2022年锐捷网络服务商资质认证考试复习题目.doc

锐捷网络服务商资质认证考试复习题目（第二轮售后培训）1）问：关于OSPF路由协议的特点（优势）答：使用了区域的概念，可以减少路由器的CPU与内存负载；可以使网络拓扑进行层次化的规划支持完全无类别地址支持无类别的路由选择表查询、VLSM与超网支持无大小限制的，任意的度量值支持多路径的高效等价负载均衡使用组播地址进行路由报文交互而非广播支持更安全的路由选择认证使用可以跟踪外部路由的路由标记2）问：关于OSPF区域化部署的相关问题答：当有多OSPF区域存在的时候，必须有area 0，同时area 0必须作为骨干区域，其他非0区域必须直接与area 0邻接（虚链路除外）非0区域可以作为STUB区域，TOTALLY STUB区域，NSSA区域或TOTALLY NSSA区域 如果作为STUB区域，该区域不能学习到OSPF系统外部路由 如果作为TOTALLY STUB区域，该区域不能学习到OSPF系统外部路由，同时也不能学习到区域间路由3）问：如何产生OSPF ROUTER ID答：首先路由器选取所有loopback接口上数值最高的IP地址 如果路由器未配loopback地址，选择路由器物理接口上数值最高的IP地址。

4）问：关于二层攻击的类型及原理答：MAC地址欺骗/泛洪攻击、ARP欺骗攻击、STP攻击、DHCP攻击 MAC地址攻击： 将合法的MAC 地址修改成不存在的MAC 地址或其它计算机的MAC 地址，从而隐藏自己真实的MAC，来达到一些不可告人的目的，这就是MAC 地址欺骗 交换机内部的MAC地址表空间是有限的，MAC攻击会很快占满交换机内部MAC地址表，使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发，每个连在端口上的客户端都可以收到该报文，交换机变成了一个Hub，用户的信息传输也没有安全保障了 ARP攻击之ARP欺骗：利用上页讲到的ARP漏洞，发送虚假的ARP请求报文和响应报文，报文中的源IP和源MAC均为虚假的，扰乱局域网中被攻击PC中保存的ARP表，使得网络中被攻击PC的流量都可流入到攻击者手中ARP攻击之ARP恶作剧：和ARP欺骗的原理一样，报文中的源IP和源MAC均为虚假的，或错误的网关IP和网关MAC对应关系它的主要目的不是窃取报文，而是扰乱局域网中合法PC中保存的ARP表，使得网络中的合法PC无法正常上网、通讯中断 STP 攻击：发送虚假的BPDU报文，扰乱网络拓扑和链路架构，充当网络根节点，获取信息。

DHCP攻击：DHCP服务器攻击：恶意用户通过更换MAC地址的方式向DHCP Server发送大量的DHCP请求，以消耗DHCP Server可分配的IP地址为目的，使得合法用户的IP请求无法实现伪装的DHCP Server：非法DHCP Server，为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误信息，不仅影响合法用户的正常通讯，还导致合法用户的信息都发往非法DHCP Server，严重影响合法用户的信息安全5）问：网络管理中数据交互的安全性答：常见的网络管理工具或手段有CONSOLE，WEB，TELNET，SNMPV1/V2/V3，SSH其中SNMPV3与SSH对数据都是有加密机制的，其他的方式都没有加密6）问：ACL80的工作原理答：ACL80 的含义是匹配报文的前80 个字节，对报文进行过滤报文是由系列的字节流组成，ACL80 可以让用户对报文的前80 个字节中的任意64 个字节按比特（bit）位进行匹配注意：交换机只能对报文80 个字节中的64 个字节进行匹配ACL80不支持QoS,包括两个方面：1、CLASS MAP不能关联ACL802、ACL80不会和QoSACL合并。

当两者共同运用一个接口时，二者各自起作用，后安装的优先级高两者可能产生冲突，配置时要注意7）问：关于锐捷实验室解决方案的问题答：锐捷实验室解决方案有四大特点：web 管理，“一健清除”配置，权限分级，远程实验其中”一键清“功能的实现，是通过存储一个可执行的文本文档在RCMS的FLASH中，使用的时候直接在RCMS上执行这个脚本文件即可WEB管理功能由RCMS提供通过预定义WEB界面的HTML脚本文件在RCMS的配置文件中，以及WEB界面的各种设备图片，包括自定义的个性化LOG图片存储在RCMS的FLASH中，可以灵活编辑实验室WEB登陆实验的界面分级管理：在每个实验设备中给学生预设一个14级的密码（最高15级特权密码），14级密码包含所有可操作的权限，除了对FLASH进行删除的权限另预设一个15级特权密码，供老师使用 远程实验：通过VPN的方式拨入到实验室内网进行实验，并配合以远程预约系统，认证计费系统进行规范的管理 在项目实施的过程中，为保证实验的验证环节，要注意为学生PC布两根以上的网线，一根线作为机房交换机的连接，另一根连接到相应的RACK机柜中，方便实验时的PC验证环节。

