銳捷網(wǎng)絡(luò)服務(wù)商資質(zhì)認(rèn)證考試復(fù)習(xí)題目（第二輪售后培訓(xùn)）

1、銳捷網(wǎng)絡(luò)服務(wù)商資質(zhì)認(rèn)證考試復(fù)習(xí)題目（第二輪售后培訓(xùn)）1）問：關(guān)于OSPF路由協(xié)議的特點(diǎn)（優(yōu)勢）答：使用了區(qū)域的概念，可以減少路由器的CPU與內(nèi)存負(fù)載；可以使網(wǎng)絡(luò)拓?fù)溥M(jìn)行層次化的規(guī)劃。支持完全無類別地址。支持無類別的路由選擇表查詢、VLSM與超網(wǎng)。支持無大小限制的，任意的度量值。支持多路徑的高效等價負(fù)載均衡。使用組播地址進(jìn)行路由報(bào)文交互而非廣播。支持更安全的路由選擇認(rèn)證。使用可以跟蹤外部路由的路由標(biāo)記。2）問：關(guān)于OSPF區(qū)域化部署的相關(guān)問題答：當(dāng)有多OSPF區(qū)域存在的時候，必須有area 0，同時area 0必須作為骨干區(qū)域，其他非0區(qū)域必須直接與area 0鄰接（虛鏈路除外）。非0區(qū)域可以作

2、為STUB區(qū)域，TOTALLY STUB區(qū)域，NSSA區(qū)域或TOTALLY NSSA區(qū)域。 如果作為STUB區(qū)域，該區(qū)域不能學(xué)習(xí)到OSPF系統(tǒng)外部路由。 如果作為TOTALLY STUB區(qū)域，該區(qū)域不能學(xué)習(xí)到OSPF系統(tǒng)外部路由，同時也不能學(xué)習(xí)到區(qū)域間路由。3）問：如何產(chǎn)生OSPF ROUTER ID答：首先路由器選取所有l(wèi)oopback接口上數(shù)值最高的IP地址。如果路由器未配loopback地址，選擇路由器物理接口上數(shù)值最高的IP地址。4）問：關(guān)于二層攻擊的類型及原理答：MAC地址欺騙/泛洪攻擊、ARP欺騙攻擊、STP攻擊、DHCP攻擊。 MAC地址攻擊： 將合法的MAC 地址修改成不存在的

3、MAC 地址或其它計(jì)算機(jī)的MAC 地址，從而隱藏自己真實(shí)的MAC，來達(dá)到一些不可告人的目的，這就是MAC 地址欺騙。交換機(jī)內(nèi)部的MAC地址表空間是有限的，MAC攻擊會很快占滿交換機(jī)內(nèi)部MAC地址表，使得單播包在交換機(jī)內(nèi)部也變成廣播包向同一個VLAN中所有端口轉(zhuǎn)發(fā)，每個連在端口上的客戶端都可以收到該報(bào)文，交換機(jī)變成了一個Hub，用戶的信息傳輸也沒有安全保障了。ARP攻擊之ARP欺騙：利用上頁講到的ARP漏洞，發(fā)送虛假的ARP請求報(bào)文和響應(yīng)報(bào)文，報(bào)文中的源IP和源MAC均為虛假的，擾亂局域網(wǎng)中被攻擊PC中保存的ARP表，使得網(wǎng)絡(luò)中被攻擊PC的流量都可流入到攻擊者手中。ARP攻擊之ARP惡作?。汉虯

4、RP欺騙的原理一樣，報(bào)文中的源IP和源MAC均為虛假的，或錯誤的網(wǎng)關(guān)IP和網(wǎng)關(guān)MAC對應(yīng)關(guān)系。它的主要目的不是竊取報(bào)文，而是擾亂局域網(wǎng)中合法PC中保存的ARP表，使得網(wǎng)絡(luò)中的合法PC無法正常上網(wǎng)、通訊中斷。STP 攻擊：發(fā)送虛假的BPDU報(bào)文，擾亂網(wǎng)絡(luò)拓?fù)浜玩溌芳軜?gòu)，充當(dāng)網(wǎng)絡(luò)根節(jié)點(diǎn)，獲取信息。 DHCP攻擊：DHCP服務(wù)器攻擊：惡意用戶通過更換MAC地址的方式向DHCP Server發(fā)送大量的DHCP請求，以消耗DHCP Server可分配的IP地址為目的，使得合法用戶的IP請求無法實(shí)現(xiàn)。偽裝的DHCP Server：非法DHCP Server，為合法用戶的IP請求分配不正確的IP地址、網(wǎng)關(guān)、

