技術問答:
一、DR和BDR選舉的過程
DR和BDR的選舉是根據優先級來確定的,優先級越大約有可能成爲DR,如果優先級相同,那麼久根據router—id的大小來選舉,越大約有可能成爲DR
1. 在和鄰居建立雙向通信之後,檢查鄰居的Hello包中Priority,DR和BDR字段,列出所有可以參與DR/BDR選舉的鄰居.所有的路由器聲明它們自己就是DR/BDR(Hello包中DR字段的值就是它們自己的接口地址;BDR字段的值就是它們自己的接口地址)
2. 從這個有參與選舉DR/BDR權的列表中,創建一組沒有聲明自己就是DR的路由器的子集(聲明自己是DR的路由器將不會被選舉爲BDR)
3. 如果在這個子集裏,不管有沒有宣稱自己就是BDR,只要在Hello包中BDR字段就等於自己接口的地址,優先級最高的就被選舉爲BDR;如果優先級都一樣,RID最高的選舉爲BDR
4. 如果在Hello包中DR字段就等於自己接口的地址,優先級最高的就被選舉爲DR;如果優先級都一樣,RID最高的選舉爲DR;如果沒有路由器宣稱自己就是DR,那麼新選舉的BDR就成爲DR
5. 要注意的是,當網絡中已經選舉了DR/BDR後,又出現了1臺新的優先級更高的路由器,DR/BDR是不會重新選舉的
6. DR/BDR選舉完成後,其他Rother只和DR/BDR形成鄰接關係.所有的路由器將組播Hello包到224.0.0.5,以便它們能跟蹤其他鄰居的信息.其他Rother只組播update packet到224.0.0.6,只有DR/BDR監聽這個地址 .一旦出問題,反過來,DR將使用224.0.0.5泛洪更新到其他路由器
二、ospf有啥優缺點
ospf 最短路徑有先,是一個內部網管協議
ospf工作原理: 每臺路由器通過使用hello報文與它的鄰居簡歷鄰接關係;每臺路由器向每個鄰居發送鏈路狀態通告(LSA),有時間建鏈路狀態報文(LSP),每個鄰居在收到LSP後一次向它的鄰居轉發LSP(泛洪);每臺路由器要在數據庫中保存一份他所收到的LSP的備份,所有路由器的數據庫應該相同;依據拓撲數據庫每臺路由器使用DIjkstra算法(SPF算法),計算出每個網絡中最短的路勁,並將結果輸出到路由表。
OSPF的簡化原理:發Hello報文——建立鄰接關係——形成鏈路狀態數據庫——SPF算法——形成路由表。
OSPF 特徵:1.快速適應網絡變化
2.在網絡發生變化時,發送觸發更新
3.以較低的頻率(每30分鐘)發送定期更新,這被稱爲鏈路狀態刷新
4.支持不連續子網和CIDR
5.支持手動路由彙總
6.收斂時間短
7.採用Cost作爲度量值
8.使用區域概念,這可有效的減少協議對路由器的CPU和內存的佔用.
9.有路由驗證功能,支持等價負載均衡
三、OSPF路由器在完全鄰接之前,所經過的幾個狀態:
1.Down: 初始化狀態
2.Attempt: 只適於NBMA網絡,在NBMA網絡中鄰居是手動指定的,在該狀態下,路由器將使用HelloInterval取代PollInterval來發送Hello包
3.Init: 表明在DeadInterval裏收到了Hello包,但是2-Way通信仍然沒有建立起來
4.two-way: 雙向會話建立
5.ExStart: 信息交換初始狀態,在這個狀態下,本地路由器和鄰居將建立Master/Slave關係,並確定DD Sequence Number,接口等級高的的成爲Master
6.Exchange: 信息交換狀態,本地路由器向鄰居發送數據庫描述包,並且會發送LSR用於 請求新的LSA
7.Loading: 信息加載狀態,本地路由器向鄰居發送LSR用於請求新的LSA
8.Full: 完全鄰接狀態,這種鄰接出現在Router LSA和Network LSA中
四、防火牆與路由器區別
①兩種設備產生的根源不同
路由器的產生是基於對網絡數據包路由而產生的。路由器需要完成的是將不同網絡的數據包進行有效的路由,至於爲什麼路由、是否應該路由、路由過後是否有問題等根本不關心,所關心的是:能否將不同的網段的數據包進行路由從而進行通訊。
防火牆是產生於人們對於安全性的需求。數據包是否可以正確的到達、到達的時間、方向等不是防火牆關心的重點,重點是這個(一系列)數據包是否應該通過、通過後是否會對網絡造成危害。
②根本目的不同
路由器的根本目的是:保持網絡和數據的“通”。
防火牆根本的的目的是:保證任何非允許的數據包“不通”。
Cisco路由器核心的ACL列表是基於簡單的包過濾,從防火牆技術實現的角度來說,NetEye防火牆是基於狀態包過濾的
五、SSLVPN與ipsecVPN 區別
1、IPsec VPN多用於“網—網”連接,SSL VPN用於“移動客戶—網”連接。SSL VPN的移動用戶使用標準的瀏覽器,無需安裝客戶端程序,即可通過SSL VPN隧道接入內部網絡;而IPSec VPN的移動用戶需要安裝專門的IPSec客戶端軟件。
2、SSL VPN是基於應用層的VPN,而IPsec VPN是基於網絡層的VPN。IPsec VPN對所有的IP應用均透明;而SSL VPN保護基於Web的應用更有優勢,當然好的產品也支持TCP/UDP的C/S應用,例如文件共享、網絡鄰居、Ftp、Telnet、Oracle等。
3、SSL VPN用戶不受上網方式限制,SSL VPN隧道可以穿透Firewall;而IPSec客戶端需要支持“NAT穿透”功能才能穿透Firewall,而且需要Firewall打開UDP500端口。
4、SSL VPN只需要維護中心節點的網關設備,客戶端免維護,降低了部署和支持費用。而IPSec VPN需要管理通訊的每個節點,網管專業性較強。
5、SSL VPN 更容易提供細粒度訪問控制,可以對用戶的權限、資源、服務、文件進行更加細緻的控制,與第三方認證系統(如:radius、AD等)結合更加便捷。而IPSec VPN主要基於IP組對用戶進行訪問控制。