神州数码开放式最短路径优先协议.doc

神州数码开放式最短路径优先协议一章一、 OSPF（OPEN SHORTEST PATH FIRST）协议，开放式最短路径优先协议，由IETF开发的基于链路状态的自治系统内部路由协议，当前使用的是第二版，RFC2328，特点如下：1、 可以适应大规模网络，上百台路由器；2、 路由变化收敛速度快，如果拓扑结构变化，立刻发送更新报文；3、 无路由自环，使用了最短路径树算法计算路由，从算法本身保证了不会自环；4、 支持VLSM(变长子网掩码)，描述路由时携带网段的掩码信息；5、 支持等值路由，到同一目的地址多条等值路由；6、 支持区域划分，减少占用网络的带宽；7、 提供路由分级管理，使用类不同路由，按照优先级别：区域内路由、区域间路由（两种优先级都为10）、第一类外部路由、第二类外部路由（优先级为150）；8、 支持验证，基于接口的报文验证；9、 组播发送，在有组播发送能力的链路层上以组播地址发送协议报文。二、 ROUTER ID，一个32BIT的无符号整数，在整个自治系统内唯一，协议号89，配置命令：ROUTER ID ，察看命令：SHOW IP OSPF，如果没有手工配置，系统优先选择LOOPBACK端口IP地址为ID，如果没有配置LOOPBACK端口，会从当前接口IP地址中自动选择一个IP地址作为ID。三、 OSPF将不同的网络拓扑抽象为四种类型：1、 STUB NETWORKS，接口连接网段中只有本路由器自己，比如局域网；2、 POINT TO POINT，通过点到点网络与一台路由器相连，比如DDN;3、 BROADCAST OR NBMA NETWORKS，通过广播或NBMA网络与多台路由器相连4、 POINT TO MULTIPOINT，通过点到多点与多台路由器连接。注意：NBMA要求全连通。四、 OSPF协议计算出路由的三个步骤：1、 描述本路由器周边的网络拓扑结构，生成LSA；2、 将自己生成的LSA在自治系统中传播，并同时收集其他路由器生成的LSA，生成所有路由器中都相同的LSDB(连路状态数据库)；3、 根据收集的所有LSA计算路由。五、 OSPF的五种协议报文:1、 HELLO报文，发现维持邻居关系，选举DR、BDR，内容包括定时器数值、DR、BDR、以及自己已经知道的邻居；2、 DD报文（DATA DESCRIPTION），描述自己的LSDB，包括每条LSA的摘要HEAD；3、 LSR报文(LINK STATE REQUEST)，交换了DD报文后，发送所需要的LSA摘要；4、 LSU报文（LINK STATE UPDATE PACKET）发送所需要的LSA内容的集合；5、 LSACK报文（LINK STATE ACKNOWLEDGMENT PACKET）内容是需要确认的LSA的HEAD。六、 OSPF的邻居状态机1、 DOWN，在过去的DeadInterval时间内没有收到对方的hello报文，初始状态；2、 Attempt，只适用于NBMA类型的接口，本状态定期向那些手工配置的邻居发送HELLO报文，使用组播地址；3、 Init，本状态表示已经收到了邻居的HELLO报文，但是该报文中列的邻居中没有包含我的ROUTER ID，也就是说对方没有收到我发的HELLO报文；4、 2-WAY状态，双方互相收到了对端的HELLO报文，建立邻居关系，在广播和NBMA类型网络中，两个接口状态是DROTHER的路由器之间停留在这个状态；5、 EXStart，发送DD报文确定主从关系；6、 Exchange，将本地的LSDB用DD报文描述，发给邻居；7、 LOADING，发送LSR报文请求对方的DD报文；8、 FULL，邻居路由器的LSDB中所有的LSA本路由器都有了，本路由器与邻居路由器建立邻接关系（adjacency）。七、 DR（Designated Router）和BDR(Backup Designated Router)，OSPF协议指定一台路由器DR负责传递消息，产生过程为：1、 登记选民；2、 登记候选人，本网段内Priority0的，默认为1；3、 竞选演说；4、 投票，选择的是Priority最大的为DR，如果Priority相同，选择ROUTER ID大的当选。八、 稳定压倒一切，如果网络中已经存在DR，新加入的路由器不去抢DR。