CCNP总结.doc

RIP单播和被动接口：我们说RIP版本1的通告是广播，而RIP版本2的通告是组播，应该说进步不少，但是，在多路访问网络里，比如说以太网，还是有滥杀无辜之嫌，因为只要交换机不划vlan，那么组播包还是要被所有的机器收到的。所以，如果只想多路访问网络里面跟某几台机器运行RIP协议，那么运行单播就会大大节省资源。使路由器以单播方式向指定对端发送更新通告。指令很简单neighbor ip-address注意，这条指令和被动接口指令要结合使用，因为，如果不用被动接口，那么这个接口同时还要发广播或者组播，被动接口命令是停止以广播或组播方式发送更新，但仍然可以接收广播和组播。passive-interface对单播是没有任何作用的。router rip network passive-interface ethernet 1 neighbor 如果需要将路由器大部分接口配置成被动接口，可以用passive-interface default 将所有接口配成被动，再在个别接口上no掉即可。passive-interface命令不仅可以在RIP中，也可以在除BGP外的所有路由协议中使用，包括EIGRP，OSPF等。RIP版本问题：如果你不配置任何东西，那么RIP默认的是既不是版本1，也不是版本2，而是具有这样的一个混杂特性。就是能接收版本1和版本2，但是只能发送版本1，如果，你配置了VER 1，那么，它只能接收和发送版本1，如果，你配置了VER 2，它只能接收和发送版本2了，但是，如果你在RIP进程模式下制定了版本号，但是在接口下还可以指定发送和接收的版本号，并且，接口上配置的版本号码，优先级要高于在全局模式下配置的版本号。不同版本之间收发路由会有问题。命令RIP配置模式下version 1 | 2接口配置模式下：ip rip receive version 1 2ip rip send version 1 2RIP偏移量问题：我们知道RIP对路径的衡量是按照跳数来计算的，这多少有点滑稽因为它不考虑带宽，2个大象等于2个蚂蚁，一个千兆链路，跳数有2跳，一个64K链路，跳数也有2条，RIP认为这两个链路是一样的。所以，既然他是盲的，我们有必要搞一个导盲犬，off-set list这个指令就可以完成手工调整跳数这个功能，根据网络的现实情况，作出必要的调整。命令offset-list access-list-number | access-list-name in | out offset interface-type interface-number例)(config)#access-list 12 permit (config)#router ripoffset-list 12 in 5 ethernet 0 (in参数指定对从ethernet0口进来的路由更新进行调整)即对于从e0接口收到的与access list 12指定的网络匹配的路由，则将其跳数增加5。RIP认证(只有V2有)1） 明文认证 (config)#key chain TEST key 1 key-string CISCO (config)#interface s0/0 (要在端口上做) ip rip authentication mode text (默认就是明文) ip rip authentication key-chain TEST2） MD5认证 (config)#key chain TEST key 1 key-string CISCO (config)#interface s0/0 (要在端口上做) ip rip authentication mode md5 ip rip authentication key-chain TESTRIP无类别查找RIPV1和IGRP这样的有类别路由协议，都是采用有类别查找，即先将目的地址的主网地址与路由表中的条目的主网地址匹配，然后再匹配子网。而无类别查找不会注意目的地址的类别，它会在目的地址和路由条目之间逐位的匹配(bit-by-bit)。无类别路由查找的功能更加强大。对于RIPv1和IGRP可以通过ip classless命令来启动无类别查找。无类别路由协议最根本的特点是，它可以在路由通告中携带子网掩码，每条路由携带其子网掩码的一个优点是，全0和全1的子网可以利用了。这是因为携带了子网掩码后，全0全1子网和主网络号可以区分开了。例如，和55。/16是一个主网络号，而/24只是一个全0子网；55/16是的全部子网的广播，而55/24只是其中一个全1子网的广播。在默认情况下cisco不把一个全0子网认为是有效的地址/掩码组合，这时可以使用ip subnet-zero命令使全0子网可用。RIPRIP是每30秒周期更新的，也允许触发更新以减少网络负担。启动后只有路由数据库变化时才会发送更新信息。(config)interface s0/0 ip rip triggered距离矢量协议1） 距离矢量协议只在直连的邻居路由器之间共享路由信息。2） 通告路由本身。3） 在向邻居通告路由信息之前，必须运行路由选择算法。链路状态协议1） 链路状态协议可以在区域内所有路由器之间共享路由信息。2） 只通告链路和链路状态信息，不通告路由本身。3） 链路信息的通告与运行路由计算进程无关。