- 請寫出 568A 與 568B 的線序:
568B 橙白 橙 綠白 藍 藍白 綠 棕白 棕
568A 綠白 綠 橙白 藍 藍白 橙 棕白 棕
路由管理距離的作用?rip ,ospf、 igrp, 內部eigrp, 外部eigrp,外部bgp 管理距離是多少?
管理距離用來表示路由協議的可信度,也就是說,當有兩條以上來自不同路由協議且到達相同網段的路由時,管理距離小,他的優先級就越高,rip管理距離120,ospf 110 igrp100 eigrp 90 外部eigrp 170 外部bgp 200
3.請寫出下列服務使用的默認端口 POP3、SMTP、FTP:
POP3 110 ,SMTP 25, FTP 21(20)
4.網卡 MAC 是由 6 組什麼組成的?
有 16 進制數據組成,前三組表示廠商,有 IEEE 來分配,並可以在細分,後三 組表示該制 造商所製造的某個網絡產品(如網卡)的系列號。
5.ISO/OSI 7 層模型是什麼應用層:
表示層,會話層,傳輸層,網絡層,數據鏈路層,物理層
6.C/S、B/S 的含義 :
C/S 表示客戶端/服務器的模式 C 是 client,s 是 server。B/S 是基於瀏覽
7.RFC950 定義了什麼?:
RFC950 定義了 IP 的策略(分配策略),應用等規範。
8.綜合佈線包括什麼 綜合佈線包括六大子系統: 建築羣連接子系統
設備連接子系統 幹線(垂直)子系統 管理子系統 水平子系統 工作區子系統
含 網絡佈線系統,監控系統,閉路電視系統
9.路由器和交換機屬於幾層設備.
路由器屬於三層設備,交換機(通常所指的)屬於二層設備 - 對路由知識的掌握情況,對方提出了一個開放式的問題:簡單說明一下你所瞭解的路由 協議。 路由可分爲靜態&動態路由。靜態路由由管理員手動維護;動態路由由路由協議自動維護。 路由選擇算法的必要步驟:1、向其它路由器傳遞路由信息;2、接收其它路由器的路由信息;
3、根據收到的路由信息計算出到每個目的網絡的最優路徑,並由此生成路由選擇表;4、根 據網絡拓撲的變化及時的做出反應,調整路由生成新的路由選擇表,同時把拓撲變化以路由 信息的形式向其它路由器宣告。
兩種主要算法:距離向量法(Distance Vector Routing)和鏈路狀態算法(Link-State Routing)。
由此可分爲距離矢量(如:RIP、IGRP、EIGRP)&鏈路狀態路由協議(如:OSPF、IS-IS)。 路由協議是路由器之間實現路由信息共享的一種機制,它允許路由器之間相互交換和維護各 自的路由表。當一臺路由器的路由表由於某種原因發生變化時,它需要及時地將這一變化通 知與之相連接的其他路由器,以保證數據的正確傳遞。路由協議不承擔網絡上終端用戶之間 的數據傳輸任務。
- 什麼是 Cache 什麼是 Buffer?區別是什麼? cache,直譯是高速緩存存儲器,有硬件來實現。起到設備間處理速度協調作 用。例如 CPU 的 L2,L1,內存的作用等。
buffer,直譯是緩衝區,有軟件在 RAM 中實現。起到加快響應速度的作用。例 如:WEB 緩存,各個應用軟件中的緩存,隊列。
共同點都是在 RAM 中實現,但實現的方式不一樣。 - 什麼是 MBR
MBR,master boot record,主引導記錄。引導 OS 作用的。 - 你在局域網內想獲得 IP 192.168.1.2 的 MAC,在 XP 系統的命令提示符中如何操作?
先 ping 192.168.1.2 在用 ARP -a 命令查看 arp 列表即可獲得 [可用 nbtstat -a 192.168.1.2 一次 獲得] - 查看編輯本地策略,可以在開始/運行中輸入什麼
gpedit.msc - 將 FAT32 轉換爲 NTFS 分區的命令是什麼
convert x: /fs:ntfs x:表示要轉換的分區 - 手動更新 DHCP 分配的 IP 地址是什麼
ipconfig /renew - OSPF的RID如何選舉?
環回口最大IP,沒有環回,物理接口的最大IP,如果管理員指定的話,指什麼就是什麼。 - OSPF的DR、BDR如何選舉:?
優先級最大的是DR,默認優先級都是1,所以默認RID最大的是DR,第二大的是BDR,如果優先級爲0,表示放棄資格,只能是DRother。注意:受DEAD時間影響。 - QQ 等即時消息軟件採用的基本網絡傳輸協議是什麼?
採用的是 UDP 和 TCP 協議,QQ 主要採用 UDP,在某些情況下采用 TCP,即時消息多數採用
UDP 協議 - 什麼是度量值?作用?
