展开

关键词

首页关键词CCNP

CCNP

相关内容

云服务器

云服务器

腾讯云服务器(CVM)为您提供安全可靠的弹性云计算服务。只需几分钟,您就可以在云端获取和启用云服务器,并实时扩展或缩减云计算资源。云服务器 支持按实际使用的资源计费,可以为您节约计算成本。
  • CCNP知识点总结——RIP、EIGRP

    Key-chain CCNP key 1 key-string cisco (2)MD5认证: 发送KeyID最小的,携带了key-id信息,具有相同key-id的key-string相互比较,若匹配,(3)在接口上启用认证: int fa10 ip rip authentication mode ip rip authentication key-chain CCNP RIP验证路由的方向为收方向。默认K值: K1=K3=1 K2=K4=K5=K6=0 R1(config)# router eigrp ccnp R1(config-router)# address-family ipv4 autonomous-system
    来自:
    浏览:477
  • CCNP学习笔记(3)

    一、RIPv2:Routing Information Protocol 路由信息协议 1.特性: ①属于“距离矢量”路由协议 ②定期发送路由更新(30S一次,路由表中所有路由) ③依据“跳数”衡量路径好坏 跳数(hop):router与router之间称跳。最大有效跳数15 ④支持默认4条(最大6条)“等开销”路径做负载平衡。如下图:数据被分成两部分同时传输。?以上是RIPv1和RIPv2都有的特性,下两条为RIPv2特有 ⑤属于无类路由协议 ⑥使用组播实现路由更新 组播:把数据发给配置RIPv2的router,组播地址:224.0.0.9 2.应用场合: 性能要求不高的中小网络环境 3.具体配置 ①启用路由协议 (config)#router rip ②指定服务的网段 (config-router)#network 网络号 network后的参数是“网络号”(172.16.0.0),不是“子网号或具体IP” 网络号:只写与本台路由器直连网络的网络号 一个network后面只能放一个网络号 ③附加配置 (config-router)#version 2 修改RIP版本号,默认为RIPv1 (config-router)#no auto-summary 关闭自动汇总 (config-router)#ip summary-address RIP 汇总IP 汇总掩码 配置手工汇总 ④调试(特权模式) #show ip route 查看路由表 #show ip protocols 查看路由协议信息 #debug ip rip 调试路由更新信息 #show running-config 查看路由器配置 二、EIGRP:Enhanced Interior Gateway Routing Protocol 增强内部网关路由协议 1.特性: ①EIGRP是Cisco专属协议 ②属于“高级距离矢量”路由协议 补充内容: 距离矢量 链路状态 彼此收发路由* 彼此收发链路状态 定期收发所有路由 只在网络发生变化时,而且只发送变化的信息* *EIGRP处理的对象是路由 *网络收敛后,EIGRP不在发送路由更新信息,只有当网络状态变化时,才发送路由信息,且只发送变化网络的路由信息 收敛(convergence):网络由不稳定到稳定的过程。 收敛时间:收敛过程持续的时间 ③收敛时间短,一般小于10S ④100%无环路 ⑤增量路由更新 ⑥支持默认4条(最多6条)等开销或不等开销路径做负载均衡 ⑦网络设计灵活(汇总可以做在任意路由器的任意端口上) ⑧使用组播实现路由更新(组播地址:224.0.0.10) ⑨EIGRP属于“无类路由协议” ⑩配置简单方便 2.开销(Metric):路由的度量 EIGRP的度量: ①带宽(bandwidth) ②延迟(delay) 前两条为EIGRP的默认参数 ③可靠性(reliablity) ④负载(load) ⑤最大传输单元(MTU) Ethernet:1500字节 ADSLPPPOE:1492字节 把上述参数代入公式计算,得到结果作为路径度量 把带宽和延迟代入公式时: 带宽:所有链路带宽的最小值 延迟:所有链路延时之和 3.EIGRP的应用场合 性能较高的中、大型网络环境 4.EIGRP的三张表 ①邻居表(neighbor table):存放邻居信息 邻居关系形成的条件: a.物理直连 b.HELLP包协商通过(参数需要一致:自治系统号,K值) 查看邻居表:#show ip eigrp neighbor ②拓扑表(topology table):存放从邻居处收到的所有路由 ③路由表(routing table):存放到达目的地网络的最好路径 查看拓扑表:show ip topology 5.EIGRP的包类型 ⑴HELLO包:建立和维护邻居关系 发送时间: ①广播网络(通过SW连在一起),点对点链路(广域网中的是DDN),帧中继的点对点子接口,带宽高于1.544M的多点子接口 时间:5S Hello address = 224.0.0.10 ②带宽小于1.544M的多点网络 时间:60S 例:ISDN 128K窄带 补充:保持时间:在该时间内,未收到邻居HELLO包,就认为邻居有故障 保持时间=HELLO包发送时间×3 ⑵UPDATE包:发送路由信息 ⑶QUERY包:向邻居查询路由信息 ⑷RELAY包:对query包的应答 会出现的问题: 如果邻居路由器没有目的路由,会一直向其他邻居查询,直到没有邻居后返回relay包,回答目标网络不可达。 ⑸ACK包:对可靠包的确认(update包、query包、relay包) 6.EIGRP邻居关系复位条件: ①保持时间超时 ②可靠包的重传次数超过16 7.EIGRP的配置 ①启用路由协议 (config)#router eigrp 自治系统号 自治系统号:范围 1—65535 特性:不同自治系统的EIGRP路由器,无法实现路由更新 ②指定服务的网络 (config-router)#network 网络号 调试:#show ip route #show ip protocols #debug ip eigrp #show running-config 8.EIGRP Diffusing Update Algorithm EIGRP弥散更新算法 ⑴术语 ①后继者侯继者(successor):到达目的网络的最好路由 ②可行后继者(feasible successor):到达目的网络的次好路由 ③可行性距离(FD):本台路由器到达目的网络路由的度量 ④通告距离(AD):邻居路由器到达目的网络路由的度量 路由器C连接192网段,如果路由器A要与192网段通信,则 FD=30 AD=20 FD=X+AD ⑵功能 ①保证100%无环路 ②记录从邻居处收到的路由 ③选举后继者和可行后继者 ④如果最好路由不可用,该算法把次好路由变为最好路由(假设次好路由存在) ⑤如果最好路由不可用,该算法向邻居发送路由查询信息(假设次好路由不存在) EIGRP保证路由100%无环路机制: ①EIGRP通过路由FD,选举最好路由 ②如果到达某网络存在多条路由,某路由成为次好路由的条件:该路由的AD
    来自:
    浏览:214
  • 广告
    关闭

    50+款云产品免费体验

    提供包括云服务器,云数据库在内的50+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到
  • CCNP之高级NAT实验

    一. 实验目的本实验的目的是通过配置负载均衡 NAT 以及使用 NAT 转换交叉地址空间,让学员对NAT 的工作原理有更深的认识,掌握 NAT 在路由器上的配置方法,对 NAT 在网络上的应用有更深的了解。二. 原理知识NAT 配置中的常用命令:ip nat : 接口配置命令。 以在至少一个内部和一个外部接口上启用 NAT。ip nat inside source static local-ip global-ip:全局配置命令。在对内部局部地址使用静态地址转换时,用该命令进行地址定义。access-list access-list-number local-ip-address:使用该命令为内部网络定义一个标准的 IP 访问控制列表。ip nat pool pool-name start-ip end-ip netmask netmask : 使用该命令为内部网络定义一个 NAT 地址池。ip nat inside source list access-list-number pool pool-name : 使用该命令定义访问控制列表与 NAT 内部全局地址池之间的映射。ip nat outside source list access-list-number pool pool-name : 使用该命令定义访问控制列表与 NAT 外部局部地址池之间的映射。ip nat inside destination list access-list-number pool pool-name: 使用该命令定义访问控制列表与终端 NAT 地址池之间的映射。show ip nat translations: 显示当前存在的 NAT 转换信息。show ip nat statistics: 查看 NAT 的统计信息。show ip nat translations verbose: 显示当前存在的 NAT 转换的详细信息。debug ip nat: 跟踪 NAT 操作,显示出每个被转换的数据包。Clear ip nat translations *: 删除 NAT 映射表中的所有内容.三. 实验步骤(一) 用 NAT 转换交叉地址空间:?配置两条静态路路由, RouterA 上配置到达外部局部地址的路由, RouterB 上配置到达内部全局地址的路由,只两条路由是非常重要的。1) RouterA 的配置:Router-A#config tRouter-A(config)#ip route 202.116.64.0 255.255.255.0 192.168.1.22) RouterB 的配置:Router-B#configRouter-B(config)#ip route 202.116.78.0 255.255.255.0 192.168.1.12.用 NAT 转换交叉地址空间:1)基本配置: 。Router-A#config tRouter-A(config)# ip nat pool CISCO 202.116.78.1 202.116.78.254 netmask255.255.255.0Router-A(config)# ip nat pool ZSU 202.116.64.1 202.116.64.254 netmask255.255.255.0Router-A(config)# access-list 1 permit 10.1.1.0 0.0.0.255Router-A(config)#ip nat inside source list 1 pool CISCORouter-A(config)#ip nat outside source list 1 pool ZSURouter-A(config)#int e0Router-A(config-if)#ip nat insideRouter-A(config-if)#int s0Router-A(config-if)#ip nat outside2)查看 NAT 转换交叉地址空间的配置:Router-A#show ip nat translations2Router-A#show ip nat statisticsRouter-A#show ip nat translations verboseRouter-A#debug ip nat3)检验 NAT 转换交叉地址空间:1. 在 Host_1 上 ping RouterB 的 s0,建立内部局部地址 10.1.1.1 与内部全局地址 202.116.78.1 之间的映射,可使用 show ip nat translations 查看映射关系,可使用 debug ip nat 查看映射过程.2. 在 Host_2 上 ping 内部全局地址 202.116.78.1,可建立外部全局地址10.1.1.1,外部局部地址 202.116.64.1 和内部全局地址 202.116.78.1 之间的映射, 可使用 show ip nat translations 查看映射关系,可使用 debug ip nat查看映射过程.(二)TCP负载均衡?配置两条静态路路由, RouterA 上配置到达外部局部地址的路由, RouterB 上配置到达内部全局地址的路由,只两条路由是非常重要的。1) RouterA 的配置:Router-A#config tRouter-A(config)#ip route 202.116.64.0 255.255.255.0 192.168.1.22) RouterB 的配置:Router-B#configRouter-B(config)#ip route 202.116.78.0 255.255.255.0 192.168.1.12.用 NAT 转换交叉地址空间:1)基本配置: 。Router-A#config tRouter-A(config)# ip nat pool CISCO 202.116.78.1 202.116.78.254 netmask255.255.255.0Router-A(config)# ip nat pool ZSU 202.116.64.1 202.116.64.254 netmask255.255.255.0Router-A(config)# access-list 1 permit 10.1.1.0 0.0.0.255Router-A(config)#ip nat inside source list 1 pool CISCORouter-A(config)#ip nat outside source list 1 pool ZSURouter-A(config)#int e0Router-A(config-if)#ip nat insideRouter-A(config-if)#int s0Router-A(config-if)#ip nat outside2)查看 NAT 转换交叉地址空间的配置:Router-A#show ip nat translations2Router-A#show ip nat statisticsRouter-A#show ip nat translations verboseRouter-A#debug ip nat3)检验 NAT 转换交叉地址空间:1. 在 Host_1 上 ping RouterB 的 s0,建立内部局部地址 10.1.1.1 与内部全局地址 202.116.78.1 之间的映射,可使用 show ip nat translations 查看映射关系,可使用 debug ip nat 查看映射过程.2. 在 Host_2 上 ping 内部全局地址 202.116.78.1,可建立外部全局地址10.1.1.1,外部局部地址 202.116.64.1 和内部全局地址 202.116.78.1 之间的映射, 可使用 show ip nat translations 查看映射关系,可使用 debug ip nat查看映射过程.2)TCP负载均衡?将 10.1.1.1 和 10.1.1.2 分别作为两台相同的 WWW 服务器, 它们有共同的虚拟地址 10.1.1.4。1)在 RouterA 上配置 TCP 负载均衡: 。参数“ type rotaty”使该地址池成为一个循环型的, 否则将不能进行负载均衡。基本命令:Router-A#config tRouter-A(config)# ip nat pool CISCO 10.1.1.2 10.1.1.3 netmask 255.255.255.0type rotaryRouter-A(config)# access-list 1 permit 10.1.1.4 0.0.0.0Router-A(config)#ip nat inside destination list 1 pool CISCORouter-A(config)#int e0Router-A(config-if)#ip nat insideRouter-A(config-if)#int s0Router-A(config-if)#ip nat outside3)检验 TCP 负载均衡:在 10.1.1.1 和 10.1.1.2 两台服务器上利用 PWS 发布不同的网页, 在外部网络的一台主机上访问它们共有的虚拟地址 http:10.1.1.4, NAT 路由器将会把数据包负载均衡到每一台服务器, 我们可以看到, 主机将轮流访问两台服务器上的主页。
    来自:
    浏览:691
  • CCNP知识点总结——OSPF

