網(wǎng)絡(luò)經(jīng)典面試題

1、網(wǎng)絡(luò)經(jīng)典面試題什么是三層交換，說說和路由的區(qū)別在那里？三層交換機(jī)和路由器都可工作在網(wǎng)絡(luò)的第三層，根據(jù)ip地址進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)（或交換），原理上沒有太大的區(qū)別，這兩個(gè)名詞趨向于統(tǒng)一，我們可以認(rèn)為三層交換機(jī)就是一個(gè)多端口的路由器。但是傳統(tǒng)的路由器有3個(gè)特點(diǎn)：基于CPU的單步時(shí)鐘處理機(jī)制；能夠處理復(fù)雜的路由算法和協(xié)議；主要用于廣域網(wǎng)的低速數(shù)據(jù)鏈路 在第三層交換機(jī)中，與路由器有關(guān)的第三層路由硬件模塊也插接在高速背板/總線上，這種方式使得路由模塊可以與需要路由的其他模塊間高速的交換數(shù)據(jù)，從而突破了傳統(tǒng)的外接路由器接口速率的限制(10Mbit/s-100Mbit/s)。對(duì)路由知識(shí)的掌握情況，對(duì)方提出了一個(gè)

2、開放式的問題：簡(jiǎn)單說明一下你所了解的路由協(xié)議。路由可分為靜態(tài)&動(dòng)態(tài)路由。靜態(tài)路由由管理員手動(dòng)維護(hù)；動(dòng)態(tài)路由由路由協(xié)議自動(dòng)維護(hù)。路由選擇算法的必要步驟：1、向其它路由器傳遞路由信息；2、接收其它路由器的路由信息；3、根據(jù)收到的路由信息計(jì)算出到每個(gè)目的網(wǎng)絡(luò)的最優(yōu)路徑，并由此生成路由選擇表；4、根據(jù)網(wǎng)絡(luò)拓?fù)涞淖兓皶r(shí)的做出反應(yīng)，調(diào)整路由生成新的路由選擇表，同時(shí)把拓?fù)渥兓月酚尚畔⒌男问较蚱渌酚善餍?。兩種主要算法：距離向量法（Distance Vector Routing）和鏈路狀態(tài)算法（Link-State Routing）。由此可分為距離矢量（如：RIP、IGRP、EIGRP）&

3、;鏈路狀態(tài)路由協(xié)議（如：OSPF、IS-IS）。路由協(xié)議是路由器之間實(shí)現(xiàn)路由信息共享的一種機(jī)制，它允許路由器之間相互交換和維護(hù)各自的路由表。當(dāng)一臺(tái)路由器的路由表由于某種原因發(fā)生變化時(shí)，它需要及時(shí)地將這一變化通知與之相連接的其他路由器，以保證數(shù)據(jù)的正確傳遞。路由協(xié)議不承擔(dān)網(wǎng)絡(luò)上終端用戶之間的數(shù)據(jù)傳輸任務(wù)。簡(jiǎn)單說下OSPF的操作過程路由器發(fā)送HELLO報(bào)文；建立鄰接關(guān)系；形成鏈路狀態(tài)SPF算法算出最優(yōu)路徑形成路由表OSPF路由協(xié)議的基本工作原理，DR、BDR的選舉過程，區(qū)域的作用及LSA的傳輸情況（注：對(duì)方對(duì)OSPF的相關(guān)知識(shí)提問較細(xì)，應(yīng)著重掌握）。特點(diǎn)是：1、收斂速度快；2、支持無(wú)類別的路由表查

