OSPF会验证原地址所以不存在多个网段的R接在一个交换几上还能建立邻居的情况。
但P2P的网络类型会,。但RIP会,只要RIP取掉原地址检测就可以了。
野蛮模式的IPSEC必须有一方是固定IP
id-type name 采用名字作为协商ID
remote-name beijing 指定对端通道名称
remote-address 202.38.1.1 注意:分部必须指定总部vpn网关的IP地址。而且只能由分部来发起IKE连接。
AH和ESP模式在NAT上的IPSEC都必须利用IKE协商时所采用的UDP端口号500来 进行UDP的数据封装。
将ACL 规则3101 作用于Trust 区域到Untrust 区域间的出方向。
[SecPath-Interzone-trust-untrust] packet-filter 3101 outbound
# 将ACL 规则3102 作用于Trust 区域到Untrust 区域间的入方向。
[SecPath-Interzone-trust-untrust] packet-filter 3102 inbound
# 在Trust 区域和Untrust 区域之间使能FTP 协议的应用协议检测。
[SecPath-Interzone-trust-untrust] detect fTP //FTP连接要做状态检测源地址。既ASPF ,我访问出去的,回程流才可可以回,当然还要定义个IN方向的DENY ANY。这样才是单向通信
缺省情况下,在防火墙开启时所有安全区域间的所有方向都禁止包过滤
其实这就是定义SF的区域之间的策略用的。区域就是路由器的接口,它的方向是靠优先级别掌握的,谁的数字大谁优先。LOACL区域内不能加入接口,因为这是表示包源自与SF
负载分担汇聚组中至少有2个Selected端口,而非负载分担汇聚组中最多只有一个Selected端口,其余均为Unselected端口。
NAT在NE80/40/20里只是流的一种表现形式,因此 先定义NAT转换池以及转换方法------NAT策略引用地址池与下一跳结合这里可以不定-----------流动作表示需要进行NAT的动作在这里可以定义多个NAT策略动作-----EACL的RULE匹配流分类----EACL结合动作和RULE-----
接口上用EACL----配置NAT的地址池地址对应的黑洞路由(一定要配)或是 用命令生成,为何要配这个?因为NAT板不是和转发板在一块板上,
NE80/40无论是去还是回来都是先路由后NAT,因此如果地址池与本接口属于不同网段的哈,需要加一条NULL接口的静态路由 只是为了回来时有一个依据而已
宋体# 配置从私网到Internet默认路由,命令中下一跳的地址后面必须加上关键字public。
[PE1] ip route-static vpn-instance vpna 0.0.0.0 0 172.1.1.2 public
×××/MPLS垮域的ASBR方式时一定要建立LOOPBACK/32位的IBGP邻居
由于不同的流发给了不同的下一跳。因为有进程转发,但策略路由又基于源去分配不同的下一跳,这个时候很可能会和快速转发产生冲突,导致数据发不出,
因为不同的流,会切换到另一个接口,而策略路由要求只发给某一个接口因此冲突了。
但关闭了快速转发之后,就是基于PACKET的转发了,每个包都是轮训的来的,那好象和基于流的区别不大啊,还是有包会丢
如果配置了NetStream 聚合(NetStream Aggregation),流信息将按照一定的规
则分类、合并后生成聚合信息,再通过版本8 的UDP 报文发送。
VPLS与QINQ的区别在于VPLS利用LSP可以使中间设备不学习 ×××中其他设备的MAC只要2头PE学习
4层交换是基于源IP的
G。723 的压缩但宽为5。3 或6。4K G.729 8K
非线速接口最好不要聚合。
一个接口板上所有同方向的镜像组只能配置一个监控端口。
对于监控发送报文方向的端口镜像组,所有镜像组的被监控端口个数之和不能超过8 个。
两个镜像方向上配置的端口镜像组之和不能超过24 个。
同一个端口可以作为不同镜像组的监控端口和被监控端口。
BGP的LOCAL属性,可以用在2个AS之间,但是是IN的方向用。
mpls/vpn的OSPF在OSPF的VRF视图下可以定义DOMAIN-ID,在DOMAIN之间传输的时候是LSA5 的路由信息,其实是针对某个VRF来说的区域ID,
还有个DOMAIN-TAG,其实就是在做ROUTER-TAG,又叫×××-TAG,OSPF里防环用的,只在本机有意义。相同就不收。
MPLS/×××中 通告路由时,会把下一跳标记为自己的LOOPBACK地址。
CE1-EBGP--PE1--IBGP---PE2 -EBGP- CE2 此时CE1---EBGP---PE1 ,PE1通告路由给PE2的 时候会强行吧吓一跳定义为自己,这是×××V4地址因为他要上车了,
如果想×××用户访问INTERNET,有4种办法,
1 .静态×××路由后加入一个PUNLIC就 表示 在全局路由表内查找该×××的吓一跳地址.还要做一条回程路由,必须是全局表内的。吓一跳要是某接口的IP
2.CE利用2条链路1条接口全局路由,1条之接受×××路由,要注意路由选择CE
3.把internet路由当作是一个××× ,然后配置×××之间的路由。
