分类: 网络架设

光纤链路聚合使用哪种聚合方式比较好?

原题如下:

在SW3-1、 SW3-2之间的链路假设采用光纤链路互连,两端采用光纤收发器转换成RJ45接口,要求在两者间启用端口汇聚技术,聚合的方式根据题目推断选择合适的方式;

这个问题是我在一份外校老师发我的赛题上看到的,当时懵了一会,询问后得知:应使用静态方式聚合

至于原因嘛,目前还不晓得~

OSPF网络中必须有area 0吗?

这要看OSPF网络是单区域还是多区域的啦!

如果是多区域的OSPF则必须要有area 0,因为不同区域间需要通过area 0来交换路由信息。

而如果是单区域OSPF网络则area 0就不是必须的啦,因为不涉及到区域间的路由交换,也就不需要area 0这个“中转站”了。

所以,你可以将单区域OSPF配置成area 10、area 11、area 12等等的,都可以!

OSPF路由协议中重发布直连网段与使用network宣告直连网段的区别

很多朋友为了省事,喜欢使用redistribute connected命令直接将直连路由引入到ospf中,虽然这样很方便,但其产生的弊端也显而易见。

通过network宣告的网段是属于1、2、3类LSA,但通过redistribute connected引入的路由则属于外部路由,其是4、5类LSA。这样引入的路由在传输时是距离矢量路由,而通过network宣告进OSPF的路由则是链路状态路由。这在多点双向重发布时就会产生环路和次优路径,需要配合策略路由来消除,得不偿失。

PPP认证时产生地址为对端的32位直连路由的解决方法

问题描述

在串口启用PPP认证后,会在路由表中多出一条地址为对端的32位直连路由,这在双点双向重发布中将产生路由环路,十分烦人!

类似下面这样:

C 202.90.1.0/30 is directly connected, Serial0/1
C 202.90.1.2/32 is directly connected, Serial0/1    //此条为PPP认证产生的路由,202.90.1.2为对端串口的地址

解决方法

在两边的串口上敲以下命令就好啦!

Router_config_s0/1#no peer neighbor-route    //禁止创建到对端的主机路由

IP地址的子网掩码划分方法总结

1、利用子网数目计算子网掩码

问:192.168.0.0这个网段要分30个子网,计算其子网掩码。

答:将30转换为二进制形式,是‭11110‬,这样就将网络位向后拉5位,变成,11111111.11111111.11111000.00000000,转为十进制就是255.255.248.0。

需要注意的是,如果网络数转换出的二进制中只包含一个1,那么所统计的网络位就要减一位。例如要分16个网络,其对应的二进制是10000,这样其对应的网络位就应该是四位(四个二进制1正好是16,如果对应5个二进制1则就是32啦!)。

2、利用主机数目计算子网掩码

问:172.16.100.0/24这个IP地址所在的网段划分成若干子网络,每个子网络能容纳500台主机,它的子网掩码是多少?

答:先将500转换为二进制形式,是‭111110100‬,一共九位,这样就将主机位从最后往前推九位,变为11111111.11111111.11111110.00000000,转为十进制也就是255.255.254.0。

小疑点:为什么这里不像利用子网数目计算子网掩码的时候那样,当主机位中只有一个1的时候,把统计的主机位数减去1?举个例子,要求网络中能容纳下16台主机,将其转换为二进制就是10000,如果此时将其统计为4个主机位,则可容纳的主机数是16,看似符合要求,但这16个地址是包含了网络位和广播位的!实际可用的地址只有14个,所以这里必须将其统计为5位,宁滥勿缺~

3、利用子网掩码计算最大有效子网数

问:B类网,当子网掩码为255.255.192.0时,其可划分的有效的子网数是多少。

答:先将192转换为二进制形式,是11000000,网络位一共有两个,其组合形式一共有2的2次方个,也就是4个。

4、利用子网掩码计算最大可用主机数

问:子网掩码为255.255.248.0的网段中可容纳的最大主机数是多少。

答:将子网掩码转换为二进制形式,是11111111.11111111.11111000.00000000,可以看到,主机位一共有十一位,那么可容纳的主机数就是2的11次方(包括网络地址和广播地址),也就是2048,可用主机数是2046。

5、利用子网掩码确定子网络的起止地址

问:B类IP地址172.16.0.0,当子网掩码为255.255.192.0时,它所能划分的子网络起止地址是多少?

