Yangbo's Blog

Posts Tagged ‘CISCO’

WOLF最新重磅推出! CCNP 4800 ！零起点，新版CCNP完整课程，7×24小时真实机架，送CCNA！CCNP120课时，送CCNA（24课时）共144课时 超值！一轮学不会不要紧，再送一轮完整课程！送2G U盘， 含：全套na，np中英文电子文档教材！行内性价比最高产品！www.wolf-lab.com联系wolf-lab各地老师！

从本周五开始每周五共享一天CCNA Security课程，希望大家多多光临bbs.wolf-lab.com，论坛每周还会有重要知识点讨论！
视频下载地址（解压缩密码:wolfccies）

http://www.rayfile.com/files/92cfd7ba-cab3-11de-a025-0014221b798a/

    一直以来，我以为操作系统上的IPV6地址是自动生成的，我以为是装好机器，接上网，IPV6的地址就生成了。

 

 

    今天装了一台虚拟机，  操作系统为Windows 2003 SP2.   手工在命令行中使用ipv6 install将IPV6协议安装好。接上虚拟的路由器。然后进netsh，show address  发现没有全局单播地址，有的只是本地链路地址。

   通过在Cisco的3750上面的fa0/0端口上面配置IPV6地址。一切OK以后。路由器就会发送和监听网络中关于IPV6邻居发现的数据包。当网络中有一台IPV6的Host接入时，此Host如果设置为自动获取IPV6地址，则会向网络中发送一个RS消息。

 

Nov 21 00:50:34.875: ICMPv6-ND: Received RS on FastEthernet0/0 from FE80::20C:29FF:FE3D:6E5C
Nov 21 00:50:34.879: ICMPv6-ND: Sending RA to FF02::1 on FastEthernet0/0
Nov 21 00:50:34.879: ICMPv6-ND:     MTU = 1500
Nov 21 00:50:34.883: ICMPv6-ND:     prefix = 2001:1:2:3::/64 onlink autoconfig
Nov 21 00:50:34.883: ICMPv6-ND:              2592000/604800 (valid/preferred)
R0#

 

当IPV6路由器在接口上收到该ND的RS包后。会根据请求发送自己的网络Prefix给发送RS的链路。然后设备再根据此链路上收到的网络Prefix和自己的MAC地址来自动生成一个全球单一的IPV6地址。

 

在设备上可以通过：show ipv6 neighbors来列出当前所有的IPV6邻居。此命令有点像IPV4中的show arp一样。

R0#show ipv nei
IPv6 Address                              Age Link-layer Addr State Interface
FE80::20C:29FF:FE3D:6E5C                    4 000c.293d.6e5c  STALE Fa0/0
2001:1:2:3:20C:29FF:FE3D:6E5C               4 000c.293d.6e5c  STALE Fa0/0
FE80::88B7:E005:C9C9:6504                   0 0050.56c0.0008  STALE Fa0/0

 

上面的IPV6地址就是根据路由器接口所宣告的prefix而自动生成的。

 

 

 

R0#ping 2001:1:2:3:88B7:E005:C9C9:6504

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:1:2:3:88B7:E005:C9C9:6504, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/24/44 ms

 

 

 

另附：IPV6配置文件

R0#show run
Building configuration…

Current configuration : 1225 bytes
!
! Last configuration change at 00:47:22 UTC Sat Nov 21 2009
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R0
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
memory-size iomem 5
ip subnet-zero
ip cef
!        
!
!
!
no ip domain lookup
!
ipv6 unicast-routing
ipv6 cef
!
!
!
!
interface FastEthernet0/0
ip address 172.16.31.1 255.255.255.0
duplex auto
speed auto
ipv6 address 2001:1:2:3:4::1/64
ipv6 enable
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!

end

 

 

 

R1#show ipv6 route
IPv6 Routing Table – 7 entries
Codes: C – Connected, L – Local, S – Static, R – RIP, B – BGP
       U – Per-user Static route
       I1 – ISIS L1, I2 – ISIS L2, IA – ISIS interarea, IS – ISIS summary
       O – OSPF intra, OI – OSPF inter, OE1 – OSPF ext 1, OE2 – OSPF ext 2
       ON1 – OSPF NSSA ext 1, ON2 – OSPF NSSA ext 2
O   2001:1:2:3::/64 [110/74]
     via FE80::C600:CFF:FE80:0, Serial1/1
C   2200:2001:1::/64 [0/0]
     via ::, Loopback1
L   2200:2001:1::1/128 [0/0]
     via ::, Loopback1
C   2200:2001:10::/64 [0/0]
     via ::, Serial1/1
L   2200:2001:10::1/128 [0/0]
     via ::, Serial1/1
L   FE80::/10 [0/0]
     via ::, Null0
L   FF00::/8 [0/0]
     via ::, Null0

