種典型的tcpmp命令的輸出信息
數據鏈路層頭信息
使用命令tcpmp --e host ice
ice 是一台裝有linux的主機，她的MAC地址是0:90:27:58:af:1a
H219是一台裝有SOLARIC的SUN工作站，它的MAC地址是8:0:20:79:5b:46
命令的輸出結果如下所示：
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.telnet 0:0(0) ack 22535 win 8760 (DF)
分析：
21:50:12 是顯示的時間
847509 是ID號
eth0 < 表示從網路介面eth0 接受該數據包
eth0 > 表示從網路介面設備發送數據包
8:0:20:79:5b:46 是主機H219的MAC地址,它表明是從源地址H219發來的數據包
0:90:27:58:af:1a 是主機ICE的MAC地址,表示該數據包的目的地址是ICE
ip 是表明該數據包是IP數據包,
60 是數據包的長度,
h219.33357 > ice.telnet 表明該數據包是從主機H219的33357埠發往主機ICE的TELNET(23)埠
ack 22535 表明對序列號是222535的包進行響應
win 8760 表明發送窗口的大小是8760
ARP包的TCPDUMP輸出信息
使用命令#tcpmp arp
得到的輸出結果是：
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析:
22:32:42 時間戳
802509 ID號
eth0 > 表明從主機發出該數據包
arp 表明是ARP請求包
who-has route tell ice 表明是主機ICE請求主機ROUTE的MAC地址
0:90:27:58:af:1a 是主機ICE的MAC地址。
TCP包的輸出信息
用TCPDUMP捕獲的TCP包的一般輸出信息是：
src > dst: flagsdata-seqnoackwindowurgentoptions

src > dst 表明從源地址到目的地址
flags 是TCP包中的標志信息,S 是SYN標志, F(FIN), P(PUSH) , R(RST) "."(沒有標記)
data-seqno 是數據包中的數據的順序號
ack 是下次期望的順序號
window 是接收緩存的窗口大小
urgent 表明數據包中是否有緊急指針
options 是選項
用TCPDUMP捕獲的UDP包的一般輸出信息是：
route.port1 > ice.port2: udplenth

UDP十分簡單，上面的輸出行表明從主機ROUTE的port1埠發出的一個UDP數據包到主機ICE的port2埠，類型是UDP， 包的長度是lenth
wireshark查看
要讓wireshark能分析tcpmp的包，關鍵的地方是 -s 參數， 還有要保存為-w文件，例如下面的例子：
./tcpmp -i eth0 -s 0 -w SuccessC2Server.pcaphost 192.168.1.20 # 抓該主機的所有包,在wireshark中過濾
./tcpmp -i eth0 'dst host 239.33.24.212' -w raw.pcap # 抓包的時候就進行過濾

wireshark的過濾，很簡單的，比如:
tcp.port eq 5541
ip.addr eq 192.168.2.1
過濾出來後， 用fllow tcp 查看包的內容。
其他
device eth0/eth1 entered promiscuous mode
message日誌中提示：
kernel: device eth0 entered promiscuous mode
kernel: device eth0 left promiscuous mode
網卡進入了混雜模式。一般對通信進行抓包分析時進入混雜模式（tcpmp）。（默認網卡啟用了混雜模式的）
關閉混雜模式：ifconfig eth0 -promisc
啟用混雜模式：ifconfig eth0 promisc
TCP協議的KeepAlive機制與HeartBeat心跳包:http://www.nowamagic.net/academy/detail/23350382
TCP Keepalive HOWTO:http://www.tldp.org/HOWTO/html_single/TCP-Keepalive-HOWTO/

❼ 什麼是ARP

地址解析協議，即ARP（Address Resolution Protocol），是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到區域網絡上的所有主機，並接收返回消息，以此確定目標的物理地址；收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間，下次請求時直接查詢ARP緩存以節約資源。

地址解析協議是建立在網路中各個主機互相信任的基礎上的，區域網絡上的主機可以自主發送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存；由此攻擊者就可以向某一主機發送偽ARP應答報文，使其發送的信息無法到達預期的主機或到達錯誤的主機，這就構成了一個ARP欺騙。

