什么是乾颐堂网络工作室?
北京乾颐堂科技有限责任公司于2014年9月24日成立,北京负责人是现任明教教主-秦柯,创建了一个专注于网络技术、Cisco认证考试以及华为 HCIE认证考试的培训机构。
HCIE面试知识点强记
2016年4月5日16:21
VLAN
一、协议报文格式
TPID:标签协议标识固定取值0X8100标识封装的是8021Q的报文。 PRI:报文优先级,取值0-7。 CF:标识MAC地址是否为标准MAC,以太网取值为0,令牌环网,FDDI取值为1。 VID:Vlan ID
二、端口类型对vlan标签的处理
STP
一、STP操作
1.选举一个根桥。
2.每个非根交换机选举一个根端口。
3.每个网段选举一个指定端口。
二、STP选举
1、每台交换机在启动的时候都认为自己是根桥,通过交换BPDU选举一个根桥交换机。
2、非根交换机在选举一个根端口,选举原则依据该端口的根路径开销、对端BID、对端PID和本段PID。
3、每个网段都要选举一个指定端口,选举原则依据比较端口根路径开销、本地BID,本地端口ID。
三、STP时间
Message Age:配置BPDU在网络中传播生存期。默认每经过一个交0换机加1。 MAX Age :配置BPDU在设备上能够保存的最大生存期。20s
Hello Time:配置BPDU发送的周期。2s
Forward Delay :端口状态迁移的延时。15s
四、配置BPDU
五、次优BPDU的处理 非根桥不会主动发送BPDU
非根桥在指定端口收到次优的BPDU,则主动发送最优的BPDU 阻塞端口不会对次优的BPDU进行回应。
RSTP
一、RSTP对BPDU的处理情况
非根桥设备每隔Hello Timer 从指定端口主动发送配置BPDU BPDU超时计时器为3个Hello Timer 阻塞端口可以立即对收到的次优BPDU进行回应
二、P/A机制
P/A机制只发生在点到点的全双工链路
三、保护机制
环路保护配置在根端口或者Alternate端口
MSTP
RIP
一、RIPv1报文
Address Family identifier IPv4取值为2,如果对整张路由表请求的话取值为0。RIP报文最大不能超过512字节(4+25*20+8 【udp】)
二、RIPv1报文发送和接收规则
Rip v1:发送规则 注意发送时没有子网掩码。
将要发送的前缀路由和出接口网段匹配:
l 如果不在同一主类,此为主网边界,将前缀自动汇总为有类网络号,发送前缀到出接口。
l 如果在同一主网,检查要发送的前缀是否为32位掩码:
Ø 如果是,发送32位前缀到出接口。
Ø 如果不是32位主机路由,检查前缀和出口掩码是否相同:
² 如果不同,抑制发送或者汇总为主网络号。
² 如果相同,没有边界,发送正确前缀到出口。
Rip v1:接收规则
l 收到一个前缀后,如果发现是主网络号,直接放入路由表,掩码是8/16/24
l 如果不是主网络号,检查是否在同一主网,如果不在,生成有类路由,掩码按有类路由计算,放入路由表。
l 如果在同一主网,用接口掩码去掩,然后检查该前缀是否是网段地址还是主机地址:
Ø 如果是网段地址,生成路由,掩码等于自己的接口掩码。放入路由表。
Ø 如果掩出来发现不是网段地址,就默认是主机,生成32位主机路由,放入路由表。
ISIS
一、ISIS支持的网络类型
1、点对点链路,如ppp,HDLC
2、广播链路:Ethernet
二、广播网络中的DIS和伪节点在广播网络中实现更高效的数据库同步。
三、广播网络中的LSDB同步过程
1、新加入的路由器会发送LSP
2、DIS收到LSP与本地LSDB同步,发送新的CSNP
3、新加入的路由器在发送PSNP请求LSP。
4、DIS再发送相应的LSP。 没有确认过程
四、P2P网络中的LSDB同步过程
1、路由器之间会先发送CSNP。
2、发送PSNP请求相应的LSP。
3、发送LSP。
4、发送PSNP进行确认。
PSNP的作用:A 作为ACK应答以确认收到的LSP。B 请求相应的LSP。
五、认证
1、接口认证
对Level-1和Level-2的hello报文进行认证。
2、区域域认证
对Level-1的SNP和LSP进行认证
3、路由域认证
对Level-2的SNP和LSP进行认证
六、ISIS与OSPF比较
1、宏观角度比较
2、邻接关系的比较
3、数据库同步
4、其他
八、DR和DIS的不同点
1、在ISIS广播网络中,优先级为0的路由器也可以参与DIS选举,而在OSPF中优先级为0的路由器则不参与DR的选举。
2、在ISIS广播网络中,DIS支持抢占,OSPF中的DR不支持抢占。
3、在ISIS广播网络中,同一网段上的同一级别的路由器之间都会形成邻接关系,包括所有的非DIS路由器之间。
九、DIS作用
1、在广播网络中创建并向所有路由器通告伪节点LSP。
2、在LAN中通过每10s周期性地发送CSNP来泛洪LSP。 OSPF
一、防环机制
1、区域内利用SPF算法计算路由,保证区域内无环路。
2、区域间连接规则保证区域间没有环路。
二、邻居状态机
—————————————————邻居———————————————————-
—————————————————邻接———————————————————–
三、OSPF报文头
所有的OSPF报文都使用相同的OSPF报文头。
四、LSA报文头
五、五种报文格式
1、Hello报文
2、DD报文
3、LSR报文
4、LSU报文
5、LSACK
六、Hello报文的合法验证
1、如果接受端口的网络类型为广播,点到多点,NMBA检查Hello报文中的Netmask字段,点到点和虚连接不检查。
2、HelloInterval字段必须一致。
3、DeadInterval字段必须一致。
4、Hello报文Option字段必须一致。
七、虚连接vlink的应用场景
A:不连续的骨干区域
B:非骨干区域没有直连到骨干区域
C:三个非骨干区域相连
D:区域0备份
八、DR和BDR作用
1、减少邻居关系的数量,从而减少链路状态信息以及路由信息的交换次数,可以节省带宽。
2、产生网络LSA来描述NBMA和广播网络网段信息。
九、LSA类型
1:Router-LSA(Type1)
路由器产生,描述了始发路由器所有端口链路状态集合,本区域内泛洪。不修改通告者,只在IP层修改源地址。
2:Network-LSA(Type2) DR路由产生,描述了广播网络或者NBMA网络,包含该网络上面所连接的所有路由器列表。本区域内泛洪。不修改通告者,只在IP层修改源地址。
3:Network-Summary-LSA(Type3)
ABR产生,描述到AS内部本区域外部某一网段的路由信息,在该LSA生成的区域内泛洪。修改通告者。
4:ASBR-Summary-LSA(Type4) ABR产生,描述到ASBR的路由信息,在一个区域内泛洪。修改通告者。
5:AS-external-LSA(Type5) ASBR产生,描述到AS外部的路由信息,OSPF域内泛洪。不修改通告者。
6:组成员LSA(Group membership LSA)Type6 第六类通告应用很少,且目前不支持组播OSPF(MOSPF)协议。
7:NSSA LSA(Type7)
ASBR产生,描述到AS外部路由,仅在NSSA区域内泛洪。
十、OSPF不能建立邻居的问题
十一、OSPF LSDB
Router
LinkState ID 表示宣告者的router-id Network
LinkState ID 表示DR接口的IP地址
Sum-Net
LinkState ID 表示通告者的网段
Sum-ASbr
LinkState ID 表示Asbr的rouer-id地址
External
LinkState ID 表示通告的网段
十二、OSPF LSDB 里面字段
十三、第四类LSA产生的前提条件
1、同区域通过Type1 LSA option 携带E标记,表示这个区域有ASBR,就会产生Type 4 LSA在整个ospf域内泛洪。
十四、第五类LSA
Type l :完整开销
Type 2 :只计算外部开销
十五、 Type7转Type5条件
十六、OSPF Option DN位的应用
BGP
一、BGP报文类型
1、OPEN:负责向对等体建立邻居关系。 2、KeepAlive:对等体之间周期发送,保持tcp连接。 3、Update:在对等体之间传递路由信息。
