公眾號:mywangxiao
及時發(fā)布考試資訊
分享考試技巧、復(fù)習(xí)經(jīng)驗
新浪微博 @wangxiaocn關(guān)注微博
聯(lián)系方式 400-18-8000
為了幫助考生順利通過華為認(rèn)證考試,中大網(wǎng)校華為認(rèn)證考試網(wǎng)特為考生搜集整理了2015年華為認(rèn)證高級網(wǎng)絡(luò)工程師考試設(shè)計知識點,希望能夠幫助考生順利通過2015年華為認(rèn)證考試!
IPSec
134. IPSec-IP Security 包括報文驗證頭協(xié)議AH 協(xié)議號51、報文安全封裝協(xié)議ESP 協(xié)議號50。工作方式有隧道tunnel和傳送transport兩種。
135. 隧道方式中,整個IP包被用來計算AH或ESP頭,且被加密封裝于一個新的IP包中;在傳輸方式中,只有傳輸層的數(shù)據(jù)被用來計算AH或ESP頭,被加密的傳輸層數(shù)據(jù)放在原IP包頭后面。||| 136. AH可選用的加密為MD5和SHA1。ESP可選的DES和3DES。
137. IPSec安全特點,數(shù)據(jù)機密性、完整性、認(rèn)證和反重放。
138. IPSec基本概念:數(shù)據(jù)流、安全聯(lián)盟、安全參數(shù)索引、SA生存時間、安全策略、轉(zhuǎn)換方式
139. 安全聯(lián)盟 SA-包括協(xié)議、算法、密鑰等,SA就是兩個IPSec系統(tǒng)間的一個單向邏輯連接,安全聯(lián)盟由安全參數(shù)索引SPI、IP目的地址和安全協(xié)議號(AH或ESP)來唯一標(biāo)識。
140. 安全參數(shù)索引SPI:32比特數(shù)值,全聯(lián)盟唯一。
141. 安全聯(lián)盟生存時間 Life Time:安全聯(lián)盟更新時間有用時間限制和流量限制兩種。
142. 安全策略 crypto Map :即規(guī)則。
143. 安全提議 Transform Mode :包括安全協(xié)議、安全協(xié)議使用算法、對報文封裝形式。規(guī)定了把普通報文轉(zhuǎn)成IPSec報文的方式。
144. AH、ESP使用32比特序列號結(jié)合重放窗口和報文驗證防御重放攻擊。
145. IKE-internet key exchange 因特網(wǎng)密鑰交換協(xié)議,為IPSec提供自動協(xié)商交換密鑰號和建立SA的服務(wù)。通過數(shù)據(jù)交換來計算密鑰。
146. IKE完善的向前安全性PFS和數(shù)據(jù)驗證機制。使用DH-diffie-Hellman公用密鑰算法來計算和交換密鑰。
147. PHS特性由DH算法保證。
148. IKE交換過程,階段1:建立IKE SA;階段2:在IKE SA下,完成IPSec協(xié)商。
149. IKE協(xié)商過程:1 SA交換,確認(rèn)有關(guān)安全策略;2 密鑰交換,交換公共密鑰;3 ID信息和驗證數(shù)據(jù)交換。
150. 大規(guī)模的IPSec部署,需要有CA-認(rèn)證中心。
151. IKE為IPSec提供定時更新的SA、密鑰,反重放服務(wù),端到端的動態(tài)認(rèn)證和降低手工配置的復(fù)雜度。
152. IKE是UDP上的應(yīng)用層協(xié)議,是IPSec的信令協(xié)議。他為IPSec建立安全聯(lián)盟。
153. IPsec要確定受保護的數(shù)據(jù),使用安全保護的路徑,確認(rèn)使用那種保護機制和保護強度。
154. IPSec配置:1 創(chuàng)建加密訪問控制列表、2 定一安全提議 ipsec proposal [name];ipsec card-protposal [name]、3 設(shè)置對IP報文的封裝模式 encapsulation-mode [transport or tunnel]、4 選擇安全協(xié)議 ah-new esp-new ah-esp-new 、5 選擇加密算法 只有ESP可加密、6 創(chuàng)建安全策略 ipsec policy 應(yīng)用安全策略到接口 ipsec policy
155. IKE配置:1創(chuàng)建IKE安全策略 ike proposal [num]、2 選擇加密算法、認(rèn)證方式、hash散列算法、DH組標(biāo)示、SA生存周期3、配置預(yù)設(shè)共享密鑰 ike pre-shared-key key remote [add]、4 配置keeplive定時器
156. keeplive定時器包括 1 interval定時器 按照interval時間間隔發(fā)送keeplive報文 2 timeout定時器 超時檢查
