正在浏览:
1 名游客
Cisco IOS Cookbook 中文精简版 |
||
---|---|---|
网站管理员
![]() ![]() 注册日期:
1970/1/1 8:00 所属群组:
网站管理员 注册会员 帖子:
56
等级: 6; EXP: 34
HP : 0 / 133 MP : 18 / 19495 ![]() |
需要回复才能查看内容.
2007/3/5 22:06
|
|
![]() |
回复: Cisco IOS Cookbook 中文精简版 |
||
---|---|---|
网站管理员
![]() ![]() 注册日期:
1970/1/1 8:00 所属群组:
网站管理员 注册会员 帖子:
56
等级: 6; EXP: 34
HP : 0 / 133 MP : 18 / 19495 ![]() |
需要回复才能查看内容.
2007/3/5 22:07
|
|
![]() |
回复: Cisco IOS Cookbook 中文精简版 |
||
---|---|---|
网站管理员
![]() ![]() 注册日期:
1970/1/1 8:00 所属群组:
网站管理员 注册会员 帖子:
56
等级: 6; EXP: 34
HP : 0 / 133 MP : 18 / 19495 ![]() |
第三章用户访问和权限管理
3.1. 设置用户名和密码 提问 为每个单独的人员设置不同的用户名和密码 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#username neoshi password ioscookbook (username weak nopassword) Router1(config)#aaa new-model Router1(config)#aaa authentication login local_auth local Router1(config)#line vty 0 4 Router1(config-line)#login authentication local_auth Router1(config-line)#exit Router1(config)#end Router1# 注释 设置单独的用户名和密码的好处就不用多说了,这里只提一个就是在日志中会显示谁做了修改,比如%SYS-5-RELOAD: Reload requested by kdooley on vty0 (172.25.1.1).另外在username这个命令里面还有一个autocommand的选项,实现登录以后自动执行某个特定的命令的作用,下面的例子就是一个用户名为run无密码,登录以后显示完端口状态就自动退出的例子,很好用吧 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#aaa new-model Router1(config)#aaa authentication login default local Router1(config)#aaa authorization exec default local Router1(config)#username run nopassword noescape Router1(config)#username run autocommand show ip interface brief Router1(config)#end Router1# 3.2. 加密密码 提问 加密密码从而在配置文件中不明文显示 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#enable password oreilly Router1(config)#line vty 0 4 Router1(config-line)#password cookbook Router1(config-line)#line con 0 Router1(config-line)#password cookbook Router1(config-line)#line aux 0 Router1(config-line)#password cookbook Router1(config-line)#exit Router1(config)#service password-encryption Router1(config)#end Router1# 注释 这种加密方式很弱,很容易被破解 3.3. Using Better Password-Encryption Techniques 提问 使用强度高的加密方式而不是思科缺省的加密技术 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#enable secret ORAbooks Router1(config)#end Router1# 在IOS 12.2(8)T后也可以对username的密码做高强度的加密 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#username ijbrown secret oreilly Router(config)#end Router# 注释 由于这种加密方式使用的是MD5所以破解难度相对增大了。对于enable secret的密码有个小技巧就是密码设定正常没有?,不过可以通过^V+?的方式来输入。 3.4. 移去配置文件中的密码信息 提问 不想在配置文件中显示密码 回答 使用脚本略去 注释 简单的用show tech命令也可以 3.5. 解密思科的弱密码 提问 破解思科缺省的密码算法 回答 使用脚本略去 注释 可以使用BOSON网站上的免费工具 3.6. 显示当前登录用户 提问 显示当前登录设备的用户 回答 Router1#show users (who) 注释 无 3.7. 发信息给其它用户 提问 试图发送信息给登录在同一设备的其它用户 回答 Router1#send * Router1#send console 0 Router1#send vty 2 Router1#send 66 注释 很好用的特性,比如当你重启的时候需要告诉别人,文本信息^+Z结束 3.8. 修改可用VTY数目 提问 增加或者减少可登录用户的数目 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#line vty 0 9 Router1(config-line)#exit Router1(config)#end Router1# 注释 缺省可登录vty数目为5,不能删除,对于增加的可以使用no line vty x 删除,不能不能删除单独的vty,是删除所有大于x的vty 3.9. 修改VTY的超时时长 提问 修改超时避免用户登录超时被系统断开 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#line vty 0 4 Router1(config-line)#exec-timeout 0 0 (exec-timeout 240 0) Router1(config-line)#exit Router1(config)#end Router1# 注释 缺省用户10分钟空闲就会被踢掉系统,0 0可以用不超时,第一个0是分钟,第二个0是秒。同时为了防止有些用户掉死但是还占用vty端口的情况,建议使用下面命令来防止: Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#service tcp-keepalives-in Router1(config)#end Router1# 3.10. 限制用户登录可以使用的协议 提问 只允许用户用特定的协议来进行系统登录 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#line vty 0 4 Router1(config-line)#transport input telnet Router1(config-line)#exit Router1(config)#end Router1# 注释 缺省情况下除了可以telnet登录,还支持以下协议登录lat pad v120 lapb-ta rlogin ssh 3.11. 配置用户登录可用总时长Enabling Absolute Timeouts on VTY Lines 提问 对用户登录总时长进行限制,不论是否在空闲还是活动 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#line vty 0 4 Router1(config-line)#absolute-timeout 5 Router1(config-line)#logout-warning 30 Router1(config-line)#exit Router1(config)#end Router1# 注释 无 3.12. 部署Banners 提问 设置登录时显示的警示性信息 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#banner exec # This is an exec banner # Router1(config)#banner login # This is a login banner # Router1(config)#banner motd $ This is a motd banner $ Router1(config)#end Router1# 注释 不用使用welcome之类的字样,下面是一个FBI的路由器登录banner做参考 Router1(config)#banner login # Enter TEXT message. End with the character '#'. +--------------------------------------------------------------------+ | WARNING | | ------- | | This system is solely for the use of authorized users for official | | purposes. You have no expectation of privacy in its use and to | | ensure that the system is functioning properly, individuals using | | this computer system are subject to having all of their activities | | monitored and recorded by system personnel. Use of this system | | evidences an express consent to such monitoring and agreement that | | if such monitoring reveals evidence of possible abuse or criminal | | activity, system personnel may provide the results of such | | monitoring to appropriate officials. | +--------------------------------------------------------------------+ # Router1(config)#end Router1# 3.13. 在特定端口禁用Banners显示 提问 aux口用于modem连接,为了避免出现问题希望关闭banner显示 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#line aux 0 Router1(config-line)#no motd-banner Router1(config-line)#no exec-banner Router1(config-line)#exit Router1(config)#end Router1# 注释 3.14. 禁用Line登录 提问 禁止在AUX或者Line端口进行设备登录 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#line aux 0 Router1(config-line)#transport input none Router1(config-line)#no exec Router1(config-line)#exec-timeout 0 1 Router1(config-line)#no password Router1(config-line)#exit Router1(config)#end Router1# Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#access-list 98 deny any log Router1(config)#line vty 0 4 Router1(config-line)#transport input none Router1(config-line)#exec-timeout 0 1 Router1(config-line)#no exec Router1(config-line)#access-class 98 in Router1(config-line)#exit Router1(config)#end Router1# 注释 无 3.15. 为管理员保留特定的登录端口 提问 防止所有的登录端口都被占用,为管理员留一个后门 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#access-list 9 permit 172.25.1.1 Router1(config)#line vty 4 Router1(config-line)#access-class 9 in Router1(config-line)#exit Router1(config)#end Router1# 或者 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#access-list 9 permit 172.25.1.1 Router1(config)#line vty 5 7 Router1(config-line)#rotary 25 Router1(config-line)#access-class 9 in Router1(config-line)#exit Router1(config)#end Router1# 注释 在使用第二种rotary命令时就相应的改变登录时的端口号码,不是缺省的23,而是3000+rotary的号码25=3025 3.16. 限制特定地址的Telnet登录 提问 只允许特定的机器进行Telnet登录 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#access-list 99 permit 172.25.1.0 0.0.0.255 Router1(config)#access-list 99 deny any log Router1(config)#line vty 0 4 Router1(config-line)#access-class 99 in Router1(config-line)#exit Router1(config)#end Router1# 注释 无 3.17. 对Telnet访问进行日志记录 提问 记录每次telnet的日志 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#access-list 90 permit any log Router1(config)#line vty 0 4 Router1(config-line)#access-class 90 in Router1(config-line)#exit Router1(config)#end Router1# 注释 需要注意的是不管登录成功还是失败,在日志中都是显示的permitted: %SEC-6-IPACCESSLOGS: list 90 permitted 172.25.1.1 1 packet 3.18. 设置发起Telnet的源地址 提问 有时对端设备有安全设置只允许特定的地址发起telnet请求 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip telnet source-interface loopback0 Router1(config)#end Router1# 或者 Router1#telnet 172.25.1.5 /source-interface loopback0 注释 缺省情况路由器会使用到目的地所使用的端口来做Telnet的源地址 3.19. 自动登录 注释 使用脚本略去,其实用SecueCRT很容易设定 3.20. 使用SSH登录 提问 启用SSH这种加密的登录方式 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#hostname Router1 Router1(config)#ip domain-name neoshi.net Router1(config)#crypto key generate rsa The name for the keys will be: Router1.oreilly.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 Generating RSA keys ... [OK] Router1(config)# Jun 27 15:04:15: %SSH-5-ENABLED: SSH 1.5 has been enabled Router1(config)#ip ssh time-out 120 Router1(config)#ip ssh authentication-retries 4 Router1(config)#end Router1# 注释 从IOS 12.3(4)T开始支持SSH v2,之前只支持v1,首先要确认你的IOS版本,然后确认支持安全特性3DES,才能开启SSH的特性 <!--[if !supportLists]-->3.21. <!--[endif]-->改变IOS命令的特权等级 提问 修改特定IOS命令的特权等级 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#privilege exec level 1 show startup-config Router1(config)#end Router1# 注释 缺省情况路由器支持16种特权等级,命令一般归属于0,1和15三种特权等级,在特权等级0下面只支持disable, enable, exit, help, 和logout命令,1下面不能对配置进行修改,15就是enable的特权等级 3.22. 基于用户的特权等级Defining Per User Privileges 提问 给不同的用户赋予不同的特权等级 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#aaa new-model Router1(config)#aaa authentication login default local Router1(config)#aaa authorization exec default local Router1(config)#username neoshi privilege 10 password ioscookbook Router1(config)#privilege exec level 10 show ip route Router1(config)#privilege exec level 1 show ip Router1(config)#privilege exec level 1 show Router1(config)#end Router1# 注释 通常的0,1和15三种等级弹性不足,可以定义更多的等级给不同的用户 <!--[if !supportLists]-->3.22. <!--[endif]-->基于端口的特权等级 提问 根据登录的不同端口自动赋予特定的特权等级 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#line aux 0 Router1(config-line)#privilege level 5 Router1(config-line)#exit Router1(config)#privilege exec level 5 show ip route Router1(config)#privilege exec level 1 show ip Router1(config)#privilege exec level 1 show Router1(config)#end Router1# 注释 无
2007/3/5 22:09
|
|
![]() |
回复: Cisco IOS Cookbook 中文精简版 |
||
---|---|---|
网站管理员
![]() ![]() 注册日期:
1970/1/1 8:00 所属群组:
网站管理员 注册会员 帖子:
56
等级: 6; EXP: 34
HP : 0 / 133 MP : 18 / 19495 ![]() |
第四章TACAS+