标签：一个短而定长且物理连续的标识符，用于标识一组共享相同目的地的网络，一般仅在本地有意义。
标签栈：一个有序的附加在数据包头的标签集，栈中的所有标签都相互独立。
标签交换：基本的转发操作，包括查找入标签，确定出标签、封装方式、端口以及其他数据处理信息。
标签交换跳（LSH,Label-Switched Hop）：位于两个MPLS节点间的路由跳，在这些跳上使用标签进行转发。
标签交换路径（LSP）：特定FEC中的数据包在分层结构中同1层次所经历的一个或多个LSR路径。
标签经换路由器（LSR）：能够转发带有标签的数据包的MPLS节点。
MPLS域：一个执行MPLS路由和转发操作的连续节点集，通常位于同一个路由或管理域。
MPLS边缘节点：与MPLS域外的邻居节点进行互联的MPLS节点。
MPLS出节点：负责处理离开MPLS域的流量的节点。
MPLS入节点：负责处理进入MPLS域的流量的节点。
MPLS标签：携带在数据包头中表示数据包FEC的标签。
MPLS节点：运行MPLS的节点。MPLS节点能够理解MPLS控制协议，运行一种或多种3层路由协议，能够根据标签转发数据包。作为可选项，MPLS节点还可以转发纯3层的数据包。
MPLS的基本路由选择原理与其他路由协议完全一样。
FEC：Forwarding Equivalent Class
FEC是一组按相同方式、经相同路径、每跳转发处理行为均一致的IP包。
所有被分配到同一个FEC的数据包在转发决定上无任何区别，同一个FEC中的所有数据包（而不是某个数据包）都必须遵循与该FEC相关联的路径。
在MPLS中，数据包的检查以及FEC的分配都只发生一次，均由MPLS入节点来完成。FEC被编码为一个短而定长的值，称为标签，即数据包在被转发前就打上了标签。
从交换进程的角度看，MPLS网络中只有边缘LSR才进行路由表的查寻操作。
Cisco IOS软件中用于MPLS交换的底层机制由CEF来提供。
路由器交换机制：
进程交换（Process Switching）：独立处理每个数据包，在转发数据包之前需要查找整个路由表，这是最慢、也是最耗费资源的一种包转发方法。
高速缓存驱动型交换（Cache-driven Switching）：也叫快速交换（FastSwitching），使用存储在内存中的包目的地来转发数据包。对特定的目的地来说，第一个数据包仍采取进程交换方式，但处理完之后会在路由表内存中以快速交换缓存的方式增加一个表项，这样一来，以后碰到去往相同目的地的数据包时就无需再查找路由表了。也称为“一次路由，多次交换“。
拓扑驱动型交换（Topology-driven Switching）：也叫CEF交换，通过预定的FIB来实现高速的3层交换功能。
快速交换缓存中的条目有效时间为60秒。
CEF是一种使用FIB的拓扑驱动型交换技术，FIB是IP路由表的一种镜像映像，当拓扑结构发生变化时，FIB就会随着IP路由表的更新而更新。CEF FIB的更新不是数据包触发更新，而是变化触发更新，随着IP路由表的收敛，CEFFIB也随之更新。更新机制依赖于路由协议用以更新维护信息所用的算法（无论路由协议是链路状态协议还是距离矢量协议），但又与其相分离。
与快速交换缓存机制不同，FIB中无出接口以及相应的2层封装信息。为此，CEF维护了一张邻接表，其中，任何无法通过单条2层连接进行联系的节点都被称为邻接（adjacent）节点。邻接关系建立在2层之上，并被链接到FIB中的条目，
因而无需ARP请求操作。一旦发现了邻接关系，那么邻接表就会与相应邻接设备的相关信息一起被更新。
MPLS将传统的路由选择机制划分为两部分：控制平面和数据平面。
控制平面负责处理复杂的路由选择机制，包括OSPF、EIGRP、IS-IS、BGP和LDP等。
数据平面的唯一功能是根据路由协议或LDP提供的信息来转发流量，会创建一个存储标签信息的LFIB（LabelForwarding InformationBase），以便为转发引擎将数据包转发到目的地提供信息。创建LFIB的信息主要来自于LDP、BGP或RSVP（也可以是它们的组合）。
RSVP：Resource Reservation Protocol 资源预留协议
SLA：Service Level Agreement 服务等级协定
CE：Custom Edge
PE：Provider Edge
CPE：Custom Premise Equipment
通常情况下，CE路由器都会配置一条到达PE路由器的帧中继本地环路，帧中继连接在PE处被终结，CE与PE之间为3层交换，帧中继在这里仅起2层传输的作用。入口PE与出口PE之间的整个路径被称为LSP。
标签的结构：
20 bit    标签
3    bit    实验CoS
1    bit    栈底指示符
8     bit    TTL
MPLS标签示意：

1.jpg (9.28 KB)

2009-8-5 13:23

MPLS标签被插在2层和3层帧头部之间。
标签字段取值范围0~1048575，0~15保留。
栈底指示符S用在需要为某个数据包使用多个标签时的情况，取值0或1，1代表该标签为最后一个标签。如果为0说明前面还有其他标签。
标签栈机制有点类似GRE隧道在承载IP流时在IP中进行的IP封装。
标签常见的应用有：MPLS VPN，MPLS TE，MPLS VPN with MPLS TE。
MPLS VPN——利用MP-BGP（Multiprotocol BGP）来传递附加在数据包上用于标识特定VPN的第二个标签的相关标签信息。第二个标签与第一个MPLS标签被同时打在数据包上。
MPLS TE——MPLS Traffic Engineering使用RSVP来建立LSP隧道，由RSVP负责传递用来标识LSP隧道的标签的相关标签信息。这类标签位于标签栈中原始MPLS标签的顶部。
MPLS VPN with MPLS TE——需要在帧上附加3个或多个标签，包括原始MPLS标签、VPN标签和LSP标签。
标签栈示意：

2.jpg (10.49 KB)

