“thomas”通过精心收集,向本站投稿了7篇华为Hcse认证交换知识点总结,下面小编给大家整理后的华为Hcse认证交换知识点总结,希望大家喜欢!
篇1:华为Hcse认证交换知识点总结
以太网最初基于同轴电缆.1972年发明,1979年xeroxinter和dec提出dix版.
1983年,ieee802.3标准提出.
csma/cd 通讯过程,传输—监听—干扰—随机等待—传输。
传统以太网用网桥来分割主机,用路由器连接网段。
交换式以太网,平时主机都不连通,当需要通信时,通过交换设备连接对端主机,完成后断开。交换设备包括,交换式集线器和交换机。
交换式以太网物理逻辑均为星型。分割冲突域,将网络冲突限制到最小范围。
rmon共九组,常用的端口统计、历史、告警、事件4组。
数据流量区分,按组织行政构成、按主机类型、按物理分布、根据应用类型。
80/20规则,80%在本地,20%其他网段。20/80规则,相反。
交换机单个百兆口64字节包转发1488810pps,路由器整机64字节包转发小与100100pps。
三层交换技术的实现硬件的路由转发,转发路由表也是由软件通过路由协议建立的。
三层交换与路由均为根据逻辑地址确定路径、运行三层校验和、使用ttl、对信息处理和相应,分析报文、用mib更新snmp管理。
三层交换优点:基于硬件包转发、低时延、低花费。
四层交换基于数据流,实现一次路由,多次交换。考虑端口号和协议字段。
局域网设计原则,考察物理链路、分析数据流特征、采用层次化模型、考虑冗余
局域网管理系统功能:配置功能、监控功能、故障隔离。
必须保证的网络性能,带宽和时延。其取决的一个重要因素,线缆的类型和布局。
为用户增加带宽,增加总体带宽&减少在一个共享介质上的用户数量。
快速以太网(100m)标准为802.3u。
自协商使用物理芯片来完成,不需要专用的数据报文。发送16bi的报文,整个保文按16ms间隔重复。
速率不通过自协商一样可完成,但工作方式会产生问题。一段强制10m全双工,另一端会自协商为10m半双工。
自协商优先级:100base-tx全双工、100base-t4、100base-tx、10base-t全双工、10base-t
千兆以太网自协商已经实现,但光纤上的以太网自协商不能成功。
交换机属于mdix设备,pc为mdi设备。物理芯片实现。
半双工采用后推压力(backpressure)技术实现,流量控制。
全双工流控遵行802.3x标准,采用64字节“pause” mac帧。该帧采用组播地址01-80-c2-00-00-01。
pause应用于终端和交换机之间,不能解决稳定状态的拥塞,端到端的流量控制和比简单停-起更复杂的操作。
端口聚合只适用于802.3协议族的mac机制。
流控命令 flow-control
配置端口聚合(干路)link-aggregation port_num1 to port_num2
3526可实现3个以太网分组和一个光分组,每组8个。e0/1、e0/9、e0/17、g1/1
vlan划分:基于端口、基于mac、基于协议、基于子网
虚拟桥接局域网(vlan)标准-802.1q。
802.1q定义了vlan的架构(mac帧格式)、所提供的服务、实施中涉及的协议和算法。
dot1q标签头包含了2字节标签协议标识(tpid)和两字节标签控制信息(tcl)。tpid固定值0x8100。tcl包括priority、cfi和vlan id。
所有具有dot1q的标签头的帧为tagged 帧。
garp通用属性注册协议,其应用为gvrp和gmrp
garp消息有5种,join in、leave、empty、join empty、leave all。
gvrp是动态vlan注册协议,开启为gvrp。
gvrp分3类:normal 可动态创建、注册和注销vlan。fixed 允许手工创建和注册vlan,防止vlan的注销和其他接口注册此接口所知vlan。 forbidden 注销除了vlan1以外的所有vlan,禁止在接口上创建和注册其他vlan。
pvlan配置,isolate-user-vlan enable ,建立映射关系后要对接口进行操作必须先解除原来的映射关系。
trunk只允许缺省vlan不打标签,hybird允许多个vlan 不打标签通过。
以太网帧长固定,三层交换机采用与路由器最长地址掩码匹配不同的方法-精确地址匹配处理报文。
基于流的交换,第一个报文经过三层处理,其他的进行2次转发。包交换,每个包都要进行三层检查。
802.1d生成树协议,在网桥间传递一种特殊的配置信息bpdu。功能:选择根桥、计算最短路径、选出指定网桥、选择个端口、选择包含在生成树上的端口。
bpdu包括:根桥id、最小路径开销、指定网桥id、指定端口id。
网桥id用网桥优先级和mac地址组合来表示。
bpdu采用固定mac地址01-80-c2-00-00-00来作为目的地址。sap值0x42。
根桥为网桥id最小的那个。
bpdu优先级比较原则:4者依次,最小的为优。
拓扑改变消息包括拓扑改变通知消息、拓扑改变应答消息、拓扑改变消息。
stp定时发送的周期为hello time,配置消息生存周期为message age,最大生存周期为max age。
避免临时回路的方法:设置中间状态,阻塞态经过一个forward delay进入中间状态,中间状态经过一个forward delay进入转发态。
stp端口的几种状态:disabled 不收发任何报文。blocking 不接收和发送数据,接受但 不发送bpdu,不进行地址学习。listening不接收和发送数据,接受并发送bpdu,不进行地址学习。learning 不接收或转发数据,接受并发送bpdu,开始地址学习。 forwarding 接受并转发数据,接受并发送bpdu,学习地址。
mac地址表老化时间值大于生成树重新计算所需时间,一盘情况使用较长值15min,生成树重新计算后使用较短的缓冲区超时值。
快速生成树改进:1. 若旧的根端口已经阻塞,新的根端口连接网段的指定端口正好处于转发态,那新的根端口可无延时进入转发。2. 等待进入转发的指定非边缘接口向下游发送一个握手报文,下游若回应赞同,则此接口无延时进入转发。握手必须在点对点链路中,会向下传递握手直到网络边缘。3. 边缘接口无时延进入转发。
点对点链路,1.为聚合链路。2. 端口自协商在全双工模式。3. 端口被配置为全双工。
stp与rstp区别:协议版本不同、端口状态转换方式不同、配置消息报文格式不同、拓扑改变消息传播方式不同。
rstp也是单生成树实例,网络直径最好不要超过7。
stp可配参数,网桥优先级32768 步长4096、端口优先级128 步长16、路径开销2w、hellotime 2s/max age 20s/forward delay 15s、交换网络直径7。
stp 可debug error、packet、event。
组播向一组主机发送消息,存在于某个组的所有主机都可接受到消息。组播源只发送一份数据报,杂需要复制的地方会被复制分发,每个网段内都保持有一分数据流。
组播应用,多媒体会议、数据分发、实时数据组播、游戏与仿真。
组播优势在与提高效率、优化性能和分布式应用。
组播基于udp、尽最大努力传送、无阻塞控制、数据报重复和无序缴付。
组成员关系协议为主机与路由器间包括igmp。
组播路由协议为路由器与路由器之间包括域内组播路由协议和域间组播路由协议。
域内组播密集型 dvmrp 、pim-dm 、mospf。
域内组播稀疏性 cbt、pim-sm。
二层组播协议,igmp snooping、hgmp、hmvr、rgmp、gmrp等。常用的为igmp snooping。
组播地址224.0.0.0 到239.255.255.255。保留组播224.0.0.0 到 224.0.0.255。本地管理组地址239.0.0.0到239.255.255.255. 用户组播地址224.0.1到238.255.255.255.
