ODR、EIGRP、OSPF、BGP、PPPOE、IPV6

• CDP、ODR

全局是cdp run

接口是cdp enable

#show cdp neighbors 可以加detail

#clear cdp table  清空cdp

conf#router odr 开启ODR

• EIGRP

#show ip eigrp neighbors detail 查看邻居详情

#show ip protocol

#show ip eigrp interface        
  查看接口EIGRP详情

conf-router#metric weights 0 K1 K2 K3 K4 K5
修改EIGRP的K值

conf-if#ip hello-interval eigrp 1 5   设置hello包时间

conf-if#ip hold-timeeigrp 1 15      
设置存活时间，不能比hello小

conf-router#passive-interface default

conf-router#passive-interface 接口

认证

conf-router#Key chain NAME

conf-keychain#key 1

conf-keychain-key#key-string 111

conf-keychain-key#accept-lifetime
00:00:00 jan 1 2015 infinite

conf-keychain-key#send-lifetime
00:00:00 jan 1 2015 infinite

conf-if#ip authentication mode eigrp 1 md5

conf-if#ip authentication key-chain eigrp 1 NAME

#show key chain

末梢配置

conf-router#eigrp stub 参数 
 默认connected\summary

receive-only只收不发

connected允许发送直连，可能需要重分发

static允许发送静态

summary允许发送路由汇总更新

redistribute允许发送重分发路由

• OSPF

conf-if#ip ospf 1 area 0 接口单独启用OSPF命令

#clear ip ospf process重启OSPF进程

#show ip border-routers 查看ABR
ASBR

conf-if#ip ospf cost 10修改cost

OSPF认证2017/2/23

conf-if#ip ospf authentication-key PWD    
创建明文认证

conf-if#ip ospf authentication     接口开启认证

conf-router#area 0 authentication  区域开启认证

conf-if#ip ospf message-digest-key 1 md5 PWD  
  创建密文认证

conf-if#ip ospf authentication message-digest  
 接口开启认证

conf-router#area 0 authentication message-digest
区域开启认证

虚拟链路：

conf-router#area 1 virtual-link 1.1.1.1  1为要在哪个区域创建虚链路 1.1地址为对面的router-id

修改网络类型命令，只能用在串口S口：

conf-if#ip ospf network ？

conf-router#neighbor 邻居IP （priorty X） NBMA手动唤醒邻居单播形式

LSA类型：

#show ip ospf database router     查看LSA类型1

#show ip ospf database network   查看LSA类型2

#show ip ospf database summer  查看LSA类型3

#show ip ospf database asbr-summer

末梢区域优化，减少LSA：

非区域0有ABR没有ASBR没有虚链路

conf-router#area 所在区域 stub

*区域内所有路由都要敲这条命令包括ABR

conf-router#area 所在区域 stub no-summary 完全末梢 去除3类LSA
在ABR上敲

conf-router（ABR）#area 2 default-cost 10

*末梢屏蔽4类5类，完全末梢屏蔽3类4类5类

非纯末梢区域NSSA

conf-router#area 所在区域 nssa

*区域内所有路由都要敲这条命令

conf-router#area 所在区域 nssa
default-information-originate 向nssa     下发默认路由，ABR路由敲

conf-router#area 所在区域 nssa no-summary   完全nssa
 去除3类LSA 在ABR上敲

• 路由重分发

int 进入所在协议

A>B 单向路由，B可能需要默认路由或者静态路由 A<>B双向路由，不需要

conf-router#redistribute 协议 metric OR 10000带宽
10延迟 255可靠性 1负载 1500MTU 重分发

外部注入OSPF时一定要conf-router#redistribute eigrp 100
subnets  可加参数metric-type 1改为类型1 计算开销

