40. VLAN 和 VPN 有什麼區別?分別實現在 OSI 的第幾層?
VPN 是一種三層封裝加密技術,VLAN 則是一種第二層的標誌技術(儘管 ISL 採用封裝),盡 管用戶視圖有些相象,但他們不應該是同一層次概念。
VLAN(V irtual Local Area Network)即虛擬局域網,是一種通過將局域網內的設備邏輯地而 不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
VLAN 在交換機上的實現方法,可以大致劃分為 2 大類:基基於端口劃分的靜態 VLAN;2、 基於 MAC 地址|IP 等劃分的動態 VLAN。當前主要是靜態 VLAN 的實現。
跨交換機 VLAN 通訊通過在 TRUNK 鏈路上採用 Dot1Q 或 ISL 封裝(標識)技術。VPN(虛擬專用網)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的 連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。
VPN 使用三個方面的技術保證了通信的安全性:隧道協議、數據加密和身份驗證。
■VPN 使用兩種隧道協議:點到點隧道協議(PPTP)和第二層隧道協議(L2TP)。
■VPN 採用何種加密技術依賴於 VPN 服務器的類型,因此可以分為兩種情況。
對於 PPTP 服務器,將採用 MPPE 加密技術 MPPE 可以支持 40 位密鑰的標準加密方案和 128 位密鑰的增強加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份驗證被協商之後, 數據才由 MPPE 進行加密,MPPE 需要這些類型的身份驗證生成的公用客戶和服務器密鑰。對於 L2TP 服務器,將使用 IPSec 機制對數據進行加密 IPSec 是基於密碼學的保護服務和安全 協議的套件。IPSec 對使用 L2TP 協議的 VPN 連接提供機器級身份驗證和數據加密。在保 護密碼和數據的 L2TP 連接建立之前,IPSec 在計算機及其遠程 VPN 服務器之間進行協商。IPSec 可用的加密包括 56 位密鑰的數據加密標準 DES 和 56 位密鑰的三倍 DES (3DES)。
■VPN 的身份驗證方法
前面已經提到 VPN 的身份驗證採用 PPP 的身份驗證方法,下面介紹一下 VPN 進行身份驗證 的幾種方法。
CHAP CHAP 通過使用 MD5(一種工業標準的散列方案)來協商一種加密身份驗證的安全形 式。CHAP 在響應時使用質詢-響應機制和單向 MD5 散列。用這種方法,可以向服務器證明 客戶機知道密碼,但不必實際地將密碼發送到網絡上。
MS-CHAP 同 CHAP 相似,微軟開發 MS-CHAP 是為了對遠程 Windows 工作站進行身份驗證, 它在響應時使用質詢-響應機制和單向加密。而且 MS-CHAP 不要求使用原文或可逆加密密 碼。
MS-CHAP v2 MS-CHAP v2 是微軟開發的第二版的質詢握手身份驗證協議,它提供了相互身份 驗證和更強大的初始數據密鑰,而且發送和接收分別使用不同的密鑰。如果將 VPN 連接配 置為用 MS-CHAP v2 作為唯一的身份驗證方法,那麼客戶端和服務器端都要證明其身份,如 果所連接的服務器不提供對自己身份的驗證,則連接將被斷開。
EAP EAP 的開發是為了適應對使用其他安全設備的遠程訪問用戶進行身份驗證的日益增長 的需求。通過使用 EAP,可以增加對許多身份驗證方案的支持,其中包括令牌卡、一次性 密碼、使用智能卡的公鑰身份驗證、證書及其他身份驗證。對於 VPN 來說,使用 EAP 可以 防止暴力或詞典攻擊及密碼猜測,提供比其他身份驗證方法(例如 CHAP)更高的安全性。在 Windows 系統中,對於採用智能卡進行身份驗證,將採用 EAP 驗證方法;對於通過密碼 進行身份驗證,將採用 CHAP、MS-CHAP 或 MS-CHAP v2 驗證方法。
1
✕
41. 什麼是靜態路由?什麼是動態路由?各自的特點是什麼?
