華為認證：HCSE路由知識點羅列

華為認證：HCSE路由知識點羅列

　　OSPF

　　1. OSPF開放式最短路徑優先，基于RFC2328。由IETF開發，AS內部路由協議，目前第二版。

　　2. OSPF無路由自環，適用于大規模網絡，收斂速度快。支持劃分區域，等值路由及驗證和路由分級管理……OSPF可以組播方式發送路由信息。

　　3. OSPF基于IP，協議號為89。Route ID 為32位無符號數，一般用接口地址。

　　4. OSPF將網絡拓撲抽象為4中，P to P、stub、NBMA&broadcast、P to MP。

　　5. NBMA網絡必須全連通。

　　6. OSPF路由計算過程，1、描述本路由連接的網絡拓撲，生成LSA。2、收集其他路由發 出的LSA，組成LSDB。3、根據LSDB計算路由。

　　7. OSPF5種報文：1、hello報文 定時通報，選舉DR、BDR。2、DD報文 通告本端LSA，以摘要顯示，即LSA的HEAD。3、LSR報文 相對端請求自己沒有的LSA。4、LSU報文 回應對端請求，向其發送LSA。4、LSAck報文 確認收到對端發送的LSA。

　　8. OSPF鄰居狀態 1、down 過去dead-interval時間未收到鄰居發來的Hello報文2、Attempt NBMA網絡時出現，定時向手工指定的鄰居發送Hello報文。3、init 本端已受到鄰居發來的Hello報文，但其中沒有我端的router id，即鄰居未受到我的hello報文。4、2-way 雙方都受到了Hello報文。若兩端均為DRother的話即會停留在這個狀態。5、 Exstart 互相交換DD報文，建立主從關系。6、exchange 雙方用DD表述LSDB，互相交換。7、loading 發送LSR。8、full 對端的LSA本端均有，兩端建立鄰接關系。

　　9. OSPF的HELLO報文使用組播地址224.0.0.5。

　　10. DD報文中，MS=1為Master，I=1表示第一個DD報文。

　　11. 在廣播和NBMA網絡上會選舉DR，來傳遞信息。

　　12. 在DR的選舉上，所有優先級大于0的均可選舉，hello報文為選票，選擇所有路由器中優先級最大的，如果優先級相同，選router id最大的。同時選出BDR。

　　13. 如果有優先級大的路由器加入網絡，OSPF的DR也不改變。

　　14. NBMA網絡―――X.25和FR。是全連通的，但點到多點不是全連通。NBMA用單播發送報文，P to MP可是單播或多播。

　　15. NBMA需要手工配置鄰居。

　　16. 劃分區域的原因，路由器的增多會導致LSDB的龐大導致CPU負擔過大。

　　17. OSPF區域間的路由計算通過ABR來完成。

　　18. 骨干區域和虛連接，目的防止路由自環。

　　19. OSPF可引入AS外部路由，分兩類 IGP路由(cost=本路由器到ASBR的花費和ASBR到該目的的花費)和BGP路由(cost=ASBR到該目的的花費)。

　　20. OSPF一共將路由分四級，區域內路由、區域間路由、自治系統外一類路由IGP、自治系統外二類路由(BGP)。前兩類優先級10，后兩類優先級150。

　　21. stub是不傳播引入的外部路由的LSA的區域，由ABR生成一條80路由傳播到區域內。

　　22. 一個區域為STUB區，則該區域內所有路由器均須配置該屬性。虛連接不能穿越STUB區域。

　　23. NSSA基于RFC1587，該區域外的ASE路由不能進入，但若是該區域內路由器引入的ASE路由可以在區域內傳播。

　　24. Type=1的LSA:router-LSA 每個運行OSPF的路由器均會生成，描述本路由器狀況。對于ABR會為每個區域生成一條router-LSA，傳遞范圍是其所屬區域。

　　25. Type=2的LSA:Network LSA，由DR生成，對于廣播和NBMA網絡描述其區域內所有與DR建立鄰接關系的路由器。

　　26. Type=3的LSA:Network Summary LSA，由ABR生成，為某個區域的聚合路由LSA在ABR連接的其他區域傳遞。

　　27. Type=4的LSA:ASBR summary LSA，由ABR生成，描述到達本區域內部的ASBR的路由。是主機路由，掩碼0.0.0.0。

　　28. Type=5的LSA:AS External LSA，由ASBR生成，表述了到AS外部的路由，與區域無關在整個AS除了Stub區內傳遞。

　　29. P to P――PPP、HDLC、LAPB

　　30. broadcast――Ethernet

　　31. NBMA――FR、X.25

　　32. P to MP――由NBMA修改而來，可以組播發送報文224.0.0.5。

　　33. IAR-internal Area Router BBR――Backbone router

　　34. OSPF不會產生回路的原因，每一條LSA都標記了生成者，鏈路狀態算法

　　35. 運行OSPF，網絡中路由器10臺以上，網狀拓撲，快收斂等。

　　36. OSPF區域的劃分：1、按自然或行政區域劃分。2、按高端路由器來劃分。3、按ip地址的分配來劃分。

　　37. 區域不要超過70臺，與骨干區域虛連接，ABR性能要高不要配太多區域。

　　38. 配置：1、router id 2、ospf enable 3、端口下 ospf enable area aera_id

　　39. 路由聚合，ospf下 abr-summary ip mask area area_id

　　40. stub區域 stub cost area

　　41. 虛連接 vlink peer-id transit-area

　　42. NSSA 區域 nssa area default-route-advertise

　　43. OSPF可以dis 錯誤接口 peer 和dis ospf

　　44. OSPF可以debug enent 、lsa、packet、spf。

　　45. 接口上的dead定時器應大于hello定時器，且至少在4倍以上。

　　BGP

　　46. BGP――border gateway protocol EGP協議

　　47. BGP端口號179，基于TCP協議傳送，當前使用RFC1771-BGP4

　　48. BGP不發現和計算路由，只進行路由的傳遞和控制。

　　49. 支持CIDR、采用增量路由發送、通過攜帶的AS信息來解決路由環路、豐富的路由屬性和策略。

　　50. AS同一機構管理，統一的選路策略的一些路由器。1-65411為注冊的因特網編號，65412-65535為專用網絡編號。

　　51. BGP包括IBGP和EBGP。一般要求EBGP peer間保證直鏈鏈路，IBGP間保證邏輯全連接。

　　52. BGP選路原則：多條路徑選最優的給自己、只將自己使用的路由通告給peer、從EBGP獲得的路由會通告給所有BGP　peer、從IBGP得到的路由不通告IBGP　peer，看同步狀況決定是否通告給EBGP　peer、新建立的連接，將所有的BGP路由通告給新的peer。

　　53. BGP同步，即IBGP宣告的路由在IGP中已經被發現。

　　54. BGP路由引入――純動態注入、半動態注入、靜態注入

　　55. OPEN報文，交換各種信息，用于協商建立鄰居關系，是BGP的初始握手消息

　　56. UPDATE報文，攜帶路由更新信息，包括撤銷和可達的路由信息。

　　57. Notification報文，當檢測的差錯時，發送Notification報文關閉peer連接。

　　58. Keeplive報文，收到open報文后相對端回應，peer間周期性發送，保持連接。

　　59. BGP報文頭中type信息1字節，1open　2updata　3notification　4keeplive

　　60. updata報文一次只能通告一個路由，但可以攜帶多個屬性。當一次通告多條路由的話，只能攜帶相同的屬性。Updata可以同時列出多個被撤銷的路由。

　　61. 缺省情況，keeplive　60s一發。

　　62. Notification的errorcode中code=2　OPEN錯　code=3　update錯

　　63. BGP開始Idle狀態，BGP一旦start則進入connect狀態，接著建立TCP連接，如果不成功則進入Active狀態，成功就進入opensent狀態，opensent狀態收到一個正確的open報文就進入openconfirm狀態，當受到keeplive報文，就會建立BGP連接，進入Established狀態。

