==Day 1===
今天講的是高級IP編址:
發現IPv6的地址確實有好多啊!平均到每個人頭上有幾百萬億億個……足夠用的~
2002開頭的IPv6地址是爲了轉換v4用的,緊接着就是十六進制表示的v4地址;
對anycast有了一個比較感性的瞭解,意思是需要先將數據發往RP,然後再讓目的主機到RP上來取;
詳細講了VLSM;並舉案例來講解如何合理爲每個網段分配IP,先撿最大主機數的分,最後分/30的地址,並且這些/30的地址 要從最後一組可用地址裏面分出來比較好(不是最後剩下的那個大的網段哦,而是小的)(不會表達的說……)
會手動將路由進行彙總:ip summary 命令
默認好多路由協議都是auto-summary的,所以要想配Classless的必須先no掉這句;
RIPv1可以接受v1和v2信息,但是v2的不接受v1的,所以v1的路由不會分佈到v2所在的路由器的;
然後就是各種路由協議的管理距離必須背會;
可以讓靜態路由來做備份路由,只需設置一個較大(比正在用的路由協議的AD大)的AD即可;
classful可以造成地址的浪費,萬一一臺路由器下的網段掩碼不一致會導致彙總猜測時出錯,還有不會逐個匹配(longes t match)路由表中的路由,這樣就導致本來發往自己直連的網段的路由被丟棄
還有一個,25系列不支持IPv
即將淘汰,因爲即使刷了IOS也不支持IPSec
在網吧,沒拿書和筆記,能想起來的就這些~呵呵~明天繼續~有什麼問題還請大家多多指正~
===Day 2===
今天講的是EIGRP:
D.V.類型協議的最大缺點:產生環路;
EIGRP維護三張表,鄰居表、拓撲表(是鄰居表的一個子集)、路由表;
A.D.是鄰居告給你它到目的地的距離,而F.D.是A.D.再加上你自己到鄰居的距離;
Banwidth是路徑出口到目的網段的最小帶寬,注意:出口、最小(在一條路上取帶寬最小的那條鏈路的帶寬);
IGRP的metric乘256就成爲了EIGRP的metric;
Ban
若想分析某個協議,則從此協議的包入手~;
hello包中的AS號和K的不相同時不能形成鄰居關係;
建立鄰接關係時使用的是接口的主地址;
show ip eigrp neighbors中的SRTT值是向鄰居發個包多長時間能回來(收到ACK),RTO值是用來重新傳輸數據的間隔時間(當數據 包沒到時);
Update/Query/Reply是可靠性傳輸(需要ACK),而Hello和ACK不是;
重新傳輸數據是單播用滑動窗口(stop-and-wait)機制來重傳的;
DUAL:擴散性的更新,Query可以一直往下傳直到收到Reply爲止;
當A.D.比successor路徑的F.D.小時,纔可以選爲feasible successor;
水平分割等是使路由信息不向回發,而不能使包不向回發;
路由協議總是使用最優的路由,當主路徑斷掉是使用備份路徑,一旦主路徑恢復就要使用主路徑,這點和OSPF的DR和BDR的選舉 有所不同;
當主路徑斷掉且沒有可用的備份路徑時,路由器成爲ACTIVE狀態然後發送Query,長時間沒有得到Reply時就會處於SI A狀態;
爲斷口配IP的意義有兩點:一,給其一個地址;二,指定一個與其相連的網段;
使邊界路由器自動公告網關信息給下面的路由器:ip default-network X.X.X.X(是主機地址,而不是網段地址);
邊界路由其對自己的網段自動匯聚,並生成一項指向NULL0的靜態路由;
不等路徑負載均衡的條件有二:一、用來做負載均衡的鏈路下一跳路由必須是備份路由;二、可由variance調整乘數;
Query若不加限制,跨AS都有可能;
限制Query的兩個方法:一、加一個匯聚的路由;二、使用stub命令;
只有一個出口的網絡爲stub(末端)網絡;