度量值是判斷某一路由到達的網絡最佳路徑方法,如果有多條到達相同的路由,路由器會計算出一個值,這個值就是metric度量值,值越小,這條路徑就最佳,路由器會將最佳路徑放入路由表 -
簡述ospf幾類LSA
1類,叫router-LSA,所有路由器都會產生,用於在域內發送LSA。
2類叫network-LSA,用於在域內由DR發送LSA。
3類叫network-sumary-LSA是ABR用於在相鄰的兩個域之間相互傳遞各區域彙總的LSA。
4類叫ASBR-SUMARY-LSA,是ABR向和ASBR不在一個區域的成員發出的,用於指出誰是ASBR。
5類叫ASBR-EXT-LSA是由ASBR向整個OSPF協議域發出的用於描述外部協議路由的,如RIP。
7類,是NSSA區域中的ASBR用來向NSSA區域中發送外部路由的。 - 簡述計算機從加電到啓動系統時主板的工作流程,
按照屏幕顯示順序描述加電--[自檢]---BIOS信息---顯卡的參數--CPU的參數--內存的參數--硬盤 的 參數---光驅的參數---顯示PCI等主板的其他的I/O等參數----(如果有RAID卡這 步應該會顯示)----BIOS將更新ESCD最後給出(Verifying DMI Poll
DATA...........Update Success)字樣---讀取MBR記錄-----調用NTLDR做一系列 操作(這時的控制權從BIOS移交到硬盤/OS)---讀取boot.ini文件(顯示操作系 統選擇菜單)進入給定的操作---等等一系列操作都屬於操作系統的部分了,不在 這個問題的範圍---最終看到桌面
- 電腦開機時主機內發出嘀嘀的鳴叫聲,且顯示器無任何信號,此現象可能是哪方面所導 致,怎樣處理? 可能是內存問題導致,一般是內存鬆動,灰塵較多。可以做清掃灰塵,從新插 好內存等操作。根據不同的鳴叫身也可以判斷是其他硬件等問題
- 如果電腦的系統癱瘓(XP系統盤爲C),正常啓動無法進入系統,而C盤中又有重要文件, 請問有幾種拯救方法,該如何操作? 可能是內存問題導致,一般是內存鬆動,灰塵較多。可以做清掃灰塵,從新插 好內存等操作。根據不同的鳴叫身也可以判斷是其他硬件等問題
- 重裝系統格式化C盤之前該注意哪些方面?(系統可運行前提) 磁盤空間允許最好備份整個windows目錄。主要備份program files 目錄,我的文檔目錄, documents and settings目錄。另:備份一些軟件的安裝信息等。
- 如何設置寬帶路由器(基本步驟)
寬帶路由的設置,不復雜關鍵就幾個步驟 :設置好撥號屬性,一般都是PPPOE,ISP提供的用 戶名密碼等 ;設置好內網的合法IP地址 ;建議啓動防火牆功能。 - 什麼是VLAN,如何在CISCO交換機增加一個VLAN,又如何刪除? VLAN又稱虛擬局域網,是指在網絡層對局域網進行劃分,一個VLAN組成一個邏輯子網,即 一個獨立的廣播域,各子網自己產生的廣播網絡流量被限制在各子網內部,降低數據幀的碰 撞率,它可以覆蓋多個網絡設備,允許處於不同地理位置的網絡用戶加入到一個邏輯子網 中.在CISCO交換機中增加一個VLAN 2如下命令:
Switch>enable Switch#vlan database Switch(vlan)#vlan 2
Switch(vlan)#exit
//以下設置vlan端口:
Switch(config)#int e0/6 //設置端口6從屬vlan 2
Switch1(config-if)#vlan-membership static 2
Switch#vlan database
Switch(vlan)#no vlan 2
Switch(vlan)#exit
Switch>no int vlan 2t - 磁盤RAID級別有幾種,分別是哪幾種?你瞭解或者使用過哪幾種,請寫出它們的大概描 述和區別。 RAID級別有以下幾種:NRAID,JBOD,RAID0,RAID1,RAID0+1,RAID3,RAID5等。目前經 常使用的是RAID0,RAID1,RAID3,RAID5和RAID(0+1)。它們的區別大致如下:
RAID 0 存取速度最快 但沒有容錯
RAID 1 完全容錯但成本比較高,磁盤利用率爲50% RAID 3 寫入性能最好 但沒有多任務功能
RAID 5 具備多任務及容錯功能寫入時有overhead
RAID 0+1 速度快、完全容錯但成本高 - 知道現在流行的SAN網絡平臺嗎?它主要是爲計算機的哪個領域提出的一個解決方
案?
