注册 | 登录 忘记密码? 51cto首页 | 博客 | 论坛 | 招聘
热点文章 在服务器系统Windows 20..
 帮助
公告

      网络刚入门

文章文章列表>>
2008-07-06 16:17:34



2008-11-04 11:42:22



2008-10-23 14:00:40



2008-07-31 04:08:59





一、所遇问题描述


如上图所示,交换机端口1:1-1:12、2:1-2:8在同一个VLAN中,网关指向CISCO7206的下行端口FA0/0的IP。另外1:13下接一个大客户,1:14下接一个大客户,他们的网关指向BIG400上本VLAN的IP,也就是说这两个大客户是在BIG400上作三层转发,所以他们的ARP广播是不会影响CISCO7206的。
客户运维工程师向我们反映一下问题:
问题一:在用户侧PC执行ping指令到BIG400上的VLAN的IP,出现ping几个包就会出现一个延时比较大的ICMP REPLY的报文。改ping上端CISCO路由器的IP有时也如此。
问题二:如图一所示,在BIG400上端连接的是CISCO7206路由器。一段时间以来先后两次发现下面的用户上网时出现丢包的情况,此时查看CISCO7206的ARP表发现ARP表满,他们清空ARP表后用户上网出现正常。
二、问题分析与逐一解答
问题一:在用户侧PC执行ping指令到BIG400上的VLAN的IP,出现ping几个包就会出现一个延时比较大的ICMP REPLY的报文。改ping上端CISCO路由器的IP有时也如此。
答:先看PING到BIG400的VLAN IP的情况:在交换机中为了保证设备转发正常业务流的高优先级,我们在设备中作了设置(系统出厂缺省)凡是PING CPU也就是本地Vlan IP的报文优先级比较低,优先保证设备转发用户底业务流。所以,PING本机VLAN的IP时出现一定的延时是正常的,用户不用担心。
再看客户提到的PING上端路由器的FA0/0的IP,有时也出现一定的延时的情况。当时我接到客户的这个问题后登陆到BIG400看了一下配置,发现BIG400上FDB(MAC地址表)老化时间改为10秒了,系统缺省为80秒。经咨询这个参数是当时开始测试BIG400时设置上的。8月17日修改到80秒系统缺省参数后,8月18日我们观察时就没有出现延时包。
再多说几句,如果您从BIG400上执行PING指令到CISCO7206,因为源IP仍未BIG400的CPU的IP,所以还是象刚才谈到的设备对这种数据的优先级问题,毕竟ICMP是一个双向协议。另外,执行这样的PING指令到CISCO7206的FA0/0即使出现偶尔的延时的情况,从技术角度讲也是正常的,因为宽带网络中难免有突发流,CPU的利用状况出现一定程度的抖动是常见的。
问题二:如图一所示,在BIG400上端连接的是CISCO7206路由器。一段时间以来先后两次发现下面的用户上网时出现丢包的情况,此时查看CISCO7206的ARP表发现ARP表满,他们清空ARP表后用户上网出现正常。可以看出是因为CISCO7206受到大量的“伪”ARP广播的影响导致CPU资源紧张,最终导致转发数据丢包。所以,找到和切断使CISCO7206的ARP表满的元凶是解决问题最好的方法!
(真实环境下实际上是两台路由器,铁通是采用了思科的HSRP热备份的技术,始终有一台保持激活工作状态。所以,对BIG400来说可以看作上端只有一台CISCO7206路由器。)
分析一:这些ARP广播表项是不是由BIG400产生的呢?让我们通过从现场用sniffer抓到的报文来找答案吧!
我此时在BIG400上作了一个端口镜像:把BIG400的上联端口1:1 镜像到端口1:5,在1:5端口上连接我的笔记本,打开sniffer程序开始抓包,然后查看抓到的报文。如图2所示:

 
就象图2这样,在sniffer抓到的报文中没有由BIG400发出的异常的大量的ARP报文。说明这些大量ARP并不是由于BIG400发出,再者,BIG400作为一台交换设备,对外发大数量级的“伪造”ARP广播的可能性从技术也讲不通。
那么我们分析看,BIG400下面的Vlan yazhou和Vlan shilongtv两个VLAN的用户因为是通过BIG400作三层交换的,所以他们的ARP广播不会透过三层本VLAN的。
最后再来看看图1的网络拓扑,大家可以看到从端口1:1-1:12、2:1-2:8下面连接了大量的铁通机房用户,而这些端口和上面的CISCO7206路由器的FA0/0端口都属于一个VLAN,也就是处于一个广播域内。大家思考一下,如果BIG400上这些端口上的用户设备发出大量ARP广播时,因为BIG400对于这些用户来说是二层,所以BIG400上不会生成这些ARP表项,而作为他们网关(或路由下一跳)的CISCO7206来说将生成大量的ARP表项。
从上面的分析看到如果这些异常的ARP广播是在Vlan uplink这个大的广播域里产生的,那么CISCO7206的ARP表就会受到冲击。那么,是不是的确这些ARP广播是从这里发起的?如果是从这里发起的的话,那么是计算机中了病毒还是有人蓄意攻击?这两个问题我不敢武断的判断!需要铁通的维护工程师们最后确定!毕竟这些ARP广播正如铁通机房的维护工程师所说并不是总发,我去现场的偶然时间里也没有发现狂发ARP的设备。但我的怀疑是建立对在实际的网络拓扑的分析以及对当时抓的包的分析基础上的。那好,让我们先看看当时在Vlan uplink这个大广播域中抓到的包吧!
我此时把刚开始在BIG400上作的端口镜像功能删掉了,也就是说从端口1:5上抓到的包就是充斥整个Vlan uplink当然还包括CISCO7206的FA0/0端口的数据包。我截取一个典型的情况给大家看:如下图3

 
 
