我的BCRAN学习笔记

更新时间：2023-10-02 18:00:01 阅读量：综合文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

我的世界推荐度：
相关推荐

我的BCRAN自学学习笔记~(原创)

一章(广域网技术和组件） 1：远程访问的类型：

按时间：有专线（租用电路）和按需按交换类型：电路交换和包交换同步和异步

介质：铜线（包括同轴电缆和双叫线）和光线（单摸和多摸） .................等

CISCO ROUTER支持的SERIAL INTERFACES： EIA/TIA-232 EIA/TIA-449 V.35

EIA/TIA-530

2：广域网封装协议：

租用线路上一般使用HDLC（单协议）和PPP。但是推荐使用PPP（可以支持多协议，IP。IPX等）

在电路交换上也通常使用PPP封装

在包交换网络使用FRAME RELAY的封装协议！

具体每个封装协议到后面记录！

3：选择广域网连接方式：（考虑）可利用性带宽花费

简易控制性应用程序的流量 QOS（服务质量）链路控制

几种介入方式的速度比较：异步：56/64K ISDN-BRI：128K

ISDN-PRI和DSL（用户独享带宽）可以达到1.5m（T1或者E1） CABLE（共享带宽）：比DSL要高一些！租用线路，FRAME RELAY：T3/E3

中心机构的考虑：

需要多样化的连接类型一备分之机构或者移动用户来介入主要可以用的CISCO的设备有:

2600系列。3700系列。4000系列。7200/7500系列。以及更高性能的路由器分之机构的考虑：

包括了租用线路的连接，帧中继。ISDN的BRI或者DSL以及CABLE MODOM 主要可以用的CISCO的设备有：

1600系列，1700系列。2500系列。2600系列。 SOHO的考虑：

异步拨号。ISDN的BRI。宽带，FRAME RELAY（有可能的话）设备：

800系列，1000系列。1700系列

4：CISCO的一般生产线:

800。1600。1700。2600。3600。3700。7200系列的路由

了解那些路由器一般用在什么场点，以及那些系列的路由器有那些功能 800：ISDN BRI。SERIAL口。基本的电话服务接口，宽带接口， 1600：ISDN BRI。一个WAN 接口的卡槽 1700：2个WAN接口的卡槽

2600：一个LAN的模块槽，2个WAN接口的卡槽 3700：2个。4个。或者6个模块可以使用 AS5000：一般作为访问服务器，

7200：支持很多WAN的服务类型，高的端口密度

一般端口的分类：异步端口，使用一个MODOM，支持异步拨号连接同步端口：支持比如租用线路或者帧中继

ETHER：支持宽带的介入或者LAN的介入 BRI：支持ISDN BRI的连接

通道化T1或者E1：支持比如租用线路，拨号，ISDN PRI和FRAME RELAY的连接

模块化的路由器：

可以插入模块，模块上可以查卡等....

使用模块化的路由器可以根据自己的需要插入不同的卡，他可以有高的可升级性

通过LED来鉴别网络设备的状态:

中心场点的路由器一般的接口灯：

CN/LP：Connect when green,loopback when yellow RXC:接收时钟 RXD:接收活跃 TXC:传输时钟 TXD:传输活跃

（最基本的几个灯)

通过CISCO PRODUCT SELECTION TOOLS来选择产品

----------------------------------------------------------------------------------------------------------------------------

二章：（AAA技术）

1：访问控制解决方案综述：基本的安全设备和路由器的安全

PIX防火墙，VPN的解决方案。路由器。

路由器安全服务使用ACL，密码加密。和AAA（这里AAA是重点） ROUTER提供的一些服务： IP SOUREC ROUTE HTTP SERVER BOOTP CDP

SMALL SERVERS

一般情况下建议关闭这些服务以增强路由器的安全性

CISCO安全功能组件：

要了解一个用户要访问一个网络的时候的一些具体行为和过程。

其中各设备的用途。

CLIENTS：拨入用户可以使用token cards来安全的拨入，such as RSA，Enigma 等.. CLIENT PROTOCOLS：PPP，CHAP。PAP。MS-CHAP等。 ACCSEE SERVERS：DIALER PROFILES，ACL，PER-USER ACL，LOCK AND KEY，L2TP，L2F，KERBEROS V。

CERTRAL SITE PROTOCOLS：TACACS+，RADIUS，KERBOROS V 协议

SECURITY SERVERS:ACS是CISCO的一个软件。可以用来解决访问控制的一些具体设置参数。

ACS的综述：

他帮助进行访问控制，记帐，和客户的管理。这个软件基于WEB方式的培植和管理，非常简单的GUI。

CISCO安全ACS主要包括：AAA SERVER，AAA CLIENTS，USER DATABASE

2：理解和配置AAA

定义AAA：1，AUTHENTICATION：定义谁可以连进来 2，AUTHORIZATION：定义权限，你可以干什么 3，ACCOUNTING：计你干了什么和你干了多少时间？

