【正文】 外網(wǎng)口（g0/1）down掉，降低30的優(yōu)先級，降低后VRRP1的優(yōu)先級為90vrrp 2 ip //vrrp 2 track GigabitEthernet 0/1 30 //當外網(wǎng)口（g0/1）down掉，降低30的優(yōu)先級，降低后VRRP2的優(yōu)先級為70NBRBinterface GigabitEthernet 0/0 vrrp 1 ip // vrrp 1 track GigabitEthernet 0/1 30 //當外網(wǎng)口（g0/1）down掉，降低30的優(yōu)先級，降低后VRRP1的優(yōu)先級為70 vrrp 2 priority 120 //vrrp2組的優(yōu)選級為120 vrrp 2 ip // vrrp 2 track GigabitEthernet 0/1 30 //當外網(wǎng)口（g0/1）down掉，降低30的優(yōu)先級，降低后VRRP2的優(yōu)先級為90K 數(shù)值越大，優(yōu)先級越高，優(yōu)先級高的為主，低的為備。在用戶同意配置情況下，不刪除原ACL，配置新的替換到接口。在接口上配置ACL可以限制WEB和telnet管理主機。若希望通過其他服務(wù)商提供DDNS服務(wù)來發(fā)布網(wǎng)站，可以通過將撥號口映射到內(nèi)網(wǎng)網(wǎng)站服務(wù)器上來實現(xiàn)。 為什么配置了反向NAT后外網(wǎng)無法登錄管理？配置了反向NAT后，特別是將服務(wù)器的全部端口都映射到路由器上后，外網(wǎng)的訪問將被轉(zhuǎn)向內(nèi)網(wǎng)服務(wù)器，所以無法登錄管理。線路的連接方式是每個VLAN用一根線連到不同的LAN口中。6 路由 可以配置哪些路由協(xié)議？可以配置靜態(tài)路由、RIP動態(tài)路由。 多個ISP需要多個DNS時，建議不要配置DNS relayNBR只可配置一條DNS relay。例如讓DNS服務(wù)器解析銀行網(wǎng)站的IP為自己機器IP，同時在自己機器上偽造銀行登錄頁面，那么受害者的真實賬號和密碼就暴露給入侵者了。 for dfc 00007 200688 21:14:62010921 12:25:53 taicang: %5:Configured from console by console 上述信息顯示控制臺口對路由器進行了配置。一般將帶寬除PC，再乘一系數(shù)（該系數(shù)可根據(jù)使用效果進行適當調(diào)節(jié)）。若要完全杜絕ARP病毒影響，還需在每臺PC上綁定網(wǎng)關(guān)。這個相同的MAC就是欺騙主機的MAC地址。如果是內(nèi)網(wǎng)攻擊，可以看到內(nèi)網(wǎng)攻擊者的IP和MAC地址。 內(nèi)網(wǎng)使用公網(wǎng)地址時可以打開防外網(wǎng)攻擊嗎？這種情況如何防外網(wǎng)攻擊？不可以，因為使用公網(wǎng)IP無需配置NAT，路由器無法識別那個是外網(wǎng)那個是內(nèi)網(wǎng)，當開啟防外網(wǎng)攻擊時會丟棄正常的數(shù)據(jù)包導致斷網(wǎng)。l 盡量不要遠程升級，由于電源、網(wǎng)絡(luò)等環(huán)境原因，容易引起升級不成功。5. 輸入telnet登錄口令，進入用戶模式（），接著輸入“en”命令回車后進入特權(quán)模式（）（如果設(shè)置了WEB登錄口令，在進入特權(quán)模式前還需要輸入這個口令）。 Run 2. TFTP Download amp。不管是升級哪個版本都要注意以下幾點：l PC的防火墻和殺毒軟件是關(guān)閉的l PC有運行tftp服務(wù)器，并指定文件的路徑l 路由器的防內(nèi)網(wǎng)攻擊關(guān)閉l 在傳輸文件時不能斷電l 要保證PC與路由器是可ping通的 “Warning:please exec mand : no security antilanattack!”是什么意思？升級時輸出這樣的信息，表明需要先關(guān)閉防內(nèi)網(wǎng)攻擊。l 查看CPU（show cpu），查CPU利用率。 網(wǎng)吧外網(wǎng)口總是閃斷出現(xiàn)閃斷的原因是線路不穩(wěn)定，NBR路由器對載波丟失比較敏感，默認是2秒。l NBR100、NBR200、1000、1000E不支持基于內(nèi)網(wǎng)IP和公網(wǎng)IP的彈性帶寬。 .*.*的IP地址NBR發(fā)現(xiàn)某一MAC地址存在欺騙嫌疑，卻沒有ARP表項時，.