5、DNS等錯誤信息，不僅影響合法用戶的正常通訊，還導(dǎo)致合法用戶的信息都發(fā)往非法DHCP Server，嚴(yán)重影響合法用戶的信息安全。5）問：網(wǎng)絡(luò)管理中數(shù)據(jù)交互的安全性答：常見的網(wǎng)絡(luò)管理工具或手段有CONSOLE，WEB，TELNET，SNMPV1/V2/V3，SSH。其中SNMPV3與SSH對數(shù)據(jù)都是有加密機(jī)制的，其他的方式都沒有加密。6）問：ACL80的工作原理答：ACL80 的含義是匹配報(bào)文的前80 個字節(jié)，對報(bào)文進(jìn)行過濾。報(bào)文是由系列的字節(jié)流組成，ACL80 可以讓用戶對報(bào)文的前80 個字節(jié)中的任意64 個字節(jié)按比特（bit）位進(jìn)行匹配注意：交換機(jī)只能對報(bào)文80 個字節(jié)中的64 個字節(jié)進(jìn)行匹

6、配。ACL80不支持QoS,包括兩個方面：1、CLASS MAP不能關(guān)聯(lián)ACL802、ACL80不會和QoSACL合并。當(dāng)兩者共同運(yùn)用一個接口時，二者各自起作用，后安裝的優(yōu)先級高。兩者可能產(chǎn)生沖突，配置時要注意。7）問：關(guān)于銳捷實(shí)驗(yàn)室解決方案的問題答：銳捷實(shí)驗(yàn)室解決方案有四大特點(diǎn)：web 管理，“一健清除”配置，權(quán)限分級，遠(yuǎn)程實(shí)驗(yàn)。其中”一鍵清“功能的實(shí)現(xiàn)，是通過存儲一個可執(zhí)行的文本文檔在RCMS的FLASH中，使用的時候直接在RCMS上執(zhí)行這個腳本文件即可。WEB管理功能由RCMS提供。通過預(yù)定義WEB界面的HTML腳本文件在RCMS的配置文件中，以及WEB界面的各種設(shè)備圖片，包括自定義的個

7、性化LOG圖片存儲在RCMS的FLASH中，可以靈活編輯實(shí)驗(yàn)室WEB登陸實(shí)驗(yàn)的界面。分級管理：在每個實(shí)驗(yàn)設(shè)備中給學(xué)生預(yù)設(shè)一個14級的密碼（最高15級特權(quán)密碼），14級密碼包含所有可操作的權(quán)限，除了對FLASH進(jìn)行刪除的權(quán)限。另預(yù)設(shè)一個15級特權(quán)密碼，供老師使用。 遠(yuǎn)程實(shí)驗(yàn)：通過VPN的方式撥入到實(shí)驗(yàn)室內(nèi)網(wǎng)進(jìn)行實(shí)驗(yàn)，并配合以遠(yuǎn)程預(yù)約系統(tǒng)，認(rèn)證計(jì)費(fèi)系統(tǒng)進(jìn)行規(guī)范的管理。 在項(xiàng)目實(shí)施的過程中，為保證實(shí)驗(yàn)的驗(yàn)證環(huán)節(jié)，要注意為學(xué)生PC布兩根以上的網(wǎng)線，一根線作為機(jī)房交換機(jī)的連接，另一根連接到相應(yīng)的RACK機(jī)柜中，方便實(shí)驗(yàn)時的PC驗(yàn)證環(huán)節(jié)。8）問：銳捷圖書館解決方案答：該方案提出的背景：大量國外的圖書資源只

8、能在校園網(wǎng)內(nèi)訪問，住在校外的師生在家里是不能訪問這些資源的，采購的這些國外數(shù)據(jù)庫不是存放在高校圖書館自己的服務(wù)器上，而是存儲在提供商的服務(wù)器上，圖書館支付費(fèi)用以后，數(shù)據(jù)庫服務(wù)商是根據(jù)訪問者的IP地址來判斷是否是經(jīng)過授權(quán)的用戶；從高校校園網(wǎng)出去的IP地址都是授權(quán)認(rèn)可的，所以校園網(wǎng)內(nèi)的所有上網(wǎng)計(jì)算機(jī)都可以使用；而住在校外的師生，上網(wǎng)所用的IP不是校園網(wǎng)的IP地址范圍，因此，數(shù)據(jù)庫服務(wù)商認(rèn)為是非授權(quán)用戶，拒絕訪問；通過采用VPNAAA認(rèn)證的方式，解決了IP地址授權(quán)和統(tǒng)一身份認(rèn)證的問題，符合用戶對圖書館應(yīng)用的需求。該方案的三個要素是：撥號客戶端VDPN服務(wù)器RADIUS后臺。關(guān)于VPN與AAA的具體配

9、置，參考相關(guān)技術(shù)文檔。9）DHCP的工作原理DHCP 是 Dynamic Host Configuration Protocol(動態(tài)主機(jī)分配協(xié)議)縮寫它的前身是BOOTP。DHCP協(xié)議使用UDP協(xié)議進(jìn)行通訊，服務(wù)器使用端口67作為被請求端口，客戶機(jī)的則用68作為被請求端口。DHCP 的分配形式 首先必須至少有一臺 DHCP 工作在網(wǎng)絡(luò)上面它會監(jiān)聽網(wǎng)絡(luò)的 DHCP 請求并與客戶端搓商 TCP/IP 的設(shè)定環(huán)境。它提供兩種 IP 定位方式 Automatic Allocation 自動分配其情形是一旦 DHCP 客戶端第一次成功的從 DHCP 服務(wù)器端租用到 IP 地址之后就永遠(yuǎn)使用這個地址。

