懒虫's Blog

Oracle10g 在AIX 5.3上的安装

2009-01-04T14:42:40+08:00

简单记录了一下安装过程：

    检查硬件配置

    检查内存：

   # lsattr -El sys0 -a realmem
   realmem 2097152 Amount of usable physical memory in Kbytes False

    检查交换空间

   # lsps -a
   Page Space      Physical Volume   Volume Group    Size %Used Active  Auto  Type
   hd6             hdisk0            rootvg         512MB     1   yes   yes    lv

    检查临时文件目录（至少应有400M空闲空间）

   df -k /tmp
   Filesystem    1024-blocks      Free %Used    Iused %Iused Mounted on
   /dev/hd3            65536     63984    3%       16     1% /tmp

    检查操作系统位数

   # getconf HARDWARE_BITMODE
   64

    检查操作系统版本号

   # oslevel -r
   5300-06

    检查安装的软件包：

   # lslpp -l bos.adt.base bos.adt.lib bos.adt.libm bos.perf.perfstat bos.perf.libperfstat bos.perf.proctools bos.adt.prof bos.cifs_fs.rte
  Fileset                      Level  State      Description
  ----------------------------------------------------------------------------
Path: /usr/lib/objrepos
  bos.adt.base              5.3.0.60  COMMITTED  Base Application Development
                                                 Toolkit
  bos.adt.lib               5.3.0.60  COMMITTED  Base Application Development
                                                 Libraries
  bos.adt.libm              5.3.0.60  COMMITTED  Base Application Development
                                                 Math Library
  bos.adt.prof              5.3.0.60  COMMITTED  Base Profiling Support
  bos.cifs_fs.rte           5.3.0.60  COMMITTED  Runtime for SMBFS
  bos.perf.libperfstat      5.3.0.60  COMMITTED  Performance Statistics Library
                                                 Interface
  bos.perf.perfstat         5.3.0.60  COMMITTED  Performance Statistics
                                                 Interface
  bos.perf.proctools        5.3.0.60  COMMITTED  Proc Filesystem Tools
Path: /etc/objrepos
  bos.cifs_fs.rte           5.3.0.60  COMMITTED  Runtime for SMBFS
  bos.perf.libperfstat      5.3.0.60  COMMITTED  Performance Statistics Library
                                                 Interface
  bos.perf.perfstat         5.3.0.60  COMMITTED  Performance Statistics
                                                 Interface
对于缺少的包，用installp -a -d /dev/cd0 包名  进行安装，安装时放入AIX的安装光备

    检查安装的补丁包

# /usr/sbin/instfix -i -k "IY58143 IY59386 IY60930 IY66513 IY70159"
    All filesets for IY58143 were found.
    All filesets for IY59386 were found.
    All filesets for IY60930 were found.
    All filesets for IY66513 were found.
    All filesets for IY70159 were found.
# /usr/sbin/instfix -i -k "IY68989"
    All filesets for IY68989 were found.

安装AIX C++ 8.0 运行时

    编辑/etc/hosts文件

    创建用户组oinstall，dba

mkgroup -'A' oinstall
mkgroup -'A' dba

    创建用户oracle

    修改oracle用户密码

    确认nobody用户存在 id nobdy

    配置shell limits（ smit chuser）

  soft FILE size -1
  soft CPU time -1
  soft DATA segment -1
  soft STACK size -1
更改系统参数 smit chgsys
  将 Maximum number of PROCESSES allowed per user改为2048以上

    创建目录

# mkdir -p /u01/app/oracle
# chown oracle:oinstall /u01/app/oracle
# chmod 775 /u01/app/oracle
# mkdir -p /u02/oradata
# chown oracle:oinstall /u02/oradata
# chmod 755 /u02/oradata

    创建文件系统/u01 /u02

    切换到oracle用户，在.profile中增加如下两行

umask 022
AIXTHREAD_SCOPE=S; export AIXTHREAD_SCOPE
orACLE_BASE=/u01/app/oracle; export orACLE_BASE

    执行

    . ./.profile将安装文件ftp到主机解压文件

gunzip 10gr2_aix5l64_database.cpio.gz
cpio -idmv  10gr2_aix5l64_database.cpio (如果报0511-903 Out of phase这样的错误，cpio命令加上c 这个参数，即idmcv）

    以root用户执行 Disk1/rootpre/rootpre.sh切换回oracle用户export DISPLAY运行Disk1/runInstaller完成安装

    完成后注意修改操作系统maxperm% maxclient% minperm% v_pinshm strict_maxclient strict_maxperm参数

AIX+Oracle10G安装手册

2009-01-04T14:41:23+08:00

1 AIX系统的安装

    使用AIX 5300L5的介质，根据系统提示进行安装。这一步很简单，不详细说明。安装完成后需要设置好系统时区、时间和网路。

    2 调整文件系统

    初步装好的系统，其文件系统如下：

# df -k
Filesystem 1024-blocks Free %Used Iused %Iused Mounted on
/dev/hd4 32768 15648 53% 1724 11% /
/dev/hd2 1212416 8764 100% 31825 11% /usr
/dev/hd9var 32768 23884 28% 369 5% /var
/dev/hd3 65536 63404 4% 30 1% /tmp
/dev/hd1 32768 31684 4% 18 1% /home
/proc - - - - - /proc
/dev/hd10opt 65536 14304 79% 981 6% /opt

    查看vg情况

# lsvg -l rootvg
rootvg:
LV NAME TYPE LPs PPs PVs LV STATE MOUNT POINT
hd5 boot 1 1 1 closed/syncd N/A
hd6 paging 16 16 1 open/syncd N/A
hd8 jfslog 1 1 1 open/syncd N/A
hd4 jfs 1 1 1 open/syncd /
hd2 jfs 37 37 1 open/syncd /usr
hd9var jfs 1 1 1 open/syncd /var
hd3 jfs 2 2 1 open/syncd /tmp
hd1 jfs 1 1 1 open/syncd /home
hd10opt jfs 2 2 1 open/syncd /opt

# lsvg -p rootvg
rootvg:
PV_NAME PV STATE TOTAL PPs FREE PPs FREE DISTRIBUTION
hdisk0 active 543 481 108..93..63..108..109

    其中vgroot还有空余的481个PP，由于我的PP大小为32M，所以还有481*32M=15392M的空间可以使用。

    接下来要对原先的文件系统进行调整。以/usr为例：

    原先/usr的大小为32(PPs)*32M(PP SIZE)=1G

# lslv hd2
LOGICAL VOLUME: hd2 VOLUME GROUP: rootvg
LV IDENTIFIER: 0006faaa00004c0000000111fd3878b2.5 PERMISSION: read/write
VG STATE: active/complete LV STATE: opened/syncd
TYPE: jfs WRITE VERIFY: off
MAX LPs: 32512 PP SIZE: 32 megabyte(s)
COPIES: 1 SCHED POLICY: parallel
LPs: 32 PPs: 32
STALE PPs: 0 BB POLICY: relocatable
INTER-POLICY: minimum RELOCATABLE: yes
INTRA-POLICY: center UPPER BOUND: 32
MOUNT POINT: /usr LABEL: /usr

