小言_互联网的博客

网络面试100问

494人阅读  评论(0)

文章目录

1、介绍 TCP 连接的三次握手?追问:为什么 TCP 握手需要三次?

  1. TCP三次握手是保证其可靠性的前提下能过完成连接的最小值。
    第一次握手由客户端发送SYN(同步连接请求)和自己的seq;
    第二次握手由服务端收到客户端发送的SYN后回复ACK=客户端SYN+1,并发送自己的SYN;
    第三次握手由客户端发送ack已确认收到服务器的SYN,从而完成连接。
  2. 之所以不用一次握手是因为TCP是面向连接的传输机制,是双向的,仅靠一次握手无法完成最基本的连接,所以一次握手肯定不可以;
    假设需要两次握手,当A发送SYN给B时,如果因为网络延时或者其他原因导致该信息B没有收到,这时A迟迟未收到B发送的ACK回复,就会继续给B发送SYN连接请求,此时若B能正常收到该SYN并且回复ACK给A,二者建立连接,之后某个时间点,B收到了第一个SYN,会认为只是一个链接请求,就会回复A,而A知道自己已经完成了链接并且不需要该ACK,就会将其丢弃,而B则会持续发送ACK,造成网络资源的占用和浪费;
    上述现象的根源在于服务器不知道这是一个无效连接,而三次握手就可以解决这个问题,第二次B向A回复ACK+SYN时,服务器知道A还必须回复一次确认,如果没有收到该确认,证明这是一个无效的连接,将释放连接,重新建立连接,故采用三次握手机制。
  3. 所谓的"三次握手"即对每次发送的数据量是怎样跟踪进行协商使数据段的发送和接收同步,根据所接收到的数据量而确定的数据确认数及数据发送、接收完毕后何时撤消联系,并建立虚连接。
    为了防止失效的连接请求报文段突然又传送到主机 B ,因而产生错误。

2、介绍 TCP 断开的四次挥手,追问:为什么 TCP 的挥手需要四次?

(1) TCP客户端发送一个FIN,用来关闭客户到服务器的数据传送。
(2) 服务器收到这个FIN,它发回一个ACK,确认序号为收到的序号加1。和SYN一样,一个FIN将占用一个序号。
(3) 服务器关闭客户端的连接,发送一个FIN给客户端。
(4) 客户端发回ACK报文确认,并将确认序号设置为收到序号加1。
是tcp是全双公的,要实现可靠的连接关闭,A发出结束报文FIN,收到B确认后A知道自己没有数据需要发送了,B知道A不再发送数据了,自己也不会接收数据了,但是此时A还是可以接收数据,B也可以发送数据;当B发出FIN报文的时候此时两边才会真正的断开连接,读写分开。

3、TCP 的 syn 攻击的过程?追问:怎么防御?

  • 利用TCP协议缺陷,攻击者向被攻击者的主机大量伪造的TCP请求连接,从而使被攻击者的服务器资源耗尽的攻击方式。
  • 防御:
  1. 增加TCP backlog队列
  2. 减少SYN-RECEIVED时间
  3. 采用SPN缓存和SYN COOKIES
  4. 混合方式
  5. 过滤
  6. 防火墙代理
  7. 活动监视器

4、为什么连接的时候是三次握手,关闭的时候却是四次握手?

  • 因为当Se rver端收到Client端的SYN连接请求报文后,可以直接发送SYN+ACK报文。其中ACK报文是用来应答的,SYN报文是用来同步的。但是关闭连接时,当Server端收到FIN报文时,很可能并不会立即关闭SOCKET,所以只能先回复一个ACK报文,告诉Client端,“你发的FIN报文我收到了”。只有等到我Server端所有的报文都发送完了,我才能发送FIN报文,因此不能一起发送。故需要四步握手。

5、TCP 是如何通过滑动窗口协议实现流量控制和拥塞控制的?

TCP的特点之一是提供体积可变的滑动窗口机制,支持端到端的流量控制。TCP的窗口以字节为单位进行调整,以适应接收方的处理能力。处理过程如下:
(1)TCP连接阶段,双方协商窗口尺寸,同时接收方预留数据缓存区;
(2)发送方根据协商的结果,发送符合窗口尺寸的数据字节流,并等待对方的确认;
(3)发送方根据确认信息,改变窗口的尺寸,增加或者减少发送未得到确认的字节流中的字节数。调整过程包括:如果出现发送拥塞,发送窗口缩小为原来的一半,同时将超时重传的时间间隔扩大一倍。
  TCP的窗口机制和确认保证了数据传输的可靠性和流量控制。

  • 采用慢启动和拥塞避免来实现拥塞控制
    慢启动:设置一个窗口阀值,发送方维持一个拥塞窗口的状态变量,拥塞窗口的大小取决于网络的拥塞程度,并且动态变化,发送方要让自己的发送窗口等于拥塞窗口,开始时网络比较流畅,窗口从0开始增大,变化比较快,呈指数上升。
    拥塞避免:当窗口增大到设置的阀值时,不使用慢启动算法,采用拥塞避免算法,将拥塞窗口逐次加1而不是指数增加,这样是为了避免网络拥塞的情况。

6、描述 TCP 和 UDP 的区别?

(1)在连接上,TCP是基于连接的,是面向连接的运输层协议,如打电话之前要拨号建立连接,UDP是无连接的,即发送数据之前不需要建立连接
(2)在对于系统资源的要求上,TCP较多,UDP较少
(3)结构程序方面,TCP的结构较为复杂,而UDP结构较为简单
(4)在模式上TCP为流模式,而UDP则是数据报模式
(5)TCP能保证数据的正确性和顺序性,而UDP可能丢失且不能保证数据的顺序不改变
(6)TCP是面向连接的可靠传输协议而UDP是非面向连接的不可靠传输协议
(7)从传输速率上看:TCP慢,UDP快

7、TCP 有哪些定时器?

(1)重传定时器,使用于当希望收到另一端的确认。
(2)坚持定时器,使窗口大小信息保持不断流动,即使另一端关闭了其接收窗口
(3) 保活定时器,检测到一个空闲连接的另一端何时崩溃或重启
(4)2MSL定时器(时间等待计时器),测量一个连接处于TIME_WAIT状态的时间,在连接终止时启动,其值通常为报文格式寿命值得2倍

8、什么是 CDN?CDN 是如何工作的?

CDN的全称是Content Delivery Network,即内容分发网络。
目的是为了能够让用户快速的得到所请求的数据,实际上,CDN就是用来加速的一种机制,让用户就近访问数据,从而更快的获取到数据,间接解决网络资源占用和卡顿的问题
其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。
工作原理:当用户请求一个文件时,DNS请求当地local dns服务器,然后local dns递归查询服务器的gslb,服务器根据local dns分配最佳节点,返回IP地址给用户,用户获得最佳访问节点,如果该节点没有用户需要的资源,则通过内部路由器访问上一个节点,知道找到资源为止,CDN节点缓存该数据,下次请求该文件时直接返回该节点。

9、什么是 DNS?说说 DNS 的解析过程?

DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。
当用户在浏览器输入任意网址,主机先从浏览器的缓存中查找目标IP,因为浏览器会记录DNS一段时间;如果没有查到,主机在本地host文件中查找是否有该域名和IP对应关系;若还没有查到,调用DNS服务,先发送DNS请求报文到网关设备,网关设备查询本地缓存,若有,返回给主机,若没有则发送DNS请求给本地服务器,DNS服务器进行递归查询和迭代查询方式查询,直到查找到IP进行返回。
第一步:客户机提出域名解析请求,并将该请求发送给本地 域名服务器。
第二步:当本地 域名服务器收到请求后,就先查询本地 缓存,如果 该纪录项,则本地 域名服务器就直接把查询 结果返回。
第三步:如果本地 缓存中没 该纪录,则本地域名服务器就直接把请求发给根域名服务器,然后根域名服务器再返回给本地域名服务器一个所查询域(根 子域) 主域名服务器 地址。
第四步:本地服务器再向 一步返回 域名服务器发送请求,然后接受请求 服务器查询自己 缓存,如果没 该纪录,则返回相关 下级 域名服务器 地址。
第五步:重复第四步,直到找到正确 纪录。
第六步:本地域名服务器把返回 结果保存到缓存,以备下一次使用,同时还将结果返回给客户机。

10、什么是 DHCP?描述工作过程?

  • DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作, 主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段
  1. 第一步:用户以广播发送discover请求,源IP为0.0.0.0 目标p为255.255.255.255,源mac为自己主机的mac,目标mac为全F,寻找能够提供DHCP的服务器。
  2. 第二部:可用DHCP SERVER 收到discover包后,单播发送offer包,源IP为自己,目标ip为255.255.255.255,源mac为自己,目标mac为全F,给予应答。
  3. 第三步:client收到offer包后广播发送request包请求分配IP地址
  4. 第四步:DHCP server 单播发送ACK确认信息,下发ip地址。

11、DHCP 有什么安全问题?如何防范?

  • 出现背景:DHCP请求报文中的CHADDR时未进行认证的,回复的offer包和ack包也容易出现漏洞,从而被攻击者利用
  • 防范
  1. 设置信任和非信任端口,非信任端口将拒绝接收DHCP的offer包
  2. 交换机开启DHCP snoop ing后对不信任接口收到的DHCP请求报文插入ooption82选项,上行交换接口收到该报文时丢弃,也可以开启不丢弃。

12、简述 FTP 协议?如何工作?

  • FTP 是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。工作于应用层,采用TCP协议
  • 在传输文件时,FTP客户端先于服务器建立连接,然后向服务器发送命令,服务器收到后给予响应并执行命令。数据端口为20,控制端口为21(命令端口),每一个FTP命令发送后,FTP服务器会返回一个相应代码和一些说明信息(字符串)
  • FTP包括两大部分
    1.主进程
    2.从属进程
  • 主进程工作步骤如下
    a,打开熟知端口,使客户进程能够链接上
    b,等待客户进程发送链接请求
    c,启动从属进程来处理客户进程发来的请求,从属进程在运行期间还会创建一些子程序
    d,回到等待状态
    从属进程包括
    a,控制进程 不用来传输文件
    b,数据传输进程 数据链接用来传输文件

13、什么是路由器?描述一下工作过程?

  • 路由器(Router,又称路径器)是一种计算机网络设备,它能将数据通过打包一个个网络传送至目的地(选择数据的传输路径),这个过程称为路由。路由器就是连接两个以上各别网络的设备,路由工作在OSI模型的第三层——即网络层。
    负责对流量寻找路径的网络设备,用于承载的流量做路径选择、划分广播域、实现不同网络的互联,进行访问控制等。
  • 工作过程:
  1. 路由选择(软件、控制层面):将路由器协议生成的路由条目加载到路由表中。内存将表映射到转发引擎,存在ASIC芯片cache区。
  2. 分组转发(硬件、数据层面):数据链路层剥去帧和fcs校验后,将分组到网络层,使ip头部关键字查找转发列表找到出接口(TCAM表)

14、什么是交换机?描述一下工作过程?

  • 交换机是一种工作在数据链路层对流量进行转发的网络设备。主要应用于延长传输距离,解决冲突域,实现单播等功能。
  • 工作过程:
  1. 流量进入交换机时,根据数据帧中的源MAC建立该地址同交换机端口的映射并写入MAC地址表中。
  2. 交换机将数据帧中的目的MAC与自己已有的MAC地址表比较,以决定从哪个接口进行转发。
  3. 如果数据帧中的MAC不在MAC表中,则向所有端口转发(洪范),如果划分了vlan,则向对应的vlan洪范
  4. 广播帧和组播帧直接洪范。

15、什么是三层交换机?和二层交换机有什么区别?三层交换机是否可以代替路由器?为什么?

三层交换机就是具有部分路由器功能的交换机,工作在OSI网络标准模型的第三层:网络层。兼具二层交换机的转发功能,又具有处理三层IP数据包的功能,他除了二层交换机用的CAM表外,还有专门用于三层硬件的转发表。主要是目的是加快大型局域网内部的数据交换,可以做到一次路由,多次转发的快速交换。他对网络结构的变化没有路由器敏捷,三层交换机一般部署在三层架构当中,它可以拥有多个SVI接口,用于管理接入层流量,主要功能还是二层交换机的功能,而且一般的边界路由器不会由三层交换机担任。
工作层次不同;功能不同;三层交换机工作于网络层可以用于网络互连,二层交换机工作於数据链路层只能用於同一局域网通信
1,三层交换机只是具有简单的路由转发功能,在路由转发这方面远比不上路由器,但是交换机的数据交换的效率要远高于路由器
2,在大型设备领域三层交换机比一般的路由要贵
所以:
由于三层交换机有基本的路由功能,而交换数据的效率比路由要高的多,所以三层交换机可以代替路由器作为局域网内部各子网的网关。至于不同类型网络之间的互联,由于三层交换机的路由功能不能满足要求,所以还是要用路由器

16、讲一讲什么是 ARP?

根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。ARP表在设备中是一张动态表,时刻记录着IP和MAC的映射关系,
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
第一种:ARP A、B在同一个网段,出发ARP回应
第二种:代理ARP A、B不在同一个网段,触发代理ARP回应
第三种:无故ARP A=B是同一个IP地址,触发无故ARP当一台新设备加入到网络中,向全网广播发送自己的MAC地址,也可以解决IP地址冲突检测的工作。
第四种:反向ARP MAC 转IP
-----无故ARP作用:检测IP地址冲突,刷新二层交换机的MAC地址表

17、ARP 毒化过程和原理?怎么防御?(终端和交换机)

  • ARP毒化又叫ARP缓存中毒和ARP欺骗攻击
  • 出现背景:ARP以广播的形式发送请求,没有任何校验,存在安全隐患
  • 过程:通过伪造IP地址和MAC地址在网络中产生大量ARP通信造成网络的阻塞,从而使通信无法进行。
  • 防范:
  1. 开启DAI(动态ARP检测),IP和MAC地址绑定,使用静态路由
  2. 使用ARP防火墙

18、说明什么是 PPPoE 协议?如何工作?

pppoe协议是基于点到点的以太网协议,通过将点到点网络嫁接到以太网中来实现主机能够连接到远端的宽带接入服务器上,进行单独管理,流量计费等服务。
工作过程:

  1. 发现过程:广播发送请求以发现对方以太网地址,来确认唯一的pppoe会话
  2. 会话阶段:二者进行ppp协商并且传输ppp报文,包括认证字段等
  3. 会话终止阶段:发送报文结束,终止pppoe会话。

19、交换机是如何转发数据包的?

