思科知识点总结（2）

                                                                          （一）ＰＰＰ协议
 

什么是PPP?

ppp(point to point)点对点协议,适合于点到点串行链路。

PPPOE用于支持在太网链路上封装PPP协议

PPPOA用于支持在ATM链路上封装PPP协议

SLIP(串行链路网际协议)产生于20世纪80年代中期

 

SLIP缺点：

1、不支持多种协议

2、无法进行参数的协商

3、不支持错误校验

4、 仅支持异步串行链路

 

ppp优点：

1、支持同/异步串链路

2、支持多种网络协议

3、支持网络层地址协商

4、支持错误校验

5、支持用户认证-----这个是重点，也是最主要的特点。

6、链路压缩

 

ppp的组成:

1、封装方法:提供将网络层协议封装到串行链路的方法。

2、LCP

   作用:负责链路的建立、配置、维护和终止等等。

   协商内容：工作方式、认证方式、链路压缩、多链路捆绑、Magic number魔术字

3、NCP(IPCP、IPXCP等等)

   作用:负责与网络层协议协商相关参数

   协商内容：网络层地址、TCP头压缩 

 

PPP建立的五个阶段：

1、链路不可用阶段

2、链路建立阶段

3、认证阶段(可选）

4、网络层协商阶段

5、链路终止阶段

 

PPP两种认证协议：

一、PAP（口令认证协议）特点：

   1、两次握手

   2、口令明文传输（不安全）

   3、由被认证方发起认证请求

二、CHAP(咨询握手认证协议）特点：

   1、三次握手

   2、不发送口令

   3、由主认证方发起认证请求

 

多链路捆绑MLP优点：

 1、增加带宽
2、负载分担

3、降低延迟

　　　　　　　　　　　　　　　　　　　　　（二）OSPF概念及单区域

动态路由协议按路由算法分类：

1、Distance-Vector（距离矢量）

   采用Bellman-ford(贝尔曼—福德）路由算法、度量值(Metric)表示为跳数(Hop)--IGRP、RIP

2、Link-state (链路状态)

   采用Dijkstra(迪杰斯特拉)路由算法、度量值Metric可以表示为COST、延时、差错值等等， --BGP、IS-IS、OSPF

3、DV-LS（混合型）： EIGRP -----DUAL（双重算法)

 

动态路由协议按自治系统AS分类：

自治系统（Autonomous System）：也称路由选择域，是执行统一路由策略的一组网络设备的集合。

1、内部网关路由协议(IGP)----RIP、OSPF、IS-IS(中间系统到中间系统）

    在AS内部决策路由的路由协议

2、外部网关路由协议(EGP)-------BGP边界网关协议

   在AS之间决策路由的路由协议

 

什么是OSPF？

OSPF（Open Shortest Path First,ospf)开放式最短路径优先协议

IETF（internet任务工程组）公有协议

Version 1 只用在实验室里

Version 2 IPV4工程常用

Version 3 IPV6

 

-OSPF划分区域

为了适应大型的网络，OSPF在AS内划分多个区域

每个OSPF路由器只维护本区域的完整的链路状态信息

 

什么是 Router-ID?

是在OSPF区域内唯一标识一台路由器的IP地址

选取规则：

1、用router-id命令可以指定路由器的Router ID

     2、路由器选取它所有loopback接口上数值最高的IP地址

     3、如果没有loopback接口，就在所有物理端口中选取一个数值最高的IP地址

 

OSPF的3张表：

邻居列表：列出每台路由器全部已经建立邻居关系的邻居路由器

链路状态数据库（LSDB）：列出网络中其他路由器的信息，由此显示全网的网络拓扑(包含全网的所有LSA）

路由表：通过SPF算法计算出的到达每个相连网络的最佳路径

 

OSPF工作过程

    通过Hello->建立邻居关系-> 形成邻接关系 ->同步链路状态数据库 ->通过SPF算法 –> 生成路由表

 

OSPF的邻居关系需满足的条件:

Area-id一致

认证一致

Hello Interval和Dead Interval一致

Stub区域标记一致

 

HELLO包的作用：

1、用来建立和维护邻居关系

2、在多路访问网络选举DR/BDR

 

OSPF五种包类型：

   1、Hello:建立和维护邻居关系

   2、数据库描述包-DBD：描述每台OSPF路由器的链路状态库的内容（LSA头部)

   3、链路状态请求包-LSR:请求链路状态数据库的部分内容

   4、链路状态更新包-LSU:传送LSA给邻居路由器

   5、链路状态确认包-LSACK:确认邻居发过来的LSA   

 

建立邻接关系的五种邻居状态:

   Init：接收到对方的HELLO报文

   2-way：在对方发来的HELLO报文中看到自己的Router ID-----形成邻居关系

   ExStart：双方互相发送DBD,描述自己的链路状态

   ExChange:发送LSR报文，获取未知的链路状态信息

   Loading：发送LSU，同步链路状态数据库 LSDB

   Full：知道两台路由器的链路状态数据库完全一致，形成邻接关系

 

