HCSE-Security培訓(xùn)總結(jié)

H3CSE-Security培訓(xùn)總結(jié)

8月28日到9月7日期間,我參加了H3C公司舉辦的H3CSE-Security培訓(xùn)。H3C公司現(xiàn)在有了獨(dú)立的網(wǎng)絡(luò)安全產(chǎn)品線(xiàn)，對(duì)這一方面產(chǎn)品的投入不斷增大，希望能在網(wǎng)絡(luò)安全生品這一領(lǐng)域做成國(guó)內(nèi)（品牌）第一。為配合產(chǎn)品的銷(xiāo)售推廣，最近H3C針對(duì)處代理商及相關(guān)客戶(hù)開(kāi)辦了一系列的H3CSE網(wǎng)絡(luò)安全培訓(xùn)。

本次培訓(xùn)共有十天，4門(mén)課程包括有：《布置安全防火墻系統(tǒng)》、《H3C安全新產(chǎn)品新特性》《構(gòu)建VPN網(wǎng)絡(luò)》《高級(jí)IPS系統(tǒng)配置》。前3門(mén)為考試課程，IPS系統(tǒng)只講了半天的課程考試不做要求。培訓(xùn)分為講課及實(shí)驗(yàn)兩部分，一般上午講課為主，下午及晚上為實(shí)驗(yàn)及答疑時(shí)間。下面對(duì)各門(mén)課程的內(nèi)容做一下簡(jiǎn)要介紹。

一、布暑安全防火墻系統(tǒng)

防火墻的課程大概可以分為三個(gè)方面的內(nèi)容

第一部分為對(duì)防火墻技術(shù)及網(wǎng)絡(luò)安全做了一些概念性的介紹，指出了防火墻的幾項(xiàng)必備技術(shù)：網(wǎng)絡(luò)隔離及訪(fǎng)問(wèn)控制、攻擊防范、地址轉(zhuǎn)換（NAT）應(yīng)用層狀態(tài)檢測(cè)（ASPF）、微分認(rèn)證、內(nèi)容安全過(guò)濾，安全管理。

第二部分介紹了H3CSecPath的防火墻系系列產(chǎn)品，主要對(duì)現(xiàn)有的產(chǎn)品在業(yè)務(wù)性能及典型應(yīng)用，做了相應(yīng)介紹。

第三部分為這門(mén)課程的主機(jī)內(nèi)容，主要講了網(wǎng)絡(luò)安全技術(shù)在H3C防火墻產(chǎn)品上的實(shí)現(xiàn)。

防火墻的圖形化管理系統(tǒng)：web管理，BIMS及VPNManger管理軟件。BIMS軟件實(shí)現(xiàn)了對(duì)大量防火墻設(shè)備的升級(jí)及配置文件管理，VPNManger提供了對(duì)VPN網(wǎng)絡(luò)的監(jiān)控及布置功能。

安全區(qū)域：把防火墻的端口加入不同的安全區(qū)域，實(shí)現(xiàn)對(duì)不同網(wǎng)絡(luò)的隔離接入。需要注意的一點(diǎn)是防火墻的所有端口（除loopback口）都要要加入到相應(yīng)的區(qū)域中，不然不能轉(zhuǎn)發(fā)數(shù)據(jù)。

訪(fǎng)問(wèn)控制列表（ACL）：4種ACL，基于接口的ACL（1000-1999）、基本防問(wèn)控制列表（201*-2999）、高級(jí)防問(wèn)控制列表（3000-3999）、基于MAC的訪(fǎng)問(wèn)控制列表(4000-4999)。需要注意的是，基于接口的ACL只能用的防火墻接口的outbound方向；基于MAC的ACL只能用于透明模式及模合模式的橋模式下。

包過(guò)濾技術(shù)：實(shí)現(xiàn)包過(guò)濾技術(shù)的核心技術(shù)是ACL，主要講了ASPF及黑名單技術(shù)。ASPF能夠?qū)﹄p通道的應(yīng)用層協(xié)議及TCP/UDP進(jìn)行檢測(cè)，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)流的單訪(fǎng)問(wèn)控制。黑名單是根據(jù)數(shù)據(jù)的源地址進(jìn)行過(guò)濾的一種技術(shù)，防火墻可以根據(jù)具體應(yīng)用（主要指攻擊防范）動(dòng)態(tài)的添加及刪除黑名單，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全防護(hù)。

地址轉(zhuǎn)換（NAT）：地址轉(zhuǎn)換可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的單向訪(fǎng)問(wèn)，即保護(hù)了網(wǎng)絡(luò)的安全又解決了公有IP地址短缺的問(wèn)題。H3C可以實(shí)現(xiàn)的地址轉(zhuǎn)換方式主要有：多對(duì)多地址轉(zhuǎn)換、網(wǎng)絡(luò)地址端口轉(zhuǎn)換（NAPT）、EasyIP(直接使用接口上的公有IP轉(zhuǎn)換)、NATServer(通過(guò)地址及端口映射實(shí)現(xiàn)外部對(duì)內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn))

報(bào)文統(tǒng)計(jì)：H3C主要提供了以下三種報(bào)文統(tǒng)計(jì)功能，系統(tǒng)統(tǒng)計(jì)、域統(tǒng)計(jì)、IP統(tǒng)計(jì)。報(bào)文統(tǒng)計(jì)的功能應(yīng)該是通過(guò)報(bào)文統(tǒng)計(jì)，監(jiān)控網(wǎng)絡(luò)狀況，根據(jù)具體應(yīng)用設(shè)置的安全閥值，來(lái)觸發(fā)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)措施。

攻擊防范：本節(jié)內(nèi)容介紹了常見(jiàn)的網(wǎng)絡(luò)攻擊行為及基本原理，并啟用防火墻的各項(xiàng)防范功能對(duì)網(wǎng)絡(luò)進(jìn)行安全防護(hù)。

網(wǎng)頁(yè)過(guò)濾和郵件過(guò)濾：這一部分應(yīng)該就是前面提到的防火墻技術(shù)中的內(nèi)容過(guò)濾。H3C對(duì)web的訪(fǎng)問(wèn)可以對(duì)網(wǎng)頁(yè)內(nèi)容及網(wǎng)址（url）過(guò)濾，郵件可以通過(guò)對(duì)郵件的內(nèi)容、附件、主題、收件人地址進(jìn)行過(guò)濾。需要注意的是：1、要實(shí)現(xiàn)內(nèi)容過(guò)濾必須先配置ASPF策略對(duì)http或smtp以及tcp進(jìn)行檢測(cè)；2、配置完成后要記得把配置后的策略保存為一個(gè)文件；3、如防火墻重新啟動(dòng)，需要調(diào)用保存的配置文件。

用戶(hù)認(rèn)證：分別對(duì)AAA、RADIUS、HWTACASC做了介紹及相關(guān)配置。在了解以上幾種協(xié)議的基礎(chǔ)上，注意RADIUS和HWTACASC的一些區(qū)別。R認(rèn)證授統(tǒng)一，H分別進(jìn)行；R使用UDP傳輸，H使用TCP；R對(duì)論證密碼加密，H對(duì)全體報(bào)文加密；R適用于記費(fèi)，H適用于安全控制。H支持對(duì)網(wǎng)關(guān)上的配置命令授權(quán)，R不支持。

運(yùn)行模式和雙機(jī)備份：H3C的SecPath防火墻，支持三種工作模式：路由模式，透明模式，混合模式。路由模式布置防火墻需要對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行修改，而透明模式可以直接把防火墻串到網(wǎng)絡(luò)中而不修改網(wǎng)絡(luò)結(jié)構(gòu)。需要注意的是防火墻在路由模式下的轉(zhuǎn)發(fā)性能更強(qiáng)一些。雙機(jī)熱備：主要指的是用VRRP技術(shù)實(shí)現(xiàn)防火墻設(shè)備的冗余備份。

二、構(gòu)建安全VPN網(wǎng)絡(luò)

VPN課程也可以分為三部分。第一部分為H3C的VPN安全產(chǎn)品介紹，主要講了安全網(wǎng)關(guān)家族成員，業(yè)務(wù)特性及維護(hù)配置基礎(chǔ)。第二部分為VPN技術(shù)原理及相關(guān)的加密算法。第三部分為H3C設(shè)備的VPN業(yè)務(wù)實(shí)現(xiàn)。下面對(duì)技術(shù)原理及業(yè)務(wù)實(shí)現(xiàn)做一下簡(jiǎn)要介紹。

VPN定義：利用公共網(wǎng)絡(luò)（比如：Internet、幀中繼、ATM等）來(lái)構(gòu)建的私有網(wǎng)絡(luò)被稱(chēng)為VPN（VirtualPrivateNetwork）。VPN的安全性，是通過(guò)一系列的安全協(xié)議及算法實(shí)現(xiàn)的。

