由。用des bgp查看路由是否最优，并保证需要的路由在BGP路由表中）
4 在用NETWORK引入路由时，一定要与IP ROUT表中的路由条目一模一样。否则无法引入。并且在用NETWORK引入时候一定要加上掩码信息。  如果不加上掩码，BGP会认为是自然掩码。
5 在BGP路由聚合的时候使用命令aggregate，其参数detail-suppressed表示抑制发布具体路由。会导致无法找到具体路由。
6 BGP为EGP，故其邻居都需要指定，不管是IBGP还是EBGP。
7 路由聚合的问题。（通常是由于IBGP没有全互连，并又在边界路由器上进行了路由聚合，这样导致出现环路。最简单的解决办法为，配置全互连。并且建议IBGP尽量配置为全互连。）
8 EBGP在向IBGP发布路由时，在IBGP上显示路由不可达，其显示的下一跳为NULL。（配置EBGP在向IBGP发布EBGP路由时，强制下一跳为自己。 例如有peer IP as AS-NUM,再在下面配置peer IP next-hop-local。）
dis bgp显示BGP的路由信息
dis bgp peer 显示BGP的邻居
dis bgp routing-table flap-information显示BGP摆动路由
dis bgp routing-table network显示BGP通告的路由


VPN
L2TP
1 ****关于L2TP的LNS到LAC路由问题（必须等待IP-POOL指定了IP地址，才能建立静态路由，就算用OSPF，也必须先让IP-POOL分配IP。  这是唯一解决办法。）
2 L2TP的START为LNS的公网IP，不同与GRE指定的IP，在LAC端可以使用域名，也可以使用FULLNAME，在使用fullname时候，注意FULLNAME是在创建用户时候的名字，可能会出现FULLNAME为hcte@huawei.com这样的名字，这个才是FULLname，而非hcte。
3 在GROUP中的tunnel 密码必须一致
4 在LNS中的绑定时，LAC的name必须一致
5 地址池的分配应该在VIR模板中，而不是在GROUP中。（给对端分配ip **remote address pool 1**）
6 通常在WIN中会先用MSCHAP进行验证，然后才会用PAP验证。并且MSCHAP跟CHAP有区别。
7 在用户充当LAC拨入时候，默认的LAC端name为LocalHost。在LNS端必须要有allow l2tp virtual-template 1 remote LocalHost
8 由ROUTER+LAC+LNS接入时候，首先必须在ROUTER和LAC端建立连接，所以LAC端必须有ROUTER的LOCAL-USER。
9 在ROUTER+LAC+LNS接入时候，LNS端可以配置强制CHAP验证，那么ROUTER上必须有chap的相关命令，而且，在ROUTER上可以同时存在PAP和CHAP。在线路接入时候，ROUTER会自动匹配。
10 在ROUTER+LAC+LNS接入时候。首先必须保证ROUTER和LAC建立LCP OPEN，其IPCP状态可以为协商不通过。并且，ROUTER+LAC的接口地址不能配置IP地址，否则和IP-POOL发生冲突，导致LAN无法建立连接，并且分配不到IP。
11 ip-pool必须为总局的同一个网段，否则分配的IP在总部无法访问（当局域网内运行OSPF时候，还必须指定邻居，而不用管L2TP是否能传输广播报文。一般在用L2TP接入时候，在LAC侧用户通常不运行路由协议）。
12 mandatory lcp为强制LCP重协商。mandatory CHAP为强制CHAP验证。强制CHAP只是要求用户和LNS进行重验证。而强制重LCP协商，是只在用户和LNS之间重新从LCP开始协商。当用户在和LAC，以及LNS出现低层协商问题时候，必须用强制LCP重协商，让用户和LNS的低层协商一致。

命令：
dis l2tp tu
dis l2tp se
通过这个可以看出L2TP隧道是否建立起来


GRE
1 在创建TUNNEL时候，默认的封装方式为TUNNEL，这个就是VIR和TUNNEL最重要的区别，通常VIR的默认封装为PPP
2 在为TUNNEL配置的ip为通道IP，这个IP通常选择1.1.1.1。并且此地址必须为公网上无法访问的地址，而且不能和私网在同一个网段。
3 TUNNEL指定的源目的地址为公网IP，在配置GRE时候是不需要指定私网IP的，因为所有的私网数据流都直接指定TUNNEL ID传输。
4 在通道两端都必须有通道两端的公网，私网的路由。特别是私网，必须指定。并且必须避免出现公网和私网路由混合显现。否则任何通路都错误。
5 在为TUNNEL配置路由的时候最好指定IP ROUT 0.0.0.0 0.0.0.0 TUNNEL的对端tunnel地址。
*****在为L2TP指定路由的时候 ip rout 0.0.0.0 0.0.0.0 在LAC+router侧的出接口，或者是对端的内网进IP。不能指定公网IP。
6 在私网运行OSPF时候，必须指定PEER。否则路由无法传递。通过DIS OSPF PEER查看PEER是否已经建立。


IPSEC
1 通常在IPSEC建立的时候的参数由IKE建立联盟进行协商。（否则必须手动配置IPSEC的参数，包括加密算法和验证算法）
2 在用IKE建立联盟时候，首先必须保证PRE-SHADE-KEY一致。REMOTE地址为对端公网地址。
3 ****另外在创建ACL流的时候，IKE两端必须完全镜象。通常ACL使用扩展ACL。并且，如果在内网需要运行路由协议时候，千万避免ACL将路由的数据流过滤掉。通常在ACL末端需要DENY ANY。华为默认为DENY ANY。CISCO默认为PERMITER。
4 创建安全提议时给的STRING，必须和创建策略时引入的STRING一致。
5 在安全提议中可以配置IPSEC使用的传输方式，有TUNNEL和TRANSPORT方式，在IKE联盟时候，必须一直，否则IPSEC无法对数据进行解密。
6 在安全提议中的ESP使用时候，IKE联盟的算法必须一直，通常在验证使用SHA1算法，在加密使用MD5算法。
7 保证在安全策略中的ACL引入为所定义的ACL。通常由ACL101开始。
8 指定安全策略中的REMOTE地址，在直接用IPSEC建立隧道时候，remote地址为对端公网IP，在IPSEC+GRE的时候为GRE创建的tunnel地址

1 2 3