===Day 3===
今天講的是OSPF
SPT和SPF目的都是找到最短路徑,只不過SPT是像行者背個包蓋郵戳一樣,是挑出來的(誰蓋的戳最少),而SPF是算出來的 ;
OSPF使用Hello包找鄰居,用LSA(LSU)來建立拓撲結構;
LSA分成不同的類型是因爲網絡的結構不同,用來簡化LSA傳遞的信息的;
推薦OSPF的鄰居不能超過50個,每條鏈路算一個鄰居,冗餘鏈路算兩個鄰居;
路由的兩種方式:逐跳路由,按源路由(事先已經選好路徑,實時性強);
RTP的功能和TCP差不多;
OSPF傳各種包也在四層,用IP來封裝(ISIS在2層,用frame來封裝);
在LSU中包括了每條LSA,並沒有LSA包;
LSR相當於EIGRP中的Query,LSU相當於Reply和Update;
當網絡發生改變時使用組播,224.0.0.6,DR再分發使用224.0.0.5;
每條LSA都有序列號和壽命來保持是最新的,序列號範圍:0x80000001--0x7FFFFFFF,之所以是從大到小是因 爲第一位是符號位;
壽命時1個小時,每30分鐘更新一次;
當序列號達到最大時更新用壽命一個小時的先更新一下,使路由器把此條拋棄,然後再發80000001的;
給OSPF的網絡分成BMA,NBMA,P2M,P2P等實質上是要確定是否自動選鄰居,是否選擇DR/BDR;
各種網絡類型是自己配置的,只是OSPF的各種工作方式而已;
路由器的Priority的值範圍是1--255;
ABR(與Area 0相連的)既維護費0區域的數據庫又維護area 0的數據庫;
LSA類型:T1是把好幾個以太網連接總結成一條,T2是把好幾個路由器連接總結成一條,T3是傳播外area路由的,T4是傳 播ASBR地址的,T5是傳播外AS路由的,T7是NSSA中的T5變種;
===Day 4===
IS-IS
NSAP就是NET那一大串,格式:區域號(部分可自定).系統號(可以用MAC也可以自定).SEL(服務號,一般爲00,代 表主機,也可以用一些數字來代表不同的服務);
CLNS也是一種Routed的協議,和IP,IPX一個類型;
L1的路由器看不到L2層的LSP,反之可以,L1相當於OSPF裏面的Totally Stub;
L1/L2的路由器上面運行兩套SPF;
尋址時先找Area ID,然後是System ID;
Area ID不同時送往最近的L1/L2;
LSP中包括:PDU類型、長度、LSP的ID、序列號、壽命;
TLV是LSP的一個字段,包括:IS鄰居,ES鄰居,認證信息等;
ISIS中的broadcast和P2P的Hello包格式不同;
L1和L2層是獨立的;
普通的router組播的LSP,當DIS收到後彙總再組播發下去,都是組播;
DIS下發用CSNP發送簡要信息,下面的路由器收到經對比發現缺少的條目,通過PSNP請求DIS發送某連接的詳細信息,然後 DIS再以PSNP迴應;
PSNP還可以作爲ACK迴應LSP;
Circuit ID用於識別每個端口,一個字節;
LAN ID是System ID.Circuit ID,用以指定L1/L2路有器相連的一個網段;
Metric默認爲10;
使用default information original發送缺省網關。
===Day 5===
BGP
BGP選路基於策略,所以不一定能選爲最優路徑,所以在同一個AS內別用BGP,用IGP最好;
通過IGP學來的路由在表中存在,必須和路由表中的掩碼一致,可用NEtwork命令使其發佈;
在同一個AS內的Neighbor是IBGP的,不同AS的是EBGP的;
IBGP的Neighbor不一定是直連的,EBGP的默認一定要直連,不過可以用Mulitihop改;
