防火墙
  1. USG防火墙的servermap表的三要素:目的IP、目的端口号、协议号
  2. USG防火墙默认安全区域有四个:

Trust:该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。
Untrust:该区域代表的是不受信任的网络,通常用来定义Internet 等不安全的网络。
DMZ(Demilitarized非军事区):该区域内网络的受信任程度中等,通常用来定义内部服务器(公司OA系统,ERP系统等)所在的网络。
Local:防火墙上提供了Local 区域,代表防火墙本身。比如防火墙主动发起的报文(我们在防火墙执行ping测试)以及抵达防火墙自身的报文(我们要网管防火墙telnet、ssh、http、https)

  1. 安全级别(Security Level),在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1-100 的字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:

Local 区域的安全级别是100,Trust 区域的安全级别是85,DMZ 区域的安全级别是50,Untrust 区域的安全级别是5。

  1. 防火墙的工作模式:路由、透明、混合
    路由模式
    防火墙在路由模式下工作,需要连接网络的接口配置IP地址,这个时候华为防火墙就相当于一台路由器,同时也提供防火墙的其他服务。大多数情况下,防火墙都是处于这个模式下,介于公司的内网和外网之间。
    透明模式
    在这个模式下,它的作用又比较像交换机,接口没有配置IP,但是因为这种模式太过奢侈,除非特殊的情况,才会把华为防火墙当作交换机使用。
    混合模式
    混合模式就是将以上两种模式进行结合使用,如果华为防火墙即存在路由模式的接口(接口配置了IP),又存在工作在透明模式的接口(接口无IP地址),则防火墙工作在混合模式下。
  2. 包过滤防火墙

提供了对分片报文进行检测过滤的支持,它可以过滤:后续分片报文、非分片报文
包过滤防火墙对网络层的数据报文进行检查
包过滤防火墙的主要特点:能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。

  1. 状态检测防火墙

<1>状态检测防火墙对报文进行检查时,只需要对该链接的第一个数据包进行访问规则的匹配,该链接的后续报文直接在状态表中进行匹配。
<2>状态检测防火墙处理非首包的数据流时,比包过滤、代理、软件防火墙效率高,它的特点:后续包处理性能优异。
<3>状态检测防火墙使用会话表来追踪激活的TCP会话和UDP会话,由防火墙安全策略决定建立哪些会话,数据包只有与会话相关联的时候才会被转发。

  1. 如果防护墙没有配置安全策略,或查找安全策略,所有的安全策略都没有命中,则默认执行域间的缺省包过滤动作:拒绝通过。
  2. 在防火墙ping防火墙某接口IP时,这些报文将交给防火墙内部模块处理,并不被转发出去。
  3. 同一安全区域的主机与服务器互访时同样需要NAT进行地址转换。
  4. 域间安全策略按照排列顺序匹配,排列在前的优先匹配。
  5. 包过滤防火墙只对网络层的数据报文进行检查,包过滤防火墙能够完全控制网络信息的交换机,控制会话过程,具有较高的安全性。
  6. 关于USG防火墙两接口被划分到同一区域,那么两目的端口数据包流动也必须经过域间包过滤处理过程。
  7. 在vAR应用场景,可将AR路由器的防火墙、VOIP、NAT、VPN功能虚拟化到server上。
  8. 关于配置防护墙安全区域的安全级别的描述:

只能为自定义的安全区域设定安全级别
安全级别一旦设定,不允许更改
同一系统中,两个安全区域不允许配置相同的安全级别,但不同接口可以配置属于同一安全区域

  1. 在防火墙查询NAT转换结果的命令是:disp nat translation
Security
  1. 单包攻击分为三类

扫描窥探攻击、畸形报文攻击、特殊报文攻击。

  1. 中间人攻击或IP/MAC Spoofing

中间人攻击或IP/MAC Spoofing攻击都会导致信息泄露等危害,且在内网中比较觉,为了防止中间人或IP/MAC Spoofing攻击,可以在交换机上配置DHCP Snooping域DAI或IPSG进行联动。

  1. MAC地址欺骗攻击描述

<1>利用了交换机MAC地址学习机制
<2>攻击者可以通过伪造的源MAC地址数据帧发送给交换机来实施MAC地址欺骗攻击
<3>会导致交换机要发送到正确目的地的数据被发送给攻击者

