我从4月2日开始到4月13日参加CISCO针对SP的内部培训。个人觉得收获良多，现把一些内容进行了整理。笔记是以日记形式完成的，有点零乱，因为培训还没结束。等结束了再重新整理一下，大家有空先帮我补充和更正，谢谢。
原文发在我的MSN SPACE，大家也可以去那里看看。http://share-by-chengjisi.spaces.live.com/
我每天早上到那里都能看到老V带了一群考生进去，那里应该有泰克的XDJM吧，只是我认不出，呵呵。恭喜那些通过考试的！！！

北京之行(第一天) 又要去北京了！！！
从4月2日开始参加CISCO举办的为期2个星期的内部培训。内容多种多样，讲师就更牛了：中国第一个CCIE，哈。从技术介绍到排错思路讲解，希望2个星期过后，我能有个提高。
从这里开始我会把每天学到的东西记录在SPACE里，大家一起看看，就当是做笔记，呵呵。
今天是培训的第一天，做一下基础介绍。主要内容是怎么开CASE和做RMA，然后参观TAC机房。内容其实都知道，参观的机房的确牛。能想象到的设备都有了，这样就能重现客户的故障。早上上东方广场19楼的时候在电梯里碰到老V了，晕。


北京之行(第一天) CISCO的LAB 图片是CISCO TAC部门的设备。他们用这些设备来重现客户网络的故障。设备很全，从低端的1721到最高的CRS-1。最搞笑的是看到一组25系列路由器和一组26系列路由器。他们工程师说是用来给工程师考CCIE用的LAB。看来CISCO在考试方面投资的LAB也一般嘛，哈哈。
这次的培训的确非常好，为我们培训的都是CISCO经理级别以上的人，有中国人，也有外国人。还有中国第一个CCIE，孙晖。以及让人印象深刻的是TAC的经理罗有应，他们不论在技术上还是在个人魅力，以及在各种事务的看法上都非常强，向他们致敬！向他们学习！


北京之行(第二天) LAN SWITCHING部分1 今天讲的是LAN SWITCHING部分。以下是一些比较重要的知识点：
1：在SUP引擎和机框BUS之间有一个叫“PINNACLE”的芯片作为承上启下的作用。它有两条UPLINK线路连接到D-BUS（传输数据）和R-BUS（传输处理结果）。还有4条线路分别连接引擎第一G口，引擎第二G口，SP处理器和RP处理器，线路名称为1-4。可以通过命令show platform catture buffer asic pinnacle slot <引擎槽位> port <线路号> ……以查看到底哪些数据包交给处理器处理。这在解决CPU HIGH的问题上非常有用。
2：在三层交换机口上输入命令NO SWITCHPORT，似乎可以模拟成三层口。但从交换机内部来看，这个三层口其实也是一个VLAN接口。只是这个VLAN口被映射到一个单一的物理口上。可以用show interface vlan usage查看。
3：导致CPU HIGH的问题有如下几种：
1）.配置问题：配置造成本应由硬件转发的数据包被发送到CPU进行软件转发。
2）.硬件问题：可能是流量太大超过硬件处理能力；ACL过多超过TCAM容量；ACL里使用不被TCAM识别的命令参数（如LOG）
3）.流量问题：异常流量造成interrupt进程不停中断CPU处理。
解决办法是在MSFC前做RATE-LIMIT限制CPU处理的数据类型。命令：mls rate-limit ……
4：以下命令在某些情况下可以降低CPU HIGH：no ip redirect；no ip unreachable。
5：ARP攻击会造成CEF SCANNING进程非常高，因为该进程中的线程arp update会不停更新ARP信息。

笔记暂时就这点，等整理好后会更新。一直觉得LAN技术真的非常博大精深！！！

北京之行(第三天) LAN SWITCHING部分2 晕倒，今天讲了一天STP……无聊死了。本来STP就很熟了，但今天的讲师又实在一般，表达能力超级差。看来TAC里也有一些可能技术理论很高，但表达能力和沟通能力很差的工程师呢。这年头，不论是做售前还是售后的，表达能力和沟通能力都是必须的！现在已经不需要那些埋头研究技术而不会沟通的工程师了……



北京之行(第四天) CRS-1和IOX 昨天讲解了CRS-1。作为CISCO最新一代的核心路由器，它采用了分布式设计，也就是类似一拖N的设备组建方式。IOS也变成了类似UNIX主机样的模块式软件。看来分布式部署真的是以后的大势所趋。但好象CISCO又落伍了，因为JUNIPER在T640上早已使用分布式部署了，而他们的JUNOS系统一直就是模块化的操作系统。看来以后CISCO和JUNIPER的竞争会愈加激烈呢。