(7)ETH103規約報文格式擴展閱讀：

RARP和ARP不同，地址解析協議是根據IP地址獲取物理地址的協議，而反向地址轉換協議（RARP）是區域網的物理機器從網關伺服器的ARP表或者緩存上根據MAC地址請求IP地址的協議，其功能與地址解析協議相反。與ARP相比，RARP的工作流程也相反。首先是查詢主機向網路送出一個RARP Request廣播封包，向別的主機查詢自己的IP地址。這時候網路上的RARP伺服器就會將發送端的IP地址用RARP Reply封包回應給查詢者，這樣查詢主機就獲得自己的IP地址了。

❽ TCPDUMP 抓包 怎麼查看 抓的包的內容

1、tcpmp檢測登錄linux系統輸入tcpmp，如果找不到表示沒有安裝。也可以用rpm查詢。

❾ 乙太網幀的長度范圍是多少

乙太網幀位元組的范圍應該是72~1526。

乙太網幀格式如下圖：

(9)ETH103規約報文格式擴展閱讀：

在乙太網鏈路上的數據包稱作以太幀。以太幀起始部分由前導碼和幀開始符組成。後面緊跟著一個乙太網報頭，以MAC地址說明目的地址和源地址。幀的中部是該幀負載的包含其他協議報頭的數據包(例如IP協議)。以太幀由一個32位冗餘校驗碼結尾。它用於檢驗數據傳輸是否出現損壞。

一個幀以7個位元組的前導碼和1個位元組的幀開始符作為幀的開始。快速乙太網之前，在線路上幀的這部分的位模式是10101010 10101010 10101010 10101010 10101010 10101010 10101010 10101011。

由於在傳輸一個位元組時最低位最先傳輸(LSB)，因此其相應的16進製表示為0x55 0x55 0x55 0x55 0x55 0x55 0x55 0xD5。

10/100M 網卡(MIIPHY)一次傳輸4位(一個半字)。因此前導符會成為7組0x5+0x5,而幀開始符成為0x5+0xD。1000M網卡(GMII)一次傳輸8位，而10Gbit/s(XGMII) PHY晶元一次傳輸32位。

注意當以octet描述時，先傳輸7個01010101然後傳輸11010101。由於8位數據的低4位先發送，所以先發送幀開始符的0101，之後發送1101。

所有四種以太幀類型都可包含一個IEEE 802.1Q選項來確定它屬於哪個VLAN以及他的IEEE 802.1p優先順序(QoS)。這個封裝由IEEE 802.3ac定義並將幀大小從64位元組擴充到1522位元組(註：不包含7個前導位元組和1個位元組的幀開始符以及12個幀間距位元組)。

IEEE 802.1Q標簽，如果出現，需要放在源地址欄位和以太類型或長度欄位的中間。這個標簽的前兩個位元組是標簽協議標識符(TPID)值0x8100。這與沒有標簽幀的以太類型/長度欄位的位置相同，所以以太類型0x8100就表示包含標簽的幀，而實際的以太類型/長度欄位則放在Q-標簽的後面。

