CISCO AAA命令详解
AAA详解收藏
Authentication:用于验证用户的访问,如login access,ppp network access等。Authorization:在Autentication成功验证后,Authorization用于限制用户可以执行什么操作,可以访问什么服务。
Accouting:记录Authentication及Authorization的行为。
Part I. 安全协议
1>Terminal Access Controller Access Control System Plus (TACACS+)
Cisco私有的协议。加密整个发给tacacs+ server的消息,用户的keys。
支持模块化AAA,可以将不同的AAA功能分布于不同的AAA Server甚至不同的安全协议,从而可以实现不同的AAA Server/安全协议实现不同的AAA功能。
配置命令:
Router(config)# tacacs-server host IP_address [single-connection] [port {port_#}] [timeout {seconds}] [key {encryption_key}]
Router(config)# tacacs-server key {encryption_key} 注:
(1)single-connection:为Router与AAA Server的会话始终保留一条TCP链接,而不是默认的每次会话都打开/关闭TCP链接。
(2)配置两个tacacs-server host命令可以实现tacacs+的冗余,如果第一个server fail了,第二个server可以接管相应的服务。第一个tacacs-server host命令指定的server为主,其它为备份。
(3)配置inbound acl时需要permit tacacs+的TCP port 49。
(4) 如果两个tacacs-server使用不同的key,则需要在tacacs-server host命令中指定不同的encryption_key,否则可以使用tacacs-server key统一定制。但tacacs-server host命令中的key 定义优先于tacacs-server key命令。
Troubleshooting:
命令:
#show tacacs
#debug tacacs 关于TACACS+的操作信息。
#debug tacacs events 比debug tacacs更详细的信息,包括router上运行的TACACS+ processes 消息。
Router# show tacacs
Tacacs+ Server : 10.0.0.10/49
Socket opens: 3
Socket closes: 3
Socket aborts: 0
Socket errors: 0
Socket Timeouts: 0
Failed Connect Attempts: 0
Total Packets Sent: 42
Total Packets Recv: 41
Expected Replies: 0
No current connection
2>Remote Authentication Dial-In User Service (RADIUS)
RADIUS是一个开放的标准,定义于RFC 2865和2865。
RADIUS使用一个共享的密钥,并且只加密用户的keys,而不是TACACS+的整个AAA消息。用户的keys不会明文在网络上传递。
RADIUS应用范围:
(1)使用multiple vendors设备,并且需要一个单独的安全协议用于AAA。
(2)需要实现资源记录,如跟踪用户登录router多长时间及用户访问网络多长时间。
(3)smart card authentication systems只支持RADIUS。
(4)在用户初始化访问一个设备时,对他进行preauthentication。
RADIUS的使用限制:
(1) 不支持Apple Talk's Remote Access Protocol(ARAP),the NetBIOS Frame Control Protocol(NBFCP),NetWare's Asynchronous Serveices Interface(NASI)及X.25 PAD链接。
(2)RAIUDS不支持模块化AAA操作,即只可以使用RADIUS来完成全部的AAA操作。
(3)只支持one-way authentication.不支持two-way authentication(如:两个router之间的PPP CHAP Authentication).
(4)RADIUS将Authentication及Authorization功能集成为"Authentication"。
配置命令:
Router(config)# radius-server host IP_address [auth-port {port_#}] [acct-port {port_#}] [timeout {seconds}] [retransmit {retries}] [key {key_value}] [alias {hostname | IP_address}]
Router(config)# radius-server timeout {seconds}
Router(config)# radius-server retransmit {retries}
Router(config)# radius-server key {key_value}
注:
(1)RADIUS Server daemon监听Authentication消息默认使用UDP 1645.Authorization消息默认使用UDP 1646.
(2)配置inbound acl以permit UDP 1645/1646。
(3)RFC 2026中指出,RADIUS也可能使用UDP 1812/1813,一些新的RADIUS Server同时监听UDP 1645/1646及UDP 1812/1813。所以配置router inbound acl以permit相应的端口。(4)RADIUS默认timeout为5s,retransmit为3.
Troubleshooting:
show radius statistics
debug radius [brief]
加上brief参数功能类似于debug tacacs命令,不加则类似于debug tacacs event命令。Router# show radius statistics
Auth. Acct. Both
Maximum inQ length: NA NA 1
Maximum waitQ length: NA NA 1
Maximum doneQ length: NA NA 1
Total responses seen: 5 0 5
Packets with responses: 5 0 5
Packets without responses: 0 0 0
Average response delay(ms): 1880 0 1880
Maximum response delay(ms): 6540 0 6540
Number of Radius timeouts: 0 0 0
Duplicate ID detects: 0 0 0
3>Kerberos
其中TACACS+及RADIUS全面支持AAA。Kerberos只支持Authentication。
Item TACACS+ RADIUS Comparison
Connection TCP UDP UDP has less overhead; however, with TCP, TACACS+ more quickly can detect a failed server and switch over to a backup. TCP can do this by having the router look for an RST (closed connection) message or by using TCP keepalives.
Encryption Payload Passwords TACACS+ is more secure because it encrypts the entire payload, which includes all user and AAA message information; RADIUS encrypts only passwords, so everything else, including usernames and other account information, is sent in clear text. Authentication and authorization Separate Combined RADIUS combines authentication and authorization functions, which means that you must use the same server or group for these functions. TACACS+ separates them, giving you more control over the server that handles these functions.
WAN protocols PPP, ARAP, NetBIOS, NASI, and X.25 PAD PPP and SLIP TACACS+ is better suited for remote-access situations that involve multiple dialup protocols, whereas RADIUS supports only PPP and SLIP.
Router command authorization Yes No TACACS+ enables you to control what commands an authenticated user can execute on a router; RADIUS does not.