4、詢、VLSM和超網(wǎng)技術(shù)；3、支持等代價(jià)的多路負(fù)載均衡；4、路由更新傳遞效率高（區(qū)域、組播更新、DR/BDR）；5、根據(jù)鏈路的帶寬（cost）進(jìn)行最優(yōu)選路。通過發(fā)關(guān)HELLO報(bào)文發(fā)現(xiàn)鄰居建立鄰接關(guān)系，通過泛洪L(zhǎng)SA形成相同鏈路狀態(tài)數(shù)據(jù)庫(kù)，運(yùn)用SPF算法生成路由表。DR/BDR選舉：1、DR/BDR存在->不選舉；達(dá)到2-way狀態(tài)Priority不為0->選舉資格；3、先選BDR后DR；4、利用“優(yōu)先級(jí)”“RouterID”進(jìn)行判斷。1、通過劃分區(qū)域可以減少路由器LSA DB，降低CPU、內(nèi)存、與LSA泛洪帶來(lái)的開銷。2、可以將TOP變化限定在單個(gè)區(qū)域，加快收斂。LSA1、LSA2只

5、在始發(fā)區(qū)域傳輸；LSA3、LSA4由ABR始發(fā)，在OSPF域內(nèi)傳輸；LSA5由ASBR始發(fā)在OSPF的AS內(nèi)傳輸；LSA7只在NSSA內(nèi)傳輸。OSPF有什么優(yōu)點(diǎn)？為什么OSPF比RIP收斂快？?jī)?yōu)點(diǎn)：1、收斂速度快；2、支持無(wú)類別的路由表查詢、VLSM和超網(wǎng)技術(shù)；3、支持等代價(jià)的多路負(fù)載均衡；4、路由更新傳遞效率高（區(qū)域、組播更新、DR/BDR）；5、根據(jù)鏈路的帶寬進(jìn)行最優(yōu)選路采用了區(qū)域、組播更新、增量更新、30分鐘重發(fā)LSARIP版本1跟版本2的區(qū)別？答：RIP-V1是有類路由協(xié)議，RIP-V2是無(wú)類路由協(xié)議RIP-V1廣播路由更新，RIP-V2組播路由更新RIP-V2路由更新所攜帶的信息要比

6、RIP-V1多描述RIP和OSPF，它們的區(qū)別、特點(diǎn)RIP協(xié)議是一種傳統(tǒng)的路由協(xié)議，適合比較小型的網(wǎng)絡(luò)，但是當(dāng)前Internet網(wǎng)絡(luò)的迅速發(fā)展和急劇膨脹使RIP協(xié)議無(wú)法適應(yīng)今天的網(wǎng)絡(luò)。OSPF協(xié)議則是在Internet網(wǎng)絡(luò)急劇膨脹的時(shí)候制定出來(lái)的，它克服了RIP協(xié)議的許多缺陷。RIP是距離矢量路由協(xié)議；OSPF是鏈路狀態(tài)路由協(xié)議。RIP&OSPF管理距離分別是：120和1101RIP協(xié)議一條路由有15跳（網(wǎng)關(guān)或路由器）的限制，如果一個(gè)RIP網(wǎng)絡(luò)路由跨越超過15跳（路由器），則它認(rèn)為網(wǎng)絡(luò)不可到達(dá)，而OSPF對(duì)跨越路由器的個(gè)數(shù)沒有限制。2OSPF協(xié)議支持可變長(zhǎng)度子網(wǎng)掩碼（VLSM），RIP

7、則不支持，這使得RIP協(xié)議對(duì)當(dāng)前IP地址的缺乏和可變長(zhǎng)度子網(wǎng)掩碼的靈活性缺少支持。3RIP協(xié)議不是針對(duì)網(wǎng)絡(luò)的實(shí)際情況而是定期地廣播路由表，這對(duì)網(wǎng)絡(luò)的帶寬資源是個(gè)極大的浪費(fèi)，特別對(duì)大型的廣域網(wǎng)。OSPF協(xié)議的路由廣播更新只發(fā)生在路由狀態(tài)變化的時(shí)候，采用IP多路廣播來(lái)發(fā)送鏈路狀態(tài)更新信息，這樣對(duì)帶寬是個(gè)節(jié)約。4RIP網(wǎng)絡(luò)是一個(gè)平面網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)沒有分層。OSPF在網(wǎng)絡(luò)中建立起層次概念，在自治域中可以劃分網(wǎng)絡(luò)域，使路由的廣播限制在一定的范圍內(nèi)，避免鏈路中繼資源的浪費(fèi)。5OSPF在路由廣播時(shí)采用了授權(quán)機(jī)制，保證了網(wǎng)絡(luò)安全。上述兩者的差異顯示了OSPF協(xié)議后來(lái)居上的特點(diǎn)，其先進(jìn)性和復(fù)雜性使它適應(yīng)了今天日趨

