華為認證HCSE路由知識點羅列

1、華為認證HCSE路由知識點羅列如下，請大家參考：OSPFOSPF開放式最短路徑優(yōu)先，基于RFC2328。由IETF開發(fā)，AS內(nèi)部路由協(xié)議，目前第 二版。OSPF無路由自環(huán)，適用于大規(guī)模網(wǎng)絡，收斂速度快。支持劃分區(qū)域，等值路由及驗 證和路由分級管理.。OSPF可以組播方式發(fā)送路由信息。OSPF基于IP，協(xié)議號為89。Route ID為32位無符號數(shù)，一般用接口地址。OSPF 將網(wǎng)絡拓撲抽象為 4 中，P to P、stub、NBMA&broadcast、P to MP。NBMA網(wǎng)絡必須全連通。OSPF路由計算過程，1、描述本路由連接的網(wǎng)絡拓撲，生成LSA。2、收集其他路由發(fā) 出的LSA，組成LS

2、DB。3、根據(jù)LSDB計算路由。OSPF5種報文:1、hello報文定時通報，選舉DR、BDR。2、DD報文通告本端LSA，以 摘要顯示，即LSA的HEAD。3、LSR報文相對端請求自己沒有的LSA。4、LSU報文回應對端 請求，向其發(fā)送LSA。4、LSAck報文確認收到對端發(fā)送的LSA。OSPF鄰居狀態(tài)1、down過去dead-interval時間未收到鄰居發(fā)來的Hello報文2、 Attempt NBMA網(wǎng)絡時出現(xiàn)，定時向手工指定的鄰居發(fā)送Hello報文。3、init本端已受到鄰 居發(fā)來的Hello報文，但其中沒有我端的routehd，即鄰居未受到我的hello報文。4、2-way 雙方都

3、受到了 Hello報文。若兩端均為DRother的話即會停留在這個狀態(tài)。5、Exstart互相 交換DD報文，建立主從關(guān)系。6、exchange雙方用DD表述LSDB，互相交換。7、loading發(fā) 送LSR。8、full對端的LSA本端均有，兩端建立鄰接關(guān)系。OSPF的HELLO報文使用組播地址。DD報文中，MS=1為Master，I=1表示第一個DD報文。在廣播和NBMA網(wǎng)絡上會選舉DR，來傳遞信息。在DR的選舉上，所有優(yōu)先級大于0的均可選舉，hello報文為選票，選擇所有路由 器中優(yōu)先級最大的，如果優(yōu)先級相同，選router id最大的。同時選出BDR。如果有優(yōu)先級大的路由器加入網(wǎng)絡，O

4、SPF的DR也不改變。NBMA網(wǎng)絡X.25和FR。是全連通的，但點到多點不是全連通。NBMA用單播發(fā)送報文，P to MP可是單播或多播。NBMA需要手工配置鄰居。劃分區(qū)域的原因，路由器的增多會導致LSDB的龐大導致CPU負擔過大。OSPF區(qū)域間的路由計算通過ABR來完成。骨干區(qū)域和虛連接，目的防止路由自環(huán)。OSPF可引入AS外部路由，分兩類IGP路由（cost=本路由器到ASBR的花費和ASBR 到該目的的花費）和BGP路由（cost=ASBR到該目的的花費）。OSPF 一共將路由分四級，區(qū)域內(nèi)路由、區(qū)域間路由、自治系統(tǒng)外一類路由6、自 治系統(tǒng)外二類路由（BGP）。前兩類優(yōu)先級10,后兩類優(yōu)

5、先級150。stub是不傳播引入的外部路由的LSA的區(qū)域，由ABR生成一條80路由傳播到區(qū)域 內(nèi)。一個區(qū)域為STUB區(qū)，則該區(qū)域內(nèi)所有路由器均須配置該屬性。虛連接不能穿越STUB 區(qū)域。NSSA基于RFC1587,該區(qū)域外的ASE路由不能進入，但若是該區(qū)域內(nèi)路由器引入的 ASE路由可以在區(qū)域內(nèi)傳播。Type=1的LSA:router-LSA每個運行OSPF的路由器均會生成，描述本路由器狀況。對 于ABR會為每個區(qū)域生成一條router-LSA,傳遞范圍是其所屬區(qū)域。Type=2的LSA:Network LSA，由DR生成，對于廣播和NBMA網(wǎng)絡描述其區(qū)域內(nèi)所有 與DR建立鄰接關(guān)系的路由器。Ty

