==Day 1===
今天講的是高級IP編址:
發(fā)現(xiàn)IPv6的地址確實有好多?��?��!平均到每個人頭上有幾百萬億億個……足夠用的~
2002開頭的IPv6地址是為了轉(zhuǎn)換v4用的���,緊接著就是十六進(jìn)制表示的v4地址;
對anycast有了一個比較感性的了解���,意思是需要先將數(shù)據(jù)發(fā)往RP�,然后再讓目的主機(jī)到RP上來?����?����;
詳細(xì)講了VLSM���;并舉案例來講解如何合理為每個網(wǎng)段分配IP�����,先撿最大主機(jī)數(shù)的分���,最后分/30的地址,并且這些/30的地址 要從最后一組可用地址里面分出來比較好(不是最后剩下的那個大的網(wǎng)段哦,而是小的)(不會表達(dá)的說……)
會手動將路由進(jìn)行匯總:ip summary 命令
默認(rèn)好多路由協(xié)議都是auto-summary的�,所以要想配Classless的必須先no掉這句;
RIPv1可以接受v1和v2信息���,但是v2的不接受v1的�����,所以v1的路由不會分布到v2所在的路由器的;
然后就是各種路由協(xié)議的管理距離必須背會��;
可以讓靜態(tài)路由來做備份路由�,只需設(shè)置一個較大(比正在用的路由協(xié)議的AD大)的AD即可;
classful可以造成地址的浪費(fèi)�����,萬一一臺路由器下的網(wǎng)段掩碼不一致會導(dǎo)致匯總猜測時出錯���,還有不會逐個匹配(longes t match)路由表中的路由��,這樣就導(dǎo)致本來發(fā)往自己直連的網(wǎng)段的路由被丟棄
還有一個��,25系列不支持IPv
即將淘汰���,因為即使刷了IOS也不支持IPSec
在網(wǎng)吧���,沒拿書和筆記,能想起來的就這些~呵呵~明天繼續(xù)~有什么問題還請大家多多指正~
===Day 2===
今天講的是EIGRP:
D.V.類型協(xié)議的最大缺點:產(chǎn)生環(huán)路���;
EIGRP維護(hù)三張表��,鄰居表�、拓?fù)浔恚ㄊ青従颖淼囊粋€子集)��、路由表�����;
A.D.是鄰居告給你它到目的地的距離���,而F.D.是A.D.再加上你自己到鄰居的距離���;
Banwidth是路徑出口到目的網(wǎng)段的最小帶寬,注意:出口����、最?����。ㄔ谝粭l路上取帶寬最小的那條鏈路的帶寬)��;
IGRP的metric乘256就成為了EIGRP的metric���;
Banwidth=10的7次方除以帶寬;
若想分析某個協(xié)議�����,則從此協(xié)議的包入手~��;
hello包中的AS號和K的不相同時不能形成鄰居關(guān)系�����;
建立鄰接關(guān)系時使用的是接口的主地址����;
show ip eigrp neighbors中的SRTT值是向鄰居發(fā)個包多長時間能回來(收到ACK)�����,RTO值是用來重新傳輸數(shù)據(jù)的間隔時間(當(dāng)數(shù)據(jù) 包沒到時);
Update/Query/Reply是可靠性傳輸(需要ACK)����,而Hello和ACK不是;
重新傳輸數(shù)據(jù)是單播用滑動窗口(stop-and-wait)機(jī)制來重傳的���;
DUAL:擴(kuò)散性的更新�����,Query可以一直往下傳直到收到Reply為止��;
當(dāng)A.D.比successor路徑的F.D.小時��,才可以選為feasible successor���;
水平分割等是使路由信息不向回發(fā),而不能使包不向回發(fā)����;
路由協(xié)議總是使用最優(yōu)的路由,當(dāng)主路徑斷掉是使用備份路徑�,一旦主路徑恢復(fù)就要使用主路徑,這點和OSPF的DR和BDR的選舉 有所不同�����;
當(dāng)主路徑斷掉且沒有可用的備份路徑時,路由器成為ACTIVE狀態(tài)然后發(fā)送Query�,長時間沒有得到Reply時就會處于SI A狀態(tài);
為斷口配IP的意義有兩點:一�,給其一個地址;二�,指定一個與其相連的網(wǎng)段;
使邊界路由器自動公告網(wǎng)關(guān)信息給下面的路由器:ip default-network X.X.X.X(是主機(jī)地址��,而不是網(wǎng)段地址)����;
邊界路由其對自己的網(wǎng)段自動匯聚��,并生成一項指向NULL0的靜態(tài)路由�����;
不等路徑負(fù)載均衡的條件有二:一�����、用來做負(fù)載均衡的鏈路下一跳路由必須是備份路由���;二����、可由variance調(diào)整乘數(shù)�;
Query若不加限制����,跨AS都有可能��;
限制Query的兩個方法:一、加一個匯聚的路由;二��、使用stub命令���;
只有一個出口的網(wǎng)絡(luò)為stub(末端)網(wǎng)絡(luò)�;
===Day 3===
今天講的是OSPF
