HCSE-Security培訓(xùn)總結(jié)
H3CSE-Security培訓(xùn)總結(jié)
8月28日到9月7日期間,我參加了H3C公司舉辦的H3CSE-Security培訓(xùn)。H3C公司現(xiàn)在有了獨(dú)立的網(wǎng)絡(luò)安全產(chǎn)品線,對(duì)這一方面產(chǎn)品的投入不斷增大,希望能在網(wǎng)絡(luò)安全生品這一領(lǐng)域做成國內(nèi)(品牌)第一。為配合產(chǎn)品的銷售推廣,最近H3C針對(duì)處代理商及相關(guān)客戶開辦了一系列的H3CSE網(wǎng)絡(luò)安全培訓(xùn)。
本次培訓(xùn)共有十天,4門課程包括有:《布置安全防火墻系統(tǒng)》、《H3C安全新產(chǎn)品新特性》《構(gòu)建VPN網(wǎng)絡(luò)》《高級(jí)IPS系統(tǒng)配置》。前3門為考試課程,IPS系統(tǒng)只講了半天的課程考試不做要求。培訓(xùn)分為講課及實(shí)驗(yàn)兩部分,一般上午講課為主,下午及晚上為實(shí)驗(yàn)及答疑時(shí)間。下面對(duì)各門課程的內(nèi)容做一下簡(jiǎn)要介紹。
一、布暑安全防火墻系統(tǒng)
防火墻的課程大概可以分為三個(gè)方面的內(nèi)容
第一部分為對(duì)防火墻技術(shù)及網(wǎng)絡(luò)安全做了一些概念性的介紹,指出了防火墻的幾項(xiàng)必備技術(shù):網(wǎng)絡(luò)隔離及訪問控制、攻擊防范、地址轉(zhuǎn)換(NAT)應(yīng)用層狀態(tài)檢測(cè)(ASPF)、微分認(rèn)證、內(nèi)容安全過濾,安全管理。
第二部分介紹了H3CSecPath的防火墻系系列產(chǎn)品,主要對(duì)現(xiàn)有的產(chǎn)品在業(yè)務(wù)性能及典型應(yīng)用,做了相應(yīng)介紹。
第三部分為這門課程的主機(jī)內(nèi)容,主要講了網(wǎng)絡(luò)安全技術(shù)在H3C防火墻產(chǎn)品上的實(shí)現(xiàn)。
防火墻的圖形化管理系統(tǒng):web管理,BIMS及VPNManger管理軟件。BIMS軟件實(shí)現(xiàn)了對(duì)大量防火墻設(shè)備的升級(jí)及配置文件管理,VPNManger提供了對(duì)VPN網(wǎng)絡(luò)的監(jiān)控及布置功能。
安全區(qū)域:把防火墻的端口加入不同的安全區(qū)域,實(shí)現(xiàn)對(duì)不同網(wǎng)絡(luò)的隔離接入。需要注意的一點(diǎn)是防火墻的所有端口(除loopback口)都要要加入到相應(yīng)的區(qū)域中,不然不能轉(zhuǎn)發(fā)數(shù)據(jù)。
訪問控制列表(ACL):4種ACL,基于接口的ACL(1000-1999)、基本防問控制列表(201*-2999)、高級(jí)防問控制列表(3000-3999)、基于MAC的訪問控制列表(4000-4999)。需要注意的是,基于接口的ACL只能用的防火墻接口的outbound方向;基于MAC的ACL只能用于透明模式及模合模式的橋模式下。
包過濾技術(shù):實(shí)現(xiàn)包過濾技術(shù)的核心技術(shù)是ACL,主要講了ASPF及黑名單技術(shù)。ASPF能夠?qū)﹄p通道的應(yīng)用層協(xié)議及TCP/UDP進(jìn)行檢測(cè),從而實(shí)現(xiàn)對(duì)數(shù)據(jù)流的單訪問控制。黑名單是根據(jù)數(shù)據(jù)的源地址進(jìn)行過濾的一種技術(shù),防火墻可以根據(jù)具體應(yīng)用(主要指攻擊防范)動(dòng)態(tài)的添加及刪除黑名單,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全防護(hù)。
地址轉(zhuǎn)換(NAT):地址轉(zhuǎn)換可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的單向訪問,即保護(hù)了網(wǎng)絡(luò)的安全又解決了公有IP地址短缺的問題。H3C可以實(shí)現(xiàn)的地址轉(zhuǎn)換方式主要有:多對(duì)多地址轉(zhuǎn)換、網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NAPT)、EasyIP(直接使用接口上的公有IP轉(zhuǎn)換)、NATServer(通過地址及端口映射實(shí)現(xiàn)外部對(duì)內(nèi)部網(wǎng)絡(luò)的訪問)
報(bào)文統(tǒng)計(jì):H3C主要提供了以下三種報(bào)文統(tǒng)計(jì)功能,系統(tǒng)統(tǒng)計(jì)、域統(tǒng)計(jì)、IP統(tǒng)計(jì)。報(bào)文統(tǒng)計(jì)的功能應(yīng)該是通過報(bào)文統(tǒng)計(jì),監(jiān)控網(wǎng)絡(luò)狀況,根據(jù)具體應(yīng)用設(shè)置的安全閥值,來觸發(fā)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)措施。
攻擊防范:本節(jié)內(nèi)容介紹了常見的網(wǎng)絡(luò)攻擊行為及基本原理,并啟用防火墻的各項(xiàng)防范功能對(duì)網(wǎng)絡(luò)進(jìn)行安全防護(hù)。
網(wǎng)頁過濾和郵件過濾:這一部分應(yīng)該就是前面提到的防火墻技術(shù)中的內(nèi)容過濾。H3C對(duì)web的訪問可以對(duì)網(wǎng)頁內(nèi)容及網(wǎng)址(url)過濾,郵件可以通過對(duì)郵件的內(nèi)容、附件、主題、收件人地址進(jìn)行過濾。需要注意的是:1、要實(shí)現(xiàn)內(nèi)容過濾必須先配置ASPF策略對(duì)http或smtp以及tcp進(jìn)行檢測(cè);2、配置完成后要記得把配置后的策略保存為一個(gè)文件;3、如防火墻重新啟動(dòng),需要調(diào)用保存的配置文件。
用戶認(rèn)證:分別對(duì)AAA、RADIUS、HWTACASC做了介紹及相關(guān)配置。在了解以上幾種協(xié)議的基礎(chǔ)上,注意RADIUS和HWTACASC的一些區(qū)別。R認(rèn)證授統(tǒng)一,H分別進(jìn)行;R使用UDP傳輸,H使用TCP;R對(duì)論證密碼加密,H對(duì)全體報(bào)文加密;R適用于記費(fèi),H適用于安全控制。H支持對(duì)網(wǎng)關(guān)上的配置命令授權(quán),R不支持。
運(yùn)行模式和雙機(jī)備份:H3C的SecPath防火墻,支持三種工作模式:路由模式,透明模式,混合模式。路由模式布置防火墻需要對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行修改,而透明模式可以直接把防火墻串到網(wǎng)絡(luò)中而不修改網(wǎng)絡(luò)結(jié)構(gòu)。需要注意的是防火墻在路由模式下的轉(zhuǎn)發(fā)性能更強(qiáng)一些。雙機(jī)熱備:主要指的是用VRRP技術(shù)實(shí)現(xiàn)防火墻設(shè)備的冗余備份。
二、構(gòu)建安全VPN網(wǎng)絡(luò)
VPN課程也可以分為三部分。第一部分為H3C的VPN安全產(chǎn)品介紹,主要講了安全網(wǎng)關(guān)家族成員,業(yè)務(wù)特性及維護(hù)配置基礎(chǔ)。第二部分為VPN技術(shù)原理及相關(guān)的加密算法。第三部分為H3C設(shè)備的VPN業(yè)務(wù)實(shí)現(xiàn)。下面對(duì)技術(shù)原理及業(yè)務(wù)實(shí)現(xiàn)做一下簡(jiǎn)要介紹。
VPN定義:利用公共網(wǎng)絡(luò)(比如:Internet、幀中繼、ATM等)來構(gòu)建的私有網(wǎng)絡(luò)被稱為VPN(VirtualPrivateNetwork)。VPN的安全性,是通過一系列的安全協(xié)議及算法實(shí)現(xiàn)的。
