中兴思科等面试真题
1、怎么樣檢測TCP/IP正常運行
運行cmd,然后輸入ping 127.0.0.1
寫出568A.568B的線序
568A:綠白 、 綠 、 橙白 、 藍、 藍白 、橙 、 棕白 、 棕
568B:橙白 、 橙 、綠白、 藍、 藍白 、綠 、棕白 、 棕
直通線一般都用A線序或B線序
交叉線一端是568A 一端 是568B
如果用戶的機器經常出現藍屏的情況應該怎么辦
首先考慮軟件兼容性問題。可以將軟件備份到其他計算機。然后刪除軟件。如果還不能解決就有可能是硬件兼容問題。先拔出不必要外設,比如打印機、掃描儀等等。再不行就是及其內部硬件兼容問題了。如果不是軟件不是外設引起的藍屏那么大部分都是由內存引起的。可以拔下內存擦一下金手指。或者更換其他內存條看看
NAT (網絡地址轉換)
有三種類型,靜態轉換,動態轉換,端口復用(PAT)。其中端口復用最為常用,一般配置在公司的接入路由器上。靜態轉換多于端口映射,用來將內部的服務器發布出來
VLAN的作用
虛擬局域網。主要劃分廣播域用。交換機所有端口都處于相同廣播域。這樣隨著級聯交換機增多那么廣播域內主機數也增多。廣播流量也隨之增加。為了有效控制廣播數量可以考慮用vlan來劃分廣播域。增加網絡安全性
內網有60臺電腦(其中還有服務器),只有5個公網ip,怎么做讓內網電腦上網
第一:采用動態地址轉換,由五個公網地址構成一個地址池,內網主機采用地址池中的地址上公網,但同時只能有五臺主機能上公網。
第二:采用端口地址轉換(PAT),創建五個地址池,每個地址池只有一個公網IP地址,將60臺主機按照管理策略分成五組,分別對應一個地址池.第三:采用端口地址轉換,全部60臺主機轉換成一個公網IP地址,其它四個公網地址留做它用. (也可以用5個公網IP)
某用戶不能和LAN通信
檢查物理連接。網卡燈是否正常。速率和雙工和交換機是還匹配。2.檢查MAC地址是否與其它主機沖突。3.檢查是否接入到了同一個VLAN里。4.檢查IP地址是否與其它主機沖突。
用戶可以訪問LAN 可不能上網,為什么
1。檢查能否PING通網關。
2.檢查DNS服務器地址設置是否正確。
3.使用NSLOOKUP進行域名解析。
4.殺毒。如網絡中有ARP病毒。5。檢查防火墻設置,再檢查用戶權限
C類地址有多少ip地址 B類地址有多少ip地址
C類256個IP地址(254個主機地址)
B類65536個IP地址(65534個主機地址)
常用端口號
20:ftp傳輸數據
21:ftp 建立連接
23:telnet,遠程管理
25:smtp,郵件收發
53:DNS,域名解析
80:http,網頁服務
110:pop,郵局協議,主要用于接收郵件
如果一臺PC不能上網,那么你怎么解決這一問題
1。檢查網卡連接。
2.檢查IP地址設置是否正確,如果是動態獲取地址,檢查有沒有獲取到,獲取的是否正確。
3.檢查PC能否同本網絡其它主機通訊。
4.檢查PC能否與網關通訊。
5.檢查PC的DNS設置是否正確。
6.檢查能否和DNS通訊。
7.檢查能否PING通服務器。
8.殺毒。
如果電腦有故障.你一般先做什么,后做什么
先查殺病毒,再查看是否為軟件問題引起的,卸載最近安裝的軟件查看,如果問題仍然存在,進入安全模式查看是否為系統問題,修復系統或者重安裝系統,如果問題還存在,使用替換法檢查硬件
在幫客戶重裝系統前,需要跟客戶溝通哪些問題
數據備份,如:郵件,收藏夾,桌面,我的文檔,聊天記錄,工作數據,安全證書,以及其它個人數據。需要跟客戶溝通安裝的時間,需要的軟件,以及相關設置
共享打印和網絡打印的區別
網絡打印是指網絡打印機可以在網絡上作為一個獨立的個體使用,無需PC與之相連,只需把普通網線插入打印機的以太網接口并在打印機管理頁面為打印機分配一個IP地址,那么局域網內的用戶便可訪問此IP地址來進行自己的打印作業。在這里打印機已經不是一個外設,而作為網絡上的一個節點存在
共享打印是需要通過一臺安裝打印機驅動的電腦來實現打印的,也就是說,那個電腦就像是這個打印機的服務器. PC服務器來連接打印機實現簡單的網絡連接,數據傳輸仍然必須通過打印機的并口或USB口來進行,因此速度較低
域的作用
使用域可以對網絡資源進行統一的管理,即通過一套賬號系統,使用戶能夠使用各種資源,方便用戶更好的使用網絡。利用域中的策略加強網絡的安全,利用OU可以簡化管理員的工作
域的創建有什么好處
方便管理員集中管理帳號、共享文件夾,打印機等資源和統一部署軟件和安全策略,用戶一次登陸即可使用所有有權限訪問的資源,擴展性強,安全性高
國內與國外防火墻各是什么
國內防火墻:天網、朗新、網御神州、迪普
國外:PIX、ASA、ISA、CheckPoint
解釋一下DNS中的MX記錄的作用
MX:郵件交換器記錄,用于指出某個DNS區域中的郵件服務器的主機名
怎么樣提高局域網安全
第一招:安全漏洞時時修補
第二招:擇優使用防火墻
第三招:及時升級殺毒軟件
交換機是如何轉發數據包的
交換機通過學習數據幀中的源MAC地址生成交換機的MAC地址表,交換機查看數據幀的目標MAC地址,根據MAC地址表轉發數據,如果交換機在表中沒有找到匹配項,則向除接受到這個數據幀的端口以外的所有端口廣播這個數據幀。
簡述STP的作用及工作原理.
