- CDP、ODR
全局是cdp run
接口是cdp enable
#show cdp neighbors 可以加detail
#clear cdp table 清空cdp
conf#router odr 开启ODR
- EIGRP
#show ip eigrp neighbors detail 查看邻居详情
#show ip protocol
#show ip eigrp interface
查看接口EIGRP详情
conf-router#metric weights 0 K1 K2 K3 K4 K5
修改EIGRP的K值
conf-if#ip hello-interval eigrp 1 5 设置hello包时间
conf-if#ip hold-timeeigrp 1 15
设置存活时间,不能比hello小
conf-router#passive-interface default
conf-router#passive-interface 接口
认证
conf-router#Key chain NAME
conf-keychain#key 1
conf-keychain-key#key-string 111
conf-keychain-key#accept-lifetime
00:00:00 jan 1 2015 infinite
conf-keychain-key#send-lifetime
00:00:00 jan 1 2015 infinite
conf-if#ip authentication mode eigrp 1 md5
conf-if#ip authentication key-chain eigrp 1 NAME
#show key chain
末梢配置
conf-router#eigrp stub 参数
默认connected\summary
receive-only只收不发
connected允许发送直连,可能需要重分发
static允许发送静态
summary允许发送路由汇总更新
redistribute允许发送重分发路由
- OSPF
conf-if#ip ospf 1 area 0 接口单独启用OSPF命令
#clear ip ospf process重启OSPF进程
#show ip border-routers 查看ABR
ASBR
conf-if#ip ospf cost 10修改cost
OSPF认证2017/2/23
conf-if#ip ospf authentication-key PWD
创建明文认证
conf-if#ip ospf authentication 接口开启认证
conf-router#area 0 authentication 区域开启认证
conf-if#ip ospf message-digest-key 1 md5 PWD
创建密文认证
conf-if#ip ospf authentication message-digest
接口开启认证
conf-router#area 0 authentication message-digest
区域开启认证
虚拟链路:
conf-router#area 1 virtual-link 1.1.1.1 1为要在哪个区域创建虚链路 1.1地址为对面的router-id
修改网络类型命令,只能用在串口S口:
conf-if#ip ospf network ?
conf-router#neighbor 邻居IP (priorty X) NBMA手动唤醒邻居单播形式
LSA类型:
#show ip ospf database router 查看LSA类型1
#show ip ospf database network 查看LSA类型2
#show ip ospf database summer 查看LSA类型3
#show ip ospf database asbr-summer
末梢区域优化,减少LSA:
非区域0有ABR没有ASBR没有虚链路
conf-router#area 所在区域 stub
*区域内所有路由都要敲这条命令包括ABR
conf-router#area 所在区域 stub no-summary 完全末梢 去除3类LSA
在ABR上敲
conf-router(ABR)#area 2 default-cost 10
*末梢屏蔽4类5类,完全末梢屏蔽3类4类5类
非纯末梢区域NSSA
conf-router#area 所在区域 nssa
*区域内所有路由都要敲这条命令
conf-router#area 所在区域 nssa
default-information-originate 向nssa 下发默认路由,ABR路由敲
conf-router#area 所在区域 nssa no-summary 完全nssa
去除3类LSA 在ABR上敲
- 路由重分发
int 进入所在协议
A>B 单向路由,B可能需要默认路由或者静态路由 A<>B双向路由,不需要
conf-router#redistribute 协议 metric OR 10000带宽
10延迟 255可靠性 1负载 1500MTU 重分发
外部注入OSPF时一定要conf-router#redistribute eigrp 100
subnets 可加参数metric-type 1改为类型1 计算开销
conf-router#redistribute connected/static 注入直连/静态
conf-router#default-metric 10(100000 10 255 1 1500)
修改默认跳数或默认值
把管理距离低的注入到高的管理距离会导致次优路径
解决方法:修改AD管理距离
conf-router#distance
109 源头IP 反掩码 ACL(要修改的IP)
- 路由策略
conf-router#passive-interface default
conf-router#passive-interface 被动接口
ACL访问控制列表控制
创建访问控制列表---NA知识里的ACL
conf-router#distribute-list ACL名 out/in f0/0
在重分发时调用ACL
前缀列表控制
conf#ip prefix-list NAME deny 1.1.1.1/8
创建前缀列表
conf#ip prefix-list NAME permit 0.0.0.0/0 le