靜態路由是由管理員在路由器中手動配置的固定路由,路由明確地指定了包到達目的地必須 經過的路徑,除非網絡管理員干預,否則靜態路由不會發生變化。靜態路由不能對網絡的改 變作出反應,所以一般說靜態路由用於網絡規模不大、拓撲結構相對固定的網絡。靜態路由特點
1、它允許對路由的行為進行精確的控制;
2、減少了網絡流量;
3、是單向的;
4、配置簡單。動態路由是網絡中的路由器之間相互通信,傳遞路由信息,利用收到的路由信息更新路由器 表的過程。是基於某種路由協議來實現的。常見的路由協議類型有:距離向量路由協議(如 RIP)和鏈路狀態路由協議(如 OSPF)。路由協議定義了路由器在與其它路由器通信時的一 些規則。動態路由協議一般都有路由算法。其路由選擇算法的必要步驟
1、向其它路由器傳遞路由信息;
2、接收其它路由器的路由信息;
3、根據收到的路由信息計算出到每個目的網絡的最優路徑,並由此生成路由選擇表;
4、根據網絡拓撲的變化及時的做出反應,調整路由生成新的路由選擇表,同時把拓撲變化 以路由信息的形式向其它路由器宣告。
動態路由適用於網絡規模大、拓撲復雜的網絡。動態路由特點:
1、無需管理員手工維護,減輕了管理員的工作負擔。
2、佔用了網絡帶寬。
3、在路由器上運行路由協議,使路由器可以自動根據網絡拓樸結構的變化調整路由條目;
1
✕
42.常見的認證方式:
1)口令驗證協議(PAP)
PAP 是一種簡單的明文驗證方式。NAS(網絡接入服務器,Network Access Server)要求 用戶提供用戶名和口令,PAP 以明文方式返回用戶信息。很明顯,這種驗證方式的安全性較 差,第三方可以很容易的獲取被傳送的用戶名和口令,並利用這些信息與 NAS 建立連接獲 取 NAS 提供的所有資源。所以,一旦用戶密碼被第三方竊取,PAP 無法提供避免受到第三方 攻擊的保障措施。
2)挑戰-握手驗證協議(CHAP)
CHAP 是一種加密的驗證方式,能夠避免建立連接時傳送用戶的真實密碼。NAS 向遠程
用戶發送一個挑戰口令(challenge),其中包括會話 ID 和一個任意生成的挑戰字串(arbitrary challengestring)。遠程客戶必須使用 MD5 單向哈希算法(one-way hashing algorithm)返回 用戶名和加密的挑戰口令,會話 ID 以及用戶口令,其中用戶名以非哈希方式發送。
CHAP 對 PAP 進行了改進,不再直接通過鏈路發送明文口令,而是使用挑戰口令以哈希 算法對口令進行加密。因為服務器端存有客戶的明文口令,所以服務器可以重複客戶端進行 的操作,並將結果與用戶返回的口令進行對照。CHAP 為每一次驗證任意生成一個挑戰字串 來防止受到再現攻擊(replay attack)。在整個連接過程中,CHAP 將不定時的向客戶端重複 發送挑戰口令,從而避免第 3 方冒充遠程客戶(remote client impersonation)進行攻擊。
1
✕
43. PAT 和 NAT 有什麼區別?
PAT 叫端口地址轉換,NAT 是網絡地址轉換,由 RFC 1631 定義。PAT 可以看做是 NAT 的一部 分。在 NAT 時,考慮一種情形,就是隻有一個 Public IP,而內部有多個 Private IP,這個時候 NAT 就要通過映射 UDP 和 TCP 端口號來跟蹤記錄不同的會話,比如用戶 A、B、C 同時訪問 CSDN,則 NAT 路由器會將用戶 A、B、C 訪問分別映射到 1088、1098、23100(舉例而已, 實際上是動態的),此時實際上就是 PAT 了。
由上面推論,PAT 理論上可以同時支持(65535 - 1024)= 64511 個連接會話。但實際使用中 由於設備性能和物理連接特性是不能達到的,CISCO 的路由器 NAT 功能中每個 Public IP 最多 能有效地支持大約 4000 個會話。
1
✕
44. 操作系統使用 Windows 2000 Professional,數據庫是 MSDE,在上面部署公司開發的 B/S
架構的應用程序,有哪些方面需要注意?
Windows 2000 Pro 有 10 個併發連接的限制,MSDE(SQL Server 桌面數據庫)有 5 個用戶連 接限制,而且 Pro 的 IIS 只能建立一個 Web 站點,這些限制對於應用服務器的部署都是需要 考慮的。在設計程序的時候,則用完的數據庫連接馬上釋放掉,否則容易出現超過限制而不 能連接數據庫的問題。
1
✕
45 、交換機是如何轉發數據包的?