VPN的分類:按應(yīng)用類型(對(duì)象)分為三類:AccessVPN(指遠(yuǎn)程流動(dòng)員工接入到公司網(wǎng)絡(luò))、IntranetVPN(指分枝機(jī)構(gòu)與公司總部的網(wǎng)絡(luò)連接)、ExtranetVPN(指企業(yè)與合作伙伴間的網(wǎng)絡(luò)連接);按實(shí)現(xiàn)層次可分為:二層隧道VPN(可以對(duì)數(shù)據(jù)的二層幀封裝傳遞)、三層隧道VPN(只對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)包進(jìn)行封培育傳遞)
加密算法:通過一系列的加密協(xié)議及算法保證數(shù)據(jù)在網(wǎng)絡(luò)上的安全傳輸,主要有安全需求有以下幾方面:
私密性:通過加密實(shí)現(xiàn),加密分為對(duì)稱加密(密鑰算法有:DES/3DES,ASE,RC4)和非對(duì)稱加密(密鑰算法有:DH,RSA)
完整性:通過數(shù)據(jù)摘要(也叫MAC:消息驗(yàn)證碼)實(shí)現(xiàn),主要為摘要算法有MD5、SHA1
身份驗(yàn)證:使用x.509v3證書和數(shù)據(jù)簽名(對(duì)報(bào)文的摘要用私鑰加密,得到的結(jié)果被稱為數(shù)據(jù)簽名)。
PKI體系結(jié)構(gòu):PKI是一個(gè)簽發(fā)證書、傳播證書、使用證書的環(huán)境,保證了公鑰的可獲得性、真實(shí)性、完整性。
L2TPVPN:L2TPVPN是二層隧道VPN,是AccessVPN的主要實(shí)現(xiàn)方式,也被稱為VPDN。H3C二層隧道VPN只支持L2TP。L2TPVPN有兩種發(fā)起方式,基于用戶的和基于NAS。需要注意的是L2TPVPN只能實(shí)現(xiàn)對(duì)用戶的認(rèn)證接入,
但不能實(shí)現(xiàn)對(duì)數(shù)據(jù)流的加密傳輸。
GREVPN:GREVPN是一種三層VPN隧道協(xié)議、應(yīng)用于IntranetVPN及ExtranetVPN。GRE是利用一種網(wǎng)絡(luò)層協(xié)議對(duì)另一種網(wǎng)絡(luò)層協(xié)議B的報(bào)文進(jìn)行封裝,從而實(shí)現(xiàn)報(bào)文在異種網(wǎng)絡(luò)中的傳輸。異種報(bào)文傳輸?shù)耐ǖ婪Q為tunnel(隧道),Tunnel是一個(gè)虛擬的點(diǎn)對(duì)點(diǎn)的連接,并在tunnel的兩端分別對(duì)數(shù)據(jù)進(jìn)行封裝及解封裝。GRE數(shù)據(jù)使用47號(hào)協(xié)議直接封裝在IP層之上,并且不能對(duì)數(shù)據(jù)進(jìn)行加密。
IPsecVPN:IPSecVPN是一種三層VPN實(shí)現(xiàn)機(jī)制,通過一系列安全協(xié)議及加密算法保證私有網(wǎng)絡(luò)數(shù)據(jù)在公共網(wǎng)絡(luò)上傳輸?shù)乃接行、完整性、真?shí)性及反重放。IPsec包括AH(協(xié)議號(hào)51)和ESP(協(xié)議號(hào)50)兩個(gè)協(xié)議,并有隧道(tunnel)及傳送(transport)兩種工作模式。通過配置可以實(shí)現(xiàn)IPSec的NAT穿越。
IKE(IntelnetKeyExchange):是IPSEC的信令協(xié)議,為IPSec提供了自動(dòng)協(xié)商交你密鑰、建立安全聯(lián)盟的服務(wù)。IKE可以在不安全的網(wǎng)絡(luò)上安全的分發(fā)密鑰,驗(yàn)證身份建立IPSEC安全聯(lián)盟。IKE協(xié)商分兩個(gè)階段:先建立IKESA,再在IKESA的保護(hù)下完成IPSec協(xié)商。
DVPN(動(dòng)態(tài)VPN):DVPN是華為的專利技術(shù),使用C/S結(jié)構(gòu)(其中一臺(tái)DVPN接入設(shè)備做為Server,其它DVPN接入設(shè)備做為Client)實(shí)現(xiàn)了不同分支機(jī)構(gòu)間VPN的動(dòng)態(tài)建立。Client向Server注冊(cè)信息。報(bào)文使用UDP封裝,以保證NAT穿越。
SSLVPN:SSL協(xié)議是一種位于應(yīng)用層和TCP層之間,向上層提供加密安全服務(wù)協(xié)議。SSL對(duì)應(yīng)用層提供了安全可靠的有連接服務(wù),對(duì)所傳輸?shù)臄?shù)據(jù)提供了私性的保護(hù)、完整性的校驗(yàn),以及對(duì)端身份的驗(yàn)證。SSLVPN是應(yīng)用SSL協(xié)議在客戶端和企業(yè)之間建立的加密隧道。為減輕服務(wù)器加解密負(fù)擔(dān),一般使用SSLVPN網(wǎng)關(guān)代替服務(wù)器來應(yīng)答客戶端發(fā)起的SSL連接,并負(fù)責(zé)對(duì)收發(fā)的數(shù)據(jù)進(jìn)行加解密。SSL代理與后臺(tái)服務(wù)器之間將以明文方式進(jìn)行加密通訊。目前H3C的SSLVPN功能以在網(wǎng)絡(luò)設(shè)備上安裝SSLVPN插卡的方式實(shí)現(xiàn)。通過老師的的演示及做實(shí)驗(yàn),發(fā)現(xiàn)SSLVPN還是非常實(shí)用的,配置簡(jiǎn)單管理方便,客戶端不用安裝軟件,以對(duì)資源的訪問權(quán)限及客戶端的使用環(huán)境控制的也很細(xì)致。
移動(dòng)客戶VPN:H3C移動(dòng)客戶VPN指的是通過在客戶端的PC機(jī)上安裝客戶端軟件(iNode)和硬件(SecKey),直接過通互聯(lián)網(wǎng)撥入到公司網(wǎng)絡(luò)連接。這種VPN就是H3C的基于客戶端發(fā)起的AccessVPN的接入方式。VPN客戶端有兩種工作模式:L2TP,VPN客戶端同時(shí)做為L2TP協(xié)議的LAC和ppp用戶,通過L2TP協(xié)議和中心網(wǎng)關(guān)建立L2TP隧道;L2TPOverIPSec,VPN客戶端首先和中心網(wǎng)關(guān)建立IPSec隧道,然后在IPSEC隧道上建立L2TP隧道通信。
VPN可靠性:H3CVPN可靠性,指的是解決VPN網(wǎng)關(guān)設(shè)備的單點(diǎn)故障,以及VPN單條鏈路的故障檢測(cè)問題。設(shè)備單故障解決:布暑兩臺(tái)設(shè)備通過VRRP實(shí)現(xiàn)設(shè)備的冗余備份,自動(dòng)切換。鏈路備份:使用動(dòng)態(tài)路由或者偵測(cè)組方式實(shí)現(xiàn)在鏈路狀態(tài)的監(jiān)測(cè),從而實(shí)現(xiàn)通信線路的快速切換。
三、H3C安全新產(chǎn)品新特性
課程的內(nèi)容,像課程的名子一樣,主要介紹了H3C的一些新的安全產(chǎn)品和安全產(chǎn)品所支持的新特性。目前H3C的安全產(chǎn)品主要有以下幾種:防火墻、VPN網(wǎng)關(guān)、IDS、IPS、防毒墻,安全中心等。需要注意的是本課程介紹的網(wǎng)絡(luò)安全產(chǎn)
品的新特性,只有中高端的防火墻硬件支持,并且需要把防火墻的系統(tǒng)軟件版本升級(jí)到E1622P02以下才可以,使用時(shí)請(qǐng)注意產(chǎn)品說明。
SecCemter安全中心:該產(chǎn)品的主要作用是收集主機(jī)及網(wǎng)絡(luò)設(shè)備的日志信息,對(duì)信息實(shí)時(shí)監(jiān)控且可以產(chǎn)生報(bào)警信息,對(duì)生成報(bào)告進(jìn)行分析,并具有審計(jì)功能的系統(tǒng)。安全中心由硬件服務(wù)器及安裝在服務(wù)器上的軟件組成。服務(wù)器裝有windows201*操作系統(tǒng),配有多塊網(wǎng)卡(用于收集不同網(wǎng)絡(luò)日志信息),擁有大容量硬盤。網(wǎng)絡(luò)設(shè)備需要把日志輸出指向安全中心后,安全中心就會(huì)自動(dòng)添加網(wǎng)絡(luò)設(shè)備,并可以對(duì)其進(jìn)行日志管理。對(duì)于主機(jī)設(shè)備,需要在安全中心上手動(dòng)添加,以獲取日志信息。培訓(xùn)的時(shí)候看了一個(gè)H3C做的河南農(nóng)行的實(shí)例,感覺產(chǎn)品功能還是比較強(qiáng)的,只是報(bào)價(jià)有些貴。
