HCSE路由部分
OSPF
1. OSPF开放式最短路径优先,基于RFC2328。由IETF开发,AS内部路由协议,目前第二版。
2. OSPF无路由自环,适用于大规模网络,收敛速度快。支持划分区域,等值路由及验证和路由分级管理.。OSPF可以组播方式发送路由信息。
3. OSPF基于IP,协议号为89。Route ID 为32位无符号数,一般用接口地址。
4. OSPF将网络拓扑抽象为4中,P to P、stub、NBMA&broadcast、P to MP。
5. NBMA网络必须全连通。
6. OSPF路由计算过程,1、描述本路由连接的网络拓扑,生成LSA。2、收集其他路由发 出的LSA,组成LSDB。3、根据LSDB计算路由。
7. OSPF5种报文:1、hello报文 定时通报,选举DR、BDR。2、DD报文 通告本端LSA,以摘要显示,即LSA的HEAD。3、LSR报文 相对端请求自己没有的LSA。4、LSU报文 回应对端请求,向其发送LSA。4、LSAck报文 确认收到对端发送的LSA。
8. OSPF邻居状态 1、down 过去dead-interval时间未收到邻居发来的Hello报文2、Attempt NBMA网络时出现,定时向手工指定的邻居发送Hello报文。3、init 本端已受到邻居发来的Hello报文,但其中没有我端的router id,即邻居未受到我的hello报文。4、2-way 双方都受到了Hello报文。若两端均为DRother的话即会停留在这个状态。5、 Exstart 互相交换DD报文,建立主从关系。6、exchange 双方用DD表述LSDB,互相交换。7、loading 发送LSR。8、full 对端的LSA本端均有,两端建立邻接关系。
9. OSPF的HELLO报文使用组播地址224.0.0.5。
10. DD报文中,MS=1为Master,I=1表示第一个DD报文。
11. 在广播和NBMA网络上会选举DR,来传递信息。
12. 在DR的选举上,所有优先级大于0的均可选举,hello报文为选票,选择所有路由器中优先级最大的,如果优先级相同,选router id最大的。同时选出BDR。
13. 如果有优先级大的路由器加入网络,OSPF的DR也不改变。
14. NBMA网络―――X.25和FR。是全连通的,但点到多点不是全连通。NBMA用单播发送报文,P to MP可是单播或多播。
15. NBMA需要手工配置邻居。
16. 划分区域的原因,路由器的增多会导致LSDB的庞大导致CPU负担过大。
17. OSPF区域间的路由计算通过ABR来完成。
18. 骨干区域和虚连接,目的防止路由自环。
19. OSPF可引入AS外部路由,分两类 IGP路由(cost=本路由器到ASBR的花费和ASBR到该目的的花费)和BGP路由(cost=ASBR到该目的的花费)。
20. OSPF一共将路由分四级,区域内路由、区域间路由、自治系统外一类路由IGP、自治系统外二类路由(BGP)。前两类优先级10,后两类优先级150。
21. stub是不传播引入的外部路由的LSA的区域,由ABR生成一条80路由传播到区域内。
22. 一个区域为STUB区,则该区域内所有路由器均须配置该属性。虚连接不能穿越STUB区域。
23. NSSA基于RFC1587,该区域外的ASE路由不能进入,但若是该区域内路由器引入的ASE路由可以在区域内传播。
24. Type=1的LSA:router-LSA 每个运行OSPF的路由器均会生成,描述本路由器状况。对于ABR会为每个区域生成一条router-LSA,传递范围是其所属区域。
25. Type=2的LSA:Network LSA,由DR生成,对于广播和NBMA网络描述其区域内所有与DR建立邻接关系的路由器。
26. Type=3的LSA:Network Summary LSA,由ABR生成,为某个区域的聚合路由LSA在ABR连接的其他区域传递。
27. Type=4的LSA:ASBR summary LSA,由ABR生成,描述到达本区域内部的ASBR的路由。是主机路由,掩码0.0.0.0。
28. Type=5的LSA:AS External LSA,由ASBR生成,表述了到AS外部的路由,与区域无关在整个AS除了Stub区内传递。
29. P to P――PPP、HDLC、LAPB
30. broadcast――Ethernet
31. NBMA――FR、X.25
32. P to MP――由NBMA修改而来,可以组播发送报文224.0.0.5。
33. IAR-internal Area Router BBR――Backbone router
34. OSPF不会产生回路的原因,每一条LSA都标记了生成者,链路状态算法
35. 运行OSPF,网络中路由器10台以上,网状拓扑,快收敛等。
36. OSPF区域的划分:1、按自然或行政区域划分。2、按高端路由器来划分。3、按ip地址的分配来划分。
37. 区域不要超过70台,与骨干区域虚连接,ABR性能要高不要配太多区域。
38. 配置:1、router id 2、ospf enable 3、端口下 ospf enable area aera_id