TPID後面是兩個位元組的標簽控制信息(TCI)。(IEEE 802.1p 優先順序(QoS)和VLANID)。Q標簽後面就是通常的幀內容。

❿ 華為網關配置命令

方法:
華為路由器交換機配置命令：計算機命令

PCAlogin:root；使用root用戶

password:linux；口令是linux

#shutdown-hnow；關機

#init0；關機

#logout；用戶注銷

#login；用戶登錄

#ifconfig；顯示IP地址

#ifconfigeth0netmask；設置IP地址

#ifconfigeht0netmaskdown；禁用IP地址

#routeadd0.0.0.0gw；設置網關

#routedel0.0.0.0gw；刪除網關

#routeadddefaultgw；設置網關

#routedeldefaultgw；刪除網關

#route；顯示網關

#ping；發ECHO包

#telnet；遠程登錄

華為路由器交換機配置命令：交換機命令

[Quidway]discur；顯示當前配置

[Quidway]displaycurrent-configuration；顯示當前配置

[Quidway]displayinterfaces；顯示介面信息

[Quidway]displayvlanall；顯示路由信息

[Quidway]displayversion；顯示版本信息

[Quidway]superpassword；修改特權用戶密碼

[Quidway]sysname；交換機命名

[Quidway]interfaceethernet0/1；進入介面視圖

[Quidway]interfacevlanx；進入介面視圖

[Quidway-Vlan-interfacex]ipaddress10.65.1.1255.255.0.0；配置VLAN的IP地址

[Quidway]iproute-static0.0.0.00.0.0.010.65.1.2；靜態路由＝網關

[Quidway]rip；三層交換支持

[Quidway]local-userftp

[Quidway]user-interfacevty04；進入虛擬終端

[S3026-ui-vty0-4]authentication-modepassword；設置口令模式

[S3026-ui-vty0-4]setauthentication-modepasswordsimple222；設置口令

[S3026-ui-vty0-4]userprivilegelevel3；用戶級別

[Quidway]interfaceethernet0/1；進入埠模式

[Quidway]inte0/1；進入埠模式

[Quidway-Ethernet0/1]plex{halffullauto}；配置埠工作狀態

[Quidway-Ethernet0/1]speed{10100auto}；配置埠工作速率

[Quidway-Ethernet0/1]flow-control；配置埠流控

[Quidway-Ethernet0/1]mdi{acrossautonormal}；配置埠平接扭接

[Quidway-Ethernet0/1]portlink-type{trunkaccesshybrid}；設置埠工作模式

[Quidway-Ethernet0/1]portaccessvlan3；當前埠加入到VLAN

[Quidway-Ethernet0/2]porttrunkpermitvlan{IDAll}；設trunk允許的VLAN

[Quidway-Ethernet0/3]porttrunkpvidvlan3；設置trunk埠的PVID

[Quidway-Ethernet0/1]undoshutdown；激活埠

[Quidway-Ethernet0/1]shutdown；關閉埠

[Quidway-Ethernet0/1]quit；返回

[Quidway]vlan3；創建VLAN

[Quidway-vlan3]portethernet0/1；在VLAN中增加埠

[Quidway-vlan3]porte0/1；簡寫方式

[Quidway-vlan3]portethernet0/1toethernet0/4；在VLAN中增加埠

[Quidway-vlan3]porte0/1toe0/4；簡寫方式

[Quidway]monitor-port；指定鏡像埠

[Quidway]portmirror；指定被鏡像埠

[Quidway]portmirrorint_listobserving-portint_typeint_num；指定鏡像和被鏡像

[Quidway]descriptionstring；指定VLAN描述字元

[Quidway]description；刪除VLAN描述字元

[Quidway]displayvlan[vlan_id]；查看VLAN設置

[Quidway]stp{enabledisable}；設置生成樹,默認關閉

[Quidway]stppriority4096；設置交換機的優先順序

[Quidway]stproot{primarysecondary}；設置為根或根的備份

[Quidway-Ethernet0/1]stpcost200；設置交換機埠的花費

[Quidway]link-aggregatione0/1toe0/4ingressboth;埠的聚合

[Quidway]undolink-aggregatione0/1all;始埠為通道號

[SwitchA-vlanx]isolate-user-vlanenable；設置主vlan

[SwitchA]isolate-user-vlansecondary；設置主vlan包括的子vlan

[Quidway-Ethernet0/2]porthybridpvidvlan；設置vlan的pvid

[Quidway-Ethernet0/2]porthybridpvid；刪除vlan的pvid

[Quidway-Ethernet0/2]porthybridvlanvlan_id_listuntagged；設置無標識的vlan

如果包的vlanid與PVId一致，則去掉vlan信息.默認PVID=1。

所以設置PVID為所屬vlanid,設置可以互通的vlan為untagged.