SAN 是指存儲區域網絡,它是一種高速網絡或子網絡,提供在計算機與存儲系統之間的數據 傳輸。一個 SAN 網絡由負責網絡連接的通信結構、負責組織連接的管理層、存儲部件以及 計算機系統構成,從而保證數據傳輸的安全性和力度。
- 請說出幾種動態路由協議,並談談動態路由和靜態路由的區別 動態路由協議的種類:
(1)RIP 路由協議
RIP 協議最初是爲 Xerox 網絡系統的 Xerox parc 通用協議而設計的,是 Internet 中常用的 路由協議。RIP 採用距離向量算法,即路由器根據距離選擇路由,所以也稱爲距離向量協議。 路由器收集所有可到達目的地的不同路徑,並且保存有關到達每個目的地的最少站點數的路 徑信息,除到達目的地的最佳路徑外,任何其它信息均予以丟棄。同時路由器也把所收集的 路由信息用 RIP 協議通知相鄰的其它路由器。這樣,正確的路由信息逐漸擴散到了全網。
RIP 使用非常廣泛,它簡單、可靠,便於配置。但是 RIP 只適用於小型的同構網絡,因 爲它允許的最大站點數爲 15,任何超過 15 個站點的目的地均被標記爲不可達。而且 RIP 每 隔 30s 一次的路由信息廣播也是造成網絡的廣播風暴的重要原因之一。
(2)OSPF 路由協議
0SPF 是一種基於鏈路狀態的路由協議,需要每個路由器向其同一管理域的所有其它路 由器發送鏈路狀態廣播信息。在 OSPF 的鏈路狀態廣播中包括所有接口信息、所有的量度和 其它一些變量。利用 0SPF 的路由器首先必須收集有關的鏈路狀態信息,並根據一定的算法 計算出到每個節點的最短路徑。而基於距離向量的路由協議僅向其鄰接路由器發送有關路由 更新信息。
與 RIP 不同,OSPF 將一個自治域再劃分爲區,相應地即有兩種類型的路由選擇方式: 當源和目的地在同一區時,採用區內路由選擇;當源和目的地在不同區時,則採用區間路由 選擇。這就大大減少了網絡開銷,並增加了網絡的穩定性。當一個區內的路由器出了故障時 並不影響自治域內其它區路由器的正常工作,這也給網絡的管理、維護帶來方便。
(3)BGP 和 BGP4 路由協議
BGP 是爲 TCP/IP 互聯網設計的外部網關協議,用於多個自治域之間。它既不是基於純 粹的鏈路狀態算法,也不是基於純粹的距離向量算法。它的主要功能是與其它自治域的 BGP 交換網絡可達信息。各個自治域可以運行不同的內部網關協議。BGP 更新信息包括網絡號/ 自治域路徑的成對信息。自治域路徑包括到達某個特定網絡須經過的自治域串,這些更新信 息通過 TCP 傳送出去,以保證傳輸的可靠性。
爲了滿足 Internet 日益擴大的需要,BGP 還在不斷地發展。在最新的 BGP4 中,還可以 將相似路由合併爲一條路由。
(4)IGRP 和 EIGRP 協議
EIGRP 和早期的 IGRP 協議都是由 Cisco 發明,是基於距離向量算法的動態路由協議。 EIGRP(Enhanced Interior Gateway Routing Protocol)是增強版的 IGRP 協議。它屬於動態內部網 關路由協議,仍然使用矢量-距離算法。但它的實現比 IGRP 已經有很大改進,其收斂特性 和操作效率比 IGRP 有顯著的提高。
它的收斂特性是基於 DUAL ( Distributed Update Algorithm ) 算法的。DUAL 算法使得路徑 在路由計算中根本不可能形成環路。它的收斂時間可以與已存在的其他任何路由協議相匹 敵。
Enhanced IGRP 與其它路由選擇協議之間主要區別包括:收斂寬速(Fast Convergence)、 支持變長子網掩模(Subnet Mask)、局部更新和多網絡層協議。執行 Enhanced IGRP 的路由 器存儲了所有其相鄰路由表,以便於它能快速利用各種選擇路徑(Alternate Routes)。如果
沒有合適路徑,Enhanced IGRP 查詢其鄰居以獲取所需路徑。直到找到合適路徑,Enhanced
IGRP 查詢纔會終止,否則一直持續下去。
EIGRP 協議對所有的 EIGRP 路由進行任意掩碼長度的路由聚合,從而減少路由信息傳 輸,節省帶寬。另外 EIGRP 協議可以通過配置,在任意接口的位邊界路由器上支持路由聚 合。
EIGRP 不作週期性更新。取而代之,當路徑度量標準改變時,Enhanced IGRP 只發送局 部更新(Partial Updates)信息。局部更新信息的傳輸自動受到限制,從而使得只有那些需 要信息的路由器纔會更新。基於以上這兩種性能,因此 Enhanced IGRP 損耗的帶寬比 IGRP 少得多。
使用增強的內部網關路由選擇協議,一個路由器保持一份它的鄰近路由器的路由表副 本。如果它不能從這些表中找到一條到達目的地的路由,它向它的鄰近路由器詢問一個路由 並且它們輪流詢問它們的鄰近的路由器直到找到一個路由。爲了保持所有的路由器注意鄰近 路由器的狀態,每個路由器定時發出“握手”信息包。一個在一定時間間隔內沒有收到“握手” 信息包的路由器被認爲是無效的。
靜態路由是指路由表由網絡管理人員手動設定的一種路由方式。靜態路由的好處是網絡 尋址快捷,適用於網絡變動不大的網絡系統。
動態路由是指路由表不是由網絡管理人員手動設定,而是由路由器通過端口進行地址學 習自動生成路由表的方式。動態路由的好處是對網絡變化的適應性強,適用於網絡環境變化 大的網絡系統。
在一個路由器中,可同時配置靜態路由和一種或多種動態路由。它們各自維護的路由表 都提供給轉發程序,但這些路由表的表項間可能會發生衝突。這種衝突可通過配置各路由表 的優先級來解決。通常靜態路由具有默認的最高優先級,當其它路由表表項與它矛盾時,均 按靜態路由轉發。
- RIP 版本 1 跟版本 2 的區別?
