【正文】 使用地址池l2tppool NBR(configif)ip nat inside //設(shè)置此虛模板接口參與nat，使遠程客戶端撥號到VPDN路由器之后通過此路由上網(wǎng)NBR(config)ip nat inside source list 1 interface FastEthernet 1/0 overload //設(shè)置nat規(guī)則，關(guān)聯(lián)ACL1，允許所有源主機進行natNBR(config)ip route 如果在VPDN配置完成之后能撥到服務(wù)器但是訪問不了，問題很大程度上在于路由問題。11 VPN 各版本支持的VPN。 內(nèi)網(wǎng)使用公網(wǎng)地址時可以打開防外網(wǎng)攻擊嗎？這種情況如何防外網(wǎng)攻擊？不可以，因為使用公網(wǎng)IP無需配置NAT，路由器無法識別那個是外網(wǎng)那個是內(nèi)網(wǎng)，當(dāng)開啟防外網(wǎng)攻擊時會丟棄正常的數(shù)據(jù)包導(dǎo)致斷網(wǎng)。防DDOS攻擊經(jīng)常配置ACL，只允許內(nèi)部網(wǎng)段被NAT和進入內(nèi)網(wǎng)口，禁止外網(wǎng)口的web端口。l 占用帶寬的攻擊方式，單方面從設(shè)備上著手，是沒有辦法解決的，只能從運營商上著手， 讓攻擊不再過來，這樣才是解決之道。建議：l 向當(dāng)?shù)鼐W(wǎng)監(jiān)部門報案，因這種攻擊行為已經(jīng)產(chǎn)生了經(jīng)濟損失，網(wǎng)監(jiān)部門理應(yīng)受理。如果是內(nèi)網(wǎng)攻擊，可以看到內(nèi)網(wǎng)攻擊者的IP和MAC地址。受到攻擊還表現(xiàn)CPU使用率偏高，通過NBRshowinterface查看端口入方向流量和出方向流量相差很大且丟包嚴(yán)重。 DDOS攻擊的現(xiàn)象，查看哪些信息，解決辦法前面板有CPU利用率的LED顯示，被攻擊時status黃色燈會亮起，表示目前NBR正被攻擊。解決的辦法有兩個l 一是雙向綁定。這個相同的MAC就是欺騙主機的MAC地址。（沒有雙綁時）l 局域網(wǎng)中的機器Ping網(wǎng)關(guān)時延時很大，甚至達200ms以上。 ARP病毒的現(xiàn)象，查看哪些信息，解決辦法ARP病毒發(fā)作時，會出現(xiàn)如下現(xiàn)象：l 局域網(wǎng)臺某些機器上不了網(wǎng)，Ping不通網(wǎng)關(guān)。 綁定后要更改，如何操作？（包括web和CLI）CLI方式NBR(config)no arp //no arp all用于重新綁定，重新綁定參考上題 NBR(config)arp arpa //手動綁適用少量修改在停止學(xué)習(xí)情況下，要進行少量更改（如更換一張網(wǎng)卡），無需恢復(fù)學(xué)習(xí)，直接修改即可。若要完全杜絕ARP病毒影響，還需在每臺PC上綁定網(wǎng)關(guān)。步驟如下：首先拔掉外網(wǎng)線路，同時重啟所有PC，綁定后再接入外網(wǎng)。限速單位為kbps 能否基于MAC限速？。將下載速度設(shè)成上傳的兩倍以上。一般將帶寬除PC，再乘一系數(shù)（該系數(shù)可根據(jù)使用效果進行適當(dāng)調(diào)節(jié)）。NBR（configif）ratelimit input accessgroup 110 64000 3000 3000 conformaction transmit exceedaction drop 為什么限速下傳是1000，但有些PC會超過到1040？因為限速是基于NAT通過CPU處理，在限定數(shù)值小幅波動屬于正常現(xiàn)象。2. 在路由器上配置如下命令：NBR（config）logging server 9 限速 如何限制P2P？如何限速？啟用了NATl 一種是限制每個IP的并發(fā)連接數(shù)：NBR (config)ip nat translation perip 250l 另一種是限制IP帶寬：NBR (config)ip nat translation ratelimit default inbound 600 outbound 1500未啟用NAT如果NBR路由器沒有啟用NAT功能，必須首先執(zhí)行如下操作，然后使用以上兩條命令限制P2P：l 在內(nèi)網(wǎng)口使用ip nat insidel 在外網(wǎng)口使用ip nat outsideK 無論是否啟用NAT功能，都可以使用如下的QoS策略，對內(nèi)網(wǎng)口下的用戶限制帶寬。 taicang: %5:Configured from web console () 上述信息顯示有人使用Web 登錄，對路由器進行了配置。