思科CCNP培训日记全接触
==Day 1===
今天讲的是高级IP编址:
发现IPv6的地址确实有好多啊!平均到每个人头上有几百万亿亿个……足够用的~
2002开头的IPv6地址是为了转换v4用的,紧接着就是十六进制表示的v4地址;
对anycast有了一个比较感性的了解,意思是需要先将数据发往RP,然后再让目的主机到RP上来取;
详细讲了VLSM;并举案例来讲解如何合理为每个网段分配IP,先捡最大主机数的分,最后分/30的地址,并且这些/30的地址要从最后一组可用地址里面分出来比较好(不是最后剩下的那个大的网段哦,而是小的)(不会表达的说……)
会手动将路由进行汇总:ip summary 命令
默认好多路由协议都是auto-summary的,所以要想配Classless的必须先no掉这句;
RIPv1可以接受v1和v2信息,但是v2的不接受v1的,所以v1的路由不会分布到v2所在的路由器的;
然后就是各种路由协议的管理距离必须背会;
可以让静态路由来做备份路由,只需设置一个较大(比正在用的路由协议的AD大)的AD即可;
classful可以造成地址的浪费,万一一台路由器下的网段掩码不一致会导致汇总猜测时出错,还有不会逐个匹配(longest match)路由表中的路由,这样就导致本来发往自己直连的网段的路由被丢弃
还有一个,25系列不支持IPv
即将淘汰,因为即使刷了IOS也不支持IPSec
在网吧,没拿书和笔记,能想起来的就这些~呵呵~明天继续~有什么问题还请大家多多指正~
===Day 2===
今天讲的是EIGRP:
D.V.类型协议的最大缺点:产生环路;
EIGRP维护三张表,邻居表、拓扑表(是邻居表的一个子集)、路由表;
A.D.是邻居告给你它到目的地的距离,而F.D.是A.D.再加上你自己到邻居的距离;
Banwidth是路径出口到目的网段的最小带宽,注意:出口、最小(在一条路上取带宽最小的那条链路的带宽);
IGRP的metric乘256就成为了EIGRP的metric;
Banwidth=10的7次方除以带宽;
若想分析某个协议,则从此协议的包入手~;
hello包中的AS号和K的不相同时不能形成邻居关系;
建立邻接关系时使用的是接口的主地址;
show ip eigrp neighbors中的SRTT值是向邻居发个包多长时间能回来(收到ACK),RTO值是用来重新传输数据的间隔时间(当数据包没到时);
Update/Query/Reply是可靠性传输(需要ACK),而Hello和ACK不是;
重新传输数据是单播用滑动窗口(stop-and-wait)机制来重传的;
DUAL:扩散性的更新,Query可以一直往下传直到收到Reply为止;
当A.D.比successor路径的F.D.小时,才可以选为feasible successor;
水平分割等是使路由信息不向回发,而不能使包不向回发;
路由协议总是使用最优的路由,当主路径断掉是使用备份路径,一旦主路径恢复就要使用主路径,这点和OSPF的DR和BDR的选举有所不同;
当主路径断掉且没有可用的备份路径时,路由器成为ACTIVE状态然后发送Query,长时间没有得到Reply时就会处于SIA状态;
为断口配IP的意义有两点:一,给其一个地址;二,指定一个与其相连的网段;
使边界路由器自动公告网关信息给下面的路由器:ip default-network X.X.X.X(是主机地址,而不是网段地址);
边界路由其对自己的网段自动汇聚,并生成一项指向NULL0的静态路由;
不等路径负载均衡的条件有二:一、用来做负载均衡的链路下一跳路由必须是备份路由;二、可由variance调整乘数;
Query若不加限制,跨AS都有可能;
限制Query的两个方法:一、加一个汇聚的路由;二、使用stub命令;
