[计算机硬件及网络]CCNP.doc

跨层封装DHCP 中继r1(config)#ip dhcp pool v1r1(dhcp-config)#network 192.168.9.0 255.255.255.0r1(dhcp-config)#default-router 192.168.9.1r1(dhcp-config)#dns-server 8.8.8.8R1(dhcp-config)#lease 0 0 30 租约时间设定配置DHCP 中继 前提路由一定要可达配置地点：直连请求者的接口r2(config-if)#ip helper-address 192.168.2.1 DHCP server ip地址静态路由：在以太网中使用下一跳在点到点网络中建议使用出接口，加快查表速度出接口加下一跳-动态路由协议 缺省路由：一条在路由中以*号标示路由条目，不限定目标 查表规则，在将所有其他路由条目查看完后依然没有可达路由才使用手工汇总：在每台非直连路由上，到达连续子网时拥有相同下一跳，可以将目标地址进行手工汇总起到减少路由表条目数量的作用当汇总后可以能出现路由黑洞，当路由黑洞同缺省相遇时必然出现环路解决方法：在黑洞源器上配置到汇总地址的空接口R1(config)#ip route 1.1.0.0 255.255.252.0 null 0负载均衡：当到达同一目标拥有多条开销相似路径可以将多条路径同时放进路由表，路由器将会把数据平均分割依次传输浮动静态路由：通过修改默认的管理距离起到路由备份的作用r1(config)#ip route 1.1.1.0 255.255.255.0 13.1.1.2 2RipUDP 520端口传输 距离矢量路由协议打破环路方法：1、 水平分割 从此口进不从此口出2、 毒性逆转水平分割 在结构发生变化的瞬间发出16跳更新；并发回表示确认3、 最大跳数 15跳 16不可达4、 计时器:更新30s 失效 180s 抑制 180s 刷新240sRIPv1 和RIP v2 区别1、 v1有类别 v2 无类别2、 v1 255.255.255.255 v2 224.0.0.9 3、 v2 支持认证Ripv1配置r1(config)#router ripr1(config-router)#version 1宣告：1、激活接口 2、通告路由r1(config-router)#network 172.16.0.0解决ripv1不连续子网；使用第二地址r2(config-if)#ip address 172.16.20.2 255.255.255.0 secondary Ripv2配置r2(config)#router ripr2(config-router)#version 2r2(config-router)#no auto-summary DV路由协议默认开启自动汇总r2(config-router)#network 172.16.0.0基于时间的认证key chain ccna key 1 key-string cisco accept-lifetime 15:33:00 Aug 4 2012 17:55:00 Aug 4 2012 接收时间 send-lifetime 15:33:00 Aug 4 2012 17:55:00 Aug 4 2012 发送时间key chain ccna key 2 key-string cisco123 accept-lifetime 17:54:30 Aug 4 2012 18:55:00 Aug 4 2012 接收时间 send-lifetime 17:54:30 Aug 4 2012 18:55:00 Aug 4 2012 发送时间接口调用：同邻居相连的接口r1(config-if)#ip rip authentication key-chain ccnar1(config-if)#ip rip authentication mode md5手工汇总：在更新源路由器所有更新发出的接口配置r1(config-if)#ip summary-address rip 1.1.0.0 255.255.252.0被动接口：只收不发 路由协议信息 用于同用户相连的接口，同时这些建议认证r1(config)#router ripr1(config-router)#passive-interface fastEthernet 0/0单播更新：r1(config-router)#neighbor 12.1.1.2 此时已使用单播更新，但同时组播或广播更新依然进行故使用被动接口来关闭接口的组播及广播更新(该方法仅在rip中使用)r1#debug ip packet 动态查看该路由器收发的IP报文r1#debug ip rip ? database RIP database events events RIP protocol events trigger RIP