BGP使用TCP來建立連接,所以BGP工作在第五層,OSPF/RIP/EIGRP/IGRP工作在第四層,IS-IS在第三 層,直接把數據封裝到frame裏面去;
若一條路由是從BGP學來的直接轉發;
BGP中的Network和IGP中的概念可是完全不一樣的,IGP中是指定參與協議的端口,BGP中是指定要發佈的路由(不管 是直連的還是非直連的);
netowrk不是基於接口的,而是只要是鄰居都發;
若一個路由器連入了公網,則上面運行的BGP的AS號需要申請;
若在一個transmit AS中有跨區流量,則必須把流量所經過的路由器全配上IBGP;
BGP的neighbor不是自動發現的,必須手工指定;
BGP屬於path-vector的協議,路徑靠AS號定;
BGP的信息類型:open keepalive update notification;
“水平分割”:每兩臺IBGP的路由器均是p2p的關係,傳遞信息是隻有一跳,不會給別的不是p2p的路由器,但EBGP可以;
EBGP通告路由時會把自己的端口地址作爲下一跳地址發送出去,並在傳進IBGP後不做任何改變;
匯聚時要手工配NULL0;
BGP不是比較metric的,而是比較屬性的;
路由通過IGP學來的標識爲i,EGP的爲e,重分佈的標示爲?;
選路時選local preference高的,MED低的;
路有重分佈時定義一個seed metric;
雙向重分佈時容易產生環路,次優路徑;
當重分佈IGP路由到BGP時使用路由過濾來保證安全性;
兩個loopback的連接不視爲直連,需要mulitihop纔可以(neighbor ebgp-mulitihop);
BCMSN
===Day 6===
講了園區網設計、VTP、VLAN、Spanning-Tree
設計網絡要牢記的:性能、可擴展性、可用性;
網絡設計的框架:AVVID(有效的集成語音視頻和數據);
AVVID可分爲三部分:1、基礎架構:所有的硬件資源;2、智能服務:網絡管理,高可用性;3、各種服務:IP電話等;
現今企業網模型是依據AVVID架構的:企業園區、企業邊界、服務商邊界;
在上述三個區域內實現三層分級模型;
電子商務:你的企業和商務夥伴的連接;
VPN:用於在公網上傳私網信息;
企業邊緣的組件:電子商務、連接Internet、遠程接入—VPN、WAN;
三層交換機和路由器相比:低端的交換機不可以做NAT,不支持廣域網接口,常用於Ethernet中,但是三層交換機的轉發速率 (pps)比路由器快得多;
從3500系列開始對Voice均有很好的支持;
STP收斂時間爲50s;
一個VLAN=一個廣播域=一個子網;
不同VLAN之間通信需要做路由;
本地VLAN:沒有交叉,不需要Trunk;
建立VLAN的兩種方式:Vlan database和Conf t/vlan XX;
VLAN database做完設置後一定要輸入exit才能存進去;
VLAN排錯:物理連接-->交換機配置-->VLAN的配置;
物理連接包括CDP,雙工等;
Trunk是兩個交換機之間的鏈路;
802.1p:802.1qTAG字段上的優先級;
Tunnel需要添加兩個標籤:企業內打一個標,運營商打一個標。可以通過運營商傳VLAN,CDP/VTP/STP等信息;
native VLAN是802.1q獨有的,爲vlan 1,用來管理vlan;
ISL也會輸出一些native vlan的信息,但是無任何意義;
VTP是CISCO專有的協議,用來管理VLAN的配置(相當於DR\BDR);
VTP工作在trunk端口有VTP後可以在某臺交換機(Server)上做出統一配置後下發到其他的交換機;
VTP不可以穿越路由器;
VTP的域名是區分大小寫的;
VTP排錯:是Trunk嗎?-->域名相同嗎?-->設置成透明瞭嗎?-->同一域內交換機口令相同嗎?
