HCIE面试重点问题总结精简版.docx
- 文档编号:7291418
- 上传时间:2023-01-22
- 格式:DOCX
- 页数:36
- 大小:1.79MB
HCIE面试重点问题总结精简版.docx
《HCIE面试重点问题总结精简版.docx》由会员分享,可在线阅读,更多相关《HCIE面试重点问题总结精简版.docx(36页珍藏版)》请在冰豆网上搜索。
HCIE面试重点问题总结精简版
1、EP端口,它会有什么问题?
如果解决?
根据近期面试情况,关于EP端口带来的问题,请学员在回答时不要再讲临时环路,考官认为,2秒的临时环路是正常的,不应该是问题。
大家可以从以下两个方面来讲:
(1)由于EP收到BPDU报文会失去其边缘端口属性,如果有攻击者向边缘端口发送仿造BPDU报文会导致边缘端口属性变成非边缘端口,参与STP运算,造成原网络振荡。
这时场景如下:
如果收到伪造的报文中根桥的ID比本网络的根桥ID小,会使本网络根桥发生变化。
解决方法:
系统视图下使用stp bpdu-protection命令使能设备的BPDU保护功能。
如果边缘端口收到BPDU报文,EP将会被shutdown,边缘端口属性不变。
(2)EP端口仍然会发送BPDU报文,这可能导致BPDU报文发送到其他网络,引起其他网络产生震荡。
场景:
如果发出的报文中根桥的ID比另网络的根桥ID小,会使另一个网络的根桥发生变化,造成STP重新收敛。
解决方法:
通过在EP端口上配置命令stpbpdu-filterenable便可解决此问题。
在网络边缘设备上配置该命令,使边缘端口不处理、不发送BPDU报文,该端口即为BPDUfilter端口。
注意:
如果端口上配置命令stpbpdu-filterenable,端口将不处理、不发送BPDU报文。
该端口将无法成功与对端设备直连端口协商STP协议状态,请用户慎用,建议只在边缘端口上配置该命令。
追问:
BPDU保护和根保护的区别?
stp bpdu-protection保护用于EP端口,stproot-protection用于DP端口。
回答时,要详细解释它们的主要作用及应该场合。
具体内容请参考宝典或文档。
以下内容从另一个角度分析它们的区别:
它们的功能相似,但二者的影响不同。
交换设备上启动了BPDU保护功能后,如果边缘端口收到RSTBPDU,边缘端口将被error-down,但是边缘端口属性不变。
它有效地阻止了从端口接入的设备参与STP运算,除非undoshutdown或配置自动恢复。
对于根保护来说,只要新接入的设备不试图成为新的根,根防护允许设备参与STP运算。
而且只要新接入的设备停止发送更优的BPDU,处于discarding的指定端口就会自动恢复到forwarding状态。
2、关于ISIS的追问
(1)是否了解IS-ISOverload?
IS-ISOverLoad使用IS-IS过载标记位来标识过载状态。
IS-IS过载标志位是指IS-ISLSP报文中的OL字段。
对设备设置过载标志位后,其它设备在进行SPF计算时不会使用这台设备做转发,只计算该设备上的直连路由。
图1 IS-IS过载示意图
如图1所示,RouterA到10.1.1.0/24网段的报文由RouterB转发,但如果RouterB所发的LSP报文中过载标志位置1,RouterA会认为RouterB的LSDB不完整,于是将报文通过RouterD、RouterE转发到10.1.1.0/24网段,但转发到RouterB直连网段的报文则不受影响。
当系统因为各种原因无法保存新的LSP,以致无法维持正常的LSDB同步时,该系统计算出的路由信息将出现错误。
在这种情况下,系统就可以自动进入过载状态,即通过该设备到达的路由不计算,但该设备的直连路由不会被忽略。
除了设备异常可导致自动进入过载状态,也可以通过手动配置使系统进入过载状态。
当网络中的某些IS-IS设备需要升级或维护时,需要暂时将该设备从网络中隔离。
此时可以给该设备设置过载标志位,这样就可以避免其他设备通过该节点来转发流量。
说明:
∙如果因为设备进入异常状态导致系统进入过载状态,此时系统将删除全部引入或渗透的路由信息。
∙如果因为用户配置导致系统进入过载状态,此时会根据用户的配置决定是否删除全部引入或渗透路由。
(2)是否知道isis中set-overloadwaitforbgp的作用?
问题描述
在isis中set-overload可以设置维持过载标志位,其中waitforbgp是用在什么场景?