    版权声明:本文为博主原创文章,转载请注明出处。 https:blog.csdn.netgongxifacai_believearticledetails79530499 1、OSPF介绍 OSPF(Open Shortest Path First,开放最短路径优先)是一种链路状态路由协议,无路由循环(全局拓扑),“开放”意味着非私有的。每一台路由器拥有整个拓扑结构,能根据网络拓扑信息独立地做出决策。OSPF采用SPF算法计算到达目的地的最短路径,所谓“链路”,即指路由器接口,所谓“状态”,即指描述接口以及其与邻居路由器之间的关系。管理距离AD值为110。2、 OSPF三张表 OSPF的三张表是邻居表、链路状态数据库(LSDB)和路由表。 邻居表(neighbor table):OSPF用邻居机制来发现和维持路由的存在,邻居表存储了双向通信的邻居关系OSPF路由器列表的信息。 拓扑表(topology table):OSPF用LSA(Link State Advertisement 链路状态通告)来描述网络拓扑信息,然后OSPF路由器用拓扑数据库来存储网络的这些LSA。 OSPF路由表(routing table):对链路状态数据库进行SPF(Dijkstra)计算,而得出的OSPF路由表。 OSPF 网络结构:自治系统,区域。 OSPF 算法:Dijkstra’s SPF 算法。 OSPF 成员类型:指定路由器 (DR) , 备份指定路由器 (BDR) , 其他路由 (DRother)。3、OSPF邻接关系 路由器通过交互Hello报文发现邻居,路由器在检查Hello包中的某些参数或选项后邻居建立成功,检查的参数有:Hello Interval,Dead Interval,Area Number,Authentication,Stub。点对点WAN链路中建立的是全互联的邻接关系。多路访问网络中(如广播型网络,LAN),各成员只会与DR、BDR建立全互联的邻接关系,DRother保持Two-Way状态。邻接关系数:2(n-2)+14、OSPF报文 OSPF报文封装在IP报文的负载中,不使用TCP,而使用LSAck实现自己的确认机制。 OSPF报文类型:Hello、Database Description、Link-State Request、Link-State Update、Link-State Acknowledgment。 Hello报文中封装有:Router ID,Hello and Dead Intervals,Neighbors,Area ID,Router priority,DR IP address,BDR IP address,Authentication password,Stub area flag。其中Hello and Dead Intervals、Area ID、Authentication password和Stub area flag在邻居关系建立时必须匹配。 OSPF组播地址:224.0.0.5,224.0.0.6。 DRother通知所有的DRBDR使用组播地址224.0.0.6,DR通知DRother使用组播地址224.0.0.5。5、OSPF的配置 router ospf process-id network ip-address wildcard-mask area area-id 在接口下配置OSPF: Router(config-if)# ip ospf process-id area area-id OSPF的Router ID设置优先级: (1)手动设置的Router ID (2)活跃的Loopback接口中IP地址较大的 (3)活跃的物理接口中IP地址较大的 Router(config-router)# router-id ip-address 如果在已经处于活动状态的OSPF进程上使用此命令, 必须重启路由器或者重启OSPF进程才能生效。 Router# clear ip ospf process 验证OSPF Router ID:show ip ospf Router# show ip protocols 验证配置的IP路由协议进程,参数和统计信息 Router# show ip route ospf 显示路由器学到的所有OSPF路由 Router# show ip ospf interface 显示OSPF的router ID、area ID和邻接关系 Router# show ip ospf interface brief 显示接口在OSPF下的状态 Router# show ip ospf 显示OSPF的router ID、计时器和状态 Router# show ip ospf neighbor Router# show ip ospf neighbor detail 显示OSPF邻居信息,包括广播网络中的DR和BDR信息 cost或metric:默认值= (100 Mbps) (bandwidth in Mbps) RouterA(config-if)# ip ospf cost interface-cost 在接口下手动设置Cost来覆盖默认值,取值范围 1 到 65535 RouterA(config-router)# auto-cost reference-bandwidth ref-bw 设置有别于100 Mbps的参考带宽,取值范围 1 到 42949676、OSPF网络类型 OSPF网络类型包括:loopback环回口,point-to-point串口或帧中继的点到点子接口,broadcast以太口、快速以太口,NBMA非广播多路访问(帧中继),point-to-multipoint点到多点,point-to-multipoint no-broadcast点到多点非广播。 环回口在OSPF中是一类单独的网络类型,环回口下配置的IP,不管掩码配置为多少,发出路由时都会当做32的主机路由。 点到点类型: 如果二层的协议为PPP、HDLC等,则OSPF网络类型为P2P。如果帧中继子接口类型为P2P的,则OSPF网络类型也为P2P。不选举DR、BDR。使用组播地址224.0.0.5。OSPF能够根据二层封装自动检测到P2P网络类型。 广播型多路访问:通常出现在以太网中,选举DR、BDR,所有路由器均与DR及BDR建立邻接关系,使用组播地址224.0.0.5及224.0.0.6。 非广播型多路访问: 帧中继网络中,使用物理接口默认为NBMA,使用子接口默认为点对点,使用NBMA需要使用neighbor命令指定邻居。 修改网络类型:Router(config-if)# ip ospf network broadcast?7、DR和BDR选举 具有最高优先级的OSPF成员成为DR,次高优先级的成为BDR,如果优先级一致,则比较RID,RID大的成为DR,第二大的成为BDR,DR选举是非抢占式的。 设置DR选举的优先级:Router(config-if)# ip ospf priority number 默认优先级为1,取值范围 0 到 255,如果优先级为0,则不参与DR或者BDR选举,如果一个设备不是DR或者BDR,那就是DRother。8、LSA链路状态通告? 类型1 :路由器LSA Router LSA >>每个路由器针对它所在的区域产生LSA1,描述区域内部与路由器直连的链路的信息(包括链路类型,Cost等),只允许在本区域内洪泛,不允许跨越ABR,Link ID是通告该LSA的路由器RID。 类型2:网络LSA Network LSA >>描述TransNet(包括Broadcast和NBMA网络)网络信息,由DR生成,描述其在该网络上连接的所有路由器以及网段掩码信息, 以及这个MA所属的路由器,只在本区域Area内洪泛,不允许跨越ABR,Link ID是DR进行宣告的那个接口的IP地址,Network LSA 中没有COST字段。 >>类型1、2 总结:通过LSA1,LSA2在区域内洪泛,使区域内每个路由器的LSDB达到同 步,计算生成标识为“O”的路由,解决区域内部的通信问题。 类型3: 网络汇总LSA Summary Net LSA >>由ABR生成,将区域内部的Type12的信息收集起来以路由子网的形式扩散出去,Link ID是域间路由的路由前缀,一条域间路由对应一条3类LSA。ABR收到来自同区域其它ABR传来的Type 3 LSA后重新生成新的Type3 LSA (Advertising Router改为自己)然后继续在整个OSPF系统内扩散。如果—台ABR路由器在与它本身相连的区域内有多条路由可以到达目的地, 那么它将只会始发单一的一条网络汇总LSA到骨干区域,而且这条LSA是上 述多条路由中代价最低的。 类型4: ASBR Summary LSA 由ASBR所在区域的ABR生成,用于描述ABR能够到达的ASBR的信息。Link ID为目的ASBR的RID。 类型5: 自治系统外LSA AS External LSA >>由ASBR生成,用于描述OSPF自治域系统外的目标网段信息。Link ID是域外路由的路由前缀,一条域外路由对应一条5类LSA。外部路由通过重发布,引入OSPF路由域,相应信息(路由条目) 由ASBR以LSA5的形式生成然后进入OSPF路由域; •缺省情况下,LSA5生成路由用OE2表示,可强行指定为OE1。OE2 开销 = 外部开销 = 20(默认) ,OE1 开销 = 外部开销 + 内部开销。LSA5不允许进入特殊区域 —— Stub和NSSA区。 类型7: NSSA中的外部LSA NSSA External LSA >>在NSSA(非完全存根区域)not-so-stubby area中ASBR针对外部网络 产生类似于LSA5的LSA类型7。LSA类型、7只能在NSSA区域中洪泛,到达NSSA区域ABR后,NSSA ABR将其转换成LSA类型5外部路由,传播到Area 0,从而传播到整个 OSPF路由域。生成路由缺省用ON2表示,也可指定为ON1。 查看OSPF路由表:show ip route ospf? 加表顺序:O > O IA > O E1 > O E29、路由汇总 在ABR上汇总域间路由:Router(config-router)# area area-id range address mask 在ASBR上汇总外部路由:Router(config-router)# summary-address ip-address mask 以5类LSA向OSPF中注入默认路由,默认不开启,使用default-information originate命令注入。只有当默认路由已经存在在路由表中才会通告默认路由,加always参数可以强制下发默认路由。default-infomation originate metric number,进行有多个OSPF出口的路由器下发的默认路由选路。10、特殊区域? stub配置: router ospf 1 network .... .... area 1 area 1 stub? totally stub配置: 普通路由器: router ospf 1 network .... .... area 1 area 1 stub ABR: router ospf 1 network .... .... area 1 area 1 stub no-summary? 将一个区域配置成Stub或者Totally stub需要注意一下几点: >>不可在骨干区域配置。 >>区域内不能有ASBR和虚链路。 >>特殊区域内所有路由器都配置成Stub。 >>有多个以上ABR时,到其他区域或外部自治系统可能存在次优路径。 需要注意选路(修改cost)。 ? 非完全末梢区域 Not-so-stubby Area=NSSA Stub的变种:即想阻挡LSA5,自身又想引入外部路由,NSSA既阻挡外部LSA5的进入,同时它的ASBR又可以引入外部路由LSA7,LSA7在NSSA内洪泛,通过ABR时转换为LSA5,ABR不会缺省生成默认路由进入本地区域,需手工配置。 NSSA配置: router ospf 1 network .... .... area 1 area 1 nssa ABR上可以下发默认路由: router ospf 1 network .... .... area 1 area 1 nssa default-information-originate? totally NSSA配置: router ospf 1 network .... .... area 1 area 1 nssa ABR配置: router ospf 1 network .... .... area 1 area 1 nssa no-summary???11、认证 认证算法:(1)Null (2)简单密码身份验证 (3)MD5身份验证 认证类型:(1)接口认证 (2)区域认证 明文认证: (1)接口认证 Router(config-if)# ip ospf authentication-key password Router(config-if)# ip ospf authentication (2)区域认证 Router(config-if)# ip ospf authentication-key password Router(config-router)# area area-id authentication 密文认证: (1)接口认证 Router(config-if)# ip ospf message-digest-key key-id md5 key Router(config-if)# ip ospf authentication message-digest (2)区域认证 Router(config-if)# ip ospf message-digest-key key-id md5 key Router(config-router)# area area-id authentication message-digest 认证排错:Router# debug ip ospf adj 12、passive-interface 路由器不会在该接口发送Hello分组,因此不能建立邻接关系。配置如下: passive-interface fa00 passive-interface default no passive-interface fa2013、虚链路 虚拟链路被用于一个不连续的区域连接到区域0。逻辑连接是建立路由器A和路由器B之间,虚拟链路被推荐用于备份或临时连接。? 验证OSPF虚链路:RouterA#sh ip ospf virtual-links 明文区域认证: router ospf 1 network 172.16.0.0 0.0.255.255 area 0 network 172.17.0.0 0.0.255.255 area 1 area 0 authentication area 1 virtual-link 3.3.3.3 authentication-key SPOTO 密文区域认证: router ospf 1 network 172.16.0.0 0.0.255.255 area 0 network 172.17.0.0 0.0.255.255 area 1 area 0 authentication message-digest area 1 virtual-link 3.3.3.3 message-digest-key 1 md5 SPOTO 14、Max-metric设置?15、SPF节能??
    来自:
    浏览:449
  • CCNP知识点总结——BGP

    版权声明:本文为博主原创文章,转载请注明出处。 https:blog.csdn.netgongxifacai_believearticledetails79632714 1、BGP介绍BGP(Border Gateway Protocol,边界网关路由协议),为路径矢量路由协议,主要作用是在AS之间传递路由信息。BGP的自治系统通过AS号区分,AS号取值范围1-65535,其中64512-65535是私有AS号。目前BGP有4个版本:V1、V2、V4、V4+(即MBGP)。2、BGP的路径矢量特征路径矢量信息中包含一个BGP自治系统号列表,BGP路由器不接受路径列表中包含其AS号的路由更新,是无环路的,BGP支持对BGP自治系统路径应用路由策略,BGP路由器只能将其使用的路由通告给邻接自治系统中的对等体。3、BGP的TCP传输BGP使用TCP为传输层协议, TCP端口号179。BGP路由器之间建立TCP连接,这些路由器称为BGP对等体也叫BGP邻居:EBGP、 IBGP。对等体之间交换整个BGP路由表, BGP路由器只发送增量更新。BGP通告成千上万的路由,可采用TCP滑动窗口的机制,停止并等待确认前,可以发送65576个字节。4、BGP的三张表(1)BGP邻居表: 邻居列表 show ip bgp summary。 (2)BGP表: 包含了从邻居学习所有路由,以及到达目的网段的多个路径和属性。 (3)路由表: 列出了到达目的网段的最佳路径。 EBGP路由AD为20, IBGP路由AD为200。 运行BGP的路由器有一个独立的表( BGP表)。 路由器将BGP表中最佳路由提供给IP路由表。5、BGP报文?6、BGP有限状态机?7、EBGP和IBGPEBGP: BGP位于不同自治系统的路由器之间,称为EBGP。建立EBGP邻接关系,必须满足三个条件:(1)EBGP之间自治系统号不同;(2)neighbor中指定的IP地址要可达;(3)定义邻居建立TCP会话。IBGP:IBGP:BGP位于同一个自治系统的路由器之间运行,用于同一个AS中交换BGP信息。建立IBGP邻接关系,满足的条件:(1)自治系统号相同;(2)定义邻居建立TCP会话;(3)IBGP邻居可达。8、IBGP水平分割原则EBGP防环是通过AS_PATH实现的,而AS_PATH仅仅在路由离开AS才会被更改。因此在AS内, IBGP就没有EBGP的防环能力,为了防止环路的出现, BGP路由器不会将从IBGP邻居学习过来的路由再通告给自己其他IBGP邻居。由于水平分割原则, BGP要求AS内,须保证IBGP全互联( 用neighbor命令指定) 。9、EBGP和IBGP的区别(1)EBGP—外部边界网关协议主要作用是在不同的自治系统间交换路由信息。IBGP—内部边界网关协议主要作用是向内部路由器提供更多信息。(2)EBGP一般情况下都要求EBGP邻居之间存在物理连接。IBGP不需要IBGP邻居之间有物理连接,只需要逻辑连接即可(IGP通告路由)。(3)从EBGP邻居学到的路由通告给IBGP和EBGP;从IBGP邻居学到的路由,是否通告给自己EBGP邻居,要根据AS内的BGP和IGP路由表是否同步而定,但不会再通告给IBGP邻居(水平分割,防止环路)。(4)EBGP防止环路通过AS_PATH属性来实现。IBGP和EBGP使用的BGP属性不同,例如IBGP可以传递LOCAL_PREF(本地优先属性),而EBGP不行。10、BGP配置???11、BGP同步(1)BGP同步规则意义:BGP路由器不应使用通过IBGP获悉的路由或将其通告给外部邻居,除非该路由是本地的或通过IGP获悉的。 (2)禁用同步,则BGP可以使用从IBGP邻居那里获悉的但没有出现在本地路由表中的路由,并将其通告给外部BGP邻居。Cisco IOS默认禁用同步。 (3)BGP同步规则的目的:为防止一个AS内部(非全互联)出现路由黑洞,即向外部通告了一个本AS不可达的虚假的路由。 (4)BGP同步规则的问题:若将BGP路由发布到IGP中,那么是IGP路由器要维护数以万计的外部路由,对路由器的资源占用将带来巨大的开销。 (5)结论:通常BGP协议的运行需要关闭同步。(6)路由的正常传递:1.同步问题2.下一跳问题。禁用同步配置:Router(config-router)#no synchronization启用同步配置:Router(config-router)#synchronization12、Peer Group将更新策略相同的邻居划分到一个对等体组中,简化配置,对等体组成员继承对等体组的所有配置选项,更新对于每个对等体组值生成一次,每个成员复制该更新。配置:Router(config-router)#neighborpeer-group-namepeer-groupRouter(config-router)#neighborip-addresspeer-grouppeer-group-name?13、身份验证BGP支持MD5邻居身份验证,启用身份验证后,将对通过对等体之间的TCP连接传输的所有数据等进行验证,认证都是在TCP建立连接的时候完成的。配置:Router(config-router)#neighbor{ip-address | peer-group-name} passwordstring14、管理性关闭Router(config-router)#neighbor{ip-address|peer-group-name}shutdown 从管理层面暂时关闭某个邻居,而避免删除配置Router(config-router)#no neighbor {ip-address|peer-group-name}shutdown重新启用 15、路由汇聚????16、路由反射器?17、联盟?18、硬重置和软重置重置BGP会话:将新策略应用于所有路由,必须触发一个更新。主要使用2种触发更新的方式:硬重置、软重置。硬重置:断开相应的TCP连接,通过这些会话收到的所有信息都将失效,并从BGP表中删除。重置命令:clear ip bgp *,clear ip bgp{neighbor-address}软重置:不会重置BGP会话,创建一条新的更新,并将整个BGP表发送给指定的邻居,需要修改策略时,建议使用该命令。重置命令:clear ip bgp * soft。19、查看BGP表show ip bgp neighbors {address} routes show ip bgp show ip bgp neighbors {address} advertised-routes debug ip bgp updates20、BGP属性公认属性Well-Known:(1)公认强制属性Well-known mandatory;(2)公认自由属性 Well-known discretionary;可选属性 Optional:(1)可选传递的Optional transitive;(2)可选非传递的Optional non-transitive。?(1)WEIGHT在路由器本地配置,只提供本地路由策略,不会传播给任何BGP邻居,范围:0~65535,越大越优先。路由器本地通告的路径默认权重为32768,从其他BGP邻居学习到的为0。(2)AS-path —公认强制属性AS-path是前往目标网络的路由经过的自制系统号列表,通告该路由的自治系统号位于列表末尾。作用:确保无环,通告给EBGP时会加上自己的AS号;通告给IBGP时不修改AS-path。(3)Origin — 公认强制属性Origin指出了路径信息的源头,有下列3种可能:IGP:在AS内部,用network通告路由时,用i表示;EGP:路由通过EGP获悉,用e表示;Incomplete:路由的源头未知或是通过其他方法获悉的,用?表示。例如重发布。路由优选顺序: lowest origin code (IGP < EGP < Incomplete) 。(4)NEXT_HOP —公认强制属性NEXT_HOP指出了用于前往目的地的下一跳IP地址,BGP中的下一跳为AS。对EBGP会话来说, NEXT-HOP就是通告该路径的EBGP邻居的接口IP。对IBGP,起源AS内部的路由的NEXT-HOP就是通告该路径的邻居的IP。(如果有设定更新源,则为更新源地址),而从EBGP学到的路由的NEXT-HOP,在IBGP内传递时不变,始终指向的是下一个AS(本AS对端的EBGP邻居接口IP)。 (5)LOCAL PREFERENCE —公认自由属性LOCAL PREFERENCE告诉AS中的路由器,哪条路径是离开AS的首选路径。LOCAL PREFERENCE越高路径越优。默认本地优先级为100。只发送给IBGP邻居,而不能传递给EBGP邻居。(6)MED — 可选非传递属性MED用于向外部邻居指出进入AS的首选路径,即当入口有多个时,自治系统可以使用MED动态的影响其他AS如何选择进入路径。MED值越小越优先,Cisco定义的MED值默认值是0。MED是在AS之间交换,MED发送给EBGP对等体,这些路由器在AS内传播MED,不传递给下一个AS。默认情况下,仅当路径来自同一个AS中的不同邻居时,路由器才比较他们的MED属性。MED影响进入AS的数据流;LOCAL PREFERENCE影响离开AS的数据流。 比较原则及配置注意事项: 本地在将一条BGP路由通告给EBGP Peer时,是否携带MED值,需要根据以下条件进行判断(不对EBGP Peer使用Route-map的情况下): 如果该BGP路由是本地始发(network或redistribute),则携带MED值发送给EBGP Peer (如果MED为空,则设置为0)。 如果该BGP路由是从其他BGP Peer学习过来的,那么将该路由通告给EBGPPeer时不携带MED。 本地在将一条BGP路由通告给IBGP Peer时,一定会携带MED值。如果接收或产生的路由的MED为空,那么在向IBGP Peer通告时,将MED设置为0。 总结: MED在IBGP之间传递不会丢失,在EBGP之间传递要看路由是否起源于自己。(7)COMMUNITY — 可选传递属性COMMUNITY用于简化路由策略的执行,可以将某些路由分配一个特定的COMMUNITY属性,之后就可以基于COMMUNITY值而不是每条路由进行BGP属性的设置了。route-map bgp permit 10set community ? community numberaa:nn community number in aa:nn format 路由所属as:nn标识additive Add to the existing communityinternet Internet (well-known community) 默认所有路由都属于该团体local-AS Do not send outside local AS (well-known community) 不把这条路由传出本AS(联邦as中的小联邦)。如果没有联盟,那么这个效果和no-export是一样的,都不会传递出本AS。no-advertise Do not advertise to any peer (well-known community) 不通告给任何邻居no-export Do not export to next AS (well-known community) 不把这条路由传给EBGP对等体(如果配置了联邦,则针对大as)21、BGP 13条选路原则前提:路由下一跳不可达或没有解决同步问题,则不能参与路由选择: 1. 选择weight值最高的路由——思科私有 2. 选择LOCAL_PREF较大的路由 3. 选择本AS路由器产生的路由 4. 选择AS路径较短的路由 5. 依次选择origin属性为IGP、 EGP和INCOMPLETE类型的路由 6. 选择MED较小的路由 7. 优选EBGP而不是IBGP 8. 选择下一跳IGP度量值较小的路由 9. 负载均衡, BGP默认不支持负载均衡。若配置负载均衡,则不比较后面的参数。( maximum-paths n) 10. 优先选择最老的路由(即最稳定的路由) —EBGP 11. 选择BGP Router ID小的BGP对等体通告的路由 12. 优先选择最短的cluster-list 13. 优先选择邻居IP地址最小的路由(neighbor指定的地址) 补充说明: (1)第3点:意思是路由器本地network的,也就是下一跳为0.0.0.0的路由。 本地发起的路由有多种方式,如在BGP进程下用network命令,或将其它路由协议重分布进BGP的,或者手工汇总的。通过命令network和重分布的优先于手工汇总的路由。 (2)第4点:在做聚合路由时,使用as-set后产生的AS-Path列表中{ }里的AS号长度只算一个AS号的长度,在联盟内的AS-Path列表中()的AS号长度不做计算依据。 (3)第9点:等价负载均衡,当前面8条选路原则都无法优选出最优路由时,并且在BGP进程下面配置了maximum-paths,那么将执行负载均衡。 (4)第10条,第11条:如果BGP进程下使用bgp bestpath compare-routerid命令,则忽略第10条,进行第11条的比较。22、Local preference 使用 IBGP邻居之间,选择离开本AS的出口。默认为100 ,越大越优。Local preference是公认自由属性。Router(config-router)# bgp default local-preference value 此命令更改默认的本地优先级,向IBGP邻居发布的所有路由都将本地优先级设置指定的值。 ??23、MED使用当EBGP之间存在多个路径时,使用MED,Cisco的默认设置0,越小越优,MED是可选非传递属性。Router(config-router)# default-metric number 此命令更改默认的MED值,通告给EBGP邻居的所有路由都将设置为使用此命令指定的值。?24、BGP路由过滤neighbor 1.1.1.1 prefix-list 1 {in | out} 用前缀列表来过滤,这个是BGP的标准过滤方法,可以用in和out方向。 neighbor 1.1.1.1 distribute-list access-list-number {in | out} 用访问控制列表来过滤,支持扩展访问控制列表。建议用prefix-list来过滤。 neighbor 1.1.1.1 route-map XX {in | out} 用route-map来过滤,一般用在前缀有属性改变的时候。 neighbor 1.1.1.1 filter-list as-path-access-list-number {in | out} 用as-path-access-list所定义的正则表达式表示的AS-path来过滤。 ?例: ^123$ 表示只匹配AS 123。 ^100 表示匹配以100打头的字符串。 100$ 表示以100结尾的字符串。 ^$ 表示没有经过任何AS,即本地AS的路由。 ^12$ 表示匹配120 121 122 123。 ^12. 表示匹配12,120 – 129开始的AS号。 .* 表示匹配任意。(1)只接收起始于AS5044的路由:router bgp 65022 no synchronization neighbor 172.16.0.1 remote-as 4 neighbor 172.16.0.1 filter-list 1 in no auto-summaryip as-path access-list 1 permit _5044$(2)只通告起始于本地( AS100)的前缀:router bgp 100 neighbor 10.1.1.1 remote-as 65535 neighbor 10.1.1.1 route-map map1 out route-map map1 permit 10 match as-path 1ip as-path access-list 1 permit ^$25、移除私有AS号Remove private AS:过滤私有的AS号 neighbor{ip-address|peer-group-name}remove-private-as26、限制BGP路由数目(1)Maximum-Prefix:用来限制路由器最多只能从邻居处接收多少条路由:neighbor 10.10.1.1 maximum-prefix 100 neighbor 10.10.1.1 maximum-prefix 100 85(百分比) neighbor 10.10.1.1 maximum-prefix 100 85 warning-only(2)限制路由经过的AS的数目:bgp maxas-limit {1-2000}(3)条件路由:neighbor 10.10.1.1 advertise-maproute-map-Aexist-maproute-map-B 当route-map-B里面匹配的路由存在于路由表,则向邻居10.10.1.1通告route-map-A匹配的路由 (必须要network进BGP)。 neighbor 10.10.1.1 advertise-map route-map-Anon-exist-maproute-map-B 当route-map-B里面匹配的路由不存在于路由表,则向邻居10.10.1.1通告route-map-A匹配的路由 (必须要network进BGP)。 27、BGP Dampening BGP利用Dampening机制,将频繁抖动的路由有条件的加以抑制。 router bgp 1 bgp dampeningHalf-life Time : 15 m 半衰期 Reuse : 750 降到这个值以下,重新开始启用路由 Start Suppress : 2000 升到这个值以上,开始抑制 Max Suppress Time : 60 m (4×15) 最大抑制时间BGP默认不启用Dampening,且仅对EBGP邻居传来的路由起效。 28、4字节AS号2字节AS号:1-65535,其中,1-64511为公有AS号,64512-65535为私有AS号。4字节AS号:最大为4,294,967,295。4字节AS号分为asplain和asdot两种写法:asplain:2-byte 和 4-byte 都使用十进制来表示,asdot:2-byte 使用十进制表示, 4-byte 用点号分隔,如65536=1.0,65,536,005 =1000.5,123=0.123启用asdot格式:Router(router-config)# bgp asnotation dot禁用asdot格式:Router(router-config)# no bgp asnotation dot硬重置BGP会话:clear ip bgp *AS 23456作为4字节AS号路由器到2字节AS号路由器的替代写法。neighbor 10.3.4.2 remote-as 23456 可选传递属性:NEW_AGGREGATOR 和 NEW_ASPATH???当R2#show ip bgp neighbors 12.1.1.1 中出现Four-octets ASN Capability: advertised and received时,代表该路由器支持4字节AS号。
    来自:
    浏览:719
  • 从事通信行业,应该考哪些证书?

