标度-ccie认证系列之ccnp路由笔记

CCNP路 路由回获得路由的2种方式------手工指定 动态学习静态路由对路由有着控制权，也可以作为动态路由的备份，在那些低速连更适默认路由适用的场合末端网络，hub-spoke管理距离-----------路由的度问题，越小度越高，越有可能采纳此协议学到的路CCNP路 EIGRP是个高级距离矢量路由选择协议（主要指的是水平分割特性100%EIGRPDUALEIGRP是无类路由选择协议，可以进行任意点工汇总（主要是针对RIP汇总而言EIGRP默认情况下度量值=[107/最优路径经过的最小链路带宽+所经过路径的所有的出接口的延迟之和/10]*256KEIGRPIPRTPTCP3EIGRP5种报文，OUPDATEQUERYREPLYACK，其中红色报文部分需要可靠发送，并需要确认，>1.5M的链路带宽，O报文每5秒发一次（eth，小于的O报文每60秒发一次（frameHodTime是O3倍EIGRP的3，邻居表（o）拓扑表（update）路由表（最优DUAL算法的几个关键术语：FDADSFS（一定要掌握在接口模式下可以通过bandwidth命令可以修改接口的带宽，以K为单位，仅仅影响EIGRP度量值的计算，并EIGRP配置的时候，可以通过掩码/ EIGRP的接口，在连接用户网络的路由器接口或者没有邻居的接口（eg：环回接口）没有必要发送路由更新和opassive掉 EIGRP3种方式： 0.0.0.00.0.0.0 eigrp100 D*EX0.0.0.0/0[170/281600]via10.0.0.2,00:00:35,Ethernet0/0 0.0.0.00.0.0.0 注意通告的默认路由是以路由方式通告的管理距离为90 0.0.0.0/0[90/281600]via10.0.0.2,00:00:03,Ethernet0/0ipdefault-network routereigrpnetworknetwork10.0.0.0intip ddresseigrp1002.0.0.0 2.0.0.0/8[90/409600]via10.0.0.2,00:00:03,注意如果EIGRP关闭了自动汇总一定要在接口模式下（连内网的路由器接口）手工写一条连接路由子网80NULL0的路由，汇总路由采用的度量值为开销最小那个子网路由的度量值，目的是为了防止环路，路由汇总EIGRP3种网络拓扑，全互联部分互联默认情况下eigrp协议在相应的接口下都是开启了水平分割的，需要手工关闭，同时大家需要做实验比较一下不能有工指定，有的动态学习，实际实验结果为不可以，要么手工指定，要么动态，动态注意加上的broadcast在配置帧中继的时候，建议手工指定IP和DLCI的静态，加上broadcast参还要注意多点子接口和点到点子接口写IP和DLCI的不太一就是说必须有可行后记路由器（FSFD的多少倍范围内的开销来实现不等价负载均衡 最佳路由FD AD10 可行后继 AD R2是R1 vc的数量，来指定接口的带宽EIGRPMD5创建链指定秘接口模式下启用MD5认证，并应用相应的EIGRP的查询：当后继失效，又没有可行后继的情况下，查询被发往除了连接后继接口的所有其他邻居接口，其他邻居如果有相应的路由就应答查询，如果没有，再向其他的邻居查询，这个查询的范围会影响EIGRP的EIGRP3分钟内还没有响SIAIOS以默认开启CCNP路 回顾链路状态路由协议的过程（LSA----- 最佳路由OSPF的3（邻居 OSPF的2级层次化路由设计（骨干区域 其他区域—非0区域OSPF的路由器类型（骨干路由 区域路由器 OSPF的邻居关系（针对不同的网络链路类型来决定是否DR/BDR） 不DR eg：s0/0------------S0/0（PPP/HDLC） DR---基于每条链路来决定eg：E0/0 DR eg：s0/0------------S0/0（frame-NBMAP-T-P子接口类型/MPMPospf 不 不 不DR DR默认为 DRDR的作用--------可以减少邻居关系的建立，减少不必要 o报DR的：接口优先级高的优先，Router-Id大的优每个运行OSPF协议的路由器都用一个唯一的标示就是Route-IdDR和BDR 查看邻居形成的过程debugipospfOSPF开销的计 108/所经过的每一条链路的带宽（以Byte为单位）累百兆链路的开销cost=1对于大于100M的链路通过命令指定OSPF的参考带宽花销 reference-bandwidth10000通 o报文建立邻居关 交换LSA得到LSA都有一个序列号，高的优先，相同则忽略LSDB里，LSA1个小时，30LSAOSPFIP89，OSPF5 7个状态1.5M10秒发一次，否则30秒发一次 LSDB的描述信息，用来发现自家想要知道的LSA 请求想要的LSA LSR LSUOSPF224.0.0.10OSPF7 开始发送和接受o报 根据情况决定是否DR以及DR 确定主从较色，Router-Id LSRLSU 注 o报文里面的参数要匹配，否则不能形成邻居 o间隔，hodetime间隔，区域ID，认证，末端域标志都得一致 LSALSUDR，DRDRotherDR(DR能不是OSPF6LSA DRother通告目的地224.0.0.6（域内） DR通告目的地224.0.0.5 ABR通告，域间路由（LSA）（域间） 描述ASBR的可达性，ABR通告（域间） 描述AS外部路由，ASBR通告 只在NSSA/完全的NSSA区域存在，经过ABR会把LSA7转换成 （域内 （LSA的类型OSPF O-IA ASO-E1/2 ospf ospf 0的不连续连接和其他区域到骨干区域的连接（可能是一条备份路径）Router-IDIP地址area1virtual- ，ASOSPF的区域类型：主干区域 接受所有的LSA（showipospfdatabase）末端区域LSA1/2/3 0*IA0.0.0.0 0*IA0.0.0.0NSSA区域 O*N20.0.0.0/0完全的NSSA区 OSPF的认证，分为基于链路的和区域的，类型分为明文和CCNP路 redistribute和路由 RIP EIGRP手工指定5个因子 