作用:
(1) 能夠在邏輯上阻斷環路,生成樹形結構的拓撲;
(2) 能夠不斷的檢測網絡的變化,當主要的線路出現故障斷開的時候,STP還能通過計算激活阻起到斷的端口,起到鏈路的備份作用。
工作原理:
STP將一個環形網絡生成無環拓樸的步驟:
選擇根網橋(Root Bridge)
選擇根端口(Root Ports)
指定端口(Designated Ports)
每個STP實例中有一個根網橋
每個非根網橋上都有一個根端口
每個網段有一個指定端口
非指定端口被阻塞
簡述傳統的多層交換與基于CEF的多層交換的區別
傳統的多層交換:一次路由,多次交換
基于CEF的多層交換:無須路由,一直交換.
DHCP的作用是什么,如何讓一個vlan中的DHCP服務器為整個企業網絡分配IP地址
作用:動態主機配置協議,為客戶端動態分配IP地址.
配置DHCP中繼,也就是幫助地址.(因為DHCP是基于廣播的,vlan 或路由器隔離了廣播)
簡述有類與無類路由選擇協議的區別
有類路由協議:路由更新信息中不含有子網信息的協議,如RIPV1,IGRP
無類路由協議:路由更新信息中含有子網信息的協議,如OSPF,RIPV2,IS-IS,EIGRP 是否理解有類與無類
有一臺交換機上的所有用戶都獲取不了IP地址,但手工配置后這臺交換機上的同一vlan間的用戶之間能夠相互ping通,但ping不通外網,請說出排障思路.
1:如果其它交換機上的終端設備能夠獲取IP地址,看幫助地址是否配置正確; 2:此交換機與上連交換機間是否封裝為Trunk.
3:單臂路由實現vlan間路由的話看子接口是否配置正確,三層交換機實現vlan間路由的話看是否給vlan配置ip地址及配置是否正確.
4:再看此交換機跟上連交換機之間的級連線是否有問題
HSRP的轉換時間是多長時間
10s
簡述PPP協議的優點.
支持同步或異步串行鏈路的傳輸
支持多種網絡層協議 支持錯誤檢測
支持網絡層的地址協商 支持用戶認證
允許進行數據壓縮
什么是靜態路由?什么是動態路由?各自的特點是什么?
靜態路由是由管理員在路由器中手動配置的固定路由,路由明確地指定了包到達目的地必須經過的路徑,除非網絡管理員干預,否則靜態路由不會發生變化。靜態路由不能對網絡的改變作出反應,所以一般說靜態路由用于網絡規模不大、拓撲結構相對固定的網絡。
靜態路由特點
1、它允許對路由的行為進行精確的控制;
2、減少了網絡流量;
3、是單向的;
4、配置簡單。
動態路由是網絡中的路由器之間相互通信,傳遞路由信息,利用收到的路由信息更新路由表的過程。是基于某種路由協議來實現的。路由協議定義了路由器在與其它路由器通信時的一些規則。動態路由協議一般都有路由算法。
其路由選擇算法的必要步驟
1、向其它路由器傳遞路由信息;
2、接收其它路由器的路由信息;
3、根據收到的路由信息計算出到每個目的網絡的最優路徑,并由此生成路由選擇表;
4、根據網絡拓撲的變化及時的做出反應,調整路由生成新的路由選擇表,同時把拓撲變化以路由信息的形式向其它路由器宣告。
動態路由適用于網絡規模大、拓撲復雜的網絡。
動態路由特點:
1、無需管理員手工維護,減輕了管理員的工作負擔。
2、占用了網絡帶寬。
3、在路由器上運行路由協議,使路由器可以自動根據網絡拓樸結構的變化調整路由條目; 能否根據具體的環境選擇合適的路由協議
NAT的原理及優缺點.
原理:轉換內部地址,轉換外部地址,PAT,解決地址重疊問題.
優點:節省IP地址,能夠處理地址重復的情況,增加了靈活性,消除了地址重新編號,隱藏了內部IP地址.
缺點:增加了延遲,丟失了端到端的IP的跟蹤過程,不能夠支持一些特定的應用(如:SNMP),需要更多的內存來存儲一個NAT表,需要更多的CPU來處理NAT的過程.