答:将子网掩码转换为二进制形式,是11111111.11111111.11000000.000000,观察网络位中最后一位1,其对应的十进制数字是64,那么该子网的子网段就是以64为倍数递增的,所以,所有子网络的起止地址就是:

  • 172.16.0.0-172.16.63.255
  • 172.16.64.0-172.16.127.255
  • 172.16.128.0-172.16.191.255
  • 172.16.192.0-172.16.255.255

可用地址就是除去每个网段中的第一个网络位和最后一个广播位后剩下的。

附上一张IP地址与子网掩码及可用主机数的对应关系的表格

说明:该表格从互联网下载,原作者已无从考察,故在此不标明出处。

点我下载

OSPF的四种特殊区域简介

本文中的实验拓扑:

基础配置就不贴出来了,大家照着拓扑配一下就好~
注意:R2的回环地址使用重发布直连的方式加入OSPF路由表中,R3的回环地址不要宣告到OSPF路由表中!!!否则实验无法进行!!!
做完基础配置后在R3上查看路由表

Stub区域(末梢区域)
简述:
该区域的ABR不允许传播Type 5 LSA的路由信息。换成人话就是:Stub区域的路由器不能接受本AS外部的路由,作为补偿,ABR会发一个默认路由给Stub区域的所有路由器,告诉他们,你们不需要知道AS外部的路由信息,统统把数据包转发给我就妥妥的了。
配置方法:
R1:

router ospf 1
area 1 stub

R3:

router ospf 1
area 1 stub

查看R3的路由表,发现此时OE2路由已经消失了,被一条默认路由取代了,实验完成。

注意事项:
区域中有一台路由器配置为Stub后,其他所有路由器都要配置成Stub,否则无法建立邻居关系。
Totally Stub区域(完全末梢区域)
简述:
通过上面关于Stub区域的配置,可以发现,其实不只是来自外部的AS区域可以省略掉,连来自OSPF内其他区域的路由也可省略掉,让其全部通过ABR转发,当然这样做的前提是本区域不与除主干区域之外的其他区域相连。
配置方法:
R1:

router ospf 1
area 1 stub no-summary

R3:

router ospf 1
area 1 stub

查看R3的路由表,此时OE2类型和OIA类型的路由已经消失(不要和我较真说那条默认路由也是OIA类型的),被一条默认路由所取代,实验完成。

注意事项:
配置为Totally Stub区域的所有路由器都要配置stup,只有ASBR需要配置:stub no-summary。
NSSA区域
简述:
如果区域中存在一个ASBR,通过此路由器产生的路由条目需要在整个OSPF域内传播,而此区域又不想接收来自其他ASBR产生的路由,那么就可以将其配置为NSSA区域。
配置方法:
R1:

router ospf 1
area 1 nssa default-information-originate   //NSSA区域不会自动生成指向ABR的默认路由,需要手工下发。

R3:

redistribute connected subnets
router ospf 1
area 1 nssa

查看R1的路由表,此时成功学习到了从R3那里被重发布进OSPF的路由,类型是ON2。

查看R2的路由表,R2学习到的从R3引入的外部路由是一条OE2类型的,为什么不是和R1的表里一样是ON2类型呢?

查看R2的OSPF数据库,可以发现,3.3.3.0这条路由是从R1上通过LSA5学习到的,并不是从R3上学习到的。这是因为NSSA区域的边界ABR会将LSA7转成LSA5,传播到其他区域。这时,ABR也成为了ASBR,因为它也引入了LSA5。其它区域路由器看到LSA5的通告路由器是ABR。

查看R3的路由表,OE2类型的路由已经全部消失,取而代之的是一条ON2类型的指向ABR的默认路由。

注意事项:
NSSA区域的ABR上必须要在NSSA区域中发布一条指向自己的路由,否则会导致连通问题。
Totally NSSA区域
简介:
与Totally Stub区域一样,在不需要学习OSPF区域间路由时就可以把NSSA区域配置成Totally NSSA。
配置方法:
R1:

router ospf 1
area 1 nssa no-summary   //配置为Totally NSSA区域后会自动下发默认路由,不需要再手工下发。

神州数码设备需手工下发默认路由,使用如下命令。

area 1 nssa default-information-originate no-summary

R3:

redistribute connected subnets
router ospf 1
area 1 nssa

查看R3的路由表,发现OIA路由已经消失了,R1和R2的路由表同上一个实验。

注意事项:
Totally NSSA区域不需要手工分发默认路由,与Totally Stub区域一样,只要在ABR上配置nssa no-summary就可以,区域内其余的路由器只需要配置nssa。