VPN的分類(lèi)：按應(yīng)用類(lèi)型（對(duì)象）分為三類(lèi)：AccessVPN(指遠(yuǎn)程流動(dòng)員工接入到公司網(wǎng)絡(luò))、IntranetVPN(指分枝機(jī)構(gòu)與公司總部的網(wǎng)絡(luò)連接)、ExtranetVPN(指企業(yè)與合作伙伴間的網(wǎng)絡(luò)連接)；按實(shí)現(xiàn)層次可分為：二層隧道VPN（可以對(duì)數(shù)據(jù)的二層幀封裝傳遞）、三層隧道VPN（只對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)包進(jìn)行封培育傳遞）

加密算法：通過(guò)一系列的加密協(xié)議及算法保證數(shù)據(jù)在網(wǎng)絡(luò)上的安全傳輸，主要有安全需求有以下幾方面：

私密性：通過(guò)加密實(shí)現(xiàn)，加密分為對(duì)稱(chēng)加密（密鑰算法有：DES/3DES，ASE，RC4）和非對(duì)稱(chēng)加密(密鑰算法有:DH，RSA)

完整性：通過(guò)數(shù)據(jù)摘要（也叫MAC：消息驗(yàn)證碼）實(shí)現(xiàn)，主要為摘要算法有MD5、SHA1

身份驗(yàn)證：使用x.509v3證書(shū)和數(shù)據(jù)簽名（對(duì)報(bào)文的摘要用私鑰加密，得到的結(jié)果被稱(chēng)為數(shù)據(jù)簽名）。

PKI體系結(jié)構(gòu)：PKI是一個(gè)簽發(fā)證書(shū)、傳播證書(shū)、使用證書(shū)的環(huán)境，保證了公鑰的可獲得性、真實(shí)性、完整性。

L2TPVPN：L2TPVPN是二層隧道VPN，是AccessVPN的主要實(shí)現(xiàn)方式，也被稱(chēng)為VPDN。H3C二層隧道VPN只支持L2TP。L2TPVPN有兩種發(fā)起方式，基于用戶(hù)的和基于NAS。需要注意的是L2TPVPN只能實(shí)現(xiàn)對(duì)用戶(hù)的認(rèn)證接入，

但不能實(shí)現(xiàn)對(duì)數(shù)據(jù)流的加密傳輸。

GREVPN：GREVPN是一種三層VPN隧道協(xié)議、應(yīng)用于IntranetVPN及ExtranetVPN。GRE是利用一種網(wǎng)絡(luò)層協(xié)議對(duì)另一種網(wǎng)絡(luò)層協(xié)議B的報(bào)文進(jìn)行封裝，從而實(shí)現(xiàn)報(bào)文在異種網(wǎng)絡(luò)中的傳輸。異種報(bào)文傳輸?shù)耐ǖ婪Q(chēng)為tunnel(隧道),Tunnel是一個(gè)虛擬的點(diǎn)對(duì)點(diǎn)的連接，并在tunnel的兩端分別對(duì)數(shù)據(jù)進(jìn)行封裝及解封裝。GRE數(shù)據(jù)使用47號(hào)協(xié)議直接封裝在IP層之上，并且不能對(duì)數(shù)據(jù)進(jìn)行加密。

IPsecVPN：IPSecVPN是一種三層VPN實(shí)現(xiàn)機(jī)制，通過(guò)一系列安全協(xié)議及加密算法保證私有網(wǎng)絡(luò)數(shù)據(jù)在公共網(wǎng)絡(luò)上傳輸?shù)乃接行�、完整性、真�?shí)性及反重放。IPsec包括AH（協(xié)議號(hào)51）和ESP（協(xié)議號(hào)50）兩個(gè)協(xié)議，并有隧道（tunnel）及傳送（transport）兩種工作模式。通過(guò)配置可以實(shí)現(xiàn)IPSec的NAT穿越。

IKE（IntelnetKeyExchange）：是IPSEC的信令協(xié)議，為IPSec提供了自動(dòng)協(xié)商交你密鑰、建立安全聯(lián)盟的服務(wù)。IKE可以在不安全的網(wǎng)絡(luò)上安全的分發(fā)密鑰，驗(yàn)證身份建立IPSEC安全聯(lián)盟。IKE協(xié)商分兩個(gè)階段：先建立IKESA，再在IKESA的保護(hù)下完成IPSec協(xié)商。

DVPN（動(dòng)態(tài)VPN）：DVPN是華為的專(zhuān)利技術(shù)，使用C/S結(jié)構(gòu)（其中一臺(tái)DVPN接入設(shè)備做為Server，其它DVPN接入設(shè)備做為Client）實(shí)現(xiàn)了不同分支機(jī)構(gòu)間VPN的動(dòng)態(tài)建立。Client向Server注冊(cè)信息。報(bào)文使用UDP封裝，以保證NAT穿越。

SSLVPN：SSL協(xié)議是一種位于應(yīng)用層和TCP層之間，向上層提供加密安全服務(wù)協(xié)議。SSL對(duì)應(yīng)用層提供了安全可靠的有連接服務(wù)，對(duì)所傳輸?shù)臄?shù)據(jù)提供了私性的保護(hù)、完整性的校驗(yàn)，以及對(duì)端身份的驗(yàn)證。SSLVPN是應(yīng)用SSL協(xié)議在客戶(hù)端和企業(yè)之間建立的加密隧道。為減輕服務(wù)器加解密負(fù)擔(dān)，一般使用SSLVPN網(wǎng)關(guān)代替服務(wù)器來(lái)應(yīng)答客戶(hù)端發(fā)起的SSL連接，并負(fù)責(zé)對(duì)收發(fā)的數(shù)據(jù)進(jìn)行加解密。SSL代理與后臺(tái)服務(wù)器之間將以明文方式進(jìn)行加密通訊。目前H3C的SSLVPN功能以在網(wǎng)絡(luò)設(shè)備上安裝SSLVPN插卡的方式實(shí)現(xiàn)。通過(guò)老師的的演示及做實(shí)驗(yàn)，發(fā)現(xiàn)SSLVPN還是非常實(shí)用的，配置簡(jiǎn)單管理方便，客戶(hù)端不用安裝軟件，以對(duì)資源的訪(fǎng)問(wèn)權(quán)限及客戶(hù)端的使用環(huán)境控制的也很細(xì)致。

移動(dòng)客戶(hù)VPN：H3C移動(dòng)客戶(hù)VPN指的是通過(guò)在客戶(hù)端的PC機(jī)上安裝客戶(hù)端軟件（iNode）和硬件（SecKey）,直接過(guò)通互聯(lián)網(wǎng)撥入到公司網(wǎng)絡(luò)連接。這種VPN就是H3C的基于客戶(hù)端發(fā)起的AccessVPN的接入方式。VPN客戶(hù)端有兩種工作模式：L2TP，VPN客戶(hù)端同時(shí)做為L(zhǎng)2TP協(xié)議的LAC和ppp用戶(hù)，通過(guò)L2TP協(xié)議和中心網(wǎng)關(guān)建立L2TP隧道；L2TPOverIPSec，VPN客戶(hù)端首先和中心網(wǎng)關(guān)建立IPSec隧道，然后在IPSEC隧道上建立L2TP隧道通信。

VPN可靠性：H3CVPN可靠性，指的是解決VPN網(wǎng)關(guān)設(shè)備的單點(diǎn)故障，以及VPN單條鏈路的故障檢測(cè)問(wèn)題。設(shè)備單故障解決：布暑兩臺(tái)設(shè)備通過(guò)VRRP實(shí)現(xiàn)設(shè)備的冗余備份，自動(dòng)切換。鏈路備份：使用動(dòng)態(tài)路由或者偵測(cè)組方式實(shí)現(xiàn)在鏈路狀態(tài)的監(jiān)測(cè)，從而實(shí)現(xiàn)通信線(xiàn)路的快速切換。

三、H3C安全新產(chǎn)品新特性

課程的內(nèi)容，像課程的名子一樣，主要介紹了H3C的一些新的安全產(chǎn)品和安全產(chǎn)品所支持的新特性。目前H3C的安全產(chǎn)品主要有以下幾種：防火墻、VPN網(wǎng)關(guān)、IDS、IPS、防毒墻，安全中心等。需要注意的是本課程介紹的網(wǎng)絡(luò)安全產(chǎn)

品的新特性，只有中高端的防火墻硬件支持，并且需要把防火墻的系統(tǒng)軟件版本升級(jí)到E1622P02以下才可以，使用時(shí)請(qǐng)注意產(chǎn)品說(shuō)明。