華為路由器交換機配置命令：路由器命令


[Quidway]displayversion；顯示版本信息

[Quidway]displaycurrent-configuration；顯示當前配置

[Quidway]displayinterfaces；顯示介面信息

[Quidway]displayiproute；顯示路由信息

[Quidway]sysnameaabbcc；更改主機名

[Quidway]superpasswrod123456；設置口令

[Quidway]interfaceserial0；進入介面

[Quidway-serial0]ipaddress；配置埠IP地址

[Quidway-serial0]undoshutdown；激活埠

[Quidway]link-protocolhdlc；綁定hdlc協議

[Quidway]user-interfacevty04

[Quidway-ui-vty0-4]authentication-modepassword

[Quidway-ui-vty0-4]setauthentication-modepasswordsimple222

[Quidway-ui-vty0-4]userprivilegelevel3

[Quidway-ui-vty0-4]quit

[Quidway]debugginghdlcallserial0；顯示所有信息

[Quidway]debugginghdlceventserial0；調試事件信息

[Quidway]debugginghdlcpacketserial0；顯示包的信息


華為路由器交換機配置命令：靜態路由：


[Quidway]iproute-static{interfacenumbernexthop}[value][rejectblackhole]

例如：

[Quidway]iproute-static129.1.0.01610.0.0.2

[Quidway]iproute-static129.1.0.0255.255.0.010.0.0.2

[Quidway]iproute-static129.1.0.016Serial2

[Quidway]iproute-static0.0.0.00.0.0.010.0.0.2



華為路由器交換機配置命令：動態路由：



[Quidway]rip；設置動態路由

[Quidway]ripwork；設置工作允許

[Quidway]ripinput；設置入口允許

[Quidway]ripoutput；設置出口允許

[Quidway-rip]network1.0.0.0；設置交換路由網路

[Quidway-rip]networkall；設置與所有網路交換

[Quidway-rip]peerip-address；

[Quidway-rip]summary；路由聚合

[Quidway]ripversion1；設置工作在版本1

[Quidway]ripversion2multicast；設版本2，多播方式

[Quidway-Ethernet0]ripsplit-horizon；水平分隔

[Quidway]routeridA.B.C.D；配置路由器的ID

[Quidway]ospfenable；啟動OSPF協議

[Quidway-ospf]import-routedirect；引入直聯路由

[Quidway-Serial0]ospfenablearea；配置OSPF區域



華為路由器交換機配置命令：標准訪問列表命令格式如下：



acl[match-orderconfigauto]；默認前者順序匹配。

rule[normalspecial]{permitdeny}[sourcesource-addrsource-wildcardany]

例：

[Quidway]acl10

[Quidway-acl-10]rulenormalpermitsource10.0.0.00.0.0.255

[Quidway-acl-10]rulenormaldenysourceany



華為路由器交換機配置命令：擴展訪問控制列表配置命令



配置TCP/UDP協議的擴展訪問列表：

rule{normalspecial}{permitdeny}{tcpudp}source{any}destinationany}

[operate]

配置ICMP協議的擴展訪問列表：

rule{normalspecial}{permitdeny}icmpsource{any]destination{any]

[icmp-code][logging]



華為路由器交換機配置命令：擴展訪問控制列表操作符的含義



equalportnumber；等於

greater-thanportnumber；大於

less-thanportnumber；小於

not-equalportnumber；不等

rangeportnumber1portnumber2；區間



華為路由器交換機配置命令：擴展訪問控制列表舉例[Quidway]acl101

[Quidway-acl-101]

[Quidway-acl-101]-typeecho

[Quidway-acl-101]-typeecho-reply

[Quidway]acl102

[Quidway-acl-102]rulepermitipsource10.0.0.10.0.0.0destination202.0.0.10.0.0.0

[Quidway-acl-102]

[Quidway]acl103

[Quidway-acl-103].0.0.10.0.0.0destination-portequalftp

[Quidway-acl-103].0.0.20.0.0.0destination-portequalwww

[Quidway]firewallenable

[Quidway]firewalldefaultpermitdeny

[Quidway]inte0

[Quidway-Ethernet0]firewallpacket-filter101inboundoutbound



華為路由器交換機配置命令：地址轉換配置舉例



[Quidway]firewallenable

[Quidway]firewalldefaultpermit

[Quidway]acl101;內部指定主機可以進入e0

[Quidway-acl-101]

