IS-IS Memo

IS-IS Areas In OSPF protocol any of the router’s interfaces can be assigned to a particular area, however the concept of area in IS-IS is different. Here in general, every single router belongs to an Area. The idea of this comes from the fact that IS-IS was initially created to route Connectionless Network Protocol (CLNP) where the address belongs to a device (Router), whereas in Internet Protocol (IP) the address belongs to the particular interface.

Continue reading

The initial series of line cards launched by Cisco for Nexus 7k series switches were M1 and F1. M1 series line cards are basically used for all major layer 3 operations like MPLS, routing etc, however, the F1 series line cards are basically layer 2 cards and used for for FEX, Fabric Path, FCoE etc. If there is only F1 card in your chassis, then you cannot achieve layer 3 routing.

Continue reading

VSM 总结

version 4.2(1)SV2(2.2)

svs switch edition essential

no feature telnet

feature lacp

banner motd #Nexus 1000v Switch#

ip domain-lookup

ip host Nexus1000v 10.10.1.101

hostname Nexus1000v

errdisable recovery cause failed-port-state

vem 3

host id 2fb52500-0000-0000-0000-000000000004

vem 4

host id 2fb52500-0000-0000-0000-000000000003

vem 5

host id 2fb52500-0000-0000-0000-000000000002

vem 6

host id 2fb52500-0000-0000-0000-000000000001

Continue reading

OSPF Over VPC

如果OSPF使用下图这种两个VPC Peer Link Group相连(TOP一组,BTM一组),就不能以VLAN Int为OSPF宣告口(各NEXUS都有此VLAN Int),必须单独引一条纯3层的线路用于OSPF。否则会造成卡在Exstart/DR无限循环的问题。     如果OSPF宣告口只是同过VPC PEER就能学到,就不存在问题。

Continue reading

0–A–B–C–D,如果B-0的路径是通过Static Routes指定的,那么B就会一直向C通告它有路径可达0,这时如果0实际已经掉线,就会出现问题。因为在B看来它并没有去尝试确认A是否真的可达,它只是基于BA之间链路是否UP来估测0的可达性,而简单的redistribute static会造成C获得不需要的路由信息。 使用SLA和TRACK组合,可以达到控制C向D通告路由内容的作用。 0: 172.16.136.112+ 172.16.136.113 ip sla 1 icmp-echo 172.16.136.112 source-interface GigabitEthernet4/40 frequency 5 ip sla schedule 1 life forever start-time now track 1 ip sla 1 reachability ip route 172.16.136.112 255.255.255.255 null0 track 1 ip sla 2 icmp-echo 172.16.136.113 source-interface GigabitEthernet4/41 frequency 5 ip sla schedule 2 life forever start-time now track 2 ip sla 2 reachability ip route 172.16.136.113 255.255.255.255 Null0 track 2 这样就只有当C确实能从0得到ICMP ECHO的情况下,它才会去通告D它具有一条路由,否则就会销毁到NULL0去。  另一种情况是,如果B-0的路径是用STATIC ROUTE指定的,就不能用TRACK了,因为IP ROUTE会造成TRACK被忽略,不写IP ROUTE,0永远不可达,写了IP ROUTE,不论TRACK是否可达,B都会通报路由。这时就要用到BFD。B-A间都开启BFD,进行STATIC ROUTE 检测,如果不可达自然会屏蔽。

Continue reading

HSRP和VRRP都是同时只有一台网关ACTIVE;GLBP是同时多台网关ACTIVE,在冗余的同时实现负载均衡。 若开启Preempt,则HSRP中一个失效的主路由器恢复后,会自动抢占再次成为主路由器(VRRP不论开不开启PREEMPT,都是高优先级的恢复后永远抢占)。所有FHRP中Preempt的作用就是抢占,不论是关系稳定前还是后,只要开启了,高优先级的机器就会抢占为主路由器。对于指定了priority但又没开启Preempt的情况,而PRIORITY又相同的情况,HSRP是根据谁先开机谁是主,VRRP则是根据谁的IP大谁是主。standby 100 ip 后面不是必须写地址,只要组中有一个机器写了地址,其他机器不写也会和这台写了地址的机器同步。不写组号的standby ip意味着默认组号0.VRRP必须写全,vrrp 100 ip 1.1.1.3,否则服务无法启用。虚拟网关MAC格式: 0000.0c07.acxx。其中最后的XX表示STANDBY组号,如standby 210 ip 10.10.10.1,则10.10.10.1这个虚拟IP的虚拟MAC将是0000.0c07.acd2。D2=210。standby ip 1.1.1.1 语句会产生默认STANDBY组,组号为0. ACTIVE路由器会响应虚拟网关的ARP请求,如果有用户使用虚拟网关,它就会代表网关应答该请求,将虚拟网关的MAC告知用户;同样的,如果用户向虚拟网关的MAC发送数据,ACTIVE路由器就会主动接收。 配置时需要注意将Active路由器定义为Spanning tree Vlan的ROOT,否则会出现次优路径,因为传给STANDBY或其他路由器的信息最终还会再传给ACTIVE路由器,多余。standby 100 preempt delay mini 250的作用是在路由器启动后250秒在进行hsrp抢占,这样可以使路由器在充分获取路由表内容,全网稳定后再抢占,网络更稳定。 standby 100 track fa1/1 20 是针对HSRP路由器上行接口的监控式自动优先级控制,如果所监控的FA1/1口坏掉,则自动将自己的优先级降低20,当FA1/1恢复后,再涨回20。这样就实现了对特定接口具有更优化的HSRP选择。如果F1/1后面没写20,什么都没写,则默认值为10。AVG(Active Virtual Gateway): 由GLBP组成员选举得出1个AVG,负责为其组成员分配虚拟MAC。AVG同时也是AVF,它也要负责应答。 AVF(Active Virtual Forwarder): 由选举出的AVG分配其虚拟MAC,当用户访问VIP时,会得到不同的AVF的虚拟MAC作为ARP应答,这样就实现了依据策略的发往不同网关的负载均衡。默认情况下为ROUND ROBIN。AVF路由器处于listen state。 虚拟网关MAC格式: 0007.b400.xxyy。XX为GLBP组号,YY基于虚拟MAC递增。 GLBP的TRACK是依据TRACK OBJECT跟踪的,track 20 interface f0/0 line-protocol定义了F0/0接口状态为TRACK的OBJECT 20。 track 20 interface f0/0 line-protocol track 21 interface f0/1 line-protocol glbp 10 weighting 110 lower 85 upper 105 glbp 10 weighting track 20 decrement 10 (没写decrement的话默认减少10) glbp 10 weighting track 20 decrement 20

