【正文】 地址（必須為up狀態(tài)）。10. 常用查看命令：Clear ip ospf process。Show ip protocols。Show ip route。Show ip ospf。Show ip ospf interface。Show ip ospf interface brief。Show ip ospf interface fa 0/1。Show ip ospf neighbor。Show ip ospf neighbor 。Debug ip ospf events。Debug ip ospf packet。Debug ip ospf adj。Clear ip route *.11. OSPF的負載均衡：除了BGP之外，一般的路由協(xié)議都是默認支持4條負載均衡；Maximumpaths x；Ip ospf cost x。12. OSPF認證：OSPF認證密鑰聲明認證類型鏈路認證接口下：ip ospf authenticationkey cisco接口下：ip ospf authentication明文接口下：ip ospf messagedigestkey 1 md5 cisco接口下：ip ospf authentication messagedigestMD5區(qū)域認證接口下：ip ospf authenticationkey cisco進程中：area 1 authentication明文接口下：ip ospf messagedigestkey 1 md5 cisco進程中：area 1 authentication messagedigestMD5虛鏈路虛鏈路進程：area 2 virtuallink authenticationkey cisco 虛鏈路進程：area 2 virtuallink authentication明文虛鏈路進程：area 2 virtuallink messagedigestkey 1 md5 cisco虛鏈路進程：area 2 virtuallink authentication messagedigestMD5OSPF區(qū)域認證必須在區(qū)域內(nèi)的所有路由器都進行同樣的聲明，不過每條鏈路使用的秘鑰可以不同。1. Router on a Stick特例：n 上圖中因為vlan 1是本征VLAN，所以其網(wǎng)關(guān)直接配置在主接口（主接口只能接收不帶任何標記的幀）上即可，并且不需要封裝dot1q；n Vlan 1的配置也可以寫成以下內(nèi)容：Interface fa 0/ Encapsulation dot1q 1 native Ip add n 使用show vlan dot1q tag native查看native是否打標，若已打標需要取消的話使用命令no vlan dot1q tag native；n 建議配置路由器子接口與下游交換機的VLAN使用相同的數(shù)字。2. 單臂路由使用較少的原因：n 交換機與路由器的VLAN要共享一條鏈路的帶寬，一般是100M，每VLAN帶寬較少；n 單點故障，路由器若down后影響較大；n 使用三層交換機（SVI啟網(wǎng)關(guān)）來代替單臂路由。3. ACL的用途：n Filtering: Manage IP traffic by filtering packets passing through a router。n Classification: Identify traffic for special handling.4. ACL Applications:Filteringn Permit or deny packets moving through the router。n Permit or deny vty access to or from the router。n Without ACLs, all packets could be transmitted to all parts of your network.5. Internet分為三個層面：管理層面，控制層面，數(shù)據(jù)層面。6. ACL Applications: Classification7. Outbound ACL Operation：8. ACL和路由表的優(yōu)先級比較：n 出站ACL優(yōu)先級低于路由表查詢，入站ACL優(yōu)先級高于路由表查詢；n 入站ACL可以過濾進入的所有流量，出方向ACL只能過濾穿過此設(shè)備的流量，不能過濾本設(shè)備自身生成的流量。9. A List of Tests: Deny or Permit10. ACE的使用：n ACE（Access Control Entry）的第一條sequence默認值為10，后面的ACE以+10遞增，ACE的匹配從最小的序列號開始；n 只要匹配到一條ACE則立即轉(zhuǎn)發(fā)，不再考慮后面是否還有相關(guān)的ACE；n ACL中有一條隱式的ACE位于ACE的末尾，deny any any。11. Types of ACLs：12. How to Identify ACLs：13. Cisco 不同IOS版本中ACL的區(qū)別：n IOS ，只能整個ACL刪除，IOS ；n IOS ，并以10遞增，IOS 。14. ACL Configuration Guidelines：15. Dynamic ACLs：一個ACL中只能包含一條動態(tài)ACE；動態(tài)ACE默認處于不工作狀態(tài)，需要條件觸發(fā)后才會工作，工作完畢后又將置于不工作狀態(tài)；配置如下： Ip accesslist extended R1R3 Permit icmp Permit tcp Permit udp Ip accesslist extended R1R3 Dynamic TEST permit ip host host Username Admin password Cisco Line vty 0 935 Automand accessenable host Login local Interface fa 0/0 Ip accessgroup R1R3 in 然后在R1（）上使用vty上定義的用戶名密碼telnet R2，telnet會話馬上斷開，斷開后會連接到dynamic ACE上使其數(shù)據(jù)能夠通過。16. TimeBased ACL配置（時間有細微誤差）：Timerange ICMP Absolute start 20:17 22 May 2012 end 20:18 22 May 2012 Accesslist 100 permit icmp host host echo timerange ICMPInterface fa 0/0 Ip accessgroup 100 inClock set 20:17:15 22 may 201217. 