Accounting Basic Advanced The one big advantage that RADIUS has over TACACS+ is its robust accounting, which is why many ISPs use it to monitor PPP connections.
Part II. Server Groupings
默认使用tacacs-server host或radius-server host命令配置的AAA Server都是按命令出现的顺序分为主/备服务器,可以使用aaa group server radius/tacacs+命令覆盖实现部分配置的host 做为验证server。同时可以实现不同的aaa group实现不同的AAA功能,如group1实现Authentication,group2实现Authorization等。
配置命令:
Router(config)# aaa group server radius | tacacs+ {group_name}
Router(config-sg)# server {IP_address | hostname} [auth-port {port_#}] [acct-port {port_#}]
注:
(1)不能在aaa group server中混合使用多种安全协议。
Part III. Authentication
router支持authentication以下两种基本的访问模式。
1>Character mode:用户通过console, auxiliary, TTY, or VTY线路获得到router的user或privileged EXEC访问。
2>Packet mode:用户通过使用PPP, SLIP, ARAP, NASI, NetBIOS, or X.25 PAD等远程访问协议建立一个data-link layer链接。
Method lists:
指定一系列的认证方式。如group tacacs+,group radius,local,none等。
每个authentication命令最多只能同时使用4种认证methods。
认证的结果:
Success:此method可达,且用户通过验证。
Fail:此mothod可达,但用户验证失败。
Error:有两种情况
(1)此mothod中指定的aaa server group中的一个AAA Server不可达,第二个AAA Server 被尝试。
(2)此mothod指定的方式不存在,或AAA group中的所有的servers都不可达。
注:
1>如果router试图访问的所有mothods结果都是unsuccessful,则router acl会自动deny以后的authentication request。
2>如果指定的mothod是local,且没有与用户提供的用户名相匹配的username,则验证结果为Error。
Authtication Command Syntax:
aaa authtication login {认证列表名称} {验证方法}
{认证列表名称}
default:默认的authentication认证方式。
name:指定特定的认证方式列表,实现更具体的认证。
{验证方法}
enable使用enable帐号密码验证
group:使用Server Group验证
krb5:使用kerberos V验证
krb5-telnet:使用kerberos V验证telnet
line:使用线路密码验证
local:使用本地帐号密码验证
local-case:使用本地帐号密码验证(区分大小写)
none:不进行验证
aaa authentication enable default {验证方法}
{验证方法}
enable
group
line
none
aaa authentication ppp {认证列表名称} {验证方法}
{认证列表名称}
default:默认的authentication认证方式。
name:指定特定的认证方式列表,实现更具体的认证。
{验证方法}
group
if-needed:如果用户已经通过tty线路身份验证,则在此不验证用户身份,直接通过
krb5
local-case
local
none
Authtication Configuration:
Router(config)# aaa new-model
Router(config)# aaa authentication login {default | list_name} method1 [method2...]
Router(config)# aaa authentication enable default method1 [method2...]
Router(config)# line [aux | console | tty | vty] start_line_# [end_line_#]
Router(config-line)# login authentication {default | list_name}
Router(config-line)# timeout login response {seconds}
Method Keyword Description
enable The password in the enable secret or enable password commands is used to perform the authentication.
line The line password command, on the line that the user is trying to access, is used to perform authentication.
local The username commands are used to perform authentication.
local-case The username commands are used to perform authentication. However, the username that the user enters is treated as case sensitive.
none No authentication is performed.
group radius All configured RADIUS servers can be used to perform authentication.
group tacacs+ All configured TACACS+ servers can be used to perform authentication.
group group_name Only servers in the specified aaa group server command are used to perform authentication.
注:
1>aaa authentication login:User EXEC Authentication
2>aaa authentication enable:Privileged EXEC Authentication
3>timeout值为cisco router等待多长时间将此认证method认为是error。默认timeout为30s,取值范围1~300s。
4>上图列出的methods,aaa authentication enable不支持local和local-case。
Username and Password Prompts:
默认用户登录时,cisco会给出这样的提示符:
Username:
Password:
可以使用以下命令修改这些默认的提示:
Router(config)# aaa authentication username-prompt {prompt_string} Router(config)# aaa authentication password-prompt {prompt_string}
注:
TACACS+/RADIUS Server也支持修改默认的提示符,如果同时配置aaa authentication username-prompt/password-prompt命令和TACACS+/RADIUS Server配置,则cisco优先使用TACACS+/RADIUS Server配置的prompt。
Login Banners:
可以使用aaa来代替默认用banner命令配置的登录提示消息:
Router(config)# aaa authentication banner {stop_character message stop_character} 注:最多支持2996个字符。
也可以修改用户在输入无效的用户名/密码时的提示:
Router(config)# aaa authentication fail-message {stop_character message stop_character}
注:最多支持2996个字符。
Login Attempts:
默认cisco router允许用户尝试3次登录,最后disconnect用户的链接。可以使用以下命令修改允许尝试的次数:
Router(config)# aaa authentication attempts login {#_of_attempts} 注:
1>可配置的次数为1~25。
2>推荐将网络外接设备的login attempts次数修改为1,这样可以减少对密码暴力破解的机会。
Authentication Troubleshooting:
Router# debug aaa authentication
Part IV. Authorization
Authorization Command Syntax:
aaa authorization {授权类型} {授权列表名称} {授权方法}
{授权类型}
auth-proxy:当用户成功通过authentication后,此method允许用户通过router/firewall建立到链接的其它网络的多个链接,具体的的链接数在AAA Server端配置实现。
commands:限制用户可以在router上执行的命令。
config-commands:限制用户可以在router上执行的配置命令。
exec:限制用户到router的EXEC访问。其主要用于dialup环境,用户使用PPP的PAP/CHAP 认证方式,在通过认证后通过router访问网络,此处可以限制其在通过认证后,只能实现网络访问,而不能EXEC到router。
network:当用户通过authentication并获得一个EXEC,其就可以在一个dailup接口上建立一个PPP/SLIP连接。此method用于限制此种行为。
reverse-access:在通过authentication后,此method可以限制用户使用router的虚拟终端反向telnet到其它设备上。
ipmobile:配置对mobile链接的授权。
configuration:限制对AAA服务的配置。
{授权列表名称}
default:默认的authentication认证方式。
name:指定特定的认证方式列表,实现更具体的认证。
{授权方法}
group
if-authtication:如果用户通过了authentication,则允许它执行相应的操作。
local
none
Authorization Configuration:
Router(config)# aaa authorization commands {level_#} {default | list_name} [method1 [method2...]]
