HCSE-Security培訓總結

H3CSE-Security培訓總結

8月28日到9月7日期間,我參加了H3C公司舉辦的H3CSE-Security培訓。H3C公司現(xiàn)在有了獨立的網絡安全產品線，對這一方面產品的投入不斷增大，希望能在網絡安全生品這一領域做成國內（品牌）第一。為配合產品的銷售推廣，最近H3C針對處代理商及相關客戶開辦了一系列的H3CSE網絡安全培訓。

本次培訓共有十天，4門課程包括有：《布置安全防火墻系統(tǒng)》、《H3C安全新產品新特性》《構建VPN網絡》《高級IPS系統(tǒng)配置》。前3門為考試課程，IPS系統(tǒng)只講了半天的課程考試不做要求。培訓分為講課及實驗兩部分，一般上午講課為主，下午及晚上為實驗及答疑時間。下面對各門課程的內容做一下簡要介紹。

一、布暑安全防火墻系統(tǒng)

防火墻的課程大概可以分為三個方面的內容

第一部分為對防火墻技術及網絡安全做了一些概念性的介紹，指出了防火墻的幾項必備技術：網絡隔離及訪問控制、攻擊防范、地址轉換（NAT）應用層狀態(tài)檢測（ASPF）、微分認證、內容安全過濾，安全管理。

第二部分介紹了H3CSecPath的防火墻系系列產品，主要對現(xiàn)有的產品在業(yè)務性能及典型應用，做了相應介紹。

第三部分為這門課程的主機內容，主要講了網絡安全技術在H3C防火墻產品上的實現(xiàn)。

防火墻的圖形化管理系統(tǒng)：web管理，BIMS及VPNManger管理軟件。BIMS軟件實現(xiàn)了對大量防火墻設備的升級及配置文件管理，VPNManger提供了對VPN網絡的監(jiān)控及布置功能。

安全區(qū)域：把防火墻的端口加入不同的安全區(qū)域，實現(xiàn)對不同網絡的隔離接入。需要注意的一點是防火墻的所有端口（除loopback口）都要要加入到相應的區(qū)域中，不然不能轉發(fā)數(shù)據(jù)。

訪問控制列表（ACL）：4種ACL，基于接口的ACL（1000-1999）、基本防問控制列表（201*-2999）、高級防問控制列表（3000-3999）、基于MAC的訪問控制列表(4000-4999)。需要注意的是，基于接口的ACL只能用的防火墻接口的outbound方向；基于MAC的ACL只能用于透明模式及模合模式的橋模式下。

包過濾技術：實現(xiàn)包過濾技術的核心技術是ACL，主要講了ASPF及黑名單技術。ASPF能夠對雙通道的應用層協(xié)議及TCP/UDP進行檢測，從而實現(xiàn)對數(shù)據(jù)流的單訪問控制。黑名單是根據(jù)數(shù)據(jù)的源地址進行過濾的一種技術，防火墻可以根據(jù)具體應用（主要指攻擊防范）動態(tài)的添加及刪除黑名單，實現(xiàn)對網絡的安全防護。

地址轉換（NAT）：地址轉換可以實現(xiàn)對網絡的單向訪問，即保護了網絡的安全又解決了公有IP地址短缺的問題。H3C可以實現(xiàn)的地址轉換方式主要有：多對多地址轉換、網絡地址端口轉換（NAPT）、EasyIP(直接使用接口上的公有IP轉換)、NATServer(通過地址及端口映射實現(xiàn)外部對內部網絡的訪問)

報文統(tǒng)計：H3C主要提供了以下三種報文統(tǒng)計功能，系統(tǒng)統(tǒng)計、域統(tǒng)計、IP統(tǒng)計。報文統(tǒng)計的功能應該是通過報文統(tǒng)計，監(jiān)控網絡狀況，根據(jù)具體應用設置的安全閥值，來觸發(fā)網絡系統(tǒng)的安全防護措施。

攻擊防范：本節(jié)內容介紹了常見的網絡攻擊行為及基本原理，并啟用防火墻的各項防范功能對網絡進行安全防護。

網頁過濾和郵件過濾：這一部分應該就是前面提到的防火墻技術中的內容過濾。H3C對web的訪問可以對網頁內容及網址（url）過濾，郵件可以通過對郵件的內容、附件、主題、收件人地址進行過濾。需要注意的是：1、要實現(xiàn)內容過濾必須先配置ASPF策略對http或smtp以及tcp進行檢測；2、配置完成后要記得把配置后的策略保存為一個文件；3、如防火墻重新啟動，需要調用保存的配置文件。

用戶認證：分別對AAA、RADIUS、HWTACASC做了介紹及相關配置。在了解以上幾種協(xié)議的基礎上，注意RADIUS和HWTACASC的一些區(qū)別。R認證授統(tǒng)一，H分別進行；R使用UDP傳輸，H使用TCP；R對論證密碼加密，H對全體報文加密；R適用于記費，H適用于安全控制。H支持對網關上的配置命令授權，R不支持。

運行模式和雙機備份：H3C的SecPath防火墻，支持三種工作模式：路由模式，透明模式，混合模式。路由模式布置防火墻需要對現(xiàn)有網絡結構進行修改，而透明模式可以直接把防火墻串到網絡中而不修改網絡結構。需要注意的是防火墻在路由模式下的轉發(fā)性能更強一些。雙機熱備：主要指的是用VRRP技術實現(xiàn)防火墻設備的冗余備份。

二、構建安全VPN網絡

VPN課程也可以分為三部分。第一部分為H3C的VPN安全產品介紹，主要講了安全網關家族成員，業(yè)務特性及維護配置基礎。第二部分為VPN技術原理及相關的加密算法。第三部分為H3C設備的VPN業(yè)務實現(xiàn)。下面對技術原理及業(yè)務實現(xiàn)做一下簡要介紹。

VPN定義：利用公共網絡（比如：Internet、幀中繼、ATM等）來構建的私有網絡被稱為VPN（VirtualPrivateNetwork）。VPN的安全性，是通過一系列的安全協(xié)議及算法實現(xiàn)的。

VPN的分類：按應用類型（對象）分為三類：AccessVPN(指遠程流動員工接入到公司網絡)、IntranetVPN(指分枝機構與公司總部的網絡連接)、ExtranetVPN(指企業(yè)與合作伙伴間的網絡連接)；按實現(xiàn)層次可分為：二層隧道VPN（可以對數(shù)據(jù)的二層幀封裝傳遞）、三層隧道VPN（只對網絡層的數(shù)據(jù)包進行封培育傳遞）

加密算法：通過一系列的加密協(xié)議及算法保證數(shù)據(jù)在網絡上的安全傳輸，主要有安全需求有以下幾方面：

私密性：通過加密實現(xiàn)，加密分為對稱加密（密鑰算法有：DES/3DES，ASE，RC4）和非對稱加密(密鑰算法有:DH，RSA)