39. 路由聚合,ospf下 abr-summary ip mask area area_id
40. stub区域 stub cost area
41. 虚连接 vlink peer-id transit-area
42. NSSA 区域 nssa area default-route-advertise
43. OSPF可以dis 错误 接口 peer 和dis ospf
44. OSPF可以debug enent 、lsa、packet、spf。
45. 接口上的dead定时器应大于hello定时器,且至少在4倍以上。
BGP
46. BGP――border gateway protocol EGP协议
47. BGP端口号179,基于TCP协议传送,当前使用RFC1771-BGP4
48. BGP不发现和计算路由,只进行路由的传递和控制。
49. 支持CIDR、采用增量路由发送、通过携带的AS信息来解决路由环路、丰富的路由属性和策略。
50. AS同一机构管理,统一的选路策略的一些路由器。1-65411为注册的因特网编号,65412-65535为专用网络编号。
51. BGP包括IBGP和EBGP。一般要求EBGP peer间保证直链链路,IBGP间保证逻辑全连接。
52. BGP选路原则:多条路径选最优的给自己、只将自己使用的路由通告给peer、从EBGP获得的路由会通告给所有BGP peer、从IBGP得到的路由不通告IBGP peer,看同步状况决定是否通告给EBGP peer、新建立的连接,将所有的BGP路由通告给新的peer。
53. BGP同步,即IBGP宣告的路由在IGP中已经被发现。
54. BGP路由引入――纯动态注入、半动态注入、静态注入
55. OPEN报文,交换各种信息,用于协商建立邻居关系,是BGP的初始握手消息。
56. UPDATE报文,携带路由更新信息,包括撤销和可达的路由信息。
57. Notification报文,当检测的差错时,发送Notification报文关闭peer连接。
58. Keeplive报文,收到open报文后相对端回应,peer间周期性发送,保持连接。
59. BGP报文头中type信息1字节,1open 2updata 3notification 4keeplive
60. updata报文一次只能通告一个路由,但可以携带多个属性。当一次通告多条路由的话,只能携带相同的属性。Updata可以同时列出多个被撤销的路由。
61. 缺省情况,keeplive 60s一发。
62. Notification的errorcode中code=2 OPEN错 code=3 update错
63. BGP开始Idle状态,BGP一旦start则进入connect状态,接着建立TCP连接,如果不成功则进入Active状态,成功就进入opensent状态,opensent状态收到一个正确的open报文就进入openconfirm状态,当受到keeplive报文,就会建立BGP连接,进入Established状态。
64. BGP属性目前16种可扩展到256种。分为必遵、可选、过渡、非过渡。
65. Origin属性 标识路由的来源,0-IGP 聚合和注入路由、1-EGP EGP得到、3-incomplete 其他方式 从其他IGP引入的
66. AS-path属性 达到某个目的地址所经过的所有AS号码序列。宣告时把新经过的AS号码放在最前。
67. NexT Hop属性 必遵属性 当对等体不知道路由时,须将下一条属性改为本地
68. Local-preference属性 可选 帮助AS内的路由器选择到AS区域外的较好的出口,本地优先级属性只在AS内部,IBGP peer间交换。
69. MED属性 向外部指示进入某个具有多入口的AS的优先路经。选MED小的。
70. Community属性 no-expert 不通告到联盟/AS外部 no-advertise 、不通告给任何BGP Peer、local-AS不通告给任何EBGP、Internet 通告所有路由器
71. BGP路由选择过程 1、下一跳不可达,忽略 2、选择local-preference大的路由 3、优先级相同,选择本地路由器始发的路由 4、选择AS路径较短的路由5、路由选择顺序IGP-EGP-Incomplete 6、选择MED值小的路由 7、选择router ID小的路由
72. 基本配置 启动BGP 配邻居 peer 宣告网段 network 引入路由 import
73. BGP定时器有keepalive-interval、holdtime-interval
74. BGP前缀过滤器filter-policy、AS-Path过滤 acl aspath-list-number 、路由映射 route-policy
75. 复位BGP reset bgp
76. 正则表达式:^ 路径开始 $ 结束 \b As号码间分割符 ^$ 匹配本地路由
77. BGP路由处理过程:接受路由-实施策略-路由聚合-选路-加入路由表-发布
78. BGP debug all/event/keepalive/open/packet/updata/recive/send/verbose