Router(config)# line [aux | console | tty | vty] start_line_# [end_line_#]
Router(config-line)# authorization commands {level_#} {default | list_name}
Method Keyword Description
local The username commands are used to perform authorization.
none No authorization is performed. This parameter is typically not used.
group radius All configured RADIUS servers can be used to perform authorization.
group tacacs+ All configured TACACS+ servers can be used to perform authorization.
group group_name Only servers in the specified aaa group server command are used to perform authorization.
Configuration Mode Command Authorization:
一般情况使用aaa authorization后,用户执行的每个命令都被aaa限制执行,这可能对configure termianl模式的命令有一些影响,可以使用下面命令使aaa authorization忽略对
configure termianl模式的命令的限制:
Router(config)# no aaa authorization config-commands
Authorization Troubleshooting:
Router# debug aaa authorization
Part V. Accounting
配置accouting主要有两部分:
1>type of accouting:记录哪些信息。
2>method:将记录的信息发送到哪。
Accouting Command Syntax:
aaa accouting {统计类型} {统计列表名称} {统计记录方式} {统计方法}
{统计类型}
commands {level}:记录用户执行的所有的命令,包括privilege/configuration mode命令。connection:记录router通过Telnet, LAT, TN32760, PAD, and rlogin等方式建立的到其它设备的链接信息。信息包括建立链接的用户名,日期/时间及在建立的链接上执行的命令。exec:记录router的EXEC会话信息。信息包括用户名,会话起始日期和时间,用户设备的IP。
network:记录dialup链接的信息,如PPP/SLIP。信息包括相应链接的packets数目及bytes 数目。
resource:记录dialup链接信息及phone call的资源信息。
system:记录system-level事件。如接口up/down,router reload,accouting被启用/禁止。{统计列表名称}
default:默认的authentication认证方式。
name:指定特定的认证方式列表,实现更具体的认证。
{统计记录方式}
start-stop:在事件开始和结束时都建立相应的记录。先执行后记录。
stop-only:只在事件结束时建立相应的记录。
none:禁用对特定服务的记录。
wait- start:类似于start-stop,在事件开始和结束时都建立相应的记录。不同的是此模式只在成功链接到AAA Server并能实现记录时才允许用户执行相应的事件,否则等待。即:先记录后执行。(此模式在Cisco IOS 12.1及以后的版本中被移除,并不再支持)
{统计方法}
group
Methods of Accounting:
RADIUS
TACACS+
注:
1>只能使用以上两种method在aaa accouting中。
2>Cisco的RADIUS实现不能实现aaa accouting,只能使用TACACS+。
Accouting Configuration:
Router(config)# aaa accounting {system | network | exec | connection | commands level_#} {default | list_name} {start-stop | stop-only | none} [method1 [method2...]]
Router(config)# line [aux | console | tty | vty] line_# [ending_line_#]
Router(config-line)# accounting {arap | commands level_# | connection | exec} {default | list_name}
Router(config)# interface type [slot_#/]port_#
Router(config-if)# ppp accounting {default | list_name}
Service Keyword Description
system Enables accounting to capture system-level events, such as an interface status changing or the router reloading (only the default method list is supported for this service)
network Enables accounting for all network services, such as SLIP, PPP, NCP, and ARAP
exec Enables accounting for EXEC sessions, listing what users logged in and when they logged into and out of the router
connection Enables accounting for outbound connections from the router, such as Telnet and TN3270
commands level_# Enables accounting for commands, listing the commands (and their privilege levels) that were executed by a user
resource Enables accounting for dialup connections, listing resource information for them
Suppressing Null Username Records:
当指定多种authentication mothods,并在最后使用none,且其它mothods都不可达,用户通过none成功登录router时,accouting仍然会产生一个相应的登录记录,不过没有相应的登录用户名信息,因为none method不需要提供任何登录信息。这样的记录没有太大意义,可以使用以下命令来使aaa accouting不记录这样的事件:
Router(config)# aaa accounting suppress null-username
Enabling Broadcast Accounting:
aaa accouting初始的限制就是在使用多个AAA Accouting Server实现日志记录时,记录信息只会发给Primary AAA Accouting Server,并于Primary Accouting Server发送给其它Servers。可以使用以下命令,在aaa accouting命令中加入broadcast参数,将日志信息一次性的广播到所有的AAA Accouting Servers:
Router(config)# aaa accounting {system | network | exec | connection | commands level_#} {default | list_name} {start-stop | stop-only | (none}
Accounting Troubleshooting:
Router# debug aaa accounting
Router# show accounting
Router# show aaa user all
Part VI. IOS命令权限
所有有IOS命令都被分为0~15的权限级别。
默认Cisco Router只使用3个级别:
0级:包括5个命令(disable,enable,exit,help,logou),现在未用于任何线路。
1级:用户EXEC模式,所有用户登录后的默认级别。
15级:特权EXEC模式。
1>所有用户只可以执行其权限级别以下的命令。
2>指定用户权限级别。
username {name} privilege {level} password {password}
3>查看用户权限级别。
show privilege
4>查看用户当前权限级别可以执行的命令。
?
