• CDP、ODR

全局是cdp run

接口是cdp enable

#show cdp neighbors 可以加detail

#clear cdp table 清空cdp

conf#router odr 開啟ODR

• EIGRP

#show ip eigrp neighbors detail 查看鄰居詳情

#show ip protocol

#show ip eigrp interface 查看接口EIGRP詳情

conf-router#metric weights 0 K1 K2 K3 K4 K5 修改EIGRP的K值

conf-if#ip hello-interval eigrp 1 5 設置hello包時間

conf-if#ip hold-timeeigrp 1 15 設置存活時間，不能比hello小

conf-router#passive-interface default

conf-router#passive-interface 接口

認證

conf-router#Key chain NAME

conf-keychain#key 1

conf-keychain-key#key-string 111

conf-keychain-key#accept-lifetime 00:00:00 jan 1 2015 infinite

conf-keychain-key#send-lifetime 00:00:00 jan 1 2015 infinite

conf-if#ip authentication mode eigrp 1 md5

conf-if#ip authentication key-chain eigrp 1 NAME

#show key chain

末梢配置

conf-router#eigrp stub 參數 默認connected\summary

receive-only只收不發

connected允許發送直連，可能需要重分發

static允許發送靜態

summary允許發送路由匯總更新

redistribute允許發送重分發路由

• OSPF

conf-if#ip ospf 1 area 0 接口單獨啟用OSPF命令

#clear ip ospf process重啟OSPF進程

#show ip border-routers 查看ABR ASBR

conf-if#ip ospf cost 10修改cost

OSPF認證2017/2/23

conf-if#ip ospf authentication-key PWD 創建明文認證

conf-if#ip ospf authentication 接口開啟認證

conf-router#area 0 authentication 區域開啟認證

conf-if#ip ospf message-digest-key 1 md5 PWD 創建密文認證

conf-if#ip ospf authentication message-digest 接口開啟認證

conf-router#area 0 authentication message-digest 區域開啟認證

虛擬鏈路：

conf-router#area 1 virtual-link 1.1.1.1 1為要在哪個區域創建虛鏈路 1.1地址為對面的router-id

修改網絡類型命令，只能用在串口S口：

conf-if#ip ospf network ？

conf-router#neighbor 鄰居IP （priorty X） NBMA手動喚醒鄰居單播形式

LSA類型：

#show ip ospf database router 查看LSA類型1

#show ip ospf database network 查看LSA類型2

#show ip ospf database summer 查看LSA類型3

#show ip ospf database asbr-summer

末梢區域優化，減少LSA：

非區域0有ABR沒有ASBR沒有虛鏈路

conf-router#area 所在區域 stub

*區域內所有路由都要敲這條命令包括ABR

conf-router#area 所在區域 stub no-summary 完全末梢 去除3類LSA 在ABR上敲

conf-router（ABR）#area 2 default-cost 10

*末梢屏蔽4類5類，完全末梢屏蔽3類4類5類

非純末梢區域NSSA

conf-router#area 所在區域 nssa

*區域內所有路由都要敲這條命令

conf-router#area 所在區域 nssa default-information-originate 向nssa 下發默認路由，ABR路由敲

conf-router#area 所在區域 nssa no-summary 完全nssa 去除3類LSA 在ABR上敲

• 路由重分發

int 進入所在協議

A>B 單向路由，B可能需要默認路由或者靜態路由 A<>B雙向路由，不需要

conf-router#redistribute 協議 metric OR 10000帶寬 10延遲 255可靠性 1負載 1500MTU 重分發

外部註入OSPF時一定要conf-router#redistribute eigrp 100 subnets 可加參數metric-type 1改為類型1 計算開銷

