华为认证HCSE路由知识点罗列.docx
《华为认证HCSE路由知识点罗列.docx》由会员分享,可在线阅读,更多相关《华为认证HCSE路由知识点罗列.docx(10页珍藏版)》请在冰豆网上搜索。
华为认证HCSE路由知识点罗列
华为认证HCSE路由知识点罗列如下,请大家参考:
OSPF
1.OSPF开放式最短路径优先,基于RFC2328。
由IETF开发,AS内部路由协议,目前第二版。
2.OSPF无路由自环,适用于大规模网络,收敛速度快。
支持划分区域,等值路由及验证和路由分级管理.。
OSPF可以组播方式发送路由信息。
3.OSPF基于IP,协议号为89。
RouteID为32位无符号数,一般用接口地址。
4.OSPF将网络拓扑抽象为4中,PtoP、stub、NBMA&broadcast、PtoMP。
5.NBMA网络必须全连通。
6.OSPF路由计算过程,1、描述本路由连接的网络拓扑,生成LSA。
2、收集其他路由发出的LSA,组成LSDB。
3、根据LSDB计算路由。
7.OSPF5种报文:
1、hello报文定时通报,选举DR、BDR。
2、DD报文通告本端LSA,以摘要显示,即LSA的HEAD。
3、LSR报文相对端请求自己没有的LSA。
4、LSU报文回应对端请求,向其发送LSA。
4、LSAck报文确认收到对端发送的LSA。
8.OSPF邻居状态1、down过去dead-interval时间未收到邻居发来的Hello报文2、AttemptNBMA网络时出现,定时向手工指定的邻居发送Hello报文。
3、init本端已受到邻居发来的Hello报文,但其中没有我端的routerid,即邻居未受到我的hello报文。
4、2-way双方都受到了Hello报文。
若两端均为DRother的话即会停留在这个状态。
5、Exstart互相交换DD报文,建立主从关系。
6、exchange双方用DD表述LSDB,互相交换。
7、loading发送LSR。
8、full对端的LSA本端均有,两端建立邻接关系。
9.OSPF的HELLO报文使用组播地址224.0.0.5。
10.DD报文中,MS=1为Master,I=1表示第一个DD报文。
11.在广播和NBMA网络上会选举DR,来传递信息。
12.在DR的选举上,所有优先级大于0的均可选举,hello报文为选票,选择所有路由器中优先级最大的,如果优先级相同,选routerid最大的。
同时选出BDR。
13.如果有优先级大的路由器加入网络,OSPF的DR也不改变。
14.NBMA网络―――X.25和FR。
是全连通的,但点到多点不是全连通。
NBMA用单播发送报文,PtoMP可是单播或多播。
15.NBMA需要手工配置邻居。
16.划分区域的原因,路由器的增多会导致LSDB的庞大导致CPU负担过大。
17.OSPF区域间的路由计算通过ABR来完成。
18.骨干区域和虚连接,目的防止路由自环。
19.OSPF可引入AS外部路由,分两类IGP路由(cost=本路由器到ASBR的花费和ASBR到该目的的花费)和BGP路由(cost=ASBR到该目的的花费)。
20.OSPF一共将路由分四级,区域内路由、区域间路由、自治系统外一类路由IGP、自治系统外二类路由(BGP)。
前两类优先级10,后两类优先级150。
21.stub是不传播引入的外部路由的LSA的区域,由ABR生成一条80路由传播到区域内。
22.一个区域为STUB区,则该区域内所有路由器均须配置该属性。
虚连接不能穿越STUB区域。
23.NSSA基于RFC1587,该区域外的ASE路由不能进入,但若是该区域内路由器引入的ASE路由可以在区域内传播。
24.Type=1的LSA:
router-LSA每个运行OSPF的路由器均会生成,描述本路由器状况。
对于ABR会为每个区域生成一条router-LSA,传递范围是其所属区域。
25.Type=2的LSA:
NetworkLSA,由DR生成,对于广播和NBMA网络描述其区域内所有与DR建立邻接关系的路由器。
26.Type=3的LSA:
NetworkSummaryLSA,由ABR生成,为某个区域的聚合路由LSA在ABR连接的其他区域传递。
27.Type=4的LSA:
ASBRsummaryLSA,由ABR生成,描述到达本区域内部的ASBR的路由。
是主机路由,掩码0.0.0.0。
28.Type=5的LSA:
ASExternalLSA,由ASBR生成,表述了到AS外部的路由,与区域无关在整个AS除了Stub区内传递。
29.PtoP――PPP、HDLC、LAPB
30.broadcast――Ethernet
31.NBMA――FR、X.25
32.PtoMP――由NBMA修改而来,可以组播发送报文224.0.0.5。
33.IAR-internalAreaRouterBBR――Backbonerouter
34.OSPF不会产生回路的原因,每一条LSA都标记了生成者,链路状态算法
35.运行OSPF,网络中路由器10台以上,网状拓扑,快收敛等。
36.OSPF区域的划分:
1、按自然或行政区域划分。
2、按高端路由器来划分。
3、按ip地址的分配来划分。
37.区域不要超过70台,与骨干区域虚连接,ABR性能要高不要配太多区域。
38.配置:
1、routerid2、ospfenable3、端口下ospfenableareaaera_id