*.*的特殊IP地址。當用戶使用的帶寬超過這個值，并且彈性帶寬需要做限速時，這個值將成為限速的上限。L 彈性帶寬和ip限速無法同時配置，如果想單獨為某個ip限速，必須先在彈性帶寬里刪除這個ip地址，反之亦然。共存時優(yōu)先關(guān)系如下：l ip/range指定的限速l ip/range指定的彈性帶寬l default指定的彈性帶寬l default指定的限速 訪問NBR web 界面慢可能原因是：l NBR比較忙、CPU較高l NBR啟動了抗內(nèi)網(wǎng)攻擊 無法telnet NBR1200有可能的原因有：l CPU利用率比較高。”代表路由器發(fā)出了綁定命令給交換機且收到了交換機的確認l “trust。Show interface輸出信息如下：========================== GigabitEthernet 0/0 ========================GigabitEthernet 0/0 is UP , line protocol is UP //物理層、協(xié)議層upHardware is PQ3 TSEC GIGABIT ETHERNET CONTROLLER GigabitEthernet, address is 00d (bia ) //MAC地址Interface address is: ARP type: ARPA,ARP Timeout: 3600 seconds //arp表超時時間 MTU 1500 bytes, BW 1000000 Kbit //MTU和帶寬 Encapsulation protocol is EthernetII, loopback not set Keepalive interval is 10 sec , set Carrier delay is 2 sec //載波延遲時鐘，以2s為周期檢查線路狀態(tài)， RXload is 1 ,Txload is 2 Queueing strategy: FIFO //隊列處理策略 Output queue 0/40, 0 drops。輸出信息如下：Online User number:130 //當前在線用戶130個Total inbound:977 Kbps //上傳占用的帶寬為977KbpsTotal outbound:7458 Kbps //下載占用的帶寬為7458KbpsIP Inbound(Kb/sec) Outbound(Kb/sec) IsLimit IsSpecial 200 500 * * //該ip占用上傳帶寬為200Kbps，下載為500Kbps 181 167 * * 68 543 49 280 * * 43 491 * * 41 500 * * 38 18 * * 31 244 * *show security輸出信息如下：Wan attack parameter。l 路由器受到大流量的攻擊。 NBR的arp表中的trust狀態(tài)l “trust”代表路由器發(fā)出了綁定命令給交換機，但是沒收到交換機的確認l “。NBR定義了一個2699的ACL，其中禁止的端口為大部分游戲使用的端口，使用如下命令在非游戲流量超過設(shè)定值時丟棄非游戲報文，達到保證游戲流量的目的?？蛇x配置：彈性帶寬的停止條件。因為端口鏡像目的口不能配置端口安全，所以一直無法綁定。 聯(lián)動建立后，web不能訪問交換機需要檢查以下配置：l 交換機上是否開啟了web 服務(wù)l 交換機是否配置了默認網(wǎng)關(guān)l NBR是否啟用NATl NBR是否處于公網(wǎng)模式。 PPPOE撥號后無法上網(wǎng)可能原因有：l 線路不通，通過直接使用主機撥號測試是否正常來確認l 帳號、密碼設(shè)置錯誤l MODEM工作在非橋模式Bridgedl DNS設(shè)置錯誤l 未獲得正確IP，通過show interface dialer x 查看撥號口的信息l MTU值設(shè)置超過ADSL允許的值，這樣在ADSL線路上會出現(xiàn)Ping得通上不了網(wǎng)的現(xiàn)象l 撥號閑置時間設(shè)置不對，應(yīng)設(shè)成014 ：l ARP抗攻擊l 與S5S2S27的管理聯(lián)動和安全聯(lián)動管理聯(lián)動實現(xiàn)對聯(lián)動交換機VLAN、IP、端口安全、病毒過濾、端口鏡像、流量限制、NBR保護、組播、系統(tǒng)密碼的設(shè)置，并可查看系統(tǒng)信息、接口狀態(tài)、接口信息；安全聯(lián)動實現(xiàn)在聯(lián)動交換機端口對PC進行自動MACIP綁定l 基于內(nèi)網(wǎng)IP和公網(wǎng)IP的彈性帶寬l 游戲帶寬保證l ACL域名過濾l 電信網(wǎng)通自動選路l show nat和流量信息排序l 抗DDOS攻擊MAC阻斷l(xiāng) 基于MAC的NAT連接數(shù)限制l 外網(wǎng)對內(nèi)網(wǎng)服務(wù)器的訪問不受抗外網(wǎng)攻擊模塊影響l 版本升級錯誤保護l NBR2000增加端口鏡像功能l 支持內(nèi)網(wǎng)子接口帶TAG發(fā)送報文，且支持1個交換口同時屬于多個VLANl 全新的WEB界面 。