華為認(rèn)證：HCSE路由知識(shí)點(diǎn)羅列

　　OSPF

　　1. OSPF開放式最短路徑優(yōu)先，基于RFC2328。由IETF開發(fā)，AS內(nèi)部路由協(xié)議，目前第二版。

　　2. OSPF無路由自環(huán)，適用于大規(guī)模網(wǎng)絡(luò)，收斂速度快。支持劃分區(qū)域，等值路由及驗(yàn)證和路由分級(jí)管理……OSPF可以組播方式發(fā)送路由信息。

　　3. OSPF基于IP，協(xié)議號(hào)為89。Route ID 為32位無符號(hào)數(shù)，一般用接口地址。

　　4. OSPF將網(wǎng)絡(luò)拓?fù)涑橄鬄?中，P to P、stub、NBMA&broadcast、P to MP。

　　5. NBMA網(wǎng)絡(luò)必須全連通。

　　6. OSPF路由計(jì)算過程，1、描述本路由連接的網(wǎng)絡(luò)拓?fù)�，生成LSA。2、收集其他路由發(fā) 出的LSA，組成LSDB。3、根據(jù)LSDB計(jì)算路由。

　　7. OSPF5種報(bào)文：1、hello報(bào)文 定時(shí)通報(bào)，選舉DR、BDR。2、DD報(bào)文 通告本端LSA，以摘要顯示，即LSA的HEAD。3、LSR報(bào)文 相對(duì)端請(qǐng)求自己沒有的LSA。4、LSU報(bào)文 回應(yīng)對(duì)端請(qǐng)求，向其發(fā)送LSA。4、LSAck報(bào)文 確認(rèn)收到對(duì)端發(fā)送的LSA。

　　8. OSPF鄰居狀態(tài) 1、down 過去dead-interval時(shí)間未收到鄰居發(fā)來的Hello報(bào)文2、Attempt NBMA網(wǎng)絡(luò)時(shí)出現(xiàn)，定時(shí)向手工指定的鄰居發(fā)送Hello報(bào)文。3、init 本端已受到鄰居發(fā)來的Hello報(bào)文，但其中沒有我端的router id，即鄰居未受到我的hello報(bào)文。4、2-way 雙方都受到了Hello報(bào)文。若兩端均為DRother的話即會(huì)停留在這個(gè)狀態(tài)。5、 Exstart 互相交換DD報(bào)文，建立主從關(guān)系。6、exchange 雙方用DD表述LSDB，互相交換。7、loading 發(fā)送LSR。8、full 對(duì)端的LSA本端均有，兩端建立鄰接關(guān)系。

　　9. OSPF的HELLO報(bào)文使用組播地址224.0.0.5。

　　10. DD報(bào)文中，MS=1為Master，I=1表示第一個(gè)DD報(bào)文。

　　11. 在廣播和NBMA網(wǎng)絡(luò)上會(huì)選舉DR，來傳遞信息。

　　12. 在DR的選舉上，所有優(yōu)先級(jí)大于0的均可選舉，hello報(bào)文為選票，選擇所有路由器中優(yōu)先級(jí)最大的，如果優(yōu)先級(jí)相同，選router id最大的。同時(shí)選出BDR。

　　13. 如果有優(yōu)先級(jí)大的路由器加入網(wǎng)絡(luò)，OSPF的DR也不改變。

　　14. NBMA網(wǎng)絡(luò)―――X.25和FR。是全連通的，但點(diǎn)到多點(diǎn)不是全連通。NBMA用單播發(fā)送報(bào)文，P to MP可是單播或多播。

　　15. NBMA需要手工配置鄰居。

　　16. 劃分區(qū)域的原因，路由器的增多會(huì)導(dǎo)致LSDB的龐大導(dǎo)致CPU負(fù)擔(dān)過大。

　　17. OSPF區(qū)域間的路由計(jì)算通過ABR來完成。

　　18. 骨干區(qū)域和虛連接，目的防止路由自環(huán)。

　　19. OSPF可引入AS外部路由，分兩類 IGP路由(cost=本路由器到ASBR的花費(fèi)和ASBR到該目的的花費(fèi))和BGP路由(cost=ASBR到該目的的花費(fèi))。

　　20. OSPF一共將路由分四級(jí)，區(qū)域內(nèi)路由、區(qū)域間路由、自治系統(tǒng)外一類路由IGP、自治系統(tǒng)外二類路由(BGP)。前兩類優(yōu)先級(jí)10，后兩類優(yōu)先級(jí)150。

