福州 ASBOOTCAMP53班开营—20120726

270938424 · 发表于 2012-7-26 21:27:20

顶下班帖吧。

bluewind · 发表于 2012-7-27 12:22:39

强哥又被挡住一大半了标标和加薪怎么笑的这么HIGH？

ufd_苜 · 发表于 2012-7-28 00:14:24

来逛一逛，大家都是好样的！

ezsimple · 发表于 2012-7-28 13:32:32

BOOTCAMP53班-路由2-20120728

一、路由重分布
二、域外路由汇总
三、不连续OSPF区域
四、路由策略
五、策略路由
六、基于时间的ACL
七、单向ACL
八、轮询NAT
九、PPP多链路捆绑

一、路由重分布
1、直连路由重分布：将路由器所有直连（除已经network发布）的网段重发布进OSPF区域，传递给区域中的其他路由器。
      配置命令：R1（config-router）#redistribute connected subnets
      所有重分布进OSPF的路由条目默认为E2，cost值不会随传递路径的增加而增加，始终为20。为了防止出现次优路径，建议在重分布时，将路由条目类型修改为E1（会累加途经链路的cost值）。
      配置命令：R1（config-router）#redistribute connected subnets metric-type 1

2、静态路由重分布：将路由器本身所具有的静态路由（不包括默认路由）重分布进OSPF区域，传递给区域中的其他路由器。注意：静态路由必须有效，即出接口up和下一跳可达。
      配置命令：R1（config-router）#redistribute static subnets
      也可以对路由条目类型进行修改。
      配置命令：R1（config-router）#redistribute static subnets metric-type 1

3、默认路由重分布：
      3.1、路由器本身有配置默认路由。
               配置命令：R1（config-router）#default-information originate
      3.2、路由器本身没有配置默认路由。
               配置命令：R1（config-router）#default-information originate always

二、域外路由汇总
在ASBR上对重分布进OSPF的路由进行汇总，目的是为了减少域外路由条目在OSPF区域的传递。
配置命令：ASBR（config-router）#summary-address x.x.x.x x.x.x.x

三、不连续OSPF区域解决方案
通过配置虚链路来打通不连续区域与area 0的连接。
配置命令:R1(config-router)#area x virtual-link x.x.x.x(对端router-id)

四、路由策略
对重发布进OSPF的路由条目进行过滤，减少不必要的路由进入OSPF区域。
配置命令：R1(config)#access-list x permit x.x.x.x x.x.x.x       //匹配要进行过滤的流量
                  R1(config)#route-map test deny 10
                  R1(config-route-map)#match ip address x
                  R1(config)#route-map test permit 20
                  R1(config-router) redistribute static subnets route-map test

五、策略路由
可以实现对特定的流量进行控制。
配置命令：R1(config)#access-list x permit x.x.x.x x.x.x.x          //匹配要进行控制的流量
                  R1(config)#route-map x permit x
                  R1(config-route-map)#match ip address x
                  R1(config-route-map)#set ip next-hop x.x.x.x                //设置下一跳IP
                  R1(config)interface fax/x
                  R1(config-if)ip policy route-map x
但是这样配置有缺陷，因为无法对下一跳进行检测。可以对配置做一些修改，以弥补缺陷。
                  R1(config-route-map)#set ip next-hop verify-availability x.x.x.x track 1（关联SLA，SLA具体配置可以查看前一次课的笔记。）

六、基于时间的ACL
配置命令：R1(config)#access-list 100 permit ip any any time-range x
                  R1(config)#time-range x
                  R1(config

range)#periodic daily 8:30 17:30
                  R1(config)# int fax/x
                  R1(config-if)#access-group 100 in
                  R1#clock set 11:30:00 28 july 2012                   //设置路由器时间
路由器时间重启后丢失，所以需要配置同步。
                  R1(config)#ntp server x.x.x.x（NTP服务器IP）

七、单向ACL
通过匹配TCP三次握手的syn号，实现单向访问。
    配置命令:R1(config)#access-list 100 permit tcp any any established

八、轮询NAT
实现服务器负载均衡，以解决单台服务器承载能力有限的问题。
配置命令:R1(config)#ip nat pool tset x.x.x.x x.x.x.x netmask 255.255.255.0 type rotary
               R1(config)#access-list x permit x.x.x.x(公网IP)
               R1(config)#ip nat inside destination list x pool test

九、PPP多链路捆绑
将多条ppp链路捆绑在一起，以解决ppp链路带宽不足的问题，同时还提供了冗余。
配置命令：  R1(config)#interface Multilink 10                       //定义虚接口
                     R1(config-if)#ip address A.B.C.D  A.B.C.D
                     R1(config-if)#ppp multilink
                     R1(config-if)#ppp multilink group 10
                     R1(config-if)#interface Serial0/0
                     R1(config-if)#no ip address
                     R1(config-if)#encapsulation ppp
                     R1(config-if)#ppp multilink
                     R1(config-if)#ppp multilink group 10        //把接口添加到这个组里
                     R1(config-if)#no shut
                     R1#show interface multilink 10          //查看虚接口信息
                     R1# show interface serial0/0          //查看接口信息
                     R1# show ppp multilink             //查看加入组的接口，以及状态

笑弦 · 发表于 2012-7-28 13:52:28

bluewind 发表于 2012-7-27 12:22
强哥又被挡住一大半了标标和加薪怎么笑的这么HIGH？

哈，那是必须的！

王晓强 · 发表于 2012-7-28 15:30:24

ezsimple 发表于 2012-7-28 13:32
BOOTCAMP53班-路由2-20120728

一、路由重分布

又整理好了呀，速度啊，整理得不错，辛苦了~

笑弦 · 发表于 2012-8-1 09:22:57

求上节课的笔记

ezsimple · 发表于 2012-8-2 11:29:20

本帖最后由 ezsimple 于 2012-8-2 12:21 编辑

BOOTCAMP53班-交换1-20120731
一、VLAN
二、TRUNK
三、多层交换
四、生成树
五、链路捆绑

一、VLAN——虚拟局域网
1. VLAN的作用：隔离广播、提高网络整体安全性、网络管理简单。
2. VLAN的配置：
      a、全局模式配置。
      b、数据库模式配置。
3. VLAN号码范围：
      cisco私有协议ISL：1 ~ 1024
      公有协议802.1q：1 ~ 4096

二、TRUNK——VLAN中继
1.什么是Trunk：中继是两台网络设备之间的点对点链路，负责传输多个 VLAN 的流量。
2.TRUNK的作用：
      2.1. VLAN 中继可让 VLAN 扩展到整个网络上；
      2.2. VLAN 中继不属于具体某个 VLAN。
      2.3. TRUNK的封装类型：
         2.3.1. ISL：cisco私有
         2.3.2. 802.1q：公有协议
3. native vlan（不打标签的vlan）
      ISL是有几个VLAN打几个标记，而802.1Q协议除了VLAN1也就是native vlan不打标记之外其他的VLAN都打标记，
      作用都是一样的，都能让TRUNK识别不同的VLAN。在配置TRUNK链路时，请确保连接链路两端的native  VLAN相同。
      配置命令：
      SW(config-if)#switchport trunk native vlan 10     //将VLAN 10设置为native vlan（默认为vlan 1）
4. 802.1Q的工作原理
      交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。

三、多层交换
（略）

四、生成树
STP（802.1D)：避免环路同时实现冗余，只有一棵生成树。
      阻塞—监听（20s)、监听—学习（15s)、学习—转发（15s），总共收敛时间为50秒。公有协议
RSTP（802.1W）  收敛时间为30s，只有一颗生成树，公有协议。
PVST：思科私有的，每个VLAN一棵生成树。
MST（802.1S）： GNS3无法实现，spanning-tree mode mst，MST是在RSTP的基础上运行的，收敛速度快，且每个
      实例一棵生成树，实现负载分担。默认所有的VLAN都属于实例0。

生成树的选举：
      1.选根桥桥ID小优先，桥ID=桥优先级（默认为32768）+MAC地址
      2.选根端口（非根桥上）
         2.1. 比较端口到达根桥的cost值，越小越优。
         2.2. 比较发送者的桥ID
         2.3. 比较发送者的port-id（port优先级（默认为128）+port号）
       注意：100M的cost为19 1000M的cost为4。
      3. 选指定端口（根桥的每个端口都为指定端口）
         3.1. 比较端口到达根桥的cost值，越小越优。
         3.2. 比较发送者的桥ID
         3.3. 比较发送者的port-id（port优先级（默认为128）+port号）

五、链路捆绑
二层EC:ethernet channel：通过链路捆绑，提高带宽，同时实现冗余。
配置步骤:
      1.先关闭接口，配置完成后再打开。
      2.在接口下输入
         SW1（config-if）#channel-group 1 mode on
      3.配置channel 口
         SW1（config）#interface port-channel 1
         SW1（config-if）#switchport mode access
         SW1（config-if）#switchport access vlan x
      注意：至少要100M才能支持捆绑，最大可以支持八条捆绑。

ezsimple · 发表于 2012-8-2 12:05:11

本帖最后由 ezsimple 于 2012-8-2 12:26 编辑

BOOTCAMP53班-交换1-20120802

一、HSRP、VRRP
二、802.1x端口接入认证

一、HSRP、VRRP
HSRP（思科私有）：
      热备份路由器协议，HSRP为IP网络提供网络冗余，确保用户流量能立即并透明地恢复接入电路中的第一跳（网关）故障。
      一个HSRP组共享一个IP和一个MAC地址（IP不可与真实路由器IP相同）。每个router可以加入多个组。
      一个HSRP组由一台active router,一台standby router及other routers，HSRP组依靠HSRP hello来维持HSRP组关系。
      配置命令：
         MSW（config-if）standby 1 ip x.x.x.x
         MSW（config-if）standby 1 priority 105    //设置优先级为105（默认为100）
         MSW（config-if）standby 1 preempt    //开启抢占（默认关闭）
         MSW（config-if）standby 1 track fastethernet 0/15 10       //对接口f0/15（一般为上联接口）进行检测，
                                                                                                若接口发生故障，优先级降低10。
VRRP（公有协议）：
      虚拟路由器冗余协议，与HSRP原理相似。
      一个VRRP组共享一个IP和一个MAC地址（IP可与真实路由器IP相同）。每个router可以加入多个组。
      一个VRRP组由一台master router,一台backup router及other routers，VRRP组依靠VRRP hello来维持VRRP组关系。
      配置命令：
         MSW（config-if）vrrp 1 ip x.x.x.x
         MSW（config-if）vrrp 1 priority 105
         MSW（config-if）vrrp 1 preempt    //默认开启
         MSW（config-if）vrrp 1 track 1 decrement 10    //vrrp无法直接对接口进行检测，必须关联track来实现。

HSRP与VRRP配置上的区别：
      1、HSRP不允许虚拟路由器IP与真实路由器IP相同，VRRP允许。
      2、HSRP抢占默认关闭，VRRP抢占默认开启。
      3、HSRP可以直接对接口进行监测，VRRP必须结合track才能实现。

二、802.1x端口接入认证
   802.1x是一个基于端口的网络访问控制标准，为LAN接入提供点对点式的安全接入。802.1x标准定义了一种基于“客户
   端——服务器”（Client-Server）模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器
   的认证。在认证成功之后，通常的数据流便可在网络上通行。

Client端配置
Switch(config)#aaa new-model             //开启AAA功能
Switch (config)#radius-server host x.x.x.x key x       //指定服务器IP以及交互密钥
Switch (config)#aaa authentication dot1x default group radius none  //将dot1x认证与AAA关联，启用默认组，
                                                                                 认证方式为radius，若radius服务器故障则不做认证。
Switch (config)#dot1x system-auth-control          //全局开启dot1x认证
Switch (config)#interface fx/x
Switch config-if)#dot1x port-control auto             //接口启用dot1x认证

Switch#test aaa group radius username password new-code         //测试客户端与服务器端的交互。

AAA服务器上的设置
1.  服务器系统+认证服务软件（ACS）
2.  添加客户端
3.  选择使用协议
4.  设置认证用户名和密码

笑弦 · 发表于 2012-8-2 14:25:09

有这些笔记真好，彭健和俊杰辛苦了

账号		自动登录	找回密码
密码			立即注册

[BOOTCAMP] 福州 ASBOOTCAMP53班开营—20120726

浏览过的版块