conf-router#redistribute connected/static 註入直連/靜態

conf-router#default-metric 10（100000 10 255 1 1500） 修改默認跳數或默認值

把管理距離低的註入到高的管理距離會導致次優路徑

解決方法：修改AD管理距離

conf-router#distance 109 源頭IP 反掩碼 ACL（要修改的IP）

• 路由策略

conf-router#passive-interface default

conf-router#passive-interface 被動接口

ACL訪問控制列表控制

創建訪問控制列表---NA知識裏的ACL

conf-router#distribute-list ACL名 out/in f0/0 在重分發時調用ACL

前綴列表控制

conf#ip prefix-list NAME deny 1.1.1.1/8 創建前綴列表

conf#ip prefix-list NAME permit 0.0.0.0/0 le 32 允許所有

ge=大於等於

le=小余等於

0.0.0.0/0 le 32 所有網絡

conf-router#distribute-list prefix NAME out f0/0 在重分發是調用前綴列表

MAP-創建匹配策略

conf#route-map NAME permit/deny 10 創建MAP

conf-map#match ip add ACL-NAME NAME NAME 匹配ACL NAME橫著表示OR

OR conf-map#match ip add prefix-list NAME 匹配prefix-list

conf-router#redistribute rip router-map MAPNAME 重分發時調用MAP 隱含拒絕所有

conf#router-map NAME permit 20

router-map#set tag 100

conf-map#match tag 100 匹配標記為100

• 策略路由

流量入站接口

先配置access-list選擇源流量地址 eq 80

conf#route-map NAME permit 10 創建routermap

conf-map#match ip address 1 匹配ACL-1

conf-map#set ip default next-hop 1.1.1.1

conf#route-map NAME permit 20

conf-map#match ip address 2 匹配ACL-2

conf-map#set ip default next-hop 2.2.2.2

conf#route-map NAME permit 30

conf-map#set default interface null0 設置黑洞接口

conf#ip local policy route-map NME 路由器本地調用

conf-if#ip policy route-map NAME 接口調用

#show ip policy

• BGP

conf#router bgp 1

conf-router#bgp router-id 1.1.1.1

conf-router#neighbor 1.1.12.2(對方BGP接口IP) remote-as 2（對方BGPAS號) 鄰居建立必須可達

conf-router#neighbor 2.2.2.2 update-source lo 0 用環回口建鄰居

內部建立BGP最好用回環口保證穩定，跑OSPF使內部保持互通，本身AS號必須是對方remoteAS號，源IP必須是對方neighborIP

宣告conf-router#network 1.1.1.1 mask 255.255.255.0 掩碼精確，不跟掩碼主類,宣告必須是路由表裏有的

EBGP要用回環口建立鄰居必須修改TTL寫靜態路由，通常用直連建立EBGP

conf-router#neighbor 2.2.2.2 ebgp-multihop 2 修改TTL為2

EBGP會更新下一跳

IBGP不會更新下一跳

內部IBGP發給其他路由需要強制更新下一跳

conf-router#neighbor 1.1.1.1（IBGP鄰居IP） next-hop-self

conf-router#aggregate-address 匯總IP 正掩碼 參數

summary-only 只發匯總

suppress-map NAME（route-map） 抑制明細

as-set 匯總路由和明細路由不在同一臺路由上，防止回傳產生的環路

#show ip bgp summary 查看

#show ip bgp

#clear ip bgp * soft 軟清

#clear ip bgp * 硬清，所有路由表重新建立

EBGP鄰居路由表只傳一跳

EBGP N W L L A O M N I W、L越大越優先

&N : 0 NEXTHOP下一跳必須可達 前提條件

&W : 1 weight，權重，只在本地有效，不傳給鄰居

>conf-route#neighbor 2.2.2.2 weight 1 把鄰居發來的權重修改為1

>>route-map#set weight 1(寫route-map一定要跟空語句)

&L : 2 LOCAL P 本地優先級

>conf-route#neighbor 2.2.2.2 route-map NAME out 將map中源網段的loocal發給鄰居

>>route-map#set loocal 101

&L : 3 0.0.0.0表示下一跳是本地 優先於其他任何

&A : 4 AS path 數量約小越優先

>conf-rout#neighbor 10.1.12.2 route-map NAME in 將MAP中傳過來的網段ASPATH修改

>>route-map#set as-path prepend 重復源AS號 在之前經過N個源AS號

&O : 5 origin起源

&M : 6 MDE metrinc 只在相鄰AS傳遞，不發給第三個AS，越小越優先

>neighbor 10.1.12.2 route-map NAME out

>>route-map#shet metric 10 將源地址的metric掛載為10傳給目標鄰居

&N : 7 Neighbor type 鄰居類型,AD,EBGP(20)>IBGP(200)

