HCSE-Security培训总结
H3CSE-Security培训总结
8月28日到9月7日期间,我参加了H3C公司举办的H3CSE-Security培训。H3C公司现在有了独立的网络安全产品线,对这一方面产品的投入不断增大,希望能在网络安全生品这一领域做成国内(品牌)第一。为配合产品的销售推广,最近H3C针对处代理商及相关客户开办了一系列的H3CSE网络安全培训。
本次培训共有十天,4门课程包括有:《布置安全防火墙系统》、《H3C安全新产品新特性》《构建VPN网络》《高级IPS系统配置》。前3门为考试课程,IPS系统只讲了半天的课程考试不做要求。培训分为讲课及实验两部分,一般上午讲课为主,下午及晚上为实验及答疑时间。下面对各门课程的内容做一下简要介绍。
一、布暑安全防火墙系统
防火墙的课程大概可以分为三个方面的内容
第一部分为对防火墙技术及网络安全做了一些概念性的介绍,指出了防火墙的几项必备技术:网络隔离及访问控制、攻击防范、地址转换(NAT)应用层状态检测(ASPF)、微分认证、内容安全过滤,安全管理。
第二部分介绍了H3CSecPath的防火墙系系列产品,主要对现有的产品在业务性能及典型应用,做了相应介绍。
第三部分为这门课程的主机内容,主要讲了网络安全技术在H3C防火墙产品上的实现。
防火墙的图形化管理系统:web管理,BIMS及VPNManger管理软件。BIMS软件实现了对大量防火墙设备的升级及配置文件管理,VPNManger提供了对VPN网络的监控及布置功能。
安全区域:把防火墙的端口加入不同的安全区域,实现对不同网络的隔离接入。需要注意的一点是防火墙的所有端口(除loopback口)都要要加入到相应的区域中,不然不能转发数据。
访问控制列表(ACL):4种ACL,基于接口的ACL(1000-1999)、基本防问控制列表(201*-2999)、高级防问控制列表(3000-3999)、基于MAC的访问控制列表(4000-4999)。需要注意的是,基于接口的ACL只能用的防火墙接口的outbound方向;基于MAC的ACL只能用于透明模式及模合模式的桥模式下。
包过滤技术:实现包过滤技术的核心技术是ACL,主要讲了ASPF及黑名单技术。ASPF能够对双通道的应用层协议及TCP/UDP进行检测,从而实现对数据流的单访问控制。黑名单是根据数据的源地址进行过滤的一种技术,防火墙可以根据具体应用(主要指攻击防范)动态的添加及删除黑名单,实现对网络的安全防护。
地址转换(NAT):地址转换可以实现对网络的单向访问,即保护了网络的安全又解决了公有IP地址短缺的问题。H3C可以实现的地址转换方式主要有:多对多地址转换、网络地址端口转换(NAPT)、EasyIP(直接使用接口上的公有IP转换)、NATServer(通过地址及端口映射实现外部对内部网络的访问)
报文统计:H3C主要提供了以下三种报文统计功能,系统统计、域统计、IP统计。报文统计的功能应该是通过报文统计,监控网络状况,根据具体应用设置的安全阀值,来触发网络系统的安全防护措施。
攻击防范:本节内容介绍了常见的网络攻击行为及基本原理,并启用防火墙的各项防范功能对网络进行安全防护。
网页过滤和邮件过滤:这一部分应该就是前面提到的防火墙技术中的内容过滤。H3C对web的访问可以对网页内容及网址(url)过滤,邮件可以通过对邮件的内容、附件、主题、收件人地址进行过滤。需要注意的是:1、要实现内容过滤必须先配置ASPF策略对http或smtp以及tcp进行检测;2、配置完成后要记得把配置后的策略保存为一个文件;3、如防火墙重新启动,需要调用保存的配置文件。
用户认证:分别对AAA、RADIUS、HWTACASC做了介绍及相关配置。在了解以上几种协议的基础上,注意RADIUS和HWTACASC的一些区别。R认证授统一,H分别进行;R使用UDP传输,H使用TCP;R对论证密码加密,H对全体报文加密;R适用于记费,H适用于安全控制。H支持对网关上的配置命令授权,R不支持。
运行模式和双机备份:H3C的SecPath防火墙,支持三种工作模式:路由模式,透明模式,混合模式。路由模式布置防火墙需要对现有网络结构进行修改,而透明模式可以直接把防火墙串到网络中而不修改网络结构。需要注意的是防火墙在路由模式下的转发性能更强一些。双机热备:主要指的是用VRRP技术实现防火墙设备的冗余备份。
二、构建安全VPN网络
VPN课程也可以分为三部分。第一部分为H3C的VPN安全产品介绍,主要讲了安全网关家族成员,业务特性及维护配置基础。第二部分为VPN技术原理及相关的加密算法。第三部分为H3C设备的VPN业务实现。下面对技术原理及业务实现做一下简要介绍。
VPN定义:利用公共网络(比如:Internet、帧中继、ATM等)来构建的私有网络被称为VPN(VirtualPrivateNetwork)。VPN的安全性,是通过一系列的安全协议及算法实现的。
VPN的分类:按应用类型(对象)分为三类:AccessVPN(指远程流动员工接入到公司网络)、IntranetVPN(指分枝机构与公司总部的网络连接)、ExtranetVPN(指企业与合作伙伴间的网络连接);按实现层次可分为:二层隧道VPN(可以对数据的二层帧封装传递)、三层隧道VPN(只对网络层的数据包进行封培育传递)
加密算法:通过一系列的加密协议及算法保证数据在网络上的安全传输,主要有安全需求有以下几方面:
私密性:通过加密实现,加密分为对称加密(密钥算法有:DES/3DES,ASE,RC4)和非对称加密(密钥算法有:DH,RSA)
完整性:通过数据摘要(也叫MAC:消息验证码)实现,主要为摘要算法有MD5、SHA1
身份验证:使用x.509v3证书和数据签名(对报文的摘要用私钥加密,得到的结果被称为数据签名)。
PKI体系结构:PKI是一个签发证书、传播证书、使用证书的环境,保证了公钥的可获得性、真实性、完整性。