4、Notification:当BGP Speaker检测到错误,发送该报文给对等体。 5、Route-Refresh:用来通知对等体自己支持路由刷新能力。
二、BGP报文头
Marker(标记):16字节,固定为1 Length(长度):2字节,表示消息的全长,包括头部。 Type(类型):1字节,报文类型。
1-open
2-update
3-Notification 4-KeepAlive
三、BGP状态机
四、BGP路由信息处理
五、BGP路由属性
1、公认必遵 Origin:
AS-Path
Next-Hop
2、公认任遵 Local-Pref
Atomic-Aggregate
3、可选过渡 Aggregator Community
4、可选非过渡 MED
Originator ID:防止集群内部产生路由环路。 Cluster List:防止集群之间长生路由环路。
六、BGP增强特性
1、ORF
基于本地的入口策略构建对端的出口策略,实现BGP的按需发布路由,包括基于前缀和vpn的 ORF。
2、 Active-Route-Advertise 只有当BGP路由被成功安装到路由表,该路由才发布给邻居。
3、BGP按组打包。
将所有相同的出口策略的BGP邻居看作是一个打包组,发布的路由一次发布给组内所有的邻居。
4、4字节AS号
5、按策略进行下一跳的迭代
六、团体属性
七、管理大规模BGP对等应用
1、对等体组
2、团体
3、路由反射器
4、联盟
八、联盟
1:联盟外部路由的NEXT_HOP属性在整个联盟中被保留。
2:被宣告到联盟之内的MED属性在整个联盟中都被保留。
3:路由的Local_pref 属性在整个联盟中都被保留,而不仅仅是在为他们赋值的成员AS之内。
4:在联盟内部需要将成员AS号加入到AS_PATH中,但这些AS好不能宣告到联盟之外。AS_CONFED_SEQUENCE聚合点 AS_CONFED_SET。
5:AS_PATH中的联盟AS号用户实现环路避免功能,但是在联盟中选择最短AD_PATH则不考虑这些联盟的AS号 配置:
属于同一联盟的所有EBGP对等体都必须配置confederation id和confederation peer-as命令,且指定相同的联盟ID。联盟内的成员AS内部的IBGP对等体只需要配置confederation id。
BGP 选路在其他条件均相同的情况下,普通EBGP路由先于联盟EBGP路由,联盟EBGP路由优先于iBGP路由。
九、聚合路由
自动聚合:
• 执行命令system-view,进入系统视图。
- 执行命令bgp { as-number-plain | as-number-dot },进入BGP视图。
• 请根据网络类型,选择进入不同地址族视图,配置不同类型网络中的BGP设备。
- 执行命令ipv4-family { unicast | multicast },进入IPv4地址族视图。
• 执行命令summary automatic,配置按照自然网段聚合子网路由。
手动聚合:
根据实际组网选择执行如下命令,配置路由的手动聚合。
- 发布所有聚合路由和被聚合的路由:执行命令aggregate ipv4-address { mask | mask-length }或者aggregate ipv6-address prefix-length
- 只发布聚合路由:执行命令aggregate ipv4-address { mask | mask-length } detail-suppressed或者aggregate ipv6-address prefix-length detail-suppressed
- 只发布聚合路由和通过路由策略的被聚合的路由:执行命令aggregate ipv4-address { mask | mask-length } suppress-policy route-policy-name或者aggregate ipv6-address prefix- length suppress-policy route-policy-name
- 发布检测环路的聚合路由:执行命令aggregate ipv4-address { mask | mask-length } as-set或者aggregate ipv6-address prefix-length as-set
- 设置聚合路由的属性:执行命令aggregate ipv4-address { mask | mask-length } attribute-policy route-policy-name或者aggregate ipv6-address prefix-length attribute-policy route- policy-name
- 只将通过路由策略的路由生成聚合路由:执行命令aggregate ipv4-address { mask | mask-length } origin-policy route-policy-name或者aggregate ipv6-address prefix-length origin- policy route-policy-name
十、BGP选路规则
组播
多播 一、多播地址(永久组地址)
| 地址 | 组 | 地址 | 组 |
| 224.0.0.1 | 本子网内的全部系统 | 224.0.0.10 | EIGRP路由器 |
| 224.0.0.2 | 本子网内的全部路由器 | 224.0.0.13 | PIM路由器 |
| 224.0.0.4 | DVMRP路由器 | 224.0.0.15 | CBT路由器 |
| 224.0.0.5 | 全部OSPF路由器 | 224.0.0.39 | Cisco RP通告 |
| 224.0.0.6 | OSPF指派路由器(DR) | 224.0.0.40 | Cisco RP发现 |
| 224.0.0.9 | RIP-2路由器 |
224.0.0-224.0.0.0.255 永久组地址
224.0.1.0-231.255.255.255 ASM组播地址,全网内有效
233.0.0.0-238.255.255.255
232.0.0.0-232.255.255.255 缺省为SSM组播地址,全网内有效
239.0.0.0-239.255.255.255 本地管理组地址,仅在本地管理域内有效
二、多播MAC
MAC地址前24位固定为0100:5E,第25位固定也是为0,后面23位为IP地址的后面23位。导致5位缺失,会造成32位个IP组播地址映射同一个MAC地址。 第8位为1表示是多播,如果为0表示单播
三、IGMP
1、IGMP v1
报文:
普通组查询报文: 查询范围是网络中所有的主机和路由器 224.0.0.1,每60s发送一次 成员报告报文:客户端在接收到查询报文,本地启动定时器0-10s,定时器到期就会发送报告报文,同一网络内的其他成员报文会被抑制。 查询者的选举:利用PIM等上层协议进行选举。
组成员离开:如果3次查询周期都没有收到成员报告报文,取消发送组播报文。180S。
2、IGMP v2
报文: 普通组查询报文:添加了最大响应时间10s,组地址为全0. 成员报告报文:
成员离开报文:Leave,用户报告成员离开某个特定组,目标IP是224.0.0.2。 特定组查询报文:当收到组成员离开报文以后,查询器会发起特定组查询报文,如果连续2次没有报告报文就会删除组播路由,修改最大响应时间为1s。 查询者的选举:使用独立的选举机制(普通组查询报文),IP地址最小的会是查询者,非查询者启动定时器来监控查询者的状态。非查询者会启动一个查询计时器,默认120s,来检查查询者。 3、IGMP v3
报文:
查询报文:普通组查询
特定组查询
特定源组查询 报告报文:IS_IN:表示组播组与源列表之间的对应关系为INCLUDE。
IS_EX:表示组播组与源列表之间的对应关系为EXCLUDE。 TO_IN:表示组播组与源列吧之间切换到INCLUDE模式。 TO_EX:表示组播组与源列吧之间切换到EXCLUDE模式。 ALLOW:表示现在的基础上,对变化的组播源是接收的。 BLOCK:表示现在的基础上,对变化的组播源是不接收的。
4、IGMP SSM Mapping
在路由器上面进行配置,是IGMPv1 IGMPv2主机可以使用SSM服务。 通过在路由器上静态配置SSM地址的映射规则,将IGMPv1和IGMPv2报告报文中的(*,G)信息转化为对应的(S,G)信息,以提供SSM组播服务 5、IGMP Snooping