答:①RIP-V1 是有類路由協議,RIP-V2 是無類路由協議②RIP-V1 廣播路由更新,RIP-V2 組播 路由更新③RIP-V2 路由更新所攜帶的信息要比 RIP-V1 多
32.描述 RIP 和 OSPF,它們的區別、特點
RIP 協議是一種傳統的路由協議,適合比較小型的網絡,但是當前 Internet 網絡的迅速發展 和急劇膨脹使 RIP 協議無法適應今天的網絡。
OSPF 協議則是在 Internet 網絡急劇膨脹的時候制定出來的,它克服了 RIP 協議的許多缺陷。
RIP 是距離矢量路由協議;OSPF 是鏈路狀態路由協議。
RIP&OSPF 管理距離分別是:120 和 110
1.RIP 協議一條路由有 15 跳(網關或路由器)的限制,如果一個 RIP 網絡路由跨越超過 15
跳(路由器),則它認爲網絡不可到達,而 OSPF 對跨越路由器的個數沒有限制。
2.OSPF 協議支持可變長度子網掩碼(VLSM),RIP 則不支持,這使得 RIP 協議對當前 IP 地 址的缺乏和可變長度子網掩碼的靈活性缺少支持。
3.RIP 協議不是針對網絡的實際情況而是定期地廣播路由表,這對網絡的帶寬資源是個極 大的浪費,特別對大型的廣域網。OSPF 協議的路由廣播更新只發生在路由狀態變化的時候, 採用 IP 多路廣播來發送鏈路狀態更新信息,這樣對帶寬是個節約。
4.RIP 網絡是一個平面網絡,對網絡沒有分層。OSPF 在網絡中建立起層次概念,在自治域 中可以劃分網絡域,使路由的廣播限制在一定的範圍內,避免鏈路中繼資源的浪費。
5.OSPF 在路由廣播時採用了授權機制,保證了網絡安全。
上述兩者的差異顯示了 OSPF 協議後來居上的特點,其先進性和複雜性使它適應了今天日趨
龐大的 Internet 網,併成爲主要的互聯網路由協議
- HSRP 是什麼?它是如何工作的?
答:HSRP 是熱備份路由協議,思科專有。通過 HSRP,一組路由器可以一起協同工作,來代 表一臺虛擬路由器,備份組像一臺路由器一樣工作,一個虛擬 IP 地址和 MAC 地址,從末端 主機來看,虛擬主路由器是一臺有自己 IP 地址和 MAC 地址的路由器,它不同於實際物理路 由器,那麼該組中一臺路由器失效則另一臺路由器接替工作,路由選擇照常。 - 介紹一下 ACL 和 NAT?NAT 有幾種方式?
ACL:1、訪問控制列表(ACL)是應用在路由器接口的指令列表(規則),用來告訴路由器 哪些數據包可以接收轉發,哪些數據包需要拒絕;2、ACL 的工作原理 :讀取第三層及第四 層包頭中的信息,根據預先定義好的規則對包進行過濾;3、使用 ACL 實現網絡控制:實現 訪問控制列表的核心技術是包過濾;4、ACL 的兩種基本類型(標準訪問控制列表;擴展訪 問控制列表)
NAT:改變 IP 包頭使目的地址,源地址或兩個地址在包頭中被不同地址替換。 靜態 NAT、動態 NAT、PAT
- STP 協議的主要用途是什麼?爲什麼要用 STP
主要用途:1、STP 通過阻塞冗餘鏈路,來消除橋接網絡中可能存在的路徑迴環;2、當前活 動路徑發生故障時,STP 激活冗餘鏈路恢復網絡連通性。 原因:交換網絡存在環路時引起:廣播環路(廣播風暴);橋表損壞 - 、*** 有三種解決方案,用戶可以根據自己的情況進行選擇。這三種解決方案分別是: 遠程訪問虛擬網(Access*** )、企業內部虛擬網(Intranet*** )和企業擴展虛擬網
(Extranet***),這三種類型的 *** 分別與傳統的遠程訪問網絡、企業內部的 Intranet 以及 企業網和相關合作夥伴的企業網所構成的 Extranet 相對應。
※以思科路由器爲例,你寫下單臂路由的配置命令? 答:router(config)#interface f0/1.1
router(config-if)#encapsulation dotlQ 100 router(config-if)#ip add 192.168.1.1 255.255.255.0 router(config-if)#no shutdown
router(config-if)#interface f0/1.2 router(config-if)#i encapsulation dotlQ 200 router(config-if)#i ip add 192.168.2.1 255.255.255.0 router(config-if)#no shutdown - 什麼是 ***?