你都知道網絡的那些冗余技術
交換機的冗余性:spanning-tree、ethernet-channel
路由的冗余性: HSRP,VRRP,GLBP
pap和chap認證的區別
PAP(口令驗證協議 Password Authentication Protocol)是一種簡單的明文驗證方式。NAS(網絡接入服務器,NetworkAccessServer)要求用戶提供用戶名和口令,PAP以明文方式返回用戶信息。很明顯,這種驗證方式的安全性較差,第三方可以很容易的獲取被傳送的用戶名和口令,并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以,一旦用戶密碼被第三方竊取,PAP無法提供避免受到第三方攻擊的保障措施。
CHAP(挑戰-握手驗證協議 Challenge-Handshake AuthenticationProtocol)是一種加密的驗證方式,能夠避免建立連接時傳送用戶的真實密碼。NAS向遠程用戶發送一個挑戰口令(challenge),其中包括會話ID和一個任意生成的挑戰字串(arbitrary challengestring)。遠程客戶必須使用MD5單向哈希算法(one-wayhashing algorithm)返回用戶名和加密的挑戰口令,會話ID以及用戶口令,其中用戶名以非哈希方式發送。
CHAP對PAP進行了改進,不再直接通過鏈路發送明文口令,而是使用挑戰口令以哈希算法
對口令進行加密。因為服務器端存有客戶的明文口令,所以服務器可以重復客戶端進行的操作,并將結果與用戶返回的口令進行對照。CHAP為每一次驗證任意生成一個挑戰字串來防止受到再現攻擊(replayattack)。在整個連接過程中,CHAP將不定時的向客戶端重復發送挑戰口令,從而避免第3方冒充遠程客戶進行攻擊。
OSPF中完全末梢區域的特點及適用場合
特點:
不能學習其他區域的路由
不能學習外部路由
完全末梢區域不僅使用缺省路由到達OSPF自主系統外部的目的地址,而且使用這個缺省路由到達這個區域外部的所有目的地址.一個完全末梢區域的ABR不僅阻塞AS外部LSA,而且阻塞所有匯總LSA.
適用場合:只有一出口的網絡.
OSPF中為什么要劃分多區域
1、減小路由表大小
2、限制lsa的擴散
3、加快收斂
增強穩定性
OSPF中那幾種網絡類型需要選擇DR,BDR
廣播型網絡和非廣播多路訪問NBMA網絡需要選.
OSPF運行步驟
(1)互發hello包,lsa,建立鄰接關系
(2)選舉:先選bdr,后dr,(優先級+routerid)
(3)發現路由,exstart確定主從關系交換鏈路數據庫
(4)選擇適當的路由。Spf算法:Lsdb一致,以自身為根計算到所有目的的最優路徑
(5)維護路由選擇更新
注:優先級0-255, 0不參加選舉,可以自己調試,接口下:ip ospf priority xx
OSPF有什么優點 為什么OSPF比RIP收斂快
優點:
1、收斂速度快;
2、支持無類別的路由表查詢、VLSM和超網技術;
3、支持等代價的多路負載均衡;
4、路由更新傳遞效率高(區域、組播更新、DR/BDR);
5、根據鏈路的帶寬進行最優選路
采用了區域、組播更新、增量更新、30分鐘重發LSA
NSSA區域的特點是什么
1.可以學習本區域連接的外部路由;
2.不學習其他區域轉發進來的外部路由
什么是管理距離
管理距離是指一種路由協議的路由可信度。每一種路由協議按可靠性從高到低,依次分配一個信任等級,這個信任等級就叫管理距離。對于兩種不同的路由協議到一個目的地的路由信息,路由器首先根據管理距離決定相信哪一個協議。
snmp的兩種工作方式是什么,有什么特點
首先,SNMP是基于UDP的,有兩種工作方式,一種是輪詢,一種是中斷. 輪詢:網管工作站隨機開端口輪詢被管設備的UDP的161端口. 中斷:被管設備將trap報文主動發給網管工作站的UDP的162端口.
特點:輪詢一定能夠查到被管設備是否出現了故障,但實時性不好.中斷實時性好(觸發更新),但不一定能夠將trap報文報告給網管工作站.
對稱性加密算法和非對稱型加密算法的不同
對稱性加密算法的雙方共同維護一組相同的密鑰,并使用該密鑰加密雙方的數據,加密速度快,但密鑰的維護需要雙方的協商,容易被人竊取;
非對稱型加密算法使用公鑰和私鑰,雙方維護對方的公鑰(一對),并且各自維護自己的私鑰,在加密過程中,通常使用對端公鑰進行加密,對端接受后使用其私鑰進行解密,加密性良好,而且不易被竊取,但加密速度慢.
安全關聯的作用
SA分為兩步驟:
1.IKE SA,用于雙方的對等體認證,認證對方為合法的對端
2.IPSec SA,用于雙方認證后,協商對數據保護的方式.