完整性：通過數(shù)據(jù)摘要（也叫MAC：消息驗證碼）實現(xiàn)，主要為摘要算法有MD5、SHA1

身份驗證：使用x.509v3證書和數(shù)據(jù)簽名（對報文的摘要用私鑰加密，得到的結果被稱為數(shù)據(jù)簽名）。

PKI體系結構：PKI是一個簽發(fā)證書、傳播證書、使用證書的環(huán)境，保證了公鑰的可獲得性、真實性、完整性。

L2TPVPN：L2TPVPN是二層隧道VPN，是AccessVPN的主要實現(xiàn)方式，也被稱為VPDN。H3C二層隧道VPN只支持L2TP。L2TPVPN有兩種發(fā)起方式，基于用戶的和基于NAS。需要注意的是L2TPVPN只能實現(xiàn)對用戶的認證接入，

但不能實現(xiàn)對數(shù)據(jù)流的加密傳輸。

GREVPN：GREVPN是一種三層VPN隧道協(xié)議、應用于IntranetVPN及ExtranetVPN。GRE是利用一種網絡層協(xié)議對另一種網絡層協(xié)議B的報文進行封裝，從而實現(xiàn)報文在異種網絡中的傳輸。異種報文傳輸?shù)耐ǖ婪Q為tunnel(隧道),Tunnel是一個虛擬的點對點的連接，并在tunnel的兩端分別對數(shù)據(jù)進行封裝及解封裝。GRE數(shù)據(jù)使用47號協(xié)議直接封裝在IP層之上，并且不能對數(shù)據(jù)進行加密。

IPsecVPN：IPSecVPN是一種三層VPN實現(xiàn)機制，通過一系列安全協(xié)議及加密算法保證私有網絡數(shù)據(jù)在公共網絡上傳輸?shù)乃接行浴⑼暾�性、真實性及反重放。IPsec包括AH（協(xié)議號51）和ESP（協(xié)議號50）兩個協(xié)議，并有隧道（tunnel）及傳送（transport）兩種工作模式。通過配置可以實現(xiàn)IPSec的NAT穿越。

IKE（IntelnetKeyExchange）：是IPSEC的信令協(xié)議，為IPSec提供了自動協(xié)商交你密鑰、建立安全聯(lián)盟的服務。IKE可以在不安全的網絡上安全的分發(fā)密鑰，驗證身份建立IPSEC安全聯(lián)盟。IKE協(xié)商分兩個階段：先建立IKESA，再在IKESA的保護下完成IPSec協(xié)商。

DVPN（動態(tài)VPN）：DVPN是華為的專利技術，使用C/S結構（其中一臺DVPN接入設備做為Server，其它DVPN接入設備做為Client）實現(xiàn)了不同分支機構間VPN的動態(tài)建立。Client向Server注冊信息。報文使用UDP封裝，以保證NAT穿越。

SSLVPN：SSL協(xié)議是一種位于應用層和TCP層之間，向上層提供加密安全服務協(xié)議。SSL對應用層提供了安全可靠的有連接服務，對所傳輸?shù)臄?shù)據(jù)提供了私性的保護、完整性的校驗，以及對端身份的驗證。SSLVPN是應用SSL協(xié)議在客戶端和企業(yè)之間建立的加密隧道。為減輕服務器加解密負擔，一般使用SSLVPN網關代替服務器來應答客戶端發(fā)起的SSL連接，并負責對收發(fā)的數(shù)據(jù)進行加解密。SSL代理與后臺服務器之間將以明文方式進行加密通訊。目前H3C的SSLVPN功能以在網絡設備上安裝SSLVPN插卡的方式實現(xiàn)。通過老師的的演示及做實驗，發(fā)現(xiàn)SSLVPN還是非常實用的，配置簡單管理方便，客戶端不用安裝軟件，以對資源的訪問權限及客戶端的使用環(huán)境控制的也很細致。

移動客戶VPN：H3C移動客戶VPN指的是通過在客戶端的PC機上安裝客戶端軟件（iNode）和硬件（SecKey）,直接過通互聯(lián)網撥入到公司網絡連接。這種VPN就是H3C的基于客戶端發(fā)起的AccessVPN的接入方式。VPN客戶端有兩種工作模式：L2TP，VPN客戶端同時做為L2TP協(xié)議的LAC和ppp用戶，通過L2TP協(xié)議和中心網關建立L2TP隧道；L2TPOverIPSec，VPN客戶端首先和中心網關建立IPSec隧道，然后在IPSEC隧道上建立L2TP隧道通信。

VPN可靠性：H3CVPN可靠性，指的是解決VPN網關設備的單點故障，以及VPN單條鏈路的故障檢測問題。設備單故障解決：布暑兩臺設備通過VRRP實現(xiàn)設備的冗余備份，自動切換。鏈路備份：使用動態(tài)路由或者偵測組方式實現(xiàn)在鏈路狀態(tài)的監(jiān)測，從而實現(xiàn)通信線路的快速切換。

三、H3C安全新產品新特性

課程的內容，像課程的名子一樣，主要介紹了H3C的一些新的安全產品和安全產品所支持的新特性。目前H3C的安全產品主要有以下幾種：防火墻、VPN網關、IDS、IPS、防毒墻，安全中心等。需要注意的是本課程介紹的網絡安全產

品的新特性，只有中高端的防火墻硬件支持，并且需要把防火墻的系統(tǒng)軟件版本升級到E1622P02以下才可以，使用時請注意產品說明。

SecCemter安全中心：該產品的主要作用是收集主機及網絡設備的日志信息，對信息實時監(jiān)控且可以產生報警信息，對生成報告進行分析，并具有審計功能的系統(tǒng)。安全中心由硬件服務器及安裝在服務器上的軟件組成。服務器裝有windows201*操作系統(tǒng)，配有多塊網卡（用于收集不同網絡日志信息），擁有大容量硬盤。網絡設備需要把日志輸出指向安全中心后，安全中心就會自動添加網絡設備，并可以對其進行日志管理。對于主機設備，需要在安全中心上手動添加，以獲取日志信息。培訓的時候看了一個H3C做的河南農行的實例，感覺產品功能還是比較強的，只是報價有些貴。

