网络安全-路由交换

技术问答:

       一、DR和BDR选举的过程

        DR和BDR的选举是根据优先级来确定的,优先级越大约有可能成为DR,如果优先级相同,那么久根据router—id的大小来选举,越大约有可能成为DR

1. 在和邻居建立双向通信之后,检查邻居的Hello包中Priority,DR和BDR字段,列出所有可以参与DR/BDR选举的邻居.所有的路由器声明它们自己就是DR/BDR(Hello包中DR字段的值就是它们自己的接口地址;BDR字段的值就是它们自己的接口地址)
2. 从这个有参与选举DR/BDR权的列表中,创建一组没有声明自己就是DR的路由器的子集(声明自己是DR的路由器将不会被选举为BDR)
3. 如果在这个子集里,不管有没有宣称自己就是BDR,只要在Hello包中BDR字段就等于自己接口的地址,优先级最高的就被选举为BDR;如果优先级都一样,RID最高的选举为BDR
4. 如果在Hello包中DR字段就等于自己接口的地址,优先级最高的就被选举为DR;如果优先级都一样,RID最高的选举为DR;如果没有路由器宣称自己就是DR,那么新选举的BDR就成为DR
5. 要注意的是,当网络中已经选举了DR/BDR后,又出现了1台新的优先级更高的路由器,DR/BDR是不会重新选举的
6. DR/BDR选举完成后,其他Rother只和DR/BDR形成邻接关系.所有的路由器将组播Hello包到224.0.0.5,以便它们能跟踪其他邻居的信息.其他Rother只组播update packet到224.0.0.6,只有DR/BDR监听这个地址 .一旦出问题,反过来,DR将使用224.0.0.5泛洪更新到其他路由器

       二、ospf有啥优缺点

    ospf  最短路径有先,是一个内部网管协议

    ospf工作原理: 每台路由器通过使用hello报文与它的邻居简历邻接关系;每台路由器向每个邻居发送链路状态通告(LSA),有时间建链路状态报文(LSP),每个邻居在收到LSP后一次向它的邻居转发LSP(泛洪);每台路由器要在数据库中保存一份他所收到的LSP的备份,所有路由器的数据库应该相同;依据拓扑数据库每台路由器使用DIjkstra算法(SPF算法),计算出每个网络中最短的路劲,并将结果输出到路由表。

   OSPF的简化原理:发Hello报文——建立邻接关系——形成链路状态数据库——SPF算法——形成路由表。 

   OSPF 特征:1.快速适应网络变化

2.在网络发生变化时,发送触发更新
3.以较低的频率(每30分钟)发送定期更新,这被称为链路状态刷新
4.支持不连续子网和CIDR
5.支持手动路由汇总
6.收敛时间短
7.采用Cost作为度量值
8.使用区域概念,这可有效的减少协议对路由器的CPU和内存的占用.
9.有路由验证功能,支持等价负载均衡

   三、OSPF路由器在完全邻接之前,所经过的几个状态:

1.Down: 初始化状态

2.Attempt: 只适于NBMA网络,在NBMA网络中邻居是手动指定的,在该状态下,路由器将使用HelloInterval取代PollInterval来发送Hello包

3.Init: 表明在DeadInterval里收到了Hello包,但是2-Way通信仍然没有建立起来

4.two-way: 双向会话建立

5.ExStart: 信息交换初始状态,在这个状态下,本地路由器和邻居将建立Master/Slave关系,并确定DD Sequence Number,接口等级高的的成为Master

6.Exchange: 信息交换状态,本地路由器向邻居发送数据库描述包,并且会发送LSR用于 请求新的LSA

7.Loading: 信息加载状态,本地路由器向邻居发送LSR用于请求新的LSA

8.Full: 完全邻接状态,这种邻接出现在Router LSA和Network LSA中

   四、防火墙与路由器区别

①两种设备产生的根源不同      

路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。    

防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。 

②根本目的不同      

路由器的根本目的是:保持网络和数据的“通”。    

防火墙根本的的目的是:保证任何非允许的数据包“不通”。 
Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的

   五、SSLVPN与ipsecVPN 区别

1、IPsec VPN多用于“网—网”连接,SSL VPN用于“移动客户—网”连接。SSL VPN的移动用户使用标准的浏览器,无需安装客户端程序,即可通过SSL VPN隧道接入内部网络;而IPSec VPN的移动用户需要安装专门的IPSec客户端软件。 
2、SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN。IPsec VPN对所有的IP应用均透明;而SSL VPN保护基于Web的应用更有优势,当然好的产品也支持TCP/UDP的C/S应用,例如文件共享、网络邻居、Ftp、Telnet、Oracle等。 
3、SSL VPN用户不受上网方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客户端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打开UDP500端口。 
4、SSL VPN只需要维护中心节点的网关设备,客户端免维护,降低了部署和支持费用。而IPSec VPN需要管理通讯的每个节点,网管专业性较强。 
5、SSL VPN 更容易提供细粒度访问控制,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。而IPSec VPN主要基于IP组对用户进行访问控制。

 

你可能感兴趣的:(面试技巧)