ccnp知识点

Switch(交换)Vlan(虚拟局域网)Virtual Local Area NetworkVlan Deployment（vlan部署）端到端vlan（End-to-End Vlans）本地有若干交换机，楼宇间用一个2层交换机相连，同时连接到本地，连接的交换机都用trunk封装。

用户在vlan中独立物理位置，可以不在同一物理位置（如，不再一栋楼里），可以在局域网中移动用户物理位置，仍可使用。

不同物理位置，交换机可以拥有其他位置的vlan。

可以通过vtp获取。

优点：地理位置比较分散可以再不同的楼层上，可以执行相同的策略，安全或者qos，被应用到同一个组的用户里和物理位置无关。

缺点：所有的交换机需要知道所有的vlan，但可以通过vtp学习。

广播信息会泛洪到所有vlan。

端到端的vlan排错会相对麻烦，某个干线出现问题不易发现其位置。

端到端vlan构建时考虑的问题：需要多少信息点，用多少vlan，每个vlan对应的ip，vlan起什么名字，方便之后排错。

用户大致多少，用哪个网段，子网掩码是多少。

用什么干线，vtp的情况。

本地vlan（Local Vlans）本地若干交换机用trunk连接到3层汇聚交换机，交换机用路由指向其他位置的3层的汇聚或者核心交换机。

本地和其他位置的vlan信息不同步。

用户不可随意更换物理位置。

优点：容易排错，应为本地的vlan信息相对独立，不易混淆。

缺点：需要更多的三层设备。

两种vlan类型的区别本地vlan，由于是3层设备指向路由器和连接其他的3层交换机是路由，所有它们之间会跑路由协议，如ospf。

端到端vlan%80的流量在外部，%20的流量在内部。

本地vlan%20的流量在外部，%80的流量在内部。

Vlan配置命令Switch（config）#vlan3 创建vlanSwitch（config-vlan）#name accounting vlan命名为accountingSwitch（config-vlan）#exit 退出Switch（config）#interface fa0/1 进入f0/1 端口Switch（config-if）#switchport mode access 端口为ACCESS模式Switch（config-if）#switchport access vlan 3 端口关联vlan3Switch（config-if）# switchport trunk encapsulation dot1q 将接口封装为dot1qSwitch（config-if）# switchport mode trunk 端口为静态trunk模式（必须封装后敲打命令）Switch（config-if）# switchport trunk native vlan 999 修改本征vlan为999Switch（config-if）# switchport nonegotiate 关闭trunk动态协商Switch（config-if）# switchport trunk allowed vlan remove 50-60 移除50至60vlan，50-60不允许通过Switch（config-if）# switchport trunk allowed vlan add 50 允许vlan50 通过Switch（config-if）# switchport mode dynamic desirable 启动trunk动态企望模式Switch（config-if）# switchport mode dynamic auto 启动trunk动态自动模式Switch（config-if）#end 大退Switch（config）#vlan 5,7-9 创建多个vlanSwitch#show vlan 查看VLAN信息Switch#delete vlan.dat 删除vlan信息创建vlan后需要退出，或者再创建一个vlan后，vlan才会生效建议配置trunk时，先shutdown端口本征vlan（vative vlan）：不打标，不封装。

1.IGP(EIGRP/OSPF/IS-IS)2.EGP(BGP)3.policy4.IP multicast5.路由表：控制层和数据层（FIB）组成。

接入层：ACCESS LAYER端口密度汇聚层：DISTRIBUTION LAYER接入层流量的聚合点，高可用性（冗余+热备份）核心层：CORE LAYER高可用性+高吞吐量，快速转发数据。

Backbone+MAN层二：交换，（以太网）层三：路由可收敛的网络（可聚合的网络）的流量：--语音+视频流量--语音应用程序（IP电话）--办公性质--路由更新--网络管理流量（监控和日志）关键的需求：性能：带宽，延迟，抖动（jitter,到每个节点延迟的偏移量），语音和视频对延迟和抖动要求高。

Real-time 实时流量对延迟，抖动要求高，不可逆性安全：接入和转发。

SONA----语音，视频和数据的综合数据体系,是AVVID 的扩展。

目的是将网络朝IIN(智能信息网)方向推进，IIN 有三个阶段：集成传输，集成服务，集成应用。

SONA>>IIN网络放大效应效率=IT资产成本/ IT资产成本+运营成本使用率=所使用的资产/总资产（%）效能=效率*使用率网络放大效应=使用SONA的效能/不适用SONA的效能IS-IS用于超大型网络，而EIGRP,OSPF用于大型网络环境。

OSPF在NBMA网络上的运行模式：一．RFC：2328定义的：1.nonbroadcast(NBMA)非广播（不支持广播和组播）---- 默认模式(星型网络)必须在同一个子网内。

特点：1.要选举DR/BDR,所有接口处于同一子网，要确保中心路由器(hub)成为BD/BDR.2.边缘路由器(spoke)相互之间要作DLCI的映射（DLCI的复用）3.必须手动指定邻居（neighbor命令）把组播流量（hello包）已单播的形式传输出去2.point-to-multipoint(P2M)1.要选举DR/BDR,所有接口处于同一子网2.多点FR子接口要修改接口的网络类型3.SPOKE之间无需做DLCI复用二.CISCO定义的标准:1.broadcast1.要选DR/BDR,所有接口处于同一子网要确保中心路由器(hub)成为BD/BDR.2.边缘路由器(spoke)相互之间要作DLCI的映射（DLCI的复用）2.point-to-point(P2P)1.DR/BDR不选举，hello time 为10s2.hub要划分子接口，两个子接口在不同的子网3.point-to-multipoint nonbroadcast(P2M NBMA)1.要选举DR/BDR,所有接口处于同一子网2.多点FR子接口要修改接口的网络类型3.SPOKE之间无需做DLCI复用4.需要手动指定邻居。