DTS:数据终端就绪信号. RTS:请求发送信号. 从Modem到计算机信号 DSR:数据装置就绪信号. CTS: 允许发送信号. DCD:数据载波检测信号. RI:振铃指令信号. 在实际的微机及微机化设备的通信中,不需要Modem
联络控制信号线:
OSPF要先比较链路类型再比较COST
对于OSPF的POINTTO PONINT的链路会认为是一个STUB区域,因此传递的路由将是主机路由。
同时如果是一个传输区域,则不会生成该段的路由,同时在传输路由时,计算的结果中不会改变下一跳。只有选DR/BDR的网络中才会存在传输区域
而P到MP则是认为多个点到点,因此都是STUB链路。
OSPF的计算路由,是查找本地LSDB,自己的LSA,中邻接的邻居LINKID,然后打开这个邻居的LSA1,找到STUBLINK,然后收录子网路由,之后,
找到邻居的LINKID,中间的DATA部分,按照这个DATA所表示的下一跳来到达这个邻居。
ISIS在点到点的链路上时需要检查邻居的IP是否一个网段。可以配置ignore-ppp-ip-check来忽略这个设置。ISIS只要一次握手就邻居建立。但前提是要检查ip
当然PPP链路可以取消,其他的不了。在广播网络里和OSPF一样要2次握手才邻居还有会检查MTU的大小是否一样。这个OSPF没有。ISIS,MTU要一样大,但HELLO时间什么的可以不一样。ISIS认为1024的度量是不可达,ospf认为是65535不可达。累计的值。ISIS中也有DOWN和UP 的BIT,用来防止环路。同一个区域。ISIS在5.0
内的分片扩展,可以虚拟50个IS,这样的话利用附加ID来区分,可以扩展出13056 个分片否则只有256个一台,分片,是直接影响生成路由的量,
一般的ISIS只有30000跳路由。ISIS的聚合可以发生在任何地方。
NBMA为什么不支持广播是和这个类型的链路特征有关系的,当它接收到广播的时候会进行复制传递,因此是不支持,如果支持的话则不会复制传递,比如P2MP的时候可以
不选举DR,因为它可以支持广播报文,直接处理了不会复制再次传递。而且会生成多条主机路由。如果是NBMA非全链接可能导致网络中存在多个DR的情况。
H3C选DR是选优先级别大和ROUTER ID大,可,ROUTERID却是选IP小的
但P2P的网络类型会,。但RIP会,只要RIP取掉原地址检测就可以了。
BGP的聚合路由只是在入时会自动聚合,出去时必须手工。
L2TP的隧道可以由LAC自己发起,叫AUTO-CLINET
loacl-user xuhui password sim xuhui server-type ppp
//建立一个用户一会自己拨这个用户。
interface Virtual-Template1
ppp authentication-mode pap
ppp pap local-user xuhui password simple xuhui
l2tp-auto-client enable
ip address ppp-negotiate
L2TP的AAA功能必须要是RADIUS服务器可以授权L2TP用户这个时候才可以使用RADIUS。AAA
loacl-user xuhui password sim xuhui server-type ppp
//建立一个用户一会自己拨这个用户。
interface Virtual-Template1
ppp authentication-mode pap
ppp pap local-user xuhui password simple xuhui
l2tp-auto-client enable
ip address ppp-negotiate
L2TP的AAA功能必须要是RADIUS服务器可以授权L2TP用户这个时候才可以使用RADIUS。AAA
注意FRIREWALL上SF或其他系列都一样接口的区域,包过VT版,以及TUNNEL都要注意划区,否则很可能隧道会话都建立好了但就是发不出数据,
野蛮模式的IPSEC必须有一方是固定IP
GRE OVER IPSEC 的时候会吧GRE的所有数据加密包含里面的数据。
id-type name 采用名字作为协商ID
remote-name beijing 指定对端通道名称
remote-address 202.38.1.1 注意:分部必须指定总部vpn网关的IP地址。而且只能由分部来发起IKE连接。
UDP为何可以穿越NAT,TCP不行,因为TCP要求2边的实体同时存在,且每个会话用1个新的端口和对方对等。因为在NAT转换时会建立一个SEESION的映射表,有2种模式
Symmetric NAT,后一种叫做Cone NAT 第1种对于同一个源端口访问不同的目标 ,可能会建立多个会话+多个源转换后的端口。
此时,和TCP差不多 。而后者,可以允许同一个源端口访问不同目标时(TCP做不到这点必须建立多个连接) 建立多个会话+同一个转换后的端口。
对于NAT是 不会去主动接收来历不明的主机的主动请求的。但UDP可以,因为它不需要连接的实时性,因此可以但,通常NAT开放的端口都是个随即的。
因此我门需要内网主动向外网提出请求
Symmetric NAT,后一种叫做Cone NAT 第1种对于同一个源端口访问不同的目标 ,可能会建立多个会话+多个源转换后的端口。