8、龐大的Internet網(wǎng)，并成為主要的互聯(lián)網(wǎng)路由協(xié)議。什么是靜態(tài)路由？什么是動(dòng)態(tài)路由？各自的特點(diǎn)是什么？靜態(tài)路由是由管理員在路由器中手動(dòng)配置的固定路由，路由明確地指定了包到達(dá)目的地必須經(jīng)過的路徑，除非網(wǎng)絡(luò)管理員干預(yù)，否則靜態(tài)路由不會(huì)發(fā)生變化。靜態(tài)路由不能對(duì)網(wǎng)絡(luò)的改變作出反應(yīng)，所以一般說靜態(tài)路由用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)相對(duì)固定的網(wǎng)絡(luò)。靜態(tài)路由特點(diǎn)1、它允許對(duì)路由的行為進(jìn)行精確的控制；2、減少了網(wǎng)絡(luò)流量；3、是單向的；4、配置簡(jiǎn)單。動(dòng)態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。是基于某種路由協(xié)議來(lái)實(shí)現(xiàn)的。常見的路由協(xié)議類型有：距離向量路由協(xié)議（如RIP

9、）和鏈路狀態(tài)路由協(xié)議（如OSPF）。路由協(xié)議定義了路由器在與其它路由器通信時(shí)的一些規(guī)則。動(dòng)態(tài)路由協(xié)議一般都有路由算法。其路由選擇算法的必要步驟1、向其它路由器傳遞路由信息；2、接收其它路由器的路由信息；3、根據(jù)收到的路由信息計(jì)算出到每個(gè)目的網(wǎng)絡(luò)的最優(yōu)路徑，并由此生成路由選擇表；4、根據(jù)網(wǎng)絡(luò)拓?fù)涞淖兓皶r(shí)的做出反應(yīng)，調(diào)整路由生成新的路由選擇表，同時(shí)把拓?fù)渥兓月酚尚畔⒌男问较蚱渌酚善餍妗?dòng)態(tài)路由適用于網(wǎng)絡(luò)規(guī)模大、拓?fù)鋸?fù)雜的網(wǎng)絡(luò)。動(dòng)態(tài)路由特點(diǎn)：1、無(wú)需管理員手工維護(hù)，減輕了管理員的工作負(fù)擔(dān)。2、占用了網(wǎng)絡(luò)帶寬。3、在路由器上運(yùn)行路由協(xié)議，使路由器可以自動(dòng)根據(jù)網(wǎng)絡(luò)拓樸結(jié)構(gòu)的變化調(diào)整路由條目；VL

10、AN和VPN有什么區(qū)別？分別實(shí)現(xiàn)在OSI的第幾層？VPN是一種三層封裝加密技術(shù)，VLAN則是一種第二層的標(biāo)志技術(shù)（盡管ISL采用封裝），盡管用戶視圖有些相象，但他們不應(yīng)該是同一層次概念。VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。VLAN在交換機(jī)上的實(shí)現(xiàn)方法，可以大致劃分為2大類：基基于端口劃分的靜態(tài)VLAN；2、基于MAC地址|IP等劃分的動(dòng)態(tài)VLAN。當(dāng)前主要是靜態(tài)VLAN的實(shí)現(xiàn)?？缃粨Q機(jī)VLAN通訊通過在TRUNK鏈路上采用Dot1Q或ISL封裝（標(biāo)識(shí)）技術(shù)。VPN