4）管理距离直连0静态1EIGRP汇总5外部BGP20EIGRP90IGRP100OSPF110IS-IS115RIP120EGP140外部EIGRP170内部BGP200未知255路由器的冗余技术1） HSRP：可以将多台路由器或三层交换机的指定接口配置成虚拟的组，其中一个接口处于活动状态(Active)，一个接口处于备份状态(Standby)，其余接口为组成员。2） Active和Standby共享虚拟组IP和虚拟MAC，当活动设备故障时由备份设备接替其工作。还可以提供负载均衡。3） 通过这些组对终端设备提供冗余默认网关，组内的切换活动对组外用户都是透明的，终端设备始终将数据包发送给虚拟IP和虚拟MAC，而感觉不到服务中断。4） HSRP是cisco专有协议。5） HSRP使用多播hello互相监听，多播地址，UDP port 1985，当hold超时没有收到hello后就认为active故障了，备份就会成为Active。6） 基本配置： (config)#interface g0/0 (准备将该接口配置为组成员，只有以太口能配，串口不行) (config-if)#standby 1 ip VIRTUAL-GROUP-IP (生成虚拟组1，其虚拟IP为VIRTUAL-GROUP-IP，虚拟IP不能与组中实际IP相同。这两个值同组必须相同) standby 1 name VIRTUAL-GROUP-NAME (生成虚拟组名) standby 1 priority 200 (配置成员优先级，值越大越容易成为Active，默认值100) standby 1 preempt (配置抢占，使其在优先级最高时成为Active，否则最先初始化的成为Active) standby 1 timers 3 10 (Hello秒，Hold秒，也是同组必须相同) standby 1 authentication md5 key-string KEY (认证密钥，还是同组必须相同) #show standby brief 备注)HSRP的虚拟MAC地址是Well-known-MAC，其指定：比如0000.0c07.ac01，其中0000.0c是厂商代码(此值是cisco)，07.ac是规定的HSPR标记，是固定的，最后的01是组号的十六进制数，是由组号决定的。虚拟MAC也可以用接口命令指定，接上例standby 1 mac-address 指定的MAC地址。7） VRRP：原理同HSRP，是业界标准协议。使用IP号112发送多播。 (config)#interface g0/0 (准备将该接口配置为组成员) (config-if)#vrrp 1 ip VIRTUAL-GROUP-IP (生成虚拟组1，其虚拟IP为VIRTUAL-GROUP-IP，虚拟IP是组中某一个实际IP，这两个值同组必须相同) vrrp 1 priority 200 (配置成员优先级，值越大越容易成为Active，默认值100) vrrp 1 preempt (配置抢占，使其在优先级最高时成为Active，否则最先初始化的成为active) vrrp 1 authentication md5 key-string KEY (认证密钥，还是同组必须相同) #show vrrp brief 备注)VRRP的虚拟MAC地址是0000.5e00.0101，0000.5e00.01固定，最后的01是组号十六进制数，是由组号决定的。8） GLBP：是cisco专有协议，功能主要集中在负载均衡上，而不是故障冗余，它所有成员均转发数据，不像HSRP和VRRP那样备份成员处于空闲状态。GLBP选举一个AVG，AVG通过向成员分配虚拟MAC地址而负责向成员均摊负载，最多可以有4个成员。 (config)#interface g0/0 (准备将该接口配置为组成员) (config-if)#glbp 1 ip VIRTUAL-GROUP-IP (生成虚拟组1，其虚拟IP为VIRTUAL-GROUP-IP，这两个值同组必须相同) glbp 1 priority 200 (配置成员优先级，值最大的成为Active Virtual Gateway，默认值100) glbp 1 preempt (配置抢占，使其在优先级最高时成为AVG，否则即使优先级最高也不会成为AVG) glbp 1 authentication md5 key-string KEY (认证密钥，还是同组必须相同) glbp 1 load-balancing host-dependentround-robinweighted (默认是round-robin) #show glbp列表汇总1） community list：BGP团体列表，用来标识BGP团体值。见BGP节。2） distribute-list：分布控制列表，distribute-list是任意路由协议发布路由信息时进行路由过滤的一种工具。在互连的路由器，尤其是不同管理域的路由器上，使用路由过滤，将确保路由器仅接收和通告合法的路由，是一种安全的形式，可以避免错误配置的影响和恶意路由的攻击。因为路由过滤器只过滤出入路由表的通告路由，所以它可以直接的影响距离矢量路由协议，而对链路状态路由协议，除了在协议重发布点(如OSPF的ASBR)可以影响进出域的路由外，在链路状态协议的域内部基本没有影响。用在eigrp上时邻接关系会重新建立一下。 