79. BGP路由聚合-聚合到CIDR中 aggregate
80. 反射器-reflect client
81. AS联盟 子AS间为EBGP,所有IBGP规则仍然适用。Confederation id & confederation peer-as
82. BGP衰减的5个参数:可达半衰期、不可达半衰期、重用值、抑制值、惩罚上限
路由策略
83. 策略相关的无种过滤器:路由策略 routing policy、访问列表 acl、前缀列表 prefix-list、自治系统信息路径访问列表 aspath-list 仅用于BGP 、团体属性列表 community-list 仅用与BGP。
84. 路由引入时使用routing policy过滤,路由发布和接收时用ip prefix和ACL
85. 一个routing policy下的node节点为或的关系,而每个节点下的if-match和apply语句为与的关系。Permit 执行apply,deny不执行apply
86. 路由引入 import-route protocol 目前有direct、static、rip、ospf、ospf-ase、bgp
87. 定义ip前缀列表 ip ip-preffix prefix-list-name ,不同sequence-number间为或的关系路由过滤 filter-policy gateway/acl-numeber gataway 只能import,acl和ip-prefix可以export。
网络安全特性
88. 网络安全两层含义:保证内部局域网的安全、保护和外部进行数据交换的安全
89. 安全考虑:物理线路、合法用户、访问控制、内网的隐蔽性、防伪手段,重要数据的保护、设备及拓扑的安全管理、病毒防范、安全防范意识的提高
90. 网络攻击的主要方式:窃听报文、ip地址欺骗、源路由攻击、端口扫描、DoS拒绝服务、应用层攻击
91. 可靠性和线路――主从备份和负载分担
92. 身份认证--con口配置、telnet、snmp和AUX(modem远程)、防止伪造路由信息
93. 访问控制――分级保护,基于5源组控制 源,目的ip、源,目的端口、协议号
94. 信息隐藏――NAT
95. 加密和防伪――数据加密、数字签名、IPsec
96. 安全管理――制度和意识
97. AAA-authentication、authorization、accounting 认证、授权、计费
98. 包过滤技术-利用ip包的特征进行访问控制、不能使用在接入服务中、可以基于ip地址、接口和时间段
99. IPsec-Ip security 通过AH和ESP两个协议来实现
100. IKE-internet密钥交换协议。定义了双方进行身份认证、协商加密算法和生成共享密钥的方法。
101. 提供AAA支持的服务:PPP-pap、chap认证。EXEC-登陆到路由器。FTP-ftp登陆。
102. AAA不需要计费时,aaa accounting-scheme optional 取消计费
103. AAA配置命令:aaa enable-开启、aaa accounting-scheme optional-取消计费、aaa accounting-scheme login-配置方法表、aaa accounting-scheme ppp-在接口上启用方法表
104. 方法表5种组合:radius、local、none、radius local、radius none
105. 路由器local-user 不要超过50个
106. 可以debug radius primitive 和event
107. 原语7种:join PAP 、join CHAP、leave、accept、reject、bye、cut
108. RADIUS-remote authentication Dial-in User service
109. radius采用client/server模式,使用两个UDP端口验证1812,计费1813,客户端发其请求,服务器响应。
110. radius配置 radius [server name&ip]authentication -port accouting-port、radius shared-key、配重传 radius retry 、radius timer response-timeout
VPN
111. VPN-Virtual private network
112. 按应用类型 access VPN、intranet VPN、Extranet VPN
113. 按实现层次 2层 [ PPTP、L2F、L2TP ]、3层[GRE、IPSec]
114. 远程接入VPN即Access VPN又称VPDN,利用2层隧道技术建立隧道。用户发起的VPN,LNS侧进行AAA。
115. Intranet VPN企业内部互联可使用IPSec和GRE等。
116. 2层隧道协议:PPTP 点到点隧道协议、L2F 二层转发协议 cisco、L2TP 二层隧道协议 IETF起草,可实现VPDN和专线VPN。
