document/ccna60d
2
0
Fork 0
mirror of https://github.com/gnu4cn/ccna60d.git synced 2024-05-21 04:55:00 +08:00
Code Issues Packages Projects Releases Wiki Activity

Formated.

Browse Source
This commit is contained in:
gnu4cn 2019-10-24 11:23:01 +08:00
parent 3aafe703a8
commit 2bf1bc4aab
17 changed files with 314 additions and 314 deletions

2
d04-Router-and-Switch-Security.md
View File

@ -81,7 +81,7 @@ Router(config-line)#login local
你还可以为控制台(以及虚拟终端)线路创建一个超时值,如此就可以在确定的时间过后断开连接。默认的超时是`5`分钟。
```
```console
Router(config)#line console 0
Router(config-line)#exec-timeout ?
<0-35791> Timeout in minutes

28
d06-NAT.md
View File

@ -1,10 +1,10 @@
#第6天
# 第6天
**网络地址转换**
**Network Address Translation**
##第六天的任务
## 第六天的任务
- 阅读今天的课文
- 回顾昨天的课文内容
@ -32,7 +32,7 @@
- 单向NAT
- 按需求配置并验证NAT
##NAT基础NAT Basics
## NAT基础NAT Basics
想象一下如果网络不是以IP地址运行而是按颜色来运作。蓝色和黄色有无限的供应其它颜色却是短缺的。网络分开成使用蓝色和黄色的许多用户因为这两种颜色可以随意使用。而蓝色用户需要频繁地前往外部网络那么就需要去买点绿色凭据在蓝色用户需要与外部网络上的主机通信时路由器可以用其将蓝色用户的凭据进行替换。路由器此时会像下面这样做。
@ -94,7 +94,7 @@ NAT为进入和发出的流量去改装数据包的头部并对每个会话
NAT内部和外部的分址是一个经典的考试问题所以还需在回头看几次这里的内容。
##配置并验证NATConfiguring and Verifying NAT
## 配置并验证NATConfiguring and Verifying NAT
在思科IOS上对网络地址转换的配置和验证是一个简单的事情。在配置NAT时要执行下面这些操作。
@ -146,7 +146,7 @@ tcp 150.1.1.5:159 10.5.5.3:159 200.1.1.1:23 200.1.1.1:23
- 对多个内部地址用两个以上的外部地址进行替换动态NATdynamic NAT
- 将多个内部地址,用多个外部端口进行转换(这就是**端口地址转换**,或者叫**单向NAT**, Port Address Translation or one-way NAT
###静态NAT
### 静态NAT
**Static NAT**
@ -183,7 +183,7 @@ Router(config)#ip nat inside source static 192.168.2.1 200.1.1.2
强烈建议将上述命令敲入到某台路由器中去。本书中有很多的NAT实验但是在阅读理论章节的同时你敲入得越多那么这些信息就能越好地进入你的大脑。
###动态NAT或NAT地址池
### 动态NAT或NAT地址池
通常会用到一组可路由地址或是一个可路由地址池。一对一的NAT映射有其局限性首当其冲的就是成本高其次路由器上有着多行的配置。动态NAT允许为内部主机配置一或多个的公网地址组。
@ -214,7 +214,7 @@ Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
该ACL用于告诉路由器哪些地址要转换哪些地址不要转换。而该子网掩码实际上是反转的叫做反掩码在第九天会涉及。所有NAT地址池都需要一个名字而在本例中它简单地叫做“poolname”。源列表引用自那个ACLthe source list refers to the ACL, **经译者在GNS3上测试,动态NAT仍然是一对一的地址转换**
###NAT Overload/端口地址转换/单向NAT
### NAT Overload/端口地址转换/单向NAT
**NAT Overload/Port Address Translation/One-Way NAT**
@ -249,7 +249,7 @@ Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
>Farai指出 -- “以多于一个IP方式使用PAT就是对地址空间的浪费因为路由器会使用第一个IP地址并为每个随后的连接仅增大端口号。这就是为何通常将PAT配置为该接口上的超载(overload)。”
##NAT故障排除
## NAT故障排除
**Troubleshooting NAT**
@ -257,7 +257,7 @@ NAT故障中十次有九次都是由于路由器管理员忘记了把`ip nat
使用命令`debug ip nat [detailed]`可以在路由器上对NAT转换进行调试又可以使用命令`sh ip nat translations`来查看NAT地址池。
##第六天问题
## 第六天问题
1. NAT converts the `_______` headers for incoming and outgoing traffic and keeps track of each session.
2. The `_______` address is the IP address of an outside, or external, host as it appears to inside hosts.
@ -269,7 +269,7 @@ NAT故障中十次有九次都是由于路由器管理员忘记了把`ip nat
8. NAT most often fails to work because the `_______` command is missing.
9. Which `debug` command shows live NAT translations occurring?
##第六天问题的答案
## 第六天问题的答案
1. Packet.
2. Outside local.
@ -281,9 +281,9 @@ NAT故障中十次有九次都是由于路由器管理员忘记了把`ip nat
8. The `ip nat inside` or `ip nat outside` command.
9. The `debug ip nat [detailed]` command.
##第六天的实验
## 第六天的实验
###静态NAT实验
### 静态NAT实验
**Static NAT Lab**
@ -418,7 +418,7 @@ NAT: expiring 172.16.1.1 (10.1.1.1) icmp 7 (7)
>译者注: 通过本实验,要注意三个问题:一是**可路由地址可以是外部接口同一网段的地址,也可以不是**;二是**NAT超时问题该参数可以设置**;三是**环回接口的使用, 常用来模拟LAN中的计算机**。
###NAT地址池/动态NAT实验
### NAT地址池/动态NAT实验
**NAT Pool Lab**
@ -590,7 +590,7 @@ icmp 172.16.1.2:25 10.2.2.2:25 192.168.1.2:25 192.168.1.2:25
RouterA#
```
###NAT Overload实验
### NAT Overload实验
**NAT Overload Lab**

64
d07-IPv6.md
View File

@ -1,8 +1,8 @@
#第7天
# 第7天
**互联网协议版本6**
##第七天任务
## 第七天任务
- 阅读下面的课文理论部分
- 阅读ICND1记诵指南
@ -29,11 +29,11 @@ IPv6已经开发了很多年且已在全世界网络中投入使用与IPv4
- 扩展唯一识别符Extended Unified Identifier 64, EUI-64
- 自动配置地址autoconfiguration
##IPv6历史
## IPv6历史
**History of IPv6**
###满足目标吗?
### 满足目标吗?
**Fit for Purpose?**
@ -43,7 +43,7 @@ IPv6已经开发了很多年且已在全世界网络中投入使用与IPv4
并不会有一个日期能够整个地从IPv4转变为IPv6而是网络将会逐渐地变为同时运行IPv4和IPv6, 并最终IPv4会滚粗。当下全部互联网流量的近`1%`运行在IPv6上来源Yves Poppe, IPv6 -- A 2012 Report Card
###为何要迁移
### 为何要迁移
**Why Migrate?**
@ -64,7 +64,7 @@ IPv6已经开发了很多年且已在全世界网络中投入使用与IPv4
我喜欢从其**数据包层的探究来分析IPv6, 同时也会去探究IPv6中可用的许多种类型的包头部**,但限于篇幅,同时考试中也不会考到这两点,所以就不包含这两方面的内容了。而着重在为考试和成为一名思科工程师,所需要掌握的内容上。
###十六进制计数
### 十六进制计数
**Hex Numbering**
@ -117,7 +117,7 @@ IPv6已经开发了很多年且已在全世界网络中投入使用与IPv4
| to | to | to | to | to | to | to | to |
| `FFFF` | `FFFF` | `FFFF` | `FFFF` | `FFFF` | `FFFF` | `FFFF` | `FFFF` |
##IPv6分址
## IPv6分址
**IPv6 Addressing**
@ -155,7 +155,7 @@ IPv6已经开发了很多年且已在全世界网络中投入使用与IPv4
参考图7.3, 客户一旦收到由ISP提供的`/48`前缀就可以该前缀范围内对站点前缀和主机或接口地址进行自由分配了。基于可用的地址空间全部容量任何单一机构客户只需一个的服务商分配前缀机构网络上的所有设备就保证可以分配到一个唯一IPv6全球地址。因此IPv6绝对不需要NAT这样的技术。
###IPv6地址表示法
### IPv6地址表示法
**IPv6 Address Representation**
@ -167,7 +167,7 @@ IPv6地址可像下面这三种方式进行表示。
尽管在以文本格式表示`128`位IPv6地址时**首选形式或表示法是最常用的方式****熟悉其它两种IPv6地址表示法**也很重要。下面会对这三种方式进行说明。
###首选形式
### 首选形式
**The Prefered Form**
@ -187,7 +187,7 @@ IPv6地址可像下面这三种方式进行表示。
- `fec0:2004:ab10:00cd:1234:0000:0000:6789`
- `0000:0000:0000:0000:0000:0000:0000:0000`
###压缩的表示法
### 压缩的表示法
**Compressed Representation**
@ -234,13 +234,13 @@ IPv6地址可像下面这三种方式进行表示。
| `3FFF:0c00:0000:1010:1A2B:0000:0000:DE0F` | `3FFF:c00:0:1010:1A2B::DE0F` |
| `2001:0000:0000:1234:0000:5678:af23:00d5` | `2001::1234:0:5678:af23:d5` |
###带有一个嵌入的IPv4地址的IPv6地址
### 带有一个嵌入的IPv4地址的IPv6地址
**IPv6 Addresses with an Embedded IPv4 Address**
这是**第三种IPv6地址表示法用于在IPv6地址内部使用一个IPv4地址**。尽管这也是有效的IPv6地址但请记住这种方法是不赞成的做法同时也在考虑废弃这种方法因为该方法仅适用于从IPv4到IPv6的过渡。
##IPv6地址的不同类型
## IPv6地址的不同类型
**The Different IPv6 Address Types**
@ -270,7 +270,7 @@ IPv6地址可像下面这三种方式进行表示。
- 环回地址Loopback addresses
- 未指明的地址Unspecified addresses`::/128`
###本地链路地址
### 本地链路地址
**Link-Local Addresses**
@ -282,7 +282,7 @@ IPv6地址可像下面这三种方式进行表示。
**本地链路地址是唯一的,一旦分配给了某个接口,就不再改变**。这就是说某个接口在分配了一个公网IPv6地址后比如`2001:1000::1/64`就算该公网IPv6前缀发生改变(变成`2001:2000::1/64`)本地链路地址也是不会改变的。这允许主机或路由器在IPv6全球互联网地址改变时对其邻居始终保持可达。而**IPv6路由器是不会转发那些以本地链路地址作为源或目的地址的数据包到其它IPv6路由器的**。
###站点本地地址
### 站点本地地址
**Site-Local Addresses**
@ -298,7 +298,7 @@ IPv6地址可像下面这三种方式进行表示。
本地唯一地址分配自`FC00::/7`这个IPv6地址块该地址块又被划分成两个`/8`的地址块分别作为分配组和随机组the assigned and random groups。那么这两组就分别是`FC00::/8`和`FD00::/8`了。`FC00::/8`这个地址块是由一个分配机构an allocation authority管理其使用到的`/48s`,同时`FD00::/8`地址块则是通过在其后追加上随机生成的`40`位字符串,得到的一个有效`/48`地址块的。
###可聚合全球单播地址
### 可聚合全球单播地址
**Aggregatable Global Unicast Addresses**
@ -332,7 +332,7 @@ IPv6的可聚合全球单播地址是由互联网号码分配局the Intern
在IPv6全球可聚合单播地址范围保留了一个叫做**ORCHID**`RFC 4843`中定义的覆盖可路由加密散列标识、Overlay Routable Cryptographic Hash Identifiers defined in RFC 4843特别的实验范围。ORCHID是用于加密散列标识的不可路由IPv6地址。这些地址使用IPv6前缀`2001:10::/28`。关于ORCHID地址的细节是超出当前CCNA考试要求范围的本模块或本课程都不会包含。
###多播地址
### 多播地址
**Multicast Addresses**
@ -395,25 +395,25 @@ IPv6中用到的多播地址是从`FF00::/8`这个IPv6前缀中得到的。IP
*图7.10 -- IPv6多播地址*
###任意播地址
### 任意播地址
**Anycast Addresses**
本章节的早前引入了任意播其可被简单地说成是一对最近的通信one-to-nearest communication, 这是因为基于路由协议度量值的那个最近的公共地址the nearest common address总是会为本地设备所优先选用。**在IPv6中并无为任意播特别分配的地址范围**,因为**任意播地址使用的是全球单播地址、站点本地地址,甚或本地链路地址**。尽管如此,仍然保留一个作为特殊用途的任意播地址。该特别地址被称为**子网路由器任意播地址**(the Subnet-Router Anycast address),是由前面的该子网`64`位单播前缀,及将后`64`位全部设置为`0`(比如`2001:1a2b:1111:d7e5::`)构成的。**任意播地址是绝对不能作为某个IPv6数据包的源地址的**。它们典型地用于诸如移动IPv6(Mobile IPv6等的协议中任意播地址的用途超出CCNA考试范围。
###环回地址
### 环回地址
**Loopback Address**
IPv6中的环回地址用法和IPv4中的一样。与IPv4中用到的环回地址`127.0.0.1`相比每台设备也都有一个IPv6环回地址且该地址有设备自身使用。IPv6环回地址用的是前缀`::1`, 用首选地址格式表示为`0000:0000:0000:0000:0000:0000:0000:0001`。也就是说,在环回地址中,除了最后一位总是`1`外其它所有位都设置为0。当设备开启IPv6时总是会自动分配上这些地址且这些地址绝不会发生变化。