4.1. 用户登录集中鉴权 提问 使用集中的鉴权方式对用户登录设备进行控制 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#aaa new-model Router1(config)#aaa authentication login default group tacacs+ Router1(config)#aaa authentication enable default group tacacs+ Router1(config)#tacacs-server host 172.25.1.1 Router1(config)#tacacs-server key COOKBOOK Router1(config)#end Router1# 注释 部署集中化鉴权就不需要在每台设备上配置用户名密码了,改密码也变得简单了 4.2. 限制特定命令的执行权限 提问 对设备可执行命令权限进行基于用户的授权 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#aaa new-model Router1(config)#aaa authorization exec default group tacacs+ Router1(config)#aaa authorization commands 15 default group tacacs+ Router1(config)#tacacs-server host 172.25.1.1 Router1(config)#tacacs-server key neoshi Router1(config)#end Router1# 注释 无 4.3. TACACS+服务器无法访问 提问 防止出现TACACS+服务器故障导致所有用户都不能登录 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#aaa new-model Router1(config)#aaa authentication login default group tacacs+ enable Router1(config)#aaa authentication enable default group tacacs+ enable Router1(config)#aaa authorization commands 15 default group tacacs+ if-authenticated Router1(config)#tacacs-server host 172.25.1.1 Router1(config)#tacacs-server key COOKBOOK Router1(config)#end Router1# 注释 在认证服务器出现故障的情况下使用enable密码作为备份,同时建议使用if-authenticated参数在你配置授权的时候 4.4. 在特定端口禁用TACACS+鉴权 提问 为了方便禁止在控制口使用TACACS+鉴权 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#aaa new-model Router1(config)#aaa authentication login default group tacacs+ local Router1(config)#aaa authentication login NEOSHI line Router1(config)#line con 0 Router1(config-line)#login authentication NEOSHI Router1(config-line)#end Router1# 注释 4.5. 记录用户行为 提问 记录用户输入的配置命令和时间 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#aaa new-model Router1(config)#aaa accounting commands 1 default stop-only group tacacs+ Router1(config)#aaa accounting commands 15 default stop-only group tacacs+ Router1(config)#end Router1# 注释 下面是一条日志记录,很详尽吧 Fri Jan 3 11:08:47 2006 toronto ijbrown tty66 172.25.1.1 stop task_id=512 start_time=1041610127 timezone=EST service=shell priv-lvl=15 cmd=configure terminal <cr> 4.6. 记录系统事件 提问 记录系统事件 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#aaa new-model Router1(config)#aaa accounting exec default start-stop group tacacs+ Router1(config)#aaa accounting connection default start-stop group tacacs+ Router1(config)#aaa accounting system default stop-only group tacacs+ Router1(config)#end Router1# 注释 除了可以记录用户输入命令以外还提供了exec(用户开始和中止exec会话的时间记录),connection(用户发起外部连接的时间,地址,数据包多少等信息记录比如telnet ssh等)和system(系统重启,禁用AAA等系统信息)等三种系统事件的记录 4.7. 设置TACACS+消息的源地址 提问 发送TACACS+消息时只使用特定的源地址 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip tacacs source-interface Loopback0 Router1(config)#end Router1# 注释 所有本设备的记录都来自于同一地址方便对日志进行汇总和统计 4.8. TACACS+服务器配置文件样本 注释 可以使用思科免费的TACACS+服务器也可以使用商业的服务器,配置方式略
2007/3/5 22:10
|
|
![]() |
回复: Cisco IOS Cookbook 中文精简版 |
||
---|---|---|
网站管理员
![]() ![]() 注册日期:
1970/1/1 8:00 所属群组:
网站管理员 注册会员 帖子:
56
等级: 6; EXP: 34
HP : 0 / 133 MP : 18 / 19495 ![]() |
第五章IP路由
5.1. 查找路由条目 提问 在路由表中查找特定的路由条目 回答 Router>show ip route 172.25.100.15 Routing entry for 172.25.100.0/24 Known via "ospf 55", distance 110, metric 11, type inter area Redistributing via ospf 55 Last update from 172.25.1.1 on Ethernet0, 2d12h ago Routing Descriptor Blocks: * 172.25.1.1, from 172.25.1.1, 2d12h ago, via Ethernet0 Route metric is 11, traffic share count is 1 注释 路由器在路由表中查找路由条目的原则是最长匹配,所以例子中虽然查找的是172.25.200.15但是由于没有这条特定的路由,显示的结果是最长匹配的172.15.100.0/24。如果没有任何一条匹配只能使用缺省路由,会出现下面信息 Router> show ip route 172.15.101.5 % Network not in table 注意的是这里都是无类路由,如果有类的就不一样了 5.2. 查找特定类型的路由条目 提问 在路由表中查找相同类型的路由条目 回答 Router>show ip route static 192.168.1.0/32 is subnetted, 1 subnets S 192.168.1.1 [1/0] via 172.25.1.4 还有一个更有用的命令 Router>show ip route summary IP routing table name is Default-IP-Routing-Table(0) Route Source Networks Subnets Overhead Memory (bytes) connected 0 3 328 432 static 1 0 64 144 ospf 55 1 3 256 576 Intra-area: 1 Inter-area: 2 External-1: 1 External-2: 0 NSSA External-1: 0 NSSA External-2: 0 internal 2 2328 Total 4 6 648 3480 注释 通过显示路由表的统计情况来了解当前路由器的路由条目,也可以用来以后的比对 5.3. 各种掩码的转换 注释 脚本略去,建议使用Boson提供的免费转换工具 5.4. 使用静态路由 提问 配置静态路由 回答 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip route 10.35.15.5 255.255.255.255 Ethernet0 (permanent选项可以使此条目一直存在于路由表中,而不管下一跳的可达性) Router(config)#ip route 172.16.0.0 255.255.0.0 10.35.6.1 2 (permanent) Router(config)#end Router# 也可以给路由条目打上标签 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip route 172.16.0.0 255.255.0.0 10.35.6.1 2 tag 36291 Router(config)#end Router# 注释 在类似以太网这种多路访问的网络中建议使用下一跳为地址而不是接口。正常情况下路由器对静态路由的下一跳有效性的检查是一分钟,在12.3(10)以后增加了下面的命令可以对此时间进行调整Router(config)#ip route static adjust-time 30。对静态路由打tag用于路由再发布时的区分 5.5. 浮动静态路由 提问 当动态路由出问题的时候使用静态路由作为备份 回答 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip route 10.0.0.0 255.0.0.0 172.16.1.1 190 (下一跳也可以触发一个拨号接口) Router(config)#end Router# 注释 通过调整管理距离的方式来进行路由备份,不过要注意的是管理距离只适合在相同路由的情况下,路由条目的最长匹配是第一位的。另外在不同厂商设备互联的时候,调整管理距离一定要设置合理。 5.6. 基于源地址的策略路由 提问 根据源地址的不同选择不同的路径 回答 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 1 permit 10.15.35.0 0.0.0.255 Router(config)#access-list 2 permit 10.15.36.0 0.0.0.255 Router(config)#interface Ethernet0 Router(config-if)#ip address 10.15.22.7 255.255.255.0 Router(config-if)#ip policy route-map Engineers Router(config-if)#ip route-cache policy Router(config-if)#exit Router(config)#route-map Engineers permit 10 Router(config-route-map)#match ip address 1 Router(config-route-map)#set ip next-hop 10.15.27.1 Router(config-route-map)#exit Router(config)#route-map Engineers permit 20 Router(config-route-map)#match ip address 2 Router(config-route-map)#set interface Ethernet1 Router(config-route-map)#end Router# 注释 缺省情况下route map的最后一句都是deny all,这样不符合route map规则的数据包都会按照正常的路由表进行转发。set ip next-hop verify-availability命令提供了对下一跳的验证,不过是基于CDP的,所以如果使用此命令需要打开CDP,最好同时调整时长,毕竟缺省是180秒。在使用策略路由时会在排错时增加难度,因为缺省对于本路由器发出的数据包可以绕过route map这样会造成错觉。 5.7. 基于应用的策略路由 提问 根据不同的应用来选择不同的路径 回答 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 101 deny tcp 10.15.25.0 0.0.0.255 any eq www Router(config)#access-list 101 permit tcp any any eq www Router(config)#interface Ethernet0 Router(config-if)#ip address 10.15.22.7 255.255.255.0 Router(config-if)#ip policy route-map Websurfers Router(config-if)#ip route-cache policy Router(config-if)#exit Router(config)#route-map Websurfers permit 10 Router(config-route-map)#match ip address 101 Router(config-route-map)#set ip next-hop 10.15.27.1 Router(config-route-map)#exit Router(config)#route-map Websurfers permit 20 Router(config-route-map)#set ip default next-hop 10.15.26.1 Router(config-route-map)#end Router# 对于本设备的发出的数据包也使用策略路由 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip local policy route-map dlswtraffic Router(config)#access-list 103 permit tcp any any eq 2065 Router(config)#access-list 103 permit tcp any eq 2065 any Router(config)#route-map dlswtraffic permit 10 Router(config-route-map)#match ip address 103 Router(config-route-map)#set ip next-hop 10.15.27.3 Router(config-route-map)#end Router# 注释 正常情况下如果所有定义的下一跳都不存在的情况下会使用路由表来查询,如果路由表没有此定义会使用缺省路由,这时候你可以使用set ip default next-hop来定义一个不同的缺省路由 5.8. 策略路由检查 提问 检查所应用的策略路由 回答 Router>show ip policy Interface Route map local dlswtraffic Ethernet0 Websurfers Serial0 High-priority Router>show route-map route-map High-priority, permit, sequence 10 Match clauses: ip address (access-lists): 101 Set clauses: ip next-hop 10.15.27.1 Policy routing matches: 0 packets, 0 bytes route-map Websurfers, permit, sequence 10 Match clauses: ip address (access-lists): 102 Set clauses: ip next-hop 10.15.27.1 Policy routing matches: 0 packets, 0 bytes route-map Websurfers, permit, sequence 20 Match clauses: Set clauses: ip default next-hop 10.15.26.1 Policy routing matches: 4 packets, 531 bytes route-map dlswtraffic, permit, sequence 10 Match clauses: ip address (access-lists): 103 Set clauses: ip next-hop 10.15.27.3 Policy routing matches: 5 packets, 500 bytes 注释 也可以通过show access-list 103命令看到更多的匹配信息 5.9. 改变管理距离 提问 调整学到的外部网络的缺省管理距离 回答 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#router rip Router(config-route)#network 192.168.15.0 Router(config-route)#distance 15 192.168.15.1 0.0.0.0 Router(config-route)#distance 200 192.168.15.0 0.0.0.255 Router(config-route)#distance 255 Router(config-route)#end Router# Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#router eigrp 111 Router(config-route)#network 192.168.16.0 Router(config-route)#distance eigrp 55 200 Router(config-route)#end Router# Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#router ospf 66 Router(config-route)#distance ospf inter-area 115 Router(config-route)#distance ospf intra-area 105 Router(config-route)#distance ospf external 125 Router(config-route)#end Router# Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#router bgp 65520 Router(config-route)#distance bgp 115 220 50 Router(config-route)#end Router# 注释 管理距离只是针对自己的,通过调整这些外部路由的管理距离来调整自己路由表的结构 5.10. 相同代价值的多路径路由 提问 限制路由器到达同一目的地的路径数目 回答 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#router ospf 65510 Router(config-router)#maximum-paths 2 Router(config-router)#end Router# IOS 12.2T以后对BGP增加了下面的命令 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#router bgp 65511 Router(config-router)#maximum-paths 2 Router(config-router)#maximum-paths ibgp 3 Router(config-router)#end Router# 注释 缺省情况下静态路由可以有6条冗余,BGP只有一条最佳路径,其他路由协议为4条。使用上述命令在12.3(2)T之前可以调整最大为6条,12.3(2)T之后可以最大为16条 5.11. 配置静态路由的追踪 提问 在某个端口当掉等情况下才启用特定的静态路由 回答 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#track 10 interface Serial0/0 line-protocol Router(config-track)#delay down 5 up 30 Router(config-track)#exit Router(config)#ip route 192.168.10.0 255.255.255.0 10.3.12.26 track 10 Router(config)#end Router# Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#track 11 ip route 10.2.95.0 255.255.255.0 reachability Router(config-track)#delay down 5 up 5 Router(config-track)#exit Router(config)#ip route 0.0.0.0 0.0.0.0 10.3.12.26 track 11 Router(config)#end Router# Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#track 12 list boolean and Router(config-track)#object 10 not Router(config-track)#object 11 Router(config-track)#exit Router(config)#ip route 192.168.13.0 255.255.255.0 10.3.12.26 track 12 Router(config)#end Router# 注释 从12.3T和12.4以后开始IOS提供了一种track的特性,可以定义跟踪不同的状态。可以使用show track命令来查看跟踪的状态。跟踪状态也可以进行组合,使用and or逻辑运算或者百分比,权重等增加灵活度,很好玩,不过别把自己绕进去了 <!--[if !supportLists]-->5.12. <!--[endif]-->路由表变动统计 提问 通过路由表变动的统计来衡量路由表的稳定性 回答 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ip route profile Router(config)#end Router# Router#show ip route profile IP routing table change statistics: Frequency of changes in a 5 second sampling interval ------------------------------------------------------------- Change/ Fwd-path Prefix Nexthop Pathcount Prefix interval change add change change refresh ------------------------------------------------------------- 0 327 327 335 335 331 1 4 4 0 0 1 2 2 2 0 0 1 3 0 0 0 0 0 4 1 1 0 0 1 ……. Router# 注释 12.0就有的一个老命令,但估计很少有人使用,这个统计也是够难懂的,简单的说最理想的情况就是第一行数目很大,其他行都是0。统计方法是每3秒一个间隔,在这个间隔内如果有1次路由表变化就累计一次,多次变化就累计多次。但这个命令还是有一些缺点,一就是不能清掉老的数据,必须通过no ip route profile,然后ip route profile 来清除,还有就是这里只是统计结果,没有办法确定是哪条路由出的问题
2007/3/5 22:11
|
|
![]() |
回复: Cisco IOS Cookbook 中文精简版 |
||
---|---|---|
网站管理员
![]() ![]() 注册日期:
1970/1/1 8:00 所属群组:
网站管理员 注册会员 帖子:
56
等级: 6; EXP: 34
HP : 0 / 133 MP : 18 / 19495 ![]() |