***(V irtual Private Network):虛擬專用網絡,是一門網絡新技術,爲我們提供了一種通過 公用網絡安全地對企業內部專用網絡進行遠程訪問的連接方式。 -
*** 的加密技術。*** 採用何種加密技術依賴於 *** 服務器的類型,因此可以分爲兩種 情況。
1、對於 PPTP 服務器,將採用 MPPE 加密技術 MPPE 可以支持 40 位密鑰的標準加密方案和
128 位密鑰的增強加密方案。只有在 MS-CHAP、MS- CHAP v2 或 EAP/TLS 身份驗證被協商之 後,數據才由 MPPE 進行加密,MPPE 需要這些類型的身份驗證生成的公用客戶和服務器密 鑰。2、對於 L2TP 服務器,將使用 IPSec 機制對數據進行加密 IPSec 是基於密碼學的保護服 務和安全協議的套件。IPSec 對使用 L2TP 協議的 *** 連接提供機器級身份驗證和數據加密。 在保護密碼和數據的 L2TP 連接建立之前,IPSec 在計算機及其遠程 *** 服務器之間進行協 商。IPSec 可用的加密包括 56 位密鑰的數據加密標準 DES 和 56 位密鑰的三倍 DES(3DES) - *** 的身份驗證方法:1、PPP 的身份驗證方法;2、CHAP:CHAP 通過使用 MD5(一種 工業標準的散列方案)來協商一種加密身份驗證的安全形式。CHAP 在響應時使用質詢-響應 機制和單向 MD5 散列。用這種方法,可以向服務器證明客戶機知道密碼,但不必實際地將 密碼發送到網絡上。3、MS- CHAP:同 CHAP 相似,微軟開發 MS-CHAP 是爲了對遠程 Windows 工作站進行身份驗證,它在響應時使用質詢-響應機制和單向加密。而且 MS- CHAP 不要求使 用原文或可逆加密密碼。4、MS-CHAP v2:MS-CHAP v2 是微軟開發的第二版的質詢握手身份 驗證協議,它提供了相互身份驗證和更強大的初始數據密鑰,而且發送和接收分別使用不同 的密鑰。如果將 *** 連接配置爲用 MS-CHAP v2 作爲唯一的身份驗證方法,那麼客戶端和服 務器端都要證明其身份,如果所連接的服務器不提供對自己身份的驗證,則連接將被斷開。
5、EAP:EAP 的開發是爲了適應對使用其他安全設備的遠程訪問用戶進行身份驗證的日益增 長的需求。通過使用 EAP,可以增加對許多身份驗證方案的支持,其中包括令牌卡、一次性 密碼、使用智能卡的公鑰身份驗證、證書及其他身份驗證。對於 *** 來說,使用 EAP 可以 防止暴力或詞典***及密碼猜測,提供比其他身份驗證方法(例如 CHAP)更高的安全性。
6、在 Windows 系統中,對於採用智能卡進行身份驗證,將採用 EAP 驗證方法;對於通過密 碼進行身份驗證,將採用 CHAP、MS-CHAP 或 MS- CHAP v2 驗證方法。 - VLAN 和 *** 有什麼區別?分別實現在 OSI 的第幾層?