只有一个出口的网络为stub(末端)网络;
===Day 3===
今天讲的是OSPF
SPT和SPF目的都是找到最短路径,只不过SPT是像行者背个包盖邮戳一样,是挑出来的(谁盖的戳最少),而SPF是算出来的;
OSPF使用Hello包找邻居,用LSA(LSU)来建立拓扑结构;
LSA分成不同的类型是因为网络的结构不同,用来简化LSA传递的信息的;
推荐OSPF的邻居不能超过50个,每条链路算一个邻居,冗余链路算两个邻居;
路由的两种方式:逐跳路由,按源路由(事先已经选好路径,实时性强);
RTP的功能和TCP差不多;
OSPF传各种包也在四层,用IP来封装(ISIS在2层,用frame来封装);
在LSU中包括了每条LSA,并没有LSA包;
LSR相当于EIGRP中的Query,LSU相当于Reply和Update;
当网络发生改变时使用组播,224.0.0.6,DR再分发使用224.0.0.5;
每条LSA都有序列号和寿命来保持是最新的,序列号范围:0x80000001--0x7FFFFFFF,之所以是从大到小是因为第一位是符号位;
寿命时1个小时,每30分钟更新一次;
当序列号达到最大时更新用寿命一个小时的先更新一下,使路由器把此条抛弃,然后再发80000001的;
给OSPF的网络分成BMA,NBMA,P2M,P2P等实质上是要确定是否自动选邻居,是否选择DR/BDR;
各种网络类型是自己配置的,只是OSPF的各种工作方式而已;
路由器的Priority的值范围是1--255;
ABR(与Area 0相连的)既维护费0区域的数据库又维护area 0的数据库;
LSA类型:T1是把好几个以太网连
接总结成一条,T2是把好几个路由器连接总结成一条,T3是传播外area路由的,T4是传播ASBR地址的,T5是传播外AS路由的,T7是NSSA中的T5变种;
===Day 4===
IS-IS
NSAP就是NET那一大串,格式:区域号(部分可自定).系统号(可以用MAC也可以自定).SEL(服务号,一般为00,代表主机,也可以用一些数字来代表不同的服务);
CLNS也是一种Routed的协议,和IP,IPX一个类型;
L1的路由器看不到L2层的LSP,反之可以,L1相当于OSPF里面的Totally Stub;
L1/L2的路由器上面运行两套SPF;
寻址时先找Area ID,然后是System ID;
Area ID不同时送往最近的L1/L2;
LSP中包括:PDU类型、长度、LSP的ID、序列号、寿命;
TLV是LSP的一个字段,包括:IS邻居,ES邻居,认证信息等;
ISIS中的broadcast和P2P的Hello包格式不同;
L1和L2层是独立的;
普通的router组播的LSP,当DIS收到后汇总再组播发下去,都是组播;
DIS下发用CSNP发送简要信息,下面的路由器收到经对比发现缺少的条目,通过PSNP请求DIS发送某连接的详细信息,然后DIS再以PSNP回应;
PSNP还可以作为ACK回应LSP;
Circuit ID用于识别每个端口,一个字节;
LAN ID是System ID.Circuit ID,用以指定L1/L2路有器相连的一个网段;
Metric默认为10;
使用default information original发送缺省网关。
===Day 5===
BGP
BGP选路基于策略,所以不一定能选为最优路径,所以在同一个AS内别用BGP,用IGP最好;
通过IGP学来的路由在表中存在,必须和路由表中的掩码一致,可用NEtwork命令使其发布;
在同一个AS内的Neighbor是IBGP的,不同AS的是EBGP的;
IBGP的Neighbor不一定是直连的,EBGP的默认一定要直连,不过可以用Mulitihop改;