第六章RIP
6.1. 配置RIP(N>V1) 提问 在简单的网络中启用RIP路由协议 回答 Router2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router2(config)#interface Ethernet0 Router2(config-if)#ip address 192.168.30.1 255.255.255.0 Router2(config-if)#interface Serial0.1 Router2(config-subif)#ip address 172.25.2.2 255.255.255.0 Router2(config-subif)#exit Router2(config)#router rip Router2(config-router)#network 172.25.0.0 Router2(config-router)#network 192.168.30.0 Router2(config-router)#exit Router2(config)#end Router2# 注释 要特别注意的是版本1的RIP中的network命令是无类的,就算你配置命令是无类的网络,路由器内部还是会转化为无类的。show ip rip database 是一个很好的验证命令 6.2. RIP中的路由过滤 提问 限制RIP中某些特定路由条目的交换 回答 入方向 Router2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router2(config)#access-list 10 deny 192.168.20.0 Router2(config)#access-list 10 permit any Router2(config)#router rip Router2(config-router)#distribute-list 10 in Serial 0.1 (该命令除了可以用于特定接口也可以用于所有接口) Router2(config-router)#network 172.25.0.0 Router2(config-router)#network 192.168.30.0 Router2(config-router)#exit Router2(config)#end Router2# 出方向 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#access-list 20 permit 0.0.0.0 Router1(config)#access-list 20 deny any Router1(config)#router rip Router1(config-router)#distribute-list 20 out Serial0/0.2 Router1(config-router)#network 172.25.0.0 Router1(config-router)#exit Router1(config)#end Router1# 注释 使用show ip protocol命令可以用来验证所配置的distribute-list 6.3. 再发布静态路由至RIP 提问 再发布你所配置的静态路由到RIP路由协议中 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip route 192.168.10.0 255.255.255.0 172.22.1.4 Router1(config)#router rip Router1(config-router)#redistribute static metric 5 Router1(config-router)#distribute-list 7 out static Router1(config-router)#exit Router1(config)#access-list 7 permit 192.168.10.0 Router1(config)#end Router1# 注释 这里再发布还是要注意无类路由的问题,所以还是建议用V2。例子是再发布静态路由,也可以再发布其他动态路由协议,比如OSPF,BGP,EIGRP等,命令类似redistribute eigrp 65530 有一个好玩的情况是虽然此命令也可以支持RIP自己的再发布,但是配置时候是不允许的,因为RIP没有其他动态路由协议中的进程号的概念,无法区别不同的进程 6.4. 使用Route Maps进行路由再发布 提问 使用Route Maps这种更好控制粒度的方式来进行路由再发布的配置 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip route 192.168.10.0 255.255.255.0 172.22.1.4 Router1(config)#ip route 192.168.11.0 255.255.255.0 172.22.1.4 Router1(config)#ip route 192.168.12.0 255.255.255.0 172.22.1.4 Router1(config)#access-list 20 permit 192.168.10.0 Router1(config)#access-list 21 permit 192.168.11.0 Router1(config)#route-map STATIC permit 10 Router1(config-route-map)#match ip address 20 Router1(config-route-map)#set metric 2 Router1(config-route-map)#set tag 2 Router1(config-route-map)#exit Router1(config)#route-map STATIC permit 20 Router1(config-route-map)#match ip address 21 Router1(config-route-map)#set metric 8 Router1(config-route-map)#route-map STATIC deny 30 Router1(config-route-map)#exit Router1(config)#router rip Router1(config-router)#redistribute static route-map STATIC Router1(config-router)#exit Router1(config)#end Router1# 注释 使用route map可以对路由再发布进行更好粒度的控制,如果觉得配置命令难懂的话,使用验证命令show route-map 可能更好理解一些 6.5. 在RIP中宣告缺省路由 提问 使用RIP来宣告一条缺省路由 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip route 0.0.0.0 0.0.0.0 172.25.1.1 Router1(config)#router rip Router1(config-router)#default-information originate Router1(config-router)#end Router1# 或者使用再发布命令 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip route 0.0.0.0 0.0.0.0 172.25.1.1 Router1(config)#access-list 7 permit 0.0.0.0 Router1(config)#router rip Router1(config-router)#redistribute static Router1(config-router)#distribute-list 7 out static Router1(config-router)#end Router1# 注释 推荐使用第一种方式,除了可以免除使用过滤列表以外还可以和route map来组合使用 6.6. 在特定接口禁用RIP 提问 阻止某个接口参与RIP 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#access-list 12 deny any Router1(config)#router rip Router1(config-router)#passive-interface FastEthernet0/1 Router1(config-router)#distribute-list 12 in FastEthernet0/1 Router1(config-router)#end Router1# 注释 passive-interface 用于防止端口发送路由信息,但是并不能控制此接口不接收路由信息,所以要再使用distribute-list 命令来防止此接口接收路由信息 6.7. 缺省被动接口 提问 缺省在所有端口禁用RIP,除非特别指定 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router rip Router1(config-router)#passive-interface default Router1(config-router)#no passive-interface FastEthernet0/0.1 Router1(config-router)#network 172.22.0.0 Router1(config-router)#network 172.25.0.0 Router1(config-router)#network 192.168.1.0 Router1(config-router)#exit Router1(config)#end Router1# 注释 无 6.8. RIP更新使用单播包 提问 不想使用组播或者广播的形式来发布路由更新 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router rip Router1(config-router)#passive-interface FastEthernet0/1 Router1(config-router)#neighbor 172.22.1.4 Router1(config-router)#end Router1# 注释 缺省V1使用广播包,V2使用组播包的形式来发布路由更新 6.9. 对路由应用Offsets 提问 修改特定接口学到或者发布路由的度量值 回答 Router2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router2(config)#access-list 22 permit 192.168.20.0 Router2(config)#access-list 33 permit 192.168.30.0 Router2(config)#router rip Router2(config-router)#offset-list 33 out 10 Serial0.1 Router2(config-router)#offset-list 22 in 5 Serial0.1 Router2(config-router)#exit Router2(config)#end Router2# 注释 RIP是根据跳数来进行选路而没有考虑到链路的不同,通过这样的命令可以变相的增加某个接口的度量值,从而在选路时考虑,注意的是offset只能增加度量值不能减少 6.10. 定时器调整 提问 对RIP的定时器设定进行调整,提高收敛速度 回答 Router2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router2(config)#router rip Router2(config-router)#timers basic 20 80 80 120 Router2(config-router)#exit Router2(config)#end Router2# 注释 所有定时器单位都是秒,第一个为更新周期,第二个为无效路由时间,第三个为保持时间,第四个为flush时间。需要注意的是要确保启用RIP的网络定时器都设置一致 6.11. 增加路由更新数据包发送延迟 提问 避免路由更新数据包发送速度太快导致老设备来不及处理 回答 Router2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router2(config)#router rip Router2(config-router)#output-delay 10 Router2(config-router)#exit Router2(config)#end Router2# 注释 正常情况下一个RIP更新数据包大小为512字节可以包含25条路由条目,如果路由表条目大于25就会通过多个路由更新包来发送,正常是尽可能快的发,启用本特性可以增加发送的间隔,单位为毫秒 6.12. 启用非周期性更新 提问 避免使用每30秒的周期性更新,使用触发更新 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Serial0/0.2 Router1(config-subif)#ip rip triggered Router1(config-subif)#end Router1# 注释 一定要在邻居路由器上也启用此特性,只能用于点对点链路 6.13. 增加RIP的输入队列 提问 在低端路由器上增加RIP的输入队列避免丢失路由信息 回答 Router2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router2(config)#router rip Router2(config-router)#input-queue 200 Router2(config-router)#end Router2# 注释 类似6.11 <!--[if !supportLists]-->6.14. <!--[endif]-->配置RIP(V2) 提问 启用更灵活的版本2 RIP 回答 Router2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router2(config)#router rip Router2(config-router)#version 2 Router2(config-router)#network 172.25.0.0 Router2(config-router)#network 192.168.30.0 Router2(config-router)#end Router2# 注释 缺省情况下路由器会监听v1和v2的RIP数据包,但是只会发送v1的数据包 6.15. 启用RIP认证 提问 对RIP的数据包进行认证增加安全性 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#key chain ORA Router1(config-keychain)#key 1 Router1(config-keychain-key)#key-string neoshi Router1(config-keychain-key)#exit Router1(config)#interface FastEthernet0/0.1 Router1(config-subif)#ip rip authentication key-chain ORA Router1(config-subif)#ip rip authentication mode text (或者ip rip authentication mode md5) Router1(config-subif)#exit Router1(config)#end Router1# 注释 RIP认证是RIPv2的特性之一,需要注意的是由于启用了认证所以在更新数据包中所包含的路由条目数会减少,文本方式会减少为24,MD5会减少为23 6.16. 配置RIP路由汇总 提问 通过使用路由汇总来减少路由表的大小,增加稳定性 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Serial0/0.2 Router1(config-subif)#ip summary-address rip 172.25.0.0 255.255.0.0 Router1(config-subif)#exit Router1(config)#end Router1# 缺省情况下RIP会自动对路由条目汇总为无类网络路由,使用下面方法关闭 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router rip Router1(config-router)#no auto-summary Router1(config-router)#exit Router1(config)#end Router1# 注释 只要配置的汇总路由中的有一条子网路由是存在的,路由器就会继续宣告此条汇总路由 <!--[if !supportLists]-->6.17. <!--[endif]-->路由标签 提问 对再发布的路由配置标签,从而避免不同路由协议之间路由再发布出现路由回环 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip route 0.0.0.0 0.0.0.0 172.25.1.1 Router1(config)#access-list 7 permit 0.0.0.0 Router1(config)#route-map TAGGING permit 10 Router1(config-route-map)# match ip address 7 Router1(config-route-map)# set tag 5 Router1(config-route-map)#exit Router1(config)#router rip Router1(config-router)#redistribute static route-map TAGGING Router1(config-router)#exit Router1(config)#end Router1# 注释 标签TAG只用于外部的路由,而不是通过RIP学到的路由,RIP自身正常情况下也不直接使用这些标签,只是分发而已,如果这些路由再被分发到其他路由进程就可以用标签来识别从而进行控制
2007/3/5 22:12
|
|
![]() |
回复: Cisco IOS Cookbook 中文精简版 |
||
---|---|---|
网站管理员
![]() ![]() 注册日期:
1970/1/1 8:00 所属群组:
网站管理员 注册会员 帖子:
56
等级: 6; EXP: 34
HP : 0 / 133 MP : 18 / 19495 ![]() |
第七章EIGRP
7.1. 配置EIGRP 提问 ONT-FAMILY: 宋体">配置网络使用EIGRP路由协议 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Ethernet0 Router1(config-if)#ip address 192.168.20.1 255.255.255.0 Router1(config-if)#exit Router1(config)#interface Serial0.1 point-to-point Router1(config-subif)#ip address 172.25.2.2 255.255.255.252 Router1(config-subif)#exit Router1(config)#router eigrp 55 Router1(config-router)#network 172.25.0.0 Router1(config-router)#network 192.168.20.0 Router1(config-router)#exit Router1(config)#end Router1# 注释 要确保启用此路由协议的所有路由器配置的EIGRP后面的进程号相同,可以使用show ip eigrp neighbors 来验证邻居关系。同时支持network 192.168.20.0 0.0.0.255 来定义发布的网络 7.2. 路由过滤 提问 对EIGRP学到或者宣告的路由进行过滤 回答 入方向过滤 Router2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router2(config)#access-list 34 deny 192.168.30.0 Router2(config)#access-list 34 permit any Router2(config)#router eigrp 55 Router2(config-router)#distribute-list 34 in Serial0.1 Router2(config-router)#exit Router2(config)#end Router2# 出方向过滤 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#access-list 57 permit 172.25.1.0 Router1(config)#access-list 57 deny any Router1(config)#router eigrp 55 Router1(config-router)#distribute-list 57 out Serial0/0.2 Router1(config-router)#exit Router1(config)#end Router1# 使用prefix方式过滤,并且支持gateway 选项 Router9#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router9(config)#ip prefix-list ALLOWED-PREFIXES permit 10.0.0.0/8 le 32 Router9(config)#ip prefix-list ALLOWED-PREFIXES deny 0.0.0.0/0 le 32 Router9(config)#ip prefix-list ALLOWED-NEIGHBORS permit 172.18.19.1/32 Router9(config)#ip prefix-list ALLOWED-NEIGHBORS permit 172.18.19.4/32 Router9(config)#ip prefix-list ALLOWED-NEIGHBORS deny 0.0.0.0/0 le 32 Router9(config)#router eigrp 55 Router9(config-router)#distribute-list prefix ALLOWED-PREFIXES gateway ALLOWED-NEIGHBORS in Router9(config-router)#exit Router9(config)#end Router9# 注释 在路由过滤时推荐使用prefix方式而不用ACL形式。Gateway参数只能用于入方向控制,同时建议不用和interface混和使用 7.3. 