為了幫助考生順利通過(guò)華為認(rèn)證考試,中大網(wǎng)校華為認(rèn)證考試網(wǎng)特為考生搜集整理了2015年華為認(rèn)證高級(jí)網(wǎng)絡(luò)工程師考試設(shè)計(jì)知識(shí)點(diǎn)����,希望能夠幫助考生順利通過(guò)2015年華為認(rèn)證考試�!
IPSec
134. IPSec-IP Security 包括報(bào)文驗(yàn)證頭協(xié)議AH 協(xié)議號(hào)51�、報(bào)文安全封裝協(xié)議ESP 協(xié)議號(hào)50�����。工作方式有隧道tunnel和傳送transport兩種����。
135. 隧道方式中�����,整個(gè)IP包被用來(lái)計(jì)算AH或ESP頭�����,且被加密封裝于一個(gè)新的IP包中;在傳輸方式中�����,只有傳輸層的數(shù)據(jù)被用來(lái)計(jì)算AH或ESP頭,被加密的傳輸層數(shù)據(jù)放在原IP包頭后面���。||| 136. AH可選用的加密為MD5和SHA1。ESP可選的DES和3DES�����。
137. IPSec安全特點(diǎn),數(shù)據(jù)機(jī)密性�����、完整性��、認(rèn)證和反重放。
138. IPSec基本概念:數(shù)據(jù)流���、安全聯(lián)盟�����、安全參數(shù)索引�����、SA生存時(shí)間、安全策略�、轉(zhuǎn)換方式
139. 安全聯(lián)盟 SA-包括協(xié)議���、算法、密鑰等�����,SA就是兩個(gè)IPSec系統(tǒng)間的一個(gè)單向邏輯連接,安全聯(lián)盟由安全參數(shù)索引SPI���、IP目的地址和安全協(xié)議號(hào)(AH或ESP)來(lái)唯一標(biāo)識(shí)���。
140. 安全參數(shù)索引SPI:32比特?cái)?shù)值,全聯(lián)盟唯一�����。
141. 安全聯(lián)盟生存時(shí)間 Life Time:安全聯(lián)盟更新時(shí)間有用時(shí)間限制和流量限制兩種���。
142. 安全策略 crypto Map :即規(guī)則�。
143. 安全提議 Transform Mode :包括安全協(xié)議����、安全協(xié)議使用算法、對(duì)報(bào)文封裝形式�����。規(guī)定了把普通報(bào)文轉(zhuǎn)成IPSec報(bào)文的方式���。
144. AH��、ESP使用32比特序列號(hào)結(jié)合重放窗口和報(bào)文驗(yàn)證防御重放攻擊����。
145. IKE-internet key exchange 因特網(wǎng)密鑰交換協(xié)議���,為IPSec提供自動(dòng)協(xié)商交換密鑰號(hào)和建立SA的服務(wù)�。通過(guò)數(shù)據(jù)交換來(lái)計(jì)算密鑰。
146. IKE完善的向前安全性PFS和數(shù)據(jù)驗(yàn)證機(jī)制�����。使用DH-diffie-Hellman公用密鑰算法來(lái)計(jì)算和交換密鑰��。
147. PHS特性由DH算法保證����。
148. IKE交換過(guò)程,階段1:建立IKE SA;階段2:在IKE SA下�,完成IPSec協(xié)商。
149. IKE協(xié)商過(guò)程:1 SA交換����,確認(rèn)有關(guān)安全策略;2 密鑰交換,交換公共密鑰;3 ID信息和驗(yàn)證數(shù)據(jù)交換��。
150. 大規(guī)模的IPSec部署���,需要有CA-認(rèn)證中心����。
151. IKE為IPSec提供定時(shí)更新的SA、密鑰���,反重放服務(wù)����,端到端的動(dòng)態(tài)認(rèn)證和降低手工配置的復(fù)雜度���。
152. IKE是UDP上的應(yīng)用層協(xié)議,是IPSec的信令協(xié)議���。他為IPSec建立安全聯(lián)盟�����。
153. IPsec要確定受保護(hù)的數(shù)據(jù)�,使用安全保護(hù)的路徑���,確認(rèn)使用那種保護(hù)機(jī)制和保護(hù)強(qiáng)度�����。
154. IPSec配置:1 創(chuàng)建加密訪問(wèn)控制列表�����、2 定一安全提議 ipsec proposal [name];ipsec card-protposal [name]����、3 設(shè)置對(duì)IP報(bào)文的封裝模式 encapsulation-mode [transport or tunnel]、4 選擇安全協(xié)議 ah-new esp-new ah-esp-new �����、5 選擇加密算法 只有ESP可加密��、6 創(chuàng)建安全策略 ipsec policy 應(yīng)用安全策略到接口 ipsec policy
155. IKE配置:1創(chuàng)建IKE安全策略 ike proposal [num]���、2 選擇加密算法���、認(rèn)證方式、hash散列算法�����、DH組標(biāo)示�����、SA生存周期3、配置預(yù)設(shè)共享密鑰 ike pre-shared-key key remote [add]�、4 配置keeplive定時(shí)器
156. keeplive定時(shí)器包括 1 interval定時(shí)器 按照interval時(shí)間間隔發(fā)送keeplive報(bào)文 2 timeout定時(shí)器 超時(shí)檢查
157. debug ipsec misc/packet/sa