6、igmp-snooping proxy
配置IGMP Snooping功能后,交换机对上游IGMP查询器的Query报文和下游主机的Report和Leave报文都是原封不动地转发。当网络中存在大量用户主机时,冗余的IGMP报文给上游设备带来处理 压力。配置IGMP Snooping Proxy功能后,交换机可以代替上游三层设备向下游发送IGMP Query报文、也可以代替下游主机向上游三层设备发送IGMP Report和IGMP Leave报文,有效节约上游三 层设备和本设备之间的带宽。配置了代理功能的设备只有在组播组开始有成员加入需要建立组播表项或者响应IGMP查询报文时向上游发送Report报文;或者组播组最后成员都已经离开需要删除组播 表项时向上游发送Leave报文。
当三层设备没有启用IGMP时,例如只配置了静态组播组,不会有查询器发送Query报文,这样即使设备使能了IGMP Snooping功能也无法建立和维护组成员关系。通过IGMP Snooping Proxy功能, 可以使交换机发送Query报文,相对下游主机而言,就是一台查询器。
7、组播vlan 一对多的组播vlan 多对多的组播vlan 基于接口的组播vlan
四、PIM-DM
1、PIM-DM-邻居发现 Hello消息,发送周期30s,超时时间105s。建立和维护邻居关系。
在IGMPv1中选举查询者:在多路网络中,通过Hello报文中携带的DR_Priority,来选举查询者,优先级相同的情况下,IP地址大的获胜。
2、PIM-DM-扩散
将组播源的组播报文扩散到全网,沿途每台PIM-DM路由器创建(S,G)路由表项
3、PIM-DM-剪枝/加入
路由器被剪枝的下游接口会启动一起剪枝定时器,默认210s,定时器超时恢复转发。加入优先于剪枝,override-interval 2500毫秒,lan-delay 500毫秒。加入消息来覆盖其他路由器发送的剪枝消 息。
4、PIM-DM-SPT树的形成
5、PIM-DM-嫁接
使有新组成员加入的网段快速得到组播报文 下游设备向上游设备单播发送Graft消息 上游设备收到后,回复Graft-Ack消息 6、PIM-DM-状态刷新
通过第一个路由器周期的发送状态刷新报文,被剪枝的路由器会刷新自己的剪枝定时器。
7、PIM-DM-断言
当路由器接收到相同的组播报文后,就会发送224.0.0.13Assert 报文,进行Assert竞选。
规则:
A:单播路由协议优先级高获胜
B:如果优先级相同,则到组播源的开销较小者获胜。 C:如果以上都相同,则下游接口IP地址最大者获胜。
3、PIM在广播网络当中IP地址最小的路由器将成为IGMPv2查询路由器。
4、PIM在广播网络当中利用Assert消息进行转发路由器的选择,单播路由源路由优先级和度量值小的优先,如果都相同IP地址大的为转发路由器。负责向广播网络转发多播流量。
五、PIM-SM (所有网络的PIM路由器都知道RP的信息)
1、PIM-SM-邻居发现和DR竞选
邻居发现和PIM-DM相同。 广播网络中需要DR竞选,来发送Register和Join报文。 DR:负责源端或者组成员端组播报文的转发,规则如下:
A:DR优先级较高者获胜。
B:优先级相同,IP地址较大者获胜。
源端DR:负责向RP发送Register注册报文。
组成员DR:负责向RP发送Join加入报文。
PIM-SM 断言机制和PIM-DM一致
2、PIM-SM-RPT树构建
由组成员DR向RP发送Join报文,沿途建立(*,G)的表项。
3、PIM-SM-组播源注册 组播源都必须首先在RP处进行单播注册。构建(S,G)表项。 建立源到RP的SPT。
4、PIM-SM-SPT树切换
在没有切换SPT之前,所有的组播报文都必须先封装在注册报文中发给RP,RP解封装以后再沿RPT分发。
5、PIM-SM-RP的发现
静态:在所有路由器上面配置静态的RP信息。
动态:利用开放的标准Bootstrap(引导)协议来指定和宣告RP。
RP的选举过程
首先需要C-BSR通过Bootstrap消息来选举BSR,并在全网中广播,当所有路由都知道BSR是谁,C-RP会单播BSR发送自己的RP信息,BSR将所有C-RP的优先级及相关的多播组都编译成RP-set,并通 过Bootstrap消息224.0.0.13在全网中广播,
Bootstrap消息当中还包括8bit哈希掩码。
BSR选举规则:
A:优先级高者获胜。
B:IP地址较大者获胜。
RP选举规则:
A:C-RP优先级最高者获胜。(优先级数值越小越优先)
B:如果以上相同,则进行Hash函数,计算结果较大者获胜。(组地址+掩码+C-RP地址)
C:如果以上相同,则C-RP地址较大者获胜。
6、多播源到RP的流量转发方式
PIM-SM路由器通过单播PIM-Register 消息发送给RP,随后如果有大量的多播流量RP路由就开始构建(S,G)表项。构建SPT,建立SPT以后通过多播树接收到多播流量以后,RP会发送多播源的DR 发送一条Register-Stop消息。
六、PIM-SSM
组播地址:232.0.0.0-232.255.255.255
七、大规模的多播路由
1、MSDP (Multicast Source Discovery Protocol)的作用就是发现其他域中的多播源。
2、MBGP PIM路由器并不使用该信息进行包转发,而仅仅用来决定去往某特定多播源的RPF接口,通过这两个属性(MP_REACH_NRLI和MP_UNREACH_NLRI),告知对等体某特定前缀是否仅用于 单播路由,多播PRF或者两者。
DHCP
一、DHCP报文类型
1、DHCP Discover:由客户端广播来查找可用的服务器。
2、DHCP Offer: 服务器用来响应客户端的DHCP DISCOVER报文,并指定相应的配置参数。
3、DHCP Request: 由客户端发送给服务器来请求配置参数或者请求配置确认或者续租租期。
4、DHCP ACK: 由服务器到客户端,含有配置参数包括IP地址。
5、DHCP Decline: 当客户端发现地址已经使用时,用来通知服务器。
6、DHCP Inform: 客户端已经有IP地址用它来向服务器请求其他配置参数。
7、DHCP NAK: 由服务器发送给客户端来表明客户端的地址请求不正确或者续期已经到期。
8、DHCP Release: 客户端要释放地址用来通知服务器。
二、DHCP协议报文
• op,报文类型,1表示请求报文,2表示回应报文。
• htype,硬件地址类型,1表示10Mb/s的以太网的硬件地址。
• hlen,硬件地址长度,以太网中该值为6。
• hops,跳数。客户端设置为0,也能被一个代理服务器设置。
• xid,事务ID,由客户端选择的一个随机数,被服务器和客户端用来在它们之间交流请求和响应,客户端用它对请求和应答进行匹配。该ID由客户端设置并由服务器返回,为32位整数。
• secs,由客户端填充,表示从客户端开始获得IP地址或IP地址续借后所使用了的秒数。
• flags,标志字段。这个16比特的字段,目前只有最左边的一个比特有用,该位为0,表示单播,为1表示广播。
• ciaddr,客户端的IP地址。只有客户端是Bound、Renew、Rebinding状态,并且能响应ARP请求时,才能被填充。
• yiaddr,”你自己的”或客户端的IP地址。
• siaddr,表明DHCP协议流程的下一个阶段要使用的服务器的IP地址。
• giaddr,DHCP中继器的IP地址。//注意:不是地址池中定义的网关
• chaddr,客户端硬件地址。客户端必须设置它的”chaddr”字段。UDP数据包中的以太网帧首部也有该字段,但通常通过查看UDP数据包来确定以太网帧首部中的该字段获取该值比较困难或者说不可能,而在UDP协 议承载的DHCP报文中设置该字段,用户进程就可以很容易地获取该值。
• sname,可选的服务器主机名,该字段是空结尾的字符串,由服务器填写。
• file,启动文件名,是一个空结尾的字符串。DHCP Discover报文中是”generic”名字或空字符,DHCP Offer报文中提供有效的目录路径全名。
• options,可选参数域,格式为”代码+长度+数据”。TLV格式。
三、DHCP 报文类型
- DHCP DISCOVER 客户端用来寻找DHCP服务器。(广播)
