CCNA 精華

copy modem:文件名.bin.flash:

copy xmodem flash: 文件名

加載IOS

 

 

CISCO IOS提供了網絡服務和網絡化的應用程序。

配置網絡設備的步驟：

1、需求分析決定配置的內容；

2、配置基本協議IP地址和網絡參數；

3、其餘可選項。

Catalyst交換機在出廠時有缺省配置；

CISCO路由器出廠時沒有缺省配置，須要執行初始化工做。

配置CISCO設備的方法：

1、帶內配置：經過console、AUX（輔助端口）方式配置

2、帶外管理：telnet、WEB頁面配置、TFTP server下發配置；SNMP協議來進行配置（網管軟件）

 

IOS的用戶接口：

  IOS的用戶接口是CLI（命令行接口）

  每一個設備都有不一樣的配置方式；

  你可使用複製黏貼的方式進行配置；

  使用回車鍵來執行一條命令；

  CLI有兩個主要的EXEC（命令執行模式）：用戶模式和特權模式；不一樣的模式有不一樣的提示符信息。

用戶模式的提示符是>，在用戶模式下，只能執行少許的命令；在用戶模式下打入enable命令進入特權模式。

特權模式的提示符信息是#，在特權下能夠執行一些管理性的配置，例如複製、刪除等。

命令行幫助工具：1、語法幫助工具，？ 2、錯誤信息提示； 3、命令歷史緩存；

全局模式：要對設備進行配置，首先要進入全局模式；在這個模式下能夠對設備作一些全局性的配置；例如主機名等。在特權下，輸入configure terminal命令，提示符

hostname（config）#

配置主機名：在全局模式下hostname sw1

配置一個管理性的IP地址

在接口模式 在vlan1的接口下（是一個軟件接口）

在全局模式下interface vlan 1

接口模式的提示符信息是（config-if）#

ip address 192.168.1.1 255.255.255.0

no shutdown(啓用這個端口）

配置缺省網關：在全局模式下ip default-gateway 192.168.1.254

 

show version:查看設備的軟件和硬件信息；包括軟件版本、設備型號、接口的類型和數目、配置註冊項的值；

配置註冊項：它決定了路由器加載IOS和配置文件的順序；

常見的配置註冊項：1、0x2102（缺省的）表明了從flash中正常引導IOS和配置文件；2、0x0 表明進入ROMMON模式（這個模式用於故障診斷和密碼恢復）；3、0x1表明進入MINI IOS模式；4、0x2142表明了忽略啓動配置文件，這個用於密碼恢復的。

路由器的內部組件：1、CPU；2、內存；3、flash卡（compact flash 用於保存IOS文件）4、NVRAM（非易失性內存，用於保存啓動配置文件和配置註冊項的值）；5、接口；6、ROM（只讀內存，保存了bootstrap程序、POST（加電自檢）、ROMMON程序、MINI IOS）

配置文件：運行配置文件和啓動配置文件

show running-config (用來查看內存中的運行配置文件）

show startup-config（用於查看NVRAM中的啓動配置文件）

保存配置文件：copyrun start/write

刪除啓動配置文件：erasestartup-config

重啓路由器：reload

 

路由器的模式：1、用戶模式（>）-->（enable）2、特權（#）-->（config terminal）3、全局模式（config）#-->4、接口模式、子接口模式、路由模式、線路模式、控制器模式

路由器的基本配置：

1、配置主機名：全局下 Hostname r1

2、配置登錄提示信息：全局下banner motd #welcome to openlab;this is a secured system, authorized access only!#

3、關閉域名解析 no ip domain-lookup

4、信息同步 line console 0

              logging syn

5、接口描述信息：在接口模式下  description lan-to-engineeroffice;

6、配置路由器的密碼：

 1）配置特權密碼；在全局下 enable passwordcisco/enable secret cisco;

 2）配置遠程登錄密碼：line vty 0 4(15)

                       password cisco

                       login

 3)console口的密碼：line console 0

                      password cisco

                       login

 7、配置接口IP地址，show ip interface brief(查看路由器上有哪些接口以及接口的狀態、IP地址等信息）

 

8、加密全部密碼：全局下service password-encryption

9、執行超時時間：

10、配置DCE：  show controller serial 0/1/0查看它是DCE仍是DTE  在DCE端配置clock rate64000

11、配置接口帶寬：在接口模式下  bandwidth 2000（KBPS）

 

 

發現網絡鄰居

CDP協議（cisco Discovery protocol）：是一個私有的2層協議，用於發現與之直連的CISCO設備；

CDP能夠發現鄰居設備的主機名、設備型號、設備的類型、對方的端口、本地鏈接的端口、IOS版本、鄰居的IP地址；

show cdp neighbor

show cdp neighbor detail

show cdp entry *

關閉CDP  在全局下  no cdp run  在接口模式下 no cdp enable

 