  1. ARP欺骗

ARP欺骗会导致:设备ARP缓存表资源被耗尽、用户发送的数据被攻击者窃取、过多的ARP报文造成设备的cpu负荷过重、用户无法访问外网或反复掉线。

  1. DHCP Snooping

DHCP Snooping是一种DHCP安全特性,可以用于防御多种攻击
<1>用来防止DHCP Server仿冒者攻击
<2>用来防止ARP欺骗攻击
<3>防御改变Chaddr值的饿死攻击
<4>防御中间人攻击和IP/MAC Snooping攻击
<5>防止对DHCP服务器的DOS攻击、结合IPSG功能对数据包的源IP地址进行检查(解决源IP欺骗攻击)。

  1. 网络层攻击(缺乏每种攻击的补充,后续补上)

IP攻击
ICMP攻击
Smurf攻击:攻击者通过发送ICMP应答请求,并将请求包的目的地址设为受害网络的广播地址,以实现攻击目的。

  1. 关于DHCP Server仿冒者攻击

仿冒者通过仿冒DHCP服务器向终端下发错误的IP地址和网络参数,导致用户无法上网,在华为二层交换机上使用DHCP Snooping功能并开启信任接口能够有效保障客户端从合法DHCP Server上获取IP地址和网络参数。

  1. 关于DHCP Server拒绝服务攻击?

DHCP拒绝服务攻击通过不断修改DHCP request报文中CHADDR字段来消耗地址资源,会将DHCP地址池中的IP地址资源快速耗尽,DHCP服务器地址资源被耗尽后将不会再处理和响应DHCP请求报文。

  1. Web服务器中勒索病毒?

企业内网有一对外的网站服务,由于未及时修复服务器补丁,该网站服务器感染了勒索病毒,服务器主机中的文件被加密,IT经理批准立即使用备机恢复网站正常运营,作为IT管理员,你应该如何处理?
1.备机上线前完成补丁修复工作
2.联系安全服务工程师应急响应,协助割接
3.已感染的服务器拔掉网线隔离处理
修改备用服务器地址作为主服务器地址

  1. ARP Miss与ARP Miss攻击

ARP Miss描述:设备在转发时因匹配不到对应的ARP表项而上报的消息,首先这个Arp miss不是一种报文,而是一种“流程”
一个192.168.0.0/24的网段,如果192.168.0.1和192.168.0.2通信,那么正常的情况下192.168.0.1会发送一条Arp请求,目的是为了获取192.168.0.2的mac地址,这是正常的arp,
但192.168.0.1所在的网段是192.168.0.0/24网段,如果192.168.0.1要和10.1.1.1通信,正常情况下,192.168.0.1依旧会发送一条Arp请求,但很明显,在该网段是请求不到10.1.1.1的mac地址的,那么这个网段的“网关”收到这条Arp请求后,会向192.168.0.1发送一条代理Arp(我不知道楼主知不知道代理Arp,意思是说网关会告诉192.168.0.1我就是10.1.1.1),但是网关毕竟不是真正的10.1.1.1,网关会使用cpu向“去往10.1.1.0/24网段的下一跳”发送一条arp请求,询问谁是10.1.1.1这个过程就是Arp-miss的过程。
说起这个Arp miss,可以谈起一种网段扫描的攻击方式就是耗尽arp缓存,从而实现拒绝服务。
(ARP Miss消息处理需要发送ARP请求出去,会消耗CPU资源,然而资源有限)
如果一台电脑,在不停的询问某个非本地网段里的所有ip地址时(比如地址扫描)
此时会产生大量的arp 请求,说不定就耗尽了资源,从而实现了攻击
对此华为有Arp miss的抑制手段
“对于同一个源IP发送的触发ARP-MISS流程的报文,一秒钟内如果超过门限值(默认为5个),系统会认为这是一种非法的攻击报文,就会针对该ip地址下发一条ACL规则,丢弃该源IP发送的所有需要上送CPU处理的报文;如果50s之内系统没有再次检测到该源ip发送的报文有arp-miss超过门限的情况,该ACL规则会自动删除,触发arp-miss流程的报文可以继续上送CPU处理。”(转至百度)

  1. 五元组:源IP地址、目的IP地址、协议号、源端口、目的端口
VRRP(虚拟路由冗余协议)
  1. VRRP的IP地址和虚拟IP可以相同,报文支持认证,VRRP报文的IP协议号是112。
  2. VRRP可以同接口track、BFD、NQA、ip-link机制结合来监视上行链路的连通性。
  3. VRRP设备在备份组中的默认优先级为:100,
  4. 关于VRRP描述:

1.VRRP组中的路由器根据优先级选举出Master
2.Master路由器通过发送免费ARP报文,将自己的虚拟MAC地址通知给与它连接的设备或主机
3.如果Master路由器出现故障,虚拟路由器中的Backup路由器将根据优先级重新选举新的Master。

  1. 配置VRRP抢占时延的命令
    Vrrp vrid 1 preempt-mode timer delay 20
  2. 关于VRRP master设备的描述:

定期发送VRRP报文
以虚拟MAC地址响应对虚拟IP地址的ARP请求
转发目的MAC地址为虚拟MAC地址的IP报文

  1. 关于VRRP slave设备描述:

当slave收到master发送的vrrp报文时,可判断master状态是否正常,
当收到优先级为0的vrrp报文时,slave会直接切换到master,
slave会丢弃目的mac为虚拟mac地址的ip报文。

8.在VRRP中,当设备状态变成Master后,会立刻发送免费ARP来刷新下游设备的MAC表项,从而把用户的流量引到此台设备上来。

BFD
  1. BFD概述
    BFD是一种双向转发检测机制,可以提供毫秒级的检测,可以实现链路的快速检测,BFD通过与上层路由协议联动,可以实现路由的快速收敛,确保业务的永续性。
  2. BFD Echo报文采用UDP封装,目的端口号为3784,源端口号在49152到65535的范围内。
  3. BFD控制报文封装在UDP报文中进行传输,那么多跳BFD控制报文的目的端口号是4784。
  4. 设备所有接口都开启BFD和OSPF联动使用命令:bfd all-interface enable
  5. BFD控制报文封装在UDP报文中进行传送,多跳BFD控制报文的目的端口号为:4784,VRP版本支持的BFD 版本号是version1。
  6. 在不使用BFD检测机制的情况下,通过以太网链路建立邻居关系的OSPF路由器,在链路故障后,最长需要40S才会中断邻居关系。
  7. 如果两台设备相连,一台支持BFD检测,另一台不支持,这种情况支持BFD的设备可以使用单壁回声特性来实现。
  8. 设备间建立BFD会话过程中,会经历Down、Init、UP
  9. 关于BFD会话建立方式:

静态配置BFD会话是指通过命令行,手工配置BFD会话参数,包括本地标识符和远端标识符。
动态建立BFD会话时,动态分配本地标识符。
系统通过划分标识符区域的方式,来区分静态BFD会话和动态BFD会话。

  1. BFD检测可以同哪些协议模块联动:VRRP、OSPF、BGP、静态路由
Agile Controller(业务编排)

业务编排模块可以实现在网络接入设备上对特定组流量指定策略,按照指定的编排顺序进行流量调度,规定流量需要被哪些安全设备处理,以及处理的先后顺序。对于访客、不安全区域的用户流量往往需要进行业务流调度至安全资源中心进行检测;
业务编排将原来物理设备的能力,抽象成虚拟服务概念,对用户屏蔽具体的物理形态,针对具体的业务,将业务流量引流至相应的处理服务结点;

  1. Agile Controller服务器的角色有:业务控制器、业务管理器、安全态势管理器。
  2. Aglie Controller功能组件:业务随行、业务编排、准入控制、安全协防
  3. 关于Agile Controller 的访客账号申请方式可以由接待员工创建
  4. Agile Controller支持802.1x、portal、MAC旁路、SACG准入方式
  5. 业务编排亮点:
    <1>灵活组网:基于三层GRE隧道进行编排,业务设备的组网方式,部署位置更加灵活
    <2>可视化编排,简化管理:通过拓扑可视化进行业务编排,配置简单,管理便捷
    <3>方便扩展:业务设备的增删不改变现网转发路由不改变现网物理拓扑
  6. 业务编排的访客接入管理的场景:
    <1>客户访问企业公共资源或Internet
    <2>民众通过公共单位提供的网络访问Internet
  7. 关于Agile Controller业务随行描述:
    1.管理员在配置业务随行时,应该选择合适的用户认证点和策略执行点
    2.在业务随行中,通过矩阵关系来描述一个安全组到另一个安全组的访问权限关系
    3.在业务随行中,通过指定某些VIP用户所属安全组的转发优先级,来保证这部分人员的网络使用体验
  8. 关于Agile Controller的业务编排概念:
    <1>业务编排中,用户控制列表是针对用户级别的ACL控制,使用数据包的源安全组、目的安全组、端口号等内容定义的规则。
    <2>编排设备是指对业务流进行有序引导的设备,一般指交换机
    <3>业务设备是指对编排设备引入的业务流进行安全业务处理的设备,主要包括防火墙、防病毒设备和上网行为控制设备。
  9. 对Agile Controller的准入控制技术的应用场景描述:

<1>MAC认证中,用户终端以MAC地址作为身份凭据认证服务器上进行认证,MAC地址认证主要用于IP电话、打印机等终端设备的认证。
<2>802.1x认证使用EAP认证协议,实现客户端、设备端和认证服务器之间认证信息交换。
<3>portal认证也称为web认证,用户通过web认证页面,输入用户账号信息,实现对终端用户身份的认证。

  1. 对Agile Controller的业务随行应用场景的描述:

<1>各部门人员访问服务器资源时,权限策略都由 Agile Controller统一部署,而管理员只需要关注部门间互访关系的设定,并选取园区中关键位置设备作为策略执行点,部署完成后,无论用户在何位置,以何种方式接入,都可以获得访问权限。
<2>可实现外包人员与内部员工协作办公,并基于策略与IP,结合策略自动部署功能,可以快速实现多团队一起办公,同时保证每个用户都能够拥有正确的网络访问权限,还可以根据需要控制团队成员间的数据共享行为,保障企业数据安全。
<3>当网关资源有限时,可结合自动优选网管和VIP优先上线,实现保证VIP用户可享有优质网络的体验。

  1. 在Agile Controller的无线准入控制场景中:

推荐为内部员工和设置不同的SSID控制接入来控制内部员工和访客接入网络。

RADIUS
  1. 什么是RADIUS?
    radius 是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。
  2. Radius服务器作用?
    RADIUS 服务器负责接收用户的连接请求、认证用户,然后返回客户机所有必要的配置信息以将服务发送到用户。
  3. 802.1x和Radius关系:802.1x和Radius是不同的技术,但经常配合在一起使用,共同完成对终端用户的准入控制。
NFV(网络功能虚拟化)
  1. 什么是NFV?
    网络功能虚拟化( NFV),一种对于网络架构的概念,利用虚拟化技术,将网络节点阶层的功能,分割成几个功能区块,分别以软件方式实作,不再局限于硬件架构。
  2. NFV框架内的功能组件:VIM、VNF、VNFM
  3. NFV中的VIM管理模块主要功能包括资源发现、资源分配、资源管理及故障处理。
  4. NVF常常部署在数据中心、网络节点、用户接入侧。
  5. NFV的定义是网络功能虚拟化。
  6. NFV优点:减少设备成本、缩短网络运营业务创新周期、单一平台为不同应用、租户提供服务。
  7. 在NFV架构中具体底层物理设备主要包括:存储设备、网络设备、服务器
SDN(软件定义网络)

软件定义网络(Software Defined Network,SDN)是由美国斯坦福大学CLean State课题研究组提出的一种新型网络创新架构,是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台。

  1. SDN采用分层的开放架构,定义集中式架构和Openflow的是ONF。
  2. SDN基本工作过程包括哪些步骤:拓扑信息搜集、网元资源信息收集、生成内部交换路由。
  3. SDN控制器可以根据网络状态智能调整流量路径,以达到提升整网吞吐的目的。
  4. SDN网络体系架构主要分为协同应用层、控制层与转发层。
TCP全局同步、NAT、FTP、H.323

TCP同步指的是收发两方的同步。本来收发双方是异步的,发端不知道网络的容量,不知道收端的实时接收速度,发端不知道收端的情况。但是通过滑动拥塞窗口,通知接收窗口和ACK clocking等机制,实现了拥塞控制和流量控制

  1. 为避免TCP全局同步,可使用RED和WRED这两种拥塞避免机制。
  2. 多通道协议:FTP、H.323

在传统电话系统中,一次通话从建立系统连接到拆除连接都需要一定的信令来配合完成。同样,在IP电话中,如何寻找被叫方、如何建立应答、如何按照彼此的数据处理能力发送数据,也需要相应的信令系统,一般称为协议。在国际上,比较有影响的IP电话方面的协议包括ITU-T提出的H.323协议和IETF提出的SIP协议

  1. 在网络层中,报文长度、源、目标IP、TOS字段都可以对报文进行分类。
  2. 地址转换技术优点:

使内部网络用户更便捷访问Internet
使内部局域网的主机共享一个IP地址上网
可以屏蔽内部网络的用户,提高内部网络安全性

  1. Round Robin

Round Robin(中文翻译为轮询调度)是一种以轮询的方式依次将一个域名解析到多个IP地址的调度不同服务器的计算方法。
Round Robin调度方式是按每个队列定义的字节数轮询发送的,而且每个队列的带宽比例等于本队列定义的字节数与所有队列字节数之和的比值。

镜像

镜像简介:
镜像是指将经过指定端口(源端口或者镜像端口)的报文复制一份到另一个指定端口(目的端口或者观察端口)。
镜像目的:
在网络运营与维护的过程中,为了便于业务监测和故障定位,网络管理员时常要获取设备上的业务报文进行分析。
镜像可以在不影响设备对报文进行正常处理的情况下,将镜像端口的报文复制一份到观察端口。网络管理员通过网络监控设备就可以分析从观察端口复制过来的报文,判断网络中运行的业务是否正常。
端口镜像是指设备复制从镜像端口流经的报文,并将此报文传送到指定的观察端口进行分析和监控。端口镜像根据监控设备在网络中位置的不同,分为本地端口镜像和远程端口镜像。

流镜像是对某些流进行镜像,每个连接都有两个方向的数据流,对于交换机来说这两个数据流是要分开镜像的。有二层流镜像和三层流镜像,针对出口流的镜像,入口流的镜像。端口镜像就是指定特定端口的数据流量映射到监控端口,以便集中使用数据捕获软件进行分析。流镜像是指按照一定的数据流分类规则对数据进行分流,然后将属于指定流的所有数据映射到监控端口,以便进行数据分析。端口镜像顾名思义就是针对端口所做的镜像操作。流镜像可以通过acl匹配合适的流,所以功能更加强大.
流镜像可以通过ACL做也可以通过MQC做

  1. 镜像分为两种,分别是流镜像、端口镜像
  2. 流镜像也分为两种,分别是本地流镜像、远程流镜像
  3. 在华为路由器上配置远程端口镜像功能,实现将远程端口镜像出去的报文,可以通过三层IP网络传送到监控设备,命令是:
Observe-server destination-ip 10.1.1.1 source-ip 192.168.1.1
  1. 在华为路由器上,将接口配置为本地观察端口的命令是:
Observe-port interface ethernet 2/0/1
  1. 数据采集的方法:分光器物理采集、通过端口镜像采集、NMS集中采集
  2. 镜像要求所采集的数据实时、真实、可靠
  3. 镜像端口的主要角色分为镜像端口、本地观察端口、远程镜像端口
eSight平台

提供存储、服务器、应用、交换机、路由器、防火墙、WLAN、PON网络、无线宽带集群设备、视频监控、IP话机、视讯设备等多种设备的统一管理

  1. 华为的企业网管产品是esight,有精简、标准、专业三个版本,专业比标准版多了支持分层的管理模型。
  2. 在eSight中可以根据生效时间、生效时段、告警源及告警条件来设置告警屏蔽规。
  3. eSight网管支持的远程告警通知方式是邮件和短信。
  4. 使用eSight对历史告警进行查询时,可以按照下列条件进行告警:告警级别、首次发生时间、告警源、告警名称。
  5. 在eSight中,网元发现方式支持的协议:SNMP、ICMP协议
  6. 使用eSight初始添加设备后,拓扑元素的排列都是随机的,不能体现实际网络结构,所以还需要根据实际的网络组网进行位置调整或选择拓扑提供的自动布局功能。
  7. eSight缺省角色有administrator、monitor、operator
  8. 传统网络的局限性:

网络协议实现复杂,运维难度较大
流量路径的调整能力不够灵活
网络新业务升级的速度较慢

  1. 华为eSight支持如指定某IP、指定某网段或通过excel表格(指定IP)进行导入。
    10.华为eSight描述:向导式安装,轻量级系统、面对不同的客户提供相应的解决方案、支持对多厂商设备进行同一管理。
    11.eSight物理拓扑监控的功能描述:

图形化的展示网元、子网、链路的布局及状态
精确可视化的监控全网网络运行状态
系统的展现全网网络结构及网络实体在业务上的关系
整个网络监控的入口,实现高效运维

  1. 在eSight网管侧,需要配置的参数有模板名称、SNMP版本、读写团体字、网元端口、超过时间以及重发次数。其中:SNMP版本、网元端口、读写团体字必须与设备上配置信息所吻合。
  2. eSight系统日志