[Quidway-acl-101]rulepermitipsource129.38.1.10destinationany

[Quidway-acl-101]rulepermitipsource129.38.1.20destinationany

[Quidway-acl-101]rulepermitipsource129.38.1.30destinationany

[Quidway-acl-101]rulepermitipsource129.38.1.40destinationany

[Quidway-acl-101]quit

[Quidway]inte0

[Quidway-Ethernet0]firewallpacket-filter101inbound

[Quidway]acl102;外部特定主機和大於1024埠的數據包允許進入S0

[Quidway-acl-102]

[Quidway-acl-102]rulepermittcpsource202.39.2.30destination202.38.160.10

[Quidway-acl-102].38.160.10destination-portgreat-than

1024

[Quidway-acl-102]quit

[Quidway]ints0

[Quidway-Serial0]firewallpacket-filter102inbound；設202.38.160.1是路由器出口IP。

[Quidway-Serial0]natoutbound101interface;是Easyip，將acl101允許的IP從本介面出時變換源地址。



華為路由器交換機配置命令：內部伺服器地址轉換配置命令(靜態nat)：



natserverglobal[port]insideport[protocol];global_port不寫時使用inside_port

[Quidway-Serial0]natserverglobal202.38.160.1inside129.38.1.1ftptcp

[Quidway-Serial0]natserverglobal202.38.160.1inside129.38.1.2telnettcp

[Quidway-Serial0]natserverglobal202.38.160.1inside129.38.1.3wwwtcp

設有公網IP：202.38.160.101~202.38.160.103可以使用。;對外訪問(原例題)

[Quidway]nataddress-group202.38.160.101202.38.160.103pool1;建立地址池

[Quidway]acl1

[Quidway-acl-1]rulepermitsource10.110.10.00.0.0.255;指定允許的內部網路

[Quidway-acl-1]ruledenysourceany

[Quidway-acl-1]intserial0

[Quidway-Serial0]natoutbound1address-grouppool1;在s0口從地址池取出IP對外訪問

[Quidway-Serial0]natserverglobal202.38.160.101inside10.110.10.1ftptcp

[Quidway-Serial0]natserverglobal202.38.160.102inside10.110.10.2wwwtcp

[Quidway-Serial0]natserverglobal202.38.160.1028080inside10.110.10.3wwwtcp

[Quidway-Serial0]natserverglobal202.38.160.103inside10.110.10.4smtpudp



華為路由器交換機配置命令：PPP設置：



[Quidway-s0]link-protocolppp;默認的協議



華為路由器交換機配置命令：PPP驗證：



主驗方：papchap

[Quidway]local-userq2password{simplecipher}hello;路由器1

[Quidway]interfaceserial0

[Quidway-serial0]pppauthentication-mode{papchap}

[Quidway-serial0]pppchapuserq1;pap時，沒有此句



華為路由交換機配置命令：pap被驗方：



[Quidway]interfaceserial0;路由器2

[Quidway-serial0]ppppaplocal-userq2password{simplecipher}hello



華為路由器交換機配置命令：chap被驗方：



[Quidway]interfaceserial0;路由器2

[Quidway-serial0]pppchapuserq2;自己路由器名

[Quidway-serial0]local-userq1password{simplecipher}hello;對方路由器名

幀中繼frame-relay(二分冊6-61)

[q1]frswitching

[q1]ints1

[q1-Serial1]ipaddress192.168.34.51255.255.255.0

[q1-Serial1]link-protocolfr;封裝幀中繼協議

[q1-Serial1]frinterface-typedce

[q1-Serial1]frdlci100

[q1-Serial1]frinarp

[q1-Serial1]frmapip192.168.34.52dlci100

[q2]ints1

[q2-Serial1]ipaddress192.168.34.52255.255.255.0

[q2-Serial1]link-protocolfr

[q2-Serial1]frinterface-typedte

[q2-Serial1]frdlci100

[q2-Serial1]frinarp

[q2-Serial1]frmapip192.168.34.51dlci100



華為路由器交換機配置命令：幀中繼監測



[q1]displayfrlmi-info[]interfacetypenumber]