2010921 12:25:53 taicang: %5:Configured from console by console 上述信息顯示控制臺口對路由器進行了配置。200689 14:0:21 NBR1000：%6:System returned to ROM reload at 20060802 19:06:34上述信息顯示設(shè)備發(fā)生了重啟。200688 21:14:6 len =14,[00. 16. C7. 89. 93. 40. 00. D0. F8. FB. F1. 9F. 08. 00. ] nexthop interface [2] : recu intf [1] 上述兩條信息顯示默認路由下一跳發(fā)生變化，可能是路由器剛啟動或者端口up/down變化。 for dfc 00007 200688 21:14:6可能中毒了或者正在搗蛋。 常見日志顯示信息200687 18:14:46 NBR1000: %6:%IP4DUPADDR1: Duplicate address on FastEthernet 0/0, sourced by 上述信息顯示有IP地址跟網(wǎng)關(guān)沖突，內(nèi)網(wǎng)可能有人在進行ARP 欺騙了。所以建議用戶不要配置DNS relay，可以直接在網(wǎng)卡上添加DNS服務(wù)器地址，而且可以設(shè)置主備。例如讓DNS服務(wù)器解析銀行網(wǎng)站的IP為自己機器IP，同時在自己機器上偽造銀行登錄頁面，那么受害者的真實賬號和密碼就暴露給入侵者了。攻擊者通過入侵DNS服務(wù)器、控制路由器等方法把受害者要訪問的目標(biāo)機器域名對應(yīng)的IP解析為攻擊者所控制的機器，這樣受害者原本要發(fā)送給目標(biāo)機器的數(shù)據(jù)就發(fā)到了攻擊者的機器上，這時攻擊者就可以監(jiān)聽甚至修改數(shù)據(jù)，從而收集到大量的信息。通常，這種“攔截數(shù)據(jù)——修改數(shù)據(jù)——發(fā)送數(shù)據(jù)”的過程就被稱為“會話劫持”（Session Hijack）。MITM是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡(luò)連接中的兩臺通信計算機之間，這臺計算機就稱為“中間人”。 多個ISP需要多個DNS時，建議不要配置DNS relayNBR只可配置一條DNS relay。遇到這種情況，先讓用戶查詢一下這個游戲服務(wù)器的IP地址（僅運行游戲，在DOS下用netstat –an查詢），再查詢該IP屬于那一個運營商的，再traceroute跟蹤一下路由，看看是不是從正確的線路出去，如果不正確，就通過手工添加路由表的方式解決。 配置策略路由后優(yōu)先走哪條路由？路由優(yōu)先級從高到低的順序依次是：routemap、靜態(tài)路由、ip defaultroute、默認路由。須配置策略路由：方法一accesslist 10 permit ip //定義偶數(shù)IPaccesslist 20 permit ip //定義奇數(shù)IPip defaultroute list 10 outinterface FastEthernet 1/0 //偶數(shù)IP地址從F1/0路由出去ip defaultroute list 20 outinterface FastEthernet 1/1 //奇數(shù)IP地址從F1/1路由出去方法二accesslist 10 permit ip //定義偶數(shù)IPaccesslist 20 permit ip //定義奇數(shù)IProutemap net210 permit 10 match ip address 10 //關(guān)聯(lián)ACL10 set ip next //設(shè)置下一條，可以是接口routemap net210 permit 20 match ip address 20 //關(guān)聯(lián)ACL20 set ip next //設(shè)置下一條，或set interface FastEthernet 1/0interface FastEthernet 0/0 ip policy routemap net210 //應(yīng)用在內(nèi)網(wǎng)口同一網(wǎng)段，可先接入交換機，再連入路由器。6 路由 可以配置哪些路由協(xié)議？可以配置靜態(tài)路由、RIP動態(tài)路由。每個VLAN都必須有一根網(wǎng)絡(luò)線連入，也可VLAN間路由。物理口不用配置。 可以做TRUNK嗎？可以VLAN間路由嗎？NBR2000和其他型號的區(qū)別是：2000同普通路由器，可配置多個dot1Q的子接口。線路的連接方式是每個VLAN用一根線連到不同的LAN口中?？梢酝ㄟ^限制NAT 結(jié)點總數(shù)為 7000條再重啟路由器來解決。 配置保存fail，但上網(wǎng)正常可能的故障原因是：閃存故障，或者Flash滿。 