BSCI知识总结一般说来在规划网络的时候要考虑到一点,即可扩展性网络设计一般是把它设计为层次化的,一般分为以下三层:Access Layer(访问层):用户接入到网络中的接入点Distribution Layer(分发层):该层是访问层用户访问网络资源的一个汇聚点Core Layer(核心层):负责在各个分割的网络之间进行高速有效的数据传输如下图,就是三层模型的一个图例:网络层次划分：1.按功能,企业的不同部门来划分2.按地理位置来划分但是记得不管你按何种方式来设计你的网络,三层元素要考虑进去:1.核心层:需要大带宽,冗余连接2.访问层:用户接入到网络的接入点.地址的分发(比如DNCP),VLAN的设计,防火墙,ACL等都在这层考虑进去3.分发层:访问层设备的汇聚点看看核心层的两种设计,如下图:这样的一种设计是全互连(fully meshed)的方式,优点是提供冗余连接,但是随着网络的扩展,成本会越来越高为了节约成本,就可以采用如上图的一种星形设计方式(hub-and-spoke),让其他设备都连接到相对独立的中心设备上去.这样做节省了一些开销,但是冗余度上比全互连的方式要差Benefits of Good Network Design先来看看RFC1918定义的私有IP地址范围:A类:10.0.0.0到10.255.255.255B类:172.16.0.0到172.31.255.255C类:192.168.0.0到192.168.255.255在注意设计一个好的网络的IP地址规划的时候要注意以下几点:1.可扩展性(scalability)2.可预测性(predictability)3.灵活性(flexibility)Benefits of an Optimized IP-Addressing Plan层次化地址规划的好处:1.减少了路由表(routing table)的条目(entry)2.可以有效的对地址进行分配可以使用路由汇总(route summarization)来减少路由表的条目,路由汇总使得多个IP地址是集合看上去就像是一个IP地址从而减少在路由器中的条目.这样就可以减轻路由器的CPU 和内存的负载,提供更为有效的路由服务,加快了网络收敛(convergence)的速度,简化了排错(troubleshooting)的过程来看下图:这个就是典型的规划不太合理的网络.假设有50个分部,每个分部有200个前缀为/24的子网,由于子网不连续,那么总共路由表的条目将达到10000条以上相比再看看下图:子网连续,可以做路由汇总,所以49个分部对外的路由只有1条,加上子网内部的路由条目200条,总共路由表就可以减少到249条Hierarchical Addressing Using Variable-Length Subnet Masks变长子网掩码(Variable-Length Subnet Masks,VLSM)的出现是打破传统的以类(class)为标准的地址划分方法,是为了缓解IP地址紧缺而产生的先来看看前缀(prefix)的概念:假设给你个地址范围192.168.1.64到192.168.1.79.前3个8位位组(octet)是一样的,我们来看看组后个8位位组,写成2进制,如下:64:0100 000065:0100 000166:0100 0010……………..77:0100 110178:0100 111079:0100 1111注意它们的共通点:前4位是一样的,加上前3个8位位组的24位就等于28位,所以我们就可以认定这个网段的前缀是/28(即255.255.255.240).所以在这个例子里,主机位就只有4位来看下VLSM的应用,如下图:假如这个公司使用的是172.16.0.0/16的地址空间.给公司的分部A分配172.16.12.0/22到172.16.14.255/22的地址块.D需要2个VLAN,然后每个VLAN容纳200个用户.A,B和C 连接3个以太网,分别用1个24口的交换机相连(不考虑级联等因素)先从需要最大用户的入手:要让1个子网容纳200个用户,即主机位应该保留为8位(254台主机,假如主机位是9位的话可以容纳510台主机,但是造成了地址空间的浪费).所以前缀为/24,从172.16.12.0/24开始分配起走.如下图:然后分配A,B和C的地址:A连接一个24口的交换机,即需要24个主机地址,那么主机位应该保留为5位(可以容纳30台主机),即前缀为/27(255.255.255.224),因为172.16.12.0/24和172.16.13.0/24已经被D全部占用,所以从172.16.14.0/27开始分配.如下图最后来给A和D,B和D,C和D之间分配IP地址.由于它们之间是点对点连接,所以主机位只保留2位,即前缀是/30就可以了.除掉掉2个VLAN和3个LAN占用了的地址,还剩下下面几个地址块:172.16.14.96/27172.16.14.128/27172.16.14.160/27172.16.14.192/27172.16.14.224/27我们从172.16.14.224/27来进行划分(一般选择最后1个地址块进行划分).如下图:Route Summarization and Classless Interdomain Rouring我们先来看下什么是路由汇总,如下图:4个前缀为/24的连续子网经过D汇总后成为172.16.12.0/22(转换成2进制可以看出前22位是一样的).所以在E的路由表中只有一条条目.再来看下无类域间路由(Classless Interdomain Rouring,CIDR),它是为了缓解IP地址短缺,减小路由表的体积,打破传统的以类划分网络的一种技术,如下图:4个C类地址的子网经过D的路由汇总成一条192.16.12.0/22,注意这个192.16.12.0/22既不是A类也不是B类更不是C类,可以理解成超网(supernetting),即无类的概念Understanding IP Version 6IPv6是IPv4的增强版本,和IPv4相比,有很多优点包括:1.支持更大的地址空间2. IPv6的头部格式比IPv4的头部更为简化,IPv6的头部可以根据需要进行扩展(简单并不代表短,注意不要混淆)3.更高的安全性和能很好的和移动IP相互兼容4.能够平滑过渡IPv4到IPv6移动IP是IETF标准,使得移动设备在不中断现有连接的情况下进行迁移.这一特征是内建在IPv6中的,但是IPv4就不是.IP Sec是IETF开发的标准,用于增强IP网络安全性,这一特性对IPv6是必须的IPv6 Addressing如下图对于两种版本的IP进行比较:可以看出IPv4是32位长,4字节;IPv6是128位长,16字节;IPv4支持的地址最多达到42亿,IPv6支持的地址多达3.4乘以10的38次方.增加IP地址的位长即增加了IP包头部信息的大小IPv6的表示方法:1.X:X:X:X:X:X:X:X(每个X代表16位的16进制数字).