ASM防毒卡:H3C提出了一個(gè)OAA(開放業(yè)務(wù)架構(gòu))的概念,H3C的部分產(chǎn)品為第三方廠商(主要應(yīng)該是與其它廠商間的合作吧)硬件及軟件的接口插糟,從而能使用H3C的網(wǎng)絡(luò)安全產(chǎn)品可以提供附加的安全功能。ASM防毒卡及后面提到的NSM流量監(jiān)控卡就是這樣的產(chǎn)品。ASM防卡是H3C與瑞星公司合作,用于在網(wǎng)絡(luò)設(shè)備上實(shí)現(xiàn)對(duì)病毒防護(hù)的產(chǎn)品,防毒卡相當(dāng)于一個(gè)單的小型主機(jī),以插卡的方式安裝到了網(wǎng)絡(luò)產(chǎn)品上。網(wǎng)絡(luò)設(shè)備通過對(duì)數(shù)據(jù)流的重定向功能,實(shí)現(xiàn)對(duì)相心數(shù)據(jù)流的病毒檢查。目前防毒卡只支對(duì)應(yīng)用層HTTP、FTP、POP3、SMTP4種數(shù)據(jù)流的檢測(cè)。防毒卡配有專用的管理接口,以web方式管理配置。
NSM網(wǎng)絡(luò)全監(jiān)控卡:與ASM卡一樣,是一種安裝于網(wǎng)絡(luò)設(shè)備上的插卡,用于監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流信息。通過在網(wǎng)絡(luò)設(shè)備上配置端口鏡像,使NSM卡獲取數(shù)據(jù)流。NSM卡主要可以實(shí)現(xiàn)以下4方面功能:網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)流量監(jiān)控、網(wǎng)絡(luò)安全漏洞檢測(cè)、網(wǎng)絡(luò)的優(yōu)化與規(guī)劃。NSM卡配有專用的管理接口,以web方式管理配置(http/https)。
SecPath防火墻的混合模式特性:防火墻可以工作在三種工作模式,即路由模式、透明模式和混合模式。在操作系統(tǒng)E1622以上的版本支持混合模式。需要注意的是在E1622版本以上沒有了firewallmodeXXX命令,設(shè)備默認(rèn)工作在路由模式下。通過配置橋組,加入的接口轉(zhuǎn)換為二層接口,實(shí)現(xiàn)透明轉(zhuǎn)發(fā)功能。
SecPath防火火墻雙機(jī)熱備特性:新特性的雙機(jī)熱備不同于VRRP,新特性提出了RDO的概念,通過RDMP協(xié)議,VIF及HAInterface可以實(shí)現(xiàn)雙機(jī)熱備及均衡負(fù)載。同時(shí)新特性的雙機(jī)熱備可以實(shí)現(xiàn)配置同步及防火墻的狀態(tài)表同步。
SecPath防火墻面向?qū)ο窆芾硖匦裕好嫦驅(qū)ο筇岢隽艘韵聨追N對(duì)像,地址對(duì)象、服務(wù)對(duì)像、時(shí)間對(duì)象和流對(duì)像。也就是先提前定義出以上幾種對(duì)象,當(dāng)有應(yīng)用時(shí)再對(duì)對(duì)象加以引用。目前在SecPath中的使用范圍是包過濾和NAT?梢愿鶕(jù)使用者的習(xí)慣決定是否使用用面向?qū)ο竦墓芾。使用web管理方式定義及使用對(duì)象應(yīng)該更方便一些。
SecPath防火墻DAR特性:DAR深度應(yīng)用研究感知,在新特性中的應(yīng)用主要是根據(jù)數(shù)據(jù)的特征碼識(shí)別BT流,通過設(shè)置對(duì)數(shù)據(jù)限速。
以上是對(duì)3門門考試課程中的一些知識(shí)點(diǎn)以及我所理解到的東西做了一下總結(jié),希望對(duì)大家能有所幫助。關(guān)于具體的配置實(shí)現(xiàn),請(qǐng)大家參考相應(yīng)的操作手冊(cè)或教材。近兩周的培訓(xùn),感到幾個(gè)老師還是十分認(rèn)真負(fù)責(zé)的,在學(xué)習(xí)及實(shí)驗(yàn)中給了我們很大的幫助,在這里表示一下感謝!
201*-9-12
擴(kuò)展閱讀:HCSE教材總結(jié)篇--路由(4.0)
HCSE教材總結(jié)篇--路由>>>
路由第一章
一、OSPF(OPENSHORTESTPATHFIRST)協(xié)議,開放式最短路徑優(yōu)先協(xié)議,由IETF開發(fā)的基于鏈路狀態(tài)的自治系統(tǒng)內(nèi)部路由協(xié)議,當(dāng)前使用的是第二版,RFC2328,特點(diǎn)如下:
1、可以適應(yīng)大規(guī)模網(wǎng)絡(luò),上百臺(tái)路由器;
2、路由變化收斂速度快,如果拓?fù)浣Y(jié)構(gòu)變化,立刻發(fā)送更新報(bào)文;
3、無路由自環(huán),使用了最短路徑樹算法計(jì)算路由,從算法本身保證了不會(huì)自環(huán);4、支持VLSM(變長子網(wǎng)掩碼),描述路由時(shí)攜帶網(wǎng)段的掩碼信息;5、支持等值路由,到同一目的地址多條等值路由;6、支持區(qū)域劃分,減少占用網(wǎng)絡(luò)的帶寬;
7、提供路由分級(jí)管理,使用4類不同路由,按照優(yōu)先級(jí)別:區(qū)域內(nèi)路由、區(qū)域間路由(兩種優(yōu)先級(jí)都為10)、第一類外部路由、第二類外部路由(優(yōu)先級(jí)為150);8、支持驗(yàn)證,基于接口的報(bào)文驗(yàn)證;
9、組播發(fā)送,在有組播發(fā)送能力的鏈路層上以組播地址發(fā)送協(xié)議報(bào)文。
二、ROUTERID,一個(gè)32BIT的無符號(hào)整數(shù),在整個(gè)自治系統(tǒng)內(nèi)唯一,協(xié)議號(hào)89,配置命令:ROUTERID1.2.3.4,察看命令:SHOWIPOSPF,如果沒有手工配置,系統(tǒng)優(yōu)先選擇LOOPBACK端口IP地址為ID,如果沒有配置LOOPBACK端口,會(huì)從當(dāng)前接口IP地址中自動(dòng)選擇一個(gè)IP地址作為ID。
三、OSPF將不同的網(wǎng)絡(luò)拓?fù)涑橄鬄樗姆N類型:
1、STUBNETWORKS,接口連接網(wǎng)段中只有本路由器自己,比如局域網(wǎng);2、POINTTOPOINT,通過點(diǎn)到點(diǎn)網(wǎng)絡(luò)與一臺(tái)路由器相連,比如DDN;
3、BROADCASTORNBMANETWORKS,通過廣播或NBMA網(wǎng)絡(luò)與多臺(tái)路由器相連
4、POINTTOMULTIPOINT,通過點(diǎn)到多點(diǎn)與多臺(tái)路由器連接。注意:NBMA要求全連通。
四、OSPF協(xié)議計(jì)算出路由的三個(gè)步驟:
1、描述本路由器周邊的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),生成LSA;
2、將自己生成的LSA在自治系統(tǒng)中傳播,并同時(shí)收集其他路由器生成的LSA,生成所有路由器中都相同的LSDB(連路狀態(tài)數(shù)據(jù)庫);3、根據(jù)收集的所有LSA計(jì)算路由。五、OSPF的五種協(xié)議報(bào)文:
1、HELLO報(bào)文,發(fā)現(xiàn)維持鄰居關(guān)系,選舉DR、BDR,內(nèi)容包括定時(shí)器數(shù)值、DR、BDR、以及自己已經(jīng)知道的鄰居;
2、DD報(bào)文(DATADESCRIPTION),描述自己的LSDB,包括每條LSA的摘要HEAD;