用戶反映登錄慢可以通過配置如下命令解決此問題。 為什么配置了反向NAT后外網(wǎng)無法登錄管理？配置了反向NAT后，特別是將服務(wù)器的全部端口都映射到路由器上后，外網(wǎng)的訪問將被轉(zhuǎn)向內(nèi)網(wǎng)服務(wù)器，所以無法登錄管理。使用telnet命令，NBRtelnet 80，如果出現(xiàn)% Destination unreachable。 用戶反映反向NAT不成功，如何測試主機是否開了相關(guān)服務(wù)？首先登錄路由器，確認路由器配置沒問題。兩個公網(wǎng)IP不能全映射到同一內(nèi)網(wǎng)IP，但可以一個做全映射另一個做端口映射，還可以在服務(wù)器上設(shè)置second ip來解決。若希望通過其他服務(wù)商提供DDNS服務(wù)來發(fā)布網(wǎng)站，可以通過將撥號口映射到內(nèi)網(wǎng)網(wǎng)站服務(wù)器上來實現(xiàn)。NBR(config)accesslist 101 permit ip any host NBR(config)accesslist 101 permit tcp any any eq 80NBR(config)accesslist 101 permit tcp any any eq 53NBR(configif)ip accessgroup 101 inL 如果只打開80端口，未打開53端口，則會出現(xiàn)無法通過域名訪問網(wǎng)頁的現(xiàn)象。常見于無時鐘芯片的NBR2000重啟時。l 未正確應(yīng)用，ACL配置完后應(yīng)該關(guān)聯(lián)才起作用。在接口上配置ACL可以限制WEB和telnet管理主機。 如何限制管理ip（只允許某個ip管理）？限制管理IP是針對TELNET或WEB來說的，對console口無效。WEB配置時，可以調(diào)整各項順序。telnet配置時，后配的總是擺在后面。在用戶同意配置情況下，不刪除原ACL，配置新的替換到接口。即一個端口最多可以配置3條ACL。K 同一接口下可以同時在in和out方向應(yīng)用不同的ACL。4000－4199是基于MAC地址的訪問列表,只能在NBR的交換口上配置，NBR2000、NBR21/28不支持。 如何配置雙機熱備？VRRP配置如下：NBRAinterface GigabitEthernet 0/0 vrrp 1 priority 120 //vrrp1組的優(yōu)選級為120，默認為100 vrrp 1 ip // vrrp 1 track GigabitEthernet 0/1 30 //當(dāng)外網(wǎng)口（g0/1）down掉，降低30的優(yōu)先級，降低后VRRP1的優(yōu)先級為90vrrp 2 ip //vrrp 2 track GigabitEthernet 0/1 30 //當(dāng)外網(wǎng)口（g0/1）down掉，降低30的優(yōu)先級，降低后VRRP2的優(yōu)先級為70NBRBinterface GigabitEthernet 0/0 vrrp 1 ip // vrrp 1 track GigabitEthernet 0/1 30 //當(dāng)外網(wǎng)口（g0/1）down掉，降低30的優(yōu)先級，降低后VRRP1的優(yōu)先級為70 vrrp 2 priority 120 //vrrp2組的優(yōu)選級為120 vrrp 2 ip // vrrp 2 track GigabitEthernet 0/1 30 //當(dāng)外網(wǎng)口（g0/1）down掉，降低30的優(yōu)先級，降低后VRRP2的優(yōu)先級為90K 數(shù)值越大，優(yōu)先級越高，優(yōu)先級高的為主，低的為備。 流量監(jiān)控能監(jiān)控哪些內(nèi)容？流量監(jiān)控可以顯示系統(tǒng)信息（版本信息、運行時間，CPU的利用率，內(nèi)存的使用率等）、接口信息（各接口狀態(tài)、統(tǒng)計信息）、IP流量信息及系統(tǒng)日志信息。若沒安裝，可以打開首頁，但無法進入配置界面。單線路情況下不使用該功能。 如何更改console口的波特率？ 配置命令如下：Nbr(config)＃line console 0Nbr(configline) speed 57600 如何配置keepalive？keepalive用于檢查線路是否正常，缺省每隔10 秒發(fā)送一個DNS或Ping 的報文，收到回答，則認為線路正常；若連續(xù)發(fā)送3 次，均未收到回答，則認為該接口是Down 的。當(dāng)遇到超級終端無法顯示、亂碼、無法敲入等都可能是該問題。,默認的15級密碼是：admin 不支持SSH登錄管理不支持。l 第二種方法是在設(shè)備加電時按Ctrl+C進入配置菜單界面，選擇更