HCTE要考的主要内容有:
GRE
1 在创建TUNNEL时候,默认的封装方式为TUNNEL,这个就是VIR和TUNNEL最重要的区别,通常VIR的默认封装为PPP
2 在为TUNNEL配置的ip为通道IP,这个IP通常选择1.1.1.1。并且此地址必须为公网上无法访问的地址,而且不能和私网在同一个网段。
3 TUNNEL指定的源目的地址为公网IP,在配置GRE时候是不需要指定私网IP的,因为所有的私网数据流都直接指定TUNNEL ID传输。
4 在通道两端都必须有通道两端的公网,私网的路由。特别是私网,必须指定。并且必须避免出现公网和私网路由混合显现。否则任何通路都错误。
5 在为TUNNEL配置路由的时候最好指定IP ROUT 0.0.0.0 0.0.0.0 TUNNEL的对端tunnel地址。
在为L2TP指定路由的时候 ip rout 0.0.0.0 0.0.0.0 在LAC+router侧的出接口,或者是对端的内网进IP。不能指定公网IP。
6 在私网运行OSPF时候,必须指定PEER。否则路由无法传递。通过DIS OSPF PEER查看PEER是否已经建立。
IPSEC
1 通常在IPSEC建立的时候的参数由IKE建立联盟进行协商。(否则必须手动配置IPSEC的参数,包括加密算法和验证算法)
2 在用IKE建立联盟时候,首先必须保证PRE-SHADE-KEY一致。REMOTE地址为对端公网地址。
3另外在创建ACL流的时候,IKE两端必须完全镜象。通常ACL使用扩展ACL。并且,如果在内网需要运行路由协议时候,千万避免ACL将路由的数据流过滤掉。通常在ACL末端需要DENY ANY。华为默认为DENY ANY。CISCO默认为PERMITER。
4 创建安全提议时给的STRING,必须和创建策略时引入的STRING一致。
5 在安全提议中可以配置IPSEC使用的传输方式,有TUNNEL和TRANSPORT方式,在IKE联盟时候,必须一直,否则IPSEC无法对数据进行解密。
6 在安全提议中的ESP使用时候,IKE联盟的算法必须一直,通常在验证使用SHA1算法,在加密使用MD5算法。
7 保证在安全策略中的ACL引入为所定义的ACL。通常由ACL101开始。
8 指定安全策略中的REMOTE地址,在直接用IPSEC建立隧道时候,remote地址为对端公网IP,在IPSEC+GRE的时候为GRE创建的tunnel地址
,(通常GRE创建的tunnel地址为1.1.1.1)。在IPSEC+L2TP的时候,即可以让IPSEC加密通道数据,也可以让IPSEC加密LAN数据,在加密通道数据时候IPSEC的remote地址为公网IP,在加密LAN数据时候,IPSEC的remote为LAN地址,并且为与LAC连接的ROUTER分配到的IP地址。(这个和L2TP的LNS的IP-ROUTING类似),通常IPSEC+L2TP加密LAN数据。
9 IPSEC最后必须在所需要的接口上起用IPSEC的安全策略。在GRE+IPSEC的时候,必须在TUNNEL通道下起用,而不是直接在接口下。
10 如果IPSEC的联盟建立不起来,也有可能是因为没有数据流的触发。使用扩展的PING命令,触发数据流。 ping -a 本端内网ip 对端内网IP。在建立IPSEC联盟之前,必须保证双方的外网直接可达。
11 在直接用IPSEC建立通道的时候,其内网运行的OSPF和外网必须分开,并且必须指定邻居。
华为认证课程试听