###未指明地址
### 未指明地址
**Unspecified Addresses**
在IPv6分址里未指明地址就是那些没有指派到任何接口上的单播地址。这些地址表明设备缺少一个IPv6地址同时这些地址还用于某些诸如IPv6 DHCP和DAD等的用途。未指明地址是以IPv6地址中的全0值表示的可以使用前缀`::`进行书写。在首选格式下,这些地址表示为`0000:0000:0000:0000:0000:0000:0000:0000`。
##一些IPv6的协议和机制
## 一些IPv6的协议和机制
**IPv6 Protocols and Mechanisms**
@ -424,7 +424,7 @@ IPv6中的环回地址用法和IPv4中的一样。与IPv4中用到的环回
- IPv6的有状态自动配置机制IPv6 stateful autoconfiguration
- IPv6的无状态自动配置机制IPv6 stateless autoconfiguration
###IPv6下的ICMP
### IPv6下的ICMP
**ICMP for IPv6**
@ -537,7 +537,7 @@ IPv6的**邻居询问报文**(Neighbor Solicition messages),则是本地网段
最后,**路由器重定向**router redirect**使用报文类型为137的ICMPv6重定向报文**ICMPv6 Redirect messages路由器重定向用于告知网络主机网络上存在一台路由器该路由器有着前往预计目的主机的更优路径。ICMPv6的路由器重定向与ICMPv4的工作方式一样而ICMPv4的路由器重定向就是用来对当前IPv4网络中的流量进行重定向的。
###IPv6的有状态自动配置
### IPv6的有状态自动配置
**IPv6 Stateful Autoconfiguration**
@ -561,7 +561,7 @@ RA报文中的M位指的是受管理的地址配置标志位the Managed Ad
- 通过分配新的前缀给主机,而用来对网络重新编号
- 可用于将全部子网发布给用户侧设备can be used to issue entire subnets to customer premise equipment稍后会有说明
###IPv6无状态自动配置
### IPv6无状态自动配置
**IPv6 Stateless Address Autoconfiguration, SLAAC**
@ -616,7 +616,7 @@ DAD通过使用邻居询问`135`类型的ICMPv6及节点询问多播地址
迁移期间,本地网段上的主机用着两个单播地址:一个来自旧的前缀,一个来自新的前缀。那些使用旧前缀的当前连接仍被处理着;但所有自主机发出的新连接,则都使用新前缀。在旧前缀超时后,就只使用新前缀了。
###配置无状态DHCPv6
### 配置无状态DHCPv6
**Configuring Stateless DHCPv6**
@ -628,7 +628,7 @@ DAD通过使用邻居询问`135`类型的ICMPv6及节点询问多播地址
一个身份关联是分配给客户端的一些地址an Identity Association is a collection of addresses assigned to the client。使用到DHCPv6的每个借口都必须要有至少一个的身份关联IA。这里不会有CCNA考试的配置示例。
###在思科IOS软件中开启IPv6路由
### 在思科IOS软件中开启IPv6路由
现在你对IPv6基础知识有了扎实掌握本模块剩下的部分将会专注于思科IOS软件中IPv6的配置了。默认下思科IOS软件中的IPv6路由功能是关闭的。那么就必须通过使用__`ipv6 unicast-routing`这个全局配置命令__来开启IPv6路由功能。
@ -802,7 +802,7 @@ FastEthernet0/0 is up, line protocol is up
> **注意:** 在进行手动配置本地链路地址时如思科IOS软件侦测到另一主机正在使用一个它的IPv6地址控制台上就会打印出一条错误消息同时该命令将被拒绝。所以在手动配置本地链路地址时要小心仔细。
###IPv6子网划分
### IPv6子网划分
**Subnetting with IPv6**
@ -876,7 +876,7 @@ FastEthernet0/0 is up, line protocol is up
也可以从主机部分借用位来用于子网划分但绝没有理由这么做同时这么做也会破坏采行发明IPv6而带来的可资利用的那些众多特性的能力包括SLAACYou can steal bits from the host portion to use for subnets, but there should never be a reason to and it would break the ability to use many of the features IPv6 was invented to utilise, including stateless autoconfiguration
##IPv6和IPv4的比较
## IPv6和IPv4的比较
**IPv6 Compared to IPv4**
@ -898,7 +898,7 @@ FastEthernet0/0 is up, line protocol is up
- IPv4和IPv6使用不同的路由协议, IPv4 and IPv6 use different routing protocols
- IPv6提供了任意播分址, IPv6 provides for Anycast addressing
##第七天的问题
## 第七天的问题
1. IPv6 addresses must always be used with a subnet mask. True or false?
2. Name the three types of IPv6 addresses.
@ -911,7 +911,7 @@ FastEthernet0/0 is up, line protocol is up
9. How can the broadcast functionality be simulated in an IPv6 environment?
10. How many times can the double colon (`::`) notation appear in an IPv6 address?
##第七天问题答案
## 第七天问题答案
1. False.
2. Unicast, Multicast, and Anycast.
@ -924,9 +924,9 @@ FastEthernet0/0 is up, line protocol is up
9. By using Anycast.
10. One time.
##第七天实验
## 第七天实验
###IPv6概念实验
### IPv6概念实验
**IPv6 概念实验**
@ -943,7 +943,7 @@ FastEthernet0/0 is up, line protocol is up
- 硬编码一个借口本地链路地址: `ipv6 address fe80:1234:adcd:1::3 link-local`
- 查看IPv6路由表
###十六进制转换及子网划分练习
### 十六进制转换及子网划分练习
**Hex Conversion and Subnetting Practice**

24
d08-Integrating-IPv4-and-IPv6-Network-Environments.md
View File

@ -1,10 +1,10 @@
#第8天
# 第8天
**IPv4与IPv6共存的网络环境**
**Integrating IPv4 and IPv6 Network Environments**
##第8天任务
## 第8天任务
- 阅读下面的理论课文
- 阅读ICND1记诵手册
@ -53,7 +53,7 @@
这个课程模块的剩余部分将详细地介绍集成IPv4与IPv6网络的**双栈部署**与**隧道技术**。包括特定于思科IOS软件的一些配置示例。
##IPv4与IPv6的双栈部署
## IPv4与IPv6的双栈部署
在双栈部署方案下尽管某些主机有着采用IPv4和IPv6两种协议栈的能力但在确定何时采用IPv6而不是IPv4协议栈时这些主机仍需一些帮助。幸运的是有两种方法可以实现这两种方法如下
@ -61,7 +61,7 @@
- 那么第二种方式就需要使用某种命名服务比如DNS。使用此种方法就要同时使用IPv4和IPv6地址来配置完全合格的域名Full Qualified Domain Names, FQDNs比如[www.howtonetwork.com](http://www.howtonetwork.com)。FQDN是由一个IPv4协议栈的`A`记录an `A` record for the IPv4 protocol stack, 以及一个IPv6协议栈的`AAAA`记录表示的这样的FQDN就令到DNS服务器既可使用IPv4, 又可使用IPv6进行查询了。
###在思科IOS路由器中部署双栈支持
### 在思科IOS路由器中部署双栈支持
尽管对那些不同厂商的具备双栈部署支持的不同类型主机的不同配置方式的讨论是超出CCNA考试要求范围的。但作为一名未来的网络工程师掌握如何在思科IOS软件下部署各种双栈方案是强制性的imperative to understand how to implement dual-stack solutions in Cisco IOS software。在思科IOS路由器中双栈运作的启用通过简单地在路由器接口上配置好IPv4及IPv6即可。
@ -131,7 +131,7 @@ R3#show ipv6 interface FastEthernet0/0 | section address
Hosts use stateless autoconfig for addresses.
```
###思科IOS软件中配置静态IPv4及IPv6主机地址
### 思科IOS软件中配置静态IPv4及IPv6主机地址
思科IOS软件通过使用全局配置命令`ip host [name] [v4-address]`及`ipv6 host [name] [v6-address]`, 而提供了对相应的静态IPv4与IPv6主机地址配置的支持。下面的示例演示了在思科IOS软件中如何配置静态IPv4及IPv6的主机名字与地址
@ -162,7 +162,7 @@ Sending 10, 100-byte ICMP Echos to 3FFF:1234:ABCD:1::3, timeout is 2 seconds:
Success rate is 100 percent (10/10), round-trip min/avg/max = 0/1/4 ms
```
###在思科IOS软件中配置IPv4及IPv6的DNS服务器
### 在思科IOS软件中配置IPv4及IPv6的DNS服务器
思科IOS软件中IPv4与IPv6 DNS服务器的配置都依然是使用全局配置命令`ip name-server [address]`。不过这条命令现在已修改为允许将一个IPv4或IPv6地址指定为DNS服务器的IP地址。下面的示例演示了如何将路由器配置为同时使用一台IPv4及IPv6 DNS服务器
@ -176,7 +176,7 @@ R1(config)#ip name-server 192.168.1.2
> **注意**正如先前提到的当在同一路由器上同时配置了IPv4及IPv6 DNS服务器时路由器将首先查找`AAAA`记录也就是IPv6。在如果未找到`AAAA`记录,主机就会查找一条`A`记录,以与该主机名进行通信。
##经由IPv4网络对IPv6数据报进行隧道传输
## 经由IPv4网络对IPv6数据报进行隧道传输
**Tunnelling IPv6 Datagrams across IPv4 Networks**
@ -212,7 +212,7 @@ R1(config)#ip name-server 192.168.1.2
- 通用路由封装隧道技术Generic Routing Encapsulation tunnelling
##第8天问题
## 第8天问题
1. Name three IPv4 to IPv6 transition mechanism classes.
2. `_______` implementation is required when internetwork devices and hosts use both protocol stacks (i.e., IPv4 and IPv6) at the same time.
@ -223,7 +223,7 @@ R1(config)#ip name-server 192.168.1.2
7. Which command is used to configure an IPv6 DNS server?
8. `_______` entails encapsulating the IPv6 packets or datagrams and sending them over IPv4 networks.
##第8天答案
## 第8天答案
1. Dual-stack implementation, tunnelling, and protocol translation.
2. Dual-stack.
@ -234,9 +234,9 @@ R1(config)#ip name-server 192.168.1.2
7. The `ip name-server` command.
8. Tunnelling.
##第8天实验
## 第8天实验
###IPv4 - IPv6 基础集成实验
### IPv4 - IPv6 基础集成实验
在两台直连的思科路由器上对本课程模块中讲到的一些IPv6概念与命令进行测试
@ -252,6 +252,6 @@ R1(config)#ip name-server 192.168.1.2
- 在两台路由器上配置IPv4及IPv6的DNS服务器
###IPv4 - IPv6 隧道技术实验
### IPv4 - IPv6 隧道技术实验
在家庭网络环境下重现“通过IPv4进行IPv6的隧道传输”小节的场景包括所有的机制。要依循该小节中所呈现的事件顺序。可访问[www.in60days.com](http://www.in60days.com/),看看作者是如何完成这个实验的。

70
d09-ACL.md
View File

@ -1,10 +1,10 @@
#第9天
# 第9天
**访问控制清单**
**Access Control Lists**
##第九天的任务
## 第九天的任务
- 阅读今天的课文
- 完成今天的实验
@ -36,7 +36,7 @@
- 日志选项, log option
- 在某个网络环境下配置并验证ACLs
##ACL基础
## ACL基础
**ACL Basics**
@ -64,7 +64,7 @@
- ACL规则ACL rules
- ACLs的命令语法command syntax for ACLs
##端口号Port Numbers
## 端口号Port Numbers
如要通过CCNA考试以及要在实际网络上工作就必须要记住这些常见的端口号。在客户盯着你做事时去查一下常见端口号是不可能的。这里有些你会碰到且需掌握的一些最常见的端口号。
@ -83,7 +83,7 @@
这是最难掌握的部分之一。我从没有在哪本思科手册中见到里面曾写过一条完整的规则清单。仅有一些手册对其简单概过或是稍加解释另外一些则完全不讲。难点就在于这些规则一直都在用但到目前为止你都是通过试误法发现的它们the difficulty is that the rules always apply but unitil now, you found them only by trial and error。下面就是你需要知道的这些规则了。
###ACL规则一 -- 在每个接口的每个方向只使用一条ACL
### ACL规则一 -- 在每个接口的每个方向只使用一条ACL
**Use only one ACL per interface per direction**
@ -93,7 +93,7 @@
*图9.1 -- 接口上的一个方向仅做一条ACL*
###ACL规则二 -- ACLs行自顶向下进行处理