6、pe=3的LSA:Network Summary LSA，由ABR生成，為某個區(qū)域的聚合路由LSA在 ABR連接的其他區(qū)域傳遞。Type=4的LSA:ASBR summary LSA，由ABR生成，描述到達本區(qū)域內(nèi)部的ASBR的路 由。是主機路由，掩碼0Type=5的LSA:AS External LSA,由ASBR生成，表述了到AS外部的路由，與區(qū)域無 關(guān)在整個AS除了 Stub區(qū)內(nèi)傳遞。P to PPPP、HDLC、LAPBbroadcastEthernetNBMA FR、X.25P to MP由NBMA修改而來，可以組播發(fā)送報文。IAR-internal Area Router BBRB

7、ackbone routerOSPF不會產(chǎn)生回路的原因，每一條LSA都標記了生成者，鏈路狀態(tài)算法運行OSPF,網(wǎng)絡中路由器10臺以上，網(wǎng)狀拓撲，快收斂等。OSPF區(qū)域的劃分:1、按自然或行政區(qū)域劃分0 2、按高端路由器來劃分. 3、按ip地 址的分配來劃分。區(qū)域不要超過70臺，與骨干區(qū)域虛連接，ABR性能要高不要配太多區(qū)域。配置:1、router id 2、ospf enable 3、端口下 ospf enable area aera_id路由聚合，ospf 下 abr-summary ip mask area area_idstub 區(qū)域 stub cost area虛連接 vlink pe

8、er-id transit-areaNSSA 區(qū)域 nssa area default-route-advertiseOSPF 可以 dis 錯誤接口 peer 和 dis ospfOSPF 可以 debug enent、lsa、packet、spf。接口上的dead定時器應大于hello定時器，且至少在4倍以上。BGPBGPborder gateway protocol EGP 協(xié)議BGP端口號179,基于TCP協(xié)議傳送，當前使用RFC1771-BGP4BGP不發(fā)現(xiàn)和計算路由，只進行路由的傳遞和控制。支持CIDR、采用增量路由發(fā)送、通過攜帶的AS信息來解決路由環(huán)路、豐富的路由 屬性和策略。A

9、S同一機構(gòu)管理，統(tǒng)一的選路策略的一些路由器。1-65411為注冊的因特網(wǎng)編號， 65412-65535為專用網(wǎng)絡編號。BGP包括IBGP和EBGP。一般要求EBGP peer間保證直鏈鏈路，IBGP間保證邏輯全 連接。BGP選路原則:多條路徑選最優(yōu)的給自己、只將自己使用的路由通告給peer、從EBGP 獲得的路由會通告給所有BGP peer、從IBGP得到的路由不通告IBGP peer,看同步狀況 決定是否通告給EBGP peer、新建立的連接，將所有的BGP路由通告給新的peer。BGP同步，即IBGP宣告的路由在IGP中已經(jīng)被發(fā)現(xiàn)。BGP路由引入一一純動態(tài)注入、半動態(tài)注入、靜態(tài)注入OPEN

10、報文，交換各種信息，用于協(xié)商建立鄰居關(guān)系，是BGP的初始握手消息UPDATE報文，攜帶路由更新信息，包括撤銷和可達的路由信息。Notification報文，當檢測的差錯時，發(fā)送Notification報文關(guān)閉peer連接。Keeplive報文，收到open報文后相對端回應，peer間周期性發(fā)送，保持連接。BGP 報文頭中 type 信息 1 字節(jié)，1open 2updata 3notification 4keepliveupdata報文一次只能通告一個路由，但可以攜帶多個屬性。當一次通告多條路由的 話，只能攜帶相同的屬性。Updata可以同時列出多個被撤銷的路由。缺省情況，keeplive 6

11、0s 一發(fā)。Notification 的 errorcode 中 code=2 OPEN 錯 code=3 update 錯BGP開始Idle狀態(tài)，BGP 一旦start則進入connect狀態(tài)，接著建立TCP連接，如果 不成功則進入Active狀態(tài)，成功就進入opensent狀態(tài)，opensent狀態(tài)收到一個正確的open 報文就進入openconfirm狀態(tài)，當受到keeplive報文，就會建立BGP連接，進入Established 狀態(tài)。BGP屬性目前16種可擴展到256種。分為必遵、可選、過渡、非過渡。Origin屬性標識路由的來源，0-IGP聚合和注入路由、1-EGP EGP得到、3