　　21. stub是不傳播引入的外部路由的LSA的區(qū)域，由ABR生成一條80路由傳播到區(qū)域內(nèi)。

　　22. 一個(gè)區(qū)域?yàn)镾TUB區(qū)，則該區(qū)域內(nèi)所有路由器均須配置該屬性。虛連接不能穿越STUB區(qū)域。

　　23. NSSA基于RFC1587，該區(qū)域外的ASE路由不能進(jìn)入，但若是該區(qū)域內(nèi)路由器引入的ASE路由可以在區(qū)域內(nèi)傳播。

　　24. Type=1的LSA:router-LSA 每個(gè)運(yùn)行OSPF的路由器均會(huì)生成，描述本路由器狀況。對(duì)于ABR會(huì)為每個(gè)區(qū)域生成一條router-LSA，傳遞范圍是其所屬區(qū)域。

　　25. Type=2的LSA:Network LSA，由DR生成，對(duì)于廣播和NBMA網(wǎng)絡(luò)描述其區(qū)域內(nèi)所有與DR建立鄰接關(guān)系的路由器。

　　26. Type=3的LSA:Network Summary LSA，由ABR生成，為某個(gè)區(qū)域的聚合路由LSA在ABR連接的其他區(qū)域傳遞。

　　27. Type=4的LSA:ASBR summary LSA，由ABR生成，描述到達(dá)本區(qū)域內(nèi)部的ASBR的路由。是主機(jī)路由，掩碼0.0.0.0。

　　28. Type=5的LSA:AS External LSA，由ASBR生成，表述了到AS外部的路由，與區(qū)域無關(guān)在整個(gè)AS除了Stub區(qū)內(nèi)傳遞。

　　29. P to P――PPP、HDLC、LAPB

　　30. broadcast――Ethernet

　　31. NBMA――FR、X.25

　　32. P to MP――由NBMA修改而來，可以組播發(fā)送報(bào)文224.0.0.5。

　　33. IAR-internal Area Router BBR――Backbone router

　　34. OSPF不會(huì)產(chǎn)生回路的原因，每一條LSA都標(biāo)記了生成者，鏈路狀態(tài)算法

　　35. 運(yùn)行OSPF，網(wǎng)絡(luò)中路由器10臺(tái)以上，網(wǎng)狀拓?fù)�，快收斂等�?/p>

　　36. OSPF區(qū)域的劃分：1、按自然或行政區(qū)域劃分。2、按高端路由器來劃分。3、按ip地址的分配來劃分。

　　37. 區(qū)域不要超過70臺(tái)，與骨干區(qū)域虛連接，ABR性能要高不要配太多區(qū)域。

　　38. 配置：1、router id 2、ospf enable 3、端口下 ospf enable area aera_id

　　39. 路由聚合，ospf下 abr-summary ip mask area area_id

　　40. stub區(qū)域 stub cost area

　　41. 虛連接 vlink peer-id transit-area

　　42. NSSA 區(qū)域 nssa area default-route-advertise

　　43. OSPF可以dis 錯(cuò)誤接口 peer 和dis ospf

　　44. OSPF可以debug enent 、lsa、packet、spf。

　　45. 接口上的dead定時(shí)器應(yīng)大于hello定時(shí)器，且至少在4倍以上。

　　BGP

　　46. BGP――border gateway protocol EGP協(xié)議

　　47. BGP端口號(hào)179，基于TCP協(xié)議傳送，當(dāng)前使用RFC1771-BGP4

　　48. BGP不發(fā)現(xiàn)和計(jì)算路由，只進(jìn)行路由的傳遞和控制。

　　49. 支持CIDR、采用增量路由發(fā)送、通過攜帶的AS信息來解決路由環(huán)路、豐富的路由屬性和策略。

　　50. AS同一機(jī)構(gòu)管理，統(tǒng)一的選路策略的一些路由器。1-65411為注冊(cè)的因特網(wǎng)編號(hào)，65412-65535為專用網(wǎng)絡(luò)編號(hào)。

