华为认证HCSE路由知识点罗列

1、华为认证HCSE路由知识点罗列如下，请大家参考:OSPF1. OSPF开放式最短路径优先，基于RFC2328。由IETF开发，AS内部路由协议，目前第二版。2. OSPF无路由自环，适用于大规模网络，收敛速度快。支持划分区域，等值路由及验证和路由分级管理.。OSPF可以组播方式发送路由信息。3. OSPF基于IP，协议号为89。Route ID 为32位无符号数，一般用接口地址。4. OSPF将网络拓扑抽象为4中，P to P、stub、NBMA&broadcast、P to MP。5. NBMA网络必须全连通。6. OSPF路由计算过程，1、描述本路由连接的网络拓扑，生成LSA。2、收集其他

2、路由发 出的LSA，组成LSDB。3、根据LSDB计算路由。7. OSPF5种报文:1、hello报文 定时通报，选举DR、BDR。2、DD报文 通告本端LSA，以摘要显示，即LSA的HEAD。3、LSR报文 相对端请求自己没有的LSA。4、LSU报文 回应对端请求，向其发送LSA。4、LSAck报文 确认收到对端发送的LSA。8. OSPF邻居状态 1、down 过去dead-interval时间未收到邻居发来的Hello报文2、Attempt NBMA网络时出现，定时向手工指定的邻居发送Hello报文。3、init 本端已受到邻居发来的Hello报文，但其中没有我端的router id，即

3、邻居未受到我的hello报文。4、2-way 双方都受到了Hello报文。若两端均为DRother的话即会停留在这个状态。5、 Exstart 互相交换DD报文，建立主从关系。6、exchange 双方用DD表述LSDB，互相交换。7、loading 发送LSR。8、full 对端的LSA本端均有，两端建立邻接关系。9. OSPF的HELLO报文使用组播地址。10. DD报文中，MS=1为Master，I=1表示第一个DD报文。11. 在广播和NBMA网络上会选举DR，来传递信息。12. 在DR的选举上，所有优先级大于0的均可选举，hello报文为选票，选择所有路由器中优先级

4、最大的，如果优先级相同，选router id最大的。同时选出BDR。13. 如果有优先级大的路由器加入网络，OSPF的DR也不改变。14. NBMA网络X.25和FR。是全连通的，但点到多点不是全连通。NBMA用单播发送报文，P to MP可是单播或多播。15. NBMA需要手工配置邻居。16. 划分区域的原因，路由器的增多会导致LSDB的庞大导致CPU负担过大。17. OSPF区域间的路由计算通过ABR来完成。18. 骨干区域和虚连接，目的防止路由自环。19. OSPF可引入AS外部路由，分两类 IGP路由(cost=本路由器到ASBR的花费和ASBR到该目的的花费)和BGP路由(cost=

5、ASBR到该目的的花费)。20. OSPF一共将路由分四级，区域内路由、区域间路由、自治系统外一类路由IGP、自治系统外二类路由(BGP)。前两类优先级10，后两类优先级150。21. stub是不传播引入的外部路由的LSA的区域，由ABR生成一条80路由传播到区域内。22. 一个区域为STUB区，则该区域内所有路由器均须配置该属性。虚连接不能穿越STUB区域。23. NSSA基于RFC1587，该区域外的ASE路由不能进入，但若是该区域内路由器引入的ASE路由可以在区域内传播。24. Type=1的LSA:router-LSA 每个运行OSPF的路由器均会生成，描述本路由器状况。对于ABR会

6、为每个区域生成一条router-LSA，传递范围是其所属区域。25. Type=2的LSA:Network LSA，由DR生成，对于广播和NBMA网络描述其区域内所有与DR建立邻接关系的路由器。26. Type=3的LSA:Network Summary LSA，由ABR生成，为某个区域的聚合路由LSA在ABR连接的其他区域传递。27. Type=4的LSA:ASBR summary LSA，由ABR生成，描述到达本区域内部的ASBR的路由。是主机路由，掩码。28. Type=5的LSA:AS External LSA，由ASBR生成，表述了到AS外部的路由，与区域无关在整个AS