117. 三层协议:隧道内只携带第三层报文,GRE-generic routing encapsulation 通用路由封装协议、IPSec-由AH和IKE协议组成。
118. VPN设计原则,安全性、可靠性、经济性、扩展性
L2TP
119. L2TP layer 2 tunnel protocol 二层隧道协议,IETF起草,结合了PPTP和L2F优点。适合单个和少数用户接入,支持接入用户内部动态地址分配,安全性可采用IPSec,也可采用vpn端系统LAC侧加密-由服务提供商控制。
120. L2TP两种消息:控制消息-隧道和会话连接的建立、维护和删除,数据消息-封装PPP帧并在隧道传输。
121. 同一对LAC与LNS间只建立一个L2TP隧道,多个会话复用到一个隧道连接上。
122. LAC-l2tp access concentrator LNS-l2tp network server
123. 隧道和会话的建立都经过三次握手:请求crq-应答crp-确认ccn。隧道sc,会话i
124. 隧道和会话拆除时需要有ZLB-zero-Length body 报文确认。
125. L2TP封装:IP报文(私网)-PPP报文-L2TP报文-UDP报文-IP报文(公网)
126. 配置LAC侧:1配置AAA和本地用户、2启动VPDN l2tp enable、3 配置vpdn组 l2tp-group number、3 配置发起连接请求和LNS地址 start l2tp [ipadd]
127. 配置LNS侧:1配置本地VPDN用户、2 启动vpdn、3 创建vpdn组、4 创建虚模板,为用户分配地址 interface virtrual-template [number]、5 配置接受呼叫的对端名称 allow l2tp virtual-template[number][name]
128. L2TP可选配置:本端隧道名称、隧道加密验证、Hello报文的发送间隔、配置L2TP最大会话数。
129. dis l2tp tunnel &session 、debug l2tp all/control/error/enent/hidden/payload/time-stamp
130. L2TP用户登陆失败:1 tunnel建立失败-LAC端配的LNS地址不对,tunnel密码验证问题、2 PPP协商不通-pap、chap验证,LNS端地址分配问题。
GRE
131. GRE-generic routing encapsulation 通用路由封装是一种三层隧道的承载协议,协议号为47,将一种协议报文封装在另一中报文中,此时ip既是被封装协议,又是传递(运输)协议。
132. GRE配置:1 创建Tunnel接口 interface tunnel [number]、2 配置接口源地址 source [ip-add]、3 配目的地址 destination [ip-add]4 配网络地址 ip add [ip-add,mask]
133. GRE可选参数 接口识别关键字、数据报序列号同步、接口校验。
IPSec
134. IPSec-IP Security 包括报文验证头协议AH 协议号51、报文安全封装协议ESP 协议号50。工作方式有隧道tunnel和传送transport两种。
135. 隧道方式中,整个IP包被用来计算AH或ESP头,且被加密封装于一个新的IP包中;在传输方式中,只有传输层的数据被用来计算AH或ESP头,被加密的传输层数据放在原IP包头后面。
136. AH可选用的加密为MD5和SHA1。ESP可选的DES和3DES。
137. IPSec安全特点,数据机密性、完整性、来源认证和反重放。
138. IPSec基本概念:数据流、安全联盟、安全参数索引、SA生存时间、安全策略、转换方式
139. 安全联盟 SA-包括协议、算法、密钥等,SA就是两个IPSec系统间的一个单向逻辑连接,安全联盟由安全参数索引SPI、IP目的地址和安全协议号(AH或ESP)来唯一标识。
140. 安全参数索引SPI:32比特数值,全联盟唯一。
141. 安全联盟生存时间 Life Time:安全联盟更新时间有用时间限制和流量限制两种。
142. 安全策略 crypto Map :即规则。
143. 安全提议 Transform Mode :包括安全协议、安全协议使用算法、对报文封装形式。规定了把普通报文转成IPSec报文的方式。
144. AH、ESP使用32比特序列号结合重放窗口和报文验证防御重放攻击。
145. IKE-internet key exchange 因特网密钥交换协议,为IPSec提供自动协商交换密钥号和建立SA的服务。通过数据交换来计算密钥。
146. IKE完善的向前安全性PFS和数据验证机制。使用DH-diffie-Hellman公用密钥算法来计算和交换密钥。
147. PHS特性由DH算法保证。
148. IKE交换过程,阶段1:建立IKE SA;阶段2:在IKE SA下,完成IPSec协商。
149. IKE协商过程:1 SA交换,确认有关安全策略;2 密钥交换,交换公共密钥;3 ID信息和验证数据交换。