此时,和TCP差不多 。而后者,可以允许同一个源端口访问不同目标时(TCP做不到这点必须建立多个连接) 建立多个会话+同一个转换后的端口。
对于NAT是 不会去主动接收来历不明的主机的主动请求的。但UDP可以,因为它不需要连接的实时性,因此可以但,通常NAT开放的端口都是个随即的。
因此我门需要内网主动向外网提出请求
AH和ESP模式在NAT上的IPSEC都必须利用IKE协商时所采用的UDP端口号500来 进行UDP的数据封装。
将ACL 规则3101 作用于Trust 区域到Untrust 区域间的出方向。
[SecPath-Interzone-trust-untrust] packet-filter 3101 outbound
# 将ACL 规则3102 作用于Trust 区域到Untrust 区域间的入方向。
[SecPath-Interzone-trust-untrust] packet-filter 3102 inbound
# 在Trust 区域和Untrust 区域之间使能FTP 协议的应用协议检测。
[SecPath-Interzone-trust-untrust] detect fTP //FTP连接要做状态检测源地址。既ASPF ,我访问出去的,回程流才可可以回,当然还要定义个IN方向的DENY ANY。这样才是单向通信
缺省情况下,在防火墙开启时所有安全区域间的所有方向都禁止包过滤
SF系列是属于状态检测firewALL,意思就是说如果别人访问了我,注意这个ASPF不一样,别人主动访问我是被允许的,之后,的报文将会被检测源是否合格,合格继续走,不合格改变过的拒绝
其实就是URPF技术。
可以有命令禁止firewall session-link..
firewall defend
是用来设置防火强的防御力的
使能系统统计功能 firewall statistic system enable
默认起用主要是可以针对IP统计做个铺垫。
之后使能statistic enable ip 区域/是入还是出区主要是统计源地址是出,统计入是目标,统计的地方不一样 判断基于目标还是基于源
在区域上使能之后就改定义谁需要进行测量。
设置对特定的流量进行IP 连接数或
带宽限制
statistic ip-stat { inbound | outbound } acl
acl-number
这里的inbound OR outbound 会和前面的 IN区和 OUT区有联系,假如前面定义的是IN区,那这里匹配的是OUT方向,也就意味着ACL匹配的流是 由内到外走,此时我门只统计外部回来时
所访问的目标地址的次数。
设置IP 连接数等级对应的连接数阈值 firewall conn-class class-number conn-number //超过就拒绝。
使能IP 连接数量监控 statistic connect-number ip { tcp | udp } { inbound |
outbound } conn-class acl-number acl-number
匹配有一个策略 与CONN结合。
设置IP 带宽等级对应的实际带宽 firewall car-class class-number bandwidth
设置安全区域内IP 地址发起或接受的TCP/UDP 流量带宽
statistic car ip { inbound | outbound } car-class
acl-number acl-number
其实就是URPF技术。
可以有命令禁止firewall session-link..
firewall defend
是用来设置防火强的防御力的
使能系统统计功能 firewall statistic system enable
默认起用主要是可以针对IP统计做个铺垫。
之后使能statistic enable ip 区域/是入还是出区主要是统计源地址是出,统计入是目标,统计的地方不一样 判断基于目标还是基于源
在区域上使能之后就改定义谁需要进行测量。
设置对特定的流量进行IP 连接数或
带宽限制
statistic ip-stat { inbound | outbound } acl
acl-number
这里的inbound OR outbound 会和前面的 IN区和 OUT区有联系,假如前面定义的是IN区,那这里匹配的是OUT方向,也就意味着ACL匹配的流是 由内到外走,此时我门只统计外部回来时
所访问的目标地址的次数。
设置IP 连接数等级对应的连接数阈值 firewall conn-class class-number conn-number //超过就拒绝。
使能IP 连接数量监控 statistic connect-number ip { tcp | udp } { inbound |
outbound } conn-class acl-number acl-number
匹配有一个策略 与CONN结合。
设置IP 带宽等级对应的实际带宽 firewall car-class class-number bandwidth
设置安全区域内IP 地址发起或接受的TCP/UDP 流量带宽
statistic car ip { inbound | outbound } car-class