交換機通過學習數據幀中的源 MAC 地址生成交換機的 MAC 地址表,交換機查看數據幀的目 標 MAC 地址,根據 MAC 地址錶轉發數據,如果交換機在表中沒有找到匹配項,則向除接受 到這個數據幀的端口以外的所有端口廣播這個數據幀。
1
✕
46. 簡述 STP 的作用及工作原理.
作用:(1) 能夠在邏輯上阻斷環路,生成樹形結構的拓撲;
(2) 能夠不斷的檢測網絡的變化,當主要的線路出現故障斷開的時候,STP 還能通過計算激 活阻起到斷的端口,起到鏈路的備份作用。
工作原理: STP 將一個環形網絡生成無環拓樸的步驟:選擇根網橋(Root Bridge)
選擇根端口(Root Ports) 選擇指定端口(Designated Ports)
生成樹機理
每個 STP 實例中有一個根網橋 每個非根網橋上都有一個根端口 每個網段有一個指定端口
非指定端口被阻塞 STP 是交換網絡的重點,考察是否理解.
1
✕
47.簡述傳統的多層交換與基於 CEF 的多層交換的區別
簡單的說:傳統的多層交換:一次路由,多次交換 基於 CEF 的多層交換:無須路由,一直交換.
48DHCP 的作用是什麼,如何讓一個 vlan 中的 DHCP 服務器為整個企業網絡分配 IP 地址?
作用:動態主機配置協議,為客戶端動態分配 IP 地址.
配置 DHCP 中繼,也就是幫助地址.(因為 DHCP 是基於廣播的,vlan 或路由器隔離了廣播)
1
✕
49.有一臺交換機上的所有用戶都獲取不了 IP 地址,但手工配置後這臺交換機上的同一 vlan間的用戶之間能夠相互 ping 通,但 ping 不通外網,請說出排障思路
1:如果其它交換機上的終端設備能夠獲取 IP 地址,看幫助地址是否配置正確;
2:此交換機與上連交換機間是否封裝為 Trunk.
3:單臂路由實現 vlan 間路由的話看子接口是否配置正確,三層交換機實現 vlan 間路由的話看 是否給 vlan 配置 ip 地址及配置是否正確.
4:再看此交換機跟上連交換機之間的級連線是否有問題;
1
✕
50.簡述有類與無類路由選擇協議的區別 有類路由協議:路由更新信息中不含有子網信息的協議,如 RIPV1,IGRP
無類路由協議:路由更新信息中含有子網信息的協議,如 OSPF,RIPV2,IS-IS,EIGRP 是否理解有 類與無類
8:簡述 RIP 的防環機制
1.定義最大跳數 Maximum Hop Count (15 跳)
2.水平分割 Split Horizon (默認所有接口開啟,除了 Frame-Relay 的物理接口,可用 sh ip interface 查看開啟還是關閉)
3.毒化路由 Poizoned Route
4.毒性反轉 Poison Reverse (RIP 基於 UDP,UDP 和 IP 都不可靠,不知道對方收到毒化路 由沒有;類似於對毒化路由的 Ack 機制)
5.保持計時器 hold-down T imer (防止路由表頻繁翻動)
6.閃式更新 Flash Update
7.觸發更新 Triggered Update (需手工啟動,且兩邊都要開 Router (config-if)# ip rip triggered )
當啟用觸發更新後,RIP 不再遵循 30s 的週期性更新時間,這也是與閃式更新的區別所在。
RIP 的 4 個計時器:更新計時器(update):30 s
無效計時器(invalid):180 s (180s 沒收到更新,則置為 possible down 狀態) 保持計時器(holddown): 180s (真正起作用的只有 60s) 刷新計時器(flush): 240s (240s 沒收到更新,則刪除這條路由)
如果路由變成 possible down 後,這條路由跳數將變成 16 跳,標記為不可達;這時 holddown
計時器開始計時。
在 holddown 時間內即使收到更優的路由,不加入路由表;這樣做是為了防止路由頻繁翻動。什麼時候啟用 holddown 計時器:“當收到一條路由更新的跳數大於路由表中已記錄的該條 路由的跳數”
1
✕
51.簡述電路交換和分組交換的區別及應用場合. 電路交換連接 根據需要進行連接
每一次通信會話期間都要建立、保持,然後拆除 在電信運營商網絡中建立起來的專用物理電路分組交換連接 將傳輸的數據分組 多個網絡設備共享實際的物理線路 使用虛電路/虛通道(V irtual Channel)傳輸若要傳送的數據量很大,且其傳送時間遠大於呼叫時間,則採用電路交換較為合適;當端到 端的通路有很多段的鏈路組成時,採用分組交換傳送數據較為合適。
1
✕
52.簡述 PPP 協議的優點. 支持同步或異步串行鏈路的傳輸 支持多種網絡層協議
支持錯誤檢測 支持網絡層的地址協商 支持用戶認證 允許進行數據壓縮
1
✕
53:你都知道網絡的那些冗餘技術,請說明.