　　64. BGP屬性目前16種可擴展到256種。分為必遵、可選、過渡、非過渡。

　　65. Origin屬性 標識路由的來源，0-IGP 聚合和注入路由、1-EGP EGP得到、3-incomplete 其他方式 從其他IGP引入的

　　66. AS-path屬性 達到某個目的地址所經過的所有AS號碼序列。宣告時把新經過的AS號碼放在最前。

　　67. NexT Hop屬性 必遵屬性 當對等體不知道路由時，須將下一條屬性改為本地

　　68. Local-preference屬性 可選 幫助AS內的路由器選擇到AS區域外的較好的出口，本地優先級屬性只在AS內部，IBGP peer間交換。

　　69. MED屬性 向外部指示進入某個具有多入口的AS的優先路經。選MED小的。

　　70. Community屬性 no-expert 不通告到聯盟/AS外部 no-advertise 、不通告給任何BGP Peer、local-AS不通告給任何EBGP、Internet 通告所有路由器

　　71. BGP路由選擇過程 1、下一跳不可達，忽略 2、選擇local-preference大的路由 3、優先級相同，選擇本地路由器始發的路由 4、選擇AS路徑較短的路由5、路由選擇順序IGP-EGP-Incomplete 6、選擇MED值小的路由 7、選擇router ID小的路由

　　72. 基本配置 啟動BGP 配鄰居 peer 宣告網段 network 引入路由 import

　　73. BGP定時器有keepalive-interval、holdtime-interval

　　74. BGP前綴過濾器filter-policy、AS-Path過濾　acl　aspath-list-number 、路由映射 route-policy

　　75. 復位BGP reset bgp

　　76. 正則表達式：^ 路徑開始 $ 結束  As號碼間分割符 ^$ 匹配本地路由

　　77. BGP路由處理過程：接受路由-實施策略-路由聚合-選路-加入路由表-發布

　　78. BGP debug all/event/keepalive/open/packet/updata/recive/send/verbose

　　79. BGP路由聚合-聚合到CIDR中 aggregate

　　80. 反射器-reflect client

　　81. AS聯盟 子AS間為EBGP，所有IBGP規則仍然適用。Confederation id &confederation peer-as

　　82. BGP衰減的5個參數：可達半衰期、不可達半衰期、重用值、抑制值、懲罰上限

　　路由策略

　　83. 策略相關的無種過濾器：路由策略 routing policy、訪問列表 acl、前綴列表 prefix-list、自治系統信息路徑訪問列表 aspath-list 僅用于BGP 、團體屬性列表 community-list 僅用與BGP。

　　84. 路由引入時使用routing policy過濾，路由發布和接收時用ip prefix和ACL

　　85. 一個routing policy下的node節點為或的關系，而每個節點下的if-match和apply語句為與的關系。Permit 執行apply，deny不執行apply

　　86. 路由引入 import-route protocol 目前有direct、static、rip、ospf、ospf-ase、bgp

　　87. 定義ip前綴列表 ip ip-preffix prefix-list-name ，不同sequence-number間為或的關系路由過濾 filter-policy gateway/acl-numeber gataway 只能import，acl和ip-prefix可以export。