　　51. BGP包括IBGP和EBGP。一般要求EBGP peer間保證直鏈鏈路，IBGP間保證邏輯全連接。

　　52. BGP選路原則：多條路徑選最優(yōu)的給自己、只將自己使用的路由通告給peer、從EBGP獲得的路由會(huì)通告給所有BGP　peer、從IBGP得到的路由不通告IBGP　peer，看同步狀況決定是否通告給EBGP　peer、新建立的連接，將所有的BGP路由通告給新的peer。

　　53. BGP同步，即IBGP宣告的路由在IGP中已經(jīng)被發(fā)現(xiàn)。

　　54. BGP路由引入――純動(dòng)態(tài)注入、半動(dòng)態(tài)注入、靜態(tài)注入

　　55. OPEN報(bào)文，交換各種信息，用于協(xié)商建立鄰居關(guān)系，是BGP的初始握手消息

　　56. UPDATE報(bào)文，攜帶路由更新信息，包括撤銷和可達(dá)的路由信息。

　　57. Notification報(bào)文，當(dāng)檢測的差錯(cuò)時(shí)，發(fā)送Notification報(bào)文關(guān)閉peer連接。

　　58. Keeplive報(bào)文，收到open報(bào)文后相對(duì)端回應(yīng)，peer間周期性發(fā)送，保持連接。

　　59. BGP報(bào)文頭中type信息1字節(jié)，1open　2updata　3notification　4keeplive

　　60. updata報(bào)文一次只能通告一個(gè)路由，但可以攜帶多個(gè)屬性。當(dāng)一次通告多條路由的話，只能攜帶相同的屬性。Updata可以同時(shí)列出多個(gè)被撤銷的路由。

　　61. 缺省情況，keeplive　60s一發(fā)。

　　62. Notification的errorcode中code=2　OPEN錯(cuò)　code=3　update錯(cuò)

　　63. BGP開始Idle狀態(tài)，BGP一旦start則進(jìn)入connect狀態(tài)，接著建立TCP連接，如果不成功則進(jìn)入Active狀態(tài)，成功就進(jìn)入opensent狀態(tài)，opensent狀態(tài)收到一個(gè)正確的open報(bào)文就進(jìn)入openconfirm狀態(tài)，當(dāng)受到keeplive報(bào)文，就會(huì)建立BGP連接，進(jìn)入Established狀態(tài)。

　　64. BGP屬性目前16種可擴(kuò)展到256種。分為必遵、可選、過渡、非過渡。

　　65. Origin屬性 標(biāo)識(shí)路由的來源，0-IGP 聚合和注入路由、1-EGP EGP得到、3-incomplete 其他方式 從其他IGP引入的

　　66. AS-path屬性 達(dá)到某個(gè)目的地址所經(jīng)過的所有AS號(hào)碼序列。宣告時(shí)把新經(jīng)過的AS號(hào)碼放在最前。

　　67. NexT Hop屬性 必遵屬性 當(dāng)對(duì)等體不知道路由時(shí)，須將下一條屬性改為本地

　　68. Local-preference屬性 可選 幫助AS內(nèi)的路由器選擇到AS區(qū)域外的較好的出口，本地優(yōu)先級(jí)屬性只在AS內(nèi)部，IBGP peer間交換。

　　69. MED屬性 向外部指示進(jìn)入某個(gè)具有多入口的AS的優(yōu)先路經(jīng)。選MED小的。

　　70. Community屬性 no-expert 不通告到聯(lián)盟/AS外部 no-advertise 、不通告給任何BGP Peer、local-AS不通告給任何EBGP、Internet 通告所有路由器

　　71. BGP路由選擇過程 1、下一跳不可達(dá)，忽略 2、選擇local-preference大的路由 3、優(yōu)先級(jí)相同，選擇本地路由器始發(fā)的路由 4、選擇AS路徑較短的路由5、路由選擇順序IGP-EGP-Incomplete 6、選擇MED值小的路由 7、選擇router ID小的路由