交換機的冗餘性:spanning-tree、ethernet-channel 路由的冗餘性:HSRP,VRRP,GLBP. (有必要的話可以詳細介紹)
1
✕
54.HSRP 的轉換時間是多長時間?
10s
55:標準訪問控制列表和擴展訪問控制列表的區別.
標準訪問控制列表:基於源進行過濾擴展訪問控制列表: 基於源和目的地址、傳輸層協議和應用端口號進行過濾
1
✕
56:NAT 的原理及優缺點.
原理:轉換內部地址,轉換外部地址,PAT,解決地址重疊問題.
優點:節省 IP 地址,能夠處理地址重複的情況,增加了靈活性,消除了地址重新編號,隱藏了內部IP 地址.
缺點:增加了延遲,丟失了端到端的 IP 的跟蹤過程,不能夠支持一些特定的應用(如:SNMP),需要 更多的內存來存儲一個 NAT 表,需要更多的 CPU 來處理 NAT 的過程.
1
✕
57. snmp 的兩種工作方式是什麼,有什麼特點?
首先,SNMP 是基於 UDP 的,有兩種工作方式,一種是輪詢,一種是中斷. 輪詢:網管工作站隨機開端口輪詢被管設備的 UDP 的 161 端口. 中斷:被管設備將 trap 報文主動發給網管工作站的 UDP 的 162 端口. 特點:輪詢一定能夠查到被管設備是否出現了故障,但實時性不好. 中斷實時性好(觸發更新),但不一定能夠將 trap 報文報告給網管工作站.
1
✕
58. 說說 ARP 的解析過程。
答:ARP 用於把一個已知的 IP 地址解析成 MAC 地址,以便在 MAC 層通信。為了確定目標 的 MAC 地址,首先查找 ARP 緩存表。如果要查找的 MAC 地址不在表中,ARP 會發送一個廣 播,從而發現目的地的 MAC 地址,並記錄到 ARP 緩存表中以便下次查找。
1
✕
下面一些涉及經驗問題,無標準答案,根據實際情況而答(一些大公 司很喜歡問,答的好壞說明你在這一行業的經驗長短,跟薪水也有很 大關係):
一、 請說出自己配置過的路由器型號,並說出幾個最常用的配置命令。
二、 請介紹幾種方式用來在 web 服務器上創建虛擬主機。
三、 請介紹幾種你所使用過的代理服務器。
四、 請提供幾種郵件服務器的建設方案。
五、 說出你所使用過的數據庫產品。
六、 你認為 SQL2000 數據庫中最難的部分是什麼,為什麼?
七、 介紹你所使用過的網管軟件,以及它的特點。
八、 你認為網絡工程師最重要的能力是什麼?
九、 如果你負責將一個公司的所有計算機接入互聯網,你會選擇哪種接入方式,為什麼?
十、 如果你面臨的用戶對計算機都不熟悉,你將如何開展工作?
十一、你會選擇讓哪種操作系統裝在公司內的計算機上,為什麼?
十二、你用過哪些操作系統,簡述一下它們的特點?
十三、將來在公司建設企業內部網時,你會選擇哪種網絡?
十四、你用過哪種型號的路由器?
十五、談談你認為網絡中最容易出現的故障有哪些?
十六、簡要介紹你所管理過的網絡。
十七、DHCP 服務器的作用是什麼?你可以提供哪些 dhcp 服務器的建設方案
十八、你用過哪些備份方式?請詳細說明一下。
閱讀更多 思恆科技 的文章