7、除了Stub区内传递。29. P to PPPP、HDLC、LAPB30. broadcastEthernet31. NBMAFR、X.2532. P to MP由NBMA修改而来，可以组播发送报文。33. IAR-internal Area Router BBRBackbone router34. OSPF不会产生回路的原因，每一条LSA都标记了生成者，链路状态算法35. 运行OSPF，网络中路由器10台以上，网状拓扑，快收敛等。36. OSPF区域的划分:1、按自然或行政区域划分。2、按高端路由器来划分。3、按ip地址的分配来划分。37. 区域不要超过70台，与骨干区域虚

8、连接，ABR性能要高不要配太多区域。38. 配置:1、router id 2、ospf enable 3、端口下 ospf enable area aera_id39. 路由聚合，ospf下 abr-summary ip mask area area_id40. stub区域 stub cost area41. 虚连接 vlink peer-id transit-area42. NSSA 区域 nssa area default-route-advertise43. OSPF可以dis 错误 接口 peer 和dis ospf44. OSPF可以debug enent 、lsa、packet、

9、spf。45. 接口上的dead定时器应大于hello定时器，且至少在4倍以上。BGP46. BGPborder gateway protocol EGP协议47. BGP端口号179，基于TCP协议传送，当前使用RFC1771-BGP448. BGP不发现和计算路由，只进行路由的传递和控制。49. 支持CIDR、采用增量路由发送、通过携带的AS信息来解决路由环路、丰富的路由属性和策略。50. AS同一机构管理，统一的选路策略的一些路由器。1-65411为注册的因特网编号，65412-65535为专用网络编号。51. BGP包括IBGP和EBGP。一般要求EBGP peer间保证直链链路，IB

10、GP间保证逻辑全连接。52. BGP选路原则:多条路径选最优的给自己、只将自己使用的路由通告给peer、从EBGP获得的路由会通告给所有BGPpeer、从IBGP得到的路由不通告IBGPpeer，看同步状况决定是否通告给EBGPpeer、新建立的连接，将所有的BGP路由通告给新的peer。53. BGP同步，即IBGP宣告的路由在IGP中已经被发现。54. BGP路由引入纯动态注入、半动态注入、静态注入55. OPEN报文，交换各种信息，用于协商建立邻居关系，是BGP的初始握手消息56. UPDATE报文，携带路由更新信息，包括撤销和可达的路由信息。57. Notification报文，当检测

11、的差错时，发送Notification报文关闭peer连接。58. Keeplive报文，收到open报文后相对端回应，peer间周期性发送，保持连接。59. BGP报文头中type信息1字节，1open2updata3notification4keeplive60. updata报文一次只能通告一个路由，但可以携带多个属性。当一次通告多条路由的话，只能携带相同的属性。Updata可以同时列出多个被撤销的路由。61. 缺省情况，keeplive60s一发。62. Notification的errorcode中code=2OPEN错code=3update错63. BGP开始Idle状态，BGP

12、一旦start则进入connect状态，接着建立TCP连接，如果不成功则进入Active状态，成功就进入opensent状态，opensent状态收到一个正确的open报文就进入openconfirm状态，当受到keeplive报文，就会建立BGP连接，进入Established状态。64. BGP属性目前16种可扩展到256种。分为必遵、可选、过渡、非过渡。65. Origin属性 标识路由的来源，0-IGP 聚合和注入路由、1-EGP EGP得到、3-incomplete 其他方式 从其他IGP引入的66. AS-path属性 达到某个目的地址所经过的所有AS号码序列。宣告时把新经过的AS

