华为认证HCSE路由知识点罗列.docx

华为认证HCSE路由知识点罗列.docx

《华为认证HCSE路由知识点罗列.docx》由会员分享，可在线阅读，更多相关《华为认证HCSE路由知识点罗列.docx（10页珍藏版）》请在冰豆网上搜索。

华为认证HCSE路由知识点罗列

华为认证HCSE路由知识点罗列如下，请大家参考:

　　OSPF

　　1.OSPF开放式最短路径优先，基于RFC2328。

由IETF开发，AS内部路由协议，目前第二版。

　　2.OSPF无路由自环，适用于大规模网络，收敛速度快。

支持划分区域，等值路由及验证和路由分级管理.。

OSPF可以组播方式发送路由信息。

　　3.OSPF基于IP，协议号为89。

RouteID为32位无符号数，一般用接口地址。

　　4.OSPF将网络拓扑抽象为4中，PtoP、stub、NBMA&broadcast、PtoMP。

　　5.NBMA网络必须全连通。

　　6.OSPF路由计算过程，1、描述本路由连接的网络拓扑，生成LSA。

2、收集其他路由发出的LSA，组成LSDB。

3、根据LSDB计算路由。

　　7.OSPF5种报文:

1、hello报文定时通报，选举DR、BDR。

2、DD报文通告本端LSA，以摘要显示，即LSA的HEAD。

3、LSR报文相对端请求自己没有的LSA。

4、LSU报文回应对端请求，向其发送LSA。

4、LSAck报文确认收到对端发送的LSA。

　　8.OSPF邻居状态1、down过去dead-interval时间未收到邻居发来的Hello报文2、AttemptNBMA网络时出现，定时向手工指定的邻居发送Hello报文。

3、init本端已受到邻居发来的Hello报文，但其中没有我端的routerid，即邻居未受到我的hello报文。

4、2-way双方都受到了Hello报文。

若两端均为DRother的话即会停留在这个状态。

5、Exstart互相交换DD报文，建立主从关系。

6、exchange双方用DD表述LSDB，互相交换。

7、loading发送LSR。

8、full对端的LSA本端均有，两端建立邻接关系。

　　9.OSPF的HELLO报文使用组播地址224.0.0.5。

　　10.DD报文中，MS=1为Master，I=1表示第一个DD报文。

　　11.在广播和NBMA网络上会选举DR，来传递信息。

　　12.在DR的选举上，所有优先级大于0的均可选举，hello报文为选票，选择所有路由器中优先级最大的，如果优先级相同，选routerid最大的。

同时选出BDR。

　　13.如果有优先级大的路由器加入网络，OSPF的DR也不改变。

　　14.NBMA网络―――X.25和FR。

是全连通的，但点到多点不是全连通。

NBMA用单播发送报文，PtoMP可是单播或多播。

　　15.NBMA需要手工配置邻居。

　　16.划分区域的原因，路由器的增多会导致LSDB的庞大导致CPU负担过大。

　　17.OSPF区域间的路由计算通过ABR来完成。

　　18.骨干区域和虚连接，目的防止路由自环。

　　19.OSPF可引入AS外部路由，分两类IGP路由（cost=本路由器到ASBR的花费和ASBR到该目的的花费）和BGP路由（cost=ASBR到该目的的花费）。

　　20.OSPF一共将路由分四级，区域内路由、区域间路由、自治系统外一类路由IGP、自治系统外二类路由（BGP）。

前两类优先级10，后两类优先级150。

　　21.stub是不传播引入的外部路由的LSA的区域，由ABR生成一条80路由传播到区域内。

　　22.一个区域为STUB区，则该区域内所有路由器均须配置该属性。

虚连接不能穿越STUB区域。

　　23.NSSA基于RFC1587，该区域外的ASE路由不能进入，但若是该区域内路由器引入的ASE路由可以在区域内传播。

　　24.Type=1的LSA:

router-LSA每个运行OSPF的路由器均会生成，描述本路由器状况。

对于ABR会为每个区域生成一条router-LSA，传递范围是其所属区域。

　　25.Type=2的LSA:

NetworkLSA，由DR生成，对于广播和NBMA网络描述其区域内所有与DR建立邻接关系的路由器。

　　26.Type=3的LSA:

NetworkSummaryLSA，由ABR生成，为某个区域的聚合路由LSA在ABR连接的其他区域传递。

　　27.Type=4的LSA:

ASBRsummaryLSA，由ABR生成，描述到达本区域内部的ASBR的路由。

是主机路由，掩码0.0.0.0。

　　28.Type=5的LSA:

ASExternalLSA，由ASBR生成，表述了到AS外部的路由，与区域无关在整个AS除了Stub区内传递。

　　29.PtoP――PPP、HDLC、LAPB

　　30.broadcast――Ethernet

　　31.NBMA――FR、X.25

　　32.PtoMP――由NBMA修改而来，可以组播发送报文224.0.0.5。

　　33.IAR-internalAreaRouterBBR――Backbonerouter

　　34.OSPF不会产生回路的原因，每一条LSA都标记了生成者，链路状态算法

　　35.运行OSPF，网络中路由器10台以上，网状拓扑，快收敛等。

　　36.OSPF区域的划分:

1、按自然或行政区域划分。

2、按高端路由器来划分。

3、按ip地址的分配来划分。

　　37.区域不要超过70台，与骨干区域虚连接，ABR性能要高不要配太多区域。

　　38.配置:

1、routerid2、ospfenable3、端口下ospfenableareaaera_id

　　39.路由聚合，ospf下abr-summaryipmaskareaarea_id

　　40.stub区域stubcostarea

　　41.虚连接vlinkpeer-idtransit-area

　　42.NSSA区域nssaareadefault-route-advertise

　　43.OSPF可以dis错误接口peer和disospf

　　44.OSPF可以debugenent、lsa、packet、spf。

　　45.接口上的dead定时器应大于hello定时器，且至少在4倍以上。

　　BGP

　　46.BGP――bordergatewayprotocolEGP协议

　　47.BGP端口号179，基于TCP协议传送，当前使用RFC1771-BGP4

　　48.BGP不发现和计算路由，只进行路由的传递和控制。

　　49.支持CIDR、采用增量路由发送、通过携带的AS信息来解决路由环路、丰富的路由属性和策略。

　　50.AS同一机构管理，统一的选路策略的一些路由器。

1-65411为注册的因特网编号，65412-65535为专用网络编号。

　　51.BGP包括IBGP和EBGP。

一般要求EBGPpeer间保证直链链路，IBGP间保证逻辑全连接。

　　52.BGP选路原则:

多条路径选最优的给自己、只将自己使用的路由通告给peer、从EBGP获得的路由会通告给所有BGP　peer、从IBGP得到的路由不通告IBGP　peer，看同步状况决定是否通告给EBGP　peer、新建立的连接，将所有的BGP路由通告给新的peer。

　　53.BGP同步，即IBGP宣告的路由在IGP中已经被发现。

　　54.BGP路由引入――纯动态注入、半动态注入、静态注入

　　55.OPEN报文，交换各种信息，用于协商建立邻居关系，是BGP的初始握手消息

56.UPDATE报文，携带路由更新信息，包括撤销和可达的路由信息。

　　57.Notification报文，当检测的差错时，发送Notification报文关闭peer连接。

　　58.Keeplive报文，收到open报文后相对端回应，peer间周期性发送，保持连接。

　　59.BGP报文头中type信息1字节，1open　2updata　3notification　4keeplive

　　60.updata报文一次只能通告一个路由，但可以携带多个属性。

当一次通告多条路由的话，只能携带相同的属性。

Updata可以同时列出多个被撤销的路由。

　　61.缺省情况，keeplive　60s一发。

　　62.Notification的errorcode中code=2　OPEN错　code=3　update错

　　63.BGP开始Idle状态，BGP一旦start则进入connect状态，接着建立TCP连接，如果不成功则进入Active状态，成功就进入opensent状态，opensent状态收到一个正确的open报文就进入openconfirm状态，当受到keeplive报文，就会建立BGP连接，进入Established状态。

