CCNP 筆記本

2012 年 05 月 14 日

CCNP-ISCW Module 04 Frame Mode MPLS Implementation (2)

Filed under: 未分類 — nkongkimo @ 00:32:43

L2 Switching 、L3 SwitchingMPLS 比較

  L2  Switching L3  Switching MPLS
優點 *不用解封裝到第3層直接建立VC傳送
*傳送速度快
*可以Any-to-Any *結合L2&L3 Switching的優點
*可以Any-to-Any
缺點 *無法Any-to-Any *需要解封裝到第3層
*傳送速度較慢
設定較複雜
備註 *只有標籤表 只有路由表 路由表+標籤表

image

image

image

PHP (MPLS POP Poping)

Cisco專屬協定。Cisco設備預設開啟
在Edge LSR的前一顆Router移除Label
Router IOS中以POP / Imp-Null顯示
傳統是PE來做POP,但MPLS PHP由PE的前一顆Router來做POP。

image

image

image

範例:

image

MPLS VPN

image

image

image

VPN 特性 優點 缺點 Routing最佳化
Overlay

服務提供商只做link的服務 服務提供商只提供VC的服務

*異地備援很方便
*可以即時切換
*可以用相同的IP
*沒有IP不好查詢
*不能同時演練
*最佳化成本較高
要用Full mesh
Peer-to-Peer

服務提供商要參與客戶的routing(靜態)

*可同時演練(因IP不同) *不行用相同IP
*異地備援需變更IP即時性較差(需要DNS更新)
*需要配合CE端的規劃
 

MPLS VPN學習Label的方法

RD
(Route Distinguishers)
路由分辨的代號 RD(64bits)+IPv4(32bits)=VPNv4(96bits) *用戶端不知道RD會在PE移除
*可以解決MPLS VPN IP位址重複的問題,無法支援語音互通

RT(Route Target)

是一個參數

Export:識別自己為哪一個VPN成員
Import:關聯每一個路由表
*動態產生,自己會互相交換資訊

image

image

廣告

CCNP-ISCW Module 04 Frame Mode MPLS Implementation (1)

Filed under: 未分類 — nkongkimo @ 00:28:25

image

MPLS Network裡面只看Label

*註:Labe從16開始(0-15不可以使用)

LSR

(Label Switching Router)

PE

Ingree

Edge LSR

把沒有貼label的封包加label

 

Egree

把有貼label的封包移除label,並查詢路由表把資訊送到目的地

 

P  router

label的值告訴Edge LSR加快Routing的速度,不需要再解析一次封包。

*只會收到有label的封包

*會做Label的修改

 MPLS運用於:

1.IP Unicast Routing(傳統的傳送方式+label)
2.Muilticast Routing
3.MPLS VPN
4.MPLS TE(Traffic Engineering)
5.AToM(Any Transport over MPLS)

Routing Switching的演進

演進 解釋 速度 備註
第一代 Preocess Switching
Routing table-driven Switchig

*全部的封包都要解封裝到第三層才往目的地送

*較沒效率

第二代 Fast Switchig(Route Cache)
Cache-Deriven Switching

*第一個封包會完整的檢查,後續的data才會用cache的資訊傳送

*會因為routing table更新導致封包停止傳送。
第三代 CEF(Prebuilt FIB table)
Topology-Deriven Switching
*CEF Protocol 會建立FIB來加速封包的傳送速度
*不受routing table更新影響傳送
*MPLS一定要啟動CEF
*大幅改善效率

FEC(Frowarding Equivalence class)對等式協定:

*一群相同等級的封包,給予相同等級的對待

*MPLS不同應用的FEC的對待及依據不同

*FEC在Unicast的環境中以destination network為分類依據
*FEC在Multicast的環境中以Group or Class為分類依據
*FEC在MPLS中會看Labeldestination位址的Label號碼給予相同的優先權
*FEC在MPLS VPN的環境中以VPN為分類依據

MPLS Router架構

image

Control Plan 管理控制訊號的地方 會有2種表:
(1)RIB(路由表),利用路由協定交換資訊
(2)LIB(標籤表),利用LDP協定交換相鄰Label的資訊
Data Plan 管理資料傳輸路徑的地方 會有2種表:
(1)FIB,利用CEF把RIB轉換成FIB
(2)LFIB,由LIB轉換而來的

Label的指派過程:

1.先要有Routing的資訊才會指派標籤,故首先需要有Routing Protocol,建立Routing table。
2.有了Routing table後,MPLS Router會根據Routing Table的目的地位址(FEC)分別給Label。
*Labellocal有效性於其他router無關,利用LDP告知鄰居Router即可。
*Label會放在Contorl Plane的LIB裡面

*LIB為Label的總表。
3.LIB會轉換成LFIB(Data Plane)即可藉由Label轉送封包。

image

項目 狀況
1.沒有Label的封包 *查FIB,若有相關的資訊就利用路由表上的路徑傳送出去。
EX:普通非MPLS路由器的運作狀況。
*查FIB,若有需要貼上LFIB就會貼上Label再傳送出去。
EX:MPLS Ingree PE的運作情形
2.有Label的封包 *查LFIB,轉換Label再傳送出去。
EX:MPLS P Router運作的狀況。
*查LFIB,若需要移除Label的時候會移除Label再傳送出去。
EX:MPLS Engree PE運作的狀況。


插入label的方式

  模式 環境 備註
Label Frame Mode
(2.5層)
支援大部份路由協定 layer2和layer3中插入32bitsLabel
Label Cell Mode 只用於ATM ATMCell是固定的故無法插入,所以使用VPI/VCI來當作Label

image

Bottom-of-stack

S

正常情況下只有1個Label,但在特殊情況下有多個Label。
EX: MPLS VPN(2個Label)、MPLS TE(3個以上Label)
當S=0 表示後面還有Label
當S=1 表示最後一個了,後面沒有Label了

image

PID(Protocol ID): 表示layer 3是甚麼協定

PID代碼 說明
0X0800 沒有Label的 IP Unicast routing
0x8847 有貼Label的 IP Unicast routing
0x8848 有貼Label的 IP Multicast routing

MPLS的設定步驟

1.Building UP IP Routing table
2.Allocating Labels
3.LIB and FLIB Step
4.Label Distribution Advertisement

Label 運作的方式

1.Non-MPLS => FIB table

Destination Network: 10.10.10.0/24
Next-Hop: 192.168.1.1

2.MPLS=> LIB table

Destination Network: 10.10.10.1/24
Label Number: 25
Significant: Loacl (分為local 及 Remote 送來的label)

3.LFIB table=>

Label Number: 25
Next-Hop Address : 192.168.1.1 or Label
Action : Untagged or Sweep Label

2012 年 05 月 11 日

CCNP-BSCI Module 08 IPv6

Filed under: 未分類 — nkongkimo @ 18:37:33

IPv6的好處

1.增加IP位址(32bits增加到128bits)
2.不需要NAT,達到真正的any-to-any,達到QoS的最佳化
3.Header比較簡單
4.增加anycast的功能,一個IP可以設在多各設備,達到傳輸最佳化
5.強制summary的機制
6.IPv6 沒有Broadcast的封包

IPv6定址的概念

1. 由IPv4的主機位址改變成Interface ID
2. 加入Prefix ID 表示Network

IPv4 V.S IPv6 欄位的比較

image
*Option的欄位有資料都會送到Router CPU處理。
*Offset位差:用來重組封包使用
*一列32bits
*MTU由router處裡
image
*MTU由Client設備處理
*每一列64Bits

IPv6表示方法 & 簡化的規則

1.表示方法 IPv6使用16進制,共有8組16進位的frame,每一組為4個16進位數,用":"隔開
一組的表示法由0000~FFFF
2.簡化規則 (1)前面有0的可以刪除
(2)0000可已直接用":"表示
(3)至少要有一個0
(4)連續的0可用"::","::"只能表示一次
(5)"::"表示不知道IP時
(6)"::1"表示loopback IP address
範例

 

MTU Issues

IPv6 MTU預設1280bit
IPv6裡MTU由Source Client去偵測,不在經由Router去偵測。

 

IPv6 Addressing Model

*IPv6 Enable Interface 至少要有1個"Link Local Address"和"Loopback Address(::1/128)",
或多個Unicast、Anycast、 Multicast
Link-Local Address

1.是必要的位址
2.用於Auto configuration
3.用Neighbor Discovery來找出Router跟Prefix, 取代IPv4的ARP、ICMP redirect、IRDP
4.跑Routing Protocol時要指定外送介面 才會協商routing protocol
5.在同一個L2的環境使用 無法routing
6.IP是FE80::/10開頭的

Unique Local (Site Local)

1.類似IPv4的Private IP,被保留起來用於IPv6的Private IP
2.Unique Local IP的範圍是 FEC0::/10

Global

1.類似IPv4的Public可以被使用在Internet上Routing的IP
2.2001:/32~64 開頭的

IPv6 Addressing Type

Unicast

1.一對一
2.可以出現在source跟destination的欄位
3.類似IPv4的Unicast
4.2001:/32~64開頭的位址

Multicast

1.一對多的
2.類似IPv4的Multicast
2.Channel比IPv4更多
3.IPv6 address只出現在Destination的欄位
4.FF00::/8開頭的

Anycast

1.新增的Type
2.一對最近的
3.同一個IPv6的IP可以設定在多個設備上
4.IPv6一個位址(Global & Unique local)可以設定在多個設備上,由Router去決定最佳路徑,達到傳輸最佳化。非常適合做Global Load balance
5.IPv6的address只出現在Destination的欄位

Multicast Address

Address

Multucast Group

FF02

(0表示固定的  2表示Link Local)

FF02::/8表示是被保留下來的

FF02::1

All Multicast Host

FF02::2

All Multicast Router

FF02::5

OSPFv3 Router

FF02::6

OSPFv3 DR Router

FF02::9

RIPng Router

IPv6切割的規則

image
1.Unicast定址目前由2001開頭
2./23: IANA切/23給各個地區的IP註冊單位(RIR)
2./32 :註冊單位再切/32給各個ISP
3./48 :ISP再切/48給各個公司
4./64: 公司使用/64來定址
5.Interface ID是64bits 且是固定的 (與interface MAC有相關)

Anycast (Global Unicast)

image 

Stateless Auto Configuration

 

EUI-64 Autoconfiguration

*把原本48位元的MAC address轉換成64位元的 Interface ID

Configuration IPv6 Address

config)#ipv6 unicast-routing———-啟動IPv6

config)#ipv6 cef———-啟動IPv6 cef

config-if)#ipv6 address IPv6 address/prefix length eui-64——設定IPv6位址

show ipv6 interface (breif)————可以看到EUI-64所給的IPv6位址

show ipv6 route ————可以看到路由表

 

IPv6 Routing Protocol

 

IPv6 Routing Protocol 比較

Routing protocol 內容
1.Ripng 1.與RIPv2相似只有Prefix不同
2.使用IPv6封包傳輸
3.使用FF02::9(All-Rip-router)的Multicast來傳送Update ,Topology是透過link-local來更新, Next-hop也是Link-Localaddress, Distance為FF02::9
4.Updates sent on UDP port 521
設定

2.IS-IS 1.Two new Type, Length,Value (TLV) attributes
(1)IPv6 Reachability
(2)IPv6 Interface address
3.MP-BGP 只要新增新的IPv6 Interface Address和Indentification即可
4.OSPFv3 1.與OSPFv2一樣但OSPFv3 的協定需要重寫
2.封裝在IPv6封包裡面
3.用Link-local的Address來當作Update的Source,Distance為FF02::5(All-OSPF-Router) 、FF02::6(OSPF DR Router).
4.設定上改由哪一個介面再那一個Area
5.同一個介面上可以不同的routing
6.Router-ID一樣為32Bits
7.DR與BDR目前改為用Router-ID識別
8.安全的部份用AH(Authentication Header)和ESP(Encapsulating Security Payload)來做,不用像OSPFv2設定在OSPF裡面
9.新增2個LSA:
(1)Link LSAs (type 8):
(2)Intra-area Prefix LSAs (type 9)
設定  
 
Router(config-if)# ipv6 ospf priority number——————-當需要選擇DR/BDR時,設定priority值
Router(config-if)# ipv6 ospf cost cost——————-修改cost值
show的觀察

 

IPv6 to IPv4 Transition

方法 內容
1.Dual Stack 1.較安全的轉換
2.須要考慮IPv4和IPv6的Routing table(各自分開不戶相干涉)
 
2.Tunnels 1.也是Dual stack的一種方法
2.會增加20bytes的header
3.類似GRE tunnel
4.當Tunnel數量變多時會有問題
5.雙方的設定要對偁
6.Protocol的號碼為11
設定 image
image  
3. 6 to 4 Tunnel 1.會自動建立tunnel,但必須Prefix是2002開頭的(特別保留給6to4的)
2.特別把IPv4的address 與IPv6的address 做對應,把IPv4的IP轉換成2進位填入32位元以16進位轉換
  image
4.NAT-PT 1.把IPv4與IPv6的Address做轉換
2.加入一個NAT的設備做轉換
  image

2011 年 10 月 19 日

Redistribute With Route-map、Prefix-List and ACL

Filed under: 未分類 — nkongkimo @ 22:22:46

1.png

說明:此Lab練習Redistribute並搭配Route-map、Prefix-list、ACL,只讓某些網段Redistribute

(1) Route-map、Prefix-list、ACL使用在Redistribute,有些許差別

(2) Route-map在編寫上比Prefix-list、ACL麻煩,但彈性較大

(3) Prefix-list在Subnet Mask的管制上會比ACL設定來的方便

實作條件:

★RO_C 建立多條 Loopback,皆放進RIP v2

loopback 10 20.3.0.254/24

loopback 11 20.3.1.254/24

loopback 12 20.3.2.254/24

loopback 13 20.3.3.254/24

loopback 20 150.3.0.254/24

loopback 21 150.3.1.254/24

loopback 22 150.3.2.254/24

loopback 23 150.3.3.254/24

loopback 24 150.3.4.254/23

loopback 25 150.3.32.254/20

loopback 30 172.3.1.254/24

loopback 31 190.3.1.254/24

loopback 31 190.3.2.254/24

loopback 31 190.3.3.254/24

★Redistribute 到 OSPF Policy

一、20網段只允許Redistribute單數網段(20.3.1.0、20.3.3.0)

並設定Metric=1000、Type=E1、Tag=20

二、150網段用IP Prefix-list來match

只允許Class B且subnet mask 23>x>24

並設定Metric=2000、Type=E2、Tag=150

三、190網段只允許Redistribute單數網段(190.3.1.0、190.3.3.0)

並設定Metric=10

RO_C Show Run如下:

hostname RO_C

建立的Loopback

interface Loopback10

ip address 20.3.0.254 255.255.255.0

interface Loopback11

ip address 20.3.1.254 255.255.255.0

interface Loopback12

ip address 20.3.2.254 255.255.255.0

interface Loopback13

ip address 20.3.3.254 255.255.255.0

interface Loopback20

ip address 150.3.0.254 255.255.255.0

interface Loopback21

ip address 150.3.1.254 255.255.255.0

interface Loopback22

ip address 150.3.2.254 255.255.255.0

interface Loopback23

ip address 150.3.3.254 255.255.255.0

interface Loopback24

ip address 150.3.4.254 255.255.254.0

interface Loopback25

ip address 150.3.32.254 255.255.240.0

interface Loopback30

ip address 170.3.1.254 255.255.255.0

interface Loopback31

ip address 190.3.1.254 255.255.255.0

interface Loopback32

ip address 190.3.2.254 255.255.255.0

interface Loopback33

ip address 190.3.3.254 255.255.255.0

基本介面設定

interface Serial0/0

ip address 10.140.3.2 255.255.255.0

 

interface FastEthernet0/1

ip address 192.168.103.254 255.255.255.0

 

router ospf  100

redistribute rip subnets route-map rip_to_ospf

將RIP Redistribute到OSPF並參照Route-map rip_to_ospf

Subnets是將有切割過的子網段也可Redistribute,若沒加,只能Redistribute Classful Subnets

network 10.140.3.2  0.0.0.0 area 0

network 192.168.103.0  0.0.0.255 area 3

 

router rip

version 2

redistribute connected metric 10 route-map loopback_to_rip

將直連的網段Redistribute進RIP並參照Route-map loopback_to_rip

network 10.0.0.0

network 20.0.0.0

network 150.3.0.0

network 170.3.0.0

network 200.3.1.0

no auto-summary

 

ip prefix-list C seq 5 permit 128.0.0.0/2 ge 23 le 24

利用prefix-list來判斷,只允許Class B並Subnet mask大於23,小於24

access-list 10 permit 20.3.1.0 0.0.254.0

利用ACL來判斷,只允許單數網段(20.3.1.0、20.3.3.0)

 

route-map loopback_to_rip permit 10

match interface Loopback31 Loopback33

建立一條Route-map,名稱為loopback_to_rip,動作為只允許介面loopback31和33

 

route-map rip_to_ospf permit 10

match ip address 10

set metric 1000

set metric-type type-1

set tag 20

建立一條Route-map,名稱為rip_to_ospf

符合ACL 10的IP address將metric=1000、type=E1、tag=20

 

route-map rip_to_ospf permit 20

match ip address prefix-list C

set metric 2000

set metric-type type-2

set tag 150

建立一條Route-map,名稱為rip_to_ospf,接著上面

符合prefix-list C 的IP address 將metric=2000、type=E2、tag=150

2010 年 01 月 18 日

Foundry ServerIron 匯入SSL憑證

Filed under: Foundry, 未分類 — nkongkimo @ 12:03:45

建立一個SSL Key
To generate a Secure Sockets Layer (SSL) key, follow these steps:
1.    Click the Security button in the context bar.

2.    進入 SSL Switching link.

3.    點選 SSL Keys tab

4.點選“ Key Generation on ServerIron”的箭頭,可以看到建立SSL的參數.

5.    輸入以下資訊:
•      Key File Name: For example, sslkey2

•      Encryption Algorithm: Only RSA is currently supported

•      Key Length: Choose from the entries in the drop down list. The default is 1024.

•      Password: For example, foundry will be the password for the key file.

6.    Click Generate.
若SSL Key建立成功會出現 "The operation was successful" 的文字並且會顯示在SSL Summary裡面.

2010 年 01 月 17 日

Foundry Note

Filed under: Foundry, 未分類 — nkongkimo @ 17:47:04

Web Switching Modules 6硬體架構

WSM6(Web Switching Modules)是Foundry網路設備的管理模組,Traffic從連接Port進入ServerIron後,會由WSM6模組接手,然後再將處理後的資料,透過連接埠輸出到其他網路設備。

WSM6上共有2種處理器模組,分別是BP(Barrel Processors)及MP(Management Processor),BP處理Layer 4~7層的封包資料,MP負責管理設備情況,而Layer 3的路由服務則可能是MP或BP處理,當我們進入管理介面時,都是由MP處理指令,然後再交給BP處理封包。

目前WSM6分為WSM6、WSM6-1及WSM6-2等3種模組,每個模組具備1個MP,差別在於WSM6有3個BP、WSM6-2有2個BP、WSM6-1有1個BP。

值得注意的是,WSM6還有整合SSL加速的模組WSM6-SSL-1(1個BP)及WSM6-SSL-2(2個BP),若不想讓WSM6板卡同時處理SSL加速,還可以額外採購獨立的SSL加速模組板卡,有助於專門處理SSL資料。

WSM7=有1個MP和3個BP,與WSM6相比只有BP的PROCESS處理效能比較好

SRVC-SSL6-1 Module 專注在SSL的服務有1個BP專門在處理SSL的Traffic

SRVC-SSL6-2 Module 專注在SSL的服務有2個BP專門在處理SSL的Traffic

建議事項

WSM6、7建議插在solt1的插槽上
若有2個WSM要插在同一個Chassis裡面必須要相同的行號
你不可混插IronCore和JetCore 在同一個Chassis的設備上
插2片WSM模組就有2倍的效能,加上Redundancy的效果
WSM6-1 and WSM6-2 支援 IronCore的模組

 

WSM模組的燈號狀況

Reset Button
在面板的右方有一個小凹洞就是Reset Burron的按鈕。

 

SRVC-SSL6 Module

 

更新硬體/軔體步驟:

詳細可以查看releaseNode會更清楚

1.Power down the chassis and remove the Web Switching Management Module from the chassis and place it  on a static-free work area.

  關閉電源移除WSM 並插入新的WSM

2.Copy the flash code and startup-config files that are currently in flash memory onto a TFTP server for backup.

  儲存Flash code和設定檔在TFTP Server

3. Copy the MP boot code and WSM CPU boot code onto a TFTP server to which the ServerIron has network access.

  儲存MP Boot code和CPU Boot code在TFTP Server

4.Enter the following command at the Privileged Exec level of the CLI to copy the MP boot code onto the ServerIron

  輸入指令把MP Boot code上傳到ServerIron 

  copy tftp flash <ip-addr> <image-file-name> boot

5. Enter the following command at the Privileged Exec level of the CLI to copy the WSM CPU boot code onto the ServerIron:

   輸入指令把WSM CPU boot code 上傳到 ServerIron

   wsm copy tftp flash <ip-addr> <image-file-name> boot

6. Enter the following command to at the Privileged Exec level of the CLI to copy the MP flash code onto the ServerIron:

   輸入指令把WSM MP flash code 上傳到 ServerIron

 copy tftp flash <ip-addr> <image-file-name> primary

7.Enter the following command to at the Privileged Exec level of the CLI to copy the WSM CPU flash code onto the ServerIron:

  輸入指令把WSM CPU flash code 上傳到 ServerIron 

  wsm copy tftp flash <ip-addr> <image-file-name> primary

8.Reload the software by entering the following command to at the Privileged Exec level of the CLI:

   reload   重開機

9.輸入指令把第2個WSM MP flash code 上傳到 ServerIron

  copy tftp flash <ip-addr> <image-file-name> secondary

在 WordPress.com 建立免費網站或網誌.