将/usr的大小变为2G

# chfs -a size=2048M /usr
Filesystem size changed to 4194304

# df -k
Filesystem 1024-blocks Free %Used Iused %Iused Mounted on
/dev/hd4 32768 15632 53% 1724 11% /
/dev/hd2 2097152 865732 59% 31825 7% /usr
/dev/hd9var 32768 23884 28% 369 5% /var
/dev/hd3 65536 63396 4% 30 1% /tmp
/dev/hd1 32768 31684 4% 18 1% /home
/proc - - - - - /proc
/dev/hd10opt 65536 14304 79% 981 6% /opt

# lslv hd2
LOGICAL VOLUME: hd2 VOLUME GROUP: rootvg
LV IDENTIFIER: 0006faaa00004c0000000111fd3878b2.5 PERMISSION: read/write
VG STATE: active/complete LV STATE: opened/syncd
TYPE: jfs WRITE VERIFY: off
MAX LPs: 32512 PP SIZE: 32 megabyte(s)
COPIES: 1 SCHED POLICY: parallel
LPs: 64 PPs: 64
STALE PPs: 0 BB POLICY: relocatable
INTER-POLICY: minimum RELOCATABLE: yes
INTRA-POLICY: center UPPER BOUND: 32
MOUNT POINT: /usr LABEL: /usr

    其他的文件系统根据自己的需求进行设置就可以了，下面是我的设置：

Filesystem 1024-blocks Free %Used Iused %Iused Mounted on
/dev/hd4 32768 16708 50% 1777 11% /
/dev/hd2 2097152 811420 62% 32230 7% /usr
/dev/hd9var 262144 245636 7% 380 1% /var
/dev/hd3 1048576 796292 25% 457 1% /tmp
/dev/hd1 262144 253744 4% 27 1% /home
/proc - - - - - /proc
/dev/hd10opt 2097152 1938404 8% 2302 1% /opt

    oracle安装时需要的空间比较大，所以单独划了一个文件系统。

# crfs -v jfs -g rootvg -m /oracle -a size=8196M -a bf=true

    其中文件系统的类型时JFS的，大小8个G，支持大文件。

    最终的文件系统划分如下：

# df -k
Filesystem 1024-blocks Free %Used Iused %Iused Mounted on
/dev/hd4 32768 15580 53% 1727 11% /
/dev/hd2 2097152 865732 59% 31825 7% /usr
/dev/hd9var 262144 246068 7% 373 1% /var
/dev/hd3 524288 507704 4% 34 1% /tmp
/dev/hd1 262144 253748 4% 18 1% /home
/proc - - - - - /proc
/dev/hd10opt 2097152 1981172 6% 981 1% /opt
/dev/lv00 8388608 8125260 4% 17 1% /oracle

    3 检查系统物理内存

# lsattr -E -l sys0 -a realmem
realmem 1048576 Amount of usable physical memory in Kbytes False

# lsattr -E -l mem0
goodsize 1024 Amount of usable physical memory in Mbytes False
size 1024 Total amount of physical memory in Mbytes False

    可以看到，我的系统的物理内存为1G

    4 检查虚拟内存

# lsps -a
Page Space Physical Volume Volume Group Size %Used Active Auto Type
hd6 hdisk0 rootvg 512MB 4 yes yes lv

    可以看到我的系统原先的虚拟内存为512M，一般需要将其设置成物理内存的两倍大小

    通过将SWAP分区所在的逻辑分区扩展48个PP的大小，即48*32M=1536M，加上原来的512M正好为2G

# extendlv hd6 32
# lsps -a
Page Space Physical Volume Volume Group Size %Used Active Auto Type
hd6 hdisk0 rootvg 2048MB 1 yes yes lv

5 检查CPU情况

# lsdev -C | grep proc
proc0 Available 00-00 Processor

# lsattr -E -l proc0
frequency 450000000 Processor Speed False
smt_enabled false Processor SMT enabled False
smt_threads 0 Processor SMT threads False
state enable Processor state False
type PowerPC_POWER3 Processor type False

    6 确认系统结构

# getconf HARDWARE_BITMODE
64

    7 确认安装oracle所需的系统库文件是否安装

lslpp -l bos.adt.base bos.adt.lib bos.adt.libm bos.perf.perfstat
bos.perf.libperfstat bos.perf.proctools bos.adt.prof bos.cifs_fs.rte
Fileset Level State Description
----------------------------------------------------------------------------
Path: /usr/lib/objrepos
bos.adt.base 5.3.0.50 COMMITTED Base Application Development
Toolkit
bos.adt.lib 5.3.0.50 COMMITTED Base Application Development
Libraries
bos.adt.libm 5.3.0.40 COMMITTED Base Application Development
Math Library
bos.adt.prof 5.3.0.50 COMMITTED Base Profiling Support
bos.cifs_fs.rte 5.3.0.50 COMMITTED Runtime for SMBFS
bos.perf.libperfstat 5.3.0.50 COMMITTED Performance Statistics Library
Interface
bos.perf.perfstat 5.3.0.50 COMMITTED Performance Statistics
Interface
bos.perf.proctools 5.3.0.50 COMMITTED Proc Filesystem Tools

Path: /etc/objrepos
bos.cifs_fs.rte 5.3.0.50 COMMITTED Runtime for SMBFS
bos.perf.libperfstat 5.3.0.50 COMMITTED Performance Statistics Library
Interface
bos.perf.perfstat 5.3.0.50 COMMITTED Performance Statistics
Interface

    如果有库文件没有安装，请使用smitty（CLI）或smit（GUI），根据向导进行安装。

8 对于ORACLE10.2.0.1版本的数据库需要确认系统安装如下补丁：/usr/sbin/instfix -i -k "IY89080"如果补丁没有安装，请使用smitty（CLI）或smit（GUI），根据向导进行安装，打完补丁后，需要重启机器。

    至此，OS部分的安装就完成了。

    /********************
    orACLE 10.2.0.1安装与配置
    ********************/

    1 从oracle官方网站上下载Oracle Database 10g Release 2 （10.2.0.1.0） for AIX5L下载网页链接如下：http://www.oracle.com/technology/so……201aixsoft.html注意下载需要首先注册成为oracle网站的用户

    现在的文件如下：

10gr2_aix5l64_database.cpio.gz (1,268,576,110 bytes) (cksum - 3772623559)

将下载好的压缩包通过FTP上传到AIX上，并通过如下命令进行解压缩：
gunzip 10gr2_aix5l64_database.cpio.gz
cpio -idcmv < 10gr2_aix5l64_database.cpio.gz