SecCemter安全中心：該產(chǎn)品的主要作用是收集主機(jī)及網(wǎng)絡(luò)設(shè)備的日志信息，對(duì)信息實(shí)時(shí)監(jiān)控且可以產(chǎn)生報(bào)警信息，對(duì)生成報(bào)告進(jìn)行分析，并具有審計(jì)功能的系統(tǒng)。安全中心由硬件服務(wù)器及安裝在服務(wù)器上的軟件組成。服務(wù)器裝有windows201*操作系統(tǒng)，配有多塊網(wǎng)卡（用于收集不同網(wǎng)絡(luò)日志信息），擁有大容量硬盤(pán)。網(wǎng)絡(luò)設(shè)備需要把日志輸出指向安全中心后，安全中心就會(huì)自動(dòng)添加網(wǎng)絡(luò)設(shè)備，并可以對(duì)其進(jìn)行日志管理。對(duì)于主機(jī)設(shè)備，需要在安全中心上手動(dòng)添加，以獲取日志信息。培訓(xùn)的時(shí)候看了一個(gè)H3C做的河南農(nóng)行的實(shí)例，感覺(jué)產(chǎn)品功能還是比較強(qiáng)的，只是報(bào)價(jià)有些貴。

ASM防毒卡：H3C提出了一個(gè)OAA（開(kāi)放業(yè)務(wù)架構(gòu)）的概念，H3C的部分產(chǎn)品為第三方廠(chǎng)商（主要應(yīng)該是與其它廠(chǎng)商間的合作吧）硬件及軟件的接口插糟，從而能使用H3C的網(wǎng)絡(luò)安全產(chǎn)品可以提供附加的安全功能。ASM防毒卡及后面提到的NSM流量監(jiān)控卡就是這樣的產(chǎn)品。ASM防卡是H3C與瑞星公司合作，用于在網(wǎng)絡(luò)設(shè)備上實(shí)現(xiàn)對(duì)病毒防護(hù)的產(chǎn)品，防毒卡相當(dāng)于一個(gè)單的小型主機(jī)，以插卡的方式安裝到了網(wǎng)絡(luò)產(chǎn)品上。網(wǎng)絡(luò)設(shè)備通過(guò)對(duì)數(shù)據(jù)流的重定向功能，實(shí)現(xiàn)對(duì)相心數(shù)據(jù)流的病毒檢查。目前防毒卡只支對(duì)應(yīng)用層HTTP、FTP、POP3、SMTP４種數(shù)據(jù)流的檢測(cè)。防毒卡配有專(zhuān)用的管理接口，以web方式管理配置。

NSM網(wǎng)絡(luò)全監(jiān)控卡：與ASM卡一樣，是一種安裝于網(wǎng)絡(luò)設(shè)備上的插卡，用于監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流信息。通過(guò)在網(wǎng)絡(luò)設(shè)備上配置端口鏡像，使NSM卡獲取數(shù)據(jù)流。NSM卡主要可以實(shí)現(xiàn)以下４方面功能：網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)流量監(jiān)控、網(wǎng)絡(luò)安全漏洞檢測(cè)、網(wǎng)絡(luò)的優(yōu)化與規(guī)劃。NSM卡配有專(zhuān)用的管理接口，以web方式管理配置(http/https)。

ＳecPath防火墻的混合模式特性：防火墻可以工作在三種工作模式，即路由模式、透明模式和混合模式。在操作系統(tǒng)E1622以上的版本支持混合模式。需要注意的是在Ｅ162２版本以上沒(méi)有了firewallmodeXXX命令，設(shè)備默認(rèn)工作在路由模式下。通過(guò)配置橋組，加入的接口轉(zhuǎn)換為二層接口，實(shí)現(xiàn)透明轉(zhuǎn)發(fā)功能。

SecPath防火火墻雙機(jī)熱備特性:新特性的雙機(jī)熱備不同于VRRP，新特性提出了RDO的概念，通過(guò)RDMP協(xié)議，VIF及HAInterface可以實(shí)現(xiàn)雙機(jī)熱備及均衡負(fù)載。同時(shí)新特性的雙機(jī)熱備可以實(shí)現(xiàn)配置同步及防火墻的狀態(tài)表同步。

SecPath防火墻面向?qū)ο窆芾硖匦裕好嫦驅(qū)ο筇岢隽艘韵聨追N對(duì)像，地址對(duì)象、服務(wù)對(duì)像、時(shí)間對(duì)象和流對(duì)像。也就是先提前定義出以上幾種對(duì)象，當(dāng)有應(yīng)用時(shí)再對(duì)對(duì)象加以引用。目前在SecPath中的使用范圍是包過(guò)濾和NAT。可以根據(jù)使用者的習(xí)慣決定是否使用用面向?qū)ο竦墓芾�。使用web管理方式定義及使用對(duì)象應(yīng)該更方便一些。

SecPath防火墻DAR特性：DAR深度應(yīng)用研究感知，在新特性中的應(yīng)用主要是根據(jù)數(shù)據(jù)的特征碼識(shí)別BT流，通過(guò)設(shè)置對(duì)數(shù)據(jù)限速。

以上是對(duì)３門(mén)門(mén)考試課程中的一些知識(shí)點(diǎn)以及我所理解到的東西做了一下總結(jié)，希望對(duì)大家能有所幫助。關(guān)于具體的配置實(shí)現(xiàn)，請(qǐng)大家參考相應(yīng)的操作手冊(cè)或教材。近兩周的培訓(xùn)，感到幾個(gè)老師還是十分認(rèn)真負(fù)責(zé)的，在學(xué)習(xí)及實(shí)驗(yàn)中給了我們很大的幫助，在這里表示一下感謝！

201*-9-12

擴(kuò)展閱讀：HCSE教材總結(jié)篇--路由(4.0)

HCSE教材總結(jié)篇--路由>>>

路由第一章

一、OSPF（OPENSHORTESTPATHFIRST）協(xié)議，開(kāi)放式最短路徑優(yōu)先協(xié)議，由IETF開(kāi)發(fā)的基于鏈路狀態(tài)的自治系統(tǒng)內(nèi)部路由協(xié)議，當(dāng)前使用的是第二版，RFC2328，特點(diǎn)如下：

1、可以適應(yīng)大規(guī)模網(wǎng)絡(luò)，上百臺(tái)路由器；

2、路由變化收斂速度快，如果拓?fù)浣Y(jié)構(gòu)變化，立刻發(fā)送更新報(bào)文；

3、無(wú)路由自環(huán)，使用了最短路徑樹(shù)算法計(jì)算路由，從算法本身保證了不會(huì)自環(huán)；4、支持VLSM(變長(zhǎng)子網(wǎng)掩碼)，描述路由時(shí)攜帶網(wǎng)段的掩碼信息；5、支持等值路由，到同一目的地址多條等值路由；6、支持區(qū)域劃分，減少占用網(wǎng)絡(luò)的帶寬；

7、提供路由分級(jí)管理，使用４類(lèi)不同路由，按照優(yōu)先級(jí)別：區(qū)域內(nèi)路由、區(qū)域間路由（兩種優(yōu)先級(jí)都為10）、第一類(lèi)外部路由、第二類(lèi)外部路由（優(yōu)先級(jí)為150）；8、支持驗(yàn)證，基于接口的報(bào)文驗(yàn)證；

9、組播發(fā)送，在有組播發(fā)送能力的鏈路層上以組播地址發(fā)送協(xié)議報(bào)文。

二、ROUTERID，一個(gè)32BIT的無(wú)符號(hào)整數(shù)，在整個(gè)自治系統(tǒng)內(nèi)唯一，協(xié)議號(hào)89，配置命令：ROUTERID1.2.3.4，察看命令：SHOWIPOSPF，如果沒(méi)有手工配置，系統(tǒng)優(yōu)先選擇LOOPBACK端口IP地址為ID，如果沒(méi)有配置LOOPBACK端口，會(huì)從當(dāng)前接口IP地址中自動(dòng)選擇一個(gè)IP地址作為ID。

三、OSPF將不同的網(wǎng)絡(luò)拓?fù)涑橄鬄樗姆N類(lèi)型：

1、STUBNETWORKS，接口連接網(wǎng)段中只有本路由器自己，比如局域網(wǎng)；2、POINTTOPOINT，通過(guò)點(diǎn)到點(diǎn)網(wǎng)絡(luò)與一臺(tái)路由器相連，比如DDN;

3、BROADCASTORNBMANETWORKS，通過(guò)廣播或NBMA網(wǎng)絡(luò)與多臺(tái)路由器相連

4、POINTTOMULTIPOINT，通過(guò)點(diǎn)到多點(diǎn)與多臺(tái)路由器連接。注意：NBMA要求全連通。

四、OSPF協(xié)議計(jì)算出路由的三個(gè)步驟：

1、描述本路由器周邊的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，生成LSA；

2、將自己生成的LSA在自治系統(tǒng)中傳播，并同時(shí)收集其他路由器生成的LSA，生成所有路由器中都相同的LSDB(連路狀態(tài)數(shù)據(jù)庫(kù))；3、根據(jù)收集的所有LSA計(jì)算路由。五、OSPF的五種協(xié)議報(bào)文:

1、HELLO報(bào)文，發(fā)現(xiàn)維持鄰居關(guān)系，選舉DR、BDR，內(nèi)容包括定時(shí)器數(shù)值、DR、BDR、以及自己已經(jīng)知道的鄰居；