### ACL规则二 -- ACLs行自顶向下进行处理
**the lines are processed top-down**
@ -109,7 +109,7 @@
在本例中,应该将`Deny 172.16.1.1`这行放到顶部或至少应在语句statement`Permit 172.16.0.0`之前。
###ACL规则三 -- 在每条ACL的底部都有一句隐式的“deny all”
### ACL规则三 -- 在每条ACL的底部都有一句隐式的“deny all”
**There is an implicit "deny all" at the bottom of every ACL**
@ -125,7 +125,7 @@
你实际上想要路由器放行该数据包,但却拒绝了。原因就在于那条隐式的`deny all`命令了,而该命令实际上是一种安全手段。
###ACL规则四 -- 路由器是不能过滤自己产生的流量的
### ACL规则四 -- 路由器是不能过滤自己产生的流量的
**The router can't filter self-generated traffic.**
@ -135,7 +135,7 @@
*图9.2 -- 对自身流量的ACL测试*
###ACL规则五 -- 不能对运行中的ACL进行编辑
### ACL规则五 -- 不能对运行中的ACL进行编辑
**You can't edit a live ACL.**
@ -208,7 +208,7 @@ Router(config-if)#ip access-group 1 in ← reapply to the interface
如使用的是Packet Tracer, 那么这些命可能不会工作。同时,请一定在某台路由器上尝试这些命令,因为它们是考试考点。**记住在编辑ACL前要先在接口上关闭它此时它就不再是活动的了以避免一些奇怪或是不可预期的行为发生**。而在`IOS 12.4`及以后的版本中如何来编辑ACLs会在后面演示。
###ACL规则六 -- 在接口上关闭ACL
### ACL规则六 -- 在接口上关闭ACL
**Disable the ACL on the interface.**
@ -220,7 +220,7 @@ Router(config-if)#no ip access-group 1 in
Router(config-if)#^Z
```
###ACL规则七 -- 可重用同一ACL
### ACL规则七 -- 可重用同一ACL
**You can reuse the same ACL.**
@ -230,13 +230,13 @@ Router(config-if)#^Z
*图9.3 -- ACL的重用*
###ACL规则八 -- ACL应保持简短
### ACL规则八 -- ACL应保持简短
ACLs的基本规则就是保持简短且只专注于做一件事情。许多新手的思科工程师将其ACL延伸到数行那么长最后经深思熟虑后就可以紧缩到少数几行的配置。前面提到的将那些最为特定的最小的行放在ACL的顶部。这是好的做法从而可以节约路由器CPU的执行周期。
优良的ACL配置技能来自于知识和操练。
###ACL规则九 -- 尽可能将ACL放在接近源的地方
### ACL规则九 -- 尽可能将ACL放在接近源的地方
思科文档建议将扩展ACL尽量放在离源近的地方而将标准ACL尽量放在离目的近的地方因为这可以避免不必要的开销又能放行那些合法流量。
@ -246,7 +246,7 @@ ACLs的基本规则就是保持简短且只专注于做一件事情。许多新
>Farai 指出 -- “思科官方建议是扩展ACL尽量离源近而标准ACL尽量离目的近”。
##反掩码
## 反掩码
**Wildcard Masks**
@ -294,7 +294,7 @@ CCNA考试中反掩码计算的一种简易方法就是把一个数与子网
请阅读子网划分和VLSM部分的课文以更好地掌握此概念。
##访问控制清单的配置
## 访问控制清单的配置
**Configuring Access Control Lists**
@ -302,7 +302,7 @@ CCNA考试中反掩码计算的一种简易方法就是把一个数与子网
接下来的章节中出现的标准和扩展ACLs都是编号ACLs。它们是配置ACLs的经典方法。命名ACLs是配置ACLs的另一种方式将在其后的部分出现。
###标准ACLs
### 标准ACLs
**Standard ACLs**
@ -327,7 +327,7 @@ Router(config)#access-list 1 permit 10.1.0.0 0.0.255.255
此ACL应在服务器侧的路由器上应用。又记得在清单的底部有一条隐式的`deny all`,所以其它流量都会给阻止掉。
###扩展ACLs
### 扩展ACLs
**Extended ACLs**
@ -373,7 +373,7 @@ access-list 101 deny tcp 10.1.0.0 0.0.255.255 host 172.30.1.1 eq telnet
关键字`[established]`告诉路由器仅放行在网络内部的主机所发起的流量。三次握手标志ACK或RST位将表明这点the three-way handshake flags, ACK or RST bit, will indicate this
###命名ACLs
### 命名ACLs
**Named ACLs**
@ -450,7 +450,7 @@ Standard IP access list test
要知道如何来增加或是删除某条命令ACL中的条目请参考下面的“ACL序号ACL Sequence Numbers”小节。
###应用ACLs
### 应用ACLs
**Applying ACLs**
@ -481,7 +481,7 @@ Router(config)#int FastEthernet0/0
Router(config-if)#ip access-group BlockWEB in
```
##ACL序号
## ACL序号
**ACL Sequence Numbers**
@ -506,7 +506,7 @@ Standard IP access list test
注意到**在路由器运行配置中,序号并不会显示出来**。要查看它们,必须执行一个`show [ip] access-list`命令。
##加入一个ACL行
## 加入一个ACL行
**Add an ACL Line**
@ -529,7 +529,7 @@ Standard IP access list test
Router(config-std-nacl)#
```
###移除一个ACL行
### 移除一个ACL行
**Remove an ACL Line**
@ -550,7 +550,7 @@ Standard IP access list test30 permit 10.1.1.1
Router(config-std-nacl)#
```
###为某条ACL重新编号
### 为某条ACL重新编号
**Resequence an ACL**
@ -568,7 +568,7 @@ Router(config-std-nacl)#
命令`resequence`则会创建新的序号,自`100`开始,每个新行增加`20`。译者注在更新的IOS版本中此命令可指定开始序号及步进序号。
###ACL日志
### ACL日志
**ACL Logging**
@ -617,7 +617,7 @@ Extended IP access list test
**ACL日志在查看到底那些数据包被丢弃或放行的故障排除中会是非常有用的**, 但在现实世界情形中此内容超出CCNA考试范围不得提的是包含`[log]`或`[log-input]`关键字的ACL条目是为路由器进行线程交换的, 与之相反,现代路由器中, 默认都是经由CEF交换的ACL entries that contain `[log]` or `[log-input]` keyword are process-switched by the router, as opposed to being CEF-switched, which is the default in modern routers。这需要更多的路由器CPU周期因而导致在有大量与被记录的ACL条目匹配时出现问题。
###使用ACLs来限制Telnet和SSH访问
### 使用ACLs来限制Telnet和SSH访问
**Using ACLs to Limit Telnet and SSH Access**
@ -647,7 +647,7 @@ access-class VTY_ACCESS in
.....
```
##ACLs故障排除和验证
## ACLs故障排除和验证
**Trubleshooting and Verifying ACLs**
@ -657,7 +657,7 @@ access-class VTY_ACCESS in
- 检查所允许的网络
- 检查应用ACL的接口及方向
###查看ACL统计信息
### 查看ACL统计信息
在成功配置一条ACL并将其应用到某个接口上之后某种可以验证该ACL正确行为的手段非常重要尤其是某个ACL条目被使用到的次数。基于匹配次数就可以对过滤策略进行调整或者对ACLs进行增强以实现整体安全性的提升。而根据需求的不同可以在全局层面或者单个接口上从`IOS 12.4`开始查看ACL统计信息。
@ -691,13 +691,13 @@ Extended IP access list 100 in
如未有指定方向则应用到该特定接口上的任何进或出方向的ACL都将显示出来。此特性也叫做“ACL可管理能力ACL Manageability自`IOS 12.4`开始可用。
###检查那些放行的网络
### 检查那些放行的网络
**Verifying the Permitted Networks**
有的时候特别实在那些必须配置很多ACLs的大型网络中在配置ACL条目是就会犯下一些书写错误而这就会导致不同接口上有错误的流量被阻止。为了检查那些正确的ACL条目也就是permit及deny语句可以照前面章节中讲到的那样使用`show run | section access-list`或者`show ip access-list`命令。
###检查ACL的接口和方向
### 检查ACL的接口和方向
**Verifying the ACL Interface and Direction**
@ -705,7 +705,7 @@ Extended IP access list 100 in
为此,可以使用多种命令,包括`show run`及`show ip access-list interface <interface> | [in|out]`命令。
##第九天的问题
## 第九天的问题
1. You can have a named, extended, and standard ACL on one incoming interface. True or false?
2. You want to test why your ping is blocked on your Serial interface. You ping out from the router but it is permitted. What went wrong? (Hint: See ACL Rule 4.)
@ -714,7 +714,7 @@ Extended IP access list 100 in
5. How can you verify ACL statistics per interface (name the command)?
6. How do you apply an ACL to an interface?
##第九天问题的答案
## 第九天问题的答案
1. False. You can only configure a single ACL on an interface per direction.
2. A router wont filter traffic it generated itself.
@ -723,9 +723,9 @@ Extended IP access list 100 in
5. Issue the show ip access-list interface command.
6. Issue the `ip access-group <ACL_name> [in|out]` command.
##第九天的实验
## 第九天的实验
###标准ACL实验
### 标准ACL实验
**Standard ACL Lab**
@ -792,7 +792,7 @@ Packet sent with a source address of 192.168.1.1
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 ms
```
###扩展ACL实验
### 扩展ACL实验
**拓扑图**
@ -846,7 +846,7 @@ RouterA> ←Hit Control+Shift+6 together and then let go and press the X key to
>**注意:**我们会在其它实验中涉及ACLs但你真的需要完全地掌握这些内容。为此要尝试其它的TCP端口比如`80`、`25`等等。另外要试试那些UDP端口比如`53`。如没有将一台PC接上路由器则是无法对这些其它端口进行测试的。
##命名ACL实验
## 命名ACL实验
**拓扑图**

18
d11-Static-Routing.md
View File

@ -1,10 +1,10 @@
#第11天
# 第11天
**静态路由**
**Static Routing**
##第11天任务
## 第11天任务
- 阅读今天的课文
- 复习昨天的课文
@ -30,7 +30,7 @@
如回头看一下第`10`天中的管理距离表,就会发现手动配置的网络比起路由协议,是首选的路由。这么做的理由就是,作为网络管理员,期望着比任何协议都要对网络有更好的了解,并比任何协议都清楚要达到什么目的。那么现在,就应该明白,在需要达到某种目的时,可以结合动态路由来使用静态路由。
##静态路由配置
## 静态路由配置
**Configuring Static Routes**
@ -73,7 +73,7 @@ Router(config)#ip route 0.0.0.0 0.0.0.0 s0/0
上面的路由实际上就是一条默认路由a default route。默认路由用于引导那些未在路由表中显式列出的目的网络的数据包。
###静态IPv6路由的配置
### 静态IPv6路由的配置
**Configuring Static IPv6 Routes**
@ -116,7 +116,7 @@ Code: * - installed in RIB
* 3FFF:1234:ABCD:1::/64 via interface FastEthernet0/0, distance 1
```
##静态路由排错
## 静态路由排错
**Troubleshooting Satic Routes**
@ -124,7 +124,7 @@ Code: * - installed in RIB
> **注意** -- 今天内容很少所以请前往第12天吧因为那将是个非常充实的主题。
##第11天问题
## 第11天问题
1. Name the three parameters needed to configure a static route.
2. What is the command used to configure a static route?
@ -132,7 +132,7 @@ Code: * - installed in RIB
4. What is the command used to configure an IPv6 static route?
5. What is the command used to view IPv6 static routes?
##第11天答案
## 第11天答案
1. Network address, subnet mask (prefix length), and next-hop address or exit interface.
2. The `ip route` command.
@ -140,9 +140,9 @@ Code: * - installed in RIB
4. The `ipv6 route` command.
5. The `show ipv6 route static` command.
##第11天实验
## 第11天实验
###静态路由实验
### 静态路由实验
**Static Routes Lab**