大家看到了,这是一个“扫描程序”!
从报文的源IP、目的IP可以看出,这些包都是从一个IP地址为63.230.122.145的主机发出,目的IP是采用“遍历”方法针对211.98.168.0网段扫描,这个网段是属于广州铁通。另外,从sniffer的rel. time一栏可以看出发包的频率是相当的快!大家再看图3中sniffer的分析中(上图点黑处)指示这些遍历搜索的端口号是TCP的1433端口,也就是MS-SQL-Server的通信端口。可见这是在利用MS-SQL-Server的漏洞进行的搜索。
这时,你不禁要问了:“这个包来自那里呢?”
分析:首先假设这些包不是有人制造出来的的,那么63.230.122.145这个IP就是一个真实存在的主机的IP地址,我们利用Trace跟踪的手段就能查询出这个IP的来源。我当时用跟踪软件跟踪的结果如下图4所示:




2008-07-31 03:32:26



2008-07-26 21:22:10
就一个特性,没有什么拓扑图来介绍了!
 
如果您看完本帖,还有疑问 可以PM我!
以下摘自个人的备考 备课笔记和CCIE RS考试特性专题:
 
[url]http://www.56cto.com/html/Center/News/Cisco/200805/07-22669.html[/url]
 

VLAN MAP 是应用于VLAN中的一种访问控制应用
------------------------------------------------------------------------------------------------
下面是CCIE-Lab真实考题中的一个应用:
7 Filtering: VLAN-Map(没做好会影响到BB2ping不通)
On VLAN_BB2(即VLAN50), do not allow(=block) vines-ip traffic. Other traffics are permitted.
问:如何知道在SW2上做呢? BB2-------SW2-F0/10
Sw2 : Vines-ip 主机系统协议
#mac access-list extended VINES-IP                      ----------二层抓
 permit any any vines-ip
#vlan access-map cisco 10
 action drop
 match mac address VINES-IP
#vlan access-map cisco 20     ---- //默认最后一条是DROP
 action forward
#vlan filter cisco vlan-list 50  ---在VLAN 50上加载一个名为cisco的前缀列表,用前缀列表决定VLAN过滤(---记得一定要加过滤这一条)

检查:SW2# sh vlan access-map
      SW2# sh vlan filter
 
-------------------------------------------------------------------------------------------------
使用vlan access-map的全局配置命令去创建一个VLAN MAP ,当你使用match 命令来指定需要匹配的IP或非IP的流量,并使用action的命令去设置匹配后数据包的处理是转发还是丢弃。
(vlan map是用在vlan内部的,所以它不能具体指定是应用在哪个方向的,它是应用在vlan接口上的而不是普通的接口上。它可以和router acl结合使用)
同普通的访问控制列表不同,VACL是用在VLAN内对数据进行过滤的,而前者是用在第三层接口对出入的数据包进行过滤,例如:在同一个VLAN内部,我们可能不允许其他主机对另一台主机进行访问,此时我们可以使用VLAN来实现,其配置方法如下:
vlan access-map name [number]
number 这个可选项是map的序列号(0到65535)。默认为10,并且以10递增。
在全局配置模式下,使用使用vlan filter命令去应用这个MAP到一个或多个VLAN上。
例如,要求VLAN 1 (192.168.1.0/24)和 VLAN 2(192.168.2.0/24) 都可以同外网通讯,但是相互之间不可以相互访问:
ip access-list V1 permit ip any 192.168.2.0 0.0.0.255       //匹配访问VLAN 2的流量。
ip access-list V2 permit ip any 192.168.1.0 0.0.0.255       //匹配访问VLAN 1的流量。
以下定义access-map阻止顺序,先由10开始,过滤掉xxx信息,再到20
vlan access-map D1to2 10
match ip address V1                    //匹配访问VLAN 2的流量
action drop                                  //凡是访问VLAN 2的流量都丢弃
exit
vlan filter D1to2 vlan-list 1          //将VLAN MAP 应用到VLAN 1
vlan access-map D2to1 10
match ip address V2                //匹配访问VLAN 1的流量
action drop                               //凡是访问VLAN 1的流量都丢弃
exit
vlan filter D2to1 vlan-list 2        //将VLAN MAP 应用到VLAN 2
二.IOS系统下的VACL
    1.编写ACL
  (1)表准访问控制列表
  一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的数据包采取“拒绝”或“允许”两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。语法如下:
  router(config)#access-list [list number][permit | deny | remark][host/any][source a ddress][wildcard-mask][log]
  (2)扩展访问列表
  扩展访问列表主要增加报文过滤能力,一个扩展的IP访问表允许用户根据内容过滤报文的源和目的地址的协议、端口以及在特定报文字段。协议项定义了需要被过滤的协议,例如IP、TCP、UDP、ICMP等,协议选项是区别标准的访问列表的特征之一。扩展的列表标号从100~199,2000~2699。
  (3)基于名称的访问列表
  基于名称的访问列表遵守和数字的IP访问控制列表一样的逻辑,名字可以更加容易的记住访问控制列表的功能,命名的列表允许使用超过99个标准控制列表和100个扩展控制列表。优于编号的控制列表的特点是可以删除特定的一条语句,而编号访问控制列表只能删除整个访问控制。语法如下:
  router(config)#ip access-list {standard | extended} name
  这表示要进入的name所指定的列表配置模式,所有的permit和deny操作都是进入到这个模式下进行配置的。
    2.创建映射 
  VACL主要区别于上述ACL操作的方法,就是将已经创建好的ACL映射到一个VLAN上。创建映射分为3步,命令与法和解释如下:
  命令一:(global) vlan access-map name [number]
  vlan access-map后面的名字定义的时候最好有针对性或者提示性,而后续的设置的子句都使用number选项。如果在这里进行了分组的设置,每一个子句都要经过匹配检测,直到没有发现匹配语句才丢弃分组。
  命令二:(vlan-map) match ip address {aclname | aclnumber}
  执行完第一步实际上是进入了访问映射的配置模式。match ip address后面的参数是你在前面配置ACL的名称或编号,而ACL定义的permit语句在这里表示匹配的意思,deny表示不匹配。
 命令三:(vlan-map) action {drop | forward}
  交换机根据匹配ACL确定的匹配,action命令后面的参数才是代表流量是允许(forward)还是丢弃(drop)。
    3.应用与检查
  完成之前的配置后,需要用vlan filter命令把访问列表应用到交换机。格式如下:  (global) vlan filter mapname vlan-list list 
  Mapname参数对应的是vlan access-map命令创建的映射名称,list是vlan的序号。都配置完成之后,可以利用show命令检查VACL工作的状态,命令如下:
    * show ip access-lists [number | name]
    * show vlan access-map [mapname]
    * show vlan filter [access-map name | vlan vlan-id]
    * show ip interface type number
[/img]..