2、DD報(bào)文（DATADESCRIPTION），描述自己的LSDB，包括每條LSA的摘要HEAD；

3、LSR報(bào)文(LINKSTATEREQUEST)，交換了DD報(bào)文后，發(fā)送所需要的LSA摘要；

4、LSU報(bào)文（LINKSTATEUPDATEPACKET）發(fā)送所需要的LSA內(nèi)容的集合；5、LSACK報(bào)文（LINKSTATEACKNOWLEDGMENTPACKET）內(nèi)容是需要確認(rèn)的LSA的HEAD。

六、OSPF的鄰居狀態(tài)機(jī)1、DOWN，在過(guò)去的DeadInterval時(shí)間內(nèi)沒(méi)有收到對(duì)方的hello報(bào)文，初始狀態(tài)；2、Attempt，只適用于NBMA類(lèi)型的接口，本狀態(tài)定期向那些手工配置的鄰居發(fā)送HELLO報(bào)文，使用224.0.0.5組播地址；

3、Init，本狀態(tài)表示已經(jīng)收到了鄰居的HELLO報(bào)文，但是該報(bào)文中列的鄰居中沒(méi)有包含我的ROUTERID，也就是說(shuō)對(duì)方?jīng)]有收到我發(fā)的HELLO報(bào)文；

4、2-WAY狀態(tài)，雙方互相收到了對(duì)端的HELLO報(bào)文，建立鄰居關(guān)系，在廣播和NBMA類(lèi)型網(wǎng)絡(luò)中，兩個(gè)接口狀態(tài)是DROTHER的路由器之間停留在這個(gè)狀態(tài)；5、EXStart，發(fā)送DD報(bào)文確定主從關(guān)系；

6、Exchange，將本地的LSDB用DD報(bào)文描述，發(fā)給鄰居；7、LOADING，發(fā)送LSR報(bào)文請(qǐng)求對(duì)方的DD報(bào)文；

8、FULL，鄰居路由器的LSDB中所有的LSA本路由器都有了，本路由器與鄰居路由器建立鄰接關(guān)系（adjacency）。

七、DR（DesignatedRouter）和BDR(BackupDesignatedRouter)，OSPF協(xié)議指定一臺(tái)路由器DR負(fù)責(zé)傳遞消息，產(chǎn)生過(guò)程為：1、登記選民；

2、登記候選人，本網(wǎng)段內(nèi)Priority>0的，默認(rèn)為1；3、競(jìng)選演說(shuō)；

4、投票，選擇的是Priority最大的為DR，如果Priority相同，選擇ROUTERID大的當(dāng)選。

八、穩(wěn)定壓倒一切，如果網(wǎng)絡(luò)中已經(jīng)存在DR，新加入的路由器不去搶DR。九、OSPF選舉DR需要注意：

1、DR不一定是Priority最大的路由器，BDR不一定是第二大的路由器；

2、DR是某個(gè)網(wǎng)段中的概念，是針對(duì)路由器接口而言的，某臺(tái)路由器在一個(gè)接口上可能是DR，在另外一個(gè)接口上可能是BDR；

3、只有在廣播和NBMA類(lèi)型的接口上才會(huì)選舉DR，在POINTTOPOINT以及POINTTOmuiltipoint類(lèi)型接口上不需要選舉；4、兩臺(tái)Drother路由器之間不進(jìn)行路由信息交換，但是發(fā)送hello報(bào)文，處于2-WAY狀態(tài)。

十、NBMA與點(diǎn)到多點(diǎn)之間的區(qū)別：

1、OSPF中NBMA是全連通的非廣播多點(diǎn)可達(dá)網(wǎng)絡(luò)，點(diǎn)到多點(diǎn)不需要全連通；2、NBMA中選舉DR與BDR，但是點(diǎn)到多點(diǎn)不選舉；3、NBMA是缺省網(wǎng)絡(luò)類(lèi)型，點(diǎn)到多點(diǎn)需要手工配置；

4、NBMA用單播發(fā)送協(xié)議報(bào)文，需要手工配置鄰居，點(diǎn)到多點(diǎn)是可選的，即可以單播發(fā)送也可以多播發(fā)送報(bào)文。十一、OSPF劃分區(qū)域的原因，（OSPF在大型網(wǎng)絡(luò)中遇到的問(wèn)題）：1、網(wǎng)絡(luò)過(guò)大，導(dǎo)致LSDB龐大，占用大量存儲(chǔ)空間；

2、LSDB過(guò)大，增加了SPF算法復(fù)雜度，導(dǎo)致CPU負(fù)載過(guò)重；3、路由器之間LSDB同步需要時(shí)間過(guò)長(zhǎng)；

4、拓?fù)浣Y(jié)構(gòu)改變后所有路由器必須重新計(jì)算路由。具體解決問(wèn)題辦法：減少LSA數(shù)量，屏蔽網(wǎng)絡(luò)變化波及的范圍。

十二、劃分區(qū)域?yàn)镺SPF協(xié)議處理帶來(lái)的變化：

1、每一個(gè)網(wǎng)段必須屬于一個(gè)區(qū)域，或者說(shuō)每個(gè)運(yùn)行OSPF協(xié)議接口必須制定區(qū)域；2、不同區(qū)域之間通過(guò)ABR來(lái)傳遞路由信息。

十三、將自治系統(tǒng)劃分了不同的區(qū)域后，路由計(jì)算方法的改變：1、同一個(gè)區(qū)域內(nèi)路由器之間保持LSDB同步，拓?fù)浣Y(jié)構(gòu)變化在區(qū)域內(nèi)更新；2、區(qū)域間路由計(jì)算通過(guò)ABR來(lái)完成，ABR先完成一個(gè)區(qū)域內(nèi)路由計(jì)算，然后查詢(xún)路由表，為每一條OSPF路由生成一條TYPE3類(lèi)型的LSA，內(nèi)容包括該條路由的目的地址、掩碼、花費(fèi)等信息，然后發(fā)送到另外區(qū)域中；

3、另外區(qū)域路由器根據(jù)每一條TYPE3的LSA生成一條路由，這些路由下一跳都是該ABR。

十四、劃分區(qū)域后，ABR發(fā)送的區(qū)域間路由是基于D-V算法的；區(qū)域內(nèi)路由是基于鏈路狀態(tài)信息的，如果建立了虛連接，兩個(gè)ABR之間直接傳遞TYPE3的LSA，中間的路由器只負(fù)責(zé)轉(zhuǎn)發(fā)報(bào)文。

十五、ASBR（AutonomousSystemBoundaryRouter）自治系統(tǒng)邊界路由器，物理位置不一定真的位于A(yíng)s的邊界，而是可以位于自治系統(tǒng)內(nèi)任意位置。

十六、ASBR為每一條引入的路由生成一條TYPE5類(lèi)型的LSA，主要內(nèi)容為該條路由的目的地址、掩碼和花費(fèi)等信息，這些路由信息將在整個(gè)自治系統(tǒng)內(nèi)傳播（STUBAREA除外），如果ASBR區(qū)域內(nèi)有ABR存在，那么ABR必須專(zhuān)門(mén)為ASBR生成一條TYPE4類(lèi)型的LSA，內(nèi)容包括ASBR的ID和到它的花費(fèi)值。十七、自治系統(tǒng)外部路由分為T(mén)YPE1和TYPE2兩種，其中TYPE1主要代表RIP或者STATIC等IGP路由，路由花費(fèi)=本路由器到ASBR花費(fèi)+ASBR到該路由目的地址花費(fèi)，TYPE2代表BGP路由，由于這個(gè)花費(fèi)遠(yuǎn)遠(yuǎn)大于自治系統(tǒng)內(nèi)花費(fèi)，所以該路由花費(fèi)=ASBR到該目的路由得花費(fèi)值，如果該值相等再考慮本路由器到ASBR花費(fèi)。

一、OSPF協(xié)議將整個(gè)自治系統(tǒng)劃分為不同的區(qū)域，出于以下兩個(gè)目的：1、減少路由信息在自治系統(tǒng)之中的傳遞；

2、可以針對(duì)不同區(qū)域的拓?fù)涮攸c(diǎn)采用不同的策略。二、STUB區(qū)域：（那些不傳播TYPE5類(lèi)型，也就是不引入的外部路由的LSA的區(qū)域），處于自治系統(tǒng)的邊界，是那些只有一個(gè)ABR的非骨干區(qū)域，或者該區(qū)域有多個(gè)ABR，但是它們之間沒(méi)有配置虛連接。

三、配置STUB區(qū)域的注意事項(xiàng)：

1、骨干區(qū)域不能配置成STUB區(qū)域，虛連接不能穿過(guò)STUB區(qū)域；

2、如果想將一個(gè)區(qū)域配置成STUB區(qū)域，則該區(qū)域中的所有路由器都必須配置成該屬性；

3、STUB區(qū)域內(nèi)不能存在A(yíng)SBR，即自治系統(tǒng)外部路由不能引入到區(qū)域內(nèi)，區(qū)域的自治系統(tǒng)外部路由也不能在本區(qū)域內(nèi)傳播和傳遞到區(qū)域外。