12、-incomplete 其他方式從其他IGP引入的AS-path屬性達到某個目的地址所經(jīng)過的所有AS號碼序列。宣告時把新經(jīng)過的AS 號碼放在最前。NexT Hop屬性必遵屬性當對等體不知道路由時，須將下一條屬性改為本地Local-preference屬性可選幫助AS內(nèi)的路由器選擇到AS區(qū)域外的較好的出口，本地 優(yōu)先級屬性只在AS內(nèi)部，IBGP peer間交換。MED屬性向外部指示進入某個具有多入口的AS的優(yōu)先路經(jīng)。選MED小的。Community屬性no-expert不通告到聯(lián)盟/AS外部no-advertise、不通告給任何BGP Peer. local-AS不通告給任何EBGP Inter

13、net通告所有路由器BGP路由選擇過程1、下一跳不可達，忽略2、選擇local-preference大的路由3、 優(yōu)先級相同，選擇本地路由器始發(fā)的路由4、選擇AS路徑較短的路由5、路由選擇順序 IGP-EGP-Incomplete 6、選擇MED值小的路由7、選擇router ID小的路由基本配置啟動BGP配鄰居peer宣告網(wǎng)段network引入路由importBGP 定時器有 keepalive-interval、holdtime-intervalBGP 前綴過濾器 filter-policy、AS-Path 過濾 acl aspath-list-number、路由映射 route-poli

14、cy復位 BGP reset bgp正則表達式”路徑開始$結(jié)束b As號碼間分割符人$匹配本地路由BGP路由處理過程:接受路由-實施策略-路由聚合-選路-加入路由表-發(fā)布BGP debug all/event/keepalive/open/packet/updata/recive/send/verboseBGP路由聚合-聚合到CIDR中aggregate反射器-reflect clientAS 聯(lián)盟子 AS 間為 EBGP,所有 IBGP 規(guī)則仍然適用。Confederation id & confederation peer-asBGP衰減的5個參數(shù):可達半衰期、不可達半衰期、重用值、抑制值

15、、懲罰上限 路由策略策略相關(guān)的無種過濾器:路由策略routing policy、訪問列表acl、前綴列表prefix-list、 自治系統(tǒng)信息路徑訪問列表aspath-list僅用于BGP、團體屬性列表community-list僅用與 BGP。路由引入時使用routing policy過濾，路由發(fā)布和接收時用ip prefix和ACL一個routing policy下的node節(jié)點為或的關(guān)系，而每個節(jié)點下的if-match和apply 語句為與的關(guān)系。Permit執(zhí)行apply, deny不執(zhí)行apply路由引入 import-route protocol 目前有 direct、static

16、、rip、ospf、ospf-ase、bgp定義 ip 前綴列表 ip ip-preffix prefix-list-name，不同 sequence-number 間為或的關(guān) 系路由過濾 filter-policy gateway/acl-numeber gataway 只能 import，acl 和 ip-prefix可以 export。網(wǎng)絡安全特性網(wǎng)絡安全兩層含義:保證內(nèi)部局域網(wǎng)的安全、保護和外部進行數(shù)據(jù)交換的安全安全考慮:物理線路、合法用戶、訪問控制、內(nèi)網(wǎng)的隱蔽性、防偽手段，重要數(shù)據(jù)的 保護、設備及拓撲的安全管理、病毒防范、安全防范意識的提高網(wǎng)絡攻擊的主要方式:竊聽報文、ip地址欺騙、

17、源路由攻擊、端口掃描、DoS拒絕服 務、應用層攻擊可靠性和線路一一主從備份和負載分擔身份認證-con 配置、telnet、snmp和AUX（modem遠程）、防止偽造路由信息訪問控制一一分級保護，基于5源組控制源，目的ip、源，目的端口、協(xié)議號信息隱藏NAT加密和防偽一一數(shù)據(jù)加密、數(shù)字簽名、IPsec安全管理一一制度和意識AAA-authentication、authorization、accounting 認證、授權(quán)、計費包過濾技術(shù)-利用ip包的特征進行訪問控制、不能使用在接入服務中、可以基于ip 地址、接口和時間段IPsec-Ip security通過AH和ESP兩個協(xié)議來實現(xiàn)IKE-in

18、ternet密鑰交換協(xié)議。定義了雙方進行身份認證、協(xié)商加密算法和生成共享 密鑰的方法。提供AAA支持的服務:PPP-pap、chap認證。EXEC-登陸到路由器。FTP-ftp登陸。AAA 不需要計費時，aaa accounting-scheme optional 取消計費AAA 配置命令:aaa enable-開啟、aaa accounting-scheme optional-取消計費、aaa accounting-scheme login-配置方法表、aaa accounting-scheme ppp-在接口上啟用方法表方法表 5 種組合:radius、local、none、radius

