无色无味(杨波) 的Web Log(博客)

今天看到J-web这一章，看到可以通过J-web中的Diagnose—>Packet Capture来decode包到Web上输出！  所以想在CLI上试试实现此功能的命令为什么！

我试过了decode,debug等一些命令都不行。

突然我想到Junos中有对命令功能分类的习惯。decode数据包应该是属于监控类命令中的，所以试试在Monitor 后打？号，发现有个traffic  哈哈。正是此命令。

root@Junos> monitor traffic count 5
verbose output suppressed, use <detail> or <extensive> for full protocol decode
Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay.
Address resolution timeout is 4s.
Listening on em0, capture size 96 bytes

Reverse lookup for 1.1.1.2 failed (check DNS reachability).
Other reverse lookup failures will not be reported.
Use <no-resolve> to avoid reverse lookups on IP addresses.

22:37:36.476065  In IP 1.1.1.1.1927 > 1.1.1.2.http: S 3115715898:3115715898(0) win 8192 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,[|tcp]>
22:37:36.477092 Out IP 1.1.1.2.http > 1.1.1.1.1927: S 4292642396:4292642396(0) ack 3115715899 win 65535 <mss 1460,nop,wscale 1,nop,nop,timestamp 880588 0,[|tcp]>
22:37:36.477391  In IP 1.1.1.1.1927 > 1.1.1.2.http: . ack 1 win 8192 <nop,nop,timestamp 126625 880588>
22:37:36.478045  In IP 1.1.1.1.1927 > 1.1.1.2.http: P 1:1084(1083) ack 1 win 8192 <nop,nop,timestamp 126625 880588>
22:37:36.577526 Out IP 1.1.1.2.http > 1.1.1.1.1927: . ack 1084 win 33304 <nop,nop,timestamp 880689 126625>

如果不加count 5，它会一直traffic下去！    真够郁闷的

monitor traffic print-hex count 1 (还可以指定monitor traffic到的数据包以何种格式显示)
22:42:47.264304  In IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 1024, seq 512, length 40
                         000c 29ab 3359 0200 4c4f 4f50 0800 4500
                         003c 34b0 0000 4001 420d 0101 0101 0101
                         0102 0800 475c 0400 0200 6162 6364 6566
                         6768 696a 6b6c 6d6e 6f70 7172 7374 7576
                         7761 6263 6465 6667 6869

    现一台HuaweiS8505交换机。原有一块主控板+一块24口LC的光纤板卡。现需升级一块48口全千兆电口交换板！

原有主控软件版本为：S8500-VRP310-R1631-EI

新插上Lsb1gt48ldb0的交换机后。端口状态为Fail。且无识别交换机型号和类型！

后升级S85交换机而解决此问题！

并不是所有的Huawei交换机都可以用此法的

user  –>  class –Permissions –>  deny-command(deny-configuration)  –> allow-command (allow-configuration )   –>authorized or denied

Permlssions

access:Allows viewing of network access configuration;
……

等等

Authorization Example

[edit system login]
root@Junos# show     
class read {
    permissions view;
}

}
user user {
    uid 2002;
    class read;
    authentication {
        encrypted-password "$1$qWjRAxao$jD/0DVK4dqevvAz4ZNlwt1"; ## SECRET-DATA
    }
}

当user为Read的class时。通过该 用户登录的终端为以下：

user@Junos> ?
Possible completions:
  file                 Perform file operations
  help                 Provide help information
  op                   Invoke an operation script
  quit                 Exit the management session
  request              Make system-level requests
  set                  Set CLI properties, date/time, craft
  show                 Show system information
  start                Start shell
  test                 Perform diagnostic debugging
user@Junos>

这儿有show 是因为有一个Permissions view;

当在Class read中使用set class read allow-command configure //允许执行configure后的命令结构如下 ：

user@Junos> ?
Possible completions:
  configure            Manipulate software configuration inf
  file                 Perform file operations
  help                 Provide help information
  op                   Invoke an operation script
  quit                 Exit the management session
  request              Make system-level requests
  set                  Set CLI properties, date/time, craft
  show                 Show system information
  start                Start shell
  test                 Perform diagnostic debugging
user@Junos>