11、（虛擬專用網(wǎng)）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議、數(shù)據(jù)加密和身份驗(yàn)證。VPN使用兩種隧道協(xié)議：點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）和第二層隧道協(xié)議（L2TP）。VPN采用何種加密技術(shù)依賴于VPN服務(wù)器的類型，因此可以分為兩種情況。對(duì)于PPTP服務(wù)器，將采用MPPE加密技術(shù) MPPE可以支持40位密鑰的標(biāo)準(zhǔn)加密方案和128位密鑰的增強(qiáng)加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份驗(yàn)證被協(xié)商之后，數(shù)據(jù)才由 MPPE 進(jìn)行加密，MPPE需要這些類型

12、的身份驗(yàn)證生成的公用客戶和服務(wù)器密鑰。對(duì)于L2TP服務(wù)器，將使用IPSec機(jī)制對(duì)數(shù)據(jù)進(jìn)行加密 IPSec是基于密碼學(xué)的保護(hù)服務(wù)和安全協(xié)議的套件。IPSec 對(duì)使用 L2TP 協(xié)議的 VPN 連接提供機(jī)器級(jí)身份驗(yàn)證和數(shù)據(jù)加密。在保護(hù)密碼和數(shù)據(jù)的 L2TP 連接建立之前，IPSec 在計(jì)算機(jī)及其遠(yuǎn)程VPN服務(wù)器之間進(jìn)行協(xié)商。IPSec可用的加密包括 56 位密鑰的數(shù)據(jù)加密標(biāo)準(zhǔn)DES和 56 位密鑰的三倍 DES (3DES)。VPN的身份驗(yàn)證方法前面已經(jīng)提到VPN的身份驗(yàn)證采用PPP的身份驗(yàn)證方法，下面介紹一下VPN進(jìn)行身份驗(yàn)證的幾種方法。CHAP CHAP通過使用MD5（一種工業(yè)標(biāo)準(zhǔn)的散列方案）

13、來(lái)協(xié)商一種加密身份驗(yàn)證的安全形式。CHAP 在響應(yīng)時(shí)使用質(zhì)詢-響應(yīng)機(jī)制和單向 MD5 散列。用這種方法，可以向服務(wù)器證明客戶機(jī)知道密碼，但不必實(shí)際地將密碼發(fā)送到網(wǎng)絡(luò)上。MS-CHAP 同CHAP相似，微軟開發(fā)MS-CHAP 是為了對(duì)遠(yuǎn)程 Windows 工作站進(jìn)行身份驗(yàn)證，它在響應(yīng)時(shí)使用質(zhì)詢-響應(yīng)機(jī)制和單向加密。而且 MS-CHAP 不要求使用原文或可逆加密密碼。MS-CHAP v2 MS-CHAP v2是微軟開發(fā)的第二版的質(zhì)詢握手身份驗(yàn)證協(xié)議，它提供了相互身份驗(yàn)證和更強(qiáng)大的初始數(shù)據(jù)密鑰，而且發(fā)送和接收分別使用不同的密鑰。如果將VPN連接配置為用 MS-CHAP v2 作為唯一的身份驗(yàn)證方法，

14、那么客戶端和服務(wù)器端都要證明其身份，如果所連接的服務(wù)器不提供對(duì)自己身份的驗(yàn)證，則連接將被斷開。EAP EAP 的開發(fā)是為了適應(yīng)對(duì)使用其他安全設(shè)備的遠(yuǎn)程訪問用戶進(jìn)行身份驗(yàn)證的日益增長(zhǎng)的需求。通過使用 EAP，可以增加對(duì)許多身份驗(yàn)證方案的支持，其中包括令牌卡、一次性密碼、使用智能卡的公鑰身份驗(yàn)證、證書及其他身份驗(yàn)證。對(duì)于VPN來(lái)說，使用EAP可以防止暴力或詞典攻擊及密碼猜測(cè)，提供比其他身份驗(yàn)證方法（例如 CHAP）更高的安全性。在Windows系統(tǒng)中，對(duì)于采用智能卡進(jìn)行身份驗(yàn)證，將采用EAP驗(yàn)證方法；對(duì)于通過密碼進(jìn)行身份驗(yàn)證，將采用CHAP、MS-CHAP或MS-CHAP v2驗(yàn)證方法。關(guān)于VPN