18
d13-OSPFv3.md
View File

@ -1,8 +1,8 @@
#第13天
# 第13天
**OSPF版本3**
##第13天任务
## 第13天任务
- 阅读今天的理论课文
- 回顾昨天的理论课文
@ -17,7 +17,7 @@
- 路由器ID
- 被动接口
##OSPF第3版
## OSPF第3版
**OSPF Version 3**
@ -42,7 +42,7 @@
- `OSPFv3`利用到IPv6内建的`IPSec`的能力并将AH和ESP扩展头部用着一种的认证机制而不是想在`OSPFv2`中可配置的为数众多的认证机制OSPFv3 leverages the built-in capabilities of IPSec and uses the AH and ESP extension headers as an authentication mechanism instead of the numerous authentication mechanisms configurable in OSPFv2。因此在`OSPFv3`的OSPF数据包中那些认证和AuType字段就被移除了。
- 最终的最后一个明显区别就是,`OSPFv3` `Hello`数据包现在不包含任何地址信息而是包含了一个接口ID该接口ID是发出`Hello`数据包路由器分配的用于对链路做其接口的唯一区分。此接口ID成为网络LSAthe Network LSA的链路状态IDLink State ID, 判断该路由器是否应成为该链路上的指定路由器This interface ID becomes the Network LSA's Link State ID, should the router become the Designated Router on the link
##思科IOS软件的OSPFv2和OSPFv3配置差异
## 思科IOS软件的OSPFv2和OSPFv3配置差异
**Cisco IOS Software OSPFv2 and OSPFv3 Configuration Differences**
@ -69,7 +69,7 @@ R1(config-if)#ipv6 ospf neighbor FE80::205:5EFF:FE6E:5C80
R1(config-if)#exit
```
###思科IOS软件中OSPFv3的配置和验证
### 思科IOS软件中OSPFv3的配置和验证
**Configuring and Verifying OSPFv3 in Cisco IOS Software**
@ -149,7 +149,7 @@ Neighbor 3.3.3.3
在上面的输出中注意真实的邻居地址是本地链路地址而不是所配置的全球IPv6单播地址。
##第13天问题
## 第13天问题
1. Both OSPFv2 and OSPFv3 can run on the same router. True or false?
2. OSPFv2 and OSPFv3 use different LSA flooding and aging mechanisms. True or false?
@ -160,7 +160,7 @@ Neighbor 3.3.3.3
7. Which command would you use to see the OSPFv3 LSDB?
8. A significant difference between OSPFv2 and OSPFv3 is that the OSPFv3 Hello packet now contains no address information at all but includes an interface ID, which the originating router has assigned to uniquely identify its interface to the link. True or false?
##第13天答案
## 第13天答案
1. True.
2. False.
@ -171,9 +171,9 @@ Neighbor 3.3.3.3
7. The `show ipv6 ospf database`
8. True.
##第13天实验
## 第13天实验
###OSPFv3基础实验
### OSPFv3基础实验
重复第`12`天的实验场景两台路由器直连各自又有环回接口但以配置IPv6地址并在设备间使用OSPFv3对这些地址进行通告取代配置IPv4的OSPF。

42
d14-DHCP-and-DNS.md
View File

@ -1,8 +1,8 @@
#第14天
# 第14天
**DHCP及DNS**
##第14天任务
## 第14天任务
- 阅读今天的课文
- 复习昨天的课文
@ -31,11 +31,11 @@
- 排除的地址, excluded addresses
- 租期lease time
##DHCP功能
## DHCP功能
**DHCP Functionality**
###DHCP操作
### DHCP操作
**DHCP Operations**
@ -78,7 +78,7 @@ DHCP服务器可被配置为在一个名为租期的特定时期赋予某台
3. **DHCP确认数据包**DHCP ACK packet, 选中的那台DHCP服务器发出另一个广播报文来确认给那台特定客户端的地址分配再度用到UDP源端口`bootps 67`及目的端口`bootpc 68`。
###DHCP的预订
### DHCP的预订
**DHCP Reservations**
@ -107,7 +107,7 @@ DHCP服务器可被配置为以几种不同方式提供IP地址包括下面
DHCP服务器的IP地址静态分配是指定义出一些期望在网络上出现的MAC地址并手动为这些MAC地址都分配上一个唯一IP地址因此就管理性地建立起一张`MAC-to-IP`关联表。这通常在服务器环境中用到因为服务器必须使用可预期的IP地址以可供访问。
###DHCP范围
### DHCP范围
**DHCP Scopes**
@ -126,7 +126,7 @@ DHCP服务器的IP地址静态分配是指定义出一些期望在网络上
依据所使用的DHCP服务器也可以使用不同参数创建出不同的范围而这通常与不同子网有关。
###DHCP租期
### DHCP租期
**DHCP Leases**
@ -152,7 +152,7 @@ DHCP租期关乎每次DHCP分配限定允许用户使用一个分配到的1P
*图14.3 -- DHCP租期计时器*
###DHCP选项
### DHCP选项
**DHCP Options**
@ -173,11 +173,11 @@ DHCP提供了`256`选项值,其中仅`254`个是可用的,因为`0`是垫底
所有这些选项都是直接在DHCP服务器上配置但不是所有DHCP服务器都提供了设置DHCP选项的能力。如网络管理员要用到这些特性就应该采用一种企业级别的DHCP服务器。在将小型路由器作为家庭办公环境的DHCP服务器是就可能不会有这些功能上的益处。
##配置DHCP
## 配置DHCP
**Configuring DHCP**
###思科路由器上的DHCP服务器
### 思科路由器上的DHCP服务器
**DHCP Servers on Cisco Routers**
@ -225,7 +225,7 @@ IP address Client-ID/ Lease expiration Type Hardware address/
在上面的输出中由该DHCP服务器服务的是单独一台客户端同时分到到DHCP范围的第一个非排除IP地址`192.168.1.2`。还可以看到租期超时日期及设备MAC地址。
###思科路由器上的DHCP客户端
### 思科路由器上的DHCP客户端
**DHCP Clients on Cisco Routers**
@ -253,7 +253,7 @@ FastEthernet0/0 10.10.10.2 YES DHCP up up
FastEthernet0/1 unassigned YES unset administratively down down
```
###DHCP数据包分析
### DHCP数据包分析
**DHCP Packet Analysis**
@ -303,7 +303,7 @@ DHCP分配过程的最后数据包就是由服务器发出的DCHP确认数据包
- DNS服务器`8.8.8.8`
- 域名:`Network+`
##DHCP故障排除
## DHCP故障排除
**Troubleshooting DHCP Issues**
@ -320,7 +320,7 @@ debug ip dhcp server events
debug ip dhcp server packet
```
###DNS操作
### DNS操作
**DNS Operations**
@ -328,7 +328,7 @@ DNS将主机名映射到IP地址而不是反过来。这就允许你在web
在主机或路由器想要将一个域名解析到IP地址或反过来将IP地址解析到域名时DNS用到UDP `53`号端口。而在两台DNS服务器之间打算同步或分享它们的数据库时就使用TCP `53`号端口。
##配置DNS
## 配置DNS
**Configuring DNS**
@ -345,7 +345,7 @@ Router#pinging 192.168.1.2
!!!!!
```
###DNS故障排除
### DNS故障排除
**Troubleshooting DNS Issues**
@ -356,7 +356,7 @@ Router#pinging 192.168.1.2
访问控制清单access control lists, ACL常常拦阻DNS那么这是另一个故障原因。使用命令`debug domain`可在路由器上对DNS进行调试。
##第14天问题
## 第14天问题
1. DHCP simplifies network administrative tasks by automatically assigning `_______` to hosts on a network.
2. DHCP uses UDP ports `_______` and `_______`.
@ -369,7 +369,7 @@ Router#pinging 192.168.1.2
9. If the `_______` `_______`-`_______` command has been disabled on your router, then DNS wont work.
10. Which command will debug DNS packets on your router?
##第14天问题答案
## 第14天问题答案
1. IP information (IP addresses).
2. 67 and 68.
@ -382,9 +382,9 @@ Router#pinging 192.168.1.2
9. `ip domain-lookup`.
10. The `debug domain` command.
##第14天实验
## 第14天实验
###路由器上的DHCP实验
### 路由器上的DHCP实验
**拓扑**
@ -438,7 +438,7 @@ Default Gateway.................: 172.16.1.2
DNS Server......................: 172.16.1.3
```
###路由器上的DNS实验
### 路由器上的DNS实验
**DNS on a Router lab**

34
d15-Layer_1-and-Layer_2-Troubleshooting.md
View File

@ -1,10 +1,10 @@
#第15天
# 第15天
**一二层排错**
**Layer 1 and Layer 2 Troubleshooting**
##第15天任务
## 第15天任务
- 阅读今天的课文
- 复习昨天的课文
@ -42,13 +42,13 @@ LAN交换是一种用在局域网中的包交换形式。LAN交换是在数据
- 验证封装类型是正确配置的, verify that encapsulation is configured correctly
- 验证那些VLANs是被放行的verify that VLANs are allowed
##物理层上的排错
## 物理层上的排错
**Troubleshooting at the Phycical Layer**
思科IOS交换机支持好几个可用于一层或至少怀疑是一层故障排错的命令。但是除了对这些软件命令工具包要熟悉外对可用于链路状态排错或示出错误情形的物理指示器也就是那些LEDs的掌握也是重要的。
###使用发光二极管LEDs的链路状态排错
### 使用发光二极管LEDs的链路状态排错
**Troubleshooting Link Status Using Light Emitting Diodes(LEDs)**
@ -163,7 +163,7 @@ PoE LED只有在Catalyst 2960交换机型号上才能找到。
在某条链路或某个端口LED颜色不是绿色时就往往表明某种失效或其它故障而重要的是记住**一条链路发出绿光也并不总意味着网线是完全没有问题的**。比如只有一根线坏掉或是一个关闭端口就可能导致一侧显示线路绿色光而另一侧不显示绿色绿色光。这可能是因为网线出现了物理压力而引起该网线具备临界级别的功能。在这种情况下就可以使用CLI来完成额外的派错。
###线缆故障排错
### 线缆故障排错
**Troubleshooting Cable Issues**
@ -189,7 +189,7 @@ PoE LED只有在Catalyst 2960交换机型号上才能找到。
> **注意:**就算是全新的网线有时也有问题,所以不要假定一根新网线就会如预期那样起作用。
###模块故障的排错
### 模块故障的排错
**Troubleshooting Module Issues**
@ -225,7 +225,7 @@ PoE LED只有在Catalyst 2960交换机型号上才能找到。
为令到连接停机时间最低就应检测那些插入了SFP模块的端口以观察出现在统计信息中的可能错误。而这可通过标准监测工具完成最常用的就是SNMP。
##使用命令行接口来对链路故障进行排错
## 使用命令行接口来对链路故障进行排错
**Using the Command Line Interface to Troubleshoot Link Issues**
@ -378,7 +378,7 @@ Transmit GigabitEthernet3/0/1 Receive
> **注意:**根据该命令执行所在平台的不同上面的输出会略有不同。比如Catalyst 3650系列交换机还包含了一个`Discarded frames`字段该字段显示因资源不可用而导致的放弃传输尝试的帧总数a `Discarded frames` field, which shows the total number of frames whose transmission attempt is abandoned due to insufficient resources。该字段中出现了较大的数值就典型地表明存在网络壅塞故障a network congestion issue。在上面的输出中应探究一下`RxPortFifoFull drop`帧字段该字段表示因为入口队列充满而丢弃的接口所接收到的帧总数the `RxPortFifoFull drop` frame field, which indicates the total number of frames received on an interface that are dropped because the ingress queue is full
###端口配置排错
### 端口配置排错
**Troubleshooting Port Configuration**
@ -405,7 +405,7 @@ Transmit GigabitEthernet3/0/1 Receive
通过对上述的端口配置选项进行检查,以及确保链路两端的所有参数都保持同步,那么就可以肯定所连接设备的连通性及流量吞吐都将是最优的。
##VLANs及中继排错
## VLANs及中继排错
**Troubleshooting VLANs and Trunking**
@ -439,7 +439,7 @@ Transmit GigabitEthernet3/0/1 Receive
最后,如同其它技术一样,**不正确的配置同样会直接或间接地造成连通性问题**。比如根桥放置粗劣就会导致慢速用户连通性。而将一台不当配置的交换机直接加入到生产网络则会导致一些或全部用户的网络连接完全中断the poor placement of the Root Bridge may result in slow connectivity for users. Directly integrating or adding an incorrectly configured switch into the production network could result in an outright outage for some or all users。下面的小节对一些常见的VLAN相关故障、其可能的原因以及为排除这些故障可采取的做法进行了讲解。
###动态VLAN通告排错
### 动态VLAN通告排错
**Troubleshooting Dynamic VLAN Advertisements**
@ -563,7 +563,7 @@ MD5 Digest : 0x26 0x99 0xB7 0x93 0xBE 0xDA 0x76 0x9C
因此如想知道为何加入到VTP域中的交换机没有接收任何的VLAN信息那么可能是该交换机已有一个较高的配置修订号而导致所有其它交换机覆写了它们的本地VLAN信息并将本地VLAN信息替换成了接收自新交换机的通告报文中的VLAN信息。为避免此种情形**在将新的交换机加入到某VTP域之前总是要确保其配置修订号被设置为0。**这可以通过在该交换机上修改VTP模式或修改VTP域名称完成。配置修订号在命令`show vtp status`的输出中有包含。
###VLAN内部端到端连接丢失
### VLAN内部端到端连接丢失
**Troubleshooting Loss of End-to-End Intra-VLAN Connectivity**
@ -658,7 +658,7 @@ Appliance trust: none
如之前小节所说到的网络中一台新交换机的加入可能导致管理域中VLAN信息的丢失the integration of a new switch into the network can result in a loss of VLAN information in the management domain。而此VLAN信息丢失又可能导致同一VLAN中设备间连通性的丢失。所以在将新交换机加入到LAN之前一定要确保其配置修订号被重置到0。
###使用“show vlan”命令
### 使用“show vlan”命令
**Using the "show vlan" Command**
@ -808,7 +808,7 @@ Fa0/12 0 1 0
