三层交换机和路由器都可工作在网络的第三层,根据ip地址进
行数据包的转发(或交换),原理上没有太大的区别,这两个名词趋向于统一,我们可以认为三层交换机就是一个多端口的路由器。
但是传统的路由器有3个特点: 基于CPU的单步时钟处理机制;能够处理复杂的路由算法和协议;主要用于广域网的低速数据链路
在第三层交换机中,与路由器有关的第三层路由硬件模块也插接在高速背 板/总线上,这种方式使得路由模块可以与需要路由的其他模块间高速的交换数据,从而突破了传统的外接路
由器接口速率的限制(10Mbit/s---100Mbit/s)。
※对路由知识的掌握情况,对方提出了一个开放式的问题:简单说明一下你所了解的路由协议。
路由可分为静态&动 态路由。静态路由由管理员手动维护;动态路由由路由协议自动维护。
路由选择算法的必要步骤:1、向其它 路由器传递路由信息;2、接收其它路由器的路由信息;3、根据收到的路由信息计算出到每个目的网络的最优路 径,并由此生成路由选择表;4、根据网络拓扑的变化及时的做出反应,调整路由生成新的路由选择表,同时把拓扑变化以路由信息的形式 向其它路由器宣告。
两种主要算法:距离向量法(Distance Vector Routing)和链路状态算法(Link-State Routing)。
由此可分为距离矢量(如:RIP、IGRP、EIGRP)&链 路状态路由协议(如:OSPF、IS-IS)。
路由协议是路由器之间实现路由信息共享的一种机制,它允许路由器之间相互 交换和维护各自的路由表。当一台路由器的路由表由于某种原因发生变化时,它需要及时地将这一变化通知与之相连接的其他路由器,以保证数据的正确传递。路由 协议不承担网络上终端用户之间的数据传输任务。
※简单说一下OSPF的操作过程
①路由器发送HELLO报文;②建立邻接关系;③形成链路状态④SPF算 法算出最优路径⑤形成路由表
※OSPF路由协议的基本工作原理,DR、BDR的 选举过程,区域的作用及LSA的传输情况(注:对方对OSPF的相关知识提问较细,应着重掌握)。
特点是:1、收敛速 度快;2、支持无类别的路由表查询、VLSM和超网技术;3、支持等 代价的多路负载均衡;4、路由更新传递效率高(区域、组播更新、DR/BDR);5、根据 链路的带宽(cost)进行最优选路。
通过发关HELLO报 文发现邻居建立邻接关系,通过泛洪LSA形成相同链路状态数据库,运用SPF算法生成路由表。
DR/BDR选举:1、DR/BDR存在->不选举;达到2-way状态Priority不为0->选举资格;3、先选BDR后DR;4、利用“优先级”“RouterID”进行判断。
1、通过划分区域可以减少路由器LSA DB, 降低CPU、内存、与LSA泛洪带来的开销。2、可以将TOP变化 限定在单个区域,加快收敛。 LSA1、LSA2只在始发区域传输;LSA3、LSA4由ABR始 发,在OSPF域内传输;LSA5由ASBR始发在OSPF的AS内传输;LSA7只在NSSA内传输。
※OSPF有什么优点?为什么OSPF比RIP收 敛快?
优点:1、收敛速 度快;2、支持无类别的路由表查询、VLSM和超网技术;3、支持等 代价的多路负载均衡;4、路由更新传递效率高(区域、组播更新、DR/BDR);5、根据 链路的带宽进行最优选路
采用了区域、组播更新、增量更新、30分钟重 发LSA
※RIP版本1跟版本2的区 别?