13、号码放在最前。67. NexT Hop属性 必遵属性 当对等体不知道路由时，须将下一条属性改为本地68. Local-preference属性 可选 帮助AS内的路由器选择到AS区域外的较好的出口，本地优先级属性只在AS内部，IBGP peer间交换。69. MED属性 向外部指示进入某个具有多入口的AS的优先路经。选MED小的。70. Community属性 no-expert 不通告到联盟/AS外部 no-advertise 、不通告给任何BGP Peer、local-AS不通告给任何EBGP、Internet 通告所有路由器71. BGP路由选择过程 1、下一跳不可达，忽略 2、选择lo

14、cal-preference大的路由 3、优先级相同，选择本地路由器始发的路由 4、选择AS路径较短的路由5、路由选择顺序IGP-EGP-Incomplete 6、选择MED值小的路由 7、选择router ID小的路由72. 基本配置 启动BGP 配邻居 peer 宣告网段 network 引入路由 import73. BGP定时器有keepalive-interval、holdtime-interval74. BGP前缀过滤器filter-policy、AS-Path过滤aclaspath-list-number 、路由映射 route-policy75. 复位BGP reset bgp7

15、6. 正则表达式: 路径开始 $ 结束 b As号码间分割符 $ 匹配本地路由77. BGP路由处理过程:接受路由-实施策略-路由聚合-选路-加入路由表-发布78. BGP debug all/event/keepalive/open/packet/updata/recive/send/verbose79. BGP路由聚合-聚合到CIDR中 aggregate80. 反射器-reflect client81. AS联盟 子AS间为EBGP，所有IBGP规则仍然适用。Confederation id & confederation peer-as82. BGP衰减的5个参数:可达半衰期、不可达半

16、衰期、重用值、抑制值、惩罚上限路由策略83. 策略相关的无种过滤器:路由策略 routing policy、访问列表 acl、前缀列表 prefix-list、自治系统信息路径访问列表 aspath-list 仅用于BGP 、团体属性列表 community-list 仅用与BGP。84. 路由引入时使用routing policy过滤，路由发布和接收时用ip prefix和ACL85. 一个routing policy下的node节点为或的关系，而每个节点下的if-match和apply语句为与的关系。Permit 执行apply，deny不执行apply86. 路由引入 import-ro

17、ute protocol 目前有direct、static、rip、ospf、ospf-ase、bgp87. 定义ip前缀列表 ip ip-preffix prefix-list-name ，不同sequence-number间为或的关系路由过滤 filter-policy gateway/acl-numeber gataway 只能import，acl和ip-prefix可以export。网络安全特性88. 网络安全两层含义:保证内部局域网的安全、保护和外部进行数据交换的安全89. 安全考虑:物理线路、合法用户、访问控制、内网的隐蔽性、防伪手段，重要数据的保护、设备及拓扑的安全管理、病毒防范

18、、安全防范意识的提高90. 网络攻击的主要方式:窃听报文、ip地址欺骗、源路由攻击、端口扫描、DoS拒绝服务、应用层攻击91. 可靠性和线路主从备份和负载分担92. 身份认证-con口配置、telnet、snmp和AUX(modem远程)、防止伪造路由信息93. 访问控制分级保护，基于5源组控制 源，目的ip、源，目的端口、协议号94. 信息隐藏NAT95. 加密和防伪数据加密、数字签名、IPsec96. 安全管理制度和意识97. AAA-authentication、authorization、accounting 认证、授权、计费98. 包过滤技术-利用ip包的特征进行访问控制、不能使用在

19、接入服务中、可以基于ip地址、接口和时间段99. IPsec-Ip security 通过AH和ESP两个协议来实现100. IKE-internet密钥交换协议。定义了双方进行身份认证、协商加密算法和生成共享密钥的方法。101. 提供AAA支持的服务:PPP-pap、chap认证。EXEC-登陆到路由器。FTP-ftp登陆。102. AAA不需要计费时，aaa accounting-scheme optional 取消计费103. AAA配置命令:aaa enable-开启、aaa accounting-scheme optional-取消计费、aaa accounting-scheme l