conf-router#redistribute connected/static 注入直连/静态

conf-router#default-metric 10（100000 10 255 1 1500）
 修改默认跳数或默认值

把管理距离低的注入到高的管理距离会导致次优路径

解决方法：修改AD管理距离

conf-router#distance
109 源头IP 反掩码 ACL（要修改的IP）

• 路由策略

conf-router#passive-interface default

conf-router#passive-interface 被动接口

ACL访问控制列表控制

创建访问控制列表---NA知识里的ACL

conf-router#distribute-list ACL名 out/in f0/0
在重分发时调用ACL

前缀列表控制

conf#ip prefix-list NAME deny 1.1.1.1/8    
创建前缀列表

conf#ip prefix-list NAME permit  0.0.0.0/0 le
32    允许所有

ge=大于等于

le=小余等于

0.0.0.0/0 le 32 所有网络

conf-router#distribute-list prefix NAME out f0/0
   在重分发是调用前缀列表

MAP-创建匹配策略

conf#route-map NAME permit/deny 10    
创建MAP

conf-map#match ip add ACL-NAME  NAME NAME  
匹配ACL NAME横着表示OR

OR
 conf-map#match ip add prefix-list NAME     匹配prefix-list

conf-router#redistribute rip router-map  MAPNAME
重分发时调用MAP 隐含拒绝所有

conf#router-map NAME permit 20

router-map#set tag 100

conf-map#match tag 100 匹配标记为100

• 策略路由

流量入站接口

先配置access-list选择源流量地址 eq 80

conf#route-map NAME permit 10    创建routermap

conf-map#match ip address 1     匹配ACL-1

conf-map#set ip default next-hop 1.1.1.1

conf#route-map NAME permit 20

conf-map#match ip address 2     匹配ACL-2

conf-map#set ip default next-hop 2.2.2.2

conf#route-map  NAME permit 30

conf-map#set default
interface null0     设置黑洞接口

conf#ip local policy route-map NME  
  路由器本地调用

conf-if#ip policy route-map NAME  
  接口调用

#show ip policy

• BGP

conf#router bgp 1

conf-router#bgp router-id 1.1.1.1

conf-router#neighbor 1.1.12.2(对方BGP接口IP)
remote-as 2（对方BGPAS号)    邻居建立必须可达

conf-router#neighbor 2.2.2.2 update-source lo 0
  用环回口建邻居

内部建立BGP最好用回环口保证稳定，跑OSPF使内部保持互通，本身AS号必须是对方remoteAS号，源IP必须是对方neighborIP

宣告conf-router#network 1.1.1.1 mask 255.255.255.0 掩码精确，不跟掩码主类,宣告必须是路由表里有的

EBGP要用回环口建立邻居必须修改TTL写静态路由，通常用直连建立EBGP

conf-router#neighbor 2.2.2.2
ebgp-multihop 2 修改TTL为2

EBGP会更新下一跳

IBGP不会更新下一跳

内部IBGP发给其他路由需要强制更新下一跳

conf-router#neighbor 1.1.1.1（IBGP邻居IP） next-hop-self

conf-router#aggregate-address 汇总IP 正掩码 参数

summary-only
    只发汇总

suppress-map
NAME（route-map）     抑制明细

as-set  
  汇总路由和明细路由不在同一台路由上，防止回传产生的环路

#show ip bgp summary     查看

#show ip bgp

#clear ip bgp * soft 软清

#clear ip bgp *     硬清，所有路由表重新建立

EBGP邻居路由表只传一跳

EBGP     N   W L L A   O M N I  
  W、L越大越优先

&N : 0 NEXTHOP下一跳必须可达 前提条件

&W : 1 weight，权重，只在本地有效，不传给邻居

>conf-route#neighbor 2.2.2.2 weight 1 把邻居发来的权重修改为1

>>route-map#set weight 1(写route-map一定要跟空语句)

&L : 2 LOCAL P 本地优先级

>conf-route#neighbor 2.2.2.2 route-map
NAME out 将map中源网段的loocal发给邻居

>>route-map#set
loocal 101

&L : 3 0.0.0.0表示下一跳是本地 优先于其他任何

&A : 4 AS path 数量约小越优先

>conf-rout#neighbor 10.1.12.2 route-map NAME
in 将MAP中传过来的网段ASPATH修改

>>route-map#set as-path
prepend 重复源AS号 在之前经过N个源AS号

&O : 5 origin起源

&M : 6 MDE metrinc 只在相邻AS传递，不发给第三个AS，越小越优先

>neighbor
10.1.12.2 route-map NAME out

>>route-map#shet metric
10   将源地址的metric挂载为10传给目标邻居

&N : 7 Neighbor type 邻居类型,AD,EBGP(20)>IBGP(200)