当流量进入交换机是,交换机检查数据帧中的源目MAC,根据目标MAC查找目标,转发到相应的接口;若MAC表中无目标记录,则加载到MAC}表中,并且在封装MAC时将目标MAC改为全FFFFFF,即向所有接口洪范;如果划分了VLAN,则向该接口对应的VLAN洪范;广播帧和组播帧直接洪范。

20、什么是 VLAN?

vlan是虚拟局域网,用来将一个广播域逻辑的划分为多个广播域,一个vlan内部的广播和组播流量都不会转发到其他vlan,可以防止mac地址攻击,有助于控制流量,减少设备投资,简化网络管理,提供网络安全性,并且能够有效的抑制广播风暴。

21、如何实现 VLAN 间通信?有几种方法?

  1. 同一个交换机下的不同的vlan 互通:交换机连接路由器,使用单臂路由;
  2. 两个或者多个交换机之间无连接互通:交换机连接路由器的不同路由;
  3. 两个或者多个交换机之间有连接:在交换机连接接口上划入正确的vlan中
  4. 使用三层交换机的SVI接口,原理与路由器一致。

22、什么广播域?什么是冲突域?

  • 广播域是网络中能够接收到任何一台设备发出的广播包的所有设备的集合,每个路由器的一个接口就是一个广播域
  • 冲突域是同一个网段下,每个节点都能收到被发送的帧的集合,每个交换机的接口都为一个冲突域。

23、简述 STP(802.1D)的作用及工作原理. RSTP(802.1W)收敛速度为什么比 802.1D 快?有哪些方面?

  • 出现:对于三层架构来讲,经常会使用到冗余结构,导致二层出现桥接环路,为避免环路,防止广播帧和数据帧的重复拷贝,使用STP来逻辑的阻塞环路中的某个接口,使其只接收流量,不发送流量从而防止环路。
  • STP协议在整个网络中建立一棵树,选出四种角色
  1. 根网桥:比较办法是BID,携带网桥优先级和MAC地址,越小越优先;
  2. 根端口:每台交换机只有一个,位于非根网桥上到达根网桥最近的接口所在链路,(1)BPDU入向COST值,小优(2)BID小优先(3)PID大优
  3. 指定端口:每根链路只有一个,根端口对端即为指定端口(1)出向COST值小优(2)BID小优(3)PID大优
  4. 非指定端口(阻塞端口):以上所有角色选定后,剩余的接口即为阻塞端口,逻辑阻塞,只接受不转发流量。
  • RSTP优化点在于
  1. 取消了计时器,收敛更快
  2. 采用逐级收敛
  3. 集成了多种加速
  4. 使用多种标记位,对网络的变化更敏感
  5. TCN消息不必经过根网桥,可由更新源直接全部发送。

24、MSTP 原理?

MSTP是多生成树协议,特点是树多,仍然采用802.1D算法,基于一个组一棵树,一个组内可以放置多个vlan,收敛快速。

25、生成树有什么缺点?你知道有哪些技术可以弥补这些缺点?

STP的缺点在于全网一棵树,使得链路利用率低,而且收敛速度慢;
解决办法:RSTP/MSTP,链路利用率高,收敛速度快;

26、简述传统的多层交换与基于 CEF 的多层交换的区别

  • 传统的交换方式——快速交换:一次路由,然后多次交换
    当一个数据包来到三层设备上时,设备将为该数据包进行原始交换,过程结束后,设备假设该包为一段数据流量的第一个包;为其生成cache——记录出接口,新的MAC封装
    之后数据流的第二个包开始仅基于cache转发;当数据流转发完成后,cache表超时被刷新;
    在三层交换设备上二层依然需要基于CAM表转发
  • 特快交换 --CEF–:无需路由,直接转发
    路由表–>FIB转发信息数据库 已经完成了递归可以被芯片直接使用
    ADJ——将FIB中的出接信息,与ARP表进行结合,生成转发列表
    当流量进入三层设备后,设备将基于目标IP地址,直接在ADJ表中查找到对应的记录;
    表内存流量的出接口和新的二层封装参数;
    若为三层交换设备,在二层还需要查看CAM表

27、有一台交换机上的所有用户都获取不了 IP 地址,但手工配置后这台交换机上的同一 vlan 间的用户之间能够相互 ping 通,但 ping 不通外网,请说出排障思路.

查询网关设备是否正确的配置了DHCP服务,若为三层交换机查看是否正确的配置vlan以及是否开启了trunk服务,若不是,查看是否直连用户的交换机上未正确的划分vlan,交换机之间是否正确开启trunk,ping不通外网查看边界路由器是否正确做了NAT以及ACL是否有问题,缺省地址是否下发。

28、你都知道网络的那些冗余技术,请说明.

  1. 设备冗余
  2. 链路冗余
  3. 网关冗余:HSRP VRRP GLBP
  4. 交换机的冗余:spanning-tree、ethernet-channel

29、 策略路由和路由策略的区别?

  • 策略路由:通过流量策略来执行选路的转发手段;
    传统的路由表转发只能通过数据的目标地址作为决策提供路由;
    策略路由可以根据源地址、目标地址、源端口、目的端口、协议、TOS等流量特征来做决策提供路由
  • 路由表与策略路由的关系:策略路由是先于路由表执行的,策略路由没有捕获的流量依然回去执行路由表;
  • 路由策略:通过在控制层面抓取流量,修改流量,影响路由表的生成,控制选路;

30、说明什么 NAT 技术?有哪些 NAT?

  • NAT技术叫做网络地址转换技术
  • 私网地址想要进入公网就必须做地址转化,将私网地址转化为公网地址,因为IP地址具有全球唯一性,NAT的出现就是为了解决IPV4地址不够用的情况,而IPV6下是没有NAT的,NAT还有一个作用是有效的阻挡外部攻击
  • NAT的分类:
  1. 静态NAT 一对一:只能将一个内网地址转化为一个外网地址
  2. 动态NAT 多对多:多个内网地址转化为多个外网地址;
  3. PAT 端口映射:将多个内网地址转化为同一个外网接口地址,或者将某些服务映射到外网接口,如HTTP服务、DNS服务、TELNET服务等。
  • inside与outside
  1. 接口在做了inside配置之后,流量经过该接口先查路由表在进行地址转换
  2. 接口在做了outside配置之后,流量经过该接口先将地址转换再查询路由表。

31、当你使用计算机上网浏览 www.baidu.com 网站时,你的计算机可能会依次发送哪些类型的报文?