九、 OSPF选举DR需要注意：1、 DR不一定是Priority最大的路由器，BDR不一定是第二大的路由器；2、 DR是某个网段中的概念，是针对路由器接口而言的，某台路由器在一个接口上可能是DR，在另外一个接口上可能是BDR；3、 只有在广播和NBMA类型的接口上才会选举DR，在POINT TO POINT以及POINT TO muiltipoint类型接口上不需要选举；4、 两台Drother路由器之间不进行路由信息交换，但是发送hello报文，处于2-WAY状态。十、 NBMA与点到多点之间的区别：1、 OSPF中NBMA是全连通的非广播多点可达网络，点到多点不需要全连通；2、 NBMA中选举DR与BDR，但是点到多点不选举；3、 NBMA是缺省网络类型，点到多点需要手工配置；4、 NBMA用单播发送协议报文，需要手工配置邻居，点到多点是可选的，即可以单播发送也可以多播发送报文。十一、OSPF划分区域的原因，（OSPF在大型网络中遇到的问题）：1、 网络过大，导致LSDB庞大，占用大量存储空间；2、 LSDB过大，增加了SPF算法复杂度，导致CPU负载过重；3、 路由器之间LSDB同步需要时间过长；4、 拓扑结构改变后所有路由器必须重新计算路由。具体解决问题办法：减少LSA数量，屏蔽网络变化波及的范围。十二、划分区域为OSPF协议处理带来的变化：1、 每一个网段必须属于一个区域，或者说每个运行OSPF协议接口必须制定区域；2、 不同区域之间通过ABR来传递路由信息。十三、将自治系统划分了不同的区域后，路由计算方法的改变：1、 同一个区域内路由器之间保持LSDB同步，拓扑结构变化在区域内更新；2、 区域间路由计算通过ABR来完成，ABR先完成一个区域内路由计算，然后查询路由表，为每一条OSPF路由生成一条TYPE3类型的LSA，内容包括该条路由的目的地址、掩码、花费等信息，然后发送到另外区域中；3、 另外区域路由器根据每一条TYPE3的LSA生成一条路由，这些路由下一跳都是该ABR。十四、划分区域后，ABR发送的区域间路由是基于D-V算法的；区域内路由是基于链路状态信息的，如果建立了虚连接，两个ABR之间直接传递TYPE3的LSA，中间的路由器只负责转发报文。十五、ASBR（Autonomous System Boundary Router）自治系统边界路由器，物理位置不一定真的位于As的边界，而是可以位于自治系统内任意位置。十六、ASBR为每一条引入的路由生成一条TYPE5类型的LSA，主要内容为该条路由的目的地址、掩码和花费等信息，这些路由信息将在整个自治系统内传播（STUB AREA除外），如果ASBR区域内有ABR存在，那么ABR必须专门为ASBR生成一条TYPE4类型的LSA，内容包括ASBR的ID和到它的花费值。十七、自治系统外部路由分为TYPE1和TYPE2两种，其中TYPE1主要代表RIP或者STATIC等IGP路由，路由花费=本路由器到ASBR花费+ASBR到该路由目的地址花费，TYPE2代表BGP路由，由于这个花费远远大于自治系统内花费，所以该路由花费=ASBR到该目的路由得花费值，如果该值相等再考虑本路由器到ASBR花费。 一、 OSPF协议将整个自治系统划分为不同的区域，出于以下两个目的：1、 减少路由信息在自治系统之中的传递；2、 可以针对不同区域的拓扑特点采用不同的策略。二、 STUB区域：（那些不传播TYPE5类型，也就是不引入的外部路由的LSA的区域），处于自治系统的边界，是那些只有一个ABR的非骨干区域，或者该区域有多个ABR，但是它们之间没有配置虚连接。三、 配置STUB区域的注意事项：1、 骨干区域不能配置成STUB区域，虚连接不能穿过STUB区域；2、 如果想将一个区域配置成STUB区域，则该区域中的所有路由器都必须配置成该属性；3、 STUB区域内不能存在ASBR，即自治系统外部路由不能引入到区域内，区域的自治系统外部路由也不能在本区域内传播和传递到区域外。四、 NSSA（not so stubby area）区域，在RFC1587种描述。1、 自治系统外的路由不能进入NSSA区域，但是区域内的路由器引入的ASE路由可以在NSSA中传播并发送到区域外；2、 为了解决单项传递，重新定义了一种LSA-TYPE7的LSA，与TYPE5的区别在于类型标识，在NSSA的ABR上将NSSA内部产生的TYPE7类型的LSA转化为TYPE5类型再发出去，并同时更改LSA的发布者为SBR自己。NSSA区域内所有路由器必须支持该属性，区域外的不需要支持。五、 路由聚合：只有在ABR上配置才有效。