BGP使用TCP来建立连接,所以BGP工作在第五层,OSPF/RIP/EIGRP/IGRP工作在第四层,IS-IS在第三层,直接把数据封装到frame里面去;
若一条路由是从BGP学来的直接转发;
BGP中的Network和IGP中的概念可是完全不一样的,IGP中是指定参与协议的端口,BGP中是指定要发布的路由(不管是直连的还是非直连的);
netowrk不是基于接口的,而是只要是邻居都发;
若一个路由器连入了公网,则上面运行的BGP的AS号需要申请;
若在一个transmit AS中有跨区流量,则必须把流量所经过的路由器全配上IBGP;
BGP的neighbor不是自动发现的,必须手工指定;
BGP属于path-vector的协议,路径靠AS号定;
BGP的信息类型:open keepalive update notification;
“水平分割”:每两台IBGP的路由
器均是p2p的关系,传递信息是只有一跳,不会给别的不是p2p的路由器,但EBGP可以;
EBGP通告路由时会把自己的端口地址作为下一跳地址发送出去,并在传进IBGP后不做任何改变;
汇聚时要手工配NULL0;
BGP不是比较metric的,而是比较属性的;
路由通过IGP学来的标识为i,EGP的为e,重分布的标示为?;
选路时选local preference高的,MED低的;
路有重分布时定义一个seed metric;
双向重分布时容易产生环路,次优路径;
当重分布IGP路由到BGP时使用路由过滤来保证安全性;
两个loopback的连接不视为直连,需要mulitihop才可以(neighbor ebgp-mulitihop);
BCMSN
===Day 6===
讲了园区网设计、VTP、VLAN、Spanning-Tree
设计网络要牢记的:性能、可扩展性、可用性;
网络设计的框架:AVVID(有效的集成语音视频和数据);
AVVID可分为三部分:1、基础架构:所有的硬件资源;2、智能服务:网络管理,高可用性;3、各种服务:IP电话等;
现今企业网模型是依据AVVID架构的:企业园区、企业边界、服务商边界;
在上述三个区域内实现三层分级模型;
电子商务:你的企业和商务伙伴的连接;
VPN:用于在公网上传私网信息;
企业边缘的组件:电子商务、连接Internet、远程接入—VPN、WAN;
三层交换机和路由器相比:低端的交换机不可以做NAT,不支持广域网接口,常用于Ethernet中,但是三层交换机的转发速率(pps)比路由器快得多;
从3500系列开始对Voice均有很好的支持;
STP收敛时间为50s;
一个VLAN=一个广播域=一个子网;
不同VLAN之间通信需要做路由;
本地VLAN:没有交叉,不需要Trunk;
建立VLAN的两种方式:Vlan database和Conf t/vlan XX;
VLAN database做完设置后一定要输入exit才能存进去;
VLAN排错:物理连接-->交换机配置-->VLAN的配置;
物理连接包括CDP,双工等;
Trunk是两个交换机之间的链路;
802.1p:802.1qTAG字段上的优先级;
Tunnel需要添加两个标签:企业内打一个标,运营商打一个标。可以通过运营商传VLAN,CDP/VTP/STP等信息;
native VLAN是802.1q独有的,为vlan 1,用来管理vlan;
ISL也会输出一些native vlan的信息,但是无任何意义;
VTP是CISCO专有的协议,用来管理VLAN的配置(相当于DRBDR);
VTP工作在trunk端口有VTP后可以在某台交换机(Server)上做出统一配置后下发到其他的交换机;
VTP不可以穿越路由器;
VTP的域名是区分大小写的;
VTP排错:是Trunk吗?-->域名相同吗?-->设置成透明了吗?-->同一域内交换机口令相同吗?