2 创建用户组oinstall和dba
3 创建oracle用户，用户组为oinstall和dba
修改oracle用户的系统限额
vi /etc/security/limits
default:
fsize = -1
core = 2097151
cpu = -1
data = 262144
rss = 65536
stack = 65536
nofiles = 2000

root:

daemon:

bin:

sys:

adm:

uucp:

guest:

nobody:

lpd:

oracle:
data = -1
stack = -1

修改oracle用户的.pofile文件
orACLE_BASE=/oracle;export orACLE_BASE
orACLE_HOME=$ORACLE_BASE/product/10.2.0; export orACLE_HOME
orACLE_SID=icdvm;export orACLE_SID

PATH=$ORACLE_HOME/bin:$PATH;export PATH
4 以root执行rootpre.sh
5 以oracle用户登陆
export DISPLAY=本机的IP地址:0.0
如
export DISPLAY=192.168.100.167:0.0
然后执行runInstall.sh脚本，根据GUI向导进行oracle的安装

    至此，oracle的安装就完成了。

Aix下使用rman备份oracle数据库

2009-01-03T20:37:21+08:00

使用rman增量备份，备份策略为：每周四执行零级备份，周五---周三执行1级增量备份，下周四再进行新的零级备份。这样如果需要恢复的话，需要最多的备份数据为 1个零级备份＋6个1级备份＋当天的归档日志。rman零级备份脚本放于/home/oracle/ora0.sh，1级备份位于/home/oracle/ora1.sh 具体内容如下：

零级备份

#!/bin/sh

echo "start"; date

#env

orACLE_BASE=/oracle/app/oracle

export orACLE_BASE

orACLE_HOME=/oracle/app/oracle/product/9.2.0

export orACLE_HOME

orACLE_SID=XXX

export orACLE_SID

orACLE_NLS33=$ORACLE_HOME/ocommon/nls/admin/data

export orACLE_NLS33

LD_LIBRARY_PATH=$ORACLE_HOME/lib:/usr/lib

export LD_LIRARY_PATH

PATH=/usr/css/sbin:$ORACLE_HOME/bin:/usr/bin:$PATH

export PATH

LANG=en_US

export LANG

#backup

$ORACLE_HOME/bin/rman<
connect target

run

{

allocate channel c1 device type disk ;

allocate channel c2 device type disk ;

allocate channel c3 device type disk ;

backup incremental level 0 database tag 'dbL0' format '/share1/backup/dbkup_%d_%T_%U_L0';

sql 'alter system archive log current' ;

backup archivelog all delete input format '/share2/arcbkup/arcbkup/arc_%d_%T_%U_L0';

release channel c1;

release channel c2;

release channel c3;

}

exit;

EOF

echo "end"; date

1级备份

#!/bin/sh

echo "start"; date

#env

orACLE_BASE=/oracle/app/oracle

export orACLE_BASE

orACLE_HOME=/oracle/app/oracle/product/9.2.0

export orACLE_HOME

orACLE_SID=XXX

export orACLE_SID

orACLE_NLS33=$ORACLE_HOME/ocommon/nls/admin/data

export orACLE_NLS33

LD_LIBRARY_PATH=$ORACLE_HOME/lib:/usr/lib

export LD_LIRARY_PATH

PATH=/usr/css/sbin:$ORACLE_HOME/bin:/usr/bin:$PATH

export PATH

LANG=en_US

export LANG

#backup

$ORACLE_HOME/bin/rman<
connect target

run

{

allocate channel c1 device type disk ;

allocate channel c2 device type disk ;

allocate channel c3 device type disk ;

backup incremental level 1 database tag 'dbL1' format '/share1/backup/dbkup_%d_%T_%U_L1';

sql 'alter system archive log current' ;

backup archivelog all delete input format '/share2/arcbkup/arcbkup/arc_%d_%T_%U_ L1';

release channel c1;

release channel c2;

release channel c3;

}

exit;

EOF

echo "end";date

在cron任务中定时实现定时备份，即加入以下条目

0 1 * * 0,1,2,3,5,6 /home/oracle/ora1.sh              每天（除周四）凌晨1点执行一级备份

0 0 * * 4 /home/oracle/ora0.sh              每周四0点执行0级备份

数据库全备份路径是在 /share1/backup

数据库归档日志路径分别为/share2/archive/archive1；/share2/archive/archive2

（该目录文件请不要使用rm命令删除）

数据库归档日志备份路径为/share2/arcbkup/arcbkup

数据库控制文件自动备份路径为 /share1/spbkup

以下是数据库全备份脚本：

rman备份脚本放于/home/oracle/backup.sh，具体内容如下：

#!/bin/sh

echo "start"; date

#env

orACLE_BASE=/oracle/app/oracle

export orACLE_BASE

orACLE_HOME=/oracle/app/oracle/product/9.2.0

export orACLE_HOME

orACLE_SID=XXX

export orACLE_SID

orACLE_NLS33=$ORACLE_HOME/ocommon/nls/admin/data

export orACLE_NLS33

LD_LIBRARY_PATH=$ORACLE_HOME/lib:/usr/lib

export LD_LIRARY_PATH

PATH=/usr/css/sbin:$ORACLE_HOME/bin:/usr/bin:$PATH

export PATH

LANG=en_US

export LANG

#backup

$ORACLE_HOME/bin/rman<
connect target

run

{

allocate channel c1 device type disk;

backup database format '/share1/backup/dbkup_%d_%T_%U';

sql 'alter system archive log current';

backup archivelog all delete input format '/share2/arcbkup/arcbkup/arc_%d_%T_%U';

}

exit;

EOF

echo "end"; date

在cron任务中定时实现定时备份，即加入这一条目

0 1 10 * * /home/oracle/backup.sh  即在每月10号凌晨1点运行备份脚本。

在小机（例如AIX主机）上如何进行定期的Oracle备份

2009-01-03T20:15:53+08:00

1.建立一个名为backup.sh的脚本文件

2.保存文件内容如下所示：（具体内容，请视自已情况而定)

#setup backup directory and backup file format
export backup_dir=/tmp
export expfile=newemos.`date '+%Y_%m_%d_%H_%M'`.dmp
find /oracle/backupdb/*.Z -mtime +7 -exec rm -f {} \;
#remove old files,keep 10 copys
exp cent/cent file=$backup_dir/$expfile compress=y log=n
compress $backup_dir/$expfile

3.将上面的backup.sh加入到crontab中(例如下面的例子)
1 2 * * * su oracle "/home/oracle/backupdb.sh"