acl-number acl-number
其实这就是定义SF的区域之间的策略用的。区域就是路由器的接口,它的方向是靠优先级别掌握的,谁的数字大谁优先。LOACL区域内不能加入接口,因为这是表示包源自与SF
状态检测的意思其实就是检查源路径是否一致。可以防止源改变
负载分担汇聚组中至少有2个Selected端口,而非负载分担汇聚组中最多只有一个Selected端口,其余均为Unselected端口。
如果用户在一个汇聚组中配置的端口数大于4个,那么端口号较小的前4个端口将实现流量的负载分担,剩余端口将作为链路备份。
加入到群组里面来的端口和群组外面的端口可以正常互通,群组内端口之间不能互通,不管它们具有怎样的vlan关系
MVR允许在不同VLAN的用户共享同一个组播VLAN来传送信息流
将信息流与用户VLAN分离:带宽与安全更有保证
将信息流与用户VLAN分离:带宽与安全更有保证
NAT在NE80/40/20里只是流的一种表现形式,因此 先定义NAT转换池以及转换方法------NAT策略引用地址池与下一跳结合这里可以不定-----------流动作表示需要进行NAT的动作在这里可以定义多个NAT策略动作-----EACL的RULE匹配流分类----EACL结合动作和RULE-----
接口上用EACL----配置NAT的地址池地址对应的黑洞路由(一定要配)或是 用命令生成,为何要配这个?因为NAT板不是和转发板在一块板上,
NE80/40无论是去还是回来都是先路由后NAT,因此如果地址池与本接口属于不同网段的哈,需要加一条NULL接口的静态路由 只是为了回来时有一个依据而已
宋体# 配置从私网到Internet默认路由,命令中下一跳的地址后面必须加上关键字public。
[PE1] ip route-static vpn-instance vpna 0.0.0.0 0 172.1.1.2 public
×××/MPLS垮域的ASBR方式时一定要建立LOOPBACK/32位的IBGP邻居
system-view下 en_进入诊断模式,_进入隐藏模式。
接口的流量超过30% 就一定要更新带宽了 20%要引起注意。
接口的流量超过30% 就一定要更新带宽了 20%要引起注意。
cisco 的静态NAT 可以1个IP对应多个 内部地址,这样的话可以实现1个虚拟服务器 实际内部是分布的提供不同的服务。也可以多对1
CISCO的INSIDE 和OUTSIDE的意思分别是指,从外部入设备,和从内部进入设备。和HW不一样 HW的outbound是指发送出去时。
ip nat inside source //这样很平常的源地址翻译。 (入设备)
ip nat inside destat.. //这个比较特殊,意义是指目标是否个列表的IP时(通常是个虚拟地址),将被定义到后来的POOL,一般用于TCP负载均衡(入设备)
ip nat outside source //可以解决重叠地址问题,在源和目标同时进行地址翻译,也可以有特殊的应用如:内部无任何出去的路由包过默认的,可以采用这样的方式把外部地址翻译为一个外部本地的固定内网IP,实现访问当然外部有到内部公网的IP(入设备)
CISCO的INSIDE 和OUTSIDE的意思分别是指,从外部入设备,和从内部进入设备。和HW不一样 HW的outbound是指发送出去时。
ip nat inside source //这样很平常的源地址翻译。 (入设备)
ip nat inside destat.. //这个比较特殊,意义是指目标是否个列表的IP时(通常是个虚拟地址),将被定义到后来的POOL,一般用于TCP负载均衡(入设备)
ip nat outside source //可以解决重叠地址问题,在源和目标同时进行地址翻译,也可以有特殊的应用如:内部无任何出去的路由包过默认的,可以采用这样的方式把外部地址翻译为一个外部本地的固定内网IP,实现访问当然外部有到内部公网的IP(入设备)
web set-package force flash:/http.zip
#
ip http remote-port 8080
定义WEB
#
ip http remote-port 8080
定义WEB
由于不同的流发给了不同的下一跳。因为有进程转发,但策略路由又基于源去分配不同的下一跳,这个时候很可能会和快速转发产生冲突,导致数据发不出,
因为不同的流,会切换到另一个接口,而策略路由要求只发给某一个接口因此冲突了。
但关闭了快速转发之后,就是基于PACKET的转发了,每个包都是轮训的来的,那好象和基于流的区别不大啊,还是有包会丢
所以在策略路由时最好关闭快速转发。
如果配置了NetStream 聚合(NetStream Aggregation),流信息将按照一定的规
则分类、合并后生成聚合信息,再通过版本8 的UDP 报文发送。
VPLS与QINQ的区别在于VPLS利用LSP可以使中间设备不学习 ×××中其他设备的MAC只要2头PE学习
4层交换是基于源IP的
G。723 的压缩但宽为5。3 或6。4K G.729 8K
非线速接口最好不要聚合。
一个接口板上所有同方向的镜像组只能配置一个监控端口。
对于监控发送报文方向的端口镜像组,所有镜像组的被监控端口个数之和不能超过8 个。