访问域名最主要是获得该域名对应的IP地址,计算机在网页输入www.baidu.com后,浏览器首先查找浏览器缓存,若无对应域名的ip则查找主机缓存,若无则访问网关设备,网关查找本地缓存,若无则启动DNS服务向本地DNS服务器发起请求,获取域名对应的ip,若无,由本地DNS服务器向根DNS服务器请求,根DNS服务器通过递归查询和迭代查询的方法找到IP地址返回给主机,主机下次访问直接匹配最佳节点。

32、当你在浏览器输入 www.baidu.com 并按下回车后发生了什么?(要说出 HTTP 的工作原理)

  • HTTP(超文本传输协议)采用了B/S模型,定义了web客户端如何从web服务器请求web页面并且把数据返回给客户端,HTTP协议是无连接的,就是说客户端在访问该服务器之后,下次再访问服务器时,服务器不知道是否见过该客户,不会有该客户的连接资料,这可以简化服务器的设计,也保护了服务器的缓存资源,能够更好的为客户端服务。
  • 首先客户端通过浏览器的默认80端口创建TCP的套接字;发送请求报文到服务器;服务器解析该请求并定位请求资源,将请求资源复写到TCP的套接字,由客户端读取;释放连接时由web主动关闭TCP的套接字,关闭连接;客户端被动关闭套接字,释放TCP连接;客户端首先解析状态行,查询是否请求成功,然后解析每个响应头,读取对应的HTML数据,并在浏览器窗口显示。
  • 执行动作:
  1. 浏览器分析超链接中的URL
  2. 浏览器向DNS请求解析www.baidu,com的IP地址
  3. DNS将解析出的IP地址返回给浏览器
  4. 浏览器与服务器建立TCP连接(80端口)
  5. 浏览器请求文档:GET/index.html
  6. 服务器给出相应,将文档index.html发送给浏览器
  7. 释放TCP连接
  8. 浏览器显示index.html中的内容

http详谈

33、 RIP 的防环机制

  1. 跳数限制:最大15跳,16跳不可达;
  2. 水平分割:同一路由从此口进,不从此口出;
  3. 毒性逆转水平分割:若想路由,将被告知为16跳
  4. 机制计时器:30s hello时间,180s等待时间,180s标记位可能down,240s刷新时间

34、OSPF 中承载完整的链路状态的包?

链路状态更新包LSU装载完整拓扑信息

35、OSPF 中 DBD 报文是如何进行确认的?

DBD包:数据库描述包,在exstart状态时不携带拓扑目录信息,仅进行RID的比较选择主从关系;
在exchange状态时才真正进行拓扑目录共享
DBD包中携带MTU值,邻居关系间若MTU值不一致,将无法完成邻接关系的建立;
在exstart状态时,使用了隐形确认来进行可靠保障;从使用主的序列号,来确认接收到了主的DBD,收集完所有邻居的DBD后在本地生成LSDB。
在exchange状态时,使用LSack进行确认
描述了本地LSDB的摘要信息,用于两台路由器进行数据库同步。

36、OSPF 中既是 ABR 又是 ASBR 在生成什么类型的 LSA?

生成1、3、4、5、7类LSA

37、OSPF 中 LSA 类型 NSSA 区域里都有哪些 LSA?

正常一个区域产生1、2、3类,如果是有ASBR的区域还有4、5类,如果是NSSA区域还有7类LSA
即NSSA区域中去除了4、5类增加了7类。

38、LSA5 外部路由可以在 ABR 上做汇总吗?

  1. 可以在NSSA区域中的ABR上做汇总,因为NSSA区域中的ABR要做7类转5类
  2. 当NSSA区域中有两个ABR时,只能在router-id大的ABR上做汇总才有效
  3. ABR上直接引入外部路由

39、OSPF 有哪几种协议包?作用分别是什么?

  1. hello包:发现建立维持邻居关系
  2. DBD包:携带拓扑头部信息
  3. LSR:请求获取完整拓扑信息
  4. LSU:携带各种类型的LSA
  5. LSACK:确认各类LSA信息

40、OSPF 区域划分的好处?

  1. 便于管理
  2. 便于汇总以减少路由表条目
  3. 限制LSA的更新量
  4. 节省区域中每一个设备的系统资源
  5. 增强了网络的稳定性

41、OSPF 的 1 类和 2 类外部路由之间的区别?

1类累加内部度量,2类不累加内部度量。

42、在 OSPF 中。为什么第三类 LSA 传播超过一个区域路由信息就会被修改呢?他不是使用 SPF 算法么?如果这样那么他跟 RIP 的 DV 算法有啥区别?OSPF 没有形成 FULL 状态的原因?

  • 因为OSPF不是一个纯链路状态的路由信息,在区域内部运行SPF算法,在区域之间使用传递路由的方式。三类LSA携带的是区域内的路由信息,传播范围是整个OSPF域,三类LSA 的传递方式和距离矢量DV型协议是一样的,当路由经过ABR时将下一跳修改为自己,这样其他区域的路由在经过ABR的时候就可以进行递归来找到到达自己区域的路径
  • OSPF没有形成full的原因:
  1. hello和失效时间不一致
  2. 接口网络类型不一致
  3. 区域不一致
  4. MA网络中掩码不一致
  5. 版本不一致
  6. 认证不通过
  7. router-id相同
  8. MA网络中优先级都为0
  9. mtu不一致
  10. 特殊区域标记不一样
  11. 底层不通
  12. NBMA网络中没有指邻居

43、在什么情况下 ospf error 的 OSPF Router ID confusion 数值会增加

  1. 骨干区域和骨干区域router-id冲突使得OSPF不能正常建立邻居,也就无法传递LSA;
  2. 非骨干区域与非骨干区域router-id冲突,使得路由表中的路由会翻滚;
  3. 区域内虚链路router-id冲突,导致无法建立邻居,无法传递LSA信息;

44、说到虚连接。虚连接为什么能保证第三类 LSA 的路由信息不被修改呢?

因为虚连接的本质就是将原理骨干区域的ABR逻辑的和骨干区域连接起来,相当于虚链路是一条属于区域0的虚拟链路,因此不修改三类LSA

45、两台路由器通过直连链路,建立 OSPF 邻居,那么在一边使用 P2P,而一边使用 P2MP 的情况下,能正常建立到邻接状态么?

OSPF中的p2p网络和p2mp网络都是不用选举DR/BDR的,只要建立邻居关系,就会成为邻接关系,但是二者的hello时间不一样,要建立邻接状态就需要修改二者的hello时间一致即可。

46、ospf 卡在 init 状态机哪。这样的情况是怎么引发的。?

陷于init可能是因为收到了对方的hello包,但是hello内容不匹配,可能是hello time不一致、区域ID不一致、认证不一致等原因造成的。

47、OSPF 在进程重启。为什么邻居能快速的建立起来。而不是像创建进程一样。需要等待 那么长时间?

因为一般OSPF的邻居存活时间为40s,在路由器之前成功建立邻居正常的情况下,一边重启进程,而另一边还正常存活在邻居表中,但是当这边重启完成后,发送hello的时候,对端也立即转到init状态,并且所有状态,只需要交互一个报文进行了
所以,重启进程,比普通建立更快,也就是说,等对端的40s过后,再重启进程,那么他们又得重新互发hello,又得经过七个状态机才能建立邻接状态。

48、ospf 一直提示 LSA disabled。为什么会产生这种情况?

当LSA的老化时间结束时,LSA会在LSDB表里面移除掉,或者LSA的始发者发送消息flooding掉
正常的情况下。当邻居正常建立来。并且建立到邻接状态时,他会自动更新LSA 的信息。并且用LS Age 和LS 系列号,来区分那条LSA更新。并在LSDB 表中更新最新的LSA,既然LSA 出现down 的情况。那么首先得把问题定位在邻居是否正常建立起来,并且能正常交互报文(LSU LS ACK)具体的请看后面OSPF常见报文错误代码。

49、ospf 如果不同进程不同区域使能。邻居能正常建立起来么?