主要记录eSight发生的事件,如eSight运行异常、网络故障、eSight受到攻击等,有利于分析eSight运行状态,排除故障。

  1. 华为eSight创建的缺省角色:Administrator、Monitor、Operator
VXLAN

VXLAN是一种网络虚似化技术,可以改进大型云计算在部署时的扩展问题,是对VLAN的一种扩展。VXLAN是一种功能强大的工具,可以穿透三层网络对二层进行扩展。它可通过封装流量并将其扩展到第三层网关,以此来解决VMS(虚拟内存系统)的可移植性限制,使其可以访问在外部IP子网上的服务器。
VMware ESXi、Open vSwitch、当前主流的网络芯片均已支持VXLAN:它备受业界关注,未来有可能成为网络虚拟化技术当中的主流技术之一

  1. VXLAN支持的常用配置方式:虚拟化软件配置、SDN控制器配置
  2. VXLAN的广播域被称为桥域,
  3. VXLAN用户可以通过VXLAN接口访问Internet
QOS(服务质量)

QoS(Quality of Service,服务质量)指一个网络能够利用各种基础技术,为指定的网络通信提供更好的服务能力,是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。

  1. QOS服务模型:best-effort service(尽力服务)、integrated service(综合服务)、differentiated service(差异化服务)
  2. QOS中,integrated service(综合服务)与differentiated service(差异化服务)主要区别是:

在DS(differentiated service)无需为每个流维护状态信息,它适用于大型骨干网络。

  1. QOS针对各种不同的需求,提供不同的服务质量,以下属于QOS所提供的功能有:支持位用户提供专用宽带、可以减少报文的丢失率、避免和管理网络拥塞。
  2. 关于QOS丢包:

<1>路由器在收到数据包的时候,可能会因为CPU繁忙,没办法处理数据包,导致出现丢包现象。
<2>在把数据包调度到丢列的时候,可能会因为队列被装满而导致丢包
<3>数据包在链路上传输的时候,可能会因为链路故障等原因而导致丢包

  1. 网络进行管理的主要目标:确保网络用户收到期望的网络服务质量与技术服务信息,帮助网络工程师面对复杂的网络数据,并确保数据能够快速全面的呈现给使用者。
  2. 对于IPv4报文,可以根据报文的DSCP信息、IP Precedence 信息来进行简单流分类
  3. 关于时延和抖动:

抖动是由于属于同一个流的数据包的端到端时延不相等造成的。
抖动的大小跟时延的大小相关,时延小则抖动的范围小,时延大则可能抖动范围也大。

  1. 关于QOS中的Integrated Server服务模型:

传送QOS请求的信令是RSVP,它用来通知路由器应用程序的QOS需求
它可以用来提供保证带宽和时延来满足应用程序的要求
它可以提供负载控制服务,保证及时在网络过载的情况下,能对报文提供近似于网络未过载类似的服务,即在网络拥塞的情况下,保证某些应用程序的报文的低时延和高通过。

DiffServ
  1. 对DiffServ模型的描述:

<1>可以通过设置IP报文头部的QOS参数信息,来告知网络节点它的QOS需求
<2>报文传播路径上的各个设备,都可以通过IP报文头的分析来获知报文的服务需求类别
<3>Doffserv是一种基于报文流的QOS解决方案

  1. 通常在配置QOS中Diff-Serv时,边界路由器会通过报文的源地址和目的地址等对报文进行分类,对不同的报文设置不同的IP优先级,而其它路由器只需要根据IP优先级来对报文进行识别即可。
  2. 在Diff-Serv网络中,用DSCP最多可以定义的取值数目是64。
  3. 在diff-serv域的核心路由器通常只需要进行简单流分类。
  4. 在Diff-Serv网络中,定义EF类的业务类型的主要目的是:为要求低时延、低丢失、低抖动和确保带宽的业务优先提供业务保证。
IntServ

IntServ(Integrated Services)最初试图在因特网中将网络提供的服务划分为不同类别的是IETF提出的综合服务IntServ。IntServ可对单个的应用会话提供服务质量的保证。
IntServ是端到端的基于流的QoS技术。在发送流量前,网络设备需要通过RSVP信令协议向网络申请特定服务质量,包括带宽、时延等。在确认网络已经为该流量预留了资源后,网络设备才开始发送报文。
IntServ能很好地满足QoS的要求,但所有的网络节点必须支持RSVP信令协议,并且维护每个流的状态和交换信令信息,在大型网络内这可能会要求数量极大的带宽。