自反ACL配置：Ip accesslist extended Boss Permit ip reflect DHIp accesslist extended Employee Permit ip host host Evaluate DHInterface fa 0/0 Ip accessgroup Boss out Ip accessgroup Employee in可以使用show ip accesslist查看多了一條reflect，建議在配置時不要使用deny。18. VTY和interface的區(qū)別：VTY使用accessclass 12 in（只能使用in方向）；Interface使用ip accessgroup 12 in/out。19. 標準ACL是一個三層工具，擴展ACL是一個四層工具。20. 使用ip accesslist standard/extended name時，name也可以使用數(shù)字，但必須按照其標準或擴展ACL的取值規(guī)定來寫。21. 常用查看命令：Show ip accesslists；Show ip interfaces fa0/0；22. 安全的高級技術(shù)：context based access control。zonebased policy firewall.23. Zonebased policy firewall配置：Zone security Boss Zone exitZone security Employee exitClassmap type inspect matchall ICMP Match protocol icmpClassmap type inspect matchall HTTP Match protocol Classmap type inspect matchall FTP Match protocol ftpClassmap type inspect matchall Telnet Match protocol telnetPolicymap type inspect TEST Class type inspect ICMP Inspect Exit Class type inspect HTTP Inspect Exit Class type inspect FTP Inspect Exit Class type inspect Telnet Inspect ExitZonepair security outbound source Employee destination Boss Servicepolicy type inspect TESTZonepair security inbound source Boss destination Employee Servicepolicy type inspect TESTInterface fa 0/1 Zonemember security BossInterface fa 0/0 Zonemember security Employee1. RFC1918中定義了私有IPv4地址。2. Network Address Translation：3. Port Address Translation：4. Static NAT配置命令（用于內(nèi)網(wǎng)服務(wù)器的靜態(tài)發(fā)布）：Ip nat inside source static Interface fa1/0 Ip nat insideInterface fa1/1 Ip nat outside5. Dynamic NAT配置命令：Ip nat pool CCIE netmask Accesslist 10 permit Ip nat inside source list 10 pool CCIEInterface fa1/0 Ip nat insideInterface fa1/1 Ip nat outside6. PAT配置命令1：Ip nat pool CCIE prefixlength 24Accesslist 50 permit Ip nat inside source list 50 pool CCIE overloadInterface fa1/0 Ip nat insideInterface fa1/1 Ip nat outside7. PAT配置命令2：Accesslist 80 permit Ip nat inside source list 80 inteface fa 1/1 overloadInterface fa1/0 Ip nat insideInterface fa1/1 Ip nat outside8. 使用Static NAT和Dynamic NAT時，因為每個私網(wǎng)IP對應(yīng)一個唯一的公網(wǎng)IP，因此在show ip nat translations時可以看到如下圖條目，此條目在Static NAT中是配置NAT后即存在，在Dynamic NAT是做了第一次NAT后存在，而在PAT中將永遠不會存在此條目。9. 使用出接口做PAT轉(zhuǎn)換時，外網(wǎng)永遠不能Ping通內(nèi)網(wǎng)。10. 在PAT環(huán)境中，只有TCP/UDP/ICMP流量能夠?qū)崿F(xiàn)跨域網(wǎng)絡(luò)的訪問，其中ICMP作為三層協(xié)議，會在其報頭中添加一個類似于四層端口號的值作為識別。11. 在做NAT或PAT轉(zhuǎn)換時，建議地址池與NAT或PAT設(shè)備的外網(wǎng)接口處于同一網(wǎng)段內(nèi)。12. 常用show命令：show ip nat translations。13. 關(guān)閉console日志顯示：no logging console。14. NAT及PAT擴展：若使用地址轉(zhuǎn)換的地址池與設(shè)備外網(wǎng)接口不在同一網(wǎng)段，則可以使用靜態(tài)路由或者配置路由協(xié)議（使用與地址池同一網(wǎng)段且未被地址池使用的一個IP地址配置成環(huán)回接口，然后將其宣告到路由協(xié)議中）使其正常通信。15. WAN概述：n WAN協(xié)議分為P2P和MA兩種；n WAN主要用來作為分支機構(gòu)、總部、遠程辦公等之間的連接使用，其帶寬較小，需要跨域運營商網(wǎng)絡(luò)。16. WAN Devices：17. Physical Layer: WANs18. “背靠背”是指兩個路由器的廣域網(wǎng)端口在實驗室不經(jīng)電信網(wǎng)絡(luò)