為了幫助考生順利通過華為認證考試，中大網校華為認證考試網特為考生搜集整理了2015年華為認證高級網絡工程師考試設計知識點，希望能夠幫助考生順利通過2015年華為認證考試！

IPSec

134. IPSec-IP Security 包括報文驗證頭協議AH 協議號51、報文安全封裝協議ESP 協議號50。工作方式有隧道tunnel和傳送transport兩種。

135. 隧道方式中，整個IP包被用來計算AH或ESP頭，且被加密封裝于一個新的IP包中;在傳輸方式中，只有傳輸層的數據被用來計算AH或ESP頭，被加密的傳輸層數據放在原IP包頭后面。|||　　136. AH可選用的加密為MD5和SHA1。ESP可選的DES和3DES。

137. IPSec安全特點，數據機密性、完整性、認證和反重放。

138. IPSec基本概念：數據流、安全聯盟、安全參數索引、SA生存時間、安全策略、轉換方式

139. 安全聯盟 SA-包括協議、算法、密鑰等，SA就是兩個IPSec系統間的一個單向邏輯連接，安全聯盟由安全參數索引SPI、IP目的地址和安全協議號(AH或ESP)來唯一標識。

140. 安全參數索引SPI：32比特數值，全聯盟唯一。

141. 安全聯盟生存時間 Life Time：安全聯盟更新時間有用時間限制和流量限制兩種。

142. 安全策略 crypto Map ：即規則。

143. 安全提議 Transform Mode ：包括安全協議、安全協議使用算法、對報文封裝形式。規定了把普通報文轉成IPSec報文的方式。

144. AH、ESP使用32比特序列號結合重放窗口和報文驗證防御重放攻擊。

145. IKE-internet key exchange 因特網密鑰交換協議，為IPSec提供自動協商交換密鑰號和建立SA的服務。通過數據交換來計算密鑰。

146. IKE完善的向前安全性PFS和數據驗證機制。使用DH-diffie-Hellman公用密鑰算法來計算和交換密鑰。

147. PHS特性由DH算法保證。

148. IKE交換過程，階段1：建立IKE SA;階段2：在IKE SA下，完成IPSec協商。

149. IKE協商過程：1 SA交換，確認有關安全策略;2 密鑰交換，交換公共密鑰;3 ID信息和驗證數據交換。

150. 大規模的IPSec部署，需要有CA-認證中心。

151. IKE為IPSec提供定時更新的SA、密鑰，反重放服務，端到端的動態認證和降低手工配置的復雜度。

152. IKE是UDP上的應用層協議，是IPSec的信令協議。他為IPSec建立安全聯盟。

153. IPsec要確定受保護的數據，使用安全保護的路徑，確認使用那種保護機制和保護強度。

154. IPSec配置：1 創建加密訪問控制列表、2 定一安全提議 ipsec proposal [name];ipsec card-protposal [name]、3 設置對IP報文的封裝模式 encapsulation-mode [transport or tunnel]、4 選擇安全協議 ah-new esp-new ah-esp-new 、5 選擇加密算法 只有ESP可加密、6 創建安全策略 ipsec policy 應用安全策略到接口 ipsec policy

155. IKE配置：1創建IKE安全策略 ike proposal [num]、2 選擇加密算法、認證方式、hash散列算法、DH組標示、SA生存周期3、配置預設共享密鑰 ike pre-shared-key key remote [add]、4 配置keeplive定時器

156. keeplive定時器包括 1 interval定時器 按照interval時間間隔發送keeplive報文 2 timeout定時器 超時檢查

157. debug ipsec misc/packet/sa

QoS

158. QoS-quality of service 服務質量保證。在通信過程中，允許用戶業務在丟包率、延遲、抖動和帶寬上獲得預期的服務水平。|||　　159. QoS需要提供以下功能：避免并管理ip網絡阻塞、減少ip報文丟包率、調控流量、為特定用戶提供專用帶寬、支持實時業務

160. IP QoS三種模式：Best-Effort模型-缺省FIFO;IntServ模型-申請預留資源;DiffServ-網絡擁塞時，根據不同服務等級，差別對待

161. IntServ模型，提供可控的端到端的服務，利用RSVP來傳遞QoS信令。有兩種模式：保證服務和負載控制服務。

162. RSVP是第一個標準的QoS信令協議，不是路由協議但是按照路由協議規定的報文流的路徑為報文申請預留資源。只在網絡節點間傳遞QoS請求，本身不完成QoS要求的實現。

163. RSVP要求端到端的設備均支持這一協議，可擴展性差，不適合在大型網絡應用。

164. DiffServ-Differentiated Service 差分服務模型，目前QoS主流。DS不需要信令。數據進入DS網路，根據優先級DSCP匯聚為一個行為集合。根據定義的PHB-per-hop behavior來對業務流執行PHB。

165. 著色：給不同的業務流打上QoS標記。著色是進行QoS處理的前題。

166. CAR-commited access rate 約定訪問速率。是流量監管-traffic policing的一種。利用IP頭部的TOS字段來對報文處理，三層處理。

167. CAR采用令牌桶進行流量控制。配置命令：1 定義規則qos carl carl-index、2 在接口上應用CAR策略或ACL qos car inbound/outbound 每個接口上可應用100條，注意應用策略前，取消快速轉發功能。

168. GTS-generic traffic shaping 流量整理 用于解決鏈路兩邊的接口速率不匹配，使用令牌桶，兩種方式處理報文：1 所有流處理 2 不通的流不同處理 命令 qos gts

169. LR-line Rate 物理接口限速 2層處理 令牌桶機制所有報文均需通過LR的桶。命令 qos lr ….

170. 擁塞管理的算法：FIFO、PQ、CQ、WFQ。

171. FIFO-先進先出 best effort模型

172. PQ-priority queuing 優先對列 分為high、medium、normal、low;命令 全局定義qos pql 接口上應用 qos pq pql

173. CQ-custom queuing 定制隊列 可配置對列占用的帶寬比例 包含17個組，0為系統對列，1-16 用戶對列。命令 全局定義，接口應用

174. WFQ-wgighted fair queuing 加權公平對列 最大對列數16-4096 采用hash算法。權值依的大小依靠ip報文頭中攜帶的ip優先級。命令 qos wfg

175. 擁塞避免-在未發生擁塞時，根據對列狀態有選擇的丟包。算法 RED隨機早期檢測、WRED 加權隨機早期檢測

176. TCP全局同步，尾部丟棄多個tcp連接的報文，導致多個倆結同時進入慢啟動和擁塞避免。

177. WRED-weighted random early detection 采用隨機丟棄報文。根據對列深度來預測擁塞情況，根據優先級定義丟棄策略，定義上下限。相同優先級對列約長，丟棄概率越大。

178. WRED命令：1 能使WRED qos wred、2 配置計算平均隊長指數 3 配置優先級參數

179. 丟棄概率分母的倒數為最大丟棄概率，值越小，概率越大

編輯推薦：

2015年華為認證考試高級網絡工程師考點總結匯總

（責任編輯：黑天鵝）

共2頁,當前第1頁  第一頁  前一頁  下一頁