H3CSE（路由）學(xué)習(xí)筆記----上第一部分OSPF一、OSPF基本概況，記住4點(diǎn)。1?由IETF制定。L-S類(lèi)型。3?是一種IGP。4.目前使用version2（version3針對(duì)ipv6）二0SPF8個(gè)特點(diǎn)。1?適用各種網(wǎng)絡(luò)規(guī)模，最多支持幾百臺(tái)路由。2?收斂快（原因采用了觸發(fā)更新機(jī)制）。3?無(wú)環(huán)（原因采用了SPF算法，報(bào)文攜帶routerlD）.4?引入?yún)^(qū)域機(jī)制（L-S路由算法共性，提高OSPF工作效率）。5?等價(jià)路由（好處是實(shí)現(xiàn)負(fù)載均衡）。6?路由分級(jí)（共四級(jí)，具有不同優(yōu)先級(jí)，intra和inter是優(yōu)先級(jí)10和extra1和extra2優(yōu)先級(jí)150）。7?支持驗(yàn)證（增強(qiáng)了路由協(xié)議本身的安全性）。8?協(xié)議報(bào)文用組播發(fā)送。三、OSPF6個(gè)重要概念。1?自治系統(tǒng)：用AS表示，是一組使用相同路由協(xié)議交換路由信息的路由器集合。2.0SPF的路由計(jì)算過(guò)程：step①交互LSA每臺(tái)路由器生成LSDB（LSA---LSDB）step②將LSDB轉(zhuǎn)換成帶權(quán)有向圖step（LSDB---帶權(quán)有向圖）③根據(jù)SPF算法計(jì)算出路由。（SPF計(jì)算---路由表）（注意：此過(guò)程中每臺(tái)路由器的LSDB是相同的，每臺(tái)路由器計(jì)算出的路由|不同的。）routerID:①作用是在AS中唯一標(biāo)識(shí)一臺(tái)路由器②本身是一個(gè)32bits無(wú)符號(hào)整數(shù)。4.OSPF5種協(xié)議報(bào)文：hello報(bào)文（用來(lái)建立鄰居關(guān)系，選舉DR/BDR）DD報(bào)文（將自己LSDB描述給鄰居）LSR報(bào)文（向鄰居請(qǐng)求自己需要的LS）LSU報(bào)文（向鄰居發(fā)送對(duì)方需要的LS）LSAck報(bào)文（對(duì)收到的LS進(jìn)行確認(rèn)）五、OSPF的9中LSA類(lèi)型type1:每個(gè)路由器產(chǎn)生，在本area內(nèi)傳播type2:DR產(chǎn)生，在本area內(nèi)傳播type3:ABR產(chǎn)生，通告給其他的areatype4:ABR產(chǎn)生，通告給相關(guān)area（到ASBR的路由）type5:ASBR產(chǎn)生，通告給除了STUBarea（到AS外部的路由）type7:NSSA的ASBR產(chǎn)生，僅在NSSAarea傳播（到AS夕陪B的路由）六、鄰居和鄰接1?在OSPF中路由器與路由器之間有兩種關(guān)系分別是鄰居和鄰接。2?收到hello報(bào)文的路由器檢查報(bào)文中的參數(shù)，如果雙方一致就形成鄰居關(guān)系。3?當(dāng)雙方成功交換DD報(bào)文，交換LSA達(dá)到LSDB同步后，建立鄰接關(guān)系。七、OSPF的area概念area產(chǎn)生原因：①路由器數(shù)量多導(dǎo)致每臺(tái)LSDB變大，使路由器需要很到內(nèi)存和很強(qiáng)CPU運(yùn)算能力②大規(guī)模網(wǎng)絡(luò)中網(wǎng)絡(luò)容易震蕩且收斂很慢。引入area后OSPF網(wǎng)絡(luò)中的路由器有4種：①area內(nèi)路由器②區(qū)域邊界路由器ABR③骨干路由器④自治系統(tǒng)邊界路由器ASBR。area劃分原則：常規(guī)area和骨干area物理直連，否則用vlink解決。vlink的另一作用：提供冗余鏈路（物理直連down，邏輯連接可使用）5.STUBarea:該area不允許注入type5LSA，故路由表大大減小。6.NSSAarea:是STUBarea的改進(jìn)。7.OSPF網(wǎng)絡(luò)中路由的類(lèi)型：intra---inter---type1external---type2external八、OSPF支持的網(wǎng)絡(luò)類(lèi)型?broadcast:用組播224.0.0.5224.0.0.6發(fā)送協(xié)議報(bào)文，選舉DR/BDR。NBMA:用單播發(fā)送協(xié)議報(bào)文，選舉DR/BDR，手工指定鄰居P2P:組播224.0.0.5發(fā)送協(xié)議報(bào)文P2MP:組播224.0.0.6發(fā)送協(xié)議報(bào)文九、OSPF中DR/BDR的概念DRother只與DR/BDR建立鄰接關(guān)系broadcast和NBMA類(lèi)型接口才會(huì)選舉DR/BDR。