CCNP笔记

路由过滤：

在距离矢量协议中可以使用静态路由来实现过滤。在路由协议A中将一个接口使用Network语句宣告进程协议A，会实现该接口对于该协议报文的收发

发：该路由器所有被宣告进协议A的接口的C路由，以及通过这些接口获悉的邻居传递过来的属于该协议的并且被加入路由表的路由

在下图中如果我用RIP协议来宣告1.1.1.0，R1会传给R2，R2再穿个R3，我现在想让R2不传给R3，可以再R2上把这条路由修改为静态路由

在DV（距离矢量）协议中使用静态路由覆盖通过DV IGP获悉的动态路由条目可以实现该路由条目的传递过滤，在LS（链路状态） IGP中，静态路由无法实现路由过滤

Config）ip route 1.1.1.0 255.255.255.0 192.168.1.2 permanent：描述当借口down了后此静态路由任然存在，一般是用于接口是暗虚电路（有流量的时候才开启，没流量的时候是down的） 浮动静态路由：

通过修改静态路由管理距离，实现IGP路由可以用的情况下，它不工作（不会存在于路由表中），当IGP路由不可用的时候，这条静态才会使用，实现了路由的备份

RIP:

RIP有2种报文，一种是热request报文，一种是update报文，update报文是30秒发送一次，路由更新时30秒（更新计时器）发送一次，然后存放在路由表，如果180秒后（失效计时器）没被更新，则此路由器被pusciplydown，当过再过60秒后此路由还是未被更新，则会删除此路由

抑制计时器：用来防环路的，当一个路由收到一个邻居发来的路由条目时候，此时度量值为X跳，然后在一段时间内，此路由器收到更新报文后，此路由条目为Y跳，当Y>X时候则启动抑制计时器，为180秒。如果180秒内收到此路由条目任然是Y跳，此才会使用此路由，反之则删除此路由 汇总：

RIP V1支持自动汇总，不支持手工汇总，R2即支持自动汇总，也支持手工汇总，当属于该汇总条目里面的所有明细路由DOWN时，汇总会消失。路由汇总可以增强网络的稳定性和效率，当明细路由不是2的N次方时候会出现路由黑洞，在RIP中如果出现了路由汇总才生的路由黑洞时，RIP没办法解决这个路由黑洞。在RIP中，汇总路由的度量值去明细路由中度量值最小的来作为自己的度量值 在接口汇总：

Config-if) ip summary-address rip 172.16.8.0 255.255.252.0 被动接口：

当一个接口被宣告进RIP进程后，不希望这个接口发送RIT更新，可以再RIP进程中把这个接口定义成一个被动接口，。当一个接口被置成被动接口后这个接口不会以组播或广播的形式发送RIP更新报文，但是能接受广播、组播和单播更新，能发送单播更新

config-router)#passive-interface loopback 0：把环回口0配置成被动接口 config-router)#neighbor 3.3.3.3：把接口设置成单播更新

一般在帧中继中没开启伪广播特性可以把这个接口开启成被动接口，然后再把这个接口以单播发送，还有就是环回口为了不让它发送RIP跟新报文占用CPU资源也可以开启

RIP认证：

RIP2支持密文和明文认证，支持进程认证和链路认证，RIP认证是基于广播域的，当在一个广播域内启用认证，其他广播域不启用认证也可以 接口认证配置：

config)#key chain R3：定义一个钥匙链，R3作文钥匙链名称只在本地有意义 config-keychain)#key 1：定义一把钥匙

config-keychain-key)#key-string CISCO:定义钥匙密码。对端接口的钥匙和秘钥必须一样

config)#interface ethernet 0/1：进入需要认证的接口 config-if)#ip rip authentication key-chain r3：调用钥匙链R3 config-if)#IP RIP authentication mode text：启用明文认证 config-if) #ip rip authentication mode md5：启用密文认证 偏移列表：

是DV（距离矢量）的专用列表，可以把出战方向和入站方向的度量值增大，基于ACL一起工作 配置：

(config)#access-list 10 permit 2.2.2.0 0.0.0.0：定义一个ACL，此ACL表示当匹到是2.2.2.0时候修改度量值

(config-router)#offset-list 10 out 2 ethernet 0/0：定义在接口E0/0初战方向增加2跳度量值

(config-router)#offset-list 0 out 2：此路由器发送路由更新都会增加2跳

EIGRP:

EIGRP有以下几种报文： 1. Hello

发送hello来建立邻居关系，当接口带宽≥1.544M时，是每5秒发送一次hello来维护邻居关系，＜1.544M时60秒发送一次，邻居路由器hello时间不一样也可以建立邻居，失效时间是发送时间的3赔，当hello发送16次重传邻居也会失效。 2. Update

里面是装路由条目的，以此发送路由条目 3. Query

当EIGRP发生改变时候，路由器丢掉了一条路由，此时路由器会向邻居发送一条查询报文，如果邻居有此条路由的信息，会回复一个Riply（应答）报文，此报文就包含了此条路由的信息，当发送一个query后180秒没收到Ripley邻居会失效 4. reply 5. ack

确认报文，update、query都需要ACK来确认 EIGRP度量值（metric）计算

1. 带宽（bandwidth）：路由流向入接口的最小带宽 2. Delay（延迟）：路由流向入接口的延迟总和

3. 可靠性（reliablity）：描述了路径的可用性，每个网段提取出来取最小值 4. 负载（loading）：负载越高网络可以性越低，取最大值 5. MTU：实际中没有计算MTU，取最小值

默认情况下EIGRP计算度量值用带宽和延迟（k1-K5：10100） 度量值计算：

最后再乘以256

BW=10的7次方/链路最小带宽 Delay=delay（us）/10

默认情况下度量值=（10的7次方/带宽（Kbit）+delay（us）/10）*256

向EIGRP域注入缺省路由

方式1.在AS边界路由器指定一条0.0.0.0/0缺省静态路由去往，并且在其中EIGRP进程中使用config-router)#redistribute static

方式2. 在AS边界路由器指定一条0.0.0.0/0缺省静态路由去往 config-router)#network 0.0.0.0

方式3.在边界路由器上指定 ip default-network+主类地址（该路由器连接接口的地址所属的主网段），在该路由器上创建该主类路由，在该路由器的EIGRP进程中network该主类地址段。

方式4.在边界路由器连接的内网的接口通过使用路由聚合来实现缺省路由的下放

EIGRP汇总：

EIGRP的自动汇总规则如同RIP2，不同的是，EIGRP仅仅支持将本地的路由汇总，不会讲邻居专递过来的路由汇总。

手动汇总：能汇总自己产生的路由也能汇总接受到的路由 在接口汇总:汇总192.168.8.0-11.0

config-if)#ip summary-address eigrp 100 192.168.8.0 255.255.252.0

汇总后放行192.168.8.0-9.0

config)#access-list 10 permit 192.168.8.0 0.0.1.0：定义一个ACL

Config）route-map TEST permit 10：定义一个route-map并且调用ACL 10 Config-route-map) match ip address 10

Config-if)ip summary-address eigrp 100 192.168.8.0 255.255.252.0 leak-map TEST：定义一个leak-map泄露列表并且调用route-map

Leak-map：该工具用来放行手工汇总中的一些明细路由条目 Route-map：用来调用ACL抓取要放行的明细路由

EIGRP的负载均衡：

EIGRP maximum metric variance 1 ：这个值为1的时候只支持等价负载均衡，当要想支持不等价负载均衡要修改成大于1的值

config-router)#variance 2：把variance值修改为2，当一条不是最优路由的FD小于最优路由的FD*variance时，此条路由可以加入非等价负载均衡，但是此条路由的AD要小于最优路由的FD（FC算法）

Maximum path: 4：表示默认最大支持4条等价负载均衡

DUAL算法：

当一台运行EIGRP的路由器通过其邻居收到一个Query报文，假定对于该接收者路由器，发送查询的路由器对于该路由而言不是该路由器的后继站，该路由器会直接将路由表中的后继站路由以reply的形式发送给查询者