32 允许所有
ge=大于等于
le=小余等于
0.0.0.0/0 le 32 所有网络
conf-router#distribute-list prefix NAME out f0/0
在重分发是调用前缀列表
MAP-创建匹配策略
conf#route-map NAME permit/deny 10
创建MAP
conf-map#match ip add ACL-NAME NAME NAME
匹配ACL NAME横着表示OR
OR
conf-map#match ip add prefix-list NAME 匹配prefix-list
conf-router#redistribute rip router-map MAPNAME
重分发时调用MAP 隐含拒绝所有
conf#router-map NAME permit 20
router-map#set tag 100
conf-map#match tag 100 匹配标记为100
- 策略路由
流量入站接口
先配置access-list选择源流量地址 eq 80
conf#route-map NAME permit 10 创建routermap
conf-map#match ip address 1 匹配ACL-1
conf-map#set ip default next-hop 1.1.1.1
conf#route-map NAME permit 20
conf-map#match ip address 2 匹配ACL-2
conf-map#set ip default next-hop 2.2.2.2
conf#route-map NAME permit 30
conf-map#set default
interface null0 设置黑洞接口
conf#ip local policy route-map NME
路由器本地调用
conf-if#ip policy route-map NAME
接口调用
#show ip policy
- BGP
conf#router bgp 1
conf-router#bgp router-id 1.1.1.1
conf-router#neighbor 1.1.12.2(对方BGP接口IP)
remote-as 2(对方BGPAS号) 邻居建立必须可达
conf-router#neighbor 2.2.2.2 update-source lo 0
用环回口建邻居
内部建立BGP最好用回环口保证稳定,跑OSPF使内部保持互通,本身AS号必须是对方remoteAS号,源IP必须是对方neighborIP
宣告conf-router#network 1.1.1.1 mask 255.255.255.0 掩码精确,不跟掩码主类,宣告必须是路由表里有的
EBGP要用回环口建立邻居必须修改TTL写静态路由,通常用直连建立EBGP
conf-router#neighbor 2.2.2.2
ebgp-multihop 2 修改TTL为2
EBGP会更新下一跳
IBGP不会更新下一跳
内部IBGP发给其他路由需要强制更新下一跳
conf-router#neighbor 1.1.1.1(IBGP邻居IP) next-hop-self
conf-router#aggregate-address 汇总IP 正掩码 参数
summary-only
只发汇总
suppress-map
NAME(route-map) 抑制明细
as-set
汇总路由和明细路由不在同一台路由上,防止回传产生的环路
#show ip bgp summary 查看
#show ip bgp
#clear ip bgp * soft 软清
#clear ip bgp * 硬清,所有路由表重新建立
EBGP邻居路由表只传一跳
EBGP N W L L A O M N I
W、L越大越优先
&N : 0 NEXTHOP下一跳必须可达 前提条件
&W : 1 weight,权重,只在本地有效,不传给邻居
>conf-route#neighbor 2.2.2.2 weight 1 把邻居发来的权重修改为1
>>route-map#set weight 1(写route-map一定要跟空语句)
&L : 2 LOCAL P 本地优先级
>conf-route#neighbor 2.2.2.2 route-map
NAME out 将map中源网段的loocal发给邻居
>>route-map#set
loocal 101
&L : 3 0.0.0.0表示下一跳是本地 优先于其他任何
&A : 4 AS path 数量约小越优先
>conf-rout#neighbor 10.1.12.2 route-map NAME
in 将MAP中传过来的网段ASPATH修改
>>route-map#set as-path
prepend 重复源AS号 在之前经过N个源AS号
&O : 5 origin起源
&M : 6 MDE metrinc 只在相邻AS传递,不发给第三个AS,越小越优先
>neighbor
10.1.12.2 route-map NAME out
>>route-map#shet metric
10 将源地址的metric挂载为10传给目标邻居
&N : 7 Neighbor type 邻居类型,AD,EBGP(20)>IBGP(200)
&I : 8 IGP 比较下一跳IGP的度量值,越小越优先
&O : 9 OLD 越老越优先,EBGP
&I :10 route-id 越小越优先
IBGP路由只传给邻居只传一跳>>>>
路由反射器>
config-router#neighbor 邻居地址 route-reflector-client
指定邻居为客户端 本机为RR
RR会把客户机路由反射给非客户机,非客户机会反射给客户机,不带属性
联邦联盟(内部)>
64512-65535 删大的AS>创建小的AS>
conf#router bgp 65012
conf-router#bgp confederation identifier 123
声明自己所在的大AS
conf-router#bgp confederation peers 65003
可以多个,指定邻居小AS
conf-router#建立邻居
conf-router#neighbor 2.2.2.2 ebgp-multihop 2 用环回口小AS边界EBGP修改TTL为2