　　網絡安全特性

　　88. 網絡安全兩層含義：保證內部局域網的安全、保護和外部進行數據交換的安全

　　89. 安全考慮：物理線路、合法用戶、訪問控制、內網的隱蔽性、防偽手段，重要數據的保護、設備及拓撲的安全管理、病毒防范、安全防范意識的提高

　　90. 網絡攻擊的主要方式：竊x報文、ip地址欺騙、源路由攻擊、端口掃描、DoS拒絕服務、應用層攻擊

　　91. 可靠性和線路――主從備份和負載分擔

　　92. 身份認證--con口配置、telnet、snmp和AUX(modem遠程)、防止偽造路由信息

　　93. 訪問控制――分級保護，基于5源組控制 源，目的ip、源，目的端口、協議號

　　94. 信息隱藏――NAT

　　95. 加密和防偽――數據加密、數字簽名、IPsec

　　96. 安全管理――制度和意識

　　97. AAA-authentication、authorization、accounting 認證、授權、計費

　　98. 包過濾技術-利用ip包的特征進行訪問控制、不能使用在接入服務中、可以基于ip地址、接口和時間段

　　99. IPsec-Ip security 通過AH和ESP兩個協議來實現

　　100. IKE-internet密鑰交換協議。定義了雙方進行身份認證、協商加密算法和生成共享密鑰的方法。

　　101. 提供AAA支持的服務：PPP-pap、chap認證。EXEC-登陸到路由器。FTP-ftp登陸。

　　102. AAA不需要計費時，aaa accounting-scheme optional 取消計費

　　103. AAA配置命令：aaa enable-開啟、aaa accounting-scheme optional-取消計費、aaa accounting-scheme login-配置方法表、aaa accounting-scheme ppp-在接口上啟用方法表

　　104. 方法表5種組合：radius、local、none、radius local、radius none

　　105. 路由器local-user 不要超過50個

　　106. 可以debug radius primitive 和event

　　107. 原語7種：join PAP 、join CHAP、leave、accept、reject、bye、cut

　　108. RADIUS-remote authentication Dial-in User service

　　109. radius采用client/server模式，使用兩個UDP端口驗證1812，計費1813，客戶端發其請求，服務器響應。

　　110. radius配置 radius [server name&ip]authentication -port accouting-port、radius shared-key、配重傳 radius retry 、radius timer response-timeout

　　VPN

　　111. VPN-Virtual private network

　　112. 按應用類型 access VPN、intranet VPN、Extranet VPN

　　113. 按實現層次 2層 [ PPTP、L2F、L2TP ]、3層[GRE、IPSec]

　　114. 遠程接入VPN即Access VPN又稱VPDN，利用2層隧道技術建立隧道。用戶發起的VPN，LNS側進行AAA。

　　115. Intranet VPN企業內部互聯可使用IPSec和GRE等。

　　116. 2層隧道協議：PPTP 點到點隧道協議、L2F 二層轉發協議 cisco、L2TP 二層隧道協議 IETF起草，可實現VPDN和專線VPN。

　　117. 三層協議：隧道內只攜帶第三層報文，GRE-generic routing encapsulation 通用路由封裝協議、IPSec-由AH和IKE協議組成。

　　118. VPN設計原則，安全性、可靠性、經濟性、擴展性

　　L2TP

　　119. L2TP　layer 2 tunnel protocol 二層隧道協議，IETF起草，結合了PPTP和L2F優點。適合單個和少數用戶接入，支持接入用戶內部動態地址分配，安全性可采用IPSec，也可采用vpn端系統LAC側加密-由服務提供商控制。

　　120. L2TP兩種消息：控制消息-隧道和會話連接的建立、維護和刪除，數據消息-封裝PPP幀并在隧道傳輸。

　　121. 同一對LAC與LNS間只建立一個L2TP隧道，多個會話復用到一個隧道連接上。

　　122. LAC-l2tp access concentrator LNS-l2tp network server

　　123. 隧道和會話的建立都經過三次握手：請求crq-應答crp-確認ccn。隧道sc，會話i

　　124. 隧道和會話拆除時需要有ZLB-zero-Length body 報文確認。

　　125. L2TP封裝：IP報文(私網)-PPP報文-L2TP報文-UDP報文-IP報文(公網)

　　126. 配置LAC側：1配置AAA和本地用戶、2啟動VPDN l2tp enable、3 配置vpdn組 l2tp-group number、3 配置發起連接請求和LNS地址 start l2tp [ipadd]

　　127. 配置LNS側：1配置本地VPDN用戶、2 啟動vpdn、3 創建vpdn組、4 創建虛模板，為用戶分配地址 interface virtrual-template [number]、5 配置接受呼叫的對端名稱 allow l2tp virtual-template[number][name]

　　128. L2TP可選配置：本端隧道名稱、隧道加密驗證、Hello報文的發送間隔、配置L2TP最大會話數。

　　129. dis l2tp tunnel &session 、debug l2tp all/control/error/enent/hidden/payload/time-stamp