AIX下oracle的自动备份

2009-01-03T20:10:21+08:00

1．建立自动备份的脚本文件：
备份计划为：每周为一个循环，每周的每一天的夜里12：00执行备份，备份文件为7个，分别是周一到周日的数据文件，只保留最近一周的文件；
脚本文件如下：
文件名：backup1.sh （周一所执行的文件）
orACLE_HOME=/home/oracle/OraHome1;
export orACLE_HOME;
orACLE_SID=hrdbs;
export orACLE_SID;
rm -f /HRBACKUP/hrdbs_backup1.dmp;
/home/oracle/OraHome1/bin/exp hr/hrcc file=/HRBACKUP/hrdbs_backup1.dmp;
其他文件，backup2.sh ,backup3.sh 等等，和这个文件大致一样，只是具体的备份文件名不同；

脚本建立完成之后，放在oracle的安装目录下/home/oracle/OraHome1
然后改变这些文件的执行权限：
chmod +x backup1.sh

2．给用户oracle分配crontab的权限；
使用超级用户（root）的身份登录，在/usr/var/adm/cron下通过vi命令查看cron.deny文
件，如果数据库的拥有者oracle被列在里面，将其删除即可；
然后建立cron.allow文件，文件中只用填写oracle即可；

3．建立自动调度的脚本文件；
用oracle用户登录，通过使用命令crontab -e oracle开始建立oracle用户的Crontab文件；
该文件全文如下：
00 00 * * 0 /home/oracle/OraHome1/backup7.sh
00 00 * * 1 /home/oracle/OraHome1/backup1.sh
00 00 * * 2 /home/oracle/OraHome1/backup2.sh
00 00 * * 3 /home/oracle/OraHome1/backup3.sh
00 00 * * 4 /home/oracle/OraHome1/backup4.sh
00 00 * * 5 /home/oracle/OraHome1/backup5.sh
00 00 * * 6 /home/oracle/OraHome1/backup6.sh

Cisco 2821 webvpn CSD 测试,分享

2008-12-29T16:58:20+08:00

Building configuration…
Current configuration : 18090 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service sequence-numbers
!
hostname ROUTE01
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
enable password ROUTE
!
aaa new-model
!
!
aaa authentication login default local
##################################### 生成一个证书##
crypto pki trustpoint WEBVPN
enrollment selfsigned
subject-name CN=WEBVPN OU=cookbooks O=oreilly
revocation-check crl
rsakeypair WEBVPN 1024
!
!
crypto pki certificate chain WEBVPN
certificate self-signed 01
  3082028A 308201F3 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  4F312630 24060355 0403131D 57454256 504E204F 553D636F 6F6B626F 6F6B7320
  4F3D6F72 65696C6C 79312530 2306092A 864886F7 0D010902 16167379 73746563
  30312E73 79737465 632E636F 6D2E636E 301E170D 30373035 31333033 35343036
  5A170D32 30303130 31303030 3030305A 304F3126 30240603 55040313 1D574542
  56504E20 4F553D63 6F6F6B62 6F6F6B73 204F3D6F 7265696C 6C793125 30230609
  2A864886 F70D0109 02161673 79737465 6330312E 73797374 65632E63 6F6D2E63
  6E30819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100B9EE
  403620EA DBE9ADAE 7DADB669 7A7D358E A5EA2782 AEEDB567 1E95DCF1 59104E9C
  256BBBEA AD4DA3D1 BDCED580 57AEC29F C5B251CC FF4F7A2E D13DC321 1D00104F
  15042194 B4899B40 8ADEDA30 CED3AB59 B9A2E0EA 3AB9741A 5DFB0261 815063F2
  AE1F3394 5EE04716 BC9A79C2 E43D3373 EE89E15B 47E9F9DA D153A3BD 64C70203
  010001A3 76307430 0F060355 1D130101 FF040530 030101FF 30210603 551D1104
  1A301882 16737973 74656330 312E7379 73746563 2E636F6D 2E636E30 1F060355
  1D230418 30168014 C5B5FEEB 0A0F1D9B 10E0F444 DFA08C39 99DC6756 301D0603
  551D0E04 160414C5 B5FEEB0A 0F1D9B10 E0F444DF A08C3999 DC675630 0D06092A
  864886F7 0D010104 05000381 81009A0A E61339DB 9C9DCA09 728515CC 89A0C393
  C423776E FA290522 45F2C7F5 42CD9610 D94A872D 7687FC88 CC7D2E93 EB235F26
  BAD10D26 3D770DF0 103FFFDE A8186ABF DD909555 604EF479 7A28E2C3 688A32C4
  230DE7A7 7165ED46 36734F14 07A58260 DDA1C399 198250FD 85DCFDA2 C1A710FD
  AC6B7B76 48806C84 12FE9E07 829F
  quit
username test privilege 15 view root secret 5 $1$R5hB$/Ov8NvnjYYRC3YT9/33Xu/
username cnq privilege 15 secret 5 $1$ql/A$0JMuxQV8NoeApNNXaDEWN.

interface GigabitEthernet0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside

interface GigabitEthernet0/1
ip address 11.11.11.86 255.255.255.0
ip nat outside
ip local pool ssl-user 192.168.0.160 192.168.0.170
ip route 0.0.0.0 0.0.0.0 11.11.11.1

control-plane
!
line con 0
line aux 0
line vty 0 4
line vty 5 15
!
#####################################建立gateway,指定监听webvpn的IP和接口，加密算法，这里我建了2个gateway##
webvpn gateway ROUTE
ip address 11.11.11.86 port 443
ssl encryption 3des-sha1
ssl trustpoint WEBVPN
inservice
!
webvpn gateway test
ip address 11.11.11.86 port 4433
ssl encryption 3des-sha1
ssl trustpoint WEBVPN
inservice
!
#####################################安装ssl和CSD##
webvpn install svc flash:/webvpn/svc.pkg
!
webvpn install csd flash:/webvpn/sdesktop.pkg
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
!
#####################################建立context,并和gateway关联, 指定加密算法，这里也建了2个context，分别和gateway关联##
webvpn context ROUTE
title “ROUTE”
ssl encryption 3des-sha1
ssl trustpoint WEBVPN
ssl authenticate verify all
!
!
policy group ROUTE
   functions svc-enabled
   svc address-pool “ssl-user”
default-group-policy ROUTE
gateway ROUTE
csd enable
inservice
!
!
webvpn context test
title “test”
ssl encryption 3des-sha1
ssl trustpoint WEBVPN
ssl authenticate verify all
!
url-list “printer”
   url-text “printer” url-value “http://192.168.0.254”
!
nbns-list ROUTEftp
   nbns-server 192.168.0.254
!
port-forward “test”
   local-port 2323 remote-server “192.168.0.2″ remote-port 23 description “teslnet”
!
policy group test
   url-list “printer”
   port-forward “test”
   nbns-list “ROUTEftp”
   functions file-access
   functions file-browse
   functions file-entry
default-group-policy test
gateway test
inservice
!
!
end

