華為認證：HCSE路由知識點羅列

　　105. 路由器local-user 不要超過50個

　　106. 可以debug radius primitive 和event

　　107. 原語7種：join PAP 、join CHAP、leave、accept、reject、bye、cut

　　108. RADIUS-remote authentication Dial-in User service

　　109. radius采用client/server模式，使用兩個UDP端口驗證1812，計費1813，客戶端發(fā)其請求，服務器響應。

　　110. radius配置 radius [server name&ip]authentication -port accouting-port、radius shared-key、配重傳 radius retry 、radius timer response-timeout

　　VPN

　　111. VPN-Virtual private network

　　112. 按應用類型 access VPN、intranet VPN、Extranet VPN

　　113. 按實現(xiàn)層次 2層 [ PPTP、L2F、L2TP ]、3層[GRE、IPSec]

　　114. 遠程接入VPN即Access VPN又稱VPDN，利用2層隧道技術建立隧道。用戶發(fā)起的VPN，LNS側進行AAA。

　　115. Intranet VPN企業(yè)內部互聯(lián)可使用IPSec和GRE等。

　　116. 2層隧道協(xié)議：PPTP 點到點隧道協(xié)議、L2F 二層轉發(fā)協(xié)議 cisco、L2TP 二層隧道協(xié)議 IETF起草，可實現(xiàn)VPDN和專線VPN。

　　117. 三層協(xié)議：隧道內只攜帶第三層報文，GRE-generic routing encapsulation 通用路由封裝協(xié)議、IPSec-由AH和IKE協(xié)議組成。

　　118. VPN設計原則，安全性、可靠性、經濟性、擴展性

　　L2TP

　　119. L2TP　layer 2 tunnel protocol 二層隧道協(xié)議，IETF起草，結合了PPTP和L2F優(yōu)點。適合單個和少數用戶接入，支持接入用戶內部動態(tài)地址分配，安全性可采用IPSec，也可采用vpn端系統(tǒng)LAC側加密-由服務提供商控制。

　　120. L2TP兩種消息：控制消息-隧道和會話連接的建立、維護和刪除，數據消息-封裝PPP幀并在隧道傳輸。

　　121. 同一對LAC與LNS間只建立一個L2TP隧道，多個會話復用到一個隧道連接上。

　　122. LAC-l2tp access concentrator LNS-l2tp network server

　　123. 隧道和會話的建立都經過三次握手：請求crq-應答crp-確認ccn。隧道sc，會話i

　　124. 隧道和會話拆除時需要有ZLB-zero-Length body 報文確認。

　　125. L2TP封裝：IP報文(私網)-PPP報文-L2TP報文-UDP報文-IP報文(公網)

　　126. 配置LAC側：1配置AAA和本地用戶、2啟動VPDN l2tp enable、3 配置vpdn組 l2tp-group number、3 配置發(fā)起連接請求和LNS地址 start l2tp [ipadd]

　　127. 配置LNS側：1配置本地VPDN用戶、2 啟動vpdn、3 創(chuàng)建vpdn組、4 創(chuàng)建虛模板，為用戶分配地址 interface virtrual-template [number]、5 配置接受呼叫的對端名稱 allow l2tp virtual-template[number][name]

　　128. L2TP可選配置：本端隧道名稱、隧道加密驗證、Hello報文的發(fā)送間隔、配置L2TP最大會話數。

　　129. dis l2tp tunnel &session 、debug l2tp all/control/error/enent/hidden/payload/time-stamp

　　130. L2TP用戶登陸失�。�1 tunnel建立失敗-LAC端配的LNS地址不對，tunnel密碼驗證問題、2 PPP協(xié)商不通-pap、chap驗證，LNS端地址分配問題。

　　GRE

　　131. GRE-generic routing encapsulation 通用路由封裝是一種三層隧道的承載協(xié)議，協(xié)議號為47，將一種協(xié)議報文封裝在另一中報文中，此時ip既是被封裝協(xié)議，又是傳遞(運輸)協(xié)議。

　　132. GRE配置：1 創(chuàng)建Tunnel接口 interface tunnel [number]、2 配置接口源地址 source [ip-add]、3 配目的`地址 destination [ip-add]4 配網絡地址 ip add [ip-add，mask]

　　133. GRE可選參數 接口識別關鍵字、數據報序列號同步、接口校驗。

　　IPSec

　　134. IPSec-IP Security 包括報文驗證頭協(xié)議AH 協(xié)議號51、報文安全封裝協(xié)議ESP 協(xié)議號50。工作方式有隧道tunnel和傳送transport兩種。

　　135. 隧道方式中，整個IP包被用來計算AH或ESP頭，且被加密封裝于一個新的IP包中;在傳輸方式中，只有傳輸層的數據被用來計算AH或ESP頭，被加密的傳輸層數據放在原IP包頭后面。

　　136. AH可選用的加密為MD5和SHA1。ESP可選的DES和3DES。

　　137. IPSec安全特點，數據機密性、完整性、來源認證和反重放。

　　138. IPSec基本概念：數據流、安全聯(lián)盟、安全參數索引、SA生存時間、安全策略、轉換方式

　　139. 安全聯(lián)盟 SA-包括協(xié)議、算法、密鑰等，SA就是兩個IPSec系統(tǒng)間的一個單向邏輯連接，安全聯(lián)盟由安全參數索引SPI、IP目的地址和安全協(xié)議號(AH或ESP)來唯一標識。

　　140. 安全參數索引SPI:32比特數值，全聯(lián)盟唯一。

　　141. 安全聯(lián)盟生存時間 Life Time：安全聯(lián)盟更新時間有用時間限制和流量限制兩種。

　　142. 安全策略 crypto Map ：即規(guī)則。

　　143. 安全提議 Transform Mode ：包括安全協(xié)議、安全協(xié)議使用算法、對報文封裝形式。規(guī)定了把普通報文轉成IPSec報文的方式。

　　144. AH、ESP使用32比特序列號結合重放窗口和報文驗證防御重放攻擊。

　　145. IKE-internet key exchange 因特網密鑰交換協(xié)議，為IPSec提供自動協(xié)商交換密鑰號和建立SA的服務。通過數據交換來計算密鑰。

　　146. IKE完善的向前安全性PFS和數據驗證機制。使用DH-diffie-Hellman公用密鑰算法來計算和交換密鑰。

　　147. PHS特性由DH算法保證。

　　148. IKE交換過程，階段1：建立IKE SA;階段2：在IKE SA下，完成IPSec協(xié)商。

　　149. IKE協(xié)商過程：1 SA交換，確認有關安全策略;2 密鑰交換，交換公共密鑰;3 ID信息和驗證數據交換。

　　150. 大規(guī)模的IPSec部署，需要有CA-認證中心。

　　151. IKE為IPSec提供定時更新的SA、密鑰，反重放服務，端到端的動態(tài)認證和降低手工配置的復雜度。

　　152. IKE是UDP上的應用層協(xié)議，是IPSec的信令協(xié)議。他為IPSec建立安全聯(lián)盟。