5>修改特定命令的权限级别。
privilege {configure|exec} level {level} {command}
例:
username sense privilege 7 password test
privilege configure level 7 snap-server host
privilege configure level 7 snap-enable traps
privilege exec level 7 ping
privilege exec level 7 configure terminal
本文来自CSDN博客,转载请标明出处:https://www.wendangku.net/doc/5a6500614.html,/sense5/archive/2009/02/11/3876931.aspx
CISCO命令全集
CISCO命令全集-思科命令汇总 视图模式介绍: 普通视图router> 特权视图router# /在普通模式下输入enable 全局视图router(config)# /在特权模式下输入config t 接口视图router(config-if)# /在全局模式下输入int 接口名称例如int s0或int e0 路由协议视图router(config-route)# /在全局模式下输入router 动态路由协议名称 1、基本配置: router>enable /进入特权模式 router#conf t /进入全局配置模式 router(config)# hostname xxx /设置设备名称就好像给我们的计算机起个名字 router(config)#enable password /设置特权口令 router(config)#no ip domain lookup /不允许路由器缺省使用DNS解析命令 router(config)# Service password-encrypt /对所有在路由器上输入的口令进行暗文加密 router(config)#line vty 0 4 /进入设置telnet服务模式 router(config-line)#password xxx /设置telnet的密码 router(config-line)#login /使能可以登陆 router(config)#line con 0 /进入控制口的服务模式 router(config-line)#password xxx /要设置console的密码 router(config-line)#login /使能可以登陆 2、接口配置: router(config)#int s0 /进入接口配置模式serial 0 端口配置(如果是模块化的路由器前面加上槽位编号,例如serial0/0 代表这个路由器的0槽位上的第一个接口) router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码
cisco配置命令大全
933a LMI使用Q933A标准.LMI(Local management Interface)有3种:ANSI:T1.617;CCITTY:Q933A和CISCO特有的标准。 # fram-relay intf-typ ABC ABC为帧中继设备类型,它们分别是DTE设备,DCE交换机或NNI(网络接点接口)支持。# frame_relay interface_dlci 110 br 配置DLCI(数据链路连接标识符)。 # frame-relay map ip ABCD XXXX broadcast 建立帧中继映射。ABCD为对方ip地址,XXXX为本地DLCI号,broadcast允许广播向前转发或更新路由。 # no shutdown 激活本端口. # exit ---- 5 .帧中继子接口的配置: # conf t # int s0.1 point-to-point
对应S0的子接口1,点对点方式。 # ip addr ABCD XXXX ABCD为子口1的IP地址,XXXX为子网掩码。# frame-relay intreface-dlci 100 br 6.配置拨号备份 (1).配置备份主口 # conf t # int s0 S0为主口. # backup int asy 1 A1口为备份口. # backup delay 0 1 延时1秒. (2).配置虚拟接口 # conf t # ip addr ABCD XXXX
ABCD为虚拟接口IP地址,XXXX为子网掩码。 # encap ppp 封装ppp协议. # dialer in-band 激活随叫随拨功能. # dialer idle-timeout 7200 # dialer map ip ABCD modem-script call broadcast 6225481 br 映射对应的拨号口.ABCD为对方拨号口的ip地址,6225481为对应的电话号码。 # dialer_group 1 定义拨号组成员. (3).配置防火墙 # dialer_list 1 pro ip permit 允许ip协议通过。 (4).配置连接口令 # user name ABCD pass XXXX ABCD为对方主机名,XXXX为连接口令. (5).配置拨号字符串
思科交换机命令大全
思科交换机常用命令大全 1.1 用户模式与特权模式 用户模式:可以使用一些基本的查询命令 特权模式:可以对交换机进行相关的配置 进入特权模式命令:Switch>enable 退出特权模式命令:Switch#exit 启用命令查询:? 时间设置:Switch#clock set 时间(自选参数,参数必须符合交换机要求) 显示信息命令:Switch#show 可选参数 注意:可以用TAB键补齐命令,自选参数为用户自定义参数,可选参数为交换机设定参数 查看交换机配置: Switch#show running-config 保存交换机配置:Switch#copy running-config startup-config Switch#wr 查看端口信息:Switch#show interface 查看MAC地址表:Switch#show mac-address-table 查看交换机CPU的状态信息:Switch#show processes 1.2 全局配置模式 进入全局配置模式:Switch#configure terminal
主机名修改:Switch(config)#hostname 主机名(自选参数) 特权模式进入密码: Switch(config)#enable secret 密码(自选参数) 取消特权模式密码:Switch(config)#no enable secret 取消主机名设置: Switch(config)#no hostname 退出配置模式: Switch(config)#exit 需要特别注意的是在配置模式中无法使用show命令,如果要使用 的话show前必须加do和空格,例如:do show * 指定根交换机命令:Switch(config)#spanning-tree vlan 自选参数(VLAN号)root primary 例如: Switch(config)#spanning-tree vlan 1 root primary 需要注意的是:设置根交换机是基于VLAN的 关闭生成树协议命令:Switch(config)#no spanning-tree vlan 自选参数(VLAN 号) 例如: Switch(config)#no spanning-tree vlan 1 1.3 接口配置模式 进入接口配置模式:Switch(config)#interface 端口名称(可选参数) 启用端口:Switch(config-if)#no shutdown 停用端口:Switch(config-if)#shutdown 进入同种类型多端口配置:Switch(config)# interface range fastethernet 0/1-5 进入不同类型多端口配置:Switch(config)#interface range fastethernet 0/1-5,gigabitethernet 0/1-2
思科基本配置命令详解
思科交换机基本配置实例讲解
目录 1、基本概念介绍............................................... 2、密码、登陆等基本配置....................................... 3、CISCO设备端口配置详解...................................... 4、VLAN的规划及配置........................................... 4.1核心交换机的相关配置..................................... 4.2接入交换机的相关配置..................................... 5、配置交换机的路由功能....................................... 6、配置交换机的DHCP功能...................................... 7、常用排错命令...............................................
