ODR、EIGRP、OSPF、BGP、PPPOE、IPV6
CDP、ODR
全局是cdp run
接口是cdp enable
#show cdp neighbors 可以加detail
#clear cdp table 清空cdp
conf#router odr 開啟ODR
EIGRP
#show ip eigrp neighbors detail 查看鄰居詳情
#show ip protocol
#show ip eigrp interface 查看接口EIGRP詳情
conf-router#metric weights 0 K1 K2 K3 K4 K5 修改EIGRP的K值
conf-if#ip hello-interval eigrp 1 5 設置hello包時間
conf-if#ip hold-timeeigrp 1 15 設置存活時間,不能比hello小
conf-router#passive-interface default
conf-router#passive-interface 接口
認證
conf-router#Key chain NAME
conf-keychain#key 1
conf-keychain-key#key-string 111
conf-keychain-key#accept-lifetime 00:00:00 jan 1 2015 infinite
conf-keychain-key#send-lifetime 00:00:00 jan 1 2015 infinite
conf-if#ip authentication mode eigrp 1 md5
conf-if#ip authentication key-chain eigrp 1 NAME
#show key chain
末梢配置
conf-router#eigrp stub 參數 默認connected\summary
receive-only只收不發
connected允許發送直連,可能需要重分發
static允許發送靜態
summary允許發送路由匯總更新
redistribute允許發送重分發路由
OSPF
conf-if#ip ospf 1 area 0 接口單獨啟用OSPF命令
#clear ip ospf process重啟OSPF進程
#show ip border-routers 查看ABR ASBR
conf-if#ip ospf cost 10修改cost
OSPF認證2017/2/23
conf-if#ip ospf authentication-key PWD 創建明文認證
conf-if#ip ospf authentication 接口開啟認證
conf-router#area 0 authentication 區域開啟認證
conf-if#ip ospf message-digest-key 1 md5 PWD 創建密文認證
conf-if#ip ospf authentication message-digest 接口開啟認證
conf-router#area 0 authentication message-digest 區域開啟認證
虛擬鏈路:
conf-router#area 1 virtual-link 1.1.1.1 1為要在哪個區域創建虛鏈路 1.1地址為對面的router-id
修改網絡類型命令,只能用在串口S口:
conf-if#ip ospf network ?
conf-router#neighbor 鄰居IP (priorty X) NBMA手動喚醒鄰居單播形式
LSA類型:
#show ip ospf database router 查看LSA類型1
#show ip ospf database network 查看LSA類型2
#show ip ospf database summer 查看LSA類型3
#show ip ospf database asbr-summer
末梢區域優化,減少LSA:
非區域0有ABR沒有ASBR沒有虛鏈路
conf-router#area 所在區域 stub
*區域內所有路由都要敲這條命令包括ABR
conf-router#area 所在區域 stub no-summary 完全末梢 去除3類LSA 在ABR上敲
conf-router(ABR)#area 2 default-cost 10
*末梢屏蔽4類5類,完全末梢屏蔽3類4類5類
非純末梢區域NSSA
conf-router#area 所在區域 nssa
*區域內所有路由都要敲這條命令
conf-router#area 所在區域 nssa default-information-originate 向nssa 下發默認路由,ABR路由敲
conf-router#area 所在區域 nssa no-summary 完全nssa 去除3類LSA 在ABR上敲
路由重分發
int 進入所在協議
A>B 單向路由,B可能需要默認路由或者靜態路由 A<>B雙向路由,不需要
conf-router#redistribute 協議 metric OR 10000帶寬 10延遲 255可靠性 1負載 1500MTU 重分發
外部註入OSPF時一定要conf-router#redistribute eigrp 100 subnets 可加參數metric-type 1改為類型1 計算開銷
conf-router#redistribute connected/static 註入直連/靜態
conf-router#default-metric 10(100000 10 255 1 1500) 修改默認跳數或默認值
把管理距離低的註入到高的管理距離會導致次優路徑
解決方法:修改AD管理距離
conf-router#distance 109 源頭IP 反掩碼 ACL(要修改的IP)
路由策略
conf-router#passive-interface default
conf-router#passive-interface 被動接口
ACL訪問控制列表控制
創建訪問控制列表---NA知識裏的ACL
conf-router#distribute-list ACL名 out/in f0/0 在重分發時調用ACL
前綴列表控制
conf#ip prefix-list NAME deny 1.1.1.1/8 創建前綴列表
conf#ip prefix-list NAME permit 0.0.0.0/0 le 32 允許所有