    大家应该都熟悉这几个词:CCNA、CCNP、CCIE。它们就代表了思科认证的三个主要级别。?其中,CCNA的“A”,就是Associate,“联合、伙伴”的意思。CCNP的“P”,就是Professional,“专业的、职业”的意思。获得CCNP认证资格,意味着拥有丰富的知识和技能,有一定的经验积累,属于资深的网络工程师。例如CCNP,就包括路由与交换、安全、语音等。?考思科认证的话,一般都是根据自己的专业特点来选择。CCNP:建议自学时间2个月,培训机构20天基本解决。CCIE:建议学习半年。要考当然就奔着CCIE去啦!不过,想要拿下CCIE,只会背题是没用的。建议大专和本科的同学考CCNP(必须先考CCNA)。而CCIE的话,如果你是没有实际项目经验的大学生,即使在培训结构的突击强化下,冲刺拿到了CCIE,在用人单位那边的价值也是会打折扣的。
    来自:
    浏览:4699
  • CCNP路由实验---3、人工汇总EIG

    实验目的:1、理解EIGRP的自动汇总的缺点。2、掌握EIGRP的手工自动总结的配置方法。实验拓扑:?实验步骤:1、配置各路由器的名称、相连接口IP地址,并且使用Ping命令确认各路由器的直连口的互通性。 R1:R1(config)#int s11R1(config-if)#ip add 172.16.1.1 255.255.255.252R1(config-if)#no shutR2:R2(config)# int s10R2(config-if)#ip add 172.16.1.2 255.255.255.252R2(config-if)#no shutR2(config)#int s11R2(config-if)#ip add 172.16.1.5 255.255.255.252R2(config-if)#no shutR3:R3(config)#int s10R3(config-if)#ip add 172.16.1.6 255.255.255.252 R3(config-if)#no shutR3(config)#int s12R3(config-if)#ip add 172.16.1.9 255.255.255.252R3(config-if)#no shut2、配置各台路由器的EIGRP协议,并且不关闭自动总结。例如在R上配置如下 R1(config)#router eigrp 80R1(config-router)#network 10.1.0.0R1(config-router)#network 172.16.0.0其它配置类似。3、在R2上使用ping测试网络路由,会发现R2路由器无法ping通路由器R4所连接的10.1.X.024网络子网。如下所示: R2#ping 10.1.11.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.11.1, timeout is 2 seconds:U.U.USuccess rate is 0 percent (05)R2#ping 10.1.0.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.0.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (55), round-trip minavgmax = 41124 msR2#ping 10.1.13.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.13.1, timeout is 2 seconds:U.U.USuccess rate is 0 percent (05)可以看到,在R2去ping R1下带的网络地址10.1.0.1是通的,但ping R4下带的网络地址10.1.11.1 和10.1.13.1却是不通。潜意识下,查看R 2的路由表R2#sh ip routCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static routeGateway of last resort is not set 172.16.0.030 is subnetted, 3 subnetsD 172.16.1.8 via 172.16.1.6, 00:13:03, Serial11C 172.16.1.4 is directly connected, Serial11C 172.16.1.0 is directly connected, Serial10D 10.0.0.08 via 172.16.1.1, 00:07:02, Serial10D 192.168.0.024 via 172.16.1.6, 00:12:44, Serial11原来,R2已经将R1、R4的下带网络自动汇总成了10.0.0.08,已经不能分辨通往R1和R4的路由。但为什么它能通达R1而不能通达R4呢?再来查看下R2 的拓扑数据库R2#sh ip eigrp topology all-links IP-EIGRP Topology Table for AS(80)ID(172.16.1.5)Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.0.0.08, 1 successors, FD is 2297856, serno 3 via 172.16.1.1 (2297856128256), Serial10 via 172.16.1.6 (28098562297856), Serial11P 192.168.0.024, 1 successors, FD is 2297856, serno 5 via 172.16.1.6 (2297856128256), Serial11P 172.16.1.830, 1 successors, FD is 2681856, serno 4 via 172.16.1.6 (26818562169856), Serial11P 172.16.1.430, 1 successors, FD is 2169856, serno 2 via Connected, Serial11P 172.16.1.030, 1 successors, FD is 2169856, serno 1 via Connected, Serial10这里注意下这条命令sh ip eigrp topology all-links是显示所有的链路。再细看粗字体,到达网络10.0.0.08是有两条路由的,并且两条路由的FD值是不同的。R1、R4都是主类的边界,都会将本地路由表中的子网向主类网络自动汇总,因此R2会从不同的接口,收到相同的汇总路由,即10.0.0.08网络路由。R2在比较了两条路由的可行距离后,选择了较小的FD值的路由,即R1从接口s10向R2通告的10.0.0.08汇总路由,从而忽略了另外一个接口s11收到汇总路由。从这里可以看出,虽然EIGRP的自动汇总能够为网络配置带来便捷,但是其依赖于IP子网的良好规划。如果遇到糟糕的子网规划,则需要注意使用其自动特性。4、找到了原因,解决问题就容易了。如果要顺利让R2 ping 通R4下带的网络,可以先关闭掉EIGRP的自动汇总,再重新在R1、R4上进行人工汇总。R1:R1(config)#router eigrp 80R1(config-router)#no auto-summaryR1(config-router)#exitR1(config)#int s10R1(config-if)#ip summary-address eigrp 80 10.1.0.0 255.255.252.0R1(config-if)#exit注意上面是在R1与R2的接口s10的配置了人工的汇总,其汇总路由为10.1.0.022。R4:R4(config)#router eigrp 50R4(config-router)#no auto-summary R4(config-router)#exitR4(config)#R4(config)#int s12R4(config-if)#ip summary-address eigrp 80 10.1.10.0 255.255.252.0配置好再查看R2的路由表,R2#sh ip routeCodes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static routeGateway of last resort is not set 172.16.0.030 is subnetted, 3 subnetsD 172.16.1.8 via 172.16.1.6, 00:52:02, Serial11C 172.16.1.4 is directly connected, Serial11C 172.16.1.0 is directly connected, Serial10 10.0.0.08 is variably subnetted, 7 subnets, 2 masksD 10.1.8.022 via 172.16.1.6, 00:25:14, Serial11D 10.1.13.024 via 172.16.1.6, 00:25:14, Serial11D 10.1.12.024 via 172.16.1.6, 00:25:14, Serial11D 10.1.3.024 via 172.16.1.1, 00:35:55, Serial10D 10.1.2.024 via 172.16.1.1, 00:35:55, Serial10D 10.1.1.024 via 172.16.1.1, 00:35:55, Serial10D 10.1.0.024 via 172.16.1.1, 00:35:55, Serial10D 192.168.0.024 via 172.16.1.6, 00:51:44, Serial11可以看出R2已经将到达R4的路由汇总成了22的路由。此时可以再在R2上用ping命令测试到达R1、R4的可达性。R2# ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (55), round-trip minavgmax = 42436 msR2# ping 10.1.11.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.11.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (55), round-trip minavgmax = 122676 msR2# ping 10.1.13.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.13.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (55), round-trip minavgmax = 81528 ms可以看到,都通顺利地ping通R1、R4的下带网络了。
    来自:
    浏览:182
  • 网络工程师从入门到精通-通俗易懂系列 | PPP协议+PPPoE看完后我忍不住敲了几波实验!

    Serial10ip address 12.1.1.1 255.255.255.252encapsulation pppppp authentication papppp pap sent-username CCNPpassword 0 CISCO@123R2配置示例:username CCNP password 0 CISCO@123!R1配置示例:username CCNP password 0 CISCO@123 双方数据库中用户名可以不一样,但密码必须一样!
    来自:
    浏览:600
  • CCNP学习笔记3-路由部分--OSPF