3?路由器優(yōu)先級(jí)大于0才可被選舉為DR/BDR，優(yōu)先級(jí)相同時(shí)，routerID大的選為DR/BDR.DR是針對(duì)網(wǎng)段而言的，故以接口來(lái)區(qū)分。第二部分BGP一、BGP概述：1?是唯一的EGP2?現(xiàn)在使用的是version43?廣泛應(yīng)用于ISP或大型企業(yè)網(wǎng)。二、BGP的8個(gè)特點(diǎn)BGP的作用控制路由傳播和選擇最佳路由（IGP是發(fā)現(xiàn)和計(jì)算路由）BGP的協(xié)議報(bào)文用TCP封裝，端口號(hào)是179支持CIDR4?增量更新路由5?無(wú)環(huán)路（通告路由時(shí)攜帶ASN）6?具有豐富路由策略7?易于擴(kuò)展三、BGP的3個(gè)小概念BGPSpeakerpeergroup4.IBGP和EBGPBGP有5中協(xié)議報(bào)文，它們有相同報(bào)文頭。2.open報(bào)文：TCP連接建立后發(fā)送的第一個(gè)報(bào)文，用于建立BGPpeer間的鄰居關(guān)系update報(bào)文：用于在peer間交換路由信息。notification報(bào)文：BGP檢測(cè)到錯(cuò)誤狀態(tài)時(shí)，向peer發(fā)送該報(bào)文，之后BGP連接中斷keepalive報(bào)文：周期性向peer發(fā)送，保持連接有效性（該報(bào)文只有報(bào)文頭）route-refresh報(bào)文：用來(lái)要求peer重新發(fā)送指定地址的路由信息。五、BGP路由屬性總結(jié)（這是BGP最具特色的地方，也是最重要的地方）1?路由屬性是一組參數(shù)，對(duì)特定路由進(jìn)行描述，讓BGP對(duì)路由過(guò)濾和選擇BGP的路由屬性分為4類(lèi)：①必遵②可選③過(guò)渡④非過(guò)渡3?最常用的幾個(gè)BGP路由屬性列舉：origin屬性：該屬性定義了路由信息的來(lái)源，共3個(gè)屬性值IGP>BGP>INCOMPLETEas-path屬性：該屬性按次序記錄了某條路由從本地到目的地址所經(jīng)過(guò)的所有AS編號(hào),BGP將一條路由通告到其它AS時(shí)，便把本地ASN加在as-path列表的最前面。（通常BGP不會(huì)接受as-path列表中包含本地ASN的路由，從而避免了環(huán)路）next-hop屬性：BGP把產(chǎn)生的路由發(fā)送給所有鄰居時(shí)，將路由信息的下一跳屬性設(shè)置為自己與對(duì)端連接的接口地址；BGP把接收到的路由發(fā)送給EBGP鄰居時(shí)，將該路由信息的下一跳屬性設(shè)置為本地與對(duì)端連接的接口地址；BGP把從EBGP鄰居得到的路由發(fā)送給IBGP鄰居時(shí)，不改變下一跳屬性，如果配置了負(fù)載分擔(dān)，路由被發(fā)給IBGP鄰居時(shí)則會(huì)修改。MED屬性：BGP路由器通過(guò)不同EBGP鄰居得到相同目的地的路由時(shí)，其它條件相同時(shí)，有限選擇MED值小的作為最佳路由。⑤local-pref屬性：該屬性僅在IBGP鄰居間交換，不通告給其他AS;當(dāng)BGP路由器通過(guò)不同IBGP鄰居得到相同目的地但下一跳不同的多條路由時(shí)，優(yōu)先選擇local-pref值較高的路由。⑥community屬性：該屬性簡(jiǎn)化路由策略的應(yīng)用和降低維護(hù)管理的難度。六、BGP的選路策略，共3中情況情況1：接收路由的策略（首先丟棄下一跳（NEXT_HOP）不可達(dá)的路由；優(yōu)選Preferred-value值最大的路由；優(yōu)選本地優(yōu)先級(jí)（LOCAL_PREF）最高的路由;優(yōu)選聚合路由；優(yōu)選AS路徑（AS_PATH）最短的路由；依次選擇ORIGIN類(lèi)型為IGP、EGP、Incomplete的路由；優(yōu)選MED值最低的路由；依次選擇從EBGP、聯(lián)盟、IBGP學(xué)來(lái)的路由；優(yōu)選下一跳Cost值最低的路由；優(yōu)選CLUSTER_LIST長(zhǎng)度最短的路由；優(yōu)選ORIGINATOR_ID最小的路由；優(yōu)選RouterID最小的路由器發(fā)布的路由；優(yōu)選地址最小的對(duì)等體發(fā)布的路由。）