2008-07-15 10:49:28



2008-07-11 11:20:25



2008-06-28 16:04:15

原创转帖 注明出处!:[url]www.56cto.com[/url]

    Cisco公司于98年正式推出旗下的Cisco认证,直到2000才在中国开始正式推广当时的Cisco认证有限只有NA,NP,以及IE的RS认证。到现在08年的Cisco公司的认证体系已经有不下10种认证了,随着时间的流失,时间告诉我们Cisco认证的含金量已经越来越少了。。
本人 年龄26没有上过大学(并不是不想上而是当时高中的我学习实在一塌糊涂)直到22岁才通过自考才拿了个本科文凭其中水分有点,高中毕业就走上了IT这行业,从最开始的给企业布线掐水晶头到后来公司网管,销售;直到现在成为一名合格的网络工程师,已经再这行业里干了6年了!
我记得我知道cisco的认证是2003年,当时的工程师们以拥有一张NP证书而自豪(IE当时候属于凤毛菱角)。通过了一个月的系统学习以及前辈的指导,才侥幸通过NA考试(当时的题库基本没有,有的也是网上流传的残本还不全;不像现在P4,TK什么的!),记得当初一次找工作面试(还在家乡沈阳的时候),有一家公司在3好街做集成工作;当时的我只有一张高中文凭证书和一个NA证书;
公司的一个头头面试我说;"你接触过cisco设备知道cisco的产品有那些么?
我说:”我看见过,接触过1点点“。
然后又说”你这文凭太低了,我们公司主要找大专以上学历的毕业生’。
我说“我是文凭底,但是我有集成经验而且我也获得了Cisco CCNA的证书;我想我能胜任这个职位。”
那个面试的头头说“你有NA证书?
我说 ”是。
接下来就告诉我:"那这样吧,你留下来试试吧,试用期工资是800。
就这样,我凭这一张NA证书找到了真正意思上的第一份工作!当时感觉就是Cisco的认证我没白考很值,或许有人问你怎么没考NP呢?  因为一是经验太少设备当时是根本摸不到,不像现在有各个培训机构有培训的;2是当时没有钱(呵呵这也是最重要的一点之一)3是当时考试纯凭经验和技术更本没有什么题库让大家背,所以对自己的信心不足。



用过自己的努力(可能大家都觉得一些成功人士很风光,但是艰苦和委屈都是自己憋在心里的)到现在我感觉我还是比较自足的,认识我ID的知道我现在在神码工作 一个月8K 出差会更多!
可是现在呢,cisco认证如na,np像批发一样不断涌出乃至现在IE的RS都有版本一次通过,真的让我很。。。
就像前几天有一个大学应届毕业生到公司面试,科班出身+np证书+cet-4 要是放在03年那绝对是牛X的人物,可是现在我们知道cisco认证非常好考,公司的管理者也知道,所以现在公司招聘网上都注明要有np以上证书;所以上来便问它“ospf的网络类型有几种分别是什么?
ospf的邻居关系有几种分别是什么?
LSA有几种分别是用来干什么的? 我想这都是在卷1中最基本的东西了吧可是这位学生说我不知道,这就对他如何拿到np证书产生了怀疑。
我们为了什么?为了是拿到这个np来证明自己(或者说白的人都有虚荣心,有个这个证书就是一种荣誉提高自己的身份)以至于让公司给我们+薪水!我想这是大家的最终的目标吧~ 可是现在呢?缺成为了我们的包袱。
拿一个证书简单,现在无非是被题库但是真正学到的知识又多少呢,我工作了6年我也只能说我理解了许多,而且我知道最近csico的考试又涨价了,这对那些马上考试的同学或者即将要考的人来说是一个很不幸的消息,大家都明白cisco为什么涨价,就是应为cisco证书的含金量越来越少了,如果他再不用这手来抑制人的话,可能到最后就。。。。
现在也有很多朋友和学生正在考虑是否考H3的认证或者是Juniper的认证
H3的认证,纯中文对于我们来说可以不用再看那些英文了,而其华为的命令基本都跟一样,在早期的时候华为所用的操作系统就是cisco的IOS版本,后来因为cisco的上诉所以华为才更改了ios,但是如果有cisco经验的人士去考华为的认证是非常容易的,我指的是NE和SE(不包括H3CTE和IE )
至于Juniper,我现在刚刚接触并且正在学习中,因为juniper的命令完全不同于cisco,这也让我产生了很大的困难因为juniper所有的是他们自己研发的FOS版本系列,并且juniper也有自己的认证像什么juniper-CIA-er#CIS-er CIE-ER等等
而且juniper最强的还是旗下的NETsboon防火墙,所以我个人觉得juniper是一个很有潜力的公司,就像当年的Linunx一样,而且juniper的IE认证现在全世界不超过500名。


现在社会上流行的话
“IE干NP的工作,NP干na的工作,而有工作经验的缺干着IE的工作”
或许在中国任何认证都将成为批量生产的模式
所以说了这么多,我只想告诉大家就是考认证完全可以,但是我们要把那几千RMB花的值,最终我们的来的证书不是一张白纸,而是一块金匾~
所以大家不要光被题库而去考试拿证了,如果这样认证将成为你的包袱~~



看了此贴的人,肯定有2种  1是支持我给我鲜花掌声的   2是不支持的拿臭鸡蛋丢我的;但是我不所谓,只要大家掌握了真正的本事比什么都强。
[/img]..