两个镜像方向上配置的端口镜像组之和不能超过24 个。
同一个端口可以作为不同镜像组的监控端口和被监控端口。
这样便可以叠加出更多的监视接口。
缺省情况下路由器快速转发功能也是打开的
所以要启用ICMP 重定向功能接口下必须首先关闭快速转发undo ip fast-forwarding
缺省情况下路由器快速转发功能也是打开的
所以要启用ICMP 重定向功能接口下必须首先关闭快速转发undo ip fast-forwarding
默认的时候MPLS/BGP/×××里会交换,IPV4和×××V4的路由信息,如果只是想交换×××V4的路由信息的话,就输入undo bgp default ipv4 uncastg
有的时候我们只想接受×××V4的路由信息、
MPLS/×××中,如果有静态×××路由想发布到对方PE时必须 重发布到IPV4地址族的BGP路由里,除非PE-CE是个EBGP关系
静态/rip等路由协议中的×××名字主要是表示该路由是属于那个×××的
配置MPLS/××× MPLS一定要配置,因为这是分发私网LABLE用的,否则数据转发不通,且任何东西基本都是分离开的 先配置好基础的----×××----发布×××
路由反射时IBGP的吓一跳不变
重点注意×××中的RT是可以定义多次的,这样可以使CE学习多个×××的路由使得不同××× 可以通信
Mar 1 03:04:41.199: vpn: tag_vpn_find_route_tags: 1:1:2.2.2.0
*Mar 1 03:04:41.203: vpn: intag=vpn-route, outtag=17, outtag owner=BGP
*Mar 1 03:04:41.207: vpn: tag_vpn_find_route_tags: 1:1:10.0.0.0
*Mar 1 03:04:41.211: vpn: intag=vpn-route, outtag=18, outtag owner=BGP
*Mar 1 03:04:41.219: vpn: tag_vpn_find_route_tags: 1:1:50.50.50.0
*Mar 1 03:04:41.223: vpn: intag=vpn-route, outtag=unknown, outtag owner=BGP
带私网标记的路由,其中2。2。2。0//17号标记,是对方PE分的
有的时候我们只想接受×××V4的路由信息、
MPLS/×××中,如果有静态×××路由想发布到对方PE时必须 重发布到IPV4地址族的BGP路由里,除非PE-CE是个EBGP关系
静态/rip等路由协议中的×××名字主要是表示该路由是属于那个×××的
配置MPLS/××× MPLS一定要配置,因为这是分发私网LABLE用的,否则数据转发不通,且任何东西基本都是分离开的 先配置好基础的----×××----发布×××
路由反射时IBGP的吓一跳不变
重点注意×××中的RT是可以定义多次的,这样可以使CE学习多个×××的路由使得不同××× 可以通信
Mar 1 03:04:41.199: vpn: tag_vpn_find_route_tags: 1:1:2.2.2.0
*Mar 1 03:04:41.203: vpn: intag=vpn-route, outtag=17, outtag owner=BGP
*Mar 1 03:04:41.207: vpn: tag_vpn_find_route_tags: 1:1:10.0.0.0
*Mar 1 03:04:41.211: vpn: intag=vpn-route, outtag=18, outtag owner=BGP
*Mar 1 03:04:41.219: vpn: tag_vpn_find_route_tags: 1:1:50.50.50.0
*Mar 1 03:04:41.223: vpn: intag=vpn-route, outtag=unknown, outtag owner=BGP
带私网标记的路由,其中2。2。2。0//17号标记,是对方PE分的
BGP的LOCAL属性,可以用在2个AS之间,但是是IN的方向用。
mpls/vpn的OSPF在OSPF的VRF视图下可以定义DOMAIN-ID,在DOMAIN之间传输的时候是LSA5 的路由信息,其实是针对某个VRF来说的区域ID,
还有个DOMAIN-TAG,其实就是在做ROUTER-TAG,又叫×××-TAG,OSPF里防环用的,只在本机有意义。相同就不收。
MPLS/×××中 通告路由时,会把下一跳标记为自己的LOOPBACK地址。
CE1-EBGP--PE1--IBGP---PE2 -EBGP- CE2 此时CE1---EBGP---PE1 ,PE1通告路由给PE2的 时候会强行吧吓一跳定义为自己,这是×××V4地址因为他要上车了,
如果想×××用户访问INTERNET,有4种办法,
1 .静态×××路由后加入一个PUNLIC就 表示 在全局路由表内查找该×××的吓一跳地址.还要做一条回程路由,必须是全局表内的。吓一跳要是某接口的IP
2.CE利用2条链路1条接口全局路由,1条之接受×××路由,要注意路由选择CE
3.把internet路由当作是一个××× ,然后配置×××之间的路由。
静态路由带TAG方便 引入