                ospf                rip                eigrp 分类        IGP 无类 链路状态  IGP 无类 距离矢量  IGP 无类 混合封装        IP 89                udp520            IP 88更新地址    224.0.0.5-6         224.0.0.9         224.0.0.10 也可以neighbor指单播更新方式    定时(30分)完整  完整(30秒定时触发  增量 触发             老化(60分)触发 AD          110                120                 汇总5 外部170 内部90度量        带宽                跳数               5个K值(默认带宽 延时)##########################################################################################◆LSA  分为7类    链路状态协议传递的不是路由,而是LSA(链路状态描述信息)包括路径和拓扑。    - 一个区域内的LSA是同步,一致的。   - LSA放到LSDB,同步后运行SPF算法形成SPF树,根据SPF树生成路由表 ◆链路状态协议的结构    - 邻居表 通过hello包形成和维护         邻居数据库         包含自己承认的邻居名单     - 拓扑表          LSDB         包含所有路由器及其所连接的网络;对比eigrp只有邻居通告的路由信息         同一区域内LSDB内容同步     - 路由表         转发数据库         达到目的的最佳路径列表 ◆链路状态协议的结构:去适应大型网络,隔离大量的LSA泛洪    网络分层     - 链路状态协议需要对网络分层     - 层次包括 2层:骨干 区域 0。。 传递路由                     非骨干区域 。。 接入终端 路由汇总给骨干。 ◆区域特点:    - 减少路由条目 手动汇总     - 拓扑变化只影响自己的区域     - LSA在自己区域泛洪     - 层次化设计 ◆区域术语:        非骨干区域必须和骨干区域相连,防环;区域之间类似于距离矢量的方法来选路,通过骨干区                                             域知道非骨干区域         ABR 区域边界路由器,即连接区域0和非骨干区域的路由(连接非骨干区域的路由器不能称为               ABR)一个路由器同时属于两个区域,属于不同区域的是接口。对比BGP一个路由器只能属             于一个区域         ASBR 把外部路由重分布到ospf内的路由器 除了特殊区域 ofpf stub         OSPF 邻居 :                hello更新时间10秒,死亡时间40秒 前提- 点到点网络和广播                hello更新时间40秒,死亡时间120秒 前提- NBMA ;点到多点;点到多点非广播                路由器交换hello信息建立邻居                hello包内容:hello & dead 时间必须一致                              area ID 必须一致                             认证密码 必须一致                             stub 区的flag 字段 普通区域和stub不能称为邻居                             接口MTU 必须一致 ,除非配置接口忽略MTU.ip ospf mtu ignor                              MA网络中,接口掩码必须一致。                              帧中继网络,隔离组播也会无法形成邻居关系                              ACL过滤数据包 导致无法建立邻居                    除此之外还包含 router ID唯一标识路由器;neighbor;         邻接:邻接关系同步LSA .。邻居关系,不同步LSA  是否形成邻接 由OSPF网络类型决定的               - 点到点广域网                        邻居之间形成完全邻接状态                - 局域网链路                     与DR BDR 形成完全邻接状态 MA网络                       点到多点 点到多点非广播 相邻设备形成邻接关系                     与其他路由器只形成邻居关系,双向状态Drothers                - 路由更新和拓扑信息只在形成邻接关系的路由器之间传递                - 一旦形成邻接,将同步LSA                - LSA将在一个区域内泛洪 ◆OSPF算法  SPF算法    10~8 接口带宽(路由入方向的接口) 单位 bps 例如100M链路的cost值就是1 ◆LSA 序号    - 每个LSA 在LSDB中都有一个序号    - 序号编排方案是一个4字节的数字,从0X80000001 到 0X7FFFFFFF    - 每隔30分 路由的LSA泛洪一次,保证数据库同步,每次泛洪,序号 +1    - 最终,一个LSA会从  0X7FFFFFFF 循环回 0X80000001。若发生这种情况,这个LSA会被始发路由       器将老化时间设置为60分,并从LSDB中清除。    - 当路由器遇到两个一样的LSA,必须确定哪个最新,即序号高的最新。            ◆LSA序号和生存时间   查看LSA序号 :show ip ospf database◆链路状态协议的结构:LSA??   路由器收到一条LSA,如何判断本地是否已经存在这条LSA?        通过LSA头部信息,包括3个信息,完全一致才是同一条LSA             show ip ospf database             1,类型 1--7类: router--1类             2,通告路由器: ADV ROUTER             3,LSA名字: Link-ID 判断一条LSA是否是最新的,出来用序号区别外,还可以用老化时间和校验和区分!!############################################################################################################# OSPF 包类型 #################### HELLO 建立和维持邻居关系 网络类型决定10秒还是30秒DBD   LSA的头部消息 6个消息 3个区分是否同一个LSA.       ; 3区别是否是最新的LSA                            LSA类型,通告路由器,link-ID; 序号生存时间 校验和 link-state request 也是LSA头消息link-state update  完整LSA消息link-state ACK      其中只有LSU需要ACK确认LSU 来确认 LSRDBD 自己确认自己OSPF 包头格式 versionnumbertypepacketlengthrouterIDarea IDchecksumauthenticationtypeauthenticationdateversion v2--IPv4; v3--IPv6type 1-5 5种包类型routerID 标识路由器area-ID  基于接口。。。。ISIS 区域基于路由器校验和   确定包么有被篡改认证类型             0:不认证,默认  1:明文  2:MD5authentication 根据类型   空            密码      散列值DATE 若是DBD:本地所有的LSA头     LSR:想要的LSA头     LSU:完整LSA      ACK:收到的LSA头 hello包:包括内容       router ID  ★ hello dead 时间     neighbor  收到的hello包含自己routerID  ★ areaID     router priority       DR IP address     BDR IP address  ★ authentication password  ★ stub area flag ◆ OSPF路由器ID    - 每个运行ospf的路由器都有一个routerID     - 在LSDB中,通过routerID识别不同路由器     - 默认,routerID是路由器活动接口IP最高的    - 若配置loop back 则他将成为routerID,若有多个loop back 则选IP最高的    - 配置 进程下 router-ID x.x.x.x    - 建议用loop back 口做routerID   routerID 配置多少就是多少 没配置 就是loop back IP 最大的 没有loop back就选活动接口IP最大的 改变routerID 要重启进程才能生效clear IP ospf process ;这个过程会重新收敛,会造成断网。 routerID相同将不能形成邻居关系。不相邻路由器,或不同区域路由器routerID一样可以建立邻居但会影响路由传递。◆DR BDR选举    - 利用组播交换hello (优先级字段)     - 优先级最高当选DR,次高为BDR     - 优先级相同,用routeID比较 ◆优先级    - 接口下 命令 ip ospf priority number     - 不同接口可能被分配不同值     - 默认 1 。范围 0 - 255     - 优先级为 0 将永远不参与DR BDR选举     - 一个路由器不是DR 或BDR,就是DRother     - DR BDR 非抢占,但可以设置为 0 主动弃权,同时BDR变为DR,不会出现更高优先级的成为DR,剩                                               下的选举BDR     - 选举时间40秒  ◆ DRBDR选举完成后,DRrother只和DR、BDR形成邻接关系。   所有路由器组播hello包到地址224.0.0.5 以便他们能跟踪其他邻居的信息,即DR将泛洪LSU到          224.0.0.5   Drother 只组播LSU到all drother地址224.0.0.6。只有DR BDR监听这个地址 所有Drother泛洪 LSU 到224.0.0.6,这个地址只有DR BDR能接收,Drother将丢弃这个组播地址,然后DR 泛洪 LSU 到224.0.0.5,这个地址所有路由器都能收到 ,这样DR BDR和所有drother的通信。当有链路断了 泛洪老化时间为3600秒 序号+1的LSA当DR当掉,BDR不存在情况下 ,Drother发的更新,其他路由器需要40秒dead时间才能知道,所以Drother需要40秒才能收敛在有BDR的情况下,Drother的更新224.0.0.6也会被BDR收到,当BDR 4秒没收到DR关于DRother的更新,BDR就会接替DR,泛洪224.0.0.5。所以其他路由器只需4秒就能收敛。########################################################################################◆ 过程172.16.5.1                      172.16.5.3    RA-----------down state---------RB       -----hello 224.0.0.5-->RB->init state      RB                  FULL state 然后运行SPF生成路由表DBD报文,如何实现自己确认自己?    DBD字段包括3位         init是否是初始        more是否有后续报文        master是否是主     第一个DBD的flag字段3位都为1 即flag=7(init=1,more=1,master=1),随机生成一个序号。对端也是发送flag=7的DBD     比较routerID后 用对端序号发给对端 flag= 2(init=0,more=1,master=0).对端收到200的序号     对端发送序号位201 flag=3(init=0,more=1,master=1) ,直到主传到最后一个报文时 flag = 1 init=0,more=0,master=1(最后一个报文不携带任何数据,只用来确认传输完成,此报文不需要确认)      确认完成!!!#######################3实验:    一,相邻路由器的routerID不能一致,一致不能建立邻居关系     二,同一区域的routerID不能一致,否则出现路由震荡     三,用debug和抓包工具,观察邻居建立过程 show ip route ospfshow ip ospf neighborshow ip ospf interface?步骤 1,配置IP和loopback2, R1 R2 启用ospf进程。相同routerID 提示routerID重复。无法建立邻居3,修改R2routerID,注意此时马上就会选举出DR,不需要等待40秒,因为计时从接口宣告进OSPF进程就开始计时,DR是在tow-way状态选举,但是不是在这个状态开始计时。    配置R3 routerID与R1相同。此时R2 show ip ospf database 观察路由震荡现象(AGE=3600 然后有恢复正常,然后有置为3600)。需要等待40秒 4,更正R3 routerID,clear ip ospf process修改优先级,接口下 ip ospf priority 10 注意:DR BDR选举是一个网段选举一个观察邻居建立过程   只看R1 R2 当掉R3步骤, 1, R2 int f00 shut down 2, 使用gns wareshark 抓包 3,R1 R2 debug ip ospf events 4,R1 R2 接口no shut 5, 等待40秒邻居才会起 6,先观察debug信息接口up---sent hello 224.0.0.5---two-way----DR BDR---交换DBD--exchange--LSR--LSU--FULL看抓包报文 注意交换DBD时没有ACK确认,只有LSU才会ACK确认###############################################################################################################  OSPF 网络类型 ########################################## #####################################################OSPF网络类型起因:对比eigrp只需要一种网络类型,只有在低速链路调整eigrp进程占用比  为了更快收敛,更高效。针对不同的2层链路规定了不同网络类型。 2层网络类型 以太网 PPP  HDLC  NBMA  帧中继(点到点,点到多点)类型都是基于接口的,修改要在接口下网络类型2层链路DRBDR手动建邻居更新地址hello时间备注P-to-Pppp HDLC帧中继点到点子接口  不选不用自动建邻居224.0.0.5hello=10秒dead=40秒broadcast以太网选举不用224.0.0.5224.0.0.6hello=10dead-40NBMA帧中继主接口和多点子接口 选举手动单播hello=30dead=120P-to-m 不选自动224.0.0.5hello=30dead=120p-to-m NB 不选手动单播hello=30dead=120有32位主机路由,本地宣告的接口地址都以32位主机路由通过出去注:上述OSPF与2层对应关系是默认的,可以在2层链路上任意修改OSPF网络类型。通常2层的PPP HDLH 帧中继子接口和以太网的对应OSPF网络类型不需要修改。但是帧中继主接口和多点子接口就要根据拓扑修改OSPF网络类型!!!!上述 hello时间相同的可以建立邻居,但是不能学习对端路由以下修改hello时间后,就可以建立邻居 之后也可学习到对端路由NBMA BROADCAST点到点 点到多点点到点 点到多点NB######################总结:hello时间相同的可以互相建邻居。但是不能学习路由。;选举DR BDR的类型通过修改hello时间后可以学习路由;不选DR BDR通过修改hello时间可以学到对端路由!!        ######################## 点到点链路 ##################- 通常一个串行接口运行PPP已经HDLC- 在frame relay 或 ATM中的点到点子接口- 没有 DRBDR的选择- ospf 自动监测这个接口类型- ospf 使用组播地址224.0.0.5 发送协议包? 1, R1 R2 启用S口IP 和loopback 2, 启用OSPF 1 area 0 3,  debug ospf events hello 224.0.0.5      show ip os nei 自动建邻居  没有DR BDR       sho ip os int s00 hello  wait time         ############### 广播型多路访问 ##################- 一般都是在局域网技术总 比如以太网 令牌环等- 选择DR BDR- 所有路由器只和DR BDR 邻接- 去往DR BDR使用组播224.0.0.6- DR 去往DRouther 使用224.0.0.5上拓扑R2 R3之间1, 启用IP 2, 启用ospf3, show ip os nei 需要等待一段时间。才能看到邻居 看到DR BDR4, show ip ospf int f20 网络类型 R2 s10 ip ospf network broadcast 改成广播类型 R1默认。此时可以建邻居。但是一个选举DR 一个不选举 所有学不到对方路由,因为不同网络类型show ip ospf database 对链路的描述不同:sho ip ospf database 11.1.1.1  sho ip ospf database 22.1.1.1            ########### NBMA #################1, R1 R2 接口下 ip ospf network non-broadcast2, show ip os int s10 查看网络类型3, show ip os nei 不能自动建邻居4,手动建邻居 ospf进程下 R1 neighbor 12.1.1.2 指邻居只在一边配置就可以                         R2 neighbor 12.1.1.1    之后no 掉 neighbor 邻居也不会当掉   sho ip os nei 选举DR BDR5, sho ip os int s10 hello=30 debug ip os event 单播发送报文          ############ 点到多点 ############1, R1 R2 no 掉 neighbor 12.1.1.x2, 接口下 ip ospf network point-to-multipoint3, 重启接口 shut---> no shut4, 自动建立邻居5,组播224.0.0.56,sho ip os int s10 类型 hello=307, sho ip os nei 没有DR BDR         ######## 点到多点 非广播 ##########1,接口下 ip os network point-to-multipoint non-broadcast2, 重启接口3,sho ip os nei 没有建邻居   需要手动建立   单播 neighbor 12.1.1.2 也只一边配置就可以   sho ip os nei  没有DR BDR4, sho ip os int s10  hello=30  类型依然显示点到多点   5,sho ip ro os 自动产生一条 32位 主机路由   所有点到多点网络都会产生                  ###########################                             NBMA                    ##########################?- 一个单一的接口与多个站点互联- NBMA网络支持多路路由,但不支持广播功能拓扑    全互联    部分互联    星型NBMA 网络中选DR - ospf默认认为NBMA像其他广播链路一样 - DR BDR需要和其他路由器全互联,但是NBMA网络并不总是全网状结构    DR要与其他路由器直连 ,因为TTL值是1 跨跳无法通信 为保证hub路由器为DR 需要把邻居优先级置0    neighbor 12.1.1.2 priority 0 - 需要选举DR BDR - ospf 邻居不自动发现其他路由器在NBMA网络中运行ospf    RFC2328定义          NBMA         point-to-multipoint     思科附加了         point-to-multipoint non-broadcast         broadcast         point-to-point ?               ###############################               ####### 回顾帧中继 ############               ###############################2层协议使用的DLCI号2层地址,只本地有效有链接协议。PVC要先建立,通过DLCI号标识。show fram-relay pvc (状态active正常;inactive对方有问题;delete可能两端故障)。本地DTE,运营商DCE.。DLCI号由DCE分配                   DTE DCE,通过LMI信令标准保证通信,LMI有3种标准:Cisco标准;ansi;q933a         PVC--->DLCI(active;inactive;delete)                |---DCE----DLCI---->DTE                    DCE DTE 通过LMI标准维持                              LMI 种类1,Cisco                                     2,ansi                                     3, q933a 4. PVC建立以后,还要有map表项才能传递数据。     map 产生方法 1:IARP     用本地DLCI请求对方IP                 2:手动映射                     命令: fram-relay map ip(对端IP)dlci(本地dlci号)实验:?GNS中注意是串口线R4:frame-relay switchingint s01  enacapsulation frame-relay  frame-relay intf-type dce  frame-relay lmi-type cisco  frame-relay route 102 interface s00 201  frame-relay route 103 interface s00 301  no shutint s02  enacapsulation frame-relay  frame-relay intf-type dce  frame-relay lmi-type cisco  frame-relay route 201 interface s01 102  no shuint s03  encap frame-relay  frame-relay inth-type dce  frame lmi-type cisco  frame route 301 int s01 103  no shu R1: Int s00       encap frame-relay       ip add 123.1.1.1 255.255.255.0       no shu R2: int s00      encap fram      ip add 123.1.1.2 255.255.255.0      no shu   R3: Int s0      ip add 123.1.1.3 255.255.255.0      no shuR4: show frame-relay routeR1: show frame-relay pvc    show frame-relay mapR1 R2 R3 loopback 11.1.1.1 22.1.1.1 33.1.1.1R1 R2 R3 开启ospf 手工指邻居 进程下 nei 123.1.1.2 123.1.1.3    sho ip os nei7.  此时 R2 R3不通。    sho ip ro 有路由    sho fram map 发现没有对应的2层封装 注:帧中继,NBMA网络中,必须要有 每一个spoken点(分支节点之间)映射  R2 接口下 frame-relay map ip 123.1.1.3 201    R3 接口下 frame-relay map ip 123.1.1.2 301R2 R3通信过程:    R2 2层封装201--》R4:sho fram route (201 s01 102)-->R1 102是本地 目标IP是33.1.1.1,查路由表目标的吓一跳是123.1.1.3,sho fram route 2层封装103,103对应2层转发表项从s03出去到301--》R3 33.1.1.1是本地 8. 必须控制保证DR是hub点 ,即拓扑中保证R1是hub点!!!    R2 R3 接口下 ip ospf priority 0 因为:2层,spoken分支通过hub点学习到彼此。3层,DRther通过DR学习到彼此总结:帧中继网络,默认NBMA的ospf网络类型。1,需要手动指邻居neighbor。。;                                          2,手动映射2层吓一跳,fame map ip ...DLCI..                                           3, 保证DR为hub点 ◆ 解决上述3个问题,可以把ospf网络类型修改为 点到多点      R1 R2 R3 接口下 ip ospf netw point-to-multi 点到多点网络下 1,自动形成邻居 不用手动neighbor                         2,2层下一条 指向的是对端直连123.1.1.1(NAMA指向123.1.1.3)                             到达spoken端有32位主机路由,所以123.1.1.2和.3能互相通信                          3, 不选举DR BDR          ########################################         ########## 点到多点 非广播 环境 #############         ######################################## 上述帧中继网络中,把默认NBMA修改成 点到多点 报文使用的是224.0.0.5组播通告, 当有特殊要求:用点到点的上述3种优点,又不能通过广播包时  模拟点到多点非广播关键        1,R1 R2 R3 关闭IARP :接口下 no frame-relay inverse-arp        2,手动指2层映射 R1:famy-relay map ip 123.1.1.2 102                             frame-relay map ip 123.1.1.3 203                         R2: fam map ip 123.1.1.1 201                          R3: fram map ip 123.1.1.1 301         R1 R2 R3 接口下 ip os net point-to-point no-broadcast        需要手动指邻居 neighbor 123.1.1.x与点到多点的唯一区别是不能通过组播地址224.0.0.5自动建立邻居,要手动指。其他都一样。            ########################################3            #########  点到点 #####################3            #######################################点到多点子接口:      恢复接口配置 default int s00      R1: int s00.1 point-to-point                ip add 12.1.1.1 255.255.255.0                 no shut                 frame-relay interface-dlci 102            int s00.1 po-to-po                ip add 13.1.1.1 255.255.255.0                 fram-re int-dlci 103        R2  int s00                 encap fram                 no shu             int s0.1                 ip add 12.1.1.2 255.255.255.0                 fram int-dlci 201        R3  int s00                 encasulation frame-relay                 no shut           int s00.1                ip add 13.1.1.3 255.255.255.0                 fram-re int-dlci 301    R1 R2 ping直连 r1 r3        R1 : int s00.1                ip ospf 1 area 0              int s00.2                ip os 1 area 0        R2 R3 int s00.1                ip os 1 area 0 sho ip os neisho ip os int s00.1特殊网络类型 loopback :只有loopback口才能成为的网络类型,而且都以32位主机路由器宣告出去通过修改网络类型(只能改成点到点网络类型),可以 以实际掩码位数通告出去 Int lo0    ip ospf network poingt-to-point ###############  以上 网络类型 介绍结束 ###################################################             ###############################################             ##########  LSA 类型  #########################             ###############################################注意点:    1, 每种LSA的传播范围     2, 每种LSA由谁产生,也就是说由通告的     3, 每种LSA所包含的内容     4, 每种LSA命名方式     要清LSA要一起清,否则可能会有重新学习的问题 ◆ LSA头部信息老化时间可选项类型链路状态ID Link-ID通告路由器ADV Router序列号校验和长度类型:指明是哪种LSALink-ID :每一条LSA都有一个LINK-ID,区分不同路由器发出的LSAADV-Router:指通告路由器的routerID◆LSA 类型LSA TYPEDescription1路由器LSA2网络LSA3 & 4汇总LSA5自制系统外部LSA6组播ospf LSA7定义NSSA区域8外部属性LSA FOR border gateway protocol(BGP)9 10 11非透明LSA LSA包含的信息:1,路由信息。2,拓扑信息其中只有1类 2类包含拓扑信息。。              #########################              #### 1类 路由器LSA ######               ######################### - 一个路由器LSA(TYPE 1)产生于区域中每一个运行ospf的路由器    - 内容包括直连 链路的属性     - 链路标识,链路的IP前缀和链路类型 - 每个路由器为起源,包含起源这个路由器的router ID- 只在本区域泛洪;不穿越ABR实验:GNS3搭建?◆1类LSA实验目的:通告show os data router 11.1.1.1可以画出拓扑图并描绘出路由信息。   R1 R2 1,启用接口IP和loopback口 2,启用OSPF area 0 3,接口下 ip ospf netw po-to-po 4, R2 查看LSA类型 sho ip ospf database 5, 查看一条LSA内容    sho ip ospf database 类型名 linkID     例如查看一类LSA show ip ospf database router 11.1.1.1                     ###################################                    ###### 2类 LSA ####################                    ###################################- 只会在MA网络中产生(以太,帧中继主接口,帧中继子接口,需要选举DR BDR的网络)- 由MA网络中的DR产生- 只在本区域泛洪   - 由DR接口IP命名◆2类LSA实验? R1 R1 默认是MA类型网络,需要等时间选举DR BDR- sho ip os database 查看LSA类型 “net link state ”   linkID: DR接口IP    通告路由器: DR的routerID    查看详细LSA: show ip ospf database network(类型名) 12.1.1.2(link-ID)               包含内容:本MA网络中的所有路由器(Attached router)                         本MA网络的掩码(network mask)    此时,对比查看一类LSA内容:show ip os data router 11.1.1.1,发现对12.1.1.2的描述变成transit network,而且没有掩码 也不知道到MA网络中域DR相连的路由器,此时需要看2类LSA才能得知。                  ###################################                  ####### 3类LSA ####################                  ################################### 区域间路由 summary- 用于通告一个区域的信息给其他区域     描述链路的网络号和掩码- 起源于 ABR。(每穿过一个区域,都把通告路由器修改为被穿过的ABR routerID)- 泛洪于整个自制系统- 内容包括,默认下,没有路由的自动汇总,类型3LSA通告每个子网(一条路由信息 前缀,掩码,下一                     条,cost)- 使用通告的网段前缀命名即,ABR路由器将区域1 的1类,2类和其他路由信息转换为 3类LSA,传给区域0,修改通告路由器后,再传给其他区域。每经过一个ABR都要重新修改起源路由器。区域间传递路由类型距离矢量协议来传递路由。◆3类LSA实验启用R1 R2 R3R1 R2 AREA0  R2 R3 AREA1 show ip ospf database  show ip os dat summary 23.1.1.0 show ip ospf border routers注意cost值!!!                  ###################################                  ####### 4类LSA ####################                  ###################################- 汇总LSA 在自治系统中向其他区域通告ASBR的位置- 起源于ABR- 泛洪除了ASBR所在区域的其他所有区域,整个自治系统- 包含 ASBR的routerIDR3:sho ip ospf da 是没有4类LSA的R1: sho ip os da  可以看到 summary ASB LINK State    sho ip os da asbr-summary 33.1.1.1查看具体内容 去往33.1.1.1的接口IP和metric                  ###################################                  ####### 5类LSA ####################                  ###################################- 外部LSA 用于通告自治系统外部的网络- 起源于 ASBR- 泛洪整个自治系统- 通告路由器,在整个自治系统中不改变- 需要 类型4LSA 找到ASBR- 默认不自动汇总?◆5类LSA实验  1, 启用R1 R2 R3  R5  2, R1 R2 R3ospf R3 R5 EIGRP  3, R3上 eigrp重分布进ospf  4, R1 sho ip ro   5, 整个ospf区域都可以看到 5类LSA  sho ip os database      sho ip os da external 55.1.1.1其中 R2通过 1类 2类LSA得知R3位置,但是R1的55.1.1.1的下一跳指向R3,而又无法知道R3位置,此时需要 4类LSALSA类型传播范围由谁产生包含内容命名方式1本区域内每个路由器都会产生1,路由信息:stub network(前缀,掩码,下一条)2,拓扑信息:another router(相连路由器的routerID,相连的本地接口)3, transit networkDR的IP和相连本地IP,但不知道掩码本地routerID命名sho ip os da router2本区域MA网络中的DRtransit network可以补充1类LSA中的掩码由DR接口IP命名network3自制系统(所有OSPF区域)ABR每穿过一个ABR,通告路由器都会变成穿过的ABR的routerID一条路由信息(前缀,掩码,下一条,cost)通告路由的前缀summary4自制系统(所有OSPF区域)ABR指明ASBR位置ASBR 的routerIDasb-summary5自制系统(所有OSPF区域)ASBR穿越ABR时,不改变通告路由器外部路由信息前缀,掩码,下一条,cost)通告路由的前缀External ?O: 1类或2类 lsaOIA: 3类 lsaOE1: 5类OE2:5类OSPF路由选择顺序       AD(前缀掩码相同,下一跳不同时)先比较AD,然后才比较类型       AD不变的情况下 比较类型 O>OIA>OE1>OE2        类型相同时,比较cost        cost相同 ,就负载均衡 特例》:OE1.。cost相同时还要比较去往ASBR的距离◆计算OE1 OE2 路由成本    OE1路由时要计算到ASBR沿途的cost值     OE2路由只外部路由是到达ASBR的cost ?###########################################################################################                     OSPF 的超载保护(限制非本地产生的LSA的数目)- 其他路由器产生的过度LSA可以消耗本地路由器的资源- 这个功能可以限制非本地产生的LSA数目router(config-router)#max-lsa (设置允许接收最大外部路由数目) threshold-percentage (设置达到最大数目的比例开始警告,默认75%) warning-only (设置超载后的动作为警告) ignore-time 分钟(超载后默认1分钟后,down掉邻居关系,这个是设置down多长时间后重启邻居关系,默认5分钟)ignore-count (设置重启邻居关系的次数,默认5次)reset-time 分钟(清零时间,默认10分钟。例如重复down5次后,10分钟没有超载,就把之前计算的4次清零,当再次超载时从1开始计算)###########################################################################################                    OSPF 成本度量的修改方法成本,发送数据包的接口成本 10的8次方 带宽 M 接口下(路由的入方向) ip ospf cost 1-65535之间设置参考带宽,默认10^8.。范围 1 - 4294967m秒 进程下 auto-cost reference-bandwidth 1-4294967###########################################################################################                    路由汇总- 减小路由表大小- 减少拓扑变化对网络的影响- 减少LSA 3类和5类,7类 的泛洪,节省CPU资源   3类 域间汇总   5 ,7类 区域×××总配置:    域间汇总 ABR     area area-id  range address mast     域×××总 ASBR    summary-address ip-address mast 汇总特点:    生成指向null 0 的路由     汇总抑制明细     当所有明细都消失,汇总自动消失     汇总自动生成度量值,是所有明细中最小的 对比eigrp中,汇总还可以限制eigrp查询范围 ?汇总一条不精确,172.16.0.019 包括1-32条路由使用两条,可以更精确举例:??实验:?◆实验一 汇总特点1,配置IP2,启用ospf 注意区域3,R1 Lo0 11.1.1.1      lo1 11.1.2.0      lo2 11.1.3.1            ip ospf network po-to-point(去除32位主机路由)           ip ospf cost 10   R3 sho ip ro 显示OIA 的两条R1 loopback(R2看到的两条是O 的R1 loopback,而且显示为O的不能                                            汇总)  R2 : 进程下 area 1 range 11.1.0.0 255.255.0.0   R3 : sho ip ro   ◆实验2 使用not-advertise控制路由    R1: 在启用lo3 11.1.0.1      R2:  进程下 area 1 range 11.1.0.0 255.255.254.0 not-advertise    R3: sho ip ro (只收到 11.1.2和.3两条明细) ◆区域×××总    R5: loopback 55.1.0.1                   55.1.1.1                   55.1.2.1     R4:重分布进ospf         sho ip ro (默认OE 2)         summary-add 55.1.0.0 255.255.252.0    R1: sho ip ro     R4: summary-add 55.1.0.0 255.255.252.0 tag 500    R1: sho ip ro 55.1.0.0 查看tag     tag 的应用:             route-map test                 match tag 500 ####################################汇总介绍结束 ############################################################# OSPF 路由器宣告默认路由 ##############################################- ospf利用5类 LSA 向内部注入一条默认路由- 默认不注入默认路由;需要使用配置 default-information originate;    另外本地必须有一条默认路由0.0.0.0才能生效。    使用always可以没有0.0.0.0默认路由也可下发:            进程下 default-information originate always         默认是OE 2 可以metric-type修改 default-information originate always metric-type 1         默认开销 1 可以metric修改                     default-information originate always metric-type 1 metric 10        route-map:(需求,当本地有一条远端路由时才下发缺省)       R1:  default-information originate always metric-type 1 metric 10 route-map test         route-map test             match ip address prefix-list test          ip prefix-list teset permit 100.1.1.024      R2: sho ip ro 看不到缺省       R1: 可以本地产生一条,或者从外部学到一条             ip roure 100.1.1.0 255.255.255.0 null 0       R2: sho ip ro 就可以看到默认了?######################## OSPF 特殊区域 ###################################################        末节stub 以及 完全末节区域totally stub ◆Stub区域 拒绝4 类 5类- 如果有个多个ABR,到达区域外部(AS外)有可能选择次优的路径,但是 是可以接受的。- 末节区域中的路由器都要配置成末节(因为stub在hello包中定义)- 末节和完全末节区域 不能存在ASBR- 这个区域不能是区域0- 虚链路不能穿越末节区域STUB区域,不收外部LSA 所以不会有LSA5 LSA4。由ABR产生一条3类缺省到stub区域,到达外部网络。命令 area X stub◆totally stub区域 拒绝3,4,5类思科私有因为stub区域去往其他区域和外部网络都是通过ABR,所以只要区域内路由器能到达ABR就可以了。所以totally stub 阻止外部LSA             阻止汇总LSA              只有一条缺省到达ABR 配置 ABR 配置 stub no-summary 区域内其他只需配置为 stub命令 area x stub no-summary◆修改默认路由发送到存根区域的成本 ,默认是 1area area-id default-cost costsho ip ospf border-routerssho ip os da summ 0.0.0.0            ########## 次末节区域NSSA ################## - 继承了末节区域的特点- 但是 ASBR 允许在这种区域- ASBR 向次末节区域中发送 7类LSA- ABR 将 7类LSA 转换为 5类LSA- ABR 向次末节区域发送默认路由- 是 RFC 标准?NSSA 区域试验?area 2 配置为nssa命令 R3 R4进程下 area 2 nssaR4 sho ip os da 可看到 type 7 external LSAR3 sho ip os da 7类 转换为 5类并且ASBR不会自动产生默认路由通过nssa区域的ABR到达其他区域,需要手动在nssa区域的ABR上添加命令 area X default-information-originate注:NSSA区域必须配在ASBR上在area2 是nssa基础上,在R2 启用loopback100 并把直连重分布到ospf,此时R4是学不到R2的loopback100的,因为虽然R4所在区域是nssa,但是R2并不是ASBR。所以,nssa是配置在ASBR上的。若果要让R4学到R2的loopback,R3 上:ospf进程下,area 2 nssa default-information-originateTotally NSSAstub拒绝4类,5类ABR产生3类默认totally stub思科私有拒绝3类,4类,5类ABR产生3类默认nssa拒绝4类,5类。7类代替5类ABR不能自动产生默认7类totally nssa思科私有拒绝3类,4类,5类。包含7类ABR产生3类默认路由##############################◆Totally NSSA feature:    ABR路由器 no-redistribute 因为会自动产生缺省路由,所以可以把重分布路由器干掉            进程下 area x nssa no-summary no-redistribute translatie type7 suppress-fa 用于抑制forward address地址 ◆ forward address:作为nssa区域的ABR,它要把7类Lsa转换为5类lsa泛红到相连的区域,而这条5类lsa的实际转发路由器是ASBR。所以在转发5类lsa中,会携带forward address字段指明实际的路由器forward address:地址的选举,是ASBR最后一次宣告进ospf进程的地址forward address:作用,5类LSA中的forward address可达时,5类lsa携带的路由才能放到路由表。external 路由的forward-address有地址的情况:            1,在有NNSA区域时,从普通区域看 external 路由的forward-address是ASBR最后一次宣告进ospf的地址。             2,把ASBR的外网接口(下图总R4的 f10)也宣告进ospf,forward-address是产生这条路由的路由器出接口地址。优化下一跳?################################################################################################################# 虚链路 #############################◆功能一:解决没有连接到骨干区域,只与普通区域相连的通信        如下图,area0和area1可以正常通信;但是area2不能与任何其他区域通信?在R2 R3打通隧道R2:router os 1        area 1 vitual-link 33.1.1.1(router-id) R3: router os 1         area 1 vitual-link 22.1.1.1    sho ip os neighbor detail 查看虚链路邻居    sho ip os virtual-link  虚链路LSA不想其他LSA 30分钟更新一次,虚链路LSA只最初更新一次,只要不发送变化,老化时间永远不变sho ip os da (DNA)功能二。解决不连续的区域0?如图,R1 R4不能通信;R2 与R4的loopback不能通信;R3 R1的loopback不能通信 原因:ABR收到的OIA路由,必须通过相连的区域0学所以上图中,R2的外部区域路由必须通过R1学;同理R3的OIA路由必须通过R4学R2 R3打通虚链路R2 : router os 1        area 1 virtual-link 33.1.1.1 R3 : router os 1        area 1 virtual-link 22.1.1.1 #################################################################################################################### 认证 ####################- ospf支持两种认证   明文   MD5- 路由器生成并校验每个ospf数据包。接收路由器验证每一个源路由器发送到本地的更新数据包- 配置密钥,每个邻居路由器必须有相同的密钥◆回顾EIGRP,RIP认证步骤  1,配置密钥        1.1 配置钥匙链         1.2 key-ID         1.3 密码   2,开启认证,接口下  3,调用认证,接口下 ◆ospf 认证步骤    1,开启认证         两种,1,进程下开启               2,接口下     2,调用,接口下  注意:在有普通区域没有连接到骨干区域时,骨干区域开启认证,而非骨干区域不开启的话,虚链路是无法建立的。如下图?R2 R3建立虚链路。R1开启认证area0认证,R3也要开启 area0 认证,虚链路才能建立配置明文认证   ■设置密码,接口下   router(config-if)#    ip ospf authentication-key passwork     在相邻路由器之间分配一个相同的密码 两种开启认证方式(接口下,进程下)  ■接口开启认证,   router(config-if)    ip ospf authentication     指定认证类型   ■ospf进程下开启认证   router(config-router)#     area area-id authentication     启动区域认证,整个区域的密码要一致 ?配置MD5认证    ■设置密码     router(config-if)#         ip ospf message-digest-key key-id md5 key         分配一个密钥ID和密钥,邻居路由器要一致 两种开启认知方式(接口下,进程下)    ■接口下开启认证         router(config-if)            ip ospf authenticatication message-digest    ■ospf进程下开启认证       router(config-router)#           area area-id authentication message-digest          启动区域认证,整个区域的密码要一致如果两端只开启认证,但并没有在接口下调用也是可以起来的。相对eigrp和rip就起不来!!!MD5认证更换密码,可以再启用一个keyID,然后no掉原来的key,邻居关系不会down!!◆虚链路认证?R1 R2 区域0 开启区域0认证R2 R3 区域1 开启区域1认证R3再开启loopback 1 宣告进区域2R2 R3开启虚链路R3要和area0 通信 虚链路也要做认证R3进程下,area 1 virtual-link 22.1.1.1 authentication 开启认证          area 1 virtual-link 22.1.1.1 authentication-key xxx 配置密码 ###########################################################################################
    来自:
    浏览:242
  • ccnp第3讲之笔记 (eigrp)