[q1]displayfrmap

[q1]displayfrpvc-info[serialinterface-number][dlcidlci-number]

[q1]displayfrdlci-switch

[q1]displayfrinterface

[q1]resetfrinarp-info

[q1]debuggingfrall[interfacetypenumber]

[q1]debuggingfrarp[interfacetypenumber]

[q1]debuggingfrevent[interfacetypenumber]

[q1]debuggingfrlmi[interfacetypenumber]



華為路由器交換機配置命令：啟動ftp服務：



[Quidway]local-userftppassword{simplecipher}aaaservice-typeftp

[Quidway]ftpserverenable 路由器交換機
交換機命令
[Quidway]super password 修改特權用戶密碼
[Quidway]sysname 交換機命名
[Quidway]interface ethernet 0/1 進入介面視圖
[Quidway]interface vlan x 進入介面視圖
[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 靜態路由＝網關
[Quidway]user-interface vty 0 4
[S3026-ui-vty0-4]authentication-mode password
[S3026-ui-vty0-4]set authentication-mode password simple 222
[S3026-ui-vty0-4]user privilege level 3
[Quidway-Ethernet0/1]plex {half|full|auto} 配置埠雙工工作狀態
[Quidway-Ethernet0/1]speed {10|100|auto} 配置埠工作速率
[Quidway-Ethernet0/1]flow-control 配置埠流控
[Quidway-Ethernet0/1]mdi {across|auto|normal} 配置埠MDI/MDIX狀態平接或扭接
[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 設置介面工作模式
(access(預設)不支持802.1q幀的傳送，而trunk支持（用於Switch間互連），hybrid和trunk的區別在於trunk 只允許預設VLAN的報文發送時不打標簽，而hybrid允許多個VLAN報文發送時不打標簽。 )
[Quidway-Ethernet0/1]shutdown 關閉/重起介面
[Quidway-Ethernet0/2]quit 退出系統視圖
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
[Quidway]vlan 3 創建/刪除一個VLAN/進入VLAN模式
[Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在當前VLAN增加/刪除乙太網介面
[Quidway-Ethernet0/2]port access vlan 3 將當前介面加入到指定VLAN
[Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 設trunk允許的VLAN
[Quidway-Ethernet0/2]port trunk pvid vlan 3 設置trunk埠的PVID
[Quidway]monitor-port 指定和清除鏡像埠
[Quidway]port mirror 指定和清除被鏡像埠
[Quidway]port mirror int_list observing-port int_type int_num 指定鏡像和被鏡像
[Quidway]description string 指定VLAN描述字元
[Quidway]description 刪除VLAN描述字元
[Quidway]display vlan [vlan_id] 查看VLAN設置
[Quidway]stp {enable|disable} 開啟/關閉生成樹,默認關閉
[Quidway]stp priority 4096 設置交換機的優先順序
[Quidway]stp root {primary|secondary} 設置交換機為根或根的備份
[Quidway-Ethernet0/1]stp cost 200 設置交換機埠的花費
[SwitchA-vlanx]isolate-user-vlan enable 設置主vlan
[SwitchA]Isolate-user-vlan secondary 設置主vlan包括的子vlan
[Quidway-Ethernet0/2]port hybrid pvid vlan 設置vlan的pvid
[Quidway-Ethernet0/2]port hybrid pvid 刪除vlan的pvid
[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged 設置無標識的vlan
如果包的vlan id與PVId一致，則去掉vlan信息. 默認PVID=1。
所以設置PVID為所屬vlan id, 設置可以互通的vlan為untagged.
埠聚合配置命令
[Quidway]link-aggregation ethernet 0/7 to ethernet 0/10 {ingress|both} 配置埠聚合
Port_num1為埠聚合組的起始埠號，Port_num2為終止埠號，ingress為介面入負荷分擔方式，both為介面出入雙向負荷分擔方式。
[SwitchA]display link-aggregation ethernet0/1
[SwitchA]undo link-aggregation all
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
路由器命令
[Quidway]display version 顯示版本信息
[Quidway]display current-configuration 顯示當前配置
[Quidway]display interfaces 顯示介面信息
[Quidway]display ip route 顯示路由信息
[Quidway]sysname aabbcc 更改主機名
[Quidway]super passwrod 123456 設置口令
[Quidway]interface serial0 進入介面
[Quidway-serial0]ip address
[Quidway-serial0]undo shutdown 激活埠
[Quidway]link-protocol hdlc 綁定hdlc協議
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222
[Quidway-ui-vty0-4]user privilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugging hdlc all serial0 顯示所有信息