SPT和SPF目的都是找到最短路徑�����,只不過SPT是像行者背個包蓋郵戳一樣���,是挑出來的(誰蓋的戳最少)����,而SPF是算出來的 ����;
OSPF使用Hello包找鄰居,用LSA(LSU)來建立拓?fù)浣Y(jié)構(gòu)���;
LSA分成不同的類型是因為網(wǎng)絡(luò)的結(jié)構(gòu)不同�����,用來簡化LSA傳遞的信息的�����;
推薦OSPF的鄰居不能超過50個�����,每條鏈路算一個鄰居�����,冗余鏈路算兩個鄰居�;
路由的兩種方式:逐跳路由�,按源路由(事先已經(jīng)選好路徑,實時性強(qiáng))���;
RTP的功能和TCP差不多���;
OSPF傳各種包也在四層,用IP來封裝(ISIS在2層�,用frame來封裝);
在LSU中包括了每條LSA�,并沒有LSA包;
LSR相當(dāng)于EIGRP中的Query����,LSU相當(dāng)于Reply和Update;
當(dāng)網(wǎng)絡(luò)發(fā)生改變時使用組播,224.0.0.6�,DR再分發(fā)使用224.0.0.5;
每條LSA都有序列號和壽命來保持是最新的���,序列號范圍:0x80000001--0x7FFFFFFF,之所以是從大到小是因 為第一位是符號位��;
壽命時1個小時,每30分鐘更新一次���;
當(dāng)序列號達(dá)到最大時更新用壽命一個小時的先更新一下,使路由器把此條拋棄���,然后再發(fā)80000001的��;
給OSPF的網(wǎng)絡(luò)分成BMA,NBMA,P2M,P2P等實質(zhì)上是要確定是否自動選鄰居,是否選擇DR/BDR�;
各種網(wǎng)絡(luò)類型是自己配置的�,只是OSPF的各種工作方式而已���;
路由器的Priority的值范圍是1--255����;
ABR(與Area 0相連的)既維護(hù)費(fèi)0區(qū)域的數(shù)據(jù)庫又維護(hù)area 0的數(shù)據(jù)庫;
LSA類型:T1是把好幾個以太網(wǎng)連接總結(jié)成一條��,T2是把好幾個路由器連接總結(jié)成一條,T3是傳播外area路由的,T4是傳 播ASBR地址的����,T5是傳播外AS路由的����,T7是NSSA中的T5變種���;
===Day 4===
IS-IS
NSAP就是NET那一大串,格式:區(qū)域號(部分可自定).系統(tǒng)號(可以用MAC也可以自定).SEL(服務(wù)號,一般為00����,代 表主機(jī)��,也可以用一些數(shù)字來代表不同的服務(wù))��;
CLNS也是一種Routed的協(xié)議���,和IP,IPX一個類型���;
L1的路由器看不到L2層的LSP���,反之可以,L1相當(dāng)于OSPF里面的Totally Stub���;
L1/L2的路由器上面運(yùn)行兩套SPF���;
尋址時先找Area ID,然后是System ID�����;
Area ID不同時送往最近的L1/L2��;
LSP中包括:PDU類型、長度����、LSP的ID、序列號���、壽命�����;
TLV是LSP的一個字段����,包括:IS鄰居��,ES鄰居��,認(rèn)證信息等���;
ISIS中的broadcast和P2P的Hello包格式不同��;
L1和L2層是獨立的�����;
普通的router組播的LSP����,當(dāng)DIS收到后匯總再組播發(fā)下去,都是組播�����;
DIS下發(fā)用CSNP發(fā)送簡要信息��,下面的路由器收到經(jīng)對比發(fā)現(xiàn)缺少的條目����,通過PSNP請求DIS發(fā)送某連接的詳細(xì)信息��,然后 DIS再以PSNP回應(yīng)��;
PSNP還可以作為ACK回應(yīng)LSP�;
Circuit ID用于識別每個端口,一個字節(jié)���;
LAN ID是System ID.Circuit ID��,用以指定L1/L2路有器相連的一個網(wǎng)段��;
Metric默認(rèn)為10��;
使用default information original發(fā)送缺省網(wǎng)關(guān)��。
===Day 5===
BGP
BGP選路基于策略���,所以不一定能選為最優(yōu)路徑���,所以在同一個AS內(nèi)別用BGP,用IGP最好��;
通過IGP學(xué)來的路由在表中存在���,必須和路由表中的掩碼一致��,可用NEtwork命令使其發(fā)布���;
在同一個AS內(nèi)的Neighbor是IBGP的,不同AS的是EBGP的�����;
IBGP的Neighbor不一定是直連的,EBGP的默認(rèn)一定要直連��,不過可以用Mulitihop改����;
BGP使用TCP來建立連接,所以BGP工作在第五層����,OSPF/RIP/EIGRP/IGRP工作在第四層,IS-IS在第三 層����,直接把數(shù)據(jù)封裝到frame里面去�;
若一條路由是從BGP學(xué)來的直接轉(zhuǎn)發(fā);
