第1章 软件和路由器管理 3
1.1 究竟应该采用哪个版本的IOS软件 4
1.1.1 哪里可以获得关于12.0S版本的信息 5
1.1.2 关于IOS版本情况的进一步参考信息 5
1.2 IOS软件的管理 7
1.2.1 闪存 7
1.2.2 系统内存 8
1.2.3 何时以及如何升级 9
1.2.4 向闪存中拷贝新的软件 10
1.3 配置管理 13
1.3.1 NVRAM、TFTP服务器和FTP服务器 14
1.3.2 大配置文件 15
1.4 命令行接口 16
1.4.1 编辑键 16
1.4.2 CLI字符串搜寻 16
1.5 详细的日志信息 18
1.5.1 日志信息采集系统的逻辑拓扑 20
1.6 网络时间协议(NTP) 21
1.5.2 分析系统日志数据 21
1.6.1 网络时间协议体系结构 22
1.6.2 客户机/服务器模式和联合(Association)模式 23
1.6.3 在ISP网络中的路由器上实施网络时间协议 24
1.6.4 NTP部署范例 25
1.6.5 在一个网络节点(POP)中实施NTP(范例) 25
1.6.6 进一步的NTP参考信息 27
1.7 简单网络管理协议(SNMP) 28
1.7.1 SNMP的只读模式 28
1.7.2 SNMP的读写模式 29
1.7.3 SNMP和商业化的网络管理软件 30
1.8 HTTP服务器 30
1.9 内核导出/备份(Core Dumps) 31
1.10 总结 32
1.11 尾注 32
第2章 常规特性 35
2.1 IOS软件和环回接口 35
2.1.3 路由器身份标识(ID) 36
2.1.2 BGP更新的源地址 36
2.1.1 使用环回接口的动机 36
2.1.4 通过FTP协议进行内核导出的例外 37
2.1.5 TFTP服务器的访问 37
2.1.6 SNMP服务器的访问 37
2.1.7 TACACS/RADIUS 服务器的源接口 38
2.1.8 NetFlow流量输出 38
2.1.9 NTP源接口 39
2.1.10 Syslog源接口 39
2.1.11 远程登录到路由器 40
2.1.12 对路由器实施RCMD 41
2.2 接口配置 41
2.2.1 描述 41
2.2.2 带宽 41
2.2.3 无编号IP地址 42
2.3 接口状态检测 44
2.3.1 显示接口交换状态 44
2.3.2 显示接口状态 45
2.4 思科快速转发 46
2.3.3 显示IDB 46
2.5 NetFlow 47
2.5.1 NetFlow特性加速 47
2.5.2 NetFlow统计--基础 48
2.5.3 NetFlow数据输出 50
2.6 启用Nagle 51
2.7 域名服务器(DNS)和路由器 51
2.7.1 将IP地址映射为名字 52
2.7.2 IOS软件中的DNS 解析 53
2.9 尾注 54
2.8 总结 54
第3章 路由选择协议 57
3.1 CIDR特性 57
3.1.1 IP无类别 58
3.1.2 全零IP子网 59
3.2 选择性数据包丢弃 59
3.3 热备份路由选择协议 60
3.4 IP源路由 63
3.5.1 路由器身份标识 64
3.5 配置路由选择协议 64
3.5.2 选择一个IGP 65
3.5.3 将地址前缀注入IGP 65
3.5.4 IGP汇聚(IGP Summarization) 66
3.5.5 由于IGP邻接体变化而产生的系统日志 66
3.5.6 将地址前缀注入BGP 67
3.6 IGP配置提示 69
3.6.1 网络设计 69
3.6.2 地址前缀类型 69
3.6.3 配置OSPF 70
3.6.4 配置IS-IS 72
3.6.5 配置EIGRP 74
3.6.6 设计总结 75
3.7 BGP路径选择过程 76
3.8 BGP特性和命令 78
3.8.1 稳定的iBGP配置 78
3.8.2 BGP自动汇聚 79
3.8.3 BGP同步 79
3.8.6 BGP动态重配置 80
3.8.4 BGP团体属性格式 80
3.8.5 BGP邻接体关闭 80
3.8.7 BGP路由反射器和BGP族标识 82
3.8.8 下一跳自身 84
3.8.9 BGP路由摆动抑制 86
3.8.10 BGP邻接体认证 90