建立網絡拓撲圖：1、主機名；2、設備型號；3、接口；4、IP地址；5、線路類型

獲取遠程設備信息：使用telnet或者SSH協議登錄到遠程設備，

show session:查看目前有幾個遠程會話

show user：查看登陸到這個設備上的用戶

掛起一個會話：ctrl+shift+6x

中斷會話：disconnectsession-number

清除會話：clearline line-number

ping用於測試目標網絡的連通性；

traceroute：用於查詢到達一個特定目標所通過因此網關；

 

尋找IOS的過程：1、先檢查配置註冊項的值；0x0（表明進入ROMMON模式，0x1進入mini IOS；0x2從flash中引導IOS）；2

、執行NVRAM中啓動配置文件中的boot system命令；3、缺省狀況下是從flash中引導IOS文件；4、嘗試從網絡中引導IOS系統；5、RXBOOT模式；6、ROMMON。

修改配置註冊項的值：在全局模式下 config-register 0x2102

路由器密碼恢復的步驟：

1、電腦用console線鏈接到路由器的console口；

2、重啓路由器；

3、打開超級終端，在路由器重啓的30秒內按住ctrl+break鍵，進入ROMMON模式；

4、confreg 0x2142; （25路由器的配置 o/r0x2142）

5、重啓路由器reset  （25路由器重啓的命令是i）

6、進入特權模式，copy start run

7、修改密碼在全局下enable secret cisco

8、保存配置；

9、把配置註冊項的值恢復到0x2102；config-register0x2102

 

交換機的密碼恢復：

1、電腦用console線鏈接到路由器的console口；

2、重啓交換機；

3、打開超級終端，在交換機重啓的時候按住MODE按鈕；進入ROMMON；它的提示符是switch：

4、打入flash_init命令

5、dir flash：查看flash中的文件（有一個config.text）

6、rename flash:config.text flash:old.text

7、reset重啓交換機

8、進入特權模式，copy flash:old.text run

9、修改密碼；

10、保存配置；

11、在特權模式下刪除老的配置文件  delete old.text

 

備份、恢復和升級IOS文件

copy flash tftp（備份IOS文件）

copy tftp flash（升級或者恢復IOS）

boot systemflash:c2800nm-advipservicesk9-mz.124-15.T1.bin

 

備份、恢復配置文件

copy run tftp（備份運行配置文件）

copy start tftp（備份啓動配置文件）

copy tftp start（恢復啓動配置文件）

copy tftp run(不是一個覆蓋的過程，而是一個合併的過程）

 

show 查看路由器狀態的靜態結果；佔用系統資源少；

DEBUG 查看路由器運行的動態過程；佔用系統資源多。

show process cpu（查看CPU的利用率）

 

2層交換機和網橋的功能：1、學習MAC地址；2、轉發並過濾數據幀；3、避免環路。

交換機轉發數據幀的3種方式：1、直通式它只看數據幀頭中的目標MAC地址，而後當即轉發；2、存儲轉發式 它會等全部的數據報文所有到達以後並檢驗錯誤，而後再轉發；3、無碎片轉發（free-fragment） 它檢查數據幀的前64個字節，而後當即轉發數據。

show mac-address-table 查看交換機的MAC地址表；

 

2層的冗餘拓撲：它解決了單點失效而致使網絡中斷的問題。

冗餘拓撲存在的問題：1、致使廣播風暴；2、多幀複製；3、MAC地址表不穩定。

 

生成樹協議（spanning-treeprotocol）：爲冗餘拓撲提供一個無環路的環境。經過軟件阻塞其中一個端口來實現無環路的冗餘拓撲。

STP（802.1d協議）的運做原理：1、每一個網絡只有一個根網橋；2、每一個非根網橋只有一個根端口；3、每個段只有一個指定端口；4、根網橋上全部的端口都是指定端口；5、非指定端口被阻塞。

根端口：非根網橋上的距離根網橋最近的端口；

段：交換機與交換機之間的每一條鏈路都是一個段；

指定端口：用於轉發數據的端口

根網橋的選舉：交換機之間每2秒鐘會相互發送一個BPDU(橋接協議數據單元）；BPDU包含了兩個字段：root bridge（表明了根網橋）bridge-id（網橋優先級和MAC地址）；首先比較優先級，值越小越優先成爲根網橋，優先級數值是0-65535，缺省值爲32768；若是優先級一致的話，選擇最小的MAC地址的交換機成爲根網橋。

STP的端口狀態：1、block（阻塞狀態）--->（maxage timer 20秒）2、偵聽狀態（listening）--->（forwarding delay timer 15秒）3、學習狀態--->（forwarding delay timer 15秒）4、轉發狀態

根端口的選擇：1、最小的path cost； 10M（100）、100M（19）、1G（4）、10G（2） 2、發送者的接口優先級 3、最小的port-id；

指定端口：最小的bridge-id。

STP進行匯聚的情形：1、端口狀態發生改變；2、網絡拓撲狀態改變的時候；

VLAN:每個VLAN就是一個廣播域，它是由軟件邏輯劃分而成，每個VLAN就至關於一個物理網橋。它提供更好的安全性，實現了靈活的分段。VLAN能夠跨越多個交換機。

