HCSE-Security培訓(xùn)總結(jié)
H3CSE-Security培訓(xùn)總結(jié)
8月28日到9月7日期間,我參加了H3C公司舉辦的H3CSE-Security培訓(xùn)。H3C公司現(xiàn)在有了獨立的網(wǎng)絡(luò)安全產(chǎn)品線,對這一方面產(chǎn)品的投入不斷增大,希望能在網(wǎng)絡(luò)安全生品這一領(lǐng)域做成國內(nèi)(品牌)第一。為配合產(chǎn)品的銷售推廣,最近H3C針對處代理商及相關(guān)客戶開辦了一系列的H3CSE網(wǎng)絡(luò)安全培訓(xùn)。
本次培訓(xùn)共有十天,4門課程包括有:《布置安全防火墻系統(tǒng)》、《H3C安全新產(chǎn)品新特性》《構(gòu)建VPN網(wǎng)絡(luò)》《高級IPS系統(tǒng)配置》。前3門為考試課程,IPS系統(tǒng)只講了半天的課程考試不做要求。培訓(xùn)分為講課及實驗兩部分,一般上午講課為主,下午及晚上為實驗及答疑時間。下面對各門課程的內(nèi)容做一下簡要介紹。
一、布暑安全防火墻系統(tǒng)
防火墻的課程大概可以分為三個方面的內(nèi)容
第一部分為對防火墻技術(shù)及網(wǎng)絡(luò)安全做了一些概念性的介紹,指出了防火墻的幾項必備技術(shù):網(wǎng)絡(luò)隔離及訪問控制、攻擊防范、地址轉(zhuǎn)換(NAT)應(yīng)用層狀態(tài)檢測(ASPF)、微分認(rèn)證、內(nèi)容安全過濾,安全管理。
第二部分介紹了H3CSecPath的防火墻系系列產(chǎn)品,主要對現(xiàn)有的產(chǎn)品在業(yè)務(wù)性能及典型應(yīng)用,做了相應(yīng)介紹。
第三部分為這門課程的主機內(nèi)容,主要講了網(wǎng)絡(luò)安全技術(shù)在H3C防火墻產(chǎn)品上的實現(xiàn)。
防火墻的圖形化管理系統(tǒng):web管理,BIMS及VPNManger管理軟件。BIMS軟件實現(xiàn)了對大量防火墻設(shè)備的升級及配置文件管理,VPNManger提供了對VPN網(wǎng)絡(luò)的監(jiān)控及布置功能。
安全區(qū)域:把防火墻的端口加入不同的安全區(qū)域,實現(xiàn)對不同網(wǎng)絡(luò)的隔離接入。需要注意的一點是防火墻的所有端口(除loopback口)都要要加入到相應(yīng)的區(qū)域中,不然不能轉(zhuǎn)發(fā)數(shù)據(jù)。
訪問控制列表(ACL):4種ACL,基于接口的ACL(1000-1999)、基本防問控制列表(201*-2999)、高級防問控制列表(3000-3999)、基于MAC的訪問控制列表(4000-4999)。需要注意的是,基于接口的ACL只能用的防火墻接口的outbound方向;基于MAC的ACL只能用于透明模式及模合模式的橋模式下。
包過濾技術(shù):實現(xiàn)包過濾技術(shù)的核心技術(shù)是ACL,主要講了ASPF及黑名單技術(shù)。ASPF能夠?qū)﹄p通道的應(yīng)用層協(xié)議及TCP/UDP進行檢測,從而實現(xiàn)對數(shù)據(jù)流的單訪問控制。黑名單是根據(jù)數(shù)據(jù)的源地址進行過濾的一種技術(shù),防火墻可以根據(jù)具體應(yīng)用(主要指攻擊防范)動態(tài)的添加及刪除黑名單,實現(xiàn)對網(wǎng)絡(luò)的安全防護。
地址轉(zhuǎn)換(NAT):地址轉(zhuǎn)換可以實現(xiàn)對網(wǎng)絡(luò)的單向訪問,即保護了網(wǎng)絡(luò)的安全又解決了公有IP地址短缺的問題。H3C可以實現(xiàn)的地址轉(zhuǎn)換方式主要有:多對多地址轉(zhuǎn)換、網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NAPT)、EasyIP(直接使用接口上的公有IP轉(zhuǎn)換)、NATServer(通過地址及端口映射實現(xiàn)外部對內(nèi)部網(wǎng)絡(luò)的訪問)
報文統(tǒng)計:H3C主要提供了以下三種報文統(tǒng)計功能,系統(tǒng)統(tǒng)計、域統(tǒng)計、IP統(tǒng)計。報文統(tǒng)計的功能應(yīng)該是通過報文統(tǒng)計,監(jiān)控網(wǎng)絡(luò)狀況,根據(jù)具體應(yīng)用設(shè)置的安全閥值,來觸發(fā)網(wǎng)絡(luò)系統(tǒng)的安全防護措施。
攻擊防范:本節(jié)內(nèi)容介紹了常見的網(wǎng)絡(luò)攻擊行為及基本原理,并啟用防火墻的各項防范功能對網(wǎng)絡(luò)進行安全防護。
網(wǎng)頁過濾和郵件過濾:這一部分應(yīng)該就是前面提到的防火墻技術(shù)中的內(nèi)容過濾。H3C對web的訪問可以對網(wǎng)頁內(nèi)容及網(wǎng)址(url)過濾,郵件可以通過對郵件的內(nèi)容、附件、主題、收件人地址進行過濾。需要注意的是:1、要實現(xiàn)內(nèi)容過濾必須先配置ASPF策略對http或smtp以及tcp進行檢測;2、配置完成后要記得把配置后的策略保存為一個文件;3、如防火墻重新啟動,需要調(diào)用保存的配置文件。
用戶認(rèn)證:分別對AAA、RADIUS、HWTACASC做了介紹及相關(guān)配置。在了解以上幾種協(xié)議的基礎(chǔ)上,注意RADIUS和HWTACASC的一些區(qū)別。R認(rèn)證授統(tǒng)一,H分別進行;R使用UDP傳輸,H使用TCP;R對論證密碼加密,H對全體報文加密;R適用于記費,H適用于安全控制。H支持對網(wǎng)關(guān)上的配置命令授權(quán),R不支持。
運行模式和雙機備份:H3C的SecPath防火墻,支持三種工作模式:路由模式,透明模式,混合模式。路由模式布置防火墻需要對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進行修改,而透明模式可以直接把防火墻串到網(wǎng)絡(luò)中而不修改網(wǎng)絡(luò)結(jié)構(gòu)。需要注意的是防火墻在路由模式下的轉(zhuǎn)發(fā)性能更強一些。雙機熱備:主要指的是用VRRP技術(shù)實現(xiàn)防火墻設(shè)備的冗余備份。
二、構(gòu)建安全VPN網(wǎng)絡(luò)
VPN課程也可以分為三部分。第一部分為H3C的VPN安全產(chǎn)品介紹,主要講了安全網(wǎng)關(guān)家族成員,業(yè)務(wù)特性及維護配置基礎(chǔ)。第二部分為VPN技術(shù)原理及相關(guān)的加密算法。第三部分為H3C設(shè)備的VPN業(yè)務(wù)實現(xiàn)。下面對技術(shù)原理及業(yè)務(wù)實現(xiàn)做一下簡要介紹。
VPN定義:利用公共網(wǎng)絡(luò)(比如:Internet、幀中繼、ATM等)來構(gòu)建的私有網(wǎng)絡(luò)被稱為VPN(VirtualPrivateNetwork)。VPN的安全性,是通過一系列的安全協(xié)議及算法實現(xiàn)的。
