福建星网锐捷网络有限公司号橘园洲星网锐捷科技园邮编:350002电话:0591-83057888/83057000北京市场中心北京市海淀区复兴路33号翠微大厦东楼1101单元邮编:100036电话:010-68156699传真:010-88210040锐捷网络服务商资质认证考试复习题目(第二轮售后培训)1)问:关于OSPF路由协议的特点(优势)答:使用了区域的概念,可以减少路由器的CPU与内存负载;可以使网络拓扑进行层次化的规划。支持完全无类别地址。支持无类别的路由选择表查询、VLSM与超网。支持无大小限制的,任意的度量值。支持多路径的高效等价负载均衡。使用组播地址进行路由报文交互而非广播。支持更安全的路由选择认证。使用可以跟踪外部路由的路由标记。2)问:关于OSPF区域化部署的相关问题答:当有多OSPF区域存在的时候,必须有area0,同时area0必须作为骨干区域,其他非0区域必须直接与area0邻接(虚链路除外)。非0区域可以作为STUB区域,TOTALLYSTUB区域,NSSA区域或TOTALLYNSSA区域。如果作为STUB区域,该区域不能学习到OSPF系统外部路由。如果作为TOTALLYSTUB区域,该区域不能学习到OSPF系统外部路由,同时也不能学习到区域间路由。3)问:如何产生OSPFROUTERID答:首先路由器选取所有loopback接口上数值最高的IP地址。如果路由器未配loopback地址,选择路由器物理接口上数值最高的IP地址。4)问:关于二层攻击的类型及原理福建星网锐捷网络有限公司号橘园洲星网锐捷科技园邮编:350002电话:0591-83057888/83057000北京市场中心北京市海淀区复兴路33号翠微大厦东楼1101单元邮编:100036电话:010-68156699传真:010-88210040答:MAC地址欺骗/泛洪攻击、ARP欺骗攻击、STP攻击、DHCP攻击。MAC地址攻击:将合法的MAC地址修改成不存在的MAC地址或其它计算机的MAC地址,从而隐藏自己真实的MAC,来达到一些不可告人的目的,这就是MAC地址欺骗。交换机内部的MAC地址表空间是有限的,MAC攻击会很快占满交换机内部MAC地址表,使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发,每个连在端口上的客户端都可以收到该报文,交换机变成了一个Hub,用户的信息传输也没有安全保障了。ARP攻击之ARP欺骗:利用上页讲到的ARP漏洞,发送虚假的ARP请求报文和响应报文,报文中的源IP和源MAC均为虚假的,扰乱局域网中被攻击PC中保存的ARP表,使得网络中被攻击PC的流量都可流入到攻击者手中。ARP攻击之ARP恶作剧:和ARP欺骗的原理一样,报文中的源IP和源MAC均为虚假的,或错误的网关IP和网关MAC对应关系。它的主要目的不是窃取报文,而是扰乱局域网中合法PC中保存的ARP表,使得网络中的合法PC无法正常上网、通讯中断。STP攻击:发送虚假的BPDU报文,扰乱网络拓扑和链路架构,充当网络根节点,获取信息。DHCP攻击:DHCP服务器攻击:恶意用户通过更换MAC地址的方式向DHCPServer发送大量的DHCP请求,以消耗DHCPServer可分配的IP地址为目的,使得合法用户的IP请求无法实现。伪装的DHCPServer:非法DHCPServer,为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误信息,不仅影响合法用户的正常通讯,还导致合法用户的信息都发往非法DHCPServer,严重影响合法用户的信息安全。5)问:网络管理中数据交互的安全性答:常见的网络管理工具或手段有CONSOLE,WEB,TELNET,SNMPV1/V2/V3,SSH。