ESP和AH的區別
ESP除了可以對數據進行認證外,還可以對數據進行加密
AH不能對數據進行加密,但對數據認證的支持更好
路由環是如何產生的
由于網絡的路由匯聚時間的存在,路由表中新的路由或更改的路由不能夠很快在全網中穩定,使得有不一致的路由存在,于是會產生路由環。
什么是距離向量路由協議
距離向量路由協議是為小型網絡環境設計的。在大型網絡環境下,這類協議在學習路由及保持路由將產生較大的流量,占用過多的帶寬。如果在9 0秒內沒有收到相鄰站點發送的路由選擇表更新,它才認為相鄰站點不可達。每隔30秒,距離向量路由協議就要向相鄰站點發送整個路由選擇表,使相鄰站點的路由選擇表得到更新。這樣,它就能從別的站點(直接相連的或其他方式連接的)收集一個網絡的列表,以便進行路由選擇。距離向量路由協議使用跳數作為度量值,來計算到達目的地要經過的路由器數。
例如,R I P只要經過最小的跳數就可到達目的地的線路。最大允許的跳數通常定為1 5。那些必須經過1 5個以上的路由器的終端被認為是不可到達的。
什么是水平分割
水平分割是一種避免路由環的出現和加快路由匯聚的技術。由于路由器可能收到它自己發送的路由信息,而這種信息是無用的,水平分割技術不反向通告任何從終端收到的路由更新信息,而只通告那些不會由于計數到無窮而清除的路由。
什么是鏈接狀態路由協議
鏈接狀態路由協議更適合大型網絡,但由于它的復雜性,使得路由器需要更多的C P U資源。它能夠在更短的時間內發現已經斷了的鏈路或新連接的路由器,使得協議的會聚時間比距離向量路由協議更短。通常,在1 0秒鐘之內沒有收到鄰站的H E L LO報文,它就認為鄰站已不可達。一個鏈接狀態路由器向它的鄰站發送更新報文,通知它所知道的所有鏈路。它確定最優路徑的度量值是一個數值代價,這個代價的值一般由鏈路的帶寬決定。具有最小代價的鏈路被認為是最優的。在最短路徑優先算法中,最大可能代價的值幾乎可以是無限的。
如果網絡沒有發生任何變化,路由器只要周期性地將沒有更新的路由選擇表進行刷新就可以了(周期的長短可以從3 0分鐘到2個小時)。
每個路由器在尋找路由時需要知道哪五部分信息
◎目的地址:報文發送的目的主機。
◎鄰站的確定:指明誰直接連接到路由器的接口上。
◎路由的發現:發現鄰站知道哪些網絡。
◎選擇路由:通過從鄰站學習到的信息,提供最優的(與度量值有關)到達目的地的路徑。
◎保持路由信息:路由器保存一張路由表,它存儲所知道的所有路由信息。
為什么確定毗鄰路由器很重要
在一個小型網絡中確定毗鄰路由器并不是一個主要問題。因為當一個路由器發生故障時,別的路由器能夠在一個可接受的時間內收斂。但在大型網絡中,發現一個故障路由器的時延可能很大。知道毗鄰路由器可以加速收斂,因為路由器能夠更快地知道故障路由器,因為hello報文的間隔比路由器交換信息的間隔時間短。
使用距離向量路由協議的路由器在毗鄰路由器沒有發送路由更新信息時,才能發現毗鄰路由器已不可達,這個時間一般為10~90秒。而使用鏈接狀態路由協議的路由器沒有收到hello報文就可發現毗鄰路由器不可達,這個間隔時間一般為10秒鐘。
Cisco路由器支持的路由協議與其他廠家設備的協議兼容嗎
除了IGRP和EIGRP,Cisco路由器支持的所有路由協議都與其他廠家實現的相同協議兼容。IGRP和EIGRP是Cisco的專利產品。
距離向量路由協議和鏈接狀態路由協議如何發現毗鄰路由器
使用距離向量路由協議的路由器要創建一個路由表(其中包括與它直接相連的網絡),同時它會將這個路由表發送到與它直接相連的路由器。毗鄰路由器將收到的路由表合并入它自己的路由表,同時它也要將自己的路由表發送到它的毗鄰路由器。使用鏈接狀態路由協議的路由器要創建一個鏈接狀態表,包括整個網絡目的站的列表。在更新報文中,每個路由器發送它的整個列表。當毗鄰路由器收到這個更新報文,它就拷貝其中的內容,同時將信息發向它的鄰站。在轉發路由表內容時沒有必要進行重新計算。
注意使用IGRP和EIGRP的路由器廣播hello報文來發現鄰站,同時像OSPF一樣交換路由更新信息。EIGRP為每一種網絡層協議保存一張鄰站表,它包括鄰站的地址、在隊列中等待發送的報文的數量、從鄰站接收或向鄰站發送報文需要的平均時間,以及在確定鏈接斷開之前沒有從鄰站收到任何報文的時間。
什么是自治系統
一個自治系統就是處于一個管理機構控制之下的路由器和網絡群組。它可以是一個路由器直接連接到一個LAN上,同時也連到Internet上;它可以是一個由企業骨干網互連的多個局域網。在一個自治系統中的所有路由器必須相互連接,運行相同的路由協議,同時分配同一個自治系統編號。自治系統之間的鏈接使用外部路由協議,例如B G P。
說說ARP的解析過程。
ARP用于把一個已知的IP地址解析成MAC地址,以便在MAC層通信。為了確定目標的MAC地址,首先查找ARP緩存表。如果要查找的MAC地址不在表中,ARP會發送一個廣播,從而發現目的地的MAC地址,并記錄到ARP緩存表中以便下次查找。
什么是BGP
BGP(Border GatewayProtocol)是一種在自治系統之間動態交換路由信息的路由協議。一個自治系統的經典定義是在一個管理機構控制之下的一組路由器,它使用IGP和普通度量值向其他自治系統轉發報文。 在BGP中使用自治系統這個術語是為了強調這樣一個事實:一個自治系統的管理對于其他自治系統而言是提供一個統一的內部選路計劃,它為那些通過它可以到達的網絡提供了一個一致的描述。