19、local、radius none路由器local-user不要超過50個可以 debug radius primitive 和 event原語 7 種:join PAP、join CHAP、leave、accept、reject、bye、cutRADIUS-remote authentication Dial-in User serviceradius采用client/server模式，使用兩個UDP端口驗證1812,計費1813,客戶端 發(fā)其請求，服務器響應。radius 酉己置 radius server name&ipauthentication -port accouting-por

20、t、 radius shared-key、配重傳 radius retry、radius timer response-timeoutVPNVPN-Virtual private network按應用類型 access VPN、intranet VPN、Extranet VPN按實現(xiàn)層次 2 層PPTP、L2F、L2TP 、3 層GRE、IPSec遠程接入VPN即Access VPN又稱VPDN,利用2層隧道技術(shù)建立隧道。用戶發(fā)起 的VPN, LNS側(cè)進行AAA。Intranet VPN企業(yè)內(nèi)部互聯(lián)可使用IPSec和GRE等。2層隧道協(xié)議:PPTP點到點隧道協(xié)議、L2F二層轉(zhuǎn)發(fā)協(xié)議cisco、

21、L2TP二層隧道協(xié)議IETF起草，可實現(xiàn)VPDN和專線VPN。三層協(xié)議:隧道內(nèi)只攜帶第三層報文，GRE-generic routing encapsulation通用路由 封裝協(xié)議、IPSec-由AH和IKE協(xié)議組成。VPN設計原則，安全性、可靠性、經(jīng)濟性、擴展性L2TPL2TP layer 2 tunnel protocol 二層隧道協(xié)議，IETF 起草，結(jié)合了 PPTP 和 L2F 優(yōu)點。 適合單個和少數(shù)用戶接入，支持接入用戶內(nèi)部動態(tài)地址分配，安全性可采用IPSec，也可采 用vpn端系統(tǒng)LAC側(cè)加密-由服務提供商控制。L2TP兩種消息:控制消息-隧道和會話連接的建立、維護和刪除，數(shù)據(jù)消息

22、-封裝PPP 幀并在隧道傳輸。同一對LAC與LNS間只建立一個L2TP隧道，多個會話復用到一個隧道連接上。LAC-l2tp access concentrator LNS-l2tp network server隧道和會話的建立都經(jīng)過三次握手:請求crq-應答crp-確認ccn。隧道sc，會話i隧道和會話拆除時需要有ZLB-zero-Length body報文確認。L2TP封裝:IP報文（私網(wǎng)）-PPP報文-L2TP報文-UDP報文-IP報文（公網(wǎng)）配置LAC側(cè)U:1配置AAA和本地用戶、2啟動VPDN l2tp enable、3配置vpdn組 l2tp-group number、3 配置發(fā)起連

23、接請求和 LNS 地址 start l2tp ipadd配置LNS側(cè):1配置本地VPDN用戶、2啟動vpdn、3創(chuàng)建vpdn組、4創(chuàng)建虛模板， 為用戶分配地址interface virtrual-template number、5配置接受呼叫的對端名稱allow l2tp virtual-templatenumbernameL2TP可選配置:本端隧道名稱、隧道加密驗證、Hello報文的發(fā)送間隔、配置L2TP 最大會話數(shù)。dis l2tp tunnel &session 、 debug l2tp all/control/error/enent/hidden/payload/time-stampL

24、2TP用戶登陸失敗:1 tunnel建立失敗-LAC端配的LNS地址不對，tunnel密碼驗證 問題、2 PPP協(xié)商不通-pap、chap驗證，LNS端地址分配問題。GREGRE-generic routing encapsulation通用路由封裝是一種三層隧道的承載協(xié)議，協(xié)議 號為47,將一種協(xié)議報文封裝在另一中報文中，此時ip既是被封裝協(xié)議，又是傳遞（運輸） 協(xié)議。GRE 配置:1 創(chuàng)建 Tunnel 接口 interface tunnel number、2 配置接口源地址 source ip-add、3 配目的地址 destination ip-add4 配網(wǎng)絡地址 ip add ip

25、-add， maskGRE可選參數(shù)接口識別關(guān)鍵字、數(shù)據(jù)報序列號同步、接口校驗。IPSecIPSec-IP Security包括報文驗證頭協(xié)議AH協(xié)議號51、報文安全封裝協(xié)議ESP協(xié)議 號50。工作方式有隧道tunnel和傳送transport兩種。隧道方式中，整個IP包被用來計算AH或ESP頭，且被加密封裝于一個新的IP包 中；在傳輸方式中，只有傳輸層的數(shù)據(jù)被用來計算AH或ESP頭，被加密的傳輸層數(shù)據(jù)放在原 IP包頭后面。AH可選用的加密為MD5和SHA1。ESP可選的DES和3DES。IPSec安全特點，數(shù)據(jù)機密性、完整性、來源認證和反重放。IPSec基本概念:數(shù)據(jù)流、安全聯(lián)盟、安全參數(shù)索引