路由器的访问方法：

1字符模式，也可以叫做线路模式或者交互模式： 2包模式，或者叫做接口模式或者线路协议会话：

AAA协议的组件：2中AAA协议

1，TACACS+：三层协议为TCP/IP。对包的全部进行加密，是CISCO私有的协议。 2，RADIUS：三层协议为UDP/IP。只对口令进行加密，是开放性的协议。

配置：

首先要开启AAA

全局模式：aaa new-model

然后选择验证的方式是TACACS+还是RADIUS

tacacs-server host ***.***.***.*** single-connection tacacs-server key **** 或者：

radius-server host ***.****.***.*** radius-server key ****

这里的KEY值应该和ACS上是相同的，如果不相同ACS不为我们做服务。

然后配置AAA的验证方式：

全局模式下：aaa authentication login default group tacacs+ local

这个意思是说定义一个默认的验证方法，是先通过TACACS服务器来验证，如果这个服务器有问题

连接不上则通过本地验证方式来验证。

然后在线路模式下：login authentication default

意思是说在次线路上使用default的验证方式来进行验证。

然后就是授权：

全局模式下:aaa authorization exec default group tacacs+ local 意思是说授予exec的权限先通过TACACS+服务器来进行授权

下面就是记帐啦：

全局模式: aaa accounting network asdf start-stop radius group radius 意思是记录什么时候开始什么时候结束

----------------------------------------------------------------------------------------------------------------------------

三章：（配置异步连接） 1：MODOM的连接和运行

什么是MODOM。他主要是用来干什么的。 DTE（数字终端设备）---DCE（数字传输设备）

MODOM的信号：

在DB25的接口里。2。3针是用来做数据的传输的。2txd用来发送，3rxd用来接收 7grd是用来控制电瓶高低

4。5是用来做硬件流控的，4rts是请求发送。5cts是DCE设备向DTE设备发送的准备完成的信号，说明可以传数据了。 MODOM的控制

20dtr是DTE发出的，数据终端准备完毕。 8cd一般用来DCE设备发出，说明连接断开。

6dsr是DCE发出的说明DATA SET READY

一般来说DTR是DTE发出的，如果是一低电瓶，说明DTE要断开连接。 CD一般是DCE发出的，如果是一低电瓶，说明DCE已经断开 Pin Number Designation Definition Description Controlled by 2 TD Transmits data DTE-to-DCE data transfer DTE 3 RD Receives data DCE-to-DTE data transfer DCE 4 RTS Request to send DTE signal buffer available DTE

5 CTS Clear to send DCE signal buffer available

DCE

6 DSR Data set ready DCE is ready DCE

7 GRD Signal ground To ensure that both sides use the same ground potential —

8 CD Carrier detect DCE senses carrier — 20 DTR Data terminal ready DTE is ready —

DTE TO DTE的连接线（NULL MODOM CABLE） DB25的线头，2和3。4和5。20和6交叉。

RJ45的线头，DCE连DTE用直连线， DTE连DTE用全反线以上要考虑到转接头是全反的还是直连的这些因素

错误控制和数据的压缩标准：

错误控制的几个标准：一般包括MNP和LAPM。是两个不同厂商的协议。压缩：

MNP5有2：1的压缩比 V.42BIS有4：1的压缩比 v.44有6：1的压缩比

调制解调的标准：开放协议：一般来讲注重v.90和v.92他们的下行速度都是56k。而上行速度v.90为33k。v.92有48k

私有协议比如：K56flex和x2 他们都是56k的标准

用v.90协议要注意，如果用两个MODOM互相连接的话。那么速度就是33K。而不是56K。因为上行速度的原因。

配置例子：

isdn switch-type primary-5ess(全局。说明交换类型）

controller t1 0/0(培植控制器，这里是T1的线路，端口为S0/0），之后进入响应的局部配置模式：

pri-group timeslots 1-24（指定时间槽为0-23） framing esf(这里是指定帧的格式） linecode b8zs(指定线路编码）

clock source line(指定时间源为LINE的）

interface s 0/0:23(这里是T1的线路。D通道为23。如果是E1则D通道为15） ip add 10.0.0.1 255.0.0.0

isdn incoming-voice modem(允许模拟MODEM的拨入）

3：配置DDR

DDR的运行过程：

首先判断一个要出去的包是否为感兴趣的，如果是NO的话，则看现在链路是否已经CONNECTED。如果已经连接则发送数据，如果没有连接，则丢弃。

再看，如果这个包为感兴趣的流量，那么现在来看连接是否已经被建立，如已经被建立，则发送数据，这里要注意一点，这里有一个闲置记时器，如果这个包为感兴趣的那么这个时候会重置这个记时器，如果不是敢兴趣的那么记时器继续记时。

