h5响应式网站做动画,九江 网站建设,作文网站高中,工作不顺心压抑想辞职网工还是要基本会ACL、ISIS、OSPF、MPLS、QOS、GVRP、VRRP、FW、BGP、STP、IV4\6、WLAN、路由策略、策略路由、LACP等都或多或少要知道#xff0c;常见的哪怕没有实战#xff0c;要在ensp、cisco中练过#xff01; OSPF邻居故障#xff0c;你认为是哪些原因#xff1f;或者…网工还是要基本会ACL、ISIS、OSPF、MPLS、QOS、GVRP、VRRP、FW、BGP、STP、IV4\6、WLAN、路由策略、策略路由、LACP等都或多或少要知道常见的哪怕没有实战要在ensp、cisco中练过 OSPF邻居故障你认为是哪些原因或者邻居建立的条件是什么几乎每家公司都会问
OSPF邻居故障:
(1)route id冲突
(2)接口所属区域ID不一致
(3)认证不一致
(4)hello/dead时间不一致
(5)MA网络中互联接口掩码不一致
(6)如果开启了MTU检测则需要两端MTU检测值一直(华为默认不开启默认值为0思科(7)默认开启默认值为1500)
(8)接口不能配置静默模式(不发不收hello报文)OSPF引入外部路由有哪几种类型默认是什么类型的
ASE有两种类型type1和type2默认是type2。
(1)Type1:选路是直接比较内部cost外部cost数值一样则进行负载分担如果不一样则谁小谁优先。
(2)Type2:选路是先比较外部cost谁小谁优先在比较内部cost谁小谁优先如果两者cost相同则进行负载分担。思科和华为的OSPF对接需要注意什么
检查OSPF的邻居关系建立条件中的要素一:MTU值检查
要么在华为侧配置MTU值检查(华为接口下配置ospf mtu-enable命令开启检测)
要么在思科侧配置MTU值不检查(思科接口下配置ip ospf mtu-ignore)。BGP选路常用的是哪几个除运营商会问的比较细会问到集群Clusert list等等其他数据中心大部分使用MED和本地优先级 BGP的本地优先级和MED有什么使用特点和区别两个问题都可以参考这个回答
(1)优选local-pref本地优先级值(默认为100)最高的路由不能传出IBGP仅在本AS内有效(EBGP邻居接收到的路由除非自己在入方向加上策略否则从EBGP邻居学习到的路由不会带有local-pref)命令为:default local-preference(如果收到的路由存在local-pre优先级则不会修改如果路由不存在local-pre优先级则修改为本地路由器设置的local-pre值默认为100)。
(2)优选MED值最低的路由(默认情况下不比较来自不同AS邻居的路由信息的MED值只比较相同AS传递的路由信息MED值)可以传给EBGP邻居只能传递一个EBGP邻居如果接收到的EBGP邻居未做针对其他EBGP邻居的出向MED策略则其他EBGP邻居接收到的路由信息无MED值。如果都未做MED值的策略则A传递路由给B时MED值为0B传递路由给C时MED值为null。ISIS用过没有和OSPF有什么不同为什么运营商会使用ISIS
答:没在生产环境中用过仅在模拟环境中使用过和OSPF的区别如下:1.IS-IS协议直接在链路层上使用报文直接封装在链路层报文中支持IP、OSI CLNP多种协议。
OSPF协议封装在IP中只支持IP协议。2.IS-IS的LSP生存时间是从20分钟(默认时间可配置)往下计算到0来清除旧的LSP报文。
OSPF协议的LSA信息的生存时间是从0往最大值涨到60分钟(不可配置)来清除旧的LSA信息。3.IS-IS协议中整个路由器只能全部属于一个区域路由器的LSDB按级别来维护。
OSPF协议中是按接口来划分区域一个路由器可以属于多个区域每个区域维护一个LSDB数据库。4.对骨干区域的类型定义不同OSPF通过区域0来定义骨干区域而IS-IS是通过链路