ge=大於等於
le=小余等於
0.0.0.0/0 le 32 所有網絡
conf-router#distribute-list prefix NAME out f0/0 在重分發是調用前綴列表
MAP-創建匹配策略
conf#route-map NAME permit/deny 10 創建MAP
conf-map#match ip add ACL-NAME NAME NAME 匹配ACL NAME橫著表示OR
OR conf-map#match ip add prefix-list NAME 匹配prefix-list
conf-router#redistribute rip router-map MAPNAME 重分發時調用MAP 隱含拒絕所有
conf#router-map NAME permit 20
router-map#set tag 100
conf-map#match tag 100 匹配標記為100
策略路由
流量入站接口
先配置access-list選擇源流量地址 eq 80
conf#route-map NAME permit 10 創建routermap
conf-map#match ip address 1 匹配ACL-1
conf-map#set ip default next-hop 1.1.1.1
conf#route-map NAME permit 20
conf-map#match ip address 2 匹配ACL-2
conf-map#set ip default next-hop 2.2.2.2
conf#route-map NAME permit 30
conf-map#set default interface null0 設置黑洞接口
conf#ip local policy route-map NME 路由器本地調用
conf-if#ip policy route-map NAME 接口調用
#show ip policy
BGP
conf#router bgp 1
conf-router#bgp router-id 1.1.1.1
conf-router#neighbor 1.1.12.2(對方BGP接口IP) remote-as 2(對方BGPAS號) 鄰居建立必須可達
conf-router#neighbor 2.2.2.2 update-source lo 0 用環回口建鄰居
內部建立BGP最好用回環口保證穩定,跑OSPF使內部保持互通,本身AS號必須是對方remoteAS號,源IP必須是對方neighborIP
宣告conf-router#network 1.1.1.1 mask 255.255.255.0 掩碼精確,不跟掩碼主類,宣告必須是路由表裏有的
EBGP要用回環口建立鄰居必須修改TTL寫靜態路由,通常用直連建立EBGP
conf-router#neighbor 2.2.2.2 ebgp-multihop 2 修改TTL為2
EBGP會更新下一跳
IBGP不會更新下一跳
內部IBGP發給其他路由需要強制更新下一跳
conf-router#neighbor 1.1.1.1(IBGP鄰居IP) next-hop-self
conf-router#aggregate-address 匯總IP 正掩碼 參數
summary-only 只發匯總
suppress-map NAME(route-map) 抑制明細
as-set 匯總路由和明細路由不在同一臺路由上,防止回傳產生的環路
#show ip bgp summary 查看
#show ip bgp
#clear ip bgp * soft 軟清
#clear ip bgp * 硬清,所有路由表重新建立
EBGP鄰居路由表只傳一跳
EBGP N W L L A O M N I W、L越大越優先
&N : 0 NEXTHOP下一跳必須可達 前提條件
&W : 1 weight,權重,只在本地有效,不傳給鄰居
>conf-route#neighbor 2.2.2.2 weight 1 把鄰居發來的權重修改為1
>>route-map#set weight 1(寫route-map一定要跟空語句)
&L : 2 LOCAL P 本地優先級
>conf-route#neighbor 2.2.2.2 route-map NAME out 將map中源網段的loocal發給鄰居
>>route-map#set loocal 101
&L : 3 0.0.0.0表示下一跳是本地 優先於其他任何
&A : 4 AS path 數量約小越優先
>conf-rout#neighbor 10.1.12.2 route-map NAME in 將MAP中傳過來的網段ASPATH修改
>>route-map#set as-path prepend 重復源AS號 在之前經過N個源AS號
&O : 5 origin起源
&M : 6 MDE metrinc 只在相鄰AS傳遞,不發給第三個AS,越小越優先
>neighbor 10.1.12.2 route-map NAME out
>>route-map#shet metric 10 將源地址的metric掛載為10傳給目標鄰居
&N : 7 Neighbor type 鄰居類型,AD,EBGP(20)>IBGP(200)
&I : 8 IGP 比較下一跳IGP的度量值,越小越優先
&O : 9 OLD 越老越優先,EBGP
&I :10 route-id 越小越優先
IBGP路由只傳給鄰居只傳一跳>>>>
路由反射器>
config-router#neighbor 鄰居地址 route-reflector-client 指定鄰居為客戶端 本機為RR
RR會把客戶機路由反射給非客戶機,非客戶機會反射給客戶機,不帶屬性
聯邦聯盟(內部)>
64512-65535 刪大的AS>創建小的AS>
conf#router bgp 65012
conf-router#bgp confederation identifier 123 聲明自己所在的大AS
conf-router#bgp confederation peers 65003 可以多個,指定鄰居小AS
conf-router#建立鄰居
conf-router#neighbor 2.2.2.2 ebgp-multihop 2 用環回口小AS邊界EBGP修改TTL為2
IPV6
conf-if#ipv6 enable 接口開啟IPV6
