不同网段如何通信?
答:
采用三层设备,例如三层交换机、路由器
HUB
变长子网掩码
TCP和UDP的服务有哪些?
答:
TCP:HTTP、FTP、SMTP、TELNET、SSH
UDP:DNS、TFTP、SNMP、NTP
讲一下OSI七层模型及其作用
答:
OSI七层模型及每一层的作用
应用层:为应用程序提供服务
表示层:数据格式转化,对数据进行加密
会话层:建立、管理和维护表示层实体的会话
传输层:建立、维护和管理端对端的区别
网络层:IP地址及路由的逻辑寻址
数据链路层:通过各种控制协议,将有差错的物理信道变为无差错的、能可靠传输数据帧的数据链路。
物理层:利用传输介质为数据链路层提供物理连接,实现比特流的透明传输。
STP和RSTP有什么区别?
答:
相同点:所有的VALN共享一棵生成树,无法在VLAN间实现数据流量的负载均衡。
不同点:
RSTP收敛比STP快,RSTP的P/A机制能够使指定端口进入转发用户数据帧,能学习MAC地址;
端口状态数量:RSTP有三种、STP有五种
二层环路和三层环路是如何形成的,怎么解决?
答:
二层环路一般是交换机链路冗余产生的
解决办法:生成树协议
三层环路一般是路由双点双向的引入
解决办法:通过打标签的方法解决、修改路由优先级
IPSec VPN阶段一、阶段二?
答:
阶段一:
协商建立管理连接。内容:加密技术、验证数据完整性、设备认证类型、DH组、管理连接的生存周期;
通过DH算法共享密钥
对等体彼此进行身份认证
阶段二:
定义感兴趣流
定义保护数据的安全协议AH或ESP
定义传输模式
定义建立数据连接的生存周期和密钥刷新方法
IPSec VPN和MPLS VPN的区别?
答:
IPSec VPN在第三层,转发的是IP数据包
MPLS VPN在二点五层,转发的是标签
野蛮模式和主模式的区别?
答:
主模式:两端公网IP地址固定,主模式一般采用IP地址方式标识对端设备;
主模式在IKE协商的时候要经过三个阶段:SA交换、密钥交换、ID交换和验证;
野蛮模式:两端公网IP地址不固定,可以采用IP地址方式或者域名方式标识对端设备。 野蛮模式只有两个阶段:SA交换和密钥生成、ID交换和验证。
生成树如何收敛?
答:
- 选举根桥,比较桥ID(桥优先级+MAC地址),越小越优先
- 选举根端口,比较去往根桥的根路径开销、对端的BID、对端的PID、本端的PID
- 选举指定端口,比较累计去往根桥的路径开销,再比较端口所在桥ID,越小为指定端口
- 选举阻塞端口,既不是根端口也不是指定端口的为阻塞端口。
RSTP比STP收敛速度快的原因
答:
在RSTP里面引入了边缘端口的概念,边缘端口不接收处理配置BPDu,不参与RSTP运算,可以由Disable直接转到Forwarding状态。
如果网络中一个根端口失效,那么网络中最优的Altenate端口将成为根端口,进入Forwarding状态
RSTP中,某端口被选举为指定端口后,会先进入Discarding 状态,再通过Proposal/Agreement机制快速进入Forwarding状态。
RSTP中当一个端口收到上游的指定桥发来的RST BPDu报文时,该端口会将自身存储的RSTBPDu与收到的RST BPDU进行比较
VRRP和hsrp的区别?
答:
- 两个都支持认证.
- 两个都支持抢占,VRRP抢占默认开启.
- 都可以做负载均衡(不同组之间).
- HSRP中路由状态有6中,VRRP有3种.
- HSRP中叫做active路由器和standby路由器,VRRP叫做master路由器和backup路由器.
Hrp是什么?
答:
华为冗余协议,它是承载在VGMP报文上进行传输的,在Master和Backup防火墙设备之间备份关键配置命令和会话表状态信息,保证在发生故障时上行下行流量能够切换到备份防火墙,从而实现业务的平滑过渡。
MSTP是什么?