BGP中的Network和IGP中的概念可是完全不一樣的�����,IGP中是指定參與協(xié)議的端口���,BGP中是指定要發(fā)布的路由(不管 是直連的還是非直連的)����;
netowrk不是基于接口的,而是只要是鄰居都發(fā)��;
若一個路由器連入了公網(wǎng)�����,則上面運(yùn)行的BGP的AS號需要申請��;
若在一個transmit AS中有跨區(qū)流量���,則必須把流量所經(jīng)過的路由器全配上IBGP���;
BGP的neighbor不是自動發(fā)現(xiàn)的,必須手工指定�����;
BGP屬于path-vector的協(xié)議����,路徑靠AS號定;
BGP的信息類型:open keepalive update notification��;
“水平分割”:每兩臺IBGP的路由器均是p2p的關(guān)系��,傳遞信息是只有一跳,不會給別的不是p2p的路由器���,但EBGP可以�;
EBGP通告路由時會把自己的端口地址作為下一跳地址發(fā)送出去�����,并在傳進(jìn)IBGP后不做任何改變����;
匯聚時要手工配NULL0;
BGP不是比較metric的�����,而是比較屬性的����;
路由通過IGP學(xué)來的標(biāo)識為i��,EGP的為e�����,重分布的標(biāo)示為?;
選路時選local preference高的����,MED低的;
路有重分布時定義一個seed metric���;
雙向重分布時容易產(chǎn)生環(huán)路��,次優(yōu)路徑��;
當(dāng)重分布IGP路由到BGP時使用路由過濾來保證安全性����;
兩個loopback的連接不視為直連�����,需要mulitihop才可以(neighbor ebgp-mulitihop)����;
BCMSN
===Day 6===
講了園區(qū)網(wǎng)設(shè)計、VTP����、VLAN��、Spanning-Tree
設(shè)計網(wǎng)絡(luò)要牢記的:性能��、可擴(kuò)展性���、可用性;
網(wǎng)絡(luò)設(shè)計的框架:AVVID(有效的集成語音視頻和數(shù)據(jù))��;
AVVID可分為三部分:1�、基礎(chǔ)架構(gòu):所有的硬件資源;2���、智能服務(wù):網(wǎng)絡(luò)管理�����,高可用性����;3���、各種服務(wù):IP電話等;
現(xiàn)今企業(yè)網(wǎng)模型是依據(jù)AVVID架構(gòu)的:企業(yè)園區(qū)��、企業(yè)邊界、服務(wù)商邊界���;
在上述三個區(qū)域內(nèi)實現(xiàn)三層分級模型;
電子商務(wù):你的企業(yè)和商務(wù)伙伴的連接���;
VPN:用于在公網(wǎng)上傳私網(wǎng)信息�����;
企業(yè)邊緣的組件:電子商務(wù)、連接Internet���、遠(yuǎn)程接入—VPN���、WAN;
三層交換機(jī)和路由器相比:低端的交換機(jī)不可以做NAT����,不支持廣域網(wǎng)接口���,常用于Ethernet中����,但是三層交換機(jī)的轉(zhuǎn)發(fā)速率 (pps)比路由器快得多�����;
從3500系列開始對Voice均有很好的支持�����;
STP收斂時間為50s���;
一個VLAN=一個廣播域=一個子網(wǎng)�����;
不同VLAN之間通信需要做路由��;
本地VLAN:沒有交叉���,不需要Trunk;
建立VLAN的兩種方式:Vlan database和Conf t/vlan XX����;
VLAN database做完設(shè)置后一定要輸入exit才能存進(jìn)去�����;
VLAN排錯:物理連接-->交換機(jī)配置-->VLAN的配置���;
物理連接包括CDP����,雙工等;
Trunk是兩個交換機(jī)之間的鏈路�����;
802.1p:802.1qTAG字段上的優(yōu)先級��;
Tunnel需要添加兩個標(biāo)簽:企業(yè)內(nèi)打一個標(biāo),運(yùn)營商打一個標(biāo)�����。可以通過運(yùn)營商傳VLAN,CDP/VTP/STP等信息����;
native VLAN是802.1q獨有的��,為vlan 1��,用來管理vlan��;
ISL也會輸出一些native vlan的信息,但是無任何意義���;
VTP是CISCO專有的協(xié)議����,用來管理VLAN的配置(相當(dāng)于DR\BDR)���;
VTP工作在trunk端口有VTP后可以在某臺交換機(jī)(Server)上做出統(tǒng)一配置后下發(fā)到其他的交換機(jī)�����;
VTP不可以穿越路由器���;
VTP的域名是區(qū)分大小寫的;
VTP排錯:是Trunk嗎��?-->域名相同嗎?-->設(shè)置成透明了嗎�����?-->同一域內(nèi)交換機(jī)口令相同嗎����?
