CCIE Command Reference Flashcards
reduce the floods of LSA per link in directly connected neighbors.
ip ospf flood-reduction
message-digest?
MD5
enable ospf authentication in all interfaces?
area X authentication
como ver Type-4 LSA ?
sh ip ospf database asbr-summary
Si tienes un ABR, como puedes ver a los equipos que estan conectados un router en esa area en especifica?
show ip ospf data router adv-router x.x.x.x.
Este comando es conveniente ya que si lo haces en un ABR, te va a mostrar la conexion pero entre todas las areas.
how to filter lsa-type 3 between areas?
1-create a prefix list
2-area x filter list
how to configure a conditional default routing monitoring a link?
1-configure an ip sla
2-track a static route to an unknown ip to null 0
3- match that route with a route-map
4-redistribute a default route matching that route-map
decastar null 0 when you summarize?
no discard-route internal/external.
internal for ABR and external for ASBR
configurar filtro de un source en especifico usando route-map?
config t
access-list 3 permit 155.1.146.0 0.0.0.255
access-list 4 permit host 155.1.0.4
route-map vlan146 deny 10
match ip add 3
match ip next-hop 4
route-map vlan146 permit 20
router ospf 1
distribu route-map vlan146 in
aggregate address + summary-only?
por default, cuando haces un summary en bgp, el te sumariza la ruta pero tambien te envia los longest match prefix. Summary-only, es para evitarlol
Aggregate address + suppress map
es como un leak-map, puedes sumarizar y suppress more specific routes and leave others unsuppressed
Para dejar rutas Unsuppresed no lo puedes hacer negando access-list, tienes que configurar un route-map que haga match al access-list y que haga deny de ese acl.
access-list 1 permit host 3.2.1.1
route-map ale deny 10
match ip add 1
bgp maximum-path
te deja instalar en tu routing table otra ruta para llegar al destino, no solo “the best route”
filter database to a specific neighbor
neighbor 1.1.1.1 database-filter all out
OSPF ASBR - do a summarization without translating to type 5?
summary-address 160.1.10.10 255.255.255.255 not-advertise
max-metric router-lsa
Sirve para prevenir un black hole en la red, digamos que vallas a hacer una ventana de mantenimiento y quieres forzar todo el trafico a que tome otra ruta y no utilize el router afectado como transito. Lo que hace el comando es que configura la metrica al maximo (65535) para que nadie lo utilize como transito.
ip ospf dead-interval minimal
te deja poner el dead interval en 1 segundo y puedes poner el timer de los hellos en ospf en msec.
cada que tiempo acepto el mismo LSA en mi router.
LSA Arrival.
como configurar un link para que asuma que un transmision de lsa dura x segundos y que si no llega en 10 segundos lo envie otra vez
ip ospf transmit-delay x
ip ospf retransmit-interval 10
configurar ospf que no mas de 500 rutas de las que el tenga, sean rutas de redistribucion
redistribute maximum-prefix 500
ignore type-6 lsa log message (ospf multicast)
ignore lsa mospf
Difference between ebgp multihop and disable-connected-check?
por default, bgp verifica que cuando vallas a tener un ebgp neighbor, esten directamente conectados, este se da cuenta porque el TTL de un paquete para establecer neighbor relationship es de 1.
ebgp multihop: incrementa el ttl, por lo tanto aunque no estes directamente conectado, vas a poder tener peering con tu neighbor, no importa cuantos routers tengas que transitar.
disable-connected-check: no aumenta el ttl, pero hace disable a la verificacion de si tu neighbor esta directamente conectado si usas de source la loopback, es ideal para ahorrar recursos si estas directamente conectado a tu neighbor.
Configure confederation. Example with sub-AS 65146 and public AS 100 ?
router bgp 65146
bgp confederation identifier 100
ebgp confederation peer
bgp confederation peers x (autonomous system del neighbor)
how to influece a path using Origin?
route-map x
match as-path x
set origin bgp
1-bgp dmzlink-bw?
enable to neighbors?
enable load balance in bgp base on the bandwidth of the links connecting the peers
2-neighbor x.x.x.x dmzlink-bw
limita el maximo de as-path que puede tener un network para yo ponerlo en mi routing table
bgp maxas-limit - recuerda que las redes de tus ibgp peers van a tener un “i” .
BGP suppress map
te permite hacer leaking de las rutas sumarizadas, lo que este dentro de ese route-map es lo que se va a sumarizar.
ej: si quiero sumarizar la red 10.0.0.0/22 pero quiero dejar pasar la 10.0.2.0 =
ccess-list 1 permit 10.0.2.0 0.0.0.255
route-map NET10 deny 10
match ip add 1
route-map NET10 PERMIT 20
router bgp 200
aggregate-address 10.0.0.0 255.255.252.0 suppres-map NET10
si sumarizo en BGP, como hago para enviarle a un neighbor en especifico un leak de una ruta?
unsuppress-map, poniendo en el route-map la ruta que quiero que se filtre.
This feautre can only be configured on the router that performs prefix aggregation with summary-only. Cuando lo configures, solo crea un route-map permitiendo los leak routes, no crees un segundo route-map porque sino va a hacer match a todas las rutas y las va a permitir.
attribute-map
te deja ponerle atributos (weigh,local P, community, etc) a una ruta que estes sumarizando, lo haces con un route-map vacio + el atributo que quieras.
aggregate address + advertise map
decides cuales prefix quieres unir al summary para que se calculen el AS-Set.
como hacer match de communities en route-map
ip community-list standard/expanded permit/deny
Nota: si es para insertar un community = “set community x “
Cuando no vas a usar route-map vacio al final?
cuando estes redistribuyendo.
Best practice to name your communities?
tu AS number + el AS number de donde viene. Ej:
100:200 = ese community viene para mi AS 100 y el source es el AS 200.
use community new format
ip bgp-community new-format
añade al community que recibiste, otro community
set community “x” addictive
borra el community que allas configurado en el community-list ale
set community ale delete
como trabaja el exist map/non exist map en bgp?
estos buscan si la ruta existe o no en “tu bgp routing table” auque este en el RIB, si no esta aprendida por bgp el entiende que no existe.
ejemplo: si quieres que una red se anuncie siempre y cuando tu link directamente conectado este up, asegurate que ese link se este anunciando con el comando “neighbor”
BGP - como ver si tu conditional advertisement esta funcionando?
sh ip bgp nei x.x.x.x | in Condition
BGP conditional route-injection y como configurarlo?
te permite desumarizar un prefix haciendo leaks de ciertos networks.
Requisitos para configurarlo:
2 route-maps:
1ro: te dice cuales rutas vas a hacer leak del summary.
2do: the condition that must be met for the new prefixes to be injected. Este route-map va a tener 2 match, el primero es el que hace el match del aggregate y el segundo es el que dice cual neighbor te esta anunciando la ruta, (el cual es el IP con el que hiciste peering con el neighbor)
Cuando usas este comando, por default se lo anuncias a todos tus neighbors, lo cual puede causar un loop. Si quieres que ciertos neighbors no lo aprendan, crea un route-map negando el prefijo que estas insertando y aplicaselo a los neighbors.
Ej de configuracion:
ip prefix-list INJECT_PREFIX permit 10.0.1.0/24
ip prefix-list AGGREGATE permit 10.0.0.0/22
ip prefix-list ROUTE_SOURCE permit 155.1.37.3/32
route-map INJECT_MAP permit 10
match ip add prefix INJECT_PREFIX
set origin igp
route-map EXIST_MAP permit 10
match ip add prefix-list AGGREGATE
match ip route-source ROUTE_SOURCE
BGP-ver si un filtro que creaste para negar ruta esta funcionando
ej: debug ip bgp update 155.1.79.9 in
clear ip bgp 155.1.79.9 soft in
regular expression - prefix received from a directly connected neighbor.
^x_
regexp from your neighbor clients
^x_([0-9])+
regexp from as 254 when is just two hop away?
^([0-9])+254
regexp prefixes learned from a confederation peer
^(x)
filter-list
forma para aplicar as-path access-list sin route-map.
limitar cantidad de prefix que puedes aprender de un bgp neighbor?
neighbor x.x.x.x maximum-prefix
bgp default originate
no necesita que el default este en el RIB para anunciarlo. puedes ponerlo que solo anuncie la default si tienes cierta red en tu routing table usando route-map.
configuring local AS
tienes que borrar tu AS actual, crear el nuevo que quieres usar y luego poner el comando:
local-as X
no-prepend replace-as
Se usa en “hide as local feature” , tu neighbor deja de ver el new AS prepended (detras, es decir, si tu AS viejo es 100 y el nuevo el 50, el neighbor va a ver 100 50) y solo ve con el que el esta haciendo peering. this combination will replace the real AS number with the one specified in the local-as command, the local-as will appear in the open message.
dual-as: the external peer could be configured to peer using the real AS number,
neighbor x.x.x.x remove-private-as
cuando le anuncias rutas a ese neighbor, el va a verificar que en las rutas que le estas anunciando el AS-Set para asegurarse que no alla un private-as, de encontrar uno, lo remueve.
Este comando solo funciona si el private-as esta al principio del as-path.
neighbor x.x.x.x advertisement-interval
bgp tiene un timer para enviar updates a los neighbors, este los mantiene almacenados hasta que se cumpla ese timer y ahi comienza a anunciar.
1- bgp fast fallover
2-bgp fast peering session deactivation support (neigh x.x.x.x fall-over)
Es recomendado tener tu ebgp peer directamente conectado, asi si el link falla, no hay que esperar a que el hold-down timer expire para que los routers se den cuenta que estan down, lo que hace que esto sea posible es bgp fast fallover.
2-Nueva version de fallover, funciona tanto para ebgp/ibgp peers. La diferencia es que este no se fija en el interface state, sino se fija que el IGP llegue al neighbor, tan pronto este no llega, se considera down.
neighbor x.x.x.x capability orf prefix-list both
enable orf between you and your peerings. Luego de este comando, debes aplicarte el filter list hacia tu neighbor, in
how to check if it is working?
On the neighbor that is supposed to receive the prefix, use this commmand:
sh ip bgp nei x.x.x.x received prefix-filter
bgp next-hop trigger
can modify the time the nexthop change if igp prefix change.
neighbor x.x.x.x ttl-security x
aternativa a ebgp-multihop, decides de cuantos ttl vas a aceptar el neighor relationship, el default es 1.
difference between ttl-security and ebgp multihop.
By default, ebgp peers needs to be directly connected, when you send a packet for a ebgp peering, it has a ttl of 1.
Ebgp multihop = send the packet with the amount of TTL that you specify.
ttl-security = send the packets with ttl 255 but you are waiting for packets con un maximo 255 menos el valor configurado en ttl security. Ej: si configuras un ttl-security de 3, estas esperando un bgp packet de ttl-252 o mas, sino drop the packet.
bgp ttl-security da seguridad, ya que si viene alguien con el mismo ip de tu neighbor spoof, no va a poder hacer adjacencia contigo porque va a venir con un ttl menor al configurado.
cuando esta con ttl-security, los routers envian los bgp packets con un ttl de 255.
VRF common formats RD creation
ASN:NN (most popular): where asn is bgp AS and NN is the vrf number inside the router.
IP address:NN : where IP is the router’s IP and NN is the vrf name
LDP Ports
tcp and udp 646
MPLS- configuring sham-links
1-crear un loopback aparte solamente para esto y asignarlo al VRF que estas hablando con el otro PE
2-anunciar este loopback por bgp (nunca ospf, using network command, INSIDE VRF of the CPE, los CPE la pueden aprender, pero como externa, no porque su origen es OSPF.):
router bgp 100
add ipv4 vrf VPN_A
net x.x.x.x mask x.x.x.x
3-configurar sham-link en los PE
router ospf x vrf x
area x sham-link (source loopback) + (destination loopback)
eigrp site of origin
site of origin: previene que las rutas tuyas anunciadas vuelvan a enseñartelas y la aprendas otra vez por un backup-link.
use to prevent routing loops in mpls due to mutual redistribution.
reference:
http://brbccie.blogspot.com/2012/12/bgp-cost-community-eigrp-soo-and.html
mpls - l3vpn between CPE using the same AS solution?
1-as-override
2-allow as-in
si uso no bgp default ipv4 unicast, como habilito un neighbor que no este en ipv4?
add ipv4
neigh x.x.x.x activate
bgp default route note
En bgp, no puedes redistribuir un default route a tus neighbors haciendo redistribute static, tienes obligatoriamente que tener “default information originate”
configuring tunnel with ipsec crypto map
crypto map alex local-address lo0
crypto map alex 10 ipsec-isakmp
match address vpn
set peer 150.1.7.7
set transform-set ipsec
interface x
crypto map R7_TO_R8 (este comando solo se usa en interfaces fisicas, incluyendo gre over IPsec)
Nota: si el tunnel fuera gre over ipsec, no se iba a necesitar tantos acl, solo un extended acl permitiendo el trafico GRE entre ambos endpoints Ip con que se configuran los ACL.
configuring tunel with ipsec using VTI
Fase 1 se queda igual solo varia fase 2:
crypto ipsec profile alex
set transform-set ipsec
int tunn x
tunnel mode ipsec ipv4
tunnel protection ipsec profile alex
ip pim send-rp-announce
el router empieza a anunciar que quiere ser el RP. la interfaz en el syntax es, cual se va a usar como RP
ip pim rp-announce-filter
the mapping agent filter any attempts for a RP candidate trying to become a RP for a particular group.
auto-rp listener
sirve si quieres correr auto-rp sin sparse-dense-mode. Si lo usas es para evitar el dense-mode fallback. Lo que hace es que los multicast packets hacia los grupos 224.0.1.39/40 se envian en dense mode.
multicast BSR
boostrap router es el protocolo standard para anunciar el RP. si tienes varios de estos, el priority determina cual es el preffered, siendo el valor mas alto el preferido.
difference betwen BSR and autoRP
en autorp, los candidates rp envian mensaje a un mapping agent, este escoje el mejor RP y lo distribuye.
En BSR, todos los routers se anuncian como candidate RP entre ellos, luego cada vez que un router encuentra uno mejor que el (priority mas alto) deja de anunciarse.
En bsr, se puede elegir el priority de un rp para que sea mas bajo y sea elegido, en AutoRP obligatoriamente es el Highest IP va a ser seleccionado.
ip pim bsr-border
en la interfaz donde configuras esto, el neighbor no aprende nada sobre RP, como un filtro.
configure Source-specific-multicast
(global)#ip pim ssm default
(interface-x)# ip igmp ver 3
ssm no se usa para todos los grupos de multicast, este tiene su rango reservado 232-239
ip msdp peer
se configura entre los RP’s para el msdp peering. Puedes ver el trafico msdp con :
sh ip msdp sa-cache.
sh ip msdp sa-cache
te muestra cuando los RP se envian sus source-active message para alcanzar un receiver.
1-enable RIPgn
2-disable split-horizon in ripng
int x
ipv6 rip test (rip process) enable
2- You have to diasable it global:
ipv6 router rip alex
no split-horizon
summarize in RIPng
int x
ipv6 rip alex summary x.:x:x::x
filter routes in RIPng and EIGRPv6?
prefix-list + distribute list.
RIPng metric manipulation ?
only one way, off-set list on the interface.
how to enable EIGRPv6 ?
ipv6 router eigrp 100
no shut
int x
ipv6 router eigrp 100
EIGRPv6 default route redistribution?
summarization or redistribute static only.
advertise routes in ospfv3/eigrpv3/ripng
in interface configuration mode only.
interface x
ipv6 eigrp/ospf/rip
area x range
en el area (x) ,debe ser el area que te esa anunciando la ruta.
urpf configuration
ip verify unicast source reachable-via rx
username accesss-class
te permite ponerle un access-list a un user que dice para donde puedes conectarte remoto y hace override a lo que alla en el line vty.
limiting icmp message rate
no ip unreachables
ip icmp rate-limit
alias facts
puedes usar alias para configurar cualquier comando, lo importante es saber en que configuration mode debes de estar para aplicar el comando y asi haces el alias.
ej: quiero un alias para poner un threshold en sla.
alias ip-sla misla icmp-echo
logging monitor
se refiere a line vty.
service timestamps
te permite ponerle a los logs fecha en que se creo o los logs que se han creado desde que el router se prendio.
puedes configurar service sequence numbers para ver los logs que se han creado en sequencia y poner logging count para que se cuenten los logs.
logging with access-list
puedes crear access-list para hacer logging de diferentes
servicios:
ip access-list extended logging
permit eigrp any any log
permit ip any any
inter eth0/1.146
ip access-group logging in
ip access-list logging interval 100
ip accss-list log-update threshold 2
how to detect tcp keepalives and closing them?
service tcp-keepalives-out
service tcp-keepalives-in
apply a local route-map
ip local polily route-map (x)
make your router the authoritative ntp server with stratum 5?
ntp master 5
ntp authentication, how it works
1-tienes que habilitar authentication en todos los equipos (ntp authenticate)
2-crear key de autenticacion que vas a usar (ntp authentication-key)
3-si para aceptar un ntp packet, lo tienes que recibir con ese key, usas el comando ntp trusted-key
filter a pim neighbor?
1-create an access-list denying the neighbor you want to filter and permiting everything else
2-apply ip pim neighbor-filter on the interface
access-list 1 deny host 145.1.1.5
access-list 1 permit any
ip pim neighbor-filter
Nota: solo lo puedes hacer si tu puerto esta directamente conectado a los receivers
how to filter RP using multicast boundary?
multicast boundary is use in auto-rp to filter a neighbor to not get rp announcement, you have to filter the address 224.0.1.40 (ip to send discover-messages).
access-list 1 deny host 224.0.1.40
access-l 1 permit any
int eth0/0
ip multicast boundary 1
how to filter RP using multicast boundary?
multicast boundary is use in auto-rp to filter a neighbor to not get rp announcement, you have to filter the address 224.0.1.40 (ip to send discover-messages).
access-list 1 deny host 224.0.1.40
access-l 1 permit any
int eth0/0
ip multicast boundary 1
si estas en “sparse-dense-mode” como haces para si un multicast-group no tiene RP, tampoco use dense mode
no ip pim dm-fallback
NTP Filtering?
ntp access-group
1-banner motd
2-banner login
3-banner exec
1-tan pronto te conectas en el router te aparece.
2-aparece despues de banner motd y antes de el user autenticar, si el user no tiene que autenticar para entrar. no aparece el mensaje.
3-aparece despues de autenticar y antes del “>”
how to prevent banner messages for not showing on vty/console
line vty/consolle
no exec-banner/motd banner
configuring msdp?
ip msdp (neighbor RP interface ip address) connect-source (your RP interface ip address)
glbp 1 load-balancing
puedes escojer el tipo de load balance (weighted,host-dependent or round-robin)
icmp useful commands
interface mode:
ip redirect
ip mask reply: si alguien te pide network mask porque no la tiene, se la das, lo recomendable es tenerlo off.
ip unreachable
global:
ip icmp rate-limit unreachable 500 ( este valor es cada cuandos msec puedo enviar un unreachable, como es 500 son 2 mensajes por segundo).
ip accounting
lleva la contabilidad de los paquetes que pasan por el router, te muestra el source y el destination.
useful commands:
ip accounting-transits 1 :
ip accounting-list: solo cuenta la cantidad de paquetes que va a el address que tengas en la lista.
int x
ip accounting output-packets: cuenta inputs y outputs de esos paquetes
enable dns on a router
ip dns server
ip broadcast address
cambias la direccion que el router reconoce como broadcast, ej. si el default broadcast address es:
10.1.1.1.255, si uso el comando ip broadcast-address 10.1.1.10, este va a ser el nuevo broadcast y el router lo va a enviar a todos los host, estos no te van a responder porque no van reconocer el address como broadcast.
ip directed broadcast with access-list
cuando el router reciba un broadcast y este comando este habilitado, solo si el source del paquete viene con el IP especificado en el access-list va a funcionar.
ip dns server
enable dns in the device
netflow userful commands:
netflow components:
netflow cache: es donde el router guarda la data de netflow
netflow export: es al collector que el router le envia la data.
netflow useful commands:
ip flow-export destination
ip flow-export version
ip flow ingress
ip flow egress
show ip cache flow:
IP mtu
tamaño maximo de mtu que tenga los paquetes que se van a enviar en esa intefaz. Los host se dan cuenta de el tamaño maximo de este mtu por path mtu discovery.
ip tcp path mtu discovery
the router tell the host the size of mtu they can send
vrf aware preshare key?
crypto keyring vrf_aware_psk vrf UNDERLAY_TRANSPORT
pre-shared-key address 0.0.0.0 0.0.0.0 key 6 DMVPN_PSK
vrf aware tunnel?
tunnel vrf UNDERLAY_TRANSPORT
how to redistribute ibgp routes ?
bgp redistribute internal.
summarization methods in bgp ?
1-create a static route of the summary pointing to null 0 and them advertise the route using the “network” command. Nota: solo se usa con rutas que te pertenecen, locally originated o sino vas a causar un black hole.
2-using “aggregate-address” , for this method, the route needs to be in the bgp routing table.
mpls - cambia que 2 ospf neighbors las rutas no se vean como “external” sin cambiar el process-id ?
router ospf x
domain-id x.x.x.x (deben ser iguales en ambos neighbors)
Multicast - know what is the RP for a multicast group in BSR?
show ip pim rp-hash 234.1.1.1 (example)
RP 150.1.10.10 (?), v2
Info source: 150.1.5.5 (?), via bootstrap, priority 0, holdtime 202
Uptime: 00:05:03, expires: 00:02:51
PIMv2 Hash Value (mask 255.255.255.254)
RP 150.1.10.10, via bootstrap, priority 0, hash value 989207280
RP 150.1.8.8, via bootstrap, priority 0, hash value 718054422
bgp- default route redistribution requisites?
*no hay que tener default route en tu routing table.
*si vas a hacer conditional default route, solo verifica que la ruta este en tu RIB, haces un match con tu access-list.
y lo pones en tu default:
access-list 1 permit 192.168.1.0 0.0.0.255
route-map default permit 10
match ip add 1
route-map default permit 20
router bgp 100
neigh 3.3.3.3 default-information originate route-map default.
BGP. show the routes that your neighbor has send you and have been accepted
show ip bgp nei 1.2.3.4 routes
bgp timers commands:
1-cambiar cada que tiempo bgp anuncia una ruta?
2-bgp por default antes de anunciar una ruta, el las guarda todas hasta que pase el tiempo de anunciarlas y despues las anuncia, como bajo este tiempo por neighbor?
1-bgp scan-time
2-neighbor 1.2.3.4 advertisement-interval
no bgp default ipv4-unicast
por default bgp le anuncia a cualquier neighbor con que este haciendo peering las rutas, si quitas este comando, el no las va anunciar hasta que no uses “activate”.
neighbor 192.168.3.2 description finance
util para descripciones
comando para crear port-channels
channel-group
spanning-tree portfast default
si el puerto esta “access” lo pasa a a portfast por default. si se cambia a trunk o si recibe BPDUs, el puerto deja de ser portfast.
difference between bpduguard and bpdufilter?
bpdu guard pone el puerto en error-disable, el filter lo apaga.
bgp unequal cost load-balancing with a single router —> 2 remote peers?
router bgp 200 bgp maximum-path 4 bgp dmzlink-bw neigh 155.1.0.1 dmzlink-bw neigh 155.1.45.1 dmzlink-bw
poner pbr a que verifique con CDP el nexthop?
en el route-map:
1-pongo el next-hop
2-uso verify-availability solo
route-map ale
set ip next-hop 150.1.1.1
set ip next-hop verify availability
GRE - backup tunnel to activate when the principal is down
1-configuras el segundo tunnel normal como cualquier otro.
2- usas el comando “backup interface x” donde X es el tunnel interface el primario.
opcional: backup delay. en que tiempo debe de activarse el otro tunnel.
int tunn 10
backup inteface tunnel 45
backup delay 3 60 : activate 3 segundos despues que el tunnel principal se caiga, desactivate 1 minuto despues que el principal suba.
useful debug in eigrp?
debug eigrp packet.
EIGRP - eliminate null/0 summary route ?
1-static route with AD 1 to 4
2-summary metric - specify the route, and add 255 to AD
1-The route must be loop- free. This condition is satisfied when the reported distance is less than the total distance or when the route is a feasible successor.
2-The metric of the route must be lower than the metric of the best route (the successor) multiplied by the variance configured on the router.
OSPF - ver costos que tiene un equipo hacia los ABR’s
show ip ospf border-routers
ospf authentication per interface?
int eth0/0
ip ospf authenticatoin
ip ospf authentication-key
configuring sha in ospf?
key chain ale
key 1
cryptographic-algorithm (selectiono el sha deseado)
int x
ip ospf 1 key-chain
OSPF - ways to change the type 7 to type 5 lsa translator (2) ?
1-aumentando el router-id del que quieras que haga el translation.
2-area x nssa translate type7 always.
OSPF - ways to change the type 7 to type 5 lsa translator (2) ?
1-aumentando el router-id del que quieras que haga el translation.
2-area x nssa translate type7 always.
ip pim accept-register?
to prevent unauthorized sources from registering with the RP. If an unauthorized source sends a register message to the RP, the RP will immediately send back a register-stop message.
Nota: solo extended-acl allowed.
ip pim accept-rp ?
when you wish to dynamically learn the RP address when using Auto-RP but wish to restrict which RP’s are accepted for which groups.
Auto-RP - Filtering RP discoverys (2) ?
1- ttl
2-multicast boundary
Multicast - como hago un trace completo para ver el rpf de todo el path que se supone que tome un source para llegar a mi y dejarlo pasar a mi multicast group?
mtrace 150.1.6.6 239.1.1.1
NAT - como puedes hacer que el trafico que venga de afuera, pueda entrar a tu red con un nat translation que no sea static?
usando reversible al final del statement.
NAT- como puedes hacer static map de un mismo IP privado a 2 IP publico?
usando extendable.
NAT - ip nat outside
hace translation de una red que no es tuya.
PPPOE configuration?
host ISP
bba-group pppoe MyGroup
virtual-template 1
interface virtual-template 1 ip add 10.0.0.1 255.255.255.0 peer default ip addrees pool Mypool ppp authentication chap callin mtu 1492
ip local pool Mypool 10.0.0.2 10.0.0.254
int f0/1
no ip add
pppoe enable group MyGroup
username CPE password MyPassword
interface dialer 1 dialer pool 1 encapsulation ppp ip address negotiated ppp authentication chap (or pap) calling ppp pap sent-username cisco password cisco (si quieres usr pap) ppp chap hostname cisco ppp chap password cisco mtu 1492
int f0/1
pppoe enable
pppoe-client dial-pool-number 1
no shut
tunnel vrf?
le dice a la interfaz del tunnel, que el source/destination ip address para formar el tunnel esta en el vrf routing table, que no vas a poner la intefaz del tunnel en el vrf, pero que si busque en el vrf para encontrarla.
Nota: si tu source/destination estan en el global vrf, no necesitas usar este comando, incluso si pones el tunnel interface en una vrf.
using an ipsec profile in 2 different tunnels?
int tunn 0
tunn protection ipsec profile dmvpn_profile shared
password in ldp neighbor?
mpls ldp password required
mpls ldp neigh 3.3.3.3 password ale.
MPLS- how to filter vrf routes modifying route-targets?
export-map
mpls vpn performance tunning?
add vpnv4 unicast
neigh x.x.x.x advertisement-interval 0
add ipv4 unicast vrf x
import path selection all.
DMVPN- como sustituir estos comandos por 1 solo:
ip nhrp map 128.10.254.3 128.10.100.3
ip nhrp map multicast 128.10.100.3
ip nhrp nhs 128.10.254.3
ip nhrp nhs (overlay address) nbma (underlay address) multicast
OSPFv3- Advertise ipv4 routes?
ospfv3 1 ipv4 area x
DMVPN - enable ipv6 tunnel
2- IPsec in dmvpn with ipv6 difference ?
tunnel mode gre multipoint ipv6
2-crypto isakmp key v6lke address ipv6 ::/0
DMVPN - 2 cosas que te pueden dejar sin ver nada en “show dmvpn”
1) tunnel mode
2) network-id
OSPFV3 - redistribution ?
router ospfv3 10
address-family ipv4/v6 unicast
redistribute x
ospf - verify area authentication?
2- verify ospf neighbor adjacency and if they have authentication?
1- show ip ospf | in Area
2- show ip ospf int x
Multicast - ip igmp querier timeout?
se configura en el router que NO es el querier.
routing Bridge?
te permite hacer un bonding de la interfaz de un router, ideal si quieres usar un mismo ip que se vean en ambas interfaz. comandos:
bridge irb bridge 1 protocol ieee bridge 1 route ip interface Ethernet0/1 no ip address ! interface Ethernet0/1.10 encapsulation dot1Q 10 bridge-group 1 ! interface Ethernet0/1.20 encapsulation dot1Q 20 bridge-group 1 ! ! interface BVI1 ip address 172.16.1.1 255.255.255.0
DHCP - getting client-id
in dhcp client or server, put the host to get an address and the use “ Debug dhcp detail “
de el resultados que tengas, le añades 2 ceros a la izquierda, se supone que queden cuatro dijitos siempre, menos al final que van a quedar 2 solamente.
636973636F2D616162622E636330302E
303930302D4574302F30 =
luego que lo modificas:
0063.6973.636F.2D61.6162.622E.6363.3030.2E3.0393.0302.D457.4302.F30
Services - disable bootp
2- disable dhcp
ip dhcp bootp ignore
2- no service dhcp
services - monitorea las secciones de tcp para ver si por error estan abiertas
service tcp-keepalives-in
service tcp-keepalives-out
negar routing basado en source
no ip source-route
EIGRP - only receive updates, not send
eigrp stub receive-only
ospf - advertise your adjacency link as host-route?
ip ospf network point-to-multipoint.
port security - packets are drop, and notification is sent d.
switchport port-security violation restrict.
port security - packets are drop, and no notification is sent d.
switchport port-security violation protect.
port-security - recover an error-disabled port
errdisable recovery cause psecure-violation
telnet rotary ?
To get started, let’s talk about a few basics of the “rotary” command. This command is entered in line configuration mode and has a parameter. The parameter is simply a number. Once the command is entered, the router listens for telnet connections on an additional TCP port. The router determines which port to open by adding 3000 to the number entered after the “rotary” command.
memory monitoring - low memory notification
memory free low-watermark x
memory monitoring - reserve memory for critical operations?
memory reserve critical x.
route-map - source protocol ?
puedes permitir/negar rutas en base a esto, incluyendo “connected”
configuring threshold for cpu
snmp-server enable traps cpu threshold
snmp-server host 150.1.1.1 public
process cpu process cpu threshold type total rising 50 interval 5 falling 10
reference: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/bsm/configuration/15-mt/bsm-15-mt-book/bsm-cpu-thresh-notif.html
ssh - changing to version 2
ip ssh version 2
Switching - load balance in etherchannel ?
port-channel load-balance x)
BGP - advertise a classfull route without using summarization/static route?
router bgp 10
auto-summary
ip directed broadcast
deshabilitado by default, te permite enviar un broadcast a un segmento de red fuera del tuyo. viene deshabilitado por seguridad (smurf attack)
route-map - set ip precedence
te deja asignar un ToS field de los que tienen nombre (network,critical, etc)
how to match a packet size ?
route-map size match length (min bytes ) (maximum bytes)
URPF - Configuring strict mode ?
ip cef
int se1/0
ip verify unicast reverse-path ( or verify-source any)
nota: si al final pones un access-list con “permit statement” los source address que te lleguen con ese IP van a ser permitidos.
URPF - Configuring loose mode ?
ip cef
int se1/0
ip verify unicast source reachable-via any
ACL - how to control number of hits needed for an access-list to activate?
2-access-list logs are generate after every hit, how you control after how much time a hit is generated?
1-ip access-l log-update threshold
2-ip access-list logging interval (estos paquetes son process-switches, por lo tanto, cargan el router, por eso es importante este comando).
syslog - set syslog logging level
logging trap
ios services - en que parte de doc-cd encontrarlo ?
en system management–>configuration fundamentals.
ntp -en que parte de doc-cd encontrarlo ?
network management –>Basic System Management Configuration Guide
banners -en que parte de doc-cd encontrarlo ?
system management –> Cisco IOS configuration fundamental.
difference between motd and Exec banner?
Message of the day: tan pronto entras al router, el hace display del mensaje.
Exec-banner: aparece despues que te logeas en el equipo.
SNMP - trap community note
Los snmp traps tienen la opcion para usar su propio community.
snmp- difference between snmp trap and inform?
inform: is reliable because use acknowledgment, but less preferred because consume more resources.
traps: no acknowledgment but preferred.
cpu threshold -en que parte de doc-cd encontrarlo ?
network management–>basic system management configuration guide.
Remote shell Protocol.
Rsh and rcp give users the ability to execute commands remotely and copy files to and from a file system residing on a remote host or server on the network.
ntp access control
1) Peer – permits router to respond to NTP requests and accept NTP updates. NTP control queries are also accepted. This is the only class which allows a router to be synchronized by other devices.
2) Serve – permits router to reply to NTP requests, but rejects NTP updates (e.g. replies from a server or update packets from a peer). Control queries are also permitted.
3) Serve-only – permits router to respond to NTP requests only. Rejects attempt to synchronize local system time, and does not access control queries.
4) Query-only – only accepts NTP control queries. No response to NTP requests are sent, and no local system time synchronization with remote system is permitted.
reference: http://blog.ine.com/2008/07/28/ntp-access-control/
ntp messages ?
NTP access-control divides NTP messages into two categories, control messages and update/request messages. Control messages are those needed to extract
specific management information, such as the peer status or set a management parameter.
NTP control messages are not needed for proper time synchronization. NTP update/request messages are those messages needed for time synchronization.
dhcp client ID ?
Es lo que usan los dhcp servers para identificar los host a los que le dan las mac address. por default en los host son los mac, pero en el router cisco no. si quieres que en el router cisco lo sea, tienes que usar el comando “ ip address dhcp client-id + la interfaz.
http://blog.ipspace.net/2007/08/default-dhcp-client-id.html
IPCP?
protocol that ppp use to assing an ip address automatically (like DHCP)
IRDP ?
protocolo para reduncancia que se basa usando ICMP, ell host que va a usar un equipo con IRDP para redundancia no necesita IP routing.
en doccd, se encuentra en “first hop redundancy protocol:
nat with ip alias?
when we enable nat with aliasing and the global address is an unused ip from attached subnet then the ip appears in the alias table which is used for replying arp requests.
if Alias is not used, NAT will still work but no ping will be replied.
logging -en que parte de doc-cd encontrarlo ?
Embedded Management
IP protocol numbers -en que parte de doc-cd encontrarlo ?
security–>firewall–>adaptive security appliance–>config guides–> ctrl+f ports
Bridging -en que parte de doc-cd encontrarlo ?
en la parte donde selecionas “configuration guide o command reference” selecciona bridging command reference
netflow aggregation
The Netflow aggregation cache is an additional flow cache used to store aggregated prefix information. A special Netflow packet format that was first supported in version 8, and more recently in version 9, is used to export the aggregated information to a collector.
The aggregation cache is based on the main (normal) flow cache, and flow aggregation is based on the routing table contents. For example, when a flow is
exported from the main cache to the aggregation cache, the flow’s source and/or destination IP addresses (based on the configured scheme) are logically ANDed bitwise with the network masks of its corresponding route in the routing table.
The resulting “masked” (less-specific) flow entry is merged with the aggregation cache. This will result in multiple flow entries with source or destination IP addresses belonging to the same prefix in the IP routing table looking the same in aggregation cache, with the bytes and/or packet count being the sum of all specific flows. Additionally, the number of merged flows for each aggregated entry is stored in aggregation cache.
An additional feature, called the minimum aggregation mask, allows preserving a specified level of granularity even when widely scoped summary routes are installed in the routing table. For example, if the router has the prefix 10.0.0.0/8 in its routing table, you may still want to know detailed flow information about the subnets 10.X.X.0. By setting the minimum aggregation mask to /24, the aggregation cache will choose the longer of the two masks when creating an entry. If a flow source with the IP address 10.1.2.3 is about to be aggregated, the routing table mask of /8 is compared against the minimum aggregation mask of /24, and the result is that the router installs the aggregate entry as 10.1.2.0.
Troubleshooting DMVPN ?
show ip nhrp nhs detail: te muestra si tu spoke se esta registrando en el hub:
si te sale, “ req-failed x “ hay problemas en el spoke, normalmente con el comando “ip nhrp nhs”
si vez que puedes llegar al underlay IP del hub pero no al de los spokes:
verifica que puedas llegar al overlay IP de los spokes.
Filtering using extended access list - BGP vs IGP ?
en IGP, cuando usas extended access-list, esto:
access-list 110 permit host 1.1.1.1 155.1.0.0 0.0.255.255
significa. permite la red 155 si viene del host 1.1.1.1
En BGP significa, permite la red 1.1.1.1 valla a la red 155.
EIGRP - Filtering Null0 routes using distance
summary-metric + network + AD
eigrp authentication notes?
the lowest key in the key chain is preferred.
debug eigrp packets can you show you problems.
interface authentication got priority over af-interface default authentication
MPLS troubleshooting?
debug mpls ldp transport events: puedes ver los hellos in/out, si no recibes nada, puedes ser que hay trafico bloqueando LDP.
am I sending the hellos? am I receiving the hellos? is ldp session authenticated (mpls ldp neighbor x.x.x.x password x?)
2-has un traceroute y ve si teienes un end to end lsp del loopback. Cuando hagas un “show mpls ldp neighbors”, asegurate que donde dice “tcp connection” tengas la ip del neighbor.
3-verificar que este comando no este: no mpls ldp advertise-label
4-hay que verificar si el problema esta en el sending site o receiving site?
show bgp vpnv4 unicast all neighbors 150.1.7.7 advertised-routes : verifica si estas anunciando las rutas
EIGRP - Filtering Null0 routes using distance
summary-metric + network + AD
EIGRP - calcular metrica de delay para unequal cost load balance ?
suma de delays hacia el destino, /10 * 256
MPLS - ldp transport address
ldp transport address: cuando vallamos a iniciar la seccion de LDP, esta es la direccion que tienes que usar para pasarme los labels. (update-source)
Nota: si el ldp transport address no es alcansable por el neighbor, no van a poder hacer adjacencia. 99% no te tienes que preocupar por esto, ya que el lo hace automatico. el ospf id loopback, se vuelve el loopback de LDP automatico si no lo cambio.
MPLS troubleshooting?
debug mpls ldp transport events: puedes ver los hellos in/out, si no recibes nada, puedes ser que hay trafico bloqueando LDP.
am I sending the hellos? am I receiving the hellos? is ldp session authenticated (mpls ldp neighbor x.x.x.x password x?)
2-has un traceroute y ve si teienes un end to end lsp del loopback.
show mpls ldp neighbor: verifica que el tcp connection sea la loopbacks
3-verificar que este comando no este: “no mpls ldp advertise-label”
4-hay que verificar si el problema esta en el sending site o receiving site?
show bgp vpnv4 unicast all neighbors 150.1.7.7 advertised-routes : verifica si estas anunciando las rutas
si no sabemos donde esta el error?
debug bgp vpnv4 unicast updates
clear bgp vpnv4 unicast * in
verificamos a ver si vemos un DENIED en los route-targes
OSPF - capability transit
OSPF area capability transit is enabled by default, allowing the OSPF Area Border Router to install better-cost routes to the backbone area through the transit area instead of the virtual links. If you want to retain a traffic pattern through the virtual-link path, you can disable capability transit by entering the no capability transit command. If paths through the transit area are discovered, they are most likely to be more optimal paths, or at least equal to, the virtual-link path.
BGP - default information originate (2 types)
BGP - default information originate:
a redistribution statement of the route 0.0.0.0 must be configure to complete or the default route will not be advertise.
Neighbor default information originate: always advertise a default route.
snmp- link up /down traps?
snmp-server enable traps snmp link
MPLS - BGP site of origin
funciona de la misma forma, a diferencia que en lugar de crear route-maps y ponerlos en las interfaces, se hace con el comando neighbor x.x.x.x soo x.
ip multicast-boundary filter-autorp
filter autorp message on a interface comming in/out for the group specified in the access-l. only works with standard acl.
control plane policy configuration?
1-class-map
2-policy map
3-control-plane
service policy input/output x
bgp, installing multiple routes in rip if the as-path are different?
bgp bestpath as-path multipath-relax
IPv6 - Stateless autoconfiguration?
client:
ipv6 address autoconfiguration
Server:
ipv6 nd prefix x
backup interface?
tracks the local line protocol of the primary interface. If the line is up, the backup interface is in standby mode.
configuration:
interface {primary interface}
backup {backup interface}
bgp - match regular expression for confederation?
^(65001)$