ASM防毒卡：H3C提出了一個OAA（開放業(yè)務架構）的概念，H3C的部分產品為第三方廠商（主要應該是與其它廠商間的合作吧）硬件及軟件的接口插糟，從而能使用H3C的網絡安全產品可以提供附加的安全功能。ASM防毒卡及后面提到的NSM流量監(jiān)控卡就是這樣的產品。ASM防卡是H3C與瑞星公司合作，用于在網絡設備上實現(xiàn)對病毒防護的產品，防毒卡相當于一個單的小型主機，以插卡的方式安裝到了網絡產品上。網絡設備通過對數(shù)據(jù)流的重定向功能，實現(xiàn)對相心數(shù)據(jù)流的病毒檢查。目前防毒卡只支對應用層HTTP、FTP、POP3、SMTP４種數(shù)據(jù)流的檢測。防毒卡配有專用的管理接口，以web方式管理配置。

NSM網絡全監(jiān)控卡：與ASM卡一樣，是一種安裝于網絡設備上的插卡，用于監(jiān)控網絡數(shù)據(jù)流信息。通過在網絡設備上配置端口鏡像，使NSM卡獲取數(shù)據(jù)流。NSM卡主要可以實現(xiàn)以下４方面功能：網絡流量統(tǒng)計、網絡流量監(jiān)控、網絡安全漏洞檢測、網絡的優(yōu)化與規(guī)劃。NSM卡配有專用的管理接口，以web方式管理配置(http/https)。

ＳecPath防火墻的混合模式特性：防火墻可以工作在三種工作模式，即路由模式、透明模式和混合模式。在操作系統(tǒng)E1622以上的版本支持混合模式。需要注意的是在Ｅ162２版本以上沒有了firewallmodeXXX命令，設備默認工作在路由模式下。通過配置橋組，加入的接口轉換為二層接口，實現(xiàn)透明轉發(fā)功能。

SecPath防火火墻雙機熱備特性:新特性的雙機熱備不同于VRRP，新特性提出了RDO的概念，通過RDMP協(xié)議，VIF及HAInterface可以實現(xiàn)雙機熱備及均衡負載。同時新特性的雙機熱備可以實現(xiàn)配置同步及防火墻的狀態(tài)表同步。

SecPath防火墻面向對像管理特性：面向對象提出了以下幾種對像，地址對象、服務對像、時間對象和流對像。也就是先提前定義出以上幾種對象，當有應用時再對對象加以引用。目前在SecPath中的使用范圍是包過濾和NAT�？梢愿鶕�(jù)使用者的習慣決定是否使用用面向對像的管理。使用web管理方式定義及使用對象應該更方便一些。

SecPath防火墻DAR特性：DAR深度應用研究感知，在新特性中的應用主要是根據(jù)數(shù)據(jù)的特征碼識別BT流，通過設置對數(shù)據(jù)限速。

以上是對３門門考試課程中的一些知識點以及我所理解到的東西做了一下總結，希望對大家能有所幫助。關于具體的配置實現(xiàn)，請大家參考相應的操作手冊或教材。近兩周的培訓，感到幾個老師還是十分認真負責的，在學習及實驗中給了我們很大的幫助，在這里表示一下感謝！

201*-9-12

擴展閱讀：HCSE教材總結篇--路由(4.0)

HCSE教材總結篇--路由>>>

路由第一章

一、OSPF（OPENSHORTESTPATHFIRST）協(xié)議，開放式最短路徑優(yōu)先協(xié)議，由IETF開發(fā)的基于鏈路狀態(tài)的自治系統(tǒng)內部路由協(xié)議，當前使用的是第二版，RFC2328，特點如下：

1、可以適應大規(guī)模網絡，上百臺路由器；

2、路由變化收斂速度快，如果拓撲結構變化，立刻發(fā)送更新報文；

3、無路由自環(huán)，使用了最短路徑樹算法計算路由，從算法本身保證了不會自環(huán)；4、支持VLSM(變長子網掩碼)，描述路由時攜帶網段的掩碼信息；5、支持等值路由，到同一目的地址多條等值路由；6、支持區(qū)域劃分，減少占用網絡的帶寬；

7、提供路由分級管理，使用４類不同路由，按照優(yōu)先級別：區(qū)域內路由、區(qū)域間路由（兩種優(yōu)先級都為10）、第一類外部路由、第二類外部路由（優(yōu)先級為150）；8、支持驗證，基于接口的報文驗證；

9、組播發(fā)送，在有組播發(fā)送能力的鏈路層上以組播地址發(fā)送協(xié)議報文。

二、ROUTERID，一個32BIT的無符號整數(shù)，在整個自治系統(tǒng)內唯一，協(xié)議號89，配置命令：ROUTERID1.2.3.4，察看命令：SHOWIPOSPF，如果沒有手工配置，系統(tǒng)優(yōu)先選擇LOOPBACK端口IP地址為ID，如果沒有配置LOOPBACK端口，會從當前接口IP地址中自動選擇一個IP地址作為ID。

三、OSPF將不同的網絡拓撲抽象為四種類型：

1、STUBNETWORKS，接口連接網段中只有本路由器自己，比如局域網；2、POINTTOPOINT，通過點到點網絡與一臺路由器相連，比如DDN;

3、BROADCASTORNBMANETWORKS，通過廣播或NBMA網絡與多臺路由器相連

4、POINTTOMULTIPOINT，通過點到多點與多臺路由器連接。注意：NBMA要求全連通。

四、OSPF協(xié)議計算出路由的三個步驟：

1、描述本路由器周邊的網絡拓撲結構，生成LSA；

2、將自己生成的LSA在自治系統(tǒng)中傳播，并同時收集其他路由器生成的LSA，生成所有路由器中都相同的LSDB(連路狀態(tài)數(shù)據(jù)庫)；3、根據(jù)收集的所有LSA計算路由。五、OSPF的五種協(xié)議報文:

1、HELLO報文，發(fā)現(xiàn)維持鄰居關系，選舉DR、BDR，內容包括定時器數(shù)值、DR、BDR、以及自己已經知道的鄰居；

2、DD報文（DATADESCRIPTION），描述自己的LSDB，包括每條LSA的摘要HEAD；

3、LSR報文(LINKSTATEREQUEST)，交換了DD報文后，發(fā)送所需要的LSA摘要；

4、LSU報文（LINKSTATEUPDATEPACKET）發(fā)送所需要的LSA內容的集合；5、LSACK報文（LINKSTATEACKNOWLEDGMENTPACKET）內容是需要確認的LSA的HEAD。

六、OSPF的鄰居狀態(tài)機1、DOWN，在過去的DeadInterval時間內沒有收到對方的hello報文，初始狀態(tài)；2、Attempt，只適用于NBMA類型的接口，本狀態(tài)定期向那些手工配置的鄰居發(fā)送HELLO報文，使用224.0.0.5組播地址；

3、Init，本狀態(tài)表示已經收到了鄰居的HELLO報文，但是該報文中列的鄰居中沒有包含我的ROUTERID，也就是說對方沒有收到我發(fā)的HELLO報文；