• DHCP OFFER 服务器响应DISCVER报文,此报文携带了各种配置信息。(单播)
• DHCP REQUEST 客户端请求配置确认,或者续借租期。(广播)
- DHCP ACK 服务器对RESQUEST报文进行确认。(单播)
- DHCP NAK 服务器对RESQUEST报文拒绝响应。(单播)
• DHCP RELEASE 客户端要释放地址时用来通知服务器。(单播)
四、DHCP定时器
• 租期50% :客户端会请求更新IP地址租约。
• 租期87.5%:客户端还没有收到服务器响应,会申请重新重绑定IP。发送DHCP RESQUEST 广播报文。
• 租期100%:客户会释放IP,发送DHCP RELEASE报文。
PPP
一、PPP链路建立过程
二、LCP报文
1、Configure-Request
2、Configure-Ack
3、Configure-Nak
4、Configure-Reject
三、LCP协商参数
1、MRU
2、认证协议
3、魔术字
4、压缩机制
5、MP
四、PAP认证
1、Auth-request
2、Auth-ack
3、Auth-nak
五、CHAP认证
1、Challenge(用户名+随机数)
2、Response(MD5【Identifier+密码+随机数】+用户名)
3、Sucess/Failure
六、LCP链路状态监测,每隔10s发送。
Echo-Request
Echo-Reply
七、NCP
1、静态配置协商
Configure-Request (包含本地IP地址)
Configure-Ack (检查IP是否合法,单播,冲突,) Configure-Nak (地址冲突,不接受对端地址)
2、动态配置协商
Configure-Request (没有地址端请求地址,携带0.0.0.0) Configure-Nak (由于对端地址不合法,返回一个合法的地址) Configure-Request(携带对端分配的合法地址)
Configure-Ack (确认对端的地址合法) 帧中继
一、LMI协议,协商 DTE通过定时发送查询消息 Status Enquiry DCE收到询问消息后,用状态消息Status应答
二、InARP
InARP查询报文 InARP响应报文
PPPOE
一、PPPOE阶段
1、发现阶段
2、会话阶段
3、会话终结阶段
二、发现阶段
1、PADI
2、PADO
3、PADR
4、PADS
5、PADT
三,会话阶段 1、LCP
2、NCP
四、终结阶段 1、PADT
IPSEC
一、IPsec构架
1、AH协议:数据源验证,数据完整性校验和防报文重放功能。
2、ESP协议:对IP报文加密功能。
3、IKE协议:自动协商AH和ESP所使用的密码算法。
二、IPsec封装模式
1、传输模式:在原来的报文基础之上插入AH和ESP报文头。
2、隧道模式:会产生新的IP报文头,AH和ESP报文头在新的IP报文头和旧的IP报文头之间。
GRE
一、协议号47
IPv6
一、IPv6地址的特点
• 地址空间巨大
• 精简报文结构
• 实现自动配置和重新编制
• 支持层次化网络结构
• 支持端到端的安全
• 更好的支持QOS
• 支持移动特性
二、接口表示生成方法
1、手工配置
2、软件自动生成
3、EUI-64
IEEE EUI-64规范是将接口的MAC地址转换为IPv6接口标识的过程。 如图1所示,MAC地址的前24位(用c表示的部分)为公司标识,后24位(用m表示的部分)为扩展标识符。高7位是0表示了MAC地址本地唯一。转换的第一步将FFFE插入MAC地址的公司标识和扩 展标识符之间,第二步将高7位的0改为1表示此接口标识全球唯一。
三、
四、
全球单播地址:
2001::/16
2002::/16
链路本地地址: FE80::/10
组播地址: FF00::/8
唯一本地地址: FC00::/7
未指定地址 : ::/128
环回地址: ::1/128
预定义组播地址
- Node-Local
• 所有节点的组播地址:FF01::1
• 所有路由器的组播地址:FF01::2
- Link-Local
• 所有节点的组播地址:FF02::1
• 所有路由器的组播地址:FF02::2
- Solicited-Node 组播地址:FF02:0:0:0:0:1:FFXX:XXXX
• 所有OSPF路由器的组播地址:FF02::5
• 所有OSPF的DR路由器的组播地址:FF02::6
• 所有RIP路由器的组播地址:FF02::9
• 所有PIM路由器的组播地址:FF02::13
五、IGMPv6 Type 58
六、IPv6 DAD 重复地址监测
source :
七:路由发现,前缀通告
八、重定向
九、IPv6过渡技术
1、双栈协议
2、隧道技术
- 手动隧道:ipv6 over ipv4 和 GRE(允许封装任意协议ipv4 ipv6 OSI MPLS)
• 自动隧道:
3、6to4中继:
1、ipv4兼容ipv6地址:采用ipv4兼容ipv6地址::ipv4/96
2、6to4隧道:采用专门的6to4隧道地址:2002:ipv4::/48
4、ISATAP (双栈PC,双栈路由器)
ISATAP专用地址:前缀通过ISATAP router进行通告的,接口地址为:0000:5EFE:ipv4
十、OSPFv2 和OSPFv3 的区别
1、相同点 网络类型和接口类型 接口状态机和邻居状态机 链路状态数据库
洪泛机制
相同类型的报文:Hello DD LSR LSU LSACK
路由计算基本相同
2、不同点 IPv6基于链路,而不是基于子网的 OSPFv3移除了IP地址的意义 OSPFv3的报文及LSA格式发生了变化 OSPFv3的LSA报文里添加了LSA的洪泛范围 OSPFv3支持一个链路上多个实例 OSPFv3利用了IPv6的链路本地地址
OSPFv3移除了所有的认证 OSPFv3新增了2种LSA OSPFv3只通过Router ID 来表示邻居
MPLS
一、MPLS帧格式
二、MPLS环路检测方法
1、MPLS环路检测方法,依靠IGP防环机制。
2、MPLS LDP路径向量法和最大跳数法,通过携带TLV来实现。
路径向量法:path vector TLV ;每个LSR在发送标签请求消息中,包含一个Path Vector TLV并在入口(出口)LSR产生的路径长度值加1,并且把自己的LSR ID加到TLV的列表中,每经过一跳长度加1,接收 端的LSR检查长度值如果大于预定值或者LSR ID列表中有自己的LSR ID,认为发现环路。
最大跳数法:Hop Count TLV;每个LSR在发送标签请求消息中,包含一个Hop Count TLV,并且在入口(出口)LSR产生初值为1,每经过一跳加1,接收端发现跳数值达到最大值,认为发现环路。
三、MPLS LDP消息类型
1、Discovery message:宣告和维护网络中一个LSR的存在。UDP:646
2、Session message :建立、维护、和终止LDP Pee之间的LDP Session。TCP:646
3、Advertisement message :生成、改变和删除FEC的标签映射。TCP:646
4、Notification message :宣告告警和错误消息。TCP:646
四、LDP 报文头
五、LDP 消息报文
六、LDP状态机
七、LDP标签空间
1、基于平台的标签空间
2、基于接口的标签空间
八、LDP标签分发
1、DU (Distribution Unsolicited)
无需上游交换机请求,下游交换机将根据某一策略向上游LSR发送相应网段的标签映射消息。
2、DOD(Distribution On Demand) 只有当收到上游交换机请求特定网段的标签请求消息,才发送标签映射消息。
九、LDP标签控制
1、Ordered
只有当LSR收到特定下一跳发送的特定FEC-标签映射消息或者LSR是LSP的出口节点时,LSR才可以向上游发送标签映射消息。
2、Independent
LSR随时都可以向邻居发送标签映射信息。
十、LDP标签保持
1、Conservative(保守)
只保留和维护用户转发数据的标签,优点是可以节省标签空间,缺点是网络发生变化必须从新的互联得到标签映射消息才能转发数据。
2、Liberal(自由)