BGP里可以用neig... next-hop-unchange 来定义下一跳不改变,这主要是针对MPBGP的时候,因为那时候会把下一跳重定位。
BGP里可以用neig... next-hop-unchange 来定义下一跳不改变,这主要是针对MPBGP的时候,因为那时候会把下一跳重定位。
send-label -默认BGP通告时,不会带上mpls标签,用这个命令开启
cisco的HDLC居然支持子接口模式,看来可以很好的支持option1 的跨区域×××啊,DY上多个TUNNEL1对公网IP 不行。很晕。
不知道HW如何解决的。
cisco的HDLC居然支持子接口模式,看来可以很好的支持option1 的跨区域×××啊,DY上多个TUNNEL1对公网IP 不行。很晕。
不知道HW如何解决的。
BGP中只要源地址非直联,则需要配置多跳EBGP,如果直接用lo直连注意这时候的源地址是物理接口,因此可能会匹配源失败,何为匹配源,因为发TCP连接时携带有源地址,而对方并非和你物理接口进行TCP连接,因此会失败,此时应该up lo 1
之后再配多跳即可
在遇到下一跳改变的时候MBGP分发的私网标记会变化。通常 和 MPLS的标记一样 只是没有TTL
之后再配多跳即可
在遇到下一跳改变的时候MBGP分发的私网标记会变化。通常 和 MPLS的标记一样 只是没有TTL
DTS:数据终端就绪信号. RTS:请求发送信号. 从Modem到计算机信号 DSR:数据装置就绪信号. CTS: 允许发送信号. DCD:数据载波检测信号. RI:振铃指令信号. 在实际的微机及微机化设备的通信中,不需要Modem
联络控制信号线:
数据装置准备好(Data set ready-DSR)——有效时(ON)状态,表明MODEM处于可以使用的状态。
数据终端准备好(Data set ready-DTR)——有效时(ON)状态,表明数据终端可以使用。
这两个信号有时连到电源上,一上电就立即有效。这两个设备状态信号有效,只表示设备本身可用,并不说明通信链路可以开始进行通信了,能否开始进行通信要由下面的控制信号决定。
请求发送(Request to send-RTS)——用来表示DTE请求DCE发送数据,即当终端要发送数据时,使该信号有效(ON状态),向MODEM请求发送。它用来控制MODEM是否要进入发送状态。
允许发送(Clear to send-CTS)——用来表示DCE准备好接收DTE发来的数据,是对请求发送信号RTS的响应信号。当MODEM已准备好接收终端传来的数据,并向前发送时,使该信号有效,通知终端开始沿发送数据线TxD发送数据。
这对RTS/CTS请求应答联络信号是用于半双工MODEM系统中发送方式和接收方式之间的切换。在全双工系统中作发送方式和接收方式之间的切换。在全双工系统中,因配置双向通道,故不需要RTS/CTS联络信号,使其变高。
MPLS的LSP标签是不能断的,断了的话就直接扔掉带标记的数据帧。 GRE隧道如果要捆绑多实例,就需要在TUNNEL的2边启用SUB地址,
SOO特性是防止 此时PE2和PE1都定义了AS覆盖特性,那CE1来的路由很可能被PE2又发给CE2 此时SOO特性可以防止环路
CE1 CE2
| |
--|-----|-----
pe1---pe2
down-bit vpn-route-tag都是防止CE双归属等情况CE到PE的环路
CE1 CE2
| |
--|-----|-----
pe1---pe2
down-bit vpn-route-tag都是防止CE双归属等情况CE到PE的环路
hubspoke模中,RD一定要不一样,否则HUB处PE不会转发相同的路由到不同的VRF中。
OPTION-C的时候在ASBR之间的接口不需要使能LDP
什么是逆向下毒,实际是指如果从我本地发送过某条路由的接口上,又接到了该路由,则直接标记为中毒。
IPSEC的隧道模式,和传输模式主要区别,隧道模式会加新的IP头部,目标和源都变,这样的话可以保证流发起,和IPSEC服务发起方不在一台设备上,如此结果可以使
局网用户互通。记,它到了IPSEC服务器端时是先IPSEC后路由,
局网用户互通。记,它到了IPSEC服务器端时是先IPSEC后路由,
1个接口多个ACL下发的时候是先匹配序列号大的列表,
纯粹的HYBRID接口 要让不同VLAN通信时可能会因为交换机的MAC地址保存方式是SVL而学不好MAC,如果是IVL没问题。PVLAN会同步MAC
OSPF是在准启动EXSTART状态是建立邻接的实际上邻居状态指的是它自己的状态
如R1---R2 R1 开始是DOWN,R1发HELLO给R2,R2收到了之后邻居状态转到INIT,或是ATTMPT开始尝试,再转到INIT
如R1---R2 R1 开始是DOWN,R1发HELLO给R2,R2收到了之后邻居状态转到INIT,或是ATTMPT开始尝试,再转到INIT
OSPF要先比较链路类型再比较COST
组播里的断言机制是当 R1 R2 R1 R2都进行RPF检查成功,因此他们都会发送组播S,G信息,但当R1和R2下游接口是位于一个E太段的时候会受到对方的S,G消息实际和
| | 自己发出去的S,G一样因此要断言。
------ 组播里的静态路由是优先与传统的路由来做RPF检查的因此它经常和GRE配合穿越骨干