STP可以從邏輯上阻斷環路,計算是否有環;
STP使用BID來選根(相當於路由器裏面的router ID);
STP選擇的過程:最低根的BID,去根的最低路徑cost,最低發送者BID,最低端口ID;
Designed Port是Root Port的上級;
當拓撲發生變化時,RP會向上級DP發送一個TCN的BPDU,到了根後,根再下發BPDU,其他的受到後清空自己的MAC表, 重新計算Spanning-Tree;
同網段誰的BID低誰成爲DP,另一個爲Block;
路由器除了廣域網接口外,以太網接口均有一個MAC,三層交換機與其類似,二層交換機只有一個MAC。
===Day 7===
今天講的是高級Spanning-Tree、CAM、TCAM、一些交換原理、VLAN間路由
默認情況下STP不用配爲打開狀態;
啓動STP:spanning-tree vlan XX(由於思科使用PVST,所以STP樹每個VLAN坑裏種一棵~);
爲VLAN調整STP的優先級:Spanning-tree vlan 200 priority XXXX(此處XXXX最好是4096的倍數);
默認每個VLAN的優先級=32768+VLAN號(e.g.VLAN11的默認優先級=32768+11=32779);
調整VLAN優先級的目的是調整root交換機所在的位置;
設端口的cost:在access口上:spanning-tree cost 18; 在Trunk口上:spanning-tree vlan 200 cost 17;
看STP:show spanning-tree vlan 200/show spanning-tree bridge;
CISCO交換機的幾個特性:
一、BPDU Guard:在Postfast的端口上用,當交換機配了後,portfast端口上一旦受到別的交換機的BPDU,立刻Shu tdown(防止接口連入交換機),必須手工恢復;
二、BPDU Filitering:和上面那東西的功能一樣,但是不會shutdown,只是暫時關閉一段時間,一旦連入的交換機撤去,就恢 復了;
三、BPDU Skewing:沒在規定時間內收到BPDU時,會報錯,這樣會佔用大量資源,使用Skewing可以控制不產生或少產生這些報 錯;
四、ROOT Guard:在DP端口上做,該端口就不會改變了,只會是DP了,這樣可以防止新加入的交換機成爲root,該端口就變成了永久 的DP了,(show spann inconsistentport),若新加入的交換機想成爲root,則它的端口不能工作,直到這個新交換機委曲求全做RP爲 止;
五、Unidirectional Link Detection:檢驗線路是否能進行雙向通信,用於通信不能正常進行時,會把端口中斷直到鏈路恢復正常了爲止;
六、Loop Guard:防止一個阻斷的端口由於鏈路不正常(不能雙向通信等)接不到BPDU後變成轉發,配了此項後,即使接不到BPDU也 是阻斷的(啓用loop guard時自動關閉loop guard);
思科規定兩個交換機之間用的STP跳數最大爲7,稱爲STP直徑;
Gateway就是交換機上VLAN端口的IP;
CAM表:把源的信息(MAC+VLAN)放入Hash散列器中算,*算*出目標的位置,查找一張已經算好的表,然後發出數據, 這個與MAC地址表是兩張不同的表,這個是高端交換機上用的;
TCAM表:基於ACL,三層交換專用的表,主要是實現安全的;
這兩個表在高端交換機中同時存在,先看TCAM表,若允許的話,再看(算)CAM表,然後發數據;
TCAM的幾個部分:
V(patterns):模式 <範例> 內容;
M(掩碼):確定檢查哪些內容;
R(結果):permit or deny
中央交換是以前的技術,現在是分佈轉發(可達百兆PPS)、流交換(netflow),緩存2、3、4層信息,可提供記帳功能;
進程交換:每個包都處理,幾千PPS;
ASIC交換:轉發速率有極大提升,只處理第一個幀;
基於拓撲的交換CEGF:這個是軟件的交換方式,工作在ASIC上;
交換機上多層交換不用手動配,都是配好的;
ARP Throttling:CEF交換中在ARP應答前會丟棄一些包,指向一個假的MAC,時間特別短;
一旦起路由就工作在CEF方式了;
多層交換機:三層:SVI端口:虛擬的、邏輯的、帶配了IP的VLAN的接口、可爲用戶做網關;
