HCIP-H12-821题库笔记(151-200)

151、关于IIH有3种小类:L1 IIH、L2 IIH、P2P IIH

在IS-IS协议中,IIH报文是一种用于邻居发现和维护邻居关系的报文,并确实分为三种类型:

L1 IIH:该类型的IIH报文用于同一区域内的Level-1路由器之间建立邻居关系。

L2 IIH:该类型的IIH报文用于不同区域之间的Level-2路由器之间建立邻居关系。

P2P IIH:该类型的IIH报文用于同一区域内的Level-1-2路由器之间建立点对点的邻居关系。

152、在广播型网络中,DIS默认发送Hello时间间隔是3.3秒
153、IS-IS的LSP泛洪时间是900秒

在 IS-IS 中,LSP(Link State PDU)用于描述链路状态信息,需要在网络中进行泛洪,以让整个网络中的所有路由器都得到更新。IS-IS 中规定 LSP 的最大寿命为 20 分钟,即 1200 秒。但是,在实际运行中,LSP 的默认泛洪时间大多设置为 900 秒。

154、攻击者通过发送ICMP应答请求并将请求包的目的地址设为受害网络的广播地址,以实现攻击目的,属于Smurf攻击
(1)ICMP重定向是将数据包返回的目的地修改为攻击方,从而获取受害者信息
(2)Smurf攻击是将数据包的回复地址修改为受害者网络中的广播地址,淹没受害主机

Smurf 攻击是一种利用 Internet 控制消息协议(ICMP)协议的攻击方式,该攻击通过向受害者网络中的广播地址发送大量的 ICMP 请求报文,从而淹没受害主机的网络带宽,使其无法正常工作。常见的 Smurf 攻击方式就是将 ICMP Echo 请求的源地址篡改为受害者的 IP 地址,然后将请求包的目的地址设为受害网络的广播地址,这样所有收到请求的主机都会向受害者返回 ICMP Echo 应答,最终导致受害者网络带宽被占满。

而 ICMP 重定向攻击则是攻击者通过伪装成网络的网关,向其他主机发送 ICMP 重定向报文,让其修改数据流的路由信息,从而将数据流转发到攻击者控制的计算机上,达到窃取、篡改、拦截或伪造数据包的目的。

155、默认情况下DIS的优先级是64

关于 IS-IS 中的 DIS(Designated Intermediate System)和 OSPF 中的 DR(Designated Router),其优先级的默认值都是 64

156、当TCP连接正常,BGP邻居配置的AS号和邻居路由配置的BGP版本不一致时,该邻居通常会在建立TCP连接并交互一定信息后发Notification报文进行断连,那么该Notification报文中的Error Code会标识出Open消息是在协商时出现错误的。

当 BGP 邻居配置的 AS 号和邻居路由配置的 BGP 版本不一致时,BGP 邻居会尝试建立 TCP 连接,并发送 Open 消息,其中包括 BGP 版本和自己所属的 AS 号。如果邻居路由在收到 Open 消息后发现其所支持的 BGP 版本与对方不一致,或者对方的 AS 号与本地不匹配,那么邻居路由会向对方发送一个 Notification 报文,通知对方有错误发生,并断开连接。

在 Notification 报文中,Error Code 用于标识 Open 消息中出现错误的阶段。如果 Error Code 的值为 2(Open Message Error),则说明 Open 消息的格式或内容存在错误,导致邻居路由无法继续与其建立 BGP 邻居关系。

157、LACP协议:
(1)通过LACPDU与对端交互信息
(2)两端设备根据系统LACP优先级和系统ID确定主动端

LACP 使用 LACPDUs(LACP Data Units)来交换信息。LACPDUs 包括了 LACP 协议中定义的各种参数,例如系统 ID、端口 ID、聚合组号、协议版本等。在 LACP 过程中,交换的 LACPDUs 可以通过 PDU 的发送和接收状态来判断 LACP 链路的工作状态:
LACPDU 发送状态:指示该端口是否向对端发送 LACPDU。
LACPDU 接收状态:指示该端口是否从对端接收到 LACPDU。
两端设备使用系统 LACP 优先级和系统 ID 来确定主动端。在 LACP 聚合过程中,每一条物理链路都有可能成为聚合组的活动链路(Active Link),并负责承载所有数据流量。为了避免出现冲突,需要确立一个主动端,并由主动端负责管理整个聚合组。
LACP 主动端的选择过程如下:

确定系统 LACP 优先级:LACP 优先级范围为 1~65535,值越小优先级越高,默认值为 32768。
确定系统 ID:使用 MAC 地址或 IP 地址等唯一标识自己。
LACP 协商过程中,两端设备将比较彼此的 LACP 优先级和系统 ID。如果两端优先级相同,则比较系统 ID,选取较小的设备为主动端。
主动端负责发送 LACPDU,维护聚合组的状态,并向对端发送心跳信息以检测链路的状态。

158、关于VRRP:
(1)Skew_Time=(256-priority)/256
(2)缺省情况下,VRRP的抢占延时是0秒
(3)缺省情况下,VRRP通告报文的时间周期是1秒
(4)MASTER DOWN =(3*ADVER INTERVAL)+Skew time

VRRP(Virtual Router Redundancy Protocol)是一种热备份协议,用于在多个路由器之间共享一个虚拟 IP 地址,以提供网络的高可用性和容错能力

Skew_Time=(256-priority)/256 是计算优先级(Priority)对应的时间差值。在 VRRP 中,优先级高的路由器将会被选举为 Master,优先级相同的设备将根据 MAC 地址的大小进行决策。Skew_Time 用于调整 Master 和 Backup 之间通告状态信息的时间周期,时间差值越小,则周期越短。

缺省情况下,VRRP 的抢占延时是0秒。也就是说,当 Master 路由器失效后,Backup 路由器立即发起抢占过程,争夺 Master 的地位,以继续提供服务。

缺省情况下,VRRP 通告报文的时间周期是1秒。在 VRRP 过程中,Master 路由器需要定期向所有 Backup 路由器发送 VRRP 通告报文,以告知它们自己的状态。VRRP 报文包括如下信息:虚拟路由器 ID、优先级、认证字符串、优先级调整时间差值等。