當VLAN須要跨越多個交換機的時候，交換機之間須要使用trunk（主幹）鏈路來傳送多個VLAN的流量。trunk使用特殊的封裝來區分不一樣vlan間的流量。

VLAN成員關係模式：1、靜態VLAN 基於交換機端口劃分而成；

2、動態vlan  基於MAC地址或者用戶名口令劃分而成的。

Trunk的封裝協議：1、802.1Q  這個協議是一個國際標準協議；

2、ISL  這是一個CISCO私有的協議。

802.1q：在源MAC地址和以太類型字段之間加入了一個4個字節的TAG，其中包含了4個字段：1、以太類型（0x8100 表明了802.1q數據幀）；2、優先級字段，一共3個比特位；3、令牌環標記位；4、VLAN-ID，一共12個比特位，因此vlan一共有4096個（0-4095）。cisco交換機使用軟件形式來進行封裝802.1q數據幀。

802.1q支持native vlan，native vlan是指不加標籤的vlan，交換機的trunk鏈路上只能同時支持一個native vlan。交換機的兩端的native vlan要一致。

ISL：在原始數據幀加上了一個26個字節的數據頭和4個字節的CRC的尾；CISCO交換機會使用專用硬件芯片來封裝ISL數據幀，它不支持native vlan，它只適合用於交換機和交換機之間，交換機和路由器之間，對於終端設備而言，是徹底透明的。

cisco29系列和45系列不支持ISL，只支持dot1.q。

PVST（per vlan spanning-tree):每一個VLAN會運行本身的生成樹實例，爲了實現二層的流量負載均衡。cisco支持的是PVST+。

VTP（vlan trunk protocol）：它是一個消息協議，用於通告一個管理域中vlan的配置信息；它會保證在同一管理域內vlan配置信息的一致性，這個消息只在trunk端口上發送。它能夠進行集中化的VLAN配置和管理。

VTP會將交換機分紅3個角色：server、client、transparent（透明）

VTP server模式：它能夠建立、修改、刪除VLAN；它能夠發送和同步VLAN信息；它的配置信息會保存在nvram中（其實在flash中，vlan.dat的文件）。

VTP client模式：它不能建立、修改、刪除vlan，它只能和server進行同步vlan信息；它會轉發VLAN通告，配置不會保存在nvram中（在flash中也有一個vlan.dat的文件）。

VTP的透明模式：它能夠建立、修改、刪除VLAN，可是它不會跟其餘設備進行vlan信息的同步；它能夠轉發通告，它不會發送通告；

配置信息會保存在nvram中。

VTP的運行過程：VTP會每5分鐘或者當VLAN信息數據庫有改變的時候會發送組播通告；VTP通告只能發送給同一域內的交換機；客戶端會以修訂號的版原本進行同步，修訂號越高表明了VLAN信息數據庫越新。

VTP的修剪：能夠減小沒必要要的廣播流量，這個功能僅限於trunk端口。

VLAN的配置：1、選擇一個接口做爲trunk端口；

           2、指定trunk端口的封裝協議（29系列和45系列不須要指定）

           3、配置VTP協議；

           4、在VTP server上建立VLAN；

           5、在每個交換機上將端口劃分到vlan中。

語法：1、在接口模式下：

        switchport trunk encapsulation dot1q|isl

        switchport mode trunk

        show interface f0/1 switchport

     2、在全局模式下配置VTP

        vtp domain name(ccna.com)

        vtp mode server| client|transparent(缺省模式是server）

        vtp password password(cisco)

        show vtp status

        show vtp password

     3、在全局下建立VLAN；

        vlan vlan-id(0-4095) 0和4095是系統保留使用的，1，1002-1005也是系統自帶的，缺省狀況下，全部端口屬於vlan1，VLAN1也是缺省的native vlan；1002-1005是保留給token-ring和FDDI；這些VLAN不能修改、刪除、重命名；1-1001是屬於正常範圍值的VLAN；VTP server模式只支持正常範圍內的vlan；從1006-4094都屬於擴展範圍的vlan，只有透明模式支持。