不区分大小写2.排头的0可省略,比如09C0就可以写成9C0,0000可以写成03.连续为0的字段可以以::来代替,但是整个地址中::只能出现一次.比如FF01:0:0:0:0:0:0:1就可以简写成FF01::1来看几个简写的例子:0:0:0:0:0:0:0:0可以写成::0:0:0:0:0:0:0:0可以写成::1Multicast UseIPv4中的广播(broadcast)可以导致网络性能的下降甚至广播风暴(broadcast storm).在IPv6中,就不存在广播这一概念了,取而代之的是组播(multicast)和任意播(anycast)组播的接受对象是一组成员,是个群体.任意播是多个设备共享一个地址.分配IPv6单播(unicast)地址给拥有相同功用的一些设备.发送方发送一个以任意播为目标地址的包,当路由器接受到这个包以后,就转发给具有这个地址的离它最近的设备.单播地址用来分配任意播地址.对于那些没有配备任意播的的地址就是单播地址;但是当一个单播地址分配给不止一个接口的时候,单播地址就成了任意播地址Autoconfiguration来看下IPv6的自动配置:当本地链路的路由器发送网络类型信息给所有节点的时候.支持IPv6的主机就把它自己64位的链路层地址附着在64位的前缀自动配置成128位长的地址,保证地址的唯一性.自动配置启用即插即用(Plug and Play)IPv6 RenumberingIPv6的重编号:路由器发送组播数据包,其中数据包中包含2个前缀,一个是拥有比较短的生存期的前缀,还有一个是新的拥有正常时间的前缀.通知网络上的节点用完旧的前缀后换成新的前缀,这样就能进行平滑的前缀过渡IPv4 to IPv6 Transitioning两种转换的方式:1.双栈(dual stack)2.IPv6到IPv4(6to4)的隧道(tunnel)还有一种是利用NAT来翻译46地址来看看双栈配置的例子,如下:Router#sh run(略)!interface Ethernet0ip address 192.168.99.1 255.255.255.0ipv6 address 3ffe:b00:c18:1::3/127!(略)再来看看隧道技术,如下图所示:可以看出隧道技术是在双栈路由器上,将IPv6包封装在IPv4包中,然后经过IPv4网络传递到另外一端的双栈路由器上去,然后再由它解封装要注意的是对采用了隧道技术的网络进行排错的话比较复杂,要记住的是这只是一个过渡方案,不是最终的体系结构对隧道进行配置,需要满足以下2个条件:1.在连接网络的两端采用双栈路由器2.在双栈路由器的接口同时配置IPv4和IPv6的地址如下图所示:Module2 Network Address TranslationConfiguring IP NAT with Access Lists看看NAT的术语,如下:1.IP NAT inside:属于内网部分内的需要翻译成外部地址的接口2.IP NAT outside:属于外网和路由器相连的接口或者是在它的路由表里没有运载的有IP NAT inside地址空间的信息当包在下面的接口之间进行路由的话就需要NAT:1.IP NAT inside接口到IP NAT outside接口2.IP NAT outside接口到IP NAT inside接口当有包要从inside路由到outside的时候,你就需要在NAT表里建立条NAT条目.NAT条目把源IP地址从内部地址翻译为外部地址.当IP NAT outside接口响应这个包的时候,包的目标IP地址将和IP NAT表里的条目做比较.如果匹配的条目找到了,目标IP地址就被翻译成正确的内部地址,然后放到路由表里保证能够被路由到IP NAT inside接口去;如果没有找到匹配的条目,包将被丢弃地址超载(address overloading)是种在Internet连接上很常见的现象.超载是使用NAT将多个内部地址映射到一个或一些唯一的地址上去.NAT使用TCP和UDP端口来跟踪不同的会话当路由器决定了从IP NAT inside接口到IP NAT outside接口的路径的时候,要建立包括源IP地址和源TCP和UDP端口号的条目.每个设备被分配的有一个唯一的TCP或UDP的端口号来进行区分NAT表包含以下信息:1.协议:IP,TCP或UDP2.inside local IP address:port:等待NAT翻译的内部地址以及端口号3.inside global IP address:port:经过翻译了的地址.这些地址通常是全局的唯一地址4.outside global IP address:port:ISP分配给外网的IP地址5.outside local IP address:port:看上去像是处于内网的外网主机的地址IP NAT和访问列表ACL的结合使用的命令,如下:1.ip nat {inside|outside}:接口命令,标记IP设备接口为内部或者外部,只有标记了内部或外部的接口才需要翻译2.ip nat source list pool :当包被发送到标记为IP NAT inside的接口的时候,这个命令告诉路由器比较源地址和ACL,然后ACL告诉路由器查找地址池(address pool)看是否要进行翻译.ACL许可的地址才能被NAT翻译3.ip nat pool {prefix-length |netmask }:这个命令创建翻译池,参数为起始地址到完结地址和前缀或者是掩码如下图:如图,当一个包的源地址为10.1.2.x,路由器就根据名为sales_pool的地址池进行翻译;如果包的源地址是10.1.3.x的话,路由器就根据名为acct_pool的地址池进行翻译来看一个NAT和扩展ACL结合使用的例子,如下图:ACL102和ACL103用来控制NAT的决策,和仅基于源地址相比,扩展ACL的决策基于源地址和目标地址.如果包的源地址不是10.1.1.0/24的话,包将不会通过NAT进行翻译.如果从10.1.1.0/24而来的包的目标地址为172.16.1.0/24或者是192.168.200.0/24的话.包的地址将被翻译成地址池trust_pool里的地址,即192.168.2.0/24;如果目标地址既不匹配172.16.1.0/24也不匹配192.168.200.0/24的话,源地址就将被翻译成地址池untrust_pool中的地址,即192.168.3.0/24Defining the Route Map Tool for NATroute map是Cisco IOS提供的一项功能,它的好处如下图:当你只使用ACL的时候,如图可以看出,不支持端口号,而且inside与outside的关系是一一对应.而且带来的缺点是很难排错你可以使用NAT的超载技术或者使用一种叫做route map的Cisco IOS工具,如果你结合route map和ACL一起使用,它将生成扩展的翻译条目,如上图.