不能正常建立。因为ospf 路由器在接受OSPF 报文的时候会验证一些报文是否合法其 检查的内容有。版本号。区域ID,验证方法和验证信息。

50、ospf中不同进程,同区域。邻居能正常建立起来吗?为什么?

能。因为在ospf 的报文中。并不需要对进程ID 进行检查。所以邻居能正常建立起来。

51、ospf 本身能过滤掉自身产生的 LSA 吗?

OSPF本身没有过滤LSA的机制,如果有,SPF算法可能会出错,有也是会限制一定范围的,比如LSDB 的超载机制,但是特殊区域会拒绝某些LSA的接收nssa区域

52、那虚连接是怎样使用 SPF 算法的呢?准确的说。虚连接是怎么确定他报文的目的地址的?

每个虚连接都要生成两颗最短路径树(第一棵为本地区域最短路径树,第二棵为虚连接邻居的最短路径树)计算虚连接最短路径树之后。本地路由器会通过查找对端最短路径树,并且通过对端的router-id来标示。那么虚连接到达本地路由器的始发端口的IP地址即为本地路由器发给对端虚连接邻居的协议报文的目的ip地址。

53、为什么 ospf 中四种网络类型所定义的 hello time 和生存时间都不一样?

OSPF一共定义了四种网络类型,而这四种网络类型,大部分都是针对链路,(点到点需要手动更改),这也是OSPF的特点之一,能适应更多不同类型的网络结构中,并且,不同的网络类型,邻居生存时间和hello time也随之改变,并且还可以手动修改,这无不证明此协议的人性化

54、 OSPF 在 NBMA 网络要配置些什么?

  1. NBMA网络中没有指邻居
  2. 如果是一个非全互联的NBMA环境,还需要手工指DR
  3. 考虑到非全互联的NBMA环境的分支节点的连通性,还需要手工写静态映射。或者修改接口网络类型为点到多点

55、Ospf 产生环路的原因以及解决的办法?(OSPF 防环措施?)

  1. SPF算法无环
  2. 更新信息中携带始发者信息,并且为一手信息
  3. 多区域时要求非骨干区域,必须连接骨干区域,才能互通路由,防止了始发者信息的丧失,避免了环路

56、 Ospf 中有哪几种特殊区域?

  1. STUB区域 :过滤4、5类lsa,ABR会产生缺省的3类LSA,区域内不能引发外部路由
  2. 完全STUB区域:过滤3、4、5类LSA,abr上会产生缺省的3类las,区域内不能引入外部路由
  3. NSSA区域:过滤4、5类LSA,ABR会产生缺省的7类LSA,该区域能引入外部路由
  4. 完成NSSA区域:过滤3、4、5类LSa,ABR会产生缺省的3类LSA,该区域能引入外部路由。

57、 Stub 区域的作用?

有利于减小stub区域中内部路由器上的链路状态数据库的大小及储存器的使用,提高路由器计算路由表的速度。
stub过滤4、5类lsa,ABR会产生缺省的3类LSA,区域内不能引发外部路由
totally stub过滤3、4、5类LSA,abr上会产生缺省的3类las,区域内不能引入外部路由

58、 为什么在 OSPF 中要划分区域?

  1. ospf如果单区域的话运算量太大,路由器负载不了
  2. 一个不稳定链路造成的不良影响,仅在一个区域中传播,不会影响到其他区域

59、 OSPF 初始化的时候,路由器之间是如何进行交互?(OSPF 邻居形成过程?)

互发hello包,形成双向通信
根据接口网络类型选DR/BDR
发第一个DBD,选主从
进行DBD同步
交互LSR、LSU、LSack进行LSA同步
同步结束后进入FULL

60、 OSPF 是纯链路状态的协议吗?

不是,单区域时是纯的链路状态协议,而多区域时,区域间路由使用的时距离矢量算法

61、 OSPF 中 DR 选举的意义?DR 选举时的网络类型?DR 和其它路由器的关系?

  1. 提高LSA同步效率
  2. 广播型和NBMA要选
  3. DR与其他路由器为邻接关系

62、 OSPF 虚链路在什么情况下用到?为什么要用到虚链路?

  1. 区域不连续或区域0被分割会用到
  2. 因为所有区域必须挂载到区域0,当区域0被分割后,两个被分割的区域0路由不能互通

63、 OSPF 虚链路的作用?为什么有骨干区域?

  1. 连接远离骨干区域的普通区域
  2. 缝合不连续的骨干区域
  3. 骨干区域的设置是为了防止多区域时区域间路由产生环路

64、 ISIS 与 OSPF 的区别谈一谈吧,各个方面

相同点:

  1. 都是链路状态型路由协议
  2. 都使用SPF算法,VSLM快速汇聚
  3. 收敛快速
  4. 支持网络分层与路由分级,适用于大规模网络
  5. 都有在运行商网络中运行成功的经验

区别:

  1. 区域设计不同,OSPF采用一个骨干area 0与非骨干区域,非骨干区域必须与area0连接。 isis由L1 L2 L12路由器组成的层次结构,它使用的LSP要少很多,在同一个区域的扩展性要比OSPF好。
  2. OPSF有多种LSA,比较复杂并且占用资源,而ISIS的LSP要少很多,所以才CPU占用和处理路由更新方面,ISIS要好一点
  3. ISIS的定时器允许比OSPF更细的调节,可以提高收敛速度。
  4. OSPF数据格式不容易增加新的东西,要加就需要新的LSA,而ISIS可以很容易的通过增加TLV进行扩展,包括对IPV等的支持。
  5. 从选择上来说,ISIS 更适合运营商级的网络,而OSPF非常适合企业级网络。

65、 BGP 是怎样实现跨自治系统交互路由信息?为什么需要 BGP 路由协议?

EBGP对等体、IBGP对等体,bgp边界网关协议用来连接Internet上独立系统的路由选择协议,是一个距离矢量协议。分布式计算。用TCP 来传递路由信息(179)保证可靠性,丧失邻居自动发现
bgp设计用来处理AS之间的路由协议,该协议重点处理as之间的路由,as之内的路由不作为重点。

66、 IBGP 为什么采用全互联?不采用全互联怎么部署?

  1. 解决IBGP水平分割的问题
  2. 反射器或者联盟

67、 IBGP 为什么不相互通告路由?

  1. IBGP的水平分割
  2. 基于邻居的水平分割
  3. *路由非最优

68、 Bgp 中团体的作用

community属性是一组具有相同策略特性的路由
路由器通过对路由前缀设置特定的团体属性,这样其他BGP邻居可以识别这些路由并应用特定的策略。

69、 如果 BGP 加上 max path,会在哪个 BGP 选路属性之前应用这个选项?

在最后一个BGP router id之前

70、 谈谈 BGP 反射器的缺点

反射器收到两个或者两个以上到达同一目标的路径时,需要判断出最优的路由,然后反射给客户端,这样会导致这些设备丧失多条路径判断最优路径的权力

71、 BGP 的属性在 MPLS 中的应用?选路控制?

利用扩展属性实现VPN,选录控制

72、 QOS,整形和限速的区别以及使用场景

73、 BGP 路由协议和 IGP 路由协议的区别?