&I : 8 IGP  比较下一跳IGP的度量值，越小越优先

&O : 9 OLD  越老越优先，EBGP

&I ：10 route-id 越小越优先

IBGP路由只传给邻居只传一跳>>>>

路由反射器>

config-router#neighbor 邻居地址 route-reflector-client
    指定邻居为客户端 本机为RR

RR会把客户机路由反射给非客户机，非客户机会反射给客户机，不带属性

联邦联盟(内部)>

64512-65535     删大的AS>创建小的AS>

conf#router bgp 65012

conf-router#bgp confederation identifier 123
声明自己所在的大AS

conf-router#bgp confederation peers 65003
可以多个，指定邻居小AS

conf-router#建立邻居

conf-router#neighbor 2.2.2.2 ebgp-multihop 2 用环回口小AS边界EBGP修改TTL为2

• IPV6

conf-if#ipv6 enable     接口开启IPV6

#show ipv6 int bried     查看IPV6

IPV6可以多个地址，不会覆盖

IPV4要配多个地址要加sec辅助地址

静态路由跟出站接口要加对方链路本地地址conf#ipv6
route 200::/64 f0/0 fe80

fe80     #show
ipv6 neighbors

默认路由::/0

所有动态路由协议要开启ipv6     conf#ipv6 unicast-routing

IPV6动态路由协议不要network

RIP

conf#ipv6 router rip
NAME      NAME本地有效

conf-if#ipv6 rip NAME enable     接口启用

OSPF

route-id用ipv4

conf-if#ipv6 ospf 1 a 0

EIGRP

创建后 要设置route-id 然后no shudown

BGP

跟IPV4一样配置，邻居时写IVP6地址就行，要address-family ipv6且激活邻居neighbor 1200:2 activate 然后宣告网段

show ip bgp ipv6 unicast

重分发

不重分发参与协议的直连接口，重分发到ospf不用subnet

• PPPOE

服务端和客户端连接的接口不需要配置IP地址

服务端

conf-if#pppoe enable

conf#bba-group pppoe NAME

conf-group#virtual-template 1创建模板

conf#int virtual-template 1 进入模板接口

conf-virtual#ip address 8.0.0.1 255.255.255.0
让客户端的网关为

conf-virtual#peer default ip address pool ADSL 绑定地址池ADSL

conf-virtual#ppp authentication chap    
配置认证

conf#ip local pool ADSL 8.0.0.10 8.0.0.20 设置地址池为20个

conf#username USERNAME password PWD

#show pppoe session

客户端

conf-if#pppoe enable

conf-if#pppoe-client dial-pool-number 1

conf#int dialer 0

conf-if#encapsulation ppp

conf-if#ip address negotiated

conf-if#ppp chap hostname USERNAME

conf-if#ppp chap password PWD

conf-if#ip mtu 1492    
以太网+PPP+数据包，PPP占8字节，1500-8=1492

conf-if#dialer pool 1

conf#ip route 0.0.0.0 0.0.0.0 dialer 0    NAT的外网接口也是dialer 0
不能写物理口，写拨号口

• VPN

数据链路层L2VPN: PPTP(NAT1703) L2F    L2TP（NAT1701)

网络层L3VPN:GRE IPSEC

应用层L7VPN:SSL/SSTP

GREVPN

ip头|数据

GRE|IP头|数据

新IP头|GRE|IP头|数据

conf#intface tunnel 0     本地有效

conf-tunnel##tunnel source 2.2.2.2    
起隧道的源公网地址

conf-tunnel#tunnel destination 1.1.1.1    
 对端的公网IP

conf-tunnel#ip add 172.1.1.2  隧道IP地址可随便取，最好同一网段

conf#ip route 192.168.0.0 255.255.0.0 tunnel 0
默认路由写隧道口，来回

conf-tunnel#keeplive    
检测对端，类似hello包，默认10秒一次，死亡时间30秒

跑动态协议例EIGRP 宣告内网和隧道IP地址，不能宣告公网

• IPsec

传输模式（传输点=加密点）     原IP头|IPsec|IP数据

AH      IP协议号51     IP|AH|TCP|DATA

ESP     IP协议号50     IP|ESP|TCP|DATA|ESP trailer|ESP auth

隧道模式（传输点≠加密点）    新IP头|IPsec|原IP头|IP数据

AH      IP协议号51     IP|AH|TCP|DATA

ESP     IP协议号50     IP|ESP|TCP|DATA|ESP trailer|ESP auth

用IKE协商出SA，SPI标识各种SA

phase1 建立个IKE SA为阶段2提供保护     main
mode、aggressive mode

phase2 在IKESA的保护下完成IPsec SA的协商    
Quick mode

1\创建ACL来匹配需要保护的流量,GRE over IPsec要修改成permit gre host
10.1.12.1 host 10.1.23.3 要是公网的

2\配置IKE SA（保护通道）

conf#crypto isakmp policy
1

conf-isakmp#encryption
aes\des\3des 推荐AES

conf-isakmp#hash md5

conf-isakmp#authentication
pre-share

conf-isakmp#group 1\2\5 推荐用2

conf-isakmp#lifetime 3600 生命周期1小时

3\配置PSK秘钥

conf#crypto isakmp
key 6 PWD address 2.2.2.2  6为加密1为不加密，地址为要加密的对端

4\配置IPsec SA（保护数据）

conf#crypto ipsec
transform-set NAME1SH esp-md5-hmac esp-aes

5\配置映射

conf#crypto map NAMER1 1 ipsec-isakmp

conf-map#set peer 2.2.2.2 要加密的对端地址

conf-map#set
transform-set NAMESH

conf-map#match
address ACLNAME

6\出去的接口调用

conf-if#crypto
map NAMER1