141、安全联盟生存时间 Life Time:安全联盟更新时间有用时间限制和流量限制两种。
142、安全策略 crypto Map :即规则。
143、安全提议 Transform Mode:包括安全协议、安全协议使用算法、对报文封装形式。规定了把普通报文转成IPSec报文的方式。
144、AH、ESP使用32比特序列号结合重放窗口和报文验证防御重放攻击。
145、IKE-internet key exchange 因特网密钥交换协议,为IPSec提供自动协商交换密钥号和建立SA的服务。通过数据交换来计算密钥。
146、IKE完善的向前安全性PFS和数据验证机制。使用DH-diffie-Hellman公用密钥算法来计算和交换密钥。
147、PHS特性由DH算法保证。
148、IKE交换过程,阶段1:建立IKE SA;阶段2:在IKE SA下,完成IPSec协商。
149、IKE协商过程:1 SA交换,确认有关安全策略;2 密钥交换,交换公共密钥;3 ID信息和验证数据交换。
150、大规模的IPSec部署,需要有CA-认证中心。
151、IKE为IPSec提供定时更新的SA、密钥,反重放服务,端到端的动态认证和降低手工配置的复杂度。
152、IKE是UDP上的应用层协议,是IPSec的信令协议。他为IPSec建立安全联盟。
153、IPsec要确定受保护的数据,使用安全保护的路径,确认使用那种保护机制和保护强度。
154、IPSec配置:1 创建加密访问控制列表、2 定一安全提议 ipsec proposal [name];ipsec card-protposal [name]、3 设置对IP报文的封装模式 encapsulation-mode [transport or
tunnel]、4 选择安全协议 ah-new esp-new ah-esp-new 、5 选择加密算法 只有ESP可加密、6 创建安全策略 ipsec policy 应用安全策略到接口 ipsec policy
155、IKE配置:1创建IKE安全策略 ike proposal [num]、2 选择加密算法、认证方式、hash散列算法、DH组标示、SA生存周期3、配置预设共享密钥 ike pre-shared-key key remote [add]、4 配置keeplive定时器
156、keeplive定时器包括 1 interval定时器 按照interval时间间隔发送keeplive报文 2 timeout定时器 超时检查
157、debug ipsec misc/packet/sa
QoS
158、 QoS-quality of service 服务质量保证。在通信过程中,允许用户业务在丢包率、延迟、抖动和带宽上获得预期的服务水平。
159、QoS需要提供以下功能:避免并管理ip网络阻塞、减少ip报文丢包率、调控流量、为特定用户提供专用带宽、支持实时业务。
160、IP QoS三种模式:Best-Effort模型-缺省FIFO;IntServ模型-申请预留资源;DiffServ-网络拥塞时,根据不同服务等级,差别对待
华为认证课程试听