STP可以从逻辑上阻断环路,计算是否有环;
STP使用BID来选根(相当于路由器里面的router ID);
STP选择的过程:最低根的BID,去根的最低路径cost,最低发送者BID,最低端口ID;
Designed Port是Root Port的上级;
当拓扑发生变化时,RP会向上级DP发送一个TCN的BPDU,到了根后,根再下发BPDU,其他的受到后清空自己的MAC表,重新计算Spanning-Tree;
同网段谁的BID低谁成为DP,另一个为Block;
路由器除了广域网接口外,以太网接口均有一个MAC,三层交换机与其类似,二层交换机只有一个MAC。
===Day 7===
今天讲的是高级Spanning-Tree、CAM、TCAM、一些交换原理、VLAN间路由
默认情况下STP不用配为打开状态;
启动STP:spanning-tree vlan XX(由于思科使用PVST,所以STP树每个VLAN坑里种一棵~);
为VLAN调整STP的优先级:Spanning-tree vlan 200 priority XXXX(此处XXXX最好是4096的倍数);
默认每个VLAN的优先级=32768+VLAN号(e.g.VLAN11的默认优先级=32768+11=32779);
调整VLAN优先级的目的是调整root交换机所在的位置;
设端口的cost:在access口上:spanning-tree cost 18; 在Trunk口上:spanning-tree vlan 200 cost 17;
看STP:show spanning-tree vlan 200/show spanning-tree bridge;
CISCO交换机的几个特性:
一、BPDU Guard:在Postfast的端口上用,当交换机配了后,portfast端口上一旦受到别的交换机的BPDU,立刻Shutdown(防止接口连入交换机),必须手工恢复;
二、BPDU Filitering:和上面那东西的功能一样,但是不会shutdown,只是暂时关闭一段时间,一旦连入的交换机撤去,就恢复了;
三、BPDU Skewing:没在规定时间内收到BPDU时,会报错,这样会占用大量资源,使用Skewing可以控制不产生或少产生这些报错;
四、ROOT Guard:在DP端口上做,该端口就不会改变了,只会是DP了,这样可以防止新加入的交换机成为root,该端口就变成了永久的DP了,(show spann inconsistentport),若新加入的交换机想成为root,则它的端口不能工作,直到这个新交换机委曲求全做RP为止;
五、Unidirectional Link Detection:检验线路是否能进行双向通信,用于通信不能正常进行时,会把端口中断直到链路恢复正常了为止;
六、Loop Guard:防止一个阻断的端口由于链路不正常(不能双向通信等)接不到BPDU后变成转发,配了此项后,即使接不到BPDU也是阻断的(启用loop guard时自动关闭loop guard);
思科规定两个交换机之间用的STP跳数最
大为7,称为STP直径;
Gateway就是交换机上VLAN端口的IP;
CAM表:把源的信息(MAC+VLAN)放入Hash散列器中算,*算*出目标的位置,查找一张已经算好的表,然后发出数据,这个与MAC地址表是两张不同的表,这个是高端交换机上用的;
TCAM表:基于ACL,三层交换专用的表,主要是实现安全的;
这两个表在高端交换机中同时存在,先看TCAM表,若允许的话,再看(算)CAM表,然后发数据;
TCAM的几个部分:
V(patterns):模式 <范例> 内容;
M(掩码):确定检查哪些内容;
R(结果):permit or deny
中央交换是以前的技术,现在是分布转发(可达百兆PPS)、流交换(netflow),缓存2、3、4层信息,可提供记帐功能;
进程交换:每个包都处理,几千PPS;
ASIC交换:转发速率有极大提升,只处理第一个帧;
基于拓扑的交换CEGF:这个是软件的交换方式,工作在ASIC上;
交换机上多层交换不用手动配,都是配好的;
ARP Throttling:CEF交换中在ARP应答前会丢弃一些包,指向一个假的MAC,时间特别短;
一旦起路由就工作在CEF方式了;
多层交换机:三层:SVI端口:虚拟的、逻辑的、带配了IP的VLAN的接口、可为用户做网关;