　　72. 基本配置 啟動(dòng)BGP 配鄰居 peer 宣告網(wǎng)段 network 引入路由 import

　　73. BGP定時(shí)器有keepalive-interval、holdtime-interval

　　74. BGP前綴過濾器filter-policy、AS-Path過濾　acl　aspath-list-number 、路由映射 route-policy

　　75. 復(fù)位BGP reset bgp

　　76. 正則表達(dá)式：^ 路徑開始 $ 結(jié)束  As號(hào)碼間分割符 ^$ 匹配本地路由

　　77. BGP路由處理過程：接受路由-實(shí)施策略-路由聚合-選路-加入路由表-發(fā)布

　　78. BGP debug all/event/keepalive/open/packet/updata/recive/send/verbose

　　79. BGP路由聚合-聚合到CIDR中 aggregate

　　80. 反射器-reflect client

　　81. AS聯(lián)盟 子AS間為EBGP，所有IBGP規(guī)則仍然適用。Confederation id &confederation peer-as

　　82. BGP衰減的5個(gè)參數(shù)：可達(dá)半衰期、不可達(dá)半衰期、重用值、抑制值、懲罰上限

　　路由策略

　　83. 策略相關(guān)的無種過濾器：路由策略 routing policy、訪問列表 acl、前綴列表 prefix-list、自治系統(tǒng)信息路徑訪問列表 aspath-list 僅用于BGP 、團(tuán)體屬性列表 community-list 僅用與BGP。

　　84. 路由引入時(shí)使用routing policy過濾，路由發(fā)布和接收時(shí)用ip prefix和ACL

　　85. 一個(gè)routing policy下的node節(jié)點(diǎn)為或的關(guān)系，而每個(gè)節(jié)點(diǎn)下的if-match和apply語句為與的關(guān)系。Permit 執(zhí)行apply，deny不執(zhí)行apply

　　86. 路由引入 import-route protocol 目前有direct、static、rip、ospf、ospf-ase、bgp

　　87. 定義ip前綴列表 ip ip-preffix prefix-list-name ，不同sequence-number間為或的關(guān)系路由過濾 filter-policy gateway/acl-numeber gataway 只能import，acl和ip-prefix可以export。

　　網(wǎng)絡(luò)安全特性

　　88. 網(wǎng)絡(luò)安全兩層含義：保證內(nèi)部局域網(wǎng)的安全、保護(hù)和外部進(jìn)行數(shù)據(jù)交換的安全

　　89. 安全考慮：物理線路、合法用戶、訪問控制、內(nèi)網(wǎng)的隱蔽性、防偽手段，重要數(shù)據(jù)的保護(hù)、設(shè)備及拓?fù)涞陌踩�管理、病毒防范、安全防范意識(shí)的提高

　　90. 網(wǎng)絡(luò)攻擊的主要方式：竊x報(bào)文、ip地址欺騙、源路由攻擊、端口掃描、DoS拒絕服務(wù)、應(yīng)用層攻擊

　　91. 可靠性和線路――主從備份和負(fù)載分擔(dān)

　　92. 身份認(rèn)證--con口配置、telnet、snmp和AUX(modem遠(yuǎn)程)、防止偽造路由信息

　　93. 訪問控制――分級(jí)保護(hù)，基于5源組控制 源，目的ip、源，目的端口、協(xié)議號(hào)

　　94. 信息隱藏――NAT

　　95. 加密和防偽――數(shù)據(jù)加密、數(shù)字簽名、IPsec

　　96. 安全管理――制度和意識(shí)