20、ogin-配置方法表、aaa accounting-scheme ppp-在接口上启用方法表104. 方法表5种组合:radius、local、none、radius local、radius none105. 路由器local-user 不要超过50个106. 可以debug radius primitive 和event107. 原语7种:join PAP 、join CHAP、leave、accept、reject、bye、cut108. RADIUS-remote authentication Dial-in User service109. radius采用client/server

21、模式，使用两个UDP端口验证1812，计费1813，客户端发其请求，服务器响应。110. radius配置 radius server name&ipauthentication -port accouting-port、radius shared-key、配重传 radius retry 、radius timer response-timeout VPN111. VPN-Virtual private network112. 按应用类型 access VPN、intranet VPN、Extranet VPN113. 按实现层次 2层 PPTP、L2F、L2TP 、3层GRE、IPSec1

22、14. 远程接入VPN即Access VPN又称VPDN，利用2层隧道技术建立隧道。用户发起的VPN，LNS侧进行AAA。115. Intranet VPN企业内部互联可使用IPSec和GRE等。116. 2层隧道协议:PPTP 点到点隧道协议、L2F 二层转发协议 cisco、L2TP 二层隧道协议 IETF起草，可实现VPDN和专线VPN。117. 三层协议:隧道内只携带第三层报文，GRE-generic routing encapsulation 通用路由封装协议、IPSec-由AH和IKE协议组成。118. VPN设计原则，安全性、可靠性、经济性、扩展性L2TP119. L2TPlay

23、er 2 tunnel protocol 二层隧道协议，IETF起草，结合了PPTP和L2F优点。适合单个和少数用户接入，支持接入用户内部动态地址分配，安全性可采用IPSec，也可采用vpn端系统LAC侧加密-由服务提供商控制。120. L2TP两种消息:控制消息-隧道和会话连接的建立、维护和删除，数据消息-封装PPP帧并在隧道传输。121. 同一对LAC与LNS间只建立一个L2TP隧道，多个会话复用到一个隧道连接上。122. LAC-l2tp access concentrator LNS-l2tp network server123. 隧道和会话的建立都经过三次握手:请求crq-应答crp

24、-确认ccn。隧道sc，会话i124. 隧道和会话拆除时需要有ZLB-zero-Length body 报文确认。125. L2TP封装:IP报文(私网)-PPP报文-L2TP报文-UDP报文-IP报文(公网)126. 配置LAC侧:1配置AAA和本地用户、2启动VPDN l2tp enable、3 配置vpdn组 l2tp-group number、3 配置发起连接请求和LNS地址 start l2tp ipadd127. 配置LNS侧:1配置本地VPDN用户、2 启动vpdn、3 创建vpdn组、4 创建虚模板，为用户分配地址 interface virtrual-template num

25、ber、5 配置接受呼叫的对端名称 allow l2tp virtual-templatenumbername128. L2TP可选配置:本端隧道名称、隧道加密验证、Hello报文的发送间隔、配置L2TP最大会话数。129. dis l2tp tunnel &session 、debug l2tp all/control/error/enent/hidden/payload/time-stamp130. L2TP用户登陆失败:1 tunnel建立失败-LAC端配的LNS地址不对，tunnel密码验证问题、2 PPP协商不通-pap、chap验证，LNS端地址分配问题。GRE131. GRE-g

26、eneric routing encapsulation 通用路由封装是一种三层隧道的承载协议，协议号为47，将一种协议报文封装在另一中报文中，此时ip既是被封装协议，又是传递(运输)协议。132. GRE配置:1 创建Tunnel接口 interface tunnel number、2 配置接口源地址 source ip-add、3 配目的地址 destination ip-add4 配网络地址 ip add ip-add，mask133. GRE可选参数 接口识别关键字、数据报序列号同步、接口校验。IPSec134. IPSec-IP Security 包括报文验证头协议AH 协议号51、

