八章:(线路的备份)
1:配置备份的拨号
当主链路失败的时候起用备份线路。
备份线路也可以为主链路进行一定的负载分担!
具体配置:接口模式:backup interface dialer 0
backup delay 10 10
第一个10为设置当主链路失效后10秒开启备份线路,第2个10为,当主链路恢复的时候等待10秒中DOWN掉备份线路。
如果一个链路被设置为另外一个连路的备份线路的时候,这个时候当主链路没失效的时候应该为STANDY BY状态。
一个端口只要一被设置为一个端口的备份端口的话他就不能做其他的任何事情了。
这里就突出了DIALER INTERFACE的特点。
做负载分担时候的配置:backup load 50 20
这个意思是说当流量占到主链路的50%的时候开启备份线路。
这个时候当两个线路上的总流量的和为主链路的20%的时候DOWN掉备份线路。
物理断口做备份的限制,当他做了一个链路的备份的时候他就不能做别的任何事情了。
给出一个例子:
inter dia 0
ip unnumber lo0
encap ppp
dialer remote-name asdf
dialer pool 1
dialer string 11111111
dialer-group 9
inter bri 0/0
encap ppp
ppp authentica chap
dialer pool-member 1
inter s 0
ip add 1.1.1.1 255.0.0.0
backup inter dia 0
backup delay 10 5
很简单。不用说了~
2:负载分担
注意一些陆游选择协议。
比如。如果是OSPF。他只能做等代价的负载均衡。所以这个时候要指定OSPF的COST。
那么,如果是EIGRP的话,他可以实现不等代价的负载均衡。当然要指定一个倍数关系参数是:variance 3
意思是说相差3倍可以负载均衡。还有一条命令:traffic-share balanced
验证配置
show inter s0
show int dia 0
也可以通过浮动的静态陆游来实现备份线路。
ip route 10.0.0.0 255.0.0.0 172.16.0.2 130
注意这里的管理距离应该比主链路上跑的陆游协议的管理距离大一些。
也可以通过dialer watch来实现备份
比如inter dia 1
dialer watch-group 1
dialer watch-list 1 ip 10.1.2.0 255.255.255.0
这里在DIALER接口实现了一个dialer watch 1
那么定义一个dialer watch-list 1。这里监视的是陆游10.1.2.0。如果这个陆游失效,那么dialer 1会触发一个拨号,这里只是一个思想,具体的配置没有描述。
----------------------------------------------------------------------------------------------------------------------------
九章(队列以及压缩技术)
1:队列技术
在低带宽的情况下,如果出现突发性的阻塞。则使用队列技术。
如何选择队列技术:
是否需要严格的控制,如不需要则使用WFQ。
如果需要严格的控制,是否要求队列的策略,如果NO。则可以定义流量的优先级。
如果要求策略,那么是否能容忍延迟,如果NO,则使用优先级队列或者llq(低延迟队列)
如果可以容忍延迟,那么可以才用定制队列或者CBWFQ(基于类的加权公平队列)。
2:加权公平队列概述:
FIFO:先进先出的队列。(可以看做是没有采用队列技术)
WFQ:加权公平队列:按照包达到的先后顺序来传输,(注意,这里是包)按照包的尾部来区分是否先到达。
数据越小越优先通过。!在接口下:fair-queue 128这里是说明队列的长度!
默认情况下低于E1线路的都默认了WFQ
3:CBWFQ
允许人为的对数据进行分类!
可以指定每一个类数据的带宽和权重值。~
提供了64个类。而WFQ只提供了7个类。
CBWFQ允许把多个IP流放在一个类内!
WRED早期检测避免尾部丢弃!
配置:
STEP1。定义CLASS-MAP
例如:class-map asdf
match access-group 111
或者match input-interface e0
或者match protocol ip
这里定义了一个CLASS-MAP 叫做asdf
可以有多种方式定义这个类。比如应用一个ACL。这里应用了ACL111
或者通过进入接口来定义类,或者根据协议来定义类。
STEP2。定义策略MAP
例如:policy-map jjj
class asdf
或者bandwidth 1000
queue-limit 100
这里是说定义一个策略jjj
然后应用了一个类asdf .
还可以定义这个类的带宽和长度。这里定义了1M的带宽和100个包的长度。
STEP3。在一个接口上应用这个策略MAP
inter s0
service-policy output jjj
(这里对WRED的认识不够足!!!!!)
4:LLQ低延迟队列
应该与CBWFQ队列技术一同考虑。!
有高的优先级,使用LLQ的时候不能使用带宽,队列大小和任意丢弃的命令。
配置的时候和CBWFQ一样。
例如:
policy-map jjj
map-class asdf
或者
priority 500
这里 最后一行命令是给LLQ队列提供一个优先的带宽。
5:检验队列配置
show queueing int s0
show policy-map inter s1.1
6:压缩
压缩的类型:链路的压缩。TCP头的压缩,有效数据的压缩。
可以有更高的带宽。
MPPC压缩算法,是对整个链路进行压缩。!
7:配置压缩:
对链路的压缩:
在接口:compress mppc当然这里也可有其他的压缩算法比如,predictor...stac..
对有效数据进行的压缩:
在接口上:frame-relay payload-compress这里是对一个帧中继的接口进行了有效数据的压缩。
TCP头部的压缩:
在接口:ip tcp header-compress passive这里PASSIVE是说如果对方也进行了头部的压缩,他就使用压缩,这里是个被动的状态。
----------------------------------------------------------------------------------------------------------------------------
十章(NAT):
1:NAT的概述:
当网络内的HOST过多使的没有足够的合法IP的时候。
当ISP发生变化的时候(如果要对网络内所有设备重新设置IP是个稍微长的时间,所以暂时用NAT是个很好的过度)
当两个相互之间合并的网络,之间出现了重复地址的时候。
利用NAT来解决负载均衡(主要支持TCP的负载均衡)。!
都是使用NAT的最好时机~~~
NAT的优点和缺点:
优点:节省IP地址,能够处理地址重复的情况,增加了灵活性,消除了地址重新编号,隐藏了内部的IP地址。
缺点:增加了延迟,丢失了点到点IP的跟踪过程,不能够支持一些特定的应用程序,需要更多的内存来储存一个NAT表,需要更多的CPU来进行处理NAT的过程。
NAT的概念:
INSTDE和OUTSIDE。本地和全局。
2:NAT的运做
转换内部的源地址,转换外部的源地址,PAT,解决地址重叠的问题。
3:配置NAT
静态内部源转换
ip nat inside source static 10.0.0.1 2.2.2.2
然后在内部的口上设置ip nat inside
在外部的口上设置:ip nat outside
PAT的配置:
静态的:ip nat inside source static 1.1.1.1 80 2.2.2.2 80
ip nat inside source static 1.1.1.2 21 2.2.2.2 21
另外要设置ip nat 的内和外。~
动态的:
先定义一个IP地址池:ip nat pool asdf 192.168.0.1 192.168.0.254 netmask 255.255.255.0
这里指定IP地址池是合法的IP地址的范围。本例中范围:192.168.0.1---192.168.0.254
ip nat inside source list 1 pool asdf
access-list 1 permit 10.0.0.1 0.255.255.255
另外指定NAT的出和入。
如果合法的IP地址很少,比如说就两个。
那么配置可以这样写:
ip nat pool asdf 192.168.0.1 netmask 255.255.255.0
ip nat inside source list 1 pool asdf overload
access-list 1 permit 10.0.0.0 0.255.255.255
另外指定NAT的IN和OUT
另外如果我们就一个合法的IP。那么就不用指定地址池,可以直接这么写。
ip nat inside source list 1 interface s0 overload
access-list 1 permit 192.168.0.0 0.0.0.255
OK。没啥说的了!
4:验证NAT的配置
show ip nat trans
show ip nat statistics可以看到一些翻译地址的统计信息
debug ip nat可以查看NAT翻译的过程。
----------------------------------------------------------------------------------------------------------------------------
一一章(宽带介入)
1:宽带的概述:
有高速的介入,能够提供语音和视频的服务,而且是ALWAYS ON的。
普通的几种宽带介入的方法:DSL.CABLE MODEM.卫星,无线。
2:DSL技术
分为:ADSL非对称数字用户线,
SDSL对称数字用户线。上行和下行速度一样。
G.SHDSL是一个新的标准,有ITU来指定的,
IDSL不需要拨号。类似与专线。
VDSL非常高的速度,但是距离比较断,
HDSL高速度的数字用户线。
ADSL速度为1-8M下行。上行640K-1。5M。。最大的距离为5.5KM。
一般来说速度越快要求的距离就越短。
ADSL可以和POTS共存。不象其他 DSL技术。
提供了一个慢的上行和快的下行速度。
ADSL的三个标准:CAP。DMT。G.LITE。ADSL的标准必须和ISP初向匹配。
ADSL和POTS的共存
用户端,有一个分离器使得数字和语音信号隔离。一个接电话,一个接ADSL的设备。!
ISP初。也要经过一个所谓的分离器,分出后一根走电话公司,一根接到ADSL的DSLAM。
两个端之间走的其实是POTS+ADSL
分离器:这个不用说了。经常用,呵呵。主要作用是为了使语音和ADSL数字信息分离。
电话线内:频率0到4KHZ是为了POTS。
从20-250KHZ是为了上行。250-1.1MHZ是为了下行。这个是CAP的技术。
DMT是这样的:
0-4khz是为了语音的。
25-163KHZ是为了上行的,
163-1100KHZ是为了下行的。
这里上行和下行的频率是把通道划分为了多个子通道,每个通道为4KHZ。
桥接技术:
CPE是一个客户前端设备。
PPPOE的技术:主要是进行一个出内网的验证
PPPOA的技术:CPE到ISP出走的是ATM线路。
3:配置PPPOE
配置PPPOE的虚拟拨号网络VPDN组
指定ATM INTERFACE
培植拨号接口
培植PAT
配置DHCP SERVER
配置一个静态默认陆游。
vpdn enable 开启VPDN
vpdn-group asdf 创建一个VPDN组为asdf
在相应的局部培植模式:request-dialin向对方发出拨如的请求
protocol pppoe说明协议为PPPOE
配置ATM的接口:
inter atm 0
pvc vpi/vci这个应该由ISP决定
进入响应的局部培植模式:pppoe-client dial-pool-number number 指定是哪个池的成员。
然后培植一个拨号接口:
inter dia0
ip address negotiated 这里是说明IP地址由对方协商给我。
encap ppp封装
dialer pool 1 指定POOL
ip mut 1500
ppp chap hostanme asdf
ppp chap password asdf 这里说明是让对方严整我放。而不用验证对方。
PAT的配置
指定出入口。然后
ip nat inside source list 1 inter dia0 overload
access-list 1 permit ip 10.0.0.0 0.255.255.255 any
没啥说的啦。
下面举例子:
interface e0
ip add **.*.*.*
ip nat inside
inter dia0
ip add negotiated
ip nat outside
encap ppp
dialer pool 1
no cdp enable
ppp chap hostname cisco
ppp chap pass asdfasdfsdfsdf
ip nat inside source list 101 interface dia0 overload
access-list 101 permit ip 10.0.0.0 0.255.255.255 any
这里没有配置拨号的物理接口,很简单。
下面配置DHCP服务器。可选的。。
全局:ip dhcp pool 123
进入相应的局部配置模式:import all 这里是说DNS和WINS服务器分配给客户,这里的两个地址是由拨号后ISP给的
network 10.10.0.0 255.255.0.0
default-router 10.0.0.1指定要分配出去的网关。
要指定一个静态陆游
ip ruote 0.0.0.0 0.0.0.0 dialer0
实际当中的物理接口比如ATM接口的IP应该不培植,有DIA接口的IP ADD NEGOTIATED来决定。
4:检验配置
show dsl int atm0
show interface
----------------------------------------------------------------------------------------------------------------------------
十二章:(VPN)
1:概述:
是一个虚拟的私人网络。
在两个或多个私人网络之间通过INTERNET传输数据。这里要考虑数据的机密性和完整性,以及验证用户身份。!
他是通过公共网络来传输私人数据。
用VPN的好处:费用低廉,更高的灵活性,简单的控制管理,以及有通道的拓扑!
VPN的网络主要包括:虚拟的网络和私有的网络。
虚拟主要是采用通道化的技术。而私有主要是采用加密的方法。
隧道技术:一个隧道就是一个点到点的连接。
隧道内可以承载多种不同的协议。比如IP或者IPX协议。
加密传输的数据。
VPN有点到点的。点到多点的。移动用户到陆游器,等。。
CISCO VPN有一个完整的系统,解决方案。
VPN的类型:按照远程介入有:客户初始化的也有NETWORK ACCESS SERVER初始化的。
按照站点到站点分有内部的和外部的。
加密:可以在多层加密。
应用层(SSH),传输层(SSL),网络层(IPSEC)。链路层。(主要介绍IPSEC)
隧道协议:网络层:IPSEC。GRE。L2F。L2TP。PPTP(主要介绍网络层)
L2TP是一个层2的隧道协议,是是L2F和PPTP的结合。
GRE是一个通用的陆游的封装,不支持加密,只是构成一个隧道而已,可以和另外一些加密结合使用
IPSEC构建一个加密的IP安全。
选择3层的VPN的隧道协议。
如果仅仅之后IP流量和单波就使用IPSEC
如果有多中协议和广播就使用GRE或者L2TP。(这里加密并不是必须的)
一些术语:
tunnel隧道。 加密和解密。加密系统,HASHING哈西算法(是一个不可逆的算法)
验证,授权,KEY的管理。CA(授权认证服务)
关于IPSEC VPN的术语:
AH:头验证
ESP:对有效数据进行验证和加密,
IKE:INTERNET KEY 交换。在INTERNET上交换口令,可以不让其他人看到。保证口令的安全性。
ISAKMP:
SA:安全观念
AAA:
TACACS+:
RADIUS:
2:CISCO ISO加密系统:
密钥的管理:人工参与,安全KEY交换算法IKE,CA公共KEY交换。
加密:对称式的加密(DES,3DES。AES。)和非对称式加密(RSA)
验证:
HASH哈西算法:
对称加密:
非对称加密:有共钥和私钥。加密用共钥,解密用私钥。保证了在传输过程中的口令的安全性,
如果在传输过程中口令被截取,那么他没有私钥,则不能进行解密。
KEY 的交换:
比如ROUTERA和ROUTERB交换KEY。
ROUTERA有私有值XA和共有值YA。。。。ROUTERB有私有值XB和共有值YB
互相交换YA和YB。
在ROUTERA方:K等于YB的XA次放的模乘以P
ROUTERB方:K等于YA的XB次放的模乘以P。
这里P双方都是知道的!
这里的K应该相等。
HASHING算法:
可以保证数据在传输工程中的数据的完整性,但是他不保证加密性。
具体是这样的:
本地的要发送的信息和共享的KEY经过HASHING算出一个值
再传输给远方。如果中间人要修改数据。那么HASHING的值会发生变化,这样对方就知道了数据被人改了。
3:IPSEC
加密以及验证,
ESP可以做认证也可以做加密,加密的是内容,
AH包含了对头部的认证,一般两种方法可以结合使用通常。
隧道模式传输模式:
区别:在隧道模式是支持多协议的,在隧道中用新的头封装了原来的数据,可以支持多种协议。
传输模式:他对于原始数据的头部不做改变,而是在数据中增加 AH和ESP的头来保证数据的安全性和完整性。
安全观念:
两个设备之间进行安全信息交换的一个综合思想(概念)
IPSEC的步骤:
A发送敢兴趣流量到B。这里敢兴趣流量是需要加密的数据。一般通过ACL来决定。
经过IKE的SA的协商。然后进行IPSEC 的SA进行协商。
然后通过 IPSEC的通道进行数据的交换。
IPSEC的隧道形成。
配置IPSEC的任务
1,规划,准备,决定IKE和IPSEC的策略,
2,配置IKE
3。培植IPSEC
4检验
4:准备配置IKE和IPSEC
准备IKE和IPSEC的策略。
决定IKE的策略。KEY的分发思想和验证思想,IPSEC对端的IP和HOSTNAME,IKE的策略。
保证两端配置一致。
决定IPSEC。同样,两端配置应该一致。
5:配置VPN
我考。这里是难点。偶不是很懂。!