情況2:發(fā)布路由的策略（存在多條有效路由時(shí)，GP發(fā)言者只將最優(yōu)路由發(fā)布給對(duì)等體；BGP發(fā)言者只把自己使用的路由發(fā)布給對(duì)等體BGP發(fā)言者從EBGP獲得的路由會(huì)向它所薛GP對(duì)等體發(fā)布（包括EBGP對(duì)等體和IBGP對(duì)等體）；BGP發(fā)言者從IBGP獲得的路由不向它的IBGP對(duì)等體發(fā)布；BGP發(fā)言者從IBGP獲得的路由發(fā)布給它的EBGP對(duì)等體（關(guān)閉BGP與IGP同步的情況下，IBGP路由被直接發(fā)布；開(kāi)啟BGP與IGP同步的情況下，該IBGP路由只有在IGP也發(fā)布了這條路由時(shí)才會(huì)被同步并發(fā)布給BGP對(duì)等體）；連接一旦建立,BGP發(fā)言者將把自己所有捋GP路由發(fā)布給新對(duì)等體。）情況3:應(yīng)用了負(fù)載分擔(dān)后時(shí)的選路七、BGP和IGP的同步問(wèn)題1.IBGP路由加入路由表前并發(fā)布給EBGP鄰居前，會(huì)先檢查IGP路由表，只有IGP葉有改目的路由是，認(rèn)為是同步的，才會(huì)發(fā)布路由給EBGP鄰居。否則是不同步，不加入不發(fā)布。兒大規(guī)模BGP網(wǎng)絡(luò)面臨的問(wèn)題1?路由聚合：支持自動(dòng)聚合和手動(dòng)聚合，手動(dòng)聚合可以控制聚合路由屬性，以及決定是否發(fā)布具體路由。2?路由衰減3?路由反射器4?聯(lián)盟第三部分路由策略―、路由策略概述，共3點(diǎn)1作用：為了改變流量的路徑而修改路由信息2?應(yīng)用場(chǎng)合：①路由發(fā)布時(shí)②路由接收時(shí)③路由引入時(shí)3?實(shí)現(xiàn)方法：step①定義匹配規(guī)則step②將匹配規(guī)則應(yīng)用到需要的場(chǎng)合

二路由策略實(shí)現(xiàn)用到的過(guò)濾器（1.2.6是通用的，3.4.5是BGP專(zhuān)用的）1.ACL2?地址前綴3.as-path訪問(wèn)列表4?團(tuán)體屬性列表5?擴(kuò)展團(tuán)體屬性列表6.route-policy第四部分AAA第四部分AAA和radius一、AAA知識(shí)點(diǎn)，4點(diǎn)AAA=authentication、authorization、accounting（認(rèn)證、授權(quán)、計(jì)費(fèi)）：①認(rèn)證是確認(rèn)遠(yuǎn)端訪問(wèn)用戶的身份是否合法②授權(quán)是對(duì)不同用戶賦予不同權(quán)限，限制用戶可以使用的服務(wù)③計(jì)費(fèi)是記錄用戶使用網(wǎng)絡(luò)服務(wù)中的所有操作，包括使用的服務(wù)類(lèi)型、起始時(shí)間、數(shù)據(jù)流量等，不僅是計(jì)費(fèi)手段，也對(duì)網(wǎng)絡(luò)安全起監(jiān)視作用。AAA是C/S架構(gòu)，—般radius或hwtacacs規(guī)定NAS與server如何傳遞用戶信息。3.3個(gè)A可以搭配使用。二、radius概述radius=remoteauthenticationdial-inuserservice（遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)）radius是分布式、C/S架構(gòu)的信息交互協(xié)議radius基于UDP,1812為認(rèn)證端口、1813為計(jì)費(fèi)端口radius最早用于撥號(hào)接入，后來(lái)用于以太網(wǎng)接入、ADSL接入三、radius服務(wù)器通常維護(hù)3個(gè)數(shù)據(jù)庫(kù)users:用戶名、口令、協(xié)議、ip地址clients:共享密鑰、ip地址dictionary:屬性和屬性值四、radius客戶端和服務(wù)器端交互機(jī)制，共3點(diǎn)radius客戶端和服務(wù)器之間認(rèn)證消息的交互通過(guò)共享密鑰保證安全，網(wǎng)絡(luò)不傳輸共享密鑰。用戶密碼在網(wǎng)絡(luò)上加密傳輸。radius服務(wù)器支持多種方法認(rèn)證用戶(如基于PPP的PAP'CHAP)radius服務(wù)器可以為其它類(lèi)型認(rèn)證服務(wù)器提供代理五、radius消息交互流程，共9步Step①用戶發(fā)起連接請(qǐng)求，向RADIUS客戶端發(fā)送用戶名和密碼。Step②RADIUS客戶端根據(jù)獲取的用戶名和密碼，向RADIUS服務(wù)器發(fā)送認(rèn)證請(qǐng)求包(Access-Request)，其中的密碼在共享密鑰的參與下由MD5算法進(jìn)行加密處理。Step③RADIUS服務(wù)器對(duì)用戶名和密碼進(jìn)行認(rèn)證。如果認(rèn)證成功，RADIUS服務(wù)器向RADIUS客戶端發(fā)送認(rèn)證接受包(Access-Accept);如果認(rèn)證失敗，則返回認(rèn)證拒絕包(Access-Reject)。