其中SNMPV3与SSH对数据都是有加密机制的,其他的方式都没有加密。福建星网锐捷网络有限公司号橘园洲星网锐捷科技园邮编:350002电话:0591-83057888/83057000北京市场中心北京市海淀区复兴路33号翠微大厦东楼1101单元邮编:100036电话:010-68156699传真:010-882100406)问:ACL80的工作原理答:ACL80的含义是匹配报文的前80个字节,对报文进行过滤。报文是由系列的字节流组成,ACL80可以让用户对报文的前80个字节中的任意64个字节按比特(bit)位进行匹配注意:交换机只能对报文80个字节中的64个字节进行匹配。ACL80不支持QoS,包括两个方面:1、CLASSMAP不能关联ACL802、ACL80不会和QoSACL合并。当两者共同运用一个接口时,二者各自起作用,后安装的优先级高。两者可能产生冲突,配置时要注意。7)问:关于锐捷实验室解决方案的问题答:锐捷实验室解决方案有四大特点:web管理,“一健清除”配置,权限分级,远程实验。其中”一键清“功能的实现,是通过存储一个可执行的文本文档在RCMS的FLASH中,使用的时候直接在RCMS上执行这个脚本文件即可。WEB管理功能由RCMS提供。通过预定义WEB界面的HTML脚本文件在RCMS的配置文件中,以及WEB界面的各种设备图片,包括自定义的个性化LOG图片存储在RCMS的FLASH中,可以灵活编辑实验室WEB登陆实验的界面。分级管理:在每个实验设备中给学生预设一个14级的密码(最高15级特权密码),14级密码包含所有可操作的权限,除了对FLASH进行删除的权限。另预设一个15级特权密码,供老师使用。远程实验:通过VPN的方式拨入到实验室内网进行实验,并配合以远程预约系统,认证计费系统进行规范的管理。在项目实施的过程中,为保证实验的验证环节,要注意为学生PC布两根以上的网线,一根线作为机房交换机的连接,另一根连接到相应的RACK机柜中,方便实验时的PC验证环节。8)问:锐捷图书馆解决方案福建星网锐捷网络有限公司号橘园洲星网锐捷科技园邮编:350002电话:0591-83057888/83057000北京市场中心北京市海淀区复兴路33号翠微大厦东楼1101单元邮编:100036电话:010-68156699传真:010-88210040答:该方案提出的背景:大量国外的图书资源只能在校园网内访问,住在校外的师生在家里是不能访问这些资源的,采购的这些国外数据库不是存放在高校图书馆自己的服务器上,而是存储在提供商的服务器上,图书馆支付费用以后,数据库服务商是根据访问者的IP地址来判断是否是经过授权的用户;从高校校园网出去的IP地址都是授权认可的,所以校园网内的所有上网计算机都可以使用;而住在校外的师生,上网所用的IP不是校园网的IP地址范围,因此,数据库服务商认为是非授权用户,拒绝访问;通过采用VPN+AAA认证的方式,解决了IP地址授权和统一身份认证的问题,符合用户对图书馆应用的需求。该方案的三个要素是:拨号客户端+VDPN服务器+RADIUS后台。关于VPN与AAA的具体配置,参考相关技术文档。9)DHCP的工作原理DHCP是DynamicHostConfigurationProtocol(动态主机分配协议)缩写﹐它的前身是BOOTP。DHCP协议使用UDP协议进行通讯,服务器使用端口67作为被请求端口,客户机的则用68作为被请求端口。DHCP的分配形式首先﹐必须至少有一台DHCP工作在网络上面﹐它会监听网络的DHCP请求﹐并与客户端搓商TCP/IP的设定环境。它提供两种IP定位方式﹕AutomaticAllocation自动分配﹐其情形是﹕一旦DHCP客户端第一次成功的从DHCP服务器端租用到IP地址之后﹐就永远使用这个地址。