2008-06-28 15:41:39



2008-06-12 10:51:15



2008-06-05 14:30:11
net文件 下载 [url]http://img1.51cto.com/attachment/200806/49099_1212647396.rar[/url]
 
用Dynagen模拟器做的实验

基本的配置R1 R2 R3 就不写了!
 
当R1将S1/2口shutdown之后,可以知道到达100.1.1.0/24的路由快速切换到通过S1/0口送出。此时如果再将S1/2口no shutdown,可以得到下面debug信息:
此时打开
debug ip routing,
debug ip eigrp notifications
R1(config-if)#no shut
R1(config-if)#^Z
R1#
*Mar 1 21:43:52.194: is_up: 0 state: 4 sub state: 1 line: 0 has_route: False
*Mar 1 21:43:52.458: %SYS-5-CONFIG_I: Configured from console by console
*Mar 1 21:43:54.166: %LINK-3-UPDOWN: Interface Serial1, changed state to up
//端口打开
*Mar 1 21:43:54.174: is_up: 1 state: 4 sub state: 1 line: 0 has_route: False
*Mar 1 21:43:54.178: RT: add 1.1.1.0/30 via 0.0.0.0, connected metric [0/0]
*Mar 1 21:43:54.182: RT: NET-RED 1.1.1.0/30
//端口对应的直连路由进入到路由表
*Mar 1 21:43:54.186: IP-EIGRP(Default-IP-Routing-Table:0): Callback: redist con
nected (config change) Serial1
*Mar 1 21:43:54.186: RT: interface Serial1 added to routing table
//端口对应的直连路由进入到路由表
*Mar 1 21:43:54.190: IP-EIGRP(Default-IP-Routing-Table:64): Callback: route_adj
ust Serial1
//EIGRP发现应该开始对S1/2对应的路由做些事情了……
*Mar 1 21:43:54.194: is_up: 1 state: 4 sub state: 1 line: 0 has_route: True
*Mar 1 21:43:54.202: DUAL: dest(1.1.1.0/30) not active
*Mar 1 21:43:54.206: DUAL: rcvupdate: 1.1.1.0/30 via Connected metric 2169856/0
*Mar 1 21:43:54.210: DUAL: Find FS for dest 1.1.1.0/30. FD is 4294967295, RD is
4294967295 found
*Mar 1 21:43:54.214: DUAL: RT installed 1.1.1.0/30 via 0.0.0.0
//1.1.1.0/30通过本机可以到达
*Mar 1 21:43:54.218: DUAL: Send update about 1.1.1.0/30. Reason: metric chg
*Mar 1 21:43:54.222: DUAL: Send update about 1.1.1.0/30. Reason: new if
//准备发送关于1.1.1.0/30的路由更新
*Mar 1 21:43:55.170: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial1, c
hanged state to up
*Mar 1 21:43:55.174: is_up: 1 state: 4 sub state: 1 line: 0 has_route: True
*Mar 1 21:43:55.770: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 64: Neighbor 1.1.1.2 (Seria
l1) is up: new adjacency
//与对端的R3建立起来了邻接关系(adjacency)
*Mar 1 21:43:58.562: DUAL: dest(4.4.4.0/30) not active
*Mar 1 21:43:58.566: DUAL: rcvupdate: 4.4.4.0/30 via 1.1.1.2 metric 2681856/2169856
*Mar 1 21:43:58.570: DUAL: Find FS for dest 4.4.4.0/30. FD is 2195456, RD is 2195456
*Mar 1 21:43:58.570: DUAL: 14.1.1.2 metric 2195456/2169856
*Mar 1 21:43:58.574: DUAL: 1.1.1.2 metric 2681856/2169856 found Dmin is 2195456
*Mar 1 21:43:58.578: DUAL: RT installed 4.4.4.0/30 via 14.1.1.2
//通过R3也收到了关于4.4.4.0/30的路由更新,这是由于R3上的S1/2口也在这个网段,并且在R3上作了通告
*Mar 1 21:43:58.586: DUAL: dest(100.1.1.0/24) not active
*Mar 1 21:43:58.586: DUAL: rcvupdate: 100.1.1.0/24 via 1.1.1.2 metric 2297856/128256
//通过R3收到了100.1.1.0/24的路由更新
*Mar 1 21:43:58.590: DUAL: Find FS for dest 100.1.1.0/24. FD is 2323456, RD is 2323456
*Mar 1 21:43:58.594: DUAL: 14.1.1.2 metric 2323456/2297856
*Mar 1 21:43:58.598: DUAL: 1.1.1.2 metric 2297856/128256 found Dmin is 2297856
//开始比较通过R2到100.1.1.0/24好,还是通过R3好。这里可以看到比较的过程Dmin is 2297856,那么显然通过1.1.1.2送数据更为合适
*Mar 1 21:43:58.602: DUAL: RT installed 100.1.1.0/24 via 14.1.1.2
//DUAL曰,该装100.1.1.0/24 via 14.1.1.2
*Mar 1 21:43:58.606: RT: del 100.1.1.0/24 via 14.1.1.2, eigrp metric [90/2323456]
//删除旧的路由
*Mar 1 21:43:58.610: RT: add 100.1.1.0/24 via 1.1.1.2, eigrp metric [90/2297856]
//添加新的路由
*Mar 1 21:43:58.614: RT: NET-RED 100.1.1.0/24
*Mar 1 21:43:58.618: DUAL: RT installed 100.1.1.0/24 via 1.1.1.2
//EIGRP得知路由已经成功装载
*Mar 1 21:43:58.622: DUAL: Send update about 100.1.1.0/24. Reason: metric chg
*Mar 1 21:43:58.626: DUAL: Send update about 100.1.1.0/24. Reason: new if
//R1自己也开始发送关于100.1.1.0/24的路由更新
*Mar 1 21:43:58.630: DUAL: dest(14.1.1.0/24) not active
*Mar 1 21:43:58.634: DUAL: rcvupdate: 14.1.1.0/24 via 1.1.1.2 metric 2707456/2195456
//从R3收到了关于14.1.1.0/24的路由更新
*Mar 1 21:43:58.638: DUAL: Find FS for dest 14.1.1.0/24. FD is 281600, RD is 281600
//目前到达14.1.1.0/24的FD是281600
*Mar 1 21:43:58.642: DUAL: 0.0.0.0 metric 281600/0
//现在是直连方式到达(即通过本机即可到达)
*Mar 1 21:43:58.642: DUAL: 1.1.1.2 metric 2707456/2195456 found Dmin is 281600
//通过另外一个路由器到达显然metric要大,比不了本机connected的
*Mar 1 21:44:00.842: DUAL: rcvupdate: 14.1.1.0/24 via 1.1.1.2 metric 4294967295/4294967295
//毒化路由的结果
*Mar 1 21:44:00.846: DUAL: Find FS for dest 14.1.1.0/24. FD is 281600, RD is 281600
*Mar 1 21:44:00.850: DUAL: 0.0.0.0 metric 281600/0
*Mar 1 21:44:00.854: DUAL: 1.1.1.2 metric 4294967295/4294967295 found Dmin is 281600
*Mar 1 21:44:00.858: DUAL: Removing dest 14.1.1.0/24, nexthop 1.1.1.2
//显然通过1.1.1.2(R3)到达是不现实的,直接remove掉