由于RADIUS協(xié)議合并了認(rèn)證和授權(quán)的過(guò)程，因此認(rèn)證接受包中也包含了用戶的授權(quán)信息。Step④RADIUS客戶端根據(jù)接收到的認(rèn)證結(jié)果接入/拒絕用戶。如果允許用戶接入，則RADIUS客戶端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)開(kāi)始請(qǐng)求包(Accounting-Request)。Step⑤RADIUS服務(wù)器返回計(jì)費(fèi)開(kāi)始響應(yīng)包(Accounting-Response)，并開(kāi)始計(jì)費(fèi)。Step⑥用戶開(kāi)始訪問(wèn)網(wǎng)絡(luò)資源。Step⑦用戶請(qǐng)求斷開(kāi)連接，RADIUS客戶端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)停止請(qǐng)求包(Accounting-Request)。Step⑧RADIUS服務(wù)器返回計(jì)費(fèi)結(jié)束響應(yīng)包(Accounting-Response)，并停止計(jì)費(fèi)。Step⑨用戶結(jié)束訪問(wèn)網(wǎng)絡(luò)資源。H3CSE（路由）學(xué)習(xí)筆記----下第五部分VPN一、VPN特點(diǎn)，共3點(diǎn)VPN是利用現(xiàn)有公共網(wǎng)絡(luò)，通過(guò)資源配置形成的邏輯上的網(wǎng)絡(luò)。VPN為特定企業(yè)或用戶群專(zhuān)用。VPN不是簡(jiǎn)單的高層業(yè)務(wù)。二、VPN的優(yōu)勢(shì)，共5點(diǎn)1?為用戶建立可靠的安全連接2?提高網(wǎng)絡(luò)資源利用率VPN應(yīng)用靈活滿足移動(dòng)業(yè)務(wù)需求MPLS-VPN能構(gòu)建具有QoS的VPN三、VPN網(wǎng)絡(luò)結(jié)構(gòu)描述，共3點(diǎn)若干site組成VPN2?所有site屬于一個(gè)企業(yè)是intranetVPN3?所有site分屬不同企業(yè)是ExtranetVPN四、VPN如何來(lái)組建邏輯網(wǎng)絡(luò)，共2點(diǎn)呼叫連接過(guò)程由ISP得NAS與VPN服務(wù)器共同完成。POP=pointofpresenee服務(wù)器（位于ISP得邊緣，直接接用戶）五、VPN的本質(zhì)，共4點(diǎn)1.VPN=隧道+加密2?隧道分為二層隧道和三層隧道二層隧道一般終止在用戶側(cè)設(shè)備，三層隧道一般終止在ISP網(wǎng)關(guān)；三層隧道比二層隧道更安全更容易擴(kuò)展更可靠4?二層隧道和三層隧道可獨(dú)立使用，也可配置使用，這樣更更全更佳的性能六、VPDN總結(jié)，共2點(diǎn)VPDN=virtualprivatedialnetwork虛擬私有撥號(hào)網(wǎng)：指利用公共網(wǎng)絡(luò)（ISDN或PSTN）的撥號(hào)功能及接入網(wǎng)來(lái)實(shí)現(xiàn)VPNVPDN有兩種實(shí)現(xiàn)方式：①NAS通過(guò)隧道協(xié)議，與VPDN網(wǎng)關(guān)建立通道②客戶機(jī)直接與VPDN網(wǎng)關(guān)建立隧道七、L2TP總結(jié)1?協(xié)議背景：PPP協(xié)議定義了一種封裝技術(shù)，可在二層點(diǎn)到點(diǎn)鏈路傳輸多種協(xié)議數(shù)據(jù)包，用戶與NAS間運(yùn)行PPP協(xié)議，二層鏈路端點(diǎn)與PPP會(huì)話點(diǎn)駐留在相同硬件設(shè)備上；L2TP提供了對(duì)PPP鏈路層數(shù)據(jù)包的通道（tunnel）傳輸支持，允許二層鏈路端點(diǎn)和PPP會(huì)話點(diǎn)駐留在不同設(shè)備上，且采用包交換進(jìn)行信息交互，擴(kuò)展了PPP模型。術(shù)語(yǔ)：LAC=L2TPaccessconnectrator（具有PPP端系統(tǒng)和L2TP協(xié)議處理能力的設(shè)備）LNS=L2TPnetworkserver（PPP端系統(tǒng)處理L2TP協(xié)議服務(wù)器端的設(shè)備）PPP幀和控制通道及數(shù)據(jù)通道間的關(guān)系：PPP幀在不可靠的L2TP數(shù)據(jù)通道上傳輸，控制消息在可靠的L2TP控制通道內(nèi)傳輸。