首页 > 代码库 > ODR、EIGRP、OSPF、BGP、PPPOE、IPV6

ODR、EIGRP、OSPF、BGP、PPPOE、IPV6

  • CDP、ODR 

 

全局是cdp run

接口是cdp enable

#show cdp neighbors 可以加detail

#clear cdp table  清空cdp

conf#router odr 开启ODR

 

 

 

  • EIGRP

#show ip eigrp neighbors detail 查看邻居详情

#show ip protocol

#show ip eigrp interface           查看接口EIGRP详情

conf-router#metric weights 0 K1 K2 K3 K4 K5 修改EIGRP的K值

conf-if#ip hello-interval eigrp 1 5   设置hello包时间

conf-if#ip hold-timeeigrp 1 15       设置存活时间,不能比hello小

conf-router#passive-interface default

conf-router#passive-interface 接口

  

认证

conf-router#Key chain NAME

conf-keychain#key 1

conf-keychain-key#key-string 111

conf-keychain-key#accept-lifetime 00:00:00 jan 1 2015 infinite

conf-keychain-key#send-lifetime 00:00:00 jan 1 2015 infinite

conf-if#ip authentication mode eigrp 1 md5

conf-if#ip authentication key-chain eigrp 1 NAME

 

#show key chain

末梢配置

conf-router#eigrp stub 参数   默认connected\summary

          receive-only只收不发

          connected允许发送直连,可能需要重分发

          static允许发送静态

          summary允许发送路由汇总更新

          redistribute允许发送重分发路由

 

 

  • OSPF

conf-if#ip ospf 1 area 0 接口单独启用OSPF命令

#clear ip ospf process重启OSPF进程

#show ip border-routers 查看ABR ASBR

conf-if#ip ospf cost 10修改cost

OSPF认证2017/2/23

conf-if#ip ospf authentication-key PWD     创建明文认证

conf-if#ip ospf authentication     接口开启认证

conf-router#area 0 authentication  区域开启认证

conf-if#ip ospf message-digest-key 1 md5 PWD     创建密文认证

conf-if#ip ospf authentication message-digest    接口开启认证  

conf-router#area 0 authentication message-digest 区域开启认证

虚拟链路:

conf-router#area 1 virtual-link 1.1.1.1  1为要在哪个区域创建虚链路 1.1地址为对面的router-id

修改网络类型命令,只能用在串口S口:

conf-if#ip ospf network ?

conf-router#neighbor 邻居IP (priorty X) NBMA手动唤醒邻居单播形式

LSA类型:

#show ip ospf database router     查看LSA类型1

#show ip ospf database network   查看LSA类型2

#show ip ospf database summer  查看LSA类型3

#show ip ospf database asbr-summer

末梢区域优化,减少LSA:

非区域0有ABR没有ASBR没有虚链路

conf-router#area 所在区域 stub

*区域内所有路由都要敲这条命令包括ABR

conf-router#area 所在区域 stub no-summary 完全末梢 去除3类LSA 在ABR上敲

conf-router(ABR)#area 2 default-cost 10   

  

*末梢屏蔽4类5类,完全末梢屏蔽3类4类5类

非纯末梢区域NSSA

conf-router#area 所在区域 nssa

*区域内所有路由都要敲这条命令

conf-router#area 所在区域 nssa default-information-originate 向nssa     下发默认路由,ABR路由敲

conf-router#area 所在区域 nssa no-summary   完全nssa  去除3类LSA 在ABR上敲

 

  • 路由重分发

int 进入所在协议

A>B 单向路由,B可能需要默认路由或者静态路由 A<>B双向路由,不需要

conf-router#redistribute 协议 metric OR 10000带宽 10延迟 255可靠性 1负载 1500MTU 重分发

外部注入OSPF时一定要conf-router#redistribute eigrp 100 subnets  可加参数metric-type 1改为类型1 计算开销

conf-router#redistribute connected/static 注入直连/静态

conf-router#default-metric 10(100000 10 255 1 1500)  修改默认跳数或默认值

把管理距离低的注入到高的管理距离会导致次优路径

解决方法:修改AD管理距离

conf-router#distance 109 源头IP 反掩码 ACL(要修改的IP)

 

 

  • 路由策略

conf-router#passive-interface default

conf-router#passive-interface 被动接口

ACL访问控制列表控制

创建访问控制列表---NA知识里的ACL

conf-router#distribute-list ACL名 out/in f0/0 在重分发时调用ACL

前缀列表控制

conf#ip prefix-list NAME deny 1.1.1.1/8     创建前缀列表

conf#ip prefix-list NAME permit  0.0.0.0/0 le 32    允许所有

                         ge=大于等于

                         le=小余等于

                         0.0.0.0/0 le 32 所有网络

conf-router#distribute-list prefix NAME out f0/0    在重分发是调用前缀列表

MAP-创建匹配策略

conf#route-map NAME permit/deny 10     创建MAP

conf-map#match ip add ACL-NAME  NAME NAME   匹配ACL NAME横着表示OR

             OR  conf-map#match ip add prefix-list NAME     匹配prefix-list

conf-router#redistribute rip router-map  MAPNAME 重分发时调用MAP 隐含拒绝所有

conf#router-map NAME permit 20

router-map#set tag 100

conf-map#match tag 100 匹配标记为100

 