解决方案
在BGP网络中,如果新增加一台设备或某个设备重启,由于IS-IS路由的收敛速度快于BGP,如果这时将该设备作为转发节点,会造成流量丢失。
通过配置该命令并指定wait-for-bgp关键字,设备会通告其他设备自己处于Overload状态,不把自己作为流量转发节点,直到BGP完成收敛才清除在LSP中设置的OL(Overload)过载位,从而解决了流量丢失的问题。
如下图的场景:
在BGP的网络里面,假设A去往D设备的业务流量可以分别走B和C,假设B设备故障并重启了,由于isis优于收敛速度快,IGP迅速收敛了,但是BGP收敛较慢,在A设备发现学习去往D的业务流量路由迭代到B设备,那么此时B设备的BGP还未收敛也还未学习到去往D业务的路由信息,就会造成流量缺失。
因此此命令的作用其实就是在等待BGP收敛完成之前不清除LSP的过载位。
3、在LSP主链路恢复后,如何从备份链路LSP回切到主链路LSP?
(大题)
解决方法:
LDP与IGP联动
LDP与IGP联动通过抑制IGP发布正常路由,来保证LDP与IGP联动完成收敛,使得IGP和LDP流量保持一致,最大限度减少流量的丢失,从而提高整网的可靠性。
产生背景
由于LDP的收敛速度依赖于IGP路由的收敛,即LDP的收敛速度比IGP的收敛速度慢,因此在存在主备链路的MPLS网络中有如下问题:
∙当主链路发生故障时,IGP路由和LSP均切换到备份链路上(常通过LDPFRR实现)。
但当主链路从故障中恢复时,由于IGP路由比LDP收敛速度快,IGP会先于LDP切换回主链路,因此造成LSP流量丢失。
∙当主链路正常,但主链路节点间的LDP会话发生故障时,IGP路由仍然使用主链路,而主链路的LSP被删除。
同时,由于备份链路不存在IGP路由,故LSP无法在备份链路建立,导致LSP流量丢失。
∙当某节点发生主备倒换时,LDP会话的建立可能晚于IGP的GR结束,从而IGP发布链路的最大开销值,导致路由振荡。
MPLS提供了LDP与IGP联动机制来避免上述问题的发生。
相关概念
LDP与IGP联动包括三个定时器:
∙Hold-downtimer:
用于抑制IGP邻居建立的时长。
∙Hold-max-costtimer:
用于控制通告接口链路的最大cost值的时长。
∙Delaytimer:
用以控制等待LSP建立的时间。
实现过程
∙如图1所示,当主备链路发生切换时,不同场景下的LDP与IGP联动切换过程如下:
图1 主备链路切换
▪主链路物理故障后恢复
1.LSR_2与LSR_3之间链路故障后恢复;
2.LSR_2与LSR_3之间建立LDP会话,同时IGP抑制邻居关系的建立并根据情况启动Hold-downtimer;
3.流量仍然会按照原来的LSP转发;
4.链路故障恢复后,LSR2与LSR3可以相互发现LDP邻居,LDP会话建立(LSR2-LSR3的路由存在,路由路径:
LSR2-LSR4-LSR5-LSR3),LSR2与LSR3相互发送mapping消息建立LSP,通告IGP启动同步;
5.IGP启动邻居关系建立,IGP收敛到主链路上,LSP重新建立并收敛到主链路上。
▪主链路IGP正常,LDP会话故障
6.主链路节点间LDP会话故障;
7.LDP通告IGP主链路会话故障,IGP启动Hold-max-cost定时器,并在主链路发布最大开销值;
8.IGP路由切换至备份链路;
9.LSP在备份链路重新建立并下发转发表项。
为防止LDP会话一直不能重新建立,可通过配置Hold-max-cost定时器为永久发布最大开销值,使流量在主链路的LDP会话重新建立之前,一直都使用备份链路。
∙如图2所示,当系统发生主备倒换时,LDP与IGP联动的具体过程如下:
图2 节点主备倒换
2.GRRestarter端的IGP会先发布正常开销值,并启动内部定时器Delaytimer等待LDP会话建立,然后再结束GR。
3.Delaytimer超时前,GRHelper端一直保留路由和LSP不会被删除,所以当LDP会话进入Down状态时,LDP不会通告IGP链路会话失效,使IGP仍然发布链路的正常开销值,保证IGP路由不会切换到备份链路。
Delaytimer超时后,GR结束;如果此时LDP会话还没有建立,则IGP启动Hold-max-cost定时器,并发布接口链路的最大开销值,使IGP路由切换备份链路上。