BGP支持的會話種類
BGP相鄰路由器之間的會話是建立在TCP協議之上的。TCP協議提供一種可靠的傳輸機制,支持兩種類型的會話:
o 外部BGP(EBGP):是在屬于兩個不同的自治系統的路由器之間的會話。這些路由器是毗鄰的,共享相 同的介質和子網。
o 內部BGP(IBGP):是在一個自治系統內部的路由器之間的會話。它被用來在自治系統內部協調和同步尋找路由的進程。BGP路由器可以在自治系統的任何位置,甚至中間可以相隔數個路由器。
注意"初始的數據流的內容是整個BGP路由表。但以后路由表發生變化時,路由器只傳送變化的部分。BGP不需要周期性地更新整個路由表。因此,在連接已建立的期間,一個BGP發送者必須保存有當前所有同級路由器共有的整個BGP路由表。BGP路由器周期性地發送Keep Alive消息來確認連接是激活的。當發生錯誤或特殊情況時,路由器就發送Notification消息。當一條連接發生錯誤時,會產生一個 notification消息并斷開連接。"-來自RFC11654、BGP操作。
BGP允許路由再分配嗎
允許。因為BGP主要用來在自治系統之間進行路由選擇,所以它必須支持RIP、OSPF和 IGRP的路由選擇表的綜合,以便將它們的路由表轉入一個自治系統。BGP是一個外部路由協議,因此它的操作與一個內部路由協議不同。在BGP中,只有當一條路由已經存在于IP路由表中時,才能用NETWORK命令在BGP路由表中創建一條路由。
說說BGP選路原則(即屬性)
1.優選有最大Weight的路由 (范圍0 到 65,535)
A:weight是CISCO私有的參數,路由器配置了權重后在本地有效。
2.優選有最大LOCAL_PREF值的路由(范圍 0到 4,294,967,295).
3.優選從本路由器始發的路由
4.優選有最短AS_PATH的路由
5.根據Origin屬性.優選具有最低起源類型的路由(IGP>EG>Incomplete)
6.優選最小MED 值的路由(范圍 0到4,294,967,295).
7.外部路由EBGP優先于聯盟(confederation)外部路由優于內部路由IBGP(優選 E-BGP路由)
8. 優選能通過最近的IGP鄰居到達的路徑(優選對BGP下一跳具有最低IGP度量值的路徑);
9.如果在路由器上配置了maximum—pathsN,而且從同一個對等體自治域/子自治域接收到多條外部/外部聯盟的路徑,則最多可以將N條最近接收到的路徑加入到IP路由選擇表中。這可以使得eBGP在多條路徑上進行負載分擔。目前N所代表的最大數目是6;當沒有啟用此功能時,缺省數值是1。在輸入了show ip bgp x.x.x.x后系統輸出信息中可以看到最早接收到的路徑被標記為最優路徑,在將這條最優路徑轉發到內部對等體之前,需要執行與next_hop_self作用相同的功能。
10.如果是external的路由,優選最老的路由(最先被學習到的路由).
11.如果在同一時間學習到多條到同一目的地的路由,優選最小
BGP-router-ID的路由,注意,如果一個路徑包括路由反射器屬性,起始者標識將代替路由器標識在路徑選擇過程中起作用。
12.如果路由從路由反射器上學習到 ,優選最小Cluster-ID(BGP_ID of the route reflector)長度的路由,而且它運行客戶機和其他反射器族中的RR/Clients 之間做對等連接,在這種情況下,路由器必須知道BGP協議中的RR的具體配置。
13.優選具有最低對等體地址接收到的路徑。這個地址是在BGP對等體上配置并使用的地址,這個地址是本地對等體路由器在其上配置TCP鄰居并與遠端對等體建立連接時采用的地址。
熱備份路由(HSRP)的實現方法
通過共享一個IP地址和MAC地址,兩個或者多個路由器可以作為一個虛擬路由器,當某個路由器按計劃停止工作,或出現預料之外的故障時,其他路由器能夠無縫的接替它進行路由選擇。這使得LAN內的主機能夠持續的向同一個IP地址和MAC 地址發送IP數據包,路由器的故障切換對主機和其上的會話是透明的。已經開始的TCP會話也可以承受故障切換
說說你知道的防火墻及其應用。
防火墻可以隔離內部網絡和外部網絡,能限制內部網絡的行為,能防止外部網絡的攻擊,
TCP/IP 中各個字母代表的含義
Transmission Control Protocol / Internet Protocol
什么是度量值
度量值代表距離。它們用來在尋找路由時確定最優路由。每一種路由算法在產生路由表時,會為每一條通過網絡的路徑產生一個數值(度量值),最小的值表示最優路徑。度量值的計算可以只考慮路徑的一個特性,但更復雜的度量值是綜合了路徑的多個特性產生的。一些常用的度量值有:
◎跳步數:報文要通過的路由器輸出端口的個數。
◎Ticks:數據鏈路的延時(大約1/18每秒)。
◎代價:可以是一個任意的值,是根據帶寬,費用或其他網絡管理者定義的計算方法得到的。 ◎帶寬:數據鏈路的容量。
◎時延:報文從源端傳到目的地的時間長短。
◎負載:網絡資源或鏈路已被使用的部分的大小。
◎可靠性:網絡鏈路的錯誤比特的比率。
◎最大傳輸單元(MTU):在一條路徑上所有鏈接可接受的最大消息長度(單位為字節)。 IGRP使用什么類型的路由度量值?這個度量值由什么組成?