六、 LSA分类：1、 Router LSA(TYPE=1)，每个路由器都能产生；2、 Network LSA(TYPE=2)，由DR生成，传递到整个区域，描述本网段中所有已经同其建立了邻接关系的路由器；3、 Network Summary LSA(TYPE=3)，由ABR生成，描述了到区域内某一网段的路由，传递到相关区域；4、 ASBR Summary LSA(TYPE=4)，由ABR生成，描述到达本区域内部的ASBR的路由。是主机路由，掩码5、 AS External LSA(TYPE=5)，由ASBR生成，主要描述了到自治系统外部路由的信息。七、 OSPF协议根据链路层媒体不同分为以下四种网络类型：1、 Broadcast，以，发送协议报文，需要选举DR，BDR；2、 NBMA，当FR或者X25时，缺省为NBMA，以单播地址发送协议报文，需要手工配置邻居IP地址，需要选举DR，BDR；3、 Point-to-Multipoint，手工修改NBMA配置而来，以发送协议报文，不需要选举DR，BDR；4、 Point-to-Point，当链路层协议为ppp，hdlc，LAPB时，发送协议报文，不需要选举DR，BDR。八、 路由器根据在自治系统中不同位置，划分为以下四种类型：1、 IAR(Internal Area Router)，区域内路由器；2、 ABR(Area Border Router)，区域边界路由器；3、 BBR(BackBone router)，骨干路由器，0区域所有路由器，包括0区域的ABR；4、 ASBR(AS boundary Router)，自治系统边界路由器。九、 一个运行OSPF协议的接口状态根据接口不同类型划分以下四种：1、 DR2、 BDR3、 DROTHER4、 Point-to-Point注意：DR、BDR、DROTHER是在Broadcast或者NBMA状态时需要选举，在Point-to-Point或者Point-to-Multipoint时不需要选举，所以就是第四种类型。十、D-V算法“距离-向量”算法的缺陷：1、 每台路由器只能保证自己本地路由正确性，不能保证其他路由器路由正确与否；2、 每一条路由信息中没有标明生成者信息。十一、OSPF协议生成的自治系统内部路由无自环，引入的自治系统外部路由则无法保证是否有自环。十二、什么时候需要OSPF：1、 按照网络规模来说；5台以下用静态，10台左右用RIP，更多的话可以用OSPF；2、 按照网络拓扑结构来说：网状并且任意路由器都有互通要求；3、 按照其他特殊要求：网络变化时快速收敛；4、 按照对路由器自身要求：低端路由器不推荐使用OSPF。十三、配置OSPF协议中划分区域的基本原则：1、 按照自然的地区或者行政单位划分；2、 按照网络中的高端路由器来划分；3、 按照IP地址规律来划分。十四、划分区域的限制：1、 区域规模的问题：每个区域不要超过70台路由器，如果整体少于20台也可以只划分一个区域。2、 与骨干区域的连通问题：所有区域必须和骨干区域连通，骨干区域自身也必须连通，特殊情况用虚连接搞定。3、 ABR的处理能力，一台ABR上不要配置太多区域，一般是一个骨干区域+一个或者两个非骨干区域。十五、区域间路由聚合：在Quidway(config-router-ospf)# range x.x.x.x mask x.x.x.x area xxx注意：必须在ABR上配置才有效。十六、STUB区域配置方法：整个区域内所有路由器都要配置：Quidway(config-router-ospf)# stub cost xx area xx注意：STUB区域内不能存在ASBR。十七、NSSA配置方法：如果是区域内路由器：Quidway(config-router-ospf)# area xxx nssa如果是ABR，Quidway(config-router-ospf)# area xxx nssa 缺省路由 no-summary no-redistribution十八、虚连接配置方法：两台路由器之间都要配置：Quidway(config-router-ospf)# virtual-link neighbor-id 对端的ROUTER ID transit-area xxx可以配置一些参数：比如:1、 hello-interval,发送间隔2、 dead-interval,邻接点死亡时间3、 retransmit重传间隔 4、 transit-dealy传输延迟十九、在NBMA中更改为Point-to-MultipointQuidway(config-if-serial0)# ip ospf enable area 0Quidway(config-if-serial0)# ip