Routed端口:可为其分配IP,可起路由协议,不属于任何一个VLAN,功能和SVI基本差不多;
配置Routed端口:ip routing-->no switport-->ip add-->路由协议;
VLAN间通信一般用三层交换机,比路由器转发速度快;
EtherChannel是把相同特性的一些端口捆起来,可以做负载均衡,(通常捆trunk);
===DAY 8-9===
这两天讲的是冗余HSRP、QOS、多播:
冗余:设备级的冗余:Router====router====router---------网络级的冗余:所有设备Full Mesh
超级引擎是交换机的核心所在;
65000的第一代引擎用RPR(路由处理器冗余),有独立的握手机制,两个引擎之间可以互相切换,现在用RPR+;
在超级引擎上安装着一块MSFC的路由卡(模块);
RPR的备份引擎是启动的,但MSFC和PFC不启动;
RPR+的备份引擎和MSFC和PFC都已经启动了;
RPR+的同步不支持VLAN DATABASE和SNMP所作的修改;
思科设备死之前会留下一个core dump的记录;
RPR+切换时FIB表清空,路由表有一个短时间的恢复(60s左右没有动态路由),但静态路由一直存在;
配RPR+:redudancy--->mode-rpr-plus--->show redundancy status;
IRDP就是用来主机和路由器之间相互发通告;
HSRP可以在Trunk上工作;
HSRP的状态:initial-->learn-->listen--->speak--->standby--
->Active;
在Speak时选ACTIVE,通告优先级;
HSRP接口跟踪:可监视出口链路的状态,一旦断掉,就调整HSRP的优先级
例:standby 47 priority 120
standby 47 track s0 50
此时s0一断,优先级自动变为120-50=70
然后s0正常了,优先级自动变回120
只适用于单出口的链路;
只有配置了抢ACTIVE时才会改变ACTIVE(standby 47 preempt);
HSRP可以解决使用proxy ARP和IRDP时延问题;
当ACTIVE连续三次没发hello(3s一次)时STANDBY就变成ACTIVE了
一个组内只允许一个ACTIVE和一个STANDBY;
思科的是HSRP,标准的是VRRP;
VRRP所有路由器都使用MASTER的IP地址,当MASTER断,其他路由器把自己的地址设为MASTER的,当恢复时MASTER又抢夺回原来的地址;
SRM可解决配置的复杂性,是冗余技术,无负载分担,勇于65内的两个模块的切换,而上述VRRP等都是用于多个路由器之间的;
配置SRM:redunancy--->high-ava--->single-router-m---->show redu;
多播:尽最大努力传输,无连接,适用于数字电视付费频道;
多播源可以是组的成员,也可以不是;
多播地址没有网络号之类的概念;
源树:每个源到目的都有一棵树,像PVST,系统开销大,路径是最优的;
共享树:多个源把数据发给RP,系统开销小,路径不一定优;
多播避免环路:RPF反向检查:包的源和接收到包的接口在路有表中一样时才组播出去;
PIM是一种多播路由协议;
PIM DM是源树的,SM是共享树的;
IGMP工作在多播路由器和主机间,用以交换组成员信息;
思科的Auto-RP可以让想成为RP的路由器将信息发给映射代理,然后再下发;
若在Cisco设备上,PIMv1和v2都有时,v2自动降为v1;
BSR不支持PIMv2;
看多播路由:show ip mroute;
RPF邻居就是上一跳;
(*.G)表示共享树,(S.G)表示源树;
看PIM:show ip pim int;
不压缩的语音数据为64Kbps;
IP电话可以用一个辅助VLAN,语音使用一个VLAN,数据使用一个VLAN,辅助VLAN的优先级高;
QoS的两个模型:集成服务&差分服务;
做QoS时先基于流量的特征进行分类,在网络边缘打上不同的等级标示;
NBAR:一个高级的分类手段,可用高层应用程序信息分类;
2层QoS:802.1p&CoS(TAG字段);
3层QoS:Ip precedence,DSCP(ToS字段);
排队技术是在拥塞的前提下的;
RTP协议是最高级别的,优先转发,作为EF,UDP范围16384--16384+16383;