tunnel和session:tunnel連接定義了一個(gè)LNS和LAC對(duì)；session連接復(fù)用在tunnel之上，用于表示承載在tunnel連接中的每個(gè)PPPsession過(guò)程；同一對(duì)LAC和LNS間可建立多個(gè)L2TPtunnel，tunnel由一個(gè)控制連接和一個(gè)或多個(gè)session組成；session連接必須在tunnel建立成功后進(jìn)行，每個(gè)session對(duì)應(yīng)于LAC和LNS間的一個(gè)PPP數(shù)據(jù)流；控制消息和PPP數(shù)據(jù)報(bào)文都在tunnel上傳輸。5?控制消息和數(shù)據(jù)消息：控制消息用于隧道和會(huì)話的建立、維護(hù)、傳輸控制；數(shù)據(jù)消息用于封裝PPP幀在隧道上傳輸；控制消息和數(shù)據(jù)消息共享相同的報(bào)文頭。L2TP的兩種tunnel模式：①遠(yuǎn)程撥號(hào)用戶發(fā)起②直接由LAC客戶發(fā)起。L2TP隧道和會(huì)話建立過(guò)程：（①用戶端PC發(fā)起呼叫連接請(qǐng)求②PC和LAC進(jìn)行PPPLCP協(xié)商③LAC對(duì)PC提供的用戶信息進(jìn)行PAP或CHAP認(rèn)證④LAC將熱證信息（用戶名、密碼）發(fā)送給radius服務(wù)器進(jìn)行認(rèn)證⑤radius服務(wù)器認(rèn)證該用戶；如果認(rèn)證通過(guò)則返回該用戶對(duì)應(yīng)的LNS地址等相關(guān)信息且LAC準(zhǔn)備發(fā)起tunnel連接請(qǐng)求⑥LAC向指定LNS發(fā)起tunnel連接請(qǐng)求⑦LAC向指定LNS發(fā)送CHAPchallenge信息，LNS會(huì)送該challenge響應(yīng)消息CHAPresponse并發(fā)送LNS側(cè)的CHAPchallenge,LAC返回該challenge的響應(yīng)消息CHAPresponse⑧隧道驗(yàn)證通過(guò)⑨LAC將用戶CHAPresponse、responseidentifier和PPP協(xié)商參數(shù)傳送給LNS⑩LNS將介入請(qǐng)求信息發(fā)送給radius服務(wù)器進(jìn)行認(rèn)證（11）radius服務(wù)器認(rèn)證該請(qǐng)求信息，如果認(rèn)證通過(guò)則返回響應(yīng)信息（12）若用戶在LNS配置強(qiáng)制本端CHAP認(rèn)證，則LNS對(duì)用戶進(jìn)行認(rèn)證，發(fā)送CHAPchallenge，用戶側(cè)回應(yīng)CHAPresponse（13）LNS再次將接入請(qǐng)求信息發(fā)送給radius服務(wù)器進(jìn)行認(rèn)證（14）radius服務(wù)器認(rèn)證該請(qǐng)求信息，如果認(rèn)證通過(guò)則返回響應(yīng)信息；驗(yàn)證通過(guò)，用戶訪問(wèn)企業(yè)內(nèi)部資源。八、GRE總結(jié)，共6點(diǎn)。GRE=genericroutingencapsulation（通用路由封裝）：是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如ip和IPX）的數(shù)據(jù)報(bào)文進(jìn)行封裝，使被封裝的數(shù)據(jù)報(bào)文能在另一網(wǎng)絡(luò)層協(xié)議（如ip）中傳輸。GRE是VPN的三層隧道協(xié)議。tunnel是一個(gè)虛擬點(diǎn)到點(diǎn)連接，可以看成僅支持點(diǎn)到點(diǎn)連接的虛擬接口。報(bào)文在tunnel中傳輸，必須經(jīng)歷2個(gè)處理過(guò)程：①encapsulation②de-encapsulationGRE的使用：①多協(xié)議的本地網(wǎng)通過(guò)單一協(xié)議骨干網(wǎng)傳輸②擴(kuò)大步跳數(shù)受限協(xié)議（如IPX）的網(wǎng)絡(luò)工作范圍③將不連續(xù)子網(wǎng)連接用于組建VPN④與IPsec結(jié)合使用。GRE的配置：①必須先創(chuàng)建tunnel虛擬接口，然后在tunnel接口上配置其它功能特性（刪除tunnel接口同時(shí)接口所有配置也被刪除）②目前comware不支持GRE對(duì)IPX的封裝。九、IPsec總結(jié)1.IPsec概述：①由IETF制定②IPsec是特定通信方在ip層通過(guò)加密與數(shù)據(jù)源驗(yàn)證等來(lái)保證數(shù)據(jù)傳輸?shù)乃接行?、完整性、真?shí)性和放重放③IPsec通過(guò)AH和ESP實(shí)現(xiàn)安全，通過(guò)IKE自動(dòng)協(xié)商交換密鑰、建立和維護(hù)SA④AH提供數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)、報(bào)文放重放功能⑤ESP提供AH所有功能外，還提供對(duì)ip報(bào)文加密。