    一、eigrp是高级的距离矢量协议。eigrp传送的是路由条目,但是接受到了路由条目的路由器并不会马上将条目加入路由表,而是根据接受到的所有路由条目构建一个全网拓扑,然后在计算出最佳路由,再将这个最佳路由放入路由表。eigrp只支持增量更新。路由只传一次,之后稳定了下来,只传增量更新。eigrp是唯一的支持非等价负载均衡的协议。二、eigrp的三张表A、邻居表B、拓扑表C、路由表三、EIGRP的度量值带宽、延迟、可靠性、负载。带宽:所有网段的最小值延迟:所有网段的汇总可靠性:所有网段的最小值负载:所有网段的最大值四、EIGRP常用命令no  autosummaryeigrp  router-id 最大环回口地址show  ip  protocolsshow  ip  eigrp  interfaceshow  ip  eigrp  neighbors五、实验:EIGRP的等价负载均衡?实现R1有到R5的2条等价路由。1、基本配置完成后,查看R1路由1.0.0.024 is subnetted, 1 subnetsC       1.1.1.0 is directly connected, Loopback05.0.0.024 is subnetted, 1 subnetsD       5.5.5.0 via 11.1.1.3, 00:05:16, FastEthernet0010.0.0.024 is subnetted, 1 subnetsC       10.1.1.0 is directly connected, Serial0011.0.0.024 is subnetted, 1 subnetsC       11.1.1.0 is directly connected, FastEthernet0012.0.0.024 is subnetted, 1 subnetsD       12.1.1.0 via 11.1.1.3, 00:05:16, FastEthernet0013.0.0.024 is subnetted, 1 subnetsD       13.1.1.0 via 11.1.1.3, 00:05:18, FastEthernet0014.0.0.024 is subnetted, 1 subnetsD       14.1.1.0 via 10.1.1.2, 00:00:06, Serial00其中到5.5.5.5的路由,是通过R3转发的,度量值是158720。然后查看默认的度量参考值为 1  0  1  0  0,命令是show  ip  protocolsEIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0然后通过show  interface  xx  查看具体接口的带宽和延迟:R1:s00: 1544kbs   延迟20000us             f00:100000kbs   延迟100usR2:f00:100000kbs   延迟100usR3:f01:100000kbs   延迟100usR4:f01:100000kbs   延迟100usR5:loopback0:80000000kbs   延迟5000us所以可以知道256(10000000100000+10010+10010+500010)=158720现在为了实现2条等价路由,所以要使上路和下路的度量值一样,我通过修改带宽来达到这个目的。对于R1,假如S00的带宽为BWs,F00的带宽为BWf,我们可以让2个带宽都取一个合适的值来到达上下两路的度量值一样。(注1:BWs和BWf都要确保为整条链路的最小带宽)(注2:可以在接口下用bandwidth来修改,但不要担心这个修改的数值会真正影响带宽,它并没有实际意义,只是影响eigrp选路而已)所以可以得到下面这样的一个表达式:256=256所以简化之后可以得到: – =2000所以假如让BWf=1000 ,BWs=1250,那么上面的表达式是可以成立的,所以我就这样做了R1(config)#interface s00R1(config-if)#banR1(config-if)#bandwidth 1250R1(config-if)#int f00R1(config-if)#banR1(config-if)#bandwidth 1000R1(config-if)#end然后查看路由:1.0.0.024 is subnetted, 1 subnetsC       1.1.1.0 is directly connected, Loopback05.0.0.024 is subnetted, 1 subnetsD       5.5.5.0 via 11.1.1.3, 00:00:17, FastEthernet00 via 10.1.1.2, 00:00:17, Serial0010.0.0.024 is subnetted, 1 subnetsC       10.1.1.0 is directly connected, Serial0011.0.0.024 is subnetted, 1 subnetsC       11.1.1.0 is directly connected, FastEthernet0012.0.0.024 is subnetted, 1 subnetsD       12.1.1.0 via 10.1.1.2, 00:00:18, Serial0013.0.0.024 is subnetted, 1 subnetsD       13.1.1.0 via 11.1.1.3, 00:00:18, FastEthernet0014.0.0.024 is subnetted, 1 subnetsD       14.1.1.0 via 10.1.1.2, 00:00:21, Serial00发现到达5.5.5.5已经有了2条等价路由了。
    来自:
    浏览:119
  • CCNP知识点总结——IPv6