再发布路由到EIGRP 提问 再发布其他方式学到的路由到EIGRP路由进程 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router eigrp 55 Router1(config-router)#redistribute rip Router1(config-router)#default-metric 1000 100 250 100 1500 Router1(config-router)#exit Router1(config)#end Router1# 注释 如果再发布的是静态路由可以不用配置default-metric命令,对于其他协议都必须配置此命令否则无法成功再发布。再发布之前也可以使用过滤列表进行路由过滤,从而只再发布特定路由 Router1(config)#router eigrp 55 Router1(config-router)#redistribute ospf 99 Router1(config-router)#distribute-list 7 out ospf 99 7.4. 使用Route Map方式来配置再发布 提问 使用控制粒度更好的Route Map方式来配置再发布 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip route 192.168.10.0 255.255.255.0 172.22.1.4 Router1(config)#ip route 192.168.11.0 255.255.255.0 172.22.1.4 Router1(config)#ip route 192.168.12.0 255.255.255.0 172.22.1.4 Router1(config)#access-list 20 permit 192.168.10.0 Router1(config)#access-list 21 permit 192.168.11.0 Router1(config)#route-map STATIC permit 10 Router1(config-route-map)#match ip address 20 Router1(config-route-map)#set metric 56 100 255 1 1500 Router1(config-route-map)#set tag 2 Router1(config-route-map)#exit Router1(config)#route-map STATIC permit 20 Router1(config-route-map)#match ip address 21 Router1(config-route-map)#set metric 128 200 255 1 1500 Router1(config-route-map)#exit Router1(config)#route-map STATIC deny 30 Router1(config-route-map)#exit Router1(config)#router eigrp 55 Router1(config-router)#redistribute static route-map STATIC Router1(config-router)#exit Router1(config)#end Router1# 注释 此处配置和前面6.3的配置差不多,唯一需要注意的就是前面提到的必须要加上metric的设置 7.5. 特定接口禁止EIGRP 提问 禁止某个端口参与EIGRP 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router eigrp 55 Router1(config-router)#passive-interface Serial0/1 Router1(config-router)#exit Router1(config)#end Router1# 注释 这里的被动接口和RIP不同,由于结果是不能形成邻居在此接口所以使用该命令以后就不能发送也不能接收路由信息 7.6. 调整EIGRP度量值 提问 修改学到的EIGRP路由器度量值 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#access-list 22 permit 192.168.30.0 Router1(config)#access-list 33 permit 192.168.30.0 Router1(config)#router eigrp 55 Router1(config-router)#offset-list 33 out 10000 Serial0.1 Router1(config-router)#offset-list 22 in 10000 Serial0.1 Router1(config-router)#exit Router1(config)#end Router1# 注释 7.7. 定时器调整 提问 调整定时器优化收敛 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Serial0.1 Router1(config-subif)#ip hello-interval eigrp 55 3 Router1(config-subif)#ip hold-time eigrp 55 9 Router1(config-subif)#exit Router1(config)#end Router1# 注释 EIGRP的一个特性就是定时器的调整可以基于端口,并且不用保持整个网络中所有设备的定时器设置一致,各个定时器都是独立的 7.8. 启用EIGRP认证 提问 增强路由信息安全性 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#key chain ORA Router1(config-keychain)#key 1 Router1(config-keychain-key)#key-string oreilly Router1(config-keychain-key)#exit Router1(config-keychain)#exit Router1(config)#interface Serial0/1 Router1(config-if)#ip authentication mode eigrp 55 md5 Router1(config-if)#ip authentication key-chain eigrp 55 ORA Router1(config-if)#exit Router1(config)#end Router1# 注释 注意这里只是认证不是加密路由信息包。下面提供一种更改key方法,帮助网络平稳过渡到新的key Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#key chain Mars Router1(config-keychain)#key 1 Router1(config-keychain-key)#key-string rocket Router1(config-keychain-key)#accept-lifetime 00:00:00 Jan 1 1993 00:15:00 Nov 1 2006 Router1(config-keychain-key)#send-lifetime 00:00:00 Jan 1 1993 00:00:00 Nov 1 2006 Router1(config-keychain-key)#key 2 Router1(config-keychain-key)#key-string martian Router1(config-keychain-key)#accept-lifetime 23:45:00 Oct 31 2006 infinite Router1(config-keychain-key)#send-lifetime 00:00:00 Nov 1 2006 infinite Router1(config-keychain-key)#end Router1# 7.9. 配置EIGRP路由汇总 提问 通过路由汇总来减少路由表大小和增强稳定性 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Serial0/0.2 Router1(config-subif)#ip summary-address eigrp 55 172.25.0.0 255.255.0.0 Router1(config-subif)#exit Router1(config)#end Router1# 缺省会自动路由汇总,使用no auto-summary关闭(12.2(8)T后自动关闭) 同时可以配置汇总路由的同时,宣告部分子网路由 Router9# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router9(config)#ip prefix-list 10.5.5/24 permit 10.5.5.0/24 Router9(config)#route-map LEAK10-5-5 permit 10 Router9(config-route-map)#match ip address prefix-list 10.5.5/24 Router9(config-route-map)#exit Router9(config)#interface Serial0/0 Router9(config-if)#ip summary-address eigrp 55 10.5.0.0 255.255.0.0 leak-map LEAK10-5-5 Router9(config-if)#exit Router9(config)#end Router9# 注释 路由汇总也是EIGRP的特性之一,可以配置在任意路由器的接口进行汇总,不象OSPF那样只能在ABR汇总。汇总路由的度量值和所汇总路由中的最好的子网路由的度量值一致。Leakmap特性在12.3(14)T后引入,可以在汇总路由的同时发布某些更匹配的路由 7.10. 记录邻居状态变化 提问 记录邻居状态变化 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router eigrp 55 Router1(config-router)#eigrp log-neighbor-changes Router1(config-router)#exit Router1(config)#end Router1# 注释 缺省开启 <!--[if !supportLists]-->7.11. <!--[endif]-->限制EIGRP路由更新占用带宽 提问 限制EIGRP路由更新占用带宽的百分比 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Serial0.1 Router1(config-subif)#ip bandwidth-percent eigrp 55 40 Router1(config-subif)#exit Router1(config)#end Router1# 注释 这里的百分比可以大于100%,当我们人为的设定了某端口带宽用于计算度量值时 7.12. EIGRP Stub路由 提问 向边缘网络发布较小的路由表 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router eigrp 55 Router1(config-router)#eigrp stub Router1(config-router)#exit Router1(config)#end Router1# 注释 7.13. 路由标签 提问 通过对特定路由进行标签,防止再分发时出现路由回环 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip route 0.0.0.0 0.0.0.0 172.25.1.1 Router1(config)#access-list 7 permit 0.0.0.0 Router1(config)#route-map TAGGING permit 10 Router1(config-route-map)#match ip address 7 Router1(config-route-map)#set tag 5 Router1(config-route-map)#exit Router1(config)#router eigrp 55 Router1(config-router)#redistribute static route-map TAGGING Router1(config-router)#exit Router1(config)#end Router1# 注释 <!--[if !supportLists]-->7.14. <!--[endif]-->查看EIGRP状态 提问 查看状态命令 回答 Router1#show ip protocols Router1#show ip route eigrp Router1#show ip eigrp neighbors Router1#show ip eigrp interfaces Router9#show ip eigrp accounting Router1#show ip eigrp topology 注释 12.3(14)T引入了show ip eigrp accounting Router9#show ip eigrp accounting IP-EIGRP accounting for AS(55)/ID(172.18.5.9) Total Prefix Count: 50 States: A-Adjacency, P-Pending, D-Down State Address/Source Interface Prefix Restart Restart/ Count Count Reset(s) A 172.20.10.1 Se0/0 1 0 0 A 172.18.19.1 Fa0/0 39 0 0 A 172.18.19.4 Fa0/0 1 0 0 A 172.18.19.6 Fa0/0 6 0 0 Router9# Router1#show ip eigrp topology IP-EIGRP Topology Table for AS(55)/ID(172.25.25.1) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 0.0.0.0/0, 1 successors, FD is 28160, tag is 5 via Rstatic (28160/0) via Summary (28160/0), Null0 P 10.2.2.0/24, 1 successors, FD is 156160 via 172.22.1.4 (156160/128256), FastEthernet0/1 P 10.1.1.0/30, 1 successors, FD is 3845120 via Connected, Serial0/1 P 192.168.10.0/24, 1 successors, FD is 28160, tag is 5 via Rstatic (28160/0) P 192.168.30.0/24, 1 successors, FD is 156160 via 172.22.1.4 (156160/128256), FastEthernet0/1 P 192.168.20.0/24, 1 successors, FD is 2195456 via 172.25.2.2 (2195456/281600), Serial0/0.2 P 172.25.25.6/32, 1 successors, FD is 156160 via 172.25.1.7 (156160/128256), FastEthernet0/0.1 P 172.25.25.1/32, 1 successors, FD is 128256 via Connected, Loopback0 P 172.25.25.2/32, 1 successors, FD is 2297856 via 172.25.2.2 (2297856/128256), Serial0/0.2 P 172.25.1.0/24, 1 successors, FD is 28160 via Connected, FastEthernet0/0.1 P 172.25.2.0/30, 1 successors, FD is 2169856 via Connected, Serial0/0.2 P 172.22.1.0/24, 1 successors, FD is 28160 via Connected, FastEthernet0/1 Router1#
2007/3/5 22:13
|
|
![]() |
回复: Cisco IOS Cookbook 中文精简版 |
||
---|---|---|
网站管理员
![]() ![]() 注册日期:
1970/1/1 8:00 所属群组:
网站管理员 注册会员 帖子:
56
等级: 6; EXP: 34
HP : 0 / 133 MP : 18 / 19495 ![]() |
第八章OSPF
8.1. 配置OSPF 提问 NT-FAMILY: 宋体">在网络中启用OSPF 回答 Router5#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router5(config)#router ospf 87 Router5(config-router)#network 0.0.0.0 255.255.255.255 area 0 Router5(config-router)#exit Router5(config)#end Router5# 注释 这里OSPF的进程号是本地使用,不需要像EIGRP一样整个网络保持一致。在12.3(11)T以后有一个专门的命令来指定端口加入OSPF 区域,而不需要用network的命令 Router9#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router9(config)#router ospf 87 Router9(config-router)#exit Router9(config)#interface FastEthernet0/0 Router9(config-if)#ip address 172.18.5.9 255.255.255.0 Router9(config-if)#ip ospf 87 area 10 Router9(config-if)#exit Router9(config)#end Router9# 8.2. 路由过滤 提问 进行路由过滤,只允许OSPF宣告特定路由进入路由表 回答 入方向 Router5#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router5(config)#access-list 1 deny 172.20.10.0 Router5(config)#access-list 1 permit any Router5(config)#router ospf 87 Router5(config-router)#distribute-list 1 in Ethernet0/0 Router5(config-router)#exit Router5(config)#end Router5# 注释 根据OSPF的机制,所有区域内的路由器LSA数据库内容必须保持一致,所以正常情况下不能对出方向进行过滤,入方向过滤也是防止其进入路由表,在本地的LSA数据库还是有此路由。当然如果确实需要对出方向进行过滤就必须对出方向所有的LSA进行过滤,这样会导致下游路由器的LSA数据库不完整,一般不推荐使用。 点对多点链路出方向过滤 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router ospf 87 Router1(config-router)#neighbor 192.168.1.3 database-filter all out Router1(config-router)#exit Router1(config)#end Router1# 广播,点到点链路出方向过滤 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Serial0/0 Router1(config-if)#encapsulation frame-relay Router1(config-if)#exit Router1(config)#interface Serial0/0.10 multipoint Router1(config-subif)#ip address 192.168.1.1 255.255.255.0 Router1(config-subif)#ip ospf network broadcast Router1(config-subif)#ip ospf database-filter all out Router1(config-subif)#frame-relay map ip 192.168.1.3 101 broadcast Router1(config-subif)#frame-relay map ip 192.168.1.5 109 broadcast Router1(config-subif)#exit Router1(config)#router ospf 1 Router1(config-router)#network 0.0.0.0 255.255.255.255 area 10 Router1(config-router)#exit Router1(config)#end Router1# 8.3. 调整OSPF代价值 提问 调整OSPF链路的代价值 回答 全局调整 Router5#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router5(config)#router ospf 87 Router5(config-router)#auto-cost reference-bandwidth 1000 Router5(config-router)#exit Router5(config)#end Router5# 接口调整 Router5#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router5(config)#interface Ethernet0 Router5(config-if)#ip ospf cost 31 Router5(config-if)# exit Router5(config)#end Router5# 注释 8.4. 宣告缺省路由到OSPF 提问 宣告缺省路由到OSPF网络 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip route 0.0.0.0 0.0.0.0 172.25.1.1 Router1(config)#router ospf 55 Router1(config-router)#default-information originate metric 30 metric-type 1 Router1(config-router)#exit Router1(config)#end Router1# 注释 在这里不能使用再发布静态路由得命令来发布缺省路由 8.5. 