-OSPF的网络类型

 1、广播型多地址网络(例：以太网、FDDI)-每隔10S发送Hello消息，组播地址224.0.0.5

 2、点到点网络(例：HDLP、ppp)--每隔10S发送Hello消息，组播地址224.0.0.5,不需选举DR\BDR

 3、非广播多址（NBMA）--(FR帧中继)--每隔30S发送Hello消息，单播发送

 4、点到多点--每隔10S发送Hello消息，组播发送,不需选举DR\BDR

   

-OSPF的DR与BDR

   指定路由器（DR）：一个网段上的其他路由器都和指定路由器（DR）形成邻接关系

   通过Hello报文选择DR和BDR来代表OSPF网段

   其他的路由器（DRothers）只和DR及BDR路由器之间形成邻接关系

   通过组播发送Hello报文

 

DR\BDR一般选举规则:

   具有最高OSPF优先级的路由器会被选为DR

   如果OSPF优先级相同，则具有最高Router ID的路由器会被选为DR

 

-OSPF的度量方法

    COST=10⁸/BW

    OSPF协议决定最短路径是基于路由器每一个接口指定的代价（cost）来的

   一条路由的代价：是指到达目的网络的路由路径上所有出站接口的代价之和

OSPF与RIP的比较：

OSPF(链路状态路由协议)：

 1、可适应大规模网络

 2、支持可变长子网掩码（VLSM）；

 3、收敛速度快；

4、无路由环

 5、增量更新路由表信息

 

RIP（距离矢量路由协议）：

RIP的15跳限制，

 1、超过15跳的路由被认为不可达；

 2、V1不支持可变长子网掩码（VLSM）,V2支持；

 3、收敛速度慢；

 4、周期性广播整个路由表

 

                                                                                 （三）OSPF多区域

OSPF分区域的原因：

1、改善网络的扩展性

2、快速收敛

 

分区域的优点:

1、降低SPF算法运行频率(减少路由器CPU的占用率）

2、减小路由表和LSDB的大小(减少路由器内存的占用率)

 

OSPF多区域的路由器类型：

1、骨干路由器:只要有一个接口属于骨干区域的路由器

2、内部路由器:所有接口都在同一区域的路由器

3、ABR（区域边界路由器）:连接非骨干区域到骨干区域

4、ASBR（自治系统边界路由器):连接两个AS(自治系统)的路由器

 

区域类型：

1、骨干区域（area 0)

2、非骨干区域(标准区域、stub区域、完全stub区域、NSSA非纯末稍区域、完全非纯末稍）

 

什么是LSDB？包含区域内的所有路由器的链路状态信息。

LSA（链路状态通告）:用来描述链路状态信息的数据单元。

链路状态数据库，在同一个区域的LSDB，完全一致。

 

LSA类型：

1、类型1（路由器LSA）：只在本区域内传送

2、类型2(网络LSA）：本区域内（只在多路访问网络上由DR产生）

3、类型3（网络汇总LSA）：由ABR产生，用来通告该区域外部的目的地址

4、类型4(ASBR汇总LSA）：由ABR产生，通告到达ASBR的地址

5、类型5(AS外部LSA）:由ASBR产生，用来通告到达外部的目的地址

7、类型7（NSSA外部LSA）：由ASBR产生，用来通告到达外部的目的地址，但不传送到其他区域

 

                                                                               （四）HSRP

主机发现路由器的3种方式：

1、缺省网关（不能切换网关）

2、代理ARP（可以切换网关、需要等待ARP缓存超时）

3、IRDP(可以切换网关、需要在客户端安装IRDP软件)

什么是HSRP？

HSRP(hot standby router protocol)热备份路由器协议

Cisco专有协议,端口UDP 1985--IPv4    2029--IPv6

HSRP备份组成员：

1、活跃路由器(负责转发发送给 虚拟路由器的数据包)

2、备份路由器(当活跃路由器down时，接替活跃路由器角色）

3、虚拟路由器（实际不存在，包含一个 虚拟IP地址和虚拟MAC地址）

4、其他路由器（除了活跃、备份以外的路由设备）

HSRP实现原理：

将虚拟路由器的 虚拟IP|虚拟MAC地址绑定到活跃路由器接口上。

三种HSRP消息类型：

1、Hello消息(每隔3s周期发送，保持时间为10s)

2、Coup政变消息（当收到比本地接口优先级小的hello消息时产生)

3、Resign辞职消息(当收到比本地接口优先级大的hello消息时产生）

HSRP接口状态：

1、初始

2、学习（可以学习活跃路由器的hello时间和保持时间)

3、倾听(接收对方HSRP hello消息）

4、发言(参与选举路由器角色) 

5、备份(接替活跃路由器角色）

6、活跃(负责转发虚拟路由器的数据包)

VRRP虚拟路由器协议

HSRP与VRRP区别:

1、HSRP使用UDP 1985,VRRP使用独立协议号112

2 HSRP组播地址224.0.0.2,VRRP组播地址224.0.0.18

3 HSRP六种状态(init\study\listening\speak\standby\active)

  VRRP三种状态(init\master\bakcup)