*** 是一種三層封裝加密技術,VLAN 則是一種第二層的標誌技術(儘管 ISL 採用封裝),盡 管用戶視圖有些相象,但他們不應該是同一層次概念。
VLAN(V irtual Local Area Network)即虛擬局域網,是一種通過將局域網內的設備邏輯地而 不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
VLAN 在交換機上的實現方法,可以大致劃分爲 2 大類:基基於端口劃分的靜態 VLAN;2、 基於 MAC 地址|IP 等劃分的動態 VLAN。當前主要是靜態 VLAN 的實現。
跨交換機 VLAN 通訊通過在 TRUNK 鏈路上採用 Dot1Q 或 ISL 封裝(標識)技術。 ***(虛擬專用網)被定義爲通過一個公用網絡(通常是因特網)建立一個臨時的、安全的 連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。
*** 使用三個方面的技術保證了通信的安全性:隧道協議、數據加密和身份驗證。
■*** 使用兩種隧道協議:點到點隧道協議(PPTP)和第二層隧道協議(L2TP)。
■*** 採用何種加密技術依賴於 *** 服務器的類型,因此可以分爲兩種情況。
對於 PPTP 服務器,將採用 MPPE 加密技術 MPPE 可以支持 40 位密鑰的標準加密方案和 128 位密鑰的增強加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份驗證被協商之後, 數據才由 MPPE 進行加密,MPPE 需要這些類型的身份驗證生成的公用客戶和服務器密鑰。 對於 L2TP 服務器,將使用 IPSec 機制對數據進行加密 IPSec 是基於密碼學的保護服務和安全 協議的套件。IPSec 對使用 L2TP 協議的 *** 連接提供機器級身份驗證和數據加密。在保 護密碼和數據的 L2TP 連接建立之前,IPSec 在計算機及其遠程 *** 服務器之間進行協商。 IPSec 可用的加密包括 56 位密鑰的數據加密標準 DES 和 56 位密鑰的三倍 DES (3DES)。
■*** 的身份驗證方法
前面已經提到 *** 的身份驗證採用 PPP 的身份驗證方法,下面介紹一下 *** 進行身份驗證 的幾種方法。
CHAP CHAP 通過使用 MD5(一種工業標準的散列方案)來協商一種加密身份驗證的安全形 式。CHAP 在響應時使用質詢-響應機制和單向 MD5 散列。用這種方法,可以向服務器證明 客戶機知道密碼,但不必實際地將密碼發送到網絡上。
MS-CHAP 同 CHAP 相似,微軟開發 MS-CHAP 是爲了對遠程 Windows 工作站進行身份驗證, 它在響應時使用質詢-響應機制和單向加密。而且 MS-CHAP 不要求使用原文或可逆加密密 碼。
MS-CHAP v2 MS-CHAP v2 是微軟開發的第二版的質詢握手身份驗證協議,它提供了相互身份 驗證和更強大的初始數據密鑰,而且發送和接收分別使用不同的密鑰。如果將 *** 連接配 置爲用 MS-CHAP v2 作爲唯一的身份驗證方法,那麼客戶端和服務器端都要證明其身份,如 果所連接的服務器不提供對自己身份的驗證,則連接將被斷開。
EAP EAP 的開發是爲了適應對使用其他安全設備的遠程訪問用戶進行身份驗證的日益增長 的需求。通過使用 EAP,可以增加對許多身份驗證方案的支持,其中包括令牌卡、一次性 密碼、使用智能卡的公鑰身份驗證、證書及其他身份驗證。對於 *** 來說,使用 EAP 可以 防止暴力或詞典***及密碼猜測,提供比其他身份驗證方法(例如 CHAP)更高的安全性。 在 Windows 系統中,對於採用智能卡進行身份驗證,將採用 EAP 驗證方法;對於通過密碼 進行身份驗證,將採用 CHAP、MS-CHAP 或 MS-CHAP v2 驗證方法。
- 什麼是靜態路由?什麼是動態路由?各自的特點是什麼?
靜態路由是由管理員在路由器中手動配置的固定路由,路由明確地指定了包到達目的地必須 經過的路徑,除非網絡管理員干預,否則靜態路由不會發生變化。靜態路由不能對網絡的改 變作出反應,所以一般說靜態路由用於網絡規模不大、拓撲結構相對固定的網絡。 靜態路由特點
1、它允許對路由的行爲進行精確的控制;
2、減少了網絡流量;
3、是單向的;
4、配置簡單。 動態路由是網絡中的路由器之間相互通信,傳遞路由信息,利用收到的路由信息更新路由器 表的過程。是基於某種路由協議來實現的。常見的路由協議類型有:距離向量路由協議(如 RIP)和鏈路狀態路由協議(如 OSPF)。路由協議定義了路由器在與其它路由器通信時的一 些規則。動態路由協議一般都有路由算法。其路由選擇算法的必要步驟
1、向其它路由器傳遞路由信息;
2、接收其它路由器的路由信息;
3、根據收到的路由信息計算出到每個目的網絡的最優路徑,並由此生成路由選擇表;
4、根據網絡拓撲的變化及時的做出反應,調整路由生成新的路由選擇表,同時把拓撲變化 以路由信息的形式向其它路由器宣告。
動態路由適用於網絡規模大、拓撲復雜的網絡。 動態路由特點:
1、無需管理員手工維護,減輕了管理員的工作負擔。
2、佔用了網絡帶寬。
3、在路由器上運行路由協議,使路由器可以自動根據網絡拓樸結構的變化調整路由條目;
42.常見的認證方式:
1)口令驗證協議(PAP)
PAP 是一種簡單的明文驗證方式。NAS(網絡接入服務器,Network Access Server)要求 用戶提供用戶名和口令,PAP 以明文方式返回用戶信息。很明顯,這種驗證方式的安全性較 差,第三方可以很容易的獲取被傳送的用戶名和口令,並利用這些信息與 NAS 建立連接獲 取 NAS 提供的所有資源。所以,一旦用戶密碼被第三方竊取,PAP 無法提供避免受到第三方 ***的保障措施。
2)挑戰-握手驗證協議(CHAP)
CHAP 是一種加密的驗證方式,能夠避免建立連接時傳送用戶的真實密碼。NAS 向遠程
用戶發送一個挑戰口令(challenge),其中包括會話 ID 和一個任意生成的挑戰字串(arbitrary challengestring)。遠程客戶必須使用 MD5 單向哈希算法(one-way hashing algorithm)返回 用戶名和加密的挑戰口令,會話 ID 以及用戶口令,其中用戶名以非哈希方式發送。
CHAP 對 PAP 進行了改進,不再直接通過鏈路發送明文口令,而是使用挑戰口令以哈希 算法對口令進行加密。因爲服務器端存有客戶的明文口令,所以服務器可以重複客戶端進行 的操作,並將結果與用戶返回的口令進行對照。CHAP 爲每一次驗證任意生成一個挑戰字串 來防止受到再現***(replay attack)。在整個連接過程中,CHAP 將不定時的向客戶端重複 發送挑戰口令,從而避免第 3 方冒充遠程客戶(remote client impersonation)進行***。
- PAT 和 NAT 有什麼區別?