四、NSSA（notsostubbyarea）區(qū)域，在RFC1587種描述。

1、自治系統(tǒng)外的路由不能進(jìn)入NSSA區(qū)域，但是區(qū)域內(nèi)的路由器引入的ASE路由可以在NSSA中傳播并發(fā)送到區(qū)域外；

2、為了解決單項(xiàng)傳遞，重新定義了一種LSA----TYPE7的LSA，與TYPE5的區(qū)別在于類(lèi)型標(biāo)識(shí)，在NSSA的ABR上將NSSA內(nèi)部產(chǎn)生的TYPE7類(lèi)型的LSA轉(zhuǎn)化為T(mén)YPE5類(lèi)型再發(fā)出去，并同時(shí)更改LSA的發(fā)布者為SBR自己。NSSA區(qū)域內(nèi)所有路由器必須支持該屬性，區(qū)域外的不需要支持。

五、路由聚合：只有在A(yíng)BR上配置才有效。六、LSA分類(lèi)：

1、RouterLSA(TYPE=1)，每個(gè)路由器都能產(chǎn)生；

2、NetworkLSA(TYPE=2)，由DR生成，傳遞到整個(gè)區(qū)域，描述本網(wǎng)段中所有已經(jīng)同其建立了鄰接關(guān)系的路由器；

3、NetworkSummaryLSA(TYPE=3)，由ABR生成，描述了到區(qū)域內(nèi)某一網(wǎng)段的路由，傳遞到相關(guān)區(qū)域；

4、ASBRSummaryLSA(TYPE=4)，由ABR生成，描述到達(dá)本區(qū)域內(nèi)部的ASBR的路由。是主機(jī)路由，掩碼0.0.0.0

5、ASExternalLSA(TYPE=5)，由ASBR生成，主要描述了到自治系統(tǒng)外部路由的信息。

七、OSPF協(xié)議根據(jù)鏈路層媒體不同分為以下四種網(wǎng)絡(luò)類(lèi)型：

1、Broadcast，以224.0.0.5，224.0.0.6發(fā)送協(xié)議報(bào)文，需要選舉DR，BDR；

2、NBMA，當(dāng)FR或者X25時(shí)，缺省為NBMA，以單播地址發(fā)送協(xié)議報(bào)文，需要手工配置鄰居IP地址，需要選舉DR，BDR；

3、Point-to-Multipoint，手工修改NBMA配置而來(lái)，以224.0.0.5發(fā)送協(xié)議報(bào)文，不需要選舉DR，BDR；

4、Point-to-Point，當(dāng)鏈路層協(xié)議為ppp，hdlc，LAPB時(shí)，224.0.0.5發(fā)送協(xié)議報(bào)文，不需要選舉DR，BDR。

八、路由器根據(jù)在自治系統(tǒng)中不同位置，劃分為以下四種類(lèi)型：1、IAR(InternalAreaRouter)，區(qū)域內(nèi)路由器；2、ABR(AreaBorderRouter)，區(qū)域邊界路由器；

3、BBR(BackBonerouter)，骨干路由器，0區(qū)域所有路由器，包括0區(qū)域的ABR；4、ASBR(ASboundaryRouter)，自治系統(tǒng)邊界路由器。

九、一個(gè)運(yùn)行OSPF協(xié)議的接口狀態(tài)根據(jù)接口不同類(lèi)型劃分以下四種：1、DR2、BDR

3、DROTHER4、Point-to-Point注意：DR、BDR、DROTHER是在Broadcast或者NBMA狀態(tài)時(shí)需要選舉，在Point-to-Point或者Point-to-Multipoint時(shí)不需要選舉，所以就是第四種類(lèi)型。十、D-V算法“距離-向量”算法的缺陷：1、每臺(tái)路由器只能保證自己本地路由正確性，不能保證其他路由器路由正確與否；2、每一條路由信息中沒(méi)有標(biāo)明生成者信息。

十一、OSPF協(xié)議生成的自治系統(tǒng)內(nèi)部路由無(wú)自環(huán)，引入的自治系統(tǒng)外部路由則無(wú)法保證是否有自環(huán)。

十二、什么時(shí)候需要OSPF：1、按照網(wǎng)絡(luò)規(guī)模來(lái)說(shuō)；5臺(tái)以下用靜態(tài)，10臺(tái)左右用RIP，更多的話(huà)可以用OSPF；2、按照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來(lái)說(shuō)：網(wǎng)狀并且任意路由器都有互通要求；3、按照其他特殊要求：網(wǎng)絡(luò)變化時(shí)快速收斂；

4、按照對(duì)路由器自身要求：低端路由器不推薦使用OSPF。十三、配置OSPF協(xié)議中劃分區(qū)域的基本原則：1、按照自然的地區(qū)或者行政單位劃分；2、按照網(wǎng)絡(luò)中的高端路由器來(lái)劃分；3、按照IP地址規(guī)律來(lái)劃分。十四、劃分區(qū)域的限制：

1、區(qū)域規(guī)模的問(wèn)題：每個(gè)區(qū)域不要超過(guò)70臺(tái)路由器，如果整體少于20臺(tái)也可以只劃分一個(gè)區(qū)域。

2、與骨干區(qū)域的連通問(wèn)題：所有區(qū)域必須和骨干區(qū)域連通，骨干區(qū)域自身也必須連通，特殊情況用虛連接搞定。3、ABR的處理能力，一臺(tái)ABR上不要配置太多區(qū)域，一般是一個(gè)骨干區(qū)域+一個(gè)或者兩個(gè)非骨干區(qū)域。十五、區(qū)域間路由聚合：

在Quidway(config-router-ospf)#rangex.x.x.xmaskx.x.x.xareaxxx注意：必須在A(yíng)BR上配置才有效。十六、STUB區(qū)域配置方法：

整個(gè)區(qū)域內(nèi)所有路由器都要配置：

Quidway(config-router-ospf)#stubcostxxareaxx注意：STUB區(qū)域內(nèi)不能存在A(yíng)SBR。十七、NSSA配置方法：

如果是區(qū)域內(nèi)路由器：Quidway(config-router-ospf)#areaxxxnssa

如果是ABR，Quidway(config-router-ospf)#areaxxxnssa缺省路由no-summaryno-redistribution第2頁(yè)

十八、虛連接配置方法：兩臺(tái)路由器之間都要配置：

Quidway(config-router-ospf)#virtual-linkneighbor-id對(duì)端的ROUTERIDtransit-areaxxx可以配置一些參數(shù)：比如:

1、hello-interval,發(fā)送間隔

2、dead-interval,鄰接點(diǎn)死亡時(shí)間3、retransmit重傳間隔4、transit-dealy傳輸延遲

十九、在NBMA中更改為Point-to-MultipointQuidway(config-if-serial0)#ipospfenablearea0

Quidway(config-if-serial0)#ipospfnetworkpoint-to-multipoint二十、顯示OSPF運(yùn)行狀態(tài)：

1、showipospf顯示全局信息，routerid，劃分區(qū)域，ABR以及ASBR

2、showipospfinterface顯示端口信息，花費(fèi)、狀態(tài)、類(lèi)型、優(yōu)先級(jí)、定時(shí)器值3、showipospfneighbor顯示鄰居，看狀態(tài)4、showipospferror：

OSPF:notonsamenetwork兩個(gè)接口不在同一網(wǎng)段；

OSPF:badvirtuallink錯(cuò)誤虛連接報(bào)文，比如一端沒(méi)配，指定鄰居錯(cuò)誤，transit-area不同OSPF:externoptionmismatch一臺(tái)配置了stub，另外一臺(tái)沒(méi)配OSPF:routeridconfusion兩臺(tái)routerid相同

二十一、顯示ospf調(diào)試信息：1、debugipospfevent2、debugipospflsa3、debugipospfpacket4、debugipospfspf二十二、排除故障的步驟

1、配置故障排除；檢查兩端是否啟動(dòng)并配置了ospf2、局部故障排除；檢查協(xié)議運(yùn)行是否正常，3、全局故障排除；區(qū)域劃分是否正常4、其它疑難問(wèn)題二十三、關(guān)于局部故障排除需要檢查內(nèi)容：1、routerid配置后正確；2、是否激活ospf協(xié)議；

3、檢查接口是否配置屬于特定區(qū)域，showipospfinterfacexxx4、是否正確引入外部路由

二十四、鄰居路由器之間故障排除：showipospfneigbor如果幾秒鐘到3分鐘之后，仍沒(méi)有和DR之間達(dá)到FULL狀態(tài)，證明存在故障：

1、檢查物理連接以及下層協(xié)議是否正常運(yùn)行；要使用PING以及多播檢查；2、檢查雙方在端口配置是否一致，包括hello-interval,dead-interval,authentication,area掩碼等；

