华为认证:HCSE路由知识点罗列

华为认证:HCSE路由知识点罗列

  105. 路由器local-user 不要超过50个

  106. 可以debug radius primitive 和event

  107. 原语7种:join PAP 、join CHAP、leave、accept、reject、bye、cut

  108. RADIUS-remote authentication Dial-in User service

  109. radius采用client/server模式,使用两个UDP端口验证1812,计费1813,客户端发其请求,服务器响应。

  110. radius配置 radius [server name&ip]authentication -port accouting-port、radius shared-key、配重传 radius retry 、radius timer response-timeout

  VPN

  111. VPN-Virtual private network

  112. 按应用类型 access VPN、intranet VPN、Extranet VPN

  113. 按实现层次 2层 [ PPTP、L2F、L2TP ]、3层[GRE、IPSec]

  114. 远程接入VPN即Access VPN又称VPDN,利用2层隧道技术建立隧道。用户发起的VPN,LNS侧进行AAA。

  115. Intranet VPN企业内部互联可使用IPSec和GRE等。

  116. 2层隧道协议:PPTP 点到点隧道协议、L2F 二层转发协议 cisco、L2TP 二层隧道协议 IETF起草,可实现VPDN和专线VPN。

  117. 三层协议:隧道内只携带第三层报文,GRE-generic routing encapsulation 通用路由封装协议、IPSec-由AH和IKE协议组成。

  118. VPN设计原则,安全性、可靠性、经济性、扩展性

  L2TP

  119. L2TP layer 2 tunnel protocol 二层隧道协议,IETF起草,结合了PPTP和L2F优点。适合单个和少数用户接入,支持接入用户内部动态地址分配,安全性可采用IPSec,也可采用vpn端系统LAC侧加密-由服务提供商控制。

  120. L2TP两种消息:控制消息-隧道和会话连接的建立、维护和删除,数据消息-封装PPP帧并在隧道传输。

  121. 同一对LAC与LNS间只建立一个L2TP隧道,多个会话复用到一个隧道连接上。

  122. LAC-l2tp access concentrator LNS-l2tp network server

  123. 隧道和会话的建立都经过三次握手:请求crq-应答crp-确认ccn。隧道sc,会话i

  124. 隧道和会话拆除时需要有ZLB-zero-Length body 报文确认。

  125. L2TP封装:IP报文(私网)-PPP报文-L2TP报文-UDP报文-IP报文(公网)

  126. 配置LAC侧:1配置AAA和本地用户、2启动VPDN l2tp enable、3 配置vpdn组 l2tp-group number、3 配置发起连接请求和LNS地址 start l2tp [ipadd]

  127. 配置LNS侧:1配置本地VPDN用户、2 启动vpdn、3 创建vpdn组、4 创建虚模板,为用户分配地址 interface virtrual-template [number]、5 配置接受呼叫的对端名称 allow l2tp virtual-template[number][name]

  128. L2TP可选配置:本端隧道名称、隧道加密验证、Hello报文的发送间隔、配置L2TP最大会话数。

  129. dis l2tp tunnel &session 、debug l2tp all/control/error/enent/hidden/payload/time-stamp

  130. L2TP用户登陆失败:1 tunnel建立失败-LAC端配的LNS地址不对,tunnel密码验证问题、2 PPP协商不通-pap、chap验证,LNS端地址分配问题。

  GRE

  131. GRE-generic routing encapsulation 通用路由封装是一种三层隧道的承载协议,协议号为47,将一种协议报文封装在另一中报文中,此时ip既是被封装协议,又是传递(运输)协议。

  132. GRE配置:1 创建Tunnel接口 interface tunnel [number]、2 配置接口源地址 source [ip-add]、3 配目的`地址 destination [ip-add]4 配网络地址 ip add [ip-add,mask]

  133. GRE可选参数 接口识别关键字、数据报序列号同步、接口校验。

  IPSec

  134. IPSec-IP Security 包括报文验证头协议AH 协议号51、报文安全封装协议ESP 协议号50。工作方式有隧道tunnel和传送transport两种。

  135. 隧道方式中,整个IP包被用来计算AH或ESP头,且被加密封装于一个新的IP包中;在传输方式中,只有传输层的数据被用来计算AH或ESP头,被加密的传输层数据放在原IP包头后面。

  136. AH可选用的加密为MD5和SHA1。ESP可选的DES和3DES。

  137. IPSec安全特点,数据机密性、完整性、来源认证和反重放。

  138. IPSec基本概念:数据流、安全联盟、安全参数索引、SA生存时间、安全策略、转换方式

  139. 安全联盟 SA-包括协议、算法、密钥等,SA就是两个IPSec系统间的一个单向逻辑连接,安全联盟由安全参数索引SPI、IP目的地址和安全协议号(AH或ESP)来唯一标识。

  140. 安全参数索引SPI:32比特数值,全联盟唯一。

  141. 安全联盟生存时间 Life Time:安全联盟更新时间有用时间限制和流量限制两种。

  142. 安全策略 crypto Map :即规则。

  143. 安全提议 Transform Mode :包括安全协议、安全协议使用算法、对报文封装形式。规定了把普通报文转成IPSec报文的方式。

  144. AH、ESP使用32比特序列号结合重放窗口和报文验证防御重放攻击。

  145. IKE-internet key exchange 因特网密钥交换协议,为IPSec提供自动协商交换密钥号和建立SA的服务。通过数据交换来计算密钥。

  146. IKE完善的向前安全性PFS和数据验证机制。使用DH-diffie-Hellman公用密钥算法来计算和交换密钥。

  147. PHS特性由DH算法保证。

  148. IKE交换过程,阶段1:建立IKE SA;阶段2:在IKE SA下,完成IPSec协商。

  149. IKE协商过程:1 SA交换,确认有关安全策略;2 密钥交换,交换公共密钥;3 ID信息和验证数据交换。

  150. 大规模的IPSec部署,需要有CA-认证中心。

  151. IKE为IPSec提供定时更新的SA、密钥,反重放服务,端到端的动态认证和降低手工配置的复杂度。

  152. IKE是UDP上的应用层协议,是IPSec的信令协议。他为IPSec建立安全联盟。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 yyfangchan@163.com (举报时请带上具体的网址) 举报,一经查实,本站将立刻删除