STP可以從邏輯上阻斷環(huán)路,計算是否有環(huán)���;
STP使用BID來選根(相當(dāng)于路由器里面的router ID);
STP選擇的過程:最低根的BID�����,去根的最低路徑cost����,最低發(fā)送者BID,最低端口ID��;
Designed Port是Root Port的上級���;
當(dāng)拓?fù)浒l(fā)生變化時�����,RP會向上級DP發(fā)送一個TCN的BPDU�����,到了根后��,根再下發(fā)BPDU��,其他的受到后清空自己的MAC表�, 重新計算Spanning-Tree��;
同網(wǎng)段誰的BID低誰成為DP���,另一個為Block����;
路由器除了廣域網(wǎng)接口外����,以太網(wǎng)接口均有一個MAC����,三層交換機(jī)與其類似����,二層交換機(jī)只有一個MAC��。
===Day 7===
今天講的是高級Spanning-Tree���、CAM��、TCAM�����、一些交換原理�����、VLAN間路由
默認(rèn)情況下STP不用配為打開狀態(tài);
啟動STP:spanning-tree vlan XX(由于思科使用PVST��,所以STP樹每個VLAN坑里種一棵~)����;
為VLAN調(diào)整STP的優(yōu)先級:Spanning-tree vlan 200 priority XXXX(此處XXXX最好是4096的倍數(shù))���;
默認(rèn)每個VLAN的優(yōu)先級=32768+VLAN號(e.g.VLAN11的默認(rèn)優(yōu)先級=32768+11=32779);
調(diào)整VLAN優(yōu)先級的目的是調(diào)整root交換機(jī)所在的位置�����;
設(shè)端口的cost:在access口上:spanning-tree cost 18���; 在Trunk口上:spanning-tree vlan 200 cost 17��;
看STP:show spanning-tree vlan 200/show spanning-tree bridge�����;
CISCO交換機(jī)的幾個特性:
一�����、BPDU Guard:在Postfast的端口上用�����,當(dāng)交換機(jī)配了后�,portfast端口上一旦受到別的交換機(jī)的BPDU�����,立刻Shu tdown(防止接口連入交換機(jī))�,必須手工恢復(fù);
二���、BPDU Filitering:和上面那東西的功能一樣�,但是不會shutdown����,只是暫時關(guān)閉一段時間��,一旦連入的交換機(jī)撤去�����,就恢 復(fù)了��;
三、BPDU Skewing:沒在規(guī)定時間內(nèi)收到BPDU時���,會報錯,這樣會占用大量資源�����,使用Skewing可以控制不產(chǎn)生或少產(chǎn)生這些報 錯�����;
四���、ROOT Guard:在DP端口上做�����,該端口就不會改變了��,只會是DP了,這樣可以防止新加入的交換機(jī)成為root����,該端口就變成了永久 的DP了����,(show spann inconsistentport),若新加入的交換機(jī)想成為root����,則它的端口不能工作,直到這個新交換機(jī)委曲求全做RP為 止�����;
五��、Unidirectional Link Detection:檢驗線路是否能進(jìn)行雙向通信��,用于通信不能正常進(jìn)行時�,會把端口中斷直到鏈路恢復(fù)正常了為止;
六�、Loop Guard:防止一個阻斷的端口由于鏈路不正常(不能雙向通信等)接不到BPDU后變成轉(zhuǎn)發(fā)���,配了此項后,即使接不到BPDU也 是阻斷的(啟用loop guard時自動關(guān)閉loop guard)��;
思科規(guī)定兩個交換機(jī)之間用的STP跳數(shù)最大為7�,稱為STP直徑����;
Gateway就是交換機(jī)上VLAN端口的IP���;
CAM表:把源的信息(MAC+VLAN)放入Hash散列器中算,*算*出目標(biāo)的位置���,查找一張已經(jīng)算好的表,然后發(fā)出數(shù)據(jù)�����, 這個與MAC地址表是兩張不同的表��,這個是高端交換機(jī)上用的;
TCAM表:基于ACL���,三層交換專用的表,主要是實現(xiàn)安全的��;
這兩個表在高端交換機(jī)中同時存在���,先看TCAM表,若允許的話���,再看(算)CAM表,然后發(fā)數(shù)據(jù)����;
TCAM的幾個部分:
V(patterns):模式 <范例> 內(nèi)容�;
M(掩碼):確定檢查哪些內(nèi)容�;
R(結(jié)果):permit or deny
中央交換是以前的技術(shù)�����,現(xiàn)在是分布轉(zhuǎn)發(fā)(可達(dá)百兆PPS)��、流交換(netflow)����,緩存2���、3�����、4層信息,可提供記帳功能����;
進(jìn)程交換:每個包都處理����,幾千PPS;
ASIC交換:轉(zhuǎn)發(fā)速率有極大提升�����,只處理第一個幀���;
基于拓?fù)涞慕粨QCEGF:這個是軟件的交換方式����,工作在ASIC上��;
交換機(jī)上多層交換不用手動配����,都是配好的;
ARP Throttling:CEF交換中在ARP應(yīng)答前會丟棄一些包�,指向一個假的MAC�����,時間特別短;
一旦起路由就工作在CEF方式了�;