PAT 叫端口地址轉換,NAT 是網絡地址轉換,由 RFC 1631 定義。PAT 可以看做是 NAT 的一部 分。在 NAT 時,考慮一種情形,就是隻有一個 Public IP,而內部有多個 Private IP,這個時候 NAT 就要通過映射 UDP 和 TCP 端口號來跟蹤記錄不同的會話,比如用戶 A、B、C 同時訪問 CSDN,則 NAT 路由器會將用戶 A、B、C 訪問分別映射到 1088、1098、23100(舉例而已, 實際上是動態的),此時實際上就是 PAT 了。
由上面推論,PAT 理論上可以同時支持(65535 - 1024)= 64511 個連接會話。但實際使用中 由於設備性能和物理連接特性是不能達到的,CISCO 的路由器 NAT 功能中每個 Public IP 最多 能有效地支持大約 4000 個會話。 - 操作系統使用 Windows 2000 Professional,數據庫是 MSDE,在上面部署公司開發的 B/S
架構的應用程序,有哪些方面需要注意?
Windows 2000 Pro 有 10 個併發連接的限制,MSDE(SQL Server 桌面數據庫)有 5 個用戶連 接限制,而且 Pro 的 IIS 只能建立一個 Web 站點,這些限制對於應用服務器的部署都是需要 考慮的。在設計程序的時候,則用完的數據庫連接馬上釋放掉,否則容易出現超過限制而不 能連接數據庫的問題。
45 交換機是如何轉發數據包的?
交換機通過學習數據幀中的源 MAC 地址生成交換機的 MAC 地址表,交換機查看數據幀的目 標 MAC 地址,根據 MAC 地址錶轉發數據,如果交換機在表中沒有找到匹配項,則向除接受 到這個數據幀的端口以外的所有端口廣播這個數據幀。
- 簡述 STP 的作用及工作原理.
作用:(1) 能夠在邏輯上阻斷環路,生成樹形結構的拓撲;
(2) 能夠不斷的檢測網絡的變化,當主要的線路出現故障斷開的時候,STP 還能通過計算激 活阻起到斷的端口,起到鏈路的備份作用。
工作原理: STP 將一個環形網絡生成無環拓樸的步驟: 選擇根網橋(Root Bridge)
選擇根端口(Root Ports) 選擇指定端口(Designated Ports)
生成樹機理
每個 STP 實例中有一個根網橋 每個非根網橋上都有一個根端口 每個網段有一個指定端口
非指定端口被阻塞 STP 是交換網絡的重點,考察是否理解.
47.簡述傳統的多層交換與基於 CEF 的多層交換的區別
簡單的說:傳統的多層交換:一次路由,多次交換 基於 CEF 的多層交換:無須路由,一直交換.
48DHCP 的作用是什麼,如何讓一個 vlan 中的 DHCP 服務器爲整個企業網絡分配 IP 地址?
作用:動態主機配置協議,爲客戶端動態分配 IP 地址.
配置 DHCP 中繼,也就是幫助地址.(因爲 DHCP 是基於廣播的,vlan 或路由器隔離了廣播)
49.有一臺交換機上的所有用戶都獲取不了 IP 地址,但手工配置後這臺交換機上的同一 vlan
間的用戶之間能夠相互 ping 通,但 ping 不通外網,請說出排障思路.
1:如果其它交換機上的終端設備能夠獲取 IP 地址,看幫助地址是否配置正確;
2:此交換機與上連交換機間是否封裝爲 Trunk.
