CCIE Command Reference Flashcards
reduce the floods of LSA per link in directly connected neighbors.
ip ospf flood-reduction
message-digest?
MD5
enable ospf authentication in all interfaces?
area X authentication
como ver Type-4 LSA ?
sh ip ospf database asbr-summary
Si tienes un ABR, como puedes ver a los equipos que estan conectados un router en esa area en especifica?
show ip ospf data router adv-router x.x.x.x.
Este comando es conveniente ya que si lo haces en un ABR, te va a mostrar la conexion pero entre todas las areas.
how to filter lsa-type 3 between areas?
1-create a prefix list
2-area x filter list
how to configure a conditional default routing monitoring a link?
1-configure an ip sla
2-track a static route to an unknown ip to null 0
3- match that route with a route-map
4-redistribute a default route matching that route-map
decastar null 0 when you summarize?
no discard-route internal/external.
internal for ABR and external for ASBR
configurar filtro de un source en especifico usando route-map?
config t
access-list 3 permit 155.1.146.0 0.0.0.255
access-list 4 permit host 155.1.0.4
route-map vlan146 deny 10
match ip add 3
match ip next-hop 4
route-map vlan146 permit 20
router ospf 1
distribu route-map vlan146 in
aggregate address + summary-only?
por default, cuando haces un summary en bgp, el te sumariza la ruta pero tambien te envia los longest match prefix. Summary-only, es para evitarlol
Aggregate address + suppress map
es como un leak-map, puedes sumarizar y suppress more specific routes and leave others unsuppressed
Para dejar rutas Unsuppresed no lo puedes hacer negando access-list, tienes que configurar un route-map que haga match al access-list y que haga deny de ese acl.
access-list 1 permit host 3.2.1.1
route-map ale deny 10
match ip add 1
bgp maximum-path
te deja instalar en tu routing table otra ruta para llegar al destino, no solo “the best route”
filter database to a specific neighbor
neighbor 1.1.1.1 database-filter all out
OSPF ASBR - do a summarization without translating to type 5?
summary-address 160.1.10.10 255.255.255.255 not-advertise
max-metric router-lsa
Sirve para prevenir un black hole en la red, digamos que vallas a hacer una ventana de mantenimiento y quieres forzar todo el trafico a que tome otra ruta y no utilize el router afectado como transito. Lo que hace el comando es que configura la metrica al maximo (65535) para que nadie lo utilize como transito.
ip ospf dead-interval minimal
te deja poner el dead interval en 1 segundo y puedes poner el timer de los hellos en ospf en msec.
cada que tiempo acepto el mismo LSA en mi router.
LSA Arrival.
como configurar un link para que asuma que un transmision de lsa dura x segundos y que si no llega en 10 segundos lo envie otra vez
ip ospf transmit-delay x
ip ospf retransmit-interval 10
configurar ospf que no mas de 500 rutas de las que el tenga, sean rutas de redistribucion
redistribute maximum-prefix 500
ignore type-6 lsa log message (ospf multicast)
ignore lsa mospf
Difference between ebgp multihop and disable-connected-check?
por default, bgp verifica que cuando vallas a tener un ebgp neighbor, esten directamente conectados, este se da cuenta porque el TTL de un paquete para establecer neighbor relationship es de 1.
ebgp multihop: incrementa el ttl, por lo tanto aunque no estes directamente conectado, vas a poder tener peering con tu neighbor, no importa cuantos routers tengas que transitar.
disable-connected-check: no aumenta el ttl, pero hace disable a la verificacion de si tu neighbor esta directamente conectado si usas de source la loopback, es ideal para ahorrar recursos si estas directamente conectado a tu neighbor.
Configure confederation. Example with sub-AS 65146 and public AS 100 ?
router bgp 65146
bgp confederation identifier 100
ebgp confederation peer
bgp confederation peers x (autonomous system del neighbor)
how to influece a path using Origin?
route-map x
match as-path x
set origin bgp
1-bgp dmzlink-bw?
enable to neighbors?
enable load balance in bgp base on the bandwidth of the links connecting the peers
2-neighbor x.x.x.x dmzlink-bw
limita el maximo de as-path que puede tener un network para yo ponerlo en mi routing table
bgp maxas-limit - recuerda que las redes de tus ibgp peers van a tener un “i” .
BGP suppress map
te permite hacer leaking de las rutas sumarizadas, lo que este dentro de ese route-map es lo que se va a sumarizar.
ej: si quiero sumarizar la red 10.0.0.0/22 pero quiero dejar pasar la 10.0.2.0 =
ccess-list 1 permit 10.0.2.0 0.0.0.255
route-map NET10 deny 10
match ip add 1
route-map NET10 PERMIT 20
router bgp 200
aggregate-address 10.0.0.0 255.255.252.0 suppres-map NET10
si sumarizo en BGP, como hago para enviarle a un neighbor en especifico un leak de una ruta?
unsuppress-map, poniendo en el route-map la ruta que quiero que se filtre.
This feautre can only be configured on the router that performs prefix aggregation with summary-only. Cuando lo configures, solo crea un route-map permitiendo los leak routes, no crees un segundo route-map porque sino va a hacer match a todas las rutas y las va a permitir.
attribute-map
te deja ponerle atributos (weigh,local P, community, etc) a una ruta que estes sumarizando, lo haces con un route-map vacio + el atributo que quieras.
aggregate address + advertise map
decides cuales prefix quieres unir al summary para que se calculen el AS-Set.
como hacer match de communities en route-map
ip community-list standard/expanded permit/deny
Nota: si es para insertar un community = “set community x “
Cuando no vas a usar route-map vacio al final?
cuando estes redistribuyendo.
Best practice to name your communities?
tu AS number + el AS number de donde viene. Ej:
100:200 = ese community viene para mi AS 100 y el source es el AS 200.
use community new format
ip bgp-community new-format
añade al community que recibiste, otro community
set community “x” addictive
borra el community que allas configurado en el community-list ale
set community ale delete
como trabaja el exist map/non exist map en bgp?
estos buscan si la ruta existe o no en “tu bgp routing table” auque este en el RIB, si no esta aprendida por bgp el entiende que no existe.
ejemplo: si quieres que una red se anuncie siempre y cuando tu link directamente conectado este up, asegurate que ese link se este anunciando con el comando “neighbor”
BGP - como ver si tu conditional advertisement esta funcionando?
sh ip bgp nei x.x.x.x | in Condition
BGP conditional route-injection y como configurarlo?
te permite desumarizar un prefix haciendo leaks de ciertos networks.
Requisitos para configurarlo:
2 route-maps:
1ro: te dice cuales rutas vas a hacer leak del summary.
2do: the condition that must be met for the new prefixes to be injected. Este route-map va a tener 2 match, el primero es el que hace el match del aggregate y el segundo es el que dice cual neighbor te esta anunciando la ruta, (el cual es el IP con el que hiciste peering con el neighbor)
Cuando usas este comando, por default se lo anuncias a todos tus neighbors, lo cual puede causar un loop. Si quieres que ciertos neighbors no lo aprendan, crea un route-map negando el prefijo que estas insertando y aplicaselo a los neighbors.
Ej de configuracion:
ip prefix-list INJECT_PREFIX permit 10.0.1.0/24
ip prefix-list AGGREGATE permit 10.0.0.0/22
ip prefix-list ROUTE_SOURCE permit 155.1.37.3/32
route-map INJECT_MAP permit 10
match ip add prefix INJECT_PREFIX
set origin igp
route-map EXIST_MAP permit 10
match ip add prefix-list AGGREGATE
match ip route-source ROUTE_SOURCE
BGP-ver si un filtro que creaste para negar ruta esta funcionando
ej: debug ip bgp update 155.1.79.9 in
clear ip bgp 155.1.79.9 soft in
regular expression - prefix received from a directly connected neighbor.
^x_
regexp from your neighbor clients
^x_([0-9])+
regexp from as 254 when is just two hop away?
^([0-9])+254
regexp prefixes learned from a confederation peer
^(x)
filter-list
forma para aplicar as-path access-list sin route-map.
limitar cantidad de prefix que puedes aprender de un bgp neighbor?
neighbor x.x.x.x maximum-prefix
bgp default originate
no necesita que el default este en el RIB para anunciarlo. puedes ponerlo que solo anuncie la default si tienes cierta red en tu routing table usando route-map.
configuring local AS
tienes que borrar tu AS actual, crear el nuevo que quieres usar y luego poner el comando:
local-as X
no-prepend replace-as
Se usa en “hide as local feature” , tu neighbor deja de ver el new AS prepended (detras, es decir, si tu AS viejo es 100 y el nuevo el 50, el neighbor va a ver 100 50) y solo ve con el que el esta haciendo peering. this combination will replace the real AS number with the one specified in the local-as command, the local-as will appear in the open message.
dual-as: the external peer could be configured to peer using the real AS number,
neighbor x.x.x.x remove-private-as
cuando le anuncias rutas a ese neighbor, el va a verificar que en las rutas que le estas anunciando el AS-Set para asegurarse que no alla un private-as, de encontrar uno, lo remueve.
Este comando solo funciona si el private-as esta al principio del as-path.
neighbor x.x.x.x advertisement-interval
bgp tiene un timer para enviar updates a los neighbors, este los mantiene almacenados hasta que se cumpla ese timer y ahi comienza a anunciar.
1- bgp fast fallover
2-bgp fast peering session deactivation support (neigh x.x.x.x fall-over)
Es recomendado tener tu ebgp peer directamente conectado, asi si el link falla, no hay que esperar a que el hold-down timer expire para que los routers se den cuenta que estan down, lo que hace que esto sea posible es bgp fast fallover.
2-Nueva version de fallover, funciona tanto para ebgp/ibgp peers. La diferencia es que este no se fija en el interface state, sino se fija que el IGP llegue al neighbor, tan pronto este no llega, se considera down.
neighbor x.x.x.x capability orf prefix-list both
enable orf between you and your peerings. Luego de este comando, debes aplicarte el filter list hacia tu neighbor, in
how to check if it is working?
On the neighbor that is supposed to receive the prefix, use this commmand:
sh ip bgp nei x.x.x.x received prefix-filter
bgp next-hop trigger
can modify the time the nexthop change if igp prefix change.
neighbor x.x.x.x ttl-security x
aternativa a ebgp-multihop, decides de cuantos ttl vas a aceptar el neighor relationship, el default es 1.
difference between ttl-security and ebgp multihop.
By default, ebgp peers needs to be directly connected, when you send a packet for a ebgp peering, it has a ttl of 1.
Ebgp multihop = send the packet with the amount of TTL that you specify.
ttl-security = send the packets with ttl 255 but you are waiting for packets con un maximo 255 menos el valor configurado en ttl security. Ej: si configuras un ttl-security de 3, estas esperando un bgp packet de ttl-252 o mas, sino drop the packet.
bgp ttl-security da seguridad, ya que si viene alguien con el mismo ip de tu neighbor spoof, no va a poder hacer adjacencia contigo porque va a venir con un ttl menor al configurado.
cuando esta con ttl-security, los routers envian los bgp packets con un ttl de 255.
VRF common formats RD creation
ASN:NN (most popular): where asn is bgp AS and NN is the vrf number inside the router.
IP address:NN : where IP is the router’s IP and NN is the vrf name
LDP Ports
tcp and udp 646
MPLS- configuring sham-links
1-crear un loopback aparte solamente para esto y asignarlo al VRF que estas hablando con el otro PE
2-anunciar este loopback por bgp (nunca ospf, using network command, INSIDE VRF of the CPE, los CPE la pueden aprender, pero como externa, no porque su origen es OSPF.):
router bgp 100
add ipv4 vrf VPN_A
net x.x.x.x mask x.x.x.x
3-configurar sham-link en los PE
router ospf x vrf x
area x sham-link (source loopback) + (destination loopback)
eigrp site of origin
site of origin: previene que las rutas tuyas anunciadas vuelvan a enseñartelas y la aprendas otra vez por un backup-link.
use to prevent routing loops in mpls due to mutual redistribution.
reference:
http://brbccie.blogspot.com/2012/12/bgp-cost-community-eigrp-soo-and.html
mpls - l3vpn between CPE using the same AS solution?
1-as-override
2-allow as-in
si uso no bgp default ipv4 unicast, como habilito un neighbor que no este en ipv4?
add ipv4
neigh x.x.x.x activate
bgp default route note
En bgp, no puedes redistribuir un default route a tus neighbors haciendo redistribute static, tienes obligatoriamente que tener “default information originate”
configuring tunnel with ipsec crypto map
crypto map alex local-address lo0
crypto map alex 10 ipsec-isakmp
match address vpn
set peer 150.1.7.7
set transform-set ipsec
interface x
crypto map R7_TO_R8 (este comando solo se usa en interfaces fisicas, incluyendo gre over IPsec)
Nota: si el tunnel fuera gre over ipsec, no se iba a necesitar tantos acl, solo un extended acl permitiendo el trafico GRE entre ambos endpoints Ip con que se configuran los ACL.
configuring tunel with ipsec using VTI
Fase 1 se queda igual solo varia fase 2:
crypto ipsec profile alex
set transform-set ipsec
int tunn x
tunnel mode ipsec ipv4
tunnel protection ipsec profile alex
ip pim send-rp-announce
el router empieza a anunciar que quiere ser el RP. la interfaz en el syntax es, cual se va a usar como RP
ip pim rp-announce-filter
the mapping agent filter any attempts for a RP candidate trying to become a RP for a particular group.
auto-rp listener
sirve si quieres correr auto-rp sin sparse-dense-mode. Si lo usas es para evitar el dense-mode fallback. Lo que hace es que los multicast packets hacia los grupos 224.0.1.39/40 se envian en dense mode.
multicast BSR
boostrap router es el protocolo standard para anunciar el RP. si tienes varios de estos, el priority determina cual es el preffered, siendo el valor mas alto el preferido.
difference betwen BSR and autoRP
en autorp, los candidates rp envian mensaje a un mapping agent, este escoje el mejor RP y lo distribuye.
En BSR, todos los routers se anuncian como candidate RP entre ellos, luego cada vez que un router encuentra uno mejor que el (priority mas alto) deja de anunciarse.
En bsr, se puede elegir el priority de un rp para que sea mas bajo y sea elegido, en AutoRP obligatoriamente es el Highest IP va a ser seleccionado.
ip pim bsr-border
en la interfaz donde configuras esto, el neighbor no aprende nada sobre RP, como un filtro.
configure Source-specific-multicast
(global)#ip pim ssm default
(interface-x)# ip igmp ver 3
ssm no se usa para todos los grupos de multicast, este tiene su rango reservado 232-239
ip msdp peer
se configura entre los RP’s para el msdp peering. Puedes ver el trafico msdp con :
sh ip msdp sa-cache.
sh ip msdp sa-cache
te muestra cuando los RP se envian sus source-active message para alcanzar un receiver.
1-enable RIPgn
2-disable split-horizon in ripng
int x
ipv6 rip test (rip process) enable
2- You have to diasable it global:
ipv6 router rip alex
no split-horizon
summarize in RIPng
int x
ipv6 rip alex summary x.:x:x::x
filter routes in RIPng and EIGRPv6?
prefix-list + distribute list.
RIPng metric manipulation ?
only one way, off-set list on the interface.
how to enable EIGRPv6 ?
ipv6 router eigrp 100
no shut
int x
ipv6 router eigrp 100
EIGRPv6 default route redistribution?
summarization or redistribute static only.
advertise routes in ospfv3/eigrpv3/ripng
in interface configuration mode only.
interface x
ipv6 eigrp/ospf/rip
area x range
en el area (x) ,debe ser el area que te esa anunciando la ruta.
urpf configuration
ip verify unicast source reachable-via rx
username accesss-class
te permite ponerle un access-list a un user que dice para donde puedes conectarte remoto y hace override a lo que alla en el line vty.
limiting icmp message rate
no ip unreachables
ip icmp rate-limit
alias facts
puedes usar alias para configurar cualquier comando, lo importante es saber en que configuration mode debes de estar para aplicar el comando y asi haces el alias.
ej: quiero un alias para poner un threshold en sla.
alias ip-sla misla icmp-echo