L2TPVPN:L2TPVPN是二层隧道VPN,是AccessVPN的主要实现方式,也被称为VPDN。H3C二层隧道VPN只支持L2TP。L2TPVPN有两种发起方式,基于用户的和基于NAS。需要注意的是L2TPVPN只能实现对用户的认证接入,
但不能实现对数据流的加密传输。
GREVPN:GREVPN是一种三层VPN隧道协议、应用于IntranetVPN及ExtranetVPN。GRE是利用一种网络层协议对另一种网络层协议B的报文进行封装,从而实现报文在异种网络中的传输。异种报文传输的通道称为tunnel(隧道),Tunnel是一个虚拟的点对点的连接,并在tunnel的两端分别对数据进行封装及解封装。GRE数据使用47号协议直接封装在IP层之上,并且不能对数据进行加密。
IPsecVPN:IPSecVPN是一种三层VPN实现机制,通过一系列安全协议及加密算法保证私有网络数据在公共网络上传输的私有性、完整性、真实性及反重放。IPsec包括AH(协议号51)和ESP(协议号50)两个协议,并有隧道(tunnel)及传送(transport)两种工作模式。通过配置可以实现IPSec的NAT穿越。
IKE(IntelnetKeyExchange):是IPSEC的信令协议,为IPSec提供了自动协商交你密钥、建立安全联盟的服务。IKE可以在不安全的网络上安全的分发密钥,验证身份建立IPSEC安全联盟。IKE协商分两个阶段:先建立IKESA,再在IKESA的保护下完成IPSec协商。
DVPN(动态VPN):DVPN是华为的专利技术,使用C/S结构(其中一台DVPN接入设备做为Server,其它DVPN接入设备做为Client)实现了不同分支机构间VPN的动态建立。Client向Server注册信息。报文使用UDP封装,以保证NAT穿越。
SSLVPN:SSL协议是一种位于应用层和TCP层之间,向上层提供加密安全服务协议。SSL对应用层提供了安全可靠的有连接服务,对所传输的数据提供了私性的保护、完整性的校验,以及对端身份的验证。SSLVPN是应用SSL协议在客户端和企业之间建立的加密隧道。为减轻服务器加解密负担,一般使用SSLVPN网关代替服务器来应答客户端发起的SSL连接,并负责对收发的数据进行加解密。SSL代理与后台服务器之间将以明文方式进行加密通讯。目前H3C的SSLVPN功能以在网络设备上安装SSLVPN插卡的方式实现。通过老师的的演示及做实验,发现SSLVPN还是非常实用的,配置简单管理方便,客户端不用安装软件,以对资源的访问权限及客户端的使用环境控制的也很细致。
移动客户VPN:H3C移动客户VPN指的是通过在客户端的PC机上安装客户端软件(iNode)和硬件(SecKey),直接过通互联网拨入到公司网络连接。这种VPN就是H3C的基于客户端发起的AccessVPN的接入方式。VPN客户端有两种工作模式:L2TP,VPN客户端同时做为L2TP协议的LAC和ppp用户,通过L2TP协议和中心网关建立L2TP隧道;L2TPOverIPSec,VPN客户端首先和中心网关建立IPSec隧道,然后在IPSEC隧道上建立L2TP隧道通信。
VPN可靠性:H3CVPN可靠性,指的是解决VPN网关设备的单点故障,以及VPN单条链路的故障检测问题。设备单故障解决:布暑两台设备通过VRRP实现设备的冗余备份,自动切换。链路备份:使用动态路由或者侦测组方式实现在链路状态的监测,从而实现通信线路的快速切换。
三、H3C安全新产品新特性
课程的内容,像课程的名子一样,主要介绍了H3C的一些新的安全产品和安全产品所支持的新特性。目前H3C的安全产品主要有以下几种:防火墙、VPN网关、IDS、IPS、防毒墙,安全中心等。需要注意的是本课程介绍的网络安全产
品的新特性,只有中高端的防火墙硬件支持,并且需要把防火墙的系统软件版本升级到E1622P02以下才可以,使用时请注意产品说明。
SecCemter安全中心:该产品的主要作用是收集主机及网络设备的日志信息,对信息实时监控且可以产生报警信息,对生成报告进行分析,并具有审计功能的系统。安全中心由硬件服务器及安装在服务器上的软件组成。服务器装有windows201*操作系统,配有多块网卡(用于收集不同网络日志信息),拥有大容量硬盘。网络设备需要把日志输出指向安全中心后,安全中心就会自动添加网络设备,并可以对其进行日志管理。对于主机设备,需要在安全中心上手动添加,以获取日志信息。培训的时候看了一个H3C做的河南农行的实例,感觉产品功能还是比较强的,只是报价有些贵。
ASM防毒卡:H3C提出了一个OAA(开放业务架构)的概念,H3C的部分产品为第三方厂商(主要应该是与其它厂商间的合作吧)硬件及软件的接口插糟,从而能使用H3C的网络安全产品可以提供附加的安全功能。ASM防毒卡及后面提到的NSM流量监控卡就是这样的产品。ASM防卡是H3C与瑞星公司合作,用于在网络设备上实现对病毒防护的产品,防毒卡相当于一个单的小型主机,以插卡的方式安装到了网络产品上。网络设备通过对数据流的重定向功能,实现对相心数据流的病毒检查。目前防毒卡只支对应用层HTTP、FTP、POP3、SMTP4种数据流的检测。防毒卡配有专用的管理接口,以web方式管理配置。
NSM网络全监控卡:与ASM卡一样,是一种安装于网络设备上的插卡,用于监控网络数据流信息。通过在网络设备上配置端口镜像,使NSM卡获取数据流。NSM卡主要可以实现以下4方面功能:网络流量统计、网络流量监控、网络安全漏洞检测、网络的优化与规划。NSM卡配有专用的管理接口,以web方式管理配置(http/https)。
SecPath防火墙的混合模式特性:防火墙可以工作在三种工作模式,即路由模式、透明模式和混合模式。在操作系统E1622以上的版本支持混合模式。需要注意的是在E1622版本以上没有了firewallmodeXXX命令,设备默认工作在路由模式下。通过配置桥组,加入的接口转换为二层接口,实现透明转发功能。