#####################################一些show 的输出结果##
ROUTE01#show webvpn context
Codes: AS - Admin Status, OS - Operation Status
       VHost - Virtual Host
Context Name        Gateway  Domain/VHost      VRF      AS    OS
————        ——-  ————      ——-  —-  ——–
Default_context     n/a      n/a               n/a      down  down
ROUTE              ROUTE   -                 -        up    up
test                test     -                 -        up    up
ROUTE01#show webvpn context ROUTE
Admin Status: up
Operation Status: up
CSD Status: Enabled
Certificate authentication type: All attributes (like CRL) are verified
AAA Authentication List not configured
AAA Authentication Domain not configured
Default Group Policy: ROUTE
Associated WebVPN Gateway: ROUTE
Domain Name and Virtual Host not configured
Maximum Users Allowed: 10000 (default)
NAT Address not configured
VRF Name not configured
ROUTE01#show webvpn context test
Admin Status: up
Operation Status: up
CSD Status: Disabled
Certificate authentication type: All attributes (like CRL) are verified
AAA Authentication List not configured
AAA Authentication Domain not configured
Default Group Policy: test
Associated WebVPN Gateway: test
Domain Name and Virtual Host not configured
Maximum Users Allowed: 10000 (default)
NAT Address not configured
VRF Name not configured
ROUTE01#show webvpn gateway ROUTE
Admin Status: up
Operation Status: up
IP: 11.11.11.86, port: 443
SSL Trustpoint: WEBVPN
ROUTE01#show webvpn gateway test
Admin Status: up
Operation Status: up
IP: 11.11.11.86, port: 4433
SSL Trustpoint: WEBVPN
ROUTE01#show webvpn gateway
Gateway Name                       Admin  Operation
————                       —–  ———
ROUTE                             up     up
test                               up     up

ROUTE01#show webvpn install status svc
SSLVPN Package SSL-VPN-Client version installed:
CISCO STC win2k+ 1.0.0
1,1,2,169
Wed 09/13/2006 14:53:38.43 ^D
ROUTE01#show webvpn install status csd
SSLVPN Package Cisco-Secure-Desktop version installed:
CISCO CSD IOS
3,1,1,27
Wed 02/15/2006 12:51:25.57 T
ROUTE01#
ROUTE01#
ROUTE01#
ROUTE01# show ve
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(6)T, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Wed 22-Feb-06 22:54 by ccai
ROM: System Bootstrap, Version 12.3(8r)T7, RELEASE SOFTWARE (fc1)
ROUTE01 uptime is 3 days, 6 hours, 15 minutes
System returned to ROM by error - a Software forced crash, PC 0×4008D9FC at 09:37:54 GMT Thu May 10 2007
System image file is “flash:c2800nm-adventerprisek9-mz.124-6.T.bin”

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
Cisco 2821 (revision 53.51) with 237568K/24576K bytes of memory.
Processor board ID FHK0928F0K2
2 Gigabit Ethernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
62592K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0×2102

如果建立ssl vpn后，原来的443就占用了，这时如果想要再使用SDM，只剩80端口了，没有了加密，其实还有一个办法把443端口转换一下，做个NAT，
先建一个loopback接口，然后再做NAT，把loopback的443静态转换成公网的一个其它端口，这是用SDM的时候，学到的。
interface loopback1
ip address 192.168.2.1 255.255.255.255
ip nat inside source static tcp 192.168.2.1 80 218.20.56.86 4443

SHOW PROCE CPU命令详解

2008-12-11T20:43:58+08:00

现代操作系统的两大功能：硬件控制和资源管理。
同时运行多个程序就是多任务。支持这种的就是多任务操作系统。多个程序中的一个子程序叫做一个线程。
每一个线程都有一个cpu注册值，这个值叫做context=上下文。但是可以共与其他线程享内存地址空间，占有相同地址空间的一组线程叫做进程。
一个进程控制一个子集的操作系统资源。操作系统和cpu都支持虚拟内存，每个进程都可能运行在分离的地址空间，用来保护其他进程。R>决定运行哪个进程，这叫做预留。预留经常是由一个操作系统的核心来做的，这个叫做内核。
一个操作系统会使用多个手段来预留线程。这也取决于操作系统的可选支持情况。
先进、先出是一个最简单的方式。它所占负载很小。是公平的：即所有的线程都均等，先来，就先服务。FIFO。
FIFO不适合实时的交互处理应用，实时处理需要快速、低cpuzu占用率
一种可能的解决方法是给每个进程机遇应用地绑定优先级，保证实时应用先占用cpu。
预约方式利用争抢来取代运行完整的，这个叫做争适者生存。这种操作系统叫做适者生存的多任务操作系统。
注意：上下文交换发生生在操作系统内核从cpu删除一个线程，且把其他线程填进来的时候。换
言之，上下文交换发生在电脑在当前工作下改变任务的
时候上下文交换可以使安静的执行在cpu时间的术语中，因为所有的处理器注册器必须保存给开
始拿掉cpu和还原给一开始放入cpu的线程。上下文本质是让争抢线程知道谁离开了，并让正要运行的线程知道上一个进程持续的时间
多任务争抢的好处是：他是周期性的。
他是难以打破的，没有谁可以垄断资源。
缺点是：他不如全运行完的方式有效利用。他加大了软件应用的复杂性。
show process Command 详细解释：
CPU utilization for five seconds: 98%/65%; one minute: 87%; five minutes: 49%
PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process
1 Csp 602F5488 4 472 8 2624/3000 0 Load Meter
2 ME 60542634 3192 4261 749 7756/9000 0 OSPF Hello
3 Lst 602E0E00 1408 278 5064 5632/6000 0 Check heaps
4 Cwe 602D85E0 0 1 0 5572/6000 0 Chunk Manager
5 Cwe 602E6AA8 4 11 363 5620/6000 0 Pool Manager
6 Mst 6025F148 0 2 0 5588/6000 0 Timers
7 Mwe 6001D610 0 3 0 5476/6000 0 Serial Backgroun
8 Mwe 60326EE0 0 1 011608/12000 0 OIR Handler
9 Msi 6033B2D0 0 80 0 5612/6000 0 Environmental mo
10 Lwe 6033D0A8 2272 298 7624 4916/6000 0 ARP Input
11 Mwe 604D0180 0 4 0 5544/6000 0 DDR Timers
12 Mwe 604E67A8 0 2 011596/12000 0 Dialer event
13 Lwe 60638AE8 12 2 6000 5592/6000 0 Entity MIB API
14 Mwe 600218D8 0 1 0 5632/6000 0 SERIAL A'detect
15 Cwe 602EBBB0 0 1 0 5636/6000 0 Critical Bkgnd
16 Mwe 602B0370 172 1599 10710720/12000 0 Net Background
17 Lwe 602544C8 4 27 14811404/12000 0 Logger
18 Msp 602722D8 124 2348 52 5424/6000 0 TTY Background
19 Msp 602AF8F0 24 2358 10 5756/6000 0 Per-Second Jobs
20 Msi 60333560 68 2352 28 5616/6000 0 Partition Check
21 Hwe 602AFB64 10792 15682 688 5608/6000 0 Net Input
--More-- _
• PID— 进程描述号. 每一个进程都有一个单独的数字来描述和与其他的进程相区分.
• Qty— 进程优先级和进程的状态. 第一个字母的优先级含义如下:
o K— 没有优先级，进程被杀了。
o D— 没有优先级，进程瘫了.
o X— 没有优先级, 进程中断了.
o C— 紧急优先级
o H— 高优先级.
o M— 中优先级.
o L— 低优先级.
剩下的两个字母代表当前的处理状态:
o *— cpu正在处理.
o E— 进程正在等待一个重要动作.
o S— 进程休眠了.
o rd— 进程已经在运行了.
o we— 进程idle了, 等待一个重要动作.
o sa— 进程idle了, 等待一个指定的绝对时间的产生.
o si— 进程idle了,等待一个指定的时间间隔.
o sp— 进程idle了, 等待一个指定的时间间隔(周期性的).
o st— 进程idle了,等待一个时间终止.
o hg— 进程挂起了.
o xx— 进程死了.
• PC— 当进程持续放弃cpu时程序计数注册器的内容. 这个地方写的是内存的地址用以代表进程开始执行写一次占用的cpu.值0代表正在运行.
• Runtime— 使用cpu累计时间 (毫秒级).
• Invoked— 进程的建立起进程运行在cpu的总时间
• uSecs— 每次进程使用平均cpu时间 (毫秒级).
• Stacks— 堆叠空间使用状况. 斜线右边的数字(/)表示总的堆叠空间。左边的数字代表空间利用率的最低水平线.
• TTY— 控制台设备相关的进程.0代表进程不是被控制台和通讯器相关的主系统控制台
• Process— 进程的名字.进程的名字不需要是唯一的 (一个进程的几分拷贝可以同时是激活状态的). 但是进程id号必须是唯一的。.
如果你运行了show processs命令在几个不同的ios系统, 你会发现有几个进程一直都有. 这些进程中的大多数是用来执行家务管理的或者是提供服务给其他的进程.
普通常见系统进程和他们的功能。
系统进程代号功能
EXEC console和异步口直接tty上来的命令行 (CLI). EXEC 进程提供用户输入和对接口粘贴的支持。
Pool manager 管理缓冲池
Check heaps 周期性地确认 IOS代码运行时间的完整性以及结构化内存的负载。
Per-minute jobs 一般系统进程，每60秒进行一次系统维护, 如检查系统背景进程的堆叠
Per-second jobs 一般系统进程，用以运行每秒都要重复的工作.
Critical background 紧急优先级进程，用来执行基本的系统服务, 如：当队列元素被用尽的时候，预留附加的IOS 队列元素。
Net background 发送接口keepalive包, 非扼杀端口, 和进程接口状态的改变.
Logger 查找消息 (debug, error, and informational) 通过内核排队由其他进程并输出他们到控制台以及可选的syslog服务器.
TTY background 管理直接通过tty异步连接上来的激活的和启动"EXEC"进程让他们去激活