OSPF2E220subnet参数，当然可以根据情况来多点单向和双向再发布存在次优路径和环路的，解决的办法调整相应的管理距 路由过滤，可以通过多种方法实现，现阶段学到的有发布列表：可以基于接口和协议实现，基于接口可以IN ipprefix-list1permit ipprefix-list1 172.16.0.0/16ge17le ipprefix-list1permit ipprefix-list1permit0.0.0.0/0le 注意 permit的意思是允许指定的路由，deny的意思是指定的路路由图：应用非常广泛但是相对复杂，具体使用如下route-maptestpermit 创建路由matchipaddress1 指定匹配的条件（ACLPrefix）matchinterfaceEthernet0/0setipnext-hop11.0.0.2 2个条件都要匹配（and）route-maptestpermit20matchipaddress setipnext-hop13.0.0.22个条件只需要匹配其中一个即可123R1(config)#route-mapBIAODUpermit10R1(config-route-map)#matchipaddress1R1(config-route-map)#setmetric-typetype-1R1(config)#route-mapBIAODUpermit20R1(config-route-map)#matchipaddress2R1(config-route-map)#setmetric100R1(config)#route-mapBIAODUdeny30R1(config-route-map)#matchipaddress3R1(config)#route-mapBIAODUpermit40上例中，红色部分满足list3的路由将不会被路由再发布引入（蓝色部分如果没有，除了permit102030定义的路由其他都会被，这和控制列表是一致的，只要没有定义的，都是被的（filter，（PBR，SLA RIPEIGRP有效，可以改变相应路由的开销R1(config)#access-list1permit172.16.1.00.0.0.255R1(config)#routerripR1(config-router)#offset-list1 Performoffseton ingupdates PerformoffsetonoutgoingR1(config-router)#offset-list1inSLA---ICMPPBRipslamonitortypeechoprotocolipIcmpEcho12.0.0.2source-interfaceEthernet0/0frequency10ipslamonitorschedule11lifeforeverstart-timenowipslamonitor22typeechoprotocolipIcmpEcho13.0.0.3source-interfaceEthernet0/3frequency10ipslamonitorschedule22lifeforeverstart-time!track1rtr11!track2rtr22!iproute0.0.0.00.0.0.012.0.0.2trackiproute0.0.0.00.0.0.013.0.0.32track access-list1permit172.16.1.0access-list2permit172.16.2.0 !route-maptestpermit10matchipaddress1matchinterfacesetipnext-hop intippolicyroute-maptest SLAPBRipslamonitortypeechoprotocolipIcmpEcho12.0.0.2source-interfaceEthernet0/0frequency10ipslamonitorschedule11lifeforeverstart-time!track1rtr11access-list1permit172.16.1.0access-list2permit172.16.2.0 !route-maptestpermit10matchipaddress1matchinterfacesetipnext-hopverify-availability12.0.0.210trackintippolicyroute-maptest PBRNATipnatinsidesourceroute-mapnat1interfaceEthernet0/0overloadipnatinsidesourceroute-mapnat2interfaceEthernet0/2overloadipnatinsidesourceroute-mapnat3interfaceEthernet0/2overloadipnatinsidesourceroute-mapnat4interfaceEthernet0/0access-list1permit172.16.1.0access-list2permit172.16.2.0!route-maptestpermit10matchipaddress1matchinterfaceEthernet0/0setipnext-hop12.0.0.2!route-maptestpermit20matchipaddress2matchinterfaceEthernet0/2setipnext-hop13.0.0.3!route-mapnat3permit10matchipaddress2matchinterface!route-mapnat2permit10matchipaddress1!route-mapnat1permitmatchipaddressmatchinterface!route-mapnat4permit10matchipaddress2CCNP路 伟大的BGPASIANAAS号的范围1---- 其中 65535为私有AS号，扩展的ASfrom BGPTCPRIPAS号就像一跳，BGPAS的下一跳而不是路由器的下一跳，BGPAS号的最短路径选择最佳路径（AS之间的角度看）BGPVLSM（peerBGPIGP（带宽，延迟，等到ISP的连接可以使用静态路由，2层模拟电路 ，3 到ISP连接的冗余性可以使用单宿主（不，双宿主、双多宿主（单/双宿主连接默认路由/BGP，BGPBGP，BGPIBGPEBGP，EBGP通常需要直连，IBGP不需要直连，通常通过环回穿越链的IBGP，如果没有形成全互联的IBGP邻居关系，会存在路由黑洞的BGP是典型的非穿越链路，IBGP之间通过水平分割防止环路，EBGPAS（A（EEBGP邻居通告BGP的3，邻居表 bgp表 BGP的4种消息类型 BGP公认必必须BGP路由器执所有的BGP路由器都能被给其他的邻必须在所有的更新消息公认可可以在更新消息中被携带也可以不所有的BGP路由器都能可选可传递可以被部分BGP路由器识别而不是所有的