4、2-WAY狀態(tài)，雙方互相收到了對端的HELLO報文，建立鄰居關系，在廣播和NBMA類型網絡中，兩個接口狀態(tài)是DROTHER的路由器之間停留在這個狀態(tài)；5、EXStart，發(fā)送DD報文確定主從關系；

6、Exchange，將本地的LSDB用DD報文描述，發(fā)給鄰居；7、LOADING，發(fā)送LSR報文請求對方的DD報文；

8、FULL，鄰居路由器的LSDB中所有的LSA本路由器都有了，本路由器與鄰居路由器建立鄰接關系（adjacency）。

七、DR（DesignatedRouter）和BDR(BackupDesignatedRouter)，OSPF協(xié)議指定一臺路由器DR負責傳遞消息，產生過程為：1、登記選民；

2、登記候選人，本網段內Priority>0的，默認為1；3、競選演說；

4、投票，選擇的是Priority最大的為DR，如果Priority相同，選擇ROUTERID大的當選。

八、穩(wěn)定壓倒一切，如果網絡中已經存在DR，新加入的路由器不去搶DR。九、OSPF選舉DR需要注意：

1、DR不一定是Priority最大的路由器，BDR不一定是第二大的路由器；

2、DR是某個網段中的概念，是針對路由器接口而言的，某臺路由器在一個接口上可能是DR，在另外一個接口上可能是BDR；

3、只有在廣播和NBMA類型的接口上才會選舉DR，在POINTTOPOINT以及POINTTOmuiltipoint類型接口上不需要選舉；4、兩臺Drother路由器之間不進行路由信息交換，但是發(fā)送hello報文，處于2-WAY狀態(tài)。

十、NBMA與點到多點之間的區(qū)別：

1、OSPF中NBMA是全連通的非廣播多點可達網絡，點到多點不需要全連通；2、NBMA中選舉DR與BDR，但是點到多點不選舉；3、NBMA是缺省網絡類型，點到多點需要手工配置；

4、NBMA用單播發(fā)送協(xié)議報文，需要手工配置鄰居，點到多點是可選的，即可以單播發(fā)送也可以多播發(fā)送報文。十一、OSPF劃分區(qū)域的原因，（OSPF在大型網絡中遇到的問題）：1、網絡過大，導致LSDB龐大，占用大量存儲空間；

2、LSDB過大，增加了SPF算法復雜度，導致CPU負載過重；3、路由器之間LSDB同步需要時間過長；

4、拓撲結構改變后所有路由器必須重新計算路由。具體解決問題辦法：減少LSA數(shù)量，屏蔽網絡變化波及的范圍。

十二、劃分區(qū)域為OSPF協(xié)議處理帶來的變化：

1、每一個網段必須屬于一個區(qū)域，或者說每個運行OSPF協(xié)議接口必須制定區(qū)域；2、不同區(qū)域之間通過ABR來傳遞路由信息。

十三、將自治系統(tǒng)劃分了不同的區(qū)域后，路由計算方法的改變：1、同一個區(qū)域內路由器之間保持LSDB同步，拓撲結構變化在區(qū)域內更新；2、區(qū)域間路由計算通過ABR來完成，ABR先完成一個區(qū)域內路由計算，然后查詢路由表，為每一條OSPF路由生成一條TYPE3類型的LSA，內容包括該條路由的目的地址、掩碼、花費等信息，然后發(fā)送到另外區(qū)域中；

3、另外區(qū)域路由器根據(jù)每一條TYPE3的LSA生成一條路由，這些路由下一跳都是該ABR。

十四、劃分區(qū)域后，ABR發(fā)送的區(qū)域間路由是基于D-V算法的；區(qū)域內路由是基于鏈路狀態(tài)信息的，如果建立了虛連接，兩個ABR之間直接傳遞TYPE3的LSA，中間的路由器只負責轉發(fā)報文。

十五、ASBR（AutonomousSystemBoundaryRouter）自治系統(tǒng)邊界路由器，物理位置不一定真的位于As的邊界，而是可以位于自治系統(tǒng)內任意位置。

十六、ASBR為每一條引入的路由生成一條TYPE5類型的LSA，主要內容為該條路由的目的地址、掩碼和花費等信息，這些路由信息將在整個自治系統(tǒng)內傳播（STUBAREA除外），如果ASBR區(qū)域內有ABR存在，那么ABR必須專門為ASBR生成一條TYPE4類型的LSA，內容包括ASBR的ID和到它的花費值。十七、自治系統(tǒng)外部路由分為TYPE1和TYPE2兩種，其中TYPE1主要代表RIP或者STATIC等IGP路由，路由花費=本路由器到ASBR花費+ASBR到該路由目的地址花費，TYPE2代表BGP路由，由于這個花費遠遠大于自治系統(tǒng)內花費，所以該路由花費=ASBR到該目的路由得花費值，如果該值相等再考慮本路由器到ASBR花費。

一、OSPF協(xié)議將整個自治系統(tǒng)劃分為不同的區(qū)域，出于以下兩個目的：1、減少路由信息在自治系統(tǒng)之中的傳遞；

2、可以針對不同區(qū)域的拓撲特點采用不同的策略。二、STUB區(qū)域：（那些不傳播TYPE5類型，也就是不引入的外部路由的LSA的區(qū)域），處于自治系統(tǒng)的邊界，是那些只有一個ABR的非骨干區(qū)域，或者該區(qū)域有多個ABR，但是它們之間沒有配置虛連接。

三、配置STUB區(qū)域的注意事項：

1、骨干區(qū)域不能配置成STUB區(qū)域，虛連接不能穿過STUB區(qū)域；

2、如果想將一個區(qū)域配置成STUB區(qū)域，則該區(qū)域中的所有路由器都必須配置成該屬性；

3、STUB區(qū)域內不能存在ASBR，即自治系統(tǒng)外部路由不能引入到區(qū)域內，區(qū)域的自治系統(tǒng)外部路由也不能在本區(qū)域內傳播和傳遞到區(qū)域外。

四、NSSA（notsostubbyarea）區(qū)域，在RFC1587種描述。

1、自治系統(tǒng)外的路由不能進入NSSA區(qū)域，但是區(qū)域內的路由器引入的ASE路由可以在NSSA中傳播并發(fā)送到區(qū)域外；

2、為了解決單項傳遞，重新定義了一種LSA----TYPE7的LSA，與TYPE5的區(qū)別在于類型標識，在NSSA的ABR上將NSSA內部產生的TYPE7類型的LSA轉化為TYPE5類型再發(fā)出去，并同時更改LSA的發(fā)布者為SBR自己。NSSA區(qū)域內所有路由器必須支持該屬性，區(qū)域外的不需要支持。