Translate Multiple Global IP to a Single Local IP

2008-12-04T10:20:04+08:00

ciscoasa(config)#show run
: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.16.171.124 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.100.1 255.255.255.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

!--- policy_nat_web1 and policy_nat_web2 are two access-lists that match the source
!--- address we want to translate on.  Two access-lists are required, though they
!--- can be exactly the same.

access-list policy_nat_web1 extended permit ip host 192.168.100.50 any
access-list policy_nat_web2 extended permit ip host 192.168.100.50 any

!--- The inbound_outside access-list defines the security policy, as previously described.
!--- This access-list is applied inbound to the outside interface.

access-list inbound_outside extended permit tcp 172.16.171.0 255.255.255.0
   host 192.168.100.50 eq www
access-list inbound_outside extended permit icmp 172.16.171.0 255.255.255.0
   host 192.168.100.50 echo-reply
access-list inbound_outside extended permit icmp 172.16.171.0 255.255.255.0
   host 192.168.100.50 echo
access-list inbound_outside extended permit tcp any host 172.16.171.125 eq www
access-list inbound_outside extended permit icmp any host 172.16.171.125 echo-reply
access-list inbound_outside extended permit icmp any host 172.16.171.125 echo
pager lines 24
logging asdm informational
mtu management 1500
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400

!--- This first static allows users to reach the translated global IP address of the
!--- web server.  Since this static appears first in the configuration, for connections
!--- initiated outbound from the internal web server, the ASA translates the source
!--- address to 172.16.171.125.

static (inside,outside) 172.16.171.125  access-list policy_nat_web1

!--- The second static allows networks to access the web server by its private
!--- IP address of 192.168.100.50.

static (inside,outside) 192.168.100.50  access-list policy_nat_web2

!--- Apply the inbound_outside access-list to the outside interface.

access-group inbound_outside in interface outside

route outside 0.0.0.0 0.0.0.0 172.16.171.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context