[Quidway]debugging hdlc event serial0 調試事件信息
[Quidway]debugging hdlc packet serial0 顯示包的信息
靜態路由：
[Quidway]ip route-static {interface number|nexthop}[value][reject|blackhole]
例如：
[Quidway]ip route-static 129.1.0.0 16 10.0.0.2
[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]ip route-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
動態路由：
[Quidway]rip
[Quidway]rip work
[Quidway]rip input
[Quidway]rip output
[Quidway-rip]network 1.0.0.0 ;可以all
[Quidway-rip]network 2.0.0.0
[Quidway-rip]peer ip-address
[Quidway-rip]summary
[Quidway]rip version 1
[Quidway]rip version 2 multicast
[Quidway-Ethernet0]rip split-horizon ;水平分隔
[Quidway]router id A.B.C.D 配置路由器的ID
[Quidway]ospf enable 啟動OSPF協議
[Quidway-ospf]import-route direct 引入直聯路由
[Quidway-Serial0]ospf enable area
配置OSPF區域
標准訪問列表命令格式如下：
acl [match-order config|auto] 默認前者順序匹配。
rule [normal|special]{permit|deny} [source source-addr source-wildcard|any]
例：
[Quidway]acl 10
[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rule normal deny source any
擴展訪問控制列表配置命令
配置TCP/UDP協議的擴展訪問列表：
rule {normal|special}{permit|deny}{tcp|udp}source {|any}destination |any}
[operate]
配置ICMP協議的擴展訪問列表：
rule {normal|special}{permit|deny}icmp source {|any]destination {|any]
[icmp-code] [logging]
擴展訪問控制列表操作符的含義
equal portnumber 等於
greater-than portnumber 大於
less-than portnumber 小於
not-equal portnumber 不等
range portnumber1 portnumber2 區間
擴展訪問控制列表舉例
[Quidway]acl 101
[Quidway-acl-101]rule deny souce any destination any
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo
[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]rule deny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewall enable
[Quidway]firewall default permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound
地址轉換配置舉例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 101
[Quidway-acl-101]rule deny ip source any destination any
[Quidway-acl-101]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rule permit ip source 129.38.1.3 0 destination any
[Quidway]acl 102
[Quidway-acl-102]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rule permit tcp source any destination 202.38.160.1 0 destination-port great-than
1024
[Quidway-Ethernet0]firewall packet-filter 101 inbound
[Quidway-Serial0]firewall packet-filter 102 inbound
[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1
[Quidway]acl 1
[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255
[Quidway-acl-1]rule deny source any
[Quidway-acl-1]int serial 0
[Quidway-Serial0]nat outbound 1 address-group pool1
[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP配置命令
[Quidway-Serial0]link-protocol ppp 封裝PPP協議
[Quidway-Serial0]ppp authentication-mode {pap|chap} 設置驗證類型
證類型
[Quidway]local-user username password {simple|cipher} password 配置用戶列表
PPP驗證：
主驗方：pap|chap
[Quidway]local-user u2 password {simple|cipher} aaa
[Quidway]interface serial 0
[Quidway-serial0]ppp authentication-mode {pap|chap}
[Quidway-serial0]ppp chap user u1 //pap時，不用此句
pap被驗方：
[Quidway]interface serial 0
[Quidway-serial0]ppp pap local-user u2 password {simple|cipher} aaa
chap被驗方：
[Quidway]interface serial 0
[Quidway-serial0]ppp chap user u1
[Quidway-serial0]local-user u2 password {simple|cipher} aaa