MASTER DOWN =(3ADVER INTERVAL)+Skew time 是 VRRP 判断 Master 路由器失效的标准。如果 Backup 路由器在 3 个 VRRP 通告周期内(即总时间为 3ADVER INTERVAL)均未收到 Master 路由器的 VRRP 通告报文,那么 Backup 路由器将判定 Master 路由器已经失效,并开始发起抢占过程。Skew time 用于调整 Backup 路由器和 Master 路由器之间通告状态信息的时间差值。可以通过适当调整 Skew time 的值,来确保 Master 路由器失效后恰好进行抢占操作,并避免不必要的抢占。

159、修改哪些参数IS-IS邻居关系需要重新建立
(1)修改IS-IS的接口IP地址
(2)修改IS-IS的接口Level

在 IS-IS 协议中,以下两个参数的变化会导致 IS-IS 邻居关系需要重新建立:

修改 IS-IS 的接口 IP 地址:IS-IS 邻居关系是建立在相邻路由器之间的接口上的,因此当某个接口的 IP 地址发生变化时,其相邻路由器会无法识别该接口,从而需要重新建立邻居关系。IS-IS 协议可以通过 Hello 消息来发现并维护邻居关系,当两个路由器收到对方的 Hello 消息时,会互相确认邻居关系是否合法,如果不合法,则会重新初始化并建立邻居关系。

修改 IS-IS 的接口 Level:IS-IS 协议支持多级别(Level)路由器,在同一个 Level 内的路由器之间可以直接交换路由信息,在不同 Level 之间需要通过 Level-1 和 Level-2 路由器进行转换。当一个路由器的 Level 发生变化时,它需要重新向相邻的 Level-1 或 Level-2 路由器发送 Hello 消息,以通知它们自己的新 Level,并重新建立邻居关系。

160、关于WLAN热备
(1)配置VRRP热备时,可以通过配置VRRP的优先级来决定AC设备的主备角色
(2)配置VRRP热备时,主备AC必须在同一个二层网络

两台AC组成一个VRRP组,主.备AC对AP始终显示为同一个虚拟IP地址,主AC通过Hot Standby(HSB)主备通道同步业务信息到备AC上。

两台AC通过VRRP协议产生一台“虚拟AC”,缺省情况下,主AC担任虚拟AC的具体工作,当主AC故障时,备AC接替其工作。所有AP与“虚拟AC”建立CAPWAP隧道。AP只看到一个AC的存在,AC间的切换由VRRP决定。

VRRP热备是,主备AC必须处于同一个二层网络,互相之间才能够发送vrrp的通告报文,优先级高的为主AC,优先级低的备AC。如果想实现负载分担,通过配置不同的vrrp组来实现,而不是将优先级配置为一样。

161、策略路由(policy-based-route)不支持根据源MAC来指定数据包转发路径,策略路由只能根据数据包的3层头部信息来转发数据包,不能依据2层头部信息

策略路由通常是一种基于路由策略或路由策略组来确定数据包转发路径的路由技术。
与源MAC相关的信息是数据包的二层头部信息,而策略路由主要是根据数据包的3层头部信息(如IP地址、协议等)来进行转发决策的。
因此,策略路由并不支持根据源MAC地址来指定数据包的转发路径。

162、DR/BDR的优先级不能为0,优先级为0之后将只能成为DRother。

在OSPF协议中,每个接口都需要选举产生一个DR(Designated Router)和BDR(Backup Designated Router),用于负责发送LSA(Link State Advertisement)信息,并控制网络拓扑变化时的更新和同步。
而为了保证DR/BDR选举的公平性和稳定性,OSPF规定DR/BDR的优先级范围是1~255,而不能为0。
一旦DR/BDR的优先级被设置为0,就无法参与DR/BDR的选举,只能成为普通的DROther。

163、USG防火墙中新建安全区域时,如果不设置安全优先级,则安全优先级为空

USG 防火墙中,针对新建的安全区域,如果没有设置安全优先级,则该安全区域的安全优先级将为空。

安全优先级用于指定防火墙规则的匹配顺序,当数据包进入防火墙时,防火墙将按照安全优先级从高到低的顺序依次匹配规则,直到找到与数据包匹配的规则为止。因此,安全优先级的设置对于防火墙规则的匹配顺序至关重要。

在 USG 防火墙中,新建安全区域时,如果不设置安全优先级,则会默认将其设置为空。这时,如果在该安全区域中配置了防火墙规则,那么这些规则将按照它们在配置界面中的顺序进行匹配。

164、route-policy用于过滤路由信息以及通过过滤的路由信息设置路由属性

route-policy 是一个用于过滤路由信息以及通过过滤的路由信息设置路由属性的策略语句,可以在路由器中使用。

在网络中,路由器需要学习和维护各种路由信息,并根据这些信息选择最佳路径来实现数据的转发。然而,在某些场景下,我们可能需要过滤某些路由信息,或者对通过过滤的路由设置一些特定的属性,如路由的下一跳、路由的跃点数、路由的优先级等,这时就可以使用 route-policy。

具体而言,route-policy 可以通过匹配路由的前缀、类型、长度、AS 路径以及其他属性等条件,过滤或选择符合条件的路由信息,并且可以通过 set 命令为这些路由信息设置特定的属性。例如,可以通过 route-policy 将某个 AS 的所有路由设置为不可达状态,或者给某类路由信息设置更优的路由跃点数。

165、默认情况下,ISIS的leve等级为level-1-2

默认情况下,ISIS(Intermediate System to Intermediate System)协议的路由器在所有的接口上都会启用 level-1-2 等级。这意味着,当 ISIS 协议在网络中运行时,路由器将同时支持 level-1 和 level-2 两种路由类型,并且可以相互转换。

在 ISIS 中,level-1 路由和 level-2 路由是两种不同类型的路由,它们之间存在一些特定的区别和应用场景。Level-1 路由器只能掌握到本地区域内的路由信息,而 Level-2 路由器可以了解整个 ISIS 域内的路由信息。因此,在实际使用中,我们可以根据网络拓扑和业务需求来配置相应的 level 等级,以便实现更好的网络性能和管理。

166、没有运行IGMP Snooping时,组播报文将在二层广播运行IGMP Snooping后,报文将不再在二层广播,而是进行二层组播

IGMP Snooping 是一种组播优化技术,主要用于在二层网络中降低组播数据流量和增加网络效率。在没有启用 IGMP Snooping 时,组播报文将被广播到与组播地址相对应的所有端口上,这可能会导致网络拥塞和带宽浪费。