1. EIGRP更新路由需要先建立邻接关系(adjacency),如果不建立邻接关系,则无法更新路由,shown ip eigrp neighbors也看不到,show ip route更看不到从passive-interface更新过来的路由信息。
2. EIGRP和RIP不一样,RIP在指了passive-interface之后仍然可以通过手动指neighbor的方法发送单播(unicast)更新,EIGRP无法通过指定了的passive-interface发送单播更新,即下列的配置仍然无法使R1和R3建立邻接:
R1#sh run | b r e
router eigrp 64
passive-interface Serial1
network 1.1.1.0 0.0.0.3
network 14.1.1.0 0.0.0.255
neighbor 1.1.1.2 Serial1
no auto-summary
!
R1(config-router)#neighbor 1.1.1.2 S1/0
IP-EIGRP(Default-IP-Routing-Table:64): Not add: 1.1.1.2 is on different network from S1/0
这说明EIGRP和BGP也是有很大的区别的,EIGRP的邻居必须和自己在同一个网段里!
[/img]..



2008-05-29 23:24:04



2008-03-06 15:05:49



2008-03-04 00:28:08
  本来打开迅雷下首歌!迅雷弹出迅雷今日资讯,看到“歌手谢东与女友涉嫌吸毒在家中被抓(组图)”就点着 去看了!
原来是转到新浪去,还没显示完就弹出“请看图”

“美孚儿(worm.win32.mefir.c)”病毒:警惕程度★★★,蠕虫病毒,通过电子邮件传播,依赖系统:WIN9X/NT/2000/XP。
它是一个能在WIN9X/NT/2000/XP系统上运行的蠕虫病毒。该病毒通过电子邮件传播,该病毒发送的邮件会附带一个附件文件。其他用户打开这些邮件的附件,就会被病毒感染。该病毒大量发送垃圾邮件会造成用户计算机速度减慢,网络带宽被严重占用,甚至会造成一些局域网络崩溃。
其实这个病毒很容易删除!有提示就好~~(大家上网自己找找删除)
 
