一、题库介绍
页数:154P
题目:272道
题型:单选、多选、判断
二、题目分类
防火墙
Agile Controller
MPLS
DHCP
VRRP
LSR、LDP
QoS
三、解题思路
主要还是弄清楚各种概念后,理解记忆。
四、笔记细节
1)防火墙
安全等级
系统默认安全区域:local、trust、dmz、untrust
Local:100,Trust:85,DMZ:50,Untrust:5
Outbound:高密——低密(优先级数字大的到小的)
Inbound:低密——高密(反之)
默认的安全区域不能被删除,同时安全级别也不能被重置。
用户根据实际网络环境需要,自行配置相应安全区域并定义安全级别。安全级别一旦配置,也不能在被修改。
防火墙两个接口被划分到同一区域,接口间数据包流动必须经过滤处理
状态检测防火墙只需要对该连接的第一个数据包进行访问规则的匹配,该连接的后续报文直接在状态表中进行匹配。
处理非首包转发效率最高的:状态检测防火墙。
状态检测防火墙的主要特点:后续包处理性能优异。
2)NAT
Network Address Transform 网络地址转换
NAPT:Network Address Port Transform 网络地址端口转换
No-PAT:仅转换网络地址
no-pat参数的含义:不转换源端口
No-PAT支持网络层的协议地址转换
同一安全区域的主机和服务器之间互访,需要使用NAT进行地址转换
3)DHCP
Dynamic Host Configuration Protocol 动态主机配置协议
单播报文:DHCP OFFER、DHCP ACK
DHCP协议采用广播报文,如果出现多个子网则无法穿越,所以需要DHCP Relay设备,DHCP Relay设备可以是一台主机
DHCP OFFER报文的作用:服务器用来响应客户端的DHCP DISCOVERY报文,并指定相应的配置参数。
DHCP Snooping绑定表分为:动态绑定表、静态绑定表
DHCP Snooping区分信任端口和非信任端口,对非信任端口不处理DHCP Replay报文
二层上用DHCP Snooping,可以不配置Option82
4)MPLS
Multi-Protocol Label Switching:多协议标签交换
单个标签总长度为4个字节byte(32bits)
标签字段共有:20bits
标签中的TTL字段和IP分组中的TTL意义相同,也具有防止环路的作用。
标签转发表中,对于不同路由,下一跳相同,出标签一定不同
MPLS封装:帧模式(PPP、Ethernet)、信元模式(ATM)
关于MPLS转发流程中,Ingress节点转发:包含“Tunnel ID”不选
FEC:Forwarding Equivalence Classes 等价转发类
在MPLS网络中,可以由下游LSR决定将标签分配给特定FEC,再通知上游LSR。
LDP:Label Distribution Protocol 标签分发协议
LDP:openSent——openRec状态
在LDP的建立过程中,LSR分配标签时:有“DoD”的不正确
DU标签分发方式下,如果采用Liberal保持方式,则设备都会保留所有的LDP Peer发来的标签,无论该LDP Peer是否为到达目的网络的下一跳。
5)QoS
QoS:Quality of service 服务质量,是指网络通信中,允许用户业务在 丢包率、延迟、抖动和带宽等方面获得预期的服务水平的数据包控制技术。
目标:
1、避免网络拥塞
2、减少丢包率
3、防止数据包抖动,即调控网络两端的流量速率趋于平缓、相等的速率进行传输,不会出现数据包与数据包之间传输时间的不一致
4、为特定用户或服务提供专用带宽
5、支撑网络上的实施业务
IP QOS的三种模型:
1、Best-Effort模型,尽力而为,主要技术是队列技术中默认的FIFO先进先出队列技术
2、IntServ模型,在流量的沿途所有设备上预留资源通道来保障流量的服务,浪费较为严重,并且需要沿途设备都支持此功能。
3、DiffServ模型,差分服务模型。区分不同的流量来进行不同的策略控制,并且只需要在本地设备或接口上配置即可,本地有效,只作用于本地设备的转发,不需要沿途设备的资源预留,哪里需要就在哪里进行配 置,目前最常用和实用的QOS模型。
QoS中,Differentiated Service与Integrated Service的主要区别是:
在Differentiated Service无须为每个流维护状态信息
Differentiated Service适合于在大型骨干网络上应用
6)ASPF
aspf(application specific packet filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。
servermap表项由ASPF(Application specific packet filter)通过动态创建用于保证多通道协议应用的正常。servermap表项主要由(三元组)目的地址、目的端口、协议类型组成。
7)NFV
NFV:Network Foundation Virtualization网络功能虚拟化
NFV具备哪些优点:
减少设备成本,能源开销
缩短网络运营业务创新周期
单一平台为不同应用,为租户提供服务
8)VRRP
VRRP:Virtual Router Redundancy Protocol 虚拟路由冗余协议
VRRP slave设备描述
当Slave收到Master发送的VRRP报文时,可判断Master的状态是否正常
当收到优先级为0的VRRP报文时,Slave会直接切换为Master
Slave会丢弃目的MAC地址为虚拟MAC地址的IP报文
SDN:Software Defined Network
SDN网络体系架构:协同应用层、控制层、转发层
SDN工作过程:拓扑信息搜集、网元资源信息收集、生成内部交换路由
数据采集的方法:分光器物理采集、通过端口镜像采集、NMS集中采集
网络管理的主要目标:有“减少”的不选
IPv4报文简单流分类依据:DSCP、IP Precedence
IP Precedence取值,immediate:2,critical:5
对于标签,简单流分类:MPLS EXP
Diff-Serv用DSCP最多可以定义:64
DSCP(ToS域的前6位)最多可将报文分成几类:64
TCP/IP V4存在安全信息隐患:缺乏数据源验证机制、缺乏对数据完整性的验证机制、缺乏机密性保障机制
eSight网元发现方式支持协议:SNMP、ICMP
不属于华为eSight创建的缺省角色(Administrator、Monitor、Operator):End-User
多通道协议:FTP、H.323
不属于Overlay VPN模型:L2TP
X)全选
RT描述正确的