例1)router rip version 2 network distribute-list 1 in serial0/0 (应用于rip协议的路由过滤，应用于该接口入方向) distribute-list 2 out serial0/0 (应用于rip协议的路由过滤，应用于该接口出方向) ! access-list 1 permit (只允许指定网段路由从serial0/0接口发布进来) access-list 2 deny (阻挡了缺省路由从serial0/0接口发送出去) access-list 2 permit any (允许其余所有路由器从serial0/0接口发送出去) 例2)router ospf 1 redistribute rip metirc 100 subnets (向ospf重发布时要用到subnets，表示子网信息也重发布，重发布到ospf的邻居路由器上) distribute-list 10 out rip (将rip协议中的，访问列表10许可的路由重发布给ospf) ! router rip version 2 network ! access-list 10 permit access-list 10 permit 例3)router bgp 30 neighbor remote-as 40 neighbor ebgp-multihop 2 neighbor upadte-source lo0 neighbor distribute-list 1 out (只将访问控制列表定义的路由发布给邻居) access-list 1 permit access-list 1 permit access-list 1 permit 3） prefix-list：前缀列表是用于路由过滤的，能比ACL更准确的匹配网络地址，并且不像ACL那样删除条目时不能单独删除某个条目只能全部删除整个ACL，前缀列表可以单独删除某个条目。但前缀列表不能像ACL那样匹配具体的流。ip prefix-list list-name seq seq-value deny|permit network/len ge ge-value le le-valuelist name 代表被创建的前缀列表名（注意该列表名是区分大小写的）seq-value 代表前缀列表语名的32bit序号，用于确定过滤语句被处理的次序。缺省序号以5递增（5，10，15等等）。deny|permit 代表当发现一个匹配条目时所要采取的行动network/len 代表要进行匹配的前缀和前缀长度。network是32位的地址即路由前缀，len是一个十进制的数，指定路由前缀从左边开始必须匹配的比特位。ge-value 子网掩码必须大于或等于的比特位数。如果只规定了“ge”属性，该范围被认为是从“ge-value”到32。ge是greater or equal的意思。le-vlaue 子网掩码必须小于或等于的比特位数。如果只规定了“le”属性，该范围被认为是从“len”到“le-value”。le是less or equal的意思。例1)(config)#router bgp 64512(config-router)#net mask 52(config-router)#net mask 52(config-router)#nei remote 64512(config-router)#nei remote 64513(config)#ip prefix-list set_filter seq 1 permit /27 (创建名为set_filter的前缀列表，前27位必须匹配)(config)#ip prefix-list set_filter seq 2 permit /30(config)#ip prefix-list set_filter seq 1 deny /24(config)#ip prefix-list set_filter seq 2 deny /25(config)#ip prefix-list set_filter seq 1 permit /22 ge 26 (前22位必须匹配，子网掩码长度要大于或等于26)(config)#ip prefix-list set_filter seq 1 permit /22 le 25 (前22位必须匹配，子网掩码长度要小于或等于25)(config)#ip prefix-list set_filter seq 1 permit /22 ge 25 le 26 (前22位必须匹配，子网掩码长度要大于或等于25，同时小于或等于26)(config)# (和ACL一样，默认会有一条拒绝所有)(config)#router bgp 64512(config-router)#neighbor prefix-list set_filter out (在出口方向对对端应用前缀列表)例2) ip prefix-list DEFAULT permit /0 (这个列表用来匹配默认路由)例3) ip prefix-list LIST permit /0 le 32 (这句话等于permit any)4） Access-list：访问控制列表，主要是匹配流量，它是路由器的流量过滤器。