　　97. AAA-authentication、authorization、accounting 認(rèn)證、授權(quán)、計(jì)費(fèi)

　　98. 包過濾技術(shù)-利用ip包的特征進(jìn)行訪問控制、不能使用在接入服務(wù)中、可以基于ip地址、接口和時(shí)間段

　　99. IPsec-Ip security 通過AH和ESP兩個(gè)協(xié)議來實(shí)現(xiàn)

　　100. IKE-internet密鑰交換協(xié)議。定義了雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法和生成共享密鑰的方法。

　　101. 提供AAA支持的服務(wù)：PPP-pap、chap認(rèn)證。EXEC-登陸到路由器。FTP-ftp登陸。

　　102. AAA不需要計(jì)費(fèi)時(shí)，aaa accounting-scheme optional 取消計(jì)費(fèi)

　　103. AAA配置命令：aaa enable-開啟、aaa accounting-scheme optional-取消計(jì)費(fèi)、aaa accounting-scheme login-配置方法表、aaa accounting-scheme ppp-在接口上啟用方法表

　　104. 方法表5種組合：radius、local、none、radius local、radius none

　　105. 路由器local-user 不要超過50個(gè)

　　106. 可以debug radius primitive 和event

　　107. 原語7種：join PAP 、join CHAP、leave、accept、reject、bye、cut

　　108. RADIUS-remote authentication Dial-in User service

　　109. radius采用client/server模式，使用兩個(gè)UDP端口驗(yàn)證1812，計(jì)費(fèi)1813，客戶端發(fā)其請(qǐng)求，服務(wù)器響應(yīng)。

　　110. radius配置 radius [server name&ip]authentication -port accouting-port、radius shared-key、配重傳 radius retry 、radius timer response-timeout

　　VPN

　　111. VPN-Virtual private network

　　112. 按應(yīng)用類型 access VPN、intranet VPN、Extranet VPN

　　113. 按實(shí)現(xiàn)層次 2層 [ PPTP、L2F、L2TP ]、3層[GRE、IPSec]

　　114. 遠(yuǎn)程接入VPN即Access VPN又稱VPDN，利用2層隧道技術(shù)建立隧道。用戶發(fā)起的VPN，LNS側(cè)進(jìn)行AAA。

　　115. Intranet VPN企業(yè)內(nèi)部互聯(lián)可使用IPSec和GRE等。

　　116. 2層隧道協(xié)議：PPTP 點(diǎn)到點(diǎn)隧道協(xié)議、L2F 二層轉(zhuǎn)發(fā)協(xié)議 cisco、L2TP 二層隧道協(xié)議 IETF起草，可實(shí)現(xiàn)VPDN和專線VPN。

　　117. 三層協(xié)議：隧道內(nèi)只攜帶第三層報(bào)文，GRE-generic routing encapsulation 通用路由封裝協(xié)議、IPSec-由AH和IKE協(xié)議組成。

　　118. VPN設(shè)計(jì)原則，安全性、可靠性、經(jīng)濟(jì)性、擴(kuò)展性

　　L2TP

　　119. L2TP　layer 2 tunnel protocol 二層隧道協(xié)議，IETF起草，結(jié)合了PPTP和L2F優(yōu)點(diǎn)。適合單個(gè)和少數(shù)用戶接入，支持接入用戶內(nèi)部動(dòng)態(tài)地址分配，安全性可采用IPSec，也可采用vpn端系統(tǒng)LAC側(cè)加密-由服務(wù)提供商控制。

　　120. L2TP兩種消息：控制消息-隧道和會(huì)話連接的建立、維護(hù)和刪除，數(shù)據(jù)消息-封裝PPP幀并在隧道傳輸。

　　121. 同一對(duì)LAC與LNS間只建立一個(gè)L2TP隧道，多個(gè)會(huì)話復(fù)用到一個(gè)隧道連接上。

　　122. LAC-l2tp access concentrator LNS-l2tp network server

　　123. 隧道和會(huì)話的建立都經(jīng)過三次握手：請(qǐng)求crq-應(yīng)答crp-確認(rèn)ccn。隧道sc，會(huì)話i

　　124. 隧道和會(huì)話拆除時(shí)需要有ZLB-zero-Length body 報(bào)文確認(rèn)。

　　125. L2TP封裝：IP報(bào)文(私網(wǎng))-PPP報(bào)文-L2TP報(bào)文-UDP報(bào)文-IP報(bào)文(公網(wǎng))

　　126. 配置LAC側(cè)：1配置AAA和本地用戶、2啟動(dòng)VPDN l2tp enable、3 配置vpdn組 l2tp-group number、3 配置發(fā)起連接請(qǐng)求和LNS地址 start l2tp [ipadd]