  1. BGP是AS之间的路由协议,IGP是AS内的路由协议
  2. BGP基于TCP,可以与非直连建立邻居
  3. BGP侧重于路由管理,不负责拓扑发现
  4. BGP除每一次以外只做增量更新,无定期更新
  5. BGP侧重于路由控制,IGP侧重于路由互通

74、 BGP 的选路原则

  1. 首先比较weight 大优–不传递 ,Cisco私有 EBGP/IBGP
  2. 比较本地优先级,默认100;仅IBGP邻居传递,大优 IBGP
  3. 优选本地下一跳
  4. 比较as-pash,经过的AS数量少优,EBGP邻居可增添 EBGP/IBGP
  5. 起源码最小 i-igp=0 e-egp=1 ?-incomplete=2 EBGP/IBGP
  6. MED值最小 EBGP/IBGP
  7. 普通的EBGP邻居优于联邦内EBGP邻居优于IBGP邻居
  8. 优选最近的IGP邻居(IGP度量小)
  9. 优选最先建立EBGP邻居
  10. 最小BGP邻居的RID
  11. 优选最小的RR list 列表

75、 BGP 的 AS-PATH 属性有什么作用?

可以防止环路,如果收到BGP路由包含自己的AS,则丢弃
也可以用来选路,AS-PATH越短,路径越优先。

76、 BGP 的 local-performance 属性有什么作用?如何使用?

用来选路,不能在EBGP邻居之间传递,可以在IBGP邻居之间传递,值越高最优先(默认100),常用于当本AS有多个出口路由器时,选择拥有Local值大的路由器作为出接口路由器。也可是到达一个网段有多个出口路径时,选择local值大的路径。

77、 如果 BGP 加上 max path,会在哪个 BGP 选路属性之前应用这个选项?

在最后一个BGP router id之前

78、 BGP 的反射原则?

  1. 反射器可以反映反射器之间,客户端与分客户端之间的路由,但是不能反映非客户端之间的路由
  2. 只需要在服务器端定义谁是客户端,未定义的即为非客户端

79、 BGP 的反射如何防环?

Originator-id和cluster-id。RR可以通过这两种属性防止环路

  1. Originator_ID属性用于防止路由在反射器和客户机/非客户机之间产生环路。Originator_ID属是由路由反射器(RR)产生的,携带了本地AS内部路由发起者的Router ID,当一条路由第一次被RR反射的时候,RR将originator_lD属性加入这条路由,标识这条路由的始发路由器。如果一条路由中已经存在了originator_ID属性,则RR将不会创建新的Originator_ID。当其它BGP Speaker接收到这条路由的时候,将比较收到的originator ID和本地的RouterID,如果两个ID相同,BGP Speaker会忽略掉这条路由,不做处理。
    2.CLuster_LIST有路由反射器RR产生,当RR在它的客户机与非客户机之间反射路由时,RR会把本地Cluster_ID添加到Cluter_ID添加到Cluster_ID前面。当RR接受到一条更新路由时,RR会检查Cluster_List。如果Cluster_list中已经有本地的Cluster_ID,则丢弃该路由,否则将本地Cluster_ID加入该更新路由Cluster_List中,然后发送该更新路由

80、 谈谈 BGP 反射器的缺点

反射器收到两个或者两个以上到达同一目标的路径时,需要判断出最优的路由,然后反射给客户端,这样会导致这些设备丧失多条路径判断最优路径的权力

81、 MPLS L3 VPN,如果我想让两个不同的 VPN 作单向互访,怎么做?

如果是两个VPN的互通,可以将两个VPN 的路由信息输出到相同的一个RT,并都导入,可实现互通。如果要单向访问,可建立一个公共VPN,导出两个VPN的RT,两个VPN都可以对公共VPN实现访问。

82、 跨域的 MPLS L3 VPN 可以谈谈思路吗?

RFC2547bis和最新的rfc4364都对其有定义,主要有三种。Option A B C:

  • Option A: back to back vrf 互连。两个AS间通过VRF 间的背对背的连接,路由可以选择静态或动态路由,这种方法简单实用,适于不同运营商间的连接。

  • Option B :MeBGP vpnv4连接两个AS间通过ASBR间建立MeBGP vpnv4,VPN路由通过MBGP承载,具有较好的可扩展性。

  • Option C: RR间多跳MeBGP两个AS间建立MEBGP,但不是在ASBR上,是在两个AS各自的RR间,这样有较好的可扩展性,灵活性。但较复杂。要解决下一跳问题有标签问题。

83、 MPLS L3 VPN 的一个用户,他有上 internet 的需求,如何实现?有几种实现方法?特点各是什么?

有三种。

  1. 通过VPN访问internet,传统做法是:设置一个集中的防火墙通过NAT实现Internet访问,简单易实现,只是不能对Internet流量和VPN流量进行区分,安全存在问题。或者在PE路由器上配置PACK leaking 实现
  2. 独立的Internet访问向每个VPN SITE 提供独立的internet连接线路,由CE路由器实现NAT到internet。要求PE路由器向CE提供独立的线路或虚链路,PE路由器要有访问internet 的能力。有带你是能将VPN流量和internet流量分开
  3. 通过单独的VPN实现internet连接,建立一个单独的VPN,将internet缺省路由和部分路由注入,在需要internet访问siet相连的PE路由器上实现VPN互通,从而访问internet。比较复杂,但可以支持各种internet访问要求。建议采用这种。

84、 PPP 的协议过程?

  1. 检测到载波进入链路建立阶段
  2. 进行LCP协商
  3. 进行认证
  4. NCP(IPCP)协商

85、 CHAP 认证过程?

  1. 主认证方发起挑战,携带主认证方的用户名和随机数
  2. 被认证方根据用户名查用户数据库,找到对应密码与随机数进行HASH,发送用户名和HASH值
  3. 主认证方根据用户名查用户数据库,找到对应的密码和随机数进行HASH,对比两个HASH,一致则认证通过,不一致则认证失败。

86、 对称性加密算法和非对称型加密算法的不同?

对称加密算法的双方共同维护一组相同的密钥,并且使用该密钥加密对方的数据,加密速度快,但对称密钥需要双方的协商,容易被人窃取
非对称加密算法使用公钥和私钥,双方维护对方的公钥(一对),并且各自维护自己的密钥,在加密过程中,通常使用对端公钥进行加密,对端接收后使用其私钥进行解密,加密行良好,而且不容易被窃取,但是加密速度慢。

87、 什么是 IKE?作用是什么?

internetKeyExchange,因特网密钥交换。他的作用是协助进行安全管理。IKE在进行IPsec处理过程中对身份进行鉴别,同时进行安全策略的协商和处理会话密钥的交换工作。

  • IKE为IPSec协商生密钥,供AH/ESP加解密和验证使用。

88、 安全关联的作用?

  • 所谓SA是指通信对等方之间为了给需要受保护的数据流提供安全服务而对某些要素的一种协定。
  • 是两个IPSec通信实体之间经协商建立起来的一种共同协定,它规定了通信双方使用哪种IPSec协议保护数据安全、应用的算法标识、加密和验证的密钥取值以及密钥的生存周期等等安全属性值。
    通过使用安全关联(SA) , IPSec能够区分对不同的数据流提供的安全服务。

89、 ESP 和 AH 的区别?

  1. ESP除了可以对数据进行认证外,还可以对数据进行加密;AH不能对数据进行加密,但对数据认证的支持更好。
  2. 协议号不同:AH 51 ESP:50
  3. AH不支持NAT-T,ESP支持NAT-T(NAT穿越)

90、 IPSEC VPN 的阶段一与阶段二的作用?