  1. IntServ模型在应用程序发送报文前,需要向网络申请预留资源。

快速检测技术

快速检测可以尽早地检测到与相邻设备间地通信故障,以便系统能够及时采取措施,保证业务不中断

DSCP

DSCP差分服务代码点(Differentiated Services Code Point),IETF于1998年12月发布了Diff-Serv(Differentiated Service)的QoS分类标准。它在每个数据包IP头部的服务类别TOS标识字节中,利用已使用的6比特和未使用的2比特,通过编码值来区分优先级。

  1. 16.关于QOS的DSCP描述:

1.用TOS字段的前6个比特(高6比特)来标识不同的业务类型
2.每隔DSCP值对应一个BA(begavior aggregate),然后可以对每个BA指定一种PHB
3.可以使用某些QOS机制来实现PHB

  1. 若使用DSCP(Tos域的前6位)最多可将报文分成64类。
IP流分类、监管、整形
  1. 复杂流分类是指采用复杂的规则,如由五元组(源地址、源端口号、协议号码、目的地址、目的端口号)对报文进行精细的分类。为了节省配置,方便批量修改配置,复杂流分类主要部署在网络的边缘节点。
  2. 对于IPv4报文,可以根据报文的DSCP信息和IP Precedence信息进行简单流分类。
  3. 代表Immediate的业务流量IP Precedence的取值是2。
  4. 流量临客功能描述:对报文进行着色处理、对超过流量限制的报文不能进行缓存。
  5. 相对于流量监管、流量整形引入了队列,用于缓存超过限制的流量。
  6. 关于流量整形的描述:

相对流量监管,流量整形具有更好的抗突发能力
流量整形可以使报文以比较均匀的速度向外发送
由于引入队列,当发生拥塞时,报文的时延相对增加。

  1. 在端口队列调度中,FIFO队列没有公平、且不同的流之间不能相互隔离。
  2. 对于标签可以根据报文的MPLS EXP信息来进行简单流分类。
  3. 流量分类是按照一定的规则来标识符合某类特征的报文,不同特征报文享受不同服务,由分类规则参考信息的不同,流量分类可以分为简单流分类和复杂流分类。
  4. 流量临客功能:对报文进行着色处理,对超过流量限制的报文不能进行缓存
  5. 相对于流量监管,流量整形引入了队列,用户缓存超过限制的流量,对于流量整形描述:

1.相对于流量监管,流量整形具有更好的抗突发能力
2.流量整形可以使报文比较均匀的速度向外发送
3.由于引入队列,当发生拥塞时,报文的时延相对增加。

  1. PQ的分类机制支持使用标准或扩展的IP访问列表。
  2. 在AR路由器上应用流策略的命令:
Traffic-policy p1 inbound
  1. Best-Effort-Server模型通过FIFO队列技术实现
  2. WFQ比PQ队列优先
NAT

NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF标准,允许一个整体机构以一个公用IP地址出现在Internet上。
顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。NAT 可以让那些使用私有地址的内部网络连接到Internet或其它IP网络上。NAT路由器在将内部网络的数据包发送到公用网络时,在IP包的报头把私有地址转换成合法的IP地址。

  1. NAT技术无法通过数据加密来实现数据安全传输。
  2. 关于NAT地址池配置中“no-pat”参数含义是:不转换源端口。
  3. 关于网络地址端口转换(NAPT)与仅转换网络地址(No-PAT),No-PAT支持网络层的协议地址转换

网络故障
  1. 根保护的作用?

在网络中,由于恶意攻击或管理员的误操作,合法交换设备收到了优先级更高的配置BPDU,使得原来的合法根桥失去根桥属性,网络拓扑发生变化,导致网络拥塞,要防止这种情况可以采用“根保护”这一保护机制。

  1. 网络故障后引起流量中断的因素有哪些?

故障传播时间、路由环路、单台设备故障响应时间(表项更新)、故障检测时间

  1. 在排除VRRP备份组双故障时,应该怎么做?

在配置VRRP备份组两端的VLANIF接口上,执行disp this命令,检查接口上 的备份组ID是否相同、检查VRRP组的虚拟IP地址是否相同、检查接口IP地址是否在同一网段、检查VRRP通告报文时间间隔是否相同。

  1. 两个主机接入同一交换机,并且同属一个VLAN,无法ping通?