1、基本概念介绍 IOS: 互联网操作系统,也就是交换机和路由器中用的操作系统VLAN: 虚拟lan VTP: VLAN TRUNK PROTOCOL DHCP: 动态主机配置协议 ACL:访问控制列表 三层交换机:具有三层路由转发能力的交换机 本教程中“#”后的蓝色文字为注释内容。 2、密码、登陆等基本配置 本节介绍的内容为cisco路由器或者交换机的基本配置,在目前版本的cisco交换机或路由器上的这些命令是通用的。本教程用的是cisco的模拟器做的介绍,一些具体的端口显示或许与你们实际的设备不符,但这并不影响基本配置命令的执行。 Cisco 3640 (R4700) processor (revision 0xFF) with 124928K/6144K bytes of memory. Processor board ID 00000000 R4700 CPU at 100MHz, Implementation 33, Rev 1.2
四大波谱基本概念以及解析综述
四大谱图基本原理及图谱解析 一.质谱 1.基本原理: 用来测量质谱的仪器称为质谱仪,可以分成三个部分:离子化器、质量分析器与侦测器。其基本原理是使试样中的成分在离子化器中发生电离,生成不同荷质比的带正电荷离子,经加速电场的作用,形成离子束,进入质量分析器。在质量分析器中,再利用电场或磁场使不同质荷比的离子在空间上或时间上分离,或是透过过滤的方式,将它们分别聚焦到侦测器而得到质谱图,从而获得质量与浓度(或分压)相关的图谱。 在质谱计的离子源中有机化合物的分子被离子化。丢失一个电子形成带一个正电荷的奇电子离子(M+·)叫分子离子。它还会发生一些化学键的断裂生成各种 碎片离子。带正电荷离子的运动轨迹:经整理可写成: 式中:m/e为质荷比是离子质量与所带电荷数之比;近年来常用m/z表示质荷比;z表示带一个至多个电荷。由于大多数离子只带一个电荷,故m/z就可以看作离子的质量数。 质谱的基本公式表明: (1)当磁场强度(H)和加速电压(V)一定时,离子的质荷比与其在磁场中运动半径的平方成正比(m/z ∝r2m),质荷比(m/z)越大的离子在磁场中运动的轨道半径(rm)也越大。这就是磁场的重要作用,即对不同质荷比离子的色散作用。 (2)当加速电压(V)一定以及离子运动的轨道半径(即收集器的位置)一定时,离子的质荷比(m/z)与磁场强度的平方成正比(m/z∝H2)改变H即所谓的磁场扫描,磁场由小到大改变,则由小质荷比到大质荷比的离子依次通过收集狭缝,分别被收集、检出和记录下来。 (3)若磁场强度(H)和离子的轨道半径(rm)一定时,离子的质荷比(m/z)与加速电压(V)成反比(m/z∝1/V),表明加速电压越高,仪器所能测量的质量范
Cisco的命令大全
Cisco的命令大全 序号/类别基于ios的交换机命令基于CLI的交换机命令 1.设置主机名/系统名 switch(config)# hostname "hostname" switch(enable) set sys tem name name-string 2.设置登录口令 switch(config)# enable password level 1 password switch(enable) set password switch(enable) set enalbepass 3.设置远程访问 switch(config)# inte***ce vlan 1 switch(config-if)# ip address ip-address netmask switch(config-if)# ip default-gateway ip-address switch(enable) set inte***ce s c0 ip-address netmask broadcast-address switch(enable) set inte***ce sc0 vlan switch(enable) set ip route default gateway 4.启用和浏览CDP信息 switch(config-if)# cdp enable switch(config-if)# no cdp enable switch(enable) set cdp {enable|disable} module /port 5.查看Cisco邻接设备的CDP通告 switch# show cdp inte***ce [type modle/port] switch# show cdp neighbors [type module/port] [detail] switch(enable) show cdp neighbors[module/port] [vlan|duplex|capabilities|detail] 6.端口描述 switch(config-if)#description escription-string switch(enable)set p ort name module/number description-string 7.设置端口速度 switch(config-if)# speed{10|100|auto} switch(enable) set port s peed moudle/number {10|100|auto} switch(enable) set port speed moudle/number {4|16|auto} 8.设置以太网的链路模式 switch(config-if)# duplex {auto|full|half} switch(enabl e) set port duplex module/number {full|half 9.配置静态VLAN switch# vlan database switch(vlan)# vlan vlan-num name vla switch(vlan)# exit switch# configure teriminal switch(config)#inte***ce inte***ce module/number switch(config-if)# switchport mode access switch(config-if)# switchport access vlan vlan-num switch(config-if)# end switch(enable) set vlan vlan-num [name name] switch(enable) set vlan vlan-num mod-num/port-list 10.配置VLAN中继线 switch(config)# inte***ce inte***ce mod/port
四大图谱综合解析