再看，如果当时这个连路没有连接起来，那么这个时候接口如果是UP的那么会用一个电话号码进行拨号，然后SEND出去。

这里还要注意一点就是。这个线路只要是NO SHUT了就是UP的。当然这个时候是假的UP。如果他DOWN了会造成路由表的一个错误

在ISDN上配置DDR：

首先要定义一个感兴趣流量（dialer-list)在接口上dialer-group

也可以通过ACL来定义一个感兴趣流量，定义好ACL之后在dialer-list里调用ACL 指定dialer map 语句。这里是用来拨号

4：配置ISDN和DDR

这里就省略了（其中要dialer idle-timeout 30和dialer fast-idle 10的区别）

5：PPP的配置

多链路PPP。接口模式ppp multilink dialer load-threshold load either 这里LOAD为1-255

CALLER ID：允许那些号码进行拨入。保证了一些安全性。

called-party number应答哪些电话号码的子号，相当于我们的分机号。速率的协商

6：检验

show isdn status

debug isdn q921可以查看D通道的2层消息！

debug isdn q931查看呼叫的建立和放弃的过程。 show inter bri 0

----------------------------------------------------------------------------------------------------------------------------

六章（DDR的优化） 1：优化DDR 拨号原形：

dialer inter. dialer pool . physical inter . dialer map-class，这个是可选的。

每一个dialer interface（逻辑的端口）在使用的时候要调用dialer pool里面的一个成员。 physical interface要划分到dialer pool里成为他的成员以供dialer inter来调用！ dialer map-class是为了优化配置而加入的可选项。

2：配置 dialer profiles 首先熟悉3个命令：

在逻辑端口 dialer端口上:dialer string number class map class-name

这个意思是说让逻辑端口拨号，这里给给出了电话号码 number。后面的class 参数可以指定一个map-class.

在逻辑端口dialer端口上:dialer pool number

这里的number是说这个逻辑端口在使用的时候调用哪个池里面的成员，这里number应该为一个池的号码

在物理端口上：dialer pool-member 101 (pri 1000)这里也可以指定他的优先级，级别越高，越先被调用

这里说说明了这个物理端口属于pool 101这个池。！！

要注意几点:

一个物理端口可以是多个池的成员，

一个池可以有多个dialer interface来调用。

但是，，，注意。一个dialer interface 只能调用一个池的成员。

3：检验dialer profiles show dialer inter bri0 show inter dia1 debug dialer

----------------------------------------------------------------------------------------------------------------------------

七章（帧中继） 1.frame relay概述

首先它是一条虚电路。

通过用frame relay map 语句来影射一个dlci号和一个IP地址或者用动态的方式，既inverse arp（有些象LAN的ARP解析）要注意dlci号只于本地有关系。

关于LMI。CISCO支持的有3种：ansi t1.617。ITU-T的q.933a。和cisco的这三种。默认是CISCO。

可以用命令frame-relay lmi q933a来修改LMI的类型，这里说明了LMI为Q933A的类型。有关于LMI的状态有三种active，说明是LMI是正常活跃的。

inactive 说明对端的ROUTER或者中心交换机到对端的ROUTER之间的链路有问题。 DELETED。说明在中心交换机上根本就没有配置这个DLCI号。

2：配置frame relay

首先在端口上要风装frame-relay的类型和IP地址（在同一网段）

frame-relay的类型基本有两种cisco和IETF

默认情况下其他都不用设置DLCI号可以动态学习。配置静态的影射时候可以关掉INARP或者不关都可以。

grame-relay map ip 10.0.0.1 110 broadcast (ietf)如果对方为非CISCO设备的时候使用ietf。动态学习到的它是自己自动的加上参数broadcast。加上这个参数可以在VC上跑多播和广播用来传输路由协议，

强调：DLCI号只具有本地意义~~

有几个VC一般就有几个本地意义上的DLCI号。但是他们走的是同一个物理链路~ hub-and-spoke的拓扑：没有全互连 VC情况：

spoke ROUTER：如果要传输数据给另一个 spoke ROUTER。那么DLCI号是同样的。~让HUB ROUTER来传。

3：检验 frame-relay的配置 show inter s0

不同的LMI会有不同的DLCI号。 show frame-relay pvc

show frame-relay map

注意:命令clear frame-relay-inarp可以清除动态学习到的影射关系。

4：frame-relay的子端口：

主要考虑路由更新的问题~

如果没有子端口可能会因为水平分割使路由更新不可能正确完成。

点到点的子端口在路由更新上是没有问题的！当然，每个子端口应该在一个独立的网段里。

（虽然浪费IP）

多点子端口跟一个物理端口的情况是一样的。会产生水平分割的问题！

配置子端口：如果要改子端口的类型，必须先删除这个子端口，然后重新启动路有器，然后再指定同样那个子端口的类型。

在物理端口上不设置IP。并且逢装frame-relay. 在子端口上培植IP。和dlci号frame-relay dlic 1111(这个配置在子端口里是必须的）

