经典读书笔记!---交换部分

san －光纤存储网络，底层本质是scsi 使用I/O 和光纤通道协议, 速度100M, 200M, 400M .  光网络上的协议名字叫iscsi: scsi over tcp/ip ,  支持路由,vlan ,端口聚合，trunk 等和普通网络相似技术。支持在IP网络上隧道

思科的设备 MDS 9500 - MDS9200 （MDS9216）- MDS9100 光网络交换机 一端连接普通以太网，一端连接光纤存储网，在两种网络之间转换。

SN5420 ,SN5428,SN5428-2 光存储网络路由器。

sonet是北美使用，SDH是世界其他地方使用，由于两种东西使用类似的同步成帧标准 ，sonet 被认为等价于SDH,

sonet 使用自己的物理层标准信号和 对数据包成帧转换 ，可以透明传输ip

sonet 使用的信号基础是 STS-1(OC-1)=51.84M bit/s,将这个基础复用到一起就是其他速度：

OC-3=155M, OC-12=622M ,OC-48= 2488M(2.5G) , 10G万兆以太网可以映射为 OC-192=9952M

思科的sonet 设备：ONS15454

DWDM 仅仅只是在边缘将电信号转换为光信号，不执行任何成帧转换，完全透明，可以传输多种东西：以太，光纤存储，FICON等

波长：850nm（纳米） 短距离传输，多模光纤，光损耗较高
波长：1310nm（S频带） ,1550nm（C频带 传输距离可达到100KM-600KM），远距离传输，单模光纤，光损耗较小，即将出现的第4窗：1610nm（L频带）

要使用DWDM需要将通常lan 交换机使用的850nm和1310nm转换为1550nm,使用光转发器（transponder）转换

DWDM使用光多路复用器和光解复用器来组合和分离多个波长，光放大器来加强信号，常用光放大器：EDFA(Erbium doped fiber amplifier,掺铒光纤放大器)

OADM(Optical add/drop multiplex,光分插多路复用器)对单个节点增加或降低单个波长。汇聚远程节点

DWDM思科设备:ONS15201

单个波长(∧)可以承载多个信道，信道就是波长之上的第二层（以太，光纤通道）链路映射
光的模式：

超紫外线－－可见光－－红外线（这里就是使用的各个波长的传输光）－－－无线电波（长波）

CWDM和DWDM使用相同的WDM技术，只是CWDM使用8个波长(∧)，采用20nm的波长删格 ,DWDM使用32个波长(∧),采用1nm的波长删格

 CWDM可以直接由思科路由器或者交换机产生信号 :CWDM GBIC模块，将以太电信号转换为多个波长（颜色）光信号，CWDM OADM模块，被动设备，将光的多个波长分解/复用或增加/降低波长到单个光纤中

6500 4500 4000 3550 2950都支持 CWDM GBIC模块. CISCO MDS光纤通道交换机也支持CWDM GBIC模块
CWDM 不支持光信号放大，30db的光纤噪声将传输距离限制在100km

在6500的IOS上配置带有捕获选项的VACL,  捕捉来自vlan 1的流量

cat6k(config)# access-list 100 permit ip host 1.1.1.1 host 1.1.1.2
cat6k(config)# vlan access-map test
cat6k(config-access-map)#match ip add 100
cat6k(config-access-map)#action forward capture
cat6k(config-access-map)#exit
cat6k(config)# vlan filter test vlan-list 1
cat6k(config)# int fa 3/6
cat6k(config-if)# switchport
cat6k(config-if)# switchport capture allowed vlan 1
cat6k(config-if)# switchport capture
cat6k(config-if)# end
cat6k# show vlan access-map
cat6k# show vlan filter

L2路由跟踪 相当于traceroute 需要全网交换机支持，并且需要开启CDP，只要知道源(0000.0000.0007)和目的(0000.0000.0011) 的MAC就可以跟踪到交换机上的对应端口

2950G# traceroute mac 0000.0000.0007  0000.0000.0011
2948G>(enable) l2trace 00-00-00-00-00-11 00-00-00-00-00-07 (set 命令集)

6500上的NAM 网络分析模块：相当于就是一台unix 网管主机插在6500上 ,初始用户root 密码root，: 型号：ws-x6380-NAM(旧), WS-SVC-NAM-1, WS-SVC-NAM-2 .  和snmp及mls都有关。
 .