  • 第一阶段交换,通信各方彼此间建立了一个已通过身份验证和安全保护的通道,此阶段的交换建立了一个ISAKMP安全联盟,即ISAKMP SA(也可称为IKE SA)。
  • 第二阶段交换,用已经建立的安全联盟(IKE SA)为IPSec协商安全服务,即为IPSec协商具体的安全联盟,建立IPSec SA,IPSec SA用于最终的IP数据安全传送。

91、 IPSEC 第一阶段主模式和野蛮模式有什么不同?

  • 主模式:默认使用IP地址作为身份标识,默认是传递自己的出口地址做身份标识, 校验对端的公网IP做对端身份标识。(自动生成双方身份ID),少,生成六个包
    野蛮模式:可以使用用户名或IP等作为双方身份标识,即可以手动配置身份ID,多,三个包

92、 什么是 SSL/TLS?

SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。

TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。
详细介绍

93、 什么是数字证书?

“数字证书是用于识别个人,服务器,公司或某个其他实体的电子文档,使用公钥加密来解决模仿问题。证书颁发机构是验证身份和颁发证书的实体,客户端和服务器使用CA颁发的证书来确定可信任的其他证书。

94、 CA 是什么?

CA中心又称CA机构,即证书授权中心(Certificate Authority ),或称证书授权机构,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中,CA不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。

95、 什么是 PKI?

PKI(Public Key Infrastructure )是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易,通信和互联网上的各种活动。
什么是PKI

96、 什么是 DDOS 攻击?和 DOS 攻击有什么区别?

  1. 客户端向服务端发送请求连接数据包
  2. 客户端向客户端发送确认数据包
  3. 客户端不向服务端发送确认数据包,服务器一直等待来自客户端的确认
  • 预防:
    限制同时打开SYN半连接的数目
    缩短SYN半连接的time out 时间
    关闭不必要的服务

  • DDOS攻击是DOS攻击的一种
    虽然同样是拒绝服务攻击,但是DDOS和DOS还是有所不同,DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务,常见的DOS攻击手段有TearDrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、OOB等。
    什么是DOS攻击

97、 什么是防火墙?工作原理是什么?

  • 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙

  • 本质是查看会话表
    报文到达防火墙,先查看是否有会话表匹配
    如果有会话表匹配,则匹配会话表转发
    如果没有匹配会话表,看是否能够创建会话表。
    前提是必须是首包才能创建会话表
    先匹配路由表,在匹配安全策略。

  • 功能:

  1. 访问控制
  2. 地址转换
  3. 网络环境支持
  4. 带宽管理功能
  5. 入侵检测和攻击防御
  6. 用户认证
  7. 高可用性

防火墙工作原理

98、 谈谈会话表的如何建立以及作用?

99、 防火墙如何处理 FTP 协议的防御问题?

100、 描述一下手机上网的过程?

手机开机、扫频
手机开机以后,立刻开始扫描网络,寻找可用的频点;
手机锁频(FCCH)
手机找到可用频点后,通过 FCCH 信道上的“频率校正信号”,锁定该频点频率;
手机同步(SCH)
手机锁定该频点后,通过 SCH 信道上的“同步信号”与该频点的 0 时隙同步;
手机接收系统消息(BCCH)
手机与该频点的0时隙同步后,就可以从该时隙获取该频点所在小区的系统消息。系统消息的内容很多,在这一步,手机主要通过系统消息确定该频点是否为该手机所在网络(移动、联通)的频点,如果是,手机将开始接入过程;如果不是,手机会放弃该频点,继续扫频,寻找其他频点。
手机(MS)向基站(BTS)发送“接入请求”消息(RACH)
手机向基站发出“接入请求”,要求基站给它分配一个 SDCCH 信道;
基站(BTS)向手机(MS)发送“接入允许”消息(AGCH)
如果基站有信令信道资源,就会向手机发送“接入允许”消息,并在该消息中告知手机所需的 SDCCH 信道号;
手机(MS)向基站(BTS)发送“位置更新请求”消息(SDCCH)在“位置更新请求”消息中,手机会将其 IMSI 号码上报给 BTS,由 BTS 上报给 BSC->MSC->HLR,以检验手机用户的合法性;
基站(BTS)向手机(MS)发送“位置更新接受”消息(SDCCH)
如果通过检测,发现用户的 IMSI 是合法的,基站就会向手机发送“位置更新接受”消息; 如果发现用户的IMSI是非法的,基站就会向手机发送“位置更新拒绝”消息,并说明拒绝的原因;
手机显示网标,上网成功。(某些型号的手机,在“位置更新接受”消息下发之前,就把网标显示出来了,这时手机实际并未上网,即所谓的“假上网”)
其他信道的作用如下:
PCH(寻呼信道)用于手机做被叫,寻呼该手机的消息,通过该信道发送;
ACCH(随路控制信道,包括 SACCH 和 FACCH)用于手机在通话期间传送必要的信令消息,如切换。所谓的随路,就是在“话路”中传送信令消息,区别于只用于传送信令的 SDCCH信道。

101、 什么是 1G/2G/3G/4G/5G 谈谈你的看法?

  • 1G:第一代移动通信系统是模拟蜂窝移动通信,移动性和蜂窝组网的特性就是从第一代移动通信开始的,但是1G是模拟通信,抗干扰性能差,同时简单的使用FDMA技术使得频率复用度和系统容量都不高。1G主要就是两种制式,分别来自美洲的AMPS和来自欧洲的TACSS,属于大哥大的时代
    缺点:串号、盗号
  • 2G:第二代移动通信技术加入了更多的多址技术,包括TDMA和CDMA,同时2G是数字通信,因此在抗干扰能力上大大增强。第二代移动通信可以说对接下来的3G和4G奠定了基础,比如分组域的引入,和对空中接口的兼容性改造,使得手机不再只是语音、短信这样的单一业务,还可以更有效率的连入互联网。2G主要的制式也是两个。分别来自欧洲的ETSI组织的GSM和来自美洲高通的CDMA
    缺点:传输速率低,网路不稳定,维护成本高;
  • 3G:3G相对于2G来说主要采用了CDMA技术,扩展了频谱,增加了频谱利用率,提升了速率,更加利于Internet业务,同时3G的演进技术将多种多址方式进行了结合,使用了更高阶的调制技术和编码技术,还采用了包括多载波捆绑、MIMO等新技术,使得速率进一步提升,部分功能也从RNC之类的上级机器下移到基站中来完成,提高了相应速度,降低了时延,同时3GPP组织在演进3G技术的同时也不断为未来做准备,包括核心电路域的软交换、分组域、传输网的IP化
    优点:CDMA系统以其频率规划简单、系统容量大、频率复用系数高、抗多径能力强、通信质量好、软容量、软切换等特点显示出巨大的发展潜力。
  • 4G:4g中LTE应用最广泛,首先是网络的架构的大变化,LTE抛弃了2G、3G一直沿用的基站-基站控制器(2G)/无线资源管理器(3G)-核心网这样的网络结构,而改成基站直连核心网,整个网络更加扁平化,降低时延,提升用户感受。核心网方面抛弃了电路域,核心网迈向全IP化,统一由IMS承载原先的业务。空中接口的关键技术也抛弃3G的CDMA而改成OFDM,其在大带宽上比CDMA更加具备可行性和适应性,大规模使用MIMO技术提升了频率复用度,跨载波聚合能获得更大的频谱带宽从而提升速率,这些技术都是LTE-Advanced能跻身4G标准的重要因素(4G要求静止状态下1Gb/s下行和500Mb/s上行)。4G由于大频谱带宽的需求以及各国各地区频谱资源的稀缺,所以会看到更多的频段被使用,相比之下3G则主要在800/850/900/1700/1900/2100等频段。目前LTE以占据绝对优势的地位成为4G主流,Wimax家族可以说被完全压制,所以4G也很有希望能结束多年以来多个同代制式相争的混乱局面,由LTE实现大致的一个统一。
    缺点:覆盖范围有限,数据传输有延迟;
  • 5G:第五代移动通信技术目前尚未正式商用,不过5G概念已被炒的如火如荼。5G技术标准征集可望于2017底陆续确定,2019年到2020年可看到全球营运商将陆续推出5G商业服务试营,包括:物联网、车联网、智慧医疗、VR/AR、工业4.0等关键应用,将驱动新产业生态链。国际电信联盟IMT-2020也是负责监督5G技术标准制定,日前阐述了5G新技术的优势所在。该机构表示,即将推出的通用规范将支持每平方公里100万个互联网设备、1毫秒延迟以及数据包从一点到另一个点的时间量、更高的能效和频谱效率,以及高达每秒20吉比特(gigabit, GB)的峰值数据下载速度。以自动驾驶汽车为例,车辆间能以0.001秒的速度交换数据。代表:拭目以待;
    缺点:科技发展无止境,5G也肯定有其不足之处,有待各位去发掘;