5：frame-relay 的流量整形traffic shaping 要了解4个名词：FECN。BCEN。BC。CIR CIR是一个承诺的速率。BC是突发量，不是速率。

T=BC/CIR

access rate是用户到ISP之间的物理线路上的速度。！！！

为什么采用流量整形。？如果ISP之间两段ROUTER的介入速度不一样那么在传输数据的时候在ISP出会产生瓶静。

可以采用BECN来通知发送方拥挤的信号。FECN是告诉接受者拥挤的信号。

6：配置 FRAME-RELAY的流量整形

1，建立一个MAP-CLASS，2定义流量整形的方法，3在接口上封装FRAME-RELAY，4在端口上应用MAP-CLASS 5，开启流量整形配置例子：

interface s0 ip add

encap frame-relay 封装帧中继

frame-relay traffic-shaping 开启帧中继流量整形

frame-relay class asdf 应用一个帧中继的CLASS ASDF

map-class frame-relay asdf 定义一个帧中继的CLASS 名字为ASDF frame-relay traffic-rate 32000 64000 定义流量整形的方法，设置平均速度和最高速率分别32K和64K

用 show frame-relay pvc 来检验配制 show traffic-shape

----------------------------------------------------------------------------------------------------------------------------

八章：（线路的备份） 1：配置备份的拨号

当主链路失败的时候起用备份线路。

备份线路也可以为主链路进行一定的负载分担！具体配置：接口模式：backup interface dialer 0

backup delay 10 10

第一个10为设置当主链路失效后10秒开启备份线路，第2个10为，当主链路恢复的时候等待10秒中DOWN掉备份线路。

如果一个链路被设置为另外一个连路的备份线路的时候，这个时候当主链路没失效的时候应该为STANDY BY状态。

一个端口只要一被设置为一个端口的备份端口的话他就不能做其他的任何事情了。这里就突出了DIALER INTERFACE的特点。

做负载分担时候的配置:backup load 50 20

这个意思是说当流量占到主链路的50%的时候开启备份线路。

这个时候当两个线路上的总流量的和为主链路的20%的时候DOWN掉备份线路。

物理断口做备份的限制，当他做了一个链路的备份的时候他就不能做别的任何事情了。

给出一个例子： inter dia 0

ip unnumber lo0 encap ppp

dialer remote-name asdf dialer pool 1 dialer string 11111111 dialer-group 9 inter bri 0/0 encap ppp

ppp authentica chap dialer pool-member 1 inter s 0

ip add 1.1.1.1 255.0.0.0 backup inter dia 0 backup delay 10 5 很简单。不用说了~

2：负载分担

注意一些路由选择协议。

比如。如果是OSPF。他只能做等代价的负载均衡。所以这个时候要指定OSPF的COST。那么，如果是EIGRP的话，他可以实现不等代价的负载均衡。当然要指定一个倍数关系参数是：variance 3

意思是说相差3倍可以负载均衡。还有一条命令:traffic-share balanced

验证配置 show inter s0

show int dia 0

也可以通过浮动的静态路由来实现备份线路。

inter dia0

ip address negotiated 这里是说明IP地址由对方协商给我。 encap ppp封装

dialer pool 1 指定POOL ip mut 1500

ppp chap hostanme asdf

ppp chap password asdf 这里说明是让对方严整我放。而不用验证对方。 PAT的配置指定出入口。然后

ip nat inside source list 1 inter dia0 overload access-list 1 permit ip 10.0.0.0 0.255.255.255 any 没啥说的啦。

下面举例子： interface e0 ip add **.*.*.* ip nat inside inter dia0 ip add negotiated ip nat outside

encap ppp dialer pool 1 no cdp enable

ppp chap hostname cisco

ppp chap pass asdfasdfsdfsdf

ip nat inside source list 101 interface dia0 overload access-list 101 permit ip 10.0.0.0 0.255.255.255 any 这里没有配置拨号的物理接口，很简单。

下面配置DHCP服务器。可选的。。全局：ip dhcp pool 123

进入相应的局部配置模式：import all 这里是说DNS和WINS服务器分配给客户，这里的两个地址是由拨号后ISP给的

network 10.10.0.0 255.255.0.0

default-router 10.0.0.1指定要分配出去的网关。

要指定一个静态路由

ip ruote 0.0.0.0 0.0.0.0 dialer0

实际当中的物理接口比如ATM接口的IP应该不培植，有DIA接口的IP ADD NEGOTIATED来决定。

4：检验配置

show dsl int atm0 show interface

----------------------------------------------------------------------------------------------------------------------------

