Wednesday, March 14, 2012

CCIE Feature Summary


directed-broadcast  定向广播
  默认,路由器丢弃广播
  但有些应用需要路由器转发广播,例如:DHCP服务器在远程网络
 接口上手工开启转发广播的功能
    accesslist 10 permit any
    interface f0/0
    ip directed-broadcast 10
 

 广播转发到哪里呢?
   例子:本地10.1.1.0/24  广播为10.255.255.255  , DHCP服务器地址 192.168.1.100/24
   
dhcp服务器网段的广播地址为192.168.1.255   ,所以要在接口上定义 转发到哪里

  单播转发给DHCP服务器
     intface f0/0
       ip helper-address 192.168.1.100
 *接口默认只转发通过的协议  (没有的协议默认不转发,自己加协议和端口号)
     TFTP 69    DNS 53      TS 37  NNS 137 NDS 138  BPCSD67 68  TS 49
   R1(config)ip forward-protocol udp 3001
————————————————————————————
DHCP
   windows主机使用DHCP获取地址时: 先发一个广播,等待1秒没应答,发送第二个,等9秒无应答发送第三个,
等待13秒无应答发送最后一个,等待16秒后,四个广播包都没应答,放弃请求
网卡自动配一个私有IP(169.254.0.0/16网段),网卡图标黄色感叹号(受限制连接),此时出现DHCP服务器也救不
了这台主机
   CISCO做DHCP客户端,会一直等待。直到出现DHCP服务器分一个IP, 有使用限制的,租约时间。时间过去一半时
续约,续约不成的话,75%再续约,还不成就放弃使用此地址
    
  配置    R1—–R2
    R2(config)service dhcp
                ip dhcp pool ccie1
                network 10.1.1.0 255.255.255.0      可供客户使用的地址段                           
                default-router 10.1.1.1             网关              
                dns-server 10.1.1.1 10.1.1.2        DNS
                ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1到10.1.1.10的地址
                lease 1 1 1                         租约1天1小时1分钟
      
     客户端
     int f0/1
        ip address dhcp     
 *服务器从哪个接口受到请求,就将相同网段地址发给客户端,如果没有相同网段就丢弃请求包
————————————————————————————
DCHP中继  
        10.1.1.0/24    23.1.1.0/24    34.1.1.0/24
     R1————-R2————-R3————–R4
    client                                        server

R1发送广播请求DHCP服务器,但R2默认丢弃广播,R4收不到请求广播
 解决:DHCP中继,让R2单播发送给R4

   R2
     interface f0/0
      ip helper-address 34.1.1.4
   
  R4
     service dhcp
   
     ip dhcp pool ccie1
     network 10.1.1.0 255.255.255.0
     default-router 10.1.1.2  (R2)
     ip dhcp excluded-address 10.1.1.1 10.1.1.10
  
     ip dhcp pool ccie2
     network 34.1.1.0 255.255.255.0
     default-router 34.1.1.4
     ip dhcp excluded-address 34.1.1.1 34.1.1.10
 
 *为什么不将接受请求的接口网段地址发给客户端?
    因为一个option82选项 在中继后自动添加
    dhcpd:setting giaddr to 10.1.1.1
  服务器要有到10.1.1.0的路由
   R4   ip route 10.1.1.0 255.255.255.0 34.1.1.3
不同vlan分配不同ip
  不同地址池
  interface vlan 10
  ip helper-address X.X.X.X
————————————————————————————
IP与MAC地址绑定
   只有相应的MAC地址才能获取相应IP
   为一个ip单独创建地址池 host pool
  ip dhcp pool ccie
  host 10.1.1.100/24
  client-indetifier 01aa.bbcc.ddee.ff   *MAC前加01表示以太网
————————————————————————————
DHCP安全ARP
      R3  DHCP server
       |10.1.1.1
       |
       |
       |
       SW———R2 欺骗者
       |           冒充10.1.1.2
       |
       |
       |10.1.1.2
       R1  DHCP client
 R1的ip和mac绑定了,R3正好刷新了MAC表
 R1断开了 R2冒充
 定期ARP讯问 10.1.1.2 是否还存在 ,只有R1能回答
 两个feature
   update arp 地址池下开启,定期讯问客户端
   Authorized ARP  接口下开启,禁止通过ARP更新和学习MAC地址
配置
  ip dhcp pool ccie
   update arp
 interface f0/0
   arp authorized    禁止动态更新ARP
   arp timeout 60    60秒无应答删除ARP条目
————————————————————————————
DHCP监听 (禁止不合法的DHCP服务器提供服务,在交换机上完成)