五、路由聚合：只有在ABR上配置才有效。六、LSA分類：

1、RouterLSA(TYPE=1)，每個路由器都能產生；

2、NetworkLSA(TYPE=2)，由DR生成，傳遞到整個區(qū)域，描述本網段中所有已經同其建立了鄰接關系的路由器；

3、NetworkSummaryLSA(TYPE=3)，由ABR生成，描述了到區(qū)域內某一網段的路由，傳遞到相關區(qū)域；

4、ASBRSummaryLSA(TYPE=4)，由ABR生成，描述到達本區(qū)域內部的ASBR的路由。是主機路由，掩碼0.0.0.0

5、ASExternalLSA(TYPE=5)，由ASBR生成，主要描述了到自治系統(tǒng)外部路由的信息。

七、OSPF協(xié)議根據(jù)鏈路層媒體不同分為以下四種網絡類型：

1、Broadcast，以224.0.0.5，224.0.0.6發(fā)送協(xié)議報文，需要選舉DR，BDR；

2、NBMA，當FR或者X25時，缺省為NBMA，以單播地址發(fā)送協(xié)議報文，需要手工配置鄰居IP地址，需要選舉DR，BDR；

3、Point-to-Multipoint，手工修改NBMA配置而來，以224.0.0.5發(fā)送協(xié)議報文，不需要選舉DR，BDR；

4、Point-to-Point，當鏈路層協(xié)議為ppp，hdlc，LAPB時，224.0.0.5發(fā)送協(xié)議報文，不需要選舉DR，BDR。

八、路由器根據(jù)在自治系統(tǒng)中不同位置，劃分為以下四種類型：1、IAR(InternalAreaRouter)，區(qū)域內路由器；2、ABR(AreaBorderRouter)，區(qū)域邊界路由器；

3、BBR(BackBonerouter)，骨干路由器，0區(qū)域所有路由器，包括0區(qū)域的ABR；4、ASBR(ASboundaryRouter)，自治系統(tǒng)邊界路由器。

九、一個運行OSPF協(xié)議的接口狀態(tài)根據(jù)接口不同類型劃分以下四種：1、DR2、BDR

3、DROTHER4、Point-to-Point注意：DR、BDR、DROTHER是在Broadcast或者NBMA狀態(tài)時需要選舉，在Point-to-Point或者Point-to-Multipoint時不需要選舉，所以就是第四種類型。十、D-V算法“距離-向量”算法的缺陷：1、每臺路由器只能保證自己本地路由正確性，不能保證其他路由器路由正確與否；2、每一條路由信息中沒有標明生成者信息。

十一、OSPF協(xié)議生成的自治系統(tǒng)內部路由無自環(huán)，引入的自治系統(tǒng)外部路由則無法保證是否有自環(huán)。

十二、什么時候需要OSPF：1、按照網絡規(guī)模來說；5臺以下用靜態(tài)，10臺左右用RIP，更多的話可以用OSPF；2、按照網絡拓撲結構來說：網狀并且任意路由器都有互通要求；3、按照其他特殊要求：網絡變化時快速收斂；

4、按照對路由器自身要求：低端路由器不推薦使用OSPF。十三、配置OSPF協(xié)議中劃分區(qū)域的基本原則：1、按照自然的地區(qū)或者行政單位劃分；2、按照網絡中的高端路由器來劃分；3、按照IP地址規(guī)律來劃分。十四、劃分區(qū)域的限制：

1、區(qū)域規(guī)模的問題：每個區(qū)域不要超過70臺路由器，如果整體少于20臺也可以只劃分一個區(qū)域。

2、與骨干區(qū)域的連通問題：所有區(qū)域必須和骨干區(qū)域連通，骨干區(qū)域自身也必須連通，特殊情況用虛連接搞定。3、ABR的處理能力，一臺ABR上不要配置太多區(qū)域，一般是一個骨干區(qū)域+一個或者兩個非骨干區(qū)域。十五、區(qū)域間路由聚合：

在Quidway(config-router-ospf)#rangex.x.x.xmaskx.x.x.xareaxxx注意：必須在ABR上配置才有效。十六、STUB區(qū)域配置方法：

整個區(qū)域內所有路由器都要配置：

Quidway(config-router-ospf)#stubcostxxareaxx注意：STUB區(qū)域內不能存在ASBR。十七、NSSA配置方法：

如果是區(qū)域內路由器：Quidway(config-router-ospf)#areaxxxnssa

如果是ABR，Quidway(config-router-ospf)#areaxxxnssa缺省路由no-summaryno-redistribution第2頁

十八、虛連接配置方法：兩臺路由器之間都要配置：

Quidway(config-router-ospf)#virtual-linkneighbor-id對端的ROUTERIDtransit-areaxxx可以配置一些參數(shù)：比如:

1、hello-interval,發(fā)送間隔

2、dead-interval,鄰接點死亡時間3、retransmit重傳間隔4、transit-dealy傳輸延遲

十九、在NBMA中更改為Point-to-MultipointQuidway(config-if-serial0)#ipospfenablearea0

Quidway(config-if-serial0)#ipospfnetworkpoint-to-multipoint二十、顯示OSPF運行狀態(tài)：

1、showipospf顯示全局信息，routerid，劃分區(qū)域，ABR以及ASBR

2、showipospfinterface顯示端口信息，花費、狀態(tài)、類型、優(yōu)先級、定時器值3、showipospfneighbor顯示鄰居，看狀態(tài)4、showipospferror：

OSPF:notonsamenetwork兩個接口不在同一網段；

OSPF:badvirtuallink錯誤虛連接報文，比如一端沒配，指定鄰居錯誤，transit-area不同OSPF:externoptionmismatch一臺配置了stub，另外一臺沒配OSPF:routeridconfusion兩臺routerid相同

二十一、顯示ospf調試信息：1、debugipospfevent2、debugipospflsa3、debugipospfpacket4、debugipospfspf二十二、排除故障的步驟

1、配置故障排除；檢查兩端是否啟動并配置了ospf2、局部故障排除；檢查協(xié)議運行是否正常，3、全局故障排除；區(qū)域劃分是否正常4、其它疑難問題二十三、關于局部故障排除需要檢查內容：1、routerid配置后正確；2、是否激活ospf協(xié)議；

3、檢查接口是否配置屬于特定區(qū)域，showipospfinterfacexxx4、是否正確引入外部路由

二十四、鄰居路由器之間故障排除：showipospfneigbor如果幾秒鐘到3分鐘之后，仍沒有和DR之間達到FULL狀態(tài)，證明存在故障：

1、檢查物理連接以及下層協(xié)議是否正常運行；要使用PING以及多播檢查；2、檢查雙方在端口配置是否一致，包括hello-interval,dead-interval,authentication,area掩碼等；