假定对于该接受者路由器，发送查询的路由器对于该路由而言是该路由器的后继站，则该路由器会判定自己本地拓扑表内是否拥有关于该路由器备份路由（可行后继站路由），如果有，则该路由器会优先更新本地路由表，讲最优路由切换可行后继站路由，并且将该路由器以reply的方式发送给查询者，如果没有，则该路由器会判断自己是否拥有除查询者之外的其他EIGRP邻居，如果有，则该路由器会将拓扑表内该路由条目置为Active并且欠着查询者的查询报文，转而发送查询给其他的EIGRP邻居，如果该

路由器并没有其他的EIGRP邻居，则该路由器会直接将拓扑表以及路由表中的关于该路由的信息删除，并且直接发送reply给查询者告知该路由器不可达

假定接收到查询的路由器在接收查询之前本地路由表和拓扑表内均没有改被查询路由，则该路由器会直接向查询者发送reply告知该路由不可达

EIGRP被动接口：

config-router)#passive-interface serial 0/0：把s0/0设置为被动接口 EIGRP的被动接口不能发送和接受EIGRP报文 EIGRP单播

R1(config-router)#neighbor 12.1.1.2 serial 0/0：定义发送EIGRP以单播方式发送 12.1.1.2是本地路由器和直连路由器的直连路由器IP地址，s0/0是本地路由器和直连路由器想链的本地路由器的接口

必须双方都采用单播方式，要不邻居建立不起来 EIGRP关闭水平分割：

R1(config-if)#no ip split-horizon

R1(config-if)#no ip split-horizon eigrp 100

OSPF

发送LSA规则：

当路由器收到一个LSU（更新报文）报文，此LSU报文中有LSA，路由器此时回查看本地LSDB中是否有此LSA，如果没有则把此LSA加入LSDB，并且返还一个ACK确认报文，在把此LSA泛洪出去。如果本地有此LSA，会查看此LSA序列号

（0x80000001-0x7FFFFFFF）是否是最新的（谁大谁是最新的），如果序列号一样则把此LSA丢弃，如果收到的LSA序列号大则加入LSDB，并且泛洪出去，如果序列号比我的小，则向源路由器返还一个LSU（此LSU携带我最新的LSA），并且把收到的LSA丢弃

路由器发送LSU是30分钟发送一次，存活时间是60分钟（aging-time：老化计时器）

OSPF报文：

1. Hello报文

用hello来建立邻居关系及维护邻居关系，为10秒或30秒发送一次，失效时间为发送时间的4倍。当把hello时间修改（ip ospf hello-interval 12），dead时间默认是hello的4陪 2. DBD报文

2台路由器要想建立邻接关系，必须要同步LSDB，为了同步LSDB比较高效，可以彼此交互DBD，DBD就是告知邻居路由器本地LSDB中包含了那么LSA。主要携带的是LSA的报头信息，还有DBD头，DBD头携带MTU 3. LSR报文

当双方交互完DBD报文后，我会发送LSR报文请求邻居发送我没有你有的LSA 4. LSU报文

里面是LSA 5. LSACK

显示确认：路由器收到一个可靠报文后，单独的用一个报文来作为回应，LSR是显示确认，当路由器收到一个LSR，返还一个LSU报文。LSU也是显示确认，LSU里面有多少条LSA，就会返还多少天LSACK来确认

隐身确认：基于序列号的确认机制，当路由器收到一份可靠报文后，它会返还一份序列号相同的同一种报文，此报文确认了收到对方的报文，也把自己的信息发送给对方，DBD就是隐身确认

OSPF报文： 1) Version V2：只支持IPV4 V3：只支持IPV6 2) Type

说明是OSPF5类报文中的那类报文,分别用12345来表示 3) Packet Length OSPF报文长度 4) Router ID 5) Area ID 6) Check-sum

7) Authen-tication type

认证类型：0表示默认认证即不认证，1表示明文认证，2表示密文认证 Authen-tication 认证秘钥 8) Date

OSPF邻接关系状态：

1) Down

初始状态，接口被宣告进OSPF，没有发送任何报文 2) Lnit

当邻接接口发送一份hello时，此接口变为lnit状态 3) Two-way

通过邻接接口收到一份hello，并且hello的neighbors字段中有我的RID 4) Exstart

交互3个不带LSA报头的DBD选择master\\slave（主\\从），当DBD中MTU不一样时候，邻接关系状态时exstart，用config-if)：ip OSPF mtu-ignore可以忽视MTU不一样 5) Exchange