这些条目包含了端口信息,可以使得应用程序能够跟踪这些会话.ACL和route map不同的地方是可以使用set命令对route map 进行修改,而ACL就不行在配置模式下输入route-map map-tag [permit | deny] [sequence-number],定义路由策略;接下来输入match {conditions},定义条件;最后使用set {actions}定义对符合条件的语句采取的措施map-tag是route map号,路由器从上到下的处理这些陈述,直到找到第一个匹配的的语句然后应用它.一条单独的match语句可以包含多个条件.每条条件语句中至少要有一条符合条件的语句.sequence-number定义了检查的顺序,比如1个名为hello的router map,其中一个的sequence-number为10;另外一个为20.那么将先检查sequence-number为10的那个.和ACL 一样,在末尾有条隐含的deny any语句来看看一个router map配置的例子,如下图:如图黄色部分是增加的route map.在这个例子里,名为what_is_sales_doing的route map通过使用ip nat inside source route-map what_is_sales_doing pool sales_pool命令和sales_pool 相互链接.源地址为10.1.2.100的包到达E0口,即IP NAT inside接口.ip nat inside source route-map what_is_sales_doing pool sales_pool命令告诉路由器发送包给名为what_is_sales_doing的route map.这个route map的sequence 10匹配包的源地址10.1.2.100,依靠ACL 2.接下来路由器查询名为sales_pool的NAT池,得到10.1.2.100要翻译的成的新地址当使用route map的时候,路由器在IP NAT表里创建完全的扩展翻译条目,包含源地址和目标地址以及TCP或UDP端口号;当你只使用ACL的时候,路由器创建的只是一条简单的翻译条目,一个应用程序对应一个条目,不包含端口信息Verifying NAT检查NAT表的内容,使用show ip nat translation命令,注意下图,分别是NAT使用了ACL和NAT 使用了route map的输出:Module3 Routing PrinciplesPrinciples of Static Routing我们来复习下配置静态路由的语法,在全局配置模式下使用:ip route prefix mask {next-hop address|interface} [distance] [permanent]看下各个参数的含义:prefix mask:要加进路由表中去的远程网络及其子网掩码next-hop address:下一跳地址interface:到达目标网络的本地路由器的出口distance:管理距离(AD),可选permanent:路由条目永久保存在路由表中,即使路由器的接口down掉了注意,一般只在点对点的连接中使用interface选项,否则应该使用next-hop address选项使用静态路由的好很多,比如可以对网络进行完全的掌控,不会占用额外的路由器CPU和内存资源以及网络带宽.适用于小型网络中如下就是一个静态路由的例子:如图,对于A,只需要在它上面配置ip route 10.2.0.0 255.255.0.0 s0就可以了,这里采用的就不是next-hop address而是采用本地的出口接口(因为是点到点是连接);当然也可以这样配置成ip route 10.2.0.0 255.255.0.0 10.1.1.1,这里采用的就是next-hop address同样对于B的配置就可以使用ip route 172.16.1.0 255.255.255.0 s0或者ip route 172.16.1.0 255.255.255.0 10.1.1.2默认路由(default route):一般使用在stub网络中,stub网络是只有1条出口路径的网络.使用默认路由来发送那些目标网络没有包含在路由表中的数据包或者所有的数据包.语法是把静态路由中的prefix mask写成0.0.0.0和0.0.0.0Principles of Dynamic Routing动态路由允许路由器自动交换路由信息从而了解整个网络的信息.动态路由的好处是:使用中型和大型网络,能够根据网络拓扑的变化自动更改路由表的信息,避免了人工手动更改;但是带来的缺点就是占用路由器额外的CPU和内存资源以及网络带宽来看一个以RIP为例的动态路由的配置,如下:首先在A上使用router rip命令启动RIP协议,接下来只需要使用network命令加上需要交换信息的网络即可,在这里就是:A(config)#router ripA(config-router)#network 172.16.0.0A(config-router)#network 10.0.0.0A(config-router)#^ZA#对B的配置,如下:B(config)#router ripB(config-router)#network 10.0.0.0B(config-router)#^ZB#config tB(config)#ip route 0.0.0.0 0.0.0.0 s1B(config)#^ZB#注意B的配置中的ip route 0.0.0.0 0.0.0.0 s1,告诉通往Internet采用默认路由Principles of On-Demand RoutingODR是Cisco私有的,主要用在如下的一种星型环境中:有的时候你会觉得假如你使用静态路由,当网络拓扑发生变化以后,就得手动修改路由表;但是你又不想使用动态路由,因为那样占用了你额外的一些硬件资源和网络带宽.在如上图的环境中就可以使用ODR.ODR使用Cisco发现协议(CDP)携带网络信息.ODR的好处是最大可能的减少了网络硬件和资源的负载,同时又减少了手动修改的工作量.但是ODR只使用于hub-and-spoke这样的拓扑结构中.如上图,AC,D和E就是spoke router,或者叫做stub router,B作为中心,叫做hub router.当配置了ODR以后,spoke router使用CDP发送IP前缀信息到hub router,spoke router发送IP前缀信息给所有和它直接相连的网络.ODR报告子网掩那子信息,所以ODR支持VLSM.