Continue reading

ipv6自动配置

无状态自动配置:仅与路由器的组播地址进行交流获取IP前缀,然后将自己的MAC作为接口ID附加在后(eui-64),而不与其他任何设备联系(未通过DHCP服务器或路由)。 (config)#ipv6 unicast-routing 开启IPV6单播路由 (config-if)#ipv6 address 2001:db8:3c4d:1::/64 eui-64EUI意味着用接口MAC自动填充后64位 或(config-if)#ipv6 address 2001:db8:3c4d:1:0260:d6ff:fe73:1987/64 不用填充,直接强制 若在IPv4接口上直接输入ipv6 enable,则为开启IPV6,并仅使用LINK LOCAL地址作为此接口IPV6地址,因为并没有IPV6 ADD强制配置任何地址,地址是接口MAC自动生成的(eui-64)。有状态自动配置:DHCPv6中的均为有状态。 IPv6 DHCP仅可配置地址池的DNS和域名,不可配置地址池的网络地址内容。 (config)#ipv6 dhcp pool name (config-dhcp)#dns-server 192.168.1.1 (config-dhcp)#domain-name lulu.com 然后应用到接口即可 (config-if)#ipv6 dhcp server name NAME为DHCP池名字 ICMPv6:配合LINK LOCAL地址实现邻居发现NDP,从而取代ARP以组播(FF02::1:FF/104+ipv6最后24bit)的形式实现查找。 RIPng:基本特性和RIPv2相同,只是组播地址换成FF02::9。使用LINK LOCAL作为NEXT HOP的接口IP标识。 在IPv6的路由协议命令中启用V6路由协议分两部分,全局下的(config)#ipv6 router rip *负责路由协议的配置参数,而接口下的(config-if)#ipv6 rip * enable是开启应用,也就是要使某V6协议生效,需要单独进入这些端口逐一开启。EIGRPv6:基本特性和EIGRP相同,只是组播地址换成FF02::A。全局下的(config)#ipv6 router eigrp *负责路由协议的配置参数(需要输入上述命令后no shut开启),而接口下的(config-if)#ipv6 eigrp * 是开启应用,也就是要使某V6协议生效,需要单独进入这些端口逐一开启。 OSPFv3:基本特性和OSPFv2相同,只是组播地址换成FF02::5和FF02::6。 6to4隧道操作:目标是告诉路由器,隧道从哪里开始到哪里结束。相应的在对端也设置成配对的。 (config)#int tunnel 0 建立一个隧道接口 (config-if)#ipv6 add 2001:db8:1:1::1/64 给这个接口配一个IPV6地址,双栈 (config-if)#tunnel source 192.168.1.1 说明源IPV4地址 (config-if)#tunnel destination 192.168.2.1 说明另一端IPV4地址 (config-if)#tunnel mode ipv6ip