2009-8-5 13:23

帧头部中的PID（Protocol Identifier）用来标识所用的3层协议，MPLS会改变PID。如由0×0800（IP）变为0×8847（MPLS-IP）。
标签的处理过程总是基于栈顶标签，可以认为标签栈具有一定的深度。
分两种MPLS模式：frame mode , cell mode(ATM)
Frame Mode MPLS：帧模式MPLS表示的是在以太网封装或其他基于帧封装的接口上使用的MPLS，但不包括ATM接口。由于ATM缺乏灵活的成帧结构，因而ATM使用的是信元模式MPLS，并有一些特殊的要求。
当PE路由器收到数据包后，它需要做出转发决定。如果出接口是启用了MPLS的接口，那么路由器就必须给该数据包打上标签，并以相应的2层成帧结构封装该数据包。同时，路由器还要更改帧头中的EtherType字段，以指定正确的3层协议，之后，路由器就将该数据包转发到路由表中规定的下一跳地址。
如果接收到数据包的路由器是位于网络核心的LSR，那么其工作就是简单地处理数据包的入站和出栈标签。非PE路由器无需处理任何路由选择问题，这是因为FIB已经建立，而且目的地已经存在于相应的FIB中了。
LSR必须能同时工作于控制平面和数据平面，虽然每台LSR都保持着一个完整的收敛后的路由表，但它们并不参与常规的路由选择操作。LSR维护路由表的作用仅仅是为了确保FIB随时保持在最新状态，从而确保能正确地分配标签，并正确地处理数据包。
标签的分发工作由标签分发协议（如LDP）来完成，LDP在数据平面内发布LFIB，以维护标签交换信息。
边缘LSR不仅要转发数据包，而且还要增加或移除标签，但这不是说在任何情况下PE路由器都需要这么做，边缘LSR在确定转发行为时可能存在多种情况：
1.基于目的IP地址来转发所接收到的标准IP包，此时出站接口未启用MPLS；
2.基于目的IP地址来转发所接收到的带有MPLS标签的数据包，此时出站接口启用了MPLS；
3.完全基于标签来转发所接收到的数据包，此时需要检查入站标签，并根据LFIB来交换标签，从而将数据包正确地转发到下一跳MPLS节点；
4.虽然基于标签来转发所接收到的数据包，但由于LFIB显示该边缘LSR为出站MPLS边缘设备，因而需要弹出标签，并进行传统的路由选择操作。
如果接收到的数据包被丢弃，那么就表示无对应的LFIB表项，即使路由表中存在该目的地。与此类似，如果路由表中没有所接收到的数据包的路由表项，那么即使LFIB中存在该目的地的表项，该数据包仍然将被丢弃。
LIB、LFIB和FIB，它们既相互关联，又相互独立。
MPLS需要依赖底层的路由协议来收集构建LFIB所需的信息，从本质上来说，LFIB是一个标签路由表。虽然标签是通过分发协议来共享的，但标签信息却是基于IP路由表信息来建立的。如果IP网出现路由收敛问题或其他不稳定情况，MPLS网络也将受到相似的影响。
一旦构建完路由表且路由收敛过程也完成，那么每台LSR都要为路由表中的每个目的地分配标签，这些标签都只在本地有意义，并被存储在LIB中。接着，LSR会向其邻接对等体宣告其已分配的标签情况，之后，其邻接对等体将下一跳标签信息与网络目的地关联在一起，这些信息都存储在FIB中。每台LSR都根据接收到的标签信息构建自己的LIB、LFIB和FIB。
LIB是控制平面的一部分，为LDP进行标签分发提供相应的数据库。在数据库中，IP前缀与其从下游对等体学到的本地标签和下一跳标签关联在一起，LIB就负责维护IP前缀与已分配的标签和正在分配的标签之间的映射关系。
LFIB是数据平面的一部分，为转发带标签的数据包提供相应的数据库。IGP被用来在整个网络中的所有MPLS路由器之间传播路由表信息，路由器基于IGP路由更新中所共享的信息，就可以确定去往每个网络目的地度量值最佳的路径。
FIB也是数据平面的一部分，为转发不带标签的IP包提供相应的数据库。从本质上来说，FIB与IP路由表相同，如果到达下一跳目的地需要经过一个不支持MPLS的输出接口，那么就需要用到FIB信息，而忽略了LIB和LFIB信息。
标签交换和传统的路由选择非常相似，两者最大的区别在于标签交换和标签分发无需分析网络层信息。
标签分发的基本方式有两种：下游自主标签分发方式，下游按需标签分发方式。
入站数据包的转发方式多种多样，包括有标签转发方式和无标签转发方式。
有标签的输入数据包通过LFIB进行转发，并且以有标签数据包的形式发送出去。无论是否实现了PHP机制，远端边缘LSR都会将标签弹出。边缘LSR可以为无标签数据包打上标签并转发出去，但是当网络处于收敛期或导致目的地信息不完整的状态下会出现例外，此时将采取临时包传播方式。
临时包传播：当数据包到达特定LSR时，如果该LSR知道所需FEC相关联的标签可以将数据包转发出去时，就会利用存储在FIB中的信息转发该数据包，该数据包也就理所当然地被转发到FIB所列出的下一跳路由器。收到该数据包的下游路由器会进行查找以确认是否有标签与所需的FEC相关联。如果有，该接收数据包的下游路由器就会给数据包更换标签并按照标签规定的方式转发该数据包；如果没有，将重复该过程。有理由相信（虽然不太可能）网络中沿途的路由器可能都采取CEF交换方式。该功能的起因是允许网络处于收敛期或其他导致MPLS路由器中无特定FEC的标签时，可以继续转发数据包。
PHP是一种相对简单的提高效率的功能特性。对出口边缘LSR来说，需要在入站带标签的数据包上执行查找操作，如果目的网络是一个直连网络（即此路由器为最后一跳），那么就没有为该目的地定义标签，此时就需要弹出标签，并发起FIB表查找过程，因而这种两次查找操作的效率较低。PHP机制允许边缘LSR前的那个LSR（倒数第二跳）就将标签弹出，因而称为倒数第二跳弹出（Penultimate HopPopping）。
TDP: 1~15 label are reversed. label 3 is a null/pop label.
LDP: 1~9 label are reversed. label 1 is a null/pop label.
当下游路由器意识到它自己是LSP中的倒数第二个节点时，就可以向上游路由器分发标签值3。当上游路由器看见标签值为3时就会移除标签并按照正常方式转发数据包，上游路由器中的LIB将会视为imp-null（不会显示为3）。
TDP:Tag Distribution Protocol
LDPabel Distribution Protocol
接口上启用MPLS的三个步骤：
1.配置CEF——启用MPLS的前提条件是首先启用CEF。
2.在帧模式接口上配置MPLS——MPLS骨干接口必须启用MPLS。
3.根据需要配置MTU大小——为了防止帧的MTU超过接口的允许大小，应手工调整MPLS接口的MTU值。
CEF是一种高级的3层交换技术，优化了大规模、动态流量模型网络的性能和稳定性。与进程交换或快速交换相比，CEF交换对CPU的占用要少得多。CEF可以运行于集中模式或分布模式。FIB和邻接表为CEF提供了运行库，CEF利用FIB来确定IP目的地的交换方式，邻接表提供了一个2层信息库，包括2层下一跳信息。CEF利用邻接表来确定输出流量的2层信息，从而无需运行ARP或其他2层/3层解析进程。
常用命令：
为了在路由器上启用MPLS，需要在全局模式下使用命令mpls ip，之后再在运行MPLS的接口上重复该命令。
SW(config)#mpls ip
SW(config-if)#mpls ip
SW(config-if)#tag-switching ip （老式命令，使用之后在show run中会显示为mpls ip）
SW(config-if)#mpls label protocol ?
both Use LDP or TDP (Adapt to peer on multiaccess interface)
ldp    Use LDP (default)
tdp    Use TDP
配置MPLS必须要启用CEF。
SW(config)#ip cef （全局启用CEF）
SW(config)#ip cef distributed （启用dCEF）
SW(config-if)#ip route-cache cef （在特定接口上启用CEF）
SW#show ip cef
SW#show ip cef detail
SW#clear adjanceny
SW#clear ip cef inconsistency
SW#clear cef interface
SW#debug ip cef
SW#debug ip cef events
CEF配置中还提供了以下可选功能：
CEF负载均衡——可以实现基于目的地或基于数据包的负载均衡。
CEF网络计费——可以收集各种流量统计信息。
CEF分布式隧道交换——该功能随CEF自动启动且不可配置，可以实现GRE等隧道的交换功能。
建议在非MPLS接口上应用访问控制列表，以阻塞TDP或/和LDP流量。TDP使用TCP端口711，LDP使用UDP端口646，这样做的目的是加强说明该接口不属于MPLS架构范围。
当数据包仅有一个标签，那么MTU为1504字节就可以了。当部署MPLS-TE或MPLS-VPN时，就需要再增大MTU大小，在同时配置MPLS-TE和MPLS-VPN的情况下（MPLS-VPN with MPLS-TE），MTU应该为1512字节。
配置MTU大小：
SW(config-if)#mpls mtu ?
<64-65535> MTU (bytes)
SW#show mpls ldp neighbor
SW#debug mpls ldp bindings

