np第二天
inside 转源
nat补充
outside 转目的
转换前后面写,转换后前面写
ip outside source
捕捉下一条进行区分同源nat
route-map G permit 10
match ip address 1(捕捉语言、目的)
match ip next-hop 9(捕捉下一跳)
端口映射
ip nat source static tcp xxx xxx
(私网地址) (内公网)
如果内外网用户访问内部服务器都用公网域名去访问,现有nat无法解决 inside
outside 无法解决此问题
ip nat enable?
解决:
1.内网部署DNS服务器,将域名映射位私网
2.接口下使用ip nat enable,再 ip nat source…
扩展:ip nat outside source
EIGRP
包
增强的内部网关协议 前身IGRP()
100%无环
收敛速度最快的协议(在中大型网络中)
支持多种被路由协议(ip、ipx、appletalk)
支持任意节点汇总
支持VLSM/CIDR
在广域网配置简单
支持等开销负载均衡
支持加密认证
AD 邻居到达目标网段的距离
FD 本路由器到达目标网段的距离
AD<FD1.计算速度快 2.判断得出的路径不成环
FS 若判断其他路径AD<FD,最终添加的路径称为FS
dual扩散更新算法 一口进,多口出
扩散机制对比rip:rip路由表无目标扩散(所有路由),
eigrp混合型有目的扩散(变动路由扩散)
(扩散更新算法的对象是确定的时邻居而邻居能通过邻居表进行查找)
如何形成邻居表:
1.hello包
发现邻居每隔一定周期或初始发送hello包,
通过发送的hello包判断AS,K值,判断邻居形成条件
2.update包,条件确认,不携带任何路由
建立邻居关系后发送带有信息的update包
查询应答包,只有拓扑发生变化时才出现,只查变更路由有的信息
邻居断开后,此链路不删除,处于passive状态,处于传发状态为active
SIA机制:
卡在活动状态时间过长,
会导致正常的邻居关系断开
使用sia-reply包以维持邻居关系,此包中没有查询结果,
收到此包一定会回,否则强制挂
eigrp收敛极慢且包过多
stub-router末节路由器:设置某个路由器位末节路由器后,其他邻居不会向他发查询
凡是stub-router末节路由器,默认情况向只会发送自己的直连路由和汇总路由
非默认情况下,可手动调整为(静态、重调整…)
宣告
发hello包(邻居保活5 15),比对数据as号,k值,认证,是否在同一网段
回update包不携带任何路由,条件确认
建立邻居关系后发送带有信息的update包(组播)
K1 K2 K3 K4 K5
带宽(取最低带宽值) 负载 延时(叠加值所有时延总和) 可靠性 MTU
默认10100
原理:只要目标地址有符合AD<FD的次优路径,可通过FD*variance>次优的FD,就可以实现非等开销负载均衡
在广播域中,EIGRP忽略对比接口是否在同一网段中。
eigrp需要建立n(n-1)/2个邻居,改良使用eigrp stub重置路由关系,直接回车,只会宣告直连和汇总
eigrp可宣告静态路由的-----eigrp stub static ip route xxxx.xxxx.xxxx
汇总在eigrp中随时随地皆可汇总
汇总后指向空接口的目的是为了放环
ip summary eigrp 10.0.4.0 255.255.252.0
1.重发布的形式
router eigrp 1
redistribute xxx metic 10000 100 1 255 1500//重发布默认路由
2.宣告的方式(eigrp可宣告静态路由)
router eigrp
network 0.0.0.0 0.0.0.0
3.汇总的形式
router eigrp 1
ip summary-address eigrp 0.0.0.0 0.0.0.0
ip default-getway 0.0.0.0 0.0.0.0
eigrp两种管理距离值
D 90
D EX 170
本地汇总路由管理距离为5
设置外部管理距离大于内部管理的主要原因是防环(水平分割)
eigrp认证(一般为密文认证)
R1(config)#key chain ccnp
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string cisco
R1(config-keychain-key)#exit
R1(config-keychain)#exit
R1(config)#interface s1/0
R1(config-if)#ip authentication key-chain eigrp 50 ccnp
R1(config-if)#ip authentication mode eigrp 50 md5
R2(config)#key chain ccnp
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string cisco
R2(config-keychain-key)#exit
R2(config-keychain)#exit
R2(config)#interface s1/0
R2(config-if)#ip authentication key-chain eigrp 50 ccnp
R2(config-if)#ip authentication mode eigrp 50 md5
router eigrp k
!
address-family ipv4 unicat autonomous-system 1
!
af-interface serial 1/0
authentication mode hmac-sha-256 7 cisco最强认证可防止ip snooping洪泛攻击