保留所有的LDP peers 发来的标签映射消息,优点可以快速建立新的LSP进行数据转发,缺点需要维护大量的标签空间。
十一、VPNV4 Address
VPNV4 Address = Route Distinguisher + IPv4
十二、Route Target
1、VPN Target :是32位的BGP扩展团体属性,控制vpn路由信息的发布。
- Export Target
- Import Target
2、为什么还要使用vpn target
• 一条vpnv4 IP路由只能有一个RD,但可以关联多个vpn target 属性;BGP携带多个扩展团体属性,可以提高网络的灵活性和可扩展性。
• VPN Target 用于控制同一PE上不同VPN之间的路由发布,可以实现不同vpn之间的路由引入。
十三、MTU 和 MPLS MTU
接口的mtu大小是由接口片上缓存决定的,缓存越大mtu越大。
十四、标签的嵌套
理论mpls标签可以无数嵌套,但是建议不要超过四个。
MPLS vpn 嵌套两层标签
MPLS TE 嵌套三层标签
十五、配置非标签公网路由迭代到LSP隧道 route recursive-lookup tunnel
十六、配置BGP-VPNv4路由反射功能
执行命令undo policy vpn-target,不对接收的VPNv4路由使能VPN-Target进行过滤。
policy vpn-target
应用场景
在BGP/MPLS IP VPN、Kompella方式的VLL、Kompella方式的VPLS组网中,VPN-Target属性用来对接收到的VPN路由或者标签块进行过滤。如果不配置VPN-Target,则会丢弃接收到的VPN路由 或者标签块。
但在如下场景的特定设备上:
- BGP/MPLS IP VPN、Kompella VPLS或者Kompella VLL骨干网上部署的反射器RR。
- BGP/MPLS IP VPN跨域OptionB方式中的ASBR(不兼做PE)。
不会在其上创建VPN,也就不配置VPN-Target,这样会造成RR或者ASBR上不会保存VPN路由或者标签块。 但RR或者ASBR又需要保存所有PE发来的VPN路由或者标签块,为解决这个问题,需要在RR或者ASBR上配置undo policy vpn-target命令,不对VPN路由或者标签块进行VPN-Target过滤。
注意事项
配置undo policy vpn-target命令将会接收所有PE发来的VPN路由或者标签块,故该命令一般只应用在特定角色的设备上(RR或者ASBR)。
十七、跨域的MPLS
1、OptionA
当配置AS之间运行OSPF,注意DOWN bit位的问题,可以通过修改domain-id和不通的ospf进程来解决以上问题。
2、OptionB
通过ASBR之间建立MP-EBGP邻居,会发生三个动作:A 自动产生到对端接口的主机路由 B 形成FIB-label转发表项 C 互联接口使能mpls bgp forwarding
3、OptionC
PE之间建立MP-EBGP邻居关系,ASBR建立正常的IPv4EBGP邻居,使能EBGP发送标签。
RR之间建立MP-EBGP邻居关系。RR之间可以通过next-hop-unchange,使得下一跳直接使对端PE的loopback地址。
防火墙
一、ASPF
(Application Specific Packet Filter) 是一种改进的高级通信过滤技术,ASPF不但对报文的网络层信息进行检测,还能对丰富的应用层协议进行深层检测。
二、三元组 ASPF
源IP地址、源端口、协议号
三、防火墙的基本功能
1、黑名单
2、MAC地址绑定
3、端口映射
4、IDS联动
5、日志
四、拒绝服务器类攻击
1、Smurf攻击 发ICMP应答请求,请求的目的地址为广播地址,源地址为攻击的目标主机,导致主机雪崩。 2、Fraggle攻击
类似于smurf攻击使用UDP应答消息,UDP端口7和端口19的报文,请求的目的地址为广播地址,源地址为攻击的目标主机,导致主机雪崩。
3、IP Spoofing 攻击 攻击者假冒合法用户的IP地址
4、Land攻击
把TCP/SYN包的源地址和目标地址都设置成被攻击者的IP,这样会造成受害者自己和自己建立tcp连接,消耗系统资源。
5、WinNuke攻击 WinNuke攻击又称带外传输攻击,攻击目前端口为139、138、137、113、53,URG设为1并且URG指针不为空。还有就是IGMP报文分片报文。
6、SYN Flood攻击对攻击目标服务器发送大量伪造的SYN报文,造成TCP半连接过多,造成内存溢出。
7、UDP/ICMP Flood攻击 短时间内向目标主机发送大量的UDP/ICMP报文,是目标主机负载过高不能提供服务。
五、畸形报文攻击
1、TCP Flag攻击 TCP报文包含6个标记位,URG,ACK,PSH,RST,SYN,FIN。 2、IP分片攻击
IP报文中有几个字段和分片有关:DF位,MF位,Fragment Offset,Length 3、Tear Drop攻击
攻击者截取IP数据包后,把偏移字段设置成不正确的值,使接收端重组数据包的时候出现问题。
4、PING OF Death攻击 利用尺寸超大的ICMP报文对系统进行一种攻击。
六、扫描窥探攻击
1、IP Sweep 攻击
利用ping或者tcp ping来嗅探网络上的主机。
2、Port Scan攻击
利用一些扫描软件对主机发起TCP/DUP连接,根据应答来判断主机的应用。
QOS
一、流量监管
• 通过令牌桶对流量的规格进行评估,对超出部分的流量进行“惩罚”
• 支持重标记,不需使用额外缓冲;但是会丢弃较多的报文,可能引起重传。
二、流量整形
• 报文速度过快时,首先在缓冲区进行缓存,在令牌桶的控制下,在均匀地发送这些被缓冲的报文。
• 一般部署在出接口
三、拥塞管理
• 当接口发生拥塞,利用拥塞管理技术解决资源竞争问题。
• 拥塞管理利用队列调度策略来决定数据包处理的先后顺序。
- 常见的队列有FIFO、RR、WRR、PQ、CQ、WFQ。
四、拥塞避免
• 在拥塞发生或者有加剧的趋势时主动丢弃报文,避免TCP的全局同步现象。
• 包括尾丢弃,RED,和WRED 五、QOS服务模型
1、Best-Effort-Service模型:尽力而为的服务模型,典型的FIFO队列。
2、Integrated service 模型:是一种综合服务模型,需要向网络申请特定的服务。
3、Differentiated Service 模型:是一种差分服务模型,通过这只IP报文头部的QOS参数信息,来告知网络节点它的QOS需求。
六、CBQ
CBQ(Class-based Queueing)基于类的加权公平队列是对WFQ功能的扩展,为用户提供了定义类的支持。CBQ首先根据IP优先级或者DSCP优先级、输入接口、IP报文的五元组等规则来对报文进 行分类,然后让不同类别的报文进入不同的队列。对于不匹配任何类别的报文,送入系统定义的缺省类。
如图8所示CBQ提供三类队列: EF队列:满足低时延业务 AF队列:满足需要带宽保证的关键数据业务 BE队列:满足不需要严格QoS保证的尽力发送业务 EF队列
是具有高优先级的队列,一个或多个类的报文可以被设定进入EF队列,不同类别的报文可设定占用不同的带宽。在调度出队的时候,若EF队列中有报文,会优先得到调度,以保证其获得低时延。当接 口发生拥塞时,EF队列的报文会优先发送,但为了防止低优先级队列(AF、BE队列)得不到调度,EF队列以设置的带宽限速。当接口不拥塞时,EF队列可以占用AF、BE的空闲带宽。这样,属于EF队 列的报文既可以获得空闲的带宽,又不会占用超出规定的带宽,保护了其他报文的应得带宽。 LLQ队列。两种队列都采用绝对优先调度,但是LLQ队列使用流量监管实现,不论接口是否拥塞,流量都不会超过设置的带宽,LLQ队列不缓存报文,可以将报文被发送的时延降低为最低限度。这为对 时延敏感的应用(如VoIP业务)提供了良好的服务质量保证。
AF队列 每个AF队列分别对应一类报文,用户可以设定每类报文占用的带宽。在系统调度报文出队的时候,按用户为各类报文设定的带宽将报文出队发送,可以实现各个类的队列的公平调度。当接口有剩余带 宽时,AF队列按照权重分享剩余带宽。同时,在接口拥塞的时候,仍然能保证各类报文得到用户设定的最小带宽。 对于AF队列,当队列的长度达到队列的最大长度时,缺省采用尾丢弃的策略,但用户还可以选择用WRED丢弃策略。
