第一篇:CCNP路由难点说明(范文模版)
CCNP 路由难点总结 降龙教主呕心之作
一、选择题与拖图题:
A.BGP
1、BGP选路原则: 权本始,短起
M,常用为local-pref,M a)权:weigh(高)t,cisco专属; b)本:local-pref(大),默认为100;
c)始:(network>redistribute)自己通告的,即next-hop为0.0.0.0为本地始发; d)短:最(短)as-path;
e)起:origin(igp>egp>incomplete);f)M:MED(小)默认为0,cisco为mtric; g)RID:(小)包括originator-id,router-id;h)neighbor接口IP:(低)优先级:i>e>?;
2、BGP 两种生成聚合地址的方法:
在路由表中为聚合路由建立一条静态路由条目,然后用Network命令公布出去。
route bgp 100 network 192.168.192.0 mask 255.255.255.0 neighbor 192.168.1.253 remote-as 200 使用aggregate-adress命令生成聚合地址
route bgp 100 aggregate-address 192.168.192.0 255.255.248.0 summary-only neighbor 192.168.1.253 remote-as 200 其中summary-only选项使聚合地址以及更具体的地址被抑制
3、weight属性是BGP本地有效,不会宣告路由更新中,更新包里一定含有as_path强制属性,防止环路。
4、neighbor这个命令的作用是监听对方服务器发送对等体连接的请求。
5、BGP的社团属性(community):一般的BGP社团属性在离开AS时,会被剥离,如果没有的话,就用send-community让社团属性离开AS不剥离。
6、state/PfxRcd值:
1、数字,BGP会话已经建立,数值多少,代表收到多少信息。
2、active,尝试建立BGP对等体会话。
3、idle,代表会话处于初始状态。
7、确定BGP路由是否最优:
1、路由是否标记为同步。
2、路由下一跳是否可达,3、外部路由(eBGP)中的AS_PATH是否出现在本地。
8、水平分割:
1、IBGP全互联可以防止IBGP的水平分割(propagated),但不需要两路由器必须有直接连线。
2、从IBGP邻居学到的路由更新不会传给其他的IBGP对等体。
9、BGP的同步:当一个BGP路由器要把通过自己IBGP对等体学习到的EBGP对等体的同时必须满足一个条件,要宣告的EBGP更新已经通过IBGP已经学到了这个前缀。
10、BGP是用open包建立邻居关系,用keep alive维持邻居关系。
11、当两个AS之间通过多条链路连接时,使用neighbor ebgp-multihop,使BGP同时使用这多条链路,可以实现load balancing
CCNP 路由难点总结 降龙教主呕心之作
B.OSPF
1、OSPF LSA类别: 从ASBR进NSSA是7类,从ASBR进area 0是5类,ABR的汇总路由是4类,与IR是3类,DR与IR是2类,IR与IR是1类。
Stub:LSA 1,2,3 NSSA:LSA 1,2,3,7 Backbone or transit:LSA 1,2,3,4,5 Totally stubby:LSA 1,2,一条LSA 3(default route) Totally NSSA:LSA 1,2,7
2、特殊区域配置:
stub:末节+ABR->area 1 stub Totally stubby:末节->area 1 stub +ABR->area 1 stub no-summary NSSA:ASBR->area 1 nssa,ABR->area 1 nssa default-information-originate Totally NSSA: ASBR->area 1 nssa,ABR->area 1 nssa no-summary
3、OSPF虚链路:
OSPF采用由两层组成的分层结构,因此其他区域都必须与区域0直接相连,且区域0必须是连续的。通过OSPF的虚链路,可以将不连续的区域0连接起来,还可以将区域通过中转区域连接到区域0,但虚链路不能穿过多个区域,也不能穿越stub区域。
4、OSPF区域大小决定因素:OSPF区域的个数,外部LSA存在于网络中,适当的区域汇总
5、OSPF网络结构:
OSPF点到多点的网络中,不会出现DR和BDR的选举,点到多点的结构中所有路由器都在同一个子网,所以不需要OSPF neighbor来手动指定邻居。 OSPF的NBMA网络中,会选举DR和BDR,需要用OSPF neighbor来手动指定邻居
6、重分发到OSPF的其他协议,默认是O E2路由,度量缺省值为20,除了BGP重分发值为1,subnet不默认配置,也是最常见的问题。
7、OSPF stub特点:不可以成为骨干区域;建立虚电路;ASBR只会出现在NSSA,不会出现在stub区域里。
8、OSPF使用default-information originate,路由表就会产生一条默认路由,如果没有的话,可以加上always来强制产生。
9、ospf邻居建立重要条件:hello与dead时间必须匹配,本地dead默认是10s
10、OSPF路由建立完全邻接的过程:down-init-2-way-exstart-exchange-loading-full
11、实施和验证OSPF方案:
CCNP 路由难点总结 降龙教主呕心之作
7.Verify that end-to-end connectivity between the clients and the file server
C.EIGRP
1、EIGRP命令:
show ip eigrp topology : confirm with EIGRP is learning show ip route eigrp : confirm what is actually being used show ip eigrp neighbor : view router information source show ip eigrp interface : verify the routing of specific network EIGRP禁止水平分割命令:no ip split horizon eigrp 1
2、EIGRP的stub特性中,中心路由器(hub)不会向边缘路由器(spoke)发送查询包,边缘路由器只有中心路由器做为邻居。
3、EIGRP路由默认情况下处于passive状态,当successor down, feasible successor会成为successor,如果没有FS,那么路由就会变成active状态,然后向邻居查询到达该目的网段的路由。EIGRP的SIA状态是因为查询包回复超时而产生。
4、在FR多点接口中配置EIGRP,此接口的带宽为所有PVC最小的multiplied by(乘以)PVC的数量。
5、EIGRP周期性hello包的组播地址:224.0.0.10,5种包类型(hello,update,query,reply,ACK),建立邻居关系必须K值(identical metric)要匹配,variance值为1则为等价路径负载均衡。
6、EIGRP路由表中EX代表外部路由协议(OSPF)重发分过来的
7、EIGRP带宽配置:接口模式下,bandwidth 100表示100Kb
8、EIGRP汇总定义:
CCNP 路由难点总结 降龙教主呕心之作
配置汇总路由后,路由器会自动创建路由指向null 0 汇总路由是基于接口创建的
在EIGRP,默认的主网络号的边界上自动汇总
当所有明细路由都down后,汇总路由也不会down 手动汇总的度量值是5
9、EIGRP 认证:
key chain fred key 1 key-string 123456 int f0/0 ip authentication key-chain eigrp 15 fred ip authentication mode eigrp 15 md510、11、查看命令:
show ip eigrp traffic :显示发出和收到的EIGRP数据包
show ip ospf :才能看到SPF算法执行次数和两次SPF算法之间的时间间隔 show ip bgp :才能看到RID,本地优先级,下一条和BGP路径 show ip eigrp traffic :才能显示发出和收到eigrp数据包