2013/12/2四大图谱综合解析[解] 从分子式CHO,求得不饱和度为零,故未知物应为512饱和脂肪族化合物。 1 某未知物分子式为CHO,它的质谱、红外光谱以及核磁共振谱如图,512未知物的红外光谱是在CCl溶液中测定的,样品的CCl稀溶液它的紫外吸收光谱在200 nm以上没有吸收,试确定该化合物结构。44-1的红外光谱在3640cm处有1尖峰,这是游离O H基的特征吸收峰。样品的CCl4浓溶液在3360cm-1处有1宽峰,但当溶液稀释后复又消失,说明存在着分子间氢键。未知物核磁共振谱中δ4. 1处的宽峰,经重水交换后消失。上述事实确定,未知物分子中存在着羟基。未知物核磁共振谱中δ0.9处的单峰,积分值相当3个质子,可看成是连在同一碳原子上的3个甲基。δ3.2处的单峰,积分值相当2个质子,对应1个亚甲基,看来该次甲基在分子中位于特丁基和羟基之间。质谱中从分子离子峰失去质量31(-CHOH)部分而形成基2峰m/e57的事实为上述看法提供了证据,因此,未知物的结构CH是3CCl稀溶液的红外光谱, CCl浓溶液44 CHOH C HC在3360cm-1处有1宽峰23 CH3 2. 某未知物,它的质谱、红外光谱以及核磁共振谱如图,它的根据这一结构式,未知物质谱中的主要碎片离子得到了如下紫外吸收光谱在210nm以上没有吸收,确定此未知物。解释。CH CH3+3.+ +C CH HCOH CHOH C HC3223 m/e31CH CH33 m/e88m/e57-2H -CH-H-CH33m/e29 CH m/e73CHC23+ m/e41 [解] 在未知物的质谱图中最高质荷比131处有1个丰度很小的峰,应从分子量减去这一部分,剩下的质量数是44,仅足以组为分子离子峰,即未知物的分子量为131。由于分子量为奇数,所以未成1个最简单的叔胺基。知物分子含奇数个氮原子。根据未知物的光谱数据中无伯或仲胺、腈、CH3N酞胺、硝基化合物或杂芳环化合物的特征,可假定氮原子以叔胺形式存CH3在。红外光谱中在1748 cm-1处有一强羰基吸收带,在1235 cm-1附近有1典型正好核磁共振谱中δ2. 20处的单峰(6H ),相当于2个连到氮原子上的宽强C-O-C伸缩振动吸收带,可见未知物分子中含有酯基。1040 的甲基。因此,未知物的结构为:-1cm处的吸收带则进一步指出未知物可能是伯醇乙酸酯。O核磁共振谱中δ1.95处的单峰(3H),相当1个甲基。从它的化学位移来CH3N看,很可能与羰基相邻。对于这一点,质谱中,m/e43的碎片离子CHCHCHOC223CH(CHC=O)提供了有力的证据。在核磁共振谱中有2个等面积(2H)的三重33峰,并且它们的裂距相等,相当于AA’XX'系统。有理由认为它们是2个此外,质谱中的基峰m /e 58是胺的特征碎片离子峰,它是由氮原子相连的亚甲-CH-CH,其中去屏蔽较大的亚甲基与酯基上的氧原子22的β位上的碳碳键断裂而生成的。结合其它光谱信息,可定出这个相连。碎片为至此,可知未知物具有下述的部分结构:CHO3NCH2CHCHCHOCCH32231 2013/12/23.某未知物CH的UV、IR、1H NMR、MS谱图及13C NMR数据如下,推[解] 1. 从分子式CH,计算不饱和度Ω=4;11161116导未知物结构。 2. 结构式推导未知物碳谱数据UV:240~275 nm 吸收带具有精细结构,表明化合物为芳烃;序号δc序号δc碳原子碳原子IR ::695、740 cm-1 表明分子中含有单取代苯环;(ppm)个数(ppm)个数MS :m/z 148为分子离子峰,其合理丢失一个碎片,得到m/z 91的苄基离子;1143.01632.01 313C NMR:在(40~10)ppm 的高场区有5个sp杂化碳原子;2128.52731.51 1H NMR:积分高度比表明分子中有1个CH和4个-CH-,其中(1.4~1.2)3128.02822.5132 ppm为2个CH的重叠峰;4125.51910.012因此,此化合物应含有一个苯环和一个CH的烷基。511536.01 1H NMR 谱中各峰裂分情况分析,取代基为正戊基,即化合物的结构为:23
思科交换机路由器命令大全
思科交换机路由器命令 大全 YUKI was compiled on the morning of December 16, 2020
1. 交换机支持的命令:交换机基本状态: 交换机口令设置: switch>enable ;进入特权模式switch#config terminal ;进入全局配置模式 switch(config)#hostname ;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口 令switch(config)#enable password xxa ;设置特权非 密口令switch(config)#line console 0 ;进入控制台 口switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令 xxswitch#exit ;返回命令 交换机VLAN设置:
switch(vlan)#vlan 2 ;建VLAN 2switch(vlan)#no vlan 2 ;删vlan 2switch(config)#int f0/1 ;进入端 口1switch(config-if)#switchport access vlan 2 ; 当前端口加入vlan 2switch(config-if)#switchport mode trunk ;设置为干线switch(config- if)#switchport trunk allowed vlan 1,2 ;设置允许 的vlanswitch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain ;设置发vtp域名switch(config)#vtp password ;设置发vtp密码switch(config)#vtp mode server ;设置发vtp模式switch(config)#vtp mode client ;设置发vtp模式 交换机设置IP地址: 交换机显示命令:
思科交换机配置命令大全
思科交换机配置命令大全 switch> 用户模式 1:进入特权模式 enable switch> enable switch# 2:进入全局配置模式 configure terminal switch> enable switch#configure terminal switch(conf)# 3:交换机命名 hostname aptech2950 以aptech2950为例 switch> enable switch#configure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4:配置使能口令 enable password cisco 以cisco为例 switch> enable switch#configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5:配置使能密码 enable secret ciscolab 以cicsolab为例 switch> enable switch#configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6:设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch#configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip 和子网掩码 aptech2950(conf-if)#no shut 是配置处于运行中aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址 7:进入交换机某一端口 interface fastehernet 0/17 以17端口为例switch> enable switch#configure terminal
NMR,VU,IR,MS四大图谱解析解析