VPN的分類:按應(yīng)用類型(對象)分為三類:AccessVPN(指遠程流動員工接入到公司網(wǎng)絡(luò))、IntranetVPN(指分枝機構(gòu)與公司總部的網(wǎng)絡(luò)連接)、ExtranetVPN(指企業(yè)與合作伙伴間的網(wǎng)絡(luò)連接);按實現(xiàn)層次可分為:二層隧道VPN(可以對數(shù)據(jù)的二層幀封裝傳遞)、三層隧道VPN(只對網(wǎng)絡(luò)層的數(shù)據(jù)包進行封培育傳遞)
加密算法:通過一系列的加密協(xié)議及算法保證數(shù)據(jù)在網(wǎng)絡(luò)上的安全傳輸,主要有安全需求有以下幾方面:
私密性:通過加密實現(xiàn),加密分為對稱加密(密鑰算法有:DES/3DES,ASE,RC4)和非對稱加密(密鑰算法有:DH,RSA)
完整性:通過數(shù)據(jù)摘要(也叫MAC:消息驗證碼)實現(xiàn),主要為摘要算法有MD5、SHA1
身份驗證:使用x.509v3證書和數(shù)據(jù)簽名(對報文的摘要用私鑰加密,得到的結(jié)果被稱為數(shù)據(jù)簽名)。
PKI體系結(jié)構(gòu):PKI是一個簽發(fā)證書、傳播證書、使用證書的環(huán)境,保證了公鑰的可獲得性、真實性、完整性。
L2TPVPN:L2TPVPN是二層隧道VPN,是AccessVPN的主要實現(xiàn)方式,也被稱為VPDN。H3C二層隧道VPN只支持L2TP。L2TPVPN有兩種發(fā)起方式,基于用戶的和基于NAS。需要注意的是L2TPVPN只能實現(xiàn)對用戶的認(rèn)證接入,
但不能實現(xiàn)對數(shù)據(jù)流的加密傳輸。
GREVPN:GREVPN是一種三層VPN隧道協(xié)議、應(yīng)用于IntranetVPN及ExtranetVPN。GRE是利用一種網(wǎng)絡(luò)層協(xié)議對另一種網(wǎng)絡(luò)層協(xié)議B的報文進行封裝,從而實現(xiàn)報文在異種網(wǎng)絡(luò)中的傳輸。異種報文傳輸?shù)耐ǖ婪Q為tunnel(隧道),Tunnel是一個虛擬的點對點的連接,并在tunnel的兩端分別對數(shù)據(jù)進行封裝及解封裝。GRE數(shù)據(jù)使用47號協(xié)議直接封裝在IP層之上,并且不能對數(shù)據(jù)進行加密。
IPsecVPN:IPSecVPN是一種三層VPN實現(xiàn)機制,通過一系列安全協(xié)議及加密算法保證私有網(wǎng)絡(luò)數(shù)據(jù)在公共網(wǎng)絡(luò)上傳輸?shù)乃接行浴⑼暾、真實性及反重放。IPsec包括AH(協(xié)議號51)和ESP(協(xié)議號50)兩個協(xié)議,并有隧道(tunnel)及傳送(transport)兩種工作模式。通過配置可以實現(xiàn)IPSec的NAT穿越。
IKE(IntelnetKeyExchange):是IPSEC的信令協(xié)議,為IPSec提供了自動協(xié)商交你密鑰、建立安全聯(lián)盟的服務(wù)。IKE可以在不安全的網(wǎng)絡(luò)上安全的分發(fā)密鑰,驗證身份建立IPSEC安全聯(lián)盟。IKE協(xié)商分兩個階段:先建立IKESA,再在IKESA的保護下完成IPSec協(xié)商。
DVPN(動態(tài)VPN):DVPN是華為的專利技術(shù),使用C/S結(jié)構(gòu)(其中一臺DVPN接入設(shè)備做為Server,其它DVPN接入設(shè)備做為Client)實現(xiàn)了不同分支機構(gòu)間VPN的動態(tài)建立。Client向Server注冊信息。報文使用UDP封裝,以保證NAT穿越。
SSLVPN:SSL協(xié)議是一種位于應(yīng)用層和TCP層之間,向上層提供加密安全服務(wù)協(xié)議。SSL對應(yīng)用層提供了安全可靠的有連接服務(wù),對所傳輸?shù)臄?shù)據(jù)提供了私性的保護、完整性的校驗,以及對端身份的驗證。SSLVPN是應(yīng)用SSL協(xié)議在客戶端和企業(yè)之間建立的加密隧道。為減輕服務(wù)器加解密負擔(dān),一般使用SSLVPN網(wǎng)關(guān)代替服務(wù)器來應(yīng)答客戶端發(fā)起的SSL連接,并負責(zé)對收發(fā)的數(shù)據(jù)進行加解密。SSL代理與后臺服務(wù)器之間將以明文方式進行加密通訊。目前H3C的SSLVPN功能以在網(wǎng)絡(luò)設(shè)備上安裝SSLVPN插卡的方式實現(xiàn)。通過老師的的演示及做實驗,發(fā)現(xiàn)SSLVPN還是非常實用的,配置簡單管理方便,客戶端不用安裝軟件,以對資源的訪問權(quán)限及客戶端的使用環(huán)境控制的也很細致。
移動客戶VPN:H3C移動客戶VPN指的是通過在客戶端的PC機上安裝客戶端軟件(iNode)和硬件(SecKey),直接過通互聯(lián)網(wǎng)撥入到公司網(wǎng)絡(luò)連接。這種VPN就是H3C的基于客戶端發(fā)起的AccessVPN的接入方式。VPN客戶端有兩種工作模式:L2TP,VPN客戶端同時做為L2TP協(xié)議的LAC和ppp用戶,通過L2TP協(xié)議和中心網(wǎng)關(guān)建立L2TP隧道;L2TPOverIPSec,VPN客戶端首先和中心網(wǎng)關(guān)建立IPSec隧道,然后在IPSEC隧道上建立L2TP隧道通信。
VPN可靠性:H3CVPN可靠性,指的是解決VPN網(wǎng)關(guān)設(shè)備的單點故障,以及VPN單條鏈路的故障檢測問題。設(shè)備單故障解決:布暑兩臺設(shè)備通過VRRP實現(xiàn)設(shè)備的冗余備份,自動切換。鏈路備份:使用動態(tài)路由或者偵測組方式實現(xiàn)在鏈路狀態(tài)的監(jiān)測,從而實現(xiàn)通信線路的快速切換。
三、H3C安全新產(chǎn)品新特性
課程的內(nèi)容,像課程的名子一樣,主要介紹了H3C的一些新的安全產(chǎn)品和安全產(chǎn)品所支持的新特性。目前H3C的安全產(chǎn)品主要有以下幾種:防火墻、VPN網(wǎng)關(guān)、IDS、IPS、防毒墻,安全中心等。需要注意的是本課程介紹的網(wǎng)絡(luò)安全產(chǎn)
品的新特性,只有中高端的防火墻硬件支持,并且需要把防火墻的系統(tǒng)軟件版本升級到E1622P02以下才可以,使用時請注意產(chǎn)品說明。
SecCemter安全中心:該產(chǎn)品的主要作用是收集主機及網(wǎng)絡(luò)設(shè)備的日志信息,對信息實時監(jiān)控且可以產(chǎn)生報警信息,對生成報告進行分析,并具有審計功能的系統(tǒng)。安全中心由硬件服務(wù)器及安裝在服務(wù)器上的軟件組成。服務(wù)器裝有windows201*操作系統(tǒng),配有多塊網(wǎng)卡(用于收集不同網(wǎng)絡(luò)日志信息),擁有大容量硬盤。網(wǎng)絡(luò)設(shè)備需要把日志輸出指向安全中心后,安全中心就會自動添加網(wǎng)絡(luò)設(shè)備,并可以對其進行日志管理。對于主機設(shè)備,需要在安全中心上手動添加,以獲取日志信息。培訓(xùn)的時候看了一個H3C做的河南農(nóng)行的實例,感覺產(chǎn)品功能還是比較強的,只是報價有些貴。