一男赶集卖猪，天黑遇雨，二十头猪未卖成，到一农家借宿。
少妇说：家里只一人不便。
男：求你了大妹子，给猪一头。
女：好吧，但家只有一床。
男：我也到床上睡，再给猪一头。
女：同意。
半夜男与女商量，我到你上面睡，女不肯。
男：给猪两头。
女允，要求上去不能动。
少顷，男忍不住，央求动一下，女不肯。
男：动一下给猪两头。女同意。
男动了八次停下，女问为何不动？
男说猪没了。
女小声说：要不我给你猪……
天亮后，男吹着口哨赶30头（含少妇家的10头）猪赶集去了……
哈佛导师评论：要发现用户潜在需求，前期必须引导，培养用户需求，因此产生的投入是符合发展规律的。
（加强篇）
另一男得知此事，决意如法炮制，遂赶集卖猪，天黑遇雨，二十头猪未卖成，到一农家借宿
少妇说：家里只一人不便。
男：求你了大妹子，给猪一头
女：好吧，但家只有一床。
男：我也到床上睡，再给猪一头。
女：同意。
半夜男商女，我到你上面睡，女不肯。
男：给猪两头。
女允，要求上去不能动。
少顷，男忍不住，央求动一下，女不肯。
男：动一下给猪两头。女同意。
男动了七次停下，女问为何不动？
男说：完事了～～～女：……
天亮后，男低著头赶2头猪赶集去了……
哈佛导师评论：要结合企业自身规模进行谨慎投资，谨防资金链断裂问题
又一男得知此事，决意如法炮制兼吸取教训，遂先用一头猪去换一粒伟哥，事必，天亮后，男吹着口哨赶38头（含少妇家的18头）猪赶集去了……
哈佛导师评论：企业如果获得金融资本的帮助，自身经营能力将得到倍增。
知道此法男多，伟哥供不应求，逐渐要2头，3头猪换一粒伟哥。
哈佛导师评论：这就是通货膨胀。
当猪价格涨到16粒一棵的时候，哈佛导师评论：该男已经进入边际成本，除了拥有对自身能力的自信和未来良好愿望以外，实际现猪流已经为零。
但换猪男越来越多，卖伟哥的决定，扩展生产能力，推出一种次级伟哥，如果你缺一头猪，只要你承诺可以到该女房中一夜，就可以先借，事成后补交猪款，这个方法大大促进了伟哥销售。
哈佛导师评论：这就是贷款，让企业可以根据未来的收益选择借支流动资金
伟哥专卖店后来在即使你一头猪都没有，只要你承诺可以到该女房中一夜，就可以先借，事成后补交猪款。
哈佛导师评论：这就是金融创新，让现在的人花未来的钱，反正等你老了未来的钱你也花不动。
消息一出，换猪男越来越多，有人找伟哥专卖店，这个项目太好了，我们把它变成优质基金，对外销售债卷，你们也就可以分享我的收益，如何？
结果伟哥专卖店觉得甚好，于是该公司把换猪男分三类，一类是拿现猪换的，一类是一部分现猪贷的，一类是完全没有现猪借的，发行三种债卷。大家踊跃而上。纷纷购买伟哥专卖店的债卷，伟哥专卖店生意太好，就把债卷销售外包给另外一家公司运作，该公司也一并大发其财，公司越做越大，甚至可以脱离实际伟哥销售情况来发行，给自己和伟哥专卖店带来巨大的现金收益。
哈佛导师评论：这就是专业的人做专业的事，从实体经营到资本运作，经济进入了更高的层次。
为了防止自己债卷未来有损失，该公司决定给它买上保险，这样债卷销售就更容易，因为一旦债卷出现问题，还可以获得保险公司的赔付，哇，债券公司销售这下子太好了，保险公司也获得巨大平白无故的保险收入。
哈佛导师评论：这就是风险对冲，策略联盟，提高了企业的抗风险能力，也保护了消费者利益。
换猪男太多，排长队等待，该女无法承受，说老娘不干了，我搬家，一时间有无数拥有伟哥的欠猪男。
哈佛导师评论：这是个别现象，属于市场的正常波动，不会影响整个经济。
结果该女迟迟不肯搬回。一部分欠猪男没有收入，只好赖帐，结果大量债卷到期无法换现猪吃，债卷公司一看，一粒伟哥16头猪，这哪里还得起，宣布倒闭
哈佛导师评论：这是次贷危机，不会影响整个金融行业。
哪里晓得债卷公司还把债卷上了保险，保险公司一看，这哪里赔得起，于是也宣布要倒闭。
哈佛导师评论：这是金融危机，还不会影响整个实体经济。