SecPath防火火墙双机热备特性:新特性的双机热备不同于VRRP,新特性提出了RDO的概念,通过RDMP协议,VIF及HAInterface可以实现双机热备及均衡负载。同时新特性的双机热备可以实现配置同步及防火墙的状态表同步。
SecPath防火墙面向对像管理特性:面向对象提出了以下几种对像,地址对象、服务对像、时间对象和流对像。也就是先提前定义出以上几种对象,当有应用时再对对象加以引用。目前在SecPath中的使用范围是包过滤和NAT。可以根据使用者的习惯决定是否使用用面向对像的管理。使用web管理方式定义及使用对象应该更方便一些。
SecPath防火墙DAR特性:DAR深度应用研究感知,在新特性中的应用主要是根据数据的特征码识别BT流,通过设置对数据限速。
以上是对3门门考试课程中的一些知识点以及我所理解到的东西做了一下总结,希望对大家能有所帮助。关于具体的配置实现,请大家参考相应的操作手册或教材。近两周的培训,感到几个老师还是十分认真负责的,在学习及实验中给了我们很大的帮助,在这里表示一下感谢!
201*-9-12
扩展阅读:HCSE教材总结篇--路由(4.0)
HCSE教材总结篇--路由>>>
路由第一章
一、OSPF(OPENSHORTESTPATHFIRST)协议,开放式最短路径优先协议,由IETF开发的基于链路状态的自治系统内部路由协议,当前使用的是第二版,RFC2328,特点如下:
1、可以适应大规模网络,上百台路由器;
2、路由变化收敛速度快,如果拓扑结构变化,立刻发送更新报文;
3、无路由自环,使用了最短路径树算法计算路由,从算法本身保证了不会自环;4、支持VLSM(变长子网掩码),描述路由时携带网段的掩码信息;5、支持等值路由,到同一目的地址多条等值路由;6、支持区域划分,减少占用网络的带宽;
7、提供路由分级管理,使用4类不同路由,按照优先级别:区域内路由、区域间路由(两种优先级都为10)、第一类外部路由、第二类外部路由(优先级为150);8、支持验证,基于接口的报文验证;
9、组播发送,在有组播发送能力的链路层上以组播地址发送协议报文。
二、ROUTERID,一个32BIT的无符号整数,在整个自治系统内唯一,协议号89,配置命令:ROUTERID1.2.3.4,察看命令:SHOWIPOSPF,如果没有手工配置,系统优先选择LOOPBACK端口IP地址为ID,如果没有配置LOOPBACK端口,会从当前接口IP地址中自动选择一个IP地址作为ID。
三、OSPF将不同的网络拓扑抽象为四种类型:
1、STUBNETWORKS,接口连接网段中只有本路由器自己,比如局域网;2、POINTTOPOINT,通过点到点网络与一台路由器相连,比如DDN;
3、BROADCASTORNBMANETWORKS,通过广播或NBMA网络与多台路由器相连
4、POINTTOMULTIPOINT,通过点到多点与多台路由器连接。注意:NBMA要求全连通。
四、OSPF协议计算出路由的三个步骤:
1、描述本路由器周边的网络拓扑结构,生成LSA;
2、将自己生成的LSA在自治系统中传播,并同时收集其他路由器生成的LSA,生成所有路由器中都相同的LSDB(连路状态数据库);3、根据收集的所有LSA计算路由。五、OSPF的五种协议报文:
1、HELLO报文,发现维持邻居关系,选举DR、BDR,内容包括定时器数值、DR、BDR、以及自己已经知道的邻居;
2、DD报文(DATADESCRIPTION),描述自己的LSDB,包括每条LSA的摘要HEAD;
3、LSR报文(LINKSTATEREQUEST),交换了DD报文后,发送所需要的LSA摘要;
4、LSU报文(LINKSTATEUPDATEPACKET)发送所需要的LSA内容的集合;5、LSACK报文(LINKSTATEACKNOWLEDGMENTPACKET)内容是需要确认的LSA的HEAD。
六、OSPF的邻居状态机1、DOWN,在过去的DeadInterval时间内没有收到对方的hello报文,初始状态;2、Attempt,只适用于NBMA类型的接口,本状态定期向那些手工配置的邻居发送HELLO报文,使用224.0.0.5组播地址;
3、Init,本状态表示已经收到了邻居的HELLO报文,但是该报文中列的邻居中没有包含我的ROUTERID,也就是说对方没有收到我发的HELLO报文;
4、2-WAY状态,双方互相收到了对端的HELLO报文,建立邻居关系,在广播和NBMA类型网络中,两个接口状态是DROTHER的路由器之间停留在这个状态;5、EXStart,发送DD报文确定主从关系;
6、Exchange,将本地的LSDB用DD报文描述,发给邻居;7、LOADING,发送LSR报文请求对方的DD报文;
8、FULL,邻居路由器的LSDB中所有的LSA本路由器都有了,本路由器与邻居路由器建立邻接关系(adjacency)。
七、DR(DesignatedRouter)和BDR(BackupDesignatedRouter),OSPF协议指定一台路由器DR负责传递消息,产生过程为:1、登记选民;
2、登记候选人,本网段内Priority>0的,默认为1;3、竞选演说;
4、投票,选择的是Priority最大的为DR,如果Priority相同,选择ROUTERID大的当选。
八、稳定压倒一切,如果网络中已经存在DR,新加入的路由器不去抢DR。九、OSPF选举DR需要注意:
1、DR不一定是Priority最大的路由器,BDR不一定是第二大的路由器;
2、DR是某个网段中的概念,是针对路由器接口而言的,某台路由器在一个接口上可能是DR,在另外一个接口上可能是BDR;
3、只有在广播和NBMA类型的接口上才会选举DR,在POINTTOPOINT以及POINTTOmuiltipoint类型接口上不需要选举;4、两台Drother路由器之间不进行路由信息交换,但是发送hello报文,处于2-WAY状态。