答:
MSTP(多生成树协议):在一个MST域内可以生成多棵生成树,每棵生成树都称为一个实例,实例之间彼此独立。MSTP兼容stp和RSTP,既可以快速收敛,又提供了数据转发的多个冗余路径,从而在数据转发过程中实现VLAN数据的负载均衡。解决了在STP和RSTP中由于局域网内所有的VLAN共享一棵生成树,因此无法在VLAN间实现数据流量的负载均衡的缺陷。
MSTP+VRRP和堆叠的区别?
答:
相同点:冗余备份、防环
不同点:VRRP+MSTP的使用率是50%,而堆叠是100%
什么是堆叠?
答:
堆叠(iStack)将多台交换机通过堆叠线缆连接在一起,使多台设备在逻辑上变成一台交换设备,作为一个整体参与数据转发。
请简述DHCP获取IP地址的工作过程。
答:
1、客户端通过发送DHCP发现报文来发现DHCP服务器
2、DHCP服务器选取一个未分配的IP地址,向DHCP客户端发送提供报文(如果存在多个DHCP服务器,每个DHCP服务器都会响应)
3、客户端发送DHCP请求报文,请求IP地址(如果有多个服务器响应,客户端将会选择收到的第一个DHCP提供报文)
4、DHCP服务器在收到请求后,向客户端发送确认报文
MSTP和RSTP的区别?
答:
RSTP所有的VLAN共享一棵生成树,不能按VLAN阻塞冗余链路,所有的VLAN的报文都沿着一棵生成树转发。
MSTP兼容STP和RSTP,既可以快速收敛,又提供了数据转发的多个冗余路径,从而在数据转发过程中实现VLAN数据的负载均衡。
防火墙的作用?
答:
增强网络安全策略、隔离网络,包的透明转发、包过滤、监控审计、网络地址转换、保护脆弱的服务、攻击记录、阻拦外部攻击。
传输模式和隧道模式?
答:
传输模式:在IP头和传输协议头之间插入AH或ESP,不改变原有的IP头,主要应用于两台主机或一台主机和一台VPN网关之间通信
隧道模式:在IP头之前插入AH或ESP,另外重新生成一个新的IP头,主要应用于两台VPN网关之间或一台主机与一台VPN网关之间的通信。
传输模式和隧道模式的区别在于:
(1)从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据包进行验证和加密。隧道模式下可以隐藏内部IP地址,协议类型和端口。
(2)从性能来讲,隧道模式因为有一个额外的IP头,所以它将比传输模式占用更多带宽。
BGP防环?
答:
IBGP防环:IBGP的水平分割、RR反射器的两个属性:起源ID、群集
EBGP防环:as_path
BGP的选路
答:
丢弃下一跳不可达的路由。
优选Preference_Value值最高的路由(私有属性,仅本地有效)
优选本地优先级(Local_Preference)最高的路由。
优选手动聚合>自动聚合>network>import>从对等体学到的
优选AS_Path短的路由。
起源类型IGP>EGP>Incomplete.
对于来自同一AS的路由,优选MED值小的
优选从EBGP学来的路由(EBGP>IBGP)
优选AS内部IGP的Metric最小的路由
优选Cluster_List最短的路由
优选Orginator_ID最小的路由
优选Router_ID最小的路由器发布的路由
优选具有较小IP地址的邻居学来的路由
什么是BFD及故障检测机制?
答:
BFD双向转发检测协议。是一个用于检测两个转发点之间故障的网络协议(可以提供毫秒级的检测),实现快速收敛。
主要应用在:OSPF、ISIS、BGP、VRRP联动等场景
BFD的故障检测机制:
BFD依赖会话进行故障的检测,我们在两个系统之间建立BFD会话,并沿它们之间的路径快速的发送BFD控制报文,如果一方在特定的时间内没有收到BFD控制报文,那么BFD将会认为会话down,此时联动其他协议或者接口状态的改变。
OSPF是什么,有几种状态,多少种报文,多少张表?