3、dead-interval必須大于hello-interval4倍以上；

4、如果網(wǎng)絡(luò)類(lèi)型為廣播或者NBMA，則至少有一臺(tái)路由器的priority>05、區(qū)域的stub屬性必須一致；6、接口的網(wǎng)絡(luò)類(lèi)型必須一致；

7、NBMA網(wǎng)絡(luò)中是否手工配置了鄰居二十五、關(guān)于所謂的其它疑難問(wèn)題：1、路由表中丟失部分路由，檢查是否配置了路由過(guò)濾DISTRIBUTE-LISTNUMBERIN;

2、路由表不穩(wěn)定，時(shí)通時(shí)斷，A-線(xiàn)路質(zhì)量不好

B-多臺(tái)路由器同時(shí)撥一臺(tái)路由器，需要將Point-to-point更改為point-to-multipointC-自治系統(tǒng)內(nèi)可能存在兩個(gè)相同routerid

3、無(wú)法引入自治系統(tǒng)外部路由，可能處于stub區(qū)域；4、區(qū)域間路由聚合問(wèn)題，

A-存在兩個(gè)以上ABR，但是卻少配置了其中的一個(gè)或多個(gè)；B-檢察路由聚合命令是否重復(fù)等等路由器第二章：BGP協(xié)議

一、BGP(BorderGatewayProtocol)邊界網(wǎng)關(guān)協(xié)議，一種自治系統(tǒng)間的動(dòng)態(tài)路由協(xié)議，通過(guò)交換AS序列屬性的路徑可達(dá)信息來(lái)構(gòu)造自治區(qū)域的拓?fù)鋱D。二、BGP協(xié)議的概述：

1、是一種外部路由協(xié)議；

2、是一種D-V距離-矢量路由協(xié)議；3、為路由附帶了屬性信息；

4、傳送協(xié)議為T(mén)CP端口號(hào)179；5、支持CIDR；

6、路由更新時(shí)只發(fā)送增量路由；7、具備豐富的路由過(guò)濾和路由策略。

三、自治系統(tǒng)的編號(hào)范圍：1~65535，其中1~65411為INTERNET編號(hào)，65412~65535為專(zhuān)用網(wǎng)絡(luò)編號(hào)。

四、BGP有兩種鄰居：IBGP和EBGP五、BGP路由通告原則

1、多條路徑時(shí)，BGPSPEAKER只選擇最優(yōu)的給自己使用；2、BGPSPEAKER只把自己使用的路由通告給其他BGP；

3、BGPSPEAKER從EBGP獲得的路由會(huì)向所有的BGP相鄰體轉(zhuǎn)發(fā)；4、BGPSPEAKER從IBGP獲得的路由不會(huì)向IBGP相鄰體轉(zhuǎn)發(fā)；5、BGPSPEAKER從IBGP獲得的路由是否向EBGP相鄰體轉(zhuǎn)發(fā)取決于IGP和EGP是否同步；

6、連接一建立，BGPSPEAKER將自己所有的BGP路由通告給新的相鄰體。六、成為BGP路由的三種途徑：1、純動(dòng)態(tài)注入；2、半動(dòng)態(tài)注入；3、靜態(tài)注入。

七、BGP報(bào)文種類(lèi)為4種，最大4096字節(jié)：1、HELLO；

2、KEEPALIVE（19字節(jié)，發(fā)送間隔60秒）;3、UPDATE;

4、NOTIFICATION。

八、UPDATE消息可以向BGP對(duì)等體通告時(shí)三個(gè)特點(diǎn)：

1、一個(gè)UPDATE消息一次只能通告一個(gè)路由，但可以攜帶多個(gè)路徑屬性；2、一個(gè)UPDATE消息一次也能通告多個(gè)路由，但必須攜帶同一個(gè)路徑屬性；3、一個(gè)UPDATE消息一次可以同時(shí)列出多個(gè)撤銷(xiāo)路由。九、UPDATE消息由三部分構(gòu)成：1、不可達(dá)路由（unreachable）；2、路徑屬性（pathattributes）；

3、網(wǎng)絡(luò)可達(dá)性信息（nlrinetworklayerreachableinformation）。十、BGP協(xié)議的6個(gè)狀態(tài)機(jī)：1、IDLE

2、CONNECT3、ACTIVE4、OPENSENT

5、OPENCONFIRM6、ESTABLISHED十一、BGP常用6屬性情況

類(lèi)型代碼屬性名必遵/可選過(guò)渡/非過(guò)渡1ORIGIN必遵過(guò)渡2AS-PATH必遵過(guò)渡3NEXT-HOP必遵過(guò)渡4MED可選非過(guò)渡

5Local-prefrence可選非過(guò)渡8Commuity可選過(guò)渡十二、BGP常見(jiàn)路由屬性6種，可擴(kuò)充為256種。十三、ORIGIN屬性：

1、IGP，通過(guò)NETWORK引入的，2、EGP，通過(guò)EGP得到的；

3、INCOMPLETE，通過(guò)redistribute引入的。十四、團(tuán)隊(duì)屬性：

1、NO-EXPERT；不通告給AS外的BGP相鄰體；2、NO-ADVERTISE，不通告給所有BGP；3、LOCAL-AS，不通告給EBGP相鄰體；4、INTERNET通告所有路由器。十五、BGP路由選擇過(guò)程

1、當(dāng)下一跳不可達(dá)，則忽略該路由；2、選擇本地優(yōu)先級(jí)較大的路由；

3、如果本地優(yōu)先級(jí)相同，選擇從本路由器始發(fā)的路由；4、選擇AS路徑短的路由；

5、順序選擇IGP,EGP,INCOMPLETE路由；6、選擇MED小的路由；

7、選擇ROUTERID小的路由。十六、BGP在大規(guī)模網(wǎng)絡(luò)中遇到的問(wèn)題：

1、路由表龐大，需要用路由聚合解決；

2、相鄰體過(guò)多，無(wú)法實(shí)現(xiàn)邏輯全連接，需要用路由反射、路由聯(lián)盟解決；3、負(fù)責(zé)網(wǎng)絡(luò)環(huán)境中路由變化過(guò)于頻繁，使用路由衰減解決。十七、路由聚合方式：

1、聚合但是抑制特定路由suppress-map；2、選擇具體路由予以聚合advertise-map；3、改變聚合路由AS屬性attribute-map；4、聚合時(shí)生成AS-SET聚合as-set十八、路由衰減的5個(gè)參數(shù)意義：1、可達(dá)半衰期；2、不可達(dá)半衰期；3、重用值；4、抑制值；5、懲罰上限。

路由器第三章：路由策略與引入一、路由策略的作用：1、過(guò)濾路由信息的手段；

2、發(fā)布路由信息時(shí)只發(fā)送部分信息；3、接受路由信息時(shí)只接受部分信息；

4、進(jìn)行路由引入時(shí)引入滿(mǎn)足特定條件的信息；5、設(shè)置路由協(xié)議引入的路由屬性。第3頁(yè)

二、與路由策略相關(guān)的五種過(guò)濾器：1、路由映像（route-map）2、訪(fǎng)問(wèn)列表（access-list）3、前綴列表（prefix-list）

4、自治系統(tǒng)路徑信息訪(fǎng)問(wèn)列表（aspath-list）5、團(tuán)體屬性列表(community-list)三、路由策略和過(guò)濾器之間的關(guān)系

1、當(dāng)路由引入的時(shí)候，5種過(guò)濾器都可以使用；2、當(dāng)路由發(fā)布的時(shí)候：prefix-list，access-list

3、當(dāng)路由接受的時(shí)候：prefix-list，access-list和gateway四、路由策略配置任務(wù)列表包括：1、定義路由映像；2、定義路由映像的match子句；3、定義路由映像的set子句；4、引入其他協(xié)議的路由信息；5、定義地址前綴列表prefix-list；6、配置路由過(guò)濾。

五、定義路由映像時(shí)注意的是：

1、route-map中所有條件是“或”的關(guān)系，符合一個(gè)就可以；2、match中是“與”的關(guān)系，必須全部符合。六、定義match子句時(shí)，可以定義的條件包括：1、as-path自治系統(tǒng)路徑；2、community-list團(tuán)體屬性；

3、ipaddressprefix-list路由信息的目的地址4、interface路由信息下一跳接口；5、ipnext-hop路由信息的下一跳；6、metric匹配路由信息的路由權(quán)值；

7、metrick1k2k3k4k5匹配igrp和eigrp的路由權(quán)值8、tag匹配ospf路由信息的標(biāo)識(shí)域9、route-type匹配ospf路由信息的類(lèi)型

七、定義set子句的時(shí)候可以定義的條件包括：1、setas-path定義原as路徑前的as序號(hào)；2、setcommunity定義bgp團(tuán)體的屬性；