　　127. 配置LNS側(cè)：1配置本地VPDN用戶、2 啟動(dòng)vpdn、3 創(chuàng)建vpdn組、4 創(chuàng)建虛模板，為用戶分配地址 interface virtrual-template [number]、5 配置接受呼叫的對(duì)端名稱 allow l2tp virtual-template[number][name]

　　128. L2TP可選配置：本端隧道名稱、隧道加密驗(yàn)證、Hello報(bào)文的發(fā)送間隔、配置L2TP最大會(huì)話數(shù)。

　　129. dis l2tp tunnel &session 、debug l2tp all/control/error/enent/hidden/payload/time-stamp

　　130. L2TP用戶登陸失�。�1 tunnel建立失敗-LAC端配的LNS地址不對(duì)，tunnel密碼驗(yàn)證問題、2 PPP協(xié)商不通-pap、chap驗(yàn)證，LNS端地址分配問題。

　　GRE

　　131. GRE-generic routing encapsulation 通用路由封裝是一種三層隧道的承載協(xié)議，協(xié)議號(hào)為47，將一種協(xié)議報(bào)文封裝在另一中報(bào)文中，此時(shí)ip既是被封裝協(xié)議，又是傳遞(運(yùn)輸)協(xié)議。

　　132. GRE配置：1 創(chuàng)建Tunnel接口 interface tunnel [number]、2 配置接口源地址 source [ip-add]、3 配目的地址 destination [ip-add]4 配網(wǎng)絡(luò)地址 ip add [ip-add，mask]

　　133. GRE可選參數(shù) 接口識(shí)別關(guān)鍵字、數(shù)據(jù)報(bào)序列號(hào)同步、接口校驗(yàn)。

　　IPSec

　　134. IPSec-IP Security 包括報(bào)文驗(yàn)證頭協(xié)議AH 協(xié)議號(hào)51、報(bào)文安全封裝協(xié)議ESP 協(xié)議號(hào)50。工作方式有隧道tunnel和傳送transport兩種。

　　135. 隧道方式中，整個(gè)IP包被用來計(jì)算AH或ESP頭，且被加密封裝于一個(gè)新的IP包中;在傳輸方式中，只有傳輸層的數(shù)據(jù)被用來計(jì)算AH或ESP頭，被加密的傳輸層數(shù)據(jù)放在原IP包頭后面。

　　136. AH可選用的加密為MD5和SHA1。ESP可選的DES和3DES。

　　137. IPSec安全特點(diǎn)，數(shù)據(jù)機(jī)密性、完整性、來源認(rèn)證和反重放。

　　138. IPSec基本概念：數(shù)據(jù)流、安全聯(lián)盟、安全參數(shù)索引、SA生存時(shí)間、安全策略、轉(zhuǎn)換方式

　　139. 安全聯(lián)盟 SA-包括協(xié)議、算法、密鑰等，SA就是兩個(gè)IPSec系統(tǒng)間的一個(gè)單向邏輯連接，安全聯(lián)盟由安全參數(shù)索引SPI、IP目的地址和安全協(xié)議號(hào)(AH或ESP)來唯一標(biāo)識(shí)。

　　140. 安全參數(shù)索引SPI:32比特?cái)?shù)值，全聯(lián)盟唯一。

　　141. 安全聯(lián)盟生存時(shí)間 Life Time：安全聯(lián)盟更新時(shí)間有用時(shí)間限制和流量限制兩種。

　　142. 安全策略 crypto Map ：即規(guī)則。

　　143. 安全提議 Transform Mode ：包括安全協(xié)議、安全協(xié)議使用算法、對(duì)報(bào)文封裝形式。規(guī)定了把普通報(bào)文轉(zhuǎn)成IPSec報(bào)文的方式。

　　144. AH、ESP使用32比特序列號(hào)結(jié)合重放窗口和報(bào)文驗(yàn)證防御重放攻擊。

　　145. IKE-internet key exchange 因特網(wǎng)密鑰交換協(xié)議，為IPSec提供自動(dòng)協(xié)商交換密鑰號(hào)和建立SA的服務(wù)。通過數(shù)據(jù)交換來計(jì)算密鑰。