ASM防毒卡:H3C提出了一個OAA(開放業(yè)務(wù)架構(gòu))的概念,H3C的部分產(chǎn)品為第三方廠商(主要應(yīng)該是與其它廠商間的合作吧)硬件及軟件的接口插糟,從而能使用H3C的網(wǎng)絡(luò)安全產(chǎn)品可以提供附加的安全功能。ASM防毒卡及后面提到的NSM流量監(jiān)控卡就是這樣的產(chǎn)品。ASM防卡是H3C與瑞星公司合作,用于在網(wǎng)絡(luò)設(shè)備上實現(xiàn)對病毒防護的產(chǎn)品,防毒卡相當(dāng)于一個單的小型主機,以插卡的方式安裝到了網(wǎng)絡(luò)產(chǎn)品上。網(wǎng)絡(luò)設(shè)備通過對數(shù)據(jù)流的重定向功能,實現(xiàn)對相心數(shù)據(jù)流的病毒檢查。目前防毒卡只支對應(yīng)用層HTTP、FTP、POP3、SMTP4種數(shù)據(jù)流的檢測。防毒卡配有專用的管理接口,以web方式管理配置。
NSM網(wǎng)絡(luò)全監(jiān)控卡:與ASM卡一樣,是一種安裝于網(wǎng)絡(luò)設(shè)備上的插卡,用于監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流信息。通過在網(wǎng)絡(luò)設(shè)備上配置端口鏡像,使NSM卡獲取數(shù)據(jù)流。NSM卡主要可以實現(xiàn)以下4方面功能:網(wǎng)絡(luò)流量統(tǒng)計、網(wǎng)絡(luò)流量監(jiān)控、網(wǎng)絡(luò)安全漏洞檢測、網(wǎng)絡(luò)的優(yōu)化與規(guī)劃。NSM卡配有專用的管理接口,以web方式管理配置(http/https)。
SecPath防火墻的混合模式特性:防火墻可以工作在三種工作模式,即路由模式、透明模式和混合模式。在操作系統(tǒng)E1622以上的版本支持混合模式。需要注意的是在E1622版本以上沒有了firewallmodeXXX命令,設(shè)備默認(rèn)工作在路由模式下。通過配置橋組,加入的接口轉(zhuǎn)換為二層接口,實現(xiàn)透明轉(zhuǎn)發(fā)功能。
SecPath防火火墻雙機熱備特性:新特性的雙機熱備不同于VRRP,新特性提出了RDO的概念,通過RDMP協(xié)議,VIF及HAInterface可以實現(xiàn)雙機熱備及均衡負載。同時新特性的雙機熱備可以實現(xiàn)配置同步及防火墻的狀態(tài)表同步。
SecPath防火墻面向?qū)ο窆芾硖匦裕好嫦驅(qū)ο筇岢隽艘韵聨追N對像,地址對象、服務(wù)對像、時間對象和流對像。也就是先提前定義出以上幾種對象,當(dāng)有應(yīng)用時再對對象加以引用。目前在SecPath中的使用范圍是包過濾和NAT。可以根據(jù)使用者的習(xí)慣決定是否使用用面向?qū)ο竦墓芾。使用web管理方式定義及使用對象應(yīng)該更方便一些。
SecPath防火墻DAR特性:DAR深度應(yīng)用研究感知,在新特性中的應(yīng)用主要是根據(jù)數(shù)據(jù)的特征碼識別BT流,通過設(shè)置對數(shù)據(jù)限速。
以上是對3門門考試課程中的一些知識點以及我所理解到的東西做了一下總結(jié),希望對大家能有所幫助。關(guān)于具體的配置實現(xiàn),請大家參考相應(yīng)的操作手冊或教材。近兩周的培訓(xùn),感到幾個老師還是十分認(rèn)真負責(zé)的,在學(xué)習(xí)及實驗中給了我們很大的幫助,在這里表示一下感謝!
201*-9-12
擴展閱讀:HCSE教材總結(jié)篇--路由(4.0)
HCSE教材總結(jié)篇--路由>>>
路由第一章
一、OSPF(OPENSHORTESTPATHFIRST)協(xié)議,開放式最短路徑優(yōu)先協(xié)議,由IETF開發(fā)的基于鏈路狀態(tài)的自治系統(tǒng)內(nèi)部路由協(xié)議,當(dāng)前使用的是第二版,RFC2328,特點如下:
1、可以適應(yīng)大規(guī)模網(wǎng)絡(luò),上百臺路由器;
2、路由變化收斂速度快,如果拓撲結(jié)構(gòu)變化,立刻發(fā)送更新報文;
3、無路由自環(huán),使用了最短路徑樹算法計算路由,從算法本身保證了不會自環(huán);4、支持VLSM(變長子網(wǎng)掩碼),描述路由時攜帶網(wǎng)段的掩碼信息;5、支持等值路由,到同一目的地址多條等值路由;6、支持區(qū)域劃分,減少占用網(wǎng)絡(luò)的帶寬;
7、提供路由分級管理,使用4類不同路由,按照優(yōu)先級別:區(qū)域內(nèi)路由、區(qū)域間路由(兩種優(yōu)先級都為10)、第一類外部路由、第二類外部路由(優(yōu)先級為150);8、支持驗證,基于接口的報文驗證;
9、組播發(fā)送,在有組播發(fā)送能力的鏈路層上以組播地址發(fā)送協(xié)議報文。
二、ROUTERID,一個32BIT的無符號整數(shù),在整個自治系統(tǒng)內(nèi)唯一,協(xié)議號89,配置命令:ROUTERID1.2.3.4,察看命令:SHOWIPOSPF,如果沒有手工配置,系統(tǒng)優(yōu)先選擇LOOPBACK端口IP地址為ID,如果沒有配置LOOPBACK端口,會從當(dāng)前接口IP地址中自動選擇一個IP地址作為ID。
三、OSPF將不同的網(wǎng)絡(luò)拓撲抽象為四種類型:
1、STUBNETWORKS,接口連接網(wǎng)段中只有本路由器自己,比如局域網(wǎng);2、POINTTOPOINT,通過點到點網(wǎng)絡(luò)與一臺路由器相連,比如DDN;
3、BROADCASTORNBMANETWORKS,通過廣播或NBMA網(wǎng)絡(luò)與多臺路由器相連
4、POINTTOMULTIPOINT,通過點到多點與多臺路由器連接。注意:NBMA要求全連通。
四、OSPF協(xié)議計算出路由的三個步驟:
1、描述本路由器周邊的網(wǎng)絡(luò)拓撲結(jié)構(gòu),生成LSA;
2、將自己生成的LSA在自治系統(tǒng)中傳播,并同時收集其他路由器生成的LSA,生成所有路由器中都相同的LSDB(連路狀態(tài)數(shù)據(jù)庫);3、根據(jù)收集的所有LSA計算路由。五、OSPF的五種協(xié)議報文:
1、HELLO報文,發(fā)現(xiàn)維持鄰居關(guān)系,選舉DR、BDR,內(nèi)容包括定時器數(shù)值、DR、BDR、以及自己已經(jīng)知道的鄰居;
2、DD報文(DATADESCRIPTION),描述自己的LSDB,包括每條LSA的摘要HEAD;
3、LSR報文(LINKSTATEREQUEST),交換了DD報文后,發(fā)送所需要的LSA摘要;
4、LSU報文(LINKSTATEUPDATEPACKET)發(fā)送所需要的LSA內(nèi)容的集合;5、LSACK報文(LINKSTATEACKNOWLEDGMENTPACKET)內(nèi)容是需要確認(rèn)的LSA的HEAD。