DynamicAllocation动态分配﹐当DHCP第一次从HDCP服务器端租用到IP地址之后﹐并非永久的使用该地址﹐只要租约到期﹐客户端就得释放(release)这个IP地址﹐以给其它工作站使用。当然﹐客户端可以比其它主机更优先的更新(renew)租约﹐或是租用其它的IP地址。动态分配显然比自动分配更加灵活﹐尤其是当您的实际IP地址不足的时候﹐例如﹕您是一家ISP﹐只能提供200个IP地址用来给拨接客户﹐但并不意味着您的客户最多只能有200个。因为要知道﹐您的客户们不可能全部同一时间上网的﹐除了他们各自的行为习惯的不福建星网锐捷网络有限公司号橘园洲星网锐捷科技园邮编:350002电话:0591-83057888/83057000北京市场中心北京市海淀区复兴路33号翠微大厦东楼1101单元邮编:100036电话:010-68156699传真:010-88210040同﹐也有可能是电话线路的限制。这样﹐您就可以将这200个地址﹐轮流的租用给拨接上来的客户使用了。这也是为什么当您查看IP地址的时候﹐会因每次拨接而不同的原因了(除非您申请的是一个固定IP﹐通常的ISP都可以满足这样的要求﹐这或许要另外收费)。当然﹐ISP不一定使用DHCP来分配地址﹐但这个概念和使用IPPool的原理是一样的。DHCP除了能动态的设定IP地址之外﹐还可以将一些IP保留下来给一些特殊用途的机器使用﹐它可以按照硬件地址来固定的分配IP地址﹐这样可以给您更大的设计空间。同时﹐DHCP还可以帮客户端指定router﹑netmask﹑DNSServer﹑WINSServer﹑等等项目﹐您在客户端上面﹐除了将DHCP选项打勾之外﹐几乎无需做任何的IP环境设定。根据客户端是否第一次登录网络﹐DHCP的工作形式会有所不同。第一次登录的时候﹕寻找Server。当DHCP客户端第一次登录网络的时候﹐也就是客户发现本机上没有任何IP数据设定﹐它会向网络发出一个DHCPDISCOVER封包。因为客户端还不知道自己属于哪一个网络﹐所以封包的来源地址会为0.0.0.0﹐而目的地址则为255.255.255.255﹐然后再附上DHCPdiscover的信息﹐向网络进行广播。在Windows的预设情形下,DHCPdiscover的等待时间预设为1秒﹐也就是当客户端将第一个DHCPdiscover封包送出去之后,在1秒之内没有得到响应的话﹐就会进行第二次DHCPdiscover广播。若一直得不到响应的情况下﹐客户端一共会有四次DHCPdiscover广播(包括第一次在内)﹐除了第一次会等待1秒之外,其余三次的等待时间分别是9﹑13﹑16秒。如果都没有得到DHCP服务器的响应﹐客户端则会显示错误信息﹐宣告DHCPdiscover的失败。之后,基于使用者的选择﹐系统会继续在5分钟之后再重复一次DHCPdiscover的过程。提供IP租用地址。当DHCP服务器监听到客户端发出的DHCPdiscover广播后﹐它会从那些还没有租出的地址范围内﹐选择最前面的空置IP,连同其它TCP/IP设定,响应给客户端一个DHCPOFFER封包。由于客户端在开始的时候还没有IP地址﹐所以在其DHCPdiscover封包内会带有其MAC地址信息﹐并且有一个XID编号来辨别该封包﹐DHCP服务器响应的DHCPoffer封包则会根据这些资料传递给要求租约的客户。根据服务器端的设定﹐DHCPoffer封包会包含一个租约期限的信息。接受IP租约。如果客户端收到网络上多台DHCP服务器的响应﹐只会挑选其中一个福建星网锐捷网络有限公司号橘园洲星网锐捷科技园邮编:350002电话:0591-83057888/83057000北京市场中心北京市海淀区复兴路33号翠微大厦东楼1101单元邮编:100036电话:010-68156699传真:010-88210040DHCPoffer而已(通常是最先抵达的那个)﹐并且会向网络发送一个DHCPrequest广