trigger extension <cr>加快收敛：30s 180s 180s 240s 网络中一台修改，全网均需修改 建议维持原有倍数关系r1(config-router)#timers basic 10 60 60 80缺省：r2(config)#router ripr2(config-router)#default-information originate偏移列表：控制rip选路先使用ACL定义感兴趣流量r1(config)#access-list 1 permit 172.16.30.0 不配反掩码，默认0.0.0.0再配置偏移列表r1(config-router)#offset-list 1 in 4 serial 1/1 ACL +4 进、出接口方向一、广域网串线封装协议：r1#show controllers serial 1/1 查看接口属于DCE还是DTE 接口必须在开启状态1、HDLC 高级数据链路控制协议 （点到点网络中）Cisco私有封装协议，每家厂商都拥有自己的HDLC2、PPP 点到点协议 公有协议 （点到点网络）PPP协议包含两种子协议：LCP NCPLCP：用于建立、管理、关闭PPP会话-面向下层NCP：用于同上层协议进行通信；每一种网络层协议都有其对应的NCPr1#debug ppp negotiation PPP认证：PAP ：密码验证协议-明文发送密码 ，仅仅在会话建立的时候发送一次，之后不再进行验证； 容易受到攻击，并不会自动断开CHAP：质询握手认证协议，有效的维护会话，受到攻击后自动断开PAP配置：主认证方：username openlab password 0 cisco 定义认证数据库interface Serial1/1 ppp authentication pap 接口激活认证需求被认证方：r2(config-if)#ppp pap sent-username openlab password ciscoCHAP配置：主认证方：interface Serial1/0ppp authentication chapusername r2 password cisco123 对方主机名被认证方：username r3 password cisco123 对方主机名不使用主机名被认证方r3(config)#int s1/1r3(config-if)#ppp chap hostname ccier3(config-if)#ppp chap password cisco1234主认证方r4(config)#int s1/0r4(config-if)#ppp authentication chap r4(config)#username ccie password cisco12343、 帧中继VC 虚电路 PVC永久虚电路 DLCI-本地链路标示 帧中继二层地址，标示一段PVCLMI-本地管理接口配置顺序：1、创建PVC 2、LMI 3、客户端的MAP 帧中继交换机的配置：frsw(config)#no ip routing 关闭路由功能frsw(config)#frame-relay switching 开启帧中继交换功能 进入同用户相连的接口frsw(config)#interface s1/0frsw(config-if)#encapsulation frame-relay frsw(config-if)#frame-relay route 102 interface s1/1 201 本地DLCI 对端接口及DLCIfrsw(config-if)# frame-relay intf-type dce 帧中继交换机接口必须为LMI接口DCE端定义LMI接口工作方式，cisco为私有私有，其他为业界标准；cisco产品默认使用cisco协议，若修改客户端必须一致frsw(config-if)#frame-relay lmi-type ? cisco ansi q933a frsw(config-if)#frame-relay lmi-type ciscor1# show frame-relay pvc r1#show frame-relay map在一些特殊情况下，需要使用静态MAP表-由其在帧中继交换机为全连网状结构时r1(config)#interface serial 1/2r1(config-if)#no frame-relay inverse-arp 关闭用户的ARP请求r1(config-if)#no arp frame-relay 关闭用户的ARP 应答r1#clear frame-relay inarp 刷新MAP表r1(config-if)#frame-relay map ip 12.1.1.2 102 broadcast 配置静态MAP 对端的ip 本地的DLCI 