Continue reading

NAT

NAT(Network Address Translation) 术语: 内部本地:源端未NAT的私有IP 内部全局:源端NAT后的公有IP 外部全局:目标端NAT的公有IP 外部本地:目标端实际的私有IP Static NAT: 将私有IP地址的主机映射到其单独的公有IP中,即实现外网与内网的一对一IP映射。 命令: (config)#ip nat inside source static 10.1.1.1 202.106.224.48 (outside) (destination) 建立静态NAT INSIDE表,把源10.1.1.1转换为202.106.224.48,即把内部的源IP映射到外部IP。 ip nat inside source 将inside口的源IP进行转换(本地-全局),以及outside口的目的IP进行转换(全局-本地)。 ip nat outside des 将outside的目的IP进行转换,有待试验。也可以使用outside和destination,则后跟目标地址然后是源地址,也就是把外部的目标IP映射为内部IP, 但仅对TCP有效,PING无效。(config-inf)#ip nat inside (outside) 设定此接口为内部或外部接口。 在路由器中分别选定出口和入口接口,入口为内网IP与路由器的接口,出口为路由器与外网的接口。NAT表没有名字,只有INSIDE和OUTSIDE两个表,所以在接口应用的时候只需告知使用的是INSIDE表还是OUTSIDE表即可。Dynamic NAT: 就内网IP对应的外网公有IP设立一个地址池,使得内网IP随机的被映射为地址池中的IP连接到互联网。 命令: (config)#access-list 1 permit 10.1.1.1 0.0.0.255 建立一个ACL表,内容是10.1.1.1-255的IP (config)#ip nat pool name 202.106.224.1 202.106.224.254 netmask 255.255.255.0 建立叫NAME的动态NAT地址池,范围是202.106.224.1-254。 (config)#ip nat inside source list 1 pool name 建立静态NAT INSIDE表,把ACL 1中的地址转换到动态NAT地址池NAME中罗列的IP。 (config-inf)#ip nat inside 也就是说实际应用中是通过建立ACL产生有效地址范围,再建立NAT地址池,然后将两者放入静态NAT表中实现的。这时ACL的作用类似一种RANGE。建立的pool可以是本地地址池,也可以是全局地址池,根据用在source还是destination区分。PAT(Port Address Translation) 将内网全部IP映射到一个外网公有IP上,外网认知内网的唯一方法是通过不同的协议PORT号。 命令: 基本命令与DNAT相同,只是在建立NAT表时需要 ip nat inside source list 1 pool name overload.

Continue reading

ACL

ACL的开启后的默认语句是DENY ANY,且一句一句向下读取。所以在写表的时候记得最后要添加PERMIT ANY语句,否则将全部封杀。ACL只是一个记录PERMIT和DENY的表,本身没有进或出的提示。ACL在接口上应用不可以叠加,否则新生效的将替代前一个。标准访问控制列表 命令: (config)#access-list 1 deny host 10.1.1.1 其中:1的范围可以在1-99和1300-1999deny或permit host后跟HOST的IP,特单指这台主机。10.1.1.1 0.0.0.0和HOST 10.1.1.1效果相同。若DENY或PERMIT后直接跟IP,则需使用通配符格式。若为ANY,则与通配符0.0.0.0 255.255.255.255相同。 扩展访问控制列表 命令: (config)#access-list 100 permit tcp any host 10.1.1.1 eq 23 log (4层协议) (源IP) (目标IP) (telnet) (time-range name) ACL100允许任何(any)通过23端口使用TCP协议的数据到达10.1.1.1 其中:100的范围可以在100-199和2000-2699 4层协议支持是extended的主要扩展内容:包括4层的路由协议EIGRP和OSPF,以及UDP和TCP。若为IP,将包括一切INTERNET数据。eq处可以是其他参数,主要是对通信端口以及bit内容(eg. ack or syn)的限制。 eq后跟端口号或服务名称,ACL将自动把服务名称翻译为相应端口号。 如果上述语句没有后面的EQ 23,则将允许任何到10.1.1.1的TCP。 最后的LOG可有可无,用于条件成立执行ACL时向CONSOLE发送LOG信息。 LOG处也可以使用TIME-RANGE,用于限定此ACL在某一时间内有效,前提是先定义TIME-RANGE的内容命名的访问控制列表 命令: (config)#ip access-list standard(extended) name 给标准或扩展的ACL取任意名字,之后自动进入该ACL的配置表中 (config-std-nacl)#deny 172.16.28.0 0.0.0.255 命名后的配置命令与非命名访问列表相同设立ACL后分别在需要的接口应用: (config)#int 接口 (config-if)#ip access-group 1 out(in) 其中:access-group 后跟设定好的ACL号 OUT或IN是站在路由器的角度去看的。对于A-0B1-C结构中组织A访问B,需要在B0口做IN的ACL就可以了,不需要再在B1上做OUT,这点和NAT是不一样的,NAT需要打通往返的隧道在VTY链路上应用ACL时,使用ip access-class * in,而不是GROUP!!!标准访问控制列表应放在距离目标最近的位置上(目标的路由入口),扩展访问控制列表应放在靠近源地址的位置(源的路由出口)。因为标准访问控制列表只是笼统的限制,如果放在源端会影响非目标限制数据。而扩展访问控制列表则可以实现详细的限制要求,包括服务类型,端口号,从哪个IP到哪个IP等,这样放在目标端容易造成网络带宽浪费,因为限制的数据应该越早被限制越好。 ==============2层交换机仅支持以下ACL===========================交换机的ACL只能应用在接口的入口的列表上(只能IN),且只能使用命名的ACL。命令: (config)#mac access-list extended name 只可以EXTENDED不可以STD!!!(config-ext-macl)#permit any any ?

Continue reading

Author's picture

LuLU

Love coding and new technologies

Cloud Solution Consultant

Canada