IGRP使用多個路由度量值。它包括如下部分:
◎帶寬:源到目的之間最小的帶寬值。
◎時延:路徑中積累的接口延時。
◎可靠性:源到目的之間最差的可能可靠性,基于鏈路保持的狀態。
◎負載:源到目的之間的鏈路在最壞情況下的負載,用比特每秒表示。
◎MTU:路徑中最小的M T U值。
Ethernet Channel Technology有什么作用?
增加帶寬,負載均衡,線路備份
當端口設置成 Ethernet Channel時,如何選擇線路
根據數據幀的以太網源地址和目的地址最后1位或2位做或運算,決定從哪條鏈路輸出。對于路由器來說是根據網絡地址做或運算,以決定鏈路的輸出。
Ethernet Channel Technology 與PAgP (Port Aggregation Protocol ) 的區別
PAgP是 Ethernet Channel的增強版,它支持在 Ethernet Channel 上的 Spanning Tree Protocol和Uplink Fast,并支持自動配置 Ethernet Channel 的捆綁。 最少需要的電源數 1 2 包轉發速率 18Mpps 18Mpps 背板帶寬 24Gbps 60Gbps
端口鏡像是怎么實現的
交換端口分析器(SPAN)功能有時被稱為端口鏡像或端口監控,該功能可通過網絡分析器選擇網絡流量進行分析。在交換機上引入SPAN功能,是因為交換機和集線器有著根本的差異。當集線器在某端口上接收到一個數據包時,它將向除接收該數據包端口之外的其它所有端口發送一份數據包的拷貝。當交換機啟動時,它將根據所接收的不同數據包的源MAC地址開始建立第2層轉發表。一旦建立該轉發表,交換機將把指定了MAC地址的業務直接轉發至相關端口。
說說你對stp的理解
802.1d stp
防環 收斂1分(STP 全名 spanning-tree protocol,IEEE又稱為802.1d在實際項目中純stp環境還是比較少的,因為其收斂速度慢,時間比較長,經歷的5個狀態才能到達轉發狀態,init?blocking?listening?learing?forwarding整個一個過程下來需要50s
802.1W rstp:
stp的升級版 收斂1秒-10秒 多了alternate port和backup port
A、STP沒有明確區分端口狀態與端口角色,收斂時主要依賴于端口狀態的切換。RSTP比較明確的區分了端口狀態與端口角色,且其收斂時更多的是依賴于端口角色的切換。(全名rapid spanning-tree經歷三個狀態discarding?learning?forwarding 最顯著的一個特征是分段收斂,把有可能發生環路的接口置為一個同步狀態,速度非常快,整個過程大概在1-2s內,集成了portfast、uplinkfast 、backbone特性,端口角色AP和BP)
B、STP端口狀態的切換必須被動的等待時間的超時(20內收不到root bridge BPDU只有根橋才可以發送bpdu)。而RSTP端口狀態的切換卻是一種主動的協商(所有交換機都可以發送bpdu)
C、STP中的非根網橋只能被動的中繼BPDU。而RSTP中的非根網橋對BPDU的中繼具有一定的主動性。
pvst
每VLAN生成樹 (PVST)為每個在網絡中配置的VLAN維護一個生成樹實例。它使用ISL中繼和允許一個VLAN中繼當被其它VLANs的阻塞時將一些VLANs轉發。(當網絡中有多個vlan時對cpu的消耗還是非常大的,所以一般如果做冗余或者熱備時不建議采用PVLAN,一個vlan一個實例)
PVST+
1 支持ISL和IEEE802.1Q中繼
2 支持cisco專有的stp擴展
3 添加BPDU防護和根防護增強功能(增加stp安全)
最后說MSTP(802.1s,是一個公有的協議在H3C的交換機上也可以啟用)
MSTP
設置VLAN映射表,把VLAN和生成樹聯系起來;通過增加“實例”(將多個VLAN整合到一個集合中)這個概念,將多個VLAN捆綁到一個實例中,以節省通信開銷和資源占用率。
MSTP把一個交換網絡劃分成多個域,每個域內形成多棵生成樹,生成樹之間彼此獨立。 與rstp兼容,可以同時實現快速收斂又減少資源占用率
4.配置Backbone Fast生成樹可選功能
當一臺交換機的根端口或阻塞端口接收到劣質BPDUs包時,說明該交換機到根網橋的間接鏈路有問題,網絡中可能出現交換機到根網橋的鏈路失效故障。按生成樹的一般規則,交換機的阻塞端口在轉換成轉發(forward)工作狀態之前,需要等待一個生成樹最大存活時間(spantree maxage),而BackboneFast的功能就是是阻塞端口不再等待這段時間,而是直接將端口由偵聽和學習狀態轉換為轉發狀態,從而提高了在間接鏈路失效情況下的收斂速度。
5.配置UplinkFast生成樹可選功能