末尾一要配置广播字段，否则动态路由协议将不能正常工作在轴辅状网络中使用EIGRP需要关闭水平分割使用点到点子接口1、修改真实物理接口的封装同时开启该接口interface Serial1/2 no sh encapsulation frame-relay2、 创建点到点子接口 点到点子接口只能使用动态产生MAP表 r1(config)#interface s1/2.1 point-to-point r1(config-subif)#ip address 12.1.1.1 255.255.255.0 frame-relay interface-dlci 102 注：默认DLCI均绑定在物理接口上，使用子接口时需手动重新绑定3、 多点子接口 一个多点子接口相当于一个物理接口interface Serial1/2.2 multipoint ip address 13.1.1.1 255.255.255.0 no ip split-horizon eigrp 90 no arp frame-relay frame-relay map ip 13.1.1.3 103 broadcast frame-relay map ip 13.1.1.4 104 broadcast no frame-relay inverse-arpEIGRP 协议号88 组播地址224.0.0.10触发、增量、有界4大组件：1、 hello 建邻、保活2、 RTP 可靠传输协议3、 DUAL 弥散更新算 -计算出最佳路径，备份路径，在结构发生变化时使用查询和应答来需找新的路径或告知不可达4、 PDMr1(config)#router eigrp 90 启动时配置AS号，在EIGRP中理解全网一致的进程号r1(config-router)#no auto-summary DV路由协议默认开启自动汇总r1(config-router)#network 12.1.1.1 0.0.0.0 宣告时可使用反掩码精确匹配r1(config-router)#network 1.0.0.0 也可宣告主类网络号r1#show ip eigrp neighbors 邻居表SRTT 平均往返时间 （毫秒）RTO 重传超时时间 -QCNT 队列长度 r2#show ip eigrp topology 拓扑表FD：可行距离 本地到该目标的度量AD:通告距离 该条路径的邻居到目标的度量FC：可行条件 最佳路径的FD备份路径的AD最佳路径：FD最小，若两条FD相同-等开销负载均衡备份路径：成为备份路径的条件叫做FC度量计算公式：Formula with default K values (K1 = 1, K2 = 0, K3 = 1, K4 = 0, K5 = 0):Metric = K1 * BW + (K2 * BW) / (256 load) + K3 * delayIf K5 not equal to 0:Metric = metric * K5 / (reliability + K4):默认下：1*BW+1*delayBW（cost）=107 /整条路径中最小一段链路带宽 *256 结果中若存在小数点，将点后部分直接省略Delay=所有控制层面进接口延时总和/10 *256256放大因子：1、计算后同IGRP兼容 2、放大数据便于比较修改KEY值 r1(config-router)#metric weights 0 1 1 1 1 1 后5位为k修改key值，全网均需一致，若不一致邻居关系将不能正常建立修改key并不能影响选路，将度量变小用于应对无穷大度量若需要干涉EIGRP选路可使用策略-偏移列表等r3(config-if)#bandwidth 800 修改接口带宽；不能影响正常数据转发，只能影响路由协议的工作差异值：备份路径的FD/最佳路径的FD 结果取整 大于1小于2 取2 非等开销负载均衡：将备份路径也放入路由表同最佳按照一定的传输比例进行数据转发，加快转发效率，提高链路利用率做法：修改差异值-假设将差异值修改为2 ；意味着将备份路径与最佳路径在两倍关系的条目加表r3(config)#router eigrp 90r3(config-router)#variance 2注：在IOS版本12.3以下路由器中修改差异值后，条目不会主动进表需要手动刷新路由表r3#clear ip route *拓扑表的字母：r3#show ip eigrp topology IP-EIGRP Topology Table for AS(90)/ID(3.3.3.3)Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 1.1.1.0/24, 1 successors, FD is 2300416 via 23.1.1.1 (2300416/156160), Serial1/0 via 34.1.1.2 (3842560/156160), Serial1/1P 