Routed端口:可爲其分配IP,可起路由協議,不屬於任何一個VLAN,功能和SVI基本差不多;
配置Routed端口:ip routing-->no switport-->ip add-->路由協議;
VLAN間通信一般用三層交換機,比路由器轉發速度快;
EtherChannel是把相同特性的一些端口捆起來,可以做負載均衡,(通常捆trunk);
===DAY 8-9===
這兩天講的是冗餘HSRP、QOS、多播:
冗餘:設備級的冗餘:Router====router====router---------網絡級的冗餘:所有設備Full Mesh
超級引擎是交換機的核心所在;
65000的第一代引擎用RPR(路由處理器冗餘),有獨立的握手機制,兩個引擎之間可以互相切換,現在用RPR+;
在超級引擎上安裝着一塊MSFC的路由卡(模塊);
RPR的備份引擎是啓動的,但MSFC和PFC不啓動;
RPR+的備份引擎和MSFC和PFC都已經啓動了;
RPR+的同步不支持VLAN DATABASE和SNMP所作的修改;
思科設備死之前會留下一個core dump的記錄;
RPR+切換時FIB表清空,路由表有一個短時間的恢復(60s左右沒有動態路由),但靜態路由一直存在;
配RPR+:redudancy--->mode-rpr-plus--->show redundancy status;
IRDP就是用來主機和路由器之間相互發通告;
HSRP可以在Trunk上工作;
HSRP的狀態:initial-->learn-->listen--->speak--->sta ndby--->Active;
在Speak時選ACTIVE,通告優先級;
HSRP接口跟蹤:可監視出口鏈路的狀態,一旦斷掉,就調整HSRP的優先級
例:standby 47 priority 120
standby 47 track s0 50
此時s0一斷,優先級自動變爲120-50=70
然後s0正常了,優先級自動變回120
只適用於單出口的鏈路;
只有配置了搶ACTIVE時纔會改變ACTIVE(standby 47 preempt);
HSRP可以解決使用proxy ARP和IRDP時延問題;
當ACTIVE連續三次沒發hello(3s一次)時STANDBY就變成ACTIVE了
一個組內只允許一個ACTIVE和一個STANDBY;
思科的是HSRP,標準的是VRRP;
VRRP所有路由器都使用MASTER的IP地址,當MASTER斷,其他路由器把自己的地址設爲MASTER的,當恢復時MA STER又搶奪回原來的地址;
SRM可解決配置的複雜性,是冗餘技術,無負載分擔,勇於65內的兩個模塊的切換,而上述VRRP等都是用於多個路由器之間的;
配置SRM:redunancy--->high-ava--->single-router-m----> show redu;
多播:盡最大努力傳輸,無連接,適用於數字電視付費頻道;
多播源可以是組的成員,也可以不是;
多播地址沒有網絡號之類的概念;
源樹:每個源到目的都有一棵樹,像PVST,系統開銷大,路徑是最優的;
共享樹:多個源把數據發給RP,系統開銷小,路徑不一定優;
多播避免環路:RPF反向檢查:包的源和接收到包的接口在路有表中一樣時才組播出去;
PIM是一種多播路由協議;
PIM DM是源樹的,SM是共享樹的;
IGMP工作在多播路由器和主機間,用以交換組成員信息;
思科的Auto-RP可以讓想成爲RP的路由器將信息發給映射代理,然後再下發;
若在Cisco設備上,PIMv1和v2都有時,v2自動降爲v1;
BSR不支持PIMv2;
看多播路由:show ip mroute;
RPF鄰居就是上一跳;
(*.G)表示共享樹,(S.G)表示源樹;
看PIM:show ip pim int;
不壓縮的語音數據爲64Kbps;
IP電話可以用一個輔助VLAN,語音使用一個VLAN,數據使用一個VLAN,輔助VLAN的優先級高;
QoS的兩個模型:集成服務&差分服務;
做QoS時先基於流量的特徵進行分類,在網絡邊緣打上不同的等級標示;
NBAR:一個高級的分類手段,可用高層應用程序信息分類;
2層QoS:802.1p&CoS(TAG字段);
3層QoS:Ip precedence,DSCP(ToS字段);
排隊技術是在擁塞的前提下的;
RTP協議是最高級別的,優先轉發,作爲EF,UDP範圍16384--16384+16383;