网易广东深圳宝安网友 [ljf888.cool] 的原贴：1

事情是这样的：
小李：局长，奖池的奖金太多了，该清理清理了。这次怎么清理才好啊？

网易火星网友(unknown) 的原贴：2

局长:小李,安排一个大奖,上次有个地方造出了一个1.13亿的,我们超过他,搞个2.6亿吧

网易海南海口网友(59.50.*.*) 的原贴：3

小李：2.6亿太少了，怎么也得3亿以上吧，上上下下都得打点。局长你说呢！

网易火星网友(unknown) 的原贴：4

局长:小李,那就再加1亿吧,反正要把那奖池搞完搞尽.具体怎么操作你想好后来汇报一下.

网易江苏无锡网友(222.191.*.*) 的原贴：5

小李：我找个安钢的普通职工，作为渠道，用用，然后再把钱转过来。这个职工是你的远方亲戚，不会出问题的。放心吧，局长。

网易重庆网友(119.85.*.*) 的原贴：6

小李：局长，这个安钢的职工打电话来说他要2亿（税后），不然他就自己去领了，还是就是告反贪局或纪委了。
局长：不是说好事成之后给他一千万的吗？怎么反悔了？
小李：他看见中了3亿多也起了贪念，现在奖号已经开出，也更改不了，你看怎么办？
局长：你再跟他打个电话，最多给5千万，我这边还这么多人分呢！

网易重庆网友(119.85.*.*) 的原贴：7

小李：局长，那个安钢职工打了电话来了，说5千万也可以，不可要打入他的帐号
局长：我在哪里去搞那5千万啊
小李：不是还有公款吗？先挪一下了，应下急，到时再补上就行了。

网易广东广州网友(211.147.*.*) 的原贴：8

局长：那小子不知道我们会跨省吗？真是的，还给我玩消失，我真的要让他消失了。

网易天津网友(60.24.*.*) 的原贴：9

小李：局长，真的联系不上，这小子铁了心要2亿。
局长：小李，咱奖池里说是有3亿，你不知道那是虚的吗？上哪2亿，那些坏帐还等着呢。

网易北京海淀网友(221.219.*.*) 的原贴：10

小李：局长 坏账咱不用怕呀 到时如真有人查 就说是上届遗留的呀 。反正现在大家都按这路子处理的。
局长：也只能这样了 实在不行 先从我的小金库提点 等风头过了 加上利息再还给我也行 反正我自己那几个亿闲钱现在也没啥大用

网易重庆网友(119.85.*.*) 的原贴：11

小李：局长，那小子说要一手交钱，一手交彩票，还说要保证他的安全！

网易广东深圳网友(116.25.*.*) 的原贴：12

局长：那小子再啰唆，就让他“失足坠楼”。

网易重庆网友(119.85.*.*) 的原贴：13

小李：这招别人都用过了，不新鲜！

网易中国网友(115.170.*.*) 的原贴：14

局长：先别管那么多了，时间要紧，快开奖了！
… …
小李：网易那些人发帖闹开了…

网易火星网友(unknown) 的原贴：15

局长：我马上打电话给财务，你立马过去那边拿出来1000万现金去打点网易那边的网管，适当的删除一些回帖。我现在担心的是这事情最终会毁在网络里啊。一包烟就11年了，我们这一次可要几年啊？如果这次出事了。快去….

网易江苏苏州网友(122.88.*.*) 的原贴：16

小李：局长呀！账面奖池是3亿多，可我们账上也就1800万呀！上次您夫人出国就带了一个亿，您儿子娶老婆就花了一亿五，您父亲过大寿也花了五千万，现在只好找个人中个三亿把资金全中完，不就补了这个洞了吗？到时候局长给他一千万打发了事。

网易江苏南通网友(58.221.*.*) 的原贴：17

安钢职工：我现在有家不能回，工作也丢了，老婆要跟我离婚，你给我一千万，我他妈还要倒贴一亿多给我老婆啊，我以写了材料了，灭了我大家都等死吧，2亿，一个也不能少，金融危机给我整这出！当我是一般彩民啊

