华为认证HCSE路由知识点罗列(3)

来源：作者：出处：巧巧读书 2006-09-21 进入讨论组

精华网络内容 :http://www.qqread.com/network/

VPN

　　111. VPN-Virtual private network

　　112. 按应用类型 access VPN、intranet VPN、Extranet VPN

　　113. 按实现层次 2层 [ PPTP、L2F、L2TP ]、3层[GRE、IPSec]

　　114. 远程接入VPN即Access VPN又称VPDN，利用2层隧道技术建立隧道。用户发起的VPN，LNS侧进行AAA。

　　115. Intranet VPN企业内部互联可使用IPSec和GRE等。

　　116. 2层隧道协议:PPTP 点到点隧道协议、L2F 二层转发协议 cisco、L2TP 二层隧道协议 IETF起草，可实现VPDN和专线VPN。

　　117. 三层协议:隧道内只携带第三层报文，GRE-generic routing encapsulation 通用路由封装协议、IPSec-由AH和IKE协议组成。

　　118. VPN设计原则，安全性、可靠性、经济性、扩展性

　　L2TP

　　119. L2TP　layer 2 tunnel protocol 二层隧道协议，IETF起草，结合了PPTP和L2F优点。适合单个和少数用户接入，支持接入用户内部动态地址分配，安全性可采用IPSec，也可采用vpn端系统LAC侧加密-由服务提供商控制。

　　120. L2TP两种消息:控制消息-隧道和会话连接的建立、维护和删除，数据消息-封装PPP帧并在隧道传输。

　　121. 同一对LAC与LNS间只建立一个L2TP隧道，多个会话复用到一个隧道连接上。

　　122. LAC-l2tp access concentrator LNS-l2tp network server

　　123. 隧道和会话的建立都经过三次握手:请求crq-应答crp-确认ccn。隧道sc，会话i

　　124. 隧道和会话拆除时需要有ZLB-zero-Length body 报文确认。

　　125. L2TP封装:IP报文(私网)-PPP报文-L2TP报文-UDP报文-IP报文(公网)

　　126. 配置LAC侧:1配置AAA和本地用户、2启动VPDN l2tp enable、3 配置vpdn组 l2tp-group number、3 配置发起连接请求和LNS地址 start l2tp [ipadd]

　　127. 配置LNS侧:1配置本地VPDN用户、2 启动vpdn、3 创建vpdn组、4 创建虚模板，为用户分配地址 interface virtrual-template [number]、5 配置接受呼叫的对端名称 allow l2tp virtual-template[number][name]

　　128. L2TP可选配置:本端隧道名称、隧道加密验证、Hello报文的发送间隔、配置L2TP最大会话数。

　　129. dis l2tp tunnel &session 、debug l2tp all/control/error/enent/hidden/payload/time-stamp

　　130. L2TP用户登陆失败:1 tunnel建立失败-LAC端配的LNS地址不对，tunnel密码验证问题、2 PPP协商不通-pap、chap验证，LNS端地址分配问题。

　　GRE

　　131. GRE-generic routing encapsulation 通用路由封装是一种三层隧道的承载协议，协议号为47，将一种协议报文封装在另一中报文中，此时ip既是被封装协议，又是传递(运输)协议。

　　132. GRE配置:1 创建Tunnel接口 interface tunnel [number]、2 配置接口源地址 source [ip-add]、3 配目的地址 destination [ip-add]4 配网络地址 ip add [ip-add，mask]

　　133. GRE可选参数接口识别关键字、数据报序列号同步、接口校验。

　　IPSec

　　134. IPSec-IP Security 包括报文验证头协议AH 协议号51、报文安全封装协议ESP 协议号50。工作方式有隧道tunnel和传送transport两种。

　　135. 隧道方式中，整个IP包被用来计算AH或ESP头，且被加密封装于一个新的IP包中;在传输方式中，只有传输层的数据被用来计算AH或ESP头，被加密的传输层数据放在原IP包头后面。