2.2.2.0/24, 1 successors, FD is 2297856 via 23.1.1.1 (2297856/128256), Serial1/0 via 34.1.1.2 (3842560/156160), Serial1/1P：收敛完成的拓扑 并且将加载最小FD进表A：活动A 1.1.1.0/24, 1 successors, FD is Inaccessible, Q 1 replies, active 00:00:05, query-origin: Local origin Remaining replies: via 12.1.1.2, r, Serial1/1Q：查询时并且没有收到ACKQr：查询时收到ACKQR:收到应答（瞬间状态、不易查看）U：确定应答 准备加表在特殊情况下有可能设备卡在活动状态：1、 网络深度过深导致应答包不能及时回复2、 错误的策略或配置活动状态对网络的影响，在于后方路由器之间的问题地址本地路由器邻居关系被down 解决方法：1、r1(config-router)#timers active-time 10 该大计时器-适用于网络深度过大 2、卡在活动状态计时器 在活动计时器过半时向邻居发出卡在活动状态查询，若收到应答那么将在活动计时器完成后删除路由条目但不断开邻居关系在环形结构中有可能出现重复查询、应答数据；在中心到站点拓扑中，中心对各站点根本没有查询意义以上两种情况建议将末梢路由器配置为末梢邻居将不会把查询数据传递给末梢r1(config-router)#eigrp stub 在帧中继的带宽分配问题：（默认EIGRP占用带宽的百分之50）最小CIR带宽*PVC的数量得到结果配置给中心点再将大于最小CIR带宽用户的占用百分比根据实际情况进行上调r1(config-if)#ip bandwidth-percent eigrp 90 400 认证：（EIGRP仅支持MD5认证）也可以基于时间认证定义KEY:key chain ccna key 1 key-string cisco认证双方编号和密钥必须一致接口调用interface Serial1/1 ip authentication mode eigrp 90 md5 必须密文，否则不生效 ip authentication key-chain eigrp 90 ccna手工汇总：在更新源路由器所有更新发出接口上配置r3(config)#int s1/0r3(config-if)#ip summary-address eigrp 90 3.3.0.0 255.255.248.0被动接口：只收不发路由协议信息 （同用户相连的接口）r2(config)#router eigrp 90 r2(config-router)#passive-interface fastEthernet 0/0单播更新：r1(config-router)#neighbor 12.1.1.2 serial 1/1 邻居ip地址 同邻居相连的接口注：邻居间必须同时配置缺省：1、 在边界路由器所有同内网相连的接口上配置一条汇总路由，汇总地址0.0.0.0/0r1(config)#int s1/1r1(config-if)#ip summary-address eigrp 90 0.0.0.0 0.0.0.0配置后，一定要记得此时边界路由器本身并不拥有到ISP的缺省路由，故需要手工静态指向ISP2、 重发布静态先在边界路由器上静态缺省指向ISP 再将边界路由上的静态路由重分布到EIGRP中r1(config)#router eigrp 90r1(config-router)#redistribute static 3、先在边界路由器上静态缺省指向ISP 再r1(config)#router eigrp 90 r1(config-router)#network 0.0.0.0将静态缺省宣告到EIGRP中注：这种方法会将边界路由器同ISP相连的接口激活，不安全4、ip default-network 1、r1(config)#ip default-network 1.0.0.0 （必须时主类网络号，该地址为边界路由器外网接口）2、在EIGRP中通告该网段3、该路由器上必须拥有到达该主类网络的路由条目（明细不可） 可以使用ip route 1.0.0.0 255.0.0.0 null 0EIGRP hello time5s hold-time 15s T1链路 60s 180s修改计时器可以加快收敛：邻居间建议一致r4(config)#int s1/1r4(config-if)#ip hello-interval eigrp 90 2r4(config-if)#ip hold-time eigrp 90 6注：当hold时间小于hello时间时将出现邻居关系翻动邻居间必须匹配的值：1、 AS号2、 K 值3、 认证字段OSPF特点：1、 