组播mac前三位01-00-5e,后面三位为ip地址后三位10进制转成16进制。
224.0.0.1全体用户,224.0.0.2全体路由器,224.0.0.13全体pim路由器。
组播转发采用rpf(逆向路径转发),查找组播报是否是从连接相应源地址的接口上转发而来的。而对源地址的检查是通过查询单模路由表来实现的。
二层交换机组播功能实现:目的地址为组播mac,端口包含所有接受组播数据的主机端口。
igmp v1 rfc1112、igmp v2 rfc2236。
igmp当中,路由器定时发送普通查询消息,根据组成员发送的关系报告来确定特定组是否由主机存在。当主机想加入组,主动发送组成员关系报告。当主机要离开组时,如果他是组内的最后一个成员则发送离开组消息,若不是则安静的离开。在一定时间内路由器没收到该组的报告,则删除组。
igmp当有多个组播路由器时选择查询器,ip最小的为查询器。
igmp报告抑制,主机受到查询消息并不立即发送响应报告,随机等待一段时间发送,若在等待当中该组有一个成员发送响应报告了,则就不再发送响应报告。
igmp消息有三种,0x11 组播组查询、0x16 版本二组播组查询报告 0x17 表示离开组播组、0x12 表示版本1组播组报告
igmp消息封装在ip报文内,协议号为2
igmp v2与v1兼容,自动变为v1。
解决2层交换机实现组播功能的办法,igmp监听,针对ipv4,作好用igmp snooping来避免不必要的组播泛滥。
启动组播 multicast routing-enable
协议无关多播pim udp端口号103 组播地址224.0.0.13
pim-dm 密集模式,默认所有接口上都有接收者。扩散-减枝-嫁接。
断言机制(assert)当路由器受到其他路由器发来的重复组播数据时,向其发出断言消息,含有本路由器优先级、到源的路径开销、ip地址等信息,到对端比较:优先级低、路由开销小、ip地址大的获胜。本端获胜,对方减枝。
周期性发送hello报文到所有pim路由器,通过hello报文比较,优先级低的为dr,优先级相同ip地址大的获胜。
启动pim-dm,在每个vlan接口上起pim dm。
pim-sm稀疏模式,默认没有接受者,所有数据由源发向rp再由rp向网络中转发。sm转发项依靠主机和rpf下游显式发送加入消息建立起来。
组播分发树包括最短路径树spt和汇接点树rpt。切换由最后一跳dr发起,常用流量统计来决定是否切换。
acl主要用途:包过滤、报文监控、景像、流量限制car、流量统计、分配对列优先级。
二层流分类根据帧的数据类型、源/目的mac、封装格式、vlan id、出/入端口。
三/四层流分类根结协议类型、源/目的ip、源/目的端口号、dscp。
配置时间段 time-range
acl 1-99基本 100-199 高级 1000- 接口 200-299 基于二层的
eq 等于gt 大于 it 小于 neq 不等于 range 介于
匹配 auto 深度优先 数据报范围最小的语句排在最前。 config 按用户配置顺序。
激活acl firewall enable packet-filter
802.1x基于端口的网络接入控制协议包括用户接入设备、接入控制单元、认证服务器。
eap报文四种消息 1 request 2 response 3 success 4 failure
eap type字段固定为88-8e
802.1x非受控端口传递eap认证报文,受控端口传递业务报文,只有在通过认证后才会切换到授权状态。状态有:forceauthorized 一直维持授权状态 forceunauthorized 长关模式 auto 协议控制模式
端口受控方式基于端口(一人过,全过) 基于mac 基于vlan
802.1x配置 dot1q
qos quality of service 服务质量
交换qos优先级标记 流量监管 car 端口限速 lr 对列调度
ip优先级在报文头部tos域前3bit 取值0-7 802.1p优先级在802.1q帧头标签的tcl中的priory,3bit 取值0-7。
流量监管car,使用令牌桶,在输入端口对特定业务流进行监管。car在ip层实现。
traffic-limit 3526没有定义方向,根据acl来区分。3526e只定义了in方向。
端口限速lr,也基于令牌桶,处理二层以下。line-rate只有3526e支持。
3000系列分4个优先队列,3026只支持high和low两个对列。
优先级与队列映射 0-1 1-2 2-2 3-2 4-3 5-3 6-4 7-4。
严格优先调度,先走高的,在走低的。
加权轮循调度 高低的根据比例走。
带最大时延的加权轮循调度 高低根据比例,若等待maxdelay后,高的抢占传输
篇2:华为HCSE认证设计知识点总结
1. 在广域网设计中,除考虑可靠性、网络延迟、成本等因素外,还要考虑:通过wan的数据流量、和标准及传统网络的兼容性、易于配置和维护、支持远程访问
2. ddn定义为osi模型的:物理层
3. 当远程用户是移动用户且isp分布较广时,可以选择vpn业务实现对私有网络的访问,采用vpn具备以下哪些特点:接入成本低、安全性高、实现简单、是isp的增值服务
4. x.25技术属于(包交换)技术
5. 对于使用局域网络的soho用户,最适宜采用(quidway r1603/4)路由器通过isdn bri接口实现远程接入
6. ip over sdh与ip over atm比较,下列说法正确的是:ip over sdh常用于点到点链路中、ip over atm提供丰富的qos功能、ip over atm设备成本较高、目前ip over sdh更适宜普及
7. 以下关于fr和x.25说法正确的是:x.25使用可靠的数据链路层协议、x.25网络传输时延比fr大
8. 分组交换网由以下哪些部分组成:分组交换节点机、网络管理中心(nmc)、分组装拆设备(pad)、分组终端设备
