DREW德鲁

• 每个AS都有大量的VPN路由需要交换时，ASBR就很可能阻碍网络进一步的扩展。• 解决上述问题的方案是：ASBR不维护或发布VPNv4路由，PE之间直接交换VPNv4路由。• ASBR通过MP-IBGP向各自AS内的PE设备发布标签IPv4路由，并将到达本AS内PE的标签IPv4路由通告给它在对端AS的ASBR对等体，过渡AS中的ASBR也通告带标签的IPv4路由。这样，在入口PE和出口PE之间建立一条LSP；• 不同AS的PE之间建立Multihop方式的EBGP连接，交换VPN-IPv4路由；

OptionB• 跨域VPN-OptionB中，两个ASBR通过MP-EBGP交换它们从各自AS的PE设备接收的标签和VPN-IPv4路由，而不需要运行VPN实例• 通过对标签VPN-IPv4路由进行特殊处理，让ASBR不进行VPN Target匹配把收到的VPN路由全部保存下来，而不管本地是否有和它匹配的VPN实例。• 优点是所有的流量都经过ASBR转发，使流量具有良好的可控性，但ASBR的负担重。可以同时使用BGP路由策略（如对VPN Target的过滤），使ASBR上只保存部分VPN-IPv4路

• 跨域VPN-OptionA方式需要在PE和ASBR-PE上分别配置VPN实例，前者用于接入CE，后者用于接入对端ASBR-PE• 在PE和ASBR之间运行MP-IBGP协议交换VPN-IPv4路由信息。两个ASBR之间可以运行普通的PE-CE路由协议（BGP或IGP多实例）或静态路由来交互VPN信息；但这是不同AS之间的交互，建议使用EBGP• 优点是配置简单：由于ASBR之间不需要运行MPLS，也不需要为跨域进行特殊配置。• 缺点是可扩展性差：由于ASBR需要管理所有VPN路由，为每个VPN创建

有类及无类路由查找方式CISCO 路由器在路由的全局查找上有两种方式：有类（Classful）查找方式及无类（Classless）查找方式。当路由器执行无类别路由查找时（默认，ip classless），它不会注意目的地址的类别，它会在目的地址和所有己知的路由之间逐位(bit by bit)执行最长匹配；而如果是有类路由查找（no ip classless 且关闭 ip cef），那么收到一个数据包时，路由器先查找目的地址所属主类，如果路由表中有主类路由，则再去找子网，如果有子网路由，则查询被限定

当主用网关活动的时候，就会在主用网关产生这条路由。重分布到内部动态路由协议以后，内部路由器就会学到这条路由。同理，如果备用网关为活动，内部路由器就学到这样一条路由。由于同一时间只会有一个活动网关，也就只会产生一条路由，内部服务器同时也就只能学到一条路由，因而并不存在同时从主备用网关学到路由的问题。HUBip route 0.0.0.0 0.0.0.0 202.100.1.1ip access-list extended VPNpermit ip 1.1.1.0 0.0.0.255 2.2.2.0 0

DPD 工作模式DPD 有周期性工作模式和按需工作模式两种。1．周期性工作模式周期性 DPD 会设臵一个定时器，路由器会按照这个定时器所设臵的时间周期发送DPD 数据包（除非这台路由器收到了源自于对端的 DPD 数据包）。使用周期性 DPD 的优势在于，能够更快地检测到有问题的对等体。然而，这样频繁的周期性的发送 DPD 数据包，会消耗较多的设备资源和网络资源。2．按需工作模式DPD 按需工作模式是 DPD 的默认工作模式。在这种工作模式下，DPD 信息会基于流量形式的不同而采取不同的发送方式。

相比 GRE over IPSec 技术，VTI 技术减少了每一个包中 GRE 头部的 4 个字节，所以每一个包能够承载更多的数据。当然，由于虚拟隧道口的存在，VTI 也同样能够解决经典配置 IPSec VPN 中存在的三大问题。Virtual Tunnel Interface（VTI）技术分为如下两种类型： 静态 VTI（Static VTI，SVTI）； 动态 VTI（Dynamic VTI，DVTI）。1 ．配置 IPSec ProfileSite1(config)#crypto isa

