CCIE Flashcards
Sanity Check?
valida que el source ip address para establecer relationship sea el IP de la interfaz directamente conectado, si le das disable, se pueden intercambiar rutas (no reachable) sin que los 2 tengan que estar en el mismo segmento de red.
how can you communicate with 2 host with different IP’s point to point?
using static routes pointing to the interface
^$
locally originated
bgp well know communities?
Internet: advertise to all neighbors
Local-as: only advertise network withing the AS not confederation peers.
non-advertise: advertise to no-one
non-export: no advertise to ebgp peers but can advertise to confederation peers.
originated in as 200
hace match a todo ?
any number
^200$
.*
([0-9]+)
bgp best path selection?
next hop accesible weigh local prefere network aggregate -locally originate routes as path origin: ibgp>incomplete MED ebgp>IBGP IBGP only -->IGP closest neighbor update that came first (only apply to ebgp routes) if configure, lower bgp router-id
what is stp forward-delay?
tiempo que se tarda stp en cambiar de listening a learning y de learning a forwarding state
RIP holddown?
tiempo que tiene que pasar antes de que rip decida buscar un mejor path.
rip timers?
invalid,holddown,flushed
make RIP stop 30 second updates and send only when something occur?
int x
ip rip triggered
Redistribute default routes in RIP
1-default information originate
2-static route and redistribute static
3-ip route to null0 and network 0.0.0.0
4-ip default network (tiene que ser con una red que ya se este aprendiendo por RIP)
OSPF - summarize external routes
do it in ASBR with summary-address
OSPF - summarize inter-area routes
in ABR with area range command
filter ospf without route-maps?
using distance 255, pendiente a que el source es el router-id del neighbor
RPF ?
Cuando reciba un multicast packet, verifico el source address, si el incoming interface es por la misma interfaz por donde aprendo el source address, packet allow
BGP backdoor?
incrementa el AD de ebgp de 20 a 200, se utiliza por si tienes una mejor ruta para llegar al destino que ebgp y estas prefiriendo ebgp porque el AD es 20.
Conditional advertisement + parameters ?
anuncia una ruta, si se da una condicion.
Parametros:
*advertise-map: ruta que quieres anunciar si la condicion que configures existe.
non-exist-map: si no existe la ruta que esta que esta en el non-exist map, no anuncies la que esta en el adversite-map. Estas rutas se validan en el bgp routing table
Exist-map: si existe la ruta que esta que esta en el exist map, anuncia la que esta en el adversite-map.
flow:
1-la ruta que quieres saber si existe o no existe, debe de estar puesta en el routing table de bgp.
LSA type 8 (link) & LSA type 9 (prefix):
1-este solo fluye en el link donde estes directamente conectado con tus ospf neighbors y lo que hace es mostrar todos los IP configurados en esta interfaz.
LSA type 9 (prefix): muestra todos los ip address de esa area que esta hablando ospf, menos los linklocal.
GLBP AVF and AVG?
advance virtual forwarder: son los que estan manejando los paquetes de los host y llevandolos al destino.
Advance virtual gateway: es el manager de los AVF, asigna a los AVF a que mac address group van a pertenecer para manejar los host y dice como se va a hacer el load balance. el de mayor priority es el AVG, tambien usa la funcion de AVF.
EIGRP stub advertisement?
EIGRP Stub: default, solo anuncia connected and summary routes.
EIGRP Leak-map to some neighbors?
Puedes hacer Leak-maps eligiendo a que neighbor quieres dejarle ver la ruta, solo tienes que hacer match en el route-map de la interfaz donde esta el neighbor que quieres dejarle ver la ruta. No aplica si tus neighbors estan en el mismo broadcast domain.
EIGRP maximum hops? (can use it to filter routes)
el default es 100 pero esto se puede modificar.
EIGRP K values?
* Bandwidth (K1) * Load (K2) * Delay (K3) * Reliability (K4) * MTU (K5)
IP default network tiene 2 usos ?
1-redistribuir una ruta estatica, ya que si hago ip default-network 3.3.3.0 y tengo esa ruta en mi routing table, este añade un static route hacia lla
2-redistribuir rutas como candidatos a default routes, para esto las anuncio con el comando network, luego esa misma ruta configuro ip default-network,
van a aparecer en mi neighbor con esto *.
BGP Timers ?
keepalive 60 seconds, holdtime 180.
Se puede cambiar con bgp timers, aunque el valor en ambos neighbors sea diferente, este va a negociar por el valor mas bajito
what is diameter?
the root macro will calculate the optimum maximum delay and forwarding delay timers values, based on the size of the switched network: the smaller the network, the lower the timer values, and the faster the topology will converge. for this calculation the diameter of the switched network is the maximum number of switches that could possibly be in the path between two end stations.
MSTP Revision?
all switches needs to match revision for this to work.
distribute list with gateway?
puedes especificar un distribute list en un routing protocol con un host en especifico.
Recuerda que para usar “gateway” , debes crear un access-list, si lo que quieres es negar un host, niegalo pero crea un permit al final para que permitas los otros host.
route-map sin access-list o con un acl que no existe?
permite todo
ip ospf name-lookup?
- Si combinas IP host con ip ospf name-lookup, ospf va a relacionar el router-id de los routers (mostrandolos hasta en el ospf database) con el ip host que allas puesto.
RIP how to suppress multicast/broadcast and allow unicast in a routing protocol?
passive interface + neighbor command
how do I know if I am filtering an EIGRP external route because the same eigrp router-id ?
sh ip eigrp events | begin du
OSPF LSA Type 1 and 2
LSA-type 1: te da el router con que estas directamente conectado y el network por el cual estas conectado a el
LSA-type 2: network LSA, si estas en un multi-access network, te da los otros neighbors que tiene conectado. Este LSA lo tienes cuando hay un BDR.
how to check your ospf cost reference-bandwidth?
show ip ospf | in Reference
ospf authentication types?
null-type0 = authentication is disable on that interface
clear text- type 1
MD5-type 2
SHA
area 0 authentication and virtual links?
virtual link es una interfaz que esta en area 0, por lo tanto, si se habilita authentication en area 0, hay que habilitarlo en el virtual-link, luego de poner el authentication, hay que “clear ip ospf process” porque los virtual links no envian hello.
util para ver varios matching routes en el routing table
show ip route 1.1.1.1 255.255.254.0 longer-prefixes
Cuando redistribuyes en OSPF, como puedes hacer para que aparte del costo de la ruta redistribuida, se calcule el costo para llegar al router que redistribuyo?
metric-type E1
OSPF - Forward address 0.0.0.0
Significa que para llegar a ese external route tienes que enviar el paquete directo al que esta haciendo la redistribucion del external-address.
LSA-Type4
when a ABR receive an type-5 LSA-external route from a device that is in its own area and passes it into a different area, a type-4 ASBR summary LSA is generated to tell the devices in the new area how to forward towards the ASBR.
as-set?
por default cuando haces un aggregate address, el router que genero la ruta, pero que no hizo el aggregate, tambien recibe el summary, lo cual puede generar un loop, si no quieres que reciba el summary, utilizas as-set.
If you have 2 ABR’s and one ASBR, which of the 2 are going to translate type-7 to type 5 LSA?
the one with the highest Router ID.
Why type-5 LSA needs an type 4 LSA and type-7 no?
because the forward address of type-7 replace the need of that, you already know who to forward the packet to reach the network.
cuando es recomendado usar “ area x nssa no-redistribution” ?
si tienes un nssa area y el router que va a redistribuir la ruta es el mismo ABR, no es necesario que hagas la redistribucion en el NSSA area, ya que de todas formas los routers en esa area la van a alcanzar debido al default route que tienen hacia el ABR. el no redistribution de todas formas va a hacer el translation a Area 0.
ospf external routes preference?
E1>E2>N1>N2
using distribute-list to filter routes in ospf.
En ospf, aunque uses distribute list para filtrar la ruta en un router, este la va a seguir anunciando a los vecinos, OSPF anuncia la ruta siempre y cuando la tenga en el database.
passive interface en RIP ?
formamos neighbor relationship, yo aprendo las rutas tuyas, pero tu no aprendes las mias.
SPF Throttling
se configura si tienes una red inestable en ospf. Ya que no vas a querer estar calculando SPF cada ves que alla un cambio en la red por la culpa de un LSA. La forma en que trabaja es la siguiente:
1- Le dices al equipo cuando reciba un LSA, en que tiempo quieres calcular SPF y le pones un wait interval de que tiempo tiene que pasar antes de calcular otro SPF.
2-le dices al router que si recibe otro LSA si que termine el wait interval, aumente el tiempo para calcular el SPF el doble y asi susesivamente hasta que llegue al maximum value.
3-si llega al maximum value y no ha llegado otro lsa, se le da reset al timer a como estaba al inicio.
LSA Pacing
cada que tiempo le envias LSA a tu neighbor consecutivo. ej: si tienes que enviar 10 sla, este puede estar configurado para enviarlos uno a uno en un intervalo de 50 ms cada uno
LSA Throttling
igual que spf throttling, este controla cada que tiempo se va a generar un LSA, poniedo como minimo, wait interval y maximum wait
ebgp peering with bgp without being directly connected?
ebgp multihop
ttl-security
disable-connected-check (solo aplica en loopbacks)
confed-set
es el as-path de los confederations. Nota: por mas confed set que alla para llegar al destino, este no se utiliza para determinar el best path, muchos confed-set el router los ve como uno.
Confederation notes
en Confederation no se cambia el next-hop.
en el best path selection rule, los as-confed set (AS de los confederations) no se suman y cuentan como as path, un 1 o 10 confed-set es lo mismo.
set manual next hop in BGP
route-map nexthop permit 10
set ip next-hop x.x.x.x
router bgp x
neigh x.x.x.x route-map next-hop in/out
BGP -how to announce a mayor network if you dont have it in your routing table?
aggregate address 150.1.0.0 mask 255.255.0.0
redistribute ibgp routes in igp
by default, if you configure “redistribute bgp” only de ebgp routes will be redistribute, however, if you put “redistribute bgp internal” it will announce ibgp route.
create a peer-group and assing a neighbor
neigh alex peer-group
neigh 150.1.1.1 peer-group alex
prefered method to force incoming traffic (download) in BGP?
AS-prepending, ya que aunque tu ISP tenga un local preference pegao, el prepending sigue pasando a los otros autonomous system y los afecta.
What is needed to implement equal cost load-balance in BGP?
1- same metric from weight to MED
2-same network type (ibgp or ebgp both)
3-same IGP cost to their neighbors
if all conditions are met, you can use “ Maximum path”
what is needed for bgp unequal-cost load balance?
dmzlink-bandwidth
atomic aggregate
aggregator?
la red que tenga esto indica que es una sumarizacion.
2-specifies the as number and the BGP router-ID of the prefix.
AS-set facts
tambien mantiene los communities con que te hallan informado la ruta. Ej. si la ruta que intentas sumarizar llego a tu routing table con el community “no-export”, cuando sumarizes, lo vas a utilizar.
PIM-Dense mode disadvantage?
excessive flooding, to prune the multicast message it sends the multicast packets to every router until it prunes the interface. The pruning expires in 3 minutes so it will start sending multicast traffic again to all routers.
comandos multicast useful
show ip pim neighbor: veo si mis neighbors estan arriba
show ip pim interface: interfaces hablando multicast.
sh ip rpf x.x.x.x : puedes ver si vez el source que esta enviando el multicast group y como llegas a el, si no aparece datos, no vas a poder responder al multicast packet.
BGP soft-reconfiguration
Cuando aplicas un policy en BGP, tienes que darle reset al neighbor para que esta sea aplicada. Soft-reconfiguration te permite aplicar los policies sin tener que darle reset al peering. ej de reset:
clear ip bgp * soft in
Tambien es ideal para hacer troubleshooting, ya que puedes ver las rutas que te estan anunciando antes de hacer un filtro (ADJ-RIB).
BGP Dampening
network instabilities cause bgp prefix flapping. Prefix flapping is dangerous to network stability because it cause withdraws and best-path re-computations. 2 methods to reduce this:
summarization and prefix dampening.
Dampening: penaliza la ruta y no la anuncia hasta que no este estable. Cada vez que un prefix flap, se le añade un valor de 1000 (no es sec ni nada, es un valor) . si la ruta sigue flap y llega al valor de 2000 (default) esta va a ser penalizada/dampening.
bgp scanner
es un proceso de bgp que se encarga de:
1-chequear cada prefijo que sea valido y alcanzable (next-hop)
2-conditional advertisement y route-injection
3-import new routes from RIB
4-bgp dampening.
el timer de este es 60 sec por default, lo puedes bajar pero consume mas cpu.
BGP Outbound Route Filtering (ORF)
Sirve para por medio de prefix lix, decirle a tu neighbor que no te anuncie una ruta, esto es conveniente ya que si yo la filtro con un filter-list in, consumo recursos porque la ruta esta llegando donde mi. Para habilitarlo debes:
1- enable this capability on the peering routers, them reset the bgp sessions.
MPLS- why are ospf l3vpn routes Inter-area routes by default?
2- extended communities added to ospf
1-because the core mpls network that already run OSPF is considered a “super backbone area” lo cual es un area que esta por encima de area 0. Por lo tanto, aunque configures area 0 entre los CE, estos van a pasar por el superbackbone y se van a considerar que vienen de otra area.
2-domain id: identifica el process ID configurado en ospf en el PE-CE, por default se considera que configuraste el mismo Process-ID en ambos CE. Si los configuras diferences, las rutas entre los CE se veran como external.
OSPF Sham-link
1-because the core mpls network that already run OSPF is considered a “super backbone area” lo cual es un area que esta por encima de area 0. Por lo tanto, aunque configures area 0 entre los CE, estos van a pasar por el superbackbone y se van a considerar que vienen de otra area.
Si creas un backdoor entre los PE, este va a ser preferido por default, por la regla de intra-Area>interArea>external
BGP site of Origin
metodo para prevenir loops en mpls L3vpn que allas usado as-override, la ventaja de este metodo vs route-map-AD playing, es que el 1ro es automatico.
When a PE router learns a route with an SOO set, it will not advertise another route with the same SOO set to its CE neighbor.
Esto solo es necesario si estas usando AS-override y tu neighbor tiene un backdoor link. Lo malo es que no puedes usar tu backdoor link como redundant connection
reference: http://cciedreamer.blogspot.com/2008/11/mpls-vpns-with-bgp-site-of-origin.html
IPsec - diferencia entre tunel usando VTI y crypto maps
con VTI, no tienes que crear access-list, el tunnel se mantiene siempre activo, al contrario de con crypto map, que el tunnel se activa on demand
GRE over IPsec & Fragmentation problems.
DF bit header no se añade en el paquete, lo que significa que si el router siempre necesita fragmentar, si lo hace a nivel de software, esto aumenta el CPU y tienes menos throughput.
IP MTU & TCP Adjust MSS :
IP MTU: Pasa la carga de fragmentar a los host. el numero que le pongas es el tamaño maximo que se puede pasar de mtu sin fragmentar. El host se da cuenta del tamaño del MTU que puede enviar usando path mtu discovery.
Si el host no esta corriendo path mtu discovery?
si esto fuera un paquete tcp.
ip tcp adjust mss: normalmente los host envian un max segment size del tamaño del default mtu - 20 bytes de los headers = 1460, el problema con esto es que el paquete llega de 1500 bytes y el router tiene que fragmentar al menos que pongas ip tcp adjust mss. que lo que hace es que el router chequea el 3-way handshake session de el host 1 y el host 2 y verifica el max segment size, si ve que es mas de que el tiene configurado, el lo cambia al valor que tenga configurado el mismo. Normally el valor que le vas a poner es lo que tengas en tu IP MTU menos 40, porque tcp son 20 bytes y IP header son 20.
ipsec tunnels flavors?
ipsec with crypto map
ipsec over gre with crypto map (just need gre acl)
gre over ipsec with crypto ipsec profile (dont need acl)
gre over ipsec using Virtual tunnel interface (VTI) - lo mismo que crypto ipsec profile, a diferencia que no necesita IP mtu, este lo calcula automatico.
multicast - como resolver problema de RPF si recibes un multicast packet por interfaz diferente a como llegas al source?
Creando un mroute, un mroute tiene prioridad sobre cualquier IGP (menos directly connected). creas el mroute en direccion por donde te esta entrando el multicast.
pim sparse dense mode
Sparse-dense mode and autoRP
The ‘ip pim sparse-dense mode’ command enables PIM to operate in sparse or dense mode, depending on the multicast group. When you enable sparse-dense mode, the interface is treated as dense mode if the multicast group is in dense mode. If the group is in sparse mode, the interface is treated in sparse mode. You must have a rendezvous point (RP) if the interface is in sparse-dense mode and you want to treat the group as a sparse group.
sparse-dense-mode es obligatorio en autoRP, esto es porque los source de el grup 224.0.1.39 envian en dense mode y tambien para el mapping agent responder con 224.0.1.40 se necesita dense mode
PIM assert
si el host miembro de un multicast group esta en un multiaccess segment, este puede recibir trafico multicast de 2 routers y seria duplicado el trafico, waste of resources, por lo tanto, el router envia un assert para decidir que router va a hacer el forwarding de el source multicast packet. el que gana es el lowest igp to the source, if equal, the highest ip wins. Nota: un mroute tiene prioridad sobre igp.
PIM DR
en un Shared segment, en sparse mode, cuando los receivers quieren unirse a un multicast group, estos deben contactar al RP, para lograr esto, el DR se encarga de enviar un pim message para decire al RP cuales host de su segmento se quiere registrar, una vez el RP los registar, este envia un stop message al DR y les envia el SPT a los routers que se registraron para llegar al source.
este se escoje por el priority o por el highest IP en el LAN, es preemptive, osea no necesita reset.
Auto-RP
protocolo propietario de Cisco para anunciar RP.
Candidate RP: any router that wants to be RP.
multicast - 224.0.1.39 and 40
- 0.1.39: los candidates rp envian mensaje a este multicast address para ser candidatos a ser seleccionados.
- 0.1.40: despues que los mapping agents toman la decision de quien va a ser el RP para cada grupo, eso envian la info al IP 224.0.1.40, los routers se unen a este multicast group y aqui consiguen la info de quien es el RP por grupo. Si hay 2 RP para un mismo grupo, el mapping agent va a elegir el que tenga el ip mas alto del source interface.
autorp access-list facts for redundancy
si tienes 2 RP y configuras lo siguiente en cada uno:
access-list 1 permit host 224.10.10.10
access-list 1 permit 224.0.0.0 15.255.255.255
access-list 2 permit host 224.11.11.11
access-list 2 permit 224.0.0.0 15.255.255.255
ip pim send-rp-announce lo0 scope 10 group-list 1
ip pim send-rp-announce lo0 scope 10 group-list 2
el primer RP va a ser el primario para la red 224.10.10.10 y el segundo el redundante, ya que se escoge por longest-match.
multicast in dmvpn problem
si colocas tu RP mapping Agent/candidate en un spoke, los multicast packets no van a poder llegar a el spoke, solo al hub por multicast split-horizon rule.
BSR - stub multicast routing & IGMP helper
Esto se usa por si tienes remote sites usando multicast y tienes poco bandwidth, no quieres que tu router tenga mucho consumo de bandwidth por RP messages/flood and prune behavior.
La forma en que trabaja es que el router que esta “stub” es transparente, los igmp messages que vallan hacia el router stub, son manejados por el upstream neighbo por medio de igmp helper (como dhcp-helper).
Como configurarlo:
El hub router debe de estar configurado con un filtro para que no haga pim neighbor relationship (ip pim neighbor-filter)
El Stub router debe estar configurado en dense mode para poder enviar el trafico del source hacia los receivers
filtering in multicast:
multicast boundary
igmp access-group (standard acl)
bsr border router
ip pim rp-announce-filter
IGMP Report
IGMP report: el host le dice al router que se quiere unir al grupo
IGMP leave report
el host le dice al router que ya no quiere ser parte del mgroup, cuando el router recibe esto envia un “special igmp group-specific query” para ver si hay otros host que quieren ser parte del grupo. Este behavior se puede modificar para que el router que reciba un igmp leave report, no envie estos querys e inmediantamente deje de enviar multicast sobre este grupo con “ip igmp immediate-leave”
Bidirectional PIM
es una extencion de pim sparse mode que usa solo shared-tree, la ventaja de esto es por ejemplo en video-conference, que los host tienen que ser receivers y senders al mismo tiempo.. In this situation, in addition to joining the shared tree rooted at the RP, every receiver needs to join the shortest path multicast distribution tree rooted at every other participant. lo cual crearia demasiadas mroutes. EN Bidirectional PIM, nunca se usa nunca se usa el shortest path tree, se depende siempre del DR para hacer forward del trafico.
Este en lugar de usar un Dr, usa un Designated forwarder (DF), el cual es el router encargado de enviarle trafico al RP.
IP PIM source Specific Multicast (SDM).
Es un metodo que se configura con sparse-mode y IGMPv3 el cual le dices a los host quien es el source de cada grupo, lo cual quita la necesidad de usar un RP para la distribucion de multicast. Es el mas recomendado si tu aplicacion lo soporta.
Nota: cuando hagas un ping al multicast group, solo el receiver te va a responder si viene del source especificado, tienes que tener pim sparse-mode habilitado en el source interface que va a enviar trafico.
RIP,EIGRP and OSPF passive-interface
In RIP this command will disable sending multicast updates via a specific interface but will allow listening to incoming updates from other RIP speaking neighbors.
in OSPF/EIGRP: stops sending outgoing hello packets, hence the router can not form any neighbor relationship via the passive interface.
multicast BGP extension
sirve para enviar multicas traffic entre 2 autonomous system diferentes en BGP. esto lo configuras bajo el address-family de multicast.
Requisitos para configurarlo:
1-habilitar pim entre las 2 interfaces haciendo ebgp-peering. Cada AS tiene su propio RP, asi que hay que filtrarlos (BSR border, Static RP, etc).
2-para que tu RPF check sea valido cuando envies multicast, cada AS debe conocer tus “sources” de multicast traffic, ya sea por IGP o anunciandolas por BGP.
Multicast - MSDP
multicast source discovery protocol: se utiliza cuando usas bgp para hablar multicast entre diferentes AS, despues que tengas la seccion de bgp establecida anunciandote los source multicast de cada domain.
Este se encarga de que los RP que estan en los diferentes AS se hablen entre si para poder enviarse multicast packetes entre ellos. Este solo se usa en sparse-mode.
Como lo hace:
Los RP hablan entre ellos por TCP usando Source Active Messages. When a source in one PIM SM domain starts sending the multicast traffic, the respective DR will start the registration process with the local RP. When the local RP receives the PIM Register message, it replicates it to all of its MSDP neighbor as an SA message. The SA message contains the ip address of the multicast source, known as the MSDP ID. Si hay algun receiver, este hace forward del multicast y se hace el (S,G) entre ellos siempre y cuando halla ruta. Este usa RPF check para prevenir loops.
Anycast
anycast: one to the nearest routing, 2 host can have the same IP address. siempre se va a tomar el mas cercano en el IGP/BGP table, si tienen la misma distancia, puedes usar ECMP para load balance.
how anycast works?
digamos que tienes 4 dns, uno en USA, otro en China, Europa y el Caribe, puedes ponerlo a los 4 con la misma IP, replicar la data y asi tienes load-balance de tus 4 dns.
Tienes que configurar MSDP para que el shortest path tree se forme sin problemas.
como configurar anycast:
1-Use the same ip address on all routers as the candidate RP, propagate information using bsr or Auto-RP
2-using different ip add on every router, source msdp sessions and link all candidate RPs in mesh. Use msdp originator ID and match the unique ip you created for msdp.