再发布静态路由到OSPF 提问 宣告一条或者多条静态路由到OSPF 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip route 192.168.10.0 255.255.255.0 172.22.1.4 Router1(config)#ip route 172.24.1.0 255.255.255.0 172.22.1.4 Router1(config)#ip route 10.100.1.0 255.255.255.0 172.22.1.4 Router1(config)#router ospf 55 Router1(config-router)#redistribute static % Only classful networks will be redistributed Router1(config-router)#exit Router1(config)#end Router1# 注释 根据上面得命令提示可以看到缺省情况下OSPF只再发布有类得路由,所以按照例子上虽然三条静态路由但是只有192.168.10.0/24是有类路由,能够发布出去,其它两个就不行。这时候就需要配置redistribute static subnets命令来发布子网,当然也可以添加metric等选项 8.6. 再发布外部路由到OSPF 提问 再发布其它路由协议得路由信息到OSPF 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router ospf 55 Router1(config-router)#redistribute eigrp 11 subnets Router1(config-router)#exit Router1(config)#end Router1# 在12.3(2)T以后增加了下面得命令对再发布过来得条目做了限制 Router1(config-router)#redistribute maximum-prefix 1000 80 注释 这里还是要注意subnet得参数。对于最后一个条目限制得命令,第一个1000是路由条目数,第二个80是百分比 8.7. DR选举 提问 对DR选举做人为控制 回答 Router5#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router5(config)#interface Ethernet0 Router5(config-if)#ip ospf priority 10 Router5(config-if)#exit Router5(config)#end Router5# 注释 DR选举人工控制最重要得两种情况是MOSPF和NBMA网络。在MOSPF网络中,MOSPF得DR和正常OSPF得DR是相同得,而如果DR不是一个MOSPF得路由器那么所有组播得路由就不能转发,思科路由器是不支持MOPSF得,所以在这种情况下必须使用ip ospf priority 0得命令来禁止其称为BDR或者DR。在NBMA得网络中要不DR设置在Hub路由器上。还有一个重要得问题是DR是不能强占得,如果网络中已经有了DR,这时即使新加入得路由器有更高得优先级他也不能称为DR,必须等待现在得DR出了问题才可以重新选举为DR。 8.8. 设置OSPF RID 提问 人工设定路由器得Router ID 回答 一种是Loopback地址方式 Router5#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router5(config)#interface Loopback0 Router5(config-if)#ip address 172.25.25.6 255.255.255.255 Router5(config-if)#exit Router5(config)#end Router5# 一种是Router ID命令方式 Router5#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router5(config)#router ospf 87 Router5(config-router)#router-id 172.25.1.7 Router5(config-if)#exit Router5(config)#end Router5# 注释 缺省会用最大IP地址作为Router ID。Router id命令后面得IP地址可以随意,不需要必须是存在得地址。另外router id一旦定下来以后,即使重新修改了地址也不能变更,必须通过clear ip ospf process得方式或者reload得方式来改变 8.9. 启用OSPF鉴权 提问 对邻居关系建立启用鉴权从而保证网络设备得安全性 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Serial0/1 Router1(config-if)#ip ospf message-digest-key 1 md5 oreilly Router1(config-if)#exit Router1(config)#router ospf 55 Router1(config-router)#area 2 authentication message-digest Router1(config-router)#exit Router1(config)#end Router1# 注释 注意得是不同厂商得OPSF MD5加密认证互联可能会有问题,因为RFC没有规范。对于新老密码替换得问题,通过配置新旧两个密码得方式来解决 8.10. 选择合适得区域类型 提问 不同得区域有不同得链路状态数据库,通过不同区域得选择来节省路由器资源和更快收敛 回答 Stubby Area Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router ospf 55 Router1(config-router)#area 100 stub Router1(config-router)#exit Router1(config)#end Router1# Totally Stubby Area Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router ospf 55 Router1(config-router)#area 100 stub no-summary Router1(config-router)#exit Router1(config)#end Router1# Not So Stubby Areas (NSSA), 同时生成一条缺省路由 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router ospf 55 Router1(config-router)#area 100 nssa default-information-originate Router1(config-router)#exit Router1(config)#end Router1# Totally Stubby, Not So Stubby Area. Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router ospf 55 Router1(config-router)#area 100 nssa no-summary Router1(config-router)#exit Router1(config)#end Router1# 注释 这些都是在ABR上的配置,对于区域里面其它的路由器就是只有NSSA和stub的配置没有必要配置是否为totally stubby。 8.11. 在拨号接口上配置OSPF 提问 在拨号接口上启用OSPF,但又不想让OSPF的协议数据一直保持拨号链路处于激活状态 回答 下面例子是R4只能拨号到R1 Router4#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router4(config)#username Router1 password 0 cisco Router4(config)#interface BRI0 Router4(config-if)#ip address 192.168.15.4 255.255.255.0 Router4(config-if)#encapsulation ppp Router4(config-if)#ip ospf demand-circuit Router4(config-if)#dialer map ip 192.168.15.1 broadcast 4165550000 Router4(config-if)#dialer-group 1 Router4(config-if)#isdn switch-type basic-ni Router4(config-if)#isdn spid1 416555001000 4165550010 Router4(config-if)#isdn spid2 416555001100 4165550011 Router4(config-if)#ppp authentication chap Router4(config-if)#ppp multilink Router4(config-if)#exit Router4(config)#dialer-list 1 protocol ip permit Router4(config)#router ospf 87 Router4(config-router)#network 192.168.15.0 0.0.0.255 area 10 Router4(config-router)#exit Router4(config)#end Router4# Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#username Router4 password 0 cisco Router1(config)#interface BRI0/0 Router1(config-if)#ip address 192.168.15.1 255.255.255.0 Router1(config-if)#encapsulation ppp Router1(config-if)#dialer-group 1 Router1(config-if)#isdn switch-type basic-ni Router1(config-if)#isdn spid1 416555000000 4165550000 Router1(config-if)#isdn spid2 416555000100 4165550001 Router1(config-if)#ppp authentication chap Router1(config-if)#ppp multilink Router1(config-if)#exit Router1(config)#dialer-list 1 protocol ip permit Router1(config)#router ospf 87 Router1(config-router)#network 192.168.15.0 0.0.0.255 area 10 Router1(config-router)#exit Router1(config)#end Router1# 注释 使用ip ospf demand-circuit 的命令可以保持邻居关系一直是FULL状态,而不管链路是否激活 8.12. 路由汇总 提问 减少路由表大小 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router ospf 55 Router1(config-router)#area 100 range 172.20.0.0 255.255.0.0 Router1(config-router)#area 0 range 172.25.0.0 255.255.0.0 Router1(config-router)#area 2 range 10.0.0.0 255.0.0.0 Router1(config-router)#exit Router1(config)#end Router1# 注释 OSPF的路由汇总只能配置在ABR上。生成的汇总路由代价值缺省情况下和子网路由中最小的一致,也就是说汇总路由的稳定状态和代价值最小的那个路由条目相关,这也是RFC1583上的定义,在新的RFC中定义了汇总路由代价值和最大的那个路由条目相关,所以一定要确定所有路由器采用相同的计算方法,思科缺省使用RFC1583的方法,禁用可以使用no compatible rfc1583。在ABR上启用汇总以后会自动生成一条汇总路由的丢弃路由(12.1(6))来避免路由回环 8.13. 在特定端口禁用OSPF 提问 禁止某个端口参与OSPF 回答 Router3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router3(config)#router ospf 44 Router3(config-router)#network 0.0.0.0 255.255.255.255 area 100 Router3(config-router)#passive-interface Ethernet0 Router3(config-router)#exit Router3(config)#end Router3# 注释 OSPF也是通过配置被动接口的方式来不生成邻居关系从而避免参与OSPF。当然也可以通过不在network命令中包含此端口来禁止,下面就是另外一种很好的配置方法,network了所有接口,但是缺省所有端口是被动接口,对于需要的接口再使用no的命令才参与OSPF: Router3(config)#router ospf 44 Router3(config-router)#network 0.0.0.0 255.255.255.255 area 100 Router3(config-router)#passive-interface default Router3(config-router)#no passive-interface Ethernet0 Router3(config-router)#exit Router3(config)#end Router3# 8.14. 修改接口的网络类型 提问 修改某个端口缺省的网络类型 回答 Router9#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router9(config)#interface FastEthernet0/0 Router9(config-if)#ip ospf network ? broadcast Specify OSPF broadcast multi-access network non-broadcast Specify OSPF NBMA network point-to-multipoint Specify OSPF point-to-multipoint network point-to-point Specify OSPF point-to-point network Router9(config-if)# 注释 上述四个关键词主要定义媒介是否支持广播或者组播数据包,是否需要选举DR。对于Broadcast网络,支持组播,DR可以自动选择,不需要配置。对于nonbroadcast网络,不支持组播,必须人工使用neighbor命令配置邻居关系。对于point-to-multipoint网络,不需要DR选举,也不需要neighbor命令,这时候需要注意的是framerelay配置中要允许broadcast: Router9(config)#interface Serial0/0 Router9(config-if)#ip address 192.168.10.9 255.255.255.0 Router9(config-if)#encapsulation frame-relay Router9(config-if)#frame-relay map ip 192.168.10.2 123 broadcast Router9(config-if)#ip ospf network point-to-multipoint Router9(config-if)#exit Router9(config)#router ospf 1 Router9(config-router)#network 192.168.10.0 0.0.0.255 area 0 Router9(config-router)#exit 否则必须配置neighbor Router9(config)#interface Serial0/0 Router9(config-if)#ip address 192.168.10.9 255.255.255.0 Router9(config-if)#encapsulation frame-relay Router9(config-if)#frame-relay map ip 192.168.10.2 123 Router9(config-if)#ip ospf network point-to-multipoint non-broadcast Router9(config-if)#exit Router9(config)#router ospf 1 Router9(config-router)#network 192.168.10.0 0.0.0.255 area 0 Router9(config-router)#neighbor 192.168.10.2 Router9(config-router)#exit 最后一种point-to-point网络不需要DR,但必须支持组播来建立邻居,否则需要配置neighbor命令。 还有一个特殊的回环地址,缺省情况OSPF会宣告回环地址为/32的网络,但是你可以在回环接口上配置其为ip ospf network point-to-point,来强制他宣告正确的网络掩码 8.15. 路由标签 提问 对特定的路由打标签避免互相再发布出现路由回环 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router ospf 55 Router1(config-router)#redistribute eigrp 11 metric-type 1 subnets tag 67 Router1(config-router)#exit Router1(config)#end Router1# 注释 8.16. 记录OSPF邻居状态变化 提问 记录OSPF邻居状态变化信息 回答 Router2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router2(config)#router ospf 12 Router2(config-router)#log-adjacency-changes Router2(config-router)#exit Router2(config)#end Router2# 注释 12.1后对上面命令增加了detail参数可以看到更多邻居状态变化的信息 8.17. OSPF定时器 提问 调整定时器,加快收敛 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Serial0/1 Router1(config-if)#ip ospf hello-interval 5 Router1(config-if)#ip ospf dead-interval 20 Router1(config-if)#exit Router1(config)#end Router1# 注释 要保证和此端口相连的设备采用相同的定时器值,否则邻居关系不能建立 8.18. 减少OSPF协议流量 提问 在稳定的网络要不需要LSA的过多数据包传递 回答 Router9#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router9(config)#interface Serial0/0 Router9(config-if)#ip address 192.168.10.9 255.255.255.0 Router9(config-if)#ip ospf flood-reduction Router9(config-if)#exit Router9(config)#end Router9# 注释 正常情况下OSPF会每隔一小时进行所有的LSA泛洪,在稳定网络里面一般不需要,所以通过这种方式设定LSA的DoNotAge位,避免过多流量 8.19. OSPF虚拟链路 提问 把两个分开的路由器通过虚拟链路的方式相连 回答 Router9#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router9(config)#router ospf 1 Router9(config-router)#area 10 virtual-link 10.54.0.1 Router9(config-router)#exit Router9(config)#end Router9# 注释 通过show ip ospf virtual-links来验证。需要注意的是这个需要两个路由器都进行配置,IP地址是对方的Router ID,要确保这个地址是通的,area后面跟的是穿越的Area 8.20. 使用域名查看OSPF状态 提问 在OSPF的show命令中现实设备域名而不是地址 回答 Router3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router3(config)#ip ospf name-lookup Router3(config)#end Router3# 注释 无 8.21. OSPF排错 提问 对OSPF进行排错 回答 Router3#debug ip ospf adj OSPF adjacency events debugging is on Router3# 注释 OSPF排错命令很多,这里只提供了对邻居关系的排错命令,因为邻居是OSPF的基础
2007/3/5 22:15
|
|
![]() |
回复: Cisco IOS Cookbook 中文精简版 |
||
---|---|---|
网站管理员
![]() ![]() 注册日期:
1970/1/1 8:00 所属群组:
网站管理员 注册会员 帖子:
56
等级: 6; EXP: 34
HP : 0 / 133 MP : 18 / 19495 ![]() |
第九章 BGP