网易北京网友 [尖椒土豆丝] 的原贴：18

局长：你还回个毛的家啊，我给你安排好房子女人了，闭上你的臭嘴就听我们安排才是正道，床头柜子上，伟哥放在左边，安眠药放在右边，自己选

网易重庆网友 [踩票] 的原贴：19

局长；至于钱的事好商量，反正都是我们的。近来手头有点紧，现在兑奖有效期不是有两个月，还可以卖20几期，2、3亿毛毛雨了，要沉住气。

网易辽宁大连网友 [黄金の太阳] 的原贴：20

局长:小李,此事不宜声张！事情办的 干净、利索点…..，不行的话，就把他一家全解决的，以绝后患！记住，斩草要除根，连同那个 彩票站 的也并处理了….
小李：放心吧！局长，我早就布置好了。绝不留活口，片儿警 和其他相关部门那边 早就打好招呼了…..
局长：恩…！不错，事后提拔你为 副局长，加1%的提成。以后有你赚的…..

网易重庆网友 [踩踩票] 的原贴：21

小李：局长，这次我们是不是有点过了，象以前那样小搞还不怎么明显，这次，网易那帮小子闹得厉害啊。

网易广西网友 [小李0683] 的原贴：22

局长：没事。再花一千万跟网警疏通疏通，把那些网易屁网民办了。

网易广东网友(113.83.*.*) 的原贴：23

网民中各行各业的人都有，恐怕不好对付。

网易江苏苏州网友(117.80.*.*) 的原贴：24

局长;有什么不好对付的,反正他们都是屁民一个,他们还敢拿我们怎么样?

网易宁夏中卫网友(124.224.*.*) 的原贴：25

小李：好了，已经给网易疏通好了。。。大概已经不能回帖了。。局长，你这远房亲戚可不好办啊。。您还是打点下上面派下来调查的人吧。。。把你亲戚上告的渠道给他封死了，看它怎么告~

网易重庆网友 [踩踩票] 的原贴：26

局长：小李，你装着跟我那亲戚谈兑奖和分配的事，了解到他住在哪里，把他监控起来，不准他与外界联系，更不准他上告，钱才是大爷，实在不行那是那句话……

网易欧洲网友(110.230.*.*) 的原贴：27

小李：万一安钢那小子狗急跳墙，把那彩票给毁了怎么办？咱们那几亿奖金不就泡汤了吗？干脆一不做二不休，你下下狠心，反正你那亲戚也是远房的，解决了算了。现在关注的人这么多，我怕….

网易重庆网友 [踩踩票] 的原贴：28

局长：那是最后的一招，现在是拖一天是一天，拖两天就又开奖了，知道不？

网易江苏南通网友(117.86.*.*) 的原贴：29

小李：开奖是开了，奖池上没钱了，弄不出名堂啊

网易广东东莞网友 [※※※※※※※] 的原贴：30

局長兒子：老爸真笨，真人不牢靠，咱們就搞一個虚拟的人來中獎，再找可靠的人給一點錢，做擋箭牌。憑你的權力還有辦不成的事？

网易重庆网友 [踩踩票] 的原贴：31

局长：现在说这些有什么用，早点干什么去了，一天就知道泡妞！

网易重庆网友 [chinazhangqu] 的原贴：32

局长儿子：还说我？你还不是一样，你那大年纪一天还掉那多小妹妹，哼！

网易河北网友(123.180.*.*) 的原贴：33

小BI崽子,说什么呢!再说一句我这局长的位子以后就给你8弟!

网易浙江温州网友(218.73.*.*) 的原贴：34

局长老婆：我就说你怎么老喊肾亏，原来有这么一手？
局长：哎呀，我现在为钱的事情烦着呢，再吵把你送陕西拍成华南虎。
局长开始拿出一包南京95至尊烟有抽起来，陷入沉思之中…