多層交換機(jī):三層:SVI端口:虛擬的�����、邏輯的、帶配了IP的VLAN的接口�����、可為用戶做網(wǎng)關(guān);
Routed端口:可為其分配IP,可起路由協(xié)議����,不屬于任何一個VLAN��,功能和SVI基本差不多��;
配置Routed端口:ip routing-->no switport-->ip add-->路由協(xié)議;
VLAN間通信一般用三層交換機(jī)�����,比路由器轉(zhuǎn)發(fā)速度快�����;
EtherChannel是把相同特性的一些端口捆起來���,可以做負(fù)載均衡�,(通常捆trunk);
===DAY 8-9===
這兩天講的是冗余HSRP����、QOS����、多播:
冗余:設(shè)備級的冗余:Router====router====router---------網(wǎng)絡(luò)級的冗余:所有設(shè)備Full Mesh
超級引擎是交換機(jī)的核心所在;
65000的第一代引擎用RPR(路由處理器冗余)���,有獨立的握手機(jī)制�,兩個引擎之間可以互相切換�,現(xiàn)在用RPR+����;
在超級引擎上安裝著一塊MSFC的路由卡(模塊);
RPR的備份引擎是啟動的,但MSFC和PFC不啟動����;
RPR+的備份引擎和MSFC和PFC都已經(jīng)啟動了����;
RPR+的同步不支持VLAN DATABASE和SNMP所作的修改�����;
思科設(shè)備死之前會留下一個core dump的記錄���;
RPR+切換時FIB表清空��,路由表有一個短時間的恢復(fù)(60s左右沒有動態(tài)路由)��,但靜態(tài)路由一直存在�����;
配RPR+:redudancy--->mode-rpr-plus--->show redundancy status��;
IRDP就是用來主機(jī)和路由器之間相互發(fā)通告;
HSRP可以在Trunk上工作����;
HSRP的狀態(tài):initial-->learn-->listen--->speak--->sta ndby--->Active����;
在Speak時選ACTIVE,通告優(yōu)先級;
HSRP接口跟蹤:可監(jiān)視出口鏈路的狀態(tài)���,一旦斷掉��,就調(diào)整HSRP的優(yōu)先級
例:standby 47 priority 120
standby 47 track s0 50
此時s0一斷,優(yōu)先級自動變?yōu)?20-50=70
然后s0正常了����,優(yōu)先級自動變回120
只適用于單出口的鏈路����;
只有配置了搶ACTIVE時才會改變ACTIVE(standby 47 preempt)����;
HSRP可以解決使用proxy ARP和IRDP時延問題;
當(dāng)ACTIVE連續(xù)三次沒發(fā)hello(3s一次)時STANDBY就變成ACTIVE了
一個組內(nèi)只允許一個ACTIVE和一個STANDBY;
思科的是HSRP��,標(biāo)準(zhǔn)的是VRRP�����;
VRRP所有路由器都使用MASTER的IP地址���,當(dāng)MASTER斷�����,其他路由器把自己的地址設(shè)為MASTER的��,當(dāng)恢復(fù)時MA STER又搶奪回原來的地址���;
SRM可解決配置的復(fù)雜性,是冗余技術(shù),無負(fù)載分擔(dān)��,勇于65內(nèi)的兩個模塊的切換,而上述VRRP等都是用于多個路由器之間的;
配置SRM:redunancy--->high-ava--->single-router-m----> show redu���;
多播:盡最大努力傳輸��,無連接,適用于數(shù)字電視付費(fèi)頻道����;
多播源可以是組的成員����,也可以不是;
多播地址沒有網(wǎng)絡(luò)號之類的概念����;
源樹:每個源到目的都有一棵樹,像PVST�����,系統(tǒng)開銷大���,路徑是最優(yōu)的���;
共享樹:多個源把數(shù)據(jù)發(fā)給RP��,系統(tǒng)開銷小,路徑不一定優(yōu)���;
多播避免環(huán)路:RPF反向檢查:包的源和接收到包的接口在路有表中一樣時才組播出去�����;
PIM是一種多播路由協(xié)議�����;
PIM DM是源樹的���,SM是共享樹的��;
IGMP工作在多播路由器和主機(jī)間,用以交換組成員信息����;
思科的Auto-RP可以讓想成為RP的路由器將信息發(fā)給映射代理,然后再下發(fā)�����;
若在Cisco設(shè)備上�,PIMv1和v2都有時����,v2自動降為v1����;
BSR不支持PIMv2���;
看多播路由:show ip mroute;
RPF鄰居就是上一跳���;
(*.G)表示共享樹��,(S.G)表示源樹�����;
看PIM:show ip pim int���;
不壓縮的語音數(shù)據(jù)為64Kbps�;
IP電話可以用一個輔助VLAN�����,語音使用一個VLAN���,數(shù)據(jù)使用一個VLAN�����,輔助VLAN的優(yōu)先級高�����;
QoS的兩個模型:集成服務(wù)&差分服務(wù)��;
做QoS時先基于流量的特征進(jìn)行分類,在網(wǎng)絡(luò)邊緣打上不同的等級標(biāo)示����;
NBAR:一個高級的分類手段��,可用高層應(yīng)用程序信息分類���;
2層QoS:802.1p&CoS(TAG字段)���;
3層QoS:Ip precedence,DSCP(ToS字段)��;
