华为认证

为了帮助考生顺利通过华为认证考试，中大网校华为认证考试网特为考生搜集整理了2015年华为认证高级网络工程师考试设计知识点，希望能够帮助考生顺利通过2015年华为认证考试！

IPSec

134. IPSec-IP Security 包括报文验证头协议AH 协议号51、报文安全封装协议ESP 协议号50。工作方式有隧道tunnel和传送transport两种。

135. 隧道方式中，整个IP包被用来计算AH或ESP头，且被加密封装于一个新的IP包中;在传输方式中，只有传输层的数据被用来计算AH或ESP头，被加密的传输层数据放在原IP包头后面。|||　　136. AH可选用的加密为MD5和SHA1。ESP可选的DES和3DES。

137. IPSec安全特点，数据机密性、完整性、认证和反重放。

138. IPSec基本概念：数据流、安全联盟、安全参数索引、SA生存时间、安全策略、转换方式

139. 安全联盟 SA-包括协议、算法、密钥等，SA就是两个IPSec系统间的一个单向逻辑连接，安全联盟由安全参数索引SPI、IP目的地址和安全协议号(AH或ESP)来唯一标识。

140. 安全参数索引SPI：32比特数值，全联盟唯一。

141. 安全联盟生存时间 Life Time：安全联盟更新时间有用时间限制和流量限制两种。

142. 安全策略 crypto Map ：即规则。

143. 安全提议 Transform Mode ：包括安全协议、安全协议使用算法、对报文封装形式。规定了把普通报文转成IPSec报文的方式。

144. AH、ESP使用32比特序列号结合重放窗口和报文验证防御重放攻击。

145. IKE-internet key exchange 因特网密钥交换协议，为IPSec提供自动协商交换密钥号和建立SA的服务。通过数据交换来计算密钥。

146. IKE完善的向前安全性PFS和数据验证机制。使用DH-diffie-Hellman公用密钥算法来计算和交换密钥。

147. PHS特性由DH算法保证。

148. IKE交换过程，阶段1：建立IKE SA;阶段2：在IKE SA下，完成IPSec协商。

149. IKE协商过程：1 SA交换，确认有关安全策略;2 密钥交换，交换公共密钥;3 ID信息和验证数据交换。

150. 大规模的IPSec部署，需要有CA-认证中心。

151. IKE为IPSec提供定时更新的SA、密钥，反重放服务，端到端的动态认证和降低手工配置的复杂度。

152. IKE是UDP上的应用层协议，是IPSec的信令协议。他为IPSec建立安全联盟。

153. IPsec要确定受保护的数据，使用安全保护的路径，确认使用那种保护机制和保护强度。

154. IPSec配置：1 创建加密访问控制列表、2 定一安全提议 ipsec proposal [name];ipsec card-protposal [name]、3 设置对IP报文的封装模式 encapsulation-mode [transport or tunnel]、4 选择安全协议 ah-new esp-new ah-esp-new 、5 选择加密算法 只有ESP可加密、6 创建安全策略 ipsec policy 应用安全策略到接口 ipsec policy

155. IKE配置：1创建IKE安全策略 ike proposal [num]、2 选择加密算法、认证方式、hash散列算法、DH组标示、SA生存周期3、配置预设共享密钥 ike pre-shared-key key remote [add]、4 配置keeplive定时器

156. keeplive定时器包括 1 interval定时器 按照interval时间间隔发送keeplive报文 2 timeout定时器 超时检查

157. debug ipsec misc/packet/sa

QoS

158. QoS-quality of service 服务质量保证。在通信过程中，允许用户业务在丢包率、延迟、抖动和带宽上获得预期的服务水平。|||　　159. QoS需要提供以下功能：避免并管理ip网络阻塞、减少ip报文丢包率、调控流量、为特定用户提供专用带宽、支持实时业务

160. IP QoS三种模式：Best-Effort模型-缺省FIFO;IntServ模型-申请预留资源;DiffServ-网络拥塞时，根据不同服务等级，差别对待

161. IntServ模型，提供可控的端到端的服务，利用RSVP来传递QoS信令。有两种模式：保证服务和负载控制服务。

162. RSVP是第一个标准的QoS信令协议，不是路由协议但是按照路由协议规定的报文流的路径为报文申请预留资源。只在网络节点间传递QoS请求，本身不完成QoS要求的实现。

163. RSVP要求端到端的设备均支持这一协议，可扩展性差，不适合在大型网络应用。

164. DiffServ-Differentiated Service 差分服务模型，目前QoS主流。DS不需要信令。数据进入DS网路，根据优先级DSCP汇聚为一个行为集合。根据定义的PHB-per-hop behavior来对业务流执行PHB。

165. 着色：给不同的业务流打上QoS标记。着色是进行QoS处理的前题。

166. CAR-commited access rate 约定访问速率。是流量监管-traffic policing的一种。利用IP头部的TOS字段来对报文处理，三层处理。

167. CAR采用令牌桶进行流量控制。配置命令：1 定义规则qos carl carl-index、2 在接口上应用CAR策略或ACL qos car inbound/outbound 每个接口上可应用100条，注意应用策略前，取消快速转发功能。

168. GTS-generic traffic shaping 流量整理 用于解决链路两边的接口速率不匹配，使用令牌桶，两种方式处理报文：1 所有流处理 2 不通的流不同处理 命令 qos gts

169. LR-line Rate 物理接口限速 2层处理 令牌桶机制所有报文均需通过LR的桶。命令 qos lr ….

170. 拥塞管理的算法：FIFO、PQ、CQ、WFQ。

171. FIFO-先进先出 best effort模型

172. PQ-priority queuing 优先对列 分为high、medium、normal、low;命令 全局定义qos pql 接口上应用 qos pq pql

173. CQ-custom queuing 定制队列 可配置对列占用的带宽比例 包含17个组，0为系统对列，1-16 用户对列。命令 全局定义，接口应用

174. WFQ-wgighted fair queuing 加权公平对列 最大对列数16-4096 采用hash算法。权值依的大小依靠ip报文头中携带的ip优先级。命令 qos wfg

175. 拥塞避免-在未发生拥塞时，根据对列状态有选择的丢包。算法 RED随机早期检测、WRED 加权随机早期检测

176. TCP全局同步，尾部丢弃多个tcp连接的报文，导致多个俩结同时进入慢启动和拥塞避免。

177. WRED-weighted random early detection 采用随机丢弃报文。根据对列深度来预测拥塞情况，根据优先级定义丢弃策略，定义上下限。相同优先级对列约长，丢弃概率越大。

178. WRED命令：1 能使WRED qos wred、2 配置计算平均队长指数 3 配置优先级参数

179. 丢弃概率分母的倒数为最大丢弃概率，值越小，概率越大

编辑推荐：

2015年华为认证考试高级网络工程师考点总结汇总

（责任编辑：黑天鹅）

共2页,当前第1页  第一页  前一页  下一页