15、一、VPN（Virtual Private Network）：虛擬專用網(wǎng)絡(luò)，是一門網(wǎng)絡(luò)新技術(shù)，為我們提供了一種通過公用網(wǎng)絡(luò)安全地對(duì)企業(yè)內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式。二、VPN使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密。三、1.隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)

16、議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。 2、第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec（IP Security）是由一組RFC文檔組成，定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。四、VPN的身份驗(yàn)證方法：1、PPP的身份驗(yàn)證方法；2、CHAP：CHAP通過使用MD5（一種工業(yè)標(biāo)準(zhǔn)的散列方案）來(lái)協(xié)商一種加密身份驗(yàn)證的安全形式。CHAP在響應(yīng)時(shí)使用質(zhì)詢-響應(yīng)機(jī)制和單向MD5散列。用這種方法，可以向服務(wù)器證明客戶機(jī)知道密碼，但不必實(shí)

17、際地將密碼發(fā)送到網(wǎng)絡(luò)上。3、MS- CHAP：同CHAP相似，微軟開發(fā)MS-CHAP是為了對(duì)遠(yuǎn)程Windows工作站進(jìn)行身份驗(yàn)證，它在響應(yīng)時(shí)使用質(zhì)詢-響應(yīng)機(jī)制和單向加密。而且MS- CHAP不要求使用原文或可逆加密密碼。4、MS-CHAP v2：MS-CHAP v2是微軟開發(fā)的第二版的質(zhì)詢握手身份驗(yàn)證協(xié)議，它提供了相互身份驗(yàn)證和更強(qiáng)大的初始數(shù)據(jù)密鑰，而且發(fā)送和接收分別使用不同的密鑰。如果將VPN連接配置為用MS-CHAP v2作為唯一的身份驗(yàn)證方法，那么客戶端和服務(wù)器端都要證明其身份，如果所連接的服務(wù)器不提供對(duì)自己身份的驗(yàn)證，則連接將被斷開。5、EAP：EAP的開發(fā)是為了適應(yīng)對(duì)使用其他安全設(shè)備

18、的遠(yuǎn)程訪問用戶進(jìn)行身份驗(yàn)證的日益增長(zhǎng)的需求。通過使用EAP，可以增加對(duì)許多身份驗(yàn)證方案的支持，其中包括令牌卡、一次性密碼、使用智能卡的公鑰身份驗(yàn)證、證書及其他身份驗(yàn)證。對(duì)于VPN來(lái)說，使用EAP可以防止暴力或詞典攻擊及密碼猜測(cè)，提供比其他身份驗(yàn)證方法（例如 CHAP）更高的安全性。 6、在Windows系統(tǒng)中，對(duì)于采用智能卡進(jìn)行身份驗(yàn)證，將采用EAP驗(yàn)證方法；對(duì)于通過密碼進(jìn)行身份驗(yàn)證，將采用CHAP、MS-CHAP或MS- CHAP v2驗(yàn)證方法。五、VPN的加密技術(shù)。VPN采用何種加密技術(shù)依賴于VPN服務(wù)器的類型，因此可以分為兩種情況。1、對(duì)于PPTP服務(wù)器，將采用MPPE加密技術(shù)MPPE可

19、以支持40位密鑰的標(biāo)準(zhǔn)加密方案和128位密鑰的增強(qiáng)加密方案。只有在MS-CHAP、MS- CHAP v2或EAP/TLS身份驗(yàn)證被協(xié)商之后，數(shù)據(jù)才由MPPE進(jìn)行加密，MPPE需要這些類型的身份驗(yàn)證生成的公用客戶和服務(wù)器密鑰。2、對(duì)于L2TP服務(wù)器，將使用IPSec機(jī)制對(duì)數(shù)據(jù)進(jìn)行加密IPSec是基于密碼學(xué)的保護(hù)服務(wù)和安全協(xié)議的套件。IPSec對(duì)使用L2TP協(xié)議的VPN連接提供機(jī)器級(jí)身份驗(yàn)證和數(shù)據(jù)加密。在保護(hù)密碼和數(shù)據(jù)的L2TP連接建立之前，IPSec在計(jì)算機(jī)及其遠(yuǎn)程VPN服務(wù)器之間進(jìn)行協(xié)商。IPSec可用的加密包括56位密鑰的數(shù)據(jù)加密標(biāo)準(zhǔn)DES和56位密鑰的三倍DES（3DES）六、VPN有三種