show ip ospf neighbors和show ip ospf interfaces :可以查看OSPF邻居建立情况
show ip bgp summary :显示IBGP和EBGP邻居信息 show ip route :显示其他路由协议,是否重发布
show ip protocol :查看OSPF属性:过滤,默认值,最多路径,AS数量 汇总命令:
ip summary-address eigrp 1 192.168.16.255.255.252.0
(EIGRP) area 10 range 192.168.16.0 255.255.252.0
(OSPF) summary-address 192.168.16.0 255.255.252.0(RIP)
D.IS-IS
1、IS-IS中,本地管理地址都是以49开头。
2、IS-IS在OSI协议中,网络层用的是NSAP(Network Service Access Point)地址
E.IPv6与OSPFv3
1、ipv6 ::/0是默认路由,::/128是非特定地址,有些特定的Ipv6地址是不能导入OSPF进程中,ipv6允许主机自己创建自己的ipv6地址,也能通过DHCP。
2、ipv6:128bit,发送RA消息,在ipv6的头信息里有next header field信息,路由器产生RA请求,RA是分配信息,RA包含前缀和前缀的有效期。
3、ipv6的邻居发现协议都是用的ICMP协议。
4、6to4隧道:使用2002::/16前缀,且自动创建隧道;一个多点隧道,允许多个ipv4地址;ipv4 protocol type of 41 表示封ipv4装下一个数据包头是Ipv6;配置三要素:tunnel mode(6to4),ipv4 tunnel sources,6to4 IPv6 address(within 2002:/16)
5、ipv6地址格式:每个16位组开始的0可以省略;任意多个为0的16位组可以用::表示,但ipv6的地址中只允许出现一次::
CCNP 路由难点总结 降龙教主呕心之作
6、ipv4:192.168.30.1—ipv6:0.0.0.0.0.0.192.168.30.1//::192.168.30.1//::C0A8:1E01
7、ipv6 ospfv3的9类LSA叫做intra-area prefix LSA。
8、ipv6数据流传输隧道有:手工,GRE,6 to 4,ipv4兼容,ISATAP。
9、ospfv3是使用link-local地址建立邻居关系,通过IPv6 IPsec认证保证安全。
10、ospfv3汇总路由的度量值继承汇总前所有明细路由中度量值的最大值。
11、NAT-PT作用:使一边的ipv4与一边的ipv6两者通信。
12、OSPFv3与OSPFv2区别:
OSPFv3是支持IPV6的OSPF 多播地址:OSPFv3 FF02::5—224.0.0.5 OSPF
所有的路由器
OSPFv3 FF02::6---224.0.0.6 OSPF
指定路由器DR OSPFv3在接口下配置ID和区域:ipv6 ospf process-id area area-id,而不是在router下配置network和area。OSPFv3使用ipv6 ospf cost/priority 来定义ospf开销与优先级,优先级大的为DR,默认为0。
F.路由策略
1、PBR的set命令:
1、从那些接口来的流量能被路由。
2、下一跳。
3、ip优先级(precedence)
2、cisco SA500商业优势:商业级防火墙,点到点的VPN,email安全性
3、PIM(protocol independent multicast)协议无关组播:密集(dense)和稀疏(sparse)及(sparse-dense)模式,其中稀疏模式需要RP(rendezvous point)汇合点,密集模式需要内建组播路由协议表
4、GRE over IPSec vpn配置如下,把图中明显标明的地址改为192.168.2.1就是正确配置,除了tunnel地址配置为172.16.1.1,其他地址都是实际物理地址:192.168.2.*。另外,ACL有3条:gre,esp,udp。GRE tunnel上可以运行IPSec tunnel进行加密。GRE over IPSec tunnel最大优势是可以配置动态路由。
CCNP 路由难点总结 降龙教主呕心之作
二、实验题:
G.重分发:
要点:
ospf与ospf之间不需要做重分发,所以R4不需要做。eigrp与ospf之间需要做重分发,所以R2与R3需要做。
步骤:
先看接口信息,接口就是做重分发的OSPF area区域接口,即:s0/2与f1/0。因为重分发到EIGRP里,必须把重分发的链路的值告诉EIGRP area区域,进行匹配。
把OSPF重分发到EIGRP中,注意DLY的单位是usec,配置单位是sec。以R2为例:
CCNP 路由难点总结 降龙教主呕心之作 r2(config)#router eigrp 100 r2(config-router)#redistribute ospf 1 metric 1544 2000 255 1 1500 把EIGRP重分发到OSPF中,要添加subnets关键词,另外度量类型为E1,以R2为例:
r2(config)#router ospf 1 r2(config-router)#redistribute eigrp 100 metric-type 1 subnets R2配置完成,R3也是一样。 测试:
R1用扩展ping R4的环回接口lo1:172.16.100.1,看一下来回路由。
H.路由策略:
要点:
在R3(BR)上做好route-map应用到f1/0上,用R4产上上网流量做测试
配置:
BR#sh ip int b Interface
IP-Address
OK? Method Status
Protocol Serial0/0
10.1.101.2
YES NVRAM up
up Serial0/1
unassigned
YES NVRAM administratively down down Serial0/2
unassigned
YES NVRAM administratively down down Serial0/3
unassigned
YES NVRAM administratively down down
CCNP 路由难点总结 降龙教主呕心之作
FastEthernet1/0
10.1.100.2
YES NVRAM up
up FastEthernet2/0
10.1.102.2
YES NVRAM up
up BR#conf t BR(config)#acc 100 per tcp any any eq www.xiexiebang.comP 路由难点总结 降龙教主呕心之作
the other is used for another route to that network.Each of these two lines has 2 parameters: the first one(“156160″ or “157720″)is the Feasible Distance(FD)and the second(“128256″ or “155160″)is the Advertised Distance(AD)of that route.The next thing we want to know is: if the route via 172.17.10.2(the last line)would become the feasible successor for the 10.140.0.0/24 network.To figure out, we have to compare the Advertised Distance of that route with the Feasible Distance of the successor’s route, if AD < FD then it will become the feasible successor.In this case, because AD(155160)< FD(156160)so it will become the feasible successor.Therefore we can conclude the network 10.140.0.0/24 has 1 feasible successor.After understanding the output, let’s have a look at the entire output:
Because the question asks about feasible successor so we just need to focus on entries which have more paths than the number of successor.In this case, we find 3 entries that are in blue boxes because they have only 1 successor but has 2 paths, so the last path can be the feasible successor.By comparing the value of AD(of that route)with the FD(of successor’s route)we figure out there are 2 entries will have the feasible successor: the first and the second entry.The third entry has AD = FD(30720)so we eliminate it.Question 2 networks?(Choose three)A – 172.17.3.128.25 [90/28160] via 172.17.1 2, 01:26:35, FastEthernet0/2 B – 172.17.3.128/25 [90/30720] via 172.17.3.2, 01:26:35.FastEthemet0/3 C – 172.17.3.128/25 [90/30720] via 172.17.10.2, 01:26:35.FastEthernet0/1 D – 172.17.2.0/24 [90/30720] via 172.17.10.2, 02:10:11, FastEthernet0/1
CCNP 路由难点总结 降龙教主呕心之作
E – 172.17.2.0/24 [90/28160] via 172.17.10.2, 02:10:11.FastEthernet0/1 F – 172.17.2.0/24 [90/33280] via 172.17.3.2, 02:10:11.FastEthernet0/3
Answer: B C D Explanation First indicate the positions of these networks:
Network 172.17.3.128/25 has 2 successors, therefore the two paths below are both successors.Network 172.17.2.0/24 has only 1 successor, therefore the path lies right under it is the successor.Question 3 three)A – 172.17.0.0/30 B – 172.17.1.0/24 C – 172.17.2.0/24 D – 172.17.3.0/25 E – 172.17.3.128/25 F – 172.17.10.0/24
Answer: C E F Explanation
CCNP 路由难点总结 降龙教主呕心之作
First, we should notice about the entry in the orange box, it shows that the network 172.17.10.0/24 is directly connected with this router and has a FD of 28160.So we can guess the networks that directly connected with router at 172.17.10.2 will be shown with an AD of 28160.From that, we find out 3 networks which are directly connected to the router at 172.17.10.2(they are green underlined).The network 172.17.10.0/24 is surely directly connected to the router at 172.17.10.2(in fact it is the network that links the router at 172.17.10.2 with Core1 router).EIGRP配置部分
Router(config)# router eigrp 100 Router(config-router)# network 172.16.0.0 无反码(指 /16)主类网络 Router(config-router)# network 172.16.0.0 0.0.3.255(指 /22)(反码:用255.255.255.255 相应减去 子网掩码的对应位)Router(config-router)#no auto-summary Router(config-router)# maximum-path 6 设置为1则取消负载均衡
Router(config-router)#times active-time 1 修改SIA(struck-in-active)时间 默认为3分钟
Router(config-router)# variance 2 {multiplier} 不等价的负载均衡
Router(config-route)#metric maximum-hops 更改最大跳数(默认100跳,最大255跳)查看:#sh ip route #sh ip protocol #sh ip route eigrp #sh ip eigrp neighbors
CCNP 路由难点总结 降龙教主呕心之作 #sh ip eigrp topology #sh ip eigrp interface #sh ip eigrp traffic 手动汇总RIP:
(config-if)#ip summary-address eigrp 100 172.16.0.0 255.255.252.0(1-255)默认汇总路由管理距离为5,通过配置汇总路由管理距离,可以形成浮动汇总路由
修改hello包默认发送/保持时间间隔,在接口下:(保持3倍于发送间隔)config)#int s1/0 R1(config-if)#ip hello-interval eigrp 100 40 慢速(FR)60秒 快速(P to P)5秒 R1(config-if)#ip hold-time eigrp 100 120 慢速(FR)180秒 快速(P to P)15秒 配置EIGRP认证: 1.定义钥匙链: Router(config)# key chain {name} 2.定义钥匙: Router(config-keychain)# key {number} 3.设置密码发送和接收的有效时间.可选: Router(config-keychain-key)# {accept-lifetime|send-lifetime} {start} {infinite|end|duration seconds} 4.定义密码: Router(config-keychain-key)# key-string {password} 5.在接口下启用EIGRP认证: Router(config-if)# ip authentication key-chain eigrp 100 {name} 6.指定认证方式为MD5加密: Router(config-if)# ip authentication mode eigrp 100 md5 让钥匙加密存储:
(config)#service password-encryption(用于加密本地的密码)修改eigrp协议所使用的带宽
Router(config-if)#ip bandwidth-percent eigrp 100 {percent} 改变K值:
Router(config-router)#metric weights tos k1 k2 k3 k4 k5 Tos值一般为0 # metric weights 0 0 0 1 0 0 将delay作为EIGRP的度量 配置默认网络:
(config)#ip default-network 172.31.0.0 只用于rip eigrp,此命令将重分布进路由进程
注:与RIP宣告的是0.0.0.0为默认网络不同的是,EIGRP将发布172.31.0.0为默认网络
调试EIGRP:
#debug eigrp packets/neighbors/transmit #debug eigrp packet update/query/reply/hello/ack(用关键字来跟踪EIGRP包)设置接口带宽和延迟(设置为T1线路):(config)#int e0(config-if)#bandwidth 1544(config-if)#delay 2000(延迟以10微秒为参考)
CCNP 路由难点总结 降龙教主呕心之作 常用EIGRP度量:
Medium Bandwidth Delay 100-Mbps ATM 100,000 kbps 100 microseconds Gigabit Ethernet 100,000 kbps 100 microseconds Fast Ethernet 100,000 kbps 100 microseconds FDDI 100,000 kbps 100 microseconds HSSI 45,045 kbps 20,000 microseconds 16-Mbps Token Ring 16,000 kbps 630 microseconds 10-Mbps Ethernet 10,000 kbps 1000 microseconds T1 1544 kbps 20,000 microseconds DS-0 64 kbps 20,000 microseconds 56-kbps media 56 kbps 20,000 microseconds 定义stub区域:
(config-router)#eigrp stub receive-only/connected/static/summary 默认connected summary是开启的 在帧中继环境中(关闭水平分割):(config)#int e0(config-if)#no ip split-horizon eigrp 100 快速交换:基于目标网络的负载均衡衡,是路由器的默认方式 过程交换:基于报文的负载均衡。#no ip route-cache 打开过程交换 Ping 测试
#debug ip packet 调试观察,此时只能查看过程交换负载均衡
CCNP 路由难点总结 降龙教主呕心之作
四、难点巧记:
EIGRP:
1、
2、CCNP 路由难点总结 降龙教主呕心之作
3、
4、CCNP 路由难点总结 降龙教主呕心之作
5、CCNP 路由难点总结 降龙教主呕心之作
6、
7、CCNP 路由难点总结 降龙教主呕心之作
8、OSPF:
CCNP 路由难点总结 降龙教主呕心之作
9、CCNP 路由难点总结 降龙教主呕心之作
Ipv6:
CCNP 路由难点总结 降龙教主呕心之作
BGP:
CCNP 路由难点总结 降龙教主呕心之作
CCNP 路由难点总结 降龙教主呕心之作
CCNP 路由难点总结 降龙教主呕心之作
Redistributed
CCNP 路由难点总结 降龙教主呕心之作
CCNP 路由难点总结 降龙教主呕心之作
DnD
10、
11、CCNP 路由难点总结 降龙教主呕心之作
12、
13、
CCNP 路由难点总结 降龙教主呕心之作
14、
15、NEW
16、17、31
CCNP 路由难点总结 降龙教主呕心之作
18、
19、
NONE
CCNP 路由难点总结 降龙教主呕心之作
CCNP 路由难点总结 降龙教主呕心之作
CCNP 路由难点总结 降龙教主呕心之作
20、239.255.8.5 1110 1111.1111 1111.0000 1000.0000 0101 后23bit位直接换算成十六进制数(0)111 1111.0000 1000.0000 0101 直接写在01.00.5e.后面
21、
CCNP 路由难点总结 降龙教主呕心之作
第二篇:ccna,ccnp课程
CCNA重认证
CCNA证书的有效期为三年,在过期之前通过任何一个方向的CCNA、CCNP或者CCIE的考试,证书有效期将自动延期三年。
CCNA培训课程内容
课程名称:互联思科网络设备(ICND二合一课程)
课时:7天 程度:初级
课程描述:本课程重点介绍从小型到中型企业网络的部署,安装和排错技术,包括配置交换机,路由器以及连接广域网和网络安全工具。学习本课程之后,学员将能够广泛的了解如何对从小型到中型分支办公网络进行完整的配置实施。
完成本课程后,学员将能够 : 1.了解网络功能,识别主要网络组件以及组件的功能,了解开放式系统互联参考模型(Open System Interconnection(OSI)reference model)和TCP/IP协议基础知识。
2.熟悉主机到主机数据包传输过程,描述以太网络流量增加带来的问题,学习局域网交换技术针对
以太网络问题的解决方案
3.4.描述局域网扩展的原因以及使用无线网络接入的方法学习如何进行从小型交换网络到中等规模交换网络的扩容(使用VLAN技术,trunk连接和生成树
协议)
5.6.7.8.描述如何在中等规模网络部署路由协议描述如何根据网络需求部署访问控制列表(ACL),在中等规模网络里ACL的配置,验证和排错描述在中等规模网络里何时部署NAT和PAT,如何在路由器上配置NAT和PAT了解如何根据网络需要选择适当的广域网技术。
课程内容 1.2.3.4.5.6.7.8.9.10.11.12.13.∷-组建基本网络∷-以太网局域网∷-无线局域网∷-路由功能探讨∷-广域网∷-网络环境管理∷-小型网络实施∷-中型交换网络结构∷-中型路由网络结构∷-单区域OSPF实施∷-EIGRP实施∷-访问控制列表∷-地址空间管理1
14.∷-局域网扩展成为广域网
CCNP思科认证资深工程师
CCNP认证(Cisco Certified Network Professional)
CCNP认证 简介
CCNP证书表明拥有针对中型到大型企业网络的局域网和广域网的组网能力(路由和交换技术),能够对企业局域网和广域网进行规划、实现和检查排错。CCNP工程师能够协同安全、语音、无线工程师共同实现企业多业务网络的构建。CCNP认证由三门标准课程(路由、交换、排错)组成。
CCNP认证必备条件
必须具备CCNA证书。
CCNP认证考试和培训课程(3门课程)
(1)考试号: 642-902 ROUTE
课程:Implementing Cisco IP Routing(路由)v1.0(2)考试号: 642-813 SWITCH
课程:Implementing Cisco IP Switched Networks(交换)v1.0(3)考试号: 642-832 TSHOOT
课程:Troubleshooting and Maintaining Cisco IP Networks(排错)v1.0
CCNP重认证
CCNP证书的有效期为三年,在过期之前通过任何一门642系列(CCNP/CCIP/CCSP/CCVP等)的考试或者任何方向的CCIE笔试,证书有效期将自动延期三年。
CCNP培训课程介绍
(1)路由 V1.0 课程 课时:8天 程度:中级课程描述
《路由 V1.0 》课程主要针对已经具备相当于思科CCNA网络技术基础并准备在高级路由技术方面进一步提高的学员,该课程将学习使用各种路由协议规划、配置和校验企业局域网和广域网。课程目标1.2.3.4.5.6.7.针对企业网络进行各种路由协议的规划、配置、校验和优化。掌握EIGRP路由协议的原理与大型网络部署和实现。掌握OSPF路由协议的原理与大型网络部署和实现。掌握EIGRP路由协议的原理与大型网络部署和实现。掌握多路由协议环境的重分发、路由过滤与选路控制。
评估常见的网络性能问题,使用三层选路控制工具控制流量转发路径。使用BGP路由协议实现企业网络到运营商网络的连接。课程内容
1.2.3.4.5.6.(2)交换 V1.0 课程 课时:5天 程度:中级课程描述:
《交换 V1.0 》课程主要针对已经具备相当于思科CCNA网络技术基础并准备在高级交换技术方面进一步
规划路由服务实现EIGRP方案
实现OSPF可扩展、多区域方案实现路由重分发实现路由选路控制连接企业网络到运营商网络
提高的学员,该课程将学习使用思科园区网企业体系架构模型,规划、配置、校验和实现企业园区网的综合交换方案,包括实现企业园区网VLAN、WLAN、VOICE、VIDEO等业务流量的安全集成。课程目标: 1.2.3.4.5.6.7.8.9.分析企业园区网设计实现园区网VLAN实现生成树
实现园区网VLAN间路由实现园区网HA