l 對方路由器做了綁定，或者做了針對MAC地址的過濾策略，需將外網(wǎng)口的MAC地址改成能正常上網(wǎng)的PC的MAC地址；l 外網(wǎng)口上綁定MAC地址。l 查看ACL攔截（show ip accesslists），查匹配ACL包數(shù)。然后重啟路由器。10. 重新啟動路由器，3秒內(nèi)按Ctrl+C，進入rom模式。4. 在操作系統(tǒng)“開始”“運行”中，輸入“cmd”，點擊“確定”打開命令提示符窗口。12 升級 能否通過web升級？注意事項可以通過WEB升級，升級前要提醒用戶：l 備好控制線，升級失敗時使用。防DDOS攻擊經(jīng)常配置ACL，只允許內(nèi)部網(wǎng)段被NAT和進入內(nèi)網(wǎng)口，禁止外網(wǎng)口的web端口。受到攻擊還表現(xiàn)CPU使用率偏高，通過NBRshowinterface查看端口入方向流量和出方向流量相差很大且丟包嚴重。（沒有雙綁時）l 局域網(wǎng)中的機器Ping網(wǎng)關(guān)時延時很大，甚至達200ms以上。步驟如下：首先拔掉外網(wǎng)線路，同時重啟所有PC，綁定后再接入外網(wǎng)。NBR（configif）ratelimit input accessgroup 110 64000 3000 3000 conformaction transmit exceedaction drop 為什么限速下傳是1000，但有些PC會超過到1040？因為限速是基于NAT通過CPU處理，在限定數(shù)值小幅波動屬于正?，F(xiàn)象。200689 14:0:21 NBR1000：%6:System returned to ROM reload at 20060802 19:06:34上述信息顯示設(shè)備發(fā)生了重啟?？赡苤卸玖嘶蛘哒趽v蛋。攻擊者通過入侵DNS服務(wù)器、控制路由器等方法把受害者要訪問的目標機器域名對應(yīng)的IP解析為攻擊者所控制的機器，這樣受害者原本要發(fā)送給目標機器的數(shù)據(jù)就發(fā)到了攻擊者的機器上，這時攻擊者就可以監(jiān)聽甚至修改數(shù)據(jù)，從而收集到大量的信息。遇到這種情況，先讓用戶查詢一下這個游戲服務(wù)器的IP地址（僅運行游戲，在DOS下用netstat –an查詢），再查詢該IP屬于那一個運營商的，再traceroute跟蹤一下路由，看看是不是從正確的線路出去，如果不正確，就通過手工添加路由表的方式解決。每個VLAN都必須有一根網(wǎng)絡(luò)線連入，也可VLAN間路由?？梢酝ㄟ^限制NAT 結(jié)點總數(shù)為 7000條再重啟路由器來解決。使用telnet命令，NBRtelnet 80，如果出現(xiàn)% Destination unreachable。NBR(config)accesslist 101 permit ip any host NBR(config)accesslist 101 permit tcp any any eq 80NBR(config)accesslist 101 permit tcp any any eq 53NBR(configif)ip accessgroup 101 inL 如果只打開80端口，未打開53端口，則會出現(xiàn)無法通過域名訪問網(wǎng)頁的現(xiàn)象。 如何限制管理ip（只允許某個ip管理）？限制管理IP是針對TELNET或WEB來說的，對console口無效。即一個端口最多可以配置3條ACL。 流量監(jiān)控能監(jiān)控哪些內(nèi)容？流量監(jiān)控可以顯示系統(tǒng)信息（版本信息、運行時間，CPU的利用率，內(nèi)存的使用率等）、接口信息（各接口狀態(tài)、統(tǒng)計信息）、IP流量信息及系統(tǒng)日志信息。當遇到超級終端無法顯示、亂碼、無法敲入等都可能是該問題。l 外網(wǎng)口：有的IS