有master发起的带有LSA报头的DBD信息交互 6) Loading

交互LSR LSU及LSAack实现LSDB同步

7) Full

一旦LSDB同步，邻接关系到达full

MA网段OSPF选举DR和BDR

1. 参与该MA网段的路由器接口的OSPF优先级，越高越好（0-255），如果为0代

表此接口不能参与DR和BDR的选举，此接口只能为DRother，在FR是HUB节点成为DR，其他都不能成为BDR和DR

2. 该MA网段所连接的路由器RID，越高越好。选举时wait时间=40秒，120秒

当选举好后DR和BDR无法被抢占，当DR挂了后BDR会立即抢占DR，BDR会再重新选举，DR和BDR都是路由器接口概念

一台运行OSPF的路由器，只要开启了OSPF进程，则该接口会立即监听发送224.0.0.5的组播组流量，而仅当一个节点成为DR或BDR时，该接口才会同时监听发送224.0.0.5和224.0.0.6的组播流量，在一个MA网段内，所有路由器发送给DR和BDR的报文的目的地址都是.6而DR将LSA整合之后以.5的地址发送给网段内所有的其他路由器。

OSPF的LSA

1) Type 1：router LSA：

只能在一个区域里面发送，不能穿越ABR(区域边界路由器)，一个路由只能在一个区域里面发送一条LSA，每条LSA通过RID来标识，此类LSA只包含拓扑信息，其中描述该路由器所有宣告进该区域的链路的前缀，掩码，网络类型及度量值 Link-ID：通告该LSA的路由器RID ADV router：通告该LSA的路由器RID show ip ospf database：查看LSA摘要信息 show ip ospf database router：查看详细信息

2) type 2：network LSA

只能在一个区域内部泛洪，不能穿越ABR，通告者是DR路由器，在一个MA内，有多少个直连网段就通告多少个2类LSA,是由DR主动通告的。包含纯拓扑信息，包含该MA网段直连的所有路由器的RID和网段的掩码。 Link-ID：该MA网段DR接口的IP地址 ADV router：该DR的RID

3) Type 3：summary LSA

能在除了本地的其他OSPF协议的区域传递，由ABR通告，包含内容：一条3类LSA包含已条OSPF域间路由O IA Link-ID：3类LSA路由的前缀

ADV router：ABR的RID，3类LSA在OSPF路由器选择与内传递的时候为了保证可达性，每跨越一个ABR都会自动改写为该ABR的RID

4) Summary ASB LSA

传递范围：除了ASBR所在的区域之外的整个OSPF选择域

通告者：和ASBR再同一个区域的ABR路由器，一台路由器只要能产生5类LSA就是ASBR

包含内容:纯拓扑信息，描述了ASBR所在位置 Link-ID：ASBR的RID

ADV router：通告者ABR的RID，并且该值每跨域一个ABR都会自动改变，同3类LSA

5) Type 5 ：external LSA（外部路由）

当OSPF重分发一个另外一个路由协议时，会产生5类LSA,在整个OSPF路由选择域内传递，通告者ASBR，包含纯路由信息，一条OSPF域外路由只会产生一条5类LSA Link-ID：域外路由的路由前缀

ADV router：ASBR的RID，该LSA在OSPF域内传递的时候，ADV router不会发生改变

外部路由有2种：O E2和OE1，默认是O E2

(config-router)#redistribute eigrp 100 subnets metric-type 1：在OSPF进程中把 OE2修改为OE1

OE2 的度量值：Seed metric：种子度量值，对于OSPF而言如果将BGP路由重分发进入，则seed metric 默认为1，所有其他外部路由缺省seed metric为20 OE1的度量值：20+路由器入接口的OSPF 度量值

在比较关心内网路径好坏的情况下使用EO1，不关心则使用OE2 Type NSSA LAA

域间汇总：需要在ABR上部署，实现对3类LSA的汇总传递

config-router)#area 0 range 192.168.8.0 255.255.252.0：把area0汇聚发给其他区域 域外汇总：需要在ASBR上部署，实现对5类LAS的汇总传递 Config-router）#summary-address 192.168.8.0 255.255.252.0