4.当LDP会话重新建立或Hold-max-cost定时器超时时,IGP恢复本地链路的正常开销值,使IGP路由回切到主用链路上。
ARP攻击种类及防范方法(限速)
⑴ARP泛洪攻击,也叫拒绝服务攻击DoS(DenialofService),
主要存在这样两种场景:
A,处理ARP报文和维护ARP表项都需要消耗系统资源,同时为了满足ARP表项查询效率的要求,一般设备都会对ARP表项规模有规格限制。
攻击者就利用这一点,通过伪造大量源IP地址变化的ARP报文,使得设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致正常通信中断。
B,本网段主机或者进行跨网段扫描时,会向设备发送大量目标IP地址不能解析的IP报文,导致设备触发大量ARPMiss消息,生成并下发大量临时ARP表项,并广播大量ARP请求报文以对目标IP地址进行解析,从而造成CPU(CentralProcessingUnit)负荷过重。
⑵ARP欺骗攻击,是指攻击者通过发送伪造的ARP报文,恶意修改设备或网络内其他用户主机的ARP表项,造成用户或网络的报文通信异常。
MPLS/ldp标签的分发方式
MPLS:
多协议标签交换
1,为什么需要使用MPLS
由于路由器的转发效率较慢,开发MPLS加快数据的转发;封装在二层与三层之间,在路径转发时,不需要查三层的IP,只需要查找到2.5层,所以可以提高了转发效率。
⑴RIB:
路由表,控制层面,由路由协议生成,RIB中有递归过程。
⑵LIB:
标签信息表,控制层面,由标签分配协议生成,包含标签与FEC的对应关系,LIB包含所有的标签,无论是优的还是次优的。
⑶FIB:
转发信息数据库,转发层面,数据包到达设备后查找FIB,从而知识如何转发。
FIB里没有递归(当去往目标路由的下一跳不是直连下一跳时,会产生递归)过程
⑷LFIB:
标签转发数据库,转发层面,标签与FEC的对应关系,只有最最优的标签,指导标签数据包转发。
⑴标签的范围0~15为特殊标签,3号标签标示隐式空标签,0号标签标示显示空标签16~1023为静态分配标签的范围1024以上为动态分配标签,动态分配标签的方式有三种:
LDP,MPBGP,RSVP-TE
⑵TTL处理的两种方式
Uniform:
统一方式保持IP和MPLS的TTL值相同,可以统计MPLS中有多少个路由器,每经过一台路由器TTL值减1,无论是MPLS还是IP
Pipe:
管道方式,在入节点,IPTTL值减1,MPLSTTL字段为固定值,此后报文在MPLS网络中按照标准的TTL处理方式处理。
在出节点会将IPTTL字段的值减1。
即IP分组经过MPLS网络时,无论经过
多少跳,IPTTL只在入节点和出节点分别减1。
无法了解MPLS中有多少个节点
●详述MPLS数据包的转发过程
分两层面进行讲解,控制层面与转发层面
控制层面:
负责标签的分配,下游向上游分配标签。
转发层面:
MPLSLDP
标签分发协议,自动分配标签,自动构建LSP(标签交换隧道)
LDP默认只会为IGP分配标签,而且只为32位主机路由分配标签。
可使用命令:
lsp-trigger修改
LDP的消息类型(参考报文格式大全)
⑴发现(Discovery)消息:
用于通告和维护网络中LSR的存在。
⑵会话(Session)消息:
用于建立、维护和终止LDP对等体之间的会话。
⑶通告(Advertisement)消息:
用于创建、改变和删除FEC的标签映射。
⑷通知(Notification)消息:
用于提供建议性的消息和差错通知。
LDP邻居建立的过程
A,发现阶段(UDP;646;hello,目的地址为224.0.0.2):
发现对端的LSR-id
B,会话建立阶段(TCP;646;大向小):
TCP三次握手,地址大的向地址小的建立TCP连接
LDP标签的发布与管理方式(画图说明)
A,标签发布方式(LabelAdvertisementMode):
在MPLS体系中,由下游LSR决定将标签分配给特定FEC,再通知上游LSR,即标签由下游指定,标签的分配按从下游到上游的方向分发
3,RT与RT与RD的作用
RD:
区分实例,标记路由,只在本地有效,区分不同站点的相同路由
RT:
对路由进行控制,控制路由的导入与导出
什么是VPNV4路由?
通过把64bit的RD值+32bit的IPV4的路由就形成了96bit的VPNV4路由
4,常见的扩展团体属性有哪些?