十、NBMA与点到多点之间的区别:
1、OSPF中NBMA是全连通的非广播多点可达网络,点到多点不需要全连通;2、NBMA中选举DR与BDR,但是点到多点不选举;3、NBMA是缺省网络类型,点到多点需要手工配置;
4、NBMA用单播发送协议报文,需要手工配置邻居,点到多点是可选的,即可以单播发送也可以多播发送报文。十一、OSPF划分区域的原因,(OSPF在大型网络中遇到的问题):1、网络过大,导致LSDB庞大,占用大量存储空间;
2、LSDB过大,增加了SPF算法复杂度,导致CPU负载过重;3、路由器之间LSDB同步需要时间过长;
4、拓扑结构改变后所有路由器必须重新计算路由。具体解决问题办法:减少LSA数量,屏蔽网络变化波及的范围。
十二、划分区域为OSPF协议处理带来的变化:
1、每一个网段必须属于一个区域,或者说每个运行OSPF协议接口必须制定区域;2、不同区域之间通过ABR来传递路由信息。
十三、将自治系统划分了不同的区域后,路由计算方法的改变:1、同一个区域内路由器之间保持LSDB同步,拓扑结构变化在区域内更新;2、区域间路由计算通过ABR来完成,ABR先完成一个区域内路由计算,然后查询路由表,为每一条OSPF路由生成一条TYPE3类型的LSA,内容包括该条路由的目的地址、掩码、花费等信息,然后发送到另外区域中;
3、另外区域路由器根据每一条TYPE3的LSA生成一条路由,这些路由下一跳都是该ABR。
十四、划分区域后,ABR发送的区域间路由是基于D-V算法的;区域内路由是基于链路状态信息的,如果建立了虚连接,两个ABR之间直接传递TYPE3的LSA,中间的路由器只负责转发报文。
十五、ASBR(AutonomousSystemBoundaryRouter)自治系统边界路由器,物理位置不一定真的位于As的边界,而是可以位于自治系统内任意位置。
十六、ASBR为每一条引入的路由生成一条TYPE5类型的LSA,主要内容为该条路由的目的地址、掩码和花费等信息,这些路由信息将在整个自治系统内传播(STUBAREA除外),如果ASBR区域内有ABR存在,那么ABR必须专门为ASBR生成一条TYPE4类型的LSA,内容包括ASBR的ID和到它的花费值。十七、自治系统外部路由分为TYPE1和TYPE2两种,其中TYPE1主要代表RIP或者STATIC等IGP路由,路由花费=本路由器到ASBR花费+ASBR到该路由目的地址花费,TYPE2代表BGP路由,由于这个花费远远大于自治系统内花费,所以该路由花费=ASBR到该目的路由得花费值,如果该值相等再考虑本路由器到ASBR花费。
一、OSPF协议将整个自治系统划分为不同的区域,出于以下两个目的:1、减少路由信息在自治系统之中的传递;
2、可以针对不同区域的拓扑特点采用不同的策略。二、STUB区域:(那些不传播TYPE5类型,也就是不引入的外部路由的LSA的区域),处于自治系统的边界,是那些只有一个ABR的非骨干区域,或者该区域有多个ABR,但是它们之间没有配置虚连接。
三、配置STUB区域的注意事项:
1、骨干区域不能配置成STUB区域,虚连接不能穿过STUB区域;
2、如果想将一个区域配置成STUB区域,则该区域中的所有路由器都必须配置成该属性;
3、STUB区域内不能存在ASBR,即自治系统外部路由不能引入到区域内,区域的自治系统外部路由也不能在本区域内传播和传递到区域外。
四、NSSA(notsostubbyarea)区域,在RFC1587种描述。
1、自治系统外的路由不能进入NSSA区域,但是区域内的路由器引入的ASE路由可以在NSSA中传播并发送到区域外;
2、为了解决单项传递,重新定义了一种LSA----TYPE7的LSA,与TYPE5的区别在于类型标识,在NSSA的ABR上将NSSA内部产生的TYPE7类型的LSA转化为TYPE5类型再发出去,并同时更改LSA的发布者为SBR自己。NSSA区域内所有路由器必须支持该属性,区域外的不需要支持。
五、路由聚合:只有在ABR上配置才有效。六、LSA分类:
1、RouterLSA(TYPE=1),每个路由器都能产生;
2、NetworkLSA(TYPE=2),由DR生成,传递到整个区域,描述本网段中所有已经同其建立了邻接关系的路由器;
3、NetworkSummaryLSA(TYPE=3),由ABR生成,描述了到区域内某一网段的路由,传递到相关区域;
4、ASBRSummaryLSA(TYPE=4),由ABR生成,描述到达本区域内部的ASBR的路由。是主机路由,掩码0.0.0.0
5、ASExternalLSA(TYPE=5),由ASBR生成,主要描述了到自治系统外部路由的信息。
七、OSPF协议根据链路层媒体不同分为以下四种网络类型:
1、Broadcast,以224.0.0.5,224.0.0.6发送协议报文,需要选举DR,BDR;
2、NBMA,当FR或者X25时,缺省为NBMA,以单播地址发送协议报文,需要手工配置邻居IP地址,需要选举DR,BDR;
3、Point-to-Multipoint,手工修改NBMA配置而来,以224.0.0.5发送协议报文,不需要选举DR,BDR;
4、Point-to-Point,当链路层协议为ppp,hdlc,LAPB时,224.0.0.5发送协议报文,不需要选举DR,BDR。
八、路由器根据在自治系统中不同位置,划分为以下四种类型:1、IAR(InternalAreaRouter),区域内路由器;2、ABR(AreaBorderRouter),区域边界路由器;
3、BBR(BackBonerouter),骨干路由器,0区域所有路由器,包括0区域的ABR;4、ASBR(ASboundaryRouter),自治系统边界路由器。
九、一个运行OSPF协议的接口状态根据接口不同类型划分以下四种:1、DR2、BDR
