Learning IOS and JUNOS

R1(config)#int loopback 0 R1(config-if)#ip address 1.1.1.1 255.255.255.255 R1(config)#access-list 10 permit 1.1.1.1 R1(config)#mpls ldp explicit-null for 10

R1(config)#mpls ldp neighbor 2.2.2.2 targeted ldp R2(config)#mpls ldp neighbor 1.1.1.1 targeted ldp

在IS-IS broadcast網路中如果只有一個設備，那麼我們可以利用修改IS-IS network type的方式來加速收歛時間，因為不需要選擇DIS，也避免了DIS定期發出CSNP的flooding，簡化了SPF的計算。 R1(config)#int f0/0.1 R1(config-if)#is-is network point-to-point R2(config)#int f0/0.1 R2(config-if)#is-is network point-to-point PS:這個方式不能使用於Frame Relay NBMA介面上

IS-IS允許路由器每個PDU被加上認證資訊，但是若是"send-only"參數將可以讓IS-IS路由器在接收PDU時不看認證資訊。通常我們在進行網路昇級migration時，可以利用這樣的參數暫時忽略掉認證。 假設R1-R2-R3，其中R1,R3已設置完成IS-IS Authentication，但是R2不設置任何IS-IS Authentication configuration，為了這些IS-IS形成Adjacency，我們可以在R1,R3路由器連接至R2的interface上設置"send-only"參數。 R1(config)#int S0/0.1 R1(config-if)#isis authentication send-only R3(config)#int S0/0.1 R3(config-if)#isis authentication send-only

首先，PE router必須利用bgp network command宣告default route給VPN VRF。因為BGP宣告路由必須檢查RIB，所以必須建立一筆static default route指向出口介面的ip，由於100.100.100.1這個不屬於VRF IA內的route，因此加上global參數表示從global routing table中leak到VRF IA中。 R1(config)#ip route vrf IA 0.0.0.0 0.0.0.0 F0/0.1 100.100.100.1 global R1(config)#router bgp 100 R1(config-router)#address-family ipv4 vrf IA R1(config-router-af)#network 0.0.0.0 如果要設定VRF的PAT： R1(config)#access 1 deny 100.100.100.0 0.0.0.255 R1(config)#access-list 1 permit any R1(config)#ip nat inside source list 1 interface F0/0.1 vrf IA overload R1(config)#int F0/0.100 R1(config-if)#ip nat inside R1(config)#int F0/0.1 R1(config-if)#ip nat outside

假設VRFA(R1,R2)只接受來自於VRB的路由prefix為100:200，VRFB(R3,R4)只接受來自於VRA的路由prefix為200:100，現有的路由community，VRFB to VRFA有123:123,234:234，VRFA to VRFB有987:987,876:876，要求由R3上面進行設置： R1(config)#ip vrf VRFA R1(config-vrf)#route-target import 100:200 R2(config)#ip vrf VRFA R2(config-vrf)#route-target import 100:200 R3(config)#ip vrf VRFB R3(config-vrf)#route-target import 200:100 R4(config)#ip vrf VRFB R4(config-vrf)#route-target import 200:100 R3(config)#ip extcommunity-list 1 permit rt 123:123 R3(config)#ip extcommunity-list 2 permit rt 234:234 R3(config)#ip extcommunity-list 3 permit rt 987:987 R3(config)#ip extcommunity-list 4 permit rt 876:876 R3(config)#route-map VRFB2VRFA permit 10 R3(config-route-map)#match extcommunity 1 R3(config-route-map)#set extcomm-list 1 delete R3(config-route-map)#set extcommunity rt 100:200 R3(config)#route-map VRFB2VRFA permit 20 R3(config-route-map)#match extcommunity 2 R3(config-route-map)#set extcomm-list 2 delete R3(config-route-map)#set extcommunity rt 100:200 R3(con

假設R1,R2都是MPLS PE Router，為了避免CE Router R3,R4走backdoor(直連interface)，要強迫R3走MPLS backbone到達R4必須使用OSPF Sham-link feature，建立類似tunnel的通道來導引packet flow。有一個很重要的trick，那就是用來建立sham-link的loopback絕對不能在ospf LSDB中，必須要使用BGP來交換這個loopback interface的network。最好是另外再建立新的專屬loopback interface。最後將兩個CE之間的Backdoor OSPF cost調大，使之成為較差的路由。 R1 R1(config)#int loopback 99 R1(config-if)#ip vrf forwarding VRFA R1(config-if)#ip address 1.1.1.1 255.255.255.255 R1(config)#router bgp 100 R1(config-router)#address-family ipv4 vrf VRFA R1(config-router-af)#redistribute connected metric 1 R1(config-router-af)#router ospf 100 vrf VRFA R1(config-router)#area 51 sham-link 1.1.1.1 2.2.2.2 R2(PE) R2(config)#int loopback 99 R2(config-if)#ip vrf forwarding VRFA R2(config-if)#ip address 2.2.2.2 255.255.255.255 R2(config)#router bgp 100 R2(config-router)#address-family ipv4 vrf VRFA R2(config-router-af)#redistribute connected metric 1 R2(config-router-af)#router ospf 100 vrf VRFA R2(config-router)#area 51 sham-link 2.2.2.2 1.1.1.1 R3(CE

假設R1,R2這兩個PE之間有IBGP連線，為了避免loop因此設定SOO來辨識路由內容： R1(config)#route-map BGP_SOO permit 10 R1(config-route-map)#set extcommunity soo 65001:1 R1(config)#router bgp 100 R1(config-router)#address-family ipv4 vrf SITE1 R1(config-router-af)#neighbor 2.2.2.2 route-map BGP_SOO in R2(config)#route-map BGP_SOO permit 10 R2(config-route-map)#set extcommunity soo 65001:1 R2(config)#router bgp 100 R2(config-router)#address-family ipv4 vrf SITE2 R2(config-router-af)#neighbor 1.1.1.1 route-map BGP_SOO in 假設R1,R2之間為EIGRP neighbor，在兩個router上的interface設定SOO: R1(config)#route-map EIGRP_SOO permit 10 R1(config-route-map)#set extcommunity soo 300:1 R1(config)#int f0/0.1 R1(config-if)#ip vrf sitemap EIGRP_SOO R2(config)#route-map EIGRP_SOO permit 10 R2(config-route-map)#set extcommunity soo 300:1 R2(config)#int f0/0.1 R2(config-if)#ip vrf sitemap EIGRP_SOO

MOD的啟示：內容與網路科技缺一不可 ZDNet記者鍾翠玲／台北報導 2008/08/15 20:21:02 中華電信MOD大發奧運財只證明一件事，內容果然是王。 中華電信的寬頻內容服務MOD自2002年推展以來，初期老是被人唱衰。原因除了網路頻寬、附加設備與整體價格過高，不足以吸引消費者，另一方面，消費者意願短缺也就無法驅動內容供應商，製作有別於傳統類比式內容的數位內容。而一旦沒有好的數位內容，想吸引使用者花錢更無異是緣木求魚。 六年前，中華電信的「寬頻」ADSL服務速率只有1.5M/64MB，六年之後，2M已是家常便飯，眾家ISP主打的是8M、10M及光纖線路。萬事俱備，只欠東風，基礎架構完備後，就看ISP能端出什麼內容了。 根據經驗，「殺手級應用何在」是這類服務供應商不斷追求的聖杯。若是沒有內容，光是訴求高頻寬、高速連網的ISP或是行動電信公司的連網速率，碰到這類問題都將為之語塞。 最受歡迎的答案是什麼？歷史證明，體育節目，特別是大型運動賽事乃是驅動千萬使用者前來的萬靈丹。2002年韓國的亞運，2004年的世足賽分別帶動了寬頻電視服務的興起。資策會市場情報中心(MIC)研究經理張奇指出，運動比賽的即時性、獨家轉播權及難以複製性，是造就網路電視(IPTV)即時轉播大受歡迎的原因。 因此中華電信的MOD、hiChannel、及光世代（光纖服務）趁著奧運熱潮訂戶大增也是意料中事。根據中華電信表示，剛結束的台北應用展，MOD銷售量比去年多了10倍，用戶達到50萬戶。同時，拜無線四台轉播太少，而本月13日中華電信宣佈免費播放中華成棒大戰荷蘭的Hinet hiChannel ，瀏覽人數及流量更是雙雙再創新高。到8月13日為止，hichannel為奧運開播前之3倍，網站流量為奧運開播前之11倍，單日突破586萬人次。光世代客戶數已突破85萬戶。 另外，用手機瀏覽奧運之WAP網站流量為奧運開播前之10倍，單日突破17萬人次；精彩短片點閱數為奧運開播前之65倍！該公司推出的行動電話「瘋奧運全覽包」在奧運期間全部免費。 然而，在奧運過後的挑戰是怎麼留住用戶將是一大考驗。如果只是把無線電視台播過的電視內容改編放上網路，這些因奧運而來的用戶恐怕就又要望網路興嘆。張奇指出，MOD與寬頻網路乃缺一不可；他以香港電訊盈科指出，每100家光纖用戶有40戶同時購買了該公司的MOD服務，而美

在ATM interface上啟用MPLS Cell Mode： Router(config)#int atm 1/0.100 mpls Router(config-if)#mpls ip 在Router和ATM switch之間利用VPI:10 VCI:20來進行tag和非IP資料的通訊： Router(config-if)#mpls atm control-vc 10 20 在Router和ATM switch之間利用VPI:10~15 VCI:200~300的範圍來傳遞資料： Router(config-if)#mpls atm vpi 10-15 vci 200-300

◎預設，RSVP允許任何路由器保留頻寬。我們可以透過在interface上設置ACL來限制只接受特定RSVP鄰居的RSVP訊息。 Router(config)#access-list 1 permit 10.1.1.1 Router(config)#int f0/0 Router(config-if)#ip rsvp bandwidth neighbor 1 ◎RSVP message over UDP encapsulation on multicast address 如果利用UDP封裝發現其他RSVP鄰居，路由器會自動產生UDP封裝訊息。你必須指示路由器當它產生IP封裝的multicast時產生UDP封裝的RSVP multicast。 R1(config)#int s0/0 R1(config-subif)#ip rsvp udp-multicast 224.1.1.1 R2(config)#int s0/0 R2(config-subif)#ip rsvp udp-multicast 224.1.1.1 ◎MPLS TE Headend router可能會收到一個RSVP現存tunnel的"No Route" Error message或是"Link Down"來自於tunnel link failure的訊號。Headend router忽略這個鏈結直到IGP接受到網路架構的變化訊息或是鏈結Hold-down timeout發生。 Router(config)#mpls traffic-eng topology holddown sigerr 20 !忽略CSPF計算等待至少20秒 ◎預設RSVP routers產生RSVP訊息沒有任何rate-limit限制，有可能因此影響RSVP運作效率甚至導致packet lost。啟用RSVP rate-limit feature可以預防這類訊息的flooding導致input-queue超載。 R1(config)#ip rsvp signalling rate-limit R2(config)#ip rsvp signalling rate-limit !不加任何參數則使用預設值 !Max msg per interval: 4 !Interval length (ms

有一個從古早以前的CCIE Lab常常會不經意問到的經典題目，而且幾乎沒有什麼Document會提到，查詢Cisco Document CD我也找不到在那邊有相關說明。 我在此先把問題提出來，但是我暫時先賣個關子先不把答案說出來，如果各位知道的話，歡迎直接feedback分享給大家~ 【Question】我們要求在兩個Router之間使用BGP Authentication，密碼為:Pass?word，請問要如何輸入? R1(config)#router bgp 100 R1(config-router)#neighbor 2.2.2.2 remote-as 100 R1(config-router)#neighbor 2.2.2.2 password Pass? % Unrecognized command 以上就是當你在Cisco IOS CLI中使用了?這個字元時會出現的情況，請問各位如果你遇到這樣的問題該如何解決?

◎當網路發生變化時，整個SPT都會重新計算。在很多情況下，並不需要重新計算整個SPT因為大部份的樹狀架構維持不變。Incremental SPF允許系統只重新計算SPF中被影響的部份，藉此加快IS-IS收歛並且節省CPU資源。在此例中我們設定IS-IS L1-L2 router必須至少等待30秒才能觸發SPF計算： Router(config)#router isis Router(config-router)#ispf level-1-2 30 ◎在預設情況下，當偵測到網路架構發生變化時IOS會利用下列的方式來產生IS-IS PDU： 1. 接收到第一個觸發事件之後會在50 milliseconds產生第一個LSP 2. 在兩個連續的LSP之間的間隔將會是5000 milliseconds的時間 3. 一旦網路穩定下來並且沒有偵測到任何變化事件直到lsp-max-interval(預設為5秒)，原始的lsp-initial-wait期間就會被恢復。 【例】假設R1在接收到第一個網路事件之後1秒會傳送出第一個LSP。在後續的LSP送出之前，中間的間隔至少要2秒。在產生LSP之前最大的等待間隔不應該超過5秒。 Router(config)#router isis Router(config-router)#lsp-gen-interval 5 1000 2000 ! lsp-gen-interval lsp-max-wait [lsp-initial-wait lsp-second-wait] ! lsp-max-wait單位:Second ! lsp-initial-wait單位:Milliseconds ! lsp-second-wait單位:Milliseconds ◎預設每15分鐘，IS-IS Router重新產生LSP更新LSDB。 Router(config)#router isis Router(config-router)#lsp-refresh-interval 5 ! 單位：Minitue ◎如果當網路沒有變化時，在300秒之後仍沒有接收到"相同"的LSP再次refresh，設定IS-IS Router purge old LSP： Router(config)#router isis Router(config-router)

將IS-IS Router設定只允許1000個ISIS prefixes。當超過800個prefixed時必須產生log message。 Router(config)#router isis Router(config-router)#redistribute maximum-prefix 1000 80 ! Maximum = 100, Threshold = 80%

假設網路架構為R1-R2，R1與R2之間形成L1 adjacency，在兩個routers之間只看到L1 PDU，有兩種方式可以達成目的： 1.Extended-ACL R1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any R1(config)#router isis R1(config-router)#metric-style wide !要支援route leaking必須啟用IS-IS wide metric R1(config-router)#redistribute isis ip level-2 into level-1 distribute-list 100 R2(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any R2(config)#router isis R2(config-router)#metric-style wide !要支援route leaking必須啟用IS-IS wide metric R2(config-router)#redistribute isis ip level-2 into level-1 distribute-list 100 2.Route-map R1(config)#access-list 1 permit any R1(config)#route-map LEAK permit 10 R1(config-route-map)#match ip address 1 R1(config)#route-map LEAK permit 20 R1(config)#router isis R1(config-router)#metric-style wide !要支援route leaking必須啟用IS-IS wide metric R1(config-router)#redistribute isis ip level-2 into level-1 route-map LEAK R2(config)#access-list 1 permit any R2(config)#route-map LEAK permit 10 R2(config-route-map)#match ip addr

◎一個OSPF router可以通知其他OSPF neighbor不要考慮此router為最佳下一跳(best next-hop)，這將可以強迫所有的routers改走其他的可行路徑。 Router(config)#router ospf 1 Router(config-router)#max-metric router-lsa 這個指令將會使得此router將自己宣告成一個stub router，將路由設定成infinity bit 0xFFFF。 ◎設定OSPF LSDB overload protection，只允許1000 LSAs避免過大的LSDB導致記憶體不足： Router(config)#router ospf 1 Router(config-router)#max-lsa 1000 ◎調整SPF initial schedule為5msec，在接收到第一個SPF事件之後至少等待50msec再進行下一次的SPF計算；最大的等待經過時間為5000msec： Router(config)#router ospf 1 Router(config-router)#timer throttle spf 5 50 5000

我們想要在R1,R2之間的Serial interface啟用OSPF Fast Hello,定期每100ms發送一次hello,加速OSPF收歛： R1(config)#int s0/0/0 R1(config-if)#ip ospf dead-interval minimal hello-multiplier 10 ! 10代表每一秒送10個hello，也就是1000ms/10 = 100ms R2(config)#int s0/0/0 R2(config-if)#ip ospf dead-interval minimal hello-multiplier 10 ! 10代表每一秒送10個hello，也就是1000ms/10 = 100ms PS:Dead Interval最小為1 sec，無法設定成更小的數值

假設網路架構為：R1(Loopback0:1.1.1.1/32)-[10.0.0.0/30]-R2-[10.0.0.4/30]-R3(Loopback0:3.3.3.3/32)，另外一條路徑為R1(Loopback0:1.1.1.1/32)-[10.0.0.8/30]-R4-[10.0.0.12/30]-R3(Loopback0:3.3.3.3/32)，我們要在R1,R3上各設定一個unidirectional TE tunnel，每一個tunnel都分別有explicit & dynamic redundant path，同時啟用RSVP保留頻寬512K: R1(config)#mpls traffic-eng tunnels R1(config)#router isis R1(config-router)#metric-style wide R1(config-router)#mpls traffic-eng router-id loopback0 R1(config-router)#mpls traffic-eng level-2 R1(config)#int s0/0/0 R1(config-if)#mpls traffic-eng tunnels R1(config)#int s0/0/1 R1(config-if)#mpls traffic-eng tunnels R1(config)#ip explicit-path name 1TO2TO3 R1(cfg-ip-expl-path)#next-address 10.0.0.2 R1(cfg-ip-expl-path)#next-address 10.0.0.6 !強制由R1->R2->R3 R1(config)#int tunnel1 R1(config-if)#ip unnumber loopback0 R1(config-if)#tunnel destination 3.3.3.3 R1(config-if)#tunnel mode mpls traffic-eng R1(config-if)#tunnel mpls traffic-eng path-option 1 explicit name 1TO2TO3 R1(config-if)#tunnel mpls traffic

利用FTP上傳的方式可以將Cisco重要的exception log file自動傳到FTP Server上： R1(config)#exception core-file DUMP R1(config)#exception protocol ftp R1(config)#ip ftp username cisco R1(config)#ip ftp password cisco R1(config)#exception dump 100.100.100.100

針對Inter Domain Multicast traffic我們可以透過MSDP(Multicast Source Discovery Protocol) peer來交換Source-Active(SA)訊息。 R1(config)#ip msdp peer 2.2.2.2 connect-source loopback 0 remote-as 200 R2(config)#ip msdp peer 1.1.1.1 connect-source loopback 0 remote-as 100 R1(config)#ip multicast-routing R1(config)#int loopback 0 R1(config-if)#ip address 1.1.1.1 255.255.255.255 !Loopback必須加入IGP R1(config-if)#ip pim sparse-dense-mode R1(config-if)#int f0/0 R1(config-if)#ip pim sparse-dense-mode R1(config)#ip pim rp-address 100.100.100.100 !如果使用sparse-mode，必需要有RP R2(config)#ip multicast-routing R2(config)#int loopback 0 R2(config-if)#ip address 2.2.2.2 255.255.255.255 !Loopback必須加入IGP R2(config-if)#ip pim sparse-dense-mode R2(config-if)#int f0/0 R2(config-if)#ip pim sparse-dense-mode R2(config)#ip pim rp-address 100.100.100.100 !如果使用sparse-mode，必需要有RP

為了以TTL為根據來限制封包，我們可以使用"ip multicast ttl-threshold"這個指令。Multicast boundary將可以讓你限制你將允許的群組為何。 R1(config)#int f0/0.1 R1(config-if)#ip pim sparse-dense-mode R1(config-if)#ip multicast ttl-threshold 32 !只允許轉送擁有TTL數值大於32的multicast封包 R1(config)#access-list 1 permit 224.1.2.3 R1(config)#int f0/0.1 R1(config-if)#ip multicast boundary 1 !只允許224.1.2.3 multicast group

假設網路架構為Frame-Relay Point-to-Point模式，共有三個Router，R1,R2,R3彼此之間PVC Full-Mesh，為了減少IS-IS flooding我們可以使用mesh-group這個功能來達成目的。在mesh group interface上接收到IS-IS LSPs不會被flooded至同一個 mesh-group其他的interface。 R1(config)#int s0/0/0.1 R1(config-subif)#isis mesh-group 1 R1(config-subif)#int s0/0/0.2 R1(config-subif)#isis mesh-group 1 R2(config)#int s0/0/0.1 R2(config-subif)#isis mesh-group 1 R2(config-subif)#int s0/0/0.2 R2(config-subif)#isis mesh-group 1 R3(config)#int s0/0/0.1 R3(config-subif)#isis mesh-group 1 R3(config-subif)#int s0/0/0.2 R3(config-subif)#isis mesh-group 1