十二章：（VPN） 1：概述：

是一个虚拟的私人网络。

在两个或多个私人网络之间通过INTERNET传输数据。这里要考虑数据的机密性和完整性，以及验证用户身份。！他是通过公共网络来传输私人数据。

用VPN的好处：费用低廉，更高的灵活性，简单的控制管理，以及有通道的拓扑！ VPN的网络主要包括：虚拟的网络和私有的网络。

虚拟主要是采用通道化的技术。而私有主要是采用加密的方法。

隧道技术：一个隧道就是一个点到点的连接。

隧道内可以承载多种不同的协议。比如IP或者IPX协议。加密传输的数据。

VPN有点到点的。点到多点的。移动用户到路由器，等。。 CISCO VPN有一个完整的系统，解决方案。

VPN的类型：按照远程介入有：客户初始化的也有NETWORK ACCESS SERVER初始化的。按照站点到站点分有内部的和外部的。

加密：可以在多层加密。应用层（SSH），传输层（SSL），网络层（IPSEC）。链路层。（主要介绍IPSEC）隧道协议：网络层：IPSEC。GRE。L2F。L2TP。PPTP（主要介绍网络层） L2TP是一个层2的隧道协议，是是L2F和PPTP的结合。

GRE是一个通用的路由的封装，不支持加密，只是构成一个隧道而已，可以和另外一些加密结合使用

IPSEC构建一个加密的IP安全。

选择3层的VPN的隧道协议。

如果仅仅之后IP流量和单波就使用IPSEC

如果有多中协议和广播就使用GRE或者L2TP。（这里加密并不是必须的）

一些术语：

tunnel隧道。加密和解密。加密系统，HASHING哈西算法（是一个不可逆的算法）验证，授权，KEY的管理。CA（授权认证服务）

关于IPSEC VPN的术语：

AH：头验证

ESP：对有效数据进行验证和加密，

IKE：INTERNET KEY 交换。在INTERNET上交换口令，可以不让其他人看到。保证口令的安全性。 ISAKMP： SA：安全观念 AAA：

TACACS+： RADIUS：

2：CISCO ISO加密系统：

密钥的管理：人工参与，安全KEY交换算法IKE，CA公共KEY交换。加密：对称式的加密（DES，3DES。AES。）和非对称式加密（RSA）验证：

HASH哈西算法：

对称加密：

非对称加密：有共钥和私钥。加密用共钥，解密用私钥。保证了在传输过程中的口令的安全性，

如果在传输过程中口令被截取，那么他没有私钥，则不能进行解密。

KEY 的交换：

比如ROUTERA和ROUTERB交换KEY。 ROUTERA有私有值XA和共有值YA。。。。ROUTERB有私有值XB和共有值YB 互相交换YA和YB。

在ROUTERA方：K等于YB的XA次放的模乘以P ROUTERB方：K等于YA的XB次放的模乘以P。

这里P双方都是知道的！这里的K应该相等。

HASHING算法：

可以保证数据在传输工程中的数据的完整性，但是他不保证加密性。具体是这样的：

本地的要发送的信息和共享的KEY经过HASHING算出一个值

再传输给远方。如果中间人要修改数据。那么HASHING的值会发生变化，这样对方就知道了数据被人改了。

3：IPSEC

加密以及验证，

ESP可以做认证也可以做加密，加密的是内容，

AH包含了对头部的认证，一般两种方法可以结合使用通常。

隧道模式传输模式：

区别：在隧道模式是支持多协议的，在隧道中用新的头封装了原来的数据，可以支持多种协议。

传输模式：他对于原始数据的头部不做改变，而是在数据中增加 AH和ESP的头来保证数据的安全性和完整性。

安全观念：

两个设备之间进行安全信息交换的一个综合思想（概念）

IPSEC的步骤：

A发送敢兴趣流量到B。这里敢兴趣流量是需要加密的数据。一般通过ACL来决定。经过IKE的SA的协商。然后进行IPSEC 的SA进行协商。然后通过 IPSEC的通道进行数据的交换。 IPSEC的隧道形成。

配置IPSEC的任务

1，规划，准备，决定IKE和IPSEC的策略， 2，配置IKE 3。培植IPSEC 4检验

4：准备配置IKE和IPSEC 准备IKE和IPSEC的策略。

决定IKE的策略。KEY的分发思想和验证思想，IPSEC对端的IP和HOSTNAME，IKE的策略。

保证两端配置一致。

决定IPSEC。同样，两端配置应该一致。

5：配置VPN

我考。这里是难点。偶不是很懂。！

----------------------------------------------------------------------------------------------------------------------------

对学习后知识的总结：

对Cisco Encryption Technology (CET)术语理解不到位~~~~

IPSec supports AH, ESP and Anti-Replay which are not available with CET.

aaa accounting what-to-track how-to-track where-to-send-the-information配制AAA的时候记帐可以配置的一些具体类型，

The what-to-track arguments are as follows:

network - With this argument, network accounting logs the information, on a user basis, for PPP, SLIP, or