3、DROTHER4、Point-to-Point注意:DR、BDR、DROTHER是在Broadcast或者NBMA状态时需要选举,在Point-to-Point或者Point-to-Multipoint时不需要选举,所以就是第四种类型。十、D-V算法“距离-向量”算法的缺陷:1、每台路由器只能保证自己本地路由正确性,不能保证其他路由器路由正确与否;2、每一条路由信息中没有标明生成者信息。
十一、OSPF协议生成的自治系统内部路由无自环,引入的自治系统外部路由则无法保证是否有自环。
十二、什么时候需要OSPF:1、按照网络规模来说;5台以下用静态,10台左右用RIP,更多的话可以用OSPF;2、按照网络拓扑结构来说:网状并且任意路由器都有互通要求;3、按照其他特殊要求:网络变化时快速收敛;
4、按照对路由器自身要求:低端路由器不推荐使用OSPF。十三、配置OSPF协议中划分区域的基本原则:1、按照自然的地区或者行政单位划分;2、按照网络中的高端路由器来划分;3、按照IP地址规律来划分。十四、划分区域的限制:
1、区域规模的问题:每个区域不要超过70台路由器,如果整体少于20台也可以只划分一个区域。
2、与骨干区域的连通问题:所有区域必须和骨干区域连通,骨干区域自身也必须连通,特殊情况用虚连接搞定。3、ABR的处理能力,一台ABR上不要配置太多区域,一般是一个骨干区域+一个或者两个非骨干区域。十五、区域间路由聚合:
在Quidway(config-router-ospf)#rangex.x.x.xmaskx.x.x.xareaxxx注意:必须在ABR上配置才有效。十六、STUB区域配置方法:
整个区域内所有路由器都要配置:
Quidway(config-router-ospf)#stubcostxxareaxx注意:STUB区域内不能存在ASBR。十七、NSSA配置方法:
如果是区域内路由器:Quidway(config-router-ospf)#areaxxxnssa
如果是ABR,Quidway(config-router-ospf)#areaxxxnssa缺省路由no-summaryno-redistribution第2页
十八、虚连接配置方法:两台路由器之间都要配置:
Quidway(config-router-ospf)#virtual-linkneighbor-id对端的ROUTERIDtransit-areaxxx可以配置一些参数:比如:
1、hello-interval,发送间隔
2、dead-interval,邻接点死亡时间3、retransmit重传间隔4、transit-dealy传输延迟
十九、在NBMA中更改为Point-to-MultipointQuidway(config-if-serial0)#ipospfenablearea0
Quidway(config-if-serial0)#ipospfnetworkpoint-to-multipoint二十、显示OSPF运行状态:
1、showipospf显示全局信息,routerid,划分区域,ABR以及ASBR
2、showipospfinterface显示端口信息,花费、状态、类型、优先级、定时器值3、showipospfneighbor显示邻居,看状态4、showipospferror:
OSPF:notonsamenetwork两个接口不在同一网段;
OSPF:badvirtuallink错误虚连接报文,比如一端没配,指定邻居错误,transit-area不同OSPF:externoptionmismatch一台配置了stub,另外一台没配OSPF:routeridconfusion两台routerid相同
二十一、显示ospf调试信息:1、debugipospfevent2、debugipospflsa3、debugipospfpacket4、debugipospfspf二十二、排除故障的步骤
1、配置故障排除;检查两端是否启动并配置了ospf2、局部故障排除;检查协议运行是否正常,3、全局故障排除;区域划分是否正常4、其它疑难问题二十三、关于局部故障排除需要检查内容:1、routerid配置后正确;2、是否激活ospf协议;
3、检查接口是否配置属于特定区域,showipospfinterfacexxx4、是否正确引入外部路由
二十四、邻居路由器之间故障排除:showipospfneigbor如果几秒钟到3分钟之后,仍没有和DR之间达到FULL状态,证明存在故障:
1、检查物理连接以及下层协议是否正常运行;要使用PING以及多播检查;2、检查双方在端口配置是否一致,包括hello-interval,dead-interval,authentication,area掩码等;
3、dead-interval必须大于hello-interval4倍以上;
4、如果网络类型为广播或者NBMA,则至少有一台路由器的priority>05、区域的stub属性必须一致;6、接口的网络类型必须一致;
7、NBMA网络中是否手工配置了邻居二十五、关于所谓的其它疑难问题:1、路由表中丢失部分路由,检查是否配置了路由过滤DISTRIBUTE-LISTNUMBERIN;
2、路由表不稳定,时通时断,A-线路质量不好
B-多台路由器同时拨一台路由器,需要将Point-to-point更改为point-to-multipointC-自治系统内可能存在两个相同routerid
3、无法引入自治系统外部路由,可能处于stub区域;4、区域间路由聚合问题,
A-存在两个以上ABR,但是却少配置了其中的一个或多个;B-检察路由聚合命令是否重复等等路由器第二章:BGP协议
一、BGP(BorderGatewayProtocol)边界网关协议,一种自治系统间的动态路由协议,通过交换AS序列属性的路径可达信息来构造自治区域的拓扑图。二、BGP协议的概述:
1、是一种外部路由协议;