配置EIGRP的基本步骤：
1.

R2(config)#router eigrp ?
  <1-65535>  Autonomous system number  启动EIGRP

R2(config)#network network-number [wildcard-mask]  宣告参与EIGRP的网络

R2(config)#auto-summary / no auto-summary 启用和打开自动汇总功能。默认为打开。

R2(config-if)# ip summary-address eigrp [as-number] [address] [mask] 在接口模式下手工汇总。

 

R2(config-router)#variance ?
  <1-128>  Metric variance multiplier 设置不等价的负载均衡为多少条。

R2(config-router)#eigrp stub ?
  connected     Do advertise connected routes
  receive-only  Set IP-EIGRP as receive only neighbor
  static        Do advertise static routes
  summary       Do advertise summary routes
  <cr>

EIGRP区域类型设置。

在hub-spoke网络中使用，提高路由稳定性，stub路由器向邻居汇报它为stub router,邻居不查询stub router,缺省配置为connected和summary

connected: 指定该路由器可以把和它直接相连的网络信息传递给它的邻居，这个选项默认是开启的。

receive-only : 不能和其它3个参数(connected,static,summary）一起使用。只接收从邻居路由器发送来的信息。

static ： 把静态路由信息传递给它的邻居。

summary：把汇总路由信息传递给它的邻居，这个选项默认是开启的。

网络拓扑图：

Learning Objective
In this lab, you will use BGP commands to prevent private AS numbers from
being advertised to the outside world. You will also use the AS_PATH attribute to
filter BGP routes based on their source AS numbers.
Scenario
The International Travel Agency’s ISPhas been assigned an AS number of 300.
This provider uses BGP to exchange routing information with several customer
networks. Each customer network is assigned an AS number from the private
range, such as AS 65000. Configure ISP to remove the private AS numbers
within the AS_Path information from CustRtr. In addition, the ISP would like to
prevent its customer networks from receiving route information from International
Travel Agency’s AS 100. Use the AS_PATHattribute to implement this policy.

 

Step 1: IP Addressing
Build and configure the network according to the diagram, but do not configure a
routing protocol.
Use ping to test the connectivity between the directly connected routers. Note
that SanJose cannot reach the customer network for CustRtr. It cannot reach it
by the IP address in the link leading to CustRtr nor the loopback interface
202.0.0.1/24.
Note: SanJose will not be able to reach the customer network for ISP,
CustRtr. It will not be able to reach it by the IP address in the link leading
to the CustRtr, nor the loopback interface, 202.0.0.1/24.

Step 2: Configure BGP 
Configure BGP for normal operation. Enter the appropriate BGP commands on
each router so that they identify their BGP neighbors and advertise their
loopback networks:
SanJose(config)#router bgp 100
SanJose(config-router)#neighbor 192.168.1.6 remote-as 300
SanJose(config-router)#network 201.0.0.0
ISP(config)#router bgp 300
ISP(config-router)#neighbor 192.168.1.5 remote-as 100
ISP(config-router)#neighbor 172.24.1.18 remote-as 65000
ISP(config-router)#network 202.0.0.0
CustRtr(config)#router bgp 65000
CustRtr(config-router)#neighbor 172.24.1.17 remote-as 300
CustRtr(config-router)#network 203.0.0.0
Verify that these routers have established the appropriate neighbor relationships
by issuing the show ip bgp neighbors command on each router.