WRR:加權循環隊列,有4個,可手工分配某優先級去某隊列,並在出棧時可以確定一個分配帶寬的比例;
使用僞丟棄(tail drops)可以造成大抖動;
使用WRED可以抓幾個優先級低的包先丟,避免TCP同步;
隊列只要不達到最滿就不會出現TCP同步;
擁塞控制技術:流量整形:使流量穩定;
流量策略:把一些包打標,優先扔;
數據包分片:把包切成等長的碎片,傳輸間隔就穩定了;
===DAY 10===
今天是BCMSN的最後一天,講了QoS的命令、城域網以太、WRED、網絡管理、網絡安全等:
MQC是模塊化的QoS;
使用MQC實施QoS:class-map-->policy-map-->service-policy;
在多層交換機上啓用QoS:mls qos;
配信任的邊界:mls qos trust (cos|dscp|ip predencel)信任入棧流量自身攜帶的優先級信息;
幾個觀察的命令:;
配置基於類的標籤:(修改TOS字段)policy-map-->class-->set ip precedence;
NBAR:在應用層提供QoS:擔保帶寬,流量整形等;
配NBAR:class-map-->match protocol-->policy-map-->class-->service-policy;
路由器也可以處理三層以上數據,但速度很慢;
PBR是流量分類的手段,可用以作流量分標識;
默認情況下隊列使用接口帶寬不超過75%,可以改;
CBWFQ是MQC的一個子集;
以下是一堆亂78糟縮寫的關係:
--------------------------------
WFQ---AF;
PQ------EF;
CBWFQ中可以包含LLQ;
LLQ----EF;
FIFO----默認,沒有隊列機制;
CQ----EF;
WRED-----可以用於CBWFQ;
--------------------------------
WRED千兆以上接口才支持;
交換機可以設WRED的兩個最低門限,min1,min2,最高門限自動設;
路由器可以設一個最低門限和一個最高門限;
網絡管理:
在正常是收集一個日誌-->網絡變化時要做測試-->意外現象記錄--->分析網管系統所帶來的負載--&g t;監視網絡性能(50%左右,不可長期超過80%)--->做一個升級計劃;
SPAN交換機端口分析技術,需連接端口分析器;
SPAN可以監視會話、端口、VLAN、入棧(RX)、出棧(TX)、雙向;
RSPAN:可以在一臺交換機上監測別的交換機;
NAM是插在65上面的一個用來分析的模塊;
SSH是用來替代Telnet的,Telnet建立連接是明文,SSH不是;
802.1X是基於端口的認證,WinXP上就有;
ACL在二層叫VACL,基於frame和VLAN的訪問控制,在三層叫RACL;
城域以太:
private VLAN是Cisco私有的技術,運營上用以在同一個VLAN中互相隔離主機,管理複雜,擴展性不好;
PVLAN可分爲主VLAN和輔助VLAN,輔助VLAN可分爲隔離VLAN和可交流VLAN;
PVLAN的端口:公共端口、隔離端口、可交流端口。隔離端口只能和公共端口通(只能有一個),可交流端口內部可通,和公共端口 也通(可做多個);
城域傳輸技術:DWDM、SONET、CWDM;
SONET和SDH是一樣的,叫的方法不同而已;
7600支持光傳輸和MPLS;
ISP之間可用DWDM;
在WAN上使用以太技術的好處:靈活的拓撲(p2p,p2m)、透明傳輸(ethernet本來就是用來船IP的)、服務質量級 別、費用低、擴展性強、互*作性強;
兩種城域以太:透明LAN服務(TLS):安全性極差(用戶和ISP的VLAN相同),交換機互連,擴展性差(最多4096個V LAN);
直接VLAN服務(DVS):中間通過橋互連,用戶和ISP的VLAN不相同;
SONET的帶寬爲51.84M的整數倍;
152系列是能提供DWDM的光交換機;
CWDM可複用出8個通道,傳輸距離太短。價格比DWDM低;
CWDM、DWDM在物理層實現冗餘切換,小於50ms;
企業連入ISP時多個VLAN可使用802.1QinQ Tunnel技術連入ISP的一個VLAN,傳到目的地時還原;
有QinQ會隔離不同企業的VLAN,但若ISP內部互連還會有環,所以還要考慮STP;
