vpn
111. vpn-virtual private network
112. 按套用類型 access vpn、intranet vpn、extranet vpn
113. 按實現層次 2層 [ pptp、l2f、l2tp ]、3層[gre、ipsec]
114. 遠程接入vpn即access vpn又稱vpdn,利用2層隧道技術建立隧道。用戶發起的vpn,lns側進行aaa。
115. intranet vpn企業內部互聯可使用ipsec和gre等。
116. 2層隧道協定:pptp 點到點隧道協定、l2f 二層轉發協定 cisco、l2tp 二層隧道協定 ietf起草,可實現vpdn和專線vpn。
117. 三層協定:隧道內只攜帶第三層報文,gre-generic routing encapsulation 通用路由封裝協定、ipsec-由ah和ike協定組成。
118. vpn設計原則,安全性、可靠性、經濟性、擴展性
l2tp
119. l2tp layer 2 tunnel protocol 二層隧道協定,ietf起草,結合了pptp和l2f優點。適合單個和少數用戶接入,支持接入用戶內部動態地址分配,安全性可採用ipsec,也可採用vpn端系統lac側加密-由服務提供商控制。
120. l2tp兩種訊息:控制訊息-隧道和會話連線的建立、維護和刪除,數據訊息-封裝ppp幀並在隧道傳輸。
121. 同一對lac與lns間只建立一個l2tp隧道,多個會話復用到一個隧道連線上。
122. lac-l2tp access concentrator lns-l2tp network server
123. 隧道和會話的建立都經過三次握手:請求crq-應答crp-確認ccn。隧道sc,會話i
124. 隧道和會話拆除時需要有zlb-zero-length body 報文確認。
125. l2tp封裝:ip報文(私網)-ppp報文-l2tp報文-udp報文-ip報文(公網)
126. 配置lac側:1配置aaa和本地用戶、2啟動vpdn l2tp enable、3 配置vpdn組 l2tp-group number、3 配置發起連線請求和lns地址 start l2tp [ipadd]
127. 配置lns側:1配置本地vpdn用戶、2 啟動vpdn、3 創建vpdn組、4 創建虛模板,為用戶分配地址 interface virtrual-template [number]、5 配置接受呼叫的對端名稱 allow l2tp virtual-template[number][name]
128. l2tp可選配置:本端隧道名稱、隧道加密驗證、hello報文的傳送間隔、配置l2tp最大會話數。
129. dis l2tp tunnel &session 、debug l2tp all/control/error/enent/hidden/payload/time-stamp
130. l2tp用戶登入失敗:1 tunnel建立失敗-lac端配的lns地址不對,tunnel密碼驗證問題、2 ppp協商不通-pap、chap驗證,lns端地址分配問題。
gre
131. gre-generic routing encapsulation 通用路由封裝是一種三層隧道的承載協定,協定號為47,將一種協定報文封裝在另一中報文中,此時ip既是被封裝協定,又是傳遞(運輸)協定。
132. gre配置:1 創建tunnel接口 interface tunnel [number]、2 配置接口源地址 source [ip-add]、3 配目的地址 destination [ip-add]4 配網路地址 ip add [ip-add,mask]
133. gre可選參數 接口識別關鍵字、數據報序列號同步、接口校驗。
ipsec
134. ipsec-ip security 包括報文驗證頭協定ah 協定號51、報文安全封裝協定esp 協定號50。工作方式有隧道tunnel和傳送transport兩種。
135. 隧道方式中,整個ip包被用來計算ah或esp頭,且被加密封裝於一個新的ip包中;在傳輸方式中,只有傳輸層的數據被用來計算ah或esp頭,被加密的傳輸層數據放在原ip包頭後面。
136. ah可選用的加密為md5和sha1。esp可選的des和3des。
137. ipsec安全特點,數據機密性、完整性、來源認證和反重放。
138. ipsec基本概念:數據流、安全聯盟、安全參數索引、sa生存時間、安全策略、轉換方式
139. 安全聯盟 sa-包括協定、算法、密鑰等,sa就是兩個ipsec系統間的一個單向邏輯連線,安全聯盟由安全參數索引spi、ip目的地址和安全協定號(ah或esp)來唯一標識。
140. 安全參數索引spi:32比特數值,全聯盟唯一。
141. 安全聯盟生存時間 life time:安全聯盟更新時間有用時間限制和流量限制兩種。
142. 安全策略 crypto map :即規則。
143. 安全提議 transform mode :包括安全協定、安全協定使用算法、對報文封裝形式。規定了把普通報文轉成ipsec報文的方式。
144. ah、esp使用32比特序列號結合重放視窗和報文驗證防禦重放攻擊。
145. ike-internet key exchange 網際網路密鑰交換協定,為ipsec提供自動協商交換密鑰號和建立sa的服務。通過數據交換來計算密鑰。
146. ike完善的向前安全性pfs和數據驗證機制。使用dh-diffie-hellman公用密鑰算法來計算和交換密鑰。