2、是一种D-V距离-矢量路由协议;3、为路由附带了属性信息;
4、传送协议为TCP端口号179;5、支持CIDR;
6、路由更新时只发送增量路由;7、具备丰富的路由过滤和路由策略。
三、自治系统的编号范围:1~65535,其中1~65411为INTERNET编号,65412~65535为专用网络编号。
四、BGP有两种邻居:IBGP和EBGP五、BGP路由通告原则
1、多条路径时,BGPSPEAKER只选择最优的给自己使用;2、BGPSPEAKER只把自己使用的路由通告给其他BGP;
3、BGPSPEAKER从EBGP获得的路由会向所有的BGP相邻体转发;4、BGPSPEAKER从IBGP获得的路由不会向IBGP相邻体转发;5、BGPSPEAKER从IBGP获得的路由是否向EBGP相邻体转发取决于IGP和EGP是否同步;
6、连接一建立,BGPSPEAKER将自己所有的BGP路由通告给新的相邻体。六、成为BGP路由的三种途径:1、纯动态注入;2、半动态注入;3、静态注入。
七、BGP报文种类为4种,最大4096字节:1、HELLO;
2、KEEPALIVE(19字节,发送间隔60秒);3、UPDATE;
4、NOTIFICATION。
八、UPDATE消息可以向BGP对等体通告时三个特点:
1、一个UPDATE消息一次只能通告一个路由,但可以携带多个路径属性;2、一个UPDATE消息一次也能通告多个路由,但必须携带同一个路径属性;3、一个UPDATE消息一次可以同时列出多个撤销路由。九、UPDATE消息由三部分构成:1、不可达路由(unreachable);2、路径属性(pathattributes);
3、网络可达性信息(nlrinetworklayerreachableinformation)。十、BGP协议的6个状态机:1、IDLE
2、CONNECT3、ACTIVE4、OPENSENT
5、OPENCONFIRM6、ESTABLISHED十一、BGP常用6属性情况
类型代码属性名必遵/可选过渡/非过渡1ORIGIN必遵过渡2AS-PATH必遵过渡3NEXT-HOP必遵过渡4MED可选非过渡
5Local-prefrence可选非过渡8Commuity可选过渡十二、BGP常见路由属性6种,可扩充为256种。十三、ORIGIN属性:
1、IGP,通过NETWORK引入的,2、EGP,通过EGP得到的;
3、INCOMPLETE,通过redistribute引入的。十四、团队属性:
1、NO-EXPERT;不通告给AS外的BGP相邻体;2、NO-ADVERTISE,不通告给所有BGP;3、LOCAL-AS,不通告给EBGP相邻体;4、INTERNET通告所有路由器。十五、BGP路由选择过程
1、当下一跳不可达,则忽略该路由;2、选择本地优先级较大的路由;
3、如果本地优先级相同,选择从本路由器始发的路由;4、选择AS路径短的路由;
5、顺序选择IGP,EGP,INCOMPLETE路由;6、选择MED小的路由;
7、选择ROUTERID小的路由。十六、BGP在大规模网络中遇到的问题:
1、路由表庞大,需要用路由聚合解决;
2、相邻体过多,无法实现逻辑全连接,需要用路由反射、路由联盟解决;3、负责网络环境中路由变化过于频繁,使用路由衰减解决。十七、路由聚合方式:
1、聚合但是抑制特定路由suppress-map;2、选择具体路由予以聚合advertise-map;3、改变聚合路由AS属性attribute-map;4、聚合时生成AS-SET聚合as-set十八、路由衰减的5个参数意义:1、可达半衰期;2、不可达半衰期;3、重用值;4、抑制值;5、惩罚上限。
路由器第三章:路由策略与引入一、路由策略的作用:1、过滤路由信息的手段;
2、发布路由信息时只发送部分信息;3、接受路由信息时只接受部分信息;
4、进行路由引入时引入满足特定条件的信息;5、设置路由协议引入的路由属性。第3页
二、与路由策略相关的五种过滤器:1、路由映像(route-map)2、访问列表(access-list)3、前缀列表(prefix-list)
4、自治系统路径信息访问列表(aspath-list)5、团体属性列表(community-list)三、路由策略和过滤器之间的关系
1、当路由引入的时候,5种过滤器都可以使用;2、当路由发布的时候:prefix-list,access-list
3、当路由接受的时候:prefix-list,access-list和gateway四、路由策略配置任务列表包括:1、定义路由映像;2、定义路由映像的match子句;3、定义路由映像的set子句;4、引入其他协议的路由信息;5、定义地址前缀列表prefix-list;6、配置路由过滤。
五、定义路由映像时注意的是:
1、route-map中所有条件是“或”的关系,符合一个就可以;2、match中是“与”的关系,必须全部符合。六、定义match子句时,可以定义的条件包括:1、as-path自治系统路径;2、community-list团体属性;
3、ipaddressprefix-list路由信息的目的地址4、interface路由信息下一跳接口;5、ipnext-hop路由信息的下一跳;6、metric匹配路由信息的路由权值;
7、metrick1k2k3k4k5匹配igrp和eigrp的路由权值8、tag匹配ospf路由信息的标识域9、route-type匹配ospf路由信息的类型
七、定义set子句的时候可以定义的条件包括:1、setas-path定义原as路径前的as序号;2、setcommunity定义bgp团体的属性;
3、setipnext-hop定义bgp信息的下一跳地址;
4、setlocal-preference定义bgp路由信息的本地优先级;5、setmetric定义路由信息的路由权值;