无类被链路状态路由协议2、 使用SPF算法和区域划分来避免环路以及减少更新量3、 使用组播更新 224.0.0.5 allospfroute 224.0.0.6 DR/BDR address4、 触发更新，30min周期更新5、 支持路由认证，区域汇总6、 支持负载均衡（等开销 默认4条，最大6条 IOS12.4后16条）7、 部署的网络需要分级结构化设计邻居及邻接关系的建立1、 Down2、 Init初始化：当收到第一个hello时3、 Two-way 双向通信状态 ，当收到的hello包中存在本地RID匹配条件：在点到点网络中直接向下一级关系发展 在MA网络中经过40s进行DR/BDR选举4、 exstart 准备开始建立邻接关系，交换简单的DBD来进行主从关系选举 RID大为主5、 Exchange 准交换；交换汇总DBD 6、 Loading 加载：相互间使用LSR/LSU来获取未知的LSA信息7、 Full在hello时间默认为30s 时，在init状态前增添 ATTEMPT状态，来延缓邻居建立Hello包 用于邻居的发现、建立；邻居和邻接关系的保活10s dead 40s 30s 120s 邻居间必须一致的部分：hello和dead时间 区域ID 认证类型，认证密钥 末梢区域标记以组播发出 不需要确认DBD若双方MTU不匹配 将卡在exstart；若长时间不匹配 将在exstart和down状态间翻动interface Serial1/1 ip mtu 1200 修改MTU或 ip ospf mtu-ignore 忽视MTU在预启动状态时，将会进行隐性确认I INIT为1，表示这是本地发出的一个DBD包M more为1，表示后面还有更多DBD过来MS 为1 主 为0 从OSPF配置：启动时配置进程号，进程仅具有本地意义，不同进程拥有不同RID接口先宣告到哪个进程，该接口就仅工作该进程r1(config)#router ospf 1 r1(config-router)#router-id 1.1.1.1 手工-环回ip地址最大-物理接口ip最大-无进程宣告：1激活2路由OSPF在宣告的同时进行区域的划分r1(config-router)#network 12.1.1.1 0.0.0.0 area 0 反掩码 区域0r1(config-router)#network 0.0.0.0 255.255.255.255 area 0OSPF区域划分规则：1、 星型2、 ABR（区域边界路由器）r2#show ip ospf neighbor 邻居表r2#show ip route ospf 路由表O 标示 AD110 度量 cost值默认参考带宽108=100m 当接口带宽大于100M，需要修改参考带宽来选择正确的路径r1(config-router)#auto-cost reference-bandwidth ? <1-4294967> The reference bandwidth in terms of Mbits per secondr1(config-router)#auto-cost reference-bandwidth 1000 注：若修改，建议全网所有设备均修改r1(config-if)#ip ospf cost 100 修改接口cost值将影响从该接口进入的路由条目度量，起到控制选路的作用路由表字母标示：O 本地区域通过拓扑自己计算的路径O IA 其他区域路由器通过自己计算的路由传递仅本区域OE1 从非OSPF协议学习到路由条目 类型1OE2 类型2ON1 从NSSA区域学习到的路由 类型1ON2 类型2r1#show ip ospf database 拓扑表 LSDBDR/BDR选举1、 是否需要进行DR/BDR选举？ 网络类型2、 为什么要进行DR/BDR选举？ 在MA中可能出现大量重复LSA同步网络类型 接口封装点到点 串线PPP/HDLC BMA 广播型多路访问 以太网NBMA 非广播型多路访问 帧中继 MA：多路访问 在一个网段中不能确定节点的数量DR/BDR选举规则： 1、 比较接口优先级0-255大优先 点到点接口默认0（不参与选举） MA网络默认1 2、 在优先级相同的情况下比RID DR/BDR选举非抢占修改接口优先级，干涉选举interface FastEthernet0/0 ip ospf priority 3选举非抢占需重启进程r2#clear ip ospf process Reset ALL OSPF processes? no: yesr4(config)#int f0/0r4(config-if)#ip ospf priority 0OSPF接口网络类型：及OSPF在各种网络类型的工作方式，使用接口类型来定义网络类型 OSPF接口网络类型环回： loopback 不发出HELLO，向邻居发出的路由为32位主机路由点到点（HDLC/PPP）： 