六、OSPF的鄰居狀態(tài)機1、DOWN,在過去的DeadInterval時間內(nèi)沒有收到對方的hello報文,初始狀態(tài);2、Attempt,只適用于NBMA類型的接口,本狀態(tài)定期向那些手工配置的鄰居發(fā)送HELLO報文,使用224.0.0.5組播地址;
3、Init,本狀態(tài)表示已經(jīng)收到了鄰居的HELLO報文,但是該報文中列的鄰居中沒有包含我的ROUTERID,也就是說對方?jīng)]有收到我發(fā)的HELLO報文;
4、2-WAY狀態(tài),雙方互相收到了對端的HELLO報文,建立鄰居關(guān)系,在廣播和NBMA類型網(wǎng)絡(luò)中,兩個接口狀態(tài)是DROTHER的路由器之間停留在這個狀態(tài);5、EXStart,發(fā)送DD報文確定主從關(guān)系;
6、Exchange,將本地的LSDB用DD報文描述,發(fā)給鄰居;7、LOADING,發(fā)送LSR報文請求對方的DD報文;
8、FULL,鄰居路由器的LSDB中所有的LSA本路由器都有了,本路由器與鄰居路由器建立鄰接關(guān)系(adjacency)。
七、DR(DesignatedRouter)和BDR(BackupDesignatedRouter),OSPF協(xié)議指定一臺路由器DR負責(zé)傳遞消息,產(chǎn)生過程為:1、登記選民;
2、登記候選人,本網(wǎng)段內(nèi)Priority>0的,默認(rèn)為1;3、競選演說;
4、投票,選擇的是Priority最大的為DR,如果Priority相同,選擇ROUTERID大的當(dāng)選。
八、穩(wěn)定壓倒一切,如果網(wǎng)絡(luò)中已經(jīng)存在DR,新加入的路由器不去搶DR。九、OSPF選舉DR需要注意:
1、DR不一定是Priority最大的路由器,BDR不一定是第二大的路由器;
2、DR是某個網(wǎng)段中的概念,是針對路由器接口而言的,某臺路由器在一個接口上可能是DR,在另外一個接口上可能是BDR;
3、只有在廣播和NBMA類型的接口上才會選舉DR,在POINTTOPOINT以及POINTTOmuiltipoint類型接口上不需要選舉;4、兩臺Drother路由器之間不進行路由信息交換,但是發(fā)送hello報文,處于2-WAY狀態(tài)。
十、NBMA與點到多點之間的區(qū)別:
1、OSPF中NBMA是全連通的非廣播多點可達網(wǎng)絡(luò),點到多點不需要全連通;2、NBMA中選舉DR與BDR,但是點到多點不選舉;3、NBMA是缺省網(wǎng)絡(luò)類型,點到多點需要手工配置;
4、NBMA用單播發(fā)送協(xié)議報文,需要手工配置鄰居,點到多點是可選的,即可以單播發(fā)送也可以多播發(fā)送報文。十一、OSPF劃分區(qū)域的原因,(OSPF在大型網(wǎng)絡(luò)中遇到的問題):1、網(wǎng)絡(luò)過大,導(dǎo)致LSDB龐大,占用大量存儲空間;
2、LSDB過大,增加了SPF算法復(fù)雜度,導(dǎo)致CPU負載過重;3、路由器之間LSDB同步需要時間過長;
4、拓撲結(jié)構(gòu)改變后所有路由器必須重新計算路由。具體解決問題辦法:減少LSA數(shù)量,屏蔽網(wǎng)絡(luò)變化波及的范圍。
十二、劃分區(qū)域為OSPF協(xié)議處理帶來的變化:
1、每一個網(wǎng)段必須屬于一個區(qū)域,或者說每個運行OSPF協(xié)議接口必須制定區(qū)域;2、不同區(qū)域之間通過ABR來傳遞路由信息。
十三、將自治系統(tǒng)劃分了不同的區(qū)域后,路由計算方法的改變:1、同一個區(qū)域內(nèi)路由器之間保持LSDB同步,拓撲結(jié)構(gòu)變化在區(qū)域內(nèi)更新;2、區(qū)域間路由計算通過ABR來完成,ABR先完成一個區(qū)域內(nèi)路由計算,然后查詢路由表,為每一條OSPF路由生成一條TYPE3類型的LSA,內(nèi)容包括該條路由的目的地址、掩碼、花費等信息,然后發(fā)送到另外區(qū)域中;
3、另外區(qū)域路由器根據(jù)每一條TYPE3的LSA生成一條路由,這些路由下一跳都是該ABR。
十四、劃分區(qū)域后,ABR發(fā)送的區(qū)域間路由是基于D-V算法的;區(qū)域內(nèi)路由是基于鏈路狀態(tài)信息的,如果建立了虛連接,兩個ABR之間直接傳遞TYPE3的LSA,中間的路由器只負責(zé)轉(zhuǎn)發(fā)報文。
十五、ASBR(AutonomousSystemBoundaryRouter)自治系統(tǒng)邊界路由器,物理位置不一定真的位于As的邊界,而是可以位于自治系統(tǒng)內(nèi)任意位置。
十六、ASBR為每一條引入的路由生成一條TYPE5類型的LSA,主要內(nèi)容為該條路由的目的地址、掩碼和花費等信息,這些路由信息將在整個自治系統(tǒng)內(nèi)傳播(STUBAREA除外),如果ASBR區(qū)域內(nèi)有ABR存在,那么ABR必須專門為ASBR生成一條TYPE4類型的LSA,內(nèi)容包括ASBR的ID和到它的花費值。十七、自治系統(tǒng)外部路由分為TYPE1和TYPE2兩種,其中TYPE1主要代表RIP或者STATIC等IGP路由,路由花費=本路由器到ASBR花費+ASBR到該路由目的地址花費,TYPE2代表BGP路由,由于這個花費遠遠大于自治系統(tǒng)內(nèi)花費,所以該路由花費=ASBR到該目的路由得花費值,如果該值相等再考慮本路由器到ASBR花費。
一、OSPF協(xié)議將整個自治系統(tǒng)劃分為不同的區(qū)域,出于以下兩個目的:1、減少路由信息在自治系統(tǒng)之中的傳遞;
2、可以針對不同區(qū)域的拓撲特點采用不同的策略。二、STUB區(qū)域:(那些不傳播TYPE5類型,也就是不引入的外部路由的LSA的區(qū)域),處于自治系統(tǒng)的邊界,是那些只有一個ABR的非骨干區(qū)域,或者該區(qū)域有多個ABR,但是它們之間沒有配置虛連接。
三、配置STUB區(qū)域的注意事項:
1、骨干區(qū)域不能配置成STUB區(qū)域,虛連接不能穿過STUB區(qū)域;
2、如果想將一個區(qū)域配置成STUB區(qū)域,則該區(qū)域中的所有路由器都必須配置成該屬性;
3、STUB區(qū)域內(nèi)不能存在ASBR,即自治系統(tǒng)外部路由不能引入到區(qū)域內(nèi),區(qū)域的自治系統(tǒng)外部路由也不能在本區(qū)域內(nèi)傳播和傳遞到區(qū)域外。
四、NSSA(notsostubbyarea)區(qū)域,在RFC1587種描述。
1、自治系統(tǒng)外的路由不能進入NSSA區(qū)域,但是區(qū)域內(nèi)的路由器引入的ASE路由可以在NSSA中傳播并發(fā)送到區(qū)域外;
2、為了解決單項傳遞,重新定義了一種LSA----TYPE7的LSA,與TYPE5的區(qū)別在于類型標(biāo)識,在NSSA的ABR上將NSSA內(nèi)部產(chǎn)生的TYPE7類型的LSA轉(zhuǎn)化為TYPE5類型再發(fā)出去,并同時更改LSA的發(fā)布者為SBR自己。NSSA區(qū)域內(nèi)所有路由器必須支持該屬性,區(qū)域外的不需要支持。
五、路由聚合:只有在ABR上配置才有效。六、LSA分類:
1、RouterLSA(TYPE=1),每個路由器都能產(chǎn)生;
2、NetworkLSA(TYPE=2),由DR生成,傳遞到整個區(qū)域,描述本網(wǎng)段中所有已經(jīng)同其建立了鄰接關(guān)系的路由器;
3、NetworkSummaryLSA(TYPE=3),由ABR生成,描述了到區(qū)域內(nèi)某一網(wǎng)段的路由,傳遞到相關(guān)區(qū)域;
4、ASBRSummaryLSA(TYPE=4),由ABR生成,描述到達本區(qū)域內(nèi)部的ASBR的路由。是主機路由,掩碼0.0.0.0
5、ASExternalLSA(TYPE=5),由ASBR生成,主要描述了到自治系統(tǒng)外部路由的信息。
七、OSPF協(xié)議根據(jù)鏈路層媒體不同分為以下四種網(wǎng)絡(luò)類型:
1、Broadcast,以224.0.0.5,224.0.0.6發(fā)送協(xié)議報文,需要選舉DR,BDR;
2、NBMA,當(dāng)FR或者X25時,缺省為NBMA,以單播地址發(fā)送協(xié)議報文,需要手工配置鄰居IP地址,需要選舉DR,BDR;
3、Point-to-Multipoint,手工修改NBMA配置而來,以224.0.0.5發(fā)送協(xié)議報文,不需要選舉DR,BDR;
4、Point-to-Point,當(dāng)鏈路層協(xié)議為ppp,hdlc,LAPB時,224.0.0.5發(fā)送協(xié)議報文,不需要選舉DR,BDR。
八、路由器根據(jù)在自治系統(tǒng)中不同位置,劃分為以下四種類型:1、IAR(InternalAreaRouter),區(qū)域內(nèi)路由器;2、ABR(AreaBorderRouter),區(qū)域邊界路由器;
3、BBR(BackBonerouter),骨干路由器,0區(qū)域所有路由器,包括0區(qū)域的ABR;4、ASBR(ASboundaryRouter),自治系統(tǒng)邊界路由器。
九、一個運行OSPF協(xié)議的接口狀態(tài)根據(jù)接口不同類型劃分以下四種:1、DR2、BDR
3、DROTHER4、Point-to-Point注意:DR、BDR、DROTHER是在Broadcast或者NBMA狀態(tài)時需要選舉,在Point-to-Point或者Point-to-Multipoint時不需要選舉,所以就是第四種類型。十、D-V算法“距離-向量”算法的缺陷:1、每臺路由器只能保證自己本地路由正確性,不能保證其他路由器路由正確與否;2、每一條路由信息中沒有標(biāo)明生成者信息。
十一、OSPF協(xié)議生成的自治系統(tǒng)內(nèi)部路由無自環(huán),引入的自治系統(tǒng)外部路由則無法保證是否有自環(huán)。
十二、什么時候需要OSPF:1、按照網(wǎng)絡(luò)規(guī)模來說;5臺以下用靜態(tài),10臺左右用RIP,更多的話可以用OSPF;2、按照網(wǎng)絡(luò)拓撲結(jié)構(gòu)來說:網(wǎng)狀并且任意路由器都有互通要求;3、按照其他特殊要求:網(wǎng)絡(luò)變化時快速收斂;
4、按照對路由器自身要求:低端路由器不推薦使用OSPF。十三、配置OSPF協(xié)議中劃分區(qū)域的基本原則:1、按照自然的地區(qū)或者行政單位劃分;2、按照網(wǎng)絡(luò)中的高端路由器來劃分;3、按照IP地址規(guī)律來劃分。十四、劃分區(qū)域的限制:
1、區(qū)域規(guī)模的問題:每個區(qū)域不要超過70臺路由器,如果整體少于20臺也可以只劃分一個區(qū)域。
2、與骨干區(qū)域的連通問題:所有區(qū)域必須和骨干區(qū)域連通,骨干區(qū)域自身也必須連通,特殊情況用虛連接搞定。3、ABR的處理能力,一臺ABR上不要配置太多區(qū)域,一般是一個骨干區(qū)域+一個或者兩個非骨干區(qū)域。十五、區(qū)域間路由聚合:
在Quidway(config-router-ospf)#rangex.x.x.xmaskx.x.x.xareaxxx注意:必須在ABR上配置才有效。十六、STUB區(qū)域配置方法:
整個區(qū)域內(nèi)所有路由器都要配置:
Quidway(config-router-ospf)#stubcostxxareaxx注意:STUB區(qū)域內(nèi)不能存在ASBR。十七、NSSA配置方法:
如果是區(qū)域內(nèi)路由器:Quidway(config-router-ospf)#areaxxxnssa
如果是ABR,Quidway(config-router-ospf)#areaxxxnssa缺省路由no-summaryno-redistribution第2頁
十八、虛連接配置方法:兩臺路由器之間都要配置:
Quidway(config-router-ospf)#virtual-linkneighbor-id對端的ROUTERIDtransit-areaxxx可以配置一些參數(shù):比如:
1、hello-interval,發(fā)送間隔
2、dead-interval,鄰接點死亡時間3、retransmit重傳間隔4、transit-dealy傳輸延遲
十九、在NBMA中更改為Point-to-MultipointQuidway(config-if-serial0)#ipospfenablearea0
Quidway(config-if-serial0)#ipospfnetworkpoint-to-multipoint二十、顯示OSPF運行狀態(tài):
1、showipospf顯示全局信息,routerid,劃分區(qū)域,ABR以及ASBR
2、showipospfinterface顯示端口信息,花費、狀態(tài)、類型、優(yōu)先級、定時器值3、showipospfneighbor顯示鄰居,看狀態(tài)4、showipospferror:
OSPF:notonsamenetwork兩個接口不在同一網(wǎng)段;
OSPF:badvirtuallink錯誤虛連接報文,比如一端沒配,指定鄰居錯誤,transit-area不同OSPF:externoptionmismatch一臺配置了stub,另外一臺沒配OSPF:routeridconfusion兩臺routerid相同
二十一、顯示ospf調(diào)試信息:1、debugipospfevent2、debugipospflsa3、debugipospfpacket4、debugipospfspf二十二、排除故障的步驟
1、配置故障排除;檢查兩端是否啟動并配置了ospf2、局部故障排除;檢查協(xié)議運行是否正常,3、全局故障排除;區(qū)域劃分是否正常4、其它疑難問題二十三、關(guān)于局部故障排除需要檢查內(nèi)容:1、routerid配置后正確;2、是否激活ospf協(xié)議;
3、檢查接口是否配置屬于特定區(qū)域,showipospfinterfacexxx4、是否正確引入外部路由
二十四、鄰居路由器之間故障排除:showipospfneigbor如果幾秒鐘到3分鐘之后,仍沒有和DR之間達到FULL狀態(tài),證明存在故障:
1、檢查物理連接以及下層協(xié)議是否正常運行;要使用PING以及多播檢查;2、檢查雙方在端口配置是否一致,包括hello-interval,dead-interval,authentication,area掩碼等;
