华为认证综合辅导：HCSE路由知识点罗列2

 网络安全特性
89. 安全考虑：物理线路、合法用户、访问控制、内网的隐蔽性、防伪手段，重要数据的保护、设备及拓扑的安全管理、病毒防范、安全防范意识的提高
91. 可靠性和线路――主从备份和负载分担
93. 访问控制――分级保护，基于5源组控制 源，目的ip、源，目的端口、协议号
95. 加密和防伪――数据加密、数字签名、IPsec
97. AAA-authentication、authorization、accounting 认证、授权、计费
99. IPsec-Ip security 通过AH和ESP两个协议来实现
101. 提供AAA支持的服务：PPP-pap、chap认证。EXEC-登陆到路由器。FTP-ftp登陆。
103. AAA配置命令：aaa enable-开启、aaa accounting-scheme optional-取消计费、aaa accounting-scheme login-配置方法表、aaa accounting-scheme ppp-在接口上启用方法表
105. 路由器local-user 不要超过50个
107. 原语7种：join PAP 、join CHAP、leave、accept、reject、bye、cut
109. radius采用client/server模式，使用两个UDP端口验证1812，计费1813，客户端发其请求，服务器响应。
VPN
112. 按应用类型 access VPN、intranet VPN、Extranet VPN
114. 远程接入VPN即Access VPN又称VPDN，利用2层隧道技术建立隧道。用户发起的VPN，LNS侧进行AAA。
116. 2层隧道协议：PPTP 点到点隧道协议、L2F 二层转发协议 cisco、L2TP 二层隧道协议 IETF起草，可实现VPDN和专线VPN。
118. VPN设计原则，安全性、可靠性、经济性、扩展性
119. L2TP　layer 2 tunnel protocol 二层隧道协议，IETF起草，结合了PPTP和L2F优点。适合单个和少数用户接入，支持接入用户内部动态地址分配，安全性可采用IPSec，也可采用vpn端系统LAC侧加密-由服务提供商控制。
121. 同一对LAC与LNS间只建立一个L2TP隧道，多个会话复用到一个隧道连接上。
123. 隧道和会话的建立都经过三次握手：请求crq-应答crp-确认ccn。隧道sc，会话i
125. L2TP封装：IP报文（私网）-PPP报文-L2TP报文-UDP报文-IP报文（公网）
127. 配置LNS侧：1配置本地VPDN用户、2 启动vpdn、3 创建vpdn组、4 创建虚模板，为用户分配地址 interface virtrual-template ［number］、5 配置接受呼叫的对端名称 allow l2tp virtual-template［number］［name］
129. dis l2tp tunnel &session 、debug l2tp all/control/error/enent/hidden/payload/time-stamp
GRE
132. GRE配置：1 创建Tunnel接口 interface tunnel ［number］、2 配置接口源地址 source ［ip-add］、3 配目的地址 destination ［ip-add］4 配网络地址 ip add ［ip-add，mask］
IPSec
135. 隧道方式中，整个IP包被用来计算AH或ESP头，且被加密封装于一个新的IP包中；在传输方式中，只有传输层的数据被用来计算AH或ESP头，被加密的传输层数据放在原IP包头后面。
137. IPSec安全特点，数据机密性、完整性、来源认证和反重放。
139. 安全联盟 SA-包括协议、算法、密钥等，SA就是两个IPSec系统间的一个单向逻辑连接，安全联盟由安全参数索引SPI、IP目的地址和安全协议号（AH或ESP）来唯一标识。
141. 安全联盟生存时间 Life Time：安全联盟更新时间有用时间限制和流量限制两种。
143. 安全提议 Transform Mode ：包括安全协议、安全协议使用算法、对报文封装形式。规定了把普通报文转成IPSec报文的方式。
145. IKE-internet key exchange 因特网密钥交换协议，为IPSec提供自动协商交换密钥号和建立SA的服务。通过数据交换来计算密钥。
147. PHS特性由DH算法保证。
149. IKE协商过程：1 SA交换，确认有关安全策略；2 密钥交换，交换公共密钥；3 ID信息和验证数据交换。
151. IKE为IPSec提供定时更新的SA、密钥，反重放服务，端到端的动态认证和降低手工配置的复杂度。
153. IPsec要确定受保护的数据，使用安全保护的路径，确认使用那种保护机制和保护强度。
155. IKE配置：1创建IKE安全策略 ike proposal ［num］、2 选择加密算法、认证方式、hash散列算法、DH组标示、SA生存周期3、配置预设共享密钥 ike pre-shared-key key remote ［add］、4 配置keeplive定时器
157. debug ipsec misc/packet/sa
158. QoS-quality of service 服务质量保证。在通信过程中，允许用户业务在丢包率、延迟、抖动和带宽上获得预期的服务水平。
160. IP QoS三种模式：Best-Effort模型-缺省FIFO;IntServ模型-申请预留资源；DiffServ-网络拥塞时，根据不同服务等级，差别对待
162. RSVP是第一个标准的QoS信令协议，不是路由协议但是按照路由协议规定的报文流的路径为报文申请预留资源。只在网络节点间传递QoS请求，本身不完成QoS要求的实现。
164. DiffServ-Differentiated Service 差分服务模型，目前QoS主流。DS不需要信令。数据进入DS网路，根据优先级DSCP汇聚为一个行为集合。根据定义的PHB-per-hop behavior来对业务流执行PHB。
166. CAR-commited access rate 约定访问速率。是流量监管-traffic policing的一种。利用IP头部的TOS字段来对报文处理，三层处理。
168. GTS-generic traffic shaping 流量整理 用于解决链路两边的接口速率不匹配，使用令牌桶，两种方式处理报文：1 所有流处理 2 不通的流不同处理 命令 qos gts
170. 拥塞管理的算法：FIFO、PQ、CQ、WFQ。
172. PQ-priority queuing 优先对列 分为high、medium、normal、low;命令 全局定义qos pql 接口上应用 qos pq pql
174. WFQ-wgighted fair queuing 加权公平对列 最大对列数16-4096 采用hash算法。权值依的大小依靠ip报文头中携带的ip优先级。命令 qos wfg
176. TCP全局同步，尾部丢弃多个tcp连接的报文，导致多个俩结同时进入慢启动和拥塞避免。
178. WRED命令：1 能使WRED qos wred、2 配置计算平均队长指数 3 配置优先级参数