3、dead-interval必須大于hello-interval4倍以上；

4、如果網絡類型為廣播或者NBMA，則至少有一臺路由器的priority>05、區(qū)域的stub屬性必須一致；6、接口的網絡類型必須一致；

7、NBMA網絡中是否手工配置了鄰居二十五、關于所謂的其它疑難問題：1、路由表中丟失部分路由，檢查是否配置了路由過濾DISTRIBUTE-LISTNUMBERIN;

2、路由表不穩(wěn)定，時通時斷，A-線路質量不好

B-多臺路由器同時撥一臺路由器，需要將Point-to-point更改為point-to-multipointC-自治系統(tǒng)內可能存在兩個相同routerid

3、無法引入自治系統(tǒng)外部路由，可能處于stub區(qū)域；4、區(qū)域間路由聚合問題，

A-存在兩個以上ABR，但是卻少配置了其中的一個或多個；B-檢察路由聚合命令是否重復等等路由器第二章：BGP協(xié)議

一、BGP(BorderGatewayProtocol)邊界網關協(xié)議，一種自治系統(tǒng)間的動態(tài)路由協(xié)議，通過交換AS序列屬性的路徑可達信息來構造自治區(qū)域的拓撲圖。二、BGP協(xié)議的概述：

1、是一種外部路由協(xié)議；

2、是一種D-V距離-矢量路由協(xié)議；3、為路由附帶了屬性信息；

4、傳送協(xié)議為TCP端口號179；5、支持CIDR；

6、路由更新時只發(fā)送增量路由；7、具備豐富的路由過濾和路由策略。

三、自治系統(tǒng)的編號范圍：1~65535，其中1~65411為INTERNET編號，65412~65535為專用網絡編號。

四、BGP有兩種鄰居：IBGP和EBGP五、BGP路由通告原則

1、多條路徑時，BGPSPEAKER只選擇最優(yōu)的給自己使用；2、BGPSPEAKER只把自己使用的路由通告給其他BGP；

3、BGPSPEAKER從EBGP獲得的路由會向所有的BGP相鄰體轉發(fā)；4、BGPSPEAKER從IBGP獲得的路由不會向IBGP相鄰體轉發(fā)；5、BGPSPEAKER從IBGP獲得的路由是否向EBGP相鄰體轉發(fā)取決于IGP和EGP是否同步；

6、連接一建立，BGPSPEAKER將自己所有的BGP路由通告給新的相鄰體。六、成為BGP路由的三種途徑：1、純動態(tài)注入；2、半動態(tài)注入；3、靜態(tài)注入。

七、BGP報文種類為4種，最大4096字節(jié)：1、HELLO；

2、KEEPALIVE（19字節(jié)，發(fā)送間隔60秒）;3、UPDATE;

4、NOTIFICATION。

八、UPDATE消息可以向BGP對等體通告時三個特點：

1、一個UPDATE消息一次只能通告一個路由，但可以攜帶多個路徑屬性；2、一個UPDATE消息一次也能通告多個路由，但必須攜帶同一個路徑屬性；3、一個UPDATE消息一次可以同時列出多個撤銷路由。九、UPDATE消息由三部分構成：1、不可達路由（unreachable）；2、路徑屬性（pathattributes）；

3、網絡可達性信息（nlrinetworklayerreachableinformation）。十、BGP協(xié)議的6個狀態(tài)機：1、IDLE

2、CONNECT3、ACTIVE4、OPENSENT

5、OPENCONFIRM6、ESTABLISHED十一、BGP常用6屬性情況

類型代碼屬性名必遵/可選過渡/非過渡1ORIGIN必遵過渡2AS-PATH必遵過渡3NEXT-HOP必遵過渡4MED可選非過渡

5Local-prefrence可選非過渡8Commuity可選過渡十二、BGP常見路由屬性6種，可擴充為256種。十三、ORIGIN屬性：

1、IGP，通過NETWORK引入的，2、EGP，通過EGP得到的；

3、INCOMPLETE，通過redistribute引入的。十四、團隊屬性：

1、NO-EXPERT；不通告給AS外的BGP相鄰體；2、NO-ADVERTISE，不通告給所有BGP；3、LOCAL-AS，不通告給EBGP相鄰體；4、INTERNET通告所有路由器。十五、BGP路由選擇過程

1、當下一跳不可達，則忽略該路由；2、選擇本地優(yōu)先級較大的路由；

3、如果本地優(yōu)先級相同，選擇從本路由器始發(fā)的路由；4、選擇AS路徑短的路由；

5、順序選擇IGP,EGP,INCOMPLETE路由；6、選擇MED小的路由；

7、選擇ROUTERID小的路由。十六、BGP在大規(guī)模網絡中遇到的問題：

1、路由表龐大，需要用路由聚合解決；

2、相鄰體過多，無法實現(xiàn)邏輯全連接，需要用路由反射、路由聯(lián)盟解決；3、負責網絡環(huán)境中路由變化過于頻繁，使用路由衰減解決。十七、路由聚合方式：

1、聚合但是抑制特定路由suppress-map；2、選擇具體路由予以聚合advertise-map；3、改變聚合路由AS屬性attribute-map；4、聚合時生成AS-SET聚合as-set十八、路由衰減的5個參數(shù)意義：1、可達半衰期；2、不可達半衰期；3、重用值；4、抑制值；5、懲罰上限。

路由器第三章：路由策略與引入一、路由策略的作用：1、過濾路由信息的手段；

2、發(fā)布路由信息時只發(fā)送部分信息；3、接受路由信息時只接受部分信息；

4、進行路由引入時引入滿足特定條件的信息；5、設置路由協(xié)議引入的路由屬性。第3頁

二、與路由策略相關的五種過濾器：1、路由映像（route-map）2、訪問列表（access-list）3、前綴列表（prefix-list）

4、自治系統(tǒng)路徑信息訪問列表（aspath-list）5、團體屬性列表(community-list)三、路由策略和過濾器之間的關系

1、當路由引入的時候，5種過濾器都可以使用；2、當路由發(fā)布的時候：prefix-list，access-list

3、當路由接受的時候：prefix-list，access-list和gateway四、路由策略配置任務列表包括：1、定義路由映像；2、定義路由映像的match子句；3、定義路由映像的set子句；4、引入其他協(xié)議的路由信息；5、定義地址前綴列表prefix-list；6、配置路由過濾。

五、定義路由映像時注意的是：

1、route-map中所有條件是“或”的關系，符合一個就可以；2、match中是“與”的關系，必須全部符合。六、定義match子句時，可以定義的條件包括：1、as-path自治系統(tǒng)路徑；2、community-list團體屬性；

3、ipaddressprefix-list路由信息的目的地址4、interface路由信息下一跳接口；5、ipnext-hop路由信息的下一跳；6、metric匹配路由信息的路由權值；