ospf network point-to-multipoint二十、显示OSPF运行状态：1、 show ip ospf显示全局信息，router id，划分区域，ABR以及ASBR2、 show ip ospf interface显示端口信息，花费、状态、类型、优先级、定时器值3、 show ip ospf neighbor显示邻居，看状态4、 show ip ospf error：OSPF: not on same network两个接口不在同一网段；OSPF: bad virtual link 错误虚连接报文，比如一端没配，指定邻居错误，transit-area不同OSPF: extern option mismatch一台配置了stub，另外一台没配OSPF: router id confusion 两台router id相同二十一、显示ospf调试信息：1、 debug ip ospf event2、 debug ip ospf lsa3、 debug ip ospf packet4、 debug ip ospf spf二十二、排除故障的步骤1、 配置故障排除；检查两端是否启动并配置了ospf2、 局部故障排除；检查协议运行是否正常，3、 全局故障排除；区域划分是否正常4、 其它疑难问题二十三、关于局部故障排除需要检查内容：1、 router id配置后正确；2、 是否激活ospf协议；3、 检查接口是否配置属于特定区域，show ip ospf interface xxx4、 是否正确引入外部路由二十四、邻居路由器之间故障排除：show ip ospf neigbor如果几秒钟到3分钟之后，仍没有和DR之间达到FULL状态，证明存在故障：1、 检查物理连接以及下层协议是否正常运行；要使用PING以及多播检查；2、 检查双方在端口配置是否一致，包括hello-interval,dead-interval,authentication,area掩码等；3、 dead-interval必须大于hello-interval 4倍以上；4、 如果网络类型为广播或者NBMA，则至少有一台路由器的priority05、 区域的stub属性必须一致；6、 接口的网络类型必须一致；7、 NBMA网络中是否手工配置了邻居二十五、关于所谓的其它疑难问题：1、 路由表中丢失部分路由，检查是否配置了路由过滤DISTRIBUTE-LIST NUMBER IN;2、 路由表不稳定，时通时断，A- 线路质量不好B- 多台路由器同时拨一台路由器，需要将Point-to-point更改为point-to-multipointC- 自治系统内可能存在两个相同router id3、 无法引入自治系统外部路由，可能处于stub区域；4、 区域间路由聚合问题，A- 存在两个以上ABR，但是却少配置了其中的一个或多个；B- 检察路由聚合命令是否重复等等 路由器第二章：BGP协议一、BGP(Border Gateway Protocol)边界网关协议，一种自治系统间的动态路由协议，通过交换AS序列属性的路径可达信息来构造自治区域的拓扑图。二、BGP协议的概述：1、 是一种外部路由协议；2、 是一种D-V距离-矢量路由协议；3、 为路由附带了属性信息；4、 传送协议为TCP端口号179；5、 支持CIDR；6、 路由更新时只发送增量路由；7、 具备丰富的路由过滤和路由策略。三、自治系统的编号范围：165535，其中165411为INTERNET编号，6541265535为专用网络编号。四、BGP有两种邻居：IBGP和EBGP五、BGP路由通告原则1、 多条路径时，BGP SPEAKER只选择最优的给自己使用；2、 BGP SPEAKER只把自己使用的路由通告给其他BGP；3、 BGP SPEAKER从EBGP获得的路由会向所有的BGP相邻体转发；4、 BGP SPEAKER从IBGP获得的路由不会向IBGP相邻体转发；5、 BGP SPEAKER从IBGP获得的路由是否向EBGP相邻体转发取决于IGP和EGP是否同步；6、 连接一建立，BGP SPEAKER将自己所有的BGP路由通告给新的相邻体。六、成为BGP路由的三种途径：1、 纯动态注入；2、 半动态注入；3、 静态注入。七、BGP报文种类为4种，最大4096字节：1、 HELLO；2、 KEEPALIVE（19字节，发送间隔60秒）;3、 UPDATE;4、 NOTIFICATION。