点到点 10s hello 40s dead 不进行DR/BDR选举、自动建邻BMA （以太网）： 广播 10s 40s 进行 自动NBMA（帧中继）： 1、真实物理接口 非广播 30s 120s 手动 手动建立：1、单播更新 进行 注：在轴辐状及非全连网状 将出现DR/BDR选举问题 解决：使HUB端成为DR，无BDR 在DR修改后，依然出现下一跳地址问题 解决：全连网状、点到点子接口，点到多点网 络类型 2、cisco提出将非广播类型修改为广播（接口网络类型） 广播 10s 40s 进行 自动 注：同单播更新一样，存在DR位置问题及下一跳地址问题2、 点到点子接口 点到点 10s hello 40s dead 不进行DR/BDR选举、自动建邻 注：子接口对端可能时真实物理接口，那么两端类型不一致，故不能建立邻居关系解决：将邻居端的真实物理接口网络类型修改为点到点3、点到多点子接口 默认下同真实物理接口一致 解决方案：修改接口网络类型为点到多点 点到多点网络类型（手工）30s 120s 不进行 自动 注：建议在多点子接口，轴辐状结构中 在多点子接口，轴辐状结构中还可以使用点到多点非广播 点到多点非广播和点到多点的区别不自动建立邻居，单播建立OSPF 不规则区域：1、 非骨干远离骨干 2、 不连续骨干解决方法：1、 隧道2、 虚链路3、 多进程双向重发布隧道配置 interface Tunnel250 ip address 172.16.1.1 255.255.255.0 tunnel source 12.1.1.1 tunnel destination 23.1.1.2虚链路r2(config-router)#area 1 virtual-link 4.4.4.4 穿越的非骨干区域 对端ABR的RID非骨干衔接ABRrouter ospf 1 router-id 4.4.4.4 log-adjacency-changes redistribute ospf 2 subnets network 34.1.1.2 0.0.0.0 area 1!router ospf 2 router-id 4.4.5.4 log-adjacency-changes redistribute ospf 1 subnets network 4.4.4.4 0.0.0.0 area 2 network 45.1.1.1 0.0.0.0 area 2LSA 链路状态通告：用于携带拓扑及路由所有LSA中携带 LS age: 48 老化时间，正常1800s归0，最大生存时间3609s Options: (No TOS-capability, DC) LS Type: Router Links 1类 Link State ID: 1.1.1.1 条目在目录的标示 Advertising Router: 1.1.1.1 通告者的RID LS Seq Number: 80000003 序列号 Checksum: 0x67F8 校验和 Length: 60 Number of Links: 3 传播范围 通告者 内容LSA1 router 本区域 本区域内所有的路由器（RID） 直连拓扑、路由LSA2 network 本区域 DR RID 拓扑（MA）LSA3 summary 整个OSPF域 ABR 域间路由LSA4 summaryASB 出ASBR所在区域以外 ABR 的整个OSPF域LSA5 external 整个OSPF域 ASBR 域外路由LSA7 NSSA 单个NSSA区域 ASBR 域外路由汇总LSDB表 Link ID ADV routerLSA1 ADV RID RID LSA2 DR，s IP DR，s RIDLSA3 （IA）router ABR，s RID 在经过下一个ABR后，变为下一个ABR RIDLSA4 ASBR RID ABR，s RID 在经过下一个ABR后，变为下一个ABR RIDLSA5 （E1、2）router ASBRLSA7 （N1、2）router ASBROSPF优化：一、 特殊区域1、 stub 末梢区域 注：该区域不能存在ASBR 不能是骨干区域 不得配置虚链路 末梢区域将拒绝4、5类的LSA，同时产生一条3类的缺省r2(config)#router ospf 1r2(config-router)#area 1 stub 末梢区域的区域ID 注：该区域内所有的路由器均需配置2、 完全末梢区域cisco私有 注：该区域不能存在ASBR 不能是骨干区域 不得配置虚链路 在原有末梢的基础上进一步优化，拒绝3类LSA ，仅留下一条3类缺省 配置时先将该区域配置为末梢区域，然后再在ABR处将该区域配置为完全末梢区域r2(config)#router ospf 1r2(config-router)#area 1 stub no-summary 用于存在ASBR区域的优化3、 NSSA区域 非完