HCTE要考的主要内容有：

aaa
1 aaa en
2 aaa accounting optional（aaa不计费）

ppp
1 创建用户local ppp ser ppp pass sim ppp
2 端口封装ppp link-pro ppp
3 ppp验证pap（chap） ppp authen chap
4 发送用户名，密码 ppp pap user ppp pass sim ppp(ppp chap user ppp ppp chap pass sim ppp)

可能的错误：
1 用户名，密码的匹配错误
2 验证的方式错误
3 有环路（魔术字相同，用DEBUG PPP PAC查看）

MP
1 创建用户 loca-user
2 绑定用户到虚拟接口模板（指定接口模板地址）ppp mp user ppp bind vir 1
3 端口封装PPP（并将接口加入到MP） ppp mp
4 PPP验证
5 发送用户名，密码

可能的错误：
1*** PPP设置的绑定类型错误（华为默认绑定用户与接口，PPP MP BIND ……命令，在全局模式下）
2*** PPP mp是否已经把用户绑定到虚拟接口模板（全局模式下，PPP MP USER …… BIND VIR ……）
3 是否将端口加入到ppp mp（命令 ppp mp，在接口模式下）

ppp的诊断命令：
debug ppp pac打开packet调试
dis inter s0 显示接口
dis ppp mp 显示mp绑定情况
debug ppp negotiation一般用于查看LCP协商和验证(很重要,虽然用debug ppp pac也可以查看，但是ppp pac的信息太多。)

拨号接入
1 流控制方式
2 封装ppp（并设定验证）
3 modem是否自动应答
4 允许拨入
5 设定地址池（全局模式，ip pool 1 IP)
6 remote address ip-pool
拨号在全局模式
可能的错误：
1 验证的类型
2 是否有用户存在
3 MODEM是否能应答（debug modem at 如果出现了RING显示，但是不通，就是MODEM应答的问题）
4 是否允许拨入
5 是否设置了POOL（用户拨入成功后，无法通信。因为分配不到IP）
6 地址分配问题

FR
1 指定端口的DLCI（在P-P下DTE端不用指定）
2 指定端口IP地址
3*** FR MAP 对端IP 本端DLCI（可以指定是否可以传输广播）
4 FR的接口类型（DTE，DCE）
*** 由FR MAP 指定的通路为NO broadcast
*** 由inarp自动生成的MAP为broadcast（在FR链路上运行OSPF必须指定邻居，不管接口类型为什么，就算是P-P也需要指定）、

FR-交换机-FR
1 FR SWITCHING
2 FR PVC交换（在进出的端口上都应该配置）FR PVC 为PVC交换路由
3 FR SVC交换（在全局模式下配置）FR SVC为交换虚电路

帧中继可能的错误
1 FR端口模式（DTE，DCE）
2 DLCI的本地有效性
3 在点到多点，DTE只会从DCE学习到主地址的参数，故DTE一定要指定MAP。
4 对于有子接口一定要配置DLCI
5 LMI的类型（Q933）
6 MAP能否转送广播，手动配置的默认为不传送（可以加broadcast），inarp创建的可以传送。
7 华为设备inarp默认打开
8 PVC路由交换在出入接口上都有相应的配置

X.25
1 指定x121地址
2 X25 MAP 对端ip 对端x121地址（可以指定是否可以传输广播）
3 指定x.25封装（DTE，DCE;IETF）

X.25-交换-x.25
1 x.25 vc-range（双方的range范围一定要一致）
2 指定MAP（如果用SVC交换，需要指定MAP）
3 指定PVC（如果用PVC交换，需要指定PVC。只有确定了VC-RANGE，才能创建PVC）
可能的错误
1 VC-RANGE范围一定要一致
2 指定VC-RANGE后，自己配置的PVC应该在VC-RANGE的范围内

rip
可能的错误
1 版本问题（v1用广播发送，v2用多播发送，导致v1与v2之间无法更新路由。修改v2用广播发送。）
2 版本问题（在不支持广播的链路上，v1无法发送路由信息。改用v2版本）
3 关于v1无类路由，以及聚合的问题