八、UPDATE消息可以向BGP对等体通告时三个特点：1、 一个UPDATE消息一次只能通告一个路由，但可以携带多个路径属性；2、 一个UPDATE消息一次也能通告多个路由，但必须携带同一个路径属性；3、 一个UPDATE消息一次可以同时列出多个撤销路由。九、UPDATE消息由三部分构成：1、 不可达路由（unreachable）；2、 路径属性（path attributes）；3、 网络可达性信息（nlri network layer reachable information）。十、BGP协议的6个状态机：1、 IDLE2、 CONNECT3、 ACTIVE4、 OPENSENT5、 OPENCONFIRM6、 ESTABLISHED十一、BGP常用6属性情况类型代码 属性名 必遵/可选 过渡/非过渡1 ORIGIN 必遵 过渡2 AS-PATH 必遵 过渡3 NEXT-HOP 必遵 过渡4 MED 可选 非过渡5 Local-prefrence 可选 非过渡8 Commuity 可选 过渡十二、BGP常见路由属性6种，可扩充为256种。十三、ORIGIN属性：1、 IGP，通过NETWORK引入的，2、 EGP，通过EGP得到的；3、 INCOMPLETE，通过redistribute引入的。十四、团队属性：1、 NO-EXPERT；不通告给AS外的BGP相邻体；2、 NO-ADVERTISE，不通告给所有BGP； 3、 LOCAL-AS，不通告给EBGP相邻体；4、 INTERNET通告所有路由器。十五、BGP路由选择过程1、 当下一跳不可达，则忽略该路由；2、 选择本地优先级较大的路由；3、 如果本地优先级相同，选择从本路由器始发的路由；4、 选择AS路径短的路由；5、 顺序选择IGP,EGP,INCOMPLETE路由；6、 选择MED小的路由；7、 选择ROUTER ID小的路由。十六、BGP在大规模网络中遇到的问题：1、 路由表庞大，需要用路由聚合解决；2、 相邻体过多，无法实现逻辑全连接，需要用路由反射、路由联盟解决；3、 负责网络环境中路由变化过于频繁，使用路由衰减解决。十七、路由聚合方式：1、 聚合但是抑制特定路由suppress-map；2、 选择具体路由予以聚合advertise-map；3、 改变聚合路由AS属性attribute-map；4、 聚合时生成AS-SET聚合as-set十八、路由衰减的5个参数意义：1、 可达半衰期；2、 不可达半衰期；3、 重用值；4、 抑制值；5、 惩罚上限。 路由器第三章： 路由策略与引入一、 路由策略的作用：1、 过滤路由信息的手段；2、 发布路由信息时只发送部分信息；3、 接受路由信息时只接受部分信息；4、 进行路由引入时引入满足特定条件的信息；5、 设置路由协议引入的路由属性。二、 与路由策略相关的五种过滤器：1、 路由映像（route-map）2、 访问列表（access-list）3、 前缀列表（prefix-list）4、 自治系统路径信息访问列表（aspath-list）5、 团体属性列表(community-list)三、 路由策略和过滤器之间的关系1、 当路由引入的时候，5种过滤器都可以使用；2、 当路由发布的时候：prefix-list，access-list3、 当路由接受的时候：prefix-list，access-list和gateway四、 路由策略配置任务列表包括：1、 定义路由映像；2、 定义路由映像的match子句；3、 定义路由映像的set子句；4、 引入其他协议的路由信息；5、 定义地址前缀列表prefix-list；6、 配置路由过滤。五、 定义路由映像时注意的是：1、 route-map中所有条件是“或”的关系，符合一个就可以；2、 match中是“与”的关系，必须全部符合。六、 定义match子句时，可以定义的条件包括：1、 as-path自治系统路径；2、 community-list团体属性；3、 ip addressprefix-list路由信息的目的地址4、 interface路由信息下一跳接口；5、 ip next-hop路由信息的下一跳；6、 metric匹配路由信息的路由权值；7、 metric k1 k2 k3 k4 k5匹配igrp和eigrp的路由权值8、 tag匹配ospf路由信息的标识域9、 route-type匹配ospf路由信息的类型七、 定义set子句的时候可以定义的条件包括：1、 set as-path定义原as路径前的as序号；2、 set community定义bgp团体的属性；3、 set ip next-hop 定义bgp信息的下一跳地址；4、 set local-preference 定义bgp路由信息的本地优先级；5、 set metric定义路由信息的路由权值；6、 set metrc k1 k2 k3 k4 k5定义igrp和eigrp路由权值；7、 set origin定义路由源；8、 set tag设置ospf路由信息的标识域。