3、setipnext-hop定義bgp信息的下一跳地址；

4、setlocal-preference定義bgp路由信息的本地優(yōu)先級(jí)；5、setmetric定義路由信息的路由權(quán)值；

6、setmetrck1k2k3k4k5定義igrp和eigrp路由權(quán)值；7、setorigin定義路由源；

8、settag設(shè)置ospf路由信息的標(biāo)識(shí)域。八、注意k1k2k3k4k5含義：

1、k1代表bandwidth帶寬1~4294967295kbytes/s；2、k2代表delay時(shí)延1~16777215單位為10微秒；3、k3代表reliability信道可信度0~2554、k4代表loading信道占用率0~2555、k5代表mtu最大傳輸單元1~65535路由第四章---網(wǎng)絡(luò)安全特性

一、網(wǎng)絡(luò)安全關(guān)注的范圍：

1、保護(hù)網(wǎng)絡(luò)物理線(xiàn)路不會(huì)輕易遭受攻擊；2、使用有效的方式識(shí)別合法和非法的用戶(hù)；3、具有有效的訪(fǎng)問(wèn)控制手段；4、保證內(nèi)部局域網(wǎng)的隱蔽性；

5、重要數(shù)據(jù)的安全性以及有效的防偽手段；6、對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)涞陌踩�管理�?、病毒防范；

8、對(duì)員工的安全防范意識(shí)進(jìn)行必要的教育。二、網(wǎng)絡(luò)傳統(tǒng)攻擊方式：1、竊聽(tīng)報(bào)文；2、IP地址欺騙；3、源路由攻擊；4、端口掃描；5、拒絕服務(wù)攻擊；6、應(yīng)用層攻擊。

三、網(wǎng)絡(luò)安全的必要技術(shù)：1、可靠性與線(xiàn)路安全；2、身份認(rèn)證；（訪(fǎng)問(wèn)路由器驗(yàn)證、對(duì)端路由器身份驗(yàn)證、路由信息身份驗(yàn)證）3、訪(fǎng)問(wèn)控制；（路由器訪(fǎng)問(wèn)控制、基于五元組的訪(fǎng)問(wèn)控制、基于用戶(hù)的訪(fǎng)問(wèn)控制）五元組：源IP地址、目的IP地址、協(xié)議號(hào)、源端口、目的端口。4、信息隱藏；地址轉(zhuǎn)換技術(shù)；5、數(shù)據(jù)加密和防偽；數(shù)字簽名四、Quidway路由器的安全技術(shù)

1、AAA網(wǎng)絡(luò)安全服務(wù)（基于用戶(hù)名的驗(yàn)證、授權(quán)、記賬，使用RADIUS協(xié)議）；2、包過(guò)濾技術(shù)；3、地址轉(zhuǎn)換技術(shù)；4、IPSEC和IKE技術(shù)。（IPSEC通過(guò)AuthenticationHeader和EncapsulatingSecurityPayload兩個(gè)安全協(xié)議實(shí)現(xiàn)）

5、隧道技術(shù)，(VPN核心技術(shù)，二層隧道技術(shù)VPDN，三層隧道技術(shù)IPSEC,GRE)五、提供AAA支持的服務(wù)包括：

1、PPP，PPP的CHAP和PAP驗(yàn)證用戶(hù)；

2、EXEC，通過(guò)TELNET登陸到路由器以及CONSOLE,AUX等；3、FTP，通過(guò)FTP登陸到路由器。六、驗(yàn)證包括：

1、對(duì)用戶(hù)名和口令的驗(yàn)證；2、PPP的PAP和CHAP驗(yàn)證；3、主叫號(hào)碼驗(yàn)證。七、授權(quán)包括：

1、服務(wù)類(lèi)型授權(quán)，可以是PPP,EXEC,FTP中的一種或者多種；2、回呼號(hào)碼授權(quán)，對(duì)PPP回呼用戶(hù)可以設(shè)定回呼號(hào)碼；3、隧道屬性授權(quán)，配置L2TP隧道屬性。

八、進(jìn)行AAA驗(yàn)證的用戶(hù)都缺省計(jì)費(fèi)，如果不希望計(jì)費(fèi)，一定要配置：aaaaccountingoptional

九、AAA的方法表，LOGIN只能配置一個(gè)方法表，PPP可以配置多個(gè)方法表。1、RADIUS2、LOCAL3、NONE

4、RADIUS+LOCAL5、RADIUS+NONE

十、路由器資源有限，最多只支持配置50個(gè)用戶(hù)，所以大量用戶(hù)使用RADIUS服務(wù)器。

十一、原語(yǔ)為各服務(wù)（PPP,EXEC,FTP）與AAA功能的接口，常見(jiàn)7種：其中請(qǐng)求原語(yǔ)3個(gè)：1、join(pap)2、join(chap)3、leave返回結(jié)果原語(yǔ)3個(gè)：4、accept5、reject6、bye

另外一種：如果沒(méi)有配置aaaaccountingoptional，則要求相應(yīng)服務(wù)切斷用戶(hù)：7、cut

十二、RADIUS(RemoteAuthenticationDial-inUserService)采用的（client/server客戶(hù)機(jī)/服務(wù)器）結(jié)構(gòu)，使用UDP作為傳輸協(xié)議，使用MD5加密算法進(jìn)行數(shù)字簽名。

十三、RADIUS協(xié)議使用了兩個(gè)UDP端口分別用于驗(yàn)證（1812端口，RFC2138規(guī)定的）、計(jì)費(fèi)（1813，RFC2139規(guī)定的）十四、驗(yàn)證和授權(quán)過(guò)程：1、首先發(fā)送驗(yàn)證請(qǐng)求包：CHAP驗(yàn)證中包含用戶(hù)名、驗(yàn)證過(guò)程中的Challenge、chapidentifier、response、主叫號(hào)碼驗(yàn)證還需要有主叫號(hào)碼。2、RADIUS驗(yàn)證請(qǐng)求包；

3、路由器收到訪(fǎng)問(wèn)接受/拒絕包時(shí)，首先判斷包的簽名是否正確，然后進(jìn)行處理。十五、RADIUS計(jì)費(fèi)過(guò)程包括：計(jì)費(fèi)請(qǐng)求和計(jì)費(fèi)應(yīng)答。

十六、每一個(gè)用戶(hù)計(jì)費(fèi)過(guò)程：計(jì)費(fèi)開(kāi)始、實(shí)時(shí)計(jì)費(fèi)、計(jì)費(fèi)結(jié)束。

十七、計(jì)費(fèi)信息：會(huì)話(huà)時(shí)長(zhǎng)、輸入字節(jié)數(shù)、輸出字節(jié)數(shù)、輸入包數(shù)、輸出包數(shù)。路由器第五章：VPN原理及配置

一、VPN(virtualprivatenetwork)，按照應(yīng)用分類(lèi)為：1、ACCESSVPN;2、INTRANETVPN;3、EXTRANETVPN

二、VPN按照實(shí)現(xiàn)方式劃分：1、點(diǎn)到網(wǎng)的；基于以下協(xié)議：L2TP(LAYER2TUNNELPROTOCOL)

PPTP(POINTTOPOINTTUNNELPROTOCOL)L2F(LAYER2FORWARDING)

2、網(wǎng)到網(wǎng)的，基于以下協(xié)議：GRE(generalroutingencapsulation)IPSEC(ipsecurityprotocolsuite)IPSEC/BGP

MPLS/BGP(multi-protocollableswitch)三、VPN安全性設(shè)計(jì)原則：1、隧道與加密；2、數(shù)據(jù)驗(yàn)證；3、用戶(hù)驗(yàn)證；

4、防火墻與攻擊檢測(cè)。

四、VPN網(wǎng)絡(luò)管理設(shè)計(jì)原則：1、減小網(wǎng)絡(luò)風(fēng)險(xiǎn)；2、擴(kuò)展性；3、經(jīng)濟(jì)性；4、可靠性。

五、QUIDWAY系列路由器的VPN技術(shù)：1、隧道技術(shù)；

2、IPSEC;（私有性、完整性、真實(shí)性、防重放）3、密鑰交換技術(shù)；4、防火墻技術(shù)；5、QOS

6、配置管理。

六、QUIDWAY系列路由器的VPN解決方案：1、ACCESSVPN;2、INTRANETVPN;3、EXTRANETVPN

4、結(jié)合防火墻的VPN解決方案。七、L2TP協(xié)議的特性：1、適用于點(diǎn)到網(wǎng)的協(xié)議；

2、支持私有地址分配，不占用公有IP地址；

3、與PPP配合支持AAA功能，與RADIUS配置支持靈活的本地和遠(yuǎn)端的AAA；4、與IPSEC結(jié)合，支持對(duì)報(bào)文的加密；5、配置簡(jiǎn)單，接入靈活。