9. 某中心站点通过一条串行链路链接到fr网络,并定义5条虚电路分别和5个远程站点通信,现在远程站点不能接收到路由更新报文,经检查为启用了水平分隔所致,可以解决问题的方法包括:启用子接口、关闭水平分隔
10. 某站点通过一条256kbps的卫星电路连接到广域网,且传输业务丰富。用户最关心的问题是传输速率和成本,并可以接受少量的帧丢失和重传。在此环境下,以下哪种技术为最优选择:帧中继
11. pos是在sonet/sdh上承载ip和其他数据包的传输技术,所以pos被定义在osi模型的:数据链路层
12. ip语音传输都采用压缩算法,目前常用的压缩算法是g.729,压缩后一路语音实际占用带宽大约是:12kbps
13. 分析网络中通信流量时,需要了解各种协议和应用在网络上产生的数据量,以下哪些因素会对网络通信流量产生影响:广播数据、帧大小、窗口及流量控制、差错校正机制
14. 网络设计人员通过与用户群交流,获取用户对网络的需求信息,这中间要注意一下哪些环节:了解用户人员组织结构,与适当的人员进行交流;区分哪些用户需求由用户完成,哪些在设计中完成;列出对网络的性能需求
15. 访问控制列表最常用在分层模型的:接入层
16. 经行网络需求分析的第一步是收集用户需求,以下关于需求来源的说法正确的是:需求的来源可能来自国家或特定行业政策;决策者的思路对网络的需求有重要影响;历史资料
17. 网络中采用客户/服务器模式通信的数据流量具有方向性,数据从客户流向服务器或从服务器流向客户,这种说法是否正确:(true)
18. 按照网络拓扑的费用从高到低排序,正确的是:网状>环形>树型>星型
19. 对于来自ibgp对等体的目的地相同的路由,路由器将选择本地优先级最高的路由。类似的,对于来自ebgp对等体的目的地相同的路由,路由器将选择med指最低的路由,这种说法正确吗:(true)
20. 两台运行ospf协议的路由器通过点到点的链路相连,在两者链路状态数据库达到同步(邻居状态机为full)之后2个小时之内,如果网络的拓扑结构发生变化,在两台路由器之间的链路上,一定有下列的那种报文在传递:hello报文、lsu报文、lsack报文
21. 在ospf中,路由汇总可能生效的路由器有:abr、asbr
22. 下面那个地址表示的是子网内所有参与多播的路由器及主机:224.0.0.1
23. 下列哪些类型是ospf对网络拓扑的抽象:该接口所连的网段只有本路由器自己;该接口通过点到点的网络与一台路由器相连;该接口通过广播或nbma的网络与多台路由器相连;该接口通过点到多点的网络与多台路由器相连
24. 以下关于stub区域说法正确的是:stub区域内一定不会有asbr;stub区域内不能传播外部路由;如果有可能的话,应尽量多配置stub区域。
25. 以下关于静态路由特点的说法中正确的有:在大型网络中配置复杂、可以用于路由备份、可以用于隔离各个大型区域、通信网络带宽无开销
26. 在ip网络设计中,我们通常将如下服务置于接入层:在接入层路由器上,我们可以配置包过滤来构建整网安全的第一道屏障;可以在接入层路由器上对数据流进行分类,如在路由器上配置qos策略;在接入层路由器上配置路由策略,实现路由的过滤和选择
27. 运行bgp路由协议的路由器在转发路由时会采用一些通告规则,以下规则中错误的是:自己路由表中使用的路由只向他的ebgp相邻体通告;把自己路由表中使用的路由只向他的ibgp相邻体通告;把从自己的ibgp相邻体获得的路由信息都向自己的ebgp相邻体通告
28. 在以下ospf与is-is的比较中,那一项不属于两者的相同点:两者都使用ip协议报文来承载路由信息
29. 在wan设计中您应考虑的问题是什么:租用线路价格、带宽、isp选择、可靠性
30. 企业网设计模型通常分为哪几层:汇聚层、接入层、核心层
31. pri是指:23b+d(北美标准)、30b+d(欧洲标准)
32. quidway系列路由器e1接口的带宽约为多少:2m
33. 在制定网络方案时,当您分析了客户的网络需求,并且规划了网络的拓扑后,下一步您该做什么:地址规划
34. 在设计帧中继网络时,应用何种技术备份pvc最廉价:使用ddr技术
35. 对于ospf网络的stub 区域,我们常用哪种类型的路由与骨干区域相通:路由器自动生成的默认路由
36. 局域网与广域网的工作原理不同,最重要一点是局域网只是一个计算机通讯网,内部不存在路由选择问题,因此没有网络层,而只有最低层的两个层次:(false)
37. 下述那些软件可以用作网管软件:imanager n、imanager quidview、hp openview
38. 下列关于根端口选择和端口阻塞的说法中,正确的是:具有最低开销的端口将被指定为根端口
39. 下列哪些quidway s系列交换机属于三层交换机:s3526、s8016
40. 在设计局域网时,您应该考虑哪些因素:网络建设成本、带宽要求、安全性需求、可扩展性需求
41. 10base-t以太网技术常应用于企业网的那一层:接入层
42. 在局域网设计中,下列哪些问题您需要考虑:电缆线布放、网络标准兼容性、可靠性、安全性、设备选项
43. 生成树协议可以把交换机端口置于5种状态机,下面关于disable状态的说法正确的是:数据转发被阻塞,不监听bpdu
44. 下列关于交换机端口捆绑的说法中正确的是:端口捆绑技术是当前许多交换机支持的高级属性;端口捆绑技术可以将多个端口捆绑在一起,增加带宽;端口捆绑技术不支持捆绑两个设备上的端口
45. 在小型局域网设计中,有时我们会使用二层设计模型代替三层设计模型,为什么这样做:这样的网络简单,可以节省成本,适合小型网络建设
46. 以下关于cq队列策略的说法正确的是:cq可以为不同的业务数据分配不同的带宽;cq可对不同业务的报文按带宽比例分配带宽,当没有某些类别报文时,能自动增加现存类别的报文可占用的带宽;cq的缺点是需要配置,处理速度较慢
47. 以下关于可靠性设计的实际措施属于对网络拓扑的保护措施是:线路备份、路由备份、设备端口备份