3:單臂路由實現 vlan 間路由的話看子接口是否配置正確,三層交換機實現 vlan 間路由的話看 是否給 vlan 配置 ip 地址及配置是否正確.
4:再看此交換機跟上連交換機之間的級連線是否有問題;
排障思路.
50.簡述有類與無類路由選擇協議的區別 有類路由協議:路由更新信息中不含有子網信息的協議,如 RIPV1,IGRP
無類路由協議:路由更新信息中含有子網信息的協議,如 OSPF,RIPV2,IS-IS,EIGRP 是否理解有 類與無類
8:簡述 RIP 的防環機制
1.定義最大跳數 Maximum Hop Count (15 跳)
2.水平分割 Split Horizon (默認所有接口開啓,除了 Frame-Relay 的物理接口,可用 sh ip interface 查看開啓還是關閉)
3.毒化路由 Poizoned Route
4.毒性反轉 Poison Reverse (RIP 基於 UDP,UDP 和 IP 都不可靠,不知道對方收到毒化路 由沒有;類似於對毒化路由的 Ack 機制)
5.保持計時器 hold-down T imer (防止路由表頻繁翻動)
6.閃式更新 Flash Update
7.觸發更新 Triggered Update (需手工啓動,且兩邊都要開 Router (config-if)# ip rip triggered )
當啓用觸發更新後,RIP 不再遵循 30s 的週期性更新時間,這也是與閃式更新的區別所在。
RIP 的 4 個計時器: 更新計時器(update): 30 s
無效計時器(invalid): 180 s (180s 沒收到更新,則置爲 possible down 狀態) 保持計時器(holddown): 180s (真正起作用的只有 60s) 刷新計時器(flush): 240s (240s 沒收到更新,則刪除這條路由)
如果路由變成 possible down 後,這條路由跳數將變成 16 跳,標記爲不可達;這時 holddown
計時器開始計時。
在 holddown 時間內即使收到更優的路由,不加入路由表;這樣做是爲了防止路由頻繁翻動。 什麼時候啓用 holddown 計時器: “當收到一條路由更新的跳數大於路由表中已記錄的該條 路由的跳數”
51.簡述電路交換和分組交換的區別及應用場合. 電路交換連接 根據需要進行連接
每一次通信會話期間都要建立、保持,然後拆除 在電信運營商網絡中建立起來的專用物理電路
分組交換連接 將傳輸的數據分組 多個網絡設備共享實際的物理線路 使用虛電路/虛通道(V irtual Channel)傳輸
若要傳送的數據量很大,且其傳送時間遠大於呼叫時間,則採用電路交換較爲合適;當端到 端的通路有很多段的鏈路組成時,採用分組交換傳送數據較爲合適。
52.簡述 PPP 協議的優點. 支持同步或異步串行鏈路的傳輸 支持多種網絡層協議
支持錯誤檢測 支持網絡層的地址協商 支持用戶認證 允許進行數據壓縮
53:你都知道網絡的那些冗餘技術,請說明.
交換機的冗餘性:spanning-tree、ethernet-channel 路由的冗餘性:HSRP,VRRP,GLBP. (有必要的話可以詳細介紹)
54.HSRP 的轉換時間是多長時間?
10s
55:標準訪問控制列表和擴展訪問控制列表的區別.
標準訪問控制列表:基於源進行過濾
擴展訪問控制列表: 基於源和目的地址、傳輸層協議和應用端口號進行過濾
56:NAT 的原理及優缺點.
原理:轉換內部地址,轉換外部地址,PAT,解決地址重疊問題.
優點:節省 IP 地址,能夠處理地址重複的情況,增加了靈活性,消除了地址重新編號,隱藏了內部
IP 地址.
缺點:增加了延遲,丟失了端到端的 IP 的跟蹤過程,不能夠支持一些特定的應用(如:SNMP),需要 更多的內存來存儲一個 NAT 表,需要更多的 CPU 來處理 NAT 的過程.
- snmp 的兩種工作方式是什麼,有什麼特點?
首先,SNMP 是基於 UDP 的,有兩種工作方式,一種是輪詢,一種是中斷. 輪詢:網管工作站隨機開端口輪詢被管設備的 UDP 的 161 端口. 中斷:被管設備將 trap 報文主動發給網管工作站的 UDP 的 162 端口. 特點:輪詢一定能夠查到被管設備是否出現了故障,但實時性不好. 中斷實時性好(觸發更新),但不一定能夠將 trap 報文報告給網管工作站. - 說說 ARP 的解析過程。
答:ARP 用於把一個已知的 IP 地址解析成 MAC 地址,以便在 MAC 層通信。爲了確定目標 的 MAC 地址,首先查找 ARP 緩存表。如果要查找的 MAC 地址不在表中,ARP 會發送一個廣 播,從而發現目的地的 MAC 地址,並記錄到 ARP 緩存表中以便下次查找。