BE队列 当报文不匹配用户设定的所有类别时,报文被送入系统定义的缺省类。虽然允许为缺省类配置AF队列,并配置带宽,但是更多的情况是为缺省类配置BE队列。BE队列使用WFQ调度,使所有进入缺省 类的报文进行基于流的队列调度。
对于BE队列,当队列的长度达到队列的最大长度时,缺省采用尾丢弃的策略,但用户还可以选择用WRED丢弃策略。
其他技术
一、BFD
1、BFD控制报文采用UDP封装,目标端口3784,源端口在49152-65535之间随机。
2、BFD状态机:
- Down
- Init
- UP
- AdminDown
二、NSF GR
1、OSPF GR
OSPF GR 基本术语
- GR Restarter:发生协议重启时间且具备GR能力的设备。
- GR Helper:和GR Restarter 具有邻居关系,协助完成GR流程的设备。
- GR Session :GR能力协商的过程叫做GR Session
OSPF GR配置命令:
- opaque-capability enable 使能opaque-LSA能力,是OSPF进程生成Opaque LSA。
- graceful-restart 使能OSPF GR功能。
2、ISIS GR
- Hello报文中新增了Restart TLV
- 定义T1,T2,T3三个定时器:T1,定义了Hello重传时间。T2,定义设备重启后LSDB同步的最大等待时间。T3,定义设备重启过程的最大持续时间。
三、URPF
四、IPSG
1、防止源IP地址欺骗。
2、基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。
3、IPSG命令 静态绑定表
user-bind static
ip source check user-bind enable
ip source check user-bind check-item { ip-address | mac-address | interface }*,配置IP报文检查项。
五、DAI
1、防止中间人攻击
2、配置
arp anti-attack check user-bind enable
数据报文总结
二层帧格式
Ethernet_II
6B 6B 2B 46-1500B 4B
Type>=1536, 是Ethernet_II帧,0X0800代表IP协议帧,0X0806代表ARP协议帧,
IEE802.3
Lenth<=1500, STP
IP报文头部
Protocol :OSPF是89,ICMP是1,TCP是6,UDP是17,
ICMP
TCP
window 为一次可以接收的最大数据段,为1024整倍数。TCP连接需要三次握手,TCP关闭需要四次握手,双向都需要发送FIN,ACK。
UDP
路由协议大比拼
优先级大比拼
一、优先级越小越优先
1、STP
2、LACP
3、IGMP v2 查询者的选举
4、路由协议的管理距离
二、优先级越大越优先
1、OSPF DR 优先级
2、PIM-Hello DR 优先级越大越优先
3、对比:略
时间间隔汇总
1、STP
Message Age :每经过一台设备+1 Max Age :20s
Hello Time :2s Forwarding Delay : 15s
Root TC 泛洪时间:35S(一个转发延迟+Max Age)
2、RSTP
BPDU超时计时器为Hello Time的3倍即6S。 TC While Time :2倍hello
3、RIP
路由更新时间: 30S 路由老化时间 :180S 路由垃圾收集 :120S
4、OSPF
Hello :10S Dead :40S
LSA刷新周期:30mins LSA老化周期:1hour
5、ISIS
Hello :10S Dead :30S DIS Hello :3S
LSP的刷新周期:15min LSP的老化周期:20min LAN中的DIS每10S发送CSNP来泛洪LSP
6、BGP
KeepAlive :60S HoldTime :180S
7、IGMP v1
普通组查询报文:60S 成员本地计时器:10S 成员老化时间:3次查询周期180S
8、IGMP v2
普通组查询报文:60S 成员本地计时器:0-10S
成员离开:发送特定组查询报文,修改最大响应时间为1s,查询2次无响应,判断无成员。 监视查询器的定时器:120S
9、PIM-DM
Hello :30S 超时时间:105S 剪枝状态超时计时器:210S
10、PIM-SM
Hello :30S 超时时间:105S
BSR BootStrap Message 发送周期 :60S BSR认为c-rp失效的时间为:150S
C-RP 发送Advertisement Message周期:60S
面试问题集锦
2016年5月10日17:09
第一章呢是二层技术,说到二层技术最重要的就是STP了。
那就简单说些STP如何备考,STP是面 试中二层技术部分比重比较大的部分,对于STP备考建议有以下几点。
第一;基本特点和作用要搞 清楚。
第二;STP的工作过程,选举的角色、如何选举等。
第三;各个标准的STP的对比,优缺 点,不同点。
第四;值得一提的是RSTP的快速的体现。
通过备考将这四个小方面搞清楚、理解透 彻,那么面试遇到有关STP的问题,我想你会答的游刃有余。
第二章路由基础部分,路由基础部分大家可以从以下几个方面去学习:
第一:理解路由协议的分 类,都有哪几种路由协议,每种协议的特点和他们之间的区别。
第二;两大路由协议距离矢量和 链路状态,那么如果解释距离矢量和链路状态需要搞清楚。
第三;每种路由协议的路由优先级, 为何要这么设计需要搞明白。第四;路由基础中用到的ping和tracert的原理等。这里也给大家一道 面试模拟题,也属于路由基础的范畴,大家可以认真考虑一下。
总线型,环型,星型组网有哪些优缺点?
第三章RIP协议:
对于RIP协议,应该是学习网络学习的第一个动态路由协议,而且这个协议现在网 络很少用了,毕竟有好多的缺点。但是考试还是要考,所以有必要简单聊聊该如何备考RIP,该抓 住哪些重点。第一,RIP为了防止路由环路的发生,都有哪些复杂的防环机制,每种机制的具体工 作过程和原理要搞清楚,要能说明白。第二,RIP有版本1 版本2,具体两个版本的区别有哪些,每 个区别的具体细节需要搞明白。第三,对于距离矢量路由协议的代表,如何理解距离和矢量。内 容不算太多,把这些搞清楚,rip考试妥妥的了。
第四章OSPF协议:
ospf协议是大家所最熟知,也是用的最广的协议。由于OSPF考试内容比较多,我 分几次跟大家分享。今天分享一些ospf的基本内容。第一,理解OSPF的工作原理,重点是建立邻居 关系的过程,每一个细节要清楚。第二,影响OSPF建立的因素需要清楚,至少要知道8种因素。第 三,基本的OSPF网络类型要清楚。每种网络类都具有什么样的特点。第四,OSPF的LSA众多,每一 种LSA都要清楚四个小点;1,谁产生的。2,传递范围。3,传递的内容和作用。4,LSID是什么。 第五,OSPF如何实现环路防护。第六,OSPF过滤、认证等内容。这六点属于OSPF的基础内容范 畴,大家看到这六点后可以自测一下,是否都明白,是否都清楚。如果都清楚,那么恭喜你OSPF 基础内容不会有太大问题,如果这些还是比较模糊,那你需要恶补一下。关于OSPF的其他内容, 后期形势包括继续分享。
上周简单说了OSPF基本内容备考需要注意的知识点,今天来聊聊扩展的内容。
第一; OSPF的虚链路应用场景都有哪些,使用虚链路不当会遇到哪些问题。
第二;大家都很 清楚OSPF的各种网络类型,那每种网络类型都有哪些区别呢。
第三;OSPF邻居状态 机,每种状态在两台路由器上一定会是处于同一个平面吗。
第四;ospf状态变迁中, 详细的转换过程及报文的交互过程是什么样的,DD报文 3个bit位的作用是什么。
第 五;5类LSA什么情况下会携带FA地址,那FA地址的作用是什么。
第六;针对不同的网 络案例图能够熟练的分析,比如下图AR2的lo0口宣告进入了区域0,在A1、AR3、AR4上 路由的存在情况是什么。
答案:AR1上区域0和区域1数据库存在,且路由表中存在该路由,AR3在区域1数据库中
存在,但是路由表中无该路由,AR4在区域2数据库存在,但是路由表中无该路由。
第五章ISIS,上周我们讲的是基础内容部分:
今天我们聊聊扩展内容!