　　130. L2TP用戶登陸失�。�1 tunnel建立失敗-LAC端配的LNS地址不對，tunnel密碼驗證問題、2 PPP協商不通-pap、chap驗證，LNS端地址分配問題。

　　GRE

　　131. GRE-generic routing encapsulation 通用路由封裝是一種三層隧道的承載協議，協議號為47，將一種協議報文封裝在另一中報文中，此時ip既是被封裝協議，又是傳遞(運輸)協議。

　　132. GRE配置：1 創建Tunnel接口 interface tunnel [number]、2 配置接口源地址 source [ip-add]、3 配目的地址 destination [ip-add]4 配網絡地址 ip add [ip-add，mask]

　　133. GRE可選參數 接口識別關鍵字、數據報序列號同步、接口校驗。

　　IPSec

　　134. IPSec-IP Security 包括報文驗證頭協議AH 協議號51、報文安全封裝協議ESP 協議號50。工作方式有隧道tunnel和傳送transport兩種。

　　135. 隧道方式中，整個IP包被用來計算AH或ESP頭，且被加密封裝于一個新的IP包中;在傳輸方式中，只有傳輸層的數據被用來計算AH或ESP頭，被加密的傳輸層數據放在原IP包頭后面。

　　136. AH可選用的加密為MD5和SHA1。ESP可選的DES和3DES。

　　137. IPSec安全特點，數據機密性、完整性、來源認證和反重放。

　　138. IPSec基本概念：數據流、安全聯盟、安全參數索引、SA生存時間、安全策略、轉換方式

　　139. 安全聯盟 SA-包括協議、算法、密鑰等，SA就是兩個IPSec系統間的一個單向邏輯連接，安全聯盟由安全參數索引SPI、IP目的地址和安全協議號(AH或ESP)來唯一標識。

　　140. 安全參數索引SPI:32比特數值，全聯盟唯一。

　　141. 安全聯盟生存時間 Life Time：安全聯盟更新時間有用時間限制和流量限制兩種。

　　142. 安全策略 crypto Map ：即規則。

　　143. 安全提議 Transform Mode ：包括安全協議、安全協議使用算法、對報文封裝形式。規定了把普通報文轉成IPSec報文的方式。

　　144. AH、ESP使用32比特序列號結合重放窗口和報文驗證防御重放攻擊。

　　145. IKE-internet key exchange 因特網密鑰交換協議，為IPSec提供自動協商交換密鑰號和建立SA的服務。通過數據交換來計算密鑰。

　　146. IKE完善的向前安全性PFS和數據驗證機制。使用DH-diffie-Hellman公用密鑰算法來計算和交換密鑰。

　　147. PHS特性由DH算法保證。

　　148. IKE交換過程，階段1：建立IKE SA;階段2：在IKE SA下，完成IPSec協商。

　　149. IKE協商過程：1 SA交換，確認有關安全策略;2 密鑰交換，交換公共密鑰;3 ID信息和驗證數據交換。

　　150. 大規模的IPSec部署，需要有CA-認證中心。

　　151. IKE為IPSec提供定時更新的SA、密鑰，反重放服務，端到端的動態認證和降低手工配置的復雜度。

　　152. IKE是UDP上的應用層協議，是IPSec的信令協議。他為IPSec建立安全聯盟。

　　153. IPsec要確定受保護的數據，使用安全保護的路徑，確認使用那種保護機制和保護強度。

　　154. IPSec配置：1 創建加密訪問控制列表、2 定一安全提議 ipsec proposal [name];ipsec card-protposal [name]、3 設置對IP報文的封裝模式 encapsulation-mode [transport or tunnel]、4 選擇安全協議 ah-new esp-new ah-esp-new 、5 選擇加密算法 只有ESP可加密、6 創建安全策略 ipsec policy 應用安全策略到接口 ipsec policy

　　155. IKE配置：1創建IKE安全策略 ike proposal [num]、2 選擇加密算法、認證方式、hash散列算法、DH組標示、SA生存周期3、配置預設共享密鑰 ike pre-shared-key key remote [add]、4 配置keeplive定時器