八、 注意k1 k2 k3 k4 k5含义：1、 k1代表bandwidth带bytes/s；2、 k2代表delay时延116777215单位为10微秒；3、 k3代表reliability信道可信度02554、 k4代表loading信道占用率02555、 k5代表mtu最大传输单元165535 路由第四章-网络安全特性一、 网络安全关注的范围：1、 保护网络物理线路不会轻易遭受攻击；2、 使用有效的方式识别合法和非法的用户；3、 具有有效的访问控制手段；4、 保证内部局域网的隐蔽性；5、 重要数据的安全性以及有效的防伪手段；6、 对网络设备、网络拓扑的安全管理；7、 病毒防范；8、 对员工的安全防范意识进行必要的教育。二、 网络传统攻击方式：1、 窃听报文；2、 IP地址欺骗；3、 源路由攻击；4、 端口扫描；5、 拒绝服务攻击；6、 应用层攻击。三、 网络安全的必要技术：1、 可靠性与线路安全；2、 身份认证；（访问路由器验证、对端路由器身份验证、路由信息身份验证）3、 访问控制；（路由器访问控制、基于五元组的访问控制、基于用户的访问控制）五元组：源IP地址、目的IP地址、协议号、源端口、目的端口。 4、 信息隐藏；地址转换技术；5、 数据加密和防伪；数字签名四、 Quidway路由器的安全技术1、 AAA网络安全服务（基于用户名的验证、授权、记账，使用RADIUS协议）；2、 包过滤技术；3、 地址转换技术；4、 IPSEC和IKE技术。（IPSEC通过Authentication Header和Encapsulating Security Payload两个安全协议实现）5、 隧道技术，(VPN核心技术，二层隧道技术VPDN，三层隧道技术IPSEC,GRE)五、 提供AAA支持的服务包括：1、 PPP，PPP的CHAP和PAP验证用户；2、 EXEC，通过TELNET登陆到路由器以及CONSOLE,AUX等；3、 FTP，通过FTP登陆到路由器。六、 验证包括：1、 对用户名和口令的验证；2、 PPP的PAP和CHAP验证；3、 主叫号码验证。七、 授权包括：1、 服务类型授权，可以是PPP,EXEC,FTP中的一种或者多种；2、 回呼号码授权，对PPP回呼用户可以设定回呼号码；3、 隧道属性授权，配置L2TP隧道属性。八、 进行AAA验证的用户都缺省计费，如果不希望计费，一定要配置：aaa accounting optional九、 AAA的方法表，LOGIN只能配置一个方法表，PPP可以配置多个方法表。1、 RADIUS2、 LOCAL3、 NONE4、 RADIUS+LOCAL5、 RADIUS+NONE十、 路由器资源有限，最多只支持配置50个用户，所以大量用户使用RADIUS服务器。十一、原语为各服务（PPP,EXEC,FTP）与AAA功能的接口，常见7种：其中请求原语3个：1、 join(pap)2、 join(chap)3、 leave返回结果原语3个：4、 accept5、 reject6、 bye另外一种：如果没有配置aaa accounting optional，则要求相应服务切断用户：7、 cut十二、RADIUS(Remote Authentication Dial-in User Service)采用的（client/server客户机/服务器）结构，使用UDP作为传输协议，使用MD5加密算法进行数字签名。十三、RADIUS协议使用了两个UDP端口分别用于验证（1812端口，RFC2138规定的）、计费（1813，RFC2139规定的）十四、验证和授权过程：1、 首先发送验证请求包：CHAP验证中包含用户名、验证过程中的Challenge、chap identifier、response、主叫号码验证还需要有主叫号码。2、 RADIUS验证请求包；3、 路由器收到访问接受/拒绝包时，首先判断包的签名是否正确，然后进行处理。十五、RADIUS计费过程包括：计费请求和计费应答。十六、每一个用户计费过程：计费开始、实时计费、计费结束。十七、计费信息：会话时长、输入字节数、输出字节数、输入包数、输出包数。 