8）问：锐捷图书馆解决方案答：该方案提出的背景：大量国外的图书资源只能在校园网内访问，住在校外的师生在家里是不能访问这些资源的，采购的这些国外数据库不是存放在高校图书馆自己的服务器上，而是存储在提供商的服务器上，图书馆支付费用以后，数据库服务商是根据访问者的IP地址来判断是否是经过授权的用户；从高校校园网出去的IP地址都是授权认可的，所以校园网内的所有上网计算机都可以使用；而住在校外的师生，上网所用的IP不是校园网的IP地址范围，因此，数据库服务商认为是非授权用户，拒绝访问；通过采用VPN＋AAA认证的方式，解决了IP地址授权和统一身份认证的问题，符合用户对图书馆应用的需求该方案的三个要素是：拨号客户端＋VDPN服务器＋RADIUS后台关于VPN与AAA的具体配置，参考相关技术文档9）DHCP的工作原理DHCP 是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写﹐它的前身是BOOTPDHCP协议使用UDP协议进行通讯，服务器使用端口67作为被请求端口，客户机的则用68作为被请求端口DHCP 的分配形式 　　首先﹐必须至少有一台 DHCP 工作在网络上面﹐它会监听网络的 DHCP 请求﹐并与客户端搓商 TCP/IP 的设定环境。

它提供两种 IP 定位方式﹕ Automatic Allocation 　　自动分配﹐其情形是﹕一旦 DHCP 客户端第一次成功的从 DHCP 服务器端租用到 IP 地址之后﹐就永远使用这个地址 Dynamic Allocation 　　动态分配﹐当 DHCP 第一次从 HDCP 服务器端租用到 IP 地址之后﹐并非永久的使用该地址﹐只要租约到期﹐客户端就得释放(release)这个 IP 地址﹐以给其它工作站使用当然﹐客户端可以比其它主机更优先的更新(renew)租约﹐或是租用其它的 IP 地址 　　动态分配显然比自动分配更加灵活﹐尤其是当您的实际 IP 地址不足的时候﹐例如﹕您是一家 ISP ﹐只能提供 200 个IP地址用来给拨接客户﹐但并不意味着您的客户最多只能有 200 个因为要知道﹐您的客户们不可能全部同一时间上网的﹐除了他们各自的行为习惯的不同﹐也有可能是线路的限制这样﹐您就可以将这 200 个地址﹐轮流的租用给拨接上来的客户使用了这也是为什么当您查看 IP 地址的时候﹐会因每次拨接而不同的原因了(除非您申请的是一个固定 IP ﹐通常的 ISP 都可以满足这样的要求﹐这或许要另外收费)。

当然﹐ISP 不一定使用 DHCP 来分配地址﹐但这个概念和使用 IP Pool 的原理是一样的 　　DHCP 除了能动态的设定 IP 地址之外﹐还可以将一些 IP 保留下来给一些特殊用途的机器使用﹐它可以按照硬件地址来固定的分配 IP 地址﹐这样可以给您更大的设计空间同时﹐DHCP 还可以帮客户端指定 router﹑netmask﹑DNS Server﹑WINS Server﹑等等项目﹐您在客户端上面﹐除了将 DHCP 选项打勾之外﹐几乎无需做任何的 IP 环境设定根据客户端是否第一次登录网络﹐DHCP 的工作形式会有所不同 第一次登录的时候﹕ 　　寻找 Server当 DHCP 客户端第一次登录网络的时候﹐也就是客户发现本机上没有任何 IP 数据设定﹐它会向网络发出一个 DHCP DISCOVER 封包因为客户端还不知道自己属于哪一个网络﹐所以封包的来源地址会为 0.0.0.0 ﹐而目的地址则为 255.255.255.255 ﹐然后再附上 DHCP discover 的信息﹐向网络进行广播 　　在 Windows 的预设情形下，DHCP discover 的等待时间预设为 1 秒﹐也就是当客户端将第一个 DHCP discover 封包送出去之后，在 1 秒之内没有得到响应的话﹐就会进行第二次 DHCP discover 广播。

若一直得不到响应的情况下﹐客户端一共会有四次 DHCP discover 广播(包括第一次在内)﹐除了第一次会等待 1 秒之外，其余三次的等待时间分别是 9﹑13﹑16 秒如果都没有得到 DHCP 服务器的响应﹐客户端则会显示错误信息﹐宣告 DHCP discover 的失败之后，基于使用者的选择﹐系统会继续在 5 分钟之后再重复一次 DHCP discover 的过程 　　提供 IP 租用地址当 DHCP 服务器监听到客户端发出的 DHCP discover 广播后﹐它会从那些还没有租出的地址范围内﹐选择最前面的空置 IP ，连同其它 TCP/IP 设定，响应给客户端一个 DHCP OFFER 封包 　　由于客户端在开始的时候还没有 IP 地址﹐所以在其 DHCP discover 封包内会带有其 MAC 地址信息﹐并且有一个 XID 编号来辨别该封包﹐DHCP 服务器响应的 DHCP offer 封包则会根据这些资料传递给要求租约的客户根据服务器端的设定﹐DHCP offer 封包会包含一个租约期限的信息 　　接受 IP 租约如果客户端收到网络上多台 DHCP 服务器的响应﹐只会挑选其中一个 DHCP offer 而已(通常是最先抵达的那个)﹐并且会向网络发送一个DHCP request广播封包﹐告诉所有 DHCP 服务器它将指定接受哪一台服务器提供的 IP 地址。

　　同时﹐客户端还会向网络发送一个 ARP 封包﹐查询网络上面有没有其它机器使用该 IP 地址﹔如果发现该 IP 已经被占用﹐客户端则会送出一个 DHCPDECLINE 封包给 DHCP 服务器﹐拒绝接受其 DHCP offer ﹐并重新发送 DHCP discover 信息 　　事实上﹐并不是所有 DHCP 客户端都会无条件接受 DHCP 服务器的 offer ﹐尤其这些主机安装有其它 TCP/IP 相关的客户软件客户端也可以用 DHCP request 向服务器提出 DHCP 选择﹐而这些选择会以不同的号码填写在 DHCP Option Field 里面。