当启用 IGMP Snooping 时,网络交换机会通过监听组播报文中的 IGMP 协议消息,了解哪些设备对特定的组播组感兴趣,并将该信息记录在交换机的 MAC 地址表中。这样,在有组播数据包需要转发时,网络交换机就可以根据已知的端口信息,只向需要接收组播数据的设备转发数据包,而不再像普通广播那样向所有端口进行广播。

因此,在启用 IGMP Snooping 后,组播报文将不再在二层广播,而是进行二层组播。网络上的交换机会根据已知的组播成员端口信息,只把组播报文发往必要的端口,避免了组播报文的无效传输,提高了网络带宽利用率和性能。

167、4类LSA不允许在NSSA区域中出现

具体来说,在 NSSA 区域中,不能传递和生成以下四类 LSA:

类型 3 LSA(网络汇聚 LSA):类型 3 LSA 主要用于描述 OSPF 网络中的网络拓扑结构,它记录了相邻路由器之间的链路关系和各个网络段的路由器信息。在 NSSA 区域中,类型 3 LSA 不允许传递和生成,因为这会导致 NSSA 边界路由器失去选择合适路由的能力,从而影响整个网络的稳定性和可靠性。

类型 4 LSA(ASBR 汇聚 LSA):类型 4 LSA 主要用于描述 OSPF 网络中的边界路由器(ASBR),即连接到其他自治系统的路由器。在 NSSA 区域中,类型 4 LSA 不允许出现,因为这会导致 NSSA 边界路由器向 NSSA 内部分发 ASBR 的默认路由,从而妨碍了 NSSA 内部的路由选择功能。

类型 5 LSA(自治系统外部汇聚 LSA):类型 5 LSA 主要用于描述 OSPF 网络中的外部路由,即来自其他自治系统的路由。在 NSSA 区域中,类型 5 LSA 不允许传递和生成,因为这会导致 NSSA 边界路由器失去选择合适路由的能力,从而影响整个网络的稳定性和可靠性。

类型 7 LSA(NSSA 外部汇聚 LSA):类型 7 LSA 主要用于描述 NSSA 区域中的外部路由,即来自 NSSA 外部的网络。在 NSSA 区域中,类型 7 LSA 只能由 NSSA 边界路由器产生和处理,而其他非边界路由器则需要将其转换成类型 5 LSA 并通知 Area Border Router(ABR)。这是因为类型 7 LSA 的范围仅限于 NSSA 区域内部,而不能扩展到整个 OSPF 域内进行路由选择。

需要注意的是,在 NSSA 区域中,我们可以采用 Type-7-to-Type-5 转换技术来将类型 7 LSA 转换成类型 5 LSA,并通过 ABR 向 OSPF 域内部传递。同时,在实际应用中,我们也需要根据具体的网络环境和需求来配置 NSSA 区域,以实现更好的路由选择和优化网络性能。

168、SD-WAN解决方案适合用于企业分支互联这个场景

SD-WAN(软件定义广域网)解决方案非常适合用于企业分支互联这个场景。

传统的企业分支互联网络通常采用 IPsec VPN、MPLS(多协议标签交换)等技术来实现分支间的互连。但是,这种方式面临诸多问题,如成本高、网络可用性差、管理复杂等。

而 SD-WAN 技术则通过在分支节点和数据中心之间建立虚拟化隧道,实现了灵活的分支互联和负载均衡,提供了更加稳定、可靠、高效的连接方式。具体来说,SD-WAN 解决方案可以带来以下优势:

负载均衡:SD-WAN 可以智能地分配流量到最优路径上,从而平衡不同链路的带宽利用率,避免网络拥塞和瓶颈。

安全性:SD-WAN 技术支持多种加密方式和防火墙功能,保护企业敏感数据的安全性和完整性,同时还能提供对分支设备的访问控制和审计机制。

管理简单:SD-WAN 可以通过中心化控制平台进行集中管理,实现自动化配置、故障检测和网络优化等功能,降低了网络管理的成本和复杂度。

成本节约:SD-WAN 可以利用多种链路组合,包括公共互联网、LTE、光纤、卫星等,以最小化成本实现企业分支间的高速、安全连接。

169、Fabric是针对数据中心的,Campus是针对企业园区网的;WAN是针对企业的各个分支互联的;IP是针对广域网的

Fabric、Campus、WAN 和 IP 都是网络架构的一种,针对不同的场景和需求进行设计和优化。

Fabric 架构主要应用于数据中心网络,旨在实现高性能、高可靠的数据中心网络,以支持虚拟化、云计算等新型应用。

Campus 架构主要应用于企业园区网络,旨在实现快速、安全、可靠的集中式访问,并可以通过分层设计和策略管理实现网络优化和故障恢复。

WAN 架构主要针对企业分支网络和远程办公场景,通过结合公共互联网、LTE、光纤等多种链路方式实现高可靠、高效的分支互连。

IP 架构是指适用于广域网的一种网络架构,主要采用 IP 协议作为通信协议,通过路由协议和转发技术实现跨越不同地域、不同运营商的网络互连。

170、USG系列防火墙的servermao表的三要素:协议号、目的IP、目的端口号

USG系列防火墙的servermao表(服务映射表)包括以下三个要素:

协议号:表示服务所使用的协议类型,如TCP、UDP等。

目的IP:表示在使用该服务时对端设备的IP地址,即需要被监听或转发数据的目的IP地址。

目的端口号:表示服务所使用的通信端口号,即需要被监听或转发数据的目的端口号。

171、BGP4+扩展属性-MP_REACH_NLRI(2/3),当传递IPv6路由时,AFI=2,SAFI=1(unicast),SAFI=2(multicast);下一跳地址长度字段决定了下一跳地址的个数:长度字段=16,下一跳地址为下一跳路由器的全球单播地址,长度=32,下一跳地址为下一跳路由器的全球单薄地址和链路本地地址。

BGP4+是一种扩展了 BGP4 协议的版本,其中 MP_REACH_NLRI 是 BGP4+ 扩展属性之一,用于传递多协议可达性 NLRI(网络前缀)和相关属性。在传递 IPv6 路由时,AFI(地址族标识)应设置为 2,表示 IPv6 地址族。