　　146. IKE完善的向前安全性PFS和數(shù)據(jù)驗(yàn)證機(jī)制。使用DH-diffie-Hellman公用密鑰算法來計(jì)算和交換密鑰。

　　147. PHS特性由DH算法保證。

　　148. IKE交換過程，階段1：建立IKE SA;階段2：在IKE SA下，完成IPSec協(xié)商。

　　149. IKE協(xié)商過程：1 SA交換，確認(rèn)有關(guān)安全策略;2 密鑰交換，交換公共密鑰;3 ID信息和驗(yàn)證數(shù)據(jù)交換。

　　150. 大規(guī)模的IPSec部署，需要有CA-認(rèn)證中心。

　　151. IKE為IPSec提供定時(shí)更新的SA、密鑰，反重放服務(wù)，端到端的動(dòng)態(tài)認(rèn)證和降低手工配置的復(fù)雜度。

　　152. IKE是UDP上的應(yīng)用層協(xié)議，是IPSec的信令協(xié)議。他為IPSec建立安全聯(lián)盟。

　　153. IPsec要確定受保護(hù)的數(shù)據(jù)，使用安全保護(hù)的路徑，確認(rèn)使用那種保護(hù)機(jī)制和保護(hù)強(qiáng)度。

　　154. IPSec配置：1 創(chuàng)建加密訪問控制列表、2 定一安全提議 ipsec proposal [name];ipsec card-protposal [name]、3 設(shè)置對(duì)IP報(bào)文的封裝模式 encapsulation-mode [transport or tunnel]、4 選擇安全協(xié)議 ah-new esp-new ah-esp-new 、5 選擇加密算法 只有ESP可加密、6 創(chuàng)建安全策略 ipsec policy 應(yīng)用安全策略到接口 ipsec policy

　　155. IKE配置：1創(chuàng)建IKE安全策略 ike proposal [num]、2 選擇加密算法、認(rèn)證方式、hash散列算法、DH組標(biāo)示、SA生存周期3、配置預(yù)設(shè)共享密鑰 ike pre-shared-key key remote [add]、4 配置keeplive定時(shí)器

　　156. keeplive定時(shí)器包括 1 interval定時(shí)器 按照interval時(shí)間間隔發(fā)送keeplive報(bào)文 2 timeout定時(shí)器 超時(shí)檢查

　　157. debug ipsec misc/packet/sa

　　QoS

　　158. QoS-quality of service 服務(wù)質(zhì)量保證。在通信過程中，允許用戶業(yè)務(wù)在丟包率、延遲、抖動(dòng)和帶寬上獲得預(yù)期的服務(wù)水平。

　　159. QoS需要提供以下功能：避免并管理ip網(wǎng)絡(luò)阻塞、減少ip報(bào)文丟包率、調(diào)控流量、為特定用戶提供專用帶寬、支持實(shí)時(shí)業(yè)務(wù)

　　160. IP QoS三種模式：Best-Effort模型-缺省FIFO;IntServ模型-申請(qǐng)預(yù)留資源;DiffServ-網(wǎng)絡(luò)擁塞時(shí)，根據(jù)不同服務(wù)等級(jí)，差別對(duì)待

　　161. IntServ模型，提供可控的端到端的服務(wù)，利用RSVP來傳遞QoS信令。有兩種模式：保證服務(wù)和負(fù)載控制服務(wù)。

　　162. RSVP是第一個(gè)標(biāo)準(zhǔn)的QoS信令協(xié)議，不是路由協(xié)議但是按照路由協(xié)議規(guī)定的報(bào)文流的路徑為報(bào)文申請(qǐng)預(yù)留資源。只在網(wǎng)絡(luò)節(jié)點(diǎn)間傳遞QoS請(qǐng)求，本身不完成QoS要求的實(shí)現(xiàn)。