路由策略和策略路由的区别的简单概述

路由策略:
通过修改路由协议的属性而达到干预路由表的内容的目的,路由策略在路由发现时起作用。
策略路由:
通过为指定的数据包指定下一条使其不按路由表中已有的转发条目转发,策略路由在路由转发时起作用,不会影响和改变路由表中的任何内容。

EBGP与IBGP的四个区别

1、路由环路的避免措施不一样,IBGP强制规定ibgp speaker不允许把从一个IBGP邻居学习到的前缀传递给其它IBGP邻居,因此IBGP要求逻辑全连接。EBGP没有这样的要求,EBGP对路由环路的避免是通过AS_PATH属性来实现的。
2、使用的BGP属性不同,例如IBGP可以传递LOCAL_PREF(本地优先属性),而EBGP不行。
3、IBGP有同步的要求,而EBGP没有同步的要求
4、IBGP不需要IBGP邻居之间有物理连接,只需要逻辑连接即可,而EBGP下一般情况下都要求EBGP邻居之间存在物理连接。

BGP路由信息传播规则

由EBGP邻居学来的信息肯定会传给另外的EBGP邻居。
由EBGP邻居学来的信息肯定会传给IBGP邻居。
由IBGP邻居学来的信息不会再传给另外的IBGP邻居。
由IBGP邻居学来的信息:
如果同步关了,会传给EBGP邻居 如果同步开了,先查找自己的IGP。
如果IGP里面有这个网络,就把这个网络传给EBGP;如果IGP里面没有这个网络,就不会 传给EBGP邻居

神州数码路由器下IPSec VPN配置方法简介

IPSec介绍:
IPSec是由IETF制定的,用于保障在internet上传输数据的安全保密性的框架协议。
下面将使用一个实例来演示IPSec的配置过程。
设备清单:

DCR-2655路由器两台
PC机两台

拓扑:

IP地址表:

R1:
f0/0 192.168.0.1/24
s0/1 192.168.1.1/24
R2:
f0/0 192.168.2.1/24
s0/2 192.168.1.2/24
PC1:
192.168.0.2/24
PC2:
192.168.2.2/24

show running-config:
R1:

!
hostname R1
!
!
gbsc group default
!
!
crypto isakmp key password 192.168.1.2 255.255.255.255      #配置IKE预共享密钥与对端IP
!
!
crypto isakmp policy 10                                     #配置IKE策略
 hash md5                                                   #设置数字签名算法
!
crypto ipsec transform-set one                              #设置变换集
 transform-type esp-des esp-md5-hmac                        #设置加密算法与变换类型
!
crypto map my 10 ipsec-isakmp                               #配置加密映射表
 set peer 192.168.1.2                                       #设置对等体的IP地址
 set transform-set one                                      #关联变换集
 match address 101                                          #指定要加密的流量
!
!
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.0
 no ip directed-broadcast
!
interface GigaEthernet0/3
 no ip address
 no ip directed-broadcast
!
interface GigaEthernet0/4
 no ip address
 no ip directed-broadcast
!
interface GigaEthernet0/5
 no ip address
 no ip directed-broadcast
!
interface GigaEthernet0/6
 no ip address
 no ip directed-broadcast
!
interface Serial0/1
 ip address 192.168.1.1 255.255.255.0
 no ip directed-broadcast
 crypto map my                                             #将加密映射表应用到端口
!
interface Serial0/2
 no ip address
 no ip directed-broadcast
!
interface Async0/0
 no ip address
 no ip directed-broadcast
!
!
ip route default 192.168.1.2
!
!
ip access-list extended 101
 permit ip 192.168.0.0 255.255.255.0 192.168.2.0 255.255.255.0
!