6、setmetrck1k2k3k4k5定义igrp和eigrp路由权值;7、setorigin定义路由源;
8、settag设置ospf路由信息的标识域。八、注意k1k2k3k4k5含义:
1、k1代表bandwidth带宽1~4294967295kbytes/s;2、k2代表delay时延1~16777215单位为10微秒;3、k3代表reliability信道可信度0~2554、k4代表loading信道占用率0~2555、k5代表mtu最大传输单元1~65535路由第四章---网络安全特性
一、网络安全关注的范围:
1、保护网络物理线路不会轻易遭受攻击;2、使用有效的方式识别合法和非法的用户;3、具有有效的访问控制手段;4、保证内部局域网的隐蔽性;
5、重要数据的安全性以及有效的防伪手段;6、对网络设备、网络拓扑的安全管理;7、病毒防范;
8、对员工的安全防范意识进行必要的教育。二、网络传统攻击方式:1、窃听报文;2、IP地址欺骗;3、源路由攻击;4、端口扫描;5、拒绝服务攻击;6、应用层攻击。
三、网络安全的必要技术:1、可靠性与线路安全;2、身份认证;(访问路由器验证、对端路由器身份验证、路由信息身份验证)3、访问控制;(路由器访问控制、基于五元组的访问控制、基于用户的访问控制)五元组:源IP地址、目的IP地址、协议号、源端口、目的端口。4、信息隐藏;地址转换技术;5、数据加密和防伪;数字签名四、Quidway路由器的安全技术
1、AAA网络安全服务(基于用户名的验证、授权、记账,使用RADIUS协议);2、包过滤技术;3、地址转换技术;4、IPSEC和IKE技术。(IPSEC通过AuthenticationHeader和EncapsulatingSecurityPayload两个安全协议实现)
5、隧道技术,(VPN核心技术,二层隧道技术VPDN,三层隧道技术IPSEC,GRE)五、提供AAA支持的服务包括:
1、PPP,PPP的CHAP和PAP验证用户;
2、EXEC,通过TELNET登陆到路由器以及CONSOLE,AUX等;3、FTP,通过FTP登陆到路由器。六、验证包括:
1、对用户名和口令的验证;2、PPP的PAP和CHAP验证;3、主叫号码验证。七、授权包括:
1、服务类型授权,可以是PPP,EXEC,FTP中的一种或者多种;2、回呼号码授权,对PPP回呼用户可以设定回呼号码;3、隧道属性授权,配置L2TP隧道属性。
八、进行AAA验证的用户都缺省计费,如果不希望计费,一定要配置:aaaaccountingoptional
九、AAA的方法表,LOGIN只能配置一个方法表,PPP可以配置多个方法表。1、RADIUS2、LOCAL3、NONE
4、RADIUS+LOCAL5、RADIUS+NONE
十、路由器资源有限,最多只支持配置50个用户,所以大量用户使用RADIUS服务器。
十一、原语为各服务(PPP,EXEC,FTP)与AAA功能的接口,常见7种:其中请求原语3个:1、join(pap)2、join(chap)3、leave返回结果原语3个:4、accept5、reject6、bye
另外一种:如果没有配置aaaaccountingoptional,则要求相应服务切断用户:7、cut
十二、RADIUS(RemoteAuthenticationDial-inUserService)采用的(client/server客户机/服务器)结构,使用UDP作为传输协议,使用MD5加密算法进行数字签名。
十三、RADIUS协议使用了两个UDP端口分别用于验证(1812端口,RFC2138规定的)、计费(1813,RFC2139规定的)十四、验证和授权过程:1、首先发送验证请求包:CHAP验证中包含用户名、验证过程中的Challenge、chapidentifier、response、主叫号码验证还需要有主叫号码。2、RADIUS验证请求包;
3、路由器收到访问接受/拒绝包时,首先判断包的签名是否正确,然后进行处理。十五、RADIUS计费过程包括:计费请求和计费应答。
十六、每一个用户计费过程:计费开始、实时计费、计费结束。
十七、计费信息:会话时长、输入字节数、输出字节数、输入包数、输出包数。路由器第五章:VPN原理及配置
一、VPN(virtualprivatenetwork),按照应用分类为:1、ACCESSVPN;2、INTRANETVPN;3、EXTRANETVPN
二、VPN按照实现方式划分:1、点到网的;基于以下协议:L2TP(LAYER2TUNNELPROTOCOL)
PPTP(POINTTOPOINTTUNNELPROTOCOL)L2F(LAYER2FORWARDING)
2、网到网的,基于以下协议:GRE(generalroutingencapsulation)IPSEC(ipsecurityprotocolsuite)IPSEC/BGP
MPLS/BGP(multi-protocollableswitch)三、VPN安全性设计原则:1、隧道与加密;2、数据验证;3、用户验证;
4、防火墙与攻击检测。
四、VPN网络管理设计原则:1、减小网络风险;2、扩展性;3、经济性;4、可靠性。
五、QUIDWAY系列路由器的VPN技术:1、隧道技术;
2、IPSEC;(私有性、完整性、真实性、防重放)3、密钥交换技术;4、防火墙技术;5、QOS
6、配置管理。
六、QUIDWAY系列路由器的VPN解决方案:1、ACCESSVPN;2、INTRANETVPN;3、EXTRANETVPN
4、结合防火墙的VPN解决方案。七、L2TP协议的特性:1、适用于点到网的协议;
2、支持私有地址分配,不占用公有IP地址;
3、与PPP配合支持AAA功能,与RADIUS配置支持灵活的本地和远端的AAA;4、与IPSEC结合,支持对报文的加密;5、配置简单,接入灵活。
八、企业员工通过两种方式接入总部网络:
1、通过直接连入POP点,在用户侧配置VPN拨号软件就可以通讯;
2、通过PSTN/ISDN接入LAC,让LAC通过INTERNET向LNS发起建立通道连接请求,不需要配置VPN拨号软件,利用ISP提供的VPN账号。九、L2TP的基本控制流程:
1、隧道建立流程,三次握手,首先LAC向LNS发送SCCRQ,LNS向LAC回复SCCRP,LAC向LNS发送SCCCN。2、会话建立流程,三次握手,首先LAC向LNS发送ICRQ,LNS向LAC回复ICRP,LAC向LNS发送ICCN。第4页
十、L2TP基本控制流程中维护、拆除部分:1、隧道维护,双方互发HELLOZLB;2、隧道拆除,双方互发STOPCCND、本端强制挂断后,快速重连。也就是同一个IP地址的对端同时连接不允许。2)PPP协商不通过:
A、LAC端设置用户名密码有误,或者LNS端没有相应用户;B、LNS端不能分配地址;
C、密码验证类型不一致,比如WINDOWS201*的缺省是MSCHAP。2、传输失败:
1)用户端配置有误,IP地址分配错误;2)网络拥塞。
十四、GRE(genericroutingencapulation)通用路由封装协议,可以实现服务:1、多协议的网络通过单一协议的网络连接起来;2、扩大了网络工作范围,包括路由网关有限的协议;
3、ipx包只能转发16次,但是在一个tunnel连接看,只经过一个路由器;4、将一些不连续的子网连接起来。
十五、L2TP从属于二层隧道协议,而GRE从属于三层隧道协议,协议号47。十六、GRE的实现经过的三个步骤:1、建立TUNNEL;
2、实现TUNNEL加封装过程;3、实现TUNNEL解封装过程。十七、GRE配置具体步骤
1、配置TUNNEL接口:interfacetunnelxxx
2、配置tunnel接口源端地址:tunnelsourcex.x.x.x3、配置tunnel接口对端地址:tunneldestinationx.x.x.x4、配置tunnel网络地址:ipaddressx.x.x.xx.x.x.x5、配置tunnel接口工作模式:tunnelmodegreip
6、配置识别关键字或者端到端校验tunnelkeyxxx/tunnelchecksum十八、IPSEC协议提供了两个安全协议:AH和ESP,信令协议为IKE。1、AH(authenticationheader)报文验证头协议,协议号50;
2、ESP(encapsulatingsecuritypayload)报文安全封装协议,协议号51;3、IKE(internetkeyexchange)十九、IPSEC基本概念:
1、安全联盟;一个单向安全连接,包括安全协议、算法、密钥、对端IP和安全参数索引。
2、安全参数索引;32比特,由IKE协商传递。3、序列号;IP报文中序列号,实现防重放。4、安全联盟生存时间;1)、时间限制2)、流量限制5、数据流;通过ACL实现
6、安全策略。相同名称的安全策略和顺序号不同的策略构成安全策略组。二十、AH报文:
1、传输模式下,只验证IP报文数据部分和IP头不变部分;2、隧道模式下,验证全部内部IP报文和外部IP头不变部分。不可以附加验证,算法为MD5(128BIT)和SHA1(160BIT)二十一、ESP报文格式:
1、传输模式下,对IP报文有效数据加密;2、隧道模式下,对整个内部IP报文加密;可以附加验证,算法为MD5和SHA1,如果加密,使用DES,3DES路由器第六章:QoS服务质量保证一、QoS的指标:
1、带宽和吞吐量bandwidthandthroughput;2、时延delay;3、时延抖动jitter;4、丢失率lossrate。
二、具体的一般常用的QoS指标:1、最小转发时延;2、最小延时抖动;3、最小丢包率;4、报文吞吐量。
三、QoS三种服务模型:
1、Besteffort尽力而为服务模型;
2、Intergratedservice集成服务模型;通过信令实现的。3、Differentiatedservice差别服务模型;
四、集成服务模型IntergratedService可以提供的两种服务:1、保证服务;2、负载控制服务。五、差别服务模型diffserv,采用以下5种技术为重要业务提供端到端的Qos保障:1、报文分类(IP优先级和ACL);2、流量监管(CAR);3、流量整形(GTS);
4、拥塞管理(队列机制);5、拥塞避免(WRED)。
六、报文分类:如果使用IP报文头TOS字段分类可以分为8类,但是根据DSCP分类则可以分为64类。
七、流量监管CAR(CommittedAccessRate)
1、利用令牌桶tockenbucket(TB)进行流量控制;
八、流量整形GTS(GenericTrafficShaping),还包括LR(linerate)1、区别在于GTS基于IP层实现,而LR处于链路层;2、两个都是当令牌不够的时候将报文放入拥塞管理。九、拥塞管理(队列机制)包括:1、FIFO先进先出队列;2、PQ优先级队列;3、CQ定制队列;4、WFQ加权公平队列。依据是:源目的地址地值、源目的端口、协议号、precedence。十、PQ的内容:将报文分为4个队列highmediumnormallow
十一、CQ的内容:将报文分为17个队列,0为系统队列优先调度,1-16为用户队列,根据带宽配额*询调度。
十二、QoS的SHOW命令有3条:
1、showqueueing;显示PQ和CQ2、showaccess-list;显示CAR
3、showqos-interface;显示PQ,CQ,FQ,GTS,LR等。
友情提示:本文中关于《HCSE-Security培训总结》给出的范例仅供您参考拓展思维使用,HCSE-Security培训总结:该篇文章建议您自主创作。
来源:网络整理 免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。