       每一個交換機所支持的vlan數目是不同的；

       在vlan模式下：name ccna

       show vlan

       show vlan brief

     4、在接口模式下：

         switchport mode access（缺省的工做模式是dynamic desirable）這個模式用於接入終端設備；

         switchport access vlan vlan-id

       show vlan

       show vlan brief

trunk端口能夠訪問全部的VLAN，它不屬於某個具體的VLAN；

VLAN配置常見的錯誤：1、trunk兩端的封裝協議不匹配；

 2、VTP的域名不一致；

 3、VTP的password不一致；

 4、端口不在同一vlan中。

5、VTP的工做模式是否合適。

單臂路由：使用子接口（subinterface）來路由多個vlan的流量；子接口是由物理接口經過軟件邏輯劃分而成；每一個子接口能夠有跟物理接口同樣的配置；

   1、在全局下啓用物理接口

     interface f0/0

       no shutdown

   2、在全局下建立子接口

     interface f0/0.1

       encapsulation dot1q vlan-id (10)

       ip address 10.1.1.1255.255.255.0

單臂路由的缺點：單點失效；流量阻塞；

在配置單臂路由的時候，交換機上的端口也須要配置trunk。

交換機的端口安全：

1、在接口模式下將端口做爲access模式；

   interface f0/1

    switchport mode access

2、在接口模式下啓用端口安全

   interface f0/1

    switchport port-security(啓用端口安全）

    switchport port-security maximum 1

    switchport port-security mac-address 000c.1111.1111

    switchport port-security violation shutdown|protect|restrict

show port-security

show port-security address

show port-security interface f0/10

 

routing（路由選擇）

router（路由器）

route(路由）：到達一個特定目標的路徑。

routing protocol（路由協議）

routed protocol（被路由的協議，好比IP協議）

爲了得到一個路由，首先必須知道目標地址

1、肯定能夠知道這個路徑的全部源設備；

2、發現儘量多的路徑；

3、選擇一個最佳的路徑；

4、維護和驗證路由信息。

這個過程稱之爲路由選擇（routing）

得到路由的方式：一種是靜態路由，管理員手工指定；優勢：原理簡單、配置簡單；缺點：不可以自適應網絡拓撲變化；第二種是動態路由，它是經過路由協議來動態學習到的；它可以自適應網絡拓撲變化；可是原理配置相對比較複雜。

靜態路由的配置：在全局模式下：ip route network  [mask]{address | interface}[distance] [permanent]

network：表明了目標網絡；mask是目標網段的子網掩碼；

address：下一跳路由器的IP地址；

interface是指本地路由器的出口；通常不推薦使用這個，只適合於點到點的鏈路；點到點的鏈路一般指使用HDLC、PPP協議封裝的線路、幀中繼和ATM的點到點子接口；

distance：管理距離；permanent：永久的。

default route（默認|缺省路由）：當目標網絡不明確的時候。

ip route 0.0.0.00.0.0.0 下一跳路由器的IP地址

路由協議：用在路由器與路由器之間，用於學習、維護路由表的規則；一當肯定一個路徑以後，路由器就能夠路由IP協議了。

自治系統：（AutonomousSystems）一個相同管理域內的全部網絡的集合。自治系統號（1-65535）；

一個路由協議工做在同一個自治系統內的，這種路由協議稱之爲IGP（內部網關協議）；

一個路由協議工做在不一樣的自治系統之間，這種路由協議稱之爲EGP(外部網關協議）。

常見的IGP：RIP、eigrp、ospf、ISIS

常見的EGP：BGP

管理距離：每個路由協議都有一個默認的管理距離值；表明了這個路由協議的可信度；管理距離值是0-255之間；值越小越可信。

常見的路由協議的AD值：直連的路由（0）、靜態的（1）、彙總的EIGRP路由（5）、EBGP（20）、內部的EIGRP(90)、IGRP（100）、OSPF(110)、ISIS（115）、RIP(120)、外部的EIGRP(170)、IBGP（200）、未知的協議（255）

有類的路由協議：在路由通告的時候，不包含子網掩碼；它假定在相同的網絡內子網掩碼是一致的；在網絡的邊緣處，會產生自動彙總，只能彙總成主類網段。rip v1、igrp屬於有類路由協議。

路由彙總：將多個小的網絡聚合成一個大的網絡；前提條件是以前這些小的網絡是經過VLSM劃分而成的。目的:減小路由表的條目，節約路由器的內存。彙總的原則：比較最高的相同比特位，要精確彙總。

無類路由協議：在路由通告的時候包含了子網掩碼；支持VLSM和手工彙總。RIPV2、EIGRP、OSPF、ISIS、BGP都屬於無類的路由協議。

路由協議的算法進行分類：距離矢量型（RIPV2)、鏈路狀態型（OSPF、ISIS)、混合型（EIGRP)

距離矢量型路由協議：它會週期性將本身的路由表通告給鄰居，而且附上路由的距離矢量。

選擇一個最佳路徑：路由協議會根據本身的metric（度量值）來選擇到達一個特定目標的最佳路徑。

RIP的metric是以HOP（跳數）做爲它選擇最佳路徑的標準。最小的跳數爲最佳路徑。

EIGRP的metric是以一個複合的度量值來選擇最佳路徑的；它有5個參數：帶寬(bandwidth)、延遲(delay)、可靠性(reliablity)、負載(load)、MTU（最大傳輸單元）；缺省EIGRP只使用帶寬和延遲做爲它的度量值。metric=[10^7/bandwidth（kbps）+delay/10]*256