在 AFI=2,SAFI=1 的情况下,MP_REACH_NLRI 属性中包含了 IPv6 单播网络前缀和相关的路由属性信息,如 AS_PATH、NEXT_HOP 等,用于描述到达该网络前缀的最优路由。此时,下一跳地址长度字段应设置为 16,表示下一跳路由器的全球单播地址。

在 AFI=2,SAFI=2 的情况下,MP_REACH_NLRI 属性中包含了 IPv6 组播网络前缀和相关的路由属性信息,用于描述到达该组播网络前缀的最优路径。此时,下一跳地址长度字段应设置为 32,表示下一跳路由器的全球单播地址和链路本地地址,以便组播数据可以正确地传输到相应网段。

总之,在 BGP4+ 中,通过 MP_REACH_NLRI 扩展属性,可以同时传递多个协议的网络前缀和相关属性,从而更好地支持多协议网络。

172、关于OSPF的stub区域和Totally stub区域
(1)Totally Stub区域既不允许外部路由在本区域内传播,也不允许区域间路由在本区域内传播
(2)Totally Stub区访问其他区域是通过本区域下发缺省路由实现的
(3)Stub区域的将生成一条缺省路由,以保证Stub区域能够到达的AS外部

(1) Totally Stub 区域不允许区域间路由在本区域内传播,只允许该区域内的默认路由。区域间路由包括外部路由和 ASBR 路由, Totally Stub 区域将这些路由全部过滤掉,只留下到 ABR 节点的默认路由信息。

(2) Totally Stub 区域中,所有到达其他区域的流量都需要通过本区域下发的默认路由实现。这意味着如果 Totally Stub 区域不能访问到 ABR 节点,就无法访问到其他区域。因此,在构建 Totally Stub 区域时,需要确保至少有一台 ABR 节点可以到达外部网络。

(3) 对于 Stub 区域来说,它只生成缺省路由以保证能够到达 AS 外部。Stub 区域中的所有路由器只能访问区域内部的网络和默认路由,而无法访问到区域之外的其他网络。但是,Stub 区域允许通过汇聚路由来学习到其他区域的网络信息。

173、OSI网络管理模型包括
(1)组织架构模型
(2)通信模型
(3)功能模型

OSI(Open System Interconnection,开放式系统互联)网络管理模型是指一种通用的网络管理框架,它主要分为三个模型:

(1) 组织架构模型:它定义了网络管理体系结构中的各个组成部分之间的关系,包括网络管理组织、网络管理人员、网络管理系统和网络管理信息。

(2) 通信模型:它定义了网络管理系统中的信息传递过程,包括网络管理信息的分类、传输方式、协议、数据格式等。

(3) 功能模型:它定义了网络管理系统的功能和模块,包括网络配置管理、性能管理、安全管理、故障管理等多个模块。这些模块都是为了实现对网络的有效管理而设计的。

这三个模型相互独立,但它们又是相互联系的,共同构成了一个完整的 OSI 网络管理模型,用于管理复杂的计算机网络系统,提高网络的可靠性、安全性和性能。

174、BGP在IPv4网络中支持自动聚合和手动聚合两种方式,而IPv6网络中仅支持手动聚合方式

BGP(Border Gateway Protocol,边界网关协议)协议是一种广泛应用于互联网中的路由协议,它在IPv4和IPv6网络中均有应用。BGP协议在IPv4网络中支持自动聚合和手动聚合两种方式,但在IPv6网络中仅支持手动聚合方式。

在IPv4网络中,BGP支持两种聚合方式,即自动聚合和手动聚合。自动聚合是指当一条路径经过多个自治系统(AS)时,BGP路由器会自动将该路径中的连续子网聚合成一个更大的网络地址,并且只将聚合后的地址通告给其他AS。手动聚合则需要人工干预,即管理员可以手动地将路由器的接口或者路径中的多个子网聚合成一个更大的网络地址,并将其作为一个路由向BGP协议中的其他路由器或AS进行通告。

然而,在IPv6网络中,BGP仅支持手动聚合方式,因为IPv6地址空间较为宽广,且IPv6地址中包含的信息量更多,每个自治系统拥有的地址资源较为充足,自动聚合的必要性不再如IPv4那样迫切。因此,在IPv6网络中,手动聚合更为常见,以满足网络管理和路由控制的需求。

175、关于BGP路由优选,当BGP存在多条有效路由时,BGP Speaker只将最优路由发布给对等体

在BGP(Border Gateway Protocol,边界网关协议)协议中,当一个BGP Speaker(路由器)收到多条有效的路由时,其只会选择其中的一个最优路由,并将该路由通告给其对等体(即相邻的路由器)。这个过程是根据BGP的路由选择算法进行的,常用的BGP路由选择算法有以下几个因素:

路径长度:路径长度越短的路由越优先。

同级别IGP成本:如果一条路由经过多条相同AS的路径,则会比经过的AS越少的路径更具优先级。

NEXT_HOP属性:它表示BGP Speaker应该采用的下一跳路由器IP地址。如果两条路由都通过相同的NEXT_HOP路由器,则该路由具有更高的优先级。

权重:在BGP路由器上,可手动配置路由的权重,权重越大,路由就越优先。

本地偏好:BGP Speaker可以根据本地策略来决定最优路由,例如具有特定的标记或特定的AS路径。

176、NFV中的VIM管理模块的主要功能包括资源发现、资源分配、资源管理以及故障处理

NFV(Network Functions Virtualization,网络功能虚拟化)是运用虚拟化技术对传统网络设备进行软件化升级的一种方式。VIM(Virtual Infrastructure Manager,虚拟基础设施管理器)是其架构中的关键模块之一,在整个NFV环境中负责资源管理,主要包括以下功能:

资源发现:通过和底层物理设备通信,VIM可以发现并识别底层可虚拟化资源,如CPU、存储、网络等,并将其加入到NFV环境中进行管理。

资源分配:VIM通过配合上层的VNF Orchestrator和NFVO(Network Function Virtualization Orchestrator,网络功能虚拟化编排器),将需要进行软件化部署的网络功能映射到可用的虚拟化资源上,并进行动态的资源分配,以满足各项服务需求。

资源管理:VIM负责监控NFV环境中所有的虚拟资源,根据其状态和健康度实时调整资源配置、限制或释放资源使用,保证虚拟化网络的性能、稳定性和安全性。

故障处理:VIM跟踪虚拟化资源的状态,一旦发现异常情况,它会及时采取措施进行诊断、透明升级或者数据迁移等操作,以保证虚拟网络的连通性和稳定性。

因此,VIM是NFV架构中非常重要的一个管理模块,它有效地解决了传统网络设备上的资源利用率低下、网络部署效率低下等问题,并且可以大大提高网络服务的灵活性、可扩展性和可维护性。