13C-NMR谱图解析 13C-NMR谱图解析流程 1.分于式的确定 2.由宽带去偶语的谱线数L与分子式中破原子数m比较,判断分子的对称性. 若L=m,每一个碳原子的化学位移都不相同,表示分子没有对称性;若L 基团类型Qc/ppm 烷0-60 炔60-90 烯,芳香环90-160 羰基160 4.组合可能的结构式 在谱线归属明确的基础上,列出所有的结构单元,并合理地组合成一个或几个可能的工作结构。 5.确定结构式 用全部光谱材料和化学位移经验计算公式验证并确定惟一的或 可能性最大的结构式,或与标准谱图和数据表进行核对。经常使用的标准谱图和数据表有: 经验计算参数 1.烷烃及其衍生物的化学位移 一般烷烃灸值可用Lindeman-Adams经验公式近似地计算: ∑ Qc5.2 =nA - + 式中:一2.5为甲烷碳的化学位移九值;A为附加位移参数,列于下表,为具有某同一附加参数的碳原子数。 表2 注:1(3).1(4)为分别与三级碳、四级碳相连的一级碳;2(3)为与三级碳相连的二级碳,依此类推。 取代烷烃的Qc为烷烃的取代基效应位移参数的加和。表4一6给出各种取代基的位移参数 一 switch> 用户模式 1:进入特权模式enable switch> enable switch# 2:进入全局配置模式configure terminal switch> enable switch#c onfigure terminal switch(conf)# 3:交换机命名hostname aptech2950 以aptech2950为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4:配置使能口令enable password cisco 以cisco为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5:配置使能密码enable secret ciscolab 以cicsolab为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6:设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 配置交换机端口ip和子网掩码 aptech2950(conf-if)#no shut 是配置处于运行中aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 设置网关地址 7:进入交换机某一端口interface fastehernet 0/17 以17端口为例switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface fastehernet 0/17 aptech2950(conf-if)# 8:查看命令show switch> enable 2013/12/2 视图模式介绍: 普通视图 router> 特权视图 router# /在普通模式下输入enable 全局视图 router(config)# /在特权模式下输入config t 接口视图 router(config-if)# /在全局模式下输入int 接口名称例如int s0或int e0 路由协议视图 router(config-route)# /在全局模式下输入router 动态路由协议名称 1、基本配置: router>enable /进入特权模式 router#conf t /进入全局配置模式 router(config)# hostname xxx /设置设备名称就好像给我们的计算机起个名字 router(config)#enable password /设置特权口令 router(config)#no ip domain lookup /不允许路由器缺省使用DNS解析命令 router(config)# Service password-encrypt /对所有在路由器上输入的口令进行暗文加密router(config)#line vty 0 4 /进入设置telnet服务模式 router(config-line)#password xxx /设置telnet的密码 router(config-line)#login /使能可以登陆 router(config)#line con 0 /进入控制口的服务模式 router(config-line)#password xxx /要设置console的密码 router(config-line)#login /使能可以登陆 2、接口配置: router(config)#int s0 /进入接口配置模式 serial 0 端口配置(如果是模块化的路由器前面加上槽位编号,例如serial0/0 代表这个路由器的0槽位上的第一个接口) router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码router(config-if)#enca hdlc/ppp 捆绑链路协议 hdlc 或者 ppp 思科缺省串口封装的链路层协议是HDLC所以在show run配置的时候接口上的配置没有,如果要封装为别的链路层协议例如PPP/FR/X25就是看到接口下的enca ppp或者enca fr router(config)#int loopback /建立环回口(逻辑接口)模拟不同的本机网段 router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码给环回口 在物理接口上配置了ip地址后用no shut启用这个物理接口反之可以用shutdown管理性的关闭接口 3、路由配置: (1)静态路由 router(config)#ip route xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 下一条或自己的接口router(config)#ip route 0.0.0.0 0.0.0.0 s 0 添加缺省路由 (2)动态路由 rip协议 router(config)#router rip /启动rip协议 router(config-router)#network xxx.xxx.xxx.xxx /宣告自己的网段 router(config-router)#version 2 转换为rip 2版本 router(config-router)#no auto-summary /关闭自动汇总功能,rip V2才有作用 router(config-router)# passive-int 接口名 /启动本路由器的那个接口为被动接口 这是学习CUSCO必学的 配置使能密码enable secret ciscolab 以cicsolab 为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip 和子网掩 码 aptech2950(conf-if)#no shut 是配置处于运行中 aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址 进入交换机某一端口interface fastehernet 0/17 以17 端口为例switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface fastehernet 0/17 aptech2950(conf-if)# 8:查看命令show switch> enable switch# show version 察看系统中的所有版本信息 show interface vlan 1 查看交换机有关ip 协议的配置信息 show running-configure 查看交换机当前起作用的配置信息 show interface fastethernet 0/1 察看交换机1 接口具体配置和统计信息show mac-address-table 查看mac 地址表 show mac-address-table aging-time 查看mac 地址表自动老化时间 9:交换机恢复出厂默认恢复命令 switch> enable switch# erase startup-configure switch# reload 10:双工模式设置 switch> enable switch#c onfigure terminal switch2950(conf)#hostname