⑥AH和ESP可單獨(dú)使用也可搭配使用更安全。2.安全聯(lián)盟SA:①I(mǎi)Psec在對(duì)等體間提供安全通信②通過(guò)SA，IPsec能對(duì)不同數(shù)據(jù)流提供不同安全級(jí)別，專(zhuān)業(yè)說(shuō)法叫"控制對(duì)等體間安全服務(wù)的粒度”③SA是IPsec對(duì)等體間對(duì)某些要素的約定④SA是單向的（兩個(gè)對(duì)等體間雙向通信，至少需要兩個(gè)SA）⑤SA由三元組來(lái)標(biāo)識(shí)（SPI\目的ip地址\安全協(xié)議號(hào)AH或ESP）@SA有生存周期，計(jì)算方式有兩種（時(shí)間和流量）。3.IPsec的操作模式有2種：①傳輸模式（AH或ESP被插入到ip頭之后所有傳輸層協(xié)議之前或所有其他IPsec協(xié)議之前）②隧道模式（AH或ESP插入在原始ip頭之前，另外生成一個(gè)新頭放在AH或ESP之前）③隧道模式的安全性優(yōu)于傳輸模式但性能不及傳輸模式。4?驗(yàn)證算法和加密算法：①驗(yàn)證算法（有兩種MD5和SHA-1；用于完整性驗(yàn)證判斷報(bào)文在傳輸過(guò)程中是否被篡改；驗(yàn)證算法通過(guò)雜湊函數(shù)接受任意長(zhǎng)的消息輸入，產(chǎn)生固定長(zhǎng)度輸出的算法，輸出信息稱(chēng)為消息摘要；MD5輸入任意長(zhǎng)度產(chǎn)生128bits摘要，SHA-A輸入小于2的64次方bits產(chǎn)生160bits摘要）②加密算法（DES=dataencryptionstandard使用56bits的密鑰對(duì)64bits明文加密；3DES=TripleDES使用3個(gè)56bits密鑰對(duì)明文加密；AES=advaneedencryptionstandard-comware實(shí)現(xiàn)了128bits/192bits/256bits密鑰長(zhǎng)度的AES算法）。5.IPsec的2種協(xié)商方式：①手工方式（manual）?IKE自動(dòng)協(xié)商③手工方式配置復(fù)雜且IPsec一些高級(jí)特性（如定時(shí)更新密鑰）不被支持；IKE只需配置好IKE協(xié)商安全策略信息由IKE自動(dòng)協(xié)商來(lái)創(chuàng)建和維護(hù)SA④對(duì)等體設(shè)備數(shù)量少或小型靜態(tài)環(huán)境使用手工配置SA；大中型動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境中使用IKE協(xié)商建立SA。6?加密卡：①加密/解密、認(rèn)證算法一般比較復(fù)雜，占用大量CPU資源，影響路由器整體處理效率②模塊化路由可以使用加密卡，以硬件方式完成IPsec運(yùn)算；提高了路由器工作效率也提高一、QoS概述，共5點(diǎn)QoS是網(wǎng)絡(luò)轉(zhuǎn)發(fā)分組的服務(wù)能力傳統(tǒng)ip網(wǎng)絡(luò)QoS是FIFO（best-effort）3?現(xiàn)今的ip網(wǎng)絡(luò)要承載新業(yè)務(wù)（視頻語(yǔ)音等業(yè)務(wù)），對(duì)帶寬和延遲、抖動(dòng)要求較高4?延遲、抖動(dòng)主要是擁塞引起的5?流量管理的5種技術(shù)：①流分類(lèi)②流量監(jiān)管③流量整形④擁塞管理⑤擁塞避免二、流分類(lèi)總結(jié)，共6點(diǎn)1?流分類(lèi)是對(duì)流量進(jìn)行分類(lèi)，是實(shí)現(xiàn)QoS的基礎(chǔ)流分類(lèi)可使用TOS或根據(jù)源地址、目的地址、MAC地址、ip協(xié)議或端口號(hào)燈信息對(duì)流進(jìn)行分類(lèi)3?—般的分類(lèi)依據(jù)都局限在封裝報(bào)文的頭部信息，使用報(bào)文內(nèi)容作為分類(lèi)標(biāo)準(zhǔn)比較少見(jiàn)。4?—般在網(wǎng)絡(luò)邊界對(duì)報(bào)文分類(lèi)，同時(shí)設(shè)置報(bào)文ip頭TOS字段的優(yōu)先級(jí)位。這樣在網(wǎng)絡(luò)內(nèi)部直接使用ip優(yōu)先級(jí)作為分類(lèi)標(biāo)準(zhǔn)，隊(duì)列技術(shù)也可使用這個(gè)優(yōu)先級(jí)對(duì)報(bào)文進(jìn)行不同的處理。