注意，ACL对流量的允许或拒绝并不一定意味着流量肯定被通过或阻止，通常只意味着流量被识别，识别出后执行什么样的操作还有看如何应用和策略。见访问控制列表小节。5） As_path list：BGP协议专门通过As_path属性过滤路由，主要是匹配AS号。见BGP小节。Filter-list：是配合as_path list的。6） vlan-list：交换机的VLAN访问列表，见交换机访问安全小节。路由映射route-mapRoute-map是用于路由重分布和策略路由的一个有力的工具，它可以按照用户的需求和策略对正常的路由信息进行定制修改，还可以不仅根据目标地址，还可以根据源地址和数据包其他头信息，甚至根据第四层信息进行路由修改。策略路由只影响配置了该策略的路由器自身。它是基于接口的策略。例1） 根据源IP地址，改变下一跳 interface s0/0 ip policy route-map SALLY access-list 1 permit 55 access-list 2 permit 55 route-map SALLY permit 10 match ip address 1 set ip next-hop route-map SALLY permit 15 match ip address 2 set ip next-hop 例2） 根据流量类型，改变下一跳interface s0/0 ip policy route-map SALLY access-list 101 permit tcp 55 eq ftp any access-list 102 permit tcp 55 eq telnet any route-map SALLY permit 10 match ip address 101 set ip next-hop route-map SALLY permit 15 match ip address 102 set ip next-hop 例3） 根据源IP地址，改变IP优先级 interface s0/0 ip policy route-map SALLY access-list 1 permit 55 route-map SALLY permit 10 match ip address 1 set ip precedence priority例4） 根据报文大小，改变出接口interface s0/0 ip policy route-map SALLY ip local policy route-map SALLY (没有local对路由器本地产生的数据包不起作用，配置local后就起了) route-map SALLY permit 10 match length 64 100 (匹配大小为64-100字节的包) set interface s0/1route-map SALLY permit 20 match length 101 1000 (匹配大小为101-1000字节的包) set interface s0/2EIGRP扩展更新算法DUAL1） 路由器使用在直连网络上定期发送的hello包相互发现并形成邻接关系。eigrp网络达到收敛状态后只有hello包在通信。2） 当路由器刚建立邻居关系后，它们交换拓扑表信息，这个时候叫做startup mode。3） EIGRP不发送定期更新，只当拓扑发生变化时触发更新，更新内容只包括变化部分。4） S是当前的下一跳，具有最低FD。可以存在默认4个最大6个S(FD相等)以便负载均衡。S存在于拓扑表和路由表。5） FS是S的备份，成为FS的条件是其AD小于当前FD，FS可以有多个。当S不可用后FS成为S，以避免重计算。FS存在于拓扑表。6） 当某条路由的FS不存在时就会引发重计算，路由器发送Query包询问所有邻居(除了S)。这时这条路由进入active状态。7） 邻居如果知道路由就回复Reply，并不再继续扩散。如果不知道则继续向邻居的全部邻居扩散Query，直到得到答复为止。8） 路由器必须得到所有邻居的答复才能开始计算。9） 在3分钟内没有收到答复，路由进入SIA状态，并重置与未答复的邻居的邻接关系。10） 由上可见DUAL算法的收敛是同时完成的，因此正常情况下eigrp收敛最快。计算结束之后路由进入passive状态。这是路由的稳定状态。11） 可以使用接口命令bandwidth,delay,ip bandwidth-percent eigrp改变接口度量来影响路由选择。EIGRPSIA：1、EIGRP使用DUAL算法，规则为：存在FS（次优路由AD较大的校验和较大的老化时间来区分最新LSA的。如果多条LSA的老化时间之间的差大于MaxAgeDiff，那么此时拥有较小老化时间的LSA是最新LSA。在老化过程中，LSA的始发路由器每30分钟发送一个刷新数据包来更新LSA的老化，以保证其不过期，而不管网络拓扑是否发生了变化。泛洪的基本过程：1） 发生拓扑变更时，DRother向AllDRouter发送LSA，2） DR泛洪LSA到AllSPFRouters，3） 接收到LSA的所有路由器在其所有接口上泛洪LSA，4） LSA的过度泛洪会浪费带宽和影响网络稳定性。为了减少刷新，降低泛洪的影响，可以在LSA中设置DNA位(DoNotAge，不老化)。 (config)interface s1/0 ip ospf flood-reductionOSPF区域1） 路由器仅和其自身所在区域内的其他路由器具有相同的链路状态数据库。2） 非骨干区域（除area 0外）必须通过骨干区域（area 0）交换数据，不能直接交换数据包。3） ABR至少有一个接口属于骨干区域；必须为每个与之相连的区域维护一个LSDB；ABR将会汇总与之相连的区域的拓扑信息并传递给其他区域。4） ASBR把其他路由协议的路由通过路由重分配注入到OSPF域的路由器中。5） OSPF在区域内是链路状态协议，但在区域间却是距离矢量协议算法。OSPF虚链路（是一个逻辑通道，建议作为一个临时网络设计手段存在）1） 必须配置在两台ABR之间，其中至少一台ABR是与area 0相连的。2） 经过区域必须是传送区域（即必须要有全部的路由选择信息）。3） 用于连接两个不连续的area 0和将远离area 0的区域与area 0连接起来。4） 邻接关系可以通过虚链路建立。5） 经过区域不能是一个stub区域(包括stub，total stub，nssa，total nssa)，6） 虚链路是本身永远是属于骨干区域的。7） 配置：router ospf 1 network 55 area 0 network 55 area 1 area 1 virtual-link message-digest-key 1 md5 CISCO (表示virtual-link通过area 1，对端的RouterID是，这里互相采用MD5认证，还有明文认证和不认证。在对端要做互指的配置)OSPF路由器LSA(1, 所有路由器产生，有关路由器及其各个链路的信息，域内扩散)：show ip ospf database router网络LSA（2, DR产生，与其相连的网络和所有路由器的信息，域内扩散）：show ip ospf database network网络汇总LSA（3, ABR产生，与其相连的其他区域的路由信息包括cost，域间扩散）：show ip ospf database summaryASBR汇总LSA（4, ABR产生，与其相连的ASBR的路由信息包括cost，域间扩散）：show ip ospf database asbr-summaryAS外部LSA（5, ASBR产生，到达AS外部的路由信息，AS域内扩散）：show ip ospf database externalNSSA外部LSA（7, ASBR产生，到达AS外部的路由信息，仅在NSSA域内扩散，在nssa和area0的ABR上被转换为类型5，从而在其余非末梢区域中扩散）：show ip ospf database nssa-externalOSPF每区域内允许的LSA区域非末梢区域允许允许允许允许不允许末梢区域允许允许不允许不允许不允许完全末梢区域允许不允许不允许不允许不允许允许允许允许不允许允许一个例外，类型的缺省路由允许OSPFStub的配置1） 必须在目标区域的ABR路由器上配置area x stub，stub区域中的所有路由器都必须配置为stub。Totally-stub的配置1） 必须在目标区域的ABR路由器上配置area x stub no-summary，但区域中的路由器不需要配置参数no-summary。Nssa的配置1） 必须在目标区域的ABR路由器上配置area x nssa，nssa区域中的所有路由器都必须配置为nssa。Totally-Nssa的配置1） 必须在目标区域的ABR路由器上配置area x nssa no-summary，但区域中的路由器不需要配置参数no-summary。Area0骨干区域不能配置成stub和nssa区域。OSPF网络类型对ospf配置的影响在NBMA网络中，端口默认为非广播类型（non-broadcast）1） 可以使用neighbour指定邻居，使用单播发送Hello以便建立邻接关系。2） 可以修改接口类型，将其指定为broadcast类型即可，ip ospf network broadcast。在Point-to-Point网络中，需要子接口1） 多点汇聚端的路由器端需要多个子接口（有几个单点对端就需要几个子接口），单点端需要一个子接口，2） 一个PtP连接就是一对子接口，各个子接口对不能在一个子网段上，3） 子接口要配置接口类型为Point-to-Point，要配置IP地址，3） 子接口要定义本地DLCI（frame-relay interface-dlci xxx）。OSPF在NBMA网络上配置ospf帧中继等NBMA网络，为了节约费用简化配置，通常是Hub-and-Spoke结构。对于运行其上的ospf协议，由于网络是多路访问的，所以需要选举DR/BDR，又由于网络是非广播的，不能保证ospf多播hello到达所有邻居，影响DR/BDR选举。因此，在NBMA网络中配置ospf需要一些指定的模式。1） NBMA模式 (通过neighbor指定邻居，需要选举DR/BDR) Hub）interface s0/0 Encapsulation frame-relay Ip address Frame-relay map ip 100 Router ospf 1 Network 55 area 0 Neighbor (手工指定ospf邻居)Spoke) inter