llyincludedinupdate

被给其他的邻如果不能识别，被特殊标记给其他邻可选非传递可以被部分BGP路由器识别而不是所有的不被给其他的邻如果不能被NotOptionalOptionalOptionalupdateRouterAadvertisesnetwork172.16.0.0torouterBinEBGP,withanexthopof10.10.10.3.RouterBadvertises172.16.0.0inIBGProuterC,kee10.10.10.3asthenext-hopaddress.IGPnetworkEGPRedistributedfrom （淘汰不用pleteRedistributedfromIGPor本地优先属性被通告给IBGP邻居，用来告诉数据包怎样走出仅仅被发给IBGP邻本地优先属性是众所周知和可选Defaultvalueis原子聚合属性已被丢失了的信息。当路由聚合时将会导致信息的丢失，因为聚合来自具ASASMED值表示高的优先级。MEDMED属性不能传递到第 ttoanyBGPneighbors;localtothisrouterBGPRouteIBGPR1(config)#routerbgpR1(config-router)#neighborINTERNALremote-as65100R1(config-router)#neighborINTERNALupdate-sourceloopback0R1(config-router)#neighborINTERNALnext-hop-selfR1(config-router)#neighborINTERNALdistribuist20outR1(config-router)#neighbor192.168.24.1peer-groupINTERNALR1(config-router)#neighbor192.168.25.1peer-groupINTERNALR1(config-router)#neighbor192.168.26.1peer-groupINTERNALIBGPBGP会话的时候，会有以下状态:Idle:空闲搜索Connect:TCP连Active:活动状态：路由器发送open报文并等待响应，这种状态在活动和空闲之Opensent:开始BGP会话的参数发送消Openconfirm:开始确认收到建立会话的参数并达成一致Established:邻居关系建立，开始发送路空闲状态：在路由表里不能发现邻居地址，检查IGP的问题，邻居通告路由了吗？连接状态：对BGP操作来说是正确的，可以通过showipbgpsummary命令查看邻居没有一条到达发送open报文源地址的路由邻居没有收到邻居AS号配置错CCNP路由IPsec数据性:通过DES/3DES等对称密钥加密算法实现;数据源验证:数字签名和数字防重放:利用数据包中的序列号和接收端的滑动窗口实现IPsec有两种工作模式传输模式(transportmode),IPsecGREoverIPsec。隧道模式（tunnelmode）,此模式下，加密点不等于通讯点,往往加密点位于客户的网关设备上。IPSEC的3个主要协议：IKE AH(几乎不用---不能提供性）ESP 提供第一阶段的SA保护（安全关联） SA保护（安全关联第一阶段（6个报文实现/3个报文实现通过DH算法协商生成加密秘钥的素材，得到加密秘 通过DH实现（非对称算法A用B的公钥加密素材用自己的私钥签名，到了对方B用A的公钥验证，通过自己的私钥加密的CCNP路 IPV6IPV432128IPV4IPV6的地址类型分为 Anycast不在使用广播，6大扩展包头如下ProcessExtensionNext-header(protocol1Hop-by-hopoptions02Destinationoptions3Routing4Fragment5Authenticationheader(AH)andESPESP=AH=6Upper-layerheader:TCP=UDP=MTUDiscoveryIPV6MTUMTU的大小，ICMPV6报文实现IPV4向IPV6演进的过程需要的技术Dual 4(6to4) IPV6的地址标示方法，是通过：隔开的8段16进制 IPV6地址支持简写：3FFE:501:8::260:97FF:FE40:EFAB 64位的网络前缀，64位的接口 注意一些特殊的IPV6地IPv6AllroutesandusedwhenspecifyingadefaultstaticItisequivalenttotheIPv4quad-zeroUnspecifiedaddressandisinitiallyassignedtoawhenitresolvesitslocallinkLoopbackaddressoflocalEquivalentto127.0.0.1inLink-localunicastSimilartotheWindowsautoconfigurationIPaddressofMulticastAllotherGlobalunicastIPv6地址范围 Link-local Globalunicast publicunicastprefixSiocal IPV6的组播地址 保留的IPV6组播地MulticastMulticastAllnodesonalink(link-localAllroutersonaAllroutinginformationprotocol(RIP)routersonalink.Allsolicited-nodemulticastaddressesusedforhostautoconfigurationandneighbordiscovery(similartoARPinIPv4).Theisthefarright24bitsofthecorrespondingunicastoranycastaddressoftheAllNetworkTimeProtocol(NTP)