----------
在交换机上配置ssh （和telnet 方式差不多，带内管理。使用加密传递，比telnet  安全）的方法(需要 IOS版本支持),
本配置将ssh作为唯一的带内访问方法，ssh需要用rsa 或者其他方式产生密钥

3550(config)# ip domain-name cisco.com
3550(config)# aaa new-model
3550(config)# username test password 123
3550(config)# crypto key generate rsa modulus 2048 ---这个东东2048位的密码是最大指,交换机要计算很久.建议不要这么大
The name for the key will be: 3550.cisco.com

% The key modulus size is 2048 bits
Generating RSA keys...
[OK]

00:02:36: %SSH-5-ENABLED: SSH 1.5 has been enabled
3550(config)# line vty 0 15
3550(config-line)# transport input ssh

---------------------------------

命令升级3550 ios方法，（专用文件归档和解压法，不会在启动时报错）

archive download-sw /overwrite tftp://192.168.1.88/c3550-i5k2l2q3-tar.121-22.EA1a.tar

verify c3550-i5q3l2-mz.121-13.EA1a/c3550-i5q3l2-mz.121-13.EA1a.bin

boot system flash:c3550-i5q3l2-mz.121-13.EA1a/c3550-i5q3l2-mz.121-13.EA1a.bin

比升级3524/3548简单多了，还能赚一台SMI，会继续升级吧！

命令升级3550 ios
------------------------------

使用路由器作单臂路由：要配置子接口，在子接口上封装ISL802.1q
router(config)# interface fa 0/1.2
router(config-subif)# encapsulation dot1q 100 ----100是本子接口对应的vlan
router(config-subif)# ip add 1.1.1.1 255.255.255.0

------------------------------
###############################
   路由部分
###############################

Ipv6地址的anycast 和ipv4的广播 概念有区别。同一个anycast地址可以被配置给一组设备，客户机发起请求时选择最近的anycast响应设备服

务.(anycast 取代了ipv4里面的广播 -- 例如 arp解析, rip路由请求等等)
 
IPv6使用SCTP 流控传输协议对应于 TCP,它使用cookie消息，要求两端加密IPsec 保证安全.

路由器命令：ipv6 unicast routing. ipv6 address

IPv6 可以比ipv4 实现更好的地址汇总: 使用地址前缀

IPV6的地址自动配置: 使用路由器向主机发送ipv6的前缀,本主机再将自己的mac 地址加上这个ipv6的前缀作为自己的 ipv6的地址.

ipv6的包头结构简单,但是提供了包头指针,即可以指向本数据包的后面再包含多个自己定义的包头,扩展性极好

ipv4包头
   每个word 32bits (4 byte), 5个 word 20个byte 结构复杂

ipv6包头
   每个word 32bits (4 byte),  10 个word 40个byte (IPv6地址占用32 byte)结构简单

------------------------------
端口下:
interface e0
ipv6 unicast-routing
ipv6 address ff08::1/48
全局下
ipv6 unicast-routing
---------------------------
实现ipv6的最好的IOS版本 12.2(15)T14

IPv6 配置tunnel:
全局下
ipv6 unicast-routing--- 启用ipv6路由

no ip routing ---关闭ipv4路由

接口下

interface serail 0
no ip address --- 不配置ipv4 的地址
ipv6 address 2006:12:34:35::3/64
ipv6 enable

ping 2006:12:34:35::3  --- 直接ping ipv6地址.

