Cisco ISP必備手冊

第1章 軟件和路由器管理 
1.1 究竟應該采用哪個版本的IOS軟件 
1.1.1 哪里可以獲得關于12.0S版本的信息 
1.1.2 關于IOS版本情況的進一步參考信息 
1.2 IOS軟件的管理 
1.2.1 閃存 
1.2.2 系統(tǒng)內(nèi)存 
1.2.3 何時以及如何升級 
1.2.4 向閃存中拷貝新的軟件 
1.3 配置管理 
1.3.1 NVRAM、TFTP服務器和FTP服務器 
1.3.2 大配置文件 
1.4 命令行接口 
1.4.1 編輯鍵 
1.4.2 CLI字符串搜尋 
1.5 詳細的日志信息 
1.5.1 日志信息采集系統(tǒng)的邏輯拓撲 
1.5.2 分析系統(tǒng)日志數(shù)據(jù) 
1.6 網(wǎng)絡時間協(xié)議(NTP) 
1.6.1 網(wǎng)絡時間協(xié)議體系結(jié)構(gòu) 
1.6.2 客戶機/服務器模式和聯(lián)合(Association)模式 
1.6.3 在ISP網(wǎng)絡中的路由器上實施網(wǎng)絡時間協(xié)議 
1.6.4 NTP部署范例 
1.6.5 在一個網(wǎng)絡節(jié)點(POP)中實施NTP(范例) 
1.6.6 進一步的NTP參考信息 
1.7 簡單網(wǎng)絡管理協(xié)議(SNMP) 
1.7.1 SNMP的只讀模式 
1.7.2 SNMP的讀寫模式 
1.7.3 SNMP和商業(yè)化的網(wǎng)絡管理軟件 
1.8 HTTP服務器 
1.9 內(nèi)核導出/備份(Core Dumps) 
1.10 總結(jié) 
1.11 尾注 
第2章 常規(guī)特性 
2.1 IOS軟件和環(huán)回接口 
2.1.1 使用環(huán)回接口的動機 
2.1.2 BGP更新的源地址 
2.1.3 路由器身份標識(ID) 
2.1.4 通過FTP協(xié)議進行內(nèi)核導出的例外 
2.1.5 TFTP服務器的訪問 
2.1.6 SNMP服務器的訪問 
2.1.7 TACACS/RADIUS 服務器的源接口 
2.1.8 NetFlow流量輸出 
2.1.9 NTP源接口 
2.1.10 Syslog源接口 
2.1.11 遠程登錄到路由器 
2.1.12 對路由器實施RCMD 
2.2 接口配置 
2.2.1 描述 
2.2.2 帶寬 
2.2.3 無編號IP地址 
2.3 接口狀態(tài)檢測 
2.3.1 顯示接口交換狀態(tài) 
2.3.2 顯示接口狀態(tài) 
2.3.3 顯示IDB 
2.4 思科快速轉(zhuǎn)發(fā) 
2.5 NetFlow 
2.5.1 NetFlow特性加速 
2.5.2 NetFlow統(tǒng)計——基礎 
2.5.3 NetFlow數(shù)據(jù)輸出 
2.6 啟用Nagle 
2.7 域名服務器(DNS)和路由器 
2.7.1 將IP地址映射為名字 
2.7.2 IOS軟件中的DNS 解析 
2.8 總結(jié) 
2.9 尾注 
第3章 路由選擇協(xié)議 
3.1 CIDR特性 
3.1.1 IP無類別 
3.1.2 全零IP子網(wǎng) 
3.2 選擇性數(shù)據(jù)包丟棄 
3.3 熱備份路由選擇協(xié)議 
3.4 IP源路由 
3.5 配置路由選擇協(xié)議 
3.5.1 路由器身份標識 
3.5.2 選擇一個IGP 
3.5.3 將地址前綴注入IGP 
3.5.4 IGP匯聚(IGP Summarization) 
3.5.5 由于IGP鄰接體變化而產(chǎn)生的系統(tǒng)日志 
3.5.6 將地址前綴注入BGP 
3.6 IGP配置提示 
3.6.1 網(wǎng)絡設計 
3.6.2 地址前綴類型 
3.6.3 配置OSPF 
3.6.4 配置IS-IS 
3.6.5 配置EIGRP 
3.6.6 設計總結(jié) 
3.7 BGP路徑選擇過程 
3.8 BGP特性和命令 
3.8.1 穩(wěn)定的iBGP配置 