一、GRE1,部署GRE隧道2，开启全局组播，并通过GRE隧道建立PIM邻居3，指定RP，全局可路由地址4，将组播数据流量引入到隧道二、MDT1，运营商内部开启PIM-SM模式，指定RP2，在PE的VRF下定制MDT （会自动产生一个隧道，源地址是BGP的更新源，目的地址为指定的组播地址，不可人工操作，如果需要指定更新源，需要输入BGP NEXT-HOP 命令），此时会同时形成多颗SPT树，每一个PE都是这个组播的接受者和发送者，PE和PE之间会通过隧道建立PIM邻居关系3，在PE上开启基于

GRE over IPSEC在IPsec构建的VPN网络上传输这些数据就必须借助于GRE协议，对路由协议报文等进行封装，使其成为IPsec可以处理的IP报文，这样就可以在IPsec VPN网络中实现不同的网络的路由使用场合总部与分支机构跨越Internet互联。总部与分支机构之间的路由协议为动态路由协议。1,配置GRE[AR1]int t0/0/0[AR1-Tunnel0/0/0]ip add 10.1.1.1 24[AR1-Tunnel0/0/0]tunnel-protoco gre[

GRE over IPSEC在IPsec构建的VPN网络上传输这些数据就必须借助于GRE协议，对路由协议报文等进行封装，使其成为IPsec可以处理的IP报文，这样就可以在IPsec VPN网络中实现不同的网络的路由使用场合总部与分支机构跨越Internet互联。总部与分支机构之间的路由协议为动态路由协议。Site1(config)#interface tunnel 0Site1(config-if)#ip address 172.16.1.2 255.255.255.0Site1(config

控制层面VPLS可以仿真一个LAN或者一台交换机的工程，交换机具有的功能，VPLS同样具有，唯一不同的是VPLS中的环路避免并不依靠生成树协议，而是依靠水平分割原则。数据层面被传输的数据看上去和在ATOM中的以太帧一样，有两个标签被添加到以太帧中，顶部标签标识了该帧所属的隧道（LSP),底部标签是VC标签，用于标识伪线。VPLS信令VPLS要求PE路由器之间必须通过伪线来形成全互联。信令的作用就是创建，维护和拆除伪线，在VPLS中有两种信令，分别为LDP信令和BGP信令。其中LDP信令需要在VPL

架构L2TPV3与ATOM不同的是,L2TPV3基于IP核心网络，而不是MPLS核心网络，ATOM则基于MPLS核心网络控制层面LCCE（运营商边缘设备）之间通过三次握手建立TUNNEL，并用HELLO包维护邻居关系，并且在隧道中可以支持认证TUNNEL建立完成之后,LCCE之间可以通过IC报文来建立SESSION使得用户可以在这个伪线上传递数据数据层面L2TPV3的数据包由以下四个部分组成1 Delivery Header:穿越骨干网的原始IPV4数据包2 L2TPV3 Session H

ATOM数据层面入栈PE从CE处收到一个数据帧后，他将会通过MPLS骨干网将该帧转发到出站LSR上，同时携带两层标签：隧道标签和VC标签伪线中的信令PE路由器之间使用LDP会话来传递伪线中的信令，LDP创建并维护着PE之间的伪线在LDP通告的标签映射的信息包括以下TLV1伪线标识符（PW ID) FEC TLV1.1 C-bit置1说明存在一个控制字段1.2 PW类型表示伪线类的型的字段1.3组ID标识了一组伪线1.4 PW ID标识伪线1.5 接口参数描述一些接口的特有参数

• 各AS内的MPLS骨干网上分别配置IGP协议，实现各自骨干网ASBR-PE和PE之间的互通。• 各AS内的MPLS骨干网上分别配置MPLS基本能力和MPLS LDP，建立LDP LSP。• 各AS内，PE与ASBR-PE之间建立MP-IBGP对等体关系，交换VPN路由信息。• 各AS内，与CE相连的PE上需配置VPN实例，并把与CE相连的接口和相应的VPN实例绑定。• 各AS内，PE与CE之间建立EBGP对等体关系，交换VPN路由信息。• 配置OptionC方式的跨域VPN：各AS的PE和A