排隊技術(shù)是在擁塞的前提下的�����;
RTP協(xié)議是最高級別的��,優(yōu)先轉(zhuǎn)發(fā),作為EF����,UDP范圍16384--16384+16383��;
WRR:加權(quán)循環(huán)隊列�,有4個���,可手工分配某優(yōu)先級去某隊列,并在出棧時可以確定一個分配帶寬的比例����;
使用偽丟棄(tail drops)可以造成大抖動;
使用WRED可以抓幾個優(yōu)先級低的包先丟���,避免TCP同步�;
隊列只要不達(dá)到最滿就不會出現(xiàn)TCP同步;
擁塞控制技術(shù):流量整形:使流量穩(wěn)定�;
流量策略:把一些包打標(biāo),優(yōu)先扔�����;
數(shù)據(jù)包分片:把包切成等長的碎片�����,傳輸間隔就穩(wěn)定了����;
===DAY 10===
今天是BCMSN的最后一天,講了QoS的命令�����、城域網(wǎng)以太���、WRED、網(wǎng)絡(luò)管理����、網(wǎng)絡(luò)安全等:
MQC是模塊化的QoS;
使用MQC實施QoS:class-map-->policy-map-->service-policy;
在多層交換機(jī)上啟用QoS:mls qos����;
配信任的邊界:mls qos trust (cos|dscp|ip predencel)信任入棧流量自身攜帶的優(yōu)先級信息�����;
幾個觀察的命令:��;
配置基于類的標(biāo)簽:(修改TOS字段)policy-map-->class-->set ip precedence����;
NBAR:在應(yīng)用層提供QoS:擔(dān)保帶寬�����,流量整形等��;
配NBAR:class-map-->match protocol-->policy-map-->class-->service-policy��;
路由器也可以處理三層以上數(shù)據(jù),但速度很慢;
PBR是流量分類的手段��,可用以作流量分標(biāo)識��;
默認(rèn)情況下隊列使用接口帶寬不超過75%�,可以改���;
CBWFQ是MQC的一個子集����;
以下是一堆亂78糟縮寫的關(guān)系:
--------------------------------
WFQ---AF����;
PQ------EF�;
CBWFQ中可以包含LLQ���;
LLQ----EF�;
FIFO----默認(rèn)���,沒有隊列機(jī)制;
CQ----EF;
WRED-----可以用于CBWFQ;
--------------------------------
WRED千兆以上接口才支持;
交換機(jī)可以設(shè)WRED的兩個最低門限,min1,min2,最高門限自動設(shè);
路由器可以設(shè)一個最低門限和一個最高門限�����;
網(wǎng)絡(luò)管理:
在正常是收集一個日志-->網(wǎng)絡(luò)變化時要做測試-->意外現(xiàn)象記錄--->分析網(wǎng)管系統(tǒng)所帶來的負(fù)載--&g t;監(jiān)視網(wǎng)絡(luò)性能(50%左右,不可長期超過80%)--->做一個升級計劃����;
SPAN交換機(jī)端口分析技術(shù),需連接端口分析器;
SPAN可以監(jiān)視會話、端口��、VLAN、入棧(RX)�、出棧(TX)�、雙向;
RSPAN:可以在一臺交換機(jī)上監(jiān)測別的交換機(jī)����;
NAM是插在65上面的一個用來分析的模塊;
SSH是用來替代Telnet的�����,Telnet建立連接是明文�,SSH不是;
802.1X是基于端口的認(rèn)證����,WinXP上就有;
ACL在二層叫VACL����,基于frame和VLAN的訪問控制���,在三層叫RACL;
城域以太:
private VLAN是Cisco私有的技術(shù)�����,運(yùn)營上用以在同一個VLAN中互相隔離主機(jī)����,管理復(fù)雜���,擴(kuò)展性不好���;
PVLAN可分為主VLAN和輔助VLAN,輔助VLAN可分為隔離VLAN和可交流VLAN���;
PVLAN的端口:公共端口、隔離端口����、可交流端口�。隔離端口只能和公共端口通(只能有一個)��,可交流端口內(nèi)部可通�����,和公共端口 也通(可做多個)�;
城域傳輸技術(shù):DWDM�����、SONET����、CWDM;
SONET和SDH是一樣的,叫的方法不同而已;
7600支持光傳輸和MPLS�����;
ISP之間可用DWDM;
在WAN上使用以太技術(shù)的好處:靈活的拓?fù)洌╬2p,p2m)��、透明傳輸(ethernet本來就是用來船IP的)�、服務(wù)質(zhì)量級 別�、費(fèi)用低�����、擴(kuò)展性強(qiáng)���、互*作性強(qiáng)�����;
兩種城域以太:透明LAN服務(wù)(TLS):安全性極差(用戶和ISP的VLAN相同)����,交換機(jī)互連�,擴(kuò)展性差(最多4096個V LAN)���;
直接VLAN服務(wù)(DVS):中間通過橋互連�����,用戶和ISP的VLAN不相同����;
SONET的帶寬為51.84M的整數(shù)倍��;
152系列是能提供DWDM的光交換機(jī)�����;
CWDM可復(fù)用出8個通道�����,傳輸距離太短。價格比DWDM低�����;
CWDM��、DWDM在物理層實現(xiàn)冗余切換,小于50ms���;