3、LSR報(bào)文(LINKSTATEREQUEST),交換了DD報(bào)文后,發(fā)送所需要的LSA摘要;
4、LSU報(bào)文(LINKSTATEUPDATEPACKET)發(fā)送所需要的LSA內(nèi)容的集合;5、LSACK報(bào)文(LINKSTATEACKNOWLEDGMENTPACKET)內(nèi)容是需要確認(rèn)的LSA的HEAD。
六、OSPF的鄰居狀態(tài)機(jī)1、DOWN,在過去的DeadInterval時(shí)間內(nèi)沒有收到對(duì)方的hello報(bào)文,初始狀態(tài);2、Attempt,只適用于NBMA類型的接口,本狀態(tài)定期向那些手工配置的鄰居發(fā)送HELLO報(bào)文,使用224.0.0.5組播地址;
3、Init,本狀態(tài)表示已經(jīng)收到了鄰居的HELLO報(bào)文,但是該報(bào)文中列的鄰居中沒有包含我的ROUTERID,也就是說對(duì)方?jīng)]有收到我發(fā)的HELLO報(bào)文;
4、2-WAY狀態(tài),雙方互相收到了對(duì)端的HELLO報(bào)文,建立鄰居關(guān)系,在廣播和NBMA類型網(wǎng)絡(luò)中,兩個(gè)接口狀態(tài)是DROTHER的路由器之間停留在這個(gè)狀態(tài);5、EXStart,發(fā)送DD報(bào)文確定主從關(guān)系;
6、Exchange,將本地的LSDB用DD報(bào)文描述,發(fā)給鄰居;7、LOADING,發(fā)送LSR報(bào)文請(qǐng)求對(duì)方的DD報(bào)文;
8、FULL,鄰居路由器的LSDB中所有的LSA本路由器都有了,本路由器與鄰居路由器建立鄰接關(guān)系(adjacency)。
七、DR(DesignatedRouter)和BDR(BackupDesignatedRouter),OSPF協(xié)議指定一臺(tái)路由器DR負(fù)責(zé)傳遞消息,產(chǎn)生過程為:1、登記選民;
2、登記候選人,本網(wǎng)段內(nèi)Priority>0的,默認(rèn)為1;3、競(jìng)選演說;
4、投票,選擇的是Priority最大的為DR,如果Priority相同,選擇ROUTERID大的當(dāng)選。
八、穩(wěn)定壓倒一切,如果網(wǎng)絡(luò)中已經(jīng)存在DR,新加入的路由器不去搶DR。九、OSPF選舉DR需要注意:
1、DR不一定是Priority最大的路由器,BDR不一定是第二大的路由器;
2、DR是某個(gè)網(wǎng)段中的概念,是針對(duì)路由器接口而言的,某臺(tái)路由器在一個(gè)接口上可能是DR,在另外一個(gè)接口上可能是BDR;
3、只有在廣播和NBMA類型的接口上才會(huì)選舉DR,在POINTTOPOINT以及POINTTOmuiltipoint類型接口上不需要選舉;4、兩臺(tái)Drother路由器之間不進(jìn)行路由信息交換,但是發(fā)送hello報(bào)文,處于2-WAY狀態(tài)。
十、NBMA與點(diǎn)到多點(diǎn)之間的區(qū)別:
1、OSPF中NBMA是全連通的非廣播多點(diǎn)可達(dá)網(wǎng)絡(luò),點(diǎn)到多點(diǎn)不需要全連通;2、NBMA中選舉DR與BDR,但是點(diǎn)到多點(diǎn)不選舉;3、NBMA是缺省網(wǎng)絡(luò)類型,點(diǎn)到多點(diǎn)需要手工配置;
4、NBMA用單播發(fā)送協(xié)議報(bào)文,需要手工配置鄰居,點(diǎn)到多點(diǎn)是可選的,即可以單播發(fā)送也可以多播發(fā)送報(bào)文。十一、OSPF劃分區(qū)域的原因,(OSPF在大型網(wǎng)絡(luò)中遇到的問題):1、網(wǎng)絡(luò)過大,導(dǎo)致LSDB龐大,占用大量存儲(chǔ)空間;
2、LSDB過大,增加了SPF算法復(fù)雜度,導(dǎo)致CPU負(fù)載過重;3、路由器之間LSDB同步需要時(shí)間過長;
4、拓?fù)浣Y(jié)構(gòu)改變后所有路由器必須重新計(jì)算路由。具體解決問題辦法:減少LSA數(shù)量,屏蔽網(wǎng)絡(luò)變化波及的范圍。
十二、劃分區(qū)域?yàn)镺SPF協(xié)議處理帶來的變化:
1、每一個(gè)網(wǎng)段必須屬于一個(gè)區(qū)域,或者說每個(gè)運(yùn)行OSPF協(xié)議接口必須制定區(qū)域;2、不同區(qū)域之間通過ABR來傳遞路由信息。
十三、將自治系統(tǒng)劃分了不同的區(qū)域后,路由計(jì)算方法的改變:1、同一個(gè)區(qū)域內(nèi)路由器之間保持LSDB同步,拓?fù)浣Y(jié)構(gòu)變化在區(qū)域內(nèi)更新;2、區(qū)域間路由計(jì)算通過ABR來完成,ABR先完成一個(gè)區(qū)域內(nèi)路由計(jì)算,然后查詢路由表,為每一條OSPF路由生成一條TYPE3類型的LSA,內(nèi)容包括該條路由的目的地址、掩碼、花費(fèi)等信息,然后發(fā)送到另外區(qū)域中;
3、另外區(qū)域路由器根據(jù)每一條TYPE3的LSA生成一條路由,這些路由下一跳都是該ABR。
十四、劃分區(qū)域后,ABR發(fā)送的區(qū)域間路由是基于D-V算法的;區(qū)域內(nèi)路由是基于鏈路狀態(tài)信息的,如果建立了虛連接,兩個(gè)ABR之間直接傳遞TYPE3的LSA,中間的路由器只負(fù)責(zé)轉(zhuǎn)發(fā)報(bào)文。
十五、ASBR(AutonomousSystemBoundaryRouter)自治系統(tǒng)邊界路由器,物理位置不一定真的位于As的邊界,而是可以位于自治系統(tǒng)內(nèi)任意位置。
十六、ASBR為每一條引入的路由生成一條TYPE5類型的LSA,主要內(nèi)容為該條路由的目的地址、掩碼和花費(fèi)等信息,這些路由信息將在整個(gè)自治系統(tǒng)內(nèi)傳播(STUBAREA除外),如果ASBR區(qū)域內(nèi)有ABR存在,那么ABR必須專門為ASBR生成一條TYPE4類型的LSA,內(nèi)容包括ASBR的ID和到它的花費(fèi)值。十七、自治系統(tǒng)外部路由分為TYPE1和TYPE2兩種,其中TYPE1主要代表RIP或者STATIC等IGP路由,路由花費(fèi)=本路由器到ASBR花費(fèi)+ASBR到該路由目的地址花費(fèi),TYPE2代表BGP路由,由于這個(gè)花費(fèi)遠(yuǎn)遠(yuǎn)大于自治系統(tǒng)內(nèi)花費(fèi),所以該路由花費(fèi)=ASBR到該目的路由得花費(fèi)值,如果該值相等再考慮本路由器到ASBR花費(fèi)。
一、OSPF協(xié)議將整個(gè)自治系統(tǒng)劃分為不同的區(qū)域,出于以下兩個(gè)目的:1、減少路由信息在自治系統(tǒng)之中的傳遞;
2、可以針對(duì)不同區(qū)域的拓?fù)涮攸c(diǎn)采用不同的策略。二、STUB區(qū)域:(那些不傳播TYPE5類型,也就是不引入的外部路由的LSA的區(qū)域),處于自治系統(tǒng)的邊界,是那些只有一個(gè)ABR的非骨干區(qū)域,或者該區(qū)域有多個(gè)ABR,但是它們之間沒有配置虛連接。
三、配置STUB區(qū)域的注意事項(xiàng):
1、骨干區(qū)域不能配置成STUB區(qū)域,虛連接不能穿過STUB區(qū)域;
2、如果想將一個(gè)區(qū)域配置成STUB區(qū)域,則該區(qū)域中的所有路由器都必須配置成該屬性;
3、STUB區(qū)域內(nèi)不能存在ASBR,即自治系統(tǒng)外部路由不能引入到區(qū)域內(nèi),區(qū)域的自治系統(tǒng)外部路由也不能在本區(qū)域內(nèi)傳播和傳遞到區(qū)域外。
四、NSSA(notsostubbyarea)區(qū)域,在RFC1587種描述。
1、自治系統(tǒng)外的路由不能進(jìn)入NSSA區(qū)域,但是區(qū)域內(nèi)的路由器引入的ASE路由可以在NSSA中傳播并發(fā)送到區(qū)域外;
