56. update報文,攜帶路由更新信息,包括撤銷和可達的路由信息。
57. notification報文,當檢測的差錯時,傳送notification報文關閉peer連線。
58. keeplive報文,收到open報文後相對端回應,peer間周期性傳送,保持連線。
59. bgp報文頭中type信息1位元組,1open 2updata 3notification 4keeplive
60. updata報文一次只能通告一個路由,但可以攜帶多個屬性。當一次通告多條路由的話,只能攜帶相同的屬性。updata可以同時列出多個被撤銷的路由。
61. 預設情況,keeplive 60s一發。
62. notification的errorcode中code=2 open錯 code=3 update錯
63. bgp開始idle狀態,bgp一旦start則進入connect狀態,接著建立tcp連線,如果不成功則進入active狀態,成功就進入opensent狀態,opensent狀態收到一個正確的open報文就進入openconfirm狀態,當受到keeplive報文,就會建立bgp連線,進入established狀態。
64. bgp屬性目前16種可擴展到256種。分為必遵、可選、過渡、非過渡。
65. origin屬性 標識路由的來源,0-igp 聚合和注入路由、1-egp egp得到、3-incomplete 其他方式 從其他igp引入的
66. as-path屬性 達到某個目的地址所經過的所有as號碼序列。宣告時把新經過的as號碼放在最前。
67. next hop屬性 必遵屬性 當對等體不知道路由時,須將下一條屬性改為本地
68. local-preference屬性 可選 幫助as內的路由器選擇到as區域外的較好的出口,本地優先權屬性只在as內部,ibgp peer間交換。
69. med屬性 向外部指示進入某個具有多入口的as的優先路經。選med小的。
70. community屬性 no-expert 不通告到聯盟/as外部 no-advertise 、不通告給任何bgp peer、local-as不通告給任何ebgp、internet 通告所有路由器
71. bgp路由選擇過程 1、下一跳不可達,忽略 2、選擇local-preference大的路由 3、優先權相同,選擇本地路由器始發的路由 4、選擇as路徑較短的路由5、路由選擇順序igp-egp-incomplete 6、選擇med值小的路由 7、選擇router id小的路由
72. 基本配置 啟動bgp 配鄰居 peer 宣告網段 network 引入路由 import
73. bgp定時器有keepalive-interval、holdtime-interval
74. bgp前綴過濾器filter-policy、as-path過濾 acl aspath-list-number 、路由映射 route-policy
75. 復位bgp reset bgp
76. 正則表達式:^ 路徑開始 $ 結束 \b as號碼間分割符 ^$ 匹配本地路由
77. bgp路由處理過程:接受路由-實施策略-路由聚合-選路-加入路由表-發布
78. bgp debug all/event/keepalive/open/packet/updata/recive/send/verbose
79. bgp路由聚合-聚合到cidr中 aggregate
80. 反射器-reflect client
81. as聯盟 子as間為ebgp,所有ibgp規則仍然適用。confederation id & confederation peer-as
82. bgp衰減的5個參數:可達半衰期、不可達半衰期、重用值、抑制值、懲罰上限
路由策略
83. 策略相關的無種過濾器:路由策略 routing policy、訪問列表 acl、前綴列表 prefix-list、自治系統信息路徑訪問列表 aspath-list 僅用於bgp 、團體屬性列表 community-list 僅用與bgp。
84. 路由引入時使用routing policy過濾,路由發布和接收時用ip prefix和acl
85. 一個routing policy下的node節點為或的關係,而每個節點下的if-match和apply語句為與的關係。permit 執行apply,deny不執行apply
86. 路由引入 import-route protocol 目前有direct、static、rip、ospf、ospf-ase、bgp
87. 定義ip前綴列表 ip ip-preffix prefix-list-name ,不同sequence-number間為或的關係路由過濾 filter-policy gateway/acl-numeber gataway 只能import,acl和ip-prefix可以export。
網路安全特性
88. 網路安全兩層含義:保證內部區域網路的安全、保護和外部進行數據交換的安全
89. 安全考慮:物理線路、合法用戶、訪問控制、區域網路的隱蔽性、防偽手段,重要數據的保護、設備及拓撲的安全管理、病毒防範、安全防範意識的提高
90. 網路攻擊的主要方式:竊聽報文、ip地址欺騙、源路由攻擊、連線埠掃描、dos拒絕服務、套用層攻擊
91. 可靠性和線路――主從備份和負載分擔
92. 身份認證--con口配置、telnet、snmp和aux(modem遠程)、防止偽造路由信息
93. 訪問控制――分級保護,基於5源組控制 源,目的ip、源,目的連線埠、協定號
94. 信息隱藏――nat
95. 加密和防偽――數據加密、數字簽名、ipsec
96. 安全管理――制度和意識
97. aaa-authentication、authorization、accounting 認證、授權、計費
98. 包過濾技術-利用ip包的特徵進行訪問控制、不能使用在接入服務中、可以基於ip地址、接口和時間段
99. ipsec-ip security 通過ah和esp兩個協定來實現
100. ike-internet密鑰交換協定。定義了雙方進行身份認證、協商加密算法和生成共享密鑰的方法。
101. 提供aaa支持的服務:ppp-pap、chap認證。exec-登入到路由器。ftp-ftp登入。
102. aaa不需要計費時,aaa accounting-scheme optional 取消計費
103. aaa配置命令:aaa enable-開啟、aaa accounting-scheme optional-取消計費、aaa accounting-scheme login-配置方法表、aaa accounting-scheme ppp-在接口上啟用方法表
104. 方法表5種組合:radius、local、none、radius local、radius none
105. 路由器local-user 不要超過50個
106. 可以debug radius primitive 和event
107. 原語7種:join pap 、join chap、leave、accept、reject、bye、cut
108. radius-remote authentication dial-in user service
109. radius採用client/server模式,使用兩個udp連線埠驗證1812,計費1813,客戶端發其請求,伺服器回響。
110. radius配置 radius [server name&ip]authentication -port accouting-port、radius shared-key、配重傳 radius retry 、radius timer response-timeout