答:①RIP-V1是有类路由协议,RIP-V2是无类路由协议②RIP-V1广播路由更新,RIP-V2组播路由更新③RIP-V2路由更新所携带的信息要比RIP-V1多
※描述RIP和OSPF,它们的区别、特点
RIP协议是一种传统的路由协议,适合比较小型的网络,但是当前Internet网络的迅速发展和急剧膨胀使RIP协议无法适应今 天的网络。
OSPF协议则是在Internet网络急剧膨胀的时候制定出来的,它克服了RIP协议的许多缺陷。
RIP是距离矢量路由协议;OSPF是 链路状态路由协议。
RIP&OSPF管理距离分别是:120和110
1.RIP协议一条路由有15跳(网 关或路由器)的限制,如果一个RIP网络路由跨越超过15跳(路由器),则它认为网络不可到达,而OSPF对 跨越路由器的个数没有限制。
2.OSPF协议支持可变长度子网掩码(VLSM),RIP则 不支持,这使得RIP协议对当前IP地址的缺乏和可变长度子网掩码的灵活性缺少支持。
3.RIP协议不是针对网络的实际情况而是定期地广播路 由表,这对网络的带宽资源是个极大的浪费,特别对大型的广域网。OSPF协议的路由广播更新只发生在路由状态变化的时候,采用IP多路广 播来发送链路状态更新信息,这样对带宽是个节约。
4.RIP网络是一个平面网络,对网络没有分层。OSPF在 网络中建立起层次概念,在自治域中可以划分网络域,使路由的广播限制在一定的范围内,避免链路中继资源的浪费。
5.OSPF在路由广播时采用了授权机制,保证了网络安 全。
上述两者的差异显示了OSPF协 议后来居上的特点,其先进性和复杂性使它适应了今天日趋庞大的Internet网,并成为主要的互联网路由协议。
※什么是静态路由?什么是动态路由?各自的特点是什么?
静态路由是由管理员在路由器中手动配置的固定路由,路由明确地指定了包到 达目的地必须经过的路径,除非网络管理员干预,否则静态路由不会发生变化。静态路由不能对网络的改变作出反应,所以一般说静态路由用于网络规模不大、拓扑 结构相对固定的网络。
静态路由特点
1、它允许对路由的行为进行精确的控制;
2、减少了网络流量;
3、是单向的;
4、配置简单。
动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信 息更新路由器表的过程。是基于某种路由协议来实现的。常见的路由协议类型有:距离向量路由协议(如:RIP)和 链路状态路由协议(如OSPF)。路由协议定义了路由器在与其它路由器通信时的一些规则。动态路由协议一般都有路由算法。其路由选 择算法的必要步骤
1、向其它路由器传递路由信息;
2、接收其它路由器的路由信息;
3、根据收到的路由信息计算出到每个目的网络的最优路径,并由此生成路由 选择表;
4、根据网络拓扑的变化及时的做出反应,调整路由生成新的路由选择表,同 时把拓扑变化以路由信息的形式向其它路由器宣告。
动态路由适用于网络规模大、拓扑复杂的网络。
动态路由特点:
1、无需管理员手工维护,减轻了管理员的工作负担。
2、占用了网络带宽。
3、在路由器上运行路由协议,使路由器可以自动根据网络拓朴结构的变化调 整路由条目;
※VLAN和×××有什 么区别?分别实现在OSI的第几层?