要作tunnel 先建立一个loopback口,并将环回口宣告到ipv4网络中,(使得 地址可达..)

ping 3.3.3.3 source 2.2.2.2 (这个要IOS支持)

以自己的环回口作为tunnel的源,以对方的环回口作为tunnel的目标

interface tunnel 2
no ip address - tunnel不需要配IP地址
tunnel source 2.2.2.2 - 源
tunnel destination 3.3.3.3 - 目的 ---
ipv6 enable --- 启用ipv6
ipv6 rip test enable ---将本接口宣告到ipv6的rip中,(相当于network) -- rip进程名字是test ,应该全网一样--
tunnel mode ipv6ip --- 指定tunnel的工作模式是 ipv6 over ip

在ipv6内部网络的接口上运行v6的rip ,从而使路由可达

interface serail 0
no ip address
ipv6 rip test enable  ---

在全局模式下也配置

ipv6 router rip test --- 全局启用ipv6 的rip

show ipv6 route ---查看ipv6的路由表

-----------------------

全网升级到ipv6 .

no ip routing --关闭v4 的routing
ipv6 unicast-routing --启用v6的 routing

interface serail 0
no ip address --- 不配置ipv4 的地址
ipv6 address 2006:12:34:35::3/64

------

运行ipv6的ospf

R2(config)#ipv6 router ospf 100
R2(config-rtr)#router-id 1.1.1.1 -- 配置ospf 的Rid (ipv6 的ospfv3 不能自动获得Rid ,必须自己手工指定)
  A.B.C.D  OSPF router-id in IP address format

R2(config-if)#ipv6 ospf 100 area 0 ---在接口下配置,宣告这个接口到ipv6的ospf 进程100 的area 0中.

R2#show ipv6 ospf neighbor --查看ospf邻居

R2#show ipv6 ospf database -- 查看v6的 LSA(有新的LSA type : 8类???)

-----------------

ipv6运行在帧中继网络中.

帧中继交换机:

R2(config)#no ip routing
R2(config)#no ipv6 unicast-routing
R2(config)#frame-relay switching --配置自己为帧中继交换机

interface Serial0
 encapsulation frame-relay
 frame-relay lmi-type cisco
 frame-relay intf-type dce --2层的dce
 clockrate 2000000

R2(config)#int s0
R2(config-if)#frame-relay route 102 interface s 1 201 --配置帧中继的通道

R2(config)#int s1
R2(config-if)#frame-relay route 201 interface s 0 102 -- 上下两边对应

在接口的路由器上:

R1#show ipv6 interface e0
Ethernet0 is up, line protocol is up
  IPv6 is enabled, link-local address is FE80::250:73FF:FE6B:CD2E

 

(ipv6的fr接口, 注意 ipv4的帧中继中的 inverse arp在 ipv6中不生效 ,必须手工map一下)

R1(config-if)#frame-relay map ipv6 2006:23:12:14::2 201 broadcast
R1(config-if)#frame-relay map ipv6 FE80:ae:34:3e::1 201 broadcast
-----
注意: 在帧中继网络作 frame-relay 的map 的时候,不光要map对端的配置的ipv6的地址.还要map 一下对端的link-local地址 FE80:

(这里涉及到ipv6的标识地址和通信地址的概念,  接口上配置的地址是一个标识地址, link-local的地址FE80:才是数据包实际使用的地址

 就有点想BGP里面的必须同步的概念, 如果没有map这个link-local的地址,则两边可以交换路由信息,pvc可以建立在  2006:23:12:14::2上

但是无法ping 通, 所以要 map 这个link-local的地址. )

 

 

----------------------------------

Eigrp 路由 stub区域

router eigrp 100
network 1.1.1.0
eigrp stub

默认eigrp stub 配置时会发送本地connect 和staic 路由，如果配置 eigrp stub receive-only就只接受不发送。 eigrp stub应该配置在网络边缘最后一个路由器，防止eigrp 路由器之间过多的互相查询，引起SIA状态。

SIA状态 (stuck in active)就是路由器发起关于一条路由的查询之后3分钟都没有收到回答，就重置和邻居之间的邻接关系

ip summary-address eigrp x.x.x.x 在接口下配置eigrp的汇总地址。
ip bandwidth-percent eigrp 100  175 在接口下配置eigrp as 100可以使用的接口带宽为 175%(最大数值可以是999999)

在全局下配置(不是在路由进程下配置)：

ip default-network 192.168.1.0 如果在本地路由表里面有这条路由，将发送默认路由给下游路由器, last resort，不是对自己路由器起作用。
(注意ip default-network 宣告的路由必须是有类的主类路由)