177、SDN控制器侦听地址的命令是:Openfiow listening-ip 1.1.1.1
178、VRRP master设备
(1)定期发送VRRP报文
(2)以虚拟MAC地址响应对虚拟IP地址的ARP请求
(3)转发目的MAC地址为虚拟MAC地址的IP报文

VRRP (Virtual Router Redundancy Protocol,虚拟路由器冗余协议)是一种提供默认网关冗余的协议,它定义了多个设备共享同一个虚拟IP地址和MAC地址,其中优先级最高的设备将被选举为主设备(Master),负责处理入站流量并回应ARP请求。而其他设备则作为备份设备 (Backup)运行,在主设备发生故障时抢占主设备角色,保证网络的连通性。

因此,VRRP的主设备 (Master)需要执行以下三项基本任务:

定期发送VRRP报文:主设备通过发送VRRP组播报文来告知网络中其他设备自己仍然是VRRP组的主设备,同时这些报文也包含了一些关于VRRP组的重要信息,如优先级、检查计数等。

响应虚拟IP地址的ARP请求:主设备需要响应由其他设备发送的针对虚拟IP地址的ARP请求,并使用虚拟MAC地址作为响应的源MAC地址。这样可以确保网络中的其他设备将数据帧发送给主设备,从而使其可以处理网络流量。

转发目的MAC地址为虚拟MAC地址的IP报文:主设备需要转发到达虚拟IP地址的IP报文,并在转发过程中将目的MAC地址修改为虚拟MAC地址,这样可以确保网络中其他设备将数据帧发送给当前主设备,从而正确处理来自客户端的IP流量。

179、在Diff-Serv域的核心路由器通常只需要进行简单流分类

在Diff-Serv网络中,当数据包到达核心路由器时,通常不需要对每个数据包进行详细处理和分类,因为这样会降低路由器的转发速度和增加网络延迟。相反,核心路由器通常只需要进行简单流分类,以将相同服务等级的数据包聚合在一起,并尽快转发给下一跳路由器。

简单流分类通常是根据数据包的源地址、目的地址、协议类型、端口号等基本信息来实现的。例如,核心路由器可以根据源IP地址和目的IP地址来确定数据包属于哪个类别,并使用此信息将其分配给相应的输出队列。如果有多条路径可以用于转发数据包,则可以使用一些负载平衡算法来决定使用哪条路径。

180、在BGP中当路由策略发生变化后,通过Notification报文通知邻居,只有支持路由刷新能力的BGP设备会发送和响应此报文(错误)

在BGP协议中,当一个路由器的路由策略发生变化时,它会向邻居路由器发送通知消息(Notification Message),以告知邻居该变化,并请求其更新路由表。同时,通知消息还包括错误信息、状态码等内容,用于说明发生了什么情况。

路由刷新(Route Refresh)是一种可选的BGP功能,可用于快速更新BGP路由表,而无需重置整个BGP会话。当使用路由刷新功能时,如果一个BGP路由器需要更新其路由表,则可以向邻居路由器发送Refresh Request消息,以请求邻居更新路由表。收到请求后,邻居路由器可以选择性地更新其路由表,并通过Refresh Response消息响应请求。

需要注意的是,路由刷新功能并不是必须的,仍然有许多BGP设备不支持路由刷新功能。因此,在BGP路由策略发生变化时,通常会使用Notification消息来通知邻居更新路由表,而不是依赖于路由刷新功能。

181、防火墙上的不同接口之间传递数据时也要经过包过滤处理的过程

防火墙作为一种网络安全设备,可以控制和过滤进出网络的数据流,以保护网络免受潜在的威胁和攻击。不同接口之间传递数据时,防火墙会根据其预定义的访问控制策略和规则进行包过滤处理。

通常,防火墙的每个接口都有自己的安全级别和相关的访问控制策略。例如,内部接口的安全级别可能更高,而外部接口的安全级别可能更低。当数据从一个接口传输到另一个接口时,防火墙首先会检查数据包中的源IP地址、目的IP地址、协议类型、端口号等信息,然后根据其预定义的策略和规则来决定是否允许或拒绝该数据包通过。

182、关于IS-IS中LSP
(1)LSP有两种类型,分别时level-1和level-2
(2)LSP ID由三部分组成,System ID、伪节点 ID和LSP分片后的编号
(3)LSP的作用是用于交换链路状态信息

LSP 有两种类型:Level-1 (L1)和 Level-2 (L2)。其中,L1 LSP 主要用于同一区域内的 IS-IS 路由器之间的链路状态信息交换,而 L2 LSP 则用于不同区域之间的 IS-IS 路由器之间的链路状态信息交换。

LSP ID 由三部分构成:System ID、Pseudonode ID 和 LSP 分片编号。System ID 是一个唯一的 6 字节标识符,用于标识一个 IS-IS 路由器;Pseudonode ID 是在 L1/L2 边界路由器上使用的虚拟节点 ID,用于区分不同的 IS-IS 邻居关系;LSP 分片编号是为了支持 LSP 分片传输而引入的,用于标识同一个 LSP 的不同分片。总体而言,LSP ID 是用于唯一标识每个 IS-IS LSP 的重要参数。

LSP 的作用是用于交换链路状态信息,其中包括每个 IS-IS 节点直接连接的链路、链路的度量值、链路属性以及邻居关系等信息。通过这些 LSP,IS-IS 路由器可以了解整个网络中的拓扑结构、路径和路由信息,从而计算出最优的转发路径并更新其路由表。因此,LSP 可以说是 IS-IS 协议中非常重要的信息元素。

183、流量切换,双机热备份
(1)VRRP热备份:通过VRRP实现流量切换,只适用于主备备份方式
(2)双链路热备份:通过双链路实现流量切换,适用于主备备份和负载分担方式

VRRP 热备份(Virtual Router Redundancy Protocol)是一种通过虚拟路由器实现主备备份的技术。在 VRRP 中,多台路由器共同构成一个虚拟路由器组,其中一个路由器被选举为“虚拟网关”,所有其他路由器都作为备份路由器。当主路由器失效时,备份路由器会接管其角色,继续进行网络转发。这样可以保证网络的可靠性和稳定性,但需要注意的是,VRRP 只能实现主备备份方式,无法进行负载分担。

