===DAY 14=== 今天讲了WAN口的QoS、Broadband、NAT: 讲的东西概念性的不多,理解性的多,broadband考试不是重点: FIFO的队列深度在高带宽口上总为0;(10M以上的口) LLQ综合了PQ和CBWFQ的特点; 10M口(含)以上就应该用FIFO了; 二层frame一般不拥塞,有可能不设CoS位,但Trunk上有; FIFO看第一个bit在哪,先到先出; WFQ看最后一个bit到达的顺序,让小包先传; 小数据包有小权值,多个包最后一个bit位置相同时小的先出; WFQ对延迟敏感性不大; ISDN multilink是自动为no fair queue; CBWFQ:人为的WFQ,按自己需求定义class,赋予权和每个可分配带宽的比例,虽然提供了64个class,但至少要留出一个来作为默认class; IP precedence:第四级是video,第五级是voice,第六级是路由信息,第七级是keepalive等; CBWFQ可以嵌套WFQ等; bandwidth不是用来限速的,只是指定传出的数据包多少,也限不了速; CQ大队列里面包含小子队列; 压缩两面都是passive时第一个包不被压缩,后续的包都被压缩; 看压缩:show compression; NAT:inside source:由内网发起-----inside local/global address; NAT:outside source:由外网发起---outside local/global address; Overlapping发生在公司并购时; overload(多对单、多对少)是随机端口号,而PAT是指定的; debug ip nat时带“*”的是走缓存的,其他的是走CPU的; NAT变动时需先清空缓存,再作修改; cable在小区内是共抢链路; VDSL是Cisco专有的; DSL和Cable均是一层技术; ===DAY 15=== 今天讲的内容是VPN和DSL的配置,BCRAN的最后一天: ATM的PVC标识要在全局唯一,而FR不是; PPPoE在ATM上面; 普通数据在VPDN中走要加8byte,所以MTU要设为1492; MTU 1500是IP的,1518是二层frame的; FR的frame不一样长,而ATM把数据剁成48byte段再加上5byte的头,共53byte,是固定的,可以用硬件来匹配,所以速度可达155M,而FR只能达到1.544M; PPPoA是modem拿自己当router,而PPPoE是modem拿自己当host; VPN:低廉的价格、专线的速度和保密性、高灵活性,而FR不行; Tunnel技术使VPN灵活性加大,对公网透明; 先加密--->进隧道--->出隧道--->解密 明文只在两端和私网中出现; 远程VPN(移动用户)在需要时拨号; VPN可以在很多层内出现:应用层(SSH、S/MIME)、传输层(SSL)、网络层(IPSec--企业级加密,任何流量均加密)、DL层:可以加密,但是太繁琐; 防火墙上加VPN速度极慢; GRE/L2TP/IPSec自己就是隧道;
IPsec只对IP单播加密;
L2TP和GRE先将多播、非IP等全包成单播,然后再交给IPSec; 三层上跑IPSec,二层FR/DSL都无所谓,但是用专线那纯属有病; 密钥交换的方式:人为、公/私钥(Diff-Hellman)、CA服务器产生; Hash可以用来验证完整性,也可以用来加密,主要用于完整性验证; 两种VPN模式:Tunnel:把IP包头和数据都进行保护,再加一个新的IP包 头; -----------Transport:只保护数据,原IP包头不变; preshared key是用来验证ISAKMP通信的,不是用来加密的; 若数据该加密的没被加密则被路由器丢弃; 要先证明链路是通的,再去做VPN; 感兴趣流量传出要加密,非感兴趣的不加密,要求两边均用扩展ACL,定义对等的感兴趣流量; ===Day 16-20=== CIT,网络故障排除。 这个与其他科目比理论东西较少,实际东西较多,这一点从书的本数上也看得出来,就不细说了。 |
最新文章