102、常见的网络攻击方法?

  • 漏洞攻击:黑客利用网络的漏洞,利用针对该漏洞的工具进行如入侵,攻击的行为。无论是操作系统,还是应用程序,协议实现等,都存在大量的漏洞。如何利用漏洞以及利用漏洞能执行什么样的攻击行为取决于该漏洞本身的特性。比较典型的漏洞入侵有:SQL注入入侵,跨站脚步,unicode漏洞入侵等。
  • 协议欺骗攻击:协议欺骗攻击是针对网络协议的缺陷,采用某种欺骗手段,假冒身份来获取信息或取得特权的攻击方式。最常见的协议欺骗攻击有如下几种。
  1. ARP欺骗攻击:利用ARP协议漏洞,通过伪造协议IP地址和MAC地址实现ARP欺骗的攻击技术。
  2. IP欺骗攻击:通过伪造某台主机的IP地址来骗取特权,进行攻击
  3. DNS欺骗攻击:攻击者通过种种欺骗手段,使用户查询(dns)服务器进行域名解析时获得一个错误的IP地址,从而引导用户访问一个错误的站点
  • 木马攻击:与一般的病毒不同,木马不会自我繁殖,它通过将自身伪装,吸引用户下载执行,向施种者提供打开被种木马者计算机的门户,使施种者可以任意破环,窃取被种者的文件,甚至远程操作被种者的计算机。
    常见的木马感染途径如下:
    下载并打开了一个电子邮件附件,该附件中有木马。
    从网上下载了一个由木马伪装的工具软件,游戏程序,软件审计包等。
    通过即时通信工具,发送包含木马的链接或文件,接收者运行后被植入木马。
    黑客利用系统漏洞植入木马。
  • 缓冲区溢出攻击:缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。缓冲区溢出是一种非常普遍,非常危险的漏洞,在各种操作系统,应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败,系统关机,重新启动等,甚至得到系统控制权,进行各种非法操作。
  • 拒绝服务攻击(DOS):分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。
  • 口令入侵:口令入侵,就是指用一些软件解开已经得到但被人加密的口令文档,不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为"Crack"。由于这些软件的广为流传,使得入侵电脑网络系统有时变得相当简单,一般不需要很深入了解系统的内部结构,是初学者的好方法。
  • 常见网络攻击原理

103、FTP有几种模式?几种连接类型?有什么区别?

  • 分为主动模式和被动模式。
  • 主动为服务器发起21端口去访问客户端的随机端口,并通过服务器的20端口来传数据。
  • 被动模式正好相反,由客户端发起连接服务器的21端口,然后服务器随开启一个数据端口来传数据。

104、试简要的分析如下指令的区别cat,tac、more、less、head、tail

cat 正常显示文件
tac 按列逆向显示文件
more 分屏显示
less 分屏显示。支持查找,比more功能稍多
head 显示文件头,默认显示前10行
tail 显示文件尾,默认显示尾10行

105、简要叙述下列端口所运行的服务。

答案:
21:ftp
22:ssh
23:telnet
25:smtp
110:pop3
3306:mysql

106、用tar命令归档并gzip压缩整个/test目录,请写出完整压缩命令和解压命令

答案:
tar -zcvf test.tar.gz /test
tar -zxvf test.tar.gz -C ./

107、描述下列指令的含义

答案:
cd 切换目录
mkdir 创建目录
rm 删除目录或文件
chmod 更改目录和文件权限
chown 更改目录和文件所属主和组
mv 移动或重命名
ls 列出文件或目录
chgrp 更改目录所属组
free 查看内存

108、简述raid0、raid1、raid5三种工作模式的工作原理及特点。

  • Raid0 最简单的模式,就是把N个物理磁盘合成一个总的虚拟磁盘。优点是:能够增加磁盘的IO性能。缺点是:只要有一个磁盘数据不正确,整个虚拟磁盘都会有影响。安全性最差。
  • Raid1 最安全的模式,raid1也叫做镜像盘,都是以偶数形式出现。每个物理盘都有一块与它数据完全一致的磁盘搭配,优点是:在坏掉某一块磁盘时都不会造成数据的损坏。缺点是:磁盘的空间利用率只能达到50%。
  • Raid5 最性价比的模式。raid5是拿一块磁盘的空间来进行奇偶校验,容错能力平均分布所有硬盘上,当其中一块硬盘失效时,可以保证其它成员的硬盘数据正常,所以RAID5的总容量为“(N-1)*最低容量硬盘容量”,对整体而言,raid5容量效率比较高。优点是:在保证了安全性的前提下最大化使用容量。缺点是:会影响整机的性能。

109、我们都知道,dns即采用了tcp协议,又采用了udp协议,什么时候采用tcp协议?什么时候采用udp协议?为什么要这么设计?

答案:
DNS主备服务器之间传输数据时使用tcp,而客户端与DNS服务器之间数据传输时用的是udp。tcp和udp最大的区别在于tcp需要三次握手来验证数据包的完整性和准确性,udp不需要验证,速度比tcp要快。DNS主备数据传输需要保证数据准确性,有必要使用tcp通信,而客户端请求服务端,更需要快,所以用udp。

110、私有IP地址有哪些?

  • A: 10.0.0.0~10.255.255.255 即10.0.0.0/8
  • B:172.16.0.0~172.31.255.255即172.16.0.0/12
  • C:192.168.0.0~192.168.255.255 即192.168.0.0/16

转载:https://blog.csdn.net/heibaikong6/article/details/88031398
查看评论
* 以上用户言论只代表其个人观点,不代表本网站的观点或立场