然后hub router依次发送指向到它自己的默认路由给周边的spoke router严格说来ODR不算是真正的路由协议,因为它交换的信息仅仅局限在IP前缀信息和默认路由上,ODR没有包含度(metric)的信息.ODR使用跳数(hop count)作为度配置ODR只需要在hub router上的全局配置模式下起用router odr命令,不需要在stub router 上配置IP路由信息,但是必须在接口上开启CDP功能对ODR的验证,如下:B#show ip route(略)o 172.16.1.0/24 [160/1] via 10.1.1.2, 00:00:23, Serial0o 172.16.2.0/24 [160/1] via 10.2.2.2, 00:00:03, Serial1o 172.16.3.0/24 [160/1] via 10.3.3.2, 00:00:16, Serial2o 172.16.4.0/24 [160/1] via 10.4.4.2, 00:00:45, Serial3(略)注意o代表ODR,管理距离为160Classful Routing Protocol Concept基于类的路由协议最大的特点是在路由更新(routing update)中不包含子网掩码的信息.由于不知道子网掩码的信息,当一个基于类的路由器接受或发送,路由器会假设认为网络所使用的子网掩码是包含进路由更新中的,而且这些假设是基于IP的类.在接收到路由更新以后,运行了基于类的路由协议的路由器就会根据以下其中一条来决定网络路径:1.如果路由更新信息包含相同的主网络号和接收更新的接口配置相同的话,路由器就应用接收更新的接口的那个子网掩码2.如果路由更新信息包含相同的主网络号和接收更新的接口配置不相同的话,路由器将应用默认的子网掩码:A类:255.0.0.0B类:255.255.0.0C类:255.255.255.0当使用基于类的路由协议的时候,所有的网络主网络号必须相同,而且子网必须连续.否则路由器将对子网信息做出错误的判断.运行了基于类的路由协议会在网络的边界(boundary)做自动的路由汇总常见的基于类的路由协议有:IGRP和RIPv1Network Summarization in Classful Routing来看看网络汇总在边界的发生,如下图:B作为网络的分界,从C到A,B将两条条目(172.16.1.0和172.16.2.0)的信息汇总成一条(172.16.0.0);从A到C,B将两条条目(10.1.0.0和10.2.0.0)的信息汇总成一条(10.0.0.0).在基于类的路由协议里,这样的汇总是自动进行的,不需要手动配置.前提是子网掩码等长,子网连续假如说子网不连续,如下图:如图中的表所示,D给C传送一条汇总路由10.3.0.0;B传送条汇总路由10.2.0.0给C.对于C而言它就会做出错误的判断,它区分不了10.2.0.0和10.3.0.0分别在哪边.所以说做基于类的路由协议的路由汇总,子网必须连续.但是这样一来,会造成地址空间的浪费(和VLSM相比)Examining a Classful Routing Table假设我们使用show ip route命令,产生如下输出:J# show ip route(略)Gateway of last resort is 0.0.0.0 to network 0.0.0.010.0.0.0/24 is subnetted, 3 subnets,R 10.1.1.0/24 [120/1] via 10.1.2.2, 00:00:05, Ethernet0C 10.1.2.0/24 is directly connected, Ethernet0R 10.1.3.0/24 [120/2] via 10.1.2.2, 00:00:05, Ethernet0R 192.168.24.0/24 [120/2] via 10.1.2.2, 00:00:16, Ethernet0R 172.16.0.0/16 [120/3] via 10.1.2.2, 00:00:16, Ethernet0R* 0.0.0.0/0 [120/3] via 10.1.2.2, 00:00:05, Ethernet0(略)如上,可以看出10.1.2.0/24是直接相连,其他的都是通过RIP学习到的.现在我们假设有以下几个目的地的包,它们对于上面的输出会如何进行匹配:192.168.24.3172.16.5.110.1.2.7200.100.50.010.2.2.2根据show ip route的输出可以看出,到达192.168.24.3的包会跟第四条(92.168.24.0/24)相匹配,(虽然最后一条也可以,但是匹配原则是匹配掩码最长的那条);接下来,172.16.5.1和第五条(172.16.0.0/16)匹配;10.1.2.7和第二条(10.1.2.0)相互匹配;200.100.50.0和前五条都不匹配,和第六条默认路由(0.0.0.0/0)相互匹配;10.2.2.2虽然和前三条的第一个8位位组匹配,但是后面3个8位位组不匹配,所以它将被丢弃而不会采用默认路由如果你在全局模式下使用了ip classless命令的话,目的地是10.2.2.2的包就不会被丢弃,就会采用默认路由.ip classless命令在Cisco IOS版本12.0和12.0以后默认打开的,无须手动打开Classless Routing Protocol Concepts基于无类概念的路由协议可以说是第二代路由协议,相比基于类的路由协议,它可以解决地址空间过于浪费的问题.这类协议的例子有RIPv2,OSPF,EIGRP,IS-IS,BGPv4.使用无类的路由协议,拥有相同主网络号的不同子网就可以使用不同的子网掩码(VLSM).假如在路由表中到达目的网络的匹配条目不止一条,将会选择子网掩码长的那条进行匹配.比如假如有两条条目172.16.0.0/16和172.16.5.0/24,如果目的地是172.16.5.99的包将会和172.16.5.0/24进行匹配而不是和172.16.0.0/16进行匹配还有一点是无类的路由协议的自动汇总可以手动关闭,这样的自动汇总会影响不连续的子网的使用而造成错误的汇总路由信息(这点和基于类的路由协议在不连续子网的情况下的自动汇总所带来的问题是一样的)Automatic Network-Boundary Summarization Using RIPv2 and EIGRP基于无类的路由协议一般不会对所有的子网进行宣告(advertise).默认的,比如像EIGRP和RIPv2会像基于类的路由协议那样,在网络的边界进行自动汇总,这样就使得它们能和它们的之前的RIPv1和IGRP很好的兼容但是和之前的RIPv1和IGRP不同的是,你可以手动关闭自动汇总.在配置相关路由的时候只需要输入no auto-summary就可以了.这个命令在配置OSPF和IS-IS的时候是不必输入的,因为默认OSPF和IS-IS不会进行自动汇总如下图:如果在不连续子网启用自动汇总会产生问题,比如上图的A和B都将宣告汇总路由172.16.0.0/16给C,因此C不能明确区分它相连的子网谁是谁.