- IPV6
conf-if#ipv6 enable 接口开启IPV6
#show ipv6 int bried 查看IPV6
IPV6可以多个地址,不会覆盖
IPV4要配多个地址要加sec辅助地址
静态路由跟出站接口要加对方链路本地地址conf#ipv6
route 200::/64 f0/0 fe80
fe80 #show
ipv6 neighbors
默认路由::/0
所有动态路由协议要开启ipv6 conf#ipv6 unicast-routing
IPV6动态路由协议不要network
RIP
conf#ipv6 router rip
NAME NAME本地有效
conf-if#ipv6 rip NAME enable 接口启用
OSPF
route-id用ipv4
conf-if#ipv6 ospf 1 a 0
EIGRP
创建后 要设置route-id 然后no shudown
BGP
跟IPV4一样配置,邻居时写IVP6地址就行,要address-family ipv6且激活邻居neighbor 1200:2 activate 然后宣告网段
show ip bgp ipv6 unicast
重分发
不重分发参与协议的直连接口,重分发到ospf不用subnet
- PPPOE
服务端和客户端连接的接口不需要配置IP地址
服务端
conf-if#pppoe enable
conf#bba-group pppoe NAME
conf-group#virtual-template 1创建模板
conf#int virtual-template 1 进入模板接口
conf-virtual#ip address 8.0.0.1 255.255.255.0
让客户端的网关为
conf-virtual#peer default ip address pool ADSL 绑定地址池ADSL
conf-virtual#ppp authentication chap
配置认证
conf#ip local pool ADSL 8.0.0.10 8.0.0.20 设置地址池为20个
conf#username USERNAME password PWD
#show pppoe session
客户端
conf-if#pppoe enable
conf-if#pppoe-client dial-pool-number 1
conf#int dialer 0
conf-if#encapsulation ppp
conf-if#ip address negotiated
conf-if#ppp chap hostname USERNAME
conf-if#ppp chap password PWD
conf-if#ip mtu 1492
以太网+PPP+数据包,PPP占8字节,1500-8=1492
conf-if#dialer pool 1
conf#ip route 0.0.0.0 0.0.0.0 dialer 0 NAT的外网接口也是dialer 0
不能写物理口,写拨号口
- VPN
数据链路层L2VPN: PPTP(NAT1703) L2F L2TP(NAT1701)
网络层L3VPN:GRE IPSEC
应用层L7VPN:SSL/SSTP
GREVPN
ip头|数据
GRE|IP头|数据
新IP头|GRE|IP头|数据
conf#intface tunnel 0 本地有效
conf-tunnel##tunnel source 2.2.2.2
起隧道的源公网地址
conf-tunnel#tunnel destination 1.1.1.1
对端的公网IP
conf-tunnel#ip add 172.1.1.2 隧道IP地址可随便取,最好同一网段
conf#ip route 192.168.0.0 255.255.0.0 tunnel 0
默认路由写隧道口,来回
conf-tunnel#keeplive
检测对端,类似hello包,默认10秒一次,死亡时间30秒
跑动态协议例EIGRP 宣告内网和隧道IP地址,不能宣告公网
- IPsec
传输模式(传输点=加密点) 原IP头|IPsec|IP数据
AH IP协议号51 IP|AH|TCP|DATA
ESP IP协议号50 IP|ESP|TCP|DATA|ESP trailer|ESP auth
隧道模式(传输点≠加密点) 新IP头|IPsec|原IP头|IP数据
AH IP协议号51 IP|AH|TCP|DATA
ESP IP协议号50 IP|ESP|TCP|DATA|ESP trailer|ESP auth
用IKE协商出SA,SPI标识各种SA
phase1 建立个IKE SA为阶段2提供保护 main
mode、aggressive mode
phase2 在IKESA的保护下完成IPsec SA的协商
Quick mode
1\创建ACL来匹配需要保护的流量,GRE over IPsec要修改成permit gre host
10.1.12.1 host 10.1.23.3 要是公网的
2\配置IKE SA(保护通道)
conf#crypto isakmp policy
1
conf-isakmp#encryption
aes\des\3des 推荐AES
conf-isakmp#hash md5
conf-isakmp#authentication
pre-share
conf-isakmp#group 1\2\5 推荐用2
conf-isakmp#lifetime 3600 生命周期1小时
3\配置PSK秘钥
conf#crypto isakmp
key 6 PWD address 2.2.2.2 6为加密1为不加密,地址为要加密的对端
4\配置IPsec SA(保护数据)
conf#crypto ipsec
transform-set NAME1SH esp-md5-hmac esp-aes
5\配置映射
conf#crypto map NAMER1 1 ipsec-isakmp
conf-map#set peer 2.2.2.2 要加密的对端地址
conf-map#set
transform-set NAMESH
conf-map#match
address ACLNAME
6\出去的接口调用
conf-if#crypto
map NAMER1