QinQ不傳遞STP,要想跨ISP建SPT要用LRPT;
QinQ不可路由,Cisco專有;
EoMPLS只支持p2p;
MPLS是基於標籤交換,類似於二層交換,介於2-3層中間;
EoMPLS的關鍵設備是76,使用VC去識別不同的VLAN(超過了4096的限制);
MPLS中的Exp/Cos可以用來部署QoS,支持流量工程;
MPLS的標籤可以堆棧,各表示不同的功能;
EoMPLS是P2P的,中間不能拐彎;
===DAY 11===
今天開始BCRAN~
大致講了AAA和貓,對於貓考試不做要求:
A(驗證)----你是什麼---->A(授權)---你能幹什麼----->A(記賬)---你幹了什麼;
Dialer是邏輯接口,獨佔的物理口;
交換方式:電路交換是要單獨維護一條電路,成本高;包交換(VC),一條物理連路可以供多個VC用,允許數據突發;
同步:你發多快我就能收多快;
異步:每個字節要拿出1/8來用以同步;
128K以上定爲寬帶;
同軸電纜介質決定了它的共搶性;
雙絞線絞起來避免信號串擾,線序是避免電磁干擾;
光線不能彎大角度(90度);
單模光纖:只傳一種色光;
DS0就是64K的信道,按時隙分,叫時分複用(TDM);
中國的ISDN走E1標準;
PPP最大的好處是壓縮、驗證;
CDP是2層偏上的協議,底層需要支持SNAP;
line protocol down:驗證不通過,壓縮不行,二層封裝協議不一樣;
PPPoE驗證協商是在二層的,三層不通二層也能成功;
實施網絡第一考慮:可行性(可用性);
WDM在單模、多莫中都可以走,是上層的技術(DL層);
交互的流量(interactive):專訪Router的流量(如telnet router等);
傳輸的流量:通過路尤器在兩個節點間傳數據;
AA默認都認證,不認證需手工指定,驗證完需授權;
本地驗證:PAP,CHAP;
通過ACS服務器驗證:RIDIUS,TACACS+;
從內網路由器訪問modem叫反向telnet,從外網訪問貓叫正向tennet;
where命令=show session命令;
可以在路由器上和貓連的口上虛擬一個口,int async X;
===DAY 12-13===
這兩天講了PPP、ISDN、FR:
PPP爲二層協議,解決了點到點通信;
CDP在二層偏上,能被NCP支持;
HDLC的基本功能和PPP差不多,但缺少很多東西(如認證等);
一般在串口上封裝PPP,在以太口上封裝需要啓用邏輯接口(PPPoE等);
Cisco默認封裝格式爲HDLC,華爲的是PPP;
PPP會話:傳輸。(dedicated);
Exec會話:交互。(interactive);
PPP LCP:認證、callback(安全性)、壓縮、multilink(負載均衡);
沒起AAA時PPP不認證;
PAP不要求兩端密碼一致,而CHAP反之;
ppp authencation pap chap意思是PAP若超期未響應就起CHAP;
VPN的三性:可驗證性、完整性、保密性;
加了密,壓縮過的數據別再加密、壓縮;
ISDN:
參考點就是一根線,功能組就是一個設備;
ISDN能夠支持HDLC,但HDLC不能驗證、壓縮等;
美版對每條B信道均有SPID號,用以衡量線路;
Call ID:基於對端二層電話號碼;
Call Party:相當於呼叫轉移,若answer1忙,自動轉接到answer2;
---------isdn answer1 XXXX
---------isdn answer2 XXXX
P2M時若對端不相同要用dialer profile;
backup interface當主鏈路斷,副鏈路會啓用;
FR:
FR的二層地址爲DLCI,ISDN爲電話號;
映射可手工也可LMI;
LMI:維護鏈路狀態&進行IARP;
IOS12前LMI的類型需要手工指定;
LMI類型:ANSI、ITU-T、CISCO;
keepalive是LMI發的;
IARP是IP到DLCI的映射;
DLCI號爲電信確定;
在hub&spoke模式中spoke點要互通需先到hub點;
全F的廣播地址是本地的;
FR的DCE是二層的,Clock rate的DCE是1層的,兩者無必然關係;
P2P子接口:浪費IP&中心點配置麻煩(每添加一個spoke都要進行配置);
P2M接口防環在hub端關水平分割,在spoke上開;
流量整形:不傳輸大於對端帶寬的多餘數據;
BECN可以把速率降低,進行流量整形;