39.路由聚合,ospf下abr-summaryipmaskareaarea_id
40.stub区域stubcostarea
41.虚连接vlinkpeer-idtransit-area
42.NSSA区域nssaareadefault-route-advertise
43.OSPF可以dis错误接口peer和disospf
44.OSPF可以debugenent、lsa、packet、spf。
45.接口上的dead定时器应大于hello定时器,且至少在4倍以上。
BGP
46.BGP――bordergatewayprotocolEGP协议
47.BGP端口号179,基于TCP协议传送,当前使用RFC1771-BGP4
48.BGP不发现和计算路由,只进行路由的传递和控制。
49.支持CIDR、采用增量路由发送、通过携带的AS信息来解决路由环路、丰富的路由属性和策略。
50.AS同一机构管理,统一的选路策略的一些路由器。
1-65411为注册的因特网编号,65412-65535为专用网络编号。
51.BGP包括IBGP和EBGP。
一般要求EBGPpeer间保证直链链路,IBGP间保证逻辑全连接。
52.BGP选路原则:
多条路径选最优的给自己、只将自己使用的路由通告给peer、从EBGP获得的路由会通告给所有BGP peer、从IBGP得到的路由不通告IBGP peer,看同步状况决定是否通告给EBGP peer、新建立的连接,将所有的BGP路由通告给新的peer。
53.BGP同步,即IBGP宣告的路由在IGP中已经被发现。
54.BGP路由引入――纯动态注入、半动态注入、静态注入
55.OPEN报文,交换各种信息,用于协商建立邻居关系,是BGP的初始握手消息
56.UPDATE报文,携带路由更新信息,包括撤销和可达的路由信息。
57.Notification报文,当检测的差错时,发送Notification报文关闭peer连接。
58.Keeplive报文,收到open报文后相对端回应,peer间周期性发送,保持连接。
59.BGP报文头中type信息1字节,1open 2updata 3notification 4keeplive
60.updata报文一次只能通告一个路由,但可以携带多个属性。
当一次通告多条路由的话,只能携带相同的属性。
Updata可以同时列出多个被撤销的路由。
61.缺省情况,keeplive 60s一发。
62.Notification的errorcode中code=2 OPEN错 code=3 update错
63.BGP开始Idle状态,BGP一旦start则进入connect状态,接着建立TCP连接,如果不成功则进入Active状态,成功就进入opensent状态,opensent状态收到一个正确的open报文就进入openconfirm状态,当受到keeplive报文,就会建立BGP连接,进入Established状态。
64.BGP属性目前16种可扩展到256种。
分为必遵、可选、过渡、非过渡。
65.Origin属性标识路由的来源,0-IGP聚合和注入路由、1-EGPEGP得到、3-incomplete其他方式从其他IGP引入的
66.AS-path属性达到某个目的地址所经过的所有AS号码序列。
宣告时把新经过的AS号码放在最前。
67.NexTHop属性必遵属性当对等体不知道路由时,须将下一条属性改为本地
68.Local-preference属性可选帮助AS内的路由器选择到AS区域外的较好的出口,本地优先级属性只在AS内部,IBGPpeer间交换。
69.MED属性向外部指示进入某个具有多入口的AS的优先路经。
选MED小的。
70.Community属性no-expert不通告到联盟/AS外部no-advertise、不通告给任何BGPPeer、local-AS不通告给任何EBGP、Internet通告所有路由器
71.BGP路由选择过程1、下一跳不可达,忽略2、选择local-preference大的路由3、优先级相同,选择本地路由器始发的路由4、选择AS路径较短的路由5、路由选择顺序IGP-EGP-Incomplete6、选择MED值小的路由7、选择routerID小的路由
72.基本配置启动BGP配邻居peer宣告网段network引入路由import
73.BGP定时器有keepalive-interval、holdtime-interval
74.BGP前缀过滤器filter-policy、AS-Path过滤 acl aspath-list-number、路由映射route-policy
75.复位BGPresetbgp
76.正则表达式:
^路径开始$结束\bAs号码间分割符^$匹配本地路由
77.BGP路由处理过程:
接受路由-实施策略-路由聚合-选路-加入路由表-发布
78.BGPdebugall/event/keepalive/open/packet/updata/recive/send/verbose
79.BGP路由聚合-聚合到CIDR中aggregate
80.反射器-reflectclient
81.AS联盟子AS间为EBGP,所有IBGP规则仍然适用。
Confederationid&confederationpeer-as
82.BGP衰减的5个参数:
可达半衰期、不可达半衰期、重用值、抑制值、惩罚上限
路由策略
83.策略相关的无种过滤器:
路由策略routingpolicy、访问列表acl、前缀列表prefix-list、自治系统信息路径访问列表aspath-list仅用于BGP、团体属性列表community-list仅用与BGP。
84.路由引入时使用routingpolicy过滤,路由发布和接收时用ipprefix和ACL
85.一个routingpolicy下的node节点为或的关系,而每个节点下的if-match和apply语句为与的关系。
Permit执行apply,deny不执行apply
86.路由引入import-routeprotocol目前有direct、static、rip、ospf、ospf-ase、bgp
87.定义ip前缀列表ipip-preffixprefix-list-name,不同sequence-number间为或的关系路由过滤filter-policygateway/acl-numebergataway只能import,acl和ip-prefix可以export。
网络安全特性
88.网络安全两层含义:
保证内部局域网的安全、保护和外部进行数据交换的安全
89.安全考虑:
物理线路、合法用户、访问控制、内网的隐蔽性、防伪手段,重要数据的保护、设备及拓扑的安全管理、病毒防范、安全防范意识的提高
90.网络攻击的主要方式:
窃听报文、ip地址欺骗、源路由攻击、端口扫描、DoS拒绝服务、应用层攻击
91.可靠性和线路――主从备份和负载分担
92.身份认证--con口配置、telnet、snmp和AUX(modem远程)、防止伪造路由信息
93.访问控制――分级保护,基于5源组控制源,目的ip、源,目的端口、协议号
94.信息隐藏――NAT
95.加密和防伪――数据加密、数字签名、IPsec
96.安全管理――制度和意识
97.AAA-authentication、authorization、accounting认证、授权、计费
98.包过滤技术-利用ip包的特征进行访问控制、不能使用在接入服务中、可以基于ip地址、接口和时间段
99.IPsec-Ipsecurity通过AH和ESP两个协议来实现
100.IKE-internet密钥交换协议。
定义了双方进行身份认证、协商加密算法和生成共享密钥的方法。
101.提供AAA支持的服务:
PPP-pap、chap认证。
EXEC-登陆到路由器。
FTP-ftp登陆。
102.AAA不需要计费时,aaaaccounting-schemeoptional取消计费
103.AAA配置命令:
aaaenable-开启、aaaaccounting-schemeoptional-取消计费、aaaaccounting-schemelogin-配置方法表、aaaaccounting-schemeppp-在接口上启用方法表
104.方法表5种组合:
radius、local、none、radiuslocal、radiusnone
105.路由器local-user不要超过50个
106.可以debugradiusprimitive和event
107.原语7种:
joinPAP、joinCHAP、leave、accept、reject、bye、cut
108.RADIUS-remoteauthenticationDial-inUserservice
109.radius采用client/server模式,使用两个UDP端口验证1812,计费1813,客户端发其请求,服务器响应。
110.radius配置radius[servername&ip]authentication-portaccouting-port、radiusshared-key、配重传radiusretry、radiustimerresponse-timeout
VPN
111.VPN-Virtualprivatenetwork
112.按应用类型accessVPN、intranetVPN、ExtranetVPN
113.按实现层次2层[PPTP、L2F、L2TP]、3层[GRE、IPSec]
114.远程接入VPN即AccessVPN又称VPDN,利用2层隧道技术建立隧道。
用户发起的VPN,LNS侧进行AAA。
115.IntranetVPN企业内部互联可使用IPSec和GRE等。
116.2层隧道协议:
PPTP点到点隧道协议、L2F二层转发协议cisco、L2TP二层隧道协议IETF起草,可实现VPDN和专线VPN。
117.三层协议:
隧道内只携带第三层报文,GRE-genericroutingencapsulation通用路由封装协议、IPSec-由AH和IKE协议组成。
118.VPN设计原则,安全性、可靠性、经济性、扩展性
L2TP
119.L2TP layer2tunnelprotocol二层隧道协议,IETF起草,结合了PPTP和L2F优点。
适合单个和少数用户接入,支持接入用户内部动态地址分配,安全性可采用IPSec,也可采用vpn端系统LAC侧加密-由服务提供商控制。
120.L2TP两种消息:
控制消息-隧道和会话连接的建立、维护和删除,数据消息-封装PPP帧并在隧道传输。
121.同一对LAC与LNS间只建立一个L2TP隧道,多个会话复用到一个隧道连接上。
122.LAC-l2tpaccessconcentratorLNS-l2tpnetworkserver
123.隧道和会话的建立都经过三次握手:
请求crq-应答crp-确认ccn。
隧道sc,会话i
124.隧道和会话拆除时需要有ZLB-zero-Lengthbody报文确认。
125.L2TP封装:
IP报文(私网)-PPP报文-L2TP报文-UDP报文-IP报文(公网)
126.配置LAC侧:
1配置AAA和本地用户、2启动VPDNl2tpenable、3配置vpdn组l2tp-groupnumber、3配置发起连接请求和LNS地址startl2tp[ipadd]
127.配置LNS侧:
1配置本地VPDN用户、2启动vpdn、3创建vpdn组、4创建虚模板,为用户分配地址interfacevirtrual-template[number]、5配置接受呼叫的对端名称allowl2tpvirtual-template[number][name]
128.L2TP可选配置:
本端隧道名称、隧道加密验证、Hello报文的发送间隔、配置L2TP最大会话数。
129.disl2tptunnel&session、debugl2tpall/control/error/enent/hidden/payload/time-stamp
130.L2TP用户登陆失败:
1tunnel建立失败-LAC端配的LNS地址不对,tunnel密码验证问题、2PPP协商不通-pap、chap验证,LNS端地址分配问题。
GRE
131.GRE-genericroutingencapsulation通用路由封装是一种三层隧道的承载协议,协议号为47,将一种协议报文封装在另一中报文中,此时ip既是被封装协议,又是传递(运输)协议。
132.GRE配置:
1创建Tunnel接口interfacetunnel[number]、2配置接口源地址source[ip-add]、3配目的地址destination[ip-add]4配网络地址ipadd[ip-add,mask]
133.GRE可选参数接口识别关键字、数据报序列号同步、接口校验。
IPSec
134.IPSec-IPSecurity包括报文验证头协议AH协议号51、报文安全封装协议ESP协议号50。
工作方式有隧道tunnel和传送transport两种。
135.隧道方式中,整个IP包被用来计算AH或ESP头,且被加密封装于一个新的IP包中;在传输方式中,只有传输层的数据被用来计算AH或ESP头,被加密的传输层数据放在原IP包头后面。
136.AH可选用的加密为MD5和SHA1。
ESP可选的DES和3DES。
137.IPSec安全特点,数据机密性、完整性、来源认证和反重放。
138.IPSec基本概念:
数据流、安全联盟、安全参数索引、SA生存时间、安全策略、转换方式
139.安全联盟SA-包括协议、算法、密钥等,SA就是两个IPSec系统间的一个单向逻辑连接,安全联盟由安全参数索引SPI、IP目的地址和安全协议号(AH或ESP)来唯一标识。
140.安全参数索引SPI:
32比特数值,全联盟唯一。
141.安全联盟生存时间LifeTime:
安全联盟更新时间有用时间限制和流量限制两种。
142.安全策略cryptoMap:
即规则。
143.安全提议TransformMode:
包括安全协议、安全协议使用算法、对报文封装形式。
规定了把普通报文转成IPSec报文的方式。
144.AH、ESP使用32比特序列号结合重放窗口和报文验证防御重放攻击。
145.IKE-internetkeyexchange因特网密钥交换协议,为IPSec提供自动协商交换密钥号和建立SA的服务。
通过数据交换来计算密钥。
146.IKE完善的向前安全性PFS和数据验证机制。
使用DH-diffie-Hellman公用密钥算法来计算和交换密钥。
147.PHS特性由DH算法保证。
148.IKE交换过程,阶段1:
建立IKESA;阶段2:
在IKESA下,完成IPSec协商。
149.IKE协商过程:
1SA交换,确认有关安全策略;2密钥交换,交换公共密钥;3ID信息和验证数据交换。
150.大规模的IPSec部署,需要有CA-认证中心。
151.IKE为IPSec提供定时更新的SA、密钥,反重放服务,端到端的动态认证和降低手工配置的复杂度。
152.IKE是UDP上的应用层协议,是IPSec的信令协议。
他为IPSec建立安全联盟。
153.IPsec要确定受保护的数据,使用安全保护的路径,确认使用那种保护机制和保护强度。
154.IPSec配置:
1创建加密访问控制列表、2定一安全提议ipsecproposal[name];ipseccard-protposal[name]、3设置对IP报文的封装模式encapsulation-mode[transportortunnel]、4选择安全协议ah-newesp-newah-esp-new、5选择加密算法只有ESP可加密、6创建安全策略ipsecpolicy应用安全策略到接口ipsecpolicy
155.IKE配置:
1创建IKE安全策略ikeproposal[num]、2选择加密算法、认证方式、hash散列算法、DH组标示、SA生存周期3、配置预设共享密钥ikepre-shared-keykeyremote[add]、4配置keeplive定时器
156.keeplive定时器包括1interval定时器按照interval时间间隔发送keeplive报文2timeout定时器超时检查
157.debugipse