OSPF特性

Config-router)#max-lsa 4 100 ignore-time 1 ignore-count 2 reset-time 2

max-lsa 4-能存放非本地产生的LSA最多为4条，100是4的%100默认为4的%75 ignore-time 1：1分钟后DOWN邻接关系，然后再1分钟后建立邻接关系 ignore-count 2：当建立2次邻接关系后不在建立邻居 reset-time 2：当2分钟内LSA没有4条，ignore-count会清零

修改OSPF度量值

config-if)#ip ospf cost 100:在人接口上把cost修改为100

config-router)#auto-cost reference-bandwidth 10000：OSPF带宽为10的8次方/带宽，10的8次方为100M，这条命令式把100M修改为10000M。

末节区域 stub末节区域

条件：不能为骨干区域、不能有ASBR。

如果将一个OSPF区域部署成stub区域，该区域的ABR会将入区域方向的4、5类LSA同时过滤，同时该ABR会主动向区域内部发送一个 O IA的0.0.0.0/0的3类缺省路由，seed metric 为1

Config-router）area 1 stub：把区域1配置成stub区域，area1中的所有路由器都要这杨配置

Totally stubby area：完全末节区域：

ABR不允许3、4、5LSA进入区域

同时会向该区域注入一条0.0.0.0/0 的OIA缺省路由seed metric 为1 config-router)#area 1 default-cost 5：把seed metric修改为5

config-router)#no area 1 stub no-summary：在ARP上配置，区域其他路由器只需要配置成stub就行了

Not-so-stubby areas ：次末节区域

当把一个区域配置成NSSA区域，可以拥有ASBR,ASBR重分发的路由以7类LSA在NSSA区域传递，并且该区域的所有ABR会通过比较RID选举出一个转换器（最大的RID），该转换器会把7类LSA转换成5类LSA在其他区域传递，会过滤4类和5类LSA进入NSSA区域，转换器不会主动向区域下放缺省路由，所有要手工配置：config-router)#area 1 nssa default-information-originate，所看到的这条缺省路由是

O N2 0.0.0.0 seed metric=1。如果重分发的ASBR是ABR，它会以5类在其他区域传递，以7类在NSSA区域传递，为了优化NSSA区域，不建议ABR的外部路由进入NSSA区域，区域内的路由器都要配置手工配置：

config-router)# area 1 nssa default-information-originate no-redistribution config-router)#area 3 nssa translate type7 suppress-fa：一般情况下Forward Address为ASBR的环回口地址，使用这条命令可以隐藏fa地址

Totally NSSA区域

和NSSA比较它会过滤3、4、5类LSA并且会自动下放全0的缺省路由

路由优先级：

O>O IA> OE1>E2 = O N1/N2

不规则区域：

1. 远离骨干区域的非骨干区域 2. 被分割的area 0

解决方案1：在出现问题的ABR上（没有和area 0直连的ABR上），使用双OSPF进程，并且执行单点双向重分发

方案2：在出现问题的ABR上建立一个tunnel 链路连接到其最近的area 0 中的ABR路由器上。在这两台ABR上对tunnel配置IP地址为同一个IP子网段，并且将其宣告进OSPF的区域0

配置：比如说area 4没和area0直连，但是area 4的ABR R4和area 0的ABR R1直连，中间跨越了area 1前提是4.4.4.4 能ping同1.1.1.1，最好是静态路由，否则邻接关系会翻动。

R4(config)int tunnel 14:定义一个tunnel R4(config-if)#tunnel source 4.4.4.4 R4(config-if)#tunnel Destination 1.1.1.1 R4(config-if)#ip address 14.1.1.4 255.255.255.0

R1(config)int tunnel 41:定义一个tunnel R1(config-if)#tunnel source 1.1.1.1 R1(config-if)#tunnel Destination 4.4.4.4 R1(config-if)#ip address 14.1.1.1 255.255.255.0 然后在把14.1.1.0宣告进area 0中 方案3：