所以,要解决这个问题就必须关闭自动汇总.当然有的时候自动汇总能够带来好处看看RIPv2和OSPF网络对于自动汇总的处理,如下图:注意RIPv2会将172.16.2.0/24和172.16.1.0/24汇总成172.16.0.0/16;而OSPF就不会进行自动汇总,仍然是两条条目:172.16.1.0/24和172.16.2.0/24.但是假如你对RIPv2网络中使用了no auto-summary关闭自动汇总的话,OSPF网络中的C和RIPv2网络中C的路由表中的条目就是一样的了.如下图:在RIPv2中关闭自动汇总,如下:Router(config)#router ripRouter(config-router)#version 2Router(config-router)#no auto-summaryversion 2命令是启用RIPv2版本Characteristics of RIP Version 1RIPv1的特点包括:1.使用跳数(hop count)作为度来决定最佳路径2.允许最大跳数是15跳3.默认是每30秒广播路由更新(实际环境中并不是设定的固定为30秒,而是25秒到30秒之间的随机时间,防止两个路由器发送同时更新产生冲突)4.最多支持6条等价链路的负载均衡,默认是4条5.是基于类的路由协议,不支持VLSM6.不支持验证(authentication)Characteristics and Configuration of RIPv2RIPv2比RIPv1增强的特点包括:1.基于无类概念的路由协议2.支持VLSM3.可以人工设定是否进行路由汇总4.使用多播来代替RIPv1中的广播5.支持明文或MD5加密验证RIPv2使用多播地址224.0.0.9来更新路由信息RIPv2的配置命令步骤如下:1.启动RIP路由协议 :Router(config)#router rip2.启动版本2 :Router(config-router)#version 23.设置进行宣告的网络号Router(config-router)#network network-number一默认Cisco IOS会接收版本1和2的更新包, ;但是只发送版本1的包.要设置成只发送和接收一种版本的包,使用version {1|2}命令即可一些其他的命令,如下 :Router(config-if)#ip rip send | receive version {1|2} or 1 2在接口模式下设置摸个接口接受和发送不同版本的包或同时接收发送版本1和2的包Router(config-if)#ip summary-address rip network mask如果之前在全局配置模式下使用no auto-summary关闭了自动汇总的话,要在某个接口做人工汇总的话就用上面这个命令来看一个例子,如下图:如图所显示的是一个RIPv1和RIPv2协同工作的网络.A运行RIPv2,C运行RIPv1,B同时运行RIPv1和RIPv2对C的配置,如下:C(config)#router ripC(config-router)#version 2C(config-router)#network 10.0.0.0C(config-router)# network 192.168.1.0.对B配置,如下:B(config)#router ripB(config-router)#version 2B(config-router)#network 10.0.0.0光配置这些是不够的,还要对B做进一步配置,如下:B(config)#int s3B(config-if)#ip rip send version 1B(config-if)#ip rip receive version 1如上,我们在s3口配置了接收和发送RIPv1的更新,因为RIPv2是作为主要运做的协议,C运行的是RIPv1,所以要让B和C进行正确的信息交换的话,就要在B的s3口配置上述命令对A进行配置,如下:A(config)#router ripA(config-router)#version 2A(config-router)#network 10.0.0.0A(config-router)#network 172.16.0.0A(config-router)#no auto-summary如上我们关闭了自动汇总,当然这样是不够的,还应该做如下配置进行手动汇总:A(config)#int s2A(config-if)#ip summary-address rip 172.16.1.0 255.255.255.0这样做的目的是允许把172.16.1.0/24的信息发送给B,因为默认发送给B的信息是172.16.0.0/16Administrative Distance看看Cisco制定的各个路由协议的管理距离(AD),如下:Floating Status Route因为静态路由的AD比一些动态路由协议的AD高,假如你又想优先采用动态路由,而让静态路由作为备份路由的话,就可以在配置静态路由的时候指定一个AD值,这个AD值要比你采用的动态路由协议要高才行.所以一般当动态路由正常的时候,你在路由表里是看不到这条静态路由的;当动态路由出问题的时候,静态路由开始生效,于是出现在路由表里,这样的静态路由就叫做浮动静态路由(floating static route)来看一个例子,如下:对A的配置如下:A(config)#ip route 10.0.0.0 255.0.0.0 172.16.1.2 100A(config)#router eigrp 100A(config-router)#network 192.168.1.0A(config-router)#network 172.17.0.0如上,我们对静态路由的AD指定为100,EIGRP的AD为90,所以优先采用EIGRP对B的配置和A类似,如下:B(config)#ip route 172.17.0.0 255.255.0.0 172.16.1.1 100B(config)#router eigrp 100B(config-router)#network 10.0.0.0B(config-router)#network 192.168.1.0注意,不能在ISDN上配置EIGRP,因为ISDN一般作为备份连接,如果在ISDN上配置了EIGRP 的话,那ISDN连接将永久保持,就失去了作为备份连接的意义了Criteria for Inserting Routes in the IP Routing Table路由器决定最佳路径要参考以下几个标准,如下:1.有效的下一跳IP地址2.最佳的度3.管理距离4.选择前缀匹配最长的路由Protocols, Ports, and Reliability各个路由协议的协议号,端口号和可靠性的比较,如下图:。