双链路热备份是一种通过双链路实现主备备份和负载分担的技术。它使用两条物理链路,分别连接主备服务器和交换机,同时使用双网卡或者 VLAN 技术,实现数据的冗余传输和负载均衡。当一条链路失效时,数据会自动切换到另一条链路上,以保证网络的连通性和性能。双链路热备份技术适用于高可用性要求较高的场景,如互联网、金融等行业的关键业务系统。

184、7类LSA一版不允许在骨干区域传输,但可以使用suppress-forwarding-address命令允许7类LSA在Area0内传输(错误)

实际情况是,OSPFv2 中的 Type 7 LSA 确实不允许在骨干区域传输,而且即使使用 suppress-forwarding-address 命令,也无法改变这种限制。

Type 7 LSA 是 OSPFv2 中 NSSA (Not-So-Stubby Area)区域内的特殊类型 LSA,用于传输到 ASBR(AS Boundary Router)的外部路由信息。由于 NSSA 区域是一种不支持完全互联的区域,因此 Type 7 LSA 只能被发送到 NSSA 区域内的其他路由器,而不能传输到骨干区域(Area 0)中。当某个 NSSA 区域的 Type 7 LSA 要传输到其他区域时,它会被转换成 Type 5 LSA,并在 ASBR 处进行重新分发。

在这个过程中,suppress-forwarding-address 命令并没有直接作用于 Type 7 LSA,而是用于控制 NSSA 区域的路由器抑制某些转发地址或者子网,以达到控制流量和优化路由的目的。但是,无论是否使用这个命令,7 类 LSA 都不能传输到骨干区域

185、华为IP广域承载网络解决方案
(1)新平台 大容量全业务——NetEngine 8000系列
(2)新协议 SLA可保障,时延可承诺——SRv6
(3)新管道 Flex E切片,带宽可保障
(4)新运维 AI加持的智能运维,业务质量可视

NetEngine 8000 系列是华为推出的高端核心路由器产品系列,具有大容量、高性能、可靠性强等优点。该系列产品能够支持多种协议和业务,包括 IP/MPLS VPN、VxLAN、EVPN 等,能够满足不同场景下对网络能力和容量的要求。

SRv6 是一种新型的路由协议,能够实现灵活的业务编排和流量定向,同时提供了 SLA(Service Level Agreement)级别的时延保障功能,可以在大规模网络中实现高效、可靠、安全的业务传输。

FlexE 技术是一种针对以太网业务的切片技术,可以将以太网接口划分为多个逻辑通道,实现动态带宽分配和精细化的流量控制,从而可保障不同业务的服务质量和带宽需求。

智能运维是通过引入 AI 技术,将网络管理自动化、智能化的一种解决方案,可以通过对网络监测、故障定位、优化调整等方面的自动处理,提高网络的可用性和稳定性,同时也能让网络管理员更加便捷地管理网络。

186、缺省条件下,BGP使用报文出接口作为TCP连接的本地接口
187、VRRP中虚拟MAC地址是虚拟路由器根据其配置的虚拟路由器ID生成的
(1)00-00-5E-00-01-(VRID)IP v4
(2)00-00-5E-00-02-(VRID)IP v6

VRRP 协议通过将一组路由器组成一个虚拟路由器,为网络提供了高可用性和冗余性。在一个 VRRP 组中,有一个虚拟路由器(Virtual Router),它被视为这个组中的活跃路由器,并负责处理来自其他子网的数据包转发。而其他路由器则处于备份状态,只有在虚拟路由器失效时才会接替其工作。

为了确保在虚拟路由器失效时能够快速地切换到备份路由器上,VRRP 协议需要为虚拟路由器配置一个虚拟MAC地址。在 VRRP v2 中,虚拟MAC地址的生成方式如下:

将固定的 24 位 OUI(Organizationally Unique Identifier)设置为 00-00-5E。
将下一个字节的最高位设为 0,表示这是一个单播地址。
将下一个字节的低 7 位设置为该虚拟路由器的 VRID(Virtual Router Identifier)。
将剩余的两个字节设为该虚拟路由器的 IPv4 地址的最后两个字节。
例如,如果一个 VRRP 组中的虚拟路由器 ID 为 1,其 IPv4 地址为 192.0.2.1,那么它的虚拟MAC地址就是 00-00-5E-00-01-C0-02。

VRRP v3 引入了对 IPv6 地址的支持,虚拟MAC地址的生成方式与 VRRP v2 略有不同。具体来说,IPv6 地址中的地址前缀会被用作固定的 OUI,而剩余的 24 位则与 VRRP v2 中的一致。

因此,在 VRRP v3 中,虚拟MAC地址的生成方式如下:

取 IPv6 地址中的地址前缀(前 24 位),并将第 7 位设为 1。
将下一个字节的低 7 位设置为该虚拟路由器的 VRID(Virtual Router Identifier)。
将剩余的五个字节设为该虚拟路由器的 IPv6 地址的最后五个字节。
例如,如果一个 VRRP 组中的虚拟路由器 ID 为 1,其 IPv6 地址为 2001:db8::1,那么它的虚拟MAC地址就是 00-00-5E-00-02-01-DB-80-00-00-00-01。

188、OSPF采用触发更新和定期更新

OSPF(Open Shortest Path First)协议采用了触发更新(Triggered Update)和定期更新(Periodic Update)两种方式来更新路由信息。

在 OSPF 网络中,每个路由器都维护着一张拓扑数据库(Topology Database)。拓扑数据库记录了整个 OSPF 区域内的网络拓扑信息,包括所有的路由器、链路和子网。每个路由器根据这张拓扑数据库计算出最短路径树,并将其作为自己的路由表。当网络拓扑发生变化时,路由器需要及时地更新自己的拓扑数据库和路由表,以保证网络的正确性和稳定性。

具体来说,OSPF 协议通过以下两种方式来更新路由信息:

触发更新:当网络拓扑发生变化时,例如有链路断开或新的链路加入,路由器会立即向邻居路由器发送 OSPF 报文,通知其拓扑数据库的变化。这些报文叫做触发更新报文,它们只会发送给受到影响的邻居路由器,而不是广播给整个网络。触发更新可以快速地传播变化,但会增加网络流量。