• 各AS内的MPLS骨干网上分别配置IGP协议，实现各自骨干网ASBR-PE和PE之间的互通。• 各AS内的MPLS骨干网上分别配置MPLS基本能力和MPLS LDP，建立LDP LSP。• 各AS内，PE与ASBR-PE之间建立MP-IBGP对等体关系，交换VPN路由信息。• 各AS内，与CE相连的PE上需配置VPN实例，并把与CE相连的接口和相应的VPN实例绑定。• 各AS内，PE与CE之间建立EBGP对等体关系，交换VPN路由信息。• 配置OptionB方式的跨域VPN：ASBR-P

• ASBR之间使用OSPF要关闭DN检测，发出的LSA DN不会置位，部分LSA 会变成五类LSA ，注意DOMIN ID和shamlink的结合可以还原LSA• ASBR之间使用BGP需要注意发送扩展团体属性，在各个VRF地址族宣告邻居• 另外在ASBR之间一般会使用子接口方式，每个子接口绑定一个VPN实例域间ASBR上R4(config)#ip vrf CISCOR4(config-vrf)#rd 1:1R4(config-vrf)#route-target 1:1R4(config-v

FTP采用两个TCP连接：控制连接和数据连接。其中控制连接用于连接控制端口，传输控制命令；数据连接用于连接数据端口，传输数据• FTP数据连接的建立有两种：主动模式和被动模式，两者的区别在于数据连接是由服务器发起还是由客户端发起• 控制连接使用TCP端口号21；数据连接使用TCP端口号20FTP双TCP连接方式• 控制连接• 用于在FTP 客 户 端和FTP 服 务 器之 间传输FTP 控制命令及命令执 行信息。控制 连 接在整个FTP 会 话 期 间 一直保持打开• 数据连接• 用于 传输

1、 SCP：Secure Copy Protocol 安全复制协议2、 SCP通过认证的方式为Cisco设备的配置和映像复制提供安全，这种安全是基于SSH的。3、 在配置SCP之前，必须配置SSH，认证和授权。正因为有了SSH和AAA这样的机制所以能够确定用户是否是合法的。1、案例配置拓扑2、 在R1上配置SSH：R1(config)#hostname R1R1(config)#ip domain name www.cisco.comR1(config)#username ccie pri

一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流，且所有数据包具有共同的传输层源、目的端口号。数据采集针对路由器送出的NetFlow数据，可以利用NetFlow数据采集软件存储到服务器上，以便利用各种NetFlow数据分析工具进行进一步的处理。Cisco提供了Cisco NetFlow Collector（NFC）采集NetFlow数据，其它许多厂家也提供类似的采集软件。思科3、 在R1上配置Netflow：R1(config)#ip cefR1(config)#f

理论SNMP的作用：1、 SNMP是简单网管协议，可以为网管软件提供图形化界面网管能力；2、 SNMP提供给用户进行网络管理时，权限分为读和写，可以分别设置；3、 SNMP有3个版本v1、v2c和v3，其中v1和v2c只拥有密码而v3提供用户名和密码配合的认证方式；4、 SNMP中的组可以将一些策略相同的用户进行统一操作；1.6 SNMP命令SNMP命令包括：snmp-server communitysnmp-server contactsnmp-server enable traps

Syslog 用于查看日志消息的应用Severity:日志等级0 Emergency1 Alert2 Critical3 Error4 Warning5 Notice6 Informational7 Debug思科R1(config)#logging console开启CONSOLE接口的日志R1(config)#logging monitor在TELNET时显示日志消息R1#terminal monitor打开路由器对终端界面的日志记录功能R1#show logging