150. 大规模的IPSec部署,需要有CA-认证中心。
151. IKE为IPSec提供定时更新的SA、密钥,反重放服务,端到端的动态认证和降低手工配置的复杂度。
152. IKE是UDP上的应用层协议,是IPSec的信令协议。他为IPSec建立安全联盟。
153. IPsec要确定受保护的数据,使用安全保护的路径,确认使用那种保护机制和保护强度。
154. IPSec配置:1 创建加密访问控制列表、2 定一安全提议 ipsec proposal [name];ipsec card-protposal [name]、3 设置对IP报文的封装模式 encapsulation-mode [transport or tunnel]、4 选择安全协议 ah-new esp-new ah-esp-new 、5 选择加密算法 只有ESP可加密、6 创建安全策略 ipsec policy 应用安全策略到接口 ipsec policy
155. IKE配置:1创建IKE安全策略 ike proposal [num]、2 选择加密算法、认证方式、hash散列算法、DH组标示、SA生存周期3、配置预设共享密钥 ike pre-shared-key key remote [add]、4 配置keeplive定时器
156. keeplive定时器包括 1 interval定时器 按照interval时间间隔发送keeplive报文 2 timeout定时器 超时检查
157. debug ipsec misc/packet/sa
QoS
158. QoS-quality of service 服务质量保证。在通信过程中,允许用户业务在丢包率、延迟、抖动和带宽上获得预期的服务水平。
159. QoS需要提供以下功能:避免并管理ip网络阻塞、减少ip报文丢包率、调控流量、为特定用户提供专用带宽、支持实时业务
160. IP QoS三种模式:Best-Effort模型-缺省FIFO;IntServ模型-申请预留资源;DiffServ-网络拥塞时,根据不同服务等级,差别对待
161. IntServ模型,提供可控的端到端的服务,利用RSVP来传递QoS信令。有两种模式:保证服务和负载控制服务。
162. RSVP是第一个标准的QoS信令协议,不是路由协议但是按照路由协议规定的报文流的路径为报文申请预留资源。只在网络节点间传递QoS请求,本身不完成QoS要求的实现。
163. RSVP要求端到端的设备均支持这一协议,可扩展性差,不适合在大型网络应用。
164. DiffServ-Differentiated Service 差分服务模型,目前QoS主流。DS不需要信令。数据进入DS网路,根据优先级DSCP汇聚为一个行为集合。根据定义的PHB-per-hop behavior来对业务流执行PHB。
165. 着色:给不同的业务流打上QoS标记。着色是进行QoS处理的前题。
166. CAR-commited access rate 约定访问速率。是流量监管-traffic policing的一种。利用IP头部的TOS字段来对报文处理,三层处理。
167. CAR采用令牌桶进行流量控制。配置命令:1 定义规则qos carl carl-index、2 在接口上应用CAR策略或ACL qos car inbound/outbound 每个接口上可应用100条,注意应用策略前,取消快速转发功能。
168. GTS-generic traffic shaping 流量整形 用于解决链路两边的接口速率不匹配,使用令牌桶,两种方式处理报文:1 所有流处理 2 不通的流不同处理 命令 qos gts
169. LR-line Rate 物理接口限速 2层处理 令牌桶机制所有报文均需通过LR的桶。命令 qos lr ….
170. 拥塞管理的算法:FIFO、PQ、CQ、WFQ。
171. FIFO-先进先出 best effort模型
172. PQ-priority queuing 优先对列 分为high、medium、normal、low;命令 全局定义qos pql 接口上应用 qos pq pql
173. CQ-custom queuing 定制队列 可配置对列占用的带宽比例 包含17个组,0为系统对列,1-16 用户对列。命令 全局定义,接口应用
174. WFQ-wgighted fair queuing 加权公平对列 最大对列数16-4096 采用hash算法。权值依的大小依靠ip报文头中携带的ip优先级。命令 qos wfg
175. 拥塞避免-在未发生拥塞时,根据对列状态有选择的丢包。算法 RED随机早期检测、WRED 加权随机早期检测
176. TCP全局同步,尾部丢弃多个tcp连接的报文,导致多个俩结同时进入慢启动和拥塞避免。
177. WRED-weighted random early detection 采用随机丢弃报文。根据对列深度来预测拥塞情况,根据优先级定义丢弃策略,定义上下限。相同优先级对列约长,丢弃概率越大。
178. WRED命令:1 能使WRED qos wred、2 配置计算平均队长指数 3 配置优先级参数
179. 丢弃概率分母的倒数为最大丢弃概率,值越小,概率越大