維護路由信息：它是按照逐跳的方式來處理路由更新。

避免距離矢量型協議的路由環路問題：1、定義一個最大的度量值來防止metric值變成無窮大；2、水平分割，從一個接口上收到的路由更新不會再從這個接口上更新出去；3、路由中毒 當發現一個路由down掉以後，會發送一個更新，更新中路由的metric爲最大的metric來申明這個路由失效了；4、毒性逆轉 當路由器收到一個路由中毒消息以後會當即給發送方反饋一個路由中毒的消息，以加以確認這個路由已經中毒。5、抑制計時器 在收到一個路由中毒消息以後，路由器會當即啓用一個計時器，在這個計時器內，它不會相信任何關於中毒路由的更新；6、觸發更新 在發現路由down以後，不須要等到下一個更新週期，當即發送路由更新。

鏈路狀態協議：1、路由器之間會相互發送hello包，來發現鄰居，並創建鄰接關係；造成了鄰居表；2、路由器會將本身的鏈路狀態信息（LSA鏈路狀態通告)通告給全部的鄰居；路由器會收集全部鄰居發送的LSA，造成一個拓撲表；拓撲表中包含了到達全部目標的全部路徑；3、路由器會使用SPF（shortest path first最短路徑優先）算法計算出到達一個特定目標的最短路徑，造成路由表。

鏈路狀態協議一般會採用分層的機制來進行設計；目的：簡化路由表，使拓撲改變的影響最小化。一般會將一個AS分紅多個AREA（區域），其中包括一個主幹區域（backbone area）和其餘常規區域；全部常規區域必須直連到主幹區域。

鏈路狀態協議的算法：它採用SPF，以本身爲原根，將全部路徑的cost值相加，擁有最小的COST值的路徑做爲最佳路徑。

鏈路狀態協議的優勢：1、沒有環路，由於它擁有全部的拓撲信息；2、快速的匯聚（收斂）；3、若是採用了分層設計，它可以優化資源的利用率。

鏈路狀態協議使用的注意事項：1、要有足夠的內存和CPU資源；由於它須要維護3張表；全部路由都是本身計算的。2、須要分層設計；3、若是網絡設計比較複雜，可能會致使配置比較複雜；4、故障診斷要比距離矢量協議容易一點。

鏈路狀態協議的缺點：內存和CPU利用率較高；初始化的時候流量會很是大。

更新採用增量更新。

混合型協議：它具備鏈路狀態協議的特徵，又具備距離矢量協議的特徵。

RIP（routing information protocol）：它是一個距離矢量型協議；目前咱們使用V2版本；它屬於無類路由協議；它是一個IGP協議；它每30秒把本身的路由表更新給鄰居；使用跳數做爲它的度量值；支持VLSM；支持自動彙總和手工彙總，自動彙總默認打開的；支持最大6條等價路徑，默認是4條。

RIP的計時器：hello計時器是30秒；holdtime（抑制計時器）是180秒；invalid（失效計時器）是180秒；flush（置空計時器）是240秒。clear ip route *(當即清空路由表來從新學習）

RIP的配置：

1、在全局模式下 router rip（進入路由模式）

2、version 2（指定版本）

3、no auto-summary(關閉自動彙總）

4、network  network-number（發佈直連的網段，網段號只須要配置主類的網段號）

檢查RIP的命令：show ip route（查看路由表）

show ip protocols（查看目前運行的路由協議以及這個協議的相關參數）

debug ip rip（能夠查看RIP更新的詳細信息） ripv2是以組播方式來發送更新的，目標地址是224.0.0.9.

undebug all|no debug all關閉全部debug信息

 

EIGRP協議的配置

EIGRP：（高級內部網關路由協議）它是CISCO私有協議，它屬於混合型協議，也是一個IGP協議；支持VLSM，支持手工彙總和自動彙總，默認自動彙總打開；它使用帶寬、延遲、可靠性、負載和MTU做爲它的度量值；缺省只考慮帶寬和延遲；支持最大六條等價路徑，默認4條；它也支持不等價路徑的負載均衡。它支持多個網絡層的協議（ip協議、IPX協議等網絡層協議）。它採用組播地址224.0.0.10來發送更新，採用增量更新；可以提供快速的路由匯聚。

1、EIGRP路由器之間會相互發送hello包，來發現鄰居，造成鄰居表；鄰居表包含了鄰居的IP地址以及本地的接口。

  show ip eigrp neighbor

2、相互更新路由表，經過收集全部鄰居的路由表，造成一個完整的網絡拓撲表；採用擴散更新算法(DUAL)計算出一個無環的最佳路徑；最佳路徑稱之爲successor（繼承者）；EIGRP也會計算出一個fessiblesuccessor（可行的繼承者）來做爲successor的備份；