2、為了解決單項(xiàng)傳遞,重新定義了一種LSA----TYPE7的LSA,與TYPE5的區(qū)別在于類型標(biāo)識(shí),在NSSA的ABR上將NSSA內(nèi)部產(chǎn)生的TYPE7類型的LSA轉(zhuǎn)化為TYPE5類型再發(fā)出去,并同時(shí)更改LSA的發(fā)布者為SBR自己。NSSA區(qū)域內(nèi)所有路由器必須支持該屬性,區(qū)域外的不需要支持。
五、路由聚合:只有在ABR上配置才有效。六、LSA分類:
1、RouterLSA(TYPE=1),每個(gè)路由器都能產(chǎn)生;
2、NetworkLSA(TYPE=2),由DR生成,傳遞到整個(gè)區(qū)域,描述本網(wǎng)段中所有已經(jīng)同其建立了鄰接關(guān)系的路由器;
3、NetworkSummaryLSA(TYPE=3),由ABR生成,描述了到區(qū)域內(nèi)某一網(wǎng)段的路由,傳遞到相關(guān)區(qū)域;
4、ASBRSummaryLSA(TYPE=4),由ABR生成,描述到達(dá)本區(qū)域內(nèi)部的ASBR的路由。是主機(jī)路由,掩碼0.0.0.0
5、ASExternalLSA(TYPE=5),由ASBR生成,主要描述了到自治系統(tǒng)外部路由的信息。
七、OSPF協(xié)議根據(jù)鏈路層媒體不同分為以下四種網(wǎng)絡(luò)類型:
1、Broadcast,以224.0.0.5,224.0.0.6發(fā)送協(xié)議報(bào)文,需要選舉DR,BDR;
2、NBMA,當(dāng)FR或者X25時(shí),缺省為NBMA,以單播地址發(fā)送協(xié)議報(bào)文,需要手工配置鄰居IP地址,需要選舉DR,BDR;
3、Point-to-Multipoint,手工修改NBMA配置而來,以224.0.0.5發(fā)送協(xié)議報(bào)文,不需要選舉DR,BDR;
4、Point-to-Point,當(dāng)鏈路層協(xié)議為ppp,hdlc,LAPB時(shí),224.0.0.5發(fā)送協(xié)議報(bào)文,不需要選舉DR,BDR。
八、路由器根據(jù)在自治系統(tǒng)中不同位置,劃分為以下四種類型:1、IAR(InternalAreaRouter),區(qū)域內(nèi)路由器;2、ABR(AreaBorderRouter),區(qū)域邊界路由器;
3、BBR(BackBonerouter),骨干路由器,0區(qū)域所有路由器,包括0區(qū)域的ABR;4、ASBR(ASboundaryRouter),自治系統(tǒng)邊界路由器。
九、一個(gè)運(yùn)行OSPF協(xié)議的接口狀態(tài)根據(jù)接口不同類型劃分以下四種:1、DR2、BDR
3、DROTHER4、Point-to-Point注意:DR、BDR、DROTHER是在Broadcast或者NBMA狀態(tài)時(shí)需要選舉,在Point-to-Point或者Point-to-Multipoint時(shí)不需要選舉,所以就是第四種類型。十、D-V算法“距離-向量”算法的缺陷:1、每臺(tái)路由器只能保證自己本地路由正確性,不能保證其他路由器路由正確與否;2、每一條路由信息中沒有標(biāo)明生成者信息。
十一、OSPF協(xié)議生成的自治系統(tǒng)內(nèi)部路由無自環(huán),引入的自治系統(tǒng)外部路由則無法保證是否有自環(huán)。
十二、什么時(shí)候需要OSPF:1、按照網(wǎng)絡(luò)規(guī)模來說;5臺(tái)以下用靜態(tài),10臺(tái)左右用RIP,更多的話可以用OSPF;2、按照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來說:網(wǎng)狀并且任意路由器都有互通要求;3、按照其他特殊要求:網(wǎng)絡(luò)變化時(shí)快速收斂;
4、按照對(duì)路由器自身要求:低端路由器不推薦使用OSPF。十三、配置OSPF協(xié)議中劃分區(qū)域的基本原則:1、按照自然的地區(qū)或者行政單位劃分;2、按照網(wǎng)絡(luò)中的高端路由器來劃分;3、按照IP地址規(guī)律來劃分。十四、劃分區(qū)域的限制:
1、區(qū)域規(guī)模的問題:每個(gè)區(qū)域不要超過70臺(tái)路由器,如果整體少于20臺(tái)也可以只劃分一個(gè)區(qū)域。
2、與骨干區(qū)域的連通問題:所有區(qū)域必須和骨干區(qū)域連通,骨干區(qū)域自身也必須連通,特殊情況用虛連接搞定。3、ABR的處理能力,一臺(tái)ABR上不要配置太多區(qū)域,一般是一個(gè)骨干區(qū)域+一個(gè)或者兩個(gè)非骨干區(qū)域。十五、區(qū)域間路由聚合:
在Quidway(config-router-ospf)#rangex.x.x.xmaskx.x.x.xareaxxx注意:必須在ABR上配置才有效。十六、STUB區(qū)域配置方法:
整個(gè)區(qū)域內(nèi)所有路由器都要配置:
Quidway(config-router-ospf)#stubcostxxareaxx注意:STUB區(qū)域內(nèi)不能存在ASBR。十七、NSSA配置方法:
如果是區(qū)域內(nèi)路由器:Quidway(config-router-ospf)#areaxxxnssa
如果是ABR,Quidway(config-router-ospf)#areaxxxnssa缺省路由no-summaryno-redistribution第2頁
十八、虛連接配置方法:兩臺(tái)路由器之間都要配置:
Quidway(config-router-ospf)#virtual-linkneighbor-id對(duì)端的ROUTERIDtransit-areaxxx可以配置一些參數(shù):比如:
1、hello-interval,發(fā)送間隔
2、dead-interval,鄰接點(diǎn)死亡時(shí)間3、retransmit重傳間隔4、transit-dealy傳輸延遲
十九、在NBMA中更改為Point-to-MultipointQuidway(config-if-serial0)#ipospfenablearea0
Quidway(config-if-serial0)#ipospfnetworkpoint-to-multipoint二十、顯示OSPF運(yùn)行狀態(tài):
1、showipospf顯示全局信息,routerid,劃分區(qū)域,ABR以及ASBR
2、showipospfinterface顯示端口信息,花費(fèi)、狀態(tài)、類型、優(yōu)先級(jí)、定時(shí)器值3、showipospfneighbor顯示鄰居,看狀態(tài)4、showipospferror:
OSPF:notonsamenetwork兩個(gè)接口不在同一網(wǎng)段;
OSPF:badvirtuallink錯(cuò)誤虛連接報(bào)文,比如一端沒配,指定鄰居錯(cuò)誤,transit-area不同OSPF:externoptionmismatch一臺(tái)配置了stub,另外一臺(tái)沒配OSPF:routeridconfusion兩臺(tái)routerid相同
二十一、顯示ospf調(diào)試信息:1、debugipospfevent2、debugipospflsa3、debugipospfpacket4、debugipospfspf二十二、排除故障的步驟
1、配置故障排除;檢查兩端是否啟動(dòng)并配置了ospf2、局部故障排除;檢查協(xié)議運(yùn)行是否正常,3、全局故障排除;區(qū)域劃分是否正常4、其它疑難問題二十三、關(guān)于局部故障排除需要檢查內(nèi)容:1、routerid配置后正確;2、是否激活ospf協(xié)議;
3、檢查接口是否配置屬于特定區(qū)域,showipospfinterfacexxx4、是否正確引入外部路由
二十四、鄰居路由器之間故障排除:showipospfneigbor如果幾秒鐘到3分鐘之后,仍沒有和DR之間達(dá)到FULL狀態(tài),證明存在故障:
1、檢查物理連接以及下層協(xié)議是否正常運(yùn)行;要使用PING以及多播檢查;2、檢查雙方在端口配置是否一致,包括hello-interval,dead-interval,authentication,area掩碼等;
3、dead-interval必須大于hello-interval4倍以上;
4、如果網(wǎng)絡(luò)類型為廣播或者NBMA,則至少有一臺(tái)路由器的priority>05、區(qū)域的stub屬性必須一致;6、接口的網(wǎng)絡(luò)類型必須一致;
7、NBMA網(wǎng)絡(luò)中是否手工配置了鄰居二十五、關(guān)于所謂的其它疑難問題:1、路由表中丟失部分路由,檢查是否配置了路由過濾DISTRIBUTE-LISTNUMBERIN;
2、路由表不穩(wěn)定,時(shí)通時(shí)斷,A-線路質(zhì)量不好
B-多臺(tái)路由器同時(shí)撥一臺(tái)路由器,需要將Point-to-point更改為point-to-multipointC-自治系統(tǒng)內(nèi)可能存在兩個(gè)相同routerid
3、無法引入自治系統(tǒng)外部路由,可能處于stub區(qū)域;4、區(qū)域間路由聚合問題,
A-存在兩個(gè)以上ABR,但是卻少配置了其中的一個(gè)或多個(gè);B-檢察路由聚合命令是否重復(fù)等等路由器第二章:BGP協(xié)議
一、BGP(BorderGatewayProtocol)邊界網(wǎng)關(guān)協(xié)議,一種自治系統(tǒng)間的動(dòng)態(tài)路由協(xié)議,通過交換AS序列屬性的路徑可達(dá)信息來構(gòu)造自治區(qū)域的拓?fù)鋱D。二、BGP協(xié)議的概述:
1、是一種外部路由協(xié)議;
2、是一種D-V距離-矢量路由協(xié)議;3、為路由附帶了屬性信息;
4、傳送協(xié)議為TCP端口號(hào)179;5、支持CIDR;
6、路由更新時(shí)只發(fā)送增量路由;7、具備豐富的路由過濾和路由策略。
三、自治系統(tǒng)的編號(hào)范圍:1~65535,其中1~65411為INTERNET編號(hào),65412~65535為專用網(wǎng)絡(luò)編號(hào)。
四、BGP有兩種鄰居:IBGP和EBGP五、BGP路由通告原則
1、多條路徑時(shí),BGPSPEAKER只選擇最優(yōu)的給自己使用;2、BGPSPEAKER只把自己使用的路由通告給其他BGP;
3、BGPSPEAKER從EBGP獲得的路由會(huì)向所有的BGP相鄰體轉(zhuǎn)發(fā);4、BGPSPEAKER從IBGP獲得的路由不會(huì)向IBGP相鄰體轉(zhuǎn)發(fā);5、BGPSPEAKER從IBGP獲得的路由是否向EBGP相鄰體轉(zhuǎn)發(fā)取決于IGP和EGP是否同步;
6、連接一建立,BGPSPEAKER將自己所有的BGP路由通告給新的相鄰體。六、成為BGP路由的三種途徑:1、純動(dòng)態(tài)注入;2、半動(dòng)態(tài)注入;3、靜態(tài)注入。
七、BGP報(bào)文種類為4種,最大4096字節(jié):1、HELLO;
2、KEEPALIVE(19字節(jié),發(fā)送間隔60秒);3、UPDATE;
4、NOTIFICATION。
八、UPDATE消息可以向BGP對(duì)等體通告時(shí)三個(gè)特點(diǎn):
1、一個(gè)UPDATE消息一次只能通告一個(gè)路由,但可以攜帶多個(gè)路徑屬性;2、一個(gè)UPDATE消息一次也能通告多個(gè)路由,但必須攜帶同一個(gè)路徑屬性;3、一個(gè)UPDATE消息一次可以同時(shí)列出多個(gè)撤銷路由。九、UPDATE消息由三部分構(gòu)成:1、不可達(dá)路由(unreachable);2、路徑屬性(pathattributes);
3、網(wǎng)絡(luò)可達(dá)性信息(nlrinetworklayerreachableinformation)。十、BGP協(xié)議的6個(gè)狀態(tài)機(jī):1、IDLE
2、CONNECT3、ACTIVE4、OPENSENT
5、OPENCONFIRM6、ESTABLISHED十一、BGP常用6屬性情況
類型代碼屬性名必遵/可選過渡/非過渡1ORIGIN必遵過渡2AS-PATH必遵過渡3NEXT-HOP必遵過渡4MED可選非過渡
5Local-prefrence可選非過渡8Commuity可選過渡十二、BGP常見路由屬性6種,可擴(kuò)充為256種。十三、ORIGIN屬性:
1、IGP,通過NETWORK引入的,2、EGP,通過EGP得到的;
3、INCOMPLETE,通過redistribute引入的。十四、團(tuán)隊(duì)屬性:
1、NO-EXPERT;不通告給AS外的BGP相鄰體;2、NO-ADVERTISE,不通告給所有BGP;3、LOCAL-AS,不通告給EBGP相鄰體;4、INTERNET通告所有路由器。十五、BGP路由選擇過程
1、當(dāng)下一跳不可達(dá),則忽略該路由;2、選擇本地優(yōu)先級(jí)較大的路由;
3、如果本地優(yōu)先級(jí)相同,選擇從本路由器始發(fā)的路由;4、選擇AS路徑短的路由;
5、順序選擇IGP,EGP,INCOMPLETE路由;6、選擇MED小的路由;
7、選擇ROUTERID小的路由。十六、BGP在大規(guī)模網(wǎng)絡(luò)中遇到的問題:
1、路由表龐大,需要用路由聚合解決;
2、相鄰體過多,無法實(shí)現(xiàn)邏輯全連接,需要用路由反射、路由聯(lián)盟解決;3、負(fù)責(zé)網(wǎng)絡(luò)環(huán)境中路由變化過于頻繁,使用路由衰減解決。十七、路由聚合方式:
1、聚合但是抑制特定路由suppress-map;2、選擇具體路由予以聚合advertise-map;3、改變聚合路由AS屬性attribute-map;4、聚合時(shí)生成AS-SET聚合as-set十八、路由衰減的5個(gè)參數(shù)意義:1、可達(dá)半衰期;2、不可達(dá)半衰期;3、重用值;4、抑制值;5、懲罰上限。
路由器第三章:路由策略與引入一、路由策略的作用:1、過濾路由信息的手段;
2、發(fā)布路由信息時(shí)只發(fā)送部分信息;3、接受路由信息時(shí)只接受部分信息;
4、進(jìn)行路由引入時(shí)引入滿足特定條件的信息;5、設(shè)置路由協(xié)議引入的路由屬性。第3頁
二、與路由策略相關(guān)的五種過濾器:1、路由映像(route-map)2、訪問列表(access-list)3、前綴列表(prefix-list)
4、自治系統(tǒng)路徑信息訪問列表(aspath-list)5、團(tuán)體屬性列表(community-list)三、路由策略和過濾器之間的關(guān)系
1、當(dāng)路由引入的時(shí)候,5種過濾器都可以使用;2、當(dāng)路由發(fā)布的時(shí)候:prefix-list,access-list
3、當(dāng)路由接受的時(shí)候:prefix-list,access-list和gateway四、路由策略配置任務(wù)列表包括:1、定義路由映像;2、定義路由映像的match子句;3、定義路由映像的set子句;4、引入其他協(xié)議的路由信息;5、定義地址前綴列表prefix-list;6、配置路由過濾。
五、定義路由映像時(shí)注意的是:
1、route-map中所有條件是“或”的關(guān)系,符合一個(gè)就可以;2、match中是“與”的關(guān)系,必須全部符合。六、定義match子句時(shí),可以定義的條件包括:1、as-path自治系統(tǒng)路徑;2、community-list團(tuán)體屬性;
3、ipaddressprefix-list路由信息的目的地址4、interface路由信息下一跳接口;5、ipnext-hop路由信息的下一跳;6、metric匹配路由信息的路由權(quán)值;
7、metrick1k2k3k4k5匹配igrp和eigrp的路由權(quán)值8、tag匹配ospf路由信息的標(biāo)識(shí)域9、route-type匹配ospf路由信息的類型