UplinkFast的功能是當生成樹拓撲結構發生變化和在使用上連鏈路組(uplinkfast group)的冗余鏈路之間完成負載平衡時,提供快速收斂。UplinkFast將交換機上處于阻塞狀態的端口跳過偵聽和學習兩種狀態,直接轉換到轉發狀態,這個轉換過程大約只需要1~5min。因此,UplinkFast對于這種直接鏈路失效后的處理功能,加快了生成樹的收斂速度,是一個非常有用的可選功能。
6.配置PortFast生成樹可選功能
PortFast用于在接入層交換機端口上跳過正常的生成樹操作,加快終端工作站接入到網絡中的速度。它的功能是在使用交換機的端口跳過偵聽和學習狀態,直接從阻塞狀態進入到轉發狀態。一般在所有連接計算機的端口上啟用PortFast,在所有連接交換機或未使用的端口上禁用PortFast。
7.配置BPDU Filter生成樹可選功能
BPDU Filter會使交換機在指定的端口上停止發送BPDUs,對于進入這個端口的BPDUs也不做任何處理,同時立刻將端口狀態轉換為轉發狀態。
說說常見的lsa類型
TYPE-1:路由器LSA,由每臺路由器始發,描述自身的鏈路狀態。
TYPE-2:網絡LSA,由DR始發,描述DR所知的鏈路狀態。
TYPE-3:網絡匯總(域間)LSA,由ABR始發,用于描述區域間的路由。
TYPE-4:ASBR匯總LSA.由ABR始發,用于描述ASBR的路由。這是OSPF中唯一的一條主機路由條目。
TYPE-5:外部LSA,由ASBR始發的描述外部路由的條目。這是唯一的一個可以在整個OSPF區域泛洪的條目(末梢區域除外)。
TYPE-7:NSSA外部LSA.有NSSA區域中的ASBR引入的外部路由條目,僅在NSSA區域內泛洪,在NSSA和AREA0的ABR上被ID較大的ABR轉換為TYPE-5從而在其余的OSPF區域中泛洪(末梢區域除外)。
說說hsrp和vrrp區別
先說基本性質:H私有V公有
(1)組播地址:VRRP向組播地址224.0.0.18發送hello消息
HSRP向組播地址224.0.0.2 發送hello消息
(2)HSRP將報文承載在UDP報文上,VRRP承載在TCP報文上
(3)優先級:
VRRP:范圍是0—255。若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同,則稱該虛擬路由器作VRRP組中的IP地址所有者;IP地址所有者自動具有最高優先級:255。優先級0一般用在IP地址所有者主動放棄主控者角色時使用。
HSRP: 路由器的缺省優先級是100,所以如果只設置一個路由器的優先級高于100,則該路由器將成為主動路由器。
(4)狀態:
VRRP: 3個狀態(初始狀態(Initialize)、主狀態(Master)、備份狀態(Backup))和5個事件.
HSRP:有6個狀態(初始(Initial)狀態,學習(Learn)狀態,監聽(Listen)狀態,對話(Speak)狀態,備份(Standby)狀態,活動(Active)狀態)和8個事件
(5)報文:
HSRP:有三種報文,而且有三種狀態可以發送報文 呼叫(Hello)報文 告辭(Resign)
報文 突變(Coup)報文
VRRP:有一種報文 ,VRRP廣播報文:由主路由器定時發出來通告它的存在,使用這些報文可以檢測虛擬路由器各種參數,還可以用于主路由器的選舉。
(6)功能:就安全而言,VRRP對HSRP的一個主要優勢:它允許參與VRRP組的設備間建立認證機制.并且,不像HSRP那樣要求虛擬路由器不能是其中一個路由器的ip地址,但是VRRP允許這種情況發生
三層交換機和路由器的區別
三層交換機和路由器都可工作在網絡的第三層,根據ip地址進行數據包的轉發(或交換),原理上沒有太大的區別,這兩個名詞趨向于統一,我們可以認為三層交換機就是一個多端口的路由器。但是傳統的路由器有3個特點:基于CPU的單步時鐘處理機制;能夠處理復雜的路由算法和協議;主要用于廣域網的低速數據鏈路 。
在第三層交換機中,與路由器有關的第三層路由硬件模塊也插接在高速背板/總線上,這種方式使得路由模塊可以與需要路由的其他模塊間高速的交換數據。
區別:交換機:一次路由多次交換,第一次采用路由,將ip和mac綁定,在交換表里,以后直接通過2層進行數據轉發,用的是硬件模塊轉發,所以速度快。
路由器:利用cpu轉發,所以速度慢點,但是支持更多的路由協議。
擴展:在這里可以引入CEF的概念(看時間關系和面試官有沒興趣,你可以選擇說不說這個)是一種高級的第三層交換技術,它主要是為高性能、高伸縮性的第三層IP骨干網交換設計的。為優化包轉發的路由查找機制,CEF定義了兩個主要部件:轉發信息庫(Forwarding Information base)和鄰接表(Adjacency Table)。