48. 以下关于环形拓扑网络的说法正确的是:从每个路由器到任何给定的目标都有两条路径,环形网络在保证冗余的前提下减少了可用路径的数量,从而线路的投资与全连接相比,大大降低;但当单链路出现故障时,数据包不得不通过更多跳,如果两相邻路由器的一个链路断了,其最短路径就由一跳变成n-1跳,如当环中路由器较多时,就会引起数据传输的延迟及其他一些问题;环形网络无法承担更多的冗余,每条链路都只有一条备份
49. 以下属于wfq特点的是:可以减小延迟的抖动;可以减小数据量小的交互式应用的延迟;当流的数目减少时,能自动增加现存流可占的带宽
50. 由于操作系统的漏洞导致的攻击由于需要攻击者掌握较多的特定*作系统的知识,而且操作系统的厂家也会及时推出相应的补丁程序,所以在实际情况下这种类型的攻击事件并不多见,因而在构建一个网络时,可以不考虑这种形式的攻击对于网络安全的影响。
篇3:华为3COM认证HCSE认证
huawei-3com certified senior network engineer,
华为3com认证高级网络工程师
hcse认证主要定位于大中型网络的配置、维护与方案设计,包括路由、交换、vpn、安全特性、qos、网络设计等全方位的部署园区网络所需的理论及实际设备配置维护方面的知识。
通过hcse认证,将证明您已经掌握面向大中型企业网络应用的网络通用技术,并具备设计大中型网络以及合理使用华为3com网络设备实施您的设计的能力。
hcse认证培训由华为3com授权培训中心负责实施,认证考试由prometric公司代理。获取hcse证书的前提是考生已经获得hcne证书,在全部通过hcse三门考试后获得由华为3com公司统一签发hcse证书。培训大纲、考试大纲、培训机构、开班计划等信息请登录华为3com网站查询:考场查询和考试注册请登录prometric网站查询:
证书考试项目培训课程华为3com认证高级网络工程师
(有效期3年)gb0-200/ gb0-280任选一门《构建企业级路由网络》gb0-220/ gb0-320任选一门《构建企业级交换网络》gb0-240/ gb0-360任选一门《企业级网络方案设计》
篇4:华为认证HCSE路由知识点罗列
vpn
111. vpn-virtual private network
112. 按应用类型 access vpn、intranet vpn、extranet vpn
113. 按实现层次 2层 [ pptp、l2f、l2tp ]、3层[gre、ipsec]
114. 远程接入vpn即access vpn又称vpdn,利用2层隧道技术建立隧道。用户发起的vpn,lns侧进行aaa。
115. intranet vpn企业内部互联可使用ipsec和gre等。
116. 2层隧道协议:pptp 点到点隧道协议、l2f 二层转发协议 cisco、l2tp 二层隧道协议 ietf起草,可实现vpdn和专线vpn。
117. 三层协议:隧道内只携带第三层报文,gre-generic routing encapsulation 通用路由封装协议、ipsec-由ah和ike协议组成。
118. vpn设计原则,安全性、可靠性、经济性、扩展性
l2tp
119. l2tp layer 2 tunnel protocol 二层隧道协议,ietf起草,结合了pptp和l2f优点。适合单个和少数用户接入,支持接入用户内部动态地址分配,安全性可采用ipsec,也可采用vpn端系统lac侧加密-由服务提供商控制。
120. l2tp两种消息:控制消息-隧道和会话连接的建立、维护和删除,数据消息-封装ppp帧并在隧道传输。
121. 同一对lac与lns间只建立一个l2tp隧道,多个会话复用到一个隧道连接上。
122. lac-l2tp access concentrator lns-l2tp network server
123. 隧道和会话的建立都经过三次握手:请求crq-应答crp-确认ccn。隧道sc,会话i
124. 隧道和会话拆除时需要有zlb-zero-length body 报文确认。
125. l2tp封装:ip报文(私网)-ppp报文-l2tp报文-udp报文-ip报文(公网)
126. 配置lac侧:1配置aaa和本地用户、2启动vpdn l2tp enable、3 配置vpdn组 l2tp-group number、3 配置发起连接请求和lns地址 start l2tp [ipadd]
127. 配置lns侧:1配置本地vpdn用户、2 启动vpdn、3 创建vpdn组、4 创建虚模板,为用户分配地址 interface virtrual-template [number]、5 配置接受呼叫的对端名称 allow l2tp virtual-template[number][name]
128. l2tp可选配置:本端隧道名称、隧道加密验证、hello报文的发送间隔、配置l2tp最大会话数。
129. dis l2tp tunnel &session 、debug l2tp all/control/error/enent/hidden/payload/time-stamp
130. l2tp用户登陆失败:1 tunnel建立失败-lac端配的lns地址不对,tunnel密码验证问题、2 ppp协商不通-pap、chap验证,lns端地址分配问题。
gre
131. gre-generic routing encapsulation 通用路由封装是一种三层隧道的承载协议,协议号为47,将一种协议报文封装在另一中报文中,此时ip既是被封装协议,又是传递(运输)协议。
132. gre配置:1 创建tunnel接口 interface tunnel [number]、2 配置接口源地址 source [ip-add]、3 配目的地址 destination [ip-add]4 配网络地址 ip add [ip-add,mask]