试用 virtual-link在出问题的ABR以及离他最近的area 0中的ABR上部署，前提是R4和R1必须在同一个区域否则收不到对方的RID 配置：

R1(config-router)#area 1 virtual-link 4.4.4.4：跨越area1 VL后面跟R4的RID R1(config-router)#area 1 virtual-link 4.4.4.4 authentication-key Cisco：定义一个虚电路认证，只在建立邻居时候有效（因为虚电路一旦建立就不会down ） R1(config-router)#area 1 virtual-link 4.4.4.4 authentication：调用认证 R4(config-router)#area 1 virtual-link1.1.1.1： 跨越area1 VL后面跟R1的RID

帧中继FR中的运行OSPF

在帧中继环境中，由于运行的是NBMA(非广播型多路访问)，没有广播和组播，所以OSPF无法组播的发送hello来建立邻居，以下是FR中的接口类型 1. 在帧中继主接口上默认是非广播

这种情况下可以开启伪广播特性来运行OSPF，此时链路支持广播，由于此时接口还是NON_BROADCAST，接口不支持广播，所以接口要配置成BROADCAST config-if)#frame-relay map ip 192.168.250.2 706 broadcast：在这条PVC上加上伪广播特性

config-if）ip OSPF network BROADCAST：把接口设置成广播型 假如没开启为广播，可以手工建立邻居。

R1(config-router)#neighbor 12.1.1.2 priority 1：静态建立邻居，此时OSPF为单播包，在OSPF中必须把HUB节点选择为DR，pri为邻居优先级

2. 划分子接口，如果子接口是点到点类型，此时OSPF为点到点模式 3. 划分子接口，如果点点到多点，默认为非广播

IS-IS协议

要想ISIS建立邻居要么都是宽度量值要么都为窄度量值

路由重分发：

Config-router）default-metric 100：修改重分发进来所有的seed-metric值，但是对重分发直连没有影响，只能影响动态协议以及静态

Config-router)redistribute OSPF 100 metric：修改吧OSPF重分发进其他协议的metric，优先级比上面高

RIP:当一个协议重分发进RIP中时，度量值为0，这些路由不能进RIP协议，要想进来必须手工修改seed metric，此时修改后的metric=metric+hop-1.当静态路由和直连重分发进RIP后seed metric为1，可达.如果在重分发路由器上开启自动汇总，重分发进来的路由也会自动汇总。

ERGIP：当一个协议重分发进EIGRP中时，度量值为0，这些路由不能进EIGRP协议，要想进来必须手工修改seed metric。把其他协议重分发进EIGRP:

把静态和直连重分发进EIGRP时，seed metric不为0.

OSPF：当一个IGP协议重分发进OSPF，seed metric是20，如果是BGP seed metric是1，在OSPF中是O E2。当动态路由重分发进OSPF时候只能传主类路由进来，要想穿子网路由进来redistribute RIP subnets。缺省静态路由无法重分发进OSPF. ISIS：当一个路由协议重分发进ISIS，seed metric是0，此时0是可达路由

在路由器R上，运行路由选择协议A以及路由选择协议B，此时在R上将A重分发进B，R会将所有本地宣告进协议A的接口的直连路由，以及通过A获悉的加入路由表的并且打上A路由标记的路由进入协议B（除了ISIS及ODR）

分发列表：Distribute-list：可以过滤路由条目，比如不让0/1口发2.2.2.0路由。分发列表只能用于DV协议，在LS中，分发列表不能出站调用，因为传递的是LSA，但是可以入向调用，实现的是路由信息的本地抑制，而不会LSA的传递，因此只对本地路由器有效。

Config）access-list 10 deny 2.2.2.0 Config )access-list permit any any Config-router)distribute-list 10 out e0/1

前缀列表：prefix-list：前缀列表能抓前缀也能抓掩码（ACL只能抓前缀） Config）ip prifix-list 10 seq 10 permit 2.2.2.0/25

Config）prifix-list 10 seq 10 permit 2.2.2.0/25 GE 27：前25为为2.2.2.0，然后掩码大于等于27

Config）prifix-list 10 seq 10 permit 2.2.2.0/25 le 30：掩码在25与30之间

Router-map也能过滤路由条目：

用于路由重分发的路由过滤，可以抓取ACL和prefix-list，里面有很多match语句，当match匹配到ACL语句执行router-map策略，如果是permit再执行set策略。 配置：

(config)#ip prefix-list 10 permit 1.1.1.0/24：定义一个prefix-list (config)#route-map RIP：定义一个route-map