3、dead-interval必須大于hello-interval4倍以上;
4、如果網(wǎng)絡(luò)類型為廣播或者NBMA,則至少有一臺路由器的priority>05、區(qū)域的stub屬性必須一致;6、接口的網(wǎng)絡(luò)類型必須一致;
7、NBMA網(wǎng)絡(luò)中是否手工配置了鄰居二十五、關(guān)于所謂的其它疑難問題:1、路由表中丟失部分路由,檢查是否配置了路由過濾DISTRIBUTE-LISTNUMBERIN;
2、路由表不穩(wěn)定,時通時斷,A-線路質(zhì)量不好
B-多臺路由器同時撥一臺路由器,需要將Point-to-point更改為point-to-multipointC-自治系統(tǒng)內(nèi)可能存在兩個相同routerid
3、無法引入自治系統(tǒng)外部路由,可能處于stub區(qū)域;4、區(qū)域間路由聚合問題,
A-存在兩個以上ABR,但是卻少配置了其中的一個或多個;B-檢察路由聚合命令是否重復(fù)等等路由器第二章:BGP協(xié)議
一、BGP(BorderGatewayProtocol)邊界網(wǎng)關(guān)協(xié)議,一種自治系統(tǒng)間的動態(tài)路由協(xié)議,通過交換AS序列屬性的路徑可達信息來構(gòu)造自治區(qū)域的拓撲圖。二、BGP協(xié)議的概述:
1、是一種外部路由協(xié)議;
2、是一種D-V距離-矢量路由協(xié)議;3、為路由附帶了屬性信息;
4、傳送協(xié)議為TCP端口號179;5、支持CIDR;
6、路由更新時只發(fā)送增量路由;7、具備豐富的路由過濾和路由策略。
三、自治系統(tǒng)的編號范圍:1~65535,其中1~65411為INTERNET編號,65412~65535為專用網(wǎng)絡(luò)編號。
四、BGP有兩種鄰居:IBGP和EBGP五、BGP路由通告原則
1、多條路徑時,BGPSPEAKER只選擇最優(yōu)的給自己使用;2、BGPSPEAKER只把自己使用的路由通告給其他BGP;
3、BGPSPEAKER從EBGP獲得的路由會向所有的BGP相鄰體轉(zhuǎn)發(fā);4、BGPSPEAKER從IBGP獲得的路由不會向IBGP相鄰體轉(zhuǎn)發(fā);5、BGPSPEAKER從IBGP獲得的路由是否向EBGP相鄰體轉(zhuǎn)發(fā)取決于IGP和EGP是否同步;
6、連接一建立,BGPSPEAKER將自己所有的BGP路由通告給新的相鄰體。六、成為BGP路由的三種途徑:1、純動態(tài)注入;2、半動態(tài)注入;3、靜態(tài)注入。
七、BGP報文種類為4種,最大4096字節(jié):1、HELLO;
2、KEEPALIVE(19字節(jié),發(fā)送間隔60秒);3、UPDATE;
4、NOTIFICATION。
八、UPDATE消息可以向BGP對等體通告時三個特點:
1、一個UPDATE消息一次只能通告一個路由,但可以攜帶多個路徑屬性;2、一個UPDATE消息一次也能通告多個路由,但必須攜帶同一個路徑屬性;3、一個UPDATE消息一次可以同時列出多個撤銷路由。九、UPDATE消息由三部分構(gòu)成:1、不可達路由(unreachable);2、路徑屬性(pathattributes);
3、網(wǎng)絡(luò)可達性信息(nlrinetworklayerreachableinformation)。十、BGP協(xié)議的6個狀態(tài)機:1、IDLE
2、CONNECT3、ACTIVE4、OPENSENT
5、OPENCONFIRM6、ESTABLISHED十一、BGP常用6屬性情況
類型代碼屬性名必遵/可選過渡/非過渡1ORIGIN必遵過渡2AS-PATH必遵過渡3NEXT-HOP必遵過渡4MED可選非過渡
5Local-prefrence可選非過渡8Commuity可選過渡十二、BGP常見路由屬性6種,可擴充為256種。十三、ORIGIN屬性:
1、IGP,通過NETWORK引入的,2、EGP,通過EGP得到的;
3、INCOMPLETE,通過redistribute引入的。十四、團隊屬性:
1、NO-EXPERT;不通告給AS外的BGP相鄰體;2、NO-ADVERTISE,不通告給所有BGP;3、LOCAL-AS,不通告給EBGP相鄰體;4、INTERNET通告所有路由器。十五、BGP路由選擇過程
1、當(dāng)下一跳不可達,則忽略該路由;2、選擇本地優(yōu)先級較大的路由;
3、如果本地優(yōu)先級相同,選擇從本路由器始發(fā)的路由;4、選擇AS路徑短的路由;
5、順序選擇IGP,EGP,INCOMPLETE路由;6、選擇MED小的路由;
7、選擇ROUTERID小的路由。十六、BGP在大規(guī)模網(wǎng)絡(luò)中遇到的問題:
1、路由表龐大,需要用路由聚合解決;
2、相鄰體過多,無法實現(xiàn)邏輯全連接,需要用路由反射、路由聯(lián)盟解決;3、負責(zé)網(wǎng)絡(luò)環(huán)境中路由變化過于頻繁,使用路由衰減解決。十七、路由聚合方式:
1、聚合但是抑制特定路由suppress-map;2、選擇具體路由予以聚合advertise-map;3、改變聚合路由AS屬性attribute-map;4、聚合時生成AS-SET聚合as-set十八、路由衰減的5個參數(shù)意義:1、可達半衰期;2、不可達半衰期;3、重用值;4、抑制值;5、懲罰上限。
路由器第三章:路由策略與引入一、路由策略的作用:1、過濾路由信息的手段;
2、發(fā)布路由信息時只發(fā)送部分信息;3、接受路由信息時只接受部分信息;
4、進行路由引入時引入滿足特定條件的信息;5、設(shè)置路由協(xié)議引入的路由屬性。第3頁
二、與路由策略相關(guān)的五種過濾器:1、路由映像(route-map)2、訪問列表(access-list)3、前綴列表(prefix-list)
4、自治系統(tǒng)路徑信息訪問列表(aspath-list)5、團體屬性列表(community-list)三、路由策略和過濾器之間的關(guān)系
1、當(dāng)路由引入的時候,5種過濾器都可以使用;2、當(dāng)路由發(fā)布的時候:prefix-list,access-list
3、當(dāng)路由接受的時候:prefix-list,access-list和gateway四、路由策略配置任務(wù)列表包括:1、定義路由映像;2、定義路由映像的match子句;3、定義路由映像的set子句;4、引入其他協(xié)議的路由信息;5、定義地址前綴列表prefix-list;6、配置路由過濾。
五、定義路由映像時注意的是:
1、route-map中所有條件是“或”的關(guān)系,符合一個就可以;2、match中是“與”的關(guān)系,必須全部符合。六、定義match子句時,可以定義的條件包括:1、as-path自治系統(tǒng)路徑;2、community-list團體屬性;
3、ipaddressprefix-list路由信息的目的地址4、interface路由信息下一跳接口;5、ipnext-hop路由信息的下一跳;6、metric匹配路由信息的路由權(quán)值;