147. phs特性由dh算法保證。
148. ike交換過程,階段1:建立ike sa;階段2:在ike sa下,完成ipsec協商。
149. ike協商過程:1 sa交換,確認有關安全策略;2 密鑰交換,交換公共密鑰;3 id信息和驗證數據交換。
150. 大規模的ipsec部署,需要有ca-認證中心。
151. ike為ipsec提供定時更新的sa、密鑰,反重放服務,端到端的動態認證和降低手工配置的複雜度。
152. ike是udp上的套用層協定,是ipsec的信令協定。他為ipsec建立安全聯盟。
153. ipsec要確定受保護的數據,使用安全保護的路徑,確認使用那種保護機制和保護強度。
154. ipsec配置:1 創建加密訪問控制列表、2 定一安全提議 ipsec proposal [name];ipsec card-protposal [name]、3 設定對ip報文的封裝模式 encapsulation-mode [transport or tunnel]、4 選擇安全協定 ah-new esp-new ah-esp-new 、5 選擇加密算法 只有esp可加密、6 創建安全策略 ipsec policy 套用安全策略到接口 ipsec policy
155. ike配置:1創建ike安全策略 ike proposal [num]、2 選擇加密算法、認證方式、hash散列算法、dh組標示、sa生存周期3、配置預設共享密鑰 ike pre-shared-key key remote [add]、4 配置keeplive定時器
156. keeplive定時器包括 1 interval定時器 按照interval時間間隔傳送keeplive報文 2 timeout定時器 逾時檢查
157. debug ipsec misc/packet/sa
qos
158. qos-quality of service 服務質量保證。在通信過程中,允許用戶業務在丟包率、延遲、抖動和頻寬上獲得預期的服務水平。
159. qos需要提供以下功能:避免並管理ip網路阻塞、減少ip報文丟包率、調控流量、為特定用戶提供專用頻寬、支持實時業務
160. ip qos三種模式:best-effort模型-預設fifo;intserv模型-申請預留資源;diffserv-網路擁塞時,根據不同服務等級,差別對待
161. intserv模型,提供可控的端到端的服務,利用rsvp來傳遞qos信令。有兩種模式:保證服務和負載控制服務。
162. rsvp是第一個標準的qos信令協定,不是路由協定但是按照路由協定規定的報文流的路徑為報文申請預留資源。只在網路節點間傳遞qos請求,本身不完成qos要求的實現。
163. rsvp要求端到端的設備均支持這一協定,可擴展性差,不適合在大型網路套用。
164. diffserv-differentiated service 差分服務模型,目前qos主流。ds不需要信令。數據進入ds網路,根據優先權dscp匯聚為一個行為集合。根據定義的phb-per-hop behavior來對業務流執行phb。
165. 著色:給不同的業務流打上qos標記。著色是進行qos處理的前題。
166. car-commited access rate 約定訪問速率。是流量監管-traffic policing的一種。利用ip頭部的tos欄位來對報文處理,三層處理。
167. car採用令牌桶進行流量控制。配置命令:1 定義規則qos carl carl-index、2 在接口上套用car策略或acl qos car inbound/outbound 每個接口上可套用100條,注意套用策略前,取消快速轉發功能。
168. gts-generic traffic shaping 流量整形 用於解決鏈路兩邊的接口速率不匹配,使用令牌桶,兩種方式處理報文:1 所有流處理 2 不通的流不同處理 命令 qos gts
169. lr-line rate 物理接口限速 2層處理 令牌桶機制所有報文均需通過lr的桶。命令 qos lr ….
170. 擁塞管理的算法:fifo、pq、cq、wfq。
171. fifo-先進先出 best effort模型
172. pq-priority queuing 優先對列 分為high、medium、normal、low;命令 全局定義qos pql 接口上套用 qos pq pql
173. cq-custom queuing 定製佇列 可配置對列占用的頻寬比例 包含17個組,0為系統對列,1-16 用戶對列。命令 全局定義,接口套用
174. wfq-wgighted fair queuing 加權公平對列 最大對列數16-4096 採用hash算法。權值依的大小依靠ip報文頭中攜帶的ip優先權。命令 qos wfg
175. 擁塞避免-在未發生擁塞時,根據對列狀態有選擇的丟包。算法 red隨機早期檢測、wred 加權隨機早期檢測
176. tcp全局同步,尾部丟棄多個tcp連線的報文,導致多個倆結同時進入慢啟動和擁塞避免。
177. wred-weighted random early detection 採用隨機丟棄報文。根據對列深度來預測擁塞情況,根據優先權定義丟棄策略,定義上下限。相同優先權對列約長,丟棄機率越大。
178. wred命令:1 能使wred qos wred、2 配置計算平均隊長指數 3 配置優先權參數
179. 丟棄機率分母的倒數為最大丟棄機率,值越小,機率越大