01路由表的来源1.路由表的来源有三种：直连的路由、静态路由、动态路由；2.动态路由协议可分为三种：距离矢量路由协议、链路状态路由协议、混合路由协议；1.直连路由由路由器根据接口的IP地址和子网掩码计算而得出。

2.静态路由1.静态路由静态路由是管理员告诉路由器它不知道的网络怎么走，它自己知道的(它直连的网络)你就别说了；而动态路由协议是路由器本身要告诉其它路由器与它直连的网络有哪些，所以它只发布与它直连的网络；R1(config)#R1(config)#ip route 192.168.10.0 255.255.255.0 192.168.20.2//ip route +网络号+子网掩码+下一跳地址或R1(config)#ip route 192.168.20.0 255.255.255.0 fastEthernet 0/1//ip route +网络号+子网掩码+出口接口R1(config)#no ip route 192.168.20.0 255.255.255.0 fastEthernet 0/1 //删除静态路由2.浮动路由浮动静态路由本身是静态路由，浮动的含义是当原来的路由失效时，该路由才开始启动；因此在配浮动静态路由时需要将其管理距离做相应的调整，使得大于正常使用的其他路由协议获悉的路由。

//管理距离：直连C为0；静态为1；EIGRP为90；OSPF为110；RIP为120；R1(config)#R1(config)#ip route 192.168.10.0 255.255.255.0 fastEthernet 0/1 130 //浮动路由//相对于一般静态路由，浮动静态路由只不过是在后面多加一个管理距离而已//正常情况下，浮动路由不会出现路由表中3.默认路由R1(config)#R1(config)#ip route 0.0.0.0 0.0.0.0 fastEthernet 0/1 //默认路由3.动态路由1.距离矢量路由协议1).运行距离矢量路由协议的路由器定期向自己的邻居广播或组播更新自己的整个路由表；//RIPv2组播IP为224.0.0.9；2).配置：router ripnetwork 10.0.0.0version 2endshow ip routedebug ip ripshow ip interface briefshow ip protocolsno router rip2.链路状态路由协议1).运行链路状态路由协议的路由器之间不传输路由条目，它们之间传输的是链路状态(路由器某接口的带宽、掩码、接口类型等)；2).OSPF需要一个层次化的网络结构，它包含两种不同层次的区域：传输区域(骨干area0)和普通区域(非骨干区域)；//所有的非骨干区域必须和骨干区域相连；3).配置：router ospf 1 //1为进程号，只具有本地意思network 10.10.10.1 0.0.0.0area 0 //network＋IP地址＋0.0.0.0＋area 0network 20.20.20.0 0.0.0.255 area 0 //network＋网络号＋反掩码＋area 0endshow ip protocolsshow ip ospf interfaceshow ip ospf neighbor //查看OSPF邻居表show ip ospf database //查看OSPF拓扑表show ip route ospf //查看OSPF路由表no router ospf 13.混合路由协议1).具有链路状态的特性——使用三张表：邻居表、拓扑表、路由表；具有距离矢量的特征——路由器之间直接传递路由条目；2).配置：router eigrp 90 //90为自治系统号，路由器之间要想交换路由信息，自治系统号必须相同network 10.10.10.1 0.0.0.0 //按照链路状态路由协议的配法，没有区域号network 16.0.0.0 //按照距离矢量路由协议的配法no auto-summaryendshow ip routeshow ip protocolsshow ip eigrp interfacesshow ip eigrp neighbors //查看eigrp的邻居表show ip eigrp topology //查看eigrp的拓扑表show ip route eigrp //查看eigrp的路由表no router eigrp 9002路由信息协议RIP路由协议可分为距离适量路由协议和链路状态路由协议；1.RIP简介RIP，Routing Information Protocol，路由信息协议，是一种内部网关协议。