主机配置了错误的静态ARP、交换机配置了端口隔离、接口被人shutdown或物理接口损坏、交换机配置了错误的端口和MAC地址绑定。

  1. 两台主机A和B通过Internet互联,A能ping通B,B无法主动ping通A,可能原因?

A主机开启了防火墙、B没有去往A的路由或没设置网关、也有可能A出口是状态检测防火墙,所以导致B无法主动访问A。

网络故障排除法
  1. 采用TCP/IP模型作为理论基础的故障排除法:

自顶向上法
自底向上法
替换法

  1. 测试物理线路是否中断的测试叫“打环”
网络设计

网络设计的概念:了解项目的行业背景可以掌握行业常规解决方案,项目规划阶段要完成的:了解项目背景、确定项目需求

  1. 项目范围的三个界定:功能边界、覆盖范围、工程边界
  2. 网络设计关键:设备线路等元素的选择
  3. 网络优化的主要工作内容包括:硬件优化、软件优化、网络扩容
  4. 项目实施主要包含哪些内容?

割接流程、风险控制措施、人员安排、时间规划

  1. 网络设备上电前,作为工程师应该要检查哪些问题?

信号线缆是否已经按照规范正确安装和捆绑
设备是否按照规划的拓扑进行连接
接地线是否按照规范正确安装
电源线是否已经按照规范正确安装

  1. 光纤布放过程注意事项?

光纤的曲率半径应大于光纤直径的20倍,一般情况下,曲率半径大于等于40mm
光纤套在波纹管内,波纹管两端的管口必须用胶带缠好
进行光纤安装、维护等各种操作时,严禁肉眼靠近或直视光纤出口。

  1. 项目TCO

建设投资、运行维护、优化改造

  1. 巨型帧的应用为通信带来什么优势?

在千兆以太网中,有效提高转发效率、保证数据通信过程中数据的完整性和可靠性、减少设备的CPU占用率,提升设备的转发性能、在视频通讯传输中减少时延、抖动对业务的影响。

  1. 关于IP地址规划?

在地址规划时选择连续地址块,方便后期进行路由汇总,地址分配在每一层次上都要留有余量,在网络规模扩展时,能够保证地址汇总所需的连续性,规划IP时,还可以设置特定功能位IP地址赋予一定的含义。

网络维护
  1. 关于设备软件升级的可行性评估?

如进行重大或较复杂的升级操作时,应预先在模拟环境中进行测试,并完成升级方案、应急预案的测试。

  1. 如何对设备的基本信息进行检查?

使用display patch-information来检查补丁信息

  1. 为什么二层环路经常造成设备宕机,而三层网络一般只是cpu负荷增加?

主要是因为三层环路可以通过TTL机制缓解。

  1. 为什么交换机中无法增加新MAC表项?

主机配置了静态ARP
MAC表项超过设备规模
设备端口配置了MAC地址学习使能
配置了MAC黑洞和MAC学习限制

网络优化
  1. 网络优化的需求来源:
    经过长期的网络维护,把总结的一些问题和改进点,提出相关建议,进行集中的整改
    网络中需要开展视频会议业务,需要增加支持二层组播功能的交换设备。
    某弱电井因环境问题,信号线老化严重,需要集中更换
    企业信息安全需要,增加新的安全设备
  2. 在园区网使用OSPF时?

在园区网使用OSPF路由协议时,工程师经常会将以太接口的OSPF网络类型由默认的广播多路网络改为点对点网络,这样配置可以简化链路状态数据库。

网络割接
  1. 割接的难点有哪些?
    最大限度减少影响业务的范围
    风险规避做到最好
    制定完善的割接方案
    顺利的执行割接
  2. 在一个割接项目中,需要客户签字的事项有?
    定稿割接方案
    变更申请单
    割接竣工报告
  3. 割接的操作步骤?
    割接前快照
    割接中下发
    割接后检查
  4. 小型企业由于更换出口防火墙需要进行网络割接,前期准备包括?

需求分析、方案编写、风险评估

完成网络割接后,应测试各网络设备和应用系统运行是否正常。

交换机
  1. 当前的交换机主流采用交换矩阵式架构
  2. 矩阵交换机采用分布式交换,可以同时在多个接口之间交换数据。
路由器

AR G3设备上的SYS指示灯?