3.8.11 BGP MED未设置 90
3.8.12 BGP确定的MED 91
3.8.13 比较路由器标识 91
3.8.14 BGP网络声明 91
3.8.15 移去私有自治系统 92
3.8.16 BGP本地AS 92
3.8.17 BGP邻接体改变 93
3.8.18 限制从邻接体来的地址前缀数量 94
3.8.19 限制从邻接体来的AS路径长度 94
3.8.20 BGP快速-外部-故障恢复 95
3.8.21 BGP对等体组 95
3.8.22 BGP多路径 97
3.9 实施BGP策略 99
3.9.1 采用地址前缀列表进行BGP路由过滤 100
3.9.2 BGP过滤处理顺序 104
3.9.3 BGP有条件通告 105
3.9.4 BGP流出路由过滤性能 107
3.10 BGP策略记账 109
3.10.1 配置 109
3.10.2 显示BGP策略记账状态 110
3.11.1 开发新类型CLI界面的动机 111
3.10.3 显示BGP策略记账统计信息 111
3.11 多协议BGP 111
3.11.2 命令组机构 112
3.11.3 新旧类型的比较 113
3.11.4 升级到新的CLI 118
3.11.5 采用新类型CLI的例子 118
3.12 总结 120
3.13 尾注 120
第4章 安全 123
4.1 路由器安全 124
4.2 不需要的或冒险的接口配置模式下服务 125
4.3 Cisco设备发现协议 126
4.4 登录标语 127
4.5 使用enable secret 128
4.6 ident特性 129
4.7 SNMP安全 129
4.8.1 原则 130
4.8 路由器访问:控制谁能够进入路由器 130
4.8.2 VTY和控制台端口超时 131
4.8.3 VTY端口访问控制列表 131
4.8.4 VTY访问和SSH 133
4.8.5 用户认证 134
4.8.6 采用AAA保证路由器安全 135
4.8.7 路由器命令审核 136
4.8.8 一次性口令 138
4.8.9 路由器ICMP不可到达消息管理 139
4.8.10 部署新的路由器或交换机 140
4.9 路由选择协议安全 142
4.10 网络安全 146
4.10.1 入口和出口过滤 146
4.10.2 路由过滤 147
4.10.3 包过滤 153
4.11 访问控制列表:通常顺序化ACL 153
4.11.1 访问控制列表:Turbo ACL 155
4.11.2 基于ASIC的ACL 157
4.11.3 用ACL来进行出口包过滤:防止无效IP地址传送 158
4.11.4 用ACL进行入口包过滤:防止无效IP地址接收 159
4.11.5 用黑洞路由选择进行包过滤(转发至NUll0) 161
4.12 BCP 38使用单播RPF 162
4.12.1 背景 163
4.12.2 路由选择表的要求 169
4.12.3 uRPF严格模式下BCP 38的实现 169
4.13 速率极限或丢弃包的指定访问速率 178
4.13.1 Smurf攻击 178
4.13.2 用CAR的速率限制 179
4.14 对安全事件做出反应 182
4.13.3 Smurf防御概要 182
4.14.1 方法 183
4.14.2 例子 183
4.15 总结 184
4.16 尾注 184
第5章 操作实践 187
5.1 PoP的拓扑结构 187
5.1.1 核心层 188
5.1.2 分布层 188
5.1.3 接入层 191
5.1.4 虚拟主机服务 192
5.1.5 小结 193
5.2 接入服务提供点的设计 193
5.3 骨干网络设计 193
5.4 ISP服务 195
5.4.1 域名服务 195
5.4.2 邮件服务 198
5.4.3 新闻服务 199
5.4.4 保持软件是最新的 200
5.5 在ISP骨干网中的IPv4地址 201
5.5.1 商业模式和IP地址空间 202
5.5.2 地址计划 203
5.5.3 整理地址分配计划 208
5.5.4 用户的地址空间 210
5.5.5 向RIR或上层ISP申请地址 211
5.5.6 结论 211
5.6.1 ISP的IGP和BGP模式比较 212
5.6 内部路由选择 212