9.1. Configuring BGP 提问 在网络中启用BGPPAN> 回答 Route1在AS 65500中 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Serial0 Router1(config-if)#ip address 192.168.55.6 255.255.255.252 Router1(config-if)#exit Router1(config)#router bgp 65500 Router1(config-router)#network 192.168.1.0 Router1(config-router)#neighbor 192.168.55.5 remote-as 65501 Router1(config-router)#no synchronization Router1(config-router)#exit Router1(config)#end Router1# Router2在AS 65501中 Router2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router2(config)#interface Serial0 Router2(config-if)#ip address 192.168.55.5 255.255.255.252 Router2(config-if)#exit Router2(config)#router bgp 65501 Router2(config-router)#network 172.25.17.0 mask 255.255.255.0 Router2(config-router)#neighbor 192.168.55.6 remote-as 65500 Router2(config-router)#no synchronization Router2(config-router)#exit Router2(config)#end Router2# 注释 在对BGP验证的时候比较有用的命令是 Router1#show ip bgp summary BGP router identifier 192.168.99.5, local AS number 65500 BGP table version is 7, main routing table version 7 4 network entries and 4 paths using 484 bytes of memory 2 BGP path attribute entries using 196 bytes of memory BGP activity 11/7 prefixes, 11/7 paths Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 192.168.55.5 4 65501 17 18 7 0 0 00:12:38 2 172.25.2.2 4 65531 527 526 0 0 0 21:05:23 Active Router1# 需要注意的是理想状态是State里面是数字,尽管是Active也不代表是配置正常,反而是配置出现错误。通过neighbor 172.20.1.2 update-source Loopback0 命令来限制BGP数据包源地址为回环地址,但要确保此地址的连通性 9.2. 使用eBGP Multihop 提问 配置外部BGP,但是不是直连的路由器 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip route 172.20.1.2 255.255.255.255 192.168.1.5 2 Router1(config)#router bgp 65500 Router1(config-router)#neighbor 172.20.1.2 remote-as 65530 Router1(config-router)#neighbor 172.20.1.2 update-source Loopback0 Router1(config-router)#neighbor 172.20.1.2 ebgp-multihop 3 Router1(config-router)#exit Router1(config)#end Router1# 注释 缺省情况下eBGP的路由器必须是直连的,如果不是直连的就需要使用此命令。一种说法是此跳数越小越好,但是RFC 3682说为了安全还是越大越好,思科在12.3(7)T后也采用了这个建议,使用了neighbor 192.168.55.5 ttl-security hops 1 命令,此命令会丢弃所有TTL小于255-1=254的BGP数据包,这时候如果对端eBGP邻居不支持此特性就必须使用下面的命令来配置neighbor 192.168.55.6 ebgp-multihop 255 9.3. 调整Next-Hop属性值 提问 在iBGP之间宣告路由时候修改下一跳属性值,使其指向内部AS的地址 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router bgp 65500 Router1(config-router)#neighbor 192.168.1.6 remote-as 65500 Router1(config-router)#neighbor 192.168.1.6 next-hop-self Router1(config-router)#exit Router1(config)#end Router1# 注释 正常情况下iBGP之间下一跳属性值是不会修改的,只会在eBGP时会进行修改,而此地址会指向eBGP邻居的地址,而往往内部AS的路由器没有到达此地址的路由。 9.4. 连接两个ISPs 提问 一台路由器连接两个ISP,保证网络冗余 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Serial0 Router1(config-if)#description connection to ISP #1, ASN 65510 Router1(config-if)#ip address 192.168.1.6 255.255.255.252 Router1(config-if)#exit Router1(config)#interface Serial1 Router1(config-if)#description connection to ISP #2, ASN 65520 Router1(config-if)#ip address 192.168.2.6 255.255.255.252 Router1(config-if)#exit Router1(config)#interface Ethernet0 Router1(config-if)#description connection to internal network, ASN 65500 Router1(config-if)#ip address 172.18.5.2 255.255.255.0 Router1(config-if)#exit Router1(config)#router bgp 65500 Router1(config-router)#network 172.18.5.0 mask 255.255.255.0 Router1(config-router)#neighbor 192.168.1.5 remote-as 65510 Router1(config-router)#neighbor 192.168.2.5 remote-as 65520 Router1(config-router)#no synchronization Router1(config-router)#exit Router1(config)#end Router1# 注释 注意此配置不是最佳配置,可能导致内部AS称为两个ISP的transit AS,同时导致自己路由器接收过多路由 9.5. 两台路由器分别连接两个ISP 提问 内部AS有两台路由器,分别连两个ISP保证网络冗余 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Serial0 Router1(config-if)#description connection to ISP #1, ASN 65510 Router1(config-if)#ip address 192.168.1.6 255.255.255.252 Router1(config-if)#exit Router1(config)#interface Ethernet0 Router1(config-if)#description connection to internal network, ASN 65500 Router1(config-if)#ip address 172.18.5.2 255.255.255.0 Router1(config-if)#exit Router1(config)#ip as-path access-list 15 permit ^$ Router1(config)#router bgp 65500 Router1(config-router)#network 172.18.5.0 mask 255.255.255.0 Router1(config-router)#neighbor 172.18.5.3 remote-as 65500 Router1(config-router)#neighbor 172.18.5.3 next-hop-self Router1(config-router)#neighbor 192.168.1.5 remote-as 65510 Router1(config-router)#neighbor 192.168.1.5 filter-list 15 out Router1(config-router)#no synchronization Router1(config-router)#exit Router1(config)#end Router1# Router2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router2(config)#interface Serial1 Router2(config-if)#description connection to ISP #2, ASN 65520 Router2(config-if)#ip address 192.168.2.6 255.255.255.252 Router2(config-if)#exit Router2(config)#interface Ethernet0 Router2(config-if)#description connection to internal network, ASN 65500 Router2(config-if)#ip address 172.18.5.3 255.255.255.0 Router2(config-if)#exit Router2(config)#ip as-path access-list 15 permit ^$ Router2(config)#router bgp 65500 Router2(config-router)#network 172.18.5.0 mask 255.255.255.0 Router2(config-router)#neighbor 192.168.2.5 remote-as 65520 Router2(config-router)#neighbor 192.168.2.5 filter-list 15 out Router2(config-router)#neighbor 172.18.5.2 remote-as 65500 Router2(config-router)#neighbor 172.18.5.2 next-hop-self Router2(config-router)#no synchronization Router2(config-router)#exit Router2(config)#end Router2# 注释 9.6. 限制向BGP 对端的网络宣告 提问 限制特定的路由公告给对端的AS 回答 有三种方法,第一种是扩展ACL Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#access-list 105 deny ip host 172.25.0.0 host 255.255.0.0 Router1(config)#access-list 105 permit ip any any Router1(config)#route-map ACL-RT-FILTER permit 10 Router1(config-route-map)#match ip address 105 Router1(config-route-map)#exit Router1(config)#route-map ACL-RT-FILTER deny 20 Router1(config-route-map)#exit Router1(config)#router bgp 65500 Router1(config-router)#neighbor 192.168.1.5 remote-as 65510 Router1(config-router)#neighbor 192.168.1.5 route-map ACL-RT-FILTER in Router1(config-router)#exit Router1(config)#end Router1# 第二种是使用distribute-list: Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#access-list 106 deny ip host 172.25.0.0 host 255.255.0.0 Router1(config)#access-list 106 permit ip any any Router1(config)#router bgp 65500 Router1(config-router)#neighbor 192.168.1.5 remote-as 65510 Router1(config-router)#neighbor 192.168.1.5 distribute-list 106 in Router1(config-router)#exit Router1(config)#end Router1# 第三种也是最常用的是使用prefix lists Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip prefix-list PREFIX-FILTER seq 10 deny 172.25.0.0/16 Router1(config)#ip prefix-list PREFIX-FILTER seq 20 permit 0.0.0.0/0 le 32 Router1(config)#router bgp 65500 Router1(config-router)#neighbor 192.168.1.5 remote-as 65510 Router1(config-router)#neighbor 192.168.1.5 prefix-list PREFIX-FILTER in Router1(config-router)#exit Router1(config)#end Router1# 注释 前两种使用的扩展ACL比较奇特,第一个host是子网,第二个host是子网掩码,而不是传统目的地址,所以host 172.25.0.0 host 255.255.0.0 就代表网络172.25.0.0/16,如果用正常的ACL就实现不了对无类网络的控制。所以推荐使用第三种方式prefixlist,此列表支持序列号,可以帮助你修改和插入新的条目 ge是大于,le是小于,控制子网掩码permit 0.0.0.0/0 le 32就是变相的permit any 9.7. 调整Local Preference属性值 提问 调整Local Preference属性值来控制路由选择 回答 第一种全局 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router bgp 65500 Router1(config-router)#bgp default local-preference 200 Router1(config-router)#exit Router1(config)#end Router1# 第二种使用route map控制 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip prefix-list LOW_LP_PREFIXES seq 10 permit 172.22.0.0/16 Router1(config)#route-map LOCALPREF permit 10 Router1(config-route-map)#match ip address prefix-list LOW_LP_PREFIXES Router1(config-route-map)#set local-preference 50 Router1(config-route-map)#exit Router1(config)#route-map LOCALPREF permit 20 Router1(config-route-map)#exit Router1(config)#router bgp 65500 Router1(config-router)#neighbor 192.168.1.5 remote-as 65510 Router1(config-router)#neighbor 192.168.1.5 route-map LOCALPREF in Router1(config-router)#exit Router1(config)#end Router1# 注释 此local preference属性值只在内部AS有用,选路级别高于AS Path。此值越大优先级越高,缺省值为100。Show ip bgp命令可以看到各个路由的local preference属性值 9.8. 负载均衡 提问 在BGP邻居之间的多链路上负载均衡流量 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router bgp 65500 Router1(config-router)#maximum-paths 4 Router1(config-router)#exit Router1(config)#end Router1# 注释 正常情况下BGP选路策略会保证只有一条路径,通过此命令可以增加到4条,不过要确保所有属性值相同,包括MED属性。同时注意此负载均衡只针对出流量而不适合入流量 9.9. 在AS Path属性值中清除私有ASNs 提问 避免内网中的私有ASN传播到互联网 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Serial0 Router1(config-if)#description connection to ISP #1, ASN 1 Router1(config-if)#ip address 192.168.1.6 255.255.255.252 Router1(config-if)#exit Router1(config)#interface Serial1 Router1(config-if)#description connection to private network, ASN 65500 Router1(config-if)#ip address 192.168.5.1 255.255.255.252 Router1(config-if)#exit Router1(config)#router bgp 2 Router1(config-router)#neighbor 192.168.5.2 remote-as 65500 Router1(config-router)#neighbor 192.168.1.5 remote-as 1 Router1(config-router)#neighbor 192.168.1.5 remove-private-AS Router1(config-router)#no synchronization Router1(config-router)#exit Router1(config)#end Router1# 注释 注意此命令是不能删除那些在公共ASN之间的私有ASN 9.10. 基于AS Path属性值的路由过滤 提问 基于接收或者发送路由的AS Path属性值进行路由过滤 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip as-path access-list 15 permit ^65501$ Router1(config)#ip as-path access-list 25 permit _65530_ Router1(config)#ip as-path access-list 25 deny _65531$ Router1(config)#ip as-path access-list 25 permit .* Router1(config)#router bgp 65500 Router1(config-router)#neighbor 192.168.1.5 remote-as 65510 Router1(config-router)#neighbor 192.168.1.5 filter-list 15 in Router1(config-router)#neighbor 192.168.2.5 remote-as 65520 Router1(config-router)#neighbor 192.168.2.5 filter-list 25 out Router1(config-router)#exit Router1(config)#end Router1# 注释 正则表达式过滤 9.11. 减少接收到的路由表大小 提问 通过汇总接收到路由的方式来减少所接收的路由表大小 回答 通过缺省路由的方式来过滤到过多的外部路由 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip route 0.0.0.0 0.0.0.0 192.168.101.0 1 Router1(config)#ip route 0.0.0.0 0.0.0.0 192.168.102.0 2 Router1(config)#ip prefix-list CREATE-DEFAULT seq 10 permit 192.168.101.0/24 Router1(config)#ip prefix-list CREATE-DEFAULT seq 20 permit 192.168.102.0/24 Router1(config)#router bgp 65500 Router1(config-router)#neighbor 192.168.1.5 remote-as 65520 Router1(config-router)#neighbor 192.168.1.5 prefix-list CREATE-DEFAULT in Router1(config-router)#exit Router1(config)#end Router1# 注释 9.12. 出方向路由信息汇总 提问 在向下游路由器发送路由表之前进行路由汇总 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router bgp 65500 Router1(config-router)#neighbor 192.168.1.5 remote-as 65520 Router1(config-router)#auto-summary Router1(config-router)#exit Router1(config)#end Router1# 注释 这是缺省行为,但是是有类的汇总,并且只能针对再分发过来的路由,不能适用于network命令配置的路由。思科使用了如下命令对出方向路由进行汇总 Router3(config)#router bgp 65530 Router3(config-router)#aggregate-address 172.20.0.0 255.252.0.0 summary-only Summaryonly选项只发布汇总路由,去掉后会发送汇总路由和子网路由,而为了避免回环建议添加as-set选项 9.13. 