企業(yè)連入ISP時多個VLAN可使用802.1QinQ Tunnel技術(shù)連入ISP的一個VLAN,傳到目的地時還原��;
有QinQ會隔離不同企業(yè)的VLAN��,但若ISP內(nèi)部互連還會有環(huán)���,所以還要考慮STP;
QinQ不傳遞STP��,要想跨ISP建SPT要用LRPT����;
QinQ不可路由��,Cisco專有;
EoMPLS只支持p2p���;
MPLS是基于標(biāo)簽交換,類似于二層交換�,介于2-3層中間���;
EoMPLS的關(guān)鍵設(shè)備是76�����,使用VC去識別不同的VLAN(超過了4096的限制);
MPLS中的Exp/Cos可以用來部署QoS��,支持流量工程�;
MPLS的標(biāo)簽可以堆棧��,各表示不同的功能����;
EoMPLS是P2P的�,中間不能拐彎����;
===DAY 11===
今天開始BCRAN~
大致講了AAA和貓����,對于貓考試不做要求:
A(驗證)----你是什么---->A(授權(quán))---你能干什么----->A(記賬)---你干了什么���;
Dialer是邏輯接口,獨占的物理口��;
交換方式:電路交換是要單獨維護(hù)一條電路,成本高�;包交換(VC)����,一條物理連路可以供多個VC用��,允許數(shù)據(jù)突發(fā)�����;
同步:你發(fā)多快我就能收多快;
異步:每個字節(jié)要拿出1/8來用以同步����;
128K以上定為寬帶;
同軸電纜介質(zhì)決定了它的共搶性�����;
雙絞線絞起來避免信號串?dāng)_,線序是避免電磁干擾��;
光線不能彎大角度(90度)����;
單模光纖:只傳一種色光�����;
DS0就是64K的信道,按時隙分�����,叫時分復(fù)用(TDM)�����;
中國的ISDN走E1標(biāo)準(zhǔn)�����;
PPP最大的好處是壓縮、驗證;
CDP是2層偏上的協(xié)議,底層需要支持SNAP;
line protocol down:驗證不通過��,壓縮不行�����,二層封裝協(xié)議不一樣���;
PPPoE驗證協(xié)商是在二層的,三層不通二層也能成功;
實施網(wǎng)絡(luò)第一考慮:可行性(可用性);
WDM在單模、多莫中都可以走,是上層的技術(shù)(DL層);
交互的流量(interactive):專訪Router的流量(如telnet router等);
傳輸?shù)牧髁浚和ㄟ^路尤器在兩個節(jié)點間傳數(shù)據(jù);
AA默認(rèn)都認(rèn)證��,不認(rèn)證需手工指定����,驗證完需授權(quán);
本地驗證:PAP,CHAP�����;
通過ACS服務(wù)器驗證:RIDIUS,TACACS+����;
從內(nèi)網(wǎng)路由器訪問modem叫反向telnet,從外網(wǎng)訪問貓叫正向tennet;
where命令=show session命令;
可以在路由器上和貓連的口上虛擬一個口,int async X;
===DAY 12-13===
這兩天講了PPP��、ISDN����、FR:
PPP為二層協(xié)議,解決了點到點通信;
CDP在二層偏上,能被NCP支持����;
HDLC的基本功能和PPP差不多,但缺少很多東西(如認(rèn)證等)��;
一般在串口上封裝PPP�,在以太口上封裝需要啟用邏輯接口(PPPoE等)�;
Cisco默認(rèn)封裝格式為HDLC�����,華為的是PPP����;
PPP會話:傳輸����。(dedicated)��;
Exec會話:交互�����。(interactive);
PPP LCP:認(rèn)證、callback(安全性)����、壓縮����、multilink(負(fù)載均衡)��;
沒起AAA時PPP不認(rèn)證�����;
PAP不要求兩端密碼一致��,而CHAP反之�����;
ppp authencation pap chap意思是PAP若超期未響應(yīng)就起CHAP�;
VPN的三性:可驗證性����、完整性����、保密性��;
加了密�����,壓縮過的數(shù)據(jù)別再加密�����、壓縮����;
ISDN:
參考點就是一根線��,功能組就是一個設(shè)備;
ISDN能夠支持HDLC��,但HDLC不能驗證����、壓縮等�����;
美版對每條B信道均有SPID號,用以衡量線路�;
Call ID:基于對端二層電話號碼��;
Call Party:相當(dāng)于呼叫轉(zhuǎn)移����,若answer1忙����,自動轉(zhuǎn)接到answer2�����;
---------isdn answer1 XXXX
---------isdn answer2 XXXX
P2M時若對端不相同要用dialer profile���;
backup interface當(dāng)主鏈路斷�,副鏈路會啟用�����;
FR:
FR的二層地址為DLCI��,ISDN為電話號�����;
映射可手工也可LMI����;
LMI:維護(hù)鏈路狀態(tài)&進(jìn)行IARP��;
IOS12前LMI的類型需要手工指定����;
LMI類型:ANSI��、ITU-T、CISCO�����;
keepalive是LMI發(fā)的�����;
IARP是IP到DLCI的映射;
DLCI號為電信確定�����;
在hub&spoke模式中spoke點要互通需先到hub點�����;
全F的廣播地址是本地的����;
FR的DCE是二層的�����,Clock rate的DCE是1層的,兩者無必然關(guān)系����;
P2P子接口:浪費(fèi)IP&中心點配置麻煩(每添加一個spoke都要進(jìn)行配置);