 

Step 3: Remove the Private AS
Check SanJose’s routing table by using theshow ip route command. SanJose
should have a route to both 202.0.0.0 and 203.0.0.0. Troubleshoot, if necessary.
Ping the 203.0.0.1 address from SanJose. Why does this fail?
Ping again, this time as an extended ping, sourcing from the Loopback 0
interface as follows:
SanJose#ping
Protocol [ip]:
Target IP address: 203.0.0.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y

Source address or interface: 201.0.0.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 64/64/68 ms
Check the BGP table from SanJose by using the show ip bgp command. Note
the AS path for the 203.0.0.0 network. The AS 65000 should be listed in the path
to 203.0.0.0. Why is this a problem?
BGP table version is 4, local router ID is 201.0.0.1
Status codes: s suppressed, d damped, h history, * valid, > best, i –
internal   Origin codes: i – IGP, e – EGP, ? – incomplete
   Network          Next Hop            Metric LocPrf Weight Path
*> 201.0.0.0        0.0.0.0                  0         32768 i
*> 202.0.0.0        192.168.1.6              0             0 300 i
*> 203.0.0.0        192.168.1.6                            0 300 65000 i
Configure ISP to strip the private AS numbers from BGP routes exchanged with
SanJose. Use the following commands:

ISP(config)#router bgp 300
ISP(config-router)#neighbor 192.168.1.5 remove-private-as
After issuing these commands, use the clear ip bgp * command on SanJose to
reestablish the BGP relationship between the three routers.
Wait several seconds, and then return to SanJose to check its routing table.
Does SanJose still have a route to 203.0.0.0?
SanJose should be able to ping 203.0.0.0.
Now check the BGP table on SanJose. The AS_PATH to the 203.0.0.0 network
should be AS 300.
BGP table version is 8, local router ID is 201.0.0.1
Status codes: s suppressed, d damped, h history, * valid, > best, i –
internal   Origin codes: i – IGP, e – EGP, ? – incomplete
   Network          Next Hop            Metric LocPrf Weight Path
*> 201.0.0.0        0.0.0.0                  0         32768 i
*> 202.0.0.0        192.168.1.6              0             0 300 i
*> 203.0.0.0        192.168.1.6                            0 300 i

Step 4: Use the AS_PATH Attribute to Filter Routes
As a final configuration, use the AS_PATH attribute to filter routes based on their
origin. In a complex environment, this attribute can be used to enforce routing
policy. In this case, the provider router, ISP, must be configured so that it does
not propagate routes that originate from AS 100 to the customer router, CustRtr.
First, configure a special kind of access list to match BGP routes with an
AS_PATH attribute that both begins and ends with the number 100. Enter the
following commands on ISP:
ISP(config)#ip as-path access-list 1 deny ^100$
ISP(config)#ip as-path access-list 1 permit .*
AS-path access lists are read like regular access lists, in that they are read
through in order and have an implicit deny at the end. Rather than matching an
address in each statement, like a conventional access-list, they match on
something called regular expressions. Regular expressions are a way of
matching text patterns, and have many uses. In this case, we will using them in
the AS-path access list to match text patterns in AS-paths.
The first command above uses the ^ character to indicate that the AS_PATH
must begin with the given number 100. The $ character indicates that the
AS_PATH attribute must also end with 100. Essentially, this statement matches
only paths that are sourced from AS 100. Other paths, which might include AS
100 along the way, will not match this list.
In the second statement, the . character is a wildcard, and the * symbol stands
for a repetition of the wildcard. Together, .* matches any value of the AS_PATH
attribute, which in effect permits any update that has not been denied by the
previous access-list statement.
For more details on configuring regular expressions on Cisco routers, use the
following link:

http://www.cisco.com/en/US/docs/ios/12_2/termserv/configuration/guide/tcfaapre_ps1835_TSD_Products_Configuration_Guide_Chapter.html

 

Now that the access list has been configured, apply it as follows:
ISP(config)#router bgp 300
ISP(config-router)#neighbor 172.24.1.18 filter-list 1 out
The out keyword specifies that the list is applied to routing information sent to
this neighbor.
Use the clear ip bgp * command to reset the routing information. Wait several
seconds, and then check the routing table for ISP. The route to 201.0.0.0 should
be in the routing table.
Check the routing table for CustRtr. It should not have a route to 201.0.0.0 in its
routing table.

Return to ISP and verify that the filter is working as intended. Issue the command
show ip bgp regexp ^100$.
The output of this command shows all matches for the regular expressions that
were used in the access list. The path to 201.0.0.0 matches the access list and is
filtered from updates to CustRtr.
ISP#show ip bgp regexp ^100$
BGP table version is 4, local router ID is 202.0.0.1
Status codes: s suppressed, d damped, h history, * valid, > best, i –
internal   Origin codes: i – IGP, e – EGP, ? – incomplete
   Network          Next Hop            Metric LocPrf Weight Path
*> 201.0.0.0        192.168.1.5              0             0 100 i

 

 

以上内容均为实验手册上面的东东：

做了这个实验，我学到了几点：
1.可以使用remove-private-as 去掉（隐藏）私有AS区域号。
2.As-path的使用需要先定义一个as-path access-list.   （ip as-path access-list number(1-500) deny{permit} 正式表达式）
3.然后再应用在neighbor上面就OK了。

 

模拟器的.NET文件和配置下载：

知识就是力量 无忧网客联盟在线技术沙龙大会
知识就是力量 无忧网客联盟携手北京wolf实验室，北京cj-club, 陕西西安时代教育，浙江博学教育等实力培训公司奉献出精彩的技术课程。会员可以和众多名师能与面对面的技术讨论，交流。