20、解決方案，用戶可以根據(jù)自己的情況進(jìn)行選擇。這三種解決方案分別是：遠(yuǎn)程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN），這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對(duì)應(yīng)。以思科路由器為例,你寫下單臂路由的配置命令？答：router(config)#interface f0/1.1router(config-if)#encapsulation dotlQ 100router(config-if)#ip add 192.168.1.1 255.255

21、.255.0router(config-if)#no shutdownrouter(config-if)#interface f0/1.2router(config-if)#i encapsulation dotlQ 200router(config-if)#i ip add 192.168.2.1 255.255.255.0router(config-if)#no shutdownSTP協(xié)議的主要用途是什么？為什么要用STP主要用途：1、STP通過阻塞冗余鏈路，來(lái)消除橋接網(wǎng)絡(luò)中可能存在的路徑回環(huán)；2、當(dāng)前活動(dòng)路徑發(fā)生故障時(shí)，STP激活冗余鏈路恢復(fù)網(wǎng)絡(luò)連通性。原因：交換網(wǎng)絡(luò)存在環(huán)路時(shí)引起：廣播

22、環(huán)路（廣播風(fēng)暴）；橋表?yè)p壞。介紹一下ACL和NAT？NAT有幾種方式？ACL：1、訪問控制列表（ACL）是應(yīng)用在路由器接口的指令列表（規(guī)則），用來(lái)告訴路由器哪些數(shù)據(jù)包可以接收轉(zhuǎn)發(fā)，哪些數(shù)據(jù)包需要拒絕；2、ACL的工作原理 ：讀取第三層及第四層包頭中的信息，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾；3、使用ACL實(shí)現(xiàn)網(wǎng)絡(luò)控制：實(shí)現(xiàn)訪問控制列表的核心技術(shù)是包過濾；4、ACL的兩種基本類型（標(biāo)準(zhǔn)訪問控制列表；擴(kuò)展訪問控制列表）NAT：改變IP包頭使目的地址，源地址或兩個(gè)地址在包頭中被不同地址替換。靜態(tài)NAT、動(dòng)態(tài)NAT、PATSTP的判定過程？答： STP判定步驟為：確定根網(wǎng)橋，使用網(wǎng)橋ID；計(jì)算到根網(wǎng)橋的

23、最小根路徑成本； 確定最小的發(fā)送方網(wǎng)橋ID；確定最小的端口ID。STP過程為：選根網(wǎng)橋 在每個(gè)非根網(wǎng)橋上選擇根端口 在每個(gè)網(wǎng)段上標(biāo)定一個(gè)指定端口HSRP是什么?它是如何工作的？答：HSRP是熱備份路由協(xié)議，思科專有。通過HSRP，一組路由器可以一起協(xié)同工作，來(lái)代表一臺(tái)虛擬路由器，備份組像一臺(tái)路由器一樣工作，一個(gè)虛擬IP 地址和MAC地址，從末端主機(jī)來(lái)看，虛擬主路由器是一臺(tái)有自己IP地址和MAC地址的路由器，它不同于實(shí)際物理路由器，那么該組中一臺(tái)路由器失效則另一臺(tái)路由器接替工作，路由選擇照常。PPP協(xié)議組成及簡(jiǎn)述協(xié)議協(xié)商的基本過程？一、PPP（Point-to-Point Protocol點(diǎn)到點(diǎn)