　　64.BGP属性目前16种可扩展到256种。

分为必遵、可选、过渡、非过渡。

　　65.Origin属性标识路由的来源，0-IGP聚合和注入路由、1-EGPEGP得到、3-incomplete其他方式从其他IGP引入的

　　66.AS-path属性达到某个目的地址所经过的所有AS号码序列。

宣告时把新经过的AS号码放在最前。

　　67.NexTHop属性必遵属性当对等体不知道路由时，须将下一条属性改为本地

　　68.Local-preference属性可选帮助AS内的路由器选择到AS区域外的较好的出口，本地优先级属性只在AS内部，IBGPpeer间交换。

　　69.MED属性向外部指示进入某个具有多入口的AS的优先路经。

选MED小的。

　　70.Community属性no-expert不通告到联盟/AS外部no-advertise、不通告给任何BGPPeer、local-AS不通告给任何EBGP、Internet通告所有路由器

　　71.BGP路由选择过程1、下一跳不可达，忽略2、选择local-preference大的路由3、优先级相同，选择本地路由器始发的路由4、选择AS路径较短的路由5、路由选择顺序IGP-EGP-Incomplete6、选择MED值小的路由7、选择routerID小的路由

　　72.基本配置启动BGP配邻居peer宣告网段network引入路由import

　　73.BGP定时器有keepalive-interval、holdtime-interval

　　74.BGP前缀过滤器filter-policy、AS-Path过滤　acl　aspath-list-number、路由映射route-policy

　　75.复位BGPresetbgp

　　76.正则表达式:

^路径开始$结束\bAs号码间分割符^$匹配本地路由

　　77.BGP路由处理过程:

接受路由-实施策略-路由聚合-选路-加入路由表-发布

　　78.BGPdebugall/event/keepalive/open/packet/updata/recive/send/verbose

　　79.BGP路由聚合-聚合到CIDR中aggregate

　　80.反射器-reflectclient

　　81.AS联盟子AS间为EBGP，所有IBGP规则仍然适用。

Confederationid&confederationpeer-as

　　82.BGP衰减的5个参数:

可达半衰期、不可达半衰期、重用值、抑制值、惩罚上限

　　路由策略

　　83.策略相关的无种过滤器:

路由策略routingpolicy、访问列表acl、前缀列表prefix-list、自治系统信息路径访问列表aspath-list仅用于BGP、团体属性列表community-list仅用与BGP。

　　84.路由引入时使用routingpolicy过滤，路由发布和接收时用ipprefix和ACL

　　85.一个routingpolicy下的node节点为或的关系，而每个节点下的if-match和apply语句为与的关系。

Permit执行apply，deny不执行apply

　　86.路由引入import-routeprotocol目前有direct、static、rip、ospf、ospf-ase、bgp

　　87.定义ip前缀列表ipip-preffixprefix-list-name，不同sequence-number间为或的关系路由过滤filter-policygateway/acl-numebergataway只能import，acl和ip-prefix可以export。

　　网络安全特性

　　88.网络安全两层含义:

保证内部局域网的安全、保护和外部进行数据交换的安全

　　89.安全考虑:

物理线路、合法用户、访问控制、内网的隐蔽性、防伪手段，重要数据的保护、设备及拓扑的安全管理、病毒防范、安全防范意识的提高

　　90.网络攻击的主要方式:

窃听报文、ip地址欺骗、源路由攻击、端口扫描、DoS拒绝服务、应用层攻击

　　91.可靠性和线路――主从备份和负载分担

　　92.身份认证--con口配置、telnet、snmp和AUX（modem远程）、防止伪造路由信息

　　93.访问控制――分级保护，基于5源组控制源，目的ip、源，目的端口、协议号

　　94.信息隐藏――NAT

　　95.加密和防伪――数据加密、数字签名、IPsec

　　96.安全管理――制度和意识

　　97.AAA-authentication、authorization、accounting认证、授权、计费

　　98.包过滤技术-利用ip包的特征进行访问控制、不能使用在接入服务中、可以基于ip地址、接口和时间段

　　99.IPsec-Ipsecurity通过AH和ESP两个协议来实现

　　100.IKE-internet密钥交换协议。

定义了双方进行身份认证、协商加密算法和生成共享密钥的方法。

　　101.提供AAA支持的服务:

PPP-pap、chap认证。

EXEC-登陆到路由器。

FTP-ftp登陆。

　　102.AAA不需要计费时，aaaaccounting-schemeoptional取消计费

　　103.AAA配置命令:

aaaenable-开启、aaaaccounting-schemeoptional-取消计费、aaaaccounting-schemelogin-配置方法表、aaaaccounting-schemeppp-在接口上启用方法表

　　104.方法表5种组合:

radius、local、none、radiuslocal、radiusnone

　　105.路由器local-user不要超过50个

　　106.可以debugradiusprimitive和event

　　107.原语7种:

joinPAP、joinCHAP、leave、accept、reject、bye、cut

　　108.RADIUS-remoteauthenticationDial-inUserservice

　　109.radius采用client/server模式，使用两个UDP端口验证1812，计费1813，客户端发其请求，服务器响应。

　　110.radius配置radius[servername&ip]authentication-portaccouting-port、radiusshared-key、配重传radiusretry、radiustimerresponse-timeout

VPN

　　111.VPN-Virtualprivatenetwork

　　112.按应用类型accessVPN、intranetVPN、ExtranetVPN

　　113.按实现层次2层[PPTP、L2F、L2TP]、3层[GRE、IPSec]

　　114.远程接入VPN即AccessVPN又称VPDN，利用2层隧道技术建立隧道。

用户发起的VPN，LNS侧进行AAA。

　　115.IntranetVPN企业内部互联可使用IPSec和GRE等。

　　116.2层隧道协议:

PPTP点到点隧道协议、L2F二层转发协议cisco、L2TP二层隧道协议IETF起草，可实现VPDN和专线VPN。

　　117.三层协议:

隧道内只携带第三层报文，GRE-genericroutingencapsulation通用路由封装协议、IPSec-由AH和IKE协议组成。

　　118.VPN设计原则，安全性、可靠性、经济性、扩展性

　　L2TP

　　119.L2TP　layer2tunnelprotocol二层隧道协议，IETF起草，结合了PPTP和L2F优点。

适合单个和少数用户接入，支持接入用户内部动态地址分配，安全性可采用IPSec，也可采用vpn端系统LAC侧加密-由服务提供商控制。

　　120.L2TP两种消息:

控制消息-隧道和会话连接的建立、维护和删除，数据消息-封装PPP帧并在隧道传输。

　　121.同一对LAC与LNS间只建立一个L2TP隧道，多个会话复用到一个隧道连接上。

　　122.LAC-l2tpaccessconcentratorLNS-l2tpnetworkserver

　　123.隧道和会话的建立都经过三次握手:

请求crq-应答crp-确认ccn。

隧道sc，会话i

　　124.隧道和会话拆除时需要有ZLB-zero-Lengthbody报文确认。

　　125.L2TP封装:

IP报文（私网）-PPP报文-L2TP报文-UDP报文-IP报文（公网）

　　126.配置LAC侧:

1配置AAA和本地用户、2启动VPDNl2tpenable、3配置vpdn组l2tp-groupnumber、3配置发起连接请求和LNS地址startl2tp[ipadd]

　　127.配置LNS侧:

1配置本地VPDN用户、2启动vpdn、3创建vpdn组、4创建虚模板，为用户分配地址interfacevirtrual-template[number]、5配置接受呼叫的对端名称allowl2tpvirtual-template[number][name]

　　128.L2TP可选配置:

本端隧道名称、隧道加密验证、Hello报文的发送间隔、配置L2TP最大会话数。

　　129.disl2tptunnel&session、debugl2tpall/control/error/enent/hidden/payload/time-stamp