P2M接口防環(huán)在hub端關(guān)水平分割����,在spoke上開;
流量整形:不傳輸大于對端帶寬的多余數(shù)據(jù)���;
BECN可以把速率降低,進(jìn)行流量整形��;
隊列深度:還有多少數(shù)據(jù)在排隊;
backup寫在主端口上���,指明副端口;
盡量不要把物理口設(shè)成Backup����,要設(shè)計在邏輯口上����;
backup只能配在一端���,不能兩端都配;
在OSPF中負(fù)載均衡時要把鏈路的cost之設(shè)成一樣大;
===DAY 14===
今天講了WAN口的QoS���、Broadband�、NAT:
講的東西概念性的不多���,理解性的多�����,broadband考試不是重點:
FIFO的隊列深度在高帶寬口上總為0;(10M以上的口)
LLQ綜合了PQ和CBWFQ的特點���;
10M口(含)以上就應(yīng)該用FIFO了���;
二層frame一般不擁塞,有可能不設(shè)CoS位���,但Trunk上有;
FIFO看第一個bit在哪�����,先到先出���;
WFQ看最后一個bit到達(dá)的順序�,讓小包先傳��;
小數(shù)據(jù)包有小權(quán)值����,多個包最后一個bit位置相同時小的先出���;
WFQ對延遲敏感性不大;
ISDN multilink是自動為no fair queue���;
CBWFQ:人為的WFQ���,按自己需求定義class��,賦予權(quán)和每個可分配帶寬的比例,雖然提供了64個class��,但至少要留 出一個來作為默認(rèn)class�����;
IP precedence:第四級是video�����,第五級是voice,第六級是路由信息����,第七級是keepalive等��;
CBWFQ可以嵌套WFQ等���;
bandwidth不是用來限速的,只是指定傳出的數(shù)據(jù)包多少���,也限不了速�;
CQ大隊列里面包含小子隊列���;
壓縮兩面都是passive時第一個包不被壓縮����,后續(xù)的包都被壓縮���;
看壓縮:show compression;
NAT:inside source:由內(nèi)網(wǎng)發(fā)起-----inside local/global address;
NAT:outside source:由外網(wǎng)發(fā)起---outside local/global address��;
Overlapping發(fā)生在公司并購時�����;
overload(多對單、多對少)是隨機(jī)端口號��,而PAT是指定的�����;
debug ip nat時帶“*”的是走緩存的��,其他的是走CPU的;
NAT變動時需先清空緩存�����,再作修改��;
cable在小區(qū)內(nèi)是共搶鏈路���;
VDSL是Cisco專有的;
DSL和Cable均是一層技術(shù)����;
===DAY 15===
今天講的內(nèi)容是VPN和DSL的配置��,BCRAN的最后一天:
ATM的PVC標(biāo)識要在全局唯一,而FR不是��;
PPPoE在ATM上面;
普通數(shù)據(jù)在VPDN中走要加8byte�����,所以MTU要設(shè)為1492;
MTU 1500是IP的���,1518是二層frame的;
FR的frame不一樣長����,而ATM把數(shù)據(jù)剁成48byte段再加上5byte的頭�,共53byte����,是固定的,可以用硬件來匹 配���,所以速度可達(dá)155M���,而FR只能達(dá)到1.544M���;
PPPoA是modem拿自己當(dāng)router���,而PPPoE是modem拿自己當(dāng)host��;
VPN:低廉的價格、專線的速度和保密性�����、高靈活性����,而FR不行���;
Tunnel技術(shù)使VPN靈活性加大��,對公網(wǎng)透明;
先加密--->進(jìn)隧道--->出隧道--->解密 明文只在兩端和私網(wǎng)中出現(xiàn)�;
遠(yuǎn)程VPN(移動用戶)在需要時撥號�����;
VPN可以在很多層內(nèi)出現(xiàn):應(yīng)用層(SSH、S/MIME)���、傳輸層(SSL)����、網(wǎng)絡(luò)層(IPSec--企業(yè)級加密��,任何流量均 加密)���、DL層:可以加密���,但是太繁瑣��;
防火墻上加VPN速度極慢��;
GRE/L2TP/IPSec自己就是隧道;
IPsec只對IP單播加密���;
L2TP和GRE先將多播����、非IP等全包成單播�����,然后再交給IPSec���;
三層上跑IPSec���,二層FR/DSL都無所謂��,但是用專線那純屬有?���?��;
密鑰交換的方式:人為��、公/私鑰(Diff-Hellman)、CA服務(wù)器產(chǎn)生��;
Hash可以用來驗證完整性,也可以用來加密����,主要用于完整性驗證���;
兩種VPN模式:Tunnel:把IP包頭和數(shù)據(jù)都進(jìn)行保護(hù)���,再加一個新的IP包 頭;
-----------Transport:只保護(hù)數(shù)據(jù),原IP包頭不變��;
preshared key是用來驗證ISAKMP通信的��,不是用來加密的����;
若數(shù)據(jù)該加密的沒被加密則被路由器丟棄�;
要先證明鏈路是通的,再去做VPN�����;
感興趣流量傳出要加密��,非感興趣的不加密���,要求兩邊均用擴(kuò)展ACL,定義對等的感興趣流量�����;
|