　　163. RSVP要求端到端的設(shè)備均支持這一協(xié)議，可擴(kuò)展性差，不適合在大型網(wǎng)絡(luò)應(yīng)用。

　　164. DiffServ-Differentiated Service 差分服務(wù)模型，目前QoS主流。DS不需要信令。數(shù)據(jù)進(jìn)入DS網(wǎng)路，根據(jù)優(yōu)先級(jí)DSCP匯聚為一個(gè)行為集合。根據(jù)定義的PHB-per-hop behavior來對(duì)業(yè)務(wù)流執(zhí)行PHB。

　　165. 著色：給不同的業(yè)務(wù)流打上QoS標(biāo)記。著色是進(jìn)行QoS處理的前題。

　　166. CAR-commited access rate 約定訪問速率。是流量監(jiān)管-traffic policing的一種。利用IP頭部的TOS字段來對(duì)報(bào)文處理，三層處理。

　　167. CAR采用令牌桶進(jìn)行流量控制。配置命令：1 定義規(guī)則qos carl carl-index、2 在接口上應(yīng)用CAR策略或ACL qos car inbound/outbound 每個(gè)接口上可應(yīng)用100條，注意應(yīng)用策略前，取消快速轉(zhuǎn)發(fā)功能。

　　168. GTS-generic traffic shaping 流量整理 用于解決鏈路兩邊的接口速率不匹配，使用令牌桶，兩種方式處理報(bào)文：1 所有流處理 2 不通的流不同處理 命令 qos gts

　　169. LR-line Rate 物理接口限速 2層處理 令牌桶機(jī)制所有報(bào)文均需通過LR的桶。命令 qos lr …

　　170. 擁塞管理的算法：FIFO、PQ、CQ、WFQ。

　　171. FIFO-先進(jìn)先出 best effort模型

　　172. PQ-priority queuing 優(yōu)先對(duì)列 分為high、medium、normal、low;命令 全局定義qos pql 接口上應(yīng)用 qos pq pql

　　173. CQ-custom queuing 定制隊(duì)列 可配置對(duì)列占用的帶寬比例包含17個(gè)組，0為系統(tǒng)對(duì)列，1-16 用戶對(duì)列。命令 全局定義，接口應(yīng)用

　　174. WFQ-wgighted fair queuing 加權(quán)公平對(duì)列 最大對(duì)列數(shù)16-4096 采用hash算法。權(quán)值依的大小依靠ip報(bào)文頭中攜帶的ip優(yōu)先級(jí)。命令 qos wfg

　　175. 擁塞避免-在未發(fā)生擁塞時(shí)，根據(jù)對(duì)列狀態(tài)有選擇的丟包。算法 RED隨機(jī)早期檢測、WRED 加權(quán)隨機(jī)早期檢測

　　176. TCP全局同步，尾部丟棄多個(gè)tcp連接的報(bào)文，導(dǎo)致多個(gè)倆結(jié)同時(shí)進(jìn)入慢啟動(dòng)和擁塞避免。

　　177. WRED-weighted random early detection 采用隨機(jī)丟棄報(bào)文。根據(jù)對(duì)列深度來預(yù)測擁塞情況，根據(jù)優(yōu)先級(jí)定義丟棄策略，定義上下限。相同優(yōu)先級(jí)對(duì)列約長，丟棄概率越大。

　　178. WRED命令：1 能使WRED qos wred、2 配置計(jì)算平均隊(duì)長指數(shù) 3 配置優(yōu)先級(jí)參數(shù)

　　179. 丟棄概率分母的倒數(shù)為最大丟棄概率，值越小，概率越大

【華為認(rèn)證：HCSE路由知識(shí)點(diǎn)羅列】相關(guān)文章：

華為認(rèn)證考試：華為路由器網(wǎng)守配合技巧03-18

華為認(rèn)證：華為路由器口令丟失解決方法03-18

華為認(rèn)證：路由器以太網(wǎng)口配置命令03-18

華為認(rèn)證中的HCIE認(rèn)證03-19

華為認(rèn)證詳解03-19

華為專業(yè)認(rèn)證分類03-19

華為認(rèn)證考試地址03-19

華為認(rèn)證架構(gòu)介紹03-19

華為認(rèn)證培訓(xùn)伙伴03-19