华为认证：HCSE路由知识点罗列

　　105. 路由器local-user 不要超过50个

　　106. 可以debug radius primitive 和event

　　107. 原语7种：join PAP 、join CHAP、leave、accept、reject、bye、cut

　　108. RADIUS-remote authentication Dial-in User service

　　109. radius采用client/server模式，使用两个UDP端口验证1812，计费1813，客户端发其请求，服务器响应。

　　110. radius配置 radius [server name&ip]authentication -port accouting-port、radius shared-key、配重传 radius retry 、radius timer response-timeout

　　VPN

　　111. VPN-Virtual private network

　　112. 按应用类型 access VPN、intranet VPN、Extranet VPN

　　113. 按实现层次 2层 [ PPTP、L2F、L2TP ]、3层[GRE、IPSec]

　　114. 远程接入VPN即Access VPN又称VPDN，利用2层隧道技术建立隧道。用户发起的VPN，LNS侧进行AAA。

　　115. Intranet VPN企业内部互联可使用IPSec和GRE等。

　　116. 2层隧道协议：PPTP 点到点隧道协议、L2F 二层转发协议 cisco、L2TP 二层隧道协议 IETF起草，可实现VPDN和专线VPN。

　　117. 三层协议：隧道内只携带第三层报文，GRE-generic routing encapsulation 通用路由封装协议、IPSec-由AH和IKE协议组成。

　　118. VPN设计原则，安全性、可靠性、经济性、扩展性

　　L2TP

　　119. L2TP　layer 2 tunnel protocol 二层隧道协议，IETF起草，结合了PPTP和L2F优点。适合单个和少数用户接入，支持接入用户内部动态地址分配，安全性可采用IPSec，也可采用vpn端系统LAC侧加密-由服务提供商控制。

　　120. L2TP两种消息：控制消息-隧道和会话连接的建立、维护和删除，数据消息-封装PPP帧并在隧道传输。

　　121. 同一对LAC与LNS间只建立一个L2TP隧道，多个会话复用到一个隧道连接上。

　　122. LAC-l2tp access concentrator LNS-l2tp network server

　　123. 隧道和会话的建立都经过三次握手：请求crq-应答crp-确认ccn。隧道sc，会话i

　　124. 隧道和会话拆除时需要有ZLB-zero-Length body 报文确认。

　　125. L2TP封装：IP报文(私网)-PPP报文-L2TP报文-UDP报文-IP报文(公网)

　　126. 配置LAC侧：1配置AAA和本地用户、2启动VPDN l2tp enable、3 配置vpdn组 l2tp-group number、3 配置发起连接请求和LNS地址 start l2tp [ipadd]

　　127. 配置LNS侧：1配置本地VPDN用户、2 启动vpdn、3 创建vpdn组、4 创建虚模板，为用户分配地址 interface virtrual-template [number]、5 配置接受呼叫的对端名称 allow l2tp virtual-template[number][name]

　　128. L2TP可选配置：本端隧道名称、隧道加密验证、Hello报文的发送间隔、配置L2TP最大会话数。

　　129. dis l2tp tunnel &session 、debug l2tp all/control/error/enent/hidden/payload/time-stamp

　　130. L2TP用户登陆失败：1 tunnel建立失败-LAC端配的LNS地址不对，tunnel密码验证问题、2 PPP协商不通-pap、chap验证，LNS端地址分配问题。

　　GRE

　　131. GRE-generic routing encapsulation 通用路由封装是一种三层隧道的承载协议，协议号为47，将一种协议报文封装在另一中报文中，此时ip既是被封装协议，又是传递(运输)协议。

　　132. GRE配置：1 创建Tunnel接口 interface tunnel [number]、2 配置接口源地址 source [ip-add]、3 配目的`地址 destination [ip-add]4 配网络地址 ip add [ip-add，mask]

　　133. GRE可选参数 接口识别关键字、数据报序列号同步、接口校验。

　　IPSec

　　134. IPSec-IP Security 包括报文验证头协议AH 协议号51、报文安全封装协议ESP 协议号50。工作方式有隧道tunnel和传送transport两种。

　　135. 隧道方式中，整个IP包被用来计算AH或ESP头，且被加密封装于一个新的IP包中;在传输方式中，只有传输层的数据被用来计算AH或ESP头，被加密的传输层数据放在原IP包头后面。

　　136. AH可选用的加密为MD5和SHA1。ESP可选的DES和3DES。

　　137. IPSec安全特点，数据机密性、完整性、来源认证和反重放。

　　138. IPSec基本概念：数据流、安全联盟、安全参数索引、SA生存时间、安全策略、转换方式

　　139. 安全联盟 SA-包括协议、算法、密钥等，SA就是两个IPSec系统间的一个单向逻辑连接，安全联盟由安全参数索引SPI、IP目的地址和安全协议号(AH或ESP)来唯一标识。

　　140. 安全参数索引SPI:32比特数值，全联盟唯一。

　　141. 安全联盟生存时间 Life Time：安全联盟更新时间有用时间限制和流量限制两种。

　　142. 安全策略 crypto Map ：即规则。

　　143. 安全提议 Transform Mode ：包括安全协议、安全协议使用算法、对报文封装形式。规定了把普通报文转成IPSec报文的方式。

　　144. AH、ESP使用32比特序列号结合重放窗口和报文验证防御重放攻击。

　　145. IKE-internet key exchange 因特网密钥交换协议，为IPSec提供自动协商交换密钥号和建立SA的服务。通过数据交换来计算密钥。

　　146. IKE完善的向前安全性PFS和数据验证机制。使用DH-diffie-Hellman公用密钥算法来计算和交换密钥。

　　147. PHS特性由DH算法保证。

　　148. IKE交换过程，阶段1：建立IKE SA;阶段2：在IKE SA下，完成IPSec协商。

　　149. IKE协商过程：1 SA交换，确认有关安全策略;2 密钥交换，交换公共密钥;3 ID信息和验证数据交换。

　　150. 大规模的IPSec部署，需要有CA-认证中心。

　　151. IKE为IPSec提供定时更新的SA、密钥，反重放服务，端到端的动态认证和降低手工配置的复杂度。

　　152. IKE是UDP上的应用层协议，是IPSec的信令协议。他为IPSec建立安全联盟。