下游網(wǎng)絡(luò)可選擇接受上游網(wǎng)絡(luò)的分類(lèi)結(jié)果，也可按自己的標(biāo)準(zhǔn)重新進(jìn)行分類(lèi)。5?當(dāng)報(bào)文進(jìn)入網(wǎng)絡(luò)時(shí)依據(jù)承諾速率進(jìn)行監(jiān)管，流出結(jié)點(diǎn)前進(jìn)行整形，擁塞時(shí)的隊(duì)列調(diào)度管理，擁塞加劇時(shí)采取擁塞避免6.TOS和DSCP:①TOS有8bits，前3bits是ip優(yōu)先級(jí)，取值范圍是0-7;后3-6bits是TOS優(yōu)先級(jí)，取值范圍是0-15。②重新定義TOS域，稱(chēng)為DS域。DSCP優(yōu)先級(jí)使用前6bits，取值范圍0-64，后2bits保留。三、令牌桶1?令牌桶是流量評(píng)估機(jī)制，或者說(shuō)是評(píng)估流量是否超標(biāo)的手段2?令牌桶是存放一定數(shù)量令牌的容器。系統(tǒng)按設(shè)定的速度向桶中放置令牌，當(dāng)桶中令牌滿時(shí)，多出的令牌溢出，桶中令牌不再增加。3?通常一個(gè)令牌關(guān)聯(lián)一個(gè)比特的轉(zhuǎn)發(fā)權(quán)限。4?簡(jiǎn)單評(píng)估（CIR\CBS）:CIR承諾信息速率；CBS承諾突發(fā)尺寸，設(shè)置的突發(fā)尺寸必須大于最大報(bào)文長(zhǎng)度。5?復(fù)雜評(píng)估（c桶和e桶，CIR\CBS\PIR\EBS）IR峰值信息速率；EBS超出突發(fā)尺寸。四、流量監(jiān)管總結(jié)，共4點(diǎn)1?流量監(jiān)管是監(jiān)督進(jìn)入網(wǎng)絡(luò)某一流量規(guī)格，將流量限制在合理范圍。2?如果發(fā)現(xiàn)某個(gè)鏈接流量超標(biāo)，流量監(jiān)管可選擇丟棄報(bào)文，或重新設(shè)置報(bào)文的優(yōu)先級(jí)。3?流量監(jiān)管廣泛用于監(jiān)管進(jìn)入InternetISP的網(wǎng)絡(luò)流量。4?監(jiān)管動(dòng)作：①轉(zhuǎn)發(fā)（比如對(duì)評(píng)估結(jié)果"符合”的報(bào)文繼續(xù)轉(zhuǎn)發(fā)）②丟棄（比如對(duì)評(píng)估結(jié)果為"不符合”的報(bào)文進(jìn)行丟棄）③改變優(yōu)先級(jí)并轉(zhuǎn)發(fā)（比如對(duì)評(píng)估結(jié)果為"符合”的報(bào)文將之標(biāo)記為其它的優(yōu)先級(jí)后再進(jìn)行轉(zhuǎn)發(fā)）④改變優(yōu)先級(jí)進(jìn)入下一級(jí)監(jiān)管（比如對(duì)評(píng)估結(jié)果為"符合”的報(bào)文將之標(biāo)記為其它的優(yōu)先級(jí)后在進(jìn)入下一級(jí)監(jiān)管）⑤進(jìn)入下一級(jí)監(jiān)管（流量監(jiān)管可以逐級(jí)堆疊，每級(jí)關(guān)注和監(jiān)管更具體的目標(biāo)）五、流量整形總結(jié)，共3點(diǎn)1?流量整形是主動(dòng)調(diào)整流量輸出速率的措施。典型應(yīng)用時(shí)基于下游網(wǎng)絡(luò)結(jié)點(diǎn)的TP指標(biāo)來(lái)控制本地流量的輸出。2?整形和監(jiān)管的區(qū)別是整形對(duì)監(jiān)管中需要丟棄的報(bào)文進(jìn)行緩存，當(dāng)令牌桶中有足夠令牌，均勻向外發(fā)送這些報(bào)文。另外，整形會(huì)增加延遲，而監(jiān)管幾乎不引入額外的延遲。3?舉例：RA向RB發(fā)送報(bào)文，RB要對(duì)RA發(fā)送來(lái)的報(bào)文進(jìn)行監(jiān)管，對(duì)超出的流量直接丟棄。為了減少報(bào)文無(wú)謂丟失，可在RA的出口對(duì)報(bào)文進(jìn)行整形處理，將超出的流量緩存起來(lái)，當(dāng)可以繼續(xù)發(fā)送時(shí)再發(fā)送。六、擁塞管理總結(jié)，共3點(diǎn)1?分組到達(dá)速度大于接口發(fā)送分組的速度就產(chǎn)生擁塞；如果沒(méi)有足夠空間存儲(chǔ)這些分組，就會(huì)丟失，丟失的分組會(huì)導(dǎo)致發(fā)送該分組的設(shè)備因超時(shí)而重傳，這樣講導(dǎo)致惡性循環(huán)。2?擁塞管理的本質(zhì)是黨擁塞發(fā)生時(shí)指定資源調(diào)度策略決定報(bào)文轉(zhuǎn)發(fā)次序的機(jī)制。主要靠各種隊(duì)列機(jī)制完成。