7、metrick1k2k3k4k5匹配igrp和eigrp的路由權值8、tag匹配ospf路由信息的標識域9、route-type匹配ospf路由信息的類型

七、定義set子句的時候可以定義的條件包括：1、setas-path定義原as路徑前的as序號；2、setcommunity定義bgp團體的屬性；

3、setipnext-hop定義bgp信息的下一跳地址；

4、setlocal-preference定義bgp路由信息的本地優(yōu)先級；5、setmetric定義路由信息的路由權值；

6、setmetrck1k2k3k4k5定義igrp和eigrp路由權值；7、setorigin定義路由源；

8、settag設置ospf路由信息的標識域。八、注意k1k2k3k4k5含義：

1、k1代表bandwidth帶寬1~4294967295kbytes/s；2、k2代表delay時延1~16777215單位為10微秒；3、k3代表reliability信道可信度0~2554、k4代表loading信道占用率0~2555、k5代表mtu最大傳輸單元1~65535路由第四章---網絡安全特性

一、網絡安全關注的范圍：

1、保護網絡物理線路不會輕易遭受攻擊；2、使用有效的方式識別合法和非法的用戶；3、具有有效的訪問控制手段；4、保證內部局域網的隱蔽性；

5、重要數(shù)據(jù)的安全性以及有效的防偽手段；6、對網絡設備、網絡拓撲的安全管理；7、病毒防范；

8、對員工的安全防范意識進行必要的教育。二、網絡傳統(tǒng)攻擊方式：1、竊聽報文；2、IP地址欺騙；3、源路由攻擊；4、端口掃描；5、拒絕服務攻擊；6、應用層攻擊。

三、網絡安全的必要技術：1、可靠性與線路安全；2、身份認證；（訪問路由器驗證、對端路由器身份驗證、路由信息身份驗證）3、訪問控制；（路由器訪問控制、基于五元組的訪問控制、基于用戶的訪問控制）五元組：源IP地址、目的IP地址、協(xié)議號、源端口、目的端口。4、信息隱藏；地址轉換技術；5、數(shù)據(jù)加密和防偽；數(shù)字簽名四、Quidway路由器的安全技術

1、AAA網絡安全服務（基于用戶名的驗證、授權、記賬，使用RADIUS協(xié)議）；2、包過濾技術；3、地址轉換技術；4、IPSEC和IKE技術。（IPSEC通過AuthenticationHeader和EncapsulatingSecurityPayload兩個安全協(xié)議實現(xiàn)）

5、隧道技術，(VPN核心技術，二層隧道技術VPDN，三層隧道技術IPSEC,GRE)五、提供AAA支持的服務包括：

1、PPP，PPP的CHAP和PAP驗證用戶；

2、EXEC，通過TELNET登陸到路由器以及CONSOLE,AUX等；3、FTP，通過FTP登陸到路由器。六、驗證包括：

1、對用戶名和口令的驗證；2、PPP的PAP和CHAP驗證；3、主叫號碼驗證。七、授權包括：

1、服務類型授權，可以是PPP,EXEC,FTP中的一種或者多種；2、回呼號碼授權，對PPP回呼用戶可以設定回呼號碼；3、隧道屬性授權，配置L2TP隧道屬性。

八、進行AAA驗證的用戶都缺省計費，如果不希望計費，一定要配置：aaaaccountingoptional

九、AAA的方法表，LOGIN只能配置一個方法表，PPP可以配置多個方法表。1、RADIUS2、LOCAL3、NONE

4、RADIUS+LOCAL5、RADIUS+NONE

十、路由器資源有限，最多只支持配置50個用戶，所以大量用戶使用RADIUS服務器。

十一、原語為各服務（PPP,EXEC,FTP）與AAA功能的接口，常見7種：其中請求原語3個：1、join(pap)2、join(chap)3、leave返回結果原語3個：4、accept5、reject6、bye

另外一種：如果沒有配置aaaaccountingoptional，則要求相應服務切斷用戶：7、cut

十二、RADIUS(RemoteAuthenticationDial-inUserService)采用的（client/server客戶機/服務器）結構，使用UDP作為傳輸協(xié)議，使用MD5加密算法進行數(shù)字簽名。

十三、RADIUS協(xié)議使用了兩個UDP端口分別用于驗證（1812端口，RFC2138規(guī)定的）、計費（1813，RFC2139規(guī)定的）十四、驗證和授權過程：1、首先發(fā)送驗證請求包：CHAP驗證中包含用戶名、驗證過程中的Challenge、chapidentifier、response、主叫號碼驗證還需要有主叫號碼。2、RADIUS驗證請求包；

3、路由器收到訪問接受/拒絕包時，首先判斷包的簽名是否正確，然后進行處理。十五、RADIUS計費過程包括：計費請求和計費應答。

十六、每一個用戶計費過程：計費開始、實時計費、計費結束。

十七、計費信息：會話時長、輸入字節(jié)數(shù)、輸出字節(jié)數(shù)、輸入包數(shù)、輸出包數(shù)。路由器第五章：VPN原理及配置

一、VPN(virtualprivatenetwork)，按照應用分類為：1、ACCESSVPN;2、INTRANETVPN;3、EXTRANETVPN

二、VPN按照實現(xiàn)方式劃分：1、點到網的；基于以下協(xié)議：L2TP(LAYER2TUNNELPROTOCOL)

PPTP(POINTTOPOINTTUNNELPROTOCOL)L2F(LAYER2FORWARDING)

2、網到網的，基于以下協(xié)議：GRE(generalroutingencapsulation)IPSEC(ipsecurityprotocolsuite)IPSEC/BGP

MPLS/BGP(multi-protocollableswitch)三、VPN安全性設計原則：1、隧道與加密；2、數(shù)據(jù)驗證；3、用戶驗證；

4、防火墻與攻擊檢測。

四、VPN網絡管理設計原則：1、減小網絡風險；2、擴展性；3、經濟性；4、可靠性。

五、QUIDWAY系列路由器的VPN技術：1、隧道技術；

2、IPSEC;（私有性、完整性、真實性、防重放）3、密鑰交換技術；4、防火墻技術；5、QOS

6、配置管理。

六、QUIDWAY系列路由器的VPN解決方案：1、ACCESSVPN;2、INTRANETVPN;3、EXTRANETVPN

4、結合防火墻的VPN解決方案。七、L2TP協(xié)議的特性：1、適用于點到網的協(xié)議；

2、支持私有地址分配，不占用公有IP地址；

3、與PPP配合支持AAA功能，與RADIUS配置支持靈活的本地和遠端的AAA；4、與IPSEC結合，支持對報文的加密；5、配置簡單，接入靈活。

八、企業(yè)員工通過兩種方式接入總部網絡：

1、通過直接連入POP點，在用戶側配置VPN撥號軟件就可以通訊；

2、通過PSTN/ISDN接入LAC，讓LAC通過INTERNET向LNS發(fā)起建立通道連接請求，不需要配置VPN撥號軟件，利用ISP提供的VPN賬號。九、L2TP的基本控制流程：

