Cisco经验介绍:CCNP培训日记(3)
添加时间: 2007-9-20 18:42:02 作者: Cisco介绍 阅读次数:60 来源: http://www.d9soft.com
实施 网络 第一考虑:可行性(可用性);
WDM在单模、多莫中都可以走,是上层的技术(DL层);
交互的流量(interactive):专访Router的流量(如telnet router等);
传输的流量:通过路尤器在两个节点间传数据;
AA默认都认证,不认证需手工指定,验证完需授权;
本地验证:PAP,CHAP;
通过ACS服务器验证:RIDIUS,TACACS+;
从内网路由器访问modem叫反向telnet,从外网访问猫叫正向tennet;
where命令=show session命令;
可以在路由器上和猫连的口上虚拟一个口,int async X;
===DAY 12-13===
这两天讲了PPP、ISDN、FR:
PPP为二层协议,解决了点到点通信;
CDP在二层偏上,能被NCP支持;
HDLC的基本功能和PPP差不多,但缺少很多东西(如认证等);
一般在串口上封装PPP,在以太口上封装需要启用逻辑接口(PPPoE等);
Cisco 默认封装格式为HDLC,华为的是PPP;
PPP会话:传输。(dedicated);
Exec会话:交互。(interactive);
PPP LCP:认证、callback( 安全 性)、压缩、multilink(负载均衡);
没起AAA时PPP不认证;
PAP不要求两端密码一致,而CHAP反之;
ppp authencation pap chap意思是PAP若超期未响应就起CHAP;
VPN的三性:可验证性、完整性、保密性;
加了密,压缩过的数据别再加密、压缩;
ISDN:
参考点就是一根线,功能组就是一个设备;
ISDN能够支持HDLC,但HDLC不能验证、压缩等;
美版对每条B信道均有SPID号,用以衡量线路;
Call ID:基于对端二层电话号码;
Call Party:相当于呼叫转移,若answer1忙,自动转接到answer2;
---------isdn answer1 XXXX
---------isdn answer2 XXXX
P2M时若对端不相同要用dialer profile;
backup interface当主链路断,副链路会启用;
FR:
FR的二层地址为DLCI,ISDN为电话号;
映射可手工也可LMI;
LMI:维护链路状态&进行IARP;
IOS12前LMI的类型需要手工指定;
LMI类型:ANSI、ITU-T、CISCO;
keepalive是LMI发的;
IARP是IP到DLCI的映射;
DLCI号为电信确定;
在hub&spoke模式中spoke点要互通需先到hub点;
全F的广播地址是本地的;
FR的DCE是二层的,Clock rate的DCE是1层的,两者无必然关系;
P2P子接口:浪费IP&中心点配置麻烦(每添加一个spoke都要进行配置);
P2M接口防环在hub端关水平分割,在spoke上开;
流量整形:不传输大于对端带宽的多余数据;
BECN可以把速率降低,进行流量整形;
队列深度:还有多少数据在排队;
backup写在主端口上,指明副端口;
尽量不要把物理口设成Backup,要设计在逻辑口上;
backup只能配在一端,不能两端都配;
在OSPF中负载均衡时要把链路的cost之设成一样大;
===DAY 14===
今天讲了WAN口的QoS、Broadband、NAT:
讲的东西概念性的不多,理解性的多,broadband考试不是重点:
FIFO的队列深度在高带宽口上总为0;(10M以上的口)
LLQ综合了PQ和CBWFQ的特点;
10M口(含)以上就应该用FIFO了;
二层frame一般不拥塞,有可能不设CoS位,但Trunk上有;
FIFO看第一个bit在哪,先到先出;
WFQ看最后一个bit到达的顺序,让小包先传;
小数据包有小权值,多个包最后一个bit位置相同时小的先出;
WFQ对延迟敏感性不大;
ISDN multilink是自动为no fair queue;
CBWFQ:人为的WFQ,按自己需求定义class,赋予权和每个可分配带宽的比例,虽然提供了64个class,但至少要留出一个来作为默认class;
IP precedence:第四级是video,第五级是voice,第六级是路由信息,第七级是keepalive等;
CBWFQ可以嵌套WFQ等;
bandwidth不是用来限速的,只是指定传出的数据包多少,也限不了速;
CQ大队列里面包含小子队列;
压缩两面都是passive时第一个包不被压缩,后续的包都被压缩;
看压缩:show compression;
NAT:inside source:由内网发起-----inside local/global address;
NAT:outside source:由外网发起---outside local/global address;
Overlapping发生在公司并购时;
overload(多对单、多对少)是随机端口号,而PAT是指定的;
debug ip nat时带“*”的是走缓存的,其他的是走CPU的;
NAT变动时需先清空缓存,再作修改;
cable在小区内是共抢链路;
VDSL是 Cisco 专有的;
DSL和Cable均是一层技术;
===DAY 15===
今天讲的内容是VPN和DSL的配置,BCRAN的最后一天:
ATM的PVC标识要在全局唯一,而FR不是;
PPPoE在ATM上面;
普通数据在VPDN中走要加8byte,所以MTU要设为1492;
MTU 1500是IP的,1518是二层frame的;
FR的frame不一样长,而ATM把数据剁成48byte段再加上5byte的头,共53byte,是固定的,可以用硬件来匹配,所以速度可达155M,而FR只能达到1.544M;
PPPoA是modem拿自己当router,而PPPoE是modem拿自己当host;
VPN:低廉的价格、专线的速度和保密性、高灵活性,而FR不行;
Tunnel技术使VPN灵活性加大,对公网透明;
先加密--->进隧道--->出隧道--->解密 明文只在两端和私网中出现;
远程VPN(移动用户)在需要时拨号;
VPN可以在很多层内出现:应用层(SSH、S/MIME)、传输层(SSL)、 网络 层(IPSec-- 企业 级加密,任何流量均加密)、DL层:可以加密,但是太繁琐;
防火墙上加VPN速度极慢;
GRE/L2TP/IPSec自己就是隧道;
IPsec只对IP单播加密;
L2TP和GRE先将多播、非IP等全包成单播,然后再交给IPSec;
三层上跑IPSec,二层FR/DSL都无所谓,但是用专线那纯属有病;
密钥交换的方式:人为、公/私钥(Diff-Hellman)、CA服务器产生;
Hash可以用来验证完整性,也可以用来加密,主要用于完整性验证;
两种VPN模式:Tunnel:把IP包头和数据都进行保护,再加一个新的IP包 头;
-----------Transport:只保护数据,原IP包头不变;
preshared key是用来验证ISAKMP通信的,不是用来加密的;
若数据该加密的没被加密则被路由器丢弃;
要先证明链路是通的,再去做VPN;
感兴趣流量传出要加密,非感兴趣的不加密,要求两边均用扩展ACL,定义对等的感兴趣流量;
===Day 16-20===
CIT, 网络 故障排除。
这个与其他科目比理论东西较少,实际东西较多,这一点从书的本数上也看得出来,就不细说了。
上一篇文章: Cisco经验介绍:CCNP培训日记(2) 下一篇文章: ccie认证介绍(cisco认证体系中最高认证)