26、、SA生存時間、安全策略、轉(zhuǎn)換 方式安全聯(lián)盟SA-包括協(xié)議、算法、密鑰等，SA就是兩個IPSec系統(tǒng)間的一個單向邏輯 連接，安全聯(lián)盟由安全參數(shù)索引SPI、IP目的地址和安全協(xié)議號（AH或ESP）來唯一標識。安全參數(shù)索引SPI:32比特數(shù)值，全聯(lián)盟唯一。安全聯(lián)盟生存時間Life Time:安全聯(lián)盟更新時間有用時間限制和流量限制兩種。安全策略crypto Map :即規(guī)則。安全提議Transform Mode :包括安全協(xié)議、安全協(xié)議使用算法、對報文封裝形式。 規(guī)定了把普通報文轉(zhuǎn)成IPSec報文的方式。AH、ESP使用32比特序列號結(jié)合重放窗口和報文驗證防御重放攻擊。IKE-internet ke

27、y exchange因特網(wǎng)密鑰交換協(xié)議，為IPSec提供自動協(xié)商交換密鑰號 和建立SA的服務。通過數(shù)據(jù)交換來計算密鑰。IKE完善的向前安全性PFS和數(shù)據(jù)驗證機制。使用DH-diffie-Hellman公用密鑰算法 來計算和交換密鑰。PHS特性由DH算法保證。IKE交換過程，階段1:建立IKE SA;階段2:在IKE SA下，完成IPSec協(xié)商。IKE協(xié)商過程:1 SA交換，確認有關(guān)安全策略;2密鑰交換，交換公共密鑰;3 ID信息 和驗證數(shù)據(jù)交換。大規(guī)模的IPSec部署，需要有CA-認證中心。IKE為IPSec提供定時更新的SA、密鑰，反重放服務，端到端的動態(tài)認證和降低手 工配置的復雜度。IKE

28、是UDP上的應用層協(xié)議，是IPSec的信令協(xié)議。他為IPSec建立安全聯(lián)盟。IPsec要確定受保護的數(shù)據(jù)，使用安全保護的路徑，確認使用那種保護機制和保護 強度。IPSec配置:1創(chuàng)建加密訪問控制列表、2定一安全提議ipsec proposal name;ipsec card-protposal name、3 設置對IP報文的封裝模式 encapsulation-mode transport ortunnel、 4選擇安全協(xié)議ah-new esp-new ah-esp-new、5選擇加密算法只有ESP可加密、6創(chuàng)建安 全策略ipsec policy應用安全策略到接口 ipsec policyIK

29、E配置:1創(chuàng)建IKE安全策略ike proposal num 2選擇加密算法、認證方式、hash 散列算法、DH組標示、SA生存周期3、配置預設共享密鑰ike pre-shared-key key remote add 4配置keeplive定時器keeplive定時器包括1 interval定時器按照interval時間間隔發(fā)送keeplive報文2 timeout定時器超時檢查debug ipsec misc/packet/saQoSQoS-quality of service服務質(zhì)量保證。在通信過程中，允許用戶業(yè)務在丟包率、延 遲、抖動和帶寬上獲得預期的服務水平。QoS需要提供以下功能:

30、避免并管理ip網(wǎng)絡阻塞、減少ip報文丟包率、調(diào)控流量、 為特定用戶提供專用帶寬、支持實時業(yè)務IP QoS三種模式:Best-Effort模型-缺省FIFO;IntServ模型-申請預留資源;DiffServ-網(wǎng)絡 擁塞時，根據(jù)不同服務等級，差別對待IntServ模型，提供可控的端到端的服務，利用RSVP來傳遞QoS信令。有兩種模式: 保證服務和負載控制服務。RSVP是第一個標準的QoS信令協(xié)議，不是路由協(xié)議但是按照路由協(xié)議規(guī)定的報文 流的路徑為報文申請預留資源。只在網(wǎng)絡節(jié)點間傳遞QoS請求，本身不完成QoS要求的實 現(xiàn)。RSVP要求端到端的設備均支持這一協(xié)議，可擴展性差，不適合在大型網(wǎng)絡應用。DiffServ-Differentiated Ser