以下课程都是进入思科演讲厅进行参加活动，请回复此帖子就可以看到演讲厅号码与进入ppt系统的key

此技术沙龙晚上7.30语音提前开始测试，桌面提前10分中测试。开会后半个小时将会锁定会议系统，到时候除绿色通道以外的帐号都无法进入语音系统，以免打扰老师讲课。谢谢大家支持！！其他早上的课程都是一样操作方法。

net527超级技术沙龙群 35744555

　 　 在线技术沙龙第一阶段 　 　 　
日期 时间 课程 老师 培训公司 备注
10月19日 20：00-22：00 MPLS/VPN技术架构 Calvin.Cai 陕西时代教育 　Rs & Isp 双料CCIE
10月22日 20：00-22：00 MPLS TE流量工程
Calvin.Cai 陕西时代教育 　Rs & Isp 双料CCIE
10月23日 20：00-22：00 AToM/VPLS二层MPLS VPN Calvin.Cai 陕西时代教育 　Rs & Isp 双料CCIE
10月24日 09：00-11：00
ASA防火墙搭建SSL VPN
秦柯 wolf实验室
WOLF安全掌门人(明教教主)　
10月25日 09：00-11：00
IOS实现Group Encrypted Transport VPN 秦柯 wolf 　WOLF安全掌门人(明教教主)　

以下内容需要回复才能看到

ispeak 房间号

无忧网客联盟思科厅 248169

进入ppt的路径。

http://meeting.zoho.com/login/enterdetails.jsp?invalid=true&email=null&name=null

课程科目 ppt共享
MPLS/VPN技术架构 161 795 8170
MPLS TE流量工程 264 071 4530
AToM/VPLS二层MPLS VPN 384 559 8730
ASA防火墙搭建SSL VPN 600 462 4520

IOS实现Group Encrypted Transport 762 013 2860

请大家参照课程表，里面有具体事件和老师。

不会参加次会议请参考一下帖子

http://bbs.net527.cn/thread-15673-1-1.html

Google sites: http://google.ghitr.com/cisco/dynamips-mo-ni-qi-mo-kuai-xiang-xi-jie-shao

 

注意：保证你的IOS版本在12.2S以上,在模拟交换时候为了保证实验能成功.IOS版本在12.3以上

一：参数介绍 

C7200

Slot 0:
  C7200-IO-FE      <——> 支持1个Fastethernet接口
  C7200-IO-2FE    <——> 支持2个 Fastethernet接口 (DynamipsGUI 2.3 里面没有这个选项,想用只有自己添加了)
  C7200-IO-GE-E  <——> 插这个卡以后会同时出现2个端口,Ethernet0/0和GigabitEthernet0/0 (反正我没有用到过这个卡)

注意:这三个卡只允许插在Slot0口,如果插入后面的slot口是无效的.

Slot 1-5:
  PA-2FE-TX         <——> 支持2个Fastethernet接口
  PA-FE-TX           <——> 支持1个Fastethernet接口
  PA-4E                 <——> 支持4个Ethernet接口
  PA-4T+              <——> 支持4个serial接口
  PA-8E                 <——> 支持8个Ethernet接口
  PA-8T                 <——> 支持8个serial接口
  PA-A1                  <——> 支持1个ATM port adapter接口
  PA-GE                 <——> 支持1个GigabitEthernet接口
  PA-POS-OC3      <——> 支持1个Packet Over SONET/SDH接口(用于更高速度的接口)

C3600(3620/3640/3660)

  NM-16ESW           <——> 支持16个Fastethernet接口(交换模块,在使用此模块做交换实验时候,请使用no ip routing 关闭端口路由)
  NM-1E                   <——> 支持1个Ethernet接口
  NM-1FE-TX           <——> 支持1个Fastethernet接口
  NM-4E                   <——> 支持4个Ethernet接口
  NM-4T                   <——> 支持4个serial接口
  Leopard-2FE         <——>支持2个Fastethernet接口(3660专用,并且只能在slot 0 下使用)

注意:3620只能使用2个slot,3640可以使用4个slot,除Leopard-2FE模块做了限制,其他模块没有做限制插具体哪个slot.(DynamipsGUI里对slot已经做了限制,最近DynamipSeeV2.0已经发布了,但是里面不支持3660)

c3725/c3745/c2691

  GT96100-FE       <——>支持2个Fastethernet接口(只限制在slot 0)
  NM-16ESW          <——>支持16个Fastethernet接口(不做重复说明)
  NM-1FE-TX           <——>支持1个Fastethernet接口
  NM-4T                     <——>支持4个serial接口

c2600(2610/2611/2620/2621/2610XM/2620XM/2650XM)

  NM-16ESW                   <——> 支持16个Fastethernet接口
  NM-1E                           <——> 支持1个Ethernet接口
  NM-1FE-TX                 <——> 支持1个Fastethernet接口
  NM-4E                           <——> 支持4个Ethernet接口
  CISCO2600-MB-2E    <——>支持2个Ethernet接口
  CISCO2600-MB-2FE  <——>支持2个Fastethernet接口

注>DynamipsGUI里的模块CISCO2600-MB-2E,CISCO2600-MB-2FE,并且只有2620类型可选
Dynamipsee里有2610/2611/2620/2621/2610XM/2620XM/2650XM类型选择.但没有2610/2611/2620/2621/2610XM/2620XM/2650XM
 建议:找个小的IOS把2600模拟成主机用 C2600IOS

二：图形介绍

此模拟器可以自己选择加载IOS，能比较真实的再现硬件环境

首先我按图中序号对每个区域进行介绍:

 

①:此区域是选择交换机和路由器的个数(有点废话)

②:这个地方是选择设备类型,IOS路径,idle-p值NPE类型,虚拟(表示虚拟设备的RAM所占的内存大小,因为dynamips在模拟时候需要将主机的物理内存模拟成模拟设备的RAM)

③:此区域是配置分布式的dynamips的设置区域.这个区域暂时还用不到.④:这里可以选择一些不需要IOS的模拟设备。如：FrameRelay交换机ATM交换机,以太网交换机(现在已经有支持交换的模块NM-16ESW).由模拟器自己提这些功能.⑤:设备类型,选择你所需要模拟的设备，以上的设备为dynamips目前支持的类型,其他的都不支持.

⑥:这里可以设置连接到主机通信(下文详细介绍)

⑦:可以直接读取真实设备里的NVRAM里的配置文件(.ini格式)

⑧:输出目录(自己先建立).