　　136. AH可选用的加密为MD5和SHA1。ESP可选的DES和3DES。

　　137. IPSec安全特点，数据机密性、完整性、来源认证和反重放。

　　138. IPSec基本概念:数据流、安全联盟、安全参数索引、SA生存时间、安全策略、转换方式

　　139. 安全联盟 SA-包括协议、算法、密钥等，SA就是两个IPSec系统间的一个单向逻辑连接，安全联盟由安全参数索引SPI、IP目的地址和安全协议号(AH或ESP)来唯一标识。

140. 安全参数索引SPI:32比特数值，全联盟唯一。

　　141. 安全联盟生存时间 Life Time:安全联盟更新时间有用时间限制和流量限制两种。

　　142. 安全策略 crypto Map :即规则。

　　143. 安全提议 Transform Mode :包括安全协议、安全协议使用算法、对报文封装形式。规定了把普通报文转成IPSec报文的方式。

　　144. AH、ESP使用32比特序列号结合重放窗口和报文验证防御重放攻击。

　　145. IKE-internet key exchange 因特网密钥交换协议，为IPSec提供自动协商交换密钥号和建立SA的服务。通过数据交换来计算密钥。

　　146. IKE完善的向前安全性PFS和数据验证机制。使用DH-diffie-Hellman公用密钥算法来计算和交换密钥。

　　147. PHS特性由DH算法保证。

　　148. IKE交换过程，阶段1:建立IKE SA;阶段2:在IKE SA下，完成IPSec协商。

　　149. IKE协商过程:1 SA交换，确认有关安全策略;2 密钥交换，交换公共密钥;3 ID信息和验证数据交换。

　　150. 大规模的IPSec部署，需要有CA-认证中心。

　　151. IKE为IPSec提供定时更新的SA、密钥，反重放服务，端到端的动态认证和降低手工配置的复杂度。

　　152. IKE是UDP上的应用层协议，是IPSec的信令协议。他为IPSec建立安全联盟。

　　153. IPsec要确定受保护的数据，使用安全保护的路径，确认使用那种保护机制和保护强度。

　　154. IPSec配置:1 创建加密访问控制列表、2 定一安全提议 ipsec proposal [name];ipsec card-protposal [name]、3 设置对IP报文的封装模式 encapsulation-mode [transport or tunnel]、4 选择安全协议 ah-new esp-new ah-esp-new 、5 选择加密算法只有ESP可加密、6 创建安全策略 ipsec policy 应用安全策略到接口 ipsec policy

　　155. IKE配置:1创建IKE安全策略 ike proposal [num]、2 选择加密算法、认证方式、hash散列算法、DH组标示、SA生存周期3、配置预设共享密钥 ike pre-shared-key key remote [add]、4 配置keeplive定时器

　　156. keeplive定时器包括 1 interval定时器按照interval时间间隔发送keeplive报文 2 timeout定时器超时检查

　　157. debug ipsec misc/packet/sa

　　QoS

　　158. QoS-quality of service 服务质量保证。在通信过程中，允许用户业务在丢包率、延迟、抖动和带宽上获得预期的服务水平。

　　159. QoS需要提供以下功能:避免并管理ip网络阻塞、减少ip报文丢包率、调控流量、为特定用户提供专用带宽、支持实时业务

　　160. IP QoS三种模式:Best-Effort模型-缺省FIFO;IntServ模型-申请预留资源;DiffServ-网络拥塞时，根据不同服务等级，差别对待

　　161. IntServ模型，提供可控的端到端的服务，利用RSVP来传递QoS信令。有两种模式:保证服务和负载控制服务。

　　162. RSVP是第一个标准的QoS信令协议，不是路由协议但是按照路由协议规定的报文流的路径为报文申请预留资源。只在网络节点间传递QoS请求，本身不完成QoS要求的实现。

　　163. RSVP要求端到端的设备均支持这一协议，可扩展性差，不适合在大型网络应用。

　　164. DiffServ-Differentiated Service 差分服务模型，目前QoS主流。DS不需要信令。数据进入DS网路，根据优先级DSCP汇聚为一个行为集合。根据定义的PHB-per-hop behavior来对业务流执行PHB。

　　165. 着色:给不同的业务流打上QoS标记。着色是进行QoS处理的前题。