第一,OSPF MA网络会选举DR,ISIS MA网络会选举DIS, 那DR和DIS有那些不同呢。
第二,为什么要选举DR或者DIS。
第三,ISIS报文CSNP和 PSNP有什么不同点。
第四,CSNP和DBD报文又有那些不同和相同点。
第五,ISIS比OSPF 收敛快在什么地方,两个协议有哪些相同和不同点。
第六,什么是泄露,为什么需要 泄露,泄露会造成环路吗。
第五章ISIS相关内容。很多人对ISIS比较陌生,感觉ISIS不如OSPF容易理解,其实不然,ISIS整体来讲 比OSPF要简单,不管是原理上还是实现机制上。
对于基础内容建议大家要掌握以下几点:
第一, ISIS都有哪些类型的报文,作用是什么。
第二,对于不同网络类型ISIS建立邻居关系的方法要掌握(2-way和3-way)及优缺点。
第三,ISIS可以支持的网络类型有哪些,不同网络类型LSP传播有哪些 区别。
第四,为什么需要选举DIS,作用是什么。
第五,ISIS为什么需要配置net地址。这五个方面 是ISIS的基础内容
第六章BGP相关内容。
BGP协议大家比较熟悉了,只不过实际工作中可能用到的时候比较少。建议 大家通过以下几个方面去备考BGP相关面试。第一,BGP的报文类型,每种报文的作用要搞清楚。 第二,BGP邻居建立的方式和状态机要清楚。第三,BGP选路原则能按顺序书写,并且能够理解每 种选路原则的使用场景和方法。第四,BGP的防环机制都有哪些,每种防环机制的原理要明白
第七章MPLS。
MPLS内容比较多,我们将它分为基础内容和扩展内容。今天先简单说下基础内容需 要大家掌握的知识块是哪些。
第一,我们要清楚在MPLS里设备角色都有哪些,他们的作用是什 么。
第二,MPLS标签的报文格式,每个字段的作用是什么。
第三,在传输数据包的时候,MPLS的 TTL的处理是怎样的。
第四,MPLS次末跳弹出的意义和方式,都有哪些特殊的标签。
第五,LSP的建立方式具体有哪些。
第六,LDP建立邻居的过程。
第七,LDP标签管理都有哪些。
这七个小块的内容是MPLS和LDP的基础内容
1、DR和DIS之间的区别。
2、ISIS特性和OSPF特性区别。(区域分段,DC,vlink)
3、Rp的选举规则。
4、RPF的作用。
需要练习的问题
项目题 一、边缘端口特性是什么?都在什么场景中使用?
1、特点
A: 边缘端口当端口UP以后直接进入转发状态,不经过转发延迟。 B:当拓扑发生变化的时候,端口不会进入阻塞状态。 C:端口UP不会产生TC。
D:收到TC端口不刷新MAC。 E:不向边缘端口转发TC报文。 F:收到BPDU变普通端口。
2、使用的场景
A:大型的办公网络,成千上万台PC在上下班的时候,如果不启动边缘端口会产生大量的TC报文,造成MAC地址频繁
刷新造成网络品质下降。启动边缘端口会改善网络品质。 B:连接DHCP客户端的端口,使客户端快速获取IP地址。 C:连接重要的服务器的端口,比如公司的WEB服务器,在网络发生变化的时候不阻塞端口。
二、100台路由器,路由器性能差异性比较大,让你选择一个IGP协议,你会怎么选择?为什么?
1、我会选择OSPF路由协议。
2、为什么不选择RIP路由协议,是因为RIP路由协议每30S要更新所有的路由表,链路开销比较大。RIP路由协议收敛速度 慢,老化路由需要180s,RIP只使用跳数来选路,无法根据链路带宽开销进行选路。RIP最大支持16跳,网路直径有限 制,无法适用于大型网络。 3、ISIS和OSPF虽然都支持层次化,分区域设计,但是OSPF更适合于层次分明的区域化网络,ISIS更适合于扁平化的区域 化网络,OSPF区域有骨干区域,普通区域,STUB,NSSA。ISIS只有Level2理论上的骨干区域和Level1的理论上的非骨干区 域。
ISIS骨干网必须是连续的,OSPF支持不连续的骨干区域,有Vlink技术来解决一些特殊环境路由不同步的问题。OSPF 相对支持的网络类型比较多,有广播网络,NBMA,P2P,P2MP,而ISIS只支持广播,P2P。OSPF的Feature比较多,适合 大型的企业网络部署,像DC技术ISIS就没有。OSPF对于企业的工程师来说是比较熟悉,运维难度和成本比较低。企业网 络还是用OSPF比较好。
你在做项目的时候,通过哪些方面来考虑使用哪种IGP协议?
1、如果是运营商核心,特别是MPLS VPN的核心,建设使用ISIS,因为ISIS比较适合于扁平化的网络,对于新技术兼容性 比较好,因为ISIS是TLV架构设计的。企业网大多采用OSPF协议,OSPF的Feature比较多适合于复杂的组网结构。 2、看运维人员的技术对那个协议比较精通。
什么情况下必须使用ISIS?
1、ISIS可以工作在数据链路层,在一些非IP的网络当中必须使用ISIS协议。
2、在一些需要添加新的属性信息的网络环境中,使用ISIS,通过携带新的TLV报文来传递相关属性。
三、6台路由器,2个核心,2台汇聚,2台接入。让你设计两个拓扑图,你会怎么设计。
1、日字形结构
2、汇聚到核心为全互联,接入到汇聚为交叉结构
从冗余性来看,两个拓扑都有冗余,不存在单点故障,全互联结构比日字形网络冗余性更高。成本上全互联比日字形网 络成本开销大,需要采购额外的板卡,模块,链路等。日字形网络更适合于主备网络流量模型,流量走向比较清晰,全 互联结构适合于负载均衡的网络流量模型,流量走向比较复杂,如果设计不好会产生来回路径不一致,在一些中间添加 了防火墙的网络中会导致网络访问出错。就网络品质来说,全互联网络流量调度比较灵活,任意两个节点互访都是最 优,日字形网络健壮度低,对角线节点互访会经过其他节点,当任意节点出现问题会造成流量从另外一侧进行疏导,容 易产生网络瓶颈,造成网络品质下降。全互联网络在部署IGP协议时,邻居数量成倍增加,网络运维和故障定位难度比 较大,管理成本较高。日字形网络相对简单,运维管理方面更加有优势。日字形网络适合于大型企业各站点部署或园区 网络,全互联更适合于运营商或数据中心。
四、大型的割接方案
1、割接前的调研工作
2、割接前的准备工作
3、割接实施的注意事项
4、割接后的保障工作
LAB题目
一、LAB当中OSPF里面vlan130和vlan135之间互访优先选择以太网链路,你的解题思路是什么?