RTSoOcost-community
5,命令policy-vpn-target的作用
收到一条VPNV4路由,要查看RT值是否和自己的import方向的RT值是否相同,如果不同则不收,如果关闭了这个功能,那么收到了一条VPNV4的路由首先会收入自己的VPNV4路由表,再查看是否对应自己的RT值,如果不匹配则只存在于自己的VPNV4路由表中,不会放入实例路由表。
双标签的作用,由哪种协议分配
公网标签的作用:
负责数据包在公网的传输
私网标签的作用:
指导数据包进入相应的实例
公网标签(外层标签)由LDP分配,私网标签(内层标签)由MP-BGP分配,如果只有外层标签的话,由于LDP分配的3号标签会进行次末跳弹出,进行IPV4转发,但是在MPLSVPN中并不识别IPV4的路由,就无法转发数据包而丢弃,所以这时需要通过内层标签,进行转发,通过标签与实例的对应关系,就知道转发到哪个实例
如果对MPLSVPN进行汇总,那就会造成LSP的断裂,形成黑洞
ospf有哪些区域及各区域会产生哪些Lsa
MTU(默认不检查,不一致时会停留在哪种状态):
如果开启了MTU检查,如果双方MTU不一致,则一方停留在Exstart状态,另一方停留在Exchange阶段
⑼网络类型(四种,当两边不一致是否一定建立不了邻居,如果能建立会不会有问题,哪种网络类型发送单播,哪种发送组播)(详情见视频)
双方网络类型不一致,不能建立FULL的邻接关系,但如果修改HELLO,DEAD时间,可以建立邻居关系(除了NBMA这种网络类型,NBMA即使修改时间也无法和其他网络类型建立邻居关系),P2P和P2MP可以建立FULL的邻居关系,其他网络类型两两之间都无法建立FULL的邻居关系。
6,如何减小OSPFLSDB的大小
⑴分区域设计:
因为1,2LSA只在本区域泛洪,分区域设计可以减少每个区域1\2类LSA的数量
⑵特殊区域:
特殊区域无法传递5LSA,可以减少OSPFdomain中5LSA的数量
⑶过滤(方法有几种):
过滤的方式有三种:
(1)filter命令过滤3LSA,在区域下使用,可以在import和export方向
(2)filterlsaout命令过滤3LSA,5LSA,7LSA,ALL(3)filter-policy,在OSPF执行了SPF计算后,进行路由过滤。
⑷汇总:
summary+no-advertise,汇总也可以执行过滤。
需要注意做了虚链路的区域不能针对area0的路由进行汇总,否则可能会产生环路
7,OSPF路由选路的原则,及在什么情况下会负载
⑴选路原则:
区域内的>区域间的>TYPE1>TYPE2
⑵外部路由负载条件:
1cost一致,2区域一致
OSPFV2与V3的区别(ospfv3详情请参考IPV6视频)
⑴V2有认证,V3无认证(通过ipv6实现)
⑵V2基于IP,V3基于链路
⑶V3实现了拓扑与路由的分离(1,2LSA中不再有网络信息)
⑷V3头部增加了实例号字段,可以实现一个接口配置多个进程
⑸报文发送的目的地址不同
⑹V3必须手工指定router-id
⑺增加了两类LSA,Type8:
Link-LSA;Type9:
Intra-Area-PrefixLSA(需要明白这两条LSA的作用)
OSPFV2与V3的相同点:
1>网络类型和接口类型。
2>接口状态机和邻居状态机。
3>链路状态数据库(LSDB)。
4>洪泛机制(Floodingmechanism)。
5>相同类型的报文:
Hello报文、DD报文、LSR报文、LSU报文和LSAck报文。
6>路由计算基本相同。
OSPF认证
1,OSPF认证携带在哪?
答:
携带在头部,需要知道头部的具体信息。
2,认证序列号的作用?
答:
防重放攻击
3,OSPF中一边区域认证,一边接口认证能不能建立起邻居?
答:
OSPF可以,因为认证信息都是头部携带。
4,ISIS中一边区域认证,一边接口认证能不能建立起邻居?
答:
ISIS不行,接口认证与区域认证的报文不一致。
5,ISIS认证区域认证,路由域认证,接口认证的区别?
答:
接口认证:
是指使能IS-IS协议的接口以指定方式和密码对Level-1和Level-2的Hello报文进行认
证。
区域认证:
是指运行IS-IS的区域以指定方式和密码对Level-1的SNP和LSP报文进行认证。
路由域认证:
是指运行IS-IS的路由域以指定方式和密码对Level-2的SNP和LSP报文进行认证
IPSG与DAI的场景?