八、企業(yè)員工通過(guò)兩種方式接入總部網(wǎng)絡(luò)：

1、通過(guò)直接連入POP點(diǎn)，在用戶(hù)側(cè)配置VPN撥號(hào)軟件就可以通訊；

2、通過(guò)PSTN/ISDN接入LAC，讓LAC通過(guò)INTERNET向LNS發(fā)起建立通道連接請(qǐng)求，不需要配置VPN撥號(hào)軟件，利用ISP提供的VPN賬號(hào)。九、L2TP的基本控制流程：

1、隧道建立流程，三次握手，首先LAC向LNS發(fā)送SCCRQ，LNS向LAC回復(fù)SCCRP，LAC向LNS發(fā)送SCCCN。2、會(huì)話(huà)建立流程，三次握手，首先LAC向LNS發(fā)送ICRQ,LNS向LAC回復(fù)ICRP,LAC向LNS發(fā)送ICCN。第4頁(yè)

十、L2TP基本控制流程中維護(hù)、拆除部分：1、隧道維護(hù)，雙方互發(fā)HELLOZLB；2、隧道拆除，雙方互發(fā)STOPCCND、本端強(qiáng)制掛斷后，快速重連。也就是同一個(gè)IP地址的對(duì)端同時(shí)連接不允許。2）PPP協(xié)商不通過(guò)：

A、LAC端設(shè)置用戶(hù)名密碼有誤，或者LNS端沒(méi)有相應(yīng)用戶(hù)；B、LNS端不能分配地址；

C、密碼驗(yàn)證類(lèi)型不一致，比如WINDOWS201*的缺省是MSCHAP。2、傳輸失�。�

1）用戶(hù)端配置有誤，IP地址分配錯(cuò)誤；2）網(wǎng)絡(luò)擁塞。

十四、GRE(genericroutingencapulation)通用路由封裝協(xié)議，可以實(shí)現(xiàn)服務(wù)：1、多協(xié)議的網(wǎng)絡(luò)通過(guò)單一協(xié)議的網(wǎng)絡(luò)連接起來(lái)；2、擴(kuò)大了網(wǎng)絡(luò)工作范圍，包括路由網(wǎng)關(guān)有限的協(xié)議；

3、ipx包只能轉(zhuǎn)發(fā)16次，但是在一個(gè)tunnel連接看，只經(jīng)過(guò)一個(gè)路由器；4、將一些不連續(xù)的子網(wǎng)連接起來(lái)。

十五、L2TP從屬于二層隧道協(xié)議，而GRE從屬于三層隧道協(xié)議，協(xié)議號(hào)47。十六、GRE的實(shí)現(xiàn)經(jīng)過(guò)的三個(gè)步驟：1、建立TUNNEL；

2、實(shí)現(xiàn)TUNNEL加封裝過(guò)程；3、實(shí)現(xiàn)TUNNEL解封裝過(guò)程。十七、GRE配置具體步驟

1、配置TUNNEL接口：interfacetunnelxxx

2、配置tunnel接口源端地址：tunnelsourcex.x.x.x3、配置tunnel接口對(duì)端地址：tunneldestinationx.x.x.x4、配置tunnel網(wǎng)絡(luò)地址：ipaddressx.x.x.xx.x.x.x5、配置tunnel接口工作模式：tunnelmodegreip

6、配置識(shí)別關(guān)鍵字或者端到端校驗(yàn)tunnelkeyxxx/tunnelchecksum十八、IPSEC協(xié)議提供了兩個(gè)安全協(xié)議：AH和ESP，信令協(xié)議為IKE。1、AH(authenticationheader)報(bào)文驗(yàn)證頭協(xié)議，協(xié)議號(hào)50；

2、ESP(encapsulatingsecuritypayload)報(bào)文安全封裝協(xié)議，協(xié)議號(hào)51；3、IKE(internetkeyexchange)十九、IPSEC基本概念：

1、安全聯(lián)盟；一個(gè)單向安全連接，包括安全協(xié)議、算法、密鑰、對(duì)端IP和安全參數(shù)索引。

2、安全參數(shù)索引；32比特，由IKE協(xié)商傳遞。3、序列號(hào)；IP報(bào)文中序列號(hào)，實(shí)現(xiàn)防重放。4、安全聯(lián)盟生存時(shí)間；1）、時(shí)間限制2）、流量限制5、數(shù)據(jù)流；通過(guò)ACL實(shí)現(xiàn)

6、安全策略。相同名稱(chēng)的安全策略和順序號(hào)不同的策略構(gòu)成安全策略組。二十、AH報(bào)文：

1、傳輸模式下，只驗(yàn)證IP報(bào)文數(shù)據(jù)部分和IP頭不變部分；2、隧道模式下，驗(yàn)證全部?jī)?nèi)部IP報(bào)文和外部IP頭不變部分。不可以附加驗(yàn)證，算法為MD5(128BIT)和SHA1(160BIT)二十一、ESP報(bào)文格式：

1、傳輸模式下，對(duì)IP報(bào)文有效數(shù)據(jù)加密；2、隧道模式下，對(duì)整個(gè)內(nèi)部IP報(bào)文加密；可以附加驗(yàn)證,算法為MD5和SHA1，如果加密，使用DES,3DES路由器第六章：QoS服務(wù)質(zhì)量保證一、QoS的指標(biāo)：

1、帶寬和吞吐量bandwidthandthroughput；2、時(shí)延delay；3、時(shí)延抖動(dòng)jitter；4、丟失率lossrate。

二、具體的一般常用的QoS指標(biāo)：1、最小轉(zhuǎn)發(fā)時(shí)延；2、最小延時(shí)抖動(dòng)；3、最小丟包率；4、報(bào)文吞吐量。

三、QoS三種服務(wù)模型：

1、Besteffort盡力而為服務(wù)模型；

2、Intergratedservice集成服務(wù)模型；通過(guò)信令實(shí)現(xiàn)的。3、Differentiatedservice差別服務(wù)模型；

四、集成服務(wù)模型IntergratedService可以提供的兩種服務(wù)：1、保證服務(wù)；2、負(fù)載控制服務(wù)。五、差別服務(wù)模型diffserv，采用以下5種技術(shù)為重要業(yè)務(wù)提供端到端的Qos保障：1、報(bào)文分類(lèi)(IP優(yōu)先級(jí)和ACL)；2、流量監(jiān)管(CAR)；3、流量整形(GTS)；

4、擁塞管理(隊(duì)列機(jī)制)；5、擁塞避免(WRED)。

六、報(bào)文分類(lèi)：如果使用IP報(bào)文頭TOS字段分類(lèi)可以分為8類(lèi)，但是根據(jù)DSCP分類(lèi)則可以分為64類(lèi)。

七、流量監(jiān)管CAR(CommittedAccessRate)

1、利用令牌桶tockenbucket(TB)進(jìn)行流量控制；

八、流量整形GTS(GenericTrafficShaping)，還包括LR(linerate)1、區(qū)別在于GTS基于IP層實(shí)現(xiàn)，而LR處于鏈路層；2、兩個(gè)都是當(dāng)令牌不夠的時(shí)候?qū)��?bào)文放入擁塞管理。九、擁塞管理（隊(duì)列機(jī)制）包括：1、FIFO先進(jìn)先出隊(duì)列；2、PQ優(yōu)先級(jí)隊(duì)列；3、CQ定制隊(duì)列；4、WFQ加權(quán)公平隊(duì)列。依據(jù)是：源目的地址地值、源目的端口、協(xié)議號(hào)、precedence。十、PQ的內(nèi)容：將報(bào)文分為4個(gè)隊(duì)列highmediumnormallow

十一、CQ的內(nèi)容：將報(bào)文分為17個(gè)隊(duì)列，0為系統(tǒng)隊(duì)列優(yōu)先調(diào)度，1-16為用戶(hù)隊(duì)列，根據(jù)帶寬配額*詢(xún)調(diào)度。

十二、QoS的SHOW命令有3條：

1、showqueueing；顯示PQ和CQ2、showaccess-list；顯示CAR

3、showqos-interface；顯示PQ,CQ,FQ,GTS,LR等。

友情提示：本文中關(guān)于《HCSE-Security培訓(xùn)總結(jié)》給出的范例僅供您參考拓展思維使用，HCSE-Security培訓(xùn)總結(jié)：該篇文章建議您自主創(chuàng)作。

來(lái)源：網(wǎng)絡(luò)整理 免責(zé)聲明：本文僅限學(xué)習(xí)分享，如產(chǎn)生版權(quán)問(wèn)題，請(qǐng)聯(lián)系我們及時(shí)刪除。

《HCSE-Security培訓(xùn)總結(jié)》由互聯(lián)網(wǎng)用戶(hù)整理提供,轉(zhuǎn)載分享請(qǐng)保留原作者信息,謝謝!
鏈接地址：http://www.seogis.com/gongwen/750414.html

• 上一篇：安徽省201*年高職計(jì)算機(jī)網(wǎng)絡(luò)信息安全雙師素質(zhì)培訓(xùn)學(xué)習(xí)總結(jié)
• 下一篇：煤礦職工安全教育工作總結(jié)(1) 2