答:R3访问vlan135是走的以太网链路,R5访问vlan130的时候是走的帧中继链路,不符合题目要求。在R3和R5之间以 AREAR35作为承载区配置虚链路,是R3变为ABR,使R5能够从R3学习到vlan130的路由信息。这样vlan130和vlan135互访都 是走的以太网链路。
扩展1:在R5连SW3的G0/0/1口调大cost为很大, 是否影响R3去往VLAN15的路由?
在没做虚链路之前,会影响R3去vlan15的路由,会从R5改为R4
在做虚链路以后,不会影响R3去vlan15的路由,下一跳始终是R5
扩展2:在R5和R3之间的以太链路cost为很大(考官意思2个端口都加大),有什么影响?
在做虚链路之前,会影响R3去vlan135的路由,会从R5改为R4。
做了虚链路以后,不会影响R3去vlan135的路由,下一跳始终为R5。
在做虚链路之前,不会影响R5去vlan130的路由,下一跳始终是R4。
做了虚链路以后,会影响R5去vlan130的路由。会从R3改到R4。
扩展3:请分析在R3和R4做虚链路后的结果
答:vlan135和vlan130始终走帧中继网络。
二、LAB中BGP的问题
答:首先题目要求所有的AS包括AS10访问BB路由都走BB2,所有首先在R1上针对BB1的邻居入方向延长了4个AS号码254,这样受到相同路由比较AS长度, 包括AS10访问BB都走BB2。访问BB路由出现R1-R2-R4-R1的环路问题。因为R4上面关于 BB2路由的下一跳是10.1.56.6,进过针对10.1.56.6递归查找到下一跳10.1.145.5,所以R4会把访问BB2的数据包交给 R1;R1上面关于BB2的路由的下一跳是10.1.12.2,R1会把访问BB2的数据包交给R2;R2上面关于BB2的路由的下一跳是 10.1.24.4,R2会把访问BB2的数据包交给R4;这样R4返回给BB2的数据包在网络中出现了环路。 解决方法:可以在R1上面配置一个策略, 从R2学到的关于经过AS60的路由的下一跳改为10.1.56.6,这样R4会把访问 BB2的数据包交给R1,R1交给R5,R5交给R6,R6交给BB2,这样就解决了去往BB2的数据包环路问题。再看一下BB2回包的 问题,R4上有一个网段10.1.40.4/24只发布在BGP中,如果BB2访问10.1.40.4这个地址,BB2给R6,R6给R5,由于该网段 40是发布在R4的BGP中,所以R5去往该40网段的一下跳是10.1.4.4,经过递归下一跳是10.1.145.4,所以数据包会给到 R1,R1收到后查表,由于是BGP路由,所以数据包会给回R5,这样在R5和R1之间产生了新环路问题。最终的解决方法: 在R1修改BGP下一跳的策略中, 在最前面加入新的一行, 匹配40网段,不做修改。这样R1访问40网段下一跳是R2,R2 再给R4。
扩展1:如果要求在R4上做修改
答:针对从R3接收到的路由修改下一跳为10.1.34.3,
扩展2:如果在R5对R3的邻居写netx-hop-local能否解决环路
答:不能解决,因为修改完毕以后R4的下一跳为10.1.5.5,递归下一跳还是要走的R1。
扩展3:如果在R3对R4的邻居写netx-hop-local能否解决环路
答:R3是 RR,这个命令对RR不生效。
扩展4:BGP公认必遵属性有?13条选路规则,
答:ORIGIN AS_PATH NEXT_HOP
ORIGIN属性描述路由更新的来源,可以用来选择最优路径。 AS_PATH属性描述路由经过的AS的列表,可以用来选择最优路径和防止环路。 NEXT_HOP属性描述到达被通告目的的下一跳IP地址, 只有下一跳可达, BGP路由才会被认可。 BGP内部防环机制有IBGP的水平分割。 如果在AS内部配置了路由反射器, 在路由反射簇内部使 用ORIGINATOR_ID防环,在路由反射簇之间使用CLUSTER_LIST防环。BGP的外部防环机制有AS_PATH。 MED是可选非传递属性,可以用来选择最优路径。 CLUSTER_LIST是可选非传递属性,可以用来选择最优路径和防止环路。
BGP在选择最优路径的时候, 在比较到选择到达下一跳的cost值之后, 如果配置了BGP负载均衡就可以实现负载分担。
扩展5:BGP可能存在环路吗?设计和一个存在环路的BGP网
三、LAB中组播存在什么问题?R3无法学习到BSR信息,为什么?怎么解决的?
答:LAB组播中BSR是10.1.4.4,R3从与R4互联的接口收到BSR信息,由于RPF校验失败,BSR信息将被丢弃。所以R3必须从R5接受BSR信息。当时R5是无法学习到BSR信息,由于BSR是10.1.4.4,但是R5收到的BSR信息是从R1接受到的,R5路由表 的下一跳是R4,所以校验失败无法接受到BSR信息。
解决办法:手动配置静态RPF路由,收到校验到10.1.145.1 R1。R5就可以学习到BSR信息,从而可以传递给R3了。
四、LAB中双点双向重发布问题,在R1和SW2做了双点双向从分发以后出现什么问题?怎么解决的?
答:会引起次优路径和环路的问题。次优路径是由于优先级的问题,环路的问题是由于路由回馈的问题。 在R5引入了RIP的路由,R1和R4关于171网段的下一跳都是10.1.145.5,假设先在R1上面把OSPF路由引入到RIP路由,在 SW2上面将受到两条171的路由信息,由于RIP的路由优先级比OSPF外部路由优先级高,所以SW2选择了RIP,次优路径产 生。 在SW2上面把RIP路由再重分发进OSPF,R1和R4将收到两份关于171的ASE路由,由于R5引入RIP路由的时候设置了cost 100,所以R4将选择SW2,R1将选择R4,环路产生。
次优路由是由于在网络边界OSPF的外部路由150比RIP的路由优先级低的问题导致的,在引入点修改ospf外部路由比RIP路 由的优先级低就可以。
环路的问题是由于路由回馈发生的,通过使用tag标记,在引入点deny另外一个引入点的回馈路由,就可以解决环路的问 题。
扩展1:为什么只改tag100的外部路由优先级,全改是否可以?
答:目前网络结构存在问题的就是外部路由,如果全部修改,将会产生新的次优路径,比如引入点去往RIP的路由。
扩展2:只需要改外部优先级就可以同时解决环路和次优问题,为什么还要4个tag
答:当原RIP的某个路由消失后,由于R2-R4以及R2-R1的路劲延迟差异问题,将导致路由收敛的不同步,出现新的环路问 题,举例:R2的环回接口。
五、华为的流量整形有哪几种方法?lab 中用的是哪种?
答:三种
1、基于接口的流量整形。
2、基于队列的流量整形。
3、基于策略的流量整形。 LAB中使用的是接口的流量整形,qos lr
扩展1:交换机和路由器上流量整形有什么不同?
答:交换机整形是通过硬件实现的,路由器整形是通过软件实现,交换机队列数量少,路由器整形队列较多。
扩展2:流量监管和流量整形,有什么区别?
答:流量监管直接丢弃不符合要求的报文,流量整形是将不符合要求的流量先缓存起来,等令牌桶有足够的令牌再均匀 的发送。
流量监管的优点:支持对报文进行重新打标,不需要额外的缓存。缺点:丢弃较多的报文,会引起重传。 流量整形的优点:丢弃较少的报文。缺点:产生额外的延迟和抖动,需要较多的缓存空间。
扩展3:双桶双速和双桶单速有什么区别?
答:流量标记为为黄色的时候,单速会减少TE,双速会减少TP。流量标记方法也不一样,单速B的大小超过C桶并小于E 桶为黄色,双速是B的大小要小于P桶并且大于C桶为黄色。