#show ipv6 int bried 查看IPV6
IPV6可以多個地址,不會覆蓋
IPV4要配多個地址要加sec輔助地址
靜態路由跟出站接口要加對方鏈路本地地址conf#ipv6 route 200::/64 f0/0 fe80
fe80 #show ipv6 neighbors
默認路由::/0
所有動態路由協議要開啟ipv6 conf#ipv6 unicast-routing
IPV6動態路由協議不要network
RIP
conf#ipv6 router rip NAME NAME本地有效
conf-if#ipv6 rip NAME enable 接口啟用
OSPF
route-id用ipv4
conf-if#ipv6 ospf 1 a 0
EIGRP
創建後 要設置route-id 然後no shudown
BGP
跟IPV4一樣配置,鄰居時寫IVP6地址就行,要address-family ipv6且激活鄰居neighbor 1200:2 activate 然後宣告網段
show ip bgp ipv6 unicast
重分發
不重分發參與協議的直連接口,重分發到ospf不用subnet
PPPOE
服務端和客戶端連接的接口不需要配置IP地址
服務端
conf-if#pppoe enable
conf#bba-group pppoe NAME
conf-group#virtual-template 1創建模板
conf#int virtual-template 1 進入模板接口
conf-virtual#ip address 8.0.0.1 255.255.255.0 讓客戶端的網關為
conf-virtual#peer default ip address pool ADSL 綁定地址池ADSL
conf-virtual#ppp authentication chap 配置認證
conf#ip local pool ADSL 8.0.0.10 8.0.0.20 設置地址池為20個
conf#username USERNAME password PWD
#show pppoe session
客戶端
conf-if#pppoe enable
conf-if#pppoe-client dial-pool-number 1
conf#int dialer 0
conf-if#encapsulation ppp
conf-if#ip address negotiated
conf-if#ppp chap hostname USERNAME
conf-if#ppp chap password PWD
conf-if#ip mtu 1492 以太網+PPP+數據包,PPP占8字節,1500-8=1492
conf-if#dialer pool 1
conf#ip route 0.0.0.0 0.0.0.0 dialer 0 NAT的外網接口也是dialer 0 不能寫物理口,寫撥號口
VPN
數據鏈路層L2VPN: PPTP(NAT1703) L2F L2TP(NAT1701)
網絡層L3VPN:GRE IPSEC
應用層L7VPN:SSL/SSTP
GREVPN
ip頭|數據
GRE|IP頭|數據
新IP頭|GRE|IP頭|數據
conf#intface tunnel 0 本地有效
conf-tunnel##tunnel source 2.2.2.2 起隧道的源公網地址
conf-tunnel#tunnel destination 1.1.1.1 對端的公網IP
conf-tunnel#ip add 172.1.1.2 隧道IP地址可隨便取,最好同一網段
conf#ip route 192.168.0.0 255.255.0.0 tunnel 0 默認路由寫隧道口,來回
conf-tunnel#keeplive 檢測對端,類似hello包,默認10秒一次,死亡時間30秒
跑動態協議例EIGRP 宣告內網和隧道IP地址,不能宣告公網
IPsec
傳輸模式(傳輸點=加密點) 原IP頭|IPsec|IP數據
AH IP協議號51 IP|AH|TCP|DATA
ESP IP協議號50 IP|ESP|TCP|DATA|ESP trailer|ESP auth
隧道模式(傳輸點≠加密點) 新IP頭|IPsec|原IP頭|IP數據
AH IP協議號51 IP|AH|TCP|DATA
ESP IP協議號50 IP|ESP|TCP|DATA|ESP trailer|ESP auth
用IKE協商出SA,SPI標識各種SA
phase1 建立個IKE SA為階段2提供保護 main mode、aggressive mode
phase2 在IKESA的保護下完成IPsec SA的協商 Quick mode
1\創建ACL來匹配需要保護的流量,GRE over IPsec要修改成permit gre host 10.1.12.1 host 10.1.23.3 要是公網的
2\配置IKE SA(保護通道)
conf#crypto isakmp policy 1
conf-isakmp#encryption aes\des\3des 推薦AES
conf-isakmp#hash md5
conf-isakmp#authentication pre-share
conf-isakmp#group 1\2\5 推薦用2
conf-isakmp#lifetime 3600 生命周期1小時
3\配置PSK秘鑰
conf#crypto isakmp key 6 PWD address 2.2.2.2 6為加密1為不加密,地址為要加密的對端
4\配置IPsec SA(保護數據)
conf#crypto ipsec transform-set NAME1SH esp-md5-hmac esp-aes
5\配置映射
conf#crypto map NAMER1 1 ipsec-isakmp
conf-map#set peer 2.2.2.2 要加密的對端地址
conf-map#set transform-set NAMESH
conf-map#match address ACLNAME
6\出去的接口調用
conf-if#crypto map NAMER1
本文出自 “勤能補拙” 博客,請務必保留此出處http://echoroot.blog.51cto.com/11804540/1922790
ODR、EIGRP、OSPF、BGP、PPPOE、IPV6