- 编辑 | 排版 | 制图 | 测试 | ©瑞哥
- 此文用时1小时43分钟,原创不易,坚持更不易,希望我的每一份劳动成果都可以得到大家的一个【在看】
distribute-list(分发列表)
distribute-list不能用于链路状态路由选择协议来阻断特定接口上的LSA
并且不能再接口锅炉OPSF的出站路由选择更新
router ospf 1
distribute-list 2 out 路由协议
这句话的意思是当某个路由协议重分布到ospf中时,只允许ACL 2 匹配中的路由重分布进来
prefix-list(前缀列表)
前缀列表可以匹配掩码范围,ACL不可以匹配掩码范围。
10.1.0.0/16 ge 17 le 24
前面表示多少位要严格匹配,后面的ge le表示掩码的范围
这句话的意思是:匹配一10.1开头的,掩码Wie17位到24位的所有路由条目
route-map
match 在同一行多个匹配标准使用逻辑OR
match 在同一列多个匹配标准使用逻辑and
管理距离(AD)
EIGRP的汇总路由默认管理距离为5,且只在本地有效。
在进程下:
distance distance-number [ address wildcard-mask ][ access-list-number | name]
ACL的作用:匹配某个路由条目需要修改管理距离
地址和反掩码的作用:表示谁通过过来的路由条目需要修改管理距离
PBR(策略路由)
作用:控制流量走向,如果接口配置了策略路由,当收到数据包时,先匹配策略路由,
如果匹配不上,则查路由表。
作用对象
接口上配置了PBR,只能对进入的流量生效
全局下配置PBR,只能对本地产生的流量生效(需要加上:ip local policy route-map map-name)
show ip policy 可以查看配置的PBR
offset-list(偏移列表)
只支持距离矢量路由协议,并且只能增加。
offset-list access-list-number | access-list-name [ in | out ] offset-num [ interface-type interface-number ]
注意:offset-num 表示在原来的基础上增加的数值
ip bgp-community new-format 开启BGP团体属性的新格式
ip community-list list-number permit/deny NN:AA
ORF
支持该功能的 BGP 路由器会把本机配置的 BGP 路由入站过滤器“推送”给 BGP 远程对等体,
以便远程对等体将收到的过滤器应用为自身的 BGP 路由出站过滤器.(该功能很好用,可以节约大量资源)
nei X.X.X.X capability orf prefix-list both 和邻居开启ORF,并就收对方的入向推送
要是不想接纳由 R1 推送的 prefix-list,则可以配置 R2,令其用本机配置的出站方向的
prefix-list 进行“覆盖”。
show ip ospf | begin area 可以查看SPF算法多久执行一次和最后一次执行的时间
BGP中aggregate-address X.X.X.X X.X.X.X as-set summary-only
该汇总命令由于加上了as-set参数,使得汇总路由继承了明细路由的属性
使得汇总路由无法传回本AS,解决办法如下:
1、去掉as-set
2、在PE上配置 as-override
3、在CE上配置 allowas-in
其继承属性有:as-path local-perfence origin-code(?>e>i) 团体属性
在ospf进程中 auto-cost reference-bandwidth X 修改OSPF的参考带宽为X(单位为Mb/s)
修改了一个路由器,其他启用了OSPF进程的路由器也要修改
ospf中的ABR到达区域内的某个网段有区域内路由(直接和这个区相连的路由)和区域间路由
(从其他ABR学到的路由)时,如果区域间的路由开销比区域内的路由的开销低,路由器还是
会选择区域内的路由走,不会选择开销低的区域间路由。
OSPF的stub区域ABR下发的默认路由的cost默认为1,可以使用area area-id default-cost cost-number修改
OSPF中OE1 ON1的路由累加外部和内部开销反映到点目的网络的总开销,OE2 ON2只采用外部度量值。
OSPFv3的配置模式
传统模式:
ipv6 unicast-routing
ipv6 router ospf process-id
router-id X.X.X.X(如果没有router-id 进程启动失败)
interface f0/0
ipv6 ospf process-id area area-id
注意:该模式不需要再路由器上配置IPv4地址
没有network命令
接口必须启用IPv6
当使用单播指定邻居(neighbor)时,使用的地址是IPv6的链路本地地址。在接口下:ipv6 ospf neighbor FE80::2(在NBMA接口)
新版模式:
ipv6 unicast-routing
router ospfv3 process-id
router-id X.X.X.X (对IPv4 IPv6地址簇同时生效)
address-family ipv6 unicast
router-id X.X.X.X (只对IPv6地址簇生效)
address-family ipv4 unicast
router-id X.X.X.X (只对IPv4地址簇生效)
interface F0/0
ospfv3 process-id ipv4/ipv6 area area-id
ospfv3 process-id ipv4/ipv6 neighbor FE80::2 (在NBMA接口)
其他ospf的特性配置和常规的IPv4配置相同,只不过是要在对应的地址簇中配置。
ppp ipcp route default 接口下为PPP下发一条默认路由,配置之后清一下路由表。
使用IPV4传递IPV6路由会导致IPV6路由的下一跳不可达,需要使用route-map不可达
123下发默认路由 124学习明细 125全局NAT
crypto ipsec nat-transparency udp-encapsulation 这条命令在新本的IOS中时默认开启的
作用:IPsec的流量在经过NAT的时候不转换,使用UDP封装使其穿越NAT
开启位置:只需要在开启IPSEC-V**的设备上开启即可,和其他设备没有关系
考查:PAT和site之间的静态映射,注意有两个:UDP的500 4500端口都要映射
如果是懂开启的,关掉4500的端口也可以通,因为设备内部会自动下发“奇怪的端口号”,可以在NAT转换表中看到
ip nat inside source static udp 内部地址 500 外部地址 500
ip nat inside source static udp 内部地址 4500 外部地址 4500
注意:写这两条命令的作用是-使得PAT外部的site能够主动发起V**建立
不写这两条,可以使得PAT内部的site主动发起V**建立,也是可以的
原因:PAT内部的site发起V**建立,使得PAT上面能够有udp 500 4500的
一一对应表,从而到达对端site,建立起SPI(V**隧道),PAT外部的site
使用该SPI回应,到达PAT的时候根据行程的NAT转发表,到达内部site
show crypto engine conn active 可以查看IPsec的加解密状态
show interfaces status err-disabled 查看是否有端口安全违规
max-metric router-lsa 通告lsa出去的时候加上自己接口的cost值(加的是65535,不是实际cost)
ospf邻居起来了,但是不传递路由,很可能是网络类型的原因
ospf的数据库中记录的是邻居发过来的LSA的cost,只有通告出去的时候才会加自己的接口cost
show ip bgp rib-failure 可以查看加表失败的BGP路由的原因
使用IPv4承载IPv6路由,会使得IPv6的路由的下一跳不可达,需要使用route-map进行更改。
ip domain lookup开启域名解析
ip name server X.X.X.X 设置DNS服务器的地址为X.X.X.X
show ip dns view 可以查看DNS的相关配置信息
ip dns server 开启DNS服务
ip host www.aaa.com X.X.X.X将网址绑定在X.X.X.X这个地址上
ip name server X.X.X.X将X.X.X.X设置为自己的DNS服务器地址