北京之行(第五天) 安全 今天讲解安全，主要分成二层安全、IPSec VPN、CA。讲师叫王艳奇，像MM样的名字，但却是一个帅哥，而且还是个激情四射的优秀讲师！原先一直认为安全的课会比较枯燥，但由于这个讲师，今天的安全课收获良多。
以前一直认为安全就是安全设备（PIX，IDS，IPS……）的堆砌，但这个概念是不正确的！安全应该是一个集合，一个合理有效的POLICY，在这个POLICY的指导下，才能在合理的地方使用合理的安全设备。同时设计网络时应该同时考虑安全，而不是等网络设计好了，再去考虑安全，这样会造成漏洞和性能瓶颈。
二层安全主要讲了以下内容：
1：TRUNK欺骗：主机模拟TRUNK协商，使用DTP漏洞获取非法信息。解决方法是关闭DTP。
2：802.1Q欺骗：利用NATIVE VLAN的漏洞（很多网络把NATIVE VLAN设成VLAN 1），把攻击信息发到VLAN 1的用户。解决办法是改变NATIVE VLAN。
3：CAM表拥塞攻击：利用CAM表满后，交换机会泛洪转发所有包的原理，恶意添满CAM表，获取别人的信息。解决办法是使用PORT-SECURITY。
4：DHCP 地址攻击：利用虚拟MAC地址，恶意获得大量DHCP地址，造成正常主机获取不到地址。解决办法是用：DHCP OPTION 82 技术、DHCP SNOOPING技术和PORT-SECURITY技术。
5：DHCP DOS攻击：使用大量流量攻击DHCP SERVER。解决办法是用DHCP SNOOPING RATE-LIMIT。
6：DHCP 中继攻击：使用虚假DHCP SERVER，提供用户虚假的IP地址，获取信息，解决办法是：DHCP SNOOPING TRUST/UNTRUST。
7：IP 源地址欺骗。解决办法是IP VRF。
8：CDP漏洞。很容易造成设备信息泄露，建议关闭。
IPSec VPN内容如下：
1：AH用于保证数据完整性，ESP用于加密，但ESP里也可以借用HMAC以保证数据完整性。
2：IKE用于保护IPSec的协商信息及控制信息，IPSec用于保护应用流。
3：IKE PHASE1用于加密协商IKE通道，IKE PHASE2用于加密协商IPSec通道。

北京之行(第六天上午) GUARD 今天讲了GUARD。也就是CISCO出的一种硬件流量过滤设备。它分为BOX和LINECARD两种类型，但功能都是一样的。通过检测设备，发现攻击行为后，就把流量引到GUARD，通过过滤后再把正常流量回注到网络中。设备不错，但和交换背板的连接带宽只有2G，似乎小了点哦！

北京之行（第六天下午）GSR第一部分 下午是GSR的培训。内容如下：
1：一个GSR 12400系列有2个CSC，3个SFC。CSC提供时钟校对、数据交互调度和一个数据传输通道。SFC是交换矩阵，提供数据交互。
2：第1和第2 CSC互相备份时钟系统，第1 2 3 SFC和第2 CSC都运行数据传输通道，并由第1 CSC的数据传输通道提供备份。
3：ALARM卡提供警告功能，并提供设备硬件检测管理。
4：PRP/GRP 通过路由信息表RIB，计算出转发信息表FIB。LC卡通过与PRP/GRP交互信息，下载该FIB表，并负责转发数据包。也就是PRP/GRP负责计算转发表，LC卡负责实际转发，除非LC的CPU无法处理才会转交PRP/GRP的CPU处理。当然，PRP/GRP也有接口，但并不建议把它作为数据转发口，因为转发使用的是PRP/GRP的CPU资源，容易造成CPU HIGH。
5：PING RP自己的端口会丢包，PING直连对端接口却不丢包的原因：由于RP处理PING包是由CPU处理，而在GSR的设计上认为PING自己的包不安全，所以优先级很低，当在经过CPU时就内部执行RATE-LIMIT，开始丢包了。而PING直连对端接口则是由LC的CPU执行，所以不会进行限制，也就没有丢包了。如果要测试线路性能，应该用穿越设备的PING包进行测试，而不用目标为本地的包。



北京之行（第七天）GSR第二部分 今天讲了GSR的安全部分，发现QOS真是无处不在。大到一个LC的接口，小到RP的CPU数据传输通道，到处都有QOS在运行。LC接口的QOS支持也越来越多。而在去往RP CPU的传输通道上都是严格的PQ。从最早的E2支持的一个Queue，到E4/E4+/E6支持了8个Queue。现在的应用种类越来越多，不做QOS不可想象！


北京之行（第八天）QOS 今天讲了GSR的QOS部分。GSR的QOS与普通的ROUTER的确有不同的地方。普通的ROUTER只能针对出方向做QOS。但GSR就分成两部分：LC1——>FABRIC——>LC2。从LC1到FABRIC是进方向的QOS，从FABRIC到LC2是出方向的QOS。进方向QOS是针对LC做的，目的是限制LC进方向的流量不把出方向的LC拥塞。而出方向的QOS是针对LC上的接口做的，目的是不把出口链路拥塞。由于FABRIC只是个硬件转发矩阵，没有缓存。所以所有QOS都是在LC上做的。