七、定義set子句的時(shí)候可以定義的條件包括:1、setas-path定義原as路徑前的as序號(hào);2、setcommunity定義bgp團(tuán)體的屬性;
3、setipnext-hop定義bgp信息的下一跳地址;
4、setlocal-preference定義bgp路由信息的本地優(yōu)先級(jí);5、setmetric定義路由信息的路由權(quán)值;
6、setmetrck1k2k3k4k5定義igrp和eigrp路由權(quán)值;7、setorigin定義路由源;
8、settag設(shè)置ospf路由信息的標(biāo)識(shí)域。八、注意k1k2k3k4k5含義:
1、k1代表bandwidth帶寬1~4294967295kbytes/s;2、k2代表delay時(shí)延1~16777215單位為10微秒;3、k3代表reliability信道可信度0~2554、k4代表loading信道占用率0~2555、k5代表mtu最大傳輸單元1~65535路由第四章---網(wǎng)絡(luò)安全特性
一、網(wǎng)絡(luò)安全關(guān)注的范圍:
1、保護(hù)網(wǎng)絡(luò)物理線路不會(huì)輕易遭受攻擊;2、使用有效的方式識(shí)別合法和非法的用戶;3、具有有效的訪問控制手段;4、保證內(nèi)部局域網(wǎng)的隱蔽性;
5、重要數(shù)據(jù)的安全性以及有效的防偽手段;6、對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)涞陌踩芾恚?、病毒防范;
8、對(duì)員工的安全防范意識(shí)進(jìn)行必要的教育。二、網(wǎng)絡(luò)傳統(tǒng)攻擊方式:1、竊聽報(bào)文;2、IP地址欺騙;3、源路由攻擊;4、端口掃描;5、拒絕服務(wù)攻擊;6、應(yīng)用層攻擊。
三、網(wǎng)絡(luò)安全的必要技術(shù):1、可靠性與線路安全;2、身份認(rèn)證;(訪問路由器驗(yàn)證、對(duì)端路由器身份驗(yàn)證、路由信息身份驗(yàn)證)3、訪問控制;(路由器訪問控制、基于五元組的訪問控制、基于用戶的訪問控制)五元組:源IP地址、目的IP地址、協(xié)議號(hào)、源端口、目的端口。4、信息隱藏;地址轉(zhuǎn)換技術(shù);5、數(shù)據(jù)加密和防偽;數(shù)字簽名四、Quidway路由器的安全技術(shù)
1、AAA網(wǎng)絡(luò)安全服務(wù)(基于用戶名的驗(yàn)證、授權(quán)、記賬,使用RADIUS協(xié)議);2、包過濾技術(shù);3、地址轉(zhuǎn)換技術(shù);4、IPSEC和IKE技術(shù)。(IPSEC通過AuthenticationHeader和EncapsulatingSecurityPayload兩個(gè)安全協(xié)議實(shí)現(xiàn))
5、隧道技術(shù),(VPN核心技術(shù),二層隧道技術(shù)VPDN,三層隧道技術(shù)IPSEC,GRE)五、提供AAA支持的服務(wù)包括:
1、PPP,PPP的CHAP和PAP驗(yàn)證用戶;
2、EXEC,通過TELNET登陸到路由器以及CONSOLE,AUX等;3、FTP,通過FTP登陸到路由器。六、驗(yàn)證包括:
1、對(duì)用戶名和口令的驗(yàn)證;2、PPP的PAP和CHAP驗(yàn)證;3、主叫號(hào)碼驗(yàn)證。七、授權(quán)包括:
1、服務(wù)類型授權(quán),可以是PPP,EXEC,FTP中的一種或者多種;2、回呼號(hào)碼授權(quán),對(duì)PPP回呼用戶可以設(shè)定回呼號(hào)碼;3、隧道屬性授權(quán),配置L2TP隧道屬性。
八、進(jìn)行AAA驗(yàn)證的用戶都缺省計(jì)費(fèi),如果不希望計(jì)費(fèi),一定要配置:aaaaccountingoptional
九、AAA的方法表,LOGIN只能配置一個(gè)方法表,PPP可以配置多個(gè)方法表。1、RADIUS2、LOCAL3、NONE
4、RADIUS+LOCAL5、RADIUS+NONE
十、路由器資源有限,最多只支持配置50個(gè)用戶,所以大量用戶使用RADIUS服務(wù)器。
十一、原語為各服務(wù)(PPP,EXEC,FTP)與AAA功能的接口,常見7種:其中請(qǐng)求原語3個(gè):1、join(pap)2、join(chap)3、leave返回結(jié)果原語3個(gè):4、accept5、reject6、bye
另外一種:如果沒有配置aaaaccountingoptional,則要求相應(yīng)服務(wù)切斷用戶:7、cut
十二、RADIUS(RemoteAuthenticationDial-inUserService)采用的(client/server客戶機(jī)/服務(wù)器)結(jié)構(gòu),使用UDP作為傳輸協(xié)議,使用MD5加密算法進(jìn)行數(shù)字簽名。
十三、RADIUS協(xié)議使用了兩個(gè)UDP端口分別用于驗(yàn)證(1812端口,RFC2138規(guī)定的)、計(jì)費(fèi)(1813,RFC2139規(guī)定的)十四、驗(yàn)證和授權(quán)過程:1、首先發(fā)送驗(yàn)證請(qǐng)求包:CHAP驗(yàn)證中包含用戶名、驗(yàn)證過程中的Challenge、chapidentifier、response、主叫號(hào)碼驗(yàn)證還需要有主叫號(hào)碼。2、RADIUS驗(yàn)證請(qǐng)求包;
3、路由器收到訪問接受/拒絕包時(shí),首先判斷包的簽名是否正確,然后進(jìn)行處理。十五、RADIUS計(jì)費(fèi)過程包括:計(jì)費(fèi)請(qǐng)求和計(jì)費(fèi)應(yīng)答。
十六、每一個(gè)用戶計(jì)費(fèi)過程:計(jì)費(fèi)開始、實(shí)時(shí)計(jì)費(fèi)、計(jì)費(fèi)結(jié)束。
十七、計(jì)費(fèi)信息:會(huì)話時(shí)長、輸入字節(jié)數(shù)、輸出字節(jié)數(shù)、輸入包數(shù)、輸出包數(shù)。路由器第五章:VPN原理及配置
一、VPN(virtualprivatenetwork),按照應(yīng)用分類為:1、ACCESSVPN;2、INTRANETVPN;3、EXTRANETVPN
二、VPN按照實(shí)現(xiàn)方式劃分:1、點(diǎn)到網(wǎng)的;基于以下協(xié)議:L2TP(LAYER2TUNNELPROTOCOL)
PPTP(POINTTOPOINTTUNNELPROTOCOL)L2F(LAYER2FORWARDING)
2、網(wǎng)到網(wǎng)的,基于以下協(xié)議:GRE(generalroutingencapsulation)IPSEC(ipsecurityprotocolsuite)IPSEC/BGP
MPLS/BGP(multi-protocollableswitch)三、VPN安全性設(shè)計(jì)原則:1、隧道與加密;2、數(shù)據(jù)驗(yàn)證;3、用戶驗(yàn)證;
4、防火墻與攻擊檢測(cè)。
四、VPN網(wǎng)絡(luò)管理設(shè)計(jì)原則:1、減小網(wǎng)絡(luò)風(fēng)險(xiǎn);2、擴(kuò)展性;3、經(jīng)濟(jì)性;4、可靠性。
五、QUIDWAY系列路由器的VPN技術(shù):1、隧道技術(shù);
2、IPSEC;(私有性、完整性、真實(shí)性、防重放)3、密鑰交換技術(shù);4、防火墻技術(shù);5、QOS
6、配置管理。
六、QUIDWAY系列路由器的VPN解決方案:1、ACCESSVPN;2、INTRANETVPN;3、EXTRANETVPN
4、結(jié)合防火墻的VPN解決方案。七、L2TP協(xié)議的特性:1、適用于點(diǎn)到網(wǎng)的協(xié)議;
2、支持私有地址分配,不占用公有IP地址;