网易山东临沂网友(122.6.*.*) 的原贴：35

此时，局长老婆道：我说老头子，骂了隔壁的，你那个滚孙远房亲戚真是的，实在不行老娘牺牲下色相……

网易重庆网友 [*****] 的原贴：36

局长：就你样儿那牺牲色相，别把那远房亲戚吓得更远了。他有了3亿还要你这样的货色。

网易山东临沂网友(122.6.*.*) 的原贴：37

局长老婆：马了戈壁的，老娘夹死那个畜生

网易山东临沂网友(122.6.*.*) 的原贴：38

别得瑟了，你那逼样，B都能开进航空母舰了，你去夹死谁啊

网易重庆网友 [*****] 的原贴：39

局长老婆：要真能开进来艘航母就好了，不止3个亿吧，还是美元的。

网易重庆网友 [%%%] 的原贴：40

局长：那样的话你那B就值钱了，至少可以补这个洞了。

网易河南三门峡网友(222.89.*.*) 的原贴：41

局长：小李，这一段网易屁民一闹风声有点紧，你尽快给我和儿子、二奶、三奶、四奶、五、六、七奶办理移民美国的手续，不要声张，不要告诉大老婆。

网易辽宁沈阳网友(123.191.*.*) 的原贴：42

小李：嗯，是！

网易吉林吉林网友 [小A挺紧] 的原贴：43

局长老婆：小李呀，先别急着走，多长时间没看着你了？

网易广东深圳南山网友(121.34.*.*) 的原贴：44

小李：怎么想我啦，哎呀，局长太多了妞了，忙不过来，我也就帮他老人家个忙，以免后院起火啊

转自网易评论：

http://comment.news.163.com/news_shehui2_bbs/5LAIS19S00011229.html

企业级路由器：J-series、M-series

ISP级路由器：M-series、MX-series、T-series，E-series

Juniper认证分类：

JNCIA  JNCIS
     |
     |
  JNCIP
     |
  JNCIE

Junpier   Operating Juniper Networks Routers In the Enterprlse
Chapter 2: Juniper Networks Enterprlse Routers

Juniper企业级路由器特点：

J-series：
    1.运行统一的并经过工业级验证的JUNOS Software
    2.基本软件的转发(Software-based control and forwarding)<M和T系列不是基于软件转发的>
    3.简单的终端用户界面(web/GUI/可恢复配置/自动安装)

JUNOS Software
    1.健壮、模块化的系统、可升级性（Robust,Modular,and Scalable）
    2.分离的控制和转发平台。最大限度的保证了可靠性和稳定性(Separates forwarding and control P;anes for maximum stability and reliability)
    3.单一的软件系统应用于J、M和T系列平台。

M系列：
    1.M系列平台的路由引擎是基本IA32的微处理系统
    2.可使用闪存系统和硬件存储系统。
    3.支持多样转发平台 （PICs、FPCs、FEBs）。都同样是基于ASICs平台的。
    4.物理接口以PICs为基础。

J系列：
    1.同样路由引擎是基于IA32的微处理器。
    2.PIMs include individual network processors to provide PCI-based WAN/LAN interfaces
    3.每个接口有单独的处理器支持。
    4.标准的Flash闪存系统。

Architecture and Packet flow

  独立的控制和转发系统
 

PFE  == Packer Forwarding Engine

RE   == Route Engine

Routing Table and Forwarding Table Interaction(路由表和转发表相互配合工作)

网络拓扑图：

Learning Objective
In this lab, you will use BGP commands to prevent private AS numbers from
being advertised to the outside world. You will also use the AS_PATH attribute to
filter BGP routes based on their source AS numbers.
Scenario
The International Travel Agency’s ISPhas been assigned an AS number of 300.
This provider uses BGP to exchange routing information with several customer
networks. Each customer network is assigned an AS number from the private
range, such as AS 65000. Configure ISP to remove the private AS numbers
within the AS_Path information from CustRtr. In addition, the ISP would like to
prevent its customer networks from receiving route information from International
Travel Agency’s AS 100. Use the AS_PATHattribute to implement this policy.

Step 1: IP Addressing
Build and configure the network according to the diagram, but do not configure a
routing protocol.
Use ping to test the connectivity between the directly connected routers. Note
that SanJose cannot reach the customer network for CustRtr. It cannot reach it
by the IP address in the link leading to CustRtr nor the loopback interface
202.0.0.1/24.
Note: SanJose will not be able to reach the customer network for ISP,
CustRtr. It will not be able to reach it by the IP address in the link leading
to the CustRtr, nor the loopback interface, 202.0.0.1/24.