&I : 8 IGP 比較下一跳IGP的度量值，越小越優先

&O : 9 OLD 越老越優先，EBGP

&I ：10 route-id 越小越優先

IBGP路由只傳給鄰居只傳一跳>>>>

路由反射器>

config-router#neighbor 鄰居地址 route-reflector-client 指定鄰居為客戶端 本機為RR

RR會把客戶機路由反射給非客戶機，非客戶機會反射給客戶機，不帶屬性

聯邦聯盟(內部)>

64512-65535 刪大的AS>創建小的AS>

conf#router bgp 65012

conf-router#bgp confederation identifier 123 聲明自己所在的大AS

conf-router#bgp confederation peers 65003 可以多個，指定鄰居小AS

conf-router#建立鄰居

conf-router#neighbor 2.2.2.2 ebgp-multihop 2 用環回口小AS邊界EBGP修改TTL為2

• IPV6

conf-if#ipv6 enable 接口開啟IPV6

#show ipv6 int bried 查看IPV6

IPV6可以多個地址，不會覆蓋

IPV4要配多個地址要加sec輔助地址

靜態路由跟出站接口要加對方鏈路本地地址conf#ipv6 route 200::/64 f0/0 fe80

fe80 #show ipv6 neighbors

默認路由::/0

所有動態路由協議要開啟ipv6 conf#ipv6 unicast-routing

IPV6動態路由協議不要network

RIP

conf#ipv6 router rip NAME NAME本地有效

conf-if#ipv6 rip NAME enable 接口啟用

OSPF

route-id用ipv4

conf-if#ipv6 ospf 1 a 0

EIGRP

創建後 要設置route-id 然後no shudown

BGP

跟IPV4一樣配置，鄰居時寫IVP6地址就行，要address-family ipv6且激活鄰居neighbor 1200:2 activate 然後宣告網段

show ip bgp ipv6 unicast

重分發

不重分發參與協議的直連接口，重分發到ospf不用subnet

• PPPOE

服務端和客戶端連接的接口不需要配置IP地址

服務端

conf-if#pppoe enable

conf#bba-group pppoe NAME

conf-group#virtual-template 1創建模板

conf#int virtual-template 1 進入模板接口

conf-virtual#ip address 8.0.0.1 255.255.255.0 讓客戶端的網關為

conf-virtual#peer default ip address pool ADSL 綁定地址池ADSL

conf-virtual#ppp authentication chap 配置認證

conf#ip local pool ADSL 8.0.0.10 8.0.0.20 設置地址池為20個

conf#username USERNAME password PWD

#show pppoe session

客戶端

conf-if#pppoe enable

conf-if#pppoe-client dial-pool-number 1

conf#int dialer 0

conf-if#encapsulation ppp

conf-if#ip address negotiated

conf-if#ppp chap hostname USERNAME

conf-if#ppp chap password PWD

conf-if#ip mtu 1492 以太網+PPP+數據包，PPP占8字節，1500-8=1492

conf-if#dialer pool 1

conf#ip route 0.0.0.0 0.0.0.0 dialer 0 NAT的外網接口也是dialer 0 不能寫物理口，寫撥號口

• VPN

數據鏈路層L2VPN: PPTP(NAT1703) L2F L2TP（NAT1701)

網絡層L3VPN:GRE IPSEC

應用層L7VPN:SSL/SSTP

GREVPN

ip頭|數據

GRE|IP頭|數據

新IP頭|GRE|IP頭|數據

conf#intface tunnel 0 本地有效

conf-tunnel##tunnel source 2.2.2.2 起隧道的源公網地址

conf-tunnel#tunnel destination 1.1.1.1 對端的公網IP

conf-tunnel#ip add 172.1.1.2 隧道IP地址可隨便取，最好同一網段

conf#ip route 192.168.0.0 255.255.0.0 tunnel 0 默認路由寫隧道口，來回

conf-tunnel#keeplive 檢測對端，類似hello包，默認10秒一次，死亡時間30秒

跑動態協議例EIGRP 宣告內網和隧道IP地址，不能宣告公網

• IPsec

傳輸模式（傳輸點=加密點） 原IP頭|IPsec|IP數據

AH IP協議號51 IP|AH|TCP|DATA

ESP IP協議號50 IP|ESP|TCP|DATA|ESP trailer|ESP auth

隧道模式（傳輸點≠加密點） 新IP頭|IPsec|原IP頭|IP數據

AH IP協議號51 IP|AH|TCP|DATA

ESP IP協議號50 IP|ESP|TCP|DATA|ESP trailer|ESP auth

用IKE協商出SA，SPI標識各種SA

phase1 建立個IKE SA為階段2提供保護 main mode、aggressive mode

phase2 在IKESA的保護下完成IPsec SA的協商 Quick mode

1\創建ACL來匹配需要保護的流量,GRE over IPsec要修改成permit gre host 10.1.12.1 host 10.1.23.3 要是公網的

2\配置IKE SA（保護通道）

conf#crypto isakmp policy 1

conf-isakmp#encryption aes\des\3des 推薦AES

conf-isakmp#hash md5

conf-isakmp#authentication pre-share

conf-isakmp#group 1\2\5 推薦用2

conf-isakmp#lifetime 3600 生命周期1小時

3\配置PSK秘鑰

conf#crypto isakmp key 6 PWD address 2.2.2.2 6為加密1為不加密，地址為要加密的對端

4\配置IPsec SA（保護數據）

conf#crypto ipsec transform-set NAME1SH esp-md5-hmac esp-aes

5\配置映射

conf#crypto map NAMER1 1 ipsec-isakmp

conf-map#set peer 2.2.2.2 要加密的對端地址

conf-map#set transform-set NAMESH

conf-map#match address ACLNAME

6\出去的接口調用

conf-if#crypto map NAMER1

本文出自 “勤能補拙” 博客，請務必保留此出處http://echoroot.blog.51cto.com/11804540/1922790

ODR、EIGRP、OSPF、BGP、PPPOE、IPV6