在AS Path属性值中添加更多ASN 提问 通过增加AS Path属性中ASN的数目来影响BGP选路 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#ip as-path access-list 15 permit ^$ Router1(config)#route-map PREPEND permit 10 Router1(config-route-map)#match as-path 15 Router1(config-route-map)#set as-path prepend 65500 65500 65500 Router1(config-route-map)#exit Router1(config)#route-map PREPEND permit 20 Router1(config-route-map)#exit Router1(config)#router bgp 65500 Router1(config-router)#neighbor 192.168.1.5 remote-as 65510 Router1(config-router)#neighbor 192.168.1.5 route-map PREPEND out Router1(config-router)#exit Router1(config)#end Router1# 注释 通过这种方式来影响入流量 9.14. 再发布路由到BGP 提问 IGP和BGP之间的再分发 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router ospf 100 Router1(config-router)#network 172.26.0.0 0.0.255.255 area 0 Router1(config-router)#redistribute bgp 65500 metric 500 subnets Router1(config-router)#exit Router1(config)#router bgp 65500 Router1(config-router)#neighbor 192.168.1.5 remote-as 65520 Router1(config-router)#network 172.26.0.0 Router1(config-router)#exit Router1(config)#end Router1# Router2(config)#route-map REDIST permit 5 Router2(config-route-map)#match tag 123 Router2(config-route-map)#exit Router2(config)#route-map REDIST deny 10 Router2(config-route-map)#match route-type external Router2(config-route-map)#exit Router2(config)#route-map REDIST permit 20 Router2(config-route-map)#exit Router2(config)#router bgp 65520 Router2(config-router)#redistribute eigrp 99 route-map REDIST metric 500 注释 9.15. 使用Peer Groups 提问 使用组的形式来简化对多个相同属性邻居的配置 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router bgp 65500 Router1(config-router)#neighbor EBGP-PEERS peer-group Router1(config-router)#neighbor EBGP-PEERS prefix-list PRE-RTFILTER in Router1(config-router)#neighbor EBGP-PEERS filter-list 15 out Router1(config-router)#neighbor 192.168.1.5 remote-as 65520 Router1(config-router)#neighbor 192.168.1.5 peer-group EBGP-PEERS Router1(config-router)#neighbor 192.168.1.9 remote-as 65521 Router1(config-router)#neighbor 192.168.1.9 peer-group EBGP-PEERS Router1(config-router)#neighbor 192.168.1.13 remote-as 65522 Router1(config-router)#neighbor 192.168.1.13 peer-group EBGP-PEERS Router1(config-router)#neighbor 192.168.1.17 remote-as 65523 Router1(config-router)#neighbor 192.168.1.17 peer-group EBGP-PEERS Router1(config-router)#exit Router1(config)#end Router1# 注释 当然也可以针对iBGP邻居 Router1(config)#router bgp 6550 Router1(config-router)#neighbor IBGP-PEERS peer-group Router1(config-router)#neighbor IBGP-PEERS update-source Loopback0 Router1(config-router)#neighbor IBGP-PEERS route-reflector-client Router1(config-router)#neighbor 192.168.101.5 remote-as 65500 Router1(config-router)#neighbor 192.168.101.5 peer-group IBGP-PEERS Router1(config-router)#neighbor 192.168.101.9 remote-as 65500 Router1(config-router)#neighbor 192.168.101.9 peer-group IBGP-PEERS 9.16. BGP邻居认证 提问 使用认证增加安全性 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router bgp 65500 Router1(config-router)#neighbor 192.168.55.5 remote-as 65501 Router1(config-router)#neighbor 192.168.55.5 password password-1234 Router1(config-router)#exit Router1(config)#end Router1# 注释 9.17. 使用BGP Communities 提问 使用BGP Communities来对路由进行控制 回答 首先要通过route map的方式针对邻居设定希望的Communities值 Router3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router3(config)#ip prefix-list 10.101/16 seq 5 permit 10.101.0.0/16 Router3(config)#ip prefix-list 10.102/16 seq 5 permit 10.102.0.0/16 Router3(config)#ip prefix-list 10.103/16 seq 5 permit 10.103.0.0/16 Router3(config)#ip prefix-list 10.104/16 seq 5 permit 10.104.0.0/16 Router3(config)#ip prefix-list 10.105/16 seq 5 permit 10.105.0.0/16 Router3(config)#route-map APPLY_COMMUNITY_A permit 10 Router3(config-route-map)#match ip address prefix-list 10.101/16 Router3(config-route-map)#set community no-advertise Router3(config-route-map)#exit Router3(config)#route-map APPLY_COMMUNITY_A permit 20 Router3(config-route-map)#match ip address prefix-list 10.102/16 Router3(config-route-map)#set community no-export Router3(config-route-map)#exit Router3(config)#route-map APPLY_COMMUNITY_A permit 30 Router3(config-route-map)#match ip address prefix-list 10.103/16 Router3(config-route-map)#set community local-AS Router3(config-route-map)#exit Router3(config)#route-map APPLY_COMMUNITY_A permit 40 Router3(config-route-map)#match ip address prefix-list 10.104/16 Router3(config-route-map)#set community internet Router3(config-route-map)#exit Router3(config)#route-map APPLY_COMMUNITY_A permit 50 Router3(config-route-map)#match ip address prefix-list 10.105/16 Router3(config-route-map)#set community 4293328976 Router3(config-route-map)#exit Router3(config)#route-map APPLY_COMMUNITY_A permit 100 Router3(config-route-map)#exit Router3(config)#router bgp 65500 Router3(config-router)#no synchronization Router3(config-router)#neighbor 172.18.5.3 remote-as 65500 Router3(config-router)#neighbor 172.18.5.3 next-hop-self Router3(config-router)#neighbor 172.18.5.3 send-community both Router3(config-router)#neighbor 172.18.5.10 remote-as 65500 Router3(config-router)#neighbor 172.18.5.10 next-hop-self Router3(config-router)#neighbor 172.18.5.10 send-community both Router3(config-router)#neighbor 192.168.1.9 remote-as 65520 Router3(config-router)#neighbor 192.168.1.9 send-community both Router3(config-router)#neighbor 192.168.1.9 route-map APPLY_COMMUNITY_A in Router3(config-router)#exit Router3(config)#end Router3# 在下游路由器上配置命令使其可以分发此Community值 Router2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router2(config)#router bgp 65500 Router2(config-router)#no synchronization Router2(config-router)#neighbor 172.18.5.4 remote-as 65500 Router2(config-router)#neighbor 172.18.5.4 send-community both Router2(config-router)#neighbor 172.18.5.10 remote-as 65500 Router2(config-router)#neighbor 172.18.5.10 send-community both Router2(config-router)#no auto-summary Router2(config-router)#exit Router2(config)#end Router2# 注释 通过定义local-as,no-advertise,no-export,internet四种不同community属性值的方式来限制路由公告的范围 9.18. 使用BGP Route Reflectors 提问 通过路由反射器的方式来简化iBGP邻居关系 回答 只要针对三种不同角色路由器的配置 Router1是Client Peer: Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Ethernet0/0 Router1(config-if)#ip address 172.18.5.2 255.255.255.0 Router1(config-if)#exit Router1(config)#interface Serial0/0 Router1(config-if)#ip address 192.168.1.6 255.255.255.252 Router1(config-if)#exit Router1(config)#interface Loopback0 Router1(config-if)#ip address 172.18.6.1 255.255.255.255 Router1(config-if)#exit Router1(config)#router bgp 65500 Router1(config-router)#no synchronization Router1(config-router)#neighbor 172.18.6.2 remote-as 65500 Router1(config-router)#neighbor 172.18.6.2 next-hop-self Router1(config-router)#neighbor 172.18.6.2 update-source Loopback0 Router1(config-router)#neighbor 192.168.1.5 remote-as 65510 Router1(config-router)#exit Router1(config)#ip route 172.18.6.2 255.255.255.255 172.18.5.3 Router1(config)#ip route 172.18.6.3 255.255.255.255 172.18.5.4 Router1(config)#ip route 172.18.6.4 255.255.255.255 172.18.5.10 Router1(config)#end Router1# Router4 是Nonclient Peer: Router4#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router4(config)#interface Ethernet0 Router4(config-if)#ip address 172.18.5.10 255.255.255.0 Router4(config-if)#exit Router4(config)#interface Loopback0 Router4(config-if)#ip address 172.18.6.4 255.255.255.255 Router4(config-if)#exit Router4(config)#router bgp 65500 Router4(config-router)#no synchronization Router4(config-router)#neighbor 172.18.6.2 remote-as 65500 Router4(config-router)#neighbor 172.18.6.2 update-source Loopback0 Router4(config-router)#exit Router4(config)#ip route 172.18.6.1 255.255.255.255 172.18.5.2 Router4(config)#ip route 172.18.6.2 255.255.255.255 172.18.5.3 Router4(config)#ip route 172.18.6.3 255.255.255.255 172.18.5.4 Router4(config)#end Router4# R2是 Route Reflector Router2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router2(config)#interface FastEthernet0/0 Router2(config-if)#ip address 172.18.5.3 255.255.255.0 Router2(config-if)#exit Router2(config)#interface Loopback0 Router2(config-if)#ip address 172.18.6.2 255.255.255.255 Router2(config-if)#exit Router2(config)#router bgp 65500 Router2(config-router)#no synchronization Router2(config-router)#neighbor 172.18.6.1 remote-as 65500 Router2(config-router)#neighbor 172.18.6.1 route-reflector-client Router2(config-router)#neighbor 172.18.6.1 update-source Loopback0 Router2(config-router)#neighbor 172.18.6.3 remote-as 65500 Router2(config-router)#neighbor 172.18.6.3 route-reflector-client Router2(config-router)#neighbor 172.18.6.3 update-source Loopback0 Router2(config-router)#neighbor 172.18.6.4 remote-as 65500 Router2(config-router)#neighbor 172.18.6.4 update-source Loopback0 Router2(config-router)#no auto-summary Router2(config-router)#exit Router2(config)#ip route 172.18.6.1 255.255.255.255 172.18.5.2 Router2(config)#ip route 172.18.6.3 255.255.255.255 172.18.5.4 Router2(config)#ip route 172.18.6.4 255.255.255.255 172.18.5.10 Router2(config)#end Router2# 注释 路由反射器是解决要求iBGP全互联的问题。不过为了保证冗余性还是要配置多个路由反射器,使用bgp cluster-id 1234命令来定义cluster <!--[if !supportLists]-->9.19. <!--[endif]-->汇总实验 提问 结合前面的方法,重新配置一台路由器两个冗余链路的情况 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Serial0 Router1(config-if)#description connection to ISP #1, ASN 65510 Router1(config-if)#ip address 192.168.1.6 255.255.255.252 Router1(config-if)#exit Router1(config)#interface Serial1 Router1(config-if)#description connection to ISP #2, ASN 65520 Router1(config-if)#ip address 192.168.2.6 255.255.255.252 Router1(config-if)#exit Router1(config)#interface Ethernet0 Router1(config-if)#description connection to internal network, ASN 65500 Router1(config-if)#ip address 172.18.5.2 255.255.255.0 Router1(config-if)#exit Router1(config)#ip as-path access-list 15 permit ^$ Router1(config)#ip route 0.0.0.0 0.0.0.0 192.168.101.0 1 Router1(config)#ip route 0.0.0.0 0.0.0.0 192.168.102.0 2 Router1(config)#ip prefix-list CREATE-DEFAULT seq 10 permit 192.168.101.0/24 Router1(config)#ip prefix-list CREATE-DEFAULT seq 20 permit 192.168.102.0/24 Router1(config)#ip prefix-list BLOCK-DEFAULT seq 10 permit 0.0.0.0/0 ge 1 Router1(config)#route-map PREPEND permit 10 Router1(config-route-map)#set as-path prepend 65500 65500 Router1(config-route-map)#exit Router1(config)#route-map LOCALPREF permit 10 Router1(config-route-map)#set local-preference 75 Router1(config-route-map)#exit Router1(config)#route-map DEFAULT-ROUTE permit 10 Router1(config-route-map)#match ip address prefix-list CREATE-DEFAULT Router1(config-route-map)#exit Router1(config)#router bgp 65500 Router1(config-router)#network 172.18.5.0 mask 255.255.255.0 Router1(config-router)#neighbor 172.18.5.3 remote-as 65500 Router1(config-router)#neighbor 172.18.5.3 password password_number1 Router1(config-router)#neighbor 172.18.5.3 default-origniate route-map DEFAULT-ROUTE Router1(config-router)#neighbor 192.168.1.5 remote-as 65510 Router1(config-router)#neighbor 192.168.1.5 password password_number2 Router1(config-router)#neighbor 192.168.1.5 filter-list 15 out Router1(config-router)#neighbor 192.168.1.5 prefix-list CREATE-DEFAULT in Router1(config-router)#neighbor 192.168.1.5 prefix-list BLOCK-DEFAULT out Router1(config-router)#neighbor 192.168.2.5 remote-as 65520 Router1(config-router)#neighbor 192.168.2.5 password password_number3 Router1(config-router)#neighbor 192.168.2.5 filter-list 15 out Router1(config-router)#neighbor 192.168.2.5 prefix-list CREATE-DEFAULT in Router1(config-router)#neighbor 192.168.2.5 prefix-list BLOCK-DEFAULT out Router1(config-router)#neighbor 192.168.2.5 route-map PREPEND out Router1(config-router)#neighbor 192.168.2.5 route-map LOCALPREF in Router1(config-router)#no synchronization Router1(config-router)#exit Router1(config)#end Router1#