ospf
可能的错误
1 在nbma网络中，ospf不管网络接口为什么类型，都要求配置邻居（在接口视图下ospf peer……。虽然可以更改ospf的接口类型，但是在华为路由器上不行）
2 router ID的问题（路由器一旦启动，就会选出ID，修改ID是无法应用到ospf中去。由此引发的vlink问题，在正确的一端多配置一条目前ID的vlink，千万拒绝重新启动）
3 区域的问题（AREA0要连通，其他区域都要和AREA0连通）
4 接口两端的ospf接口类型不同，导致无法计算正确路由。（接口模式，ospf network-type ……修改）
5 路由聚合的问题。（通常会导致环路，或者部分目的地不可达）
dis ospf peer显示ospf邻居
dis ospf int显示ospf接口状态参数
dis ospf rout显示ospf路由
abr-summary 聚合路由（如果一定要聚合路由，又不想产生环路，将聚合路由在聚合处创建静态路由，目的地为聚合路由，下一跳为null0）
ospf的路由引入只有import命令，而bgp可以有network和import命令。
BGP
可能的错误
1 BGP邻居配置。（邻居无法建立，一般是因为IP地址不在同一个网段，故无法通信。或者是因为ACL将179端口禁止了）
2 建好的邻居DOWN掉（通常是因为MTU值的问题，或者是延时太大，修改MTU值或者keepalive值）
3 路由丢失（BGP只发布最优路由和自己使用的路由。用des bgp查看路由是否最优，并保证需要的路由在BGP路由表中）
4 在用NETWORK引入路由时，一定要与IP ROUT表中的路由条目一模一样。否则无法引入。并且在用NETWORK引入时候一定要加上掩码信息。　如果不加上掩码，BGP会认为是自然掩码。
5 在BGP路由聚合的时候使用命令aggregate，其参数detail-suppressed表示抑制发布具体路由。会导致无法找到具体路由。
6 BGP为EGP，故其邻居都需要指定，不管是IBGP还是EBGP。
7 路由聚合的问题。（通常是由于IBGP没有全互连，并又在边界路由器上进行了路由聚合，这样导致出现环路。最简单的解决办法为，配置全互连。并且建议IBGP尽量配置为全互连。）
8 EBGP在向IBGP发布路由时，在IBGP上显示路由不可达，其显示的下一跳为NULL。（配置EBGP在向IBGP发布EBGP路由时，强制下一跳为自己。 例如有peer IP as AS-NUM,再在下面配置peer IP next-hop-local。）
dis bgp显示BGP的路由信息
dis bgp peer 显示BGP的邻居
dis bgp routing-table flap-information显示BGP摆动路由
dis bgp routing-table network显示BGP通告的路由

VPN
L2TP
1 ****关于L2TP的LNS到LAC路由问题（必须等待IP-POOL指定了IP地址，才能建立静态路由，就算用OSPF，也必须先让IP-POOL分配IP。　这是唯一解决办法。）
2 L2TP的START为LNS的公网IP，不同与GRE指定的IP，在LAC端可以使用域名，也可以使用FULLNAME，在使用fullname时候，注意FULLNAME是在创建用户时候的名字，可能会出现FULLNAME为hcte@huawei.com这样的名字，这个才是FULLname，而非hcte。
3 在GROUP中的tunnel 密码必须一致
4 在LNS中的绑定时，LAC的name必须一致
5 地址池的分配应该在VIR模板中，而不是在GROUP中。（给对端分配ip **remote address pool 1**）
6 通常在WIN中会先用MSCHAP进行验证，然后才会用PAP验证。并且MSCHAP跟CHAP有区别。
7 在用户充当LAC拨入时候，默认的LAC端name为LocalHost。在LNS端必须要有allow l2tp virtual-template 1 remote LocalHost
8 由ROUTER+LAC+LNS接入时候，首先必须在ROUTER和LAC端建立连接，所以LAC端必须有ROUTER的LOCAL-USER。
9 在ROUTER+LAC+LNS接入时候，LNS端可以配置强制CHAP验证，那么ROUTER上必须有chap的相关命令，而且，在ROUTER上可以同时存在PAP和CHAP。在线路接入时候，ROUTER会自动匹配。
10 在ROUTER+LAC+LNS接入时候。首先必须保证ROUTER和LAC建立LCP OPEN，其IPCP状态可以为协商不通过。并且，ROUTER+LAC的接口地址不能配置IP地址，否则和IP-POOL发生冲突，导致LAN无法建立连接，并且分配不到IP。
11 ip-pool必须为总局的同一个网段，否则分配的IP在总部无法访问（当局域网内运行OSPF时候，还必须指定邻居，而不用管L2TP是否能传输广播报文。一般在用L2TP接入时候，在LAC侧用户通常不运行路由协议）。
12 mandatory lcp为强制LCP重协商。mandatory CHAP为强制CHAP验证。强制CHAP只是要求用户和LNS进行重验证。而强制重LCP协商，是只在用户和LNS之间重新从LCP开始协商。当用户在和LAC，以及LNS出现低层协商问题时候，必须用强制LCP重协商，让用户和LNS的低层协商一致。