QoS
158. QoS-quality of service 服務(wù)質(zhì)量保證。在通信過(guò)程中�����,允許用戶業(yè)務(wù)在丟包率����、延遲、抖動(dòng)和帶寬上獲得預(yù)期的服務(wù)水平�。||| 159. QoS需要提供以下功能:避免并管理ip網(wǎng)絡(luò)阻塞���、減少ip報(bào)文丟包率����、調(diào)控流量�、為特定用戶提供專用帶寬、支持實(shí)時(shí)業(yè)務(wù)
160. IP QoS三種模式:Best-Effort模型-缺省FIFO;IntServ模型-申請(qǐng)預(yù)留資源;DiffServ-網(wǎng)絡(luò)擁塞時(shí)����,根據(jù)不同服務(wù)等級(jí),差別對(duì)待
161. IntServ模型���,提供可控的端到端的服務(wù)����,利用RSVP來(lái)傳遞QoS信令。有兩種模式:保證服務(wù)和負(fù)載控制服務(wù)�����。
162. RSVP是第一個(gè)標(biāo)準(zhǔn)的QoS信令協(xié)議����,不是路由協(xié)議但是按照路由協(xié)議規(guī)定的報(bào)文流的路徑為報(bào)文申請(qǐng)預(yù)留資源。只在網(wǎng)絡(luò)節(jié)點(diǎn)間傳遞QoS請(qǐng)求�,本身不完成QoS要求的實(shí)現(xiàn)。
163. RSVP要求端到端的設(shè)備均支持這一協(xié)議�,可擴(kuò)展性差,不適合在大型網(wǎng)絡(luò)應(yīng)用�。
164. DiffServ-Differentiated Service 差分服務(wù)模型,目前QoS主流�。DS不需要信令。數(shù)據(jù)進(jìn)入DS網(wǎng)路���,根據(jù)優(yōu)先級(jí)DSCP匯聚為一個(gè)行為集合����。根據(jù)定義的PHB-per-hop behavior來(lái)對(duì)業(yè)務(wù)流執(zhí)行PHB。
165. 著色:給不同的業(yè)務(wù)流打上QoS標(biāo)記�����。著色是進(jìn)行QoS處理的前題�。
166. CAR-commited access rate 約定訪問(wèn)速率。是流量監(jiān)管-traffic policing的一種�。利用IP頭部的TOS字段來(lái)對(duì)報(bào)文處理,三層處理�����。
167. CAR采用令牌桶進(jìn)行流量控制�����。配置命令:1 定義規(guī)則qos carl carl-index��、2 在接口上應(yīng)用CAR策略或ACL qos car inbound/outbound 每個(gè)接口上可應(yīng)用100條�,注意應(yīng)用策略前���,取消快速轉(zhuǎn)發(fā)功能�。
168. GTS-generic traffic shaping 流量整理 用于解決鏈路兩邊的接口速率不匹配���,使用令牌桶��,兩種方式處理報(bào)文:1 所有流處理 2 不通的流不同處理 命令 qos gts
169. LR-line Rate 物理接口限速 2層處理 令牌桶機(jī)制所有報(bào)文均需通過(guò)LR的桶���。命令 qos lr ….
170. 擁塞管理的算法:FIFO�、PQ�、CQ、WFQ����。
171. FIFO-先進(jìn)先出 best effort模型
172. PQ-priority queuing 優(yōu)先對(duì)列 分為high、medium�����、normal��、low;命令 全局定義qos pql 接口上應(yīng)用 qos pq pql
173. CQ-custom queuing 定制隊(duì)列 可配置對(duì)列占用的帶寬比例 包含17個(gè)組��,0為系統(tǒng)對(duì)列�,1-16 用戶對(duì)列。命令 全局定義�,接口應(yīng)用
174. WFQ-wgighted fair queuing 加權(quán)公平對(duì)列 最大對(duì)列數(shù)16-4096 采用hash算法。權(quán)值依的大小依靠ip報(bào)文頭中攜帶的ip優(yōu)先級(jí)��。命令 qos wfg
175. 擁塞避免-在未發(fā)生擁塞時(shí),根據(jù)對(duì)列狀態(tài)有選擇的丟包����。算法 RED隨機(jī)早期檢測(cè)、WRED 加權(quán)隨機(jī)早期檢測(cè)
176. TCP全局同步��,尾部丟棄多個(gè)tcp連接的報(bào)文����,導(dǎo)致多個(gè)倆結(jié)同時(shí)進(jìn)入慢啟動(dòng)和擁塞避免。
177. WRED-weighted random early detection 采用隨機(jī)丟棄報(bào)文�。根據(jù)對(duì)列深度來(lái)預(yù)測(cè)擁塞情況,根據(jù)優(yōu)先級(jí)定義丟棄策略��,定義上下限�。相同優(yōu)先級(jí)對(duì)列約長(zhǎng),丟棄概率越大��。
178. WRED命令:1 能使WRED qos wred�、2 配置計(jì)算平均隊(duì)長(zhǎng)指數(shù) 3 配置優(yōu)先級(jí)參數(shù)
179. 丟棄概率分母的倒數(shù)為最大丟棄概率�,值越小,概率越大
編輯推薦:
2015年華為認(rèn)證考試高級(jí)網(wǎng)絡(luò)工程師考點(diǎn)總結(jié)匯總
(責(zé)任編輯:黑天鵝)
共2頁(yè),當(dāng)前第1頁(yè) 第一頁(yè) 前一頁(yè) 下一頁(yè)