157. debug ipsec misc/packet/sa
QoS
158. QoS-quality of service 服務(wù)質(zhì)量保證。在通信過程中,允許用戶業(yè)務(wù)在丟包率、延遲、抖動和帶寬上獲得預(yù)期的服務(wù)水平。||| 159. QoS需要提供以下功能:避免并管理ip網(wǎng)絡(luò)阻塞、減少ip報文丟包率、調(diào)控流量、為特定用戶提供專用帶寬、支持實時業(yè)務(wù)
160. IP QoS三種模式:Best-Effort模型-缺省FIFO;IntServ模型-申請預(yù)留資源;DiffServ-網(wǎng)絡(luò)擁塞時,根據(jù)不同服務(wù)等級,差別對待
161. IntServ模型,提供可控的端到端的服務(wù),利用RSVP來傳遞QoS信令。有兩種模式:保證服務(wù)和負(fù)載控制服務(wù)。
162. RSVP是第一個標(biāo)準(zhǔn)的QoS信令協(xié)議,不是路由協(xié)議但是按照路由協(xié)議規(guī)定的報文流的路徑為報文申請預(yù)留資源。只在網(wǎng)絡(luò)節(jié)點間傳遞QoS請求,本身不完成QoS要求的實現(xiàn)。
163. RSVP要求端到端的設(shè)備均支持這一協(xié)議,可擴展性差,不適合在大型網(wǎng)絡(luò)應(yīng)用。
164. DiffServ-Differentiated Service 差分服務(wù)模型,目前QoS主流。DS不需要信令。數(shù)據(jù)進(jìn)入DS網(wǎng)路,根據(jù)優(yōu)先級DSCP匯聚為一個行為集合。根據(jù)定義的PHB-per-hop behavior來對業(yè)務(wù)流執(zhí)行PHB。
165. 著色:給不同的業(yè)務(wù)流打上QoS標(biāo)記。著色是進(jìn)行QoS處理的前題。
166. CAR-commited access rate 約定訪問速率。是流量監(jiān)管-traffic policing的一種。利用IP頭部的TOS字段來對報文處理,三層處理。
167. CAR采用令牌桶進(jìn)行流量控制。配置命令:1 定義規(guī)則qos carl carl-index、2 在接口上應(yīng)用CAR策略或ACL qos car inbound/outbound 每個接口上可應(yīng)用100條,注意應(yīng)用策略前,取消快速轉(zhuǎn)發(fā)功能。
168. GTS-generic traffic shaping 流量整理 用于解決鏈路兩邊的接口速率不匹配,使用令牌桶,兩種方式處理報文:1 所有流處理 2 不通的流不同處理 命令 qos gts
169. LR-line Rate 物理接口限速 2層處理 令牌桶機制所有報文均需通過LR的桶。命令 qos lr ….
170. 擁塞管理的算法:FIFO、PQ、CQ、WFQ。
171. FIFO-先進(jìn)先出 best effort模型
172. PQ-priority queuing 優(yōu)先對列 分為high、medium、normal、low;命令 全局定義qos pql 接口上應(yīng)用 qos pq pql
173. CQ-custom queuing 定制隊列 可配置對列占用的帶寬比例 包含17個組,0為系統(tǒng)對列,1-16 用戶對列。命令 全局定義,接口應(yīng)用
174. WFQ-wgighted fair queuing 加權(quán)公平對列 最大對列數(shù)16-4096 采用hash算法。權(quán)值依的大小依靠ip報文頭中攜帶的ip優(yōu)先級。命令 qos wfg
175. 擁塞避免-在未發(fā)生擁塞時,根據(jù)對列狀態(tài)有選擇的丟包。算法 RED隨機早期檢測、WRED 加權(quán)隨機早期檢測
176. TCP全局同步,尾部丟棄多個tcp連接的報文,導(dǎo)致多個倆結(jié)同時進(jìn)入慢啟動和擁塞避免。
177. WRED-weighted random early detection 采用隨機丟棄報文。根據(jù)對列深度來預(yù)測擁塞情況,根據(jù)優(yōu)先級定義丟棄策略,定義上下限。相同優(yōu)先級對列約長,丟棄概率越大。
178. WRED命令:1 能使WRED qos wred、2 配置計算平均隊長指數(shù) 3 配置優(yōu)先級參數(shù)
179. 丟棄概率分母的倒數(shù)為最大丟棄概率,值越小,概率越大
編輯推薦:
2015年華為認(rèn)證考試高級網(wǎng)絡(luò)工程師考點總結(jié)匯總
(責(zé)任編輯:黑天鵝)