133. gre可选参数 接口识别关键字、数据报序列号同步、接口校验。
ipsec
134. ipsec-ip security 包括报文验证头协议ah 协议号51、报文安全封装协议esp 协议号50。工作方式有隧道tunnel和传送transport两种。
135. 隧道方式中,整个ip包被用来计算ah或esp头,且被加密封装于一个新的ip包中;在传输方式中,只有传输层的数据被用来计算ah或esp头,被加密的传输层数据放在原ip包头后面。
136. ah可选用的加密为md5和sha1。esp可选的des和3des。
137. ipsec安全特点,数据机密性、完整性、来源认证和反重放。
138. ipsec基本概念:数据流、安全联盟、安全参数索引、sa生存时间、安全策略、转换方式
139. 安全联盟 sa-包括协议、算法、密钥等,sa就是两个ipsec系统间的一个单向逻辑连接,安全联盟由安全参数索引spi、ip目的地址和安全协议号(ah或esp)来唯一标识。
140. 安全参数索引spi:32比特数值,全联盟唯一。
141. 安全联盟生存时间 life time:安全联盟更新时间有用时间限制和流量限制两种。
142. 安全策略 crypto map :即规则。
143. 安全提议 transform mode :包括安全协议、安全协议使用算法、对报文封装形式。规定了把普通报文转成ipsec报文的方式。
144. ah、esp使用32比特序列号结合重放窗口和报文验证防御重放攻击。
145. ike-internet key exchange 因特网密钥交换协议,为ipsec提供自动协商交换密钥号和建立sa的服务。通过数据交换来计算密钥。
146. ike完善的向前安全性pfs和数据验证机制。使用dh-diffie-hellman公用密钥算法来计算和交换密钥。
147. phs特性由dh算法保证。
148. ike交换过程,阶段1:建立ike sa;阶段2:在ike sa下,完成ipsec协商。
149. ike协商过程:1 sa交换,确认有关安全策略;2 密钥交换,交换公共密钥;3 id信息和验证数据交换。
150. 大规模的ipsec部署,需要有ca-认证中心。
151. ike为ipsec提供定时更新的sa、密钥,反重放服务,端到端的动态认证和降低手工配置的复杂度。
152. ike是udp上的应用层协议,是ipsec的信令协议。他为ipsec建立安全联盟。
153. ipsec要确定受保护的数据,使用安全保护的路径,确认使用那种保护机制和保护强度。
154. ipsec配置:1 创建加密访问控制列表、2 定一安全提议 ipsec proposal [name];ipsec card-protposal [name]、3 设置对ip报文的封装模式 encapsulation-mode [transport or tunnel]、4 选择安全协议 ah-new esp-new ah-esp-new 、5 选择加密算法 只有esp可加密、6 创建安全策略 ipsec policy 应用安全策略到接口 ipsec policy
155. ike配置:1创建ike安全策略 ike proposal [num]、2 选择加密算法、认证方式、hash散列算法、dh组标示、sa生存周期3、配置预设共享密钥 ike pre-shared-key key remote [add]、4 配置keeplive定时器
156. keeplive定时器包括 1 interval定时器 按照interval时间间隔发送keeplive报文 2 timeout定时器 超时检查
157. debug ipsec misc/packet/sa
qos
158. qos-quality of service 服务质量保证。在通信过程中,允许用户业务在丢包率、延迟、抖动和带宽上获得预期的服务水平。
159. qos需要提供以下功能:避免并管理ip网络阻塞、减少ip报文丢包率、调控流量、为特定用户提供专用带宽、支持实时业务
160. ip qos三种模式:best-effort模型-缺省fifo;intserv模型-申请预留资源;diffserv-网络拥塞时,根据不同服务等级,差别对待
161. intserv模型,提供可控的端到端的服务,利用rsvp来传递qos信令。有两种模式:保证服务和负载控制服务。
162. rsvp是第一个标准的qos信令协议,不是路由协议但是按照路由协议规定的报文流的路径为报文申请预留资源。只在网络节点间传递qos请求,本身不完成qos要求的实现。
163. rsvp要求端到端的设备均支持这一协议,可扩展性差,不适合在大型网络应用。
164. diffserv-differentiated service 差分服务模型,目前qos主流。ds不需要信令。数据进入ds网路,根据优先级dscp汇聚为一个行为集合。根据定义的phb-per-hop behavior来对业务流执行phb。
165. 着色:给不同的业务流打上qos标记。着色是进行qos处理的前题。
166. car-commited access rate 约定访问速率。是流量监管-traffic policing的一种。利用ip头部的tos字段来对报文处理,三层处理。
167. car采用令牌桶进行流量控制。配置命令:1 定义规则qos carl carl-index、2 在接口上应用car策略或acl qos car inbound/outbound 每个接口上可应用100条,注意应用策略前,取消快速转发功能。
168. gts-generic traffic shaping 流量整形 用于解决链路两边的接口速率不匹配,使用令牌桶,两种方式处理报文:1 所有流处理 2 不通的流不同处理 命令 qos gts
169. lr-line rate 物理接口限速 2层处理 令牌桶机制所有报文均需通过lr的桶。命令 qos lr ….