4 HSRP是cisco专用协议,VRRP是IEEE标准

5 HSRP与VRRP包格式不一样

6 HSRP与VRRP虚拟MAC不一样

7 HSRP的hello消息默认3S周期发送、10S超时，VRRP的通告默认1S发送,3S超时

                                                                       (五)ACL

 

防火墙技术分3种：

1、包过滤（ACL）----最简单的防火墙

2、基于状态的包过滤-----硬件防火墙

3、应用层网关（ALG）-----代理服务器

什么是ACL？

ACL是应用在 三层接口上的指令列表（ACL规则的集合）。

一条ACL规则=执行操作+测试条件

ACL工作原理(包过滤）：

读取数据包中第三、四层中的信息,根据预先定义好的规则对数据包进行过滤。 

ACL的作用：

1、提高网络的基本安全性

2、用于QOS，控制数据流量

3、控制通信流量

4、数据流量标识(定义感兴趣流)

ACL按工作原理基本分类：

1、标准ACL(检查数据包源IP)--表号从1-99

2、扩展ACL(检数据包源IP、目的IP、源port、目的port、协议、可选项)--表号从n 100-199

ACL按接口应用方向分类：

1、入站ACL(inbound ACL):只对入站数据流量生效

2、出站ACL(outbound ACL)：只对出站数据流量生效

路由器对ACL处理过程：

ACL两种情况:a、不包含任何规则(命名方式） b、包含一条或多条规则

a、如果ACL为空，则允许所有流量通过。

b、如果ACL包含一条或多条规则

(1)、从上而下，先检查第一条规则(语句），若测试条件匹配则执行操作   

(2)、若不匹配，看是否存在下一条规则，不存在则拒绝操作。

(3)、若存在，则返回到步骤(1)

注：ACL对设备本身产生的流量，不生效

在一个接口上应用访问表的三个步聚:

1、定义访问控制列表

2、选择访问列表所应用的接口

3、选择访问列表用接口上的方向

                                                                       （六）***

什么是***？

 ***（Virtual Private Network)虚拟专网

 在公网上，按照相同的策略和安全规则，建立私有网络。

 

***与专线比较：

专线的缺点：                  优点：

1、费用高                     1、安全

2、灵活性差                   2、可靠稳定

3、额外的广域网管理           4、速率有保障

 

***的缺点：                   优点：

1、速率没有保障               1、费用低

2、安全性不如专线             2、灵活性好

3、可靠性不如专线             3、便于管理维护

 

***按照网络结构分为类：

1、远程访问*** (Remote ***)

   应用场合：移动用户、远程小办公室

2、站点到站点***(Site to Site ***)

   应用场合：总部与分支机构

 

***的关键技术:

1、安全隧道技术(IP数据包的封装、加密、认证、传输、认证、解密、解封装的过程)—***的本质

   二层隧道协议: PPTP、L2TP、L2F

   三层隧道协议：GRE、IPsec

2、信息加密技术

   对称加密算法：DES-56bit、3DES-168bit、AES-160bit

   特点：1、通信双方共享密钥

         2、加密后的密文紧凑

         3、密钥管理复杂-n(n-1)/2

         4、加密强度不如非对称加密

         5、加密速度快(能达到线速)，适合于加密大数据块

  

   非对称加密算法：RSA、PGP、DH

   特点：1、通信双方各产生一对密钥（公钥与私钥）

         2、私钥保密、公钥公开

         3、公钥加密私钥解密、私钥加密公钥解密

         4、私钥签名、公钥加密

         5、加密后的密文不紧凑

         6、加密强度高

         7、加密速度慢，适合于加密小数据块

3、信息认证技术

   散列算法：MD5(128bit)、SHA-1(160bit)、SHA-2(256bit)

   特点：1、不可逆

         2、产生固定长度的摘要

 

4、访问控制技术（定义***感兴趣流）

 

什么是Ipsec ***?

IPsec *** 是三层***协议，IETF标准的协议框架，只支持IP网络。

包括网络认证协议AH、封装安全载荷协议ESP、密钥管理协议IKE。

Ipsec ***提供以下安全服务：

1、 加密性---可以通ESP安全协议实现

2、 数据完整性--可以通过AH、ESP实现

3、 真实性(身份验证、源认证)--可以通AH、ESP实现

4、 防重放性--可以通AH、ESP的序列号实现

 

支持两种隧道：

1、隧道模式的隧道(对整个IP数据包进行封装、加密）---用于站点到站点***

2、传输模式的隧道(只对IP数据包的有效负载进行封装、加密) ----用远程访问***

 

Ipsec的两个安全协议：

 1、AH(认证头协议）提供数据的完整性、身份验证、防重放

 2、ESP(封装安全载荷）提供数据的加密性、完整性、身份验证、防重放

 

IKE（因特网密钥交换协议）

 用于密钥管理，自动协商交换密钥

 

安全联盟（SA）

定义了各种类型的安全措施（如何提供服务、算法、密钥）,是一种对安全描述的数据库。

SA由三个参数唯一确定：

 1、目的IP地址

 2、安全协议(AH+ESP)

 3、SPI（安全参数索引)