| | 自己发出去的S,G一样因此要断言。
------ 组播里的静态路由是优先与传统的路由来做RPF检查的因此它经常和GRE配合穿越骨干
对于OSPF的POINTTO PONINT的链路会认为是一个STUB区域,因此传递的路由将是主机路由。
同时如果是一个传输区域,则不会生成该段的路由,同时在传输路由时,计算的结果中不会改变下一跳。只有选DR/BDR的网络中才会存在传输区域
而P到MP则是认为多个点到点,因此都是STUB链路。
配置NBMA 接口的邻接点 peer ip-address [ dr-priority dr-priority-number ]
取消配置NBMA 接口的邻接点 undo peer ip-address
缺省情况下,NBMA 接口的邻接点优先级的取值为1。
使用ospf dr-priority 命令和使用peer 命令设置的优先级具有不同的用途:
ospf dr-priority 命令设置的优先级用于实际的DR 选举;
peer 命令设置的优先级用于表示邻居是否具有选举权。如果在配置邻居时将4
优先级指定为0,则本地路由器认为该邻居不具备选举权,不向该邻居发送
Hello 报文,这种配置可以减少在DR 和BDR 选举过程中网络上的Hello 报文
数量。但如果本地路由器是DR 或BDR,它也会向优先级为0 的邻居发送Hello
报文,以建立邻接关系
R1-----R2 R1认为 R2不具备资格那会如何呢
取消配置NBMA 接口的邻接点 undo peer ip-address
缺省情况下,NBMA 接口的邻接点优先级的取值为1。
使用ospf dr-priority 命令和使用peer 命令设置的优先级具有不同的用途:
ospf dr-priority 命令设置的优先级用于实际的DR 选举;
peer 命令设置的优先级用于表示邻居是否具有选举权。如果在配置邻居时将4
优先级指定为0,则本地路由器认为该邻居不具备选举权,不向该邻居发送
Hello 报文,这种配置可以减少在DR 和BDR 选举过程中网络上的Hello 报文
数量。但如果本地路由器是DR 或BDR,它也会向优先级为0 的邻居发送Hello
报文,以建立邻接关系
R1-----R2 R1认为 R2不具备资格那会如何呢
OSPF邻居的子网MASK不一样,则无法建立邻居关系 类型不一样不计算路由,LSA8是让BGP跑在OSPF上的,要传递BGP的属性哦。
LSID是LSA的ID,LINK ID是R链接的链路类型的ID,LINK DATA,主要是
传输区和STUB链路 前者是DR的时候存在,后者是点到点的时候,点到多点这个有最大的区别是主机路由到达对方,而非子网网段信息
LSID是LSA的ID,LINK ID是R链接的链路类型的ID,LINK DATA,主要是
传输区和STUB链路 前者是DR的时候存在,后者是点到点的时候,点到多点这个有最大的区别是主机路由到达对方,而非子网网段信息
OSPF的计算路由,是查找本地LSDB,自己的LSA,中邻接的邻居LINKID,然后打开这个邻居的LSA1,找到STUBLINK,然后收录子网路由,之后,
找到邻居的LINKID,中间的DATA部分,按照这个DATA所表示的下一跳来到达这个邻居。
对于广播的,则是找DR,然后在DR的LSA2内找到和DR邻接的路由器的ROUERID,之后找到该ROUTERID的LSA,然后打开它的LSA找到它的STUB,最后确定吓一跳
这个吓一跳是对方的LSA1中的a Transit Network,里面的DATA部分描述的链路,通常是对方的一个出接口,即对方如何链接到这个广播网络的。
NBMA的处理和这个一样。
P2MP是都当作PTOP的处理,但有一点不同,我会生成到自己的出口一个STUB信息,对方也一样这样做,最后会生成一条到达对方的主机路由吓一跳也是对方。
这个吓一跳是对方的LSA1中的a Transit Network,里面的DATA部分描述的链路,通常是对方的一个出接口,即对方如何链接到这个广播网络的。
NBMA的处理和这个一样。
P2MP是都当作PTOP的处理,但有一点不同,我会生成到自己的出口一个STUB信息,对方也一样这样做,最后会生成一条到达对方的主机路由吓一跳也是对方。
大概就是现在本地LSA内找到邻居,然后在邻居LSA中找到STUB,以及邻居到达我,硬该是从那个接口出来,这个时候的下一跳就是哪个IP。
ABR无论有无默认路由 只要用default-route ......就有默认路由了。NSSA区域的ASBR生成的默认路由才可在ABR上变成5类发出去。ABR自己的是不可以变的。、
完全NSSA也会自动生成一条路由。
完全NSSA也会自动生成一条路由。
ISIS在点到点的链路上时需要检查邻居的IP是否一个网段。可以配置ignore-ppp-ip-check来忽略这个设置。ISIS只要一次握手就邻居建立。但前提是要检查ip
当然PPP链路可以取消,其他的不了。在广播网络里和OSPF一样要2次握手才邻居还有会检查MTU的大小是否一样。这个OSPF没有。ISIS,MTU要一样大,但HELLO时间什么的可以不一样。ISIS认为1024的度量是不可达,ospf认为是65535不可达。累计的值。ISIS中也有DOWN和UP 的BIT,用来防止环路。同一个区域。ISIS在5.0