QP=fairqueuing公平隊(duì)列：①不同隊(duì)列獲得公平調(diào)度機(jī)會(huì)，從總體上均衡各個(gè)流的延遲②短報(bào)文和長(zhǎng)報(bào)文獲得公平的調(diào)度，如果不同隊(duì)列間同時(shí)存在多個(gè)長(zhǎng)報(bào)文和短報(bào)文等待發(fā)送，應(yīng)當(dāng)估計(jì)短報(bào)文的利益，讓短報(bào)文優(yōu)先獲得調(diào)度，從而總體上減少各個(gè)流的包文件的抖動(dòng)。WFQ加權(quán)公平隊(duì)列：WFQ計(jì)算報(bào)文調(diào)度次序時(shí)增加了優(yōu)先權(quán)的考慮，高優(yōu)先權(quán)的報(bào)文獲得調(diào)度的機(jī)會(huì)多于低優(yōu)先級(jí)的報(bào)文。在出隊(duì)時(shí)，WFQ按流的優(yōu)先權(quán)分配每個(gè)流占有出口帶寬。優(yōu)先權(quán)的數(shù)值越小，所得帶寬越小。七、擁塞避免總結(jié)，共5點(diǎn)1擁塞避免（congestionavoidanee）是一種流控機(jī)制，通過(guò)監(jiān)視網(wǎng)絡(luò)資源（如隊(duì)列或內(nèi)存緩沖區(qū)）的使用情況，在擁塞有加劇的趨勢(shì)時(shí)，主動(dòng)丟棄報(bào)文，通過(guò)調(diào)整網(wǎng)絡(luò)流量解除網(wǎng)絡(luò)過(guò)載。2?傳統(tǒng)丟包策略是tail-drop（尾部丟棄），當(dāng)隊(duì)列的長(zhǎng)度達(dá)到最大值后，所有新來(lái)的報(bào)文都被丟棄。將引發(fā)TCP全局同步現(xiàn)象。TCP全局同步：當(dāng)隊(duì)列同時(shí)丟棄多個(gè)TCP連接的報(bào)文時(shí)，將造成多個(gè)TCP連接同時(shí)進(jìn)入擁塞避免和慢啟動(dòng)狀態(tài)以降低并調(diào)整流量，而后又同時(shí)出現(xiàn)流量高峰，如此反復(fù)，使網(wǎng)絡(luò)流量不停震蕩。RED（randomEarlydetection）隨機(jī)早期檢測(cè)：①每個(gè)隊(duì)列都有上下限②隊(duì)列長(zhǎng)度小于下限不丟棄報(bào)文③隊(duì)列長(zhǎng)度超過(guò)上限，丟棄所有來(lái)到的報(bào)文④隊(duì)列長(zhǎng)度介于上下限之間，開(kāi)始隨機(jī)丟棄到來(lái)的報(bào)文，隊(duì)列越長(zhǎng)丟棄概率越高，但有一個(gè)最大丟棄概率。WRED（weigtedrandomEarlydetection）加權(quán)隨機(jī)早期檢測(cè)：生成的隨機(jī)數(shù)是基于優(yōu)先權(quán)的，它引入ip優(yōu)先權(quán)區(qū)別丟棄策略，考慮高優(yōu)先權(quán)報(bào)文利益，使其被丟棄的概率相對(duì)較小。第七部分IPV6―、ipv6概述1.ipv6是網(wǎng)絡(luò)層第二代標(biāo)準(zhǔn)協(xié)議。2.由IETF制定。3.ipv6與ipv4最顯著的變化時(shí)地址長(zhǎng)度增加到128bits，報(bào)文格式也有較大變化。二、ipv6的特點(diǎn)，共8點(diǎn)1簡(jiǎn)化的報(bào)文頭：ipv6基本報(bào)文頭固定40字節(jié)，是ipv4不含可選字段報(bào)文頭的2倍（ipv6將ipv4報(bào)文頭某些字段裁剪或移到擴(kuò)展報(bào)頭部分，提高了轉(zhuǎn)發(fā)效率）。2.充足的地址空間：超過(guò)3.4乘10的38次方個(gè)地址。3?層次化地址結(jié)構(gòu)：有利于路由快速查找和路由匯聚。地址自動(dòng)配置：無(wú)狀態(tài)地址自動(dòng)配置（還有有狀態(tài)地址自動(dòng)配置DHCPV6和手工配置）。5?內(nèi)置安全性：ipv6直接將IPsec作為擴(kuò)展報(bào)頭，提供端到端的安全。6?支持QoS:基本報(bào)頭的flowlabel字段允許設(shè)備對(duì)某一流中報(bào)文進(jìn)行識(shí)別并提供特殊處理。7.增強(qiáng)的鄰居發(fā)現(xiàn)機(jī)制：ipv6沒(méi)有了ARP，通過(guò)ICMPv6實(shí)現(xiàn)同樣功能。8?靈活的擴(kuò)展報(bào)頭：①提高處理效率②增強(qiáng)靈活性③增強(qiáng)擴(kuò)展性三、ipv6的地址表示1?用"冒號(hào)十六進(jìn)制”表示法。2.每組前導(dǎo)0可省略。3?連續(xù)多組全0用::代替，但每個(gè)地址只能出現(xiàn)一次。4.ipv6地址=前綴+接口標(biāo)識(shí)四、ipv6地址分類(lèi)（ipv6地址種