命令：
dis l2tp tu
dis l2tp se
通过这个可以看出L2TP隧道是否建立起来

GRE
1 在创建TUNNEL时候，默认的封装方式为TUNNEL，这个就是VIR和TUNNEL最重要的区别，通常VIR的默认封装为PPP
2 在为TUNNEL配置的ip为通道IP，这个IP通常选择1.1.1.1。并且此地址必须为公网上无法访问的地址，而且不能和私网在同一个网段。
3 TUNNEL指定的源目的地址为公网IP，在配置GRE时候是不需要指定私网IP的，因为所有的私网数据流都直接指定TUNNEL ID传输。
4 在通道两端都必须有通道两端的公网，私网的路由。特别是私网，必须指定。并且必须避免出现公网和私网路由混合显现。否则任何通路都错误。
5 在为TUNNEL配置路由的时候最好指定IP ROUT 0.0.0.0 0.0.0.0 TUNNEL的对端tunnel地址。
在为L2TP指定路由的时候 ip rout 0.0.0.0 0.0.0.0 在LAC+router侧的出接口，或者是对端的内网进IP。不能指定公网IP。
6 在私网运行OSPF时候，必须指定PEER。否则路由无法传递。通过DIS OSPF PEER查看PEER是否已经建立。

IPSEC
1 通常在IPSEC建立的时候的参数由IKE建立联盟进行协商。（否则必须手动配置IPSEC的参数，包括加密算法和验证算法）
2 在用IKE建立联盟时候，首先必须保证PRE-SHADE-KEY一致。REMOTE地址为对端公网地址。
3另外在创建ACL流的时候，IKE两端必须完全镜象。通常ACL使用扩展ACL。并且，如果在内网需要运行路由协议时候，千万避免ACL将路由的数据流过滤掉。通常在ACL末端需要DENY ANY。华为默认为DENY ANY。CISCO默认为PERMITER。
4 创建安全提议时给的STRING，必须和创建策略时引入的STRING一致。
5 在安全提议中可以配置IPSEC使用的传输方式，有TUNNEL和TRANSPORT方式，在IKE联盟时候，必须一直，否则IPSEC无法对数据进行解密。
6 在安全提议中的ESP使用时候，IKE联盟的算法必须一直，通常在验证使用SHA1算法，在加密使用MD5算法。
7 保证在安全策略中的ACL引入为所定义的ACL。通常由ACL101开始。
8 指定安全策略中的REMOTE地址，在直接用IPSEC建立隧道时候，remote地址为对端公网IP，在IPSEC+GRE的时候为GRE创建的tunnel地址
，（通常GRE创建的tunnel地址为1.1.1.1）。在IPSEC+L2TP的时候，即可以让IPSEC加密通道数据，也可以让IPSEC加密LAN数据，在加密通道数据时候IPSEC的remote地址为公网IP，在加密LAN数据时候，IPSEC的remote为LAN地址，并且为与LAC连接的ROUTER分配到的IP地址。（这个和L2TP的LNS的IP-ROUTING类似），通常IPSEC+L2TP加密LAN数据。
9 IPSEC最后必须在所需要的接口上起用IPSEC的安全策略。在GRE+IPSEC的时候，必须在TUNNEL通道下起用，而不是直接在接口下。
10 如果IPSEC的联盟建立不起来，也有可能是因为没有数据流的触发。使用扩展的PING命令，触发数据流。 ping -a 本端内网ip 对端内网IP。在建立IPSEC联盟之前，必须保证双方的外网直接可达。
11 在直接用IPSEC建立通道的时候，其内网运行的OSPF和外网必须分开，并且必须指定邻居。

命令：
DIS IKE SA 显示IKE建立联盟的情况，如果1阶段没有成功为IKE的问题，如果2阶段没有成功为IPSEC的问题。
DIS IPSEC SA ALL显示所有的IPSEC参数以及IPSEC建立的联盟。通常用于检测IPSEC的加密密钥和算法是否一直。