ARAP sessions. The accounting information provides the time of access and the network resource usage in

packet and byte counts.

connection - With this argument, connection accounting logs the information about outbound connections made

from the router or RAS device, including Telnet and rlogin sessions. The key word is outbound; it enables the

tracking of connections made from the RAS device and where those connections were established.

exec - With this argument, EXEC accounting logs the information about when a user creates an EXEC terminal

session on the router. The information includes the IP address and telephone number, if it is a dial-in user, and

the time and date of the access. This information can be particularly useful for tracking unauthorized access to the RAS device.

system - With this argument, system accounting logs the information about system-level events. System-level

events include AAA configuration changes and reloads for the device. Again, this information would be useful

to track unauthorized access or tampering with the router.

command - With this argument, command accounting logs information regarding which

commands are being

executed on the router. The accounting record contains a list of commands executed for the duration of the

EXEC session, along with the time and date information.

resource - Before AAA resource failure stop accounting, there was no method of providing accounting records

for calls that failed to reach the user authentication stage of a call setup sequence. Such records are necessary

for users employing accounting records to manage and monitor their networks and their wholesale customers.

This command was introduced in Cisco IOS Software Release 12.1(3)T.

Cisco IOS路由器支持三种安全协议:TACACS+,RUDIUS,Kerberos.

ACS+,RUDIUS支持3A--------Authentication, authorization and accounting!而Kerberos使用DES(数据加密标准),只支持Authentication!所以用得不太多,TACACS+是cisco专有,用得也不多,RUDIUS是IETF制定的标准,用得比较多!

IPsec是一组用于确保网络层数据安全的协议和算法.它由两种协议和两种保护模式组成,这两个协议一个是AH,一个是ESP,

ESP提供了:保密性-----Confidentiality,无连接完整性------data integrity,数据来源验证-------data origin authentication,防重发服务---------anti-replay service; 而AH只提供了:无连接完整性------data integrity,数据来源验证-------data origin authentication,防重发服务---------anti-replay service;

给出一些配置异步连接的LINE线路（物理线路）上的一些配置介绍：

(config-line)#exec - Allows the EXEC process on this line.

(config-line)#login - Sets a login password on this line. Without the password, no connection is allowed.

(config-line)#password - password Sets the password to be used when logging in to this line. (config-line)#flowcontrol hardware - Uses RTS/CTS for flow control.

(config-line)#speed 115200 - Sets the maximum speed (in bits per second) between the modem and the access

server. The speed command sets both the transmit and receive speed.

(config-line)#transport input all - Allows all protocols to be passed to the access server through this line.

(config-line)#stopbits - Sets the number of stop bits transmitted per byte.

(config-line)#modem inout - Uses the modem for both incoming and outgoing calls. (config-line)#modem dialin - Uses the modem for incoming calls only (the default).

如果要实施异步拨号，不止有异步接口才可以做到，在一些A/S接口（这种接口又可以是异步又可以是同步）上也可以实现，

不过 A/S接口的默认是同步的，那么如果要实行异步的拨号首先要把它声明成异步模式：那么这个时候需要在这个接口的接口模式下输入命令： physical-layer async

在帧中继的一个VC里。TC = Bc/CIR。。突发量除以CIR就等于时间间隔。

帧中继的CIR如果是默认情况下带宽为56/64K

VPN分两大类:远程接入VPN和场点到场点VPN. 远程接入VPN: 安全地将远程用户连接到企业网络.

场点到场点VPN: 安全将企业或者公司分部分连接到企业网络. 远程接入VPN又分为两类:

客户发起的:远程用户通过使用客户端软件通过ISP共享网络建立的一条到企业网络的安全隧道.

网络接入服务器(NAS)发起的:远程用户拨入ISP,.NAS建立一条到企业私有网络的安全隧道,该隧道支持多个远程用户发起的会话,.

场点到场点VPN又分外An intranet VPN和An extranet VPN.

An intranet VPN主要是指所连的场点都是公司内部的办事处,分支等,是同一个公司的机构.

而An extranet VPN是指连接客户,供应商,合作伙伴等.

IPSEC 的 IKE协商：在phase 1,有4种: 1.选择密钥的分发方法. 2.选择验证方法.

3.确定IPsce对等体的IP地址和主机名. 4.确定对等体的ISAMKP的policy. 在phase 2,有5种:

1.选择IPsec的算法和参数也获得最佳的安全性和性能; 2.选择变化集.

3.确定IP对等题的细节. 4.选择SA的建立方式. 5.确定要保护的数据流.

题目：

QUESTION NO: 13

You are a technician at TestKing.com. Your newly appointed TestKing trainee wants to know what the

circumstances are where the use of Kerberos authentication system would be necessary because TACACS+ or RADIUS will not be suitable. What would your reply be?

A. The usage of various router functions needs to be accounted for by user name.

B. Multiple level of authorization need to be applied to various router commands. C. DES encrypted authentication is required.