170. 拥塞管理的算法:fifo、pq、cq、wfq。
171. fifo-先进先出 best effort模型
172. pq-priority queuing 优先对列 分为high、medium、normal、low;命令 全局定义qos pql 接口上应用 qos pq pql
173. cq-custom queuing 定制队列 可配置对列占用的带宽比例 包含17个组,0为系统对列,1-16 用户对列。命令 全局定义,接口应用
174. wfq-wgighted fair queuing 加权公平对列 最大对列数16-4096 采用hash算法。权值依的大小依靠ip报文头中携带的ip优先级。命令 qos wfg
175. 拥塞避免-在未发生拥塞时,根据对列状态有选择的丢包。算法 red随机早期检测、wred 加权随机早期检测
176. tcp全局同步,尾部丢弃多个tcp连接的报文,导致多个俩结同时进入慢启动和拥塞避免。
177. wred-weighted random early detection 采用随机丢弃报文。根据对列深度来预测拥塞情况,根据优先级定义丢弃策略,定义上下限。相同优先级对列约长,丢弃概率越大。
178. wred命令:1 能使wred qos wred、2 配置计算平均队长指数 3 配置优先级参数
179. 丢弃概率分母的倒数为最大丢弃概率,值越小,概率越大
篇5:华为认证HCSE路由知识点罗列
56. update报文,携带路由更新信息,包括撤销和可达的路由信息。
57. notification报文,当检测的差错时,发送notification报文关闭peer连接。
58. keeplive报文,收到open报文后相对端回应,peer间周期性发送,保持连接。
59. bgp报文头中type信息1字节,1open 2updata 3notification 4keeplive
60. updata报文一次只能通告一个路由,但可以携带多个属性。当一次通告多条路由的话,只能携带相同的属性。updata可以同时列出多个被撤销的路由。
61. 缺省情况,keeplive 60s一发。
62. notification的errorcode中code=2 open错 code=3 update错
63. bgp开始idle状态,bgp一旦start则进入connect状态,接着建立tcp连接,如果不成功则进入active状态,成功就进入opensent状态,opensent状态收到一个正确的open报文就进入openconfirm状态,当受到keeplive报文,就会建立bgp连接,进入established状态。
64. bgp属性目前16种可扩展到256种。分为必遵、可选、过渡、非过渡。
65. origin属性 标识路由的来源,0-igp 聚合和注入路由、1-egp egp得到、3-incomplete 其他方式 从其他igp引入的
66. as-path属性 达到某个目的地址所经过的所有as号码序列。宣告时把新经过的as号码放在最前。
67. next hop属性 必遵属性 当对等体不知道路由时,须将下一条属性改为本地
68. local-preference属性 可选 帮助as内的路由器选择到as区域外的较好的出口,本地优先级属性只在as内部,ibgp peer间交换。
69. med属性 向外部指示进入某个具有多入口的as的优先路经。选med小的。
70. community属性 no-expert 不通告到联盟/as外部 no-advertise 、不通告给任何bgp peer、local-as不通告给任何ebgp、internet 通告所有路由器
71. bgp路由选择过程 1、下一跳不可达,忽略 2、选择local-preference大的路由 3、优先级相同,选择本地路由器始发的路由 4、选择as路径较短的路由5、路由选择顺序igp-egp-incomplete 6、选择med值小的路由 7、选择router id小的路由
72. 基本配置 启动bgp 配邻居 peer 宣告网段 network 引入路由 import
73. bgp定时器有keepalive-interval、holdtime-interval
74. bgp前缀过滤器filter-policy、as-path过滤 acl aspath-list-number 、路由映射 route-policy
75. 复位bgp reset bgp
76. 正则表达式:^ 路径开始 $ 结束 b as号码间分割符 ^$ 匹配本地路由
77. bgp路由处理过程:接受路由-实施策略-路由聚合-选路-加入路由表-发布
78. bgp debug all/event/keepalive/open/packet/updata/recive/send/verbose
79. bgp路由聚合-聚合到cidr中 aggregate
80. 反射器-reflect client
81. as联盟 子as间为ebgp,所有ibgp规则仍然适用。confederation id & confederation peer-as
82. bgp衰减的5个参数:可达半衰期、不可达半衰期、重用值、抑制值、惩罚上限
路由策略
83. 策略相关的无种过滤器:路由策略 routing policy、访问列表 acl、前缀列表 prefix-list、自治系统信息路径访问列表 aspath-list 仅用于bgp 、团体属性列表 community-list 仅用与bgp。
84. 路由引入时使用routing policy过滤,路由发布和接收时用ip prefix和acl
85. 一个routing policy下的node节点为或的关系,而每个节点下的if-match和apply语句为与的关系。permit 执行apply,deny不执行apply
86. 路由引入 import-route protocol 目前有direct、static、rip、ospf、ospf-ase、bgp
87. 定义ip前缀列表 ip ip-preffix prefix-list-name ,不同sequence-number间为或的关系路由过滤 filter-policy gateway/acl-numeber gataway 只能import,acl和ip-prefix可以export。
网络安全特性
88. 网络安全两层含义:保证内部局域网的安全、保护和外部进行数据交换的安全
89. 安全考虑:物理线路、合法用户、访问控制、内网的隐蔽性、防伪手段,重要数据的保护、设备及拓扑的安全管理、病毒防范、安全防范意识的提高
90. 网络攻击的主要方式:窃听报文、ip地址欺骗、源路由攻击、端口扫描、dos拒绝服务、应用层攻击
91. 可靠性和线路――主从备份和负载分担
92. 身份认证--con口配置、telnet、snmp和aux(modem远程)、防止伪造路由信息
93. 访问控制――分级保护,基于5源组控制 源,目的ip、源,目的端口、协议号