3.8.2 BGP自動匯聚 
3.8.3 BGP同步 
3.8.4 BGP團體屬性格式 
3.8.5 BGP鄰接體關閉 
3.8.6 BGP動態(tài)重配置 
3.8.7 BGP路由反射器和BGP族標識 
3.8.8 下一跳自身 
3.8.9 BGP路由擺動抑制 
3.8.10 BGP鄰接體認證 
3.8.11 BGP MED未設置 
3.8.12 BGP確定的MED 
3.8.13 比較路由器標識 
3.8.14 BGP網(wǎng)絡聲明 
3.8.15 移去私有自治系統(tǒng) 
3.8.16 BGP本地AS 
3.8.17 BGP鄰接體改變 
3.8.18 限制從鄰接體來的地址前綴數(shù)量 
3.8.19 限制從鄰接體來的AS路徑長度 
3.8.20 BGP快速-外部-故障恢復 
3.8.21 BGP對等體組 
3.8.22 BGP多路徑 
3.9 實施BGP策略 
3.9.1 采用地址前綴列表進行BGP路由過濾 
3.9.2 BGP過濾處理順序 
3.9.3 BGP有條件通告 
3.9.4 BGP流出路由過濾性能 
3.10 BGP策略記賬 
3.10.1 配置 
3.10.2 顯示BGP策略記賬狀態(tài) 
3.10.3 顯示BGP策略記賬統(tǒng)計信息 
3.11 多協(xié)議BGP 
3.11.1 開發(fā)新類型CLI界面的動機 
3.11.2 命令組機構(gòu) 
3.11.3 新舊類型的比較 
3.11.4 升級到新的CLI 
3.11.5 采用新類型CLI的例子 
3.12 總結(jié) 
3.13 尾注 
第4章 安全 
4.1 路由器安全 
4.2 不需要的或冒險的接口配置模式下服務 
4.3 Cisco設備發(fā)現(xiàn)協(xié)議 
4.4 登錄標語 
4.5 使用enable secret 
4.6 ident特性 
4.7 SNMP安全 
4.8 路由器訪問：控制誰能夠進入路由器 
4.8.1 原則 
4.8.2 VTY和控制臺端口超時 
4.8.3 VTY端口訪問控制列表 
4.8.4 VTY訪問和SSH 
4.8.5 用戶認證 
4.8.6 采用AAA保證路由器安全 
4.8.7 路由器命令審核 
4.8.8 一次性口令 
4.8.9 路由器ICMP不可到達消息管理 
4.8.10 部署新的路由器或交換機 
4.9 路由選擇協(xié)議安全 
4.10 網(wǎng)絡安全 
4.10.1 入口和出口過濾 
4.10.2 路由過濾 
4.10.3 包過濾 
4.11 訪問控制列表：通常順序化ACL 
4.11.1 訪問控制列表：Turbo ACL 
4.11.2 基于ASIC的ACL 
4.11.3 用ACL來進行出口包過濾：防止無效IP地址傳送 
4.11.4 用ACL進行入口包過濾：防止無效IP地址接收 
4.11.5 用黑洞路由選擇進行包過濾(轉(zhuǎn)發(fā)至NUll0) 
4.12 BCP 38使用單播RPF 
4.12.1 背景 
4.12.2 路由選擇表的要求 
4.12.3 uRPF嚴格模式下BCP 38的實現(xiàn) 
4.13 速率極限或丟棄包的指定訪問速率 
4.13.1 Smurf攻擊 
4.13.2 用CAR的速率限制 
4.13.3 Smurf防御概要 
4.14 對安全事件做出反應 
4.14.1 方法 
4.14.2 例子 
4.15 總結(jié) 
4.16 尾注 
第5章 操作實踐 
5.1 PoP的拓撲結(jié)構(gòu) 
5.1.1 核心層 
5.1.2 分布層 
5.1.3 接入層 
5.1.4 虛擬主機服務 
5.1.5 小結(jié) 
5.2 接入服務提供點的設計 
5.3 骨干網(wǎng)絡設計 
5.4 ISP服務 
5.4.1 域名服務 
5.4.2 郵件服務 
5.4.3 新聞服務 
5.4.4 保持軟件是最新的 
5.5 在ISP骨干網(wǎng)中的IPv4地址 
5.5.1 商業(yè)模式和IP地址空間 
5.5.2 地址計劃 
5.5.3 整理地址分配計劃 