*VTP Join报文及VTP修剪*
##第15天问题
## 第15天问题
1. What is the colour of the system LED under normal system operations?
2. What is the colour of the RPS LED during a fault condition?
@ -822,7 +822,7 @@ Fa0/12 0 1 0
10. Which command prints a brief status of all active VLANs?
##第15天答案
## 第15天答案
1. Green.
2. Amber.
@ -835,9 +835,9 @@ Fa0/12 0 1 0
9. `show interfaces [name] counters errors`.
10. The `show vlan brief`command.
##第15天实验
## 第15天实验
###一层排错实验
### 一层排错实验
在真实设备上对本模块中提到的一层排错相关命令进行测试。
@ -845,7 +845,7 @@ Fa0/12 0 1 0
- 执行一下`show interface`命令,并对本模块中所说明的有关信息进行查证
- 对`show controllers`及`show interface counters errors`进行同样的执行
###二层排错使用
### 二层排错使用
在真实设备上对本模块中提到的二层排错相关命令进行测试。

66
d31-Spanning-Tree-Protocol.md
View File

@ -1,10 +1,10 @@
#第31天
# 第31天
**生成树协议**
**Spanning Tree Protocol**
##第31天任务
## 第31天任务
- 阅读今天的课文
- 完成今天的实验
@ -31,7 +31,7 @@
- 对根桥选举进行描述, describe root bridge election
- 生成树的模式, spanning tree mode
##STP的需求
## STP的需求
**The Need for STP**
@ -55,7 +55,7 @@ STP运行着一种算法用于根据所考虑的特定VLAN决定出哪些
BPDUs都是每两秒发出的此特性允许实现快速的网络循环探测及拓扑信息交换。BPDUs的两个类型分别是**配置BPDUs**及**拓扑变化通知BPDUs**Configuration BPDUs and Topology Change Notification BPDUs; 这里只会对配置BPDUs进行说明。
##IEEE 802.1D的配置BPDUs
## IEEE 802.1D的配置BPDUs
**IEEE 802.1D Configuration BPDUs**
@ -113,7 +113,7 @@ BPDUs都是每两秒发出的此特性允许实现快速的网络循环探测
4. **在Switch 4和Switch 5之间的LAN网段上**Switch 4被选举为指定交换机同时指定端口也处于其上。因为在一个网段上只能有一台指定交换机所以Switch 4和Switch 5之间网段上Switch 5的端口就被阻塞掉了。该端口将不会转发任何BPDUs。
##生成树端口的各种状态
## 生成树端口的各种状态
**Spanning Tree Port States**
@ -151,7 +151,7 @@ BPDUs都是每两秒发出的此特性允许实现快速的网络循环探测
**默认收敛时间是30到50秒。**
###生成树阻塞状态
### 生成树阻塞状态
**Spanning Tree Blocking State**
@ -169,7 +169,7 @@ BPDUs都是每两秒发出的此特性允许实现快速的网络循环探测
- 接收网络管理报文并对这些报文进行响应receives and responds to network management messages
###生成树侦听状态
### 生成树侦听状态
**Spanning Tree Listening State**
@ -187,7 +187,7 @@ BPDUs都是每两秒发出的此特性允许实现快速的网络循环探测
- 对网络管理报文进行接收和响应receives and responds to network management messages
###生成树学习状态
### 生成树学习状态
**Spanning Tree Learning State**
@ -205,7 +205,7 @@ BPDUs都是每两秒发出的此特性允许实现快速的网络循环探测
- 对网络管理报文进行接收和响应receives and responds to network management messages
###生成树转发状态
### 生成树转发状态
**Spanning Tree Forwarding State**
@ -224,7 +224,7 @@ BPDUs都是每两秒发出的此特性允许实现快速的网络循环探测
- 接收网络管理报文并对其进行响应
###生成树关闭状态
### 生成树关闭状态
**Spanning Tree Disabled State**
@ -243,7 +243,7 @@ BPDUs都是每两秒发出的此特性允许实现快速的网络循环探测
- 对网络管理报文进行接收和响应
##生成树桥ID
## 生成树桥ID
**Spanning Tree Bridge ID**
@ -281,7 +281,7 @@ Fa0/2 128.2 19 FWD 19 32770 0008.21a9.4f80 128.2
大多数思科Catalyst交换机都有一个可用作VLANs的BIDs的、1024个MAC地址的地址池。这些MAC地址被顺序分配也就是该范围中的第一个MAC地址分配给VLAN 1, 第二个给VLAN 2, 第三个给VLAN 3, 以致第四个第五个等等。这样就提供了支持标准范围VLANs的支持能力但要支持扩展范围的VLANs就需要更多的MAC地址。该问题在802.1t802.1D的技术和编辑修正标准中得以解决this issue was resolved in the 802.1t(Technical and Editoral corrections for 802.1D) standard
##生成树根桥选举
## 生成树根桥选举
**Spanning Tree Root Bridge Election**
@ -366,7 +366,7 @@ Fa0/15 Desg FWD 19 128.15 P2p
Fa0/18 Desg FWD 19 128.18 P2
```
##生成树开销及优先级
## 生成树开销及优先级
**Spanning Tree Cost and Priority**
@ -374,7 +374,7 @@ Fa0/18 Desg FWD 19 128.18 P2
生成树算法的一项关键功能,就是尝试提供出网络中的各台交换机自根桥的最短路径。而该最短路径一旦选定,就被用于转发数据,而将其它冗余链路置为阻塞状态。生成树算法用到两个数值来确定哪个端口将被置为转发状态(也就是到根桥的最优路径),以及哪些端口将被置为阻塞状态。这两个数值就是端口开销和端口优先级。二者都将在下面的小节讲到。
###生成树端口开销
### 生成树端口开销
**Spanning Tree Port Cost**
@ -414,13 +414,13 @@ VLAN0050 Desg FWD 200000 128.2 P2p
重要的是记住带有更低的数值开销的端口是更为首选的端口端口开销越低那个特定端口被选举为根端口的可能性就越高the lower the port cost, the higher the probability of that particular port being elected the Root Port。**端口开销全局重要,并影响整个生成树网络。**该数值被配置在生成树域中的所有非根交换机上on all Non-Root Switches in the Spanning Tree domain
##生成树的根端口及指定端口
## 生成树的根端口及指定端口
**Spanning Tree Root and Designated Ports**
STP选举出两种类型用于转发BPDUs的端口指向根桥的根端口以及指向根端口另一边的指定端口STP elects two types of ports that are used to forward BPDUs: the Root Port, which points towards the Root Bridge, and the Designated Port, which points away from the Root Bridge。掌握这两种端口类型的作用及其选举过程十分重要。
###生成树根端口选举
### 生成树根端口选举
**Spanning Tree Root Port Election**
@ -466,7 +466,7 @@ STP选举出两种类型用于转发BPDUs的端口指向根桥的根端口
基于第三个选举标准Switch 5将优先使用来自Switch 4的BPDU因为Switch 4的BID0000.0000.000D低于Switch 6的BID0000.0000.000F。Switch 5选出端口GigabitEthernet0/1作为根端口。
###生成树指定端口的选举
### 生成树指定端口的选举
**Spanning Tree Designated Port Election**
@ -498,7 +498,7 @@ STP选举出两种类型用于转发BPDUs的端口指向根桥的根端口
*图31.9 -- 已收敛的生成树网络*
##思科生成树增强
## 思科生成树增强
**Cisco Spanning Tree Enhancements**
@ -509,7 +509,7 @@ STP选举出两种类型用于转发BPDUs的端口指向根桥的根端口
在现实世界的网络中这两个假设并不总是正确。在这种情况下STP就可能无法阻止网络中循环的形成in situations where that is the case, STP may not be able to prevent loops from being formed within the network。正是由于存在这种可能且为提升基本的802.1D STA性能思科引入了一些对IEEE 802.1D标准的增强,将在下面进行说明。
###端口快速
### 端口快速
**Port Fast**
@ -517,7 +517,7 @@ STP选举出两种类型用于转发BPDUs的端口指向根桥的根端口
这在该端口所连接的诸如某台工作站的网卡这样的没有发送或响应BPDUs的网络设备时不是问题。但如该端口所连接的设备确实在发出BPDUs比如另一台交换机这可能造成交换循环。这是因为该端口跳过了侦听及学习阶段而立即进入到转发状态this may result in a switching loop. This is because the port skips the Listening and Learning states and proceeds immediately to the Forwarding state。端口快速简单地令到该端口相较经历所有STA步骤快得多地开始转发以太网帧。
###BPDU守护
### BPDU守护
**BPDU Guard**
@ -545,7 +545,7 @@ STP选举出两种类型用于转发BPDUs的端口指向根桥的根端口
在端口快速端口上带有BPDU守护下在Switch 1接收到来自Switch 3的一个BPDU时就立即将该端口转变成错误关闭状态immediately transitions the port into the errdisable state。结果就是STP计算不受该冗余链路的影响且该网络不会有任何循环。
###BPDU过滤器
### BPDU过滤器
**BPDU Filter**
@ -555,7 +555,7 @@ BPDU守护与BPDU过滤器两个特性常常混淆或甚至被想成是同一个
![掌握BPDU过滤器](images/3113.png)
###循环守护
### 循环守护
**Loop Guard**
@ -578,7 +578,7 @@ BPDU守护与BPDU过滤器两个特性常常混淆或甚至被想成是同一个
- 循环守护无法真正探测出一条单向链路Loop Guard cannot actually detect a unidirectional link
- 循环守护无法在端口快速或动态VLAN端口上开启Loop Guard cannot be enabled on Port Fast or Dynamic VLAN ports
###根守护
### 根守护
**Root Guard**
@ -592,7 +592,7 @@ BPDU守护与BPDU过滤器两个特性常常混淆或甚至被想成是同一个
**根守护阻止某个端口成为根端口,因此确保该端口始终是指定端口。**与其它可同时在全局基础上开启的思科STP增强不同根守护必须手动在所有根桥不应出现的端口上开启unlike other STP enhancements, which can also be enabled on a global basis, Root Guard must be manually enabled on all ports where the Root Bridge should not appear。因为这点在LAN中STP的设计和部署时确保拓扑的确定性就很重要because of this, it is important to ensure a deterministic topology when designing and implementing STP in the LAN。根守护令到网络管理员可以强制指定网络中的根桥Root Guard enables an administrator to enforce the Root Bridge palcement in the network, 确保不会有客户设备因疏忽或其它原因而成为生成树的根所以根守护常用在ISP网络面向客户设备的边界so it is usually used on the network edge of the ISP towards the customers's equipment
###上行快速
### 上行快速
**Uplink Fast**
@ -610,7 +610,7 @@ BPDU守护与BPDU过滤器两个特性常常混淆或甚至被想成是同一个
*图31.17 -- 掌握上行快速(续)*
###骨干快速
### 骨干快速
**Backbone Fast**
@ -642,7 +642,7 @@ RLQs的类型有两种RLQ请求和RLQ响应。**RLQ请求典型地在根端
>**注意:**RLQ PDU有着与普通BPDU同样的包格式唯一区别在于RLQ PDU包含了两个用于请求和回应的思科SNAP(子网接入协议,[Subnetwork Access Protocol](https://en.wikipedia.org/wiki/Subnetwork_Access_Protocol))地址。
##STP排错
## STP排错
**Troubleshooting STP**
@ -662,21 +662,21 @@ STP故障通常有以下三类STP issues usually fall within the following th
- 不正确的根端口, incorrect Root Port
- 不正确的指定端口incorrect Designated Port
###不正确的根桥
### 不正确的根桥
优先级和基础MAC地址决定根桥是否是正确的priority and base MAC addresss decide whether the Root Bridge is incorrect。可以执行`show spanning-tree vlan <vlan#>`命令查看MAC地址及交换机优先级。而运用`spanning-tree vlan <vlan#> priority <priority>`命令修复此问题。
###不正确的根端口
### 不正确的根端口
根端口提供了自该交换机到根桥最快的路径同时开销是跨越整个路径的累积the Root Port provides the fastest path from the switch to the Root Bridge, and the cost is cumulative across the entire path。如怀疑存在正确的根端口就可执行`show spanning-tree vlan <vlan#>`命令。如根端口是不正确的,可执行`spanning-tree cost <cost>`命令对其进行修复。
###不正确的指定端口
### 不正确的指定端口
指定端口是将某个网络区段连接到网络其它部分最低开销的端口the Designated Port is the lowest cost port connecting a network segment to the rest of the network。如怀疑存在指定端口问题就可以执行`show spanning-tree vlan <vlan#>`及`spanning-tree cost <cost>`命令。
而可对相关事件进行调试的一个有用的STP排错命令就是`Switch#debug spanning-tree events`。
##第31天问题
## 第31天问题
1. How often do switches send Bridge Protocol Data Units ( BPDUs)?
2. Name the STP port states in the correct order.
@ -689,7 +689,7 @@ STP故障通常有以下三类STP issues usually fall within the following th
9. Contrary to popular belief, the Port Fast feature does not disable Spanning Tree on the selected port. This is because even with the Port Fast feature, the port can still send and receive BPDUs. True or false?
10. The Backbone Fast feature provides fast failover when a direct link failure occurs. True or false?
##第31天答案
## 第31天答案
1. Every two seconds.
2. Blocking, Listening, Learning, Forwarding, and Disabled.
@ -702,9 +702,9 @@ STP故障通常有以下三类STP issues usually fall within the following th
9. True.
10. False.
##第31天实验
## 第31天实验
###生成树根选举实验
### 生成树根选举实验
**实验拓扑**