  • 策略路由

流量入站接口

先配置access-list选择源流量地址 eq 80

conf#route-map NAME permit 10    创建routermap

conf-map#match ip address 1     匹配ACL-1

conf-map#set ip default next-hop 1.1.1.1

conf#route-map NAME permit 20

conf-map#match ip address 2     匹配ACL-2

conf-map#set ip default next-hop 2.2.2.2

conf#route-map  NAME permit 30

conf-map#set default interface null0     设置黑洞接口

conf#ip local policy route-map NME     路由器本地调用

conf-if#ip policy route-map NAME     接口调用

#show ip policy

 

  • BGP

conf#router bgp 1

conf-router#bgp router-id 1.1.1.1

conf-router#neighbor 1.1.12.2(对方BGP接口IP) remote-as 2(对方BGPAS号)    邻居建立必须可达

conf-router#neighbor 2.2.2.2 update-source lo 0   用环回口建邻居

内部建立BGP最好用回环口保证稳定,跑OSPF使内部保持互通,本身AS号必须是对方remoteAS号,源IP必须是对方neighborIP

     宣告conf-router#network 1.1.1.1 mask 255.255.255.0 掩码精确,不跟掩码主类,宣告必须是路由表里有的

EBGP要用回环口建立邻居必须修改TTL写静态路由,通常用直连建立EBGP

conf-router#neighbor 2.2.2.2 ebgp-multihop 2 修改TTL为2

EBGP会更新下一跳

IBGP不会更新下一跳

内部IBGP发给其他路由需要强制更新下一跳

conf-router#neighbor 1.1.1.1(IBGP邻居IP) next-hop-self

conf-router#aggregate-address 汇总IP 正掩码 参数

          summary-only     只发汇总

          suppress-map NAME(route-map)     抑制明细

          as-set     汇总路由和明细路由不在同一台路由上,防止回传产生的环路

#show ip bgp summary     查看

#show ip bgp

#clear ip bgp * soft 软清

#clear ip bgp *     硬清,所有路由表重新建立

 

 

EBGP邻居路由表只传一跳

EBGP     N   W L L A   O M N I     W、L越大越优先

  &N : 0 NEXTHOP下一跳必须可达 前提条件

  &W : 1 weight,权重,只在本地有效,不传给邻居

             >conf-route#neighbor 2.2.2.2 weight 1 把邻居发来的权重修改为1

                       >>route-map#set weight 1(写route-map一定要跟空语句)

  &L : 2 LOCAL P 本地优先级

             >conf-route#neighbor 2.2.2.2 route-map NAME out 将map中源网段的loocal发给邻居

                       >>route-map#set loocal 101

  &L : 3 0.0.0.0表示下一跳是本地 优先于其他任何

  &A : 4 AS path 数量约小越优先

              >conf-rout#neighbor 10.1.12.2 route-map NAME in 将MAP中传过来的网段ASPATH修改

                       >>route-map#set as-path prepend 重复源AS号 在之前经过N个源AS号

  &O : 5 origin起源

  &M : 6 MDE metrinc 只在相邻AS传递,不发给第三个AS,越小越优先

              >neighbor 10.1.12.2 route-map NAME out

                       >>route-map#shet metric 10   将源地址的metric挂载为10传给目标邻居

  &N : 7 Neighbor type 邻居类型,AD,EBGP(20)>IBGP(200)

  &I : 8 IGP  比较下一跳IGP的度量值,越小越优先

  &O : 9 OLD  越老越优先,EBGP

  &I :10 route-id 越小越优先

IBGP路由只传给邻居只传一跳>>>>

路由反射器>

config-router#neighbor 邻居地址 route-reflector-client     指定邻居为客户端 本机为RR

          RR会把客户机路由反射给非客户机,非客户机会反射给客户机,不带属性

联邦联盟(内部)>

64512-65535     删大的AS>创建小的AS>

conf#router bgp 65012

conf-router#bgp confederation identifier 123 声明自己所在的大AS

conf-router#bgp confederation peers 65003 可以多个,指定邻居小AS

conf-router#建立邻居

conf-router#neighbor 2.2.2.2 ebgp-multihop 2 用环回口小AS边界EBGP修改TTL为2

 