D. Authentication, authorization and accounting need to use a single database.

E. The utilization of authentication functions needs to be authorized by user names and passwords.

Answer: C（完全不明白题目是什么意思，晕）

QUESTION NO: 20

You are a network technician at TestKing. Your newly appointed TestKing trainee wants to know what

is responsible for IKE in the IPSec protocol. What would your reply be? (Choose all that apply.) A. Negotiating protocol parameters B. Integrity checking user hashes

C. Authenticating both sides of a connection D. Implementing tunnel mode E. Exchanging public keys

F. Packet encryption

Answer: A, C, E（IPSEC里的IKE的功能）

Internet Key Exchange (IKE) is used to establish all the information needed for a VPN tunnel. Within IKE, you

negotiate your security policies, establish your SAs, and create and exchange your keys that will be used by

other algorithms such as DES.

QUESTION NO: 21

The Frame Relay connection type is the interconnection process between which types of equipment?

(Choose all that apply.) A. DCE B. DTE C. CPE

D. PDN E. DSLAM

Answer: A, C（争议题目，BC？）

QUESTION NO: 26

Which of the following statements regarding Frame Relay subinterface configurations are true? (Choose

all that apply.)

A. The configuration must be added to the D channel.

B. The physical interface and subinterface can each be configured with IP addresses.

C. Subinterface is configured either multipoint or point-to-point. D. Any IP address must be removed from the subinterface.

Answer: B, C（错题目，B不对，帧中继如果有子接口就不应该在物理接口上配置IP地址，有冲突）

QUESTION NO: 29

You are the network administrator at TestKing.com. The TestKing network has a DSL service

connection that uses PPPoE. Which process must you perform on the host to establish a PPPoE SESSION_ID on the PPPoE connection?

A. A DHCP request process to request and IP address and session ID.

B. A Discovery process to identify a PPPoE server and request a session ID. C. A RARP request process to request a MAC address and session ID. D. A Bootp process to request a configuration and session ID. Answer: B

When a router wants to initiate a PPPoE session, it must first perform Discovery to identify the Ethernet MAC

address of the peering device and establish a PPPoE SESSION_ID. Discovery is inherently a client/server

relationship. During Discovery, a router discovers the provider DSLAM. Discovery allows the CPE router to

discover all available DSLAMs, and then select one. When Discovery completes successfully, both the CPE

router and the selected DSLAM have the information they will use to build their point-to-point connection over Ethernet.

QUESTION NO: 30

You are a network technician at TestKing. Your newly appointed TestKing trainee wants to know what

physical factors will have a negative affect on the maximum available speed of a DSL connection. What would your reply be? (Choose all that apply.) A. Number of telephones attached to the local loop. B. Gauge of wire used on the local loop.

C. Distance between the CPE and the DSLAM.

D. Bridge taps in the local loop.

E. Loading coils in the subscriber’s line.

Answer: B, C（这个题目要注意，其实A也应该算是对的，在本地如果连了分机或者更多的电话会是DSL的速度变慢）

QUESTION NO: 31

You are the network administrator at TestKing.com. TestKing has an ISDN line that you want to use as a

backup for the Frame Relay line connection on interface serial0. The Cisco router is configured as follows:

interface serial0

ip address 192.168.10.1 255.255.255.0 backup interface bri0 backup delay 5 10

interface bri0

ip address 192.168.11.2 255.255.255.0 dialer idle-timeout 900

match with its policies. Answer:A

QUESTION N 232

A router receives frames with the FECN bit set but no frames with the BECN bit set. These settings

indicate congestion on the frame relay switch triggered by too much traffic. In which direction is there too much traffic? A. From the local router to the remote router. B. From the remote router to the local router. C. In both directions. D. In neither direction. Answer:B

QUESTION N 233

Assuming minimal local loop impairments, what is the maximum distance for ADSL? A. 1000 feet (0.3 km) B. 4000 feet (1,5 km) C. 12,000 feet (3.65 km) D. 18,000 feet (5,5 km) E. 28,000 feet (8.52 km) Answer:D

QUESTION N 234

When using PPPoE to communicate over a DSL service connection, which process must be performed by the host to establish a PPPoE SESSION_ID?

A. A Bootp process to request a configuration and session ID.

B. A Discovery process to identify a PPPoE server and request a session ID. C. A DHCP request process to request an IP address and session ID. D. A RARP request process to request a MAC address and session ID. Answer:B

QUESTION N 235

What does the dialer fast-idle command specify in a DDR environment?

A. The termination of the call if no interesting traffic has been transmitted for the specified time. B. Disconnect time if there is another call waiting for the same interface and the interface is idle. C. The length of idle time to wait for a carrier when dialing out before abandoning the call.