根据上面这个拓扑来介绍,希望大家在弄懂基本东西以后,可以在举一反三吧.东西是活的,活学活用）

接下来,我从起始配置到最后开始实验在做逐步讲解.

1.首先选择根据上面这个拓扑图(建立在做实验的时候在草稿纸上画好拓扑图,注释好个端口设备的IP).我们来用dynamipsGUI来配置脚本文件(注意:现在的dynamipsGUI和dynamipsee都是可以视化的写dynamips的脚本程序.不是模拟器.有的初学者.总以为这两个程序是模拟器.真正的模拟器是dynamips).未安装的朋友请点下载好安装.点击桌面DynamipsGUI图标打开.

2.好了,打开以后,根据上面的图我们假设R1，R2，R3都使用3640,而R4使用7200.那么我们选择路由器个数为4，并选择桥接到PC.在⑤设备类型里钩选3640 和7200.如图:

3.在②设备配置区域里下拉选择7200,然后浏览选择你的IOS文件.（注意IOS在网上下载后,后缀名为BIN，大家需要将后缀名字改为RAR，然后在解压出来,这样在运行模拟设备时候就避免了再解压）.接一下步是最让初学者感到困惑的地方.计算idle-pc值(idle-pc只为了解决在开启模拟设备时不至于你的CPU占有率达到100%,所以这个值对于能做好实验很重要).好.指定好IOS路径以后.我们点击计算idle-pc,确定IOS文件存在.之后在弹出窗口中按任意键继续.如图:

之后看到的就是设备的启动了(如同真实设备一样).然后在设备的用户模式下(Router#)下,先按组合键ctrl+] ,接着在单独按i键.记住不要三个键一起按.按完以后就是等待了.如图:

等待一会儿,出现下图:

看到下面出现一排值.这就是我们所需要的idle-pc值.那么这么多我们怎么选择呢？好！注意看count等于后面的数字.找到一个count最大值.然后记下前面的一串16进制数.例如上面这图.count=72,这个里面有两个72的值,我们同时记下这两个值.0×605c33fc 和0×605c345c.然后在回到dynamipsGUI界面.将0×605c33fc(或者0×605c345c)填入.(说一下这地方的原则:大家不要一味的相信最大值就是必须要选择的值.这要看情况而定.如果当你选择一个最大值,然后在后面开设备的时候却出现了CPU100%的情况,那么这个时候你就应该重新去计算idle-pc值,只到CPU占有率维持在一个正常值.我上面说的选取最大的count值是应该理解为从最大的count值开始去试.这样一直到找到一个合适的idle-pc值)

4.接下来是NPE类型这里 dynamipsGUI已经有默认值了.我们不需要在去设置它.而在虚拟内存这里dynamipsGUI作者也给出了各个类型模拟器的默认值.大家可以根据IOS的大小去更改.也要根据自己的物理内存而定.而后面的参数128 –disk0 4 ,128的意思是拿128MB的物理内存来作为虚拟设备的RAM, –disk0 4是dynamips的参数在说明文件中的解释为: –disk0 : Set PCMCIA ATA disk0: size.这是节省内存的参数.不过3600不支持这个参数.大家如果想深入研究可以读说明文档内容,如下:

The emulator currently supports the following platforms:

- Cisco 7200 (NPE-100 to NPE-400)

- Cisco 3600 (3620, 3640 and 3660)

- Cisco 2691

- Cisco 3725

- Cisco 3745

- Cisco 2600(2610/2611/2620/2621/2610XM/2620XM/2650XM)

To emulate another platform, use the “-P” command line option (for example,

“-P 3725″ or “-P 3600″).

For the 7200, you can change the NPE type with the “-t” option.

It is possible to select “npe-100″, “npe-150″, “npe-175″, “npe-200″,

“npe-225″, “npe-300″ and “npe-400″. The “npe-g1″ is not working.

For the 3600, a 3640 with 128 Mb is emulated by default. You can change this

with the “-t” option and by specifying “3620″ or “3660″.

Don’t forget to set the chassis type depending on your IOS image,

a c3660 image will not run on c3640 hardware and vice-versa.

Remark: PCMCIA card emulation is not supported yet with Cisco 3600.

还有一个要说明的,大家如果在以后碰到dynamipsGUI界面的虚拟碰到后面跟一个参数-X（注意为大写）比如96 –X 意思是不使用一个模拟的RAM文件,这样可以使用速度更快.原说明文档也有介绍:-X : Do not use a file to simulate RAM (faster)

我对新手的建议:关于NPE绾紊柚?大家在使用dynamipsGUI时就使用默认的.关于虚拟大小如何设置.主要还是根据你的IOS大小来定.dynamipsGUI也给了默认值.

5.接下来我要拿来单讲的就是这个寄存器的值了.很多人在做实验的时候都问,为什么copy run start以后.下次重新启动虚拟设备时.设置没有被保存.主要就是这个地方的设置问题了.学思科的人都清楚0×2142和0×2102了. 0×2142启动时是不从NVRAM读配置.而0×2102相反.因为dynamips默认是0×2142 所以我们需要在这个地方改为0×2102就可以了.然后在到虚拟的路由设备里面在show ver看看,你会发现寄存器的值0×2142(虽然我们这之前在dynamipsGUI已经配置过)但还是要重新在改一次寄存器的值才能最后的保存你的配置命令:config-register 0×2102

然后再配置在copy run start，再reload看看.你就会发现设置保存成功!