Step 2: Configure BGP 
Configure BGP for normal operation. Enter the appropriate BGP commands on
each router so that they identify their BGP neighbors and advertise their
loopback networks:
SanJose(config)#router bgp 100
SanJose(config-router)#neighbor 192.168.1.6 remote-as 300
SanJose(config-router)#network 201.0.0.0
ISP(config)#router bgp 300
ISP(config-router)#neighbor 192.168.1.5 remote-as 100
ISP(config-router)#neighbor 172.24.1.18 remote-as 65000
ISP(config-router)#network 202.0.0.0
CustRtr(config)#router bgp 65000
CustRtr(config-router)#neighbor 172.24.1.17 remote-as 300
CustRtr(config-router)#network 203.0.0.0
Verify that these routers have established the appropriate neighbor relationships
by issuing the show ip bgp neighbors command on each router.

Step 3: Remove the Private AS
Check SanJose’s routing table by using theshow ip route command. SanJose
should have a route to both 202.0.0.0 and 203.0.0.0. Troubleshoot, if necessary.
Ping the 203.0.0.1 address from SanJose. Why does this fail?
Ping again, this time as an extended ping, sourcing from the Loopback 0
interface as follows:
SanJose#ping
Protocol [ip]:
Target IP address: 203.0.0.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y

Source address or interface: 201.0.0.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 203.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 64/64/68 ms
Check the BGP table from SanJose by using the show ip bgp command. Note
the AS path for the 203.0.0.0 network. The AS 65000 should be listed in the path
to 203.0.0.0. Why is this a problem?
BGP table version is 4, local router ID is 201.0.0.1
Status codes: s suppressed, d damped, h history, * valid, > best, i –
internal   Origin codes: i – IGP, e – EGP, ? – incomplete
   Network          Next Hop            Metric LocPrf Weight Path
*> 201.0.0.0        0.0.0.0                  0         32768 i
*> 202.0.0.0        192.168.1.6              0             0 300 i
*> 203.0.0.0        192.168.1.6                            0 300 65000 i
Configure ISP to strip the private AS numbers from BGP routes exchanged with
SanJose. Use the following commands:

ISP(config)#router bgp 300
ISP(config-router)#neighbor 192.168.1.5 remove-private-as
After issuing these commands, use the clear ip bgp * command on SanJose to
reestablish the BGP relationship between the three routers.
Wait several seconds, and then return to SanJose to check its routing table.
Does SanJose still have a route to 203.0.0.0?
SanJose should be able to ping 203.0.0.0.
Now check the BGP table on SanJose. The AS_PATH to the 203.0.0.0 network
should be AS 300.
BGP table version is 8, local router ID is 201.0.0.1
Status codes: s suppressed, d damped, h history, * valid, > best, i –
internal   Origin codes: i – IGP, e – EGP, ? – incomplete
   Network          Next Hop            Metric LocPrf Weight Path
*> 201.0.0.0        0.0.0.0                  0         32768 i
*> 202.0.0.0        192.168.1.6              0             0 300 i
*> 203.0.0.0        192.168.1.6                            0 300 i

Step 4: Use the AS_PATH Attribute to Filter Routes
As a final configuration, use the AS_PATH attribute to filter routes based on their
origin. In a complex environment, this attribute can be used to enforce routing
policy. In this case, the provider router, ISP, must be configured so that it does
not propagate routes that originate from AS 100 to the customer router, CustRtr.
First, configure a special kind of access list to match BGP routes with an
AS_PATH attribute that both begins and ends with the number 100. Enter the
following commands on ISP:
ISP(config)#ip as-path access-list 1 deny ^100$
ISP(config)#ip as-path access-list 1 permit .*
AS-path access lists are read like regular access lists, in that they are read
through in order and have an implicit deny at the end. Rather than matching an
address in each statement, like a conventional access-list, they match on
something called regular expressions. Regular expressions are a way of
matching text patterns, and have many uses. In this case, we will using them in
the AS-path access list to match text patterns in AS-paths.
The first command above uses the ^ character to indicate that the AS_PATH
must begin with the given number 100. The $ character indicates that the
AS_PATH attribute must also end with 100. Essentially, this statement matches
only paths that are sourced from AS 100. Other paths, which might include AS
100 along the way, will not match this list.
In the second statement, the . character is a wildcard, and the * symbol stands
for a repetition of the wildcard. Together, .* matches any value of the AS_PATH
attribute, which in effect permits any update that has not been denied by the
previous access-list statement.
For more details on configuring regular expressions on Cisco routers, use the
following link:

http://www.cisco.com/en/US/docs/ios/12_2/termserv/configuration/guide/tcfaapre_ps1835_TSD_Products_Configuration_Guide_Chapter.html

Now that the access list has been configured, apply it as follows:
ISP(config)#router bgp 300
ISP(config-router)#neighbor 172.24.1.18 filter-list 1 out
The out keyword specifies that the list is applied to routing information sent to
this neighbor.
Use the clear ip bgp * command to reset the routing information. Wait several
seconds, and then check the routing table for ISP. The route to 201.0.0.0 should
be in the routing table.
Check the routing table for CustRtr. It should not have a route to 201.0.0.0 in its
routing table.