16
d32-Rapid-Spanning-Tree-Protocol.md
View File

@ -1,4 +1,4 @@
#第32天
# 第32天
**快速生成树协议**
@ -64,13 +64,13 @@ RSTP包含了以下的端口角色。
*图 32.3 -- RSTP备份端口*
###带有PVST+的RSTP
### 带有PVST+的RSTP
**RSTP with PVST+**
加强版的基于各VLAN的生成树允许每个VLAN都有一个单独的STP实例Per VLAN Spanning Tree Plus(PVST+) allows for an individual STP instance per VLAN。传统或普通的PVST+模式在出现某条链路失效时在网络收敛中依赖较旧的802.1D STP的使用。
###RPVST+
### RPVST+
快速的基于各VLAN的生成树加强版允许与PVST+ 一起使用802.1WRapid Per VLAN Spanning Tree Plus(RPVST+) allows for the use of 802.1W with PVST+。这就允许在每个VLAN都有一个单独的RSTP实例的同时提供比起802.1D STP所能提供的更为快速的收敛。**默认情况下在某台思科交换机上开启RSTP时也就在该交换机上开启了R-PVST+。**
@ -80,7 +80,7 @@ RSTP包含了以下的端口角色。
- 802.1W(快速生成树) -- Imagine Elmer Fudd saying "rapid" as "wapid"
- 802.1S(多生成树) -- You add the letter "s" to nouns to make them plural(multiple) but this is a CCNP SWITCH subject
##RSTP的配置
## RSTP的配置
**Configuring RSTP**
@ -93,7 +93,7 @@ Switch is in rapid-pvst mode
Root bridge for: VLAN0050, VLAN0060, VLAN0070
```
##第32天问题
## 第32天问题
**Day 32 Questions**
@ -103,7 +103,7 @@ Root bridge for: VLAN0050, VLAN0060, VLAN0070
4. Which command enables RSTP?
5. By default, when RSTP is enabled on a Cisco switch, R-PVST+ is enabled on the switch. True or false?
##第32天问题答案
## 第32天问题答案
**Day 32 Answers**
@ -113,11 +113,11 @@ Root bridge for: VLAN0050, VLAN0060, VLAN0070
4. The `spanning-tree mode rapid-pvst` command.
5. True.
##第32天实验
## 第32天实验
**Day 32 Lab**
###RSTP实验
### RSTP实验
**RSTP Lab**

42
d33-EtherChannels-and-Link-Aggregation-Protocols.md
View File

@ -1,10 +1,10 @@
#第33天
# 第33天
**以太网通道及链路聚合协议**
**EtherChannels and Link Aggregation Protocols**
##第33天任务
## 第33天任务
- 阅读今天的课文
- 复习昨天的课文
@ -29,7 +29,7 @@
- 不同以太网通道技术EtherChannels
##掌握各种以太网通道
## 掌握各种以太网通道
**Understanding EtherChannels**
@ -46,7 +46,7 @@
用于自动创建一个以太网通道组an EtherChannel group的链路聚合协议有两个**端口聚合协议**Port Aggregation Protocol, PAgP及**链路聚合控制协议**(Link Aggregation Control Protocol, LACP)。**PAgP是一个思科专有协议同时LACP则是IEEE 802.3ad用于从几条物理链路建立逻辑链路规格的一部分。**本模块中将详细对这两个协议进行讲述。
##端口聚合协议概述
## 端口聚合协议概述
**Port Aggregation Protocol Overview**
@ -60,7 +60,7 @@
![端口聚合协议数据帧](images/3303.png)
*图 33.3 -- 端口聚合协议数据帧*
##各种PAgP端口模式
## 各种PAgP端口模式
**PAgP Port Modes**
@ -70,13 +70,13 @@ PAgP支持不同端口模式而这些端口模式则决定在两台支持PAgP
采用PAgP的交换机以太网通道可被配置为以这两种模式运行**自动**`auto`)或**我要**`desirable`。这两种PAgP模式的运作在下面的小节进行说明。
###自动模式
### 自动模式
**Auto Mode**
自动模式(`auto` mode)是一种仅在该端口接收到一个PAgP数据包时才与另一PAgP端口进行协商的PAgP端口模式。在此模式开启后这些端口绝不会发起PAgP通信而会在与邻居交换机建立一个以太网通道之前被动地侦听任何接收到的PAgP数据包when this mode is enabled, the port(s) will never initiate PAgP communications but will instead listen passively for any received PAgP packets before creating an EtherChannel with the neighbouring switch
###我要模式
### 我要模式
**Desirable Mode**
@ -94,7 +94,7 @@ PAgP支持不同端口模式而这些端口模式则决定在两台支持PAgP
<tr><td>Desirable</td><td>Desirable</td><td>形成以太网通道</td></tr>
</table>
##PAgP以太网通道协议数据包的转发
## PAgP以太网通道协议数据包的转发
**PAgP EtherChannel Protocol Packet Forwarding**
@ -150,7 +150,7 @@ Group Port-channel Protocol Ports
尽管VSS超出了CCNA考试要求范围了解**只有PAgP才能用于承载VSS控制数据包**是有益处的。因此如要在一个VSS环境或者要在一个最终会部署上VSS的环境中部署一些以太网通道就会打算考虑运行PAgP而不是LACP因为LACP是一个开放标准不支持专有的VSS数据帧。本书中不会更为深入地涉及VSS。
##链路聚合控制协议概述
## 链路聚合控制协议概述
**Link Aggregation Control Protocol Overview**
@ -166,19 +166,19 @@ LACP通过在端口之间交换LACP数据包实现对端口通道自动创建
*图 33.4 -- IEEE 802.3 LACP数据帧*
##LACP的端口模式
## LACP的端口模式
**LACP Port Modes**
LACP通过在端口之间交换LACP数据包实现对端口通道自动建立的支持。而LACP又是通过动态地掌握端口组的各项能力并将其通告给其它端口完成的端口间数据交换。一旦LACP正确地识别出那些匹配的以太网链路就推进这些链路编组为一个端口通道。而一旦LACP模式得以配置其仅会在某单个接口被分配到指定通道组时被改变。LACP支持两种模式**主动**`acitve`)及**被动**`passive`)模式。后续小节将对这两种模式的运作进行说明。
###LACP主动模式
### LACP主动模式
**LACP Active Mode**
LACP主动模式将一个交换机端口置为经由发送LACP数据包对远端端口发起协商的主动协商状态an active negotiating state in which the switch port initiates negotiations with remote ports by sending LACP packets。主动模式与PAgP的`desirable`模式等价。也就是说在此模式下交换机端口主动尝试与另一台同样运行LACP的交换机建立以太网通道。
###LACP被动模式
### LACP被动模式
**LACP Passive Mode**
@ -198,7 +198,7 @@ LACP主动模式将一个交换机端口置为经由发送LACP数据包对远
<tr><td>主动模式</td><td>被动模式</td><td>形成以太网通道</td></tr>
</table>
##以太网通道的负载分配方式
## 以太网通道的负载分配方式
**EtherChannel Load-Distribution Methods**
@ -224,7 +224,7 @@ LACP主动模式将一个交换机端口置为经由发送LACP数据包对远
<tr><td>src-port</td><td>进行基于源第4层端口的负载分配performs load distribution based on the source Layer 4 port</td></tr>
</table>
##以太网通道配置准则
## 以太网通道配置准则
**EtherChannel Configuration Guidelines**
@ -239,7 +239,7 @@ LACP主动模式将一个交换机端口置为经由发送LACP数据包对远
- 记住有着不同STP路径开销由某位管理员所修改的的那些类似接口仍可用于组成一个以太网通道。
- 在开始通道配置之前建议首先关闭所有成员接口it is recommended to shut down all member interfaces prior to beginning channelling configuration
###配置并验证二层以太网通道
### 配置并验证二层以太网通道
**Configuring and Verifying Layer 2 EtherChannels**
@ -410,7 +410,7 @@ Protected: false
Appliance trust: none
```
###配置并验证PAgP以太网通道
### 配置并验证PAgP以太网通道
**Configuring and Verifying PAgP EtherChannels**
@ -540,7 +540,7 @@ Fa0/2 Switch-2 0014.a9e5.d640 Fa0/2 24s SAC 10001
Fa0/3 Switch-2 0014.a9e5.d640 Fa0/3 18s SAC 10001
```
###配置并验证LACP以太网通道
### 配置并验证LACP以太网通道
**Configuring and Verifying LACP EtherChannels**
@ -769,7 +769,7 @@ Switch-1#show lacp sys-id
1 ,000d.bd06.4100
```
##第33天问题
## 第33天问题
1. What type of ports does a FastEtherChannel contain?
2. How many ports can a standard EtherChannel contain?
@ -783,7 +783,7 @@ or false?
9. LACP automatically configures an administrative key value on each port configured to use LACP. The administrative key defines the ability of a port to aggregate with other ports. Only ports that have the same administrative key are allowed to be aggregated into the same port channel group. True or false?
10. What is the command used to assign a port to a channel group?
##第33天答案
## 第33天答案
1. 100 Mbps ports.
2. Up to eight ports.
@ -796,9 +796,9 @@ or false?
9. True.
10. The `channel-group [number] mode` command in Interface Configuration mode.
##第33天实验
## 第33天实验
###以太网通道实验
### 以太网通道实验
**EtherChannel Lab**