3、與PPP配合支持AAA功能,與RADIUS配置支持靈活的本地和遠(yuǎn)端的AAA;4、與IPSEC結(jié)合,支持對(duì)報(bào)文的加密;5、配置簡(jiǎn)單,接入靈活。
八、企業(yè)員工通過兩種方式接入總部網(wǎng)絡(luò):
1、通過直接連入POP點(diǎn),在用戶側(cè)配置VPN撥號(hào)軟件就可以通訊;
2、通過PSTN/ISDN接入LAC,讓LAC通過INTERNET向LNS發(fā)起建立通道連接請(qǐng)求,不需要配置VPN撥號(hào)軟件,利用ISP提供的VPN賬號(hào)。九、L2TP的基本控制流程:
1、隧道建立流程,三次握手,首先LAC向LNS發(fā)送SCCRQ,LNS向LAC回復(fù)SCCRP,LAC向LNS發(fā)送SCCCN。2、會(huì)話建立流程,三次握手,首先LAC向LNS發(fā)送ICRQ,LNS向LAC回復(fù)ICRP,LAC向LNS發(fā)送ICCN。第4頁
十、L2TP基本控制流程中維護(hù)、拆除部分:1、隧道維護(hù),雙方互發(fā)HELLOZLB;2、隧道拆除,雙方互發(fā)STOPCCND、本端強(qiáng)制掛斷后,快速重連。也就是同一個(gè)IP地址的對(duì)端同時(shí)連接不允許。2)PPP協(xié)商不通過:
A、LAC端設(shè)置用戶名密碼有誤,或者LNS端沒有相應(yīng)用戶;B、LNS端不能分配地址;
C、密碼驗(yàn)證類型不一致,比如WINDOWS201*的缺省是MSCHAP。2、傳輸失。
1)用戶端配置有誤,IP地址分配錯(cuò)誤;2)網(wǎng)絡(luò)擁塞。
十四、GRE(genericroutingencapulation)通用路由封裝協(xié)議,可以實(shí)現(xiàn)服務(wù):1、多協(xié)議的網(wǎng)絡(luò)通過單一協(xié)議的網(wǎng)絡(luò)連接起來;2、擴(kuò)大了網(wǎng)絡(luò)工作范圍,包括路由網(wǎng)關(guān)有限的協(xié)議;
3、ipx包只能轉(zhuǎn)發(fā)16次,但是在一個(gè)tunnel連接看,只經(jīng)過一個(gè)路由器;4、將一些不連續(xù)的子網(wǎng)連接起來。
十五、L2TP從屬于二層隧道協(xié)議,而GRE從屬于三層隧道協(xié)議,協(xié)議號(hào)47。十六、GRE的實(shí)現(xiàn)經(jīng)過的三個(gè)步驟:1、建立TUNNEL;
2、實(shí)現(xiàn)TUNNEL加封裝過程;3、實(shí)現(xiàn)TUNNEL解封裝過程。十七、GRE配置具體步驟
1、配置TUNNEL接口:interfacetunnelxxx
2、配置tunnel接口源端地址:tunnelsourcex.x.x.x3、配置tunnel接口對(duì)端地址:tunneldestinationx.x.x.x4、配置tunnel網(wǎng)絡(luò)地址:ipaddressx.x.x.xx.x.x.x5、配置tunnel接口工作模式:tunnelmodegreip
6、配置識(shí)別關(guān)鍵字或者端到端校驗(yàn)tunnelkeyxxx/tunnelchecksum十八、IPSEC協(xié)議提供了兩個(gè)安全協(xié)議:AH和ESP,信令協(xié)議為IKE。1、AH(authenticationheader)報(bào)文驗(yàn)證頭協(xié)議,協(xié)議號(hào)50;
2、ESP(encapsulatingsecuritypayload)報(bào)文安全封裝協(xié)議,協(xié)議號(hào)51;3、IKE(internetkeyexchange)十九、IPSEC基本概念:
1、安全聯(lián)盟;一個(gè)單向安全連接,包括安全協(xié)議、算法、密鑰、對(duì)端IP和安全參數(shù)索引。
2、安全參數(shù)索引;32比特,由IKE協(xié)商傳遞。3、序列號(hào);IP報(bào)文中序列號(hào),實(shí)現(xiàn)防重放。4、安全聯(lián)盟生存時(shí)間;1)、時(shí)間限制2)、流量限制5、數(shù)據(jù)流;通過ACL實(shí)現(xiàn)
6、安全策略。相同名稱的安全策略和順序號(hào)不同的策略構(gòu)成安全策略組。二十、AH報(bào)文:
1、傳輸模式下,只驗(yàn)證IP報(bào)文數(shù)據(jù)部分和IP頭不變部分;2、隧道模式下,驗(yàn)證全部?jī)?nèi)部IP報(bào)文和外部IP頭不變部分。不可以附加驗(yàn)證,算法為MD5(128BIT)和SHA1(160BIT)二十一、ESP報(bào)文格式:
1、傳輸模式下,對(duì)IP報(bào)文有效數(shù)據(jù)加密;2、隧道模式下,對(duì)整個(gè)內(nèi)部IP報(bào)文加密;可以附加驗(yàn)證,算法為MD5和SHA1,如果加密,使用DES,3DES路由器第六章:QoS服務(wù)質(zhì)量保證一、QoS的指標(biāo):
1、帶寬和吞吐量bandwidthandthroughput;2、時(shí)延delay;3、時(shí)延抖動(dòng)jitter;4、丟失率lossrate。
二、具體的一般常用的QoS指標(biāo):1、最小轉(zhuǎn)發(fā)時(shí)延;2、最小延時(shí)抖動(dòng);3、最小丟包率;4、報(bào)文吞吐量。
三、QoS三種服務(wù)模型:
1、Besteffort盡力而為服務(wù)模型;
2、Intergratedservice集成服務(wù)模型;通過信令實(shí)現(xiàn)的。3、Differentiatedservice差別服務(wù)模型;
四、集成服務(wù)模型IntergratedService可以提供的兩種服務(wù):1、保證服務(wù);2、負(fù)載控制服務(wù)。五、差別服務(wù)模型diffserv,采用以下5種技術(shù)為重要業(yè)務(wù)提供端到端的Qos保障:1、報(bào)文分類(IP優(yōu)先級(jí)和ACL);2、流量監(jiān)管(CAR);3、流量整形(GTS);
4、擁塞管理(隊(duì)列機(jī)制);5、擁塞避免(WRED)。
六、報(bào)文分類:如果使用IP報(bào)文頭TOS字段分類可以分為8類,但是根據(jù)DSCP分類則可以分為64類。
七、流量監(jiān)管CAR(CommittedAccessRate)
1、利用令牌桶tockenbucket(TB)進(jìn)行流量控制;
八、流量整形GTS(GenericTrafficShaping),還包括LR(linerate)1、區(qū)別在于GTS基于IP層實(shí)現(xiàn),而LR處于鏈路層;2、兩個(gè)都是當(dāng)令牌不夠的時(shí)候?qū)?bào)文放入擁塞管理。九、擁塞管理(隊(duì)列機(jī)制)包括:1、FIFO先進(jìn)先出隊(duì)列;2、PQ優(yōu)先級(jí)隊(duì)列;3、CQ定制隊(duì)列;4、WFQ加權(quán)公平隊(duì)列。依據(jù)是:源目的地址地值、源目的端口、協(xié)議號(hào)、precedence。十、PQ的內(nèi)容:將報(bào)文分為4個(gè)隊(duì)列highmediumnormallow
十一、CQ的內(nèi)容:將報(bào)文分為17個(gè)隊(duì)列,0為系統(tǒng)隊(duì)列優(yōu)先調(diào)度,1-16為用戶隊(duì)列,根據(jù)帶寬配額*詢調(diào)度。
十二、QoS的SHOW命令有3條:
1、showqueueing;顯示PQ和CQ2、showaccess-list;顯示CAR
3、showqos-interface;顯示PQ,CQ,FQ,GTS,LR等。
友情提示:本文中關(guān)于《HCSE-Security培訓(xùn)總結(jié)》給出的范例僅供您參考拓展思維使用,HCSE-Security培訓(xùn)總結(jié):該篇文章建議您自主創(chuàng)作。
來源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享,如產(chǎn)生版權(quán)問題,請(qǐng)聯(lián)系我們及時(shí)刪除。