2007/3/5 22:16
|
|
![]() |
回复: Cisco IOS Cookbook 中文精简版 |
||
---|---|---|
网站管理员
![]() ![]() 注册日期:
1970/1/1 8:00 所属群组:
网站管理员 注册会员 帖子:
56
等级: 6; EXP: 34
HP : 0 / 133 MP : 18 / 19495 ![]() |
第十章 帧中继
10.1. 使用点对点子接口的方式配置帧中继 提问 ">每个PVC归属特定子接口的方式来配置帧中继 回答 中心配置 Central#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Central(config)#interface Serial0 Central(config-if)#description Frame-Relay host circuit Central(config-if)#no ip address Central(config-if)#encapsulation frame-relay Central(config-if)#exit Central(config)#interface Serial0.1 point-to-point Central(config-subif)#description PVC to first branch - DLCI 101 Central(config-subif)#ip address 192.168.1.5 255.255.255.252 Central(config-subif)#frame-relay interface-dlci 101 Central(config-fr-dlci)#exit Central(config-subif)#exit Central(config)#interface Serial0.2 point-to-point Central(config-subif)#description PVC to second branch - DLCI 102 Central(config-subif)#ip address 192.168.1.9 255.255.255.252 Central(config-subif)#frame-relay interface-dlci 102 Central(config-fr-dlci)#exit Central(config-subif)#exit Central(config)#end Central# 边缘配置 Branch1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Branch1(config)#interface Serial0 Branch1(config-if)#description Frame-Relay circuit Branch1(config-if)#no ip address Branch1(config-if)#encapsulation frame-relay Branch1(config-if)#exit Branch1(config)#interface Serial0.1 point-to-point Branch1(config-subif)#description PVC to Central host - DLCI 50 Branch1(config-subif)#ip address 192.168.1.6 255.255.255.252 Branch1(config-subif)#frame-relay interface-dlci 50 Branch1(config-fr-dlci)#exit Branch1(config-if)#exit Branch1(config)#end Branch1# 注释 点对点子接口方式应该是最简单的一种帧中继配置方式了。对于互联非思科设备时候可能需要人工指定包封装格式为标准的IETF格式(RFC1490),可以在接口下配置encapsulation frame-relay ietf 或者在子接口下配置frame-relay interface-dlci 101 ietf。当你启用帧中继的时候路由器会自动激活Inverse ARP,而通常都是自动配置映射关系,所以我们一般都不需要no frame-relay inverse-arp。还有要注意的是这里的interface Serial0.1 point-to-point,后面的子接口模式不能写错,否则需要删除错误的,然后重启才可以更改 10.2. 调整LMI 选项 提问 在帧中继电路上配置不同的LMI 回答 Branch1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Branch1(config)#interface Serial0 Branch1(config-if)#encapsulation frame-relay Branch1(config-if)#frame-relay lmi-type ansi (cisco,q933a) Branch1(config-if)#exit Branch1(config)#end Branch1# 缺省情况下LMI的Keeplive包每十秒钟发一次,也可以调整此间隔 Branch1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Branch1(config)#interface Serial0 Branch1(config-if)#encapsulation frame-relay Branch1(config-if)#keepalive 5 Branch1(config-if)#exit Branch1(config)#end Branch1# 对于不支持LMI的网络必须配置路由器宣告自己的DLCI Branch1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Branch1(config)#interface Serial0 Branch1(config-if)#encapsulation frame-relay Branch1(config-if)#frame-relay local-dlci 50 Branch1(config-if)#exit Branch1(config)#end Branch1# 注释 对于最后不支持LMI的例子中建议用no keepalive 来关闭LMI的轮询 10.3. 使用MAP命令配置 提问 所有的PVC共享同一个接口 回答 Central#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Central(config)#interface Serial0 Central(config)#description Frame Relay to branches Central(config-if)#ip address 192.168.1.1 255.255.255.0 Central(config-if)#encapsulation frame-relay Central(config-if)#frame-relay map ip 192.168.1.10 101 Central(config-if)#frame-relay map ip 192.168.1.11 102 Central(config-if)#frame-relay map ip 192.168.1.12 103 Central(config-if)#exit Central(config)#end Central# 注释 在10.1中使用了点对点子接口的方式来配置,此小节MAP的方式和下节的多点子接口都是类似的实现方法,但是在网管中点对点可以生成各个PVC的trap,而后两种则无法针对每个链路产生告警。同时由于帧中继是NBMA网络,所以建议frame-relay map ip 192.168.1.10 101 broadcast 方式来允许广播包的传递 10.4. 使用多点子接口 提问 所有的PVC共享同一个接口 回答 Central#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Central(config)#interface Serial0.1 multipoint Central(config-subif)#description Frame Relay to branches Central(config-subif)#ip address 192.168.1.1 255.255.255.0 Central(config-subif)#frame-relay interface-dlci 101 Central(config-subif)#frame-relay interface-dlci 102 Central(config-subif)#frame-relay interface-dlci 103 Central(config-subif)#frame-relay interface-dlci 104 Central(config-subif)#exit Central(config)#end Central# 注释 这种配置方式最大的不同就是不需要配置映射,使用的Inverse ARP,所以在这种模式下不能禁用反向ARP。可以通过show frame-relay map命令来验证 10.5. 配置帧中继SVCs 提问 配置路由器使其支持帧中继SVC 回答 SVC子接口模式 Central#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Central(config)#interface Serial0 Central(config-if)#encapsulation frame-relay Central(config-if)#frame-relay lmi-type q933a Central(config-if)#frame-relay svc Central(config-if)#exit Central(config)#interface Serial0.10 point-to-point Central(config-subif)#ip address 192.168.1.129 255.255.255.252 Central(config-subif)#frame-relay interface-dlci 100 Central(config-subif)#map-group SVCMAP Central(config-fr-dlci)#class SVCclass Central(config-fr-dlci)#exit Central(config-subif)# exit Central(config)#map-list SVCMAP source-addr X121 1234 dest-addr X121 4321 Central(config-map-list)#ip 192.168.55.6 class SVCclass ietf Central(config-map-list)#exit Central(config)#map-class frame-relay SVCclass Central(config-map-class)#frame-relay traffic-rate 56000 128000 Central(config-map-class)#exit Central(config)#end Central# SVC非子接口模式 Central#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Central(config)#interface Serial0 Central(config-if)#ip address 192.168.55.1 255.255.255.0 Central(config-if)#encapsulation frame-relay Central(config-if)#frame-relay lmi-type q933a Central(config-if)#frame-relay svc Central(config-if)#map-group SVCMAP Central(config-if)#frame-relay interface-dlci 50 Central(config-fr-dlci)#class SVCclass Central(config-fr-dlci)#exit Central(config-if)#exit Central(config)#map-list SVCMAP source-addr X121 1234 dest-addr X121 4321 Central(config-map-list)#ip 192.168.55.6 class SVCclass ietf Central(config-map-list)#exit Central(config)#map-class frame-relay SVCclass Central(config-map-class)#frame-relay traffic-rate 56000 128000 Central(config-map-class)#exit Central(config)#end Central# 注释 缺省情况下在空闲120秒后此SVC会被拆除,可以使用frame-relay idle-timer 命令来修改。通过show frame-relay svc maplist SVCMAP 来验证。一般网络中都使用PVC,SVC用于节省成本,但是增加了复杂性和管理难度,路由器可以自动增加或者删除链路 10.6. 模拟帧中继云 提问 使用一台路由器来模拟帧中继交换机 回答 Cloud#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Cloud(config)#frame-relay switching Cloud(config)#interface Serial0 Cloud(config-if)#description Frame-relay connection to Central - DLCI 50 Cloud(config-if)#encapsulation frame-relay Cloud(config-if)#clock rate 125000 Cloud(config-if)#frame-relay lmi-type cisco Cloud(config-if)#frame-relay intf-type dce Cloud(config-if)#frame-relay route 101 interface Serial1 50 Cloud(config-if)#frame-relay route 102 interface Serial2 50 Cloud(config-if)#exit Cloud(config)#interface Serial1 Cloud(config-if)#description Frame-relay connection to Branch1 - DLCI 101 Cloud(config-if)#encapsulation frame-relay Cloud(config-if)#clock rate 125000 Cloud(config-if)#frame-relay lmi-type cisco Cloud(config-if)#frame-relay intf-type dce Cloud(config-if)#frame-relay route 50 interface Serial0 101 Cloud(config-if)#exit Cloud(config)#interface Serial2 Cloud(config-if)#description Frame-relay connection to Branch2 - DLCI 102 Cloud(config-if)#encapsulation frame-relay Cloud(config-if)#clock rate 125000 Cloud(config-if)#frame-relay lmi-type cisco Cloud(config-if)#frame-relay intf-type dce Cloud(config-if)#frame-relay route 50 interface Serial0 102 Cloud(config-if)#exit Cloud(config)#end Cloud# 注释 此种模拟不支持SVC,同时对于流量整形或者与BECN相关的特性的支持都不是很好。show frame-relay route 命令来查看当前的链路交换配置。 10.7. 子接口配置下的帧中继压缩 提问 在接口配置帧中继的压缩 回答 Central#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Central(config)#interface Serial0 Central(config-if)#encapsulation frame-relay Central(config-if)#frame-relay ip tcp header-compression passive Central(config-if)#frame-relay payload-compression frf9 stac (packet-by-packet) Central(config-if)#exit Central(config)#end Central# 注释 passive参数的含义是只有收到了压缩的数据包才会采用压缩。压缩模式上建议使用FRF.9这个开放标准。使用命令show frame-relay ip tcp header-compression 可以看到压缩的统计数据 10.8. MAP命令下的帧中继压缩 提问 配置MAP命令下的帧中继压缩 回答 Central#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Central(config)#interface Serial0 Central(config-if)#description Frame Relay to branches Central(config-if)#ip address 192.168.1.1 255.255.255.0 Central(config-if)#encapsulation frame-relay Central(config-if)#frame-relay map ip 192.168.1.10 101 payload-compression frf9 stac Central(config-if)#exit Central(config)#end Central# 注释 10.9. PPP over Frame Relay 提问 帧中继链路配置PPP封装 回答 Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#interface Loopback1 Router1(config-if)#ip address 10.1.200.5 255.255.255.252 Router1(config-if)#exit Router1(config)#interface Virtual-Template1 Router1(config-if)#ip unnumbered Loopback1 Router1(config-if)#encapsulation ppp Router1(config-if)#exit Router1(config)#interface Serial0 Router1(config-if)#no ip address Router1(config-if)#encapsulation frame-relay Router1(config-if)#exit Router1(config)#interface Serial0.1 point-to-point Router1(config-subif)#frame-relay interface-dlci 104 ppp Virtual-Template1 Router1(config-fr-dlci)#exit Router1(config-subif)#exit Router1(config)#end Router1# 注释 有点鬼… <!--[if !supportLists]-->10.10. <!--[endif]-->查看帧中继状态 提问 查看帧中继状态 回答 Central#show interfaces Serial0 Central#show frame-relay pvc Central#show frame-relay lmi
2007/3/5 22:17
|
|
![]() |
您可以查看帖子.
您不可发帖.
您不可回复.
您不可编辑自己的帖子.
您不可删除自己的帖子.
您不可发起投票调查.
您不可在投票调查中投票.
您不可上传附件.
您不可不经审核直接发帖.