6.好的.上面已经把7200都配置好了.完了以后点寄存器下面的确定.3640也是一样(其它的设备也是如此配置)配置完后确定. OK！两个设备都配置完毕.接下来.哦还记得我上面的那个拓扑图吧。对,还有一个桥接到本地PC与我们自己的主机通信(我要说明一下.不一定非要桥接到PC.我这里是故意弄一个PC桥接,因为很多朋友这个地方搞不清楚).我们选择⑥区域里的下拉.选择NIC-O(dynamips可以支持多块网卡桥接),然后点击计算桥接参数.在弹出的界面里已经有很详细的说明.如图:

在这里我就不在重复了(免得说我罗嗦).只说一点.例如这张图中我们应该选择的是第三个网卡信息,即本地网卡信息而不应该选择第二个(是PPPOE拨号的).OK。如本图应该为: \Device\NPF_{36CC519A-AAF8-4C53-A9EC-7E0B88D917D6},记下网卡信息最好填到dynamipsGUI界面相应位置.好了.现在选择一个输出目录吧.下一步!! 6.这里就是确定设备名字和telnet端口还有各个slot模块信息.关于slot的模块可以参见我的帖子(下面我不在作模块介绍了):配置好每个设备点击确定配我也配置一下.首先是R4（7200）根据图中要求如图:

然后是3640 三个都是一样的

这里我解释一下界面下面的控制台输出(操作系统我不废话了,不会还有哪个连自己是什么系统不知道的),如果选择TCP输出则需要用telnet连接.推荐使用SecureCRT.如果是直接输出,就是不用telnet连接了,就是直接在窗口下输出CLI界面,就是”””(没办说清楚了,大家自己去用用看就知道了).完事!下一步。

7.根据拓扑连设备吧.我没什么好说的了.就是将拓扑图中各个相连的端口连起来(废话),我也连了一下.发个图.新手自己慢慢体会吧.呵呵(注:图中XPC就是主机)

最后完事点生成BAT文件.在到你的输出目录里去吧.生成的文件如图：

然后依次点R1.bat,R2,bat,R3,bat,R4.bat 意思是打开这四个模拟路由器！.

SecureCRT

然后就用SecureCRT连接了IP地址是:127.0.0.1 端口根据配置的console的值!

例如本教程中R1路由器端口设置的是2001 下面我们使用SecureCRT来登陆.

安装好SecureCRT 打开. 点在标签中建立连接

如下图:

点新会话看下图:

接着下图:

下一步如图:

接着在下一步就可以了,最后在连接就看到下图了：

采用最新的Dynamips-0.2.6-RC5的核心.

纠正了相关的BPDU的错误

加入了idlepc动态获取功能

集成了多个版本实验环境

安装目录可以任意选择,无需要固定在D盘

注:在网上很多发布所谓的超小内存版,其实就是使用较小的IOS软件某些功能不能够支持.而我们使用的是功能较全,IOS较小的,适中解决的办法.

具体使用请查看压缩包中的说明.doc文档文件

idlepc的新使用方法简介:

1.首先start R1

2.使用idlepc get R1命令获得idlepc值

3.待系统将idlepc计算完成并显示后,选择带有*号的值,此值为建议值

4.打开task manager(任务管理器)观察CPU的使用率

5.如果发现没有变化,使用idlepc show R1,重新选择,或使用idlepc get R1重计算

6.确定最佳的idlepc后,使用idlepc save R1 db保存此值.

7.其它的虚拟器只需要是相同的IOS的将自动采用此idlepc的值.

下载地址：

QUOTE:

ftp://www.edurainbow.com/Software/Dynamips/eduRainbow@Dynamips-0.2.6-RC5.rar

ftp://ciscoftp.njut.edu.cn/Software/Dynamips/eduRainbow@Dynamips-0.2.6-RC5.rar

ftp://ciscobbs.njut.edu.cn/Software/Dynamips/eduRainbow@Dynamips-0.2.6-RC5.rar

帐号:edurainbow

密码:cisco

 .

.

.

.

.

 *********************************************

Dynamips NPE类型取值

NPE = Network Processing Engine…..也就是说NPE就是7200的CPU…
其后的100,150,400代表路由器的主频…单位是MHZ…

所以NPE-400 就是主频为400MHZ的MIPS RISC CPU…….

补充一句….NPE也只有7200系列的才有….7500系列的我记得应该叫RSP才对……
为什么26,36没有NPE可选呢…因为这些低档机器的CPU已经焊到主板上了,换CPU的操作对我们这些初级工程师来说,难度太高了…….

模拟器UDP端口报错的解决方法

问题现象：
Reading configuration file…
*** Warning: Connecting R1 f0/0 to SW1 f1/5 resulted in:
  206-unable to create UDP NIO
Error: lost communication with dynamips server localhost
It may have crashed. Check the dynamips server output.
Exiting…
Press ENTER to exit

问题原因
需要的UDP端口号已被其他程序占用（例如迅雷这个端口杀手，一开迅雷无数端口被占）
解决方法
请您打开net文件夹及其子文件夹，默认c:\program files\edurainbow\dynamips@edurainbow\net
用记事本打开net文件，将
[localhost]
port = 7200
udp = 10000
workingdir = ..\tmp\
中的
udp = 10000
修改为
udp = 11000
或其他未被使用的端口
注意，所有net文件都需要手工修改，CCIE-RS的net中包含3个localhost字段，均需修改成不同的端口号
稍后将编写自动修改程序，目前请您先手工修改
#########################################################
我的解决办法是：
关闭讯雷，然后打开CISCO模拟器程序，正常。

一、概述

该中心为某市人口信息管理中心，经常需要与区县等人口办公室同步数据。还需与市政等相关部门交换信息。

二、现有网络状况

该中心采用两台H3C MSR20-31路由器，做为出口设备做NAT。因前一次网络架构时，用户方末向设计施工人员做到完整的交底，所以导致现在网络只能做单方向的访问，中心以外的其它办公室无法访问到中心内部的服务器。

本次调整的网络为党政网。上级部门为该中心分配了一个C段地址：23.246.5.0/24.网关为：23.246.5.254

三、整改目标

1.要求整个党政网为大内网，要做到任何一处的IP设备都能互访。

2.内部需要用VLAN根据办公室划分格局。

 

Read the rest of this entry »