ccnp网络安全CCNP网络安全（Cisco Certified Network Professional Security）是由思科系统公司推出的一项专业认证，旨在评估和证明网络安全专业人员的技能和知识。

CCNP网络安全认证涵盖了网络安全的整个生命周期，包括设计、实施、管理和支持。

本文将介绍CCNP网络安全的重要性以及其所涉及的内容。

CCNP网络安全认证对网络安全专业人士来说至关重要。

随着网络技术的不断发展和信息安全问题的日益严重，网络安全人员的需求不断增加。

CCNP网络安全认证可以帮助个人获得综合的网络安全知识和技能，提高他们在网络安全领域的职业竞争力。

CCNP网络安全认证涵盖了多个重要主题，包括安全威胁和解决方案、安全架构和设计、安全实施、安全运营和支持等。

在学习过程中，考生将深入了解网络安全的基础概念和原则，掌握各种安全技术和工具的使用方法，并了解各种安全策略和安全风险的管理方法。

在安全威胁和解决方案方面，考生将学习如何识别和评估安全威胁，并学习各种安全控制和安全政策的实施方法。

他们还将了解到常见的安全威胁，如黑客攻击、病毒和蠕虫攻击、拒绝服务攻击等，并学习如何应对和解决这些威胁。

在安全架构和设计方面，考生将学习如何设计和实施安全网络架构，以满足组织的安全需求。

他们将了解到不同的网络安全架构，如网络隔离、安全域划分和安全区域划分，并学习如何评估和改进现有的网络安全架构。

在安全实施方面，考生将学习如何实施各种安全策略和控制，并学习各种安全产品和解决方案的部署和配置方法。

他们将熟悉各种安全设备和工具，如防火墙、入侵检测系统和虚拟专用网络，并学习如何使用这些设备和工具保护网络安全。

在安全运营和支持方面，考生将学习如何监测和管理网络安全，以及如何应对安全事件和安全漏洞。

他们将了解各种安全事件的检测和响应方法，并学习如何进行安全漏洞评估和修复。

总之，CCNP网络安全认证是网络安全专业人员提高职业素养和技能的重要途径。

CCNP路由RIPRIP＜RIP（Routing Information Protocol）＞·RIP属于IGP，是Distance-Vector协议。

·RIP协议的特点：1）RIP是基于UDP的，端口号5202）周期性以广（组）播向邻居发送更新。

3）做完整更新，将整个路由表的信息传递给邻居。

4）Metric（度量值）只跟跳数有关。

5）只支持等价的负载均衡·解决DV环路问题：1）Defining a Maximum：16跳。

2）Split Horizon：从一个接口收到的信息不再从此接口发出。

3）Route Poisoning：将不可达路由直接设成Infinity(16跳）。

4）Holddown Timers：所有邻居都将此路由“冻结”，如在“冻结”期内该路由恢复，继续采纳该路由如在“冻结”期收到更好的路由，将采纳更好的路由如在“冻结”期收到更差的路由，不采纳该路由5）Triggered Updates：避免周期性更新占用带宽，只有当拓扑变化时才发送更新。

＜RIP v1＞RIP-v1的特点：·以广播255.255.255.255发送更新。

·在跨越主类网络边界时，会自动汇总成主类网络。

·不支持VLSM，更新时不携带掩码信息，只以主类方式通告。

Classful Rouing：（落后的）RIPv1 / IGRPR2(config)#router ripR2(config-router)#network 10.0.0.0（只能以主类的方式宣告）R2#show ip protocolsInterface Send RecvSerial0/0 1 1 2 （默认）R2(config-router)#version 1Interface Send RecvSerial0/0 1 1 （指定v1)R2#deb ip rip＜RIP v2＞RIP-v2的特点：·以组播地址224.0.0.9发送更新。

jeff写的TCP/IP卷1 2CCNP学习笔记前言2011-1-19我开始了我的CCNP学习课程，为了更好的记录我的学习过程和方便我对我学习的知识进行整理，记录的本学习笔记。

一、复习以前的CCNA课程2011-1-19早上9：30，开始了第一天的课程，老师对我进行了测试，以了解我的CCNA知识体系结构是否全面。

测试的内容有：IP的划分、vlsm的设计、RIP协议、EIGRP协议、OSPF协议的基础知识。

今天的课程上老师纠正了我在划分VLSM时的错误方法，我以前习惯于从块比较大的子网开始划分，但是这样容易造成漏块的问题，正确的CISCO划分方法是从块小的开始分配ＩＰ地址，并使用VLSM划分列表从小到大，进行分配。

例如：具体分配步骤如下：分析topology中有7个子网，其中路由器之间的子网需要2个有效IP地址，因此应该划分为块大小为4的子网3个，8台主机需要一个块大小为16的子网，13台主机需要一个块大小为16的子网，100台主机需要块大小为128的子网。

子网表如下：在测试完VLSM的划分后，老师讲解了路由的相关知识，主要有不同路由路径的AD （Administrator Distance管理距离）、静态路由与动态路由的优缺点、路由器选择路由的基本原则、默认路由的配置。

缺省路由单接口默认，不识别双接口或多接口。

路由在选择过程中遵循最长匹配原则，一台路由器上只能有一条默认路由。

路由器密码丢失的回复步骤：1、重启路由器，在加载时按ctrl + break；2、在命令模式中输入confreg 0x2142 ；3、Reset路由器4、路由重启后进入用户模式copy start run5、重新设置密码6、将寄存器重新设置为2102 在config模式下输入config-register 0x21027、保存新密码copy run start8、重启路由器路由链路状态及可能故障点二、路由协议介绍Router protocol：IGP、EGPIGP：RIP、OSPF、EIGRP、IS-ISEGP：忘记了。