WRR:加权循环队列,有4个,可手工分配某优先级去某队列,并在
出栈时可以确定一个分配带宽的比例;
使用伪丢弃(tail drops)可以造成大抖动;
使用WRED可以抓几个优先级低的包先丢,避免TCP同步;
队列只要不达到最满就不会出现TCP同步;
拥塞控制技术:流量整形:使流量稳定;
流量策略:把一些包打标,优先扔;
数据包分片:把包切成等长的碎片,传输间隔就稳定了;
作者: IT傻博士 发布日期: 2006-6-18
===DAY 10===
今天是BCMSN的最后一天,讲了QoS的命令、城域网以太、WRED、网络管理、网络安全等:
MQC是模块化的QoS;
使用MQC实施QoS:class-map-->policy-map-->service-policy;
在多层交换机上启用QoS:mls qos;
配信任的边界:mls qos trust (cos|dscp|ip predencel)信任入栈流量自身携带的优先级信息;
几个观察的命令:;
配置基于类的标签:(修改TOS字段)policy-map-->class-->set ip precedence;
NBAR:在应用层提供QoS:担保带宽,流量整形等;
配NBAR:class-map-->match protocol-->policy-map-->class-->service-policy;
路由器也可以处理三层以上数据,但速度很慢;
PBR是流量分类的手段,可用以作流量分标识;
默认情况下队列使用接口带宽不超过75%,可以改;
CBWFQ是MQC的一个子集;
以下是一堆乱78糟缩写的关系:
--------------------------------
WFQ---AF;
PQ------EF;
CBWFQ中可以包含LLQ;
LLQ----EF;
FIFO----默认,没有队列机制;
CQ----EF;
WRED-----可以用于CBWFQ;
--------------------------------
WRED千兆以上接口才支持;
交换机可以设WRED的两个最低门限,min1,min2,最高门限自动设;
路由器可以设一个最低门限和一个最高门限;
网络管理:
在正常是收集一个日志-->网络变化时要做测试-->意外现象记录--->分析网管系统所带来的负载-->监视网络性能(50%左右,不可长期超过80%)--->做一个升级计划;
SPAN交换机端口分析技术,需连接端口分析器;
SPAN可以监视会话、端口、VLAN、入栈(RX)、出栈(TX)、双向;
RSPAN:可以在一台交换机上监测别的交换机;
NAM是插在65上面的一个用来分析的模块;
SSH是用来替代Telnet的,Telnet建立连接是明文,SSH不是;
802.1X是基于端口的认证,WinXP上就有;
ACL在二层叫VACL,基于frame和VLAN的访问控制,在三层叫RACL;
城域以太:
private VLAN是Cisco私有的技术,运营上用以在同一个VLAN中互相隔离主机,管理复杂,扩展性不好;
PVLAN可分为主
VLAN和辅助VLAN,辅助VLAN可分为隔离VLAN和可交流VLAN;
PVLAN的端口:公共端口、隔离端口、可交流端口。隔离端口只能和公共端口通(只能有一个),可交流端口内部可通,和公共端口也通(可做多个);
城域传输技术:DWDM、SONET、CWDM;
SONET和SDH是一样的,叫的方法不同而已;
7600支持光传输和MPLS;
ISP之间可用DWDM;
在WAN上使用以太技术的好处:灵活的拓扑(p2p,p2m)、透明传输(ethernet本来就是用来船IP的)、服务质量级别、费用低、扩展性强、互操作性强;
两种城域以太:透明LAN服务(TLS):安全性极差(用户和ISP的VLAN相同),交换机互连,扩展性差(最多4096个VLAN);
直接VLAN服务(DVS):中间通过桥互连,用户和ISP的VLAN不相同;
SONET的带宽为51.84M的整数倍;
152系列是能提供DWDM的光交换机;
CWDM可复用出8个通道,传输距离太短。价格比DWDM低;
CWDM、DWDM在物理层实现冗余切换,小于50ms;
企业连入ISP时多个VLAN可使用802.1QinQ Tunnel技术连入ISP的一个VLAN,传到目的地时还原;
有QinQ会隔离不同企业的VLAN,但若ISP内部互连还会有环,所以还要考虑STP;