5.5.4 用戶的地址空間 
5.5.5 向RIR或上層ISP申請地址 
5.5.6 結(jié)論 
5.6 內(nèi)部路由選擇 
5.6.1 ISP的IGP和BGP模式比較 
5.6.2 擴展內(nèi)部路由選擇協(xié)議 
5.7 外部路由選擇 
5.7.1 自治域號碼 
5.7.2 可擴展的外部對等 
5.8 多宿主 
5.8.1 基礎 
5.8.2 多宿主選擇 
5.8.3 到相同ISP的多宿主 
5.8.4 到不同ISP的多宿主 
5.8.5 出口流量負載均衡 
5.8.6 使用團體 
5.9 安全 
5.9.1 ISP邊界包過濾 
5.9.2 聚合路由器過濾 
5.9.3 用戶路由器過濾 
5.9.4 ISP服務器需要考慮的事項 
5.9.5 防火墻 
5.9.6 遠程訪問 
5.10 帶外管理 
5.10.1 調(diào)制解調(diào)器 
5.10.2 控制臺服務器 
5.10.3 帶外ISDN 
5.10.4 帶外鏈路 
5.10.5 帶外測試 
5.10.6 小結(jié) 
5.11 測試實驗室 
5.11.1 測試新的硬件和軟件 
5.11.2 設計一個測試實驗室 
5.11.3 小結(jié) 
5.12 運作需要考慮的事項 
5.12.1 維護 
5.12.2 網(wǎng)絡實施和用戶支持 
5.12.3 工程 
5.12.4 改變管理 
5.13 總結(jié) 
5.14 尾注 
附錄A 訪問列表及規(guī)則表示 
A.1 訪問列表類型 
A.2 IOS軟件規(guī)則表示 
A.3 尾注 
附錄B 剪切和粘貼模板 
B.1 普通的系統(tǒng)模板 
B.2 普通接口模板 
B.3 普通安全模板 
B.4 普通iBGP模板 
B.5 普通eBGP模板 
B.6 Martian和RFC1918網(wǎng)絡模板 
B.6.1 
B.6.2 
附錄C 配置實例 
C.1 簡單網(wǎng)絡規(guī)劃 
C.2 配置 
C.2.1 ISP地址規(guī)劃 
C.2.2 邊界路由器 
C.2.3 核心路由器 
C.2.4 匯聚路由器 
C.2.5 服務路由器 
C.2.6 NOC路由器 
C.2.7 接入服務器 
C.2.8 帶外控制服務器 
C.3 總結(jié) 
附錄D 路由擺動抑制 
D.1 BGP擺動抑制配置 
D.1.1 IP訪問列表例子 
D.1.2 IP前綴列表例子 
附錄E 流量工程工具 
E.1 Internet流量及網(wǎng)絡工程工具 
E.1.1 CAIDA 
E.1.2 Scion/NetScarf 
E.1.3 NeTraMet/NetFlowMet 
E.1.4 Cflowd 
E.1.5 MRTG 
E.1.6 RRDTool 
E.1.7 Linux網(wǎng)管工具 
E.1.8 Vulture 
E.1.9 Net SNMP 
E.1.10 SysMon 
E.1.11 Treno 
E.1.12 Scotty——網(wǎng)絡管理應用的Tcl擴展 
E.1.13 NetSaint 
E.2 管理網(wǎng)絡的其他有用的工具 
E.2.1 traceroute 
E.2.2 Looking Glasses 
E.2.3 whois 
E.2.4 Gnuplot 
E.2.5 RTRMon-路由器監(jiān)視和操作的工具 
E.2.6 RAToolSet/IRRToolSet 
E.2.7 Cisco的管理信息庫 
E.2.8 替代系統(tǒng)日志后臺程序 
E.3 全面的Internet狀況及性能工具 
E.3.1 NetStat 
E.4 其他ISP在做什么 
E.5 總結(jié) 
附錄F ISP訪問安全的移動計劃示例 
F.1 階段1——將接入到在CIDR 塊外的每一個人的功能關掉 
F.2 階段2——在對等連接中增加反欺騙過濾器 
F.2.1 在哪里設置反欺騙包過濾器 
F.3 階段3——關閉未被授權(quán)訪問的網(wǎng)絡設備 
F.4 總結(jié) 
F.5 尾注 
詞匯表 
技術(shù)參考及推薦讀物