7、metrick1k2k3k4k5匹配igrp和eigrp的路由權(quán)值8、tag匹配ospf路由信息的標(biāo)識域9、route-type匹配ospf路由信息的類型
七、定義set子句的時候可以定義的條件包括:1、setas-path定義原as路徑前的as序號;2、setcommunity定義bgp團體的屬性;
3、setipnext-hop定義bgp信息的下一跳地址;
4、setlocal-preference定義bgp路由信息的本地優(yōu)先級;5、setmetric定義路由信息的路由權(quán)值;
6、setmetrck1k2k3k4k5定義igrp和eigrp路由權(quán)值;7、setorigin定義路由源;
8、settag設(shè)置ospf路由信息的標(biāo)識域。八、注意k1k2k3k4k5含義:
1、k1代表bandwidth帶寬1~4294967295kbytes/s;2、k2代表delay時延1~16777215單位為10微秒;3、k3代表reliability信道可信度0~2554、k4代表loading信道占用率0~2555、k5代表mtu最大傳輸單元1~65535路由第四章---網(wǎng)絡(luò)安全特性
一、網(wǎng)絡(luò)安全關(guān)注的范圍:
1、保護網(wǎng)絡(luò)物理線路不會輕易遭受攻擊;2、使用有效的方式識別合法和非法的用戶;3、具有有效的訪問控制手段;4、保證內(nèi)部局域網(wǎng)的隱蔽性;
5、重要數(shù)據(jù)的安全性以及有效的防偽手段;6、對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓撲的安全管理;7、病毒防范;
8、對員工的安全防范意識進行必要的教育。二、網(wǎng)絡(luò)傳統(tǒng)攻擊方式:1、竊聽報文;2、IP地址欺騙;3、源路由攻擊;4、端口掃描;5、拒絕服務(wù)攻擊;6、應(yīng)用層攻擊。
三、網(wǎng)絡(luò)安全的必要技術(shù):1、可靠性與線路安全;2、身份認(rèn)證;(訪問路由器驗證、對端路由器身份驗證、路由信息身份驗證)3、訪問控制;(路由器訪問控制、基于五元組的訪問控制、基于用戶的訪問控制)五元組:源IP地址、目的IP地址、協(xié)議號、源端口、目的端口。4、信息隱藏;地址轉(zhuǎn)換技術(shù);5、數(shù)據(jù)加密和防偽;數(shù)字簽名四、Quidway路由器的安全技術(shù)
1、AAA網(wǎng)絡(luò)安全服務(wù)(基于用戶名的驗證、授權(quán)、記賬,使用RADIUS協(xié)議);2、包過濾技術(shù);3、地址轉(zhuǎn)換技術(shù);4、IPSEC和IKE技術(shù)。(IPSEC通過AuthenticationHeader和EncapsulatingSecurityPayload兩個安全協(xié)議實現(xiàn))
5、隧道技術(shù),(VPN核心技術(shù),二層隧道技術(shù)VPDN,三層隧道技術(shù)IPSEC,GRE)五、提供AAA支持的服務(wù)包括:
1、PPP,PPP的CHAP和PAP驗證用戶;
2、EXEC,通過TELNET登陸到路由器以及CONSOLE,AUX等;3、FTP,通過FTP登陸到路由器。六、驗證包括:
1、對用戶名和口令的驗證;2、PPP的PAP和CHAP驗證;3、主叫號碼驗證。七、授權(quán)包括:
1、服務(wù)類型授權(quán),可以是PPP,EXEC,FTP中的一種或者多種;2、回呼號碼授權(quán),對PPP回呼用戶可以設(shè)定回呼號碼;3、隧道屬性授權(quán),配置L2TP隧道屬性。
八、進行AAA驗證的用戶都缺省計費,如果不希望計費,一定要配置:aaaaccountingoptional
九、AAA的方法表,LOGIN只能配置一個方法表,PPP可以配置多個方法表。1、RADIUS2、LOCAL3、NONE
4、RADIUS+LOCAL5、RADIUS+NONE
十、路由器資源有限,最多只支持配置50個用戶,所以大量用戶使用RADIUS服務(wù)器。
十一、原語為各服務(wù)(PPP,EXEC,FTP)與AAA功能的接口,常見7種:其中請求原語3個:1、join(pap)2、join(chap)3、leave返回結(jié)果原語3個:4、accept5、reject6、bye
另外一種:如果沒有配置aaaaccountingoptional,則要求相應(yīng)服務(wù)切斷用戶:7、cut
十二、RADIUS(RemoteAuthenticationDial-inUserService)采用的(client/server客戶機/服務(wù)器)結(jié)構(gòu),使用UDP作為傳輸協(xié)議,使用MD5加密算法進行數(shù)字簽名。
十三、RADIUS協(xié)議使用了兩個UDP端口分別用于驗證(1812端口,RFC2138規(guī)定的)、計費(1813,RFC2139規(guī)定的)十四、驗證和授權(quán)過程:1、首先發(fā)送驗證請求包:CHAP驗證中包含用戶名、驗證過程中的Challenge、chapidentifier、response、主叫號碼驗證還需要有主叫號碼。2、RADIUS驗證請求包;
3、路由器收到訪問接受/拒絕包時,首先判斷包的簽名是否正確,然后進行處理。十五、RADIUS計費過程包括:計費請求和計費應(yīng)答。
十六、每一個用戶計費過程:計費開始、實時計費、計費結(jié)束。
十七、計費信息:會話時長、輸入字節(jié)數(shù)、輸出字節(jié)數(shù)、輸入包數(shù)、輸出包數(shù)。路由器第五章:VPN原理及配置
一、VPN(virtualprivatenetwork),按照應(yīng)用分類為:1、ACCESSVPN;2、INTRANETVPN;3、EXTRANETVPN
二、VPN按照實現(xiàn)方式劃分:1、點到網(wǎng)的;基于以下協(xié)議:L2TP(LAYER2TUNNELPROTOCOL)
PPTP(POINTTOPOINTTUNNELPROTOCOL)L2F(LAYER2FORWARDING)
2、網(wǎng)到網(wǎng)的,基于以下協(xié)議:GRE(generalroutingencapsulation)IPSEC(ipsecurityprotocolsuite)IPSEC/BGP
MPLS/BGP(multi-protocollableswitch)三、VPN安全性設(shè)計原則:1、隧道與加密;2、數(shù)據(jù)驗證;3、用戶驗證;
4、防火墻與攻擊檢測。
四、VPN網(wǎng)絡(luò)管理設(shè)計原則:1、減小網(wǎng)絡(luò)風(fēng)險;2、擴展性;3、經(jīng)濟性;4、可靠性。
五、QUIDWAY系列路由器的VPN技術(shù):1、隧道技術(shù);
2、IPSEC;(私有性、完整性、真實性、防重放)3、密鑰交換技術(shù);4、防火墻技術(shù);5、QOS
6、配置管理。
六、QUIDWAY系列路由器的VPN解決方案:1、ACCESSVPN;2、INTRANETVPN;3、EXTRANETVPN
4、結(jié)合防火墻的VPN解決方案。七、L2TP協(xié)議的特性:1、適用于點到網(wǎng)的協(xié)議;
2、支持私有地址分配,不占用公有IP地址;