                             10.1.1.1
     R1————-SW————-R3————Internet
    client               |           server
                               |
                              |20.1.1.1
                             R2
                  冒充DHCP server 
  R2冒充服务器发20.1.1.0/24的地址       * DHCP用先到的地址  , arp用后到的   

配置 
   SW   ip dhcp snooping
        ip dhcp snooping vlan 1
     将连接真正DHCP服务器的接口变为信任接口 (默认都为不信任接口)
        interface f0/0
           ip dhcp snooping trust
 *只有信任接口可以应答DHCP请求,其他接口丢弃
还得让R3对giaddr为 0.0.0.0的请求做应答(SW开启DHCP snooping后默认开启中继)
* R3 ip dhcp relay information trusted
————————————————————————————
ip accounting 记账
  记录通过路由器的流量
  *只能记录从接口出去的流量!! 
  *只记录转发的流量 (自己发出去和发给自己的流量,不能记录)
  interface f0/0
   ip accounting
————————————————————————————
NetFlow
   在ip accounting基础上增加附加功能,不仅可以看到数据量,还能记录出协议

 配置条件:
    开启路由功能
    开启CEF

 基于接口开启
  R1 interface f0/0
       ip flow ingress
     定义远程采集主机(最多两台)
      ipflow-export destination 10.1.1.2 9991     定义远程ip地址,设备将抓取远程主机通过的数据包(默认端口UDP 9991)
     ip flow-export source f0/0   配置数据包源地址
     ip flow-export ver 9       全局定义NETFLOW版本
————————————————————————————
GLBP
      组IP映射到多个MAC,  所有成员都能为用户提供数据转发,实现负载均衡
     组内成员间有HELLO(3S)交流,组播地址224.0.0.12 ,UDP 3222
 选择一台路由器做 active virtual geteway AVG, 其他路由器做AVG备份
 AVG任务:为各成员分配虚拟MAC

 为用户转发数据的路由器 称 AVF
 AVG也是AVF
配置
    interface F0/1
     glbp 10 ip 10.1.1.100   组10  虚拟ip 10.1.1.100
     glbp 10 priority 200         优先级200 使其成为AVG, 默认100
     glbp 10 preempt             配置抢占
     glbp 10 weighting 200        配置权重,影响分担流量
     glbp 10 weighting track 1 decrement 30  配置监控信息
show glbp
配置GLBP认证
    interface f0/0
      glbp 10 authentication MD5 key-string cisco
————————————————————————————
SLA
 测量网络延迟和性能
R1———R2 ———–R3
测 R1 到R3
R1(config)ip sla monitor 1  定义会话号码 1
            type tcp-connect dest-ipaddr 23.1.1.3 dest-port 23 source-ipadde 12.1.1.1
                                     定义数据类型为TCP 23
            frequency 60   定义频率 60秒一次
     ip sla monitor schedule 1 start-time now life forever 定义会话发起时间为现在,无人工干预永不停止
R3   **   ip sla monitor responder
show ip sla monitor statistics
—————————————————————————————————–
NTP
 stratum  时间精准度高低。  stratum越小 ,精准度越高   默认8
 cisco既可作NTP 客户端,也可以做NTP服务器端
服务器
 先配时区,再配时间
   R1(config) clock timezone GMT +8
   R1#clock set 20:20:00 1 oct 2008
 * R1(config)  ntp master 5                      stratum为5
 * R1(config)  ntp source loopback 0             配置NTP数据包源地址
   R1(config) ntp authenticate                      开启认证
   R1(config) ntp authentication-key 1 md5 cisco    定义KEY1密码
 * R1(config) ntp trusted-key 1                     使用key1 
 
   show clock
  
NTP client
   R3(config) ntp server 10.1.1.1
   R3(config) clock timezone GMT +8
   R3(config)ntp update-calendar                 更新硬件时钟
   R3(config)ntp authenticate                    开启认证
   R3(config)ntp authentication-key 1 md5 cisco
   R3(config)ntp trusted-key 1
 * R3(config)ntp server 10.1.1.1 key 1           打开对服务器的密码使用,发送给服务器的数据携带密码
show ntp status
—————————————————————————————————
Syslog and local logging
logging  记录设备上发生的事件 
 事件有等级之分 0 1 2 3 4 5 6 7  八个级别。  指定5,那么0到5 都会记录
  0表示最严重事件