×××是一种三层封装加密技术,VLAN则 是一种第二层的标志技术(尽管ISL采用封装),尽管用户视图有些相象,但他们不应该是同一层次概念。
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组 的新兴技术。
VLAN在交换机上的实现方法,可以大致划分为2大类:1.基于 端口划分的静态VLAN;2、基于MAC地址|IP等划分的动态VLAN。当前主要是静态VLAN的 实现。
跨交换机VLAN通 讯通过在TRUNK链路上采用Dot1Q或ISL封装(标识)技术。
×××(虚拟专用网)被定义为通过一个公用网络(通常是因特网)建立一个 临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
×××使用三个方面的技术保证了通信的安全性:隧道协议、数据加密和身份 验证。
■×××使用 两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
■×××采用 何种加密技术依赖于×××服务器的类型,因此可以分为两种情况。
对于PPTP服务器,将采用MPPE加 密技术 MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份验证被协商之后,数据才由 MPPE 进行加密,MPPE需 要这些类型的身份验证生成的公用客户和服务器密钥。
对于L2TP服务器,将使用IPSec机 制对数据进行加密 IPSec是基于密码学的保护服务和安全协议的套件。IPSec 对 使用 L2TP 协议的 ××× 连接提供机器级身份验证和数据加密。
在保护密码和数据的 L2TP 连 接建立之前,IPSec 在计算机及其远程×××服务器之间进行协商。IPSec可 用的加密包括 56 位密钥的数据加密标准DES和 56 位 密钥的三倍 DES (3DES)。
■×××的身 份验证方法
前面已经提到×××的身 份验证采用PPP的身份验证方法,下面介绍一下×××进行身份验证的几种方法。
CHAP CHAP通过使用MD5(一 种工业标准的散列方案)来协商一种加密身份验证的安全形式。CHAP 在响应时使用质询-响应机制和单向 MD5 散 列。用这种方法,可以向服务器证明客户机知道密码,但不必实际地将密码发送到网络上。
MS-CHAP 同CHAP相 似,微软开发MS-CHAP 是为了对远程 Windows 工作站进行身份验证,它在响应时使用质询-响应机制 和单向加密。而且 MS-CHAP 不要求使用原文或可逆加密密码。
MS-CHAP v2 MS-CHAP v2是微软开发的第二版的质询握 手身份验证协议,它提供了相互身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。如果将×××连接 配置为用 MS-CHAP v2 作为唯一的身份验证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份 的验证,则连接将被断开。
EAP EAP 的开发是为了适应对使用其他安全设备的远程访问用户进行 身份验证的日益增长的需求。通过使用 EAP,可以增加对许多身份验证方案的支持,其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证 书及其他身份验证。对于×××来说,使用EAP
可以防止暴力或词典攻击及密码猜测,提供比其他身份验证方法(例如 CHAP) 更高的安全性。
在Windows系统中,对于采用智能卡进行身份验证, 将采用EAP验证方法;对于通过密码进行身份验证,将采用CHAP、MS-CHAP或MS-CHAP v2验证方法。
但是传统的路由器有3个特点: 基于CPU的单步时钟处理机制;能够处理复杂的路由算法和协议;主要用于广域网的低速数据链路
在第三层交换机中,与路由器有关的第三层路由硬件模块也插接在高速背 板/总线上,这种方式使得路由模块可以与需要路由的其他模块间高速的交换数据,从而突破了传统的外接路
由器接口速率的限制(10Mbit/s---100Mbit/s)。
※对路由知识的掌握情况,对方提出了一个开放式的问题:简单说明一下你所了解的路由协议。
路由可分为静态&动 态路由。静态路由由管理员手动维护;动态路由由路由协议自动维护。
路由选择算法的必要步骤:1、向其它 路由器传递路由信息;2、接收其它路由器的路由信息;3、根据收到的路由信息计算出到每个目的网络的最优路 径,并由此生成路由选择表;4、根据网络拓扑的变化及时的做出反应,调整路由生成新的路由选择表,同时把拓扑变化以路由信息的形式 向其它路由器宣告。
两种主要算法:距离向量法(Distance Vector Routing)和链路状态算法(Link-State Routing)。
由此可分为距离矢量(如:RIP、IGRP、EIGRP)&链 路状态路由协议(如:OSPF、IS-IS)。
路由协议是路由器之间实现路由信息共享的一种机制,它允许路由器之间相互 交换和维护各自的路由表。当一台路由器的路由表由于某种原因发生变化时,它需要及时地将这一变化通知与之相连接的其他路由器,以保证数据的正确传递。路由 协议不承担网络上终端用户之间的数据传输任务。
※简单说一下OSPF的操作过程
①路由器发送HELLO报文;②建立邻接关系;③形成链路状态④SPF算 法算出最优路径⑤形成路由表
※OSPF路由协议的基本工作原理,DR、BDR的 选举过程,区域的作用及LSA的传输情况(注:对方对OSPF的相关知识提问较细,应着重掌握)。
特点是:1、收敛速 度快;2、支持无类别的路由表查询、VLSM和超网技术;3、支持等 代价的多路负载均衡;4、路由更新传递效率高(区域、组播更新、DR/BDR);5、根据 链路的带宽(cost)进行最优选路。
通过发关HELLO报 文发现邻居建立邻接关系,通过泛洪LSA形成相同链路状态数据库,运用SPF算法生成路由表。
DR/BDR选举:1、DR/BDR存在->不选举;达到2-way状态Priority不为0->选举资格;3、先选BDR后DR;4、利用“优先级”“RouterID”进行判断。
1、通过划分区域可以减少路由器LSA DB, 降低CPU、内存、与LSA泛洪带来的开销。2、可以将TOP变化 限定在单个区域,加快收敛。 LSA1、LSA2只在始发区域传输;LSA3、LSA4由ABR始 发,在OSPF域内传输;LSA5由ASBR始发在OSPF的AS内传输;LSA7只在NSSA内传输。
※OSPF有什么优点?为什么OSPF比RIP收 敛快?