R2:

!
hostname R2
!
!
gbsc group default
!
!
crypto isakmp key password 192.168.1.1 255.255.255.255      #预共享密钥要与R1一致
!
!
crypto isakmp policy 10                                     #IKE策略配置要与R1一致
 hash md5
!
crypto ipsec transform-set one
 transform-type esp-des esp-md5-hmac                        #变换集加密算法及变换类型要与R1一致
!
crypto map my 10 ipsec-isakmp                               #密钥协商方式要与R1一致
 set peer 192.168.1.1
 set transform-set one
 match address 101
!
!
interface FastEthernet0/0
 ip address 192.168.2.1 255.255.255.0
 no ip directed-broadcast
!
interface GigaEthernet0/3
 no ip address
 no ip directed-broadcast
!
interface GigaEthernet0/4
 no ip address
 no ip directed-broadcast
!
interface GigaEthernet0/5
 no ip address
 no ip directed-broadcast
!
interface GigaEthernet0/6
 no ip address
 no ip directed-broadcast
!
interface Serial0/1
 no ip address
 no ip directed-broadcast
!
interface Serial0/2
 ip address 192.168.1.2 255.255.255.0
 no ip directed-broadcast
 crypto map my
 physical-layer speed 64000
!
interface Async0/0
 no ip address
 no ip directed-broadcast
!
!
ip route default 192.168.1.1
!
!
ip access-list extended 101
 permit ip 192.168.2.0 255.255.255.0 192.168.0.0 255.255.255.0
!

测试:
查看安全联盟信息。

R1#show crypto ipsec sa


打印出安全联盟的信息既是成功建立安全联盟,若没有成功建立则仅会返回如下的信息。

使用PC1 ping PC2,ping通既完成本实验(开始时会超时,耐心等待一会)。

名词解释:
IKE:
简而言之,IKE是用来协商并建立安全联盟的,两端都需要设置一个预共享密钥来认证对方身份。当然,也可以不使用IKE而使用手工方式建立安全联盟,本文中不讨论这种形式。
变换集:
变换集是用来加密传输的数据的(需指定加密算法与变换类型),加密时两端会使用非对称密钥,比较安全。
主要配置步骤及相关命令:
一、确定要经过VPN保护的数据流量

使用访问控制列表定义即可。

二、IKE策略设置

crypto isakmp policy 优先级<1-1000>

其下包含的命令:

authentication -- 设置验证方法
encryption -- 设置加密算法
group -- 设置Diffie-Hellman小组
hash -- 设置完整性算法
lifetime -- 设置ISAKMP SA的生命周期

三、设置IKE预共享秘钥

crypto isakmp key 密钥 对端IP 对端IP的掩码(默认是32位)

四、变换集设置

crypto ipsec transform-set 变换集名称

其下包含的命令:

mode -- 封装模式
transform-type -- 变换类型

五、配置IPSec加密映射(自动协商)

crypto map 映射表名称 序列号 ipsec-isakmp<自动协商密钥,手工配置为ipsec-manual>

其下包含的命令:

id -- 设置身份验证参数
match -- 匹配值
mode -- ISAKMP采用模式
set -- 设置加/减密参数

六、进入接口,应用IPSec加密映射

interface 接口名
crypto map 映射表的名称

做AC三层发现实验时用到的DHCP option 43选项详解

DHCP的option 43选项是告诉AP,AC的IP地址,让AP寻找AC进行注册。
option 43值形如:

option 43 hex 0104C0A801FD

其中,hex代表十六进制,其后的数值中,0104是固定形式(神州数码设备如此),随后的是AC的IP地址的十六进制形式。
上面的例子代表的IP是192.168.1.253。192的十六进制是C0,168的十六进制是A8,1的十六进制是01,253的十六进制是FD。

记录一个防火墙端口ping不通的问题

头一次接触防火墙,照着手册一顿配置后发现计算机ping不通网关(网关为防火墙三层端口)???
最后索性在防火墙上ping了下计算机,咦~是通的,这起码证明它们俩的通信应该是没问题,那问题的原因应该是防火墙上禁ping了。
查看了下防火墙的端口配置页面,发现了这个小细节。

本着试试看的心态,勾上了这个复选框之后再次尝试ping防火墙的端口,终于终于通了~~~