  将事件记录到设备本地存储器中,称为buffered  ,也可以记录在远程服务器
  记录在远程,设备无法控制服务器大小
  记录在本地可以定义存储器空间 默认4096bytes(自上而下,由老到新)
  需手工告诉设备将时间写出本地时间
 R1(config)logging on                        开启logging服务 (默认开启)
 R1(config)logging buffered                  开启本地记录
 R1(config)logging buffered 9090             制定本地存储器空间大小 Byte
 R1(config)logging buffered errors           定义存储日志级别 3    记录0 到3 (默认7 debugging)
 R1(config)logging console                   定义console下弹出日志
 R1#terminal monitor                         定义telnet方式登录设备时也能看到弹出日志(默认关闭)
  R1(config)logging monitor errors           定义传到telnet下的事件等级为3 errors
 R1(config)service timestamps log datetime msec show-timezone localtime  定义时间 (默认非本地)
syslog
      将事件记录到远程服务器上
     定义服务器ip,
     知道远程存储类型,称为facility    local0    local1  local2  local3  local4  local5   local6  local7
      八个类型 默认  local
    R1(config)logging host 10.1.1.1          定义远程服务器ip
    R1(config)logging facility local6        定义远程存储类型local6 
    R1(config)logging trap 7                 定义发生到远程服务器事件等级  默认6
—————————————————————————————————–
FTP&TFTP
  配置FTP服务器  (需要IOS支持)
      router(config) ftp-server enable        开启ftp功能
      router(config)ftp-server topdir flash:abc.bin     指定ftp共享目录
  将cisco设备配置为FTP client
     router(config)ip ftp username ccie
     router(config)ip ftp password cisco
  配置为TFTP服务器
   router(config)tftp-server flash:abc.bin
—————————————————————————————————–
SNMP
   SNMP工作在网络设备和网络管理软件之间
     配置了SNMP的设备称 SNMP代理
     装了管理软件的主机 称为 SNMP管理
   SNMP代理将自己的状态信息发送给SNMP管理, SNMP管理将信息以图形化界面汇报给用户.
  SNMP管理上相关软件 称NMS 网络管理系统
 SNMP代理使用UDP 162   ,SNMP管理使用UDP 161

  一个完整的SNMP包含三个组件
         1.SNMP代理
         2.SNMP管理
         3.MIB
   MIB : SNMP代理的所有信息,全部存储在MIB里,发给SNMP管理
  SNMP代理使用两种数据包发MIB:1.trap  2.informs
   区别:  trap :当设备发生各种事件后,产生的MIB,SNMP代理主动发给NMS,不需要NMS请求,不需确认,发完立
           即删除
            informs :但发生事件后,不会主动通告,除非NMS发request查询,发完存在内存里。需要确认。更可靠
  网络管理员还可以通过NMS来更改设备配置,查询设备信息,发送GET  ,更改设备配置称为SET
——————————————————————————————-
SNMP版本
三个版本 :V1 V2 V3
 验证方式不同:
     V1,V2: 使用密码(密码分权限 community),还可以通过ACL
     V3:提供用户名密码的方式 支持MD5
MIB
  接口信息在MIB中分三类:
      1.ifindex(接口索引),是接口在MIB中区分的唯一性方法
      2.ifalias(接口别名) 用户给接口定义的名称
      3.ifname (接口名)   接口原名
 
Event MIB (MIB事件)
MIB认为设备上的软硬件在多大的范围内变化可被认为是事件发生,采集方法分三种:
 absolute pampling  绝对采集
 delta sampling  相对采集

 changed sampling 变化采集
配置
  
 R1(config) access-list 10 permit 10.1.1.2    只有10.1.1.2 才能访问
 R1(config)snmp-server community cisco rw 10     ACL10 通过的主机 密码cisco 权限 读写
 R1(config)snmp-server enable traps bgp     配置trap(也可用informs代理)记录BGP事件,无BGP
                                                          记录所有事件
 R1(config)snmp-server host 10.1.1.100 version 2c cisco bgp  (必须已配置trap)
                配置主机10.1.1.100使用密码cisco  并且向主机发送BGP事件,SNMP版本为2c
             //配完trap后,相应事件不会对SNMP管理反馈,必须手工指定
    
 R1(config)snmp trap link-status   监控接口状态
 R1(config)snmp-server system-shutdown   配置NMS重启设备的权限(默认不可以通过NMS重启设备)
 R1(config)snmp-server ifindex persist  接口与MIB绑定
 R1(config)snmp mib persist  MIB所有信息均绑定

No comments: