就是eigrp的几条命令的解释.智能非等价负载均衡,路由单播更新,eigrp带宽的问题,nssa区域问题.

 

(1)traffic-share balanced命令是什么意思？
举个例子

E-B-A 之间的 metric:30

E-C-A 之间的 metric:20

E-D-A 之间的 metric:45

基本的eigrp选路是E-C-A具有最小metric值的路由,使用variance 2命令后,这时候,低于metric40=20*2的路由都将被选择,E-B-A(metric30)这条路由也被选择,这时候如何平衡到目标网络具有不同metric值的两条path之间的负载均衡呢?使用traffic-share balanced的结果就是让流量和metric值的大小成反比,较低metric值的path将承担较多的
traffic

path E-C-A: 30/20 = 3/2

path E-B-A: 30/30 = 1

 

(2)还有在配EIGRP 的时候（frame-relay的NBMA）命令router(config-router)#neighbor 192.168.1.129是什么意思呢？（192.168.1.129是对方router串口IP）

因为在NBMA网络中不支持路由信息的广播,所以要手动指定邻居的ip地址,来实现路由信息的单播更新.
还有一种情况,就是在做路由优化的时候,EIGRP的passive命令的作用是既不接受路由,也不主动发送路由信息的更新,
所以,这时候,可以直接用neighbor命令来指定邻居地址,也是一种单播路由信息的更新.
(3)ip bandwidth-percent eigrp 200 20是什么意思?还有eigrp的邻居需要配吗?不是自动建立的吗？

eigrp的邻居建立:只要EIGRP的路由器收到对方路由器发送来的Hello包,这时候,邻居关系就建立起来了
igp是自动建立邻居的机制不要像BGP那样要手动配置

ip bandwidth-percent eigrp 200 20的意思是:200是as号码.20是EIGRP这个路由协议所占用的带宽的百分比,就是百分之20,默认是50,这个是接口配置模式的命令.

(4)在OSPF网络中建立nssa区域的area 1 nssa default-information-originate中参数default-information-originate是什么意思呢？

这个参数是在基本nssa区域配置时候的参数用来在nssa区域生成一个type 7 的默认路由,(要注意的就是Type7 (该类型的LSA除了类型标识与Type 5不相同之外，其它内容完全一样。在abr上sh ip ospf data可以看到)在穿过nssa 后进入backbone 被转成Type 5[E1,E2]后再发布出去，并同时更改LSA的发布者为ABR自己。这样NSSA区域外的路由器就可以完全不用支持该属性。)只是在nssa的abr上有效.如果和no-summary(阻止type 3.4.5 的lsa进入nssa区域,并生成一个type3的默认路由)一起用,路由表里面有两条默认路由,但是只是出现type 3的默认路由.

 

#p##实施没有CA的ipsec
没有ca，如果你想开启ipsec服务(如加密encryption)在两个cisco路由器之间，你必须首先确保每个路由器有另一个路由器的key，(比如,rsa的public key或shared key)。这需要你必须手动地进行一种以下操作：
·在每个路由器，键入另一个路由器的rsa public key
·在每个路由器，指定一个用在所有路由器上的shared key
图1，没有ca：路由器之间的钥匙通过手动配置。

 

每个路由器使用使用另一个路由器的key来验证另一个路由器的标识；这个验证往往发生在ipsec流量在两个路由器交换了的时候。
图2，没有ca：四个ipsec路由器需要配置6个两方向key。

 

每次一个新的路由器添加在ipsec网路的时候，你必须在新路由器和每个已存在的路由器之间配置key。
因此，已存在在ipsec服务网络中的设备越多，这个管理问题就越麻烦。扩展性不好。

#实施有ca的ipsec。
有了ca，你不必再去在所有加密路由器上配置key。你可以把管理key的事务交给ca。当这些完成，每个参与的路由器可以动态地认证所有其他参与的路由器。这个过程如图所示。

 

添加一个新的ipsec路由器到网络中，你仅仅需要在ca上配置新路由器的相关必须认证信息，而不是在已存在的ipsec路由器上配置多个key。

#p#

#实施带有多个根ca的ipsec。
带有多个根ca，你不必登记新的带有ca处理认证对等体的路由器，而是配置一个带有多个信任的ca的路由器。这样，一个路由器可以使用配置好了的ca来辨认由不涉及相同ca设定的对等体提供的验证。
配置多个ca允许两个或者更多路由器登记在不同的域(不同的ca)在使用ike建立ipsec隧道的时候辨认彼此之间的标识。
通过简单认证登记协议(simple certifacate enrollmentprotocol,scep),每个路由器都配了ca(登记ca)。ca处理到路由器用ca的私钥标识的认证。要辨别相同域中的认证对等体，路由器也和登记ca配置认证。
要认证不同域的对等体，登记ca的根验证在对等体中必须配置安全性在路由器上。
在ike阶段1标识辨认过程中，初始者将发送给回应者一个它的ca认证列表。回应者应该由一个列表中的ca发送认证处理。如果认证被识别(成功)，路由器保存包含在公钥令牌的认证。
有多个根ca，vpn用户可以在一个域和容易地安全地在分布到其他域中建立信任。这样，它所需的私有通讯通道及在不同域发生认证的资格就产生了。

#ipsec设备如何使用ca认证。
当两个ipsec路由器想要交换ipsec保护的流量穿过自身的时候，他们必须首先认证彼此，否则ipsec保护是不会发生的。认证是通过ike完成的。没有ca，一个路由器认证他自己到远端路由器，使用rsa加密的或者preshare的key。两种方式都需要key必须已经在两个路由器上都配了。
有了ca，路由器认证他自己到远端路由器，是发送一个认证到远端路由器，然后进行一些公钥密码学运算。每个路由器必须发送自己私有的唯一的认证，这个认证是由ca产生并确认的。这个处理工作因为是每个路由器封装公钥之间的认证，每个人正由ca认证，且所有参与的路由器识别ca作为认证者。这个设计叫做带有rsa签名的ike。
你的路由器可以继续发送它自己的认证给多个ipsec会话，且给多个ipsec对等体直到认证过期。当他的认证过期，路由器管理员必须从ca获得一个新的。
ca也能从不再参与ipsec的设备中撤销认证。撤销认证是不再被其他的ipsec设备所识别。撤销认证是一个列在crl(certificate revocation list)的列表,每个对等体可以在从其他对等体检查之后再允许。

#关于ra(registration authorities)
一些ca也有ra作为他们实施的一部分。一个ra的本质上就是一个ca的代理，实现ca功能可以在下线后延续。