Return to ISP and verify that the filter is working as intended. Issue the command
show ip bgp regexp ^100$.
The output of this command shows all matches for the regular expressions that
were used in the access list. The path to 201.0.0.0 matches the access list and is
filtered from updates to CustRtr.
ISP#show ip bgp regexp ^100$
BGP table version is 4, local router ID is 202.0.0.1
Status codes: s suppressed, d damped, h history, * valid, > best, i –
internal   Origin codes: i – IGP, e – EGP, ? – incomplete
   Network          Next Hop            Metric LocPrf Weight Path
*> 201.0.0.0        192.168.1.5              0             0 100 i

以上内容均为实验手册上面的东东：

做了这个实验，我学到了几点：
1.可以使用remove-private-as 去掉（隐藏）私有AS区域号。
2.As-path的使用需要先定义一个as-path access-list.   （ip as-path access-list number(1-500) deny{permit} 正式表达式）
3.然后再应用在neighbor上面就OK了。

模拟器的.NET文件和配置下载：

root@host%  根用户的shell提示符
user@host>  运行模式CLI提示符
user@host#  配置模式提示符   configure进入配置模式
lci 进入CLI
补全 空格
? 查询命令
show interface terse 查看接口
show interface terse | except fe- 查看除fe-的接口
show interface terse | match se-3 只查看se-3接口
show interface | last 显示上一屏数据
show interfaces terse | count 显示输出行数
show interfaces lo0 | display set 结果通道

Read entire article.

*  asterisk [ˈæstərisk]

>  angle [ˈæŋɡl]  bracket [ˈbrækit]

知识就是力量 无忧网客联盟在线技术沙龙大会
知识就是力量 无忧网客联盟携手北京wolf实验室，北京cj-club, 陕西西安时代教育，浙江博学教育等实力培训公司奉献出精彩的技术课程。会员可以和众多名师能与面对面的技术讨论，交流。

以下课程都是进入思科演讲厅进行参加活动，请回复此帖子就可以看到演讲厅号码与进入ppt系统的key

此技术沙龙晚上7.30语音提前开始测试，桌面提前10分中测试。开会后半个小时将会锁定会议系统，到时候除绿色通道以外的帐号都无法进入语音系统，以免打扰老师讲课。谢谢大家支持！！其他早上的课程都是一样操作方法。

net527超级技术沙龙群 35744555

　 　 在线技术沙龙第一阶段 　 　 　
日期 时间 课程 老师 培训公司 备注
10月19日 20：00-22：00 MPLS/VPN技术架构 Calvin.Cai 陕西时代教育 　Rs & Isp 双料CCIE
10月22日 20：00-22：00 MPLS TE流量工程
Calvin.Cai 陕西时代教育 　Rs & Isp 双料CCIE
10月23日 20：00-22：00 AToM/VPLS二层MPLS VPN Calvin.Cai 陕西时代教育 　Rs & Isp 双料CCIE
10月24日 09：00-11：00
ASA防火墙搭建SSL VPN
秦柯 wolf实验室
WOLF安全掌门人(明教教主)　
10月25日 09：00-11：00
IOS实现Group Encrypted Transport VPN 秦柯 wolf 　WOLF安全掌门人(明教教主)　

以下内容需要回复才能看到

ispeak 房间号

无忧网客联盟思科厅 248169

进入ppt的路径。

http://meeting.zoho.com/login/enterdetails.jsp?invalid=true&email=null&name=null

课程科目 ppt共享
MPLS/VPN技术架构 161 795 8170
MPLS TE流量工程 264 071 4530
AToM/VPLS二层MPLS VPN 384 559 8730
ASA防火墙搭建SSL VPN 600 462 4520

IOS实现Group Encrypted Transport 762 013 2860

请大家参照课程表，里面有具体事件和老师。

不会参加次会议请参考一下帖子

http://bbs.net527.cn/thread-15673-1-1.html