94. 信息隐藏――nat
95. 加密和防伪――数据加密、数字签名、ipsec
96. 安全管理――制度和意识
97. aaa-authentication、authorization、accounting 认证、授权、计费
98. 包过滤技术-利用ip包的特征进行访问控制、不能使用在接入服务中、可以基于ip地址、接口和时间段
99. ipsec-ip security 通过ah和esp两个协议来实现
100. ike-internet密钥交换协议。定义了双方进行身份认证、协商加密算法和生成共享密钥的方法。
101. 提供aaa支持的服务:ppp-pap、chap认证。exec-登陆到路由器。ftp-ftp登陆。
102. aaa不需要计费时,aaa accounting-scheme optional 取消计费
103. aaa配置命令:aaa enable-开启、aaa accounting-scheme optional-取消计费、aaa accounting-scheme login-配置方法表、aaa accounting-scheme ppp-在接口上启用方法表
104. 方法表5种组合:radius、local、none、radius local、radius none
105. 路由器local-user 不要超过50个
106. 可以debug radius primitive 和event
107. 原语7种:join pap 、join chap、leave、accept、reject、bye、cut
108. radius-remote authentication dial-in user service
109. radius采用client/server模式,使用两个udp端口验证1812,计费1813,客户端发其请求,服务器响应。
110. radius配置 radius [server name&ip]authentication -port accouting-port、radius shared-key、配重传 radius retry 、radius timer response-timeout
篇6:华为认证HCSE路由知识点罗列
ospf
1. ospf开放式最短路径优先,基于rfc2328。由ietf开发,as内部路由协议,目前第二版。
2. ospf无路由自环,适用于大规模网络,收敛速度快。支持划分区域,等值路由及验证和路由分级管理.。ospf可以组播方式发送路由信息。
3. ospf基于ip,协议号为89。route id 为32位无符号数,一般用接口地址。
4. ospf将网络拓扑抽象为4中,p to p、stub、nbma&broadcast、p to mp。
5. nbma网络必须全连通。
6. ospf路由计算过程,1、描述本路由连接的网络拓扑,生成lsa。2、收集其他路由发 出的lsa,组成lsdb。3、根据lsdb计算路由。
7. ospf5种报文:1、hello报文 定时通报,选举dr、bdr。2、dd报文 通告本端lsa,以摘要显示,即lsa的head。3、lsr报文 相对端请求自己没有的lsa。4、lsu报文 回应对端请求,向其发送lsa。4、lsack报文 确认收到对端发送的lsa。
8. ospf邻居状态 1、down 过去dead-interval时间未收到邻居发来的hello报文2、attempt nbma网络时出现,定时向手工指定的邻居发送hello报文。3、init 本端已受到邻居发来的hello报文,但其中没有我端的router id,即邻居未受到我的hello报文。4、2-way 双方都受到了hello报文。若两端均为drother的话即会停留在这个状态。5、 exstart 互相交换dd报文,建立主从关系。6、exchange 双方用dd表述lsdb,互相交换。7、loading 发送lsr。8、full 对端的lsa本端均有,两端建立邻接关系。
9. ospf的hello报文使用组播地址224.0.0.5。
10. dd报文中,ms=1为master,i=1表示第一个dd报文。
11. 在广播和nbma网络上会选举dr,来传递信息。
12. 在dr的选举上,所有优先级大于0的均可选举,hello报文为选票,选择所有路由器中优先级最大的,如果优先级相同,选router id最大的。同时选出bdr。
13. 如果有优先级大的路由器加入网络,ospf的dr也不改变。
14. nbma网络―――x.25和fr。是全连通的,但点到多点不是全连通。nbma用单播发送报文,p to mp可是单播或多播。
15. nbma需要手工配置邻居。
16. 划分区域的原因,路由器的增多会导致lsdb的庞大导致cpu负担过大。
17. ospf区域间的路由计算通过abr来完成。
18. 骨干区域和虚连接,目的防止路由自环。
19. ospf可引入as外部路由,分两类 igp路由(cost=本路由器到asbr的花费和asbr到该目的的花费)和bgp路由(cost=asbr到该目的的花费)。
20. ospf一共将路由分四级,区域内路由、区域间路由、自治系统外一类路由igp、自治系统外二类路由(bgp)。前两类优先级10,后两类优先级150。
21. stub是不传播引入的外部路由的lsa的区域,由abr生成一条80路由传播到区域内。
22. 一个区域为stub区,则该区域内所有路由器均须配置该属性。虚连接不能穿越stub区域。
23. nssa基于rfc1587,该区域外的ase路由不能进入,但若是该区域内路由器引入的ase路由可以在区域内传播。
24. type=1的lsa:router-lsa 每个运行ospf的路由器均会生成,描述本路由器状况。对于abr会为每个区域生成一条router-lsa,传递范围是其所属区域。
25. type=2的lsa:network lsa,由dr生成,对于广播和nbma网络描述其区域内所有与dr建立邻接关系的路由器。
26. type=3的lsa:network summary lsa,由abr生成,为某个区域的聚合路由lsa在abr连接的其他区域传递。
27. type=4的lsa:asbr summary lsa,由abr生成,描述到达本区域内部的asbr的路由。是主机路由,掩码0.0.0.0。
28. type=5的lsa:as external lsa,由asbr生成,表述了到as外部的路由,与区域无关在整个as除了stub区内传递。
29. p to p――ppp、hdlc、lapb
30. broadcast――ethernet
31. nbma――fr、x.25
32. p to mp――由nbma修改而来,可以组播发送报文224.0.0.5。
33. iar-internal area router bbr――backbone router
34. ospf不会产生回路的原因,每一条lsa都标记了生成者,链路状态算法
35. 运行ospf,网络中路由器10台以上,网状拓扑,快收敛等。