轉發信息庫(FIB)是路由器決定目標交換的查找表,FIB的條目與IP路由表條目之間有一一對應的關系,即FIB是IP路由表中包含的路由信息的一個鏡像。由于FIB包含了所有必需的路由信息,因此就不用再維護路由高速緩存了。當網絡拓撲或路由發生變化時,IP路由表被更新,FIB的內容隨之發生變化。 CEF利用鄰接表提供數據包的MAC層重寫所需的信息。FIB中的每一項都指向鄰接表里的某個下一跳中繼段。若相鄰節點間能通過數據鏈路層實現相互轉發,則這些節點被列入鄰接表中。
關于vpn
一、首先說VPN概念:虛擬專用網絡,提供一種通過公用網絡安全地對企業內部專用網絡進行遠程訪問的連接方式。
二、然后說三個方面的技術保證通信的安全性:隧道協議、身份驗證和數據加密。
(1)隧道技術是VPN的基本技術,類似于點對點連接技術,它在公用網建立一條數據通道(隧道),讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的,分為第二、三層隧道協議。
1.第二層隧道協議是先把各種網絡協議封裝到PPP中,再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP等。L2TP協議是目前IETF的標準,由IETF融合PPTP與L2F而形成。
2、第三層隧道協議是把各種網絡協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec(IP Security)是由一組RFC文檔組成,定義了一個系統來提供安全協議選擇、安全算法,確定服務所使用密鑰等服務,從而在IP層提供安全保障。
(2)VPN的身份驗證方法:
1、PPP的身份驗證方法;
2、CHAP:CHAP通過使用MD5來協商一種加密身份驗證的安全形式。CHAP在響應時使用質詢-響應機制和單向MD5散列。用這種方法,可以向服務器證明客戶機知道密碼,但不必實際地將密碼發送到網絡上。
3、MS- CHAP:同CHAP相似,微軟開發MS-CHAP是為了對遠程Windows工作站進行身份驗證,它在響應時使用質詢-響應機制和單向加密。MS- CHAP不要求使用原文或可逆加密密碼。
4、MS-CHAP v2:MS-CHAP v2提供了相互身份驗證和更強大的初始數據密鑰,而且發送和接收分別使用不同的密鑰。如果將VPN連接配置為用MS-CHAP v2作為唯一的身份驗證方法,那么客戶端和服務器端都要證明其身份,如果所連接的服務器不提供對自己身份的驗證,則連接將被斷開。
5、EAP:EAP的開發是為了適應對使用其他安全設備的遠程訪問用戶進行身份驗證的日益增長的需求。通過使用EAP,可以增加對許多身份驗證方案的支持,其中包括令牌卡、一次性密碼、使用智能卡的公鑰身份驗證、證書及其他身份驗證。對于VPN來說,使用EAP可以防止暴力或詞典攻擊及密碼猜測,提供比其他身份驗證方法(例如 CHAP)更高的安全性。
6、在Windows系統中,對于采用智能卡進行身份驗證,將采用EAP驗證方法;對于通過密碼進行身份驗證,將采用CHAP、MS-CHAP或MS- CHAP v2驗證方法。
(3)VPN的加密技術。VPN采用何種加密技術依賴于VPN服務器的類型,因此可以分
為兩種情況。
1、對于PPTP服務器,將采用MPPE加密技術MPPE可以支持40位密鑰的標準加密方案和128位密鑰的增強加密方案。
2、對于L2TP服務器,將使用IPSec機制對數據進行加密IPSec是基于密碼學的保護服務和安全協議的套件。IPSec對使用L2TP協議的VPN連接提供機器級身份驗證和數據加密。在保護密碼和數據的L2TP連接建立之前,IPSec在計算機及其遠程VPN服務器之間進行協商。IPSec可用的加密包括56位密鑰的數據加密標準DES和56位密鑰的三倍DES(3DES)
三、VPN有三種解決方案,用戶可以根據自己的情況進行選擇。
這三種解決方案分別是:遠程訪問虛擬網(AccessVPN)、企業內部虛擬網(IntranetVPN)和企業擴展虛擬網(ExtranetVPN),這三種類型的VPN分別與傳統的遠程訪問網絡、企業內部的Intranet以及企業網和相關合作伙伴的企業網所構成的Extranet相對應。
關于VLSM和CIDR
VLSM的定義:為了有效的使用無類別域間路由(CIDR)[classless int domain route]和路由匯總來控制路由表的大小,網絡管理員使用先進的IP尋址技術,VLSM就是其中的常用方式。
CIDR:將好幾個IP網絡結合在一起,使用一種無類別的域際路由選擇算法,可以減少由核心路由器運載的路由選擇信息的數量。
區別:
CIDR是把幾個標準網絡合成一個大的網絡
VLSM是把一個標準網絡分成幾個小型網絡(子網)
CIDR是子網掩碼往左邊移了,VLSM是子網掩碼往右邊移了
總結
- 上一篇: java子窗口获取父窗口句柄_java获
- 下一篇: 3ds MAX 2016破解激活详细步骤