    1、常用计数 2的32次方:4,294,967,296; 2的128次方:340,282,366,920,938,463,374,607,432,768,211,456。2、IPv6编址?? IPv6地址类型 (1)单播地址( Unicast Address):标识一个接口,目的地址为单播地址的报文会被送到被标识的接口;分为:可聚合全球单播地址、链路本地单播地址、站点本地单播地址; (2)组播地址( Multicast Address):标识多个接口,目的地址为组播地址的报文会被送到被标识的所有接口; (3)任播地址( Anycast Address):标识多个接口,目的为任播地址的报文会被送到最近的一个被标识接口,最近节点是由路由协议来定义的; (4)IPv6没有定义广播地址。 (1)单播地址(Unicast):可聚合全局单播地址,相当于IPv4全局单播地址,由48位的全局路由选择前缀+16位的子网ID+64位的接口ID组成。可聚合全球单播地址的范围:2000:0000:0000:0000:0000:0000:0000:0000到 3FFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF,由此看出,可聚合全球单播地址占IPv6总地址空间的8分之1。? (2)单播地址(Unicast):Site-Local address,类似于IPv4私有地址,使用站点本地地址意味着需要NAT,地址不是端到端的。地址开头为FEC0::10,紧接着是连续的38bits的0,对于站点本地地址来说,前48bits总是固定的。在接口ID和48bits特定前缀之间有16bits子网ID字段,供机构在内部构建子网。本地站点地址永远不会用于与全球IPv6因特网通信, 一般用于内网通信。 (3)单播地址( Unicast):Link-Local address,有效范围为本地链路, 以FE80::10为前缀,11-64位为0 +一个64位接口标识。用于自动地址配置、邻居发现、路由器发现。在一条链路上,必须知道对方节点的链路本地地址,如果不知道,将是不能通信的,所以一条链路中的IPv6节点要通信,必须拥有链路本地地址,并且这个链路本地地址只在一条链路中有效,也不能被路由,而不同链路的链路本地地址是可以重复的。 (4)组播地址( Multicast):用来标识一组接口,发送给多播地址的数据流同时传输到多个目的地。范围:FF00::8。FF02::1:表示链路上的所有节点,FF02::2:表示链路上的所有路由器,FF02::9:表示链路上的所有RIP路由器。? IPv6编址: 分为接口标识符、主机位,接口标识符用于标识链路上的接口,在每条链路上接口ID必须唯一,总长度为64位,可根据第二层介质和封装方式自动创建。在以太网中,接口ID基于接口的MAC地址创建的,格式为EUI-64。? 静态IPv6地址配置(使用EUI-64地址) : r1(config)# interface fast00 r1(config-if)# ipv6 address2035:1:2bc5::87c:0:a64 eui-64?3、IPv6基本配置 启用转发IPv6单播数据报的功能:ipv6 unicast-routing 为接口配置IPv6地址和前缀:ipv6 addressaddressprefix-lengrh 验证IPv6配置:show ipv6 interface brief4、IPv6路由 IPv6单播路由:静态路由、RIPng、OSPFv3、IS-IS、EIGRP、MP-BGP4 在配置任何IPv6路由协议之前,必须启用IPv6单播路由选择,使用ipv6 unicast-routing (1)静态路由:ipv6 route ipv6-prefixprefix-length {ipv6-address | interface-type interface-number } | unicast | multicast] 直连静态路由,递归静态路由:检测下一跳是否可达,浮动静态路由。? (2)RIPng 使用IPv6进行传输,距离矢量路由协议,最大度量值为15跳,使用水平分割和反向抑制来防止路由环路,管理距离为120,通过UDP端口521发送更新,将链路本地地址用作源地址,使用FF02::9作为RIPng更新的目标地址。 进入RIPng路由进程:route(config)# ipv6 router rip name 在接口上激活RIPng:route(config-if)# ipv6 rip name enable name为进程名,如无此进程,将自动创建 Ipv6 unicast-routing ipv6 router rip RIPprocess interface Serial00 ipv6 address 2001:12::164 ipv6 enable ipv6 rip RIPprocess enable interface fast10 ipv6 address 2001:0001::FFFF64 ipv6 enable ipv6 rip RIPprocess enable (3)OSPFv3 将IPv6链路本地地址用作源地址,运行在链路而不是子网上,使用IPv6链路本地地址来标识OSPFv3邻居,OSPFv3的组播地址: FF02::5、 FF02::6,每个接口可以有多个地址和OSPF实例,支持使用IPSec进行身份验证,使用相同的分组: Hello、 DBD、 LSR、 LSU、 LSAck,邻居发现机制和邻接关系建立机制相同,LSA泛洪机制相同,支持末节区域和次末节区域(NSSA) 。 进入OSPFv3路由进程:route(config)# ipv6 router ospf process-id 在接口上激活OSPFv3:route(config-if)# ipv6 OSPF process-id area area-id 指定接口cost值:route(config-if)# ipv6 ospf cost interface-cost 将区域指定为末节区域:route(config-ipv6-route)# area area-id stub 区域边界汇总路由:route(config-ipv6-route)# area area-id range ipv6-prefixprefix-length 验证: show ipv6 ospf neighbor show ipv6 ospf interface show ipv6 ospf process-id clear ipv6 ospf process (4)BGP 进入BGP路由进程:route(config)# router bgpAutonomous-system-number 进入IPv6地址簇:route(config-router)# address-family ipv6 unicast route(config-router-af)#neighbor X:X:X:X::X remote-as route(config-router-af)#network X:X:X:X::X 5、IPv6过渡技术 (1)双协议栈技术 :设备上同时使用IPv4和IPv6协议栈,是其他过渡技术的基础。 节点有IPv4和IPv6两个协议栈。缺点:每台设备都需要配置两种协议,需要占用资源,设备需要存储两个路由表,两个协议拓扑表,需要独立处理每种协议。 router(config)# ipv6 unicast-routing router(config)# interface fast00 router(config-if)# ip address 192.168.1.254 255.255.255.0 router(config-if)# ipv6 address 2001::0001::FFFE64 (2)隧道技术(Tunnel) :把IPv6报文封装在IPv4报文中,IPv6网络之间穿越IPv4网络进行通信。 用于在现有网络( v4)中传输不兼容的协议(v6)或者特殊的数据。 手动隧道技术: GRE隧道、手工隧道。 自动隧道技术: 6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道。 6PE技术: 6PE技术依赖于BGP,BGP的Peer是需要手工指定的,可以算是一种半自动隧道技术。6PE的隧道可以完全利用目前已有的IPv4 MPLS隧道,只需要运营商的PE路由器支持IPv4 IPv6,这种PE路由器简称6PE路由器。?? (3)协议转换技术:具备 IPv4和IPv6协议转换功能的转换设备,修改协议报文头,使IPv4网络与IPv6网络 能够互通。 NAT-PT:NAT不能永久的解决当今IPv4地址短缺的问题,IPv4网络和IPv6网络会同时存在且需要相互通信。NAT-PT(Network Address Translation-Protocol Translation,附带协议转换的网络地址转换)技术则是IPv6协议与IPv4协议之间的转换,在RFC 2765与RFC 2766中给出了其定义,它是为了解决两者的互通问题。 NAT-PT和隧道都是IPv4向IPv6过渡的技术,报文转换和转发的方式不同,这是NAT-PT和隧道最根本的差别。NAT-PT是对报文的网络层内容进行转换修改,剥离原先的报文头,替换为转换之后的报文头;而隧道是对初始报文作另一层报文封装,根据隧道的不同类型加上相应的报文头。NAT-PT会检查并且可以更改报文中的端口号;而隧道从来不会检查报文的传输层内容。NAT-PT一般适用于IPv4与IPv6不同网络中主机互相访问的环境中;而隧道一般用于实现一种网络协议跨越另一种网络协议之间的通讯。形成NAT-PT的环境只需要有一台可以进行NAT-PT转换的设备即可;而构造一种隧道的环境就必须要两台设备形成一个隧道。 不论采用哪种NAT-PT机制,配置NAT-PT前缀都是必须的。 NAT-PT前缀是长度为96位的IPv6地址前缀,它具有以下两个作用:(1)从IPv6网络发送到IPv4网络的报文到达NAT-PT设备后,设备会检测报文目的IPv6地址的前缀,只有与所配置的NAT-PT前缀相同的报文才允许进行IPv6到IPv4的转换。(2)从IPv4网络发送到IPv6网络的报文,经过NAT-PT转换后,源IPv6地址的前缀为配置的NAT-PT前缀。?6、NDP:邻居发现协议 使用ICMPv6报文实现其功能(1)地址解析(相当于IPv4的ARP)地址解析使用两种ICMPv6报文:邻居请求(Neighbor Solicitation, NS)报文和邻居通告(Neighbor Advertisement, NA)报文。只有在以太网链路才有,在HDLC、PPP链路是没有的。(2)跟踪邻居的状态(3)重复地址检测(Duplicate Address Detect,DAD)新配置了一个接口地址或者一个接口由shutdown—>no shutdown,经过DAD的过程,地址才能配置生效。DAD没有完成之前,地址处于Tentative(实验)状态。?因为该地址未生效,所以A发送NS报文时,Src=::(未指定地址),目的地址为自己想要查找IPv6地址转换的请求节点地址。如果1秒钟后没有检测到冲突,就发送non-solicited advertisement。(4)无状态地址自动配置 SLAAC:Stateless Address Autoconfiguration技术特点:IPv6的标准功能;无需进行手工配置,即插即用性;减轻网络管理的负担;对主机、路由器均可进行自动配置;可配置多个地址进行网络无缝迁移。报文种类:RS:Router solicitaion由主机主动发出(加快地址配置速度,RA缺省每200s周期发送)回应报文为RA报文。源地址:发送者link-local地址,目的地址:FF02::2。RA:Router Advertisement由路由器发出 ,收到RS后发出或周期性自动发出。源地址:发送者Link-local地址,目的地址:FF02::1或发送RS的主机单播地址。串口下,缺省是不发送RA消息,配置no ipv6 nd ra suppress 才发送。所有报文都基于ICMPv6报文。(5)前缀重新编址(6)重定向(7)IPv6 FHS(IPv6 First Hop Security)1)Core:RA Guard;DHCP Guard;IPv6 Snooping。2)Advanced:SourcePrefix Guard;Destination Guard。3)Performance and scalability:RA Throttler;ND Multicast Suppress。
    来自:
    浏览:377
  • CCNP知识点总结——交换部分