10、Dynamic Allocation 動態(tài)分配當(dāng) DHCP 第一次從 HDCP 服務(wù)器端租用到 IP 地址之后并非永久的使用該地址只要租約到期客戶端就得釋放(release)這個 IP 地址以給其它工作站使用。當(dāng)然客戶端可以比其它主機(jī)更優(yōu)先的更新(renew)租約或是租用其它的 IP 地址。 動態(tài)分配顯然比自動分配更加靈活尤其是當(dāng)您的實(shí)際 IP 地址不足的時候例如您是一家 ISP 只能提供 200 個IP地址用來給撥接客戶但并不意味著您的客戶最多只能有 200 個。因?yàn)橐滥目蛻魝儾豢赡苋客粫r間上網(wǎng)的除了他們各自的行為習(xí)慣的不同也有可能是電話線路的限制。這樣您就可以將這 200 個地址

11、輪流的租用給撥接上來的客戶使用了。這也是為什么當(dāng)您查看 IP 地址的時候會因每次撥接而不同的原因了(除非您申請的是一個固定 IP 通常的 ISP 都可以滿足這樣的要求這或許要另外收費(fèi))。當(dāng)然ISP 不一定使用 DHCP 來分配地址但這個概念和使用 IP Pool 的原理是一樣的。 DHCP 除了能動態(tài)的設(shè)定 IP 地址之外還可以將一些 IP 保留下來給一些特殊用途的機(jī)器使用它可以按照硬件地址來固定的分配 IP 地址這樣可以給您更大的設(shè)計(jì)空間。同時DHCP 還可以幫客戶端指定 routernetmaskDNS ServerWINS Server等等項(xiàng)目您在客戶端上面除了將 DHCP 選項(xiàng)打勾之外

12、幾乎無需做任何的 IP 環(huán)境設(shè)定。根據(jù)客戶端是否第一次登錄網(wǎng)絡(luò)DHCP 的工作形式會有所不同。 第一次登錄的時候 尋找 Server。當(dāng) DHCP 客戶端第一次登錄網(wǎng)絡(luò)的時候也就是客戶發(fā)現(xiàn)本機(jī)上沒有任何 IP 數(shù)據(jù)設(shè)定它會向網(wǎng)絡(luò)發(fā)出一個 DHCP DISCOVER 封包。因?yàn)榭蛻舳诉€不知道自己屬于哪一個網(wǎng)絡(luò)所以封包的來源地址會為 0.0.0.0 而目的地址則為 255.255.255.255 然后再附上 DHCP discover 的信息向網(wǎng)絡(luò)進(jìn)行廣播。 在 Windows 的預(yù)設(shè)情形下，DHCP discover 的等待時間預(yù)設(shè)為 1 秒也就是當(dāng)客戶端將第一個 DHCP discover 封

13、包送出去之后，在 1 秒之內(nèi)沒有得到響應(yīng)的話就會進(jìn)行第二次 DHCP discover 廣播。若一直得不到響應(yīng)的情況下客戶端一共會有四次 DHCP discover 廣播(包括第一次在內(nèi))除了第一次會等待 1 秒之外，其余三次的等待時間分別是 91316 秒。如果都沒有得到 DHCP 服務(wù)器的響應(yīng)客戶端則會顯示錯誤信息宣告 DHCP discover 的失敗。之后，基于使用者的選擇系統(tǒng)會繼續(xù)在 5 分鐘之后再重復(fù)一次 DHCP discover 的過程。 提供 IP 租用地址。當(dāng) DHCP 服務(wù)器監(jiān)聽到客戶端發(fā)出的 DHCP discover 廣播后它會從那些還沒有租出的地址范圍內(nèi)選擇最前面的

14、空置 IP ，連同其它 TCP/IP 設(shè)定，響應(yīng)給客戶端一個 DHCP OFFER 封包。 由于客戶端在開始的時候還沒有 IP 地址所以在其 DHCP discover 封包內(nèi)會帶有其 MAC 地址信息并且有一個 XID 編號來辨別該封包DHCP 服務(wù)器響應(yīng)的 DHCP offer 封包則會根據(jù)這些資料傳遞給要求租約的客戶。根據(jù)服務(wù)器端的設(shè)定DHCP offer 封包會包含一個租約期限的信息。 接受 IP 租約。如果客戶端收到網(wǎng)絡(luò)上多臺 DHCP 服務(wù)器的響應(yīng)只會挑選其中一個 DHCP offer 而已(通常是最先抵達(dá)的那個)并且會向網(wǎng)絡(luò)發(fā)送一個DHCP request廣播封包告訴所有 DHCP 服務(wù)器它將指定接受哪一臺服務(wù)器提供的 IP 地址。 同時客戶端還會向網(wǎng)絡(luò)發(fā)送一個 ARP 封包查詢網(wǎng)絡(luò)上面有沒有其它機(jī)器使用該 IP 地址如果發(fā)現(xiàn)