路由器第五章： VPN原理及配置一、 VPN(virtual private network)，按照应用分类为：1、 ACCESS VPN;2、 INTRANET VPN;3、 EXTRANET VPN二、 VPN按照实现方式划分：1、 点到网的；基于以下协议：L2TP(LAYER 2 TUNNEL PROTOCOL)PPTP(POINT TO POINT TUNNEL PROTOCOL)L2F(LAYER 2 FORWARDING)2、 网到网的，基于以下协议：GRE(general routing encapsulation)IPSEC(ip security protocol suite)IPSEC/BGPMPLS/BGP(multi-protocol lable switch)三、 VPN安全性设计原则：1、 隧道与加密；2、 数据验证；3、 用户验证；4、 防火墙与攻击检测。四、 VPN网络管理设计原则：1、 减小网络风险；2、 扩展性；3、 经济性；4、 可靠性。五、 QUIDWAY系列路由器的VPN技术：1、 隧道技术；2、 IPSEC;（私有性、完整性、真实性、防重放）3、 密钥交换技术；4、 防火墙技术；5、 QOS6、 配置管理。六、 QUIDWAY系列路由器的VPN解决方案：1、 ACCESS VPN;2、 INTRANET VPN;3、 EXTRANET VPN4、 结合防火墙的VPN解决方案。七、 L2TP协议的特性：1、 适用于点到网的协议；2、 支持私有地址分配，不占用公有IP地址；3、 与PPP配合支持AAA功能，与RADIUS配置支持灵活的本地和远端的AAA；4、 与IPSEC结合，支持对报文的加密；5、 配置简单，接入灵活。八、 企业员工通过两种方式接入总部网络：1、 通过直接连入POP点，在用户侧配置VPN拨号软件就可以通讯；2、 通过PSTN/ISDN接入LAC，让LAC通过INTERNET向LNS发起建立通道连接请求，不需要配置VPN拨号软件，利用ISP提供的VPN账号。九、 L2TP的基本控制流程：1、 隧道建立流程，三次握手，首先LAC向LNS发送SCCRQ，LNS向LAC回复SCCRP，LAC向LNS发送SCCCN。2、 会话建立流程，三次握手，首先LAC向LNS发送ICRQ, LNS向LAC回复ICRP, LAC向LNS发送ICCN。十、 L2TP基本控制流程中维护、拆除部分：1、 隧道维护，双方互发HELLOZLB；2、 隧道拆除，双方互发STOPCCN-ZLB；3、 会话拆除：双方互发CDNß-ZLB。十二、L2TP数据传输三种类型：1、 基本数据传输；2、 带序列号但是不带流量控制的数据传输；3、 带序列号同时带流量控制的数据传输。十三、L2TP的排错：1、 用户登陆失败：1） TUNNEL建立失败；A、 LAC侧，LNS地址设备不对；B、 LNS端没有设置接受以通道对端的VPDN组，可用ACCEPT DIALIN察看；C、 TUNNEL验证密码不一致；D、 本端强制挂断后，快速重连。也就是同一个IP地址的对端同时连接不允许。2） PPP协商不通过：A、 LAC端设置用户名密码有误，或者LNS端没有相应用户；B、 LNS端不能分配地址；C、 密码验证类型不一致，比如WINDOWS2000的缺省是MSCHAP。2、 传输失败：1） 用户端配置有误，IP地址分配错误；2） 网络拥塞。十四、GRE(generic routing encapulation)通用路由封装协议，可以实现服务：1、 多协议的网络通过单一协议的网络连接起来； 2、 扩大了网络工作范围，包括路由网关有限的协议；3、 ipx包只能转发16次，但是在一个tunnel连接看，只经过一个路由器；4、 将一些不连续的子网连接起来。十五、L2TP从属于二层隧道协议，而GRE从属于三层隧道协议，协议号47。十六、GRE的实现经过的三个步骤：1、 建立TUNNEL；2、 实现TUNNEL加封装过程；3、 实现TUNNEL解封装过程。十七、GRE配置具体步骤1、 配置TUNNEL接口：interface tunnel xxx2、 配置tunnel接口源端地址：tunnel source x.x.x.x3、 配置tunnel接口对端地址：tunnel destination x.x.x.x4、 配置tunnel网络地址：ip address x.x.x.x x.x.x.x5、 配置tunnel接口工作模式：tunnel mode gre ip6、 配置识别关键字或者端到端校验tunn