    版权声明:本文为博主原创文章,转载请注明出处。 https:blog.csdn.netgongxifacai_believearticledetails79764885 1、交换机 交换机工作在OSI的数据链路层, 可分为2层和多层交换机。按照网络位置可划分为接入层、分布层、核心层交换机。其重要参数有:背板带宽、接口速率、转发速率。2、VLAN技术 VLAN是一个单独的广播域。交换机的一个端口只能承载单个VLAN的流量, Trunk技术可承载多个VLAN的流量。 ? 配置VLAN (1)创建VLAN:Switch(config)#vlan vlan-id (2)(可选)命名VLAN:Switch(config-vlan)#name vlan-name (3) 删除VLAN:Switch(config)#no vlan vlan-id (4)将端口指定为access端口,将端口放入某个VLAN中: Switch(config)#interface interface_id Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan vlan-id (5)验证VLAN: show vlan show running-config interface interface-type slotport show mac-address-table interface interface-type slotport3、Trunk技术 (1)Trunk简介 要使得交换机的端口承载多个VLAN,那么就必须将其配置为Trunk。使用环境:可以是两个交换机,也可以是交换机和路由器相连,还可以是交换机和支持trunk封装的主机。 ?? (2)DTP技术 DTP是Cisco私有点到点协议,使用DTP来协商链路聚集的状态。 作用:协商使用哪种协议: ISL802.1Q;协商使用哪种模式: access、 trunk、 desirable、 auto。 ?? (3)Trunk的配置 Switch(config)#interface interface_id Switch(config)#switchport trunk encapsulation {isl|dot1q|negotiate} Switch(config)#switchport mode {trunk|auto|desirable} Switch(config)#switchport nonegotiate Switch(config)#switchport trunk native vlan vlan-id Switch(config)#switchport trunk allowed vlan {add|except |all|remove} vlan-id (4)Trunk的验证 show running-config interface_id show interface interface_id switchport show interface interface_id trunk4、VTP技术 (1)VTP协议的作用是在整个交换网络中分发和同步与VLAN的相关信息。 ? (2)VTP通过Trunk链路传播消息,Cisco交换机每5分钟就会通过管理VLAN以二层组播(组播地址: 01-00-0C-CC-CC-CC)数据帧的形式传输一次VTP汇总通告。每台交换机只能支持单个VTP域。 (3)VTP工作模式 Server:可创建、修改和删除VLAN,发送或转发通告消息,同步VLAN配置,将VLAN配置保存在NVRAM中。 Client:不能创建、更改和删除VLAN,转发通告,同步VLAN配置,不会将VLAN配置保存在NVRAM中。 Transparent:只在本地交换机中创建、删除和修改VLAN,转发通告消息,不同步VLAN配置,将VLAN配置保存在NVRAM中。 ?? (4)VTP版本 VTP版本1:不支持令牌环网,透明模式检测版本和域名; VTP版本2:支持令牌环网,支持TLV,透明模式不检测版本; VTP版本3:支持扩展VLAN,支持创建和通告pVLAN,增强服务器认证,能与版本1和版本2互动,能够基于端口来配置VTP。 (5)VTP消息类型 汇总通告消息:用于通知邻接的交换机目前的VTP域名和配置修订编号。每5分钟发送一次汇总通告消息,配置改变的时候发送通告。交换机对比数据包中的VTP域名,域名不同则忽略这个数据包。VTP域名相同将对比修订号:修订号大于等于通告消息中的修订号,忽略这个数据包;修订号小于通告消息中的修订号,发送通告请求消息。 子集通告消息:包含VLAN的详细信息。交换机上添加、删除或修改VLAN时,增加配置修订号,发送汇总通告,随后发送一条或多条子集通告消息。子集通告消息包含一个VLAN信息的列表。多个VLAN,发送多条子集通告消息。 通告请求消息:需要发送VTP通告请求消息:交换机重启、 VTP域名被修改、交换机收到修订号较大的VTP汇总通告消息。收到通告请求消息后, VTP设备发送一条汇总通告消息,再发送一条或多条子集通告消息。 (6)VTP配置 Switch(config)#vtp mode server Switch(config)#vtp domain domain_name Switch(config)#vtp version 2 Switch(config)#vtp password password_string (7)VTP验证 show vtp status show vtp counters show vtp password5、VLAN间路由 (1)提供VLAN间路由选择功能的设备:三层交换机、路由器。 路由器:单臂路由;多层交换机:路由端口或SVI交换机虚拟接口。 (2)使用路由器实现VLAN间路由 注意点:交换机和路由器之间链路为trunk;路由器的物理链路至少应该是FastEthernet或者更快的链路。 ? 单臂路由配置: Router(config)#interface fastethernet00 Router(config-if)#no shutdown Router(config)#interface fastethernet00.1 Router(config-subif)#description VLAN1 Router(config-subif)#encapsulation dot1q 1 native Router(config-subif)#ip address 10.1.1.1 255.255.255.0 Router(config-subif)#interface fastethernet00.2 Router(config-subif)#description VLAN2 Router(config-subif)#encapsulation dot1Q 2 Router(config-subif)#ip address 10.2.2.1 255.255.255.0 Router(config-subif)#exitswitch(config)#interface fastethernet 42 switch(config)#switchport trunk encapsulation dot1q switch(config)#switchport mode trunk switch(config)#end (3)SVI接口实现VLAN间路由 ? SVI接口配置: switch(config)#ip routing switch(config)# interface vlan 10 switch(config-if)#ip address 10.1.10.1 255.255.255.0 switch(config-if)#no shutdown switch(config)# interface vlan 20 switch(config-if)#ip address 10.1.20.1 255.255.255.0 switch(config-if)#no shutdown 使用SVI接口实现VLAN间路由,默认情况下, SVI接口满足下列条件,那么该接口处于Up状态: 存在这个VLAN; 存在这个VLAN接口,并且状态不是管理性关闭; 交换机上至少一个二层端口,这个VLAN至少有一条链路处于启用状态。 (4)在多层交换机上配置路由端口 Catalyst 3550和4500系列交换机默认都是用二层接口,Catalyst 6500系列交换机默认使用三层接口。 配置: switch(config)#interface gigabitethernet11 switch(config)# no switchport switch(config-if)#ip address 10.10.1.1 255.255.255.0 switch(config-if)#no shutdown (5)VLAN间路由验证 show ip interface interface_type_port | svi_number show interface interface_type_port | svi_number show running interface_type_port | svi_number show vlan show interface trunk ping6、交换机的管理地址 ? 限制远程管理源地址 switch(config)# access-list 99 permit host 192.168.1.100 switch(config)# line vty 0 4 switch(config-line)# access-class 99 in7、802.1Q Tunneling(QinQ) ????8、生成树协议 (1)二层转发特征:转发时不用修改数据帧中的信息,MAC地址学习是基于源地址的学习方式,转发广播帧,泛洪未知单播帧,直接转发已知单播帧。 (2)STP作用:逻辑上打破二层环路,保持冗余链路。 (3)STP步骤:在一个广播域中选一个根桥,选择所有非根桥的根端口,选择各个网段的指定端口,阻塞所有非指定端口。 根桥的选举:BPDU每2S发送一次,Bridge ID=Bridge Priority + MAC address,选择最小的Bridge ID。 有两种类型的BPDU:Config BPDU和TCN BPDU。 ? 根桥的选举配置:配置交换机成为根桥,宏命令 ------衍生出来具体配置。 Switch(config)#spanning-tree vlan 1 root primary 配置交换机成为备份根桥 Switch(config)#spanning-tree vlan 1 root secondary 配置交换机的优先级 Switch(config)#spanning-tree vlan 1 priority priority 配置交换机的端口优先级(0-255,默认为128) Switch(config-if)#spanning-tree vlan 2 port-priority 1 选择所有非根桥的根端口,即离根最近的接口,考虑:1)到达根桥开销最低的接口,2)BID最小的端口,3)Port ID最小的端口。 ? 选择各个网段的指定端口,在所有链路上选举一个离根最近的接口,考虑:1)到达根桥开销最低的接口,2)BID最小的端口,3)Port ID最小的端口。 未指定的端口为非指定端口。 ?? (4)802.1D STP Topology Change使用TCN BPDU,有3种情况会发送TCN BPDU 从Forwarding或Listening的端口过渡到Blocking; 端口进入到Forwarding,并且网桥已经有DP端口; 非根网桥在他的DP端口接收到TCN。 ?? 9、快速生成树协议(802.1W RSTP) (1)802.1D STP能够在大约1分钟之内恢复连接,而802.1W STP能够快速的收敛。 原理:RSTP会选择一台交换机作为连接到活动拓扑的生成树的根,并为交换机上的不同端口分配端口角色,在出现故障之后,交换机之间实施明确的握手协议,完成快速的收敛。 ?? (2)配置边缘端口使用: spanning-tree portfast命令。 (3)RSTP拓扑变更机制原理 根网桥知道网络拓扑发生变更时,设置BPDU的TC标志; 此BPDU传输给网络中的所有网桥; 网桥接收到TC置位的BPDU后,将桥接表的老化时间 300s降低到转发延迟的秒数15s。 只有当非边缘端口从阻塞状态到转发状态的时候才会导致拓扑变更.与802.1D不同,连接丢失并不会产生拓扑的变更。 换句话说, 如果某个状态进入阻塞状态将不会导致相应的网桥产生TC BPDU。 (4)Cisco Catalyst交换机支持下列3类生成树:PVST+,RPVST+,MST,默认交换机为PVST+。 RPVST+为每个VLAN运行一个独立的生成树实例,需要通过BID字段来承载VLAN ID信息,使用扩展系统ID。 (5)RPVST+生成树的配置和验证 配置模式: Switch(config)# spanning-tree mode rapid-pvst 指定root secondary root: Switch(config)#spanning-tree vlan 1 root primary Switch(config)#spanning-tree vlan 1 root secondary 指定交换机的优先级: Switch(config)#spanning-tree vlan 1 priority priority 查看: show spanning-tree vlan vlan-id 10、多生成树 ? MST区域 MST区域是指一组相互连接,并且具有相同MST配置的网桥,VLAN到MST的分组必须在同一个MST区域的所有网桥中保持一致。拥有不同MST配置的网桥或运行802.1D协议的传统网桥则可以看做位于不同的MST区域中。 MST的配置中包括如下属性: 包含数字和字母的配置名称;配置修订号;VLAN映射表。 ? MST的配置 指定模式:Switch(config)#spanning-tree mode mst 配置参数: Switch(config)#spanning-tree mst configuration Switch(config-mst)#name name Switch(config-mst)#revision rev_num Switch(config-mst)#instance inst vlan range 配置MST的primary 和 secondary roots: Switch(config)#spanning-tree mst instance_number root primary|secondary MST验证: show spanning-tree mst instance_number detail show spanning-tree mst configuration 11、生成树特性 (1)PortFast ? 配置: Switch(config-if)#spanning-tree portfast 全局启用: Switch(config)#spanning-tree portfast default 接口禁用: Switch(config-if)#no spanning-tree portfast (2)UplinkFast 用于检测直连故障,使接口状态从Blocking到ForwardingBPDU Guard优先级,若同时启用两者,则BPDU Filter生效 查看: show spanning-tree summary show spanning-tree interface interface-id detail (6)Root Guard 启用根防护的端口不能成为根端口,将成为指定端口,当该端口接收到更好的BPDU时,根防护特性就会使接口进入root-inconsistent的阻塞状态。 root-inconsistent状态等效于监听状态。当root-inconsistent端口不在接收到更优 的BPDU时,它会自动恢复。 配置 Switch(config-if)#spanning-tree guard root 查看 show running-config interface interfac-id show spanning-tree inconsistentports (7)LOOP Guard ? loop-inconsistent状态的端口重新接收到了BPDU,根据接收到的BPDU过渡到STP状态,为自动恢复过程。 配置: Switch(config-if)#spanning-tree guard loop Switch(config)#spanning-tree loopguard default 查看: show spanning-tree interface interface-id detail (8) UDLD UDLD能够检测并禁用单向链路,是一个二层协议,与一层机制协同工作,启用UDLD后,交换机会定期向邻居发送UDLD协议包,并要求定期收到回应,否则判断为单向链路,并且关闭该端口,数据包中包含设备ID,端口ID,邻居设备ID和端口ID信息。模式分为:Normal mode和Aggressive mode。 Normal mode: 只能检测光口,未接收到UDLD消息时,端口状态为 undetermined状态产生系统日志,但并不影响流量转发。 Switch(config)# udld enable Switch(config-if)# udld port Aggressive mode: 检测光口和电口,未接收到UDLD消息时,就会与邻居重新建立连接关系,连续尝试了8次都失败后,端口就会成为err-disable状态。 Switch(config)# udld aggressive Switch(config-if)# udld port aggressive (9)Flex Flex链路是一种二层的可用性特性,是STP的一种替代解决方案。在关闭了STP的情况下,仍然可以实现基本的链路冗余。可让收敛时间降低到50毫秒以下。 ? Flex链路定义了一对主用备用链路,Flex链路是一对接口,可以是switchport接口、 port-channel接口。主用链路和备用链路的类型(fast ethernetgigabit ethernet portchannel)不强求一致。Flex链路端口上禁用STP,所以STP没有启用时,要确保配置拓扑中没有环路,接口只属于一个Flex链路。 配置: Switch(config-if)# switchport backup interface interface-id 配置一例: Switch(config)# interface f01 Switch(config-if)# switchport backup interface f02 查看 show interface switchport backup 12、高可用性 (1)EtherChannel 为了适应园区网业务的发展、速率的提高,我们可以采用多种方式提高园区网络中的数据传输速度。 使用端口速率更快的端口,如1Gbits或10Gbits。 增加两边交换机上物理链路的数量。 EtherChannel:EtherChannel是将多个快速以太网端口或吉比特以太网端口分组到一个逻辑通道中。 PAgP:思科私有协议。 ?? LACP:IEEE 802.3ad标准协议。 ?? 注意事项: 可以最多将8条物理链路捆绑为一条逻辑的EtherChannel链路,同一条EtherChannel链路不能向不同的交换机发送流量,一条EtherChannel连接的两台设备配置必须相同,管理员配置EtherChannel接口时,同时影响所有分配了该接口的端口,同一个EtherChannel的所有接口要配置相同的速率和双工模式,EtherChannel的接口配置允许相同的VLAN,EtherChannel不能作为SPAN中的目的端口,IP地址配置在port-channel端口上。 二层EtherChannel配置: Switch(config)#interface range interface slotport - port Switch(config-if-range)#channel-protocol {pagp | lacp} Switch(config-if-range)#channel-group number mode {active | passive | on | desirable | auto} 三层EtherChannel配置: Switch(config)# interface range interface slotport - port Switch(config-if)#no switchport Switch(config-if)# channel-group number mode {active | passive | on | desirable | auto} Switch(config)#interface port-channel port-channel-number Switch(config-if)#no switchport Switch(config-if)#ip address address mask 查看 show running-config interface port-channel num Switch#show running-config interface interface xy 负载分担: Switch# show etherchannel load-balance Switch(config)#port-channel load-balance type 负载分担类型: • src-mac • dst-mac • src-dst-mac • src-ip • dst-ip • src-dst-ip • src-port • dst-port (2)设备冗余——Supervisor Engine Supervisor Engine:提供多层交换数据的处理转发 Catalyst 4500只能在4057R-E和4510R-E机箱中部署 Catalyst 6500系列交换机可以在所有型号的机箱中部署 ? Supervisor Engine支持下列冗余特性 RPR(路由处理器冗余性)和RPR+(仅用于Catalyst6500) SSO(状态化故障倒换) NSF(不间断转发)结合SSO (3)设备冗余——Power Supplies Power Supplies两种模式:主备供电和同时供电。 Power Supplies配置:Switch(config)#power redundancy-mode combined | redundant 查看:show power Switch(config)# No power enable module 5 -> 模块关电 Switch(config)# Power cycle module 5 -> 模块加电 (4)设备冗余——Fans&Hot-swappable (5)设备冗余——StackWise Switches Catalyst 3750支持堆叠,最高支持9个3750,独立的堆叠端口,专用互连电缆,自动配置和IOS版本检测,采用背板堆叠方式,优点:高密度端口,便于管理。 堆叠要求:相同的IOS版本(推荐加密版本),最多9台交换机做堆叠,通过1个地址管理堆叠。 物理连接:物理连接好堆叠线缆,连接方法为Master的Stack1连接到Slave的Stack2上面。先开Master,等完全启动后再开Slave。不作任何的配置。 以三个交换机堆叠为例: 交换机1: ws-c3750g-12s,交换机2: ws-c3750g-24ts,交换机3: ws-c3750g-48ts。 交换机1做为主交换,配置如下: Switch(config)# switch 1 provision ws-c3750g-12s Switch(config)# switch 1 priority 15 Switch(config)# switch 2 provision ws-c3750g-24ts Switch(config)# switch 2 priority 14 Switch(config)# switch 3 provision ws-c3750g-48ts Switch(config)# switch 3 priority 13 Switch(config)# sdm prefer desktop Switch(config)# copy running-config startup-config (6)虚拟交换系统——Virtual Switching System 虚拟交换系统将两台交换机虚拟组合成单一交换机,中间采用虚拟交换链路( VSL) 互连,对外来看只有一台交换机,管理冗余链路如同管理一个单一接口。互连交换机通过链路聚合链接到VSS的两台交换机。VSS利用MEC技术在捆绑的逻辑端口上实现冗余和负载均衡。使得下游交换机好像与一台交换机进行互联。VSS和下联交换机之间形成了一个无环的二层网络结构,不再需要生成树协议,也减少了3层路由邻居,简化了网络的配置和操作。 ? 开启VSS时,两台VSS成员设备通过相互协商,一个成为Active状态,另一个成为Standby状态。Active状态设备用于控制整个VSS, Standby状态设备将控制流量通过VSL交由Active统一处理。两台设备同时转发数据层面流量。VSL是一条特殊的链路,用于VSS系统中的两台设备间传输控制流量和数据流量。VSL最多支持八条10GE捆绑,利用Etherchannel技术实现负载和冗余。其中的控制流量优先级高于数据流量。Standby设备使用VSL监控Active设备,检测到Active故障时, Standby设备将把自己转换成Active状态。 配置: Switch1: Switch1(config)# switch virtual domain 100 指定交换机1为VSS100区域内的设备 Switch1(config-vs-domain)# switch 1 指定VSS区域内该交换机的ID Switch2: Switch2(config)# switch virtual domain 100 指定交换机2为VSS100区域内的设备 Switch2(config-vs-domain)# switch 2 指定VSS区域内该交换机的ID Switch12: Switch(config)# interface port-channel 10 启动逻辑接口 Switch(config-if)# switch virtual link 1 配置交换ID1使用该逻辑接口 Switch(config)# interface range tenGigabitEthernet 11-2 进入需要加入逻辑接口的物理接口 Switch(config-if)# channel-group 10 mode on 物理接口绑定逻辑接口 Switch# platform hardware vsl pfc mode pfc3c 将PFC模式转换成PFC3C(可选) Switch# switch convert mode virtual 转换交换模式为虚拟交换 13、FHRP首跳冗余性协议 链路冗余技术有:EtherChannel、STP、FHRP(首跳冗余性协议):HSRPVRRPGLBP (1)FHRP首跳冗余协议,提供了默认网关的冗余性,主要方法是让一台路由器充当活跃的网关路由器,而另一台或多台其他路由器则处于备用模式。FHRP包括 HSRPVRRPGLBP,网关的识别要达成一致。虚拟的IP地址。 (2)HSRP(Host Standby Route Protocol) HSRP是Cisco私有,该协议定义了一组路由器,这组路由器共享IP地址和MAC地址,模拟出一台虚拟的路由器。 ? HSRP组路由器角色:一台active路由器,一台standby路由器,一台virtual路由器和其他路由器。active和standby向组播地址224.0.0.2 UDP 1985端口发送Hello消息。 active路由器:转发所有发送到虚拟路由器MAC地址的数据包,使用以虚拟路由器MAC地址回应ARP请求。 standby路由器:监听周期性Hello消息,当active路由器发生故障后,取代active路由器的角色。不响应ARP请求。Hello时间=3s,Hold时间=10s。 HSRP状态: Initial:路由器还未运行HSRP,路由器配置发生变化或接口刚进入UP状态。 Listen:该路由器知道虚拟IP地址,当不是active和standby路由器,监听那些路由器发出的Hello消息。 Speak:该路由器周期性发送Hello消息,并且积极参与到活跃路由器或备用路由器的选举中,知道虚拟IP地址。 Standby:该路由器为下一个活跃路由器的候选者,周期性发送Hello消息,只有一台处于standby状态。 Active:该路由器负责转发所有发送到组虚拟MAC地址的数据包,周期性发送Hello消息,只有一台处于active状态。 ? HSRP配置: 启用HSRP,并指定虚拟IP: Switch(config-if)#standby group-number ip ip-address 禁用HSRP: Switch(config-if)#no standby group-number ip ip-address HSRP理论最多支持255个组,实际只支持16个。 配置优先级和抢占: Switch(config-if)#standby group-number priority priority-value Switch(config-if)#standby group-number preempt {delay} 优先级范围0~255,默认值为100,优先级高的路由器成为active路由器,优先级相同时, IP地址大的路由器成为active路由器。 配置HSRP认证: Switch(config-if)#standby group-number authentication password 配置HSRP接口追踪: 接口追踪能够使备用组路由器根据某个路由器接口的可用性状态,来自动调节优先级。 Switch(config-if)#standby group-number track interface-type interface-number interface-priority 当接口失效后,优先级减少量,当接口恢复后,优先级增加量,默认值为10。 配置HSRP对象追踪: Switch(config-if)#standby group-number track track-group decrement priority Switch(config)#track track-group ? interface ip list rtr 简单配置: Standby 1 ip 192.168.1.1(配置虚拟IP) Standby 1 priority 150(越高越好,默认为100) Standby 1 preemt(抢占,默认没有) Standby 1 track f01 60(跟踪上行端口,优先级减少60) 查看验证: show standby show standby brief debug standby ? (3)VRRP 利用VRRP(虚拟路由器冗余协议)一组路由器协同工作,但只有一个处于激活 状态。在一个VRRP组内的多个路由器共用一个虚拟的IP地址,该地址被作为局域网内所有主机的缺省网关地址。 VRRP协议决定哪个路由器被激活,该被激活的路由器负责接收发过来的数据包并进行路由。 VRRP名词 VRRP路由器 运行VRRP协议的路由器,一台VRRP路由器可以同时参与到多个VRRP组中,在不同的组中,一台VRRP路由器可以充当不同的角色。 VRRP组(VRID) 由多个VRRP路由器组成,属于同一VRRP组的VRRP路由器互相交换信息,每一组由一个VRID标识。 虚拟路由器 对于每一个VRRP组,抽象出来的一个逻辑路由器,该路由器充当网络用户的网关。 虚拟IP地址、 MAC地址 用于标示虚拟的路由器,该地址实际上就是用户的默认网关,MAC地址为虚拟的。 MASTER、 BACKUP 路由器 MASTER 路由器:就是在 VRRP 组实际转发数据包的路由器,在每一个VRRP组中,仅有MASTER响应对虚拟IP地址的ARP请求。 BACKUP 路由器:就是在 VRRP 组中处于监听状态的路由器,一旦MASTER 路由器出现故障, BACKUP 路由器就开始接替工作。 只有处于活动状态的设备才可以转发那些发送到虚拟IP地址的报文。 VRRP的三个状态 初始状态(Initialize):路由器刚刚启动时进入此状态,通过VRRP报文交换数据后进入其他状态。 活动状态(Master): VRRP组中的路由器通过VRRP报文交换后确定的当前转发数据包的一种状态。 备份状态(Backup): VRRP组中的路由器通过VRRP报文交换后确定的处于监听的一种状态。 VRRP报文 VRRP路由器之间使用组播进行消息传输,VRRP报文使用的IP组播地址是224.0.0.18。VRRP报文承载在IP报文之上,使用协议号112 。 定时器Timers: Advertisement Interval: 由主路由器按照Advertisement Interval定义的时间间隔来发送 VRRP 通告报文,默认为1s。在备份路由器上可以手动配置,但必须与主路由器相同,也可以从主路由器学习到这个时间间隔。 Master_Down Timer: Backup 路由器认为Master路由器down机的时间间隔。默认情况下等于:3*hello+skew time,(skew time=((256-pri)256) ms)这个时间是确保优先级更好的备份路由器成为新的master路由器。 ? Preempt 抢占模式: 抢占模式主要应用于保证高优先级的路由器在接入网络时成为活动路由器。如果抢占模式关闭,高优先级的备份路由器不会主动成为活动路由器,即使活动路由器优先级较低,只有当活动路由器失效时,备份路由器才会成为主路由器。默认情况下,VRRP抢占模式都是开启的。(HSRP默认不开启抢占) Track: 监视某个接口,并根据所监视接口的状态动态地调整本路由器的优先级。 VRRP配置: 配置R1: R1(config)#interface F10 R1(config-if)#ip address 192.168.1.253 255.255.255.0 R1(config-if)#vrrp 1 ip 192.168.1.254 R1(config-if)#vrrp 1 priority 105 默认时的PRIORITY为100, 1-254 R1(config-if)#vrrp 1 preempt R1(config-if)#vrrp 1 track fa10 配置R2: R2(config)#interface F10 R2(config-if)#ip address 192.168.1.252 255.255.255.0 R2(config-if)#vrrp 1 ip 192.168.1.254 R2(config-if)#vrrp 1 preempt R2(config-if)#vrrp 1 track fa10 ? (4)GLBP HSRP和VRRP能够实现网关的快速复原,但对于冗余性组中的备用成员来说,处于备用模式时,是无法使用上行链路带宽的。 GLBP是Cisco私有的解决方案,可在多台网关之间进行自动故障倒换,可同时使用多台可用网关。 GLBP功能: GLBP AVG(活跃虚拟网关):一个GLBP组中只有一台为AVG,其他的为AVG的备用网关, AVG的作用是为GLBP组中的每个成员分配一个虚拟MAC地址。 GLBP AVF(活跃虚拟转发者):一个GLBP组中的所有路由器都为AVF,负责转发到该虚拟MAC地址的数据包。 GLBP 通信: GLBP每3s向组播地址224.0.0.102 UDP 3222端口发送Hello数据包。 GLBP特性:负载分担、多虚拟路由器、抢占、有效的资源利用。 GLBP配置: ?? 14、高级特性 (1)DHCP DHCP流程: ? DHCP配置: Router(config)#ip dhcp pool • Enables a DHCP pool for use by hosts Router(config-dhcp)#default-router • Specifies the default router for the pool to use 默认网关 Router(config-dhcp)#network • Specifies the network and subnet mask of the pool Router(config-dhcp)#dns-server • Specifies the DNS Server for the pool to use Router #show ip dhcp binding Router (config-if)# ip address dhcp Enables a Cisco IOS device to obtain an IP address dynamically from a DHCP server IP Helper: Router(config-if)# ip helper-address address Changes destination address from broadcast to unicast or directed broadcast address Router(config)# ip forward-protocol { udp } ? DHCP验证: router# show ip dhcp database • Displays recent activity on the DHCP database router# show ip dhcp server statistics • Shows count information about statistics and messages sent and received router# debug ip dhcp server {events | packets | linkage} • Enables debugging on the DHCP server (2)Syslog 思科设备会产生系统日志或系统记录消息,这些消息能够输出到设备控制台, VTY连接,系统缓冲区,远程日志服务器。如果发送到syslog服务器,消息被发送在UDP端口514。 你可能熟悉syslog消息: %SYS-5-CONFIG_I: Configured from console by console; 系统日志格式: %FACILTY-SUBFACILITY-SEVERITY-MNEMONIC: message text %SYS-5-CONFIG_I: Configured from console by console; 说明:FACILITY-SUBFACILITY: 描述哪个协议、模块或者进程产生的信息, 如SYS—系统进程SEVERITY: 设备上的事件级别分为0到7总共8个级别 0 Emergency 紧急 、 1 Alert: 警报 、 2 Critical: 批判 、 3 Error: 错误、 4 Warning: 警告、 5 notifications:通知、 6 Informational:信息 、 7 Debugging:调试MNEMONIC: A code that identifies the action reported;A plain-text: 描述产生日志信息的事件内容(3)SNMP 简单网络管理协议 SNMP Simple Network Management Protocol:简单网络管理协议。 应用于管理软件与设备之间交流的协议。由一组网络管理的标准组成,该协议能够支持网络管理系统,用以监测连接到网络上的设备是否有任何引起管理上关注的情况。 SNMP定义为应用层协议,因而它依赖于UDP数据报服务。 SNMP管理的网络由下列三个关键组件组成: 网络管理系统(NMS, Network-management systems):安装了管理软件的主机。 被管理的设备(managed device) 代理者(agent):在配置SNMP时,配置了SNMP的网络设备。 SNMP代理将自己的状态信息发送给SNMP管理,SNMP将其整理后,通过图形界面汇报给用户,并且SNMP管理上的相关软件被称为NMS(网络管理系统)。 在SNMP代理与SNMP管理之间,SNMP代理使用UDP 162(Trap报文),SNMP管理使用UDP 161。 网络管理系统从代理收集网络设备信息的方式: 定期轮询、 Trap报文。 ? MIB: Management Information Base:管理信息库,存储在本地设备的信息,SNMP代理的所有硬件信息和软件信息,就全部存储在MIB里面。 Cisco设备MIB库下载地址: http:tools.cisco.comITDITMIBSMainServlet SNMP版本分为: V1、 V2、 V3 SNMPv1在SNMP代理与SNMP管理之间提供的安全机制是使用密码的方式,只有拥有相应密码的NMS,才能够对SNMP代理进行操作。这种密码也分了级别,可以分别定义相应密码是否具有读权限或者是否同时具有读和写的权限。这样的密码被称为community。版本1不仅提供密码认证的方式。利用ACL的方式来限制只有某些主机能够对其进行访问。 V1和V2版本以明文的形式发送共同体认证,不能验证消息的来源或加密消息,因此只能用于只读访问。SNMPv3增加了三个安全级别: noAuthNoPriv:不验证也不加密,authNoPriv:验证发送方但不加密消息, authPriv:验证发送方和加密消息。 为保证网络管理信息的安全,代理必须对多个管理站进行本地MIB的访问控制。SNMP用 Community 来定义一个Agent和一组Manager间的认证、访问控制和代管关系,提供初步的安全能力。 ? SNMPv1局限性: 1)基本的SNMPv1标准只提供简单的团体名认证机制。因此大多数厂商仅仅提供有限的或者索性不支持Set操作。基本的SNMPv1更适合于对网络进行监视而不是控制。 2)SNMPv1的Trap报文是没有没有应答的,管理站是否收到陷入报文,代理不得而知。这样可能丢掉重要的管理信息。 3)SNMP不适合检索大量数据,例如检索整个表中的数据。 4)SNMP的管理信息库MIB-2支持的管理对象是很有限的,不足以完成复杂的管理功能。 5)SNMP不支持管理站之间的通信。对于大型网络管理,SNMPv1的查询机制可能导致大量的管理信息,占用过多的网络资源。 ? SNMPv2: SNMPv2既可以支持完全集中的网络管理,又可以支持分布式网络管理。 在分布式情况下,有些系统既是管理站又是代理。 作为代理系统,它可以接受上级管理系统的查询命令,提供本地存储的管理信息; 作为管理站它也可以要求下级代理系统提供有关被管理设备的汇总信息。 此外,中间管理系统可以向它的上级系统发出陷入报告。 SNMPv2的增强主要在以下3方面: 管理信息结构的扩充。 管理站和管理站之间的通讯能力。 新的协议操作。 SNMPv1的响应是原子性的,即只要有一个变量的值检索不到,就不返回任何值。而SNMPv2的响应不是原子性的,允许部分响应。 SNMPv2c: SNMPv2c的认证方式和SNMPv1是一样的。 SNMPv2c没有达到商业级别的要求: 1)提供数据源标识 2)报文完整性认证 3)防止重放 4)报文机密性 5)授权和访问控制 ? Inform:管理站发送给管理站的消息。 SNMPv3: SNMPv3针对SNMPv2的最大改进主要在安全性和管理能力两个方面。 SNMPv3提供的认证方式是使用用户名和密码的方式,并且密码可以是MD5加密的。 SNMP报文将使用DES加密来避免信息泄漏。 SNMP管理端与SNMP Agent通讯时必须要通过认证来保证身份的正确性、信息的完整性。 SNMPv3增加了三个安全级别: 1)noAuthNoPriv:不验证也不加密 2)authNoPriv:验证发送方但不加密消息 3)authPriv:验证发送方和加密消息 Trap: 当设备上发生了各种事件之后,产生的MIB信息由SNMP代理主动向NMS发送。 NMS即使收到了,也不需要向SNMP代理发送确认消息 。而Trap自己发送完毕之后,这些MIB信息会马上删除,不会驻留在内存里面。 Informs: 当设备发生事件后,这些信息并不会主动向NMS通告,除非NMS发送request来查询,然后才会发出去,已经发出去的informs在发送之后是会保留在内存里面的。 当NMS收到informs之后必须向SNMP代理发送确认消息,如果不发送确认消息,SNMP代理会重复多次发送informs。从上可以看出informs具有可靠性。 轮询: SNMP 管理定期轮询SNMP代理的MIB数据库。 Get:查询设备信息,发送的数据包被称为get。 Set:更改设备的配置,被称为set。 SNMP 配置: Set SNMP administrator contact snmp-server contact snmp@spoto.net Read-only access with this community string snmp-server community SPOTO RO Read-write access with this community string snmp-server community SPOTO RW Use IETF standard for SNMP traps snmp-server trap link ietf Set SNMP Trap Server IP and community string snmp-server host IP SPOTO snmp-server enable trapsip access-list standard NMS permit 30.30.55.240snmp-server community CiscoWorks RW NMS 使用共同体认证到NMSsnmp-server enable traps bgp 开启bgp的trab报文snmp-server host 30.30.55.240 CiscoWorks bgp snmp-server location San Jose,USsnmp-server contact ccie@cisco.comsnmp-server view adminview iso included snmp-server view adminwrite system included snmp-server user ccie admin v3 auth md5 ciscoaccess-list 17 permit YY.YY.17.0 0.0.0.255snmp-server group admin v3 priv read adminview write adminwrite access 17 access-list 67 permit YY.YY.67.0 0.0.0.255snmp-server community nms 67no snmp-server group nms v1 snmp-server trap-source Loopback0SNMP 协议的优缺点: 优点: 简单、容易实现; 基于SGMP协议,已有相当多的操作经验。 缺点: 没有实质性的安全设施; 无数据源的认证功能,不能防止偷听。 SNMP协议轮询的方式在一个大型网络中可能会导致网络通信拥塞情况的发生,并且SNMP协议把采集数据的负担完全压在了管理端之上。 SNMP Agent无法提供某个数据的历史记录。 SNMP协议不能以一种统一通用的数据描述格式保存所有被管理设备的标识、状态和配置等信息。 (4)SPAN SPAN(交换机端口分析器)技术主要是用来监控交换机上的数据流,利用SPAN技术我们可以把交换机上某些想要被监控端口(受控端口)的数据流COPY或MIRROR一份,发送给连接在监控端口上的流量分析仪,比如CISCO的IDS或是装了Sniffer工具的PC。 SPAN配置 配置本地SPAN: Switch(config)# monitor session 1 source interface f010 设定SPAN的受控端口 Switch(config)# monitor session 1 destination interface f020 设定SPAN的监控端口 监测命令: Switch#show monitor session 1 (5)报文分析 ?? 15、交换安全 (1)二层攻击分类:MAC层攻击、VLAN攻击、欺骗攻击和交换机设备上的攻击。 MAC层攻击 ? MAC层攻击防御措施:端口安全 基于端口建立接入规则,接入规则有: 端口MAC最大个数、端口+MAC、端口+MAC+VLAN、端口+IP、端口+IP+MAC+VLAN 安全违例产生于以下情况: • 如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数。 • 如果该端口收到一个源地址不属于端口上的安全地址的包。 当安全违例产生时,你可以选择多种方式来处理违例: • Protect: 当安全地址个数满后,安全端口将丢弃违规地址的包, 不发SNMP Trap信息。 • Restrict: 当违例产生时,安全端口将丢弃未知名地址,同时发送一个SNMP Trap通知。 • Shutdown: 当违例产生时,将关闭端口,并发送一个SNMP Trap通知。 端口安全配置: 打开端口安全功能 switch(config-if)#switchport port-security 配置最大MAC地址数 switch(config-if)#switchport port-security maximum 3 配置MAC地址静态绑定 switch(config-if)#switchport port-security mac-address 001a.a900.0001 配置MAC地址粘滞,状态接口上所有通过动态学习到的MAC,将被转成sticky mac address,形成安全地址。命令配置后新学习到的MAC地址,也属于sticky。 switch(config-if)# switchport port-security mac-address sticky 配置违例处理方式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown} 查看端口安全: show port-securtity show port-securtity interface f01 show port-securtity address VLAN攻击 ?? VLAN攻击防御措施:缓解VLAN跳转攻击 将所有未使用的端口设置为Access端口,使其无法协商链路聚集协议。将所有未使用的端口设置为Shutdown状态,并放入同一个VLAN中。在建立Trunk链路时,将链路聚集协议设置成Nonegotiate。在Trunk链路上配置所需要承载的具体VLAN。Native VLAN与任何数据VLAN都不相同。 配置: switch(config)# mac access-list extended BACKUP-SERVER switch(config-ext-mac)# permit any host 0000.1111.4444 switch(config)# access-list 100 permit ip 10.1.9.0 0.0.0.255 any switch(config)# vlan access-map XYZ 10 switch(config-map)# mactch ip address 100 switch(config-map)# action drop switch(config-map)# vlan access-map XYZ 20 switch(config-map)# match mac address BACKUP-SERVER switch(config-map)# action drop switch(config-map)# vlan access-map XYZ 30 switch(config-map)# action forward switch(config)# vlan filter XYZ vlan-list 10,20 VLAN攻击防御措施:PVLAN Private VLAN(私有VLAN, PVLAN) 是能够为相同VLAN内不同端口提供隔离的VLAN。PVLAN可以将一个VLAN的二层广播域划分成多个子域,每个子域都由一对VLAN组成: Primary VLAN(主VLAN)和Secondary VLAN(辅助VLAN组成)。 ? 主VLAN: 主VLAN是PVLAN的高级VLAN,每个PVLAN中只有一个主VLAN。 辅助VLAN: 辅助VLAN是PVLAN中的子VLAN,并且映射到一个主VLAN。每台接入设备都连接到辅助VLAN。 隔离VLAN(Isolated VLAN):同一个隔离VLAN中的端口互相不能进行二层通信,一个私有VLAN域中只有一个隔离VLAN。 团体VLAN(Community VLAN):同一个团体VLAN中的端口可以进行二层通信,但是不能与其他团体VLAN中的端口进行二层通信,一个私有VLAN中可以有多个团体VLAN。 PVLAN的端口类型: 混杂端口(Promiscuous):混杂端口为主VLAN中的端口,可以与任意端口通信,包括同一个PVLAN中的隔离端口和团体端口。 孤立端口(Isolated):隔离端口为隔离VLAN中的端口,隔离端口只能与混杂 端口进行通信。 团体端口(Community):团体端口为团体VLAN中的端口,同一个团体VLAN中的团体端口之间可以互相通信,并且团体端口可以与混杂端口通信,但是不能与其他团体VLAN的端口进行通信。 配置PVLAN: 将VTP模式设置为透明模式。 创建辅助VLAN。 创建主VLAN。 将辅助VLAN和主VLAN进行关联,其中,主VLAN中只能关联一个孤立VLAN,但是可以关联多个团体VLAN。 将一个接口配置为孤立端口或团体端口。 将这个孤立端口或团体端口关联给主-辅助PVLAN对。 将一个接口配置为杂合端口。 将这个杂合端口映射到主–辅助PVLAN对。 ? PVLAN示例: 创建Primary VLAN及Secondary VLAN SW(config)#vlan 100 SW(config-vlan)#private-vlan primary SW(config-vlan)#vlan 201 SW(config-vlan)#private-vlan community SW(config-vlan)#vlan 202 SW(config-vlan)#private-vlan isolated 关联Primary VLAN及Secondary VLAN SW(config)#vlan 100 SW(config-vlan)#private-vlan association 201-202 将端口f05设置为Promiscuous Port并映射Secondary VLAN: SW(config)#int f05 SW(config-if)#switchport mode private-vlan promiscuous 设置端口为混杂模式 SW(config-if)#switchport private-vlan mapping 100 201-202 使用mapping关联主VLAN和能够访问的私有VLAN 将端口f01-2设置为Host Port并映射community VLAN: SW(config)#int range f01-2 SW(config-if)#switchport mode private-vlan host 设置端口为host模式 SW(config-if)#switchport private-vlan host-association 100 201 使用host-association关联主VLAN和所属的私有VLAN 将端口f03-4设置为Host Port并映射isolated VLAN: SW(config)#int range f03-4 SW(config-if)#switchport mode private-vlan host 设置端口为host模式 SW(config-if)#switchport private-vlan host-association 100 202 使用host-association关联主VLAN和所属的私有VLAN (3)欺骗攻击 ? DHCP侦听防御措施:DHCP snooping switch(config) # ip dhcp snooping switch(config) # ip dhcp snooping vlan 10 switch(config-if) # ip dhcp snooping limit rate 10 dhcp包的转发速率,超过就接口就shutdown,默认不限制 switch(config-if) # ip dhcp snooping trust 将端口变成信任端口,信任端口可以正常接收并转发DHCP Offer报文,默认交换机的端口都是非信任端口, 只能够发送DHCP请求 switch# show ip dhcp snooping 显示DHCP探测状态 ARP欺骗 ? ARP协议原理 ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。根据TCPIP层次模型,在以太网中,一个主机要和另一个主机进行直接通信,必须知道目标主机的MAC地址。在现实环境中,一般采用IP地址标示通信的对象,而ARP的功能就是将IP翻译成对应的MAC地址。 该协议是基于广播的,不可靠,ARP响应报文无需请求即可直接发送,这给攻击者留下巨大漏洞。 ARP欺骗防御措施: 如何判断是否存在ARP欺骗?网络突然不稳定,时断时续或网速突然很慢,使用arp –a,发现网关的MAC地址在变化。利用抓包进行报文分析,可以很快的定位ARP攻击源头。 解决办法: 手工绑定IP、 MAC。 PC上:arp –s ip地址 mac地址 网络设备上:arp ip地址 mac地址 arpa DAI(Dynamic ARP inspection) 通过DHCP Snooping功能将用户正确的IP与MAC写入交换机的DHCP Snooping表,使用DAI功能校验ARP报文的正确性。 应用场景:用户使用动态IP地址 缺点:DAI功能需通过CPU处理,大量的ARP报文可能导致CPU过高。 DAI 的配置: ip dhcp snooping vlan 10 Ip dhcp snooping ip arp inspection vlan 10 Interface f024 ip dhcp snooping trust ip arp inspection trust IP防欺骗和IP源防护 攻击防御配置: switch(config)# ip dhcp snooping switch(config)# Ip dhcp snooping vlan 1,10 switch(config)# Ip dhcp snooping verify mac-address switch(config)# Ip source binding 0000.000a.000b vlan 10 10.1.10.11 interface fa218 switch(config)# interface range fastethernet 21 ,218 switch(config-if)# switchport switch(config-if)# switchport mode access switch(config-if)# switchport port-security switch(config-if)#ip verify source vlan dhcp-snooping port-security (4)交换机设备攻击 ? DNP邻居发现协议 CDP 默认启用的二层协议, cisco私有 LLDP 默认禁用状态,与厂商无关的二层协议 switch(config)# no cdp run 或 switch(config-if)# no cdp enable switch#show cdp neighbor switch(config)# lldp run 或 switch(config-if)# lldp enable switch# show lldp neighbor 交换机设备攻击防御措施: SSH switch(config)# enable secret cisco 配置enable密码 switch(config)# username spoto password spoto 配置用户名和密码 switch(config)#ip domain-name spoto.net 配置主机名和域名 switch(config)#crypto key generate rsa general-keys 生成RSA密钥 switch(config)#line vty 0 15 switch(config-line)#login local switch(config-line)# transport input ssh 在线路上启用SSH传输
    来自:
    浏览:483
  • GPU 云服务器