　　130.L2TP用户登陆失败:

1tunnel建立失败-LAC端配的LNS地址不对，tunnel密码验证问题、2PPP协商不通-pap、chap验证，LNS端地址分配问题。

　　GRE

　　131.GRE-genericroutingencapsulation通用路由封装是一种三层隧道的承载协议，协议号为47，将一种协议报文封装在另一中报文中，此时ip既是被封装协议，又是传递（运输）协议。

　　132.GRE配置:

1创建Tunnel接口interfacetunnel[number]、2配置接口源地址source[ip-add]、3配目的地址destination[ip-add]4配网络地址ipadd[ip-add，mask]

　　133.GRE可选参数接口识别关键字、数据报序列号同步、接口校验。

　　IPSec

　　134.IPSec-IPSecurity包括报文验证头协议AH协议号51、报文安全封装协议ESP协议号50。

工作方式有隧道tunnel和传送transport两种。

　　135.隧道方式中，整个IP包被用来计算AH或ESP头，且被加密封装于一个新的IP包中;在传输方式中，只有传输层的数据被用来计算AH或ESP头，被加密的传输层数据放在原IP包头后面。

　　136.AH可选用的加密为MD5和SHA1。

ESP可选的DES和3DES。

　　137.IPSec安全特点，数据机密性、完整性、来源认证和反重放。

　　138.IPSec基本概念:

数据流、安全联盟、安全参数索引、SA生存时间、安全策略、转换方式

　　139.安全联盟SA-包括协议、算法、密钥等，SA就是两个IPSec系统间的一个单向逻辑连接，安全联盟由安全参数索引SPI、IP目的地址和安全协议号（AH或ESP）来唯一标识。

140.安全参数索引SPI:

32比特数值，全联盟唯一。

　　141.安全联盟生存时间LifeTime:

安全联盟更新时间有用时间限制和流量限制两种。

　　142.安全策略cryptoMap:

即规则。

　　143.安全提议TransformMode:

包括安全协议、安全协议使用算法、对报文封装形式。

规定了把普通报文转成IPSec报文的方式。

　　144.AH、ESP使用32比特序列号结合重放窗口和报文验证防御重放攻击。

　　145.IKE-internetkeyexchange因特网密钥交换协议，为IPSec提供自动协商交换密钥号和建立SA的服务。

通过数据交换来计算密钥。

　　146.IKE完善的向前安全性PFS和数据验证机制。

使用DH-diffie-Hellman公用密钥算法来计算和交换密钥。

　　147.PHS特性由DH算法保证。

　　148.IKE交换过程，阶段1:

建立IKESA;阶段2:

在IKESA下，完成IPSec协商。

　　149.IKE协商过程:

1SA交换，确认有关安全策略;2密钥交换，交换公共密钥;3ID信息和验证数据交换。

　　150.大规模的IPSec部署，需要有CA-认证中心。

　　151.IKE为IPSec提供定时更新的SA、密钥，反重放服务，端到端的动态认证和降低手工配置的复杂度。

　　152.IKE是UDP上的应用层协议，是IPSec的信令协议。

他为IPSec建立安全联盟。

　　153.IPsec要确定受保护的数据，使用安全保护的路径，确认使用那种保护机制和保护强度。

　　154.IPSec配置:

1创建加密访问控制列表、2定一安全提议ipsecproposal[name];ipseccard-protposal[name]、3设置对IP报文的封装模式encapsulation-mode[transportortunnel]、4选择安全协议ah-newesp-newah-esp-new、5选择加密算法只有ESP可加密、6创建安全策略ipsecpolicy应用安全策略到接口ipsecpolicy

　　155.IKE配置:

1创建IKE安全策略ikeproposal[num]、2选择加密算法、认证方式、hash散列算法、DH组标示、SA生存周期3、配置预设共享密钥ikepre-shared-keykeyremote[add]、4配置keeplive定时器

　　156.keeplive定时器包括1interval定时器按照interval时间间隔发送keeplive报文2timeout定时器超时检查

　　157.debugipse