QinQ不传递STP,要想跨ISP建SPT要用LRPT;
QinQ不可路由,Cisco专有;
EoMPLS只支持p2p;
MPLS是基于标签交换,类似于二层交换,介于2-3层中间;
EoMPLS的关键设备是76,使用VC去识别不同的VLAN(超过了4096的限制);
MPLS中的Exp/Cos可以用来部署QoS,支持流量工程;
MPLS的标签可以堆栈,各表示不同的功能;
EoMPLS是P2P的,中间不能拐弯;
===DAY 11===
今天开始BCRAN~
大致讲了AAA和猫,对于猫考试不做要求:
A(验证)----你是什么---->A(授权)---你能干什么----->A(记账)---你干了什么;
Dialer是逻辑接口,独占的物理口;
交换方式:电路交换是要单独维护一条电路,成本高;包交换(VC),一条物理连路可以供多个VC用,允许数据突发;
同步:你发多快我就能收多快;
异步:每个字节要拿出1/8来用以同步;
128K以上定为宽带;
同轴电缆介质决定了它的共抢性;
双绞线绞起来避免信号串扰,线序是避免电磁干扰;
光线不能弯大角度(90度);
单模光纤:只传一种色光;
DS0就是64K的信道,按时隙分,叫时分复用(TDM);
中国的ISDN走E1标准;
PPP最大的好处是压缩、验证;
CDP是2层偏上的协议,底层需要支持SNAP;
line protocol down:验证不通过,压
缩不行,二层封装协议不一样;
PPPoE验证协商是在二层的,三层不通二层也能成功;
实施网络第一考虑:可行性(可用性);
WDM在单模、多莫中都可以走,是上层的技术(DL层);
交互的流量(interactive):专访Router的流量(如telnet router等);
传输的流量:通过路尤器在两个节点间传数据;
AA默认都认证,不认证需手工指定,验证完需授权;
本地验证:PAP,CHAP;
通过ACS服务器验证:RIDIUS,TACACS+;
从内网路由器访问modem叫反向telnet,从外网访问猫叫正向tennet;
where命令=show session命令;
可以在路由器上和猫连的口上虚拟一个口,int async X;
===DAY 12-13===
这两天讲了PPP、ISDN、FR:
PPP为二层协议,解决了点到点通信;
CDP在二层偏上,能被NCP支持;
HDLC的基本功能和PPP差不多,但缺少很多东西(如认证等);
一般在串口上封装PPP,在以太口上封装需要启用逻辑接口(PPPoE等);
Cisco默认封装格式为HDLC,华为的是PPP;
PPP会话:传输。(dedicated);
Exec会话:交互。(interactive);
PPP LCP:认证、callback(安全性)、压缩、multilink(负载均衡);
没起AAA时PPP不认证;
PAP不要求两端密码一致,而CHAP反之;
ppp authencation pap chap意思是PAP若超期未响应就起CHAP;
VPN的三性:可验证性、完整性、保密性;
加了密,压缩过的数据别再加密、压缩;
ISDN:
参考点就是一根线,功能组就是一个设备;
ISDN能够支持HDLC,但HDLC不能验证、压缩等;
美版对每条B信道均有SPID号,用以衡量线路;
Call ID:基于对端二层电话号码;
Call Party:相当于呼叫转移,若answer1忙,自动转接到answer2;
---------isdn answer1 XXXX
---------isdn answer2 XXXX
P2M时若对端不相同要用dialer profile;
backup interface当主链路断,副链路会启用;
FR:
FR的二层地址为DLCI,ISDN为电话号;
映射可手工也可LMI;
LMI:维护链路状态&进行IARP;
IOS12前LMI的类型需要手工指定;
LMI类型:ANSI、ITU-T、CISCO;
keepalive是LMI发的;
IARP是IP到DLCI的映射;
DLCI号为电信确定;
在hub&spoke模式中spoke点要互通需先到hub点;
全F的广播地址是本地的;
FR的DCE是二层的,Clock rate的DCE是1层的,两者无必然关系;
P2P子接口:浪费IP&中心点配置麻烦(每添加一个spoke都要进行配置);
P2M接口防环在hub端关水平分割,
在spoke上开;
流量整形:不传输大于对端带宽的多余数据;