AD（通告的距離）：鄰居路由器到達目標的距離

FD（可行的距離）：本路由器到達目標的距離

FD最小的路徑做爲最佳路徑。

成爲可行繼承者的條件：可行繼承者的AD值必定要小於繼承者的FD值。

3、將繼承者注入到路由表中。可行的繼承者仍然放在拓撲表中。

EIGRP的配置步驟

1、在全局模式下

 router eigrp as-number(100)

   no auto-summary

2、在路由模式下發布直連網段

   network network-number wildcard（通配符）

 

通配符：0表明精確匹配一個數值；1表明忽略一個數值。

檢驗EIGRP的配置：

 show ip route eigrp (查看EIGRP的路由表）

 show ip eigrp neighbor（查看EIGRP的鄰居）

 show ip eigrp topology(查看EIGRP的拓撲表）

 show ip protocol(查看目前運行的路由協議和協議的相關參數）

 debug ip eigrp packets

 debug ip eigrp events

 

OSPF協議

 它是一個鏈路狀態協議，是一個開放的標準路由協議，全部廠家都支持這個協議，採用了SPF（最短路徑優先算法）；OSPF路由器相互之間通告的是LSA（鏈路狀態通告）而不是路由表；

 link（鏈路）=路由器的接口

 state（狀態）= 對路由器接口的描述（接口的類型、接口的IP地址和掩碼、接口的狀態等信息）以及鄰居之間的關係；

LSA會泛洪到區域（area）中的全部OSPF路由器上。經過收集區域中的全部LSA信息造成拓撲表；

經過SPF算法計算出到達全部目標的最佳路徑。（最短路徑樹或者路由表）

OSPF COST的計算公式 cost=10^8/bandwidth(bps)  這個公式僅適合於100M以及100M如下帶寬的鏈路。

OSPF支持等價負載均衡，最大6條，默認4條。

OSPF只有在鏈路發生變化時才發生更新；或者每半個小時泛洪一次（將整個鏈路狀態數據庫（LSDB）發送給鄰居）。

OSPF的配置步驟：

 1、在全局模式下 router ospf process-id（1）

     鄰居之間的進程號能夠不一致，也能夠在一個路由器啓用OSPF的多個進程，可是多個進程之間會獨自產生本身的數據庫，所以不推薦啓用多個進程。

 2、在路由模式下發布直連網段

    network network-number wildcard area area-id（0） OSPF的backbone區域就是AREA0.

檢查OSPF的配置

  show ip route ospf(查看OSPF的路由）

  show ip ospf neighbor(查看OSPF的鄰居）

  show ip ospf database（查看OSPF的拓撲表）

  show ip protocol（查看OSPF協議的相關參數）

  show ip ospf interface(查看OSPF的接口相關參數）

router-id：在OSPF中，要創建鄰居關係，須要每一個路由器提供一個身份標識；身份標識一般是路由器上的一個接口IP地址；缺省狀況下，最大的物理接口地址成爲router-id；若是路由器上存在loopback（迴環）接口，那最大的loopback接口地址做爲router-id；

loopback接口是一個軟件接口，它具備很好的穩定性，不會受到物理接口影響；通常企業用這個接口地址做爲路由器的管理地址。

 debug ip ospf packets

 debug ip ospf events

建立loopback接口：在全局下 interface loopback number（0）

 不要忘記將loopback接口放入到路由協議中。

router-id在選舉的時候沒有強制性；一旦選舉完畢，即便你添加了loopback接口，loopback接口也不會當即成爲router-id；必定要等到下次選舉的時候（下次從新創建鄰居關係的時候）；

 

經過ACL（訪問控制列表）來管理IP流量

ACL：就是流量進出的管理規則；

ACL常見的應用：1、容許或者拒絕經過路由器的數據包；

2、容許或拒絕vty線路的訪問。

其餘的應用：1、NAT（網絡地址轉換）；2、隊列技術；3、按需撥號；4、IPSEC ×××等。

ACL的類型：1、標準的ACL，它只檢查源地址，只過濾整個IP協議族；不可以容許或拒絕某個特定的流量；2、擴展的ACL，它會檢查源和目標地址，能夠容許或拒絕某個特定的應用程序。

標明一個ACL：1、數字化的ACL 1-99表明了標準的IP ACL；100-199表明了擴展的IP ACL；1300-1999也是表示標準ACL；2000-2699也用於表述擴展的ACL。2、命名的ACL；

 ipaccess-list standard ccna

 ipaccess-list extended ccna

ACL使用通配符來匹配IP地址；

特殊的通配符：1、匹配一個主機 0.0.0.0= host

實例：access-list10 permit 172.16.1.1 0.0.0.0

     access-list 10 permit host 172.16.1.1

2、匹配任意一個主機 0.0.0.0 255.255.255.255=any

實例：access-list10 permit 0.0.0.0 255.255.255.255

     access-list 10 permit any

3、匹配連續的網段 172.16.16.0-172.16.23.0/24

   access-list 10 per 172.16.16.0 0.0.7.255

 