隊列深度:還有多少數據在排隊;
backup寫在主端口上,指明副端口;
儘量不要把物理口設成Backup,要設計在邏輯口上;
backup只能配在一端,不能兩端都配;
在OSPF中負載均衡時要把鏈路的cost之設成一樣大;
===DAY 14===
今天講了WAN口的QoS、Broadband、NAT:
講的東西概念性的不多,理解性的多,broadband考試不是重點:
FIFO的隊列深度在高帶寬口上總爲0;(10M以上的口)
LLQ綜合了PQ和CBWFQ的特點;
10M口(含)以上就應該用FIFO了;
二層frame一般不擁塞,有可能不設CoS位,但Trunk上有;
FIFO看第一個bit在哪,先到先出;
WFQ看最後一個bit到達的順序,讓小包先傳;
小數據包有小權值,多個包最後一個bit位置相同時小的先出;
WFQ對延遲敏感性不大;
ISDN multilink是自動爲no fair queue;
CBWFQ:人爲的WFQ,按自己需求定義class,賦予權和每個可分配帶寬的比例,雖然提供了64個class,但至少要留 出一個來作爲默認class;
IP precedence:第四級是video,第五級是voice,第六級是路由信息,第七級是keepalive等;
CBWFQ可以嵌套WFQ等;
bandwidth不是用來限速的,只是指定傳出的數據包多少,也限不了速;
CQ大隊列裏面包含小子隊列;
壓縮兩面都是passive時第一個包不被壓縮,後續的包都被壓縮;
看壓縮:show compression;
NAT:inside source:由內網發起-----inside local/global address;
NAT:outside source:由外網發起---outside local/global address;
Overlapping發生在公司併購時;
overload(多對單、多對少)是隨機端口號,而PAT是指定的;
debug ip nat時帶“*”的是走緩存的,其他的是走CPU的;
NAT變動時需先清空緩存,再作修改;
cable在小區內是共搶鏈路;
VDSL是Cisco專有的;
DSL和Cable均是一層技術;
===DAY 15===
今天講的內容是VPN和DSL的配置,BCRAN的最後一天:
ATM的PVC標識要在全局唯一,而FR不是;
PPPoE在ATM上面;
普通數據在VPDN中走要加8byte,所以MTU要設爲1492;
MTU 1500是IP的,1518是二層frame的;
FR的frame不一樣長,而ATM把數據剁成48byte段再加上5byte的頭,共53byte,是固定的,可以用硬件來匹 配,所以速度可達155M,而FR只能達到1.544M;
PPPoA是modem拿自己當router,而PPPoE是modem拿自己當host;
VPN:低廉的價格、專線的速度和保密性、高靈活性,而FR不行;
Tunnel技術使VPN靈活性加大,對公網透明;
先加密--->進隧道--->出隧道--->解密 明文只在兩端和私網中出現;
遠程VPN(移動用戶)在需要時撥號;
VPN可以在很多層內出現:應用層(SSH、S/MIME)、傳輸層(SSL)、網絡層(IPSec--企業級加密,任何流量均 加密)、DL層:可以加密,但是太繁瑣;
防火牆上加VPN速度極慢;
GRE/L2TP/IPSec自己就是隧道;
IPsec只對IP單播加密;
L2TP和GRE先將多播、非IP等全包成單播,然後再交給IPSec;
三層上跑IPSec,二層FR/DSL都無所謂,但是用專線那純屬有病;
密鑰交換的方式:人爲、公/私鑰(Diff-Hellman)、CA服務器產生;
Hash可以用來驗證完整性,也可以用來加密,主要用於完整性驗證;
兩種VPN模式:Tunnel:把IP包頭和數據都進行保護,再加一個新的IP包 頭;
-----------Transport:只保護數據,原IP包頭不變;
preshared key是用來驗證ISAKMP通信的,不是用來加密的;
若數據該加密的沒被加密則被路由器丟棄;
要先證明鏈路是通的,再去做VPN;
感興趣流量傳出要加密,非感興趣的不加密,要求兩邊均用擴展ACL,定義對等的感興趣流量;
===Day 16-20===
CIT,網絡故障排除。
這個與其他科目比理論東西較少,實際東西較多,這一點從書的本數上也看得出來,就不細說了。