  • IPV6

conf-if#ipv6 enable     接口开启IPV6

#show ipv6 int bried     查看IPV6

IPV6可以多个地址,不会覆盖

IPV4要配多个地址要加sec辅助地址

静态路由跟出站接口要加对方链路本地地址conf#ipv6 route 200::/64 f0/0 fe80

                              fe80     #show ipv6 neighbors

默认路由::/0

所有动态路由协议要开启ipv6     conf#ipv6 unicast-routing

IPV6动态路由协议不要network

     RIP

     conf#ipv6 router rip NAME      NAME本地有效

     conf-if#ipv6 rip NAME enable     接口启用

     OSPF

     route-id用ipv4

     conf-if#ipv6 ospf 1 a 0

     EIGRP

     创建后 要设置route-id 然后no shudown

     BGP

     跟IPV4一样配置,邻居时写IVP6地址就行,要address-family ipv6且激活邻居neighbor 1200:2 activate 然后宣告网段

     show ip bgp ipv6 unicast

     重分发

     不重分发参与协议的直连接口,重分发到ospf不用subnet

 

 

  • PPPOE

服务端和客户端连接的接口不需要配置IP地址

服务端

conf-if#pppoe enable

conf#bba-group pppoe NAME

conf-group#virtual-template 1创建模板

conf#int virtual-template 1 进入模板接口

conf-virtual#ip address 8.0.0.1 255.255.255.0 让客户端的网关为

conf-virtual#peer default ip address pool ADSL 绑定地址池ADSL

conf-virtual#ppp authentication chap     配置认证

conf#ip local pool ADSL 8.0.0.10 8.0.0.20 设置地址池为20个

conf#username USERNAME password PWD

#show pppoe session

客户端

conf-if#pppoe enable

conf-if#pppoe-client dial-pool-number 1

conf#int dialer 0

conf-if#encapsulation ppp

conf-if#ip address negotiated

conf-if#ppp chap hostname USERNAME

conf-if#ppp chap password PWD

conf-if#ip mtu 1492     以太网+PPP+数据包,PPP占8字节,1500-8=1492

conf-if#dialer pool 1

conf#ip route 0.0.0.0 0.0.0.0 dialer 0    NAT的外网接口也是dialer 0 不能写物理口,写拨号口

  • VPN

数据链路层L2VPN: PPTP(NAT1703) L2F    L2TP(NAT1701)

网络层L3VPN:GRE IPSEC

应用层L7VPN:SSL/SSTP

GREVPN

                      ip头|数据

               GRE|IP头|数据

     新IP头|GRE|IP头|数据

conf#intface tunnel 0     本地有效

conf-tunnel##tunnel source 2.2.2.2     起隧道的源公网地址

conf-tunnel#tunnel destination 1.1.1.1      对端的公网IP

conf-tunnel#ip add 172.1.1.2  隧道IP地址可随便取,最好同一网段

conf#ip route 192.168.0.0 255.255.0.0 tunnel 0 默认路由写隧道口,来回

conf-tunnel#keeplive     检测对端,类似hello包,默认10秒一次,死亡时间30秒

跑动态协议例EIGRP 宣告内网和隧道IP地址,不能宣告公网

 

  • IPsec

传输模式(传输点=加密点)     原IP头|IPsec|IP数据

AH      IP协议号51     IP|AH|TCP|DATA

ESP     IP协议号50     IP|ESP|TCP|DATA|ESP trailer|ESP auth

 

隧道模式(传输点加密点)    新IP头|IPsec|原IP头|IP数据

AH      IP协议号51     IP|AH|TCP|DATA

ESP     IP协议号50     IP|ESP|TCP|DATA|ESP trailer|ESP auth

用IKE协商出SA,SPI标识各种SA

phase1 建立个IKE SA为阶段2提供保护     main mode、aggressive mode

phase2 在IKESA的保护下完成IPsec SA的协商     Quick mode

 

1\创建ACL来匹配需要保护的流量,GRE over IPsec要修改成permit gre host 10.1.12.1 host 10.1.23.3 要是公网的

2\配置IKE SA(保护通道)

     conf#crypto isakmp policy 1     

     conf-isakmp#encryption aes\des\3des 推荐AES 

     conf-isakmp#hash md5

     conf-isakmp#authentication pre-share

     conf-isakmp#group 1\2\5 推荐用2

     conf-isakmp#lifetime 3600 生命周期1小时

3\配置PSK秘钥

     conf#crypto isakmp key 6 PWD address 2.2.2.2  6为加密1为不加密,地址为要加密的对端

4\配置IPsec SA(保护数据)

     conf#crypto ipsec transform-set NAME1SH esp-md5-hmac esp-aes

5\配置映射

     conf#crypto map NAMER1 1 ipsec-isakmp

     conf-map#set peer 2.2.2.2 要加密的对端地址

     conf-map#set transform-set NAMESH

     conf-map#match address ACLNAME

6\出去的接口调用

     conf-if#crypto map NAMER1 

本文出自 “勤能补拙” 博客,请务必保留此出处http://echoroot.blog.51cto.com/11804540/1922790

ODR、EIGRP、OSPF、BGP、PPPOE、IPV6