ACL的配置規則：

  1、ACL的名稱或者數字標明瞭什麼樣的協議將被過濾；

  2、每個接口、每個協議、每個方向只能使用一個ACL；

  3、ACL是按照語句的順序來進行測試；

  4、最嚴格的語句要放在ACL的最上面；(先配置的就在上面，後配置的在下面）

  5、ACL的最後有一個隱含的DENY ANY語句，所以ACL至少應該有一個permit語句；

  6、在應用ACL到接口以前，首先應該先建立ACL；

  7、ACL只能過濾經過路由器的流量，不能過濾路由器自身產生的流量；

  8、ACL不能插入或刪除某一條語句，除了命名的ACL能夠刪除一條語句，可是仍然不能插入一條語句。

 

 標準ACL的配置

 step1：在全局模式下建立ACL

 access-list acl-number permit|denynetwork-number wildcard

 實例：access-list 10 permit 172.16.1.0 0.0.0.255

 step2: 將ACL應用到接口上

 interface f0/1

    ip access-group acl-number in|out

 實例：ip access-group 10 in

 

擴展ACL的配置

 step1：在全局下建立ACL;

    access-list access-list-number {permit | deny} protocol(協議） source source-wildcard [operatorport] destination destination-wildcard [operator port]  [established] [log]

 protocol：IP、TCP、UDP、ICMP、OSPF、EIGRP等

 operator：EQ（等於）、NEQ（不等於）、GT（大於）、LT（小於）、range（範圍）

 port（端口號）

 established:只用於TCP流量，只匹配已經完成3次握手的流量；（防範TCP SYN***）

 log：產生日誌消息。

實例：access-list 100 permit tcp 192.168.1.0 0.0.0.255any eq www

access-list 100 permit udp 192.168.2.0 0.0.0.255any range 21000 35000

step2:在接口上應用ACL；

 interface f0/1

   ipaccess-group acl-number in|out

實例：ipaccess-group 100 in

 

命名的ACL配置：

 step1：在全局下配置命名的ACL；

   ipaccess-list standard|extended name

  實例：ip access-list extended ccna

 step2:在ACL的子模式下配置規則：

   1)若是是標準的，

   permit|deny network-number wildcard

   2）若是是擴展的；

   {permit | deny} protocol(協議） source source-wildcard [operator port] destinationdestination-wildcard [operator port] [established] [log]

  

 access-list 100 per tcp host 192.168.1.1 any eq 80

  ipaccess-list extended ccna

      permit tcp host 192.168.1.1 any eq 80

 

 

 對ACL作一個描述

  實例：access-list 10 remarktest-for-ccna

 

限制VTY線路的訪問：

   咱們須要在全部的VTY線路上應用ACL；

   實例：access-list 10 per host172.16.1.1

  line  vty 0 4

     access-class acl-number in

   實例；access-class 10 in

 

檢查ACL：

 show access-list  show ipaccess-list

 show ip int f0/1

 

NAT(網絡地址轉換）：爲了解決公網地址匱乏的問題；提供了必定的安全性。

NAT的術語：1、inside local（內部本地地址）用於公司內部通信的地址，一般是私有地址；2、inside global（內部全局地址）公司出去訪問公網時使用的地址，一般是ISP分配給公司的公網地址；3、outside local（外部本地地址） 外部用戶訪問公司內部資源使用的地址；一般這個地址是公網地址，有些特殊狀況是公司特定分配的私有地址。4、outsideglobal（外部全局地址）：一般是公網地址，公司訪問的外部服務器的公網地址。

PAT（端口地址轉換）：它容許將多個內部本地地址轉換成一個內部全局地址。

配置NAT的方法：1、靜態NAT配置，管理員手工指定，適合於轉換內部對外提供服務的服務器；2、動態的NAT配置，通常適合於內部員工去訪問外部公網服務器的時候；

靜態NAT配置的方法：

1、在全局下 ip nat inside source static inside_local_addressinside_global_address

  ipnat inside source static 172.16.1.3 202.1.1.3

2、指定內部接口和外部接口

 interface f0/0

   ipnat inside(鏈接內網的接口）

  intf0/1

   ipnat outside（鏈接外網的接口）

動態NAT的配置

1、定義一個ACL來肯定哪些內部流量須要被轉換出去；

  access-list access-list-number permit protocol source source-wildcarddestination destination-wildcard

 實例：access-list 10 per 172.16.1.0 0.0.0.255

2、定義一個地址池用於轉化內部地址

   ipnat pool pool-name start-ip end-ip netmask mask/prefix-length length

 實例：ip local pool ccna 202.1.1.2202.1.1.6 netmask 255.255.255.248/prefix-length 29

3、將ACL和地址池關聯

   ipnat inside source list acl-number pool pool-name [overload]

  實例： ip nat inside source list 10pool ccna overload

4、指定內部接口和外部接口

  interface f0/0

   ip nat inside

  interface f0/1

   ip nat outside

PAT的配置步驟

1、定義一個ACL來肯定哪些內部流量須要被轉換出去；

  access-list access-list-number permit protocol source source-wildcarddestination destination-wildcard