L2TP用户拨号接入
1 使用debug modem at命令查看MODEM的接入状态。如果反复出现“RING”命令，则为modem的应答问题。通常在华为为自动应答，但是有可能MODEM不支持。
2 在router上必须有用户拨入时候的信息。
3 dialer必须使用DCC循环拨入（dialer enable-circular）。
在AUX口上必须配置的命令只有两条，1 流控制方式 2 允许拨入

交换
PVLAN
1 在一个交换机上设置了一个HYBRID口之后，不能设置TUNK口。
2 HYBRID口最好配置为untegged所有VLAN，但是必须TEGGED 管理VLAN。否则管理vlan无法通信。如果允许其下面的VLAN能穿透的话，必须配置为TEGGED。
3 在HYBID口上必须配置其PVID为PVLAN的ID。而且与HYBRID口相连接的交换机的口，必须配置为TUNK口，PVID同样为PVLAN的ID。
4 如果在本交换机上希望配置VLAN之间的访问，可以将接口配置为HYBRID，然后通过TEGGED标记来控制通信，而不需要借助ROUTE的路由传递。
5 交换机在与ROUTE接入的口，如果ROUTE不配置子接口，不实现VLAN路由的话，必须将交换机的接口改为ACCESS状态。
6 在用DHCP服务器分配IP的时候，必须配置DHCP-RELAY。（先建立DHCP-ser的相关参数，然后在***VLAN接口下配置，必须在每个VLAN下都要配置）在路由器上配置DHCP-RELAY的时候是在分发IP的接口上配置（ip-relay ……）注意是在分发IP的接口下配置，而不是在系统视图下

802.1X
1 通常会出现的错误为将上行端口配置了DOT1.X。因为上行端口连接的是route，绝对不能配置。
2 在华为设备中，在一个设备上配置了dot1.x，其他的交换机都必须配置本地验证。否则，其他交换机与他的直接连接将DOWN掉。

VRRP
1 在创建VRRP组的时候，必须为每个VLAN接口指定自己的IP ADD，并且还必须指定此vlan的VRRP组的IP ADD。
[SwitchA-Vlan-interface10]ip address 192.168.100.2 255.255.255.0
[SwitchA-Vlan-interface10]vrrp vrid 1 virtual-ip 192.168.100.1
2 在VRRP组中做DHCP-RELAY的时候，必须为vrrp组中的每个成员的每个VLAN都指定DHCP-RELAY。
3 在vrrp组中做DHCP-RELAY的时候，其上面连接的ROUTE在指定DHCP-RELAY的时候，必须为每一个相连接VRRP的成员的ETH接口都做DHCP-RELAY。
4 在交换机上配置的时候，要注意是三层还是二层。存在虚拟IP的问题。
5 在三层交换机上，各个VLAN相当于在交换机内进行全互连。在配置OSPF的时候不用考虑PEER的问题。并且在三层交换机上的OSPF的配置跟在ROUTE上有本质区别。
启动OSPF路由协议
[SwitchC]Ospf
指定区域号
[SwitchC-ospf]Area 0
从指定网段的接口接收和发布路由信息
[SwitchA-ospf-area-0.0.0.0]Network 10.1.1.1 255.255.255.0
[SwitchA-ospf-area-0.0.0.0]Network 20.1.1.1 255.255.255.0
其可以指定不同的AREA。在配置不同AREA的时候，各个AREA也是全互连的。所以也不存在VLINK的问题。
6 交换机IP-POOL问题。必须为每一个vlan指定单独的ip-pool，其指定的gate-way必须为vlan的在三层交换机上的vlan的接口地址。
7 当有多个ip-pool存在的时候，各个lan的ip地址的分发又vlan的三层接口进行，pools能够根据请求的vlan的三层接口地址自动选择相应的pool
8 在创建DHCP pools的时候只能创建一个网段，并且分发的时候只能分发给相应的vlan。在需要屏蔽的IP的时候，必须屏蔽网关IP。
9 在做了VRRP组的时候，下面的主机是不可能PING通vrrp组中的相应的vlan的接口地址。即是无法PING通网关的。（这个是由RFC规定）。
如果在华为设备中，一定要ping通网关IP的话，必须在每一个vrrp成员的系统试图上配置VRRP PING-ENABLE命令。