使用多层交换机实现HA技术实现交换网络的安全特性集成WLAN到园区网
了解园区网对语音和视频业务的支持课程内容
1.2.3.4.5.6.7.8.9.(3)排错 V1.0 课程 课时:5天 程度:中级课程描述:
《排错 V1.0 》课程主要针对已经具备相当于思科CCNA网络技术基础并准备在高级排错技术方面进一步提高的学员,该课程将学习针对复杂的企业路由和交换网络进行常规维护的规划和执行,使用网络排错技术和符合ITIL(IT服务基础架构库)规范的方法执行网络排错。
课程目标:
1.2.3.4.5.园区网设计实现VLAN实现生成树VLAN间路由实现园区网HA第一跳冗余交换机安全特性园区网语音和视频无线局域网
规划和文档化企业网络的日常运维功能。开发一个针对企业网络的排错流程选择最佳的企业网络排错和运维工具针对企业交换网络的运维实践和故障排除针对企业路由网络的运维实践和故障排除
6.7.针对企业安全基础架构的运维实践和故障排除复杂企业网络的排错和运维集成课程内容
1.2.3.4.5.6.7.规划企业网络的运维方案选择运维和排错工具规划企业网络的排错流程维护和排错园区网交换方案维护和排错路由方案维护和排错网络安全方案复杂企业网络的维护和排错集成
第三篇:CCNP考试心得
CCNP考试总结及心得体
会
紧张而又刺激的cisco认证CCNP(Route and Switch)考证终于宣告一段落,总共用时六个月,以下是我的三门的考试成绩:
CCNP ROUTE(642-902)——
815分
CCNP SWITCH(642-813)—— 934分
CCNP TSHOOT(642-832)——1000分
总的来说,CCNP的考试还是比较简单的,当然题量略多,尤其是路由部分,主要是考验一个人的耐心、毅力!所谓贵在坚持,我记得有人曾经说过这样一句话:“人不去逼自己,永远不知道自己有多强大!”。话不多说,接下来介绍一下我考NP的一些心得和方法,仅供参考(*^__^*)嘻嘻„„
首先是CCNP ROUTE(642-902)路由部分:
1> 个人认为路由部分是最简单的,虽说我考的分数是最低的,但是考过的人都知道,路由虽说题库给的题量很多,背起来非常辛苦,很累。但是,考试的时候就会发现,真的很简单。我背题库的方法,跟大多数人大同小异,首先解决的当然是数量最多的选择题,NP路由选择题总共是380道,全英文,不解释,谁让他是美国佬的东西呢!我背这380道题的方法就是按照题库给的分类的方法:
先背第一个Routing部分,不要直接去看题库(PDF文件),从这里面打开,一个部分一个部分按照上面的顺序依次往下背,全部背完之后再回过头来总的看一遍,然后全部画上对号,整体做一遍,不要在乎得了多少分,关键是做错的题,点击Eed Exan交卷之后,左下角打开Retake会看到下面这个
被红色区域圈起来的部分就是做错的题,记住错题要反复去做,当你做题的正确率达到95%以上(所有的选择题加在一起),时间不超过40分钟,那么此时说明选择题已经ok,可以看拖图题了。(我这个方法只适合于急着拿证书的,想完全弄懂每一题,建议去鸿鹄论坛,下载相应的解题视频,边看边记)。
2> 拖图题部分,题库总共给了23题,我的方法是看一题、做一题,把这题库完全ok再去看下一题,所谓的完全ok就是记住每一个选项对应的答案以及答案的位置,比如下面这一题
答案:
把左边的每一个答案对应右边的每一个提示都记住,完全ok之后,做多做几遍,然后再看下一题,待全部看完之后,再总体的做一遍,有错误的题一定要反复去做、去看,知道完全会位置,考试的时候拖图题是一题不能错的(不过可能我人品比较好,加上考CCNA,四次考试,我只考到一次拖图题)!
3> 实验题部分,这个其实没什么好的方法,就是多敲,理解题目的要求,鸿鹄论坛上有相应的解题视频,视频讲的很好,而且很容易懂,回过头来自己再好好想想,多敲几遍就行了,考试的时候五个实验题全部都会考,所以不要存在侥幸心理,一定要完全弄会,(EIGRP重分发的这个实验题,可能会变题,要注意)!!
我考试的时候R2-R3之间的S线变成了以E线,我同学考试的时候,R1-R2、R2-R3之间的两条线都变成E线,这点需注意!!
其次是CCNP SWITCH(642-813)交换部分:
1> 选择题,题库总共157题,相比路由少了一大半儿,相对简单;
2> 拖图题,题库总共19题,相比路由又少了几题;(由于方法跟上面路由的方法基本相同,我就不多说了,想完全弄懂,还要自己找资料、视频等来仔细的看、做)。3> 实验题,题库总共给了7道题,考试的时候会考四道题,必考三道(AAA、MLS and EIGRP sim、LACP),然后最后一道题是从其余的四道题中选择一道来考,都很简单,多敲多做就行。(注意:我考试的时候遇到的选做题是最后一道,也就是那一道选择形式的实验题,答案跟题库上基本不一样,我都是猜的答案,以至于得到的分数不是很高,这点需注意一下,把最后一题的解题思路弄懂)。最后是CCNP TSHOOT(642-832)排错部分:
——这一部分很多人都说非常简单,我感觉是最难的,因为首先考试题目少,而且考试形式略坑,选择和拖图就不说了,就那么几题,简简单单就背完了,主要是14个TT,接下来就详细讲一下这14个TT我是怎么做的 实验拓扑(所有的题都是这一个拓扑):
一、14个TT分成四类(考试考13TT,所有题一题题打开,打开后按 abort 取消): 1.寻找两个关键词; 这一类是最简单的,考到两题分别是ipv6和HSRP,在题干中找“HSRP” “IPv6”关键字眼,用笔记好题号 Ipv6这一题的错误点在R2上,分别查看R2、R3上的ipv6 ospf配置,会发现R2跟R3相比少了一条ipv6 ospf area 0这条命令,答案显而易见。答案:(1)R2(2)Ipv6 ospf routing(3)Under the interface Serial 0/0/0.23 configuration enter the ipv6 ospf 6 area 0 command.HSRP这一题的错误出在DSW1上,从题干中找到“HSRP” 的字符,然后在DSW1上show run,错误的位置在show run一开始就可以看到,track这个地方,找到standby的字符命令,查看standby 10 track 1 decrement 60 这条命令,到R4上去查看它的loopback 1口ip地址,查看是否与DW1中的那条standby 10 track 1 decrement 60中的track 1相匹配,这时候会发现是不相同的,属于standby 10 track 1错误 答案:(1)DSW1(2)HSRP(3)Under the interface vlan 10 configuration delete th standby 10 track 1 decrement 60 command and enter the standby 10 track 10 decrement 60 command.2.四个169;
四个题分别是DHCP、port-security、access、switch to switch connecting 第一步.在剩下的题中的client 1上ipconfig查看是否为169的地址,找到四个为169开头地址的题,记下题号; 第二步.分别在这四个题中的R4上去show run,找出与其他三题R4上DHCP地址范围不一致的那一台R4,确定为是DHCP错误,剩下的三道问题都出在ASW1上; 我考试的时候范围的不同点:
错误的那一题:ip dhcp excluded-address 10.2.1.1 10.2.1.253 其他三题:ip dhcp excluded-address 10.2.1.1 10.2.1.2 答案:(1)R4(2)Ip DHCP server(3)Under the global configuration, issue the no ip dhcp excluded-address 10.2.1.1 10.2.1.253 command and enter the ip dhcp excluded-address 10.2.1.1 10.2.1.2 command.第四步.剩下的三道题错误都是出现在ASW1上