1、隧道建立流程，三次握手，首先LAC向LNS發(fā)送SCCRQ，LNS向LAC回復SCCRP，LAC向LNS發(fā)送SCCCN。2、會話建立流程，三次握手，首先LAC向LNS發(fā)送ICRQ,LNS向LAC回復ICRP,LAC向LNS發(fā)送ICCN。第4頁

十、L2TP基本控制流程中維護、拆除部分：1、隧道維護，雙方互發(fā)HELLOZLB；2、隧道拆除，雙方互發(fā)STOPCCND、本端強制掛斷后，快速重連。也就是同一個IP地址的對端同時連接不允許。2）PPP協(xié)商不通過：

A、LAC端設置用戶名密碼有誤，或者LNS端沒有相應用戶；B、LNS端不能分配地址；

C、密碼驗證類型不一致，比如WINDOWS201*的缺省是MSCHAP。2、傳輸失�。�

1）用戶端配置有誤，IP地址分配錯誤；2）網絡擁塞。

十四、GRE(genericroutingencapulation)通用路由封裝協(xié)議，可以實現(xiàn)服務：1、多協(xié)議的網絡通過單一協(xié)議的網絡連接起來；2、擴大了網絡工作范圍，包括路由網關有限的協(xié)議；

3、ipx包只能轉發(fā)16次，但是在一個tunnel連接看，只經過一個路由器；4、將一些不連續(xù)的子網連接起來。

十五、L2TP從屬于二層隧道協(xié)議，而GRE從屬于三層隧道協(xié)議，協(xié)議號47。十六、GRE的實現(xiàn)經過的三個步驟：1、建立TUNNEL；

2、實現(xiàn)TUNNEL加封裝過程；3、實現(xiàn)TUNNEL解封裝過程。十七、GRE配置具體步驟

1、配置TUNNEL接口：interfacetunnelxxx

2、配置tunnel接口源端地址：tunnelsourcex.x.x.x3、配置tunnel接口對端地址：tunneldestinationx.x.x.x4、配置tunnel網絡地址：ipaddressx.x.x.xx.x.x.x5、配置tunnel接口工作模式：tunnelmodegreip

6、配置識別關鍵字或者端到端校驗tunnelkeyxxx/tunnelchecksum十八、IPSEC協(xié)議提供了兩個安全協(xié)議：AH和ESP，信令協(xié)議為IKE。1、AH(authenticationheader)報文驗證頭協(xié)議，協(xié)議號50；

2、ESP(encapsulatingsecuritypayload)報文安全封裝協(xié)議，協(xié)議號51；3、IKE(internetkeyexchange)十九、IPSEC基本概念：

1、安全聯(lián)盟；一個單向安全連接，包括安全協(xié)議、算法、密鑰、對端IP和安全參數(shù)索引。

2、安全參數(shù)索引；32比特，由IKE協(xié)商傳遞。3、序列號；IP報文中序列號，實現(xiàn)防重放。4、安全聯(lián)盟生存時間；1）、時間限制2）、流量限制5、數(shù)據(jù)流；通過ACL實現(xiàn)

6、安全策略。相同名稱的安全策略和順序號不同的策略構成安全策略組。二十、AH報文：

1、傳輸模式下，只驗證IP報文數(shù)據(jù)部分和IP頭不變部分；2、隧道模式下，驗證全部內部IP報文和外部IP頭不變部分。不可以附加驗證，算法為MD5(128BIT)和SHA1(160BIT)二十一、ESP報文格式：

1、傳輸模式下，對IP報文有效數(shù)據(jù)加密；2、隧道模式下，對整個內部IP報文加密；可以附加驗證,算法為MD5和SHA1，如果加密，使用DES,3DES路由器第六章：QoS服務質量保證一、QoS的指標：

1、帶寬和吞吐量bandwidthandthroughput；2、時延delay；3、時延抖動jitter；4、丟失率lossrate。

二、具體的一般常用的QoS指標：1、最小轉發(fā)時延；2、最小延時抖動；3、最小丟包率；4、報文吞吐量。

三、QoS三種服務模型：

1、Besteffort盡力而為服務模型；

2、Intergratedservice集成服務模型；通過信令實現(xiàn)的。3、Differentiatedservice差別服務模型；

四、集成服務模型IntergratedService可以提供的兩種服務：1、保證服務；2、負載控制服務。五、差別服務模型diffserv，采用以下5種技術為重要業(yè)務提供端到端的Qos保障：1、報文分類(IP優(yōu)先級和ACL)；2、流量監(jiān)管(CAR)；3、流量整形(GTS)；

4、擁塞管理(隊列機制)；5、擁塞避免(WRED)。

六、報文分類：如果使用IP報文頭TOS字段分類可以分為8類，但是根據(jù)DSCP分類則可以分為64類。

七、流量監(jiān)管CAR(CommittedAccessRate)

1、利用令牌桶tockenbucket(TB)進行流量控制；

八、流量整形GTS(GenericTrafficShaping)，還包括LR(linerate)1、區(qū)別在于GTS基于IP層實現(xiàn)，而LR處于鏈路層；2、兩個都是當令牌不夠的時候將報文放入擁塞管理。九、擁塞管理（隊列機制）包括：1、FIFO先進先出隊列；2、PQ優(yōu)先級隊列；3、CQ定制隊列；4、WFQ加權公平隊列。依據(jù)是：源目的地址地值、源目的端口、協(xié)議號、precedence。十、PQ的內容：將報文分為4個隊列highmediumnormallow

十一、CQ的內容：將報文分為17個隊列，0為系統(tǒng)隊列優(yōu)先調度，1-16為用戶隊列，根據(jù)帶寬配額*詢調度。

十二、QoS的SHOW命令有3條：

1、showqueueing；顯示PQ和CQ2、showaccess-list；顯示CAR

3、showqos-interface；顯示PQ,CQ,FQ,GTS,LR等。

友情提示：本文中關于《HCSE-Security培訓總結》給出的范例僅供您參考拓展思維使用，HCSE-Security培訓總結：該篇文章建議您自主創(chuàng)作。

來源：網絡整理 免責聲明：本文僅限學習分享，如產生版權問題，請聯(lián)系我們及時刪除。

《HCSE-Security培訓總結》由互聯(lián)網用戶整理提供,轉載分享請保留原作者信息,謝謝!
鏈接地址：http://www.weilaioem.com/gongwen/750414.html

• 上一篇：安徽省201*年高職計算機網絡信息安全雙師素質培訓學習總結
• 下一篇：煤礦職工安全教育工作總結(1) 2