优点:1、收敛速 度快;2、支持无类别的路由表查询、VLSM和超网技术;3、支持等 代价的多路负载均衡;4、路由更新传递效率高(区域、组播更新、DR/BDR);5、根据 链路的带宽进行最优选路
采用了区域、组播更新、增量更新、30分钟重 发LSA
※RIP版本1跟版本2的区 别?
答:①RIP-V1是有类路由协议,RIP-V2是无类路由协议②RIP-V1广播路由更新,RIP-V2组播路由更新③RIP-V2路由更新所携带的信息要比RIP-V1多
※描述RIP和OSPF,它们的区别、特点
RIP协议是一种传统的路由协议,适合比较小型的网络,但是当前Internet网络的迅速发展和急剧膨胀使RIP协议无法适应今 天的网络。
OSPF协议则是在Internet网络急剧膨胀的时候制定出来的,它克服了RIP协议的许多缺陷。
RIP是距离矢量路由协议;OSPF是 链路状态路由协议。
RIP&OSPF管理距离分别是:120和110
1.RIP协议一条路由有15跳(网 关或路由器)的限制,如果一个RIP网络路由跨越超过15跳(路由器),则它认为网络不可到达,而OSPF对 跨越路由器的个数没有限制。
2.OSPF协议支持可变长度子网掩码(VLSM),RIP则 不支持,这使得RIP协议对当前IP地址的缺乏和可变长度子网掩码的灵活性缺少支持。
3.RIP协议不是针对网络的实际情况而是定期地广播路 由表,这对网络的带宽资源是个极大的浪费,特别对大型的广域网。OSPF协议的路由广播更新只发生在路由状态变化的时候,采用IP多路广 播来发送链路状态更新信息,这样对带宽是个节约。
4.RIP网络是一个平面网络,对网络没有分层。OSPF在 网络中建立起层次概念,在自治域中可以划分网络域,使路由的广播限制在一定的范围内,避免链路中继资源的浪费。
5.OSPF在路由广播时采用了授权机制,保证了网络安 全。
上述两者的差异显示了OSPF协 议后来居上的特点,其先进性和复杂性使它适应了今天日趋庞大的Internet网,并成为主要的互联网路由协议。
※什么是静态路由?什么是动态路由?各自的特点是什么?