IP源防护IPSG(IPSourceGuard)是一种基于二层接口的源IP地址过滤技术,它能够防止恶意主
机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问
网络或攻击网络。
DAI(动态arp检测)
动态ARP检测是利用绑定表来防御中间人攻击的。
当设备收到ARP报文时,将此ARP报文对应的源
IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用
户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。
解释NAT过程?
答:
NAT是将IP数据报报头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有
IP地址)访问外部网络(公有IP地址)的功能。
NAT可以将穿过网络设备的数据的IP包头内的源目标地址进行转换,有时也会用来转换4层端口号
NAT分静态,动态,和PAT3种做法:
1.静态NAT
在进行NAT时,内部网络主机的IP同公网IP是一对一静态绑定的,静态NAT中的公网IP只会给
唯一且固定的内网主机IP转换使用。
是指“内部网络主机的IP+协议号+端口号”同“公网IP+协议
号+端口号”是一对一静态绑定的,静态NAPT中的公网IP可以为多个NAPT条目使用通常用来
对外网主动发起访问内网服务器的数据应用进行放行。
支持内网主机发起对外网主机的访问,
以及外网主机发起对内网主机的访问。
2.动态NAT
使用地址池(有1个或多个地址),有数据包要穿越设备时,通过动态地从地址池里选出可
用的地址,进行1对1翻译,并且放行。
3.NAPT(PAT)NAPT(NetworkAddressPortTranslation)能实现并发的地址转换。
它允许多个内部地址映射
到同一个或少量公有地址上,非正式的也可称之为“多对一地址转换”或地址复用。
NAPT映射IP地址和端口号,来自不同内部地址的数据报可以映射到同一公有地址的不同端口号上,因而仍然能够共享同一公有地址
<1>NATALG:
NAT和NAPT只能对IP报文的头部地址和TCP/UDP头部的端口信息进行转换。
对于
一些特殊协议,例如ICMP、FTP等,它们报文的数据部分可能包含IP地址或端口信息,这些内
容不能被NAT有效的转换。
NATALG应用场景:
一个使用内部IP地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地
址发送给对方。
而这个地址信息是放到IP报文的数据部分,NAT无法对它进行转换。
当外部网
络主机接收了这个私有地址并使用它,这时FTP服务器将表现为不可达。
解决这些特殊协议的NAT转换问题的方法就是在NAT实现中使用应用层网关ALG
(ApplicationLevelGateway)功能。
ALG是对特定的应用层协议进行转换,在对这些特定的应用层协议进行NAT转换过程中,通过NAT的状态信息来改变封装在IP报文数据部分中的特定数据,最终使应用层协议可以跨越不同范围运行。
<2>NAT-PT:
NAT-ProtocolTranslation是在IPv6网络和IPv4网络之间的转换机制;NAT-PT路由器的
工作是把从IPv6网络来的IPv6数据包转换为IPv4数据包,或者把从IPv4网络来的IPv4数据包转换
为IPv4数据包。
详述OSPF邻接关系建立过程
OSPF共有8种状态机,分别是:
Down、Attempt、Init、2-way、Exstart、Exchange、Loading、Full。
⑴Down:
邻居会话的初始阶段,表明没有在邻居失效时间间隔内收到来自邻居路由器的Hello数据包。
⑵Attempt:
该状态仅发生在NBMA网络中,表明对端在邻居失效时间间隔(deadinterval)超时后仍然没有回复Hello报文。
此时路由器依然每发送轮询Hello报文的时间间隔(pollinterval)向对端发送Hello报文。
⑶Init:
收到Hello报文后状态为Init。
⑷2-way:
收到的Hello报文中包含有自己的RouterID,则状态为2-way;如果不形成邻接关系则邻居状态机就停留在此状态,否则进入Exstart状态。
⑸Exstart:
如果形成邻居关系,则从Init状态转到Exstart状态,开始协商主从关系,并确定DD的序列号。
⑹Exchange:
主从关系协商完毕后开始交换DD报文,此时状态为Exchange。
⑺Loading:
DD报文交换完成即Exchangedone,此时状态为Loading。
⑻Full:
LSR重传列表为空,此时状态为Full
影响OSPF邻接关系建立的因素(10条)
⑴Route-ID(Route-ID冲突导致的问题,导致路由震荡
⑵接口区域ID:
区域ID包含在osp
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- HCIE 面试 重点 问题 总结 精简