PIX、NETSCREEN、ASA防火墙功能实现比较

2008-12-04T10:09:57+08:00

一、
功能比较
从以下八个方面对PIX、NETSCREEN和ASA防火墙功能做一功能描述和比较：
1、
内网安全领域主动访问外网及DMZ非安全领域
PIX防火墙：通过定义区域的安全优先级来实现高安全优先级对低安全优先级的主动任意访问。
NETSCREEN防火墙：通过区域策略实现安全区域对非安全区域的主动访问。
ASA防火墙: 通过定义区域的安全优先级来实现高安全优先级对低安全优先级的主动访问，但ICMP需要双相开通相应策略。
2、
外网对内网及DMZ区提供的专项服务的访问。
PIX防火墙：通过静态映射（static）和策略（conduit）来实现外网对内网及DMZ专项服务的访问限制。
NETSCREEN防火墙：通过对外网端口MIP和访问策略（set policy）来实现外网对内网及DMZ专项服务的访问限制。
ASA防火墙: 通过静态映射（static (inside,outside)）和策略（access-list）来实现外网对内网及DMZ专项服务的访问限制。
3、
内网地址转换
PIX防火墙：通过映射命令（net、global）来实现内网地址的转换。
NETSCREEN防火墙：通过对外网端口MIP、VIP和DIP实现内部地址的转换。
ASA防火墙：通过映射命令（net、global）来实现内网地址的转换。
对于同一个地址访问不同目的地时所转换地址不同的应用需求，ASA使用策略NAT实现：
access-list inside_pnat_outbound_V1 extended permit ip host 2.6.6.7 host 2.6 .5.218
nat (inside) 38 access-list inside_pnat_outbound_V1
access-list inside_pnat_outbound extended permit ip host 2.6.6.7 host 2.6.5.35
nat (inside) 35 access-list inside_pnat_outbound
4、
策略的定义
PIX防火墙：通过策略命令（conduit）来定制访问策略，实现Ip及端口的访问限制。
NETSCREEN防火墙：通过对访问策略（set policy）实现Ip及端口的访问限制。
ASA防火墙：通过策略命令（access-list）来定制访问策略，实现Ip及端口的访问限制。
5、
路由的实现
PIX防火墙：通过route outside 、route inside来实现内外网的访问路由。
NETSCREEN防火墙：通过set route来实现内外网的访问路由。
ASA防火墙：通过route outside 、route inside来实现内外网的访问路由。
6、
管理地址的定义
PIX防火墙：通过telnet来实现管理地址的指定。
NETSCREEN防火墙：通过绑定到端口的manager IP来实现管理地址的制定。
ASA防火墙：通过绑定到端口的manager IP来实现管理地址的制定。可以是MGMT端口，也可以定义为inside口、outside口或DMZ口。
7、
防火墙备份的实现
PIX防火墙：通过failover来实现硬件冗余。
NETSCREEN防火墙：通过定义NSRP集群和VSD组来实现硬件冗余。
ASA防火墙：通过failover定义来实现硬件冗余。
8、
防火墙配置的备份和恢复。
PIX防火墙：通过命令erase all即可删除防火墙上所以配置，使其恢复到出厂设置状态。通过在命令行内直接粘贴备份的配置文件即可自动恢复配置。
NETSCREEN防火墙：在非HA模式下，通过命令unset all即可删除防火墙上所以配置，使其恢复到出厂设置状态。通过在命令行内直接粘贴备份的配置文件即可自动恢复配置。
ASA防火墙：通过命令erase all即可删除防火墙上所以配置，使其恢复到出厂设置状态。通过在命令行内直接粘贴备份的配置文件即可自动恢复配置。
二、具体配置对照表如下：

序列	功能说明	PIX配置	NETSCREEN配置	ASA配置
1	定义区域	nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security80	set interface "ethernet1" zone "Trust" set interface "ethernet2" zone "DMZ" set interface "ethernet3" zone "Untrust"	在接口状态下配置：interface GigabitEthernet0/1 nameif DMZ security-level 30 ip address 2.6.7.1 255.255.255.0
2	HA	failover failover timeout 0:00:00 failover ip address outside 2.16.253.4 failover ip address inside 2.6.1.82 failover ip address dmz 2.16.1.130 failover ip address wan 2.16.1.4	set nsrp cluster id 1 set nsrp rto-mirror sync set nsrp vsd-group id 0 priority 100 set nsrp monitor interface ethernet1 set nsrp monitor interface ethernet3	failover failover lan unit primary failover lan interface HA GigabitEthernet0/3 failover mac address GigabitEthernet0/1 0018.1900.5000 0018.1900.5001 failover mac address GigabitEthernet0/2 0018.1900.6000 0018.1900.6001 failover mac address Management0/0 0018.1900.7000 0018.1900.7001 failover mac address GigabitEthernet0/0 0018.1900.4000 0018.1900.4001 failover link HA GigabitEthernet0/3 failover interface ip HA 60.60.60.1 255.255.255.0 standby 60.60.60.2
3	日志	logging trap critical logging facility 20 logging host inside 2.6.1.2	set syslog config "2.6.1.253" "local0" "local0" "debug" set syslog enable set syslog traffic	logging trap critical logging facility 20 logging host inside 2.6.1.2
4	端口区域绑定和IP定义	ip address outside 2.16.253.3 255.255.255.0 ip address inside 2.6.1.81 255.255.255.0 ip address dmz 2.16.1.129 255.255.255.128	set interface "ethernet1" zone "Trust" set interface "ethernet2" zone "DMZ" set interface "ethernet3" zone "Untrust" set interface ethernet1 ip 2.6.1.81/24 set interface ethernet2 ip 2.16.1.129/28 set interface ethernet3 ip 2.16.253.3/24 set interface ethernet3 route	interface GigabitEthernet0/0 nameif outside security-level 0 ip address 2.6.5.216 255.255.255.0
5	内网到外网允许访问	nat (inside) 0 0.0.0.0 0.0.0.0 0 0	set policy id 4 name "ANY1" from "Trust" to "Untrust" "Any" "Any" "ANY" Permit	access-list inside_access_in extended permit ip any any
6	静态映射	static (inside,outside) 2.16.1.38 2.6.2.38 netmask 255.255.255.255 0 0 ……..	set interface "ethernet3" mip 2.16.1.38 host 2.6.2.38 netmask 255.255.255.255 vr "trust-vr"	static (inside,outside) 2.6.5.215 2.6.6.6 netmask 255.255.255.255
7	策略	conduit permit tcp host 23.168.1.38 eq telnet host 2.16.253.55	set policy id 6 name "U-T ICMP" from "Untrust" to "Trust" "2.16.253.55/32" "MIP(2.16.1.38)" "TELNET" Permit	access-list DMZ_access_in extended permit tcp host 2.6.7.11 eq ftp host 2.6. 6.7 eq ftp
8	路由	route outside 0.0.0.0 0.0.0.0 2.16.253.8 1	set route 0.0.0.0/0 interface ethernet3 gateway 2.16.253.8 1	route outside 0.0.0.0 0.0.0.0 2.6.5.1 1
9	SNMP	snmp-server host inside 2.6.1.253 snmp-server location XianWailian snmp-server contact FangHaitao snmp-server community 111 snmp-server enable trap	set snmp community "INSIDE" Read-Write Trap-on traffic set snmp host "INSIDE" 2.6.1.253 255.255.255.255 set snmp location "FangHaitao" set snmp contact "XianWailian" set snmp name "ns204"	snmp-server host inside 2.6.1.253 snmp-server location XianWailian snmp-server contact FangHaitao snmp-server community 111 snmp-server enable trap
10	TELNET	telnet 2.64.5.76 255.255.255.255 telnet timeout 10	set admin manager-ip 2.64.5.76 255.255.255.255 NETSCREEN 通过指定IP地址来限制可 telnet到防火墙的终端。	telnet 2.64.7.0 255.255.255.0 DMZ telnet 2.64.6.0 255.255.255.0 inside

路由器打环测试教程

2008-12-04T09:45:31+08:00

环回测试是很常用的一种测试，通常用于检查和分析端口或线路问题。如下图所示，我们在设备端口上用命令loopback（某些端口上命令格式为loopback diagnostic)使接口从内部将自己发送的信号转接到自己的接收端(如红线所示)，通过检查数据发送和接收的情况来判断端口工作状态是否正常。如果需要对端口进行完全的检测，可以使用符合标准的短跳线将端口收发短接构成环。如果端口正常，可以将线路的一部分或全部包括到环中进行测试，即在线路中的某个点上进行短接构成环(如紫红色线所示)。这些点可以是在配线架、CSU/DSU、传输设备等之上。在某些类型的端口上，还可以用命令 loopback line 在端口上将对方发送的信号转接到对方的接收短，构成测试环。