1、在ASW1上,show run查看ASW1的接口f1/0/1和f1/0/2这两个接口的配置,提示信息:switchport port-security mac-address 0000.0000.0001和switchport-security(关键信息)由此两个提示信息确定为此题的错误是“port-security”。(记下题号和相关的协议)答案:(1)ASW1(2)Port-security(3)In Configuration mode, using the interface range Fa 1/0/1-2, then no switchport-security,followed by shutdown,no shutdown interface configuration commands.2、在ASW1上show vlan brief和show run查看f1/0/1和f1/0/2是否已经划分到vlan中,有一题是没有划分的,全部的vlan还在默认的vlan 1中,由此确定为此题的错误是“access vlan”,show vlan可以很清楚的看到接口的vlan划分情况。(记下题号和相关的协议)答案:(1)ASW1(2)Access vlan
(3)In Configuration mode, using the interface range Fastethernet 1/0/1-2,then switchport access vlan 10 command.3、在ASW1上show intface trunk,看看trunk起来没有,如果没有看到trunk,再show run,查看intface port-channel 13和23下的配置,如果配置不是switchport trunk allowed vlan 10,200(比如:20,200,我考试的时候就是遇到的这个),那么说明这一题的错误是“switch to switch connectivity”(记下题号和相关的协议)答案:(1)ASW1(2)Switch to switch connectivity(3)In Configuration mode, using the interface port-channel 13, port-channel 23, then configure switchport trunk allowed vlan none followed by switport trunk allowed vlan 10,200 commands.3.五个内网; 注意:
(1)这5个内网的题目不是很好找,在client 1和client 2上一次去ping,原则是(由近到远);(2)涉及到三台设备:DSW1、R4、R1;
(3)每找出一题,下一题少ping一次(这是鸿鹄上的方法),个人建议为确保出现重复题,完整ping,时间很充足(TS-165min)内网一:
在client1上Ping网关(此网关地址在client 1上使用ipconfig得到),只有一题是ping不通的,确定出问题的设备是DWS1,然后到DSW1上去show run查看配置,仔细查看可以发现多了一条vlan filter test1 vlan-list 10这条命令,由此可以确定这一题的错误是vlan acl / port acl(记下题号和相关的协议)答案:(1)DSW1(2)Vlan ACL-port ACL(3)Under the global configuration mode enter no vlan filter test1 vlan-list 10 command.内网二:
在client 1上从网关开始,由近到远依次ping,如果pingR4的两个F口不通,剩下的六题中只有一道题ping不同这两个口,此时在R4上使用show ip eigrp neighbor查看eigrp邻居,没有发现邻居时,show run查看eigrp 进程的配置,配置关键词:“passive-interface default”,确定错误为eigrp passive(记下题号和相关协议)答案:(1)R4(2)Ipv4 eigrp routing(3)Enable EIGRP on the FastEthernet and FastEthernet0/1 interface using the no passive-interface.内网三:
在client 1上从网关开始由近到远一次ping,当ping R4的S口不通的时候,(剩下的五道题只有一道题ping不通,但是都要ping一下,以防万一),在DSW1、DSW2、R4使用show run,查看eigrp进程下的配置,仔细查看会发现R4上eigrp到ospf的重分发有明显的问题:(router-map Eigrp->OSPF、redistribute ospf 1 metric 100 10 255 1 1500 route-map EIGRP_to_OSPF两个名字不一样)由此确定错误是Redistribute。(记下题号和相关的协议)答案:(1)R4(2)Redistribute(3)Under the EIGRP process, delete the redistribute ospf 1 router-map OSPF_to_EIGRP command enter the redistribute ospf 1 route-map OSPF_>EIGRP command 内网四:
在client 1上从网关开始依次由近到远依次ping,当pingR1-R2之间的R1上的S口不通的时候,此时去R1上show ip OSPF neighbor查看邻居,发现找不到OSPF邻居,然后show run查看S口配置,在查看R2上对应接口的配置,发现R1跟R2相比少了一条开始OSPF密文验证的命令,此时确定此题的错误为OSPF AUTH错误。(记下题号和相关协议)答案:(1)R1(2)Ipv4 OSPF routing(3)enable OSPF Authentication on the S0/0/0 interface using the ip ospf authentication message-digest command 内网五:(很多人都说这一题不考,我考试的时候也没有遇到,但是题库既然给了就要注意,不能大意)
同样是在client 1上使用ping命令,由近到远依次去ping,跟eigrp passive那一题非常相似,ping不同R4的两个F口,此时去R4使用show ip eigrp neighbor查看邻居,发现邻居没起来,然后show run查看eigrp进程下的配置,发现没什么错误,并与DWS1、DWS2两台设备相比较,会很清楚地发现R4上的eigrp进程号跟DSW1、DWS2不一样,确定为是eigrp进程号问题(记下题号和相关协议)答案:(1)R4(2)Ipv4 eigrp routing(3)Change the AS number the Eigrp routing process from 1 to 10 to much the AS number used on DSW1 and DSW2 4.三个外网;
这三个外网的题目留到最后做是最好的,因为许多人都表示这三个题目错的很多,查找这三体错误的方法,不要使用ping命令去区分,分别在R1上show run,特征很明显,三道题show run的结果完全不一样,三道题的错误都在设备R1上,注意仔细查看三道题show run 的结果。外网一:
先找出我认为最简单的BGP,因为这三个外网的题的错误都是在R1上,所以我们直接在R1使用show ip BGP summary查看BGP邻居,(注意:考试的时候,这条命令是不一定能够看到效果的,但是也要试一下),我考试的时候使用的是show ip BGP neighbor这条命令来查看,一开始就能够看到邻居的地址,很明显就可以看到效果,然后show run,在BGP的进程下查看BGP的配置,当看到配置中的“neighbor”这一行“56”时就要注意了,剩下的另外两题是“neighbor”这一行是“65”。错误确定为是“56”(记下题号和相关协议)(注意:考试的时候BGP配置中可能会少了一条 network 209.65.200.224 mask 255.255.255.252,我考试的时候就遇到了,但是没关系,不会影响结果,因为外网的三体都少这么一条,主要的错误是“56”)答案:(1)R1(2)BGP(3)Under the BGP process, delete the neighbor 209.56.200.226 remote-as 65002 command enter the neighbor 209.65.200.226 remote-as 65002 command.外网二:
在R1上show run找到NAT access那里,它只有一条permit,(这句话的意思是说客户机1和2属于10.2.0.0这个子网,如果观察到NAT配置中指定只有10.1.0.0这一个地址池,没有对客户机1和2进行地址转换)另外的两个外网题都是两条,确定为是NAT错误。(记下题好和相关协议)答案:(1)R1(2)NAT(3)Under the ip access-list standar nat_trafic configuration enter the permit 10.2.0.0 0.0.255.255 command 外网三:
在R1上show run,查看ACL条目,结尾处只有R1有很多条ACL,4条deny,1条permit,很明显是ACL,此ACL应用在S0/0/1上。
说明:主要是R1上面的ACL阻止了R1以前的设备对web服务器的访问,ping.226,R2、R3、R4ping不通,确认问题是ACL。
注意:考试的时候,ping.226什么都ping不了,无法进行判断,通过show run查看ACL的配置,很明显就可以发现,它有多条deny,关键字符“edge-security”。答案:(1)R1(2)Ipv4 layer 3 security(3)Under the ip access-list edge_security configuration add the permit ip 209.65.200.224 0.0.0.3 any command 考试的时候解题顺序:
先找出每个错误点,确定该 TT 错误点以后,把该 TT 下面的三题全部做了,但做完了也要 abort 出来,做第一次只是为了确定没有错误,先 abort,等全部排错完毕,再重新多做一次,稳妥点,这次做完记得 done 了,再点 next 提交即可,考试时间充足,有 2 个小时 45 分钟,所以慢慢做,不要着急,那就没啥问题了,相信,最后点 next 等待结果的时刻,最刺激,最心跳了,我也是这样滴,(*^__^*)嘻嘻„„
考试环境模板 :
补充说明:下面的按钮,R1,R2,R3,R4,ASW1,ASW2,DSW1,DSW2 都是有的)
写字板的写法参考:
第四篇:路由学习体会
display current 展示当前配置
[Quidway]display version 显示版本信息
[Quidway]display current-configuration 显示当前配置
[Quidway]display interfaces 显示接口信息
[Quidway]display ip route 显示路由信息
[Quidway]sysname aabbcc 更改主机名
[Quidway]super passwrod 123456 设置口令
[Quidway]interface serial0 进入接口
[Quidway-serial0]ip address
[Quidway]link-protocol hdlc 绑定 hdlc 协议
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode password
[Quidway-ui-vty0-4]set authentication-mode password simple 222 [Quidway-ui-vty0-4]user privilege level 3 [Quidway-ui-vty0-4]quit
[Quidway]debugging hdlc all serial0 显示所有信息
[Quidway]debugging hdlc event serial0 调试事件信息
[Quidway]debugging hdlc packet serial0 显示包的信息
配置路由器
-----------------------------telnet配置方式、ftp配置方式都需预先对路由器进行相应的配置,而通过AUX口配置方式需要连接modem
1、通过console口配置:
RJ45头一端接在路由器的console口上
9针(或25针)RS232接口一端接计算机的串行口上
2、通过拨号远程配置:
PC-MODEM-PSTN/ISDN-MODEM-(备用电缆)ROUTER 当配置远程路由器时,可通过拨号线路连接到需要配置的路由器上--
3、通过Telnet配置本地路由器
[H3C-Ethernet0/0]ip address 10.0.0.100 24 缺省的telnet登录用户名:admin 口令:admin
4、通过哑终端方式配置: 对同异步口配置: [H3C-Serial0/0]physical-mode async [H3C-Serial0/0]undo modem [H3C-Serial0/0]async mode flow 对8/16异步口配置: [H3C-Serial0/0]undo modem [H3C-Serial0/0]async mode flow
5、通过ftp方式传送配置文件
ftp client 10.110.0.2-ethernet-ftp server 10.110.0.1 在路由器上启动ftp服务器--添加用户名、密码: [H3C]local-user tt [H3C-luser-tt]service-type ftp [H3C-luser-tt]password simple tt--启动ftp服务器:键入ftp-server enable 在终端上启动ftp客户端程序 ftp a.b.c.d username:tt password:tt ftp> put local file: remote file: ftp>dir ftp>quit 命令行概述
-----------------------------
1、用户视图
2、系统视图
3、接口视图 [H3C]interface s0/0 [H3C-Serial0/0]? baudrate async ip shutdown physical-mode dialer quit loopback 忘记口令的处理
-----------------------------重启路由器
启动时,屏幕上出现“press ctrl-b enter boot menu..”,按下ctrl+b,进入路由器的bootrom菜单
输入bootrom密码(默认为空,直接回车即可)选择清除密码(5),重启路由器(reboot)修改密码 常用display命令
-----------------------------display version display current-configuration display interface ppp协议配置命令
-----------------------------封装ppp:link-protocol ppp 设置验证类型:ppp authentication-mode {pap|chap} 设置用户名、口令、服务类型: [H3C]local-user h3c [H3C-luser-h3c]password simple sharepass [H3C-luser-h3c]service-type ppp pap配置命令
-----------------------------验证方配置
配置验证方式:ppp authentication-mode pap 配置用户列表: [H3C]local-user h3c [H3C-luser-h3c]password simple sharepass [H3C-luser-h3c]service-type ppp 被验证方配置 配置pap用户名
ppp pap local-user username password {simple|cipher} password chap配置命令
-----------------------------主验证方配置
配置本地验证对端(方式为chap):ppp authentication-mode chap 配置本地名称:ppp chap user username 将对端用户名和密码加入本地用户列 [H3C]local-user h3c [H3C-luser-h3c]password simple sharepass [H3C-luser-h3c]service-type ppp 被验证方配置 配置本地名称密码