(config-route-map)#match ip address prefix-list 10：调用match去匹配prefix-list (config-route-map)#set metric 20：如果匹配到则把metric设置为20

(config-router)#redistribute eigrp 100 subnets route-map RIP：调用route-map 放行其他路由的时候可以让router-map的match为空。

各个路由协议的AD值：

当把一个AD大路由的重分发进AD小的路由时候会导致次优路由优先。

由于OSPF的管理距离比RIP的小，所以在做双点双向重分发的时候，在R1中把RIP重分发进OSPF时，由于R4能收到重分发过来RIP的路由，而此时重分发过来的路由管理距离是110，会覆盖R4原有的RIP路由。要想解决只有在R2上修改R1通告的重分发路由的管理距离。

R4(config)#access-list 20 permit 12.1.1.0 R4(config)#access-list 20 permit 1.1.1.0 R4(config)router ospf 100

R4(config-router)#distance 121 1.1.1.1 0.0.0.0 10:修改由R1（1.1.1.1）通告的RIP重分发进来的匹配到ACL的路由的管理距离为121（只有本地意思，不会发送给邻居） 此时在R2上去往4.4.4.0的路由是负载均衡的，可以使用router-map、offset-list（偏移列表）让它优选R2R4

BGP协议

当一个园区网中只有一家IPS接入的或有2家IPS接入但是其余一家IPS只是要求一个冗余备份的时候可以再边界路由下放一条缺省路由。当要求去往A园区网走一个ISP，去往其他园区网走另外一个IPS时候使用BGP协议。 BGP协议邻居

IBGP：在同一个AS内，邻居可以非直连建立，也可以直连建立 EBGP：不在同一AS内，并且传递的路由是EBGP路由，建议邻居直连

一台BGP会话者收到一条IBGP路由，该路由器只可能将该路由传递给其EBGP对等体，而不会江该路由传递给任何其他的IBGP对等体，当一个EBGP邻居专递路由时候会在AS-PATH中添加中间所有发送者的AS号，当AS-PATH中有接受者的AS号时，接受者会丢弃该路由 BGP路由传递原则：

1. 对于一条BGP路由，如果一台路由器是该路由的始发路由器，该路由器会将该路

由传递给所有IBGP对等体和所有EBGP对等体

2. 对于一条BGP路由，如果一台路由器不是该路由的始发器，如果对于该路由器而

言该路由条目时一条EBGP路由，则该路由器会将该路由器条目转发给所有的IBGP对等体以及所有的其他的EBGP对等体。如果对于该路由器而言该路由条目时一条IBGP路由，则该路由器会将该路由条目转发给所有的EBGP对等体，而不会转发给任何IBGP对等体

在上图中控制层面传递路由的时候A能传递到F，但是数据层面数据从F传到A的时候到达C或D时由于CD没有去往A网段的路由导致数据黑洞。 解决方法：

1. 在AS内使用武力线路全互联。（不建议）

2. AS内IBGP对等体邻接关系的全互联（AS内都运行BGP）（不建议） 3. 在AS内部的边缘路由器上的BGP路由重分发进IGP中。 4. 在AS内部的边缘路由器之间建立tunnel 5. 在AS内所有路由器上启用MPLS解决

BGP邻接关系建立好了后路由器默认不会传递路由条目，要想传递路由条目需要在BGP进程中使用network语句进行BGP路由通告，要么使用redistribute进行路由重分发。有域BGP是单播发送需要目的IP地址，所有需要使用neighbors来指定邻居。

R1(config-router)#neighbor 12.1.1.2 remote-as 2:指定R2为邻居 R2(config-router)#neighbor 12.1.1.1 remote-as 1：指定R1为邻居

R2(config-router)#neighbor 4.4.4.4 remote-as 2：指定R4为邻居

R2(config-router)#neighbor 4.4.4.4 update-source loopback 0：把loop0设置为邻居R4的更新源

R4(config-router)#neighbor 2.2.2.2 remote-as 2：指定R2为邻居

R4(config-router)#neighbor 2.2.2.2 update-source loopback 0：把loop0设置为邻居R2的更新源

R2(config-router)#neighbor 4.4.4.4 next-hop-self：把R2的更新源指定为邻居的下一跳

R4(config-router)#neighbor 5.5.5.5 remote-as 3：指定R5为邻居

R4(config-router)#neighbor 5.5.5.5 ebgp-multihop：由于R4 环回口到R5环回口是2跳，EBGRP默认TTL=1，用此命令修改为TTL=25