内的分片扩展,可以虚拟50个IS,这样的话利用附加ID来区分,可以扩展出13056 个分片否则只有256个一台,分片,是直接影响生成路由的量,
一般的ISIS只有30000跳路由。ISIS的聚合可以发生在任何地方。
ISIS聚合路由窄度量选最大的,宽选最小的,聚合后是个内部路由。
组播地址的保留范围新 是224.0.0.0---224.0.1.255 224.0.0.1是所有设备
802.1X的每个接口有2个虚拟接口,受控和非受控,非受控接口只允许传递EAPOL,用于认证,受控接口什么也不传递,除非认证通过,这个时候传递用户数据。
VRRP中只有主设备会公布虚拟MAC地址给主机。
VRRP中只有主设备会公布虚拟MAC地址给主机。
IGP在发布聚合路由的时候,会把细节路由抑制,BGP不会
OSPF,1个接口可以属于多个进程,但是第二地址不可以单独发布,必须是要在真实地址发布之后才发布,
开启OSPF我的链路如果是个广播或NBMA,那foward地址就是R2,如果链路是P2P,P2MP。即使你开启也是0.0.0.0当然如果下面设备没有OSPF,那这个时候依然是 0.0.0.0不管什么链路
ASBR的下一跳接口不是OSPF P2P或P2MP类型的;
ASBR的下一跳接口不是OSPF P2P或P2MP类型的;
4.ASBR的下一跳接口地址落在OSPF协议配置的network命令范围内 z这个LSA5的转发地址将不是0.0.0.0 ,因为这个时候路由器认为引入的路由下一跳也有OSPF运行,而且我发布给内部的用户的时候,它认为内部人可以直接诶交给这个下一跳不需要经过我自己。 为了保证一点,通告的下一跳也是运行的有OSPF的,
引入路由的下一跳不能是你即将通告给的下游路由器的IP,注意是以太网段的时候,这个时候LSA5的下一跳是对方的,对方自己受到LSA5的时候以为是环路路由而丢弃
引入路由的下一跳不能是你即将通告给的下游路由器的IP,注意是以太网段的时候,这个时候LSA5的下一跳是对方的,对方自己受到LSA5的时候以为是环路路由而丢弃
NBMA为什么不支持广播是和这个类型的链路特征有关系的,当它接收到广播的时候会进行复制传递,因此是不支持,如果支持的话则不会复制传递,比如P2MP的时候可以
不选举DR,因为它可以支持广播报文,直接处理了不会复制再次传递。而且会生成多条主机路由。如果是NBMA非全链接可能导致网络中存在多个DR的情况。
H3C选DR是选优先级别大和ROUTER ID大,可,ROUTERID却是选IP小的
BGP的本地优先属性可以用在入方向因此可以在AS之间选路。
NAT地址翻译server 中只需要建立一次 就可以双向翻译 当然必须是在WAN口 即可以出,也可以回
LAN-----R1-NATSERVER----R2
可以不些地址池,随意指定IP,当然要保证你出去的时候有回来的路由。
NAT SERVER在新版本里会多出一个ACL
如 NAT SERVER ACL-LIST PROTOCAL GLOBAL PORT INSIDE PORT 这个的意思是 服务器对外提供服务同时它自己的所有应用都可以从里面出去而外面只能访问我的某一项服务,但我可以访问外面所有的否则你自己也要做个OUTBOUND的转换。
NE20内是 NAT SERVER portocal global prot inside port acl-list pool
就是利用NAT SERVER 作源地址转换。ACL是你所匹配的网段。POOL是你进行转换的池
这个和NAT OUTBOUND差不多只是专门为SERVER准备的。
LAN-----R1-NATSERVER----R2
可以不些地址池,随意指定IP,当然要保证你出去的时候有回来的路由。
NAT SERVER在新版本里会多出一个ACL
如 NAT SERVER ACL-LIST PROTOCAL GLOBAL PORT INSIDE PORT 这个的意思是 服务器对外提供服务同时它自己的所有应用都可以从里面出去而外面只能访问我的某一项服务,但我可以访问外面所有的否则你自己也要做个OUTBOUND的转换。
NE20内是 NAT SERVER portocal global prot inside port acl-list pool
就是利用NAT SERVER 作源地址转换。ACL是你所匹配的网段。POOL是你进行转换的池
这个和NAT OUTBOUND差不多只是专门为SERVER准备的。
CISCO的
长沙-吕书健(11618687) 01:32:41
INSIDE是来自路由器内部,OUTSIDE是来自路由器外部,注意 来自的意思实际都是IN
长沙-吕书健(11618687) 01:33:05
开始你在接口处不是定义过了IP NAT INSIDE和IP NAT OUTSIDE吗
长沙-吕书健(11618687) 01:33:24
就是在定义外部和内部
长沙-吕书健(11618687) 01:32:41
INSIDE是来自路由器内部,OUTSIDE是来自路由器外部,注意 来自的意思实际都是IN
长沙-吕书健(11618687) 01:33:05
开始你在接口处不是定义过了IP NAT INSIDE和IP NAT OUTSIDE吗
长沙-吕书健(11618687) 01:33:24
就是在定义外部和内部