定期更新:除触发更新之外,每个 OSPF 路由器还会定期向其邻居路由器发送 OSPF 报文,以保持邻居之间的通信状态。这些报文叫做定期更新报文,它们会在一定时间间隔内(默认为 30 分钟)周期性地发送给所有邻居路由器。定期更新可以确保邻居之间的通信状态保持稳定,但会产生定期的网络流量和系统负载。

189、接口PBR,只对转发的报文起作用,对本地始发的报文无效,接口PBR调用在接口上,对接口的入方向报文生效。

接口 PBR(Policy-Based Routing)是一种基于路由策略的路由技术,它通过在接口上应用路由策略来控制网络流量的走向。

在接口 PBR 中,路由器会检查每个经过该接口的数据包,然后根据预先定义的路由策略来判断该数据包应该被如何转发。与路由表中的目的地址比较,接口 PBR 根据自定义的策略进行匹配,如果匹配成功,则使用策略中指定的下一跳或出接口转发数据包,从而可以实现更加灵活的流量控制。

但需要注意的是,接口 PBR 只对转发的报文起作用,对本地始发的报文无效。这是因为本地始发的报文不经过路由决策,而是直接发送到目的地址,不会经过接口 PBR 处理。另外,接口 PBR 调用在接口上,并且只对接口的入方向报文生效。

190、PBR为策略路由,可以基于标准和扩展访问控制列表,也可以基于报文的长度;而转发策略路由则是控制报文按照制定的策略路由表进行转发,也可以修改报文的IP优先字段

PBR 是一种基于路由策略的路由技术,可以根据访问控制列表(ACL)、报文长度等多种因素来控制数据包的传输路径。这种策略路由技术对于实现网络带宽管理、负载均衡和服务质量(QoS)等应用非常重要。在 PBR 中,路由器可以根据自定义的路由策略表,选择一条最佳路径进行转发或修改报文的路由优先级。PBR 的路由策略可以基于标准和扩展访问控制列表,在匹配规则时比较灵活。

而转发策略路由(FPR)则是一种将不同类型的流量映射到不同的出口链路或者转发链路的方案。在 FPR 中,路由器通过识别特定的标记或流量类型,并将其映射到相应的出口链路或转发链路上,从而优化网络性能和利用率。与 PBR 不同的是,FPR 处理的是标记后的数据包,而不是直接修改报文的路由优先级。FPR 通过制定的策略路由表进行转发,可以实现精细化的流量控制和路由选择。

191、攻击溯源能够依据攻击报文的信息找出攻击源用户或者攻击源接口,从而可以通过告警日志等方式提醒管理员,或者直接丢弃该报文。

攻击溯源技术是指通过分析攻击数据包的头部或负载等信息,确定攻击行为的源地址或者源接口。该技术可以辅助安全管理人员快速检测和定位攻击源,进而采取相应的防御措施。

攻击溯源技术通常会包括以下几个方面的内容:

数据包追踪:对每个数据包都进行记录,并存储在安全日志中。

数据包分析:对数据包的报文头和负载等信息进行分析和提取。

反制措施:根据分析结果,如果发现攻击行为,可以通过告警日志提醒管理员或者直接丢弃该报文,以起到保护系统安全的作用。

攻击溯源技术需要在网络设备上实现,例如交换机、路由器、防火墙等,可以使用一些软件工具或硬件设备来实现。同时,在实际应用中,针对不同的攻击方式和攻击场景,也需要采取不同的攻击溯源技术来提高安全性和精度。

192、ip-prefix属性不能被route-policy的apply语句直接引用

在路由策略的配置过程中,可以使用 ip-prefix 属性对某一特定的 IP 地址段进行定义,用于进行路由匹配和策略生成过程中的条件判断。但是,需要注意的是,该属性不能直接被 route-policy 的 apply 语句所引用。

实际上,在在 route-policy 中,只有 match、set、if-match 和 apply 四个命令可以直接操作 ip-prefix 属性。如果需要将 ip-prefix 属性应用到 route-policy 中,需要通过 match 命令将其与其他匹配条件进行组合,然后在 apply 命令中引用该组合条件

193、Portal定时器
(1)用户静默定时器:用来防止用户认证失败时频繁认证,形成了一种DoS攻击,浪费系统资源
(2)Portal服务器探测定时器:用来防止接入设备与Portal服务器之间出现网络故障导致通信中断或Portal服务器本身出现故障时,已经在线的Portal用户无法正常下线或新的Portal认证用户无法上线
(3)用户信息同步定时器:用来防止接入设备与Portal服务器之间出现网络故障导致通信中断或Portal服务器本身出现故障时,已经在线的Portal用户无法正常下线,造成接入设备与Portal服务器用户信息不一致以及计费不准确问题
(4)用户下线重传定时器:用来防止接入设备与Portal服务器之间的网络不稳定、存在丢包等现象时,Portal服务器接收不到接入设备发送的用户下线报文,出现用户在接入设备上显示已经下线,在Portal服务器上显示仍然在线的情况

在网络接入控制中,Portal认证技术是很重要的一项技术,它能够帮助网络管理员对接入用户进行身份认证和权限控制。为了保证Portal认证系统的正常运行,需要结合定时器技术来实现一些特定的功能。下面是Portal定时器的四种类型:

用户静默定时器:该定时器用于防止接入用户在认证失败后频繁尝试认证,从而造成DoS攻击和浪费系统资源。一般情况下,该定时器在用户第一次认证失败后开始计时,若在规定时间内再次收到用户的认证请求,则拒绝该请求。

Portal服务器探测定时器:该定时器用于防止接入设备与Portal服务器之间出现网络故障导致通信中断或Portal服务器本身出现故障时,已经在线的Portal用户无法正常下线或新的Portal认证用户无法上线。一般情况下,该定时器定期向Portal服务器发送心跳包,以检测Portal服务器的状态和故障情况。

用户信息同步定时器:该定时器用于防止接入设备与Portal服务器之间出现网络故障导致通信中断或Portal服务器本身出现故障时,已经在线的Portal用户无法正常下线,造成接入设备与Portal服务器用户信息不一致以及计费不准确问题。一般情况下,该定时器定期向Portal服务器发送用户在线信息,以保持接入设备和Portal服务器上的用户信息同步。