节点组播AdvertisementAdvertisement(RA)ICMPtype:135Source:addressdhoplimit MTU Link-layeraddressofQuery:WhatisyourlinkRSrequestingrouterswaitfortheir)BesponsetoaRSsedforon-linkdeterminationBRAscontainprefixesAAresponsetoaNSAnodemayalsosendunsolicitedNAtoannouncealink-layeraddresschange.Advertisement(NA)Sentbyahosttodeterminethelink-layeraddressofaneighbor.Usedtoverifythataneighborisstillreachable.AnNSisalsousedforDuplicateAddressDetectionSolicitation(NS)ICMPv6ICMPv6aaNeighborAdvertisementAAICMPtype:136Source:B Link-layeraddressofICMPtype:133Source:ICMPtype:133Source:AllroutersmulticastaddressQuery:PleasesendICMPtype:134Source:R1link-local Allnodesmulticastaddress Options,prefixes,lifetime,ConfiguringIPv6UnicastAssigningMultipleIPv6R1(config)#interfaceR1(config-if)#ipaddress10.20.20.1R1(config-if)#ipaddress10.10.10.1R1(config-if)#ipv6address2001:1::1/64R1(config-if)#ipv6address2002:1::1/64R1(config-if)#endR1(config)#interfaceloopbackR1(config-if)#ipv6address2001:8:85a3:4289::/64eui-64EnableSta essAutoconfiguration ipv6addressIPv6MultipointFRR2(config)#interfaceDLCI:DLCI:DLCI:DLCI:DLCI:FrameDLCI:R2(config)#interfaceR2(config-if)#frame-relaymapipv62001:12::1201IPv6IPv6supportsthefollowingStaticIS-ISforEIGRPforMultiprotocolBGPversion4(MP-Foreachroutingoptionabove,theipv6unicast-commandmustbeStaticDirectlyattachedIPv6static Recursivestatic FullyspecifiedstaticIncludesboththeoutgoinginterfaceandthenexthopaddress.Usedonmultiaccessinterfaces(Ethernet)withmultipledevices.Forexample,thecommandtospecifythat2001:CC1E::/32isreachableoutinterfaceFa0/0totheneighborat2001:12::1 F ItissimilartoRIPv2ThehoplimitisstillTheadministrativedistanceisstillItstillusessplithorizonandpoisonreversetopreventroutingUnlikeRIPv2,RIPngUsedtotransportIPv6networksandItusesanIPv6prefixandanext-hopIPv6UsesUDPport520(insteadofUDPportUsesthemulticastgroupFF02::9(insteadofTheprotocolimplementationforIPv6includestheseBasedonOSPFversion2(OSPFv2),withDistributesIPv6RunsdirectlyoverOperatesas“shipsinthenight”withThisimplementationaddstheseIPv6-specific128-bitLink-localMultipleaddressesandinstancesperAuthentication(nowusesOSPFv3runsoveralinkratherthanaOSPFv3usesIPv6link-localaddressestoidentifytheOSPFv3adjacencyRepresentsallOSPFv3routersonthelink-localscope,equivalentto224.0.0.5inRepresentsalldesignatedrouters(DRs)onthelink-localscope,equi