36. ospf区域的划分:1、按自然或行政区域划分。2、按高端路由器来划分。3、按ip地址的分配来划分。
37. 区域不要超过70台,与骨干区域虚连接,abr性能要高不要配太多区域。
38. 配置:1、router id 2、ospf enable 3、端口下 ospf enable area aera_id
39. 路由聚合,ospf下 abr-summary ip mask area area_id
40. stub区域 stub cost area
41. 虚连接 vlink peer-id transit-area
42. nssa 区域 nssa area default-route-advertise
43. ospf可以dis 错误 接口 peer 和dis ospf
44. ospf可以debug enent 、lsa、packet、spf。
45. 接口上的dead定时器应大于hello定时器,且至少在4倍以上。
bgp
46. bgp――border gateway protocol egp协议
47. bgp端口号179,基于tcp协议传送,当前使用rfc1771-bgp4
48. bgp不发现和计算路由,只进行路由的传递和控制。
49. 支持cidr、采用增量路由发送、通过携带的as信息来解决路由环路、丰富的路由属性和策略。
50. as同一机构管理,统一的选路策略的一些路由器。1-65411为注册的因特网编号,65412-65535为专用网络编号。
51. bgp包括ibgp和ebgp。一般要求ebgp peer间保证直链链路,ibgp间保证逻辑全连接。
52. bgp选路原则:多条路径选最优的给自己、只将自己使用的路由通告给peer、从ebgp获得的路由会通告给所有bgp peer、从ibgp得到的路由不通告ibgp peer,看同步状况决定是否通告给ebgp peer、新建立的连接,将所有的bgp路由通告给新的peer。
53. bgp同步,即ibgp宣告的路由在igp中已经被发现。
54. bgp路由引入――纯动态注入、半动态注入、静态注入
55. open报文,交换各种信息,用于协商建立邻居关系,是bgp的初始握手消息
篇7:对华为3com交换机知识点进行详细总结
熟练掌握下面的华为3com交换机知识点,通过下面的大学网络构建实例,你就能对华为3com交换机。华为3com交换机组网方案的特点,也将在文中提到。中国协和医科大学,我国唯一的设有8年制临床医学专业的重点医科大学。
其前身是“北京协和医学院”,由美国洛克菲勒基金会于1917年创办。中国医学科学院成立于1956年,是我国唯一的国家级医学科学学术中心和综合性科学研究机构。协和医大受国家教育部和卫生部双重领导。
与医科院实行院校合一的管理体制,医科院为协和医大提供雄厚的师资和技术力量,协和医大为医科院培养高层次的人才,相互依托,优势互补,教研相长。院校设有18个研究所(以及2个分所)、5所分院、7所临床医院、4所学院、以及研究生院和实验动物学部各1所。
学校在国内属编制规模最大,实力最强,研究领域学科门类齐全,综合优势显着。学校是在比较宽广的科学研究和临床医疗环境中办学,其宗旨是小规模、高层次、高质量,实行以培养医学博士为主的医学教育新模式。
协和医科大学师资力量雄厚,拥有一大批在医学卫生领域内经验丰富、学术水平较高并做出杰出贡献的着名专家、教授,现有中国科学院院士10人和中国工程院院士11人(其中1人兼两院院士),国家级和部委级有突出贡献的中青年专家55人,博士生导师286人,硕士生导师446人。
学校有7个国家级重点学科点,17个院校级重点学科点,3个国家级重点实验室,5个部委级重点实验室,4个国家级药物生产基地及研究中心,4个一级学科的博士后流动站,9个世界卫生组织合作中心。学校的科学研究成绩显着,1956年至1998年全院校共通过科技成果鉴定1,382项,获国家级成果奖177项,部委级成果奖584项,院校级成果奖732项。
华为3com交换机网络需求
协和医科大学原有校园网基础较弱,本次网络系统建设涉及协和医科大学校本部局域网建设和园区内五单位互联,
校园主干网基于3层架构,网络设计必须遵循高可靠性、经济性、流量合理分布、传输时延最小和便于管理等原则,选择先进、可靠、符合未来技术发展趋势的组网技术。
新购置设备的选型要具有开放性、符合国际标准,兼顾先进性和成熟性,并与已有设备兼容,具有良好的可管理性。网络应具有高可靠性,包括设备可靠性、链路可靠性、路由冗余等。同时,具有支持IPv6协议、组播路由等下一代互联网技术的扩展能力。
华为3com交换机关键设备
本次校园网组网采用了Quidway S8016,S6506R,S5516,S3500系列,S3000系列和大功率WLAN AP产品组建协和医科大学校园网络。华为3com交换机网络建设方案及特点考虑协和网络信息分布情况和网络应用情况。
本次网络建设采用双核心构建校园骨干层。核心设备选用Quidway S8016核心路由华为3com交换机,为汇聚华为3com交换机提供高速千兆接入。同时,两台S8016之间通过千兆链路互连,并通过绑定技术增加其互连带宽,提高了协和医科大学校园网骨干层的承载业务能力和安全性。
S8016不仅具有强大的交换能力,更具备良好的业务提供能力。通过其自身强大的ACL执行能力和丰富的QoS策略,S8016保证了网络教学、科研活动的正常开展。并且,根据网络的规划,S8016可以在需要时通过软件升级的方式完美的支持IPv6协议,使协和医科大学校园网在可以预见的将来依旧能够满足技术升级带来的需求变化。
协和医科大学采用扁平化的网络设计思想,在保证用户之间高效的数据交换的同时对汇聚层设备提出了较高的要求。根据实际组网需要,在网络重要环节采用Quidway S6506R作为汇聚设备。S6506R不仅具有大容量的千兆、百兆网络接入能力,更具备核心设备所有的关键部件冗余配置特性。
通过冗余路由交换引擎,通过双链路上行,S6506R给协和的校园网的稳定和高效运行提供了有力的保证。对于规模较小的单位和区域,本次网络采用S5516全千兆路由华为3com交换机,提供了高性价比的组网。
并且通过光电口的灵活配置在降低成本的同时更为网络的将来发展提供了可扩展空间。同时S5516的QoS提供能力保证了全网汇聚层设备业务提供能力的一致性,使网络整体均衡地发展。
协和医科大学网络从无到有,将面临许多的网络常见问题,如 攻击,用户IP/MAC地址被盗用,广播风暴等。为提高整体网络的可靠性和稳定性,本次组网采用了Quidway S3026E和S3050作为接入设备,分别提供24口和48口10/100M以太网接入。
此两款设备具备很强的网络适应能力,能够通过802.1x技术有效得防止IP/MAC地址的盗用,控制Proxy在校园的使用,可以对带宽实行精细的管理,有效抑制广播风暴,提供L2-L7的流分类功能和丰富的QoS策略。可以说S3026E和S3050的使用保证了协和校园网端到端的安全性和可靠性,并使网络服务资量提供实现全网一直,更好的服务于协和广大师生。