5.6.2 扩展内部路由选择协议 213
5.7 外部路由选择 215
5.7.1 自治域号码 215
5.7.2 可扩展的外部对等 215
5.8 多宿主 217
5.8.1 基础 218
5.8.2 多宿主选择 219
5.8.3 到相同ISP的多宿主 223
5.8.4 到不同ISP的多宿主 230
5.8.5 出口流量负载均衡 234
5.8.6 使用团体 244
5.9 安全 249
5.9.1 ISP边界包过滤 249
5.9.2 聚合路由器过滤 250
5.9.3 用户路由器过滤 251
5.9.4 ISP服务器需要考虑的事项 252
5.9.6 远程访问 253
5.9.5 防火墙 253
5.10 带外管理 254
5.10.1 调制解调器 254
5.10.2 控制台服务器 254
5.10.3 带外ISDN 256
5.10.4 带外链路 256
5.10.5 带外测试 256
5.10.6 小结 257
5.11 测试实验室 257
5.11.1 测试新的硬件和软件 257
5.11.2 设计一个测试实验室 258
5.12 运作需要考虑的事项 259
5.12.1 维护 259
5.11.3 小结 259
5.12.2 网络实施和用户支持 260
5.12.3 工程 260
5.12.4 改变管理 261
5.13 总结 261
5.14 尾注 262
A.1 访问列表类型 265
附录A 访问列表及规则表示 265
A.2 IOS软件规则表示 266
A.3 尾注 267
附录B 剪切和粘贴模板 269
B.1 普通的系统模板 269
B.2 普通接口模板 270
B.3 普通安全模板 271
B.4 普通iBGP模板 272
B.5 普通eBGP模板 273
B.6 Martian和RFC1918网络模板 274
B.6.1 274
B.6.2 275
附录C 配置实例 277
C.1 简单网络规划 277
C.2 配置 278
C.2.1 ISP地址规划 278
C.2.2 边界路由器 279
C.2.3 核心路由器 285
C.2.4 汇聚路由器 289
C.2.5 服务路由器 293
C.2.6 NOC路由器 297
C.2.7 接入服务器 301
C.2.8 带外控制服务器 305
C.3 总结 310
附录D 路由摆动抑制 313
D.1 BGP摆动抑制配置 313
D.1.1 IP访问列表例子 313
D.1.2 IP前缀列表例子 315
E.1 Internet流量及网络工程工具 319
附录E 流量工程工具 319
E.1.1 CAIDA 320
E.1.2 Scion/NetScarf 320
E.1.3 NeTraMet/NetFlowMet 320
E.1.4 Cflowd 320
E.1.5 MRTG 320
E.1.6 RRDTool 320
E.1.10 SysMon 321
E.1.12 Scotty--网络管理应用的Tcl扩展 321
E.1.11 Treno 321
E.1.8 Vulture 321
E.1.9 Net SNMP 321
E.1.7 Linux网管工具 321
E.1.13 NetSaint 322
E.2 管理网络的其他有用的工具 322
E.2.1 traceroute 322
E.2.2 Looking Glasses 322
E.2.6 RAToolSet/IRRToolSet 323
E.2.5 RTRMon-路由器监视和操作的工具 323
E.2.3 whois 323
E.2.4 Gnuplot 323
E.2.7 Cisco的管理信息库 324
E.2.8 替代系统日志后台程序 324
E.3 全面的Internet状况及性能工具 324
E.3.1 NetStat 324
E.4 其他ISP在做什么 325
E.5 总结 327
附录F ISP访问安全的移动计划示例 329
F.1 阶段1--将接入到在CIDR 块外的每一个人的功能关掉 329
F.2 阶段2--在对等连接中增加反欺骗过滤器 331
F.2.1 在哪里设置反欺骗包过滤器 331
F.3 阶段3--关闭未被授权访问的网络设备 333
F.4 总结 334
F.5 尾注 334
词汇表 337
技术参考及推荐读物 341