86
d34-First-Hop-Redundancy-Protocols.md
View File

@ -1,10 +1,10 @@
#第34天
# 第34天
**第一跳冗余协议**
**First Hop Redundancy Protocols**
##第34天任务
## 第34天任务
- 阅读今天的课文
- 回顾昨天的课文
@ -62,7 +62,7 @@ Switch 1 已被配置了优先级值`105`而Switch 2使用的是默认优先
思科IOS软件当前支持两个版本的HSRP版本1及版本2。后续章节将对它们的相似点和不同点进行说明。
###HSRP版本1
### HSRP版本1
默认情况下当在思科IOS软件中开启热备份路由器协议是是开启的版本1。HSRP版本1将可配置的HSRP分组限制在最多255个。HSRP版本1的那些路由器之间的通信是通过往多播组地址Multicast group address`224.0.0.2`上使用UDP端口`1985`发送报文进行的。下面的图34.3显示了HSRP版本1的报文
@ -76,7 +76,7 @@ Switch 1 已被配置了优先级值`105`而Switch 2使用的是默认优先
在图34.4中要注意版本字段显示的是数值0。这是在版本1开启时该字段的默认值不过仍然要知道这里使用的是HSRP版本1。
###HSRP版本2
### HSRP版本2
HSRP版本2使用了新的多播地址`224.0.0.102`而不是版本1的多播地址`224.0.0.2`, 来发送Hello数据包。不过其所用到的UDP端口号仍然一样`1985`。同时此新地址在IP数据包及以太网数据帧中都得以编码如下图34.5所示:
@ -90,7 +90,7 @@ HSRP版本2使用了新的多播地址`224.0.0.102`而不是版本1的多播
![HSRP版本2的数据包字段](images/3406.png)
*图 34.6 -- HSRP版本2的数据包字段*
###HSRP版本1与版本2的比较
### HSRP版本1与版本2的比较
HSRP 版本2包括了一些对版本1的增强。本小节将对这些增强及与版本1的不同进行说明。
@ -117,7 +117,7 @@ HSRP版本1的分组编号是限制在0到255的而版本2的分组编号则
![HSRP版本2的虚拟MAC地址格式](images/3411.png)
*图 34.11 -- HSRP版本版本2的虚拟MAC地址格式*
###HSRP的主网关选举
### HSRP的主网关选举
可通过将默认HSRP优先级值100, 修改为1到255之间的任何值对HSRP主网关的选举施加影响。有着最高优先级的路由器将被选举为该HSRP分组的主网关。
@ -126,7 +126,7 @@ HSRP版本1的分组编号是限制在0到255的而版本2的分组编号则
![HSRP的优先级与状态字段](images/3412.png)
*图 34.12 -- HSRP的优先级与状态字段*
###HSRP报文
### HSRP报文
HSRP路由器之间就下列三种类型的报文进行交换
@ -140,7 +140,7 @@ HSRP Coup报文实在当前备份路由器打算接过该HSRP组的活动网关
而HSRP的Resign报文则是在活动路由器即将关闭以及在一台有着更高优先级的网关发出一个Hello报文或Coup报文时发出的。也就是说在活动网关交出其作为主网关角色时发出此报文。
###HSRP的抢占
### HSRP的抢占
**HSRP Preemption**
@ -150,7 +150,7 @@ HSRP Coup报文实在当前备份路由器打算接过该HSRP组的活动网关
> 注意:抢占并不意味着生成树拓扑也会发生改变(译者注:这将导致次优路径)。
###HSRP的各种状态
### HSRP的各种状态
与开放最短路径有限Open Shortest Path First, OSPF的方式类似当在某个接口上开启了HSRP时该网关接口会经历以下一系列状态的改变
@ -213,7 +213,7 @@ R2(config-if)#
*Mar 1 01:22:26.478: HSRP: Fa0/0 Grp 1 Redundancy “hsrp-Fa0/0-1” state Speak -> Standby
```
###HSRP地址分配
### HSRP地址分配
**HSRP Addressing**
@ -311,7 +311,7 @@ FastEthernet0/0 is up, line protocol is up
> **注意**除了将HSRP配置为使用出厂地址the burnt-in address, BIA, 管理员亦可经由接口配置命令`standby [number] mac-address [mac]`静态指定虚拟网关要使用的MAC地址。但一般不会这样做因为这可能会导致交换网络中的重复MAC地址这就会引起严重的网络故障甚至造成网络中断。
###HSRP的明文认证
### HSRP的明文认证
**HSRP Plain Text Authentication**
@ -324,7 +324,7 @@ HSRP报文默认以明文密钥字串(the plain text key string)`cisco`发送,
因为明文认证提供很低的安全性那么下面介绍的消息摘要5message digest 5, MD5, 就是推荐的HSRP认证方式了。
###HSRP MD5 认证
### HSRP MD5 认证
这并非CCNA题目放在这里是为了完整性及那些要实际从事网络方面工作的人的考虑。
@ -336,7 +336,7 @@ HSRP报文默认以明文密钥字串(the plain text key string)`cisco`发送,
- 路由器与收到的数据包的MD5摘要不同时
- 路由器与收到的数据包的明文认证字串不一致时
###HSRP接口跟踪
### HSRP接口跟踪
**HSRP Interface Tracking**
@ -363,7 +363,7 @@ HSRP接口跟踪功能令到管理员可将HSRP配置为追踪某个接口的状
> 对于这些FHRPs比如HSRP可被配置为对这些增强对象进行跟踪以令到在部署FHRP失效情形时具有更大的灵活性。比如在采用EOT时可将活动HSRP路由器配置为在网络或主机路由不可达时也就是出现在路由表中降低其优先级某个数值。EOT功能是超出了CCNA考试要求的在配置示例中不会涉及。
###HSRP的负载均衡
### HSRP的负载均衡
HSRP允许管理员在一些物理接口上配置多个HSRP组以实现负载均衡。默认情况下在两台网关之间配置HSRP时在任何时期都只有一台网关对那个组的流量进行转发。这样就导致了备份网关链路上带宽的浪费。这在下图34.15中进行了演示:
@ -407,7 +407,7 @@ Gateway-1(config-if)#exit
> 在上面的输出配置中,`Group 1` 被配置为了主HSRP组 同时`Group 2`与`Group 3`被配置为了客户组或叫做从组。
###网关上HSRP的配置
### 网关上HSRP的配置
在网关上配置HSRP需要完成以下步骤
@ -457,7 +457,7 @@ Vl172 1 100 Standby local 172.16.31.1 172.16.31.254
基于此种配置,只有在`VTP-Server-1`失效时,`VTP-Server-2`才会成为活动网关。此外因为没有配置抢占preemption那么即使在`VTP-Server-1`重新上线时就算在该HSRP组中其比起`VTP-Server-2`有着更高的优先级,它仍然无法强制性地接过活动网关角色。
###HSRP抢占的配置
### HSRP抢占的配置
**Configuring HSRP Preemption**
@ -508,7 +508,7 @@ IP redundancy name is “hsrp-Vl172-1” (default)
而关键字`[reload]`用于指定网关在其重启后需要等待的时间the `[reload]` keyword is used to specify the amount of time the gateway should wait after it initiates following a reload。关键字`[sync]`是与IP冗余客户端配合使用的。此配置超出了CCNA考试要求但在生产环境中是十分有用的因为在出现某个正在被跟踪的抖动接口或类似情况下此配置可以阻止不必要的角色切换this configuration is beyond the scope of the CCNA exam requirements but is very useful in production environments because it prevents an unnecessary change of roles in the case of a flapping interface that is being tracked, or similar activity
###配置HSRP接口跟踪
### 配置HSRP接口跟踪
HSRP接口跟踪特性令到管理员可以将HSRP配置为追踪接口状态从而将当前优先级降低一个默认数值10或指定数值以允许另一网关接过指定HSRP组的主网关角色。
@ -563,7 +563,7 @@ Vlan172 - Group 1
GigabitEthernet5/1 50 Up
```
###配置HSRP的版本
### 配置HSRP的版本
如同在本课程模块先前指出的那样默认当HSRP开启时是启用的版本1。但可通过接口配置命令`standby version [1|2]`来手动开启HSRP版本2。下面的输出演示了HSRP版本2的配置
@ -593,7 +593,7 @@ Vlan172 - Group 1 (version 2)
而HSRP的开启就自动将HSRP所使用的MAC地址范围从`0000.0C07.ACxx`,改变为`0000.0C9F。F000`到`0000.0C9F.FFFF`。因此务必要记住这将导致生产网络中的一些数据包丢失因为网络中的设备必须要掌握到网关的新MAC地址。这类导致包丢失的变动都推荐在维护窗口或几乎的断网窗口来进行。
##虚拟路由器冗余协议
## 虚拟路由器冗余协议
**Virtual Router Redundancy Protocol**
@ -615,7 +615,7 @@ VRRP以与HSRP类似的方式运作但与HSRP不同VRRP是一个定义在[
![VRRP的基本运作](images/3419.png)
*图 34.19 -- VRRP的基本运作*
###VRRP的多虚拟路由器支持特性
### VRRP的多虚拟路由器支持特性
可在某个接口上配置多大255个的虚拟路由器。而某个路由器接口实际能支持的虚拟路由器数目由以下因素决定
@ -625,7 +625,7 @@ VRRP以与HSRP类似的方式运作但与HSRP不同VRRP是一个定义在[
- 路由器接口对多MAC地址的支持情况Router interface support of multiple MAC addresses
###VRRP的主路由器选举
### VRRP的主路由器选举
**VRRP Master Router Election**
@ -642,18 +642,18 @@ VRRP默认使用优先级值来决定哪台路由器将被选举为主虚拟路
在`VRRP-1`失效时,因为`VRRP-2`有着比起`VRRP-3`更高的优先级,所以它就成为主虚拟路由器。但如果`VRRP-2`与`VRRP-3`有着相同优先级的话,`VRRP-3`将被选举为主虚拟路由器因为它有着更高的IP地址。
###VRRP的抢占
### VRRP的抢占
与HSRP不同VRRP的抢占特性是默认开启的因此无需管理员为开启此功能而进行显式的配置。但此功能可经由使用接口配置命令`no vrrp [number] preempt`进行关闭。
###VRRP的负载均衡
### VRRP的负载均衡
VRRP允许以与HSRP类似的方式实现负载均衡。比如在一个于某台网关上配置了多个虚拟路由器VRRP组的网络中一个接口可作为某个虚拟路由器VRRP组的主接口虚拟路由器同时又可作为另一或更多虚拟路由器VRRP组的备份虚拟路由器。下图34.21对此进行了演示:
![VRRP的负载均衡](images/3421.png)
*图 34.21 -- VRRP的负载均衡*
###VRRP的版本
### VRRP的版本
默认情况下当在某台运行思科IOS软件的网关上配置了VRRP时开启的是VRRP版本2见下图。版本2正是默认的以及当前的VRRP版本。这里并不能如同在HSRP中那样改变版本因为并没有VRRP版本1的标准。
@ -663,13 +663,13 @@ VRRP允许以与HSRP类似的方式实现负载均衡。比如在一个于
![VRRP版本2的数据包](images/3422.png)
*图 34.22 -- VRRP版本2的数据包*
###VRRP的各种通告
### VRRP的各种通告
**VRRP Advertisements**
主虚拟路由器将通告发送给同一VRRP组中的其它VRRP路由器。通告就主虚拟路由器的优先级与状态进行通信。VRRP的通告是以IP数据包进行封装的并被发送到在图34.18中所演示的那个指派给该VRRP组的IPv4多播地址。通告默认以每秒的频率发送不过此时间间隔是可被用户配置的因而可以改变。同时备份虚拟路由器收听主虚拟路由器通告的间隔也可进行配置。
###在网关上配置VRRP
### 在网关上配置VRRP
在网关上配置VRRP需要以下步骤
@ -744,7 +744,7 @@ Interface Grp Pri Time Own Pre State Master addr Group addr
Vl192 1 100 3609 Y Backup 192.168.1.1 192.168.1.254
```
###配置VRRP的接口跟踪特性
### 配置VRRP的接口跟踪特性
为将VRRP配置为对某个接口进行跟踪就必须要在全局配置模式下为接口追踪而使用全局配置命令`track [object number] interface [line-protocol|ip routing]`, 或为IP前缀追踪而使用全局配置命令`track [object number] ip route [address | prefix] [reachablity | metric threshold]`建立一个被跟踪的对象。依据软件与平台的不同交换机上可对高达500个的被追踪对象进行跟踪。随后再使用接口配置命令`vrrp [number] track [object]`, 实现VRRP对被追踪对象的跟踪。
@ -810,7 +810,7 @@ Track 2
> **注意**这些被追踪对象亦可与HSRP和GLBP配合使用。GLBP在下面的小节进行说明。
###VRRP的调试
### VRRP的调试
命令`debug vrrp`提供给管理员用于查看有关VRRP运作情况实时信息的诸多选项。这些选项如下面的输出所示
@ -827,7 +827,7 @@ VTP-Server-1#debug vrrp ?
```
##网关负载均衡协议
## 网关负载均衡协议
**Gateway Load Balancing Protocol**
@ -838,7 +838,7 @@ GLBP网关之间的通信是通过以每隔3秒的频率往多播地址`22
![GLBP的三层及四层协议与地址](images/3424.png)
*图 34.24 -- GLBP的三层及四层协议与地址GLBP Layer 3 and Layer 4 Protocols and Addresses*
###GLBP的运作
### GLBP的运作
在启用了GLBP后该GLBP组的那些成员就选举出一台网关作为改组的活动虚拟网关the active virtual gateway, AVG。该活动网关有着最高的优先级值。在成员优先级值相等时组中带有最高IP地址的活动虚拟网关将被选举为网关。组中剩下的其它网关就会在活动虚拟网关不可用时提供活动虚拟网关的备份。
@ -857,13 +857,13 @@ GLBP网关之间的通信是通过以每隔3秒的频率往多播地址`22
通过使用上组中的所有网关GLBP实现了无需像在HSRP或VRRP中那样需要配置多个组就能做到负载均衡。
###GLBP的虚拟MAC地址分配
### GLBP的虚拟MAC地址分配
一个GLBP允许每组有4个的虚拟MAC地址。由活动虚拟网关来负责将虚拟MAC地址分配给组中的各个成员。其它组成员是在它们发现了活动虚拟网关后精油Hello报文请求到虚拟MAC地址的。
这些网关是依序分配到下一个虚拟MAC地址的。已通过活动虚拟网关分配到了虚拟MAC地址的网关被称作主虚拟转发器a primary virtual forwarder, 而已学习到某个虚拟MAC地址的网关被称作是从虚拟转发器a secondary virtual forwarder
###GLBP的冗余
### GLBP的冗余
在GLBP组中是单一一台网关被选举为活动虚拟网关有另一网关被选举为备份虚拟网关the standby virtual gateway的。组中剩下的其它网关都被置于侦听状态a Listen state。在活动虚拟网关失效时备份虚拟网关将接过该虚拟IP地址的角色。于此同时又会再进行一次选举此时将从那些处于侦听状态的网关中选出一个新的备份虚拟网关。
@ -878,13 +878,13 @@ GLBP网关之间的通信是通过以每隔3秒的频率往多播地址`22
而在超时计时器超时后该虚拟转发器就被从该GLBP组的所有网关中移除。那些仍在使用ARP缓存中原有MAC地址的客户端就必须刷新此项项目以获取到新的虚拟MAC地址。GLBP使用Hello报文来就这两个计时器的当前状态进行通信when the timeout timer expires, the virtual forwarder is removed from all gateways in the GLBP group. Any clients still using the old MAC address in their ARP caches must refresh the entry to obtain the new virtual MAC address. GLBP uses Hello messages to communicate the current state of these two timers
###GLBP的负载抢占
### GLBP的负载抢占
GLBP抢占默认是关闭的也就是说仅在当前活动虚拟网关失效时备份虚拟网关才能成为活动虚拟网关这与分配给那些虚拟网关的优先级无关。这种运作方式与HSRP中用到的类似。
思科IOS软件允许管理员开启GLBP的抢占特性这就令到在备份虚拟网关被指派了一个比当前活动虚拟网关更高的优先级值时成为活动虚拟网关。默认GLBP的虚拟转发器抢占性方案是开启的有一个30秒的延迟By default, the GLBP virtual forwarder preemptive scheme is enabled with a delay of 30 seconds。但这个延迟可由管理员手动调整。
###GLBP的权重
### GLBP的权重
**GLBP Weighting**
@ -894,7 +894,7 @@ GLBP采用了一种权重方案a weighting scheme来确定GLBP组中各
此外在某个GLBP组成员的权重降低到某个值时还可设置一个阈值用于关闭数据包的转发且在权重值上升到另一与之时又可自动开启转发。在当前活动虚拟转发器的权重掉到低权重阈值30秒时备份虚拟转发器将成为活动虚拟转发器。
###GLBP负载共同分担
### GLBP负载共同分担
**GLBP Load Sharing**
@ -912,13 +912,13 @@ GLBP支持以下三种方式的负载分担
加权的负载分担机制使用权重值来确定发送到某个特定AVF的流量比例。较高的权重值会带来更频繁的包含那台网关虚拟MAC地址的ARP响应。
###GLBP的客户端缓存
### GLBP的客户端缓存
GLBP的客户端缓存包含了使用到某个GLBP组作为默认网关的那些网络主机的信息。此缓存项目包含了关于发送了IPv4 ARP或IPv6 邻居发现Neighbor Discovery, ND请求主机以及AVG指派了哪个转发器给它的信息还有每台网络主机已被分配的GLBP转发器的编号和当前分配给GLBP组中各台转发器的网络主机总数。
可以开启某个GLBP组的活动虚拟网关来存储一个使用到此GLBP组的所有LAN客户端的客户端缓存数据库a client cache database。客户端缓存数据库最多可以存储2000个条目但建议条目数不要超过1000。同时GLBP缓存的配置是超出CCNA考试要求的此特性可使用命令`glbp client-cache`进行配置,使用命令`show glbp detail`进行验证。
###在网关上配置GLBP
### 在网关上配置GLBP
在网关上配置GLBP需要以下步骤
@ -1050,7 +1050,7 @@ Vlan192 - Group 1
当在活动虚拟网关上执行时,命令`show glbp`除了展示其它内容外还会给出备份虚拟网关的地址和组中所有活动虚拟转发器的数目以及由活动虚拟网关所指派给这些活动虚拟转发器的状态。同时还显示了各台活动虚拟转发器的虚拟MAC地址。
##第34天问题
## 第34天问题
1. Name two FHRP protocols that are Cisco proprietary.
2. Name the open standard FHRP protocol.
@ -1063,7 +1063,7 @@ Vlan192 - Group 1
9. Just like HSRP, VRRP has the option of allowing the gateway to use the BIA or a statically configured address as the MAC address for VRRP groups. True or false?
10. Which command can you use to configure a GLBP group IP address on a router interface?
##第34天问题答案
## 第34天问题答案
1. HSRP and GLBP.
2. VRRP.
@ -1076,9 +1076,9 @@ Vlan192 - Group 1
9. False.
10. The `glbp [number] ip [virtual address]` command.
##第34天实验
## 第34天实验
###HSRP实验
### HSRP实验
在包含了两台直连路由器的场景中(也就是`Fa0/0`连接到`Fa0/0`),对本课程模块中有解释的那些命令进行测试。这两天应都经由比如端口`Fa0/1`连接到一台交换机。便在交换机上连接一台工作站workstation
@ -1111,11 +1111,11 @@ Vlan192 - Group 1
- 在一台路由器的主网关状态变化时,使用命令`debug standby`对HSRP进行调试从而观察另一台是如何被选举为主网关的
###VRRP实验
### VRRP实验
重复上一实验但这次在适用的命令改变下用VRRP代替HSRPrepeat the previous lab but this time using VRRP instead of HSRP, with the applicable command changes
###GLBP实验
### GLBP实验
重复第一个实验在适用的命令改变下用GLBP代替HSRP。在两台路由器上使用`glbp 10 load-balancing round-robin`命令配置GLBP的负载共担并观察LAN中流量是如何同时到达两台路由器的。