    腾讯GPU 云服务器是提供 GPU 算力的弹性计算服务,具有超强的并行计算能力,作为 IaaS 层的尖兵利器,服务于深度学习训练、科学计算、图形图像处理、视频编解码等场景……
    来自:
  • FPGA 云服务器

    腾讯FPGA云服务器是基于FPGA硬件可编程加速的弹性计算服务,您只需几分钟就可以获取并部署您的FPGA实例。结合IP市场提供的图片,视频,基因等相关领域的计算解决方案,提供无与伦比的计算加速能力……
    来自:
  • 专用宿主机

    专用宿主机(CDH)提供用户独享的物理服务器资源,满足您资源独享、资源物理隔离、安全、合规需求。专用宿主机搭载了腾讯云虚拟化系统,购买之后,您可在其上灵活创建、管理多个自定义规格的云服务器实例,自主规划物理资源的使用。
    来自:
  • 黑石物理服务器2.0

    腾讯黑石物理服务器2.0(CPM)是一种包年包月的裸金属云服务,为您提供云端独享的高性能、无虚拟化的、安全隔离的物理服务器集群。使用该服务,您只需根据业务特性弹性伸缩物理服务器数量,获取物理服务器的时间将被缩短至分钟级。
    来自:
  • 容器服务

    腾讯云容器服务(Tencent Kubernetes Engine ,TKE)基于原生kubernetes提供以容器为核心的、高度可扩展的高性能容器管理服务。腾讯云容器服务完全兼容原生 kubernetes API ,扩展了腾讯云的云硬盘、负载均衡等 kubernetes 插件,为容器化的应用提供高效部署、资源调度、服务发现和动态伸缩等一系列完整功能,解决用户开发、测试及运维过程的环境一致性问题,提高了大规模容器集群管理的便捷性,帮助用户降低成本,提高效率。容器服务提供免费使用,涉及的其他云产品另外单独计费。
    来自:
  • 弹性伸缩

    腾讯弹性伸缩(AS)为您提供高效管理计算资源的策略。您可设定时间周期性地执行管理策略或创建实时监控策略,来管理 CVM 实例数量,并完成对实例的环境部署,保证业务平稳顺利运行。弹性伸缩策略不仅能够让需求稳定规律的应用程序实现自动化管理,同时告别业务突增或CC攻击等带来的烦恼,对于每天、每周、每月使用量不停波动的应用程序还能够根据业务负载分钟级扩展。
    来自:
  • 云函数

    云函数(Serverless Cloud Function,SCF)是腾讯云为企业和开发者们提供的无服务器执行环境,帮助您在无需购买和管理服务器的情况下运行代码。您只需使用平台支持的语言编写核心代码并设置代码运行的条件,即可在腾讯云基础设施上弹性、安全地运行代码。SCF 是实时文件处理和数据处理等场景下理想的计算平台。
    来自:

扫码关注云+社区

领取腾讯云代金券