答:
OSPF全名开放式最短路径优先,是一种链路状态路由协议,基于IP,工作在网络层,端口号为89,运行OSPF的设备会相互交互LSA,把接收到的LSA放入LSDB中,从而掌握整个网络拓扑,在这个基础上通过SPF算法计算出以自己为根的、无环的、拥有最短路径的树,最终把优选路径加载到路由表中。在整个过程中,会产生三张表,五种报文,七种状态。
讲一下LSA的类型
答:
router-LSA(Type1):每台运行OSPF协议的设备都会产生,描述了设备的链路状态和开销,在所属区域传播。
Network-LSA(Type2):由DR产生,描述本网段的链路状态,在所属区域内传播。
Network-summary-LSA(Type3):由ABR产生,描述区域间的路由信息。(除STUB和NSSA区域,只发布一条缺省路由。)
ASBR-summary-LSA(Type4):由ABR产生,描述到ASBR的路由,通告给除ASBR所在区域的其他相关区域。每经过一个ABR路由器都会对这个LSA-4重新产生一次,主要作用是计算这个ABR路由器到ASBR的cost值;也就是说这个LSA-4没经过一个ABR会把Advertising Router ID和cost值重新填写
AS-external-LSA(Type5):由ASBR产生,描述到AS外部的路由,通告到所有的区域(除STBU区域和NSSA区域)
NSSA-LSA(Type7):明细七类LSA由ASBR产生,描述到AS外部的路由,仅在NSSA区域内传播;缺省七类LSA由ABR产生,主要用来帮助NSSA区域前往其他区域
跨域MPLS方案
答:
Option A:域间的ASBR互为PE和CE,他们之间跑的是IPv4路由,需要在ASBR上创建VPN实例,建一个子接口绑定VPN实例。优点:简单。缺点:扩展性比较差,每新增一个VPN都需要新建一个子接口。
Option B:三次MP-BGP的VPNV4路由传递;ASBR之间跑的是VPNV4路由;ASBR下要配置undo policy vpn-target去RT过滤使能(一般在反射器和ASBR上要配置)。
Option C:ASBR之间不需要起VPN实例;两个策略,本端ASBR发本AS的PE带标签的路由给对端ASBR,对端ASBR再通过策略产生新标签发给对端AS内的PE。
AC+AP的转发模式?
答:
集中式转发模式:客户端的数据流量由AP通过隧道透传到AC,由AC转发数据报文。 本地转发模式:由AC对客户端进行认证,但客户端的数据流量直接由AP进行转发。
VXLAN和VLAN的区别?
答:
VLAN作为传统的网络隔离技术,数量只有4000个左右,无法满足大二层网络的租户间隔离需求。另外,VLAN的二层范围一般较小且固定,无法支持虚拟机大范围的动态迁移。
VXLAN完美地弥补了VLAN的上述不足,数量上远远大于4000多个,能满足大二层网络租户间隔离需求。另外VXLAN本质上是在两台交换机之间构建了一条穿越基础IP网络的虚拟隧道,将IP基础网络虚拟成一个巨型“二层交换机”,满足虚拟机大范围动态迁移的需求。
策略路由和路由策略的区别?
答:
策略路由和路由策略都可以影响数据包的转发过程,但它们对效据包的影响方式是不同的。策略路由是基于策略的转发,失败后再查找路由表转发,基于转发平面,为转发策略服务,并且需要手工配票。路由策略是基于目的地址按路由表转发,基于控制平面。为路由协议和路由表服务,并与路由协议结合完成策略
DDOS攻击如何防御?
答:
购买抗D服务、流量清洗、扩带宽。
限制同时打开SYN半链接的数目
缩短SYN半链接的time out时间
关闭不必要的服务
未来五年的职业规划是什么?
答:
前两年我会往网络工程师的技术岗位发展,在这两年内要考取软考的网络工程师证书、信息安全工程师证书和IP证书,后三年我会往网络安全或系统集成方面发展,如果转行失败,我就会在后面的三年里往售前方面发展,或者是去考IE证书,往讲师方面发展。
如果去到客户的公司,有一些新设备没有接触和配置过,自己不会怎么办?
答:
首先我会和组长说明一下情况,毕竟这是工作,不是实验,会就是会不会就是不会,不要滥竽充数。
其次我会在网上查找一些资料,尝试配置,毕竟原理是一样的只是命令不同
最后可以联系厂商那边,把自己的问题和需求和他们说一下,他们就会远程帮忙协助的。