NTP 时钟同步协议网络时间协议（Network Time Protocol，NTP）是以交换封包把两台电脑的时钟同步化的网络协议。NTP使用udp123作为端口。思科R1(config)#clock timezone UTC +8修改时区R1#clock set 11:11:11 21 jan 2020修改时间R1(config)#ntp master设置为时间同步服务器R2(config)#ntp server 1.1.1.1设置此设备为时间服务器的客户端，1.1.1.1为服务器的地

路由协议的作用路由器通过直连路由了解连接在本地的网络通过静态路由、动态路由协议等方式了解非本地直连的网络动态路由协议使得路由器可以感知网络变化情况，从而自动修改路由表路由器通过不同的方式来选择最佳无环路径转发数据包算法进行分类距离矢量协议确定到网络中任意网络的方向和距离。仅能标识出目的网络的方向和距离。EIGRP协议RIP协议• 1距离，就是度量办法，比如跳数• 2矢量就是方向、接口、下一跳采用了复合度量值的算法，使得更多性能参数被纳入选路的考虑范围链路状态协议使用SPF算法创建

网关进行地址转换（NAT）路由器的处理流程从内到外是先进行路由查找，再做NAT转换；从外到内是先转换再路由.NAT（网络地址转换）R1(config)#ip access-list standard NAT 定义转换的私网地址R1(config-std-nacl)#10 permit 10.1.0.0 0.0.255.255R1(config)#int e0/0R1(config-if)#ip nat outside 定义转换接口R1(config-if)#int rang e0/1-2R1

端口安全可以将端口学习MAC地址的数量做出限制可以限制哪些mac地址可以接入本端口SW3(config)#int e0/0SW3(config-if)#switchport mode access注意： 动态端口不允许配置端口安全，若产生违规行为，默认将端口放入 err-disable 状态；SW3(config-if)#switchport port-security // 开启端口安全特性SW3(config-if)#switchport port-security maximum 2

BFD会话建立后会周期性地快速发送BFD报文，如果在检测时间内没有收到对端BFD报文则认为该双向转发路径发生了故障，通知被服务的相关层应用进行相应的处理。本身并没有邻居发现机制，而是靠被服务的上层应用通知其邻居信息以建立会话。不管是物理接口状态、二层链路状态、网络层地址可达性、还是传输层连接状态、应用层协议运行状态，都可以被BFD感知到。BFD会话建立方式1、静态建立BFD会话：静态建立BFD会话是指通过命令行手工配置BFD会话参数，包括配置本地标识符和远端标识符等，然后手工下发BFD会话建立请求

镜像技术可以在不影响报文正常处理流程的情况下，将镜像端口的报文复制一份到观察端口，用户利用数据监控设备来分析复制到观察端口的报文，进行网络监控和故障排除。镜像定义将镜像端口（源端口）的报文复制一份到观察端口（目的端口）。镜像作用获取完整报文用于分析网络状况。镜像优点不影响原有网络，快捷方便。采集的是实时数据流，真实可靠。华为路由器配置端口镜像observe-port interface GigabitEthernet0/0/1 配置观察接口interface GigabitEt

大家好，我叫邢晶（DREW德鲁），今天我给大家带来一遍不一样的评测报告，那就是新鲜出炉的思科的SD-Acces，我可能也算比较早期的接触过该类产品的人吧，所以下面我以一个小故事来给大家讲解一下SD-Acces的优缺点我：SD-Acces你好，我想搭建个网络，我需要做些什么吗？SD-Acces：hello，敬爱的工程师，首先您需要规划好您的网络、地址池及用户，并设置我和其他服务器的联动，最后您将...

大家好，我叫邢晶（DREW德鲁），上一次我给大家介绍了一下思科的DNA-C，今天我给大家在介绍一下思科的另一款产品SD-WAN，至于这款产品我已经无法再用强大来形容了，它的出现真的是解决了一部分技术上的难点，尤其是与DNS-C联动，可以说真正的实现了快速的零接触部署。为什么我说这款软件无法用强大来形容了，因为策略，它可实现的策略部署真的解决流量按照意图来实现，说白了就是你想让流量走哪里，他就能够走哪里，不需要太多的人工干涉，其次就是它的构造理念，不得不说，这个构造理念真的很强大，这是一种构建在fabric