aptch-2950 aptech2950(conf)# interface fastehernet 0/17 以17 端口为例 aptech2950(conf-if)#duplex full/half/auto 有full , half, auto 三个可选 Cisco系列网络设备测试命令大全 ? Cisco系列网络设备测试命令大全 ?1、show命令: 1)全局命令: show version ;显示系统硬件和软件版本、DRAM、Flash show startup-config ;显示写入NVRAM中的配置内容 show running-config ;显示当前运行的配置内容 show buffers ;详细输出buffer的名称和尺寸 show stacks ;提供路由器进程和处理器利用率信息,用stack decode show tech-support ;显示几个show命令的输出 show access-lists ;查看访问列表配置 show memory ;用于测试内存问题 2)接口相关命令 show queueing [fair|priority|custom] show queue e0/1 ;查看接口上队列的设置和操作 show interface e0/1 ;Cisco缺省的Ethernet封装方法是ARPA show ip interface e0/1 ;显示指定接口的TCP/IP配置信息 3)进程相关命令 show processes cpu ;显示路由器CPU的使用率和当前的进程 show processes memory ;显示路由器当前进程的内存使用情况 4) TCP/IP协议相关命令 Show ip access-list ;显示IP访问列表(1-199) Show iparp ;显示路由器的ARP缓存(IP、MAC、封装类型、接口) Show ip protocols ;显示运行在路由器上的IP路由协议的信息 Show ip route ;显示IP路由表中的信息 Show ip traffic ;显示IP流量统计信息 ?2、debug命令 DEBUG不应在CPU使用率超过50%的路由器上运行。 1)限制debug输出 在使用DEBUG获得所需数据后,要关闭Debug 使路由器对所有消息都配置使用时间戳: Router#service timestamps debug datetimemseclocaltime Router#service timestamp log datetimemseclocaltime 缺省,error和debug信息仅发送到console,telnet到路由器上看不到debug和log 思科交换机路由器命令大全 交换机命令: switch> 用户模式 1:进入特权模式 enable switch> enable switch# 2:进入全局配置模式 configure terminal switch> enable switch#configure terminal switch(conf)# 3:交换机命名 hostname aptech2950 以aptech2950为例 switch> enable switch#configure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4:配置使能口令 enable password cisco 以cisco为例 switch> enable switch#configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5:配置使能密码 enable secret ciscolab 以cicsolab为例--设置禁用IP地址解析特性,设置启用消息同步特性 switch> enable switch#configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab aptech2950(conf)#no ip domain-lookup -----设置禁用IP 地址解析特性 aptech2950(conf)#logging synchronous -----设置启用消息同步特性 aptech2950(conf)#interface range fastethernet0/1-20思科路由器命令大全详解
四大图谱综合解析
四大图谱综合解析
1 某未知物分子式为C5 H12 O,它的质谱、红外光谱以及核磁共振谱如图,
它的紫外吸收光谱在200 nm以上没有吸收,试确定该化合物结构。
CCl4稀溶液的红外光谱, CCl4浓溶液 在3360cm-1处有1宽峰
[解] 从分子式C5H12O,求得不饱和度为零,故未知物应为 饱和脂肪族化合物。 未知物的红外光谱是在CCl4溶液中测定的,样品的CCl4稀溶液 的红外光谱在3640cm-1处有 1尖峰,这是游离 O H基的特征吸收 峰。样品的CCl4浓溶液在 3360cm-1处有 1宽峰,但当溶液稀释 后复又消失,说明存在着分子间氢键。未知物核磁共振谱中δ4. 1处的宽峰,经重水交换后消失。上述事实确定,未知物分子 中存在着羟基。 未知物核磁共振谱中δ0.9处的单峰,积分值相当3个质子,可 看成是连在同一碳原子上的3个甲基。δ3.2处的单峰,积分值 相当2个质子,对应1个亚甲基,看来该次甲基在分子中位于特 丁基和羟基之间。 质谱中从分子离子峰失去质量31(- CH2 OH)部分而形成基 峰m/e57的事实为上述看法提供了证据,因此,未知物的结构 CH3 是
H3C
C
CH3
CH2OH
根据这一结构式,未知物质谱中的主要碎片离子得到了如下 解释。
CH 3
2. 某未知物,它的质谱、红外光谱以及核磁共振谱如图,它的 紫外吸收光谱在210nm以上没有吸收,确定此未知物。
CH2
+ OH m/e31 -2H
+ . CH2OH
H3C
CH3
H3C
C
CH 3
C+
CH3
m/e88 -CH3 m/e29 m/e73
m/e57 -CH3 -H CH 3 C + CH 2
m/e41
[解] 在未知物的质谱图中最高质荷比131处有1个丰度很小的峰,应 为分子离子峰,即未知物的分子量为131。由于分子量为奇数,所以未 知物分子含奇数个氮原子。根据未知物的光谱数据中无伯或仲胺、腈、 酞胺、硝基化合物或杂芳环化合物的特征,可假定氮原子以叔胺形式存 在。 红外光谱中在1748 cm-1处有一强羰基吸收带,在1235 cm-1附近有1典型 的宽强C-O-C伸缩振动吸收带,可见未知物分子中含有酯基。1040 cm-1处的吸收带则进一步指出未知物可能是伯醇乙酸酯。 核磁共振谱中δ1.95处的单峰(3H),相当1个甲基。从它的化学位移来 看,很可能与羰基相邻。对于这一点,质谱中,m/e43的碎片离子 (CH3C=O)提供了有力的证据。在核磁共振谱中有2个等面积(2H)的三重 峰,并且它们的裂距相等,相当于AA’XX'系统。有理由认为它们是2个 相连的亚甲-CH2-CH2,其中去屏蔽较大的亚甲基与酯基上的氧原子 相连。 至此,可知未知物具有下述的部分结构:
O CH 2 CH 2 O C CH 3
从分子量减去这一部分,剩下的质量数是 44,仅足以组 成1个最简单的叔胺基。
CH 3 CH3 N
正好核磁共振谱中δ2. 20处的单峰(6H ),相当于2个连到氮原子上 的甲基。因此,未知物的结构为:
CH3 CH3 O N CH2 CH2 O C CH3
此外,质谱中的基峰m /e 58是胺的特征碎片离子峰,它是由氮原子 的β位上的碳碳键断裂而生成的。结合其它光谱信息,可定出这个 碎片为
CH3 CH3 N CH 2
1CISCO 常用命令解释
CISCO配置命令大全必学
cisco调试用命令大全
思科路由器命令大全(完整版)