BECN可以把速率降低,进行流量整形;
队列深度:还有多少数据在排队;
backup写在主端口上,指明副端口;
尽量不要把物理口设成Backup,要设计在逻辑口上;
backup只能配在一端,不能两端都配;
在OSPF中负载均衡时要把链路的cost之设成一样大;
===DAY 14===
今天讲了WAN口的QoS、Broadband、NAT:
讲的东西概念性的不多,理解性的多,broadband考试不是重点:
FIFO的队列深度在高带宽口上总为0;(10M以上的口)
LLQ综合了PQ和CBWFQ的特点;
10M口(含)以上就应该用FIFO了;
二层frame一般不拥塞,有可能不设CoS位,但Trunk上有;
FIFO看第一个bit在哪,先到先出;
WFQ看最后一个bit到达的顺序,让小包先传;
小数据包有小权值,多个包最后一个bit位置相同时小的先出;
WFQ对延迟敏感性不大;
ISDN multilink是自动为no fair queue;
CBWFQ:人为的WFQ,按自己需求定义class,赋予权和每个可分配带宽的比例,虽然提供了64个class,但至少要留出一个来作为默认class;
IP precedence:第四级是video,第五级是voice,第六级是路由信息,第七级是keepalive等;
CBWFQ可以嵌套WFQ等;
bandwidth不是用来限速的,只是指定传出的数据包多少,也限不了速;
CQ大队列里面包含小子队列;
压缩两面都是passive时第一个包不被压缩,后续的包都被压缩;
看压缩:show compression;
NAT:inside source:由内网发起-----inside local/global address;
NAT:outside source:由外网发起---outside local/global address;
Overlapping发生在公司并购时;
overload(多对单、多对少)是随机端口号,而PAT是指定的;
debug ip nat时带“*”的是走缓存的,其他的是走CPU的;
NAT变动时需先清空缓存,再作修改;
cable在小区内是共抢链路;
VDSL是Cisco专有的;
DSL和Cable均是一层技术;
===DAY 15===
今天讲的内容是VPN和DSL的配置,BCRAN的最后一天:
ATM的PVC标识要在全局唯一,而FR不是;
PPPoE在ATM上面;
普通数据在VPDN中走要加8byte,所以MTU要设为1492;
MTU 1500是IP的,1518是二层frame的;
FR的frame不一样长,而ATM把数据剁成48byte段再加上5byte的头,共53byte,是固定的,可以用硬件来匹配,所以速度可达155M,而FR只能达到1.544M;
PPPoA是modem拿自己当router,而PPPoE是modem拿自己当host;
VPN:低廉的价格、专线的速度和
保密性、高灵活性,而FR不行;
Tunnel技术使VPN灵活性加大,对公网透明;
先加密--->进隧道--->出隧道--->解密 明文只在两端和私网中出现;
远程VPN(移动用户)在需要时拨号;
VPN可以在很多层内出现:应用层(SSH、S/MIME)、传输层(SSL)、网络层(IPSec--企业级加密,任何流量均加密)、DL层:可以加密,但是太繁琐;
防火墙上加VPN速度极慢;
GRE/L2TP/IPSec自己就是隧道;
IPsec只对IP单播加密;
L2TP和GRE先将多播、非IP等全包成单播,然后再交给IPSec;
三层上跑IPSec,二层FR/DSL都无所谓,但是用专线那纯属有病;
密钥交换的方式:人为、公/私钥(Diff-Hellman)、CA服务器产生;
Hash可以用来验证完整性,也可以用来加密,主要用于完整性验证;
两种VPN模式:Tunnel:把IP包头和数据都进行保护,再加一个新的IP包 头;
-----------Transport:只保护数据,原IP包头不变;
preshared key是用来验证ISAKMP通信的,不是用来加密的;
若数据该加密的没被加密则被路由器丢弃;
要先证明链路是通的,再去做VPN;
感兴趣流量传出要加密,非感兴趣的不加密,要求两边均用扩展ACL,定义对等的感兴趣流量;
===Day 16-20===
CIT,网络故障排除。
这个与其他科目比理论东西较少,实际东西较多,这一点从书的本数上也看得出来,就不细说了。