OSPF 调整度量：接口带宽高于100M时在router ospf进程下使用 auto-cost reference-bandwidth 1000 调整参数 (该参数应该在所有路由器上保持一致)。
默认cost 为bandwidth的倒数。（可以调整bandwidth控持cost）

OSPF 生成默认路由并将他通告给本地其他邻居（一般是应该在边缘路由器ABR 上使用）

default-infomation originate.(使用条件是本路由表里面已经有一条默认路由, 就将本默认路由 通告给本ospf 域)
default-infomation originate always (总是通告默认路由 . 不管本路由表里面有没有一条默认路由，)
default-infomation originate metric 200 控制这个消息发送的度量。
思科文档说缺省情况default-infomation originate路由的度量值是10，但试验指出这个度量是1

stub区域中的所有路由器都必须指明自己是stub区域。

area 1 nssa default-infomation-originate 让NSSA的ABr(或者ASBR)通告出来一个默认路由给area 1

area 1 nssa no-summary 禁止 area0 的汇总消息进入area1 (NSSA区域).

ISIS 中的clns和clnp是无连接的不可靠协议 UDP? CLNS地址是代表整个节点而不是接口地址。

snpa相当于mac 地址，可以是DLCI号，ATM虚链路ID等,

ISIS域间路由就是 L3连接。使用集成ISIS时候 ，ISIS直接运行在数据链路层之上。ISIS分组被直接封装进2层包，不是封装到ip.

ISIS扩展主干比ospf 灵活，只需要增加L2/L1路由器，可以将主干路由加到1000个。

OSPF产生多个小型更新LSA,  ISIS将更新重新组合分组，作为一个LSP发出。ISIS处理的信息量小，比OSPF需要的CPU 资源少。
ISIS使用(链路状态)LPDU发布链路状态信息，PSNP部分，CSNP完整LSP列表。

AFI＝49表示本地。私有地址。

ISIS没有NBMA概念，所以在NBMA 网络（ATM,帧中继，X.25）建议使用点到点链路，点到点子接口。
在帧中继网络中要作IP map,还要作静态CLNS 映射： frame-relay map clns 200 broadcast.

DIS实际是一个伪节点路由器，代表和它连接的几个路由器(将整个网络视为一台路由器－伪节点 )，但并不是象OSPF DR一样分发路由信息。只是为了减少全互联的数量。DIS优先级高的可以抢占。本地lan上的ISIS路由器要和其他所有邻居建立关系，

area ID不同的两台ISIS L1路由器可以交换IIH，但不建立连接，因为所处区域不同。

show clns
show clns protocol  显示ISIS进程信息。
show clns interface 显示当前ISIS的接口信息。
show clns neighbors 显示IS和 ES邻居。

show isis route 显示 L1路由
show clns route 显示 L2路由

show isis database 显示ISIS LSDB的内容， 可以clear isis 重起ISIS进程，重新计算ISIS路由.

show isis topology 显示 L1和 L2的拓扑表，显示成本最低的ISIS路径。

配置举例（集成ISIS）:

router isis(可以定义ISIS进程编号 100)
net 49.0001.0000.0000.0002.00
summary-address 1.1.0.0 255.255.255.0 level-2创建一个L2汇总。
area-password 123 配置区域area的身份验证,
domain-password 123 配置域的身份认证.

interface e0
ip add 1.1.1.1 255.255.0.0
ip router isis(可以定义ISIS进程编号 100)
clns router isis (可以定义ISIS进程编号 100)

interface s0
ip add 1.1.2.2 255.255.255.0
ip router isis(可以定义ISIS进程编号 100)
clns router isis (可以定义ISIS进程编号 100)
ISIS ciruit-type level-1 定义接口类型，（实际就是划分区域）
isis metric 20 level-2 修改默认的metric 10变为20.

---------
重分布：

EIGRP和OSPF不能使用secandary地址作路由更新。他们的连接口必须在同一个子网。

路由必须在路由表中存在才可以重分布。（管理距离问题。，想象ospf + eigrp + rip 311页）

EIGRP自动在有类(..C类)网络边缘汇总，OSPF必须手工配置汇总(而且:eigrp和rip的手工汇总是在接口下配置,ospf的手工汇总是在路由进程下配置..)。

接口管理距离0，指向接口的静态路由管理距离0。指向下一条的静态路由管理距离1,

rip重分布进ospf的度量建议设置为比本地最大cost还大。防止路由环路，(rip从ospf又学习回去自己发的路由).

default-metric 55.