　　156. keeplive定時器包括 1 interval定時器 按照interval時間間隔發送keeplive報文 2 timeout定時器 超時檢查

　　157. debug ipsec misc/packet/sa

　　QoS

　　158. QoS-quality of service 服務質量保證。在通信過程中，允許用戶業務在丟包率、延遲、抖動和帶寬上獲得預期的服務水平。

　　159. QoS需要提供以下功能：避免并管理ip網絡阻塞、減少ip報文丟包率、調控流量、為特定用戶提供專用帶寬、支持實時業務

　　160. IP QoS三種模式：Best-Effort模型-缺省FIFO;IntServ模型-申請預留資源;DiffServ-網絡擁塞時，根據不同服務等級，差別對待

　　161. IntServ模型，提供可控的端到端的服務，利用RSVP來傳遞QoS信令。有兩種模式：保證服務和負載控制服務。

　　162. RSVP是第一個標準的QoS信令協議，不是路由協議但是按照路由協議規定的報文流的路徑為報文申請預留資源。只在網絡節點間傳遞QoS請求，本身不完成QoS要求的實現。

　　163. RSVP要求端到端的設備均支持這一協議，可擴展性差，不適合在大型網絡應用。

　　164. DiffServ-Differentiated Service 差分服務模型，目前QoS主流。DS不需要信令。數據進入DS網路，根據優先級DSCP匯聚為一個行為集合。根據定義的PHB-per-hop behavior來對業務流執行PHB。

　　165. 著色：給不同的業務流打上QoS標記。著色是進行QoS處理的前題。

　　166. CAR-commited access rate 約定訪問速率。是流量監管-traffic policing的一種。利用IP頭部的TOS字段來對報文處理，三層處理。

　　167. CAR采用令牌桶進行流量控制。配置命令：1 定義規則qos carl carl-index、2 在接口上應用CAR策略或ACL qos car inbound/outbound 每個接口上可應用100條，注意應用策略前，取消快速轉發功能。

　　168. GTS-generic traffic shaping 流量整理 用于解決鏈路兩邊的接口速率不匹配，使用令牌桶，兩種方式處理報文：1 所有流處理 2 不通的流不同處理 命令 qos gts

　　169. LR-line Rate 物理接口限速 2層處理 令牌桶機制所有報文均需通過LR的桶。命令 qos lr …

　　170. 擁塞管理的算法：FIFO、PQ、CQ、WFQ。

　　171. FIFO-先進先出 best effort模型

　　172. PQ-priority queuing 優先對列 分為high、medium、normal、low;命令 全局定義qos pql 接口上應用 qos pq pql

　　173. CQ-custom queuing 定制隊列 可配置對列占用的帶寬比例包含17個組，0為系統對列，1-16 用戶對列。命令 全局定義，接口應用

　　174. WFQ-wgighted fair queuing 加權公平對列 最大對列數16-4096 采用hash算法。權值依的大小依靠ip報文頭中攜帶的ip優先級。命令 qos wfg

　　175. 擁塞避免-在未發生擁塞時，根據對列狀態有選擇的丟包。算法 RED隨機早期檢測、WRED 加權隨機早期檢測

　　176. TCP全局同步，尾部丟棄多個tcp連接的報文，導致多個倆結同時進入慢啟動和擁塞避免。

　　177. WRED-weighted random early detection 采用隨機丟棄報文。根據對列深度來預測擁塞情況，根據優先級定義丟棄策略，定義上下限。相同優先級對列約長，丟棄概率越大。

　　178. WRED命令：1 能使WRED qos wred、2 配置計算平均隊長指數 3 配置優先級參數

　　179. 丟棄概率分母的倒數為最大丟棄概率，值越小，概率越大

【華為認證：HCSE路由知識點羅列】相關文章：

華為認證考試：華為路由器網守配合技巧03-18

華為認證：華為路由器口令丟失解決方法03-18

華為認證：路由器以太網口配置命令03-18

華為認證中的HCIE認證03-19

華為認證詳解03-19

華為專業認證分類03-19

華為認證考試地址03-19

華為認證架構介紹03-19

華為認證培訓伙伴03-19