    观察环回测试成功与否，首先看端口有没有形成环，如用命令 show interface 看看端口是不是已经从down状态变到up状态，状态中有没有“(looped)”的字样。端口的某些封装形式，如串行口上的PPP、帧中继等封装会检测环路，阻止端口变成up状态，所以可能要临时改为HDLC封装以便进行测试。

    其次是通过ping 产生一定的流量，观察有没有丢包，show interface 检查端口计数器有没有显示input/output错误，有没有CRC、Frame等错误。注意在点对点类型的端口上ping 路由器本身的地址比ping 对端路由器的地址延时要小一半，原因可以参考下面的分析。在ATM等二层端口上不能直接产生测试数据包，可能需要额外的配置，如在8500交换机上可以这样配置:

    interface atm 1/0/0        //需要进行环回测试的ATM二层端口
     !
    inter atm 0.1 point-to-point
     atm pvc 0 100 interface atm 0/1/0 0 100 encap aal5snap
     ip address 172.31.20.1 255.255.255.0
     !

    如果测试发现有丢包情况，可以通过命令show controller了解更多细节情况。如以下命令显示了某ATM端口上的BIP错误情况：

    Router>show controllers atm 3/0/3
    IF Name: ATM3/0/3    Chip Base Address: BC38E000
    Port type: OC3    Port rate: 155000 Kbps    Port medium: MM Fiber
    Port status:Good Signal    Loopback:None    Flags:8308
    ...
      Key: txcell - # cells transmitted
           rxcell - # cells received
           b1     - # section BIP-8 errors
           b2     - # line BIP-8 errors
           b3     - # path BIP-8 errors
           ocd    - # out-of-cell delineation errors - not implemented
           g1     - # path FEBE errors
           z2     - # line FEBE errors
           chcs   - # correctable HEC errors
           uhcs   - # uncorrectable HEC errors

    txcell:275849733, rxcell:143010088
    b1:26, b2:104, b3:34, ocd:0
    g1:12, z2:0, chcs:0, uhcs:20
    ...

    一般而言，环回测试直接了当：观察有没有象意料中的一样形成环，形成环之后有没有发现传输错误，然后根据测试结果调整线路或者设备。但是有的时候，环路测试的结果比较有迷惑性，下面举两个例子：
    有一次在通讯机房里做环路测试，从本地E1传输设备上到本地路由器做环测试没有问题，从本地E1传输设备到远端路由器做环测试也没有问题，但从远端E1传输设备到本地路由器之间打环测试就会丢包。由于从本地E1传输设备到远端路由器做环测试没有问题，所以本地E1传输设备和远端E1传输设备之间的线路不应该有问题，但只要将这段线路包括进来之后测试就会出现丢包。最后发现原来是这个通讯机房里安装了微波传输设备，干扰大，线路屏蔽不好所以出现丢包。
    另外一次是一台8540 ATM 交换机和12406路由器ATM端口通过一段短短的尾纤相连却发现大量CRC错误，更换了端口模块、尾纤都没有排除故障，反复观察才发现原来8540交换机的时钟同步信号存在问题。

    还有一个特殊情况就是3750、3550、2950等以太网交换机在端口上发送keep alive信息以检查端口是否激活，如果端口被环回，按照默认的错误检测处理(errdisable)规则，端口将会关闭。除非设置了错误恢复(errdisable recovery)功能，否则在管理员干预之前端口不会恢复到正常工作状态。更严重的是网络中短暂的环路（如错误的连接、生成树配置错误）等都会引发这个错误，所以建议用端口配置命令no keepalive关闭端口激活检测或通过全局配置命令no errdisable detect cause loop 防止因环回错误关闭端口，中断网络连接。

附：点对点端口上的ping 数据观察与分析(ping 对端地址需要一个来回，ping 自己的地址需要两个来回)
    测试情况，R1端口地址为172.31.20.1，对端R2地址为172.31.20.254
    R1#ping
    Protocol [ip]:
    Target IP address: 172.31.20.254 //ping R2地址
    Repeat count [5]: 1
    ...
    Sending 1, 100-byte ICMP Echos to 172.31.20.254, timeout is 2 seconds:
    !
    Success rate is 100 percent (1/1), round-trip min/avg/max = 8/8/8 ms
    (debug 输出)
    Apr 10 12:19:03.994: IP: s=172.31.20.1 (local), d=172.31.20.254 (Serial4/0/0), len 100, sending
    Apr 10 12:19:03.994:     ICMP type=8, code=0 R1发出一个Echo Request(type=8)，R2收到后以Echo Reply 相应
    Apr 10 12:19:04.002: IP: s=172.31.20.254 (Serial4/0/0), d=172.31.20.1 (Serial4/0/0), len 100, rcvd 3
    Apr 10 12:19:04.002:     ICMP type=0, code=0 R1收到Echo Reply(type=0)，计算延时(002-994=8ms)。

    R1#ping
    Protocol [ip]:
    Target IP address: 172.31.20.1 //ping R1自己的地址
    Repeat count [5]: 1
    ...
    Sending 1, 100-byte ICMP Echos to 172.31.20.1, timeout is 2 seconds:
    !
    Success rate is 100 percent (1/1), round-trip min/avg/max = 16/16/16 ms
    (debug 输出)
    Apr 10 12:18:00.106: IP: s=172.31.20.1 (local), d=172.31.20.1 (Serial4/0/0), len 100, sending
    Apr 10 12:18:00.106:     ICMP type=8, code=0 R2发出一个Echo Request(type=8)
    Apr 10 12:18:00.114: IP: s=172.31.20.1 (Serial4/0/0), d=172.31.20.1 (Serial4/0/0), len 100, rcvd 3
    Apr 10 12:18:00.114:     ICMP type=8, code=0 R2收到Echo Request，判断的目标地址为R1，所以将包发回
    Apr 10 12:18:00.114: IP: s=172.31.20.1 (local), d=172.31.20.1 (Serial4/0/0), len 100, sending
    Apr 10 12:18:00.114:     ICMP type=0, code=0 R1收到自己发出的Echo Request，以Echo Reply(type=0)相应并通过端口发送
    Apr 10 12:18:00.122: IP: s=172.31.20.1 (Serial4/0/0), d=172.31.20.1 (Serial4/0/0), len 100, rcvd 3
    Apr 10 12:18:00.122:     ICMP type=0, code=0 R2将包发回。R1收到Echo Reply (type=0),计算延时(112-106=16ms)。