24、協(xié)議）是為在同等單元之間傳輸數(shù)據(jù)包這樣的簡(jiǎn)單鏈路設(shè)計(jì)的鏈路層協(xié)議。設(shè)計(jì)目的主要是用來(lái)通過撥號(hào)或?qū)＞€方式建立點(diǎn)對(duì)點(diǎn)連接發(fā)送數(shù)據(jù)，使其成為各種主機(jī)、網(wǎng)橋和路由器之間簡(jiǎn)單連接的一種共通的解決方案。二、PPP協(xié)議中提供了一整套方案來(lái)解決鏈路建立、維護(hù)、拆除、上層協(xié)議協(xié)商、認(rèn)證等問題。三、PPP協(xié)議包含這樣幾個(gè)部分：鏈路控制協(xié)議LCP（Link Control Protocol）；網(wǎng)絡(luò)控制協(xié)議NCP（Network Control Protocol）；認(rèn)證協(xié)議，最常用的包括口令驗(yàn)證協(xié)議PAP（Password Authentication Protocol）和挑戰(zhàn)握手驗(yàn)證協(xié)議CHAP（Challenge

25、-Handshake Authentication Protocol）。四、一個(gè)典型的鏈路建立過程分為三個(gè)階段：創(chuàng)建階段、認(rèn)證階段和網(wǎng)絡(luò)協(xié)商階段。階段1：創(chuàng)建PPP鏈路LCP負(fù)責(zé)創(chuàng)建鏈路。在這個(gè)階段，將對(duì)基本的通訊方式進(jìn)行選擇。鏈路兩端設(shè)備通過LCP向?qū)Ψ桨l(fā)送配置信息報(bào)文（Configure Packets）。一旦一個(gè)配置成功信息包（Configure-Ack packet）被發(fā)送且被接收，就完成了交換，進(jìn)入了LCP開啟狀態(tài)。應(yīng)當(dāng)注意，在鏈路創(chuàng)建階段，只是對(duì)驗(yàn)證協(xié)議進(jìn)行選擇，用戶驗(yàn)證將在第2階段實(shí)現(xiàn)。階段2：用戶驗(yàn)證在這個(gè)階段，客戶端會(huì)將自己的身份發(fā)送給遠(yuǎn)端的接入服務(wù)器。該階段使用一種安全驗(yàn)證

26、方式避免第三方竊取數(shù)據(jù)或冒充遠(yuǎn)程客戶接管與客戶端的連接。在認(rèn)證完成之前，禁止從認(rèn)證階段前進(jìn)到網(wǎng)絡(luò)層協(xié)議階段。如果認(rèn)證失敗，認(rèn)證者應(yīng)該躍遷到鏈路終止階段。在這一階段里，只有鏈路控制協(xié)議、認(rèn)證協(xié)議，和鏈路質(zhì)量監(jiān)視協(xié)議的packets是被允許的。在該階段里接收到的其他的packets必須被靜靜的丟棄。最常用的認(rèn)證協(xié)議有口令驗(yàn)證協(xié)議（PAP）和挑戰(zhàn)握手驗(yàn)證協(xié)議（CHAP）。 認(rèn)證方式介紹在第三部分中介紹。階段3：調(diào)用網(wǎng)絡(luò)層協(xié)議認(rèn)證階段完成之后，PPP將調(diào)用在鏈路創(chuàng)建階段（階段1）選定的各種網(wǎng)絡(luò)控制協(xié)議（NCP）。選定的NCP解決PPP鏈路之上的高層協(xié)議問題，例如，在該階段IP控制協(xié)議（IPCP）可以向

27、撥入用戶分配動(dòng)態(tài)地址。這樣，經(jīng)過三個(gè)階段以后，一條完整的PPP鏈路就建立起來(lái)了。五、認(rèn)證方式1）口令驗(yàn)證協(xié)議（PAP）PAP是一種簡(jiǎn)單的明文驗(yàn)證方式。NAS（網(wǎng)絡(luò)接入服務(wù)器，Network Access Server）要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。很明顯，這種驗(yàn)證方式的安全性較差，第三方可以很容易的獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP無(wú)法提供避免受到第三方攻擊的保障措施。2）挑戰(zhàn)-握手驗(yàn)證協(xié)議（CHAP）CHAP是一種加密的驗(yàn)證方式，能夠避免建立連接時(shí)傳送用戶的真實(shí)密碼。NAS向遠(yuǎn)程用