3、與PPP配合支持AAA功能,與RADIUS配置支持靈活的本地和遠端的AAA;4、與IPSEC結(jié)合,支持對報文的加密;5、配置簡單,接入靈活。
八、企業(yè)員工通過兩種方式接入總部網(wǎng)絡(luò):
1、通過直接連入POP點,在用戶側(cè)配置VPN撥號軟件就可以通訊;
2、通過PSTN/ISDN接入LAC,讓LAC通過INTERNET向LNS發(fā)起建立通道連接請求,不需要配置VPN撥號軟件,利用ISP提供的VPN賬號。九、L2TP的基本控制流程:
1、隧道建立流程,三次握手,首先LAC向LNS發(fā)送SCCRQ,LNS向LAC回復(fù)SCCRP,LAC向LNS發(fā)送SCCCN。2、會話建立流程,三次握手,首先LAC向LNS發(fā)送ICRQ,LNS向LAC回復(fù)ICRP,LAC向LNS發(fā)送ICCN。第4頁
十、L2TP基本控制流程中維護、拆除部分:1、隧道維護,雙方互發(fā)HELLOZLB;2、隧道拆除,雙方互發(fā)STOPCCND、本端強制掛斷后,快速重連。也就是同一個IP地址的對端同時連接不允許。2)PPP協(xié)商不通過:
A、LAC端設(shè)置用戶名密碼有誤,或者LNS端沒有相應(yīng)用戶;B、LNS端不能分配地址;
C、密碼驗證類型不一致,比如WINDOWS201*的缺省是MSCHAP。2、傳輸失敗:
1)用戶端配置有誤,IP地址分配錯誤;2)網(wǎng)絡(luò)擁塞。
十四、GRE(genericroutingencapulation)通用路由封裝協(xié)議,可以實現(xiàn)服務(wù):1、多協(xié)議的網(wǎng)絡(luò)通過單一協(xié)議的網(wǎng)絡(luò)連接起來;2、擴大了網(wǎng)絡(luò)工作范圍,包括路由網(wǎng)關(guān)有限的協(xié)議;
3、ipx包只能轉(zhuǎn)發(fā)16次,但是在一個tunnel連接看,只經(jīng)過一個路由器;4、將一些不連續(xù)的子網(wǎng)連接起來。
十五、L2TP從屬于二層隧道協(xié)議,而GRE從屬于三層隧道協(xié)議,協(xié)議號47。十六、GRE的實現(xiàn)經(jīng)過的三個步驟:1、建立TUNNEL;
2、實現(xiàn)TUNNEL加封裝過程;3、實現(xiàn)TUNNEL解封裝過程。十七、GRE配置具體步驟
1、配置TUNNEL接口:interfacetunnelxxx
2、配置tunnel接口源端地址:tunnelsourcex.x.x.x3、配置tunnel接口對端地址:tunneldestinationx.x.x.x4、配置tunnel網(wǎng)絡(luò)地址:ipaddressx.x.x.xx.x.x.x5、配置tunnel接口工作模式:tunnelmodegreip
6、配置識別關(guān)鍵字或者端到端校驗tunnelkeyxxx/tunnelchecksum十八、IPSEC協(xié)議提供了兩個安全協(xié)議:AH和ESP,信令協(xié)議為IKE。1、AH(authenticationheader)報文驗證頭協(xié)議,協(xié)議號50;
2、ESP(encapsulatingsecuritypayload)報文安全封裝協(xié)議,協(xié)議號51;3、IKE(internetkeyexchange)十九、IPSEC基本概念:
1、安全聯(lián)盟;一個單向安全連接,包括安全協(xié)議、算法、密鑰、對端IP和安全參數(shù)索引。
2、安全參數(shù)索引;32比特,由IKE協(xié)商傳遞。3、序列號;IP報文中序列號,實現(xiàn)防重放。4、安全聯(lián)盟生存時間;1)、時間限制2)、流量限制5、數(shù)據(jù)流;通過ACL實現(xiàn)
6、安全策略。相同名稱的安全策略和順序號不同的策略構(gòu)成安全策略組。二十、AH報文:
1、傳輸模式下,只驗證IP報文數(shù)據(jù)部分和IP頭不變部分;2、隧道模式下,驗證全部內(nèi)部IP報文和外部IP頭不變部分。不可以附加驗證,算法為MD5(128BIT)和SHA1(160BIT)二十一、ESP報文格式:
1、傳輸模式下,對IP報文有效數(shù)據(jù)加密;2、隧道模式下,對整個內(nèi)部IP報文加密;可以附加驗證,算法為MD5和SHA1,如果加密,使用DES,3DES路由器第六章:QoS服務(wù)質(zhì)量保證一、QoS的指標(biāo):
1、帶寬和吞吐量bandwidthandthroughput;2、時延delay;3、時延抖動jitter;4、丟失率lossrate。
二、具體的一般常用的QoS指標(biāo):1、最小轉(zhuǎn)發(fā)時延;2、最小延時抖動;3、最小丟包率;4、報文吞吐量。
三、QoS三種服務(wù)模型:
1、Besteffort盡力而為服務(wù)模型;
2、Intergratedservice集成服務(wù)模型;通過信令實現(xiàn)的。3、Differentiatedservice差別服務(wù)模型;
四、集成服務(wù)模型IntergratedService可以提供的兩種服務(wù):1、保證服務(wù);2、負載控制服務(wù)。五、差別服務(wù)模型diffserv,采用以下5種技術(shù)為重要業(yè)務(wù)提供端到端的Qos保障:1、報文分類(IP優(yōu)先級和ACL);2、流量監(jiān)管(CAR);3、流量整形(GTS);
4、擁塞管理(隊列機制);5、擁塞避免(WRED)。
六、報文分類:如果使用IP報文頭TOS字段分類可以分為8類,但是根據(jù)DSCP分類則可以分為64類。
七、流量監(jiān)管CAR(CommittedAccessRate)
1、利用令牌桶tockenbucket(TB)進行流量控制;
八、流量整形GTS(GenericTrafficShaping),還包括LR(linerate)1、區(qū)別在于GTS基于IP層實現(xiàn),而LR處于鏈路層;2、兩個都是當(dāng)令牌不夠的時候?qū)笪姆湃霌砣芾。九、擁塞管理(隊列機制)包括:1、FIFO先進先出隊列;2、PQ優(yōu)先級隊列;3、CQ定制隊列;4、WFQ加權(quán)公平隊列。依據(jù)是:源目的地址地值、源目的端口、協(xié)議號、precedence。十、PQ的內(nèi)容:將報文分為4個隊列highmediumnormallow
十一、CQ的內(nèi)容:將報文分為17個隊列,0為系統(tǒng)隊列優(yōu)先調(diào)度,1-16為用戶隊列,根據(jù)帶寬配額*詢調(diào)度。
十二、QoS的SHOW命令有3條:
1、showqueueing;顯示PQ和CQ2、showaccess-list;顯示CAR
3、showqos-interface;顯示PQ,CQ,FQ,GTS,LR等。
友情提示:本文中關(guān)于《HCSE-Security培訓(xùn)總結(jié)》給出的范例僅供您參考拓展思維使用,HCSE-Security培訓(xùn)總結(jié):該篇文章建議您自主創(chuàng)作。
來源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享,如產(chǎn)生版權(quán)問題,請聯(lián)系我們及時刪除。