R5(config-router)#neighbor 4.4.4.4 remote-as 2：指定R5为邻居

R5(config-router)#neighbor 4.4.4.4 ebgp-multihop：4.4.4.4 要能ping通5.5.5.5，可以做静态路由

R1(config-router)net 1.1.1.0 mask 255.255.255.0

现在R1能传递路由给R5但是R5发送数据包不能发送给R1，因为当数据包到达R3时，R3没有1.1.1.0的路由会丢弃该包

BGP邻接关系状态 1. IDLE 2. Connect

3. Active：该邻接状态为问题状态，如果为active时邻接关系出现问题 4. Open sent 5. Open confirm 6. Established

如果BGP表中一条BGP路由没有表示>，则该路由不是最优的，不是最优的路由没有资格被添加进路由表并且没有资格被传递给任何其他邻居路由器 导致原因：

1. 下一条不可达：由于在一个AS内传递路由时候，下一条地址不会改变，所以导致

有些路由器收到路由的下一条不可达,可以用命令解决：

Config-router）neighbor 3.3.3.3 nex-hop-self：向IBGP邻居发送路由时候把下一条地址修改为我本地对3.3.3.3的更新源。

2. 同步原则：当一台路由器通过一个IBGP对等体收到了一条IBGP路由，该路由条

目不能被放入路由表也不能被传递给任何其他的邻居，除非该路由器同时同过某种IGP获悉该路由条目。

一条路由条目打r和>则代表该路由条目是最优的，但是由于管理距离的问题无法加入路由表，但是该路由可以被传递给其他BGP对等体。

交换

config)#mac-address-table aging-time 10:修改CAM表的老化计时器，默认为5分钟 config-if)#switchport trunk native vlan 100：设置100为本帧VLAN (config-if)#vlan dotlq tag native：设置本帧VLAN也大标签

config-if)#switchport trunk allowed vlan 1-100：只允许1-100VLAN通过

config-if)#switchport mode dotlq-tunnel:定义一个802.1Q tunnel模式

config-if）switchPort access vlan 2：QINQ,当这个接口收到帧时打上VLAN 2的外层标签。 DTP功能

VTP:

Server:可以修改添加删除VLAN,会发送VTP通过，可以被别的server同步，收到VLAN回泛洪

Client：不能修改删除添加VLAN，只收不发，收到VLAN回泛洪

Transparent：可以修改添加删除VLAN，不收也不发,V1不会泛洪(较新的IOS也会转发)，V2会泛洪

Show vtp stutas

Configuration Revision：配置修正号，VLAN数据改变一次加1，当一台client收到2个server 时，谁的修正号大接受谁的

建议:把一台交换机加入到VTP域时候最好把修正号清零，如果不清零当client修正号大于server时，client会同步server

vtp修剪（VTP pruning）：当一个交换机收到一个广播的vlan 帧时，会判断那些邻居有此vlan接口，当没有时候这广播就不会发送过去。减少中继端口上的

不必要的广播信息 部署VTP：

1. 把交换机接口改成trunk模式 2. 部署VTP 3. 创建VLAN 4. 定义access接口

STP：

Portfast：一台交换机上2台PC正常能通信时间是30秒（由于交换机默认是开启STP的，所以端口要选举成一个DP要30秒），可以部署Portfast解决，当一个交换接口配置为protfast时，此接口在运行生成树协议选举时候直接从blocking到forwarding（建议在access接口使用）

(config-if)#spanning-tree portfast：在接口开启portfast

(config)#spanning-tree portfast default：让交换机工作在access的接口启用portfast

(config-if)#spanning-tree portfast trunk：让中继链路启用portfast（一般是在交换机连接IP电话时候可以使用）

Uplinkfast：当叶节点到根网桥的主链路down了后，想让备份根网桥成为根网桥，由于要重新选举需要30秒时间，可以部署uplinkfast来解决这30秒 (config-if)#spanning-tree uplinkfast