只是晒晒以下信息
 
系统诊断报告:
100 - 未知 - Process: ishare_user.exe [] - C:\Program Files\Dr.COM宽带认证客户端\ishare_user.exe
100 - 未知 - Process: Qzone.exe [QzoneClient1.3Beta02 V01.3.102.015] - C:\Program Files\Tencent\QZone\Qzone.exe
O2 - 未知 - BHO: (ThunderAtOnce Class) - [迅雷浏览器高级特性支持模块] - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - 未知 - BHO: (Thunder Browser Helper) - [XunLeiBHO] - {06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll
O2 - 未知 - BHO: (IeHelper Class) - [DSIeHelper] - {0D42E1BD-09DD-4873-A826-9C7E793EB7B6} - C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DSIeHelper.dll
O2 - 未知 - BHO: (AcroIEToolbarHelper Class) - [Adobe IE plugin] - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - 未知 - Toolbar: (Adobe PDF) - [Adobe IE plugin] - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - 未知 - Startup folder: [CAJViewer Preload.lnk] [] C:\Documents and Settings\All Users\「开始」菜单\程序\启动\CAJViewer Preload.lnk
O8 - 未知 - Extra context menu item: 上传到QQ网络硬盘 -
O8 - 未知 - Extra context menu item: 使用Web迅雷下载 - C:\Program Files\Thunder Network\WebThunder\GetUrl.htm
O8 - 未知 - Extra context menu item: 使用Web迅雷下载全部链接 - C:\Program Files\Thunder Network\WebThunder\GetAllUrl.htm
O8 - 未知 - Extra context menu item: 使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\geturl.htm
O8 - 未知 - Extra context menu item: 使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm
O8 - 未知 - Extra context menu item: 添加到QQ自定义面板 -
O8 - 未知 - Extra context menu item: 添加到QQ表情 -
O8 - 未知 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\SendMMS.htm
O8 - 未知 - Extra context menu item: 转换为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - 未知 - Extra context menu item: 转换为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - 未知 - Extra context menu item: 转换选定的链接为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - 未知 - Extra context menu item: 转换选定的链接为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - 未知 - Extra context menu item: 转换选项为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - 未知 - Extra context menu item: 转换选项为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - 未知 - Extra context menu item: 转换链接目标为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - 未知 - Extra context menu item: 转换链接目标为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - 未知 - Extra button: 启动迅雷5(HKLM) - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 未知 - Extra button: 启动Web迅雷(HKLM) - [url=http://my.xunlei.comhttp://my.xunlei.com[/color[/url]]
O10 - 未知 - Winsock LSP: [] [{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\TcpIpDog0.dll
O10 - 未知 - Winsock LSP: [] [{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\TcpIpDog0.dll
O10 - 未知 - Winsock LSP: [] [{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\TcpIpDog0.dll
O10 - 未知 - Winsock LSP: [] [{9D60A9E0-337A-11D0-BD88-0000C082E69A}]C:\WINDOWS\system32\TcpIpDogR0.dll
O10 - 未知 - Winsock LSP: [] [{9D60A9E0-337A-11D0-BD88-0000C082E69A}]C:\WINDOWS\system32\TcpIpDogR0.dll
O18 - 未知 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - 未知 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - 未知 - Service: usnjsvc [Messenger 上安装的启用共享情况的服务] - "C:\Program Files\MSN Messenger\usnsvc.exe" - (not running)
=======================================
100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统,用以控制windows图形相关子系统。] - C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - C:\WINDOWS\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k DcomLaunch
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k rpcss
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k NetworkService
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k LocalService
100 - 安全 - Process: spoolsv.exe [windows打印任务控制程序,用以打印机就绪。] - C:\WINDOWS\system32\spoolsv.exe
100 - 安全 - Process: avp.exe [卡巴斯基杀毒软件相关程序。] -
100 - 安全 - Process: MDM.EXE [debug除错管理用于调试应用程序和microsoft office中的microsoft script editor脚本编辑器。] - C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
100 - 安全 - Process: alg.exe [这是一个应用层网关服务用于网络共享。] - C:\WINDOWS\System32\alg.exe
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面和文件管理。] - C:\WINDOWS\Explorer.EXE
100 - 安全 - Process: avp.exe [卡巴斯基杀毒软件相关程序。] -
100 - 安全 - Process: ctfmon.exe [office xp输入法图标。] - C:\WINDOWS\system32\ctfmon.exe
100 - 安全 - Process: IEXPLORE.EXE [microsoft internet explorer浏览器用于浏览网页。] - C:\Program Files\Internet Explorer\IEXPLORE.EXE
100 - 安全 - Process: QQ.exe [腾讯公司出品的qq即时通讯软件。] - C:\Program Files\Tencent\QQ.exe
100 - 安全 - Process: TIMPlatform.exe [腾讯即时通讯客户端软件的一部分。] - C:\Program Files\Tencent\TIMPlatform.exe
100 - 安全 - Process: 诊断报告工具.exe [ReportTool Microsoft 基础类应用程序] - C:\Documents and Settings\Administrator\桌面\杀毒小软件\诊断报告\诊断报告工具.exe
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=about:blank
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=about:blank
O2 - 安全 - BHO: (AcroIEHlprObj Class) - [Adobe Reader, 查看和打印 Adobe 便携文档格式 (PDF) 文件。] - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - 安全 - HKLM\..\Run: [IMJPMIG8.1] [微软Microsoft输入法编辑器程序。] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 安全 - HKLM\..\Run: [PHIME2002ASync] [输入法软件相关程序。] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 安全 - HKLM\..\Run: [PHIME2002A] [输入法软件相关程序。] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 安全 - HKLM\..\Run: [MSPY2002] [是微软Microsoft翻译工具的一部分。] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 安全 - HKLM\..\Run: [kav] [卡巴斯基杀毒软件相关程序。] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - 安全 - HKLM\..\Run: [IMSCMig] [微软拼音输入法安装工具。  ] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 安全 - HKCU\..\Run: [ctfmon.exe] [office xp输入法图标。] C:\WINDOWS\system32\ctfmon.exe
O4 - 安全 - HKCU\..\Run: [msnmsgr] [微软msn即时通讯工具] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - 安全 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - 安全 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN照片上传插件) - [url]http://kitty310.spaces.live.com//PhotoUpload/MsnPUpld.cab[/url]
O16 - 安全 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (Windows升级工具V5) - [url]http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123314041125[/url]
O16 - 安全 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Flash播放器) - [url]http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]
O18 - 安全 - Protocol: OFFICE 相关 - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
O18 - 安全 - Protocol: OFFICE 相关 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O23 - 安全 - Service: AVP [卡巴斯基杀毒软件相关程序。] - "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r - (running)
=======================================
O40 - lsass.exe -  - C:\WINDOWS\system32\TcpIpDog0.dll -  - 73ba72fbbbdc4a57ea640406321101e3
O40 - svchost.exe -  - C:\WINDOWS\system32\TcpIpDog0.dll -  - 73ba72fbbbdc4a57ea640406321101e3
O40 - svchost.exe -  - C:\WINDOWS\system32\TcpIpDog0.dll -  - 73ba72fbbbdc4a57ea640406321101e3
O40 - svchost.exe -  - C:\WINDOWS\system32\TcpIpDog0.dll -  - 73ba72fbbbdc4a57ea640406321101e3
O40 - svchost.exe -  - C:\WINDOWS\system32\TcpIpDog0.dll -  - 73ba72fbbbdc4a57ea640406321101e3
O40 - Explorer.EXE - Adobe Systems, Inc. - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll - PDF Shell Extension - 4b0991cd076b617a2231b19a6663c1c9
O40 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\MSVCR71.dll - Microsoft? C Runtime Library - 86f1895ae8c5e8b17d99ece768a70732
O40 - Explorer.EXE - Thunder Networking Technologies,LTD - C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DataProcessor.dll - DataProcessor - acaefd2351d996bd17a3abd0aacae40d
O40 - Explorer.EXE - Adobe Systems Inc. - C:\Program Files\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll - Adobe Acrobat Context Menu - edfca3682bcfe788bfcabf4d7e22805a
O40 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\MFC71.DLL - MFCDLL Shared Library - Retail Version - f35a584e947a5b401feb0fe01db4a0d7
O40 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\MSVCP71.dll - Microsoft? C++ Runtime Library - 561fa2abb31dfa8fab762145f81667c2
O40 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\MFC71CHS.DLL - MFC Language Specific Resources - ecfff2dffbb1cae3a00cb2ab9bff8cef
O40 - Explorer.EXE -  - C:\Program Files\Unlocker\UnlockerCOM.dll -  - de1d9412c60fccbab699bff3e58951f5
O40 - Explorer.EXE - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll - Windows Shell Extension - 62281a8da78c81f4f4695c3de52ba680
O40 - Explorer.EXE - Sony Ericsson Mobile Communications AB - C:\Program Files\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll - File Manager interface - 58ef57d9d87eb7d5154d62a57f62ff09
O40 - Explorer.EXE - Sony Ericsson Mobile Communications AB - C:\Program Files\Sony Ericsson\Mobile2\File Manager\fmgrguil.dll - 文件管理器界面 - f9602aba108893a30b58a5dc3225e44e
=======================================
O41 - 360TimeProt - 360TimeProt - C:\WINDOWS\system32\drivers\360TimeProt.sys - (running) -  -  - a1c9dcac3bffdd7df14c65685f297154
O41 - kl1 - Kaspersky Unified Driver - C:\WINDOWS\system32\drivers\kl1.sys - (running) - Kaspersky Unified Driver - Kaspersky Lab - 5445b03cd42dedf5f85b9daf712fdd09
O41 - klif - spuper-ptor - C:\WINDOWS\system32\drivers\klif.sys - (running) - spuper-ptor - Kaspersky Lab - 92210989cc1d06f997b9628d8e4b1819
O41 - NPF - NPF Driver - TME extensions - C:\WINDOWS\system32\drivers\npf.sys - (not running) - NPF Driver - TME extensions - Politecnico di Torino - f498c5c3399a60933196fc215ef074f9
O41 - npkcrypt - npkcrypt - C:\Program Files\Tencent\npkcrypt.sys - (not running) -  -  -
=======================================[/img]..