用户下线重传定时器:该定时器用于防止接入设备与Portal服务器之间的网络不稳定、存在丢包等现象时,Portal服务器接收不到接入设备发送的用户下线报文,出现用户在接入设备上显示已经下线,在Portal服务器上显示仍然在线的情况。一般情况下,该定时器在用户发送下线请求后开始计时,若未收到Portal服务器的确认信息,则重复发送下线请求。

194、在BGP进程中,Aggreate命令中的detail_suppressed关键字的作用是仅通告聚合路由给其他BGP邻居

在BGP网络中,聚合路由可以将IP地址范围较小的子网合并成一个更大的路由,以减轻路由表的负担和节省网络资源。在BGP进程中,可以使用Aggregate命令来实现聚合路由的配置。

Aggregate命令中的detail_suppressed关键字是可选项,它的作用是控制向其他BGP邻居通告聚合路由的详细信息。当使用detail_suppressed关键字时,BGP路由器仅会向其他BGP邻居通告聚合路由的基本信息,即网络号和掩码,而不会通告聚合路由中所包含的具体子网信息。

使用detail_suppressed关键字可以有效减少BGP路由表的大小,缓解BGP路由过度膨胀的问题,同时也能够提高BGP路由器的运行效率。在实际应用中,建议根据网络拓扑和路由策略的具体情况来决定是否要使用detail_suppressed关键字。

195、IS-IS中DIS的描述:
(1)在IS-IS广播网中,优先级为0的路由器也参与DIS的选举
(2)在IS-IS广播网中,DIS的选举是抢占模式
(3)DIS优先级数值最大的被选为DIS
(4)DIS发送HelloPDU的时间间隔是10秒(错误)

(1)在IS-IS广播网中,优先级为0的路由器也参与DIS的选举。
(2)在IS-IS广播网中,DIS的选举是抢占模式,即当有更高优先级的路由器出现时,会立即将DIS的角色移交给新的路由器。
(3)DIS优先级数值最大的被选为DIS。
(4)DIS发送Hello PDU的时间间隔通常是10秒,但可以通过配置来修改。

196、IGMP Proxy:
(1)IGMP Proxy可以与NQA联动检测链路状态,实现主备链路快速切换
(2)IGMP Proxy通常部署在接入设备的成员主机之间的设备上
(3)IGMP Proxy设备的下游接口通过成员主机加入离开组播组的信息
(4)IGMP Proxy设备不可以代替IGMP查询器向下游成员主机发送查询报文,维护组成员关系(错误)

(1) IGMP Proxy可以与NQA联动检测链路状态,实现主备链路快速切换。
(2) IGMP Proxy通常部署在接入设备(如交换机)和路由器之间,起到转发组播流量的作用。
(3) IGMP Proxy设备的下游接口通过监听成员主机加入和离开组播组的IGMP报文,实现对组播组成员的维护信息。
(4) IGMP Proxy设备可以代替IGMP查询器向下游成员主机发送查询报文来维护组成员关系。

197、IS-ISv6和OSPFv3可以应用于IPv6网络

IS-ISv6和OSPFv3都可以应用于IPv6网络。

在IPv6网络中,IS-ISv6和OSPFv3是两种常用的内部网关协议(IGP)。它们的作用是在网络中动态计算和维护路由表,以便将数据包转发到目的地。IS-ISv6是ISO制定的一种基于链路状态的路由协议,而OSPFv3则是由IETF制定的一种基于链路状态的路由协议。两者都支持IPV6协议,并且具有高效、可伸缩和快速收敛等特点,适用于不同规模和复杂度的IPv6网络。

在使用IS-ISv6和OSPFv3时,需要对网络进行配置,包括接口地址、区域范围、指标值等。此外,IS-ISv6和OSPFv3还支持各种路由策略,如负载均衡、路径选择、路由过滤等,使网络管理员能够更好地控制和管理IPv6网络。

198、管理员在配置VRRP时,抢占模式、抢占延时和虚拟路由器的优先级不是必须配置的
199、IS-IS协议所使用的NSAP地址主要由:AREA ID、SEL、SYSTEM ID

IS-IS协议使用NSAP地址(Network Service Access Point Address)来标识网络设备。NSAP地址是一种比IP地址更为复杂的地址格式,主要由以下三个部分组成:

AREA ID:用于标识一个IS-IS区域,它是全局唯一的,并且可以由数字或字符串表示。
SEL:用于选择一个网络服务。在IS-IS中,它被设置为0x47,表示选择ISO网络服务。
SYSTEM ID:用于标识网络设备。它通常由6个字节组成,其中前两个字节表示设备类型,后四个字节是设备的MAC地址或者产生的随机数。
在IS-IS中,每个路由器都会配置一个NSAP地址,用于在网络中识别自己。AREA ID和SYSTEM ID是每个设备独有的,而SEL则是固定的。通过NSAP地址,IS-IS协议可以区分不同的设备并确定它们所处的位置。

200、BFD应用正确的是
(1)单臂回声功能是指通过BFD报文的还回操作检测转发链路的连通性
(2)BFD与OSPF联动就是将BFD与OSPF关联起来,通过BFD对链路故障的快速感应进而通知OSPF,从而加快OSPF对于网络拓扑变化的响应
(3)BFD单跳检测是指对两个直连系统进行IP连通性检测
(4)BFD多跳检测是指BFD可以检测两个系统间的任意路径这些路径可跨越了很多跳也可能在某些部分重叠

(1) 单臂回声功能是指通过BFD报文的回显操作检测转发链路的连通性。这种方式可以在上层协议不支持BFD的情况下,通过模拟BFD报文的回显操作来检测链路的可用性和延迟情况。

(2) BFD与OSPF联动就是将BFD与OSPF关联起来,通过BFD对链路故障的快速感知进而通知OSPF,从而加快OSPF对于网络拓扑变化的响应。这种方式可以让网络更快地检测到故障,并迅速做出对应的路由调整。

(3) BFD单跳检测是指对两个直连系统进行IP连通性检测。这种方式可以在网络中快速检测到直连链路的故障,及时更新路由信息。

(4) BFD多跳检测是指BFD可以检测两个系统间的任意路径,即使这些路径跨越了很多跳也可能在某些部分重叠。这种方式可以检测整个路径是否可用,从而为网络提供更全面的连通性保障。

你可能感兴趣的:(网络安全学习笔记,笔记,网络,p2p)