[H3C-Serial0/0]ppp chap user username [H3C-Serial0/0]ppp chap password {simple|cipher} password ppp典型配置举例1 主验证方(RouterA)S0/0-PAP验证-S0/0被验证方(RouterB)[RouterA]local-user routerb [RouterA-luser-routerb]password simple hello [RouterA-luser-routerb]service-type ppp [RouterA]interface s0/0 [RouterA-Serial0/0]ppp authentication pap [RouterB]interface s0/0 [RouterB-Serial0/0]ppp pap local-user routerb password simple hello ppp典型配置举例2 主验证方(RouterA)S0/0-CHAP验证-S0/0被验证方(RouterB)[RouterA]local-user routerb [RouterA-luser-routerb]password simple hello [RouterA-luser-routerb]service-type ppp [RouterA]interface s0/0 [RouterA-Serial0/0]ppp chap user routera [RouterA-Serial0/0]ppp authentication-mode chap [RouterB]local-user routera [RouterB-luser-routera]password simple hello [RouterB-luser-routera]service-type ppp [RouterB]interface s0/0 [RouterB-Serial0/0]ppp chap user routerb MultiLink PPP(MP):将多个ppp链路捆绑使用
-----------------------------典型案例略
1、显示路由表信息 [H3C]display ip routing-table
2、路由的来源(protocol): 链路层协议发现的路由(direct)--开销小配置简单,无需人工维护。只能发现本接口所属网段的路由。
手工配置静态路由(static)--无开销,配置简单,需人工维护,适合简单拓扑结构的网络。动态路由协议发现的路由(rip、ospf等)--开销大,配置复杂,无需人工维护,适合复杂拓扑结构的网络。
3、路由优先级(preference):从优先级最高的协议获取的路由,最先被选择加入路由表中。(数值越小优先级越高)direct 0 ospf 10 static 60 rip 100 ibgp 256 ospf ase 150 ebgp 256 unknown 255
4、路由权(cost):到达这条路由所指的目的地址的代价,因素:线路延迟、带宽、线路占有率、线路可信度、跳数、最大传输单元;静态路由的权值为0
5、静态路由及配置
[H3C]ip route-static ip-add {mask|masklen} {inter-type inter-name|nexthop-add} [preference value] [reject|blackhole] ip route-static 129.0.0.1 16 10.0.0.2 ip route-static 129.0.0.1 255.255.0.0 10.0.0.2 ip route-static 129.0.0.1 16 serial 2/0 只有下一跳所属的接口是点对点的接口时,才可以填写inter-name,否则必须填写nexthop-add 可达路由:路由器将去往该目的地的IP报文送往下一跳
目的地不可达的路由:当到某一目的地的静态路由具有reject属性时,任何去往该目的地的IP报文都将被丢弃,并且通过ICMP消息通知源主机目的地不可达
目的地为黑洞的路由:当到某一目的地的静态路由具有Blackhole属性时,任何去往该目的地的IP报文都将被丢弃。同reject的区别是不向源主机发送任何消息
6、缺省路由:ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
7、路由自环:指某个报文从一台路由器发出,经过几次转发之后又回到初始的路由器。当产生路由自环时,报文会在几个路由器之间循环转发,直到TTL=0时才被丢弃,极大地浪费了网络资源
8、动态路由协议在协议栈中的位置 OSPF-IP 89 BGP-TCP 179 RIP-UDP 520 import-route
9、RIP RIPv1不支持VLSM 使用广播发送报文
RIPv2支持VLSM,明文和MD5密文认证 使用广播和组播方式(224.0.0.9)发送报文 [H3C]rip [H3C-rip]network network-number [H3C-rip]peer ip-add 配置报文的定点传送(不支持广播时)(一般不推荐配)rip version 1 rip version 2 [[broadcast|muticast]指定接口版本(接口视图下)指定接口的工作状态(接口视图下)rip work rip input rip output 配置RIPv2路由聚合:summary 配置RIPv2报文的认证(接口视图下)rip authentication-mode simple passwd rip authentication-mode md5 [nonstandard-compatible|usual] string 显示rip的调试信息
10、OSPF 配置路由器的router ID [H3C]router id a.b.c.d 启动ospf协议 [H3C]ospf [process-id] 配置ospf区域及发布的网段 [H3C-ospf-1]area area-id 在指定网段使能ospf [H3C-ospf-1-area-0.0.0.0]network ip-add wildcard-mask
11、访问控制列表
基于接口的ACL 1000-1999 基本的ACL 2000-2999 acl number acl-num [match-order {config|auto}] rule [rule-id] {permit|deny} [source sour-add sour-wildcard|any] [time-range time-name] [logging] [fragment] [vpn-instance vpn-instance-name] 高级的ACL 3000-3999 acl number acl-num [match-order {config|auto}] rule [rule-id] {permit|deny} protocol [source sour-add sour-wildcard|any] [destination dest-add dest-wildcard|any] [source-port operator port1 [port2]] [dest-port operator port1 [port2]] [icmp-type {icmp-type icmp-code|icmp-message}] [precedence pre] [time-range time-name] [logging] [fragment] [vpn-instance vpn-instance-name] 基于MAC地址ACL 4000-4999
第五篇:策略路由
文档名称 文档密级
acl number 2000
rule 10 permit source 192.168.0.0 0.0.255.255//提取源地址 acl number 2001
rule 10 permit source 192.168.1.0 0.0.255.255
policy-based-route aaa deny node 3
if-match acl 2000 //匹配ACL 2000,即内部服务器发出的流量 policy-based-route aaa permit node 5
apply ip-address next-hop 1.1.1.1//应用下一跳1.1.1.1 policy-based-route aaa deny node 7
if-match acl 2001//匹配ACL 2222,即内部服务器发出的流量 policy-based-route aaa permit node 10
apply ip-address next-hop 1.1.1.1//应用下一跳1.1.1.1
interface GigabitEthernet0/0
ip policy-based-route aaa//在路由源接口应用改策略
2007-04-27
H3C机密,未经许可不得扩散 第1页, 共1页
点击咨询 