2008-02-27 13:16:06
1. IPv4 overIPv4隧道协议简介
IPv4 over IPv4隧道(RFC1853)协议是对IP数据报进行封装,使得一个IPv4网络的数据能够在另一个IPv4网络中传输。
2. 报文封装及解封装
报文在Tunnel中传输经过封装与解封装两个过程,以下图为例说明这两个过程:

图4 IPv4隧道原理图
l              封装流程
Router A连接IPv4主机所在子网的接口收到IP数据报后,首先交由IP协议栈处理。IP协议栈根据IP报头中的目的地址来确定如何路由此包。如果报文要路由到与Router B相连的IPv4主机的地址,则将此报文发给Route A上连接Router B的Tunnel接口。
Tunnel接口收到此包后,进行IPv4 over IPv4的封装,封装完成后重新交给IP协议栈处理,IP协议栈根据添加的IP报头确定出接口。
l              解封装流程
解封装过程和封装的过程相反。从网络接口收到的IP报文被送到IP协议栈,IP协议栈检查IP报头的协议号;若发现此协议号为4即IPv4,则将此IP数据包发送到隧道模块进行解封装处理;解封装之后的IP报文将重新被送到IP协议栈进行处理。
IPv4或IPv6 over IPv6隧道
1. IPv4或IPv6 over IPv6隧道协议简介
IPv4或IPv6 over IPv6隧道(RFC2473)协议是对IPv4或者IPv6的数据报进行封装,使这些被封装的数据报能够在另一个IPv6网络中传输,封装后的数据报文即IPv6隧道报文。

图5 IPv6隧道原理图
如图5所示,Original data指IPv4或IPv6报文。
2. 报文封装及解封装
l              封装流程
Router A连接网络A的接口收到原始数据报后,首先交由对应的数据转发模块进行处理,并确定如何路由此数据包;若确定此数据包要路由到与Router B相连的Host B的地址,则将此报文发给Router A上连接IPv6网络的Router B的Tunnel接口。
Tunnel口收到此包后添加IPv6报文头,封装完成后交给IPv6模块处理;IPv6协议模块根据IPv6隧道头的目的地址重新决定路由。
l              解封装流程
解封装过程和封装的过程相反。从IPv6网络接口接收的数据包被送到IPv6协议模块进行处理;若乘客协议为IPv4或IPv6,则数据包进入隧道处理模块进行解封装处理;解封装之后的数据包被送往相应的协议模块进行二次路由处理。[/img]..