 實例：access-list 10 per 172.16.1.0 0.0.0.255

2、進行端口轉換

   ipnat inside source list acl-number interface interface-name overload

  實例：ip nat inside source list 10interface f0/1 overload

3、指定內部接口和外部接口

  interface f0/0

   ip nat inside

  interface f0/1

   ip nat outside

內部對外提供服務的服務器使用靜態的NAT,內部員工出去訪問Internet時，一般用PAT技術。

檢查NAT的配置

 show ip nat translation(查看NAT轉化的信息表，包括靜態的和動態的轉換）

 show ip nat statistics（查看NAT的配置信息和統計信息）

 debug ip nat（查看NAT轉換的動態過程）

 clear ip nat translation *（清除全部的動態NAT轉換）

 

 

WAN（廣域網）：用於鏈接遠程站點的線路，一般是指專線網絡；選擇廣域網鏈接方式的時候要考慮用戶的需求、費用和高可用性。

WAN常見的鏈接方式（物理層）:專線（DDN、SDH等）；電路交換網絡（ISDN）；包交換網絡（fram-relay、ATM）；

WAN2層常見的使用協議：HDLC、PPP、frame-relay、ATM（異步傳輸模式）。

點到點的鏈接線路：1、HDLC，是串口的默認封裝協議；2、PPP協議：它分爲了兩層；一層是LCP，用於控制2層鏈路的創建；一層是NCP，用於將網絡層的數據包封裝成幀；

LCP的可選項配置：認證、多鏈路捆綁、壓縮、錯誤探測等功能；

PPP的認證包括兩種協議：PAP（pppauthentication protocol）和CHAP（挑戰握手認證協議）；PAP在認證的時候是以明文密碼認證的；CHAP在認證的時候密碼是加密的；

PPP CHAP的配置步驟：

1、在全局下配置主機名；

 hostname name

2、在全局下配置用戶名和口令

 username name（對方的主機名） password password（密碼）

 username r2 password cisco

3、在接口模式下

 interface serail 0/0

    encapsulation ppp

    ppp authentication chap

debug ppp authentication(驗證PPP認證是否成功）

 

幀中繼（frame-relay）

 幀中繼是一個面向鏈接的2層封裝協議，它使用VC（虛電路）提供鏈接；

VC（虛電路）：它是由軟件經過統計複用技術將一個物理線路邏輯劃分而成的，一個物理線路能夠最多劃分紅1024個VC；

local loop（本地環路）：CPE（客戶端的路由器）和ISP幀中繼交換機之間的鏈路；在這個本地環路上，ISP會給用戶提供一個或者多個VC；

VC能夠分爲PVC（永久虛電路）和SVC（交換虛電路）；如今通常用PVC；咱們使用DLCI（數據鏈路控制標識符）去標明某一個具體的VC；DLCI值存在於本地環路上，只有本地意義。

LMI（本地管理接口）：用於跟中心局交換機通信的協議，它能夠知道當前本地環路有哪些VC，以及這些VC的狀態（active、inactive、deleted）；LMI的標準：1、CISCO；2、Q.933標準（國際標準）；3、ANSI（美國標準）。

CIR（承諾信息速率）：電信服務商保障的帶寬；

bc(承諾超出速率）：在線路不是很忙的狀況下，容許的超出的速率；

BC=CIR*TC（125ms）

BE（突發超出速率）：在線路很是空閒的狀況下，突發的速率。

MINCIR（最小承諾信息速率）：在線路滿負荷的狀況下，最低的帶寬保障值。

幀中繼的拓撲類型：全網狀的、部分網狀的、星型的。

幀中繼的地址映射：使用INVERSE-ARP（反向ARP）解析DLCI號對應的IP地址；使用本地的DLCI號解析遠程對端的IP地址。

幀中繼映射的配置

1、在物理接口下封裝幀中繼

  interface s1/0

    encapsulation frame-relay

    ip address

    frame-relay map ip 對方的ip地址 本地的DLCI號 broadcast

   實例：frame map ip 10.1.12.2 102 broadcast

2、幀中繼的子接口分爲兩種：一種是點到點子接口；一種是多點子接口；只有點到點子接口才能解決水平分割的問題；

 1、在物理接口下封裝幀中繼；

  interface s1/0

   encapsulation frame-relay

   no shut

 2、在全局下建立點到點子接口

  interface s1/0.1 point-to-point

    ip address 10.1.12.1255.255.255.0

    frame-relay interface-dlci 本地的DLCI號

   實例：frame-relay interface-dlci 102

   在這種接口下只支持這個映射的命令。

 3、在建立多點子接口：

  interface s1/0.2 multipoint

    ip address 10.1.13.1255.255.255.0

     frame-relay map ip 對方的ip地址 本地的DLCI號 broadcast

 多點子接口鏈接多個遠程站點，須要每個遠程站點作一個映射。

 

    

 http://jlsgs.blog.51cto.com/7966754/1677001