27、报文安全封装协议ESP 协议号50。工作方式有隧道tunnel和传送transport两种。135. 隧道方式中，整个IP包被用来计算AH或ESP头，且被加密封装于一个新的IP包中;在传输方式中，只有传输层的数据被用来计算AH或ESP头，被加密的传输层数据放在原IP包头后面。136. AH可选用的加密为MD5和SHA1。ESP可选的DES和3DES。137. IPSec安全特点，数据机密性、完整性、来源认证和反重放。138. IPSec基本概念:数据流、安全联盟、安全参数索引、SA生存时间、安全策略、转换方式139. 安全联盟 SA-包括协议、算法、密钥等，SA就是两个IPSec系统间的一个单

28、向逻辑连接，安全联盟由安全参数索引SPI、IP目的地址和安全协议号(AH或ESP)来唯一标识。140. 安全参数索引SPI:32比特数值，全联盟唯一。141. 安全联盟生存时间 Life Time:安全联盟更新时间有用时间限制和流量限制两种。142. 安全策略 crypto Map :即规则。143. 安全提议 Transform Mode :包括安全协议、安全协议使用算法、对报文封装形式。规定了把普通报文转成IPSec报文的方式。144. AH、ESP使用32比特序列号结合重放窗口和报文验证防御重放攻击。145. IKE-internet key exchange 因特网密钥交换协议，为IP

29、Sec提供自动协商交换密钥号和建立SA的服务。通过数据交换来计算密钥。146. IKE完善的向前安全性PFS和数据验证机制。使用DH-diffie-Hellman公用密钥算法来计算和交换密钥。147. PHS特性由DH算法保证。148. IKE交换过程，阶段1:建立IKE SA;阶段2:在IKE SA下，完成IPSec协商。149. IKE协商过程:1 SA交换，确认有关安全策略;2 密钥交换，交换公共密钥;3 ID信息和验证数据交换。150. 大规模的IPSec部署，需要有CA-认证中心。151. IKE为IPSec提供定时更新的SA、密钥，反重放服务，端到端的动态认证和降低手工配置的复杂度

30、。152. IKE是UDP上的应用层协议，是IPSec的信令协议。他为IPSec建立安全联盟。153. IPsec要确定受保护的数据，使用安全保护的路径，确认使用那种保护机制和保护强度。154. IPSec配置:1 创建加密访问控制列表、2 定一安全提议 ipsec proposal name;ipsec card-protposal name、3 设置对IP报文的封装模式 encapsulation-mode transport or tunnel、4 选择安全协议 ah-new esp-new ah-esp-new 、5 选择加密算法 只有ESP可加密、6 创建安全策略 ipsec pol

31、icy 应用安全策略到接口 ipsec policy155. IKE配置:1创建IKE安全策略 ike proposal num、2 选择加密算法、认证方式、hash散列算法、DH组标示、SA生存周期3、配置预设共享密钥 ike pre-shared-key key remote add、4 配置keeplive定时器156. keeplive定时器包括 1 interval定时器 按照interval时间间隔发送keeplive报文 2 timeout定时器 超时检查157. debug ipsec misc/packet/saQoS158. QoS-quality of service 服

32、务质量保证。在通信过程中，允许用户业务在丢包率、延迟、抖动和带宽上获得预期的服务水平。159. QoS需要提供以下功能:避免并管理ip网络阻塞、减少ip报文丢包率、调控流量、为特定用户提供专用带宽、支持实时业务160. IP QoS三种模式:Best-Effort模型-缺省FIFO;IntServ模型-申请预留资源;DiffServ-网络拥塞时，根据不同服务等级，差别对待161. IntServ模型，提供可控的端到端的服务，利用RSVP来传递QoS信令。有两种模式:保证服务和负载控制服务。162. RSVP是第一个标准的QoS信令协议，不是路由协议但是按照路由协议规定的报文流的路径为报文申请预留资源。只在网络节点间传递QoS请求，本身不完成QoS要求的实现。163. RSVP要求端到端的设备均支持这一协议，可扩展性差，不适合在大型网络应用。164. DiffServ-Differentiated Service 差分服务模型，目前Qo