2008-02-27 13:08:01
来自:[url]http://www.huaweisymantec.net.cn/Products___Technology/Technology/IPv4_IPv6_series/Other_technology/Technology_recommend/200711/318724_30003_0.htm#_Toc154457884[/url]
1. IPv6 over IPv4隧道原理
IPv6 over IPv4隧道机制是将IPv6数据报文前封装上IPv4的报文头,通过隧道(Tunnel)使IPv6报文穿越IPv4网络,实现隔离的IPv6网络的互通,如图1-1所示。
  注意:
IPv6 over IPv4隧道两端的设备必须支持IPv4/IPv6双协议栈。
 

图1 IPv6 over IPv4隧道原理图
IPv6 over IPv4隧道对报文的处理过程如下:
l              IPv6网络中的设备发送IPv6报文,到达隧道的源端设备。
l              隧道的源端设备根据路由表判定该报文要通过隧道进行转发,将会在IPv6报文前封装上IPv4的报文头,通过隧道的实际物理接口将报文转发出去。
l              封装报文通过隧道到达隧道目的端设备,目的端设备判断该封装报文的目的地是本设备后,将对报文进行解封装。
l              目的端设备根据解封装后的IPv6报文的目的地址将报文进行转发;如果目的地就是本设备,则将IPv6报文转给上层协议处理。
2. 配置隧道和自动隧道
IPv6 over IPv4隧道可以建立在主机-主机、主机-设备、设备-主机、设备-设备之间。隧道的终点可能是IPv6报文的最终目的地,也可能需要进一步转发。
根据隧道终点的IPv4地址的获取方式不同,隧道分为“配置隧道”及“自动隧道”。
l              如果隧道的终点不是IPv6报文的最终目的地,当IPv6报文通过隧道到达隧道终点后,隧道终点设备(通常为路由器)会对封装的IPv6报文进行解封装,并转发IPv6报文到最终目的地。在这种情况下,不能从IPv6报文的目的地址中自动获取到隧道终点的IPv4地址,需要进行手工配置。这样的隧道即为“配置隧道”。
l              如果隧道的终点就是IPv6报文的最终目的地,则可以采用内嵌IPv4地址的特殊IPv6地址形式,实现从IPv6报文的目的地址中自动获取隧道终点的IPv4地址。这样的隧道即为“自动隧道”。
3. IPv6 over IPv4隧道模式
根据对IPv6报文的封装方式的不同,IPv6 over IPv4隧道分为以下几种模式:
l              IPv6手动隧道
l              IPv4兼容IPv6自动隧道
l              6to4隧道
l              ISATAP(Intra-Site Automatic Tunnel Addressing Protocol,站点内自动隧道寻址协议)隧道
l              IPv6-over-IPv4 GRE(Generic Routing Encapsulation,通用路由封装)隧道(简称GRE隧道)
在上面列出的隧道模式中,IPv6手动隧道及GRE隧道为配置隧道;IPv4兼容IPv6自动隧道、6to4隧道及ISATAP隧道为自动隧道。
(1)        IPv6手动隧道
手动隧道是点到点之间的链路,一条链路就是一个单独的隧道。主要用于边缘路由器-边缘路由器或主机-边缘路由器之间定期安全通信的稳定连接,可实现与远端IPv6网络的连接。
(2)        IPv4兼容IPv6自动隧道
IPv4兼容IPv6自动隧道是点到多点的链路。隧道两端采用特殊的IPv6地址:IPv4兼容IPv6地址,其格式为:0:0:0:0:0:0:a.b.c.d/96,其中a.b.c.d是IPv4地址。通过这个嵌入的IPv4地址可以自动确定隧道的终点,使IPv6隧道的建立非常方便。但由于它必须使用IPv4兼容IPv6地址,仍依赖于IPv4地址,在使用时有一定的局限性。
(3)        6to4隧道
l              普通6to4隧道
6to4隧道是点到多点的自动隧道,主要用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。6to4隧道通过IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。6to4隧道采用特殊的地址:6to4地址,其格式为:2002:abcd:efgh:子网号::接口ID/64,其中2002表示固定的IPv6地址前缀,abcd:efgh表示该6to4隧道对应的32位IPv4源地址,用16进制表示(如1.1.1.1可以表示为0101:0101)。通过这个嵌入的IPv4地址可以自动确定隧道的终点,使隧道的建立非常方便。
由于6to4地址的64位地址前缀中的16位子网号可以由用户自定义,前缀中的前48位已由固定数值、隧道起点或终点设备的IPv4地址确定,使IPv6报文通过隧道进行转发成为可能。6to4隧道可以实现IPv6网络的互连,克服了IPv4兼容IPv6自动隧道使用的局限性。
l              6to4中继
6to4隧道只能将前缀为2002::/16的网络连接起来,但在IPv6网络中也会使用像2001::/16这样的IPv6网络地址。为了使这些地址可达,必须有一台6to4路由器作为网关转发到IPv6网络的报文,这台路由器就叫做6to4中继(6to4 relay)路由器。如下图所示,6to4网络的边缘路由器Router A需配置一条静态路由,下一跳地址指向6to4中继路由器Router C的6to4地址,这样,所有去往IPv6网络的报文都会被转发到6to4中继路由器,之后再由6to4中继路由器转发到IPv6网络中,从而实现6to4网络(地址前缀以2002开始)与IPv6网络的互通。

图2 6to4隧道和6to4中继原理图
(4)        ISATAP隧道
随着IPv6技术的推广,现有的IPv4网络中将会出现越来越多的IPv6主机,ISATAP隧道技术为这种应用提供了一个较好的解决方案。ISATAP隧道是点到点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的地址:ISATAP地址。ISATAP地址格式为:Prefix(64bit):0:5EFE:ip-address。ip-address形式为a.b.c.d 或者abcd:efgh,其中abcd:efgh表示32位IPv4源地址。通过这个嵌入的IPv4地址就可以自动建立隧道,完成IPv6报文的传送。ISATAP隧道主要用于在IPv4网络中IPv6路由器-IPv6路由器、IPv6主机-IPv6路由器的连接。



2008-02-27 13:02:30



2008-02-26 14:26:51



2008-02-13 23:50:50



 <<   1   2   3   4   5   >>   页数 ( 1/11 )
博客统计信息
51cto推荐博客
用户名:枫速向航
文章数:211
评论数:724
访问量:208977
无忧币:5131
博客积分:2673
博客等级:7
注册日期:2006-09-23