28、戶發(fā)送一個(gè)挑戰(zhàn)口令（challenge），其中包括會(huì)話ID 和一個(gè)任意生成的挑戰(zhàn)字串（arbitrary challengestring）。遠(yuǎn)程客戶必須使用MD5單向哈希算法（one-way hashing algorithm）返回用戶名和加密的挑戰(zhàn)口令，會(huì)話ID以及用戶口令，其中用戶名以非哈希方式發(fā)送。CHAP對(duì)PAP進(jìn)行了改進(jìn)，不再直接通過鏈路發(fā)送明文口令，而是使用挑戰(zhàn)口令以哈希算法對(duì)口令進(jìn)行加密。因?yàn)榉?wù)器端存有客戶的明文口令，所以服務(wù)器可以重復(fù)客戶端進(jìn)行的操作，并將結(jié)果與用戶返回的口令進(jìn)行對(duì)照。CHAP為每一次驗(yàn)證任意生成一個(gè)挑戰(zhàn)字串來(lái)防止受到再現(xiàn)攻擊（replay attack）。在

29、整個(gè)連接過程中，CHAP將不定時(shí)的向客戶端重復(fù)發(fā)送挑戰(zhàn)口令，從而避免第3方冒充遠(yuǎn)程客戶（remote client impersonation）進(jìn)行攻擊。六、PPP協(xié)議的應(yīng)用PPP協(xié)議是目前廣域網(wǎng)上應(yīng)用最廣泛的協(xié)議之一，它的優(yōu)點(diǎn)在于簡(jiǎn)單、具備用戶驗(yàn)證能力、可以解決IP分配等。家庭撥號(hào)上網(wǎng)就是通過PPP在用戶端和運(yùn)營(yíng)商的接入服務(wù)器之間建立通信鏈路。目前，寬帶接入正在成為取代撥號(hào)上網(wǎng)的趨勢(shì)，在寬帶接入技術(shù)日新月異的今天，PPP也衍生出新的應(yīng)用。典型的應(yīng)用是在ADSL（非對(duì)稱數(shù)據(jù)用戶環(huán)線，Asymmetrical Digital Subscriber Loop）接入方式當(dāng)中，PPP與其他的協(xié)議共同派

30、生出了符合寬帶接入要求的新的協(xié)議，如PPPoE（PPP over Ethernet），PPPoA（PPP over ATM）。利用以太網(wǎng)（Ethernet）資源，在以太網(wǎng)上運(yùn)行PPP來(lái)進(jìn)行用戶認(rèn)證接入的方式稱為PPPoE。PPPoE即保護(hù)了用戶方的以太網(wǎng)資源，又完成了ADSL的接入要求，是目前ADSL接入方式中應(yīng)用最廣泛的技術(shù)標(biāo)準(zhǔn)。同樣，在ATM（異步傳輸模式，Asynchronous Transfer Mode）網(wǎng)絡(luò)上運(yùn)行PPP協(xié)議來(lái)管理用戶認(rèn)證的方式稱為PPPoA。它與PPPoE的原理相同，作用相同；不同的是它是在ATM網(wǎng)絡(luò)上，而PPPoE是在以太網(wǎng)網(wǎng)絡(luò)上運(yùn)行，所以要分別適應(yīng)ATM標(biāo)準(zhǔn)和以太網(wǎng)標(biāo)準(zhǔn)。PPP協(xié)議的簡(jiǎn)單完整使它得到了廣泛的應(yīng)用，相信在未來(lái)的網(wǎng)絡(luò)技術(shù)發(fā)展中，它還可以發(fā)揮更大的作用。1.請(qǐng)你修改一下LINUX