D. The length of idle time to wait for keepalives before assuming inactive and disconnecting the call. Answer:B

QUESTION N 236

Instead of purchasing dedicated router ports, TestKing wants to reduce costs by allowing any one

of the

available physical BRI interfaces on a central site router to dial out to remote branch offices. Which two commands provide this capability? (Choose two) A. dialer-group B. multilink ppp C. interface dialer D. dialer hunt-group

E. dialer rotary-group

Answer:B,E rotary group的命令

QUESTION N 237

A system administrator issues a Router(config)#aaa new-model command from a telnet session. Making no other changes, the administrator saves the configuration to nvram and then exists the telnet session.

No local username/password database exists on the router.

What will happen when the administrator tries to immediately establish another telnet session? (Choose two)

A. The session asks for a username that may not exist.

B. The router requires a reboot to so the administrator can login.

C. The administrator must access the router through the console port to login. D. The administrator can log in without using a password.

Answer:AC

QUESTION N 238

Which three items are correct about the IPSec AH security protocol? (Choose three) A. Authentication is mandatory. B. Authentication is optional.

C. The IP packet is expanded by transport mode 37 bytes(3DES( or 63 bytes(AES); tunnel mode 57

bytes(3DES) or 83 bytes(AES).

D. The IP packet is expanded by transport mode 24 bytes; tunnel mode 44 bytes. E. The IPSec AH security protocol does provide data confidentiality. F. The IPSec AH security protocol does not provide data confidentiality. Answer:ACF

QUESTION N 239

What is the first task accomplished on cable modem initialization (boot up), according to the standard specification (DOCSIS 1.1)?

A. The establishment of IP connectivity (DHCP). B. The determination of the time of day.

C. The request for a DOCSIS configuration file from a TFTP server.

D. The scan for a downstream channel and the establishment of timing synchronization with the CMTS. Answer:D

Obviously, to transfer data,the modems must be in operational state. The basic data transfer process is as follows:

1. Scan for a downstream channel and establish synchronization. 2. Obtain upstream parameters.

3. Make Ranging and Automatic Adjustments. 4. Establish IP connectivity (DHCP). 5. Establish Time of Day (ToD). 6. Transfer optional parameters. 7. Register with the CMTS.

QUESTION N 240

Which Cisco IOS command displays active Layer 3 sessions on an ISDN PRI connection, showing the call-type and B channel used? A. debug dialer B. show isdn status C. show dialer-group D. show dialer interface Answer:B

D? 书上show dialer interface的sample好像是这样的

QUESTION N 241

In a DDR environment, how can you hold packets that accumulate while waiting for the line to come up?

A. Use the hold-queue command. B. Use the no fair-queue command.

C. Use the dialer hold-queue command.

D. Use the dialer wait-for-carrier-time command.

Answer:C To allow \outgoing packets to be queued until a modem connection is established, use the dialer hold-queue interface configuration command. To disable a dialer hold queue, use the no form of this command

QUESTION N 242

What terminates the local loop in a BRI installation? A. LE B. TA C. TE2 D. NT1 Answer:D

QUESTION N 243

What is the purpose of the pri-group command?

A. Configures serial interfaces created ona channelized E1 or T1 controller for ISDN PRI

signaling.

B. Configured the central office switch type for the ISDN PRI interfaces.

C. Specifies which timeslots are allocated on the digital facility of the provider. D. Configured ISDN B-channel interfaces for VoIP applications that require release of the ISDN PRI

signaling time slots. Answer:C

QUESTION N 244

What are three symptoms of a congested serial line? (Choose three) A. Traffic load equals for the transmission capability. B. The connection fails at a particular time of day. C. The connection has never worked. D. The connectivity is intermittent. E. The connection fails as load increases. F. The hardware in the serial link failed. Answer:BDE

QUESTION N 245

As the figure shows, RTR A is a Cisco router that is connected to a non-Cisco router. The two routers are

unable to ping each other. When a show interface serial 0/0 is permitted on RTR A, the line status shows

the following:

RTR A#show interface s0/0

serial 0/0 is up, line protocol is down

What could be the cause of the line protocol showing down? A. The IP addresses are not in the same subnet. B. The IP address is a non routable private address. C. There is a bad cable connecting the two routers.

D. The encapsulation type on RTR A Serial0/0 interface is incorrect. Answer:D

重点稍微放在拖拽题目上：具体题目为： 12题：关于队列的介绍

22题：关于ISND BRI的参考点和设备

70题：WAN的协议介绍！（PPP。SLIP。FRMAE RELAY等） 133题：还是关于队列的介绍 137题：关于IPSEC VPN的术语

172题：关于ISDN的几个命令

186题：关于T1/E1 PRI模块灯颜色的意义

实验：

37题目，（MODEM的AT配置） 97题目，（也是MODEM的AT配置） 131题目，（配置NAT）

185题目（帧中继的配置实验）

正确的配置：1个是关于MODEM的配置一个是关于帧中继的配置：

enable config t

int s0/1