重分布到rip,eigrp和igrp中的路由必须手工指定度量值。不然将被视为度量值0，不会被通告出去。

建议的安全办法是在网络边缘单向重分布。

在rip,igrp等路由协议的 passive interface 不能发送但可以接受路由更新，但是EIGRP和OSPF 的passive interface不发hello,所以不能形成邻居，也不能交换路由信息。

router ospf 100
distribute-list 1 out s0 （不能在接口下用过滤，要在路由进程下指定过滤的端口和列表。）
distribute-list 1 out rip 对rip 控制分发

distance 121 (对于eigrp，ospf和BGP命令不同)修改管理距离
distance eigrp 100 175－－修改eigrp内部和外部管理距离
distance bgp 25 200 201 (external internal local) internal是从IBGP邻居学来的路由，local是本地network语句加入的路由.
distance ospf {intra,inter,external}分别定义（可选）

修改某一条具体路由的distance
router ospf 100
redistribute rip metric 1000 metric-type 1 subnets
network 1.1.1.0 0.0.0.255 area 0
distance 125 0.0.0.0 255.255.255.255 64 
(定义提供路由的路由器的源地址, 这里0.0.0.0 255.255.255.255表示所有路由器，同时使用ACL64 来过滤需要改变distance的具体路由)
access-list 64 permit 10.3.1.0
access-list 64 permit 10.4.1.0

使用distance的好处是不会丢弃路由信息，这里只是备用路由distance过大，不放进路由表，但还是存在自己的数据库(如ospf 拓扑表).
如果主路由不可用,则立即使用备份路由。

distance 30 2.2.2.2 0.0.0.0 2
 -- 这里才是指定唯一的邻居主机地址, 所以这里的distance 125 0.0.0.0 255.255.255.255 64 中的255 表示不关心,匹配所有,实际这里用的是反向掩码!!!.

##########

route-map 启用在端口上的快速交换(CEF?) ip route-cahce policy

show ip policy
show route map
debug ip policy

在接口上应用的命令：

ip policy route-map test

BGP
路径矢量，没有度量，采用策略控制路由。
BGP只能将其自己正在使用的路由通告给邻接AS中的对等体。本BGP路由器不能影响下一个BGP路由器对路径的选择方式，只能传递参数

静态路由的命令变化：

ip route 0.0.0.0 0.0.0.0 192.168.1.1 permanent tag 20（permanent参数表示，即使与该路由相关的接口被关闭，也不要从路由表删除该路由, tag 20 是用于路由映射中的匹配值）
注意：在使用dialer时，由于对端可能是unnumber的ip address, 这时需要静态路由指定出去的interface,不需要指定对端的ip 地址.

ip classless 作用：在使用rip时，对于rip已知网络中的未知子网，采用默认路由发送，即认为对于这个子网 rip是不知道的。

no ip classless 的话,如果这个子网是有类的,rip在找不到路由的情况下,采用默认路由发送,但这个子网如果是无类的,rip会丢弃数据包.
(和ospf 等的处理方式不同)

AS_path中如果已经有了本地AS号，则本BGP路由器不会接受这个路由更新，因为本地已经经过，接受将导致环路,
路由发送给IBGP邻居时不会修改AS_path，只有发给EBGP时才加上自己的AS号。

IBGP邻居不需要直连，但EBGP邻居之间没有运行IGP无法知道路由，所以必须直连，而且一般应该是同一网段的直连地址。(??推荐原则？)

默认BGP keepalive 60秒发一次，默认hold 保持时间180秒.