静态路由是由管理员在路由器中手动配置的固定路由,路由明确地指定了包到 达目的地必须经过的路径,除非网络管理员干预,否则静态路由不会发生变化。静态路由不能对网络的改变作出反应,所以一般说静态路由用于网络规模不大、拓扑 结构相对固定的网络。
静态路由特点
1、它允许对路由的行为进行精确的控制;
2、减少了网络流量;
3、是单向的;
4、配置简单。
动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信 息更新路由器表的过程。是基于某种路由协议来实现的。常见的路由协议类型有:距离向量路由协议(如:RIP)和 链路状态路由协议(如OSPF)。路由协议定义了路由器在与其它路由器通信时的一些规则。动态路由协议一般都有路由算法。其路由选 择算法的必要步骤
1、向其它路由器传递路由信息;
2、接收其它路由器的路由信息;
3、根据收到的路由信息计算出到每个目的网络的最优路径,并由此生成路由 选择表;
4、根据网络拓扑的变化及时的做出反应,调整路由生成新的路由选择表,同 时把拓扑变化以路由信息的形式向其它路由器宣告。
动态路由适用于网络规模大、拓扑复杂的网络。
动态路由特点:
1、无需管理员手工维护,减轻了管理员的工作负担。
2、占用了网络带宽。
3、在路由器上运行路由协议,使路由器可以自动根据网络拓朴结构的变化调 整路由条目;
※VLAN和×××有什 么区别?分别实现在OSI的第几层?
×××是一种三层封装加密技术,VLAN则 是一种第二层的标志技术(尽管ISL采用封装),尽管用户视图有些相象,但他们不应该是同一层次概念。
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组 的新兴技术。
VLAN在交换机上的实现方法,可以大致划分为2大类:1.基于 端口划分的静态VLAN;2、基于MAC地址|IP等划分的动态VLAN。当前主要是静态VLAN的 实现。
跨交换机VLAN通 讯通过在TRUNK链路上采用Dot1Q或ISL封装(标识)技术。
×××(虚拟专用网)被定义为通过一个公用网络(通常是因特网)建立一个 临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
×××使用三个方面的技术保证了通信的安全性:隧道协议、数据加密和身份 验证。
■×××使用 两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
■×××采用 何种加密技术依赖于×××服务器的类型,因此可以分为两种情况。
对于PPTP服务器,将采用MPPE加 密技术 MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份验证被协商之后,数据才由 MPPE 进行加密,MPPE需 要这些类型的身份验证生成的公用客户和服务器密钥。
对于L2TP服务器,将使用IPSec机 制对数据进行加密 IPSec是基于密码学的保护服务和安全协议的套件。IPSec 对 使用 L2TP 协议的 ××× 连接提供机器级身份验证和数据加密。
在保护密码和数据的 L2TP 连 接建立之前,IPSec 在计算机及其远程×××服务器之间进行协商。IPSec可 用的加密包括 56 位密钥的数据加密标准DES和 56 位 密钥的三倍 DES (3DES)。
■×××的身 份验证方法
前面已经提到×××的身 份验证采用PPP的身份验证方法,下面介绍一下×××进行身份验证的几种方法。
CHAP CHAP通过使用MD5(一 种工业标准的散列方案)来协商一种加密身份验证的安全形式。CHAP 在响应时使用质询-响应机制和单向 MD5 散 列。用这种方法,可以向服务器证明客户机知道密码,但不必实际地将密码发送到网络上。
MS-CHAP 同CHAP相 似,微软开发MS-CHAP 是为了对远程 Windows 工作站进行身份验证,它在响应时使用质询-响应机制 和单向加密。而且 MS-CHAP 不要求使用原文或可逆加密密码。
MS-CHAP v2 MS-CHAP v2是微软开发的第二版的质询握 手身份验证协议,它提供了相互身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。如果将×××连接 配置为用 MS-CHAP v2 作为唯一的身份验证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份 的验证,则连接将被断开。
EAP EAP 的开发是为了适应对使用其他安全设备的远程访问用户进行 身份验证的日益增长的需求。通过使用 EAP,可以增加对许多身份验证方案的支持,其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证 书及其他身份验证。对于×××来说,使用EAP
可以防止暴力或词典攻击及密码猜测,提供比其他身份验证方法(例如 CHAP) 更高的安全性。
在Windows系统中,对于采用智能卡进行身份验证, 将采用EAP验证方法;对于通过密码进行身份验证,将采用CHAP、MS-CHAP或MS-CHAP v2验证方法。