24
d35-booting-and-IOS.md
View File

@ -1,8 +1,8 @@
#第35天
# 第35天
**系统引导与IOS**
##第35天任务
## 第35天任务
- 阅读以下今天的课文
- 复习昨天的课文
@ -27,7 +27,7 @@
- 软件许可licensing
- 展示/修改许可证show/change license
##路由器存储与各种文件
## 路由器存储与各种文件
下图35.1对路由器内部的主要存储器部件进行了演示。每种存储器都扮演了不同角色,且包含了不同的文件:
@ -120,7 +120,7 @@ Processor board ID 18086064, with hardware revision 00000003
![路由器的启动过程](images/3503.png)
*图 35.3 -- 路由器的启动过程*
##管理IOS
## 管理IOS
做好一些简单的路由器及交换机日常工作就可避免许多的网络灾难many network disasters could have been avoided with simple router and switch housekeeping。如路由器配置文件对于你及你的业务比较重要那么就应对其进行备份。
@ -167,7 +167,7 @@ File Length Name/status
作者本打算对此方面进行深入但你应着重于CCNA考试本身及日常工作。不过灾难恢复应在深入研究及实验的目标清单当中。
##各种启动选项
## 各种启动选项
**Booting Options**
@ -199,7 +199,7 @@ RouterB(config)#boot system tftp: c2500-js-l.121-17.bin ? Hostname or A.B.C.D Ad
RouterA(config)#boot system tftp:
```
##启动过程及加电自检
## 启动过程及加电自检
**Booting Process and POST**
@ -215,7 +215,7 @@ RouterA(config)#boot system tftp:
在运行路由器上所作的任何修改就将保存在RAM中这里就需要手动执行命令`copy running-config startup-config`,令到当前配置作为在每次启动路由器时的启动配置。
##IOS许可
## IOS许可
**IOS Licensing**
@ -230,7 +230,7 @@ RouterA(config)#boot system tftp:
作者在思科技术支持中心Technical Assistant Center, TAC就解决了数不清的那些买了一台路由器及一套IOS软件却发现到手的产品无法支持其对网络设施所要求的那些特性而迷惑的或是愤怒的客户。还要记住对于大型、企业网络必须要提前数月来安排IOS升级把IOS升级放到一个很小的维护窗口。
##一个新的型号
## 一个新的型号
**A New Model**
@ -246,7 +246,7 @@ RouterA(config)#boot system tftp:
![思科许可证管理器的图形界面](images/3506.png)
*图 35.6 -- 思科许可证管理器的图形界面Image Copyright Cisco Systems Inc.*
##许可证的激活
## 许可证的激活
**License Activation**
@ -328,7 +328,7 @@ Router#
##第35天问题
## 第35天问题
1. Which files would you usually find in DRAM?
2. Where is the compressed IOS held?
@ -342,7 +342,7 @@ Router#
10. What is the purpose of the POST?
##第35天答案
## 第35天答案
1. Uncompressed IOS, running configuration, and routing tables.
2. On the flash memory.
@ -356,7 +356,7 @@ Router#
10. The POST tests the hardware in order to verify that all the components are present and healthy (interfaces, memory, CPU, ASICs, etc.).
##第35天实验
## 第35天实验
对本课程模块中讲到的那些配置命令进行测试:

70
d36-EIGRP.md
View File

@ -1,10 +1,10 @@
#第36天
# 第36天
**增强的内部网关路由协议**
**Enhanced Interior Gateway Routing Protocol, EIGRP**
##第36天任务
## 第36天任务
- 阅读今天的课文
- 复习昨天的课文
@ -45,7 +45,7 @@
- 开销不同时
- 什么是EIGRP的被动接口passive interfaces
##思科EIGRP概述与基础知识
## 思科EIGRP概述与基础知识
为解决其先前的专有距离矢量路由协议 -- 内部网关路由协议Interior Gateway Routing Protocol, IGRP的某些缺陷思科公司开发了EIGRP。相比路由信息协议Routing Information Protocol, RIPIGRP确实有着一些改进比如对更多跳数的支持但仍然有着那些传统距离矢量路由协议的局限这些局限如下所示
@ -65,7 +65,7 @@
而为了确保整个网络中没有环回路径EIGRP使用了**弥散更新算法**Diffusing Update Algorithm, DUAL使用此算法来对邻居通告的所有路由进行追踪并随后选出到目的网络最优的无环回路径。弥散更新算法是EIGRP的一个核心概念将在本课程模块的稍后讲到。
##EIGRP配置基础
## EIGRP配置基础
**EIGRP Configuration Fundamentals**
@ -372,7 +372,7 @@ Distance: internal 90 external 170
本小节将对EIGRP所用到的各种类型的报文进行说明。但是在深入到各种不同报文类型前首要的是对EIGRP数据包头部有扎实的掌握这正是包含这些报文的地方。
###EIGRP数据包头部
### EIGRP数据包头部
**EIGRP Packet Header**
@ -404,7 +404,7 @@ Distance: internal 90 external 170
在该EIGRP数据包头部4位的OPCode字段被用于指明该EIGRP数据包类型或报文。EIGRP使用到不同的报文或数据包类型它们是**Hello数据包**Hello packets、**确认数据包**Acknowledgment packets、**更新数据包**Update packets、**查询数据包**Query packets、**应答数据包**Reply packets以及**请求数据包**Request packets共计6种报文或数据包类型。将在随后的小节对这些类型的数据包进行说明。
###Hello数据包
### Hello数据包
**Hello Packets**
@ -412,13 +412,13 @@ Distance: internal 90 external 170
EIGRP的Hello数据包是发送到**链路本地多播组地址the Link Local Multicast group address`224.0.0.10`**上的。由EIGRP发出的Hello数据包是**不需要发出确认数据包来确认其已收到**的Hello packets sent by EIGRP do not require an Acknowledgment to be sent confirming that they were received。因为Hello数据包不需要显式的确认所以它们被分类为**不可靠的EIGRP数据包**Hello packets are classified as unreliable EIGRP packets。EIGRP Hello数据包的**OPCode为5**。
###确认数据包
### 确认数据包
**Acknowledgment Packets**
EIGRP确认数据包就是一个**不包含数据的**EIGRP Hello数据包。EIGRP使用确认数据包来对EIGRP数据包的可靠送达进行确认。这些确认数据包the ACK packets总是发送到一个单播地址a Unicast address, 该地址就是可靠数据包发送方的源地址the source address of the sender of the reliable packet而并不是EIGRP的多播组地址了。此外确认数据包将总是会包含一个非零的确认编号a non-zero acknowledgment number。确认数据包使用了Hello数据包相同的OPCode, 因为其本来就是一个不包含任何信息的Hello数据包。其OPCode为5。
###更新数据包
### 更新数据包
**Update Packets**
@ -429,19 +429,19 @@ EIGRP确认数据包就是一个**不包含数据的**EIGRP Hello数据包。
> **注意**并不要求对EIGRP各种数据包中的所包含的信息有深入了解。
###查询数据包
### 查询数据包
**Query Packets**
增强IGRP的查询数据包是多播的并被用于请求可靠的路由信息。EIGRP的查询数据包是在某条路由不可用但该路由器却需要为快速收敛而需要就该路由的状态进行询问时所发送给其邻居的数据包。如发出查询数据包的路由器未能从其某些邻居收到响应那么其就会再度向那些未响应的邻居发出一次查询。如在16次尝试后都没有响应那么该EIGRP邻居关系将被重置。本课程模块后面将对此概念进行更为深入的说明。分配给EIGRP**查询数据包的OPCode为3**。
###应答数据包
### 应答数据包
**Reply Packets**
增强IGRP的应答数据包是作为对查询数据包的响应发送的。应答数据包用于可靠地响应某个查询数据包。应答数据包是到查询发起方的单播数据包。分配给EIGRP**应答数据包的OPCode为4**。
###请求数据包
### 请求数据包
**Request Packets**
@ -501,13 +501,13 @@ IP-EIGRP Traffic Statistics for AS 150
| 应答数据包Reply | 用于对查询数据包的响应 | 可靠的 |
| 请求数据包Request | 用于路由服务器应用中的信息请求 | 不可靠 |
##EIGRP的邻居发现与邻居维护
## EIGRP的邻居发现与邻居维护
**EIGRP Neighbour Discovery and Maintenance**
可将增强的IGRP配置为动态地发现相邻路由器这是默认选项discover neighbouring routers dynamically(default)或者经由管理员手动配置来发现相邻路由器。下面的小节将对这两种方式以及其它有关EIGRP邻居相关话题进行讨论。
###动态的邻居发现
### 动态的邻居发现
**Dynamic Neighbour Discovery**
@ -548,7 +548,7 @@ Fa0/0 1 0/0 1 0/1 50 0
> **注意**`show ip eigrp neighbours`命令将在后面讲到。在查看`show ip eigrp interfaces detail <name>`命令的输出时要注意因为EIGRP同时用到多播及单播数据包both Multicast and Unicast packets所以该命令的计数器将包含两种类型数据包的数值如上面输出所示。
###静态的邻居发现
### 静态的邻居发现
**Static Neighbour Discovery**
@ -603,7 +603,7 @@ Fa0/0 1 0/0 2 0/1 50 0
此外,可使用`show ip eigrp neighbours [detail]`命令来判断EIGRP邻居的类型。在本课程模块的后面将对此命令进行详细讲解。
###EIGRP的Hello及保持计时器
### EIGRP的Hello及保持计时器
**EIGRP Hello and Hold Timers**
@ -638,7 +638,7 @@ Fa0/0 1 0/0 7 0/1 50 0
调整默认EIGRP计时器数值的最常见原因就是要加速路由协议的收敛。比如在一条低速WAN链路上180秒的保持时间将是一个在EIGRP宣告某台邻居路由器宕机之前所要等待的相当长的时间。相反在某些情形中为了确保得到一个稳定的路由拓扑就可能有必要在某些高速链路上增加EIGRP计时器数值。在部署某种活动粘滞路由方案a solution for Stuck-In-Active routes这是常见的做法。本课程模块后面或详细讲解活动粘滞路由。
###EIGRP的邻居表
### EIGRP的邻居表
**EIGRP Neighbour Table**
@ -712,7 +712,7 @@ Static Address Interface
192.168.1.3 FastEthernet0/0
```
###可靠传输协议
### 可靠传输协议
**Reliable Transport Protocol**
@ -733,7 +733,7 @@ Static Address Interface
> **注意**当前的CCNA考试不要求对MFT及RTO有深入了解。
##各种度量值、弥散更新算法及拓扑表
## 各种度量值、弥散更新算法及拓扑表
**Metrics, DUAL, and the Topology Table**
@ -741,7 +741,7 @@ Static Address Interface
在那之后,将学习到**弥散更新算法**the Diffusing Update Algorithm, DUAL与**EIGRP的拓扑表**。此小节包括了一个有关如何在一台运行着EIGRP的路由器上将所有这些信息进行配合以最终产生出IP路由表的讨论。
###EIGRP综合度量值的计算
### EIGRP综合度量值的计算
**EIGRP Composite Metric Calculation**
@ -785,7 +785,7 @@ Routing Protocol is “eigrp 150”
> **注意**不建议对这些默认的K值进行调整。对这些K值的调整只应在那些对网络中这类行为造成的后果有扎实了解老练的高级工程师的指导下或在思科公司技术支持中心的建议下完成。
###使用接口带宽来影响EIGRP的度量值
### 使用接口带宽来影响EIGRP的度量值
**Using Interface Bandwidth to Influence EIGRP Metric Calculation**
@ -851,7 +851,7 @@ Routing entry for 172.16.100.0/24
总的来说,在应用带宽命令`bandwidth`对EIGRP的度量值计算施加影响时重要的是记住EIGRP会使用到目的网络路径上的最小带宽以及延迟的累计值来计算路由度量值EIGRP uses the minimum bandwidth on the path to a destination network, along with the cumulative delay, to compute routing metrics。同时还要对网络拓扑有牢固掌握以对在何处使用`bandwidth`命令从而实现对EIGRP度量值计算的影响。**但在真实世界中对EIGRP度量值施加影响的首选方法不是修改带宽而是修改延迟**。
###运用接口的延迟来对EIGRP的度量值计算进行影响
### 运用接口的延迟来对EIGRP的度量值计算进行影响
**Using Interface Delay to Influence EIGRP Metric Calculation**
@ -972,7 +972,7 @@ Routing entry for 172.16.100.0/24
而经由`Serial0/1`的路径则被保留在拓扑表中作为到该网络的一条替代路径an alternate path
###关于弥散更新算法
### 关于弥散更新算法
**The Diffusing Update Algorithm(DUAL)**
@ -1012,7 +1012,7 @@ Routing entry for 172.16.100.0/24
而当目的网络的可行后继路由器不存在时,本地路由器将向邻居路由器发出一次查询,对邻居路由器是否有着关于目的网络的信息。如邻居路由器有该信息,同时另一路由器确实有着到目的网络的路由,此时该路由器将执行一次**弥散运算**以确定出一台新的后继路由器If the information is available and another neighbour does have a route to the destination network, then the router performs **a diffusing computation** to determine a new Successor
##EIGRP的拓扑表
## EIGRP的拓扑表
**The EIGRP Topology Table**
@ -1143,7 +1143,7 @@ Cleaning up
> **注意**重要的是应注意在对网络中某台路由器上的该默认参数进行修改时就必须对EIGRP路由域中的所有路由器上的该参数进行修改It is important to note that if you change this default parameter on one EIGRP router in your network, you must change it on all the other routers within your **EIGRP routing domain**)。
##相等开销及不相等开销下的负载均衡
## 相等开销及不相等开销下的负载均衡
**Equal Cost and Unequal Cost Load Sharing**
@ -1370,7 +1370,7 @@ Routing entry for 172.16.100.0/24
如上面的输出所示,基于该种不同开销下的负载均衡配置,两条不同度量值的路由,已被安装到路由表中。但注意到经由`Serial0/1`的流量分享计数the traffic share count是0而经由`Serial0/0`的计数为1。这就意味着尽管该路由条目已被安装到路由表中, 该路由器不会通过`Serial0/1`,向`172.16.100.0/24`网络发送任何数据包,除非经由`Serial0/0`的路径不再可用。
##使用EIGRP作默认路由
## 使用EIGRP作默认路由
**Default Routing Using EIGRP**
@ -1551,7 +1551,7 @@ C 150.1.1.0 is directly connected, Serial0/0
D* 0.0.0.0/0 [90/2297856] via 150.1.1.1, 00:03:07, Serial0/0
```
##EIGRP网络中的水平分割
## EIGRP网络中的水平分割
**Split Horizon in EIGRP Networks**
@ -1685,7 +1685,7 @@ Success rate is 100 percent (5/5), round-trip min/avg/max = 24/27/32 ms
因为EIGRP默认路由与静态邻居方面的配置在本课程模块的前面小节都已详细介绍过了所以这里为了简洁期间这些特性的配置就做了省略处理。
##EIGRP的路由汇总
## EIGRP的路由汇总
**EIGRP Route Summarisation**
@ -2339,7 +2339,7 @@ P 150.1.1.0/24, 1 successors, FD is 2169856
via Connected, Serial0/0
```
##什么是被动接口
## 什么是被动接口
**Understanding Passive Interface**
@ -2491,7 +2491,7 @@ H Address Interface Hold Uptime SRTT RTO Q Seq
0 150.1.1.2 Se0/0 12 00:02:47 1 3000 0 69
```
##掌握EIGRP路由器ID的用法
## 掌握EIGRP路由器ID的用法
**Understanding the Use of the EIGRP Router ID**
@ -2596,7 +2596,7 @@ IP-EIGRP (AS 150): Topology entry for 10.3.3.0/24
Hop count is 1
```
##第36天问题
## 第36天问题
1. You can see the ASN with the `show ip _______` command.
2. Every router you want to communicate with in your routing domain must have a different ASN. True or false?
@ -2609,7 +2609,7 @@ IP-EIGRP (AS 150): Topology entry for 10.3.3.0/24
9. Cisco IOS software supports equal cost load sharing for a default of up to four paths for all routing protocols. True or false?
10. What EIGRP command can be used to enable unequal cost load sharing?
##第36天问题答案
## 第36天问题答案
1. `protocols`.
2. False.
@ -2622,19 +2622,19 @@ IP-EIGRP (AS 150): Topology entry for 10.3.3.0/24
9. True.
10. The `variance` command.
##第36天实验
## 第36天实验
**EIGRP的实验**
###拓扑图
### 拓扑图
![EIGRP实验拓扑图](images/3622.png)
###实验目的
### 实验目的
学习如何配置基本的EIGRP。
###实验步骤
### 实验步骤
1. 基于上面的拓扑配置上所有IP地址。确保可以经由串行链路`ping`通。
2. 在两台路由器上以自治系统编号30, 配置EIGRP。

14
d37-Troubleshooting-EIGRP.md
View File

@ -1,10 +1,10 @@
#第37天
# 第37天
**EIGRP故障排除**
**Troubleshooting EIGRP**
##第37天任务
## 第37天任务
- 阅读今天的课文
- 复习昨天的课文
@ -28,7 +28,7 @@
- 负载均衡Load balancing
- 水平分割Split horizon
##邻居关系故障的排除
## 邻居关系故障的排除
**Troubleshooting Neighbour Relationships**
@ -200,7 +200,7 @@ Se0/0 0 0/0 0 0/1 0 0
通常在进行故障排除时都是建议在思科IOS软件中使用`show`命令(`show` commands而不是`debug`命令(`debug` commands。虽然调试提供到实时信息但调试是非常耗费处理器资源的从而造成设备的高CPU使用率同时在某些情况下甚至造成设备设备崩溃。除了这些`show`命令之外,还应对软件所打印出的错误消息加以留意,因为这些消息提供了可用于故障排除及隔离出问题根源的有用信息。
##路由安装的故障排除
## 路由安装的故障排除
**Troubleshooting Route Installation**
@ -302,7 +302,7 @@ Event information for AS 1:
但邻居`R2`到`192.168.100.0/24`网络的度量值却是`30`。该值要比可行距离`25`要高。那么该路由就不满足可行条件而不被当作是一条可行后继。但该路由仍将被放入到EIGRP的拓扑表。不过就算该路径的度量值是处于由EIGRP路由器配置命令`variance 2`所指定的范围中,其也不会被用于负载分配。在这类情形中,可考虑使用**EIGRP的偏移清单**来确保所有路由都被加以考虑In such situations, consider using **EIGRP offset lists** to ensure that all routes are considered
##路由通告的故障排除
## 路由通告的故障排除
**Troubleshooting Route Advertisement**
@ -425,7 +425,7 @@ D 10.3.0.0 [90/2300416] via 172.16.1.1, 00:00:10, FastEthernet0/0
D 10.1.0.0 [90/156160] via 172.16.1.1, 00:00:10, FastEthernet0/0
```
##EIGRP路由故障的调试
## EIGRP路由故障的调试
**Debugging EIGRP Routing Issues**
@ -559,7 +559,7 @@ packet
[Truncated Output]
```
##第37天问题
## 第37天问题
**Day 37 Questions**

10
d38-EIGRP-For-IPv6.md
View File

@ -1,10 +1,10 @@
#第38天
# 第38天
**EIGRP对IPv6的支持**
**EIGRP For IPv6**
##第38天任务
## 第38天任务
- 阅读今天的课文(以下内容)
- 复习EIGRP模块
@ -207,7 +207,7 @@ EIGRP-IPv6 Protocol for AS(1)
Redistribution:
```
##第38天问题
## 第38天问题
1. IPv6 security for EIGRPv6 is built-in. True or false?
2. Because EIGRPv6 uses the Link-Local address of the neighbour as the next-hop address, the global IPv6 Unicast subnets do not need to be the same in order for a neighbour relationship to be established between two routers that reside within the same autonomous system and are on a common network segment. True or false?
@ -216,7 +216,7 @@ EIGRP-IPv6 Protocol for AS(1)
5. How do you enable EIGRP for IPv6 on a router interface?
##第38天答案
## 第38天答案
1. True.
2. True.
@ -224,7 +224,7 @@ EIGRP-IPv6 Protocol for AS(1)
4. The shutdown state.
5. Issue the `ipv6 eigrp [ASN]` command.
##第38天实验
## 第38天实验
请重复第36天的EIGRP实验不过这次要使用IPv6地址并激活IPv6下的EIGRP-IPV6