BGP水平分割：禁止将通过IBGP学习来的路由通告给其他IBGP对等体。(防止内部路由环路)，来自EBGP的路由才通告给其他IBGP对等体。
BGP同步，防止内部不运行BGP的路由器不知道如何路由。

BGP没有负载均衡，对于特定目的，BGP只选择一条路径。,但是可以配置maximum-path 2把加入2条路由进路由表，但是BGP只会通知别人一条路由.

bgp always-compare-med 配置后可以对来自不同AS的路由之间比较MED.不配置的默认情况是只比较来自同一个AS的路由的MED.(书454页)

bgp bestpath med missing-as-worst,  Cisco的IOS默认对没有MED的路由认为MED=0.现在的IETF标准要求对没有MED的路由认为MED=无穷大。
本命令将使IOS遵循IETF的标准，使得上述情况的MED=无穷大。

BGP对等体组的名称只对本地有用.本地大家共享一个策略(出站更新)
neighbor 1 peer-group
neighbor 192.168.1.1 peer-group 1
每个邻接路由器只能是一个peer的成员.  (注意看书415页,配置例子)

clear ip bgp peer-group 1 删除本BGP对等组.

一个路由器只能属于一个AS,只能创建一个BGP进程.

neighbor 192.168.1.1 shutdown 管理性关闭现有的neighbor.

neighbor 192.168.1.1 update-source loopback 1 使用loopback 1作为路由更新的源.

bgp通告network必须要本地路由表中有一条完全匹配的路由才会通告,因此作路由汇总时通常会手工指定一条指向null0接口的静态路由来汇总
network 192.168.0.0 255.255.0.0
ip route 192.168.0.0 255.255.0.0 null0

这个命令可以通告192.168.0.0,--192.168.255.0 mask 255.255.255.0

专业的汇总aggregate-address ,只汇总已经存在于BGP表中的网络,(summary-only 有用.可以用于两家ISP之间备份.书451页.)

aggregate-address 192.168.0.0 255.255.0.0 summary-only as-set 会自动创建一条指向null0接口的路由.

as-set 会在汇总路由中包含具体经过和产生这条路由的多个 AS号, 如果不使用as-set, 则路由中只会包含自己执行汇总的AS号,(其他所有路径信息会丢失)

as-set和summary-only有点不兼容,但是可以一起用,具体看书451页.

BGP multihop (EBGP多跳)可以使得 EBGP不一定非要使用本地直连的端口作为EBGP邻居的地址,
可以使用neighbor 192.168.1.1 eBGP-multihop 2 跳到邻居的loopback0接口上去..这里实际就是将TTL值改为2

BGP multihoming EBGP多宿主(书462页)

BGP default local-preference 200
将收到的所有外部EBGP路由 原来的默认值100 改变为200.(其实所有bgp路由的默认 local-preference都=100 )

但建议使用route-map 来对一个一个的路由调整,防止全部一起调整带来的问题,(负载不均衡,环路等)

修改默认MED ,(所有路由一起改)
router bgp 65001
default-metric 1001  不加修改时cisco默认所有的MED=0

BGP根据配置对传递给其他人的路由加上一定参数,但其他人怎么处理,只是看自己的配置,不一定要理会这些参数.

neighbor 192.168.1.1 weight 100 (始发于本地的路由默认weight=32768 ,其他路由的默认weight=0)

在IGP中如: ospf, EIGRP 的操纵路由方式一般都是修改带宽(接口成本),这种方式可能会同时影响到多条路由.
BGP操纵路由的方式灵活得多.

ship in night (夜航路由,即举例: 在一个网络内部同时运行BGP和ospf,但相互不重分布,不互相影响.,关闭同步. OSPF处理内部路由,BGP处理外部路由.)

router bgp 54500
network 10.0.0.0
neighbor 192.168.1.1 remote-as 65000
neighbor 192.168.1.1 distribute-list 7 out

access-list 7 permit 10.0.0.0 0.255.255.255

使用distribute-list对特定的EBGP邻居只传递部分路由. 防止自己成为两个ISP之间的中转AS  (书467页)

建议不要将IGP如OSPF路由重分布到BGP中,这样因为IGP路由的变化容易导致BGP不稳定.,
如果一定要重分布,确保只重分布本地路由.,不要将从BGP学来的路由又重分布回去BGP,导致路由环路.
对于重分布到BGP的路由,其origin 属性是 incomplete ,在shoe ip bgp的输出中用?表示.b

两种情况:
1.ISP的核心全网运行BGP,不需要在BGP和IGP之间重分布,
2.非ISP的 AS边界路由器上运行BGP. 但内部其他非BGP路由器也需要了解外部路由,这时需要将BGP重分布到IGP.但要注意过滤.

route-map 的 默认方式是Match-all?

clear ip bgp 192.168.1.1 soft in 对BGP邻居软重起.

 

---

前缀列表prefix-list是distribute-list使用普通ACL的代替:在性能上有改进.可以单独管理各个条目.而且可以指定要匹配的掩码长度范围:
ge le,(当没有使用ge le等时,就认为要精确匹配.) ,ge le  的数值可以相同(),表示大于等于 或者 小于等于.

R1(config)#ip prefix-list 1 permit 1.0.0.0/8 ge 24 le 24

注意:不能同时使用prefix-list和distribute-list

prefix-list的序列号是自动生成的,可以关闭来手工指定序列号. no ip prefix-list sequence-number.

BGP 共同体: community,这是一种可以传递属性, 它不被限制在一个AS内,也没有物理边界.和peer 不同, community是共享策略,peer是共享AS
号和BGP更新源等参数.(一般是IBGP邻居共享使用?)(这里的peer 好像是本地使用的参数, 自己对外面的邻居定义的一个组,)

默认情况下 community不会发送给邻居( community属性会在BGP更新中被删除),需要如下配置
neighbor 192.168.1.1 send-community

router bgp 54500
network 10.0.0.0
neighbor 192.168.1.1 remote-as 65000
neighbor 192.168.1.1 send-community
neighbor 192.168.1.1 route-map test out

route-map test permit 10
match ip add 1
set community no-export{no-advertise,local-as} 告诉自己的邻居对community的处理方式(no-export:不通告到EBGP对等体,no-advertise不通告到任何对等体,local-as不发送到本AS外)

access-list 1 permit 0.0.0.0 255.255.255.255

-----------------------

########################################################

远程部分

########################################################

AAA  返回 error才执行下一个认证, 返回fail 就停止..

aaa authentication login default group tacacs+ enable none ---- 前面2种方法分别是 tacacs+和enable密码, 如果两种方法都error掉
了,则最后一个方法none 说明不对用户进行认证,直接让过..

aaa authentication ppp test  if-needed group tacacs+ none --- if-needed说明,如果在这个链路上已经进行了自己的身份认证,则不需
要再来认证一次, 仅当没有认证的时候才通过AAA来认证

interface async 1
ppp authentication chap test --在这个异步线路async上可以自己加 password的认证,如果自己的认证通过了 ,就不使用test这个AAA的方式

(相关问题 看远程51页)

路由器默认使用0-15 级别中的3个 : 0 , 1 , 15

0 级只有5个命令: disable, enable, exit, help 和logout
1 级 router>
15级 router#

将特定命令划分级别:

privilege exec level 7 ping
privilege exex level 7 configure terminal
privilege configure level 7 snmp-server host
privilege configure level 7 snmp-enable traps

---- 将这些命令划分到权限级别7

aaa authorization commands 7 default group tacacs+ local ---- 为权限级别7的用户提供认证.

username tommy privilege 7 password 123  --- 创建一个权限级别为7 的用户.

配置modem 看看书 远程69 页

在T1(1.544M )的controller 上配置链路信号: 一般使用framing esf 和 linecode b8zs,

在 E1(2.048M )的线路上 链路信号: 一般是 framing crc4和 linecode hdb3

ISDN pri 配置例子

controller t1 0/0
pri-group timeslots 1-24 -- 指定pri使用的时隙是 1-24 (T1),, E1的时隙是1-31 (注意 t1的命令信道是23,E1的命令信道是15)
framing esf
linecode b8zs
clock source line -- 指定时钟源是line

interface serial 0/0:23 --- 进入t1的命令信道(实际就是s0 的子接口23)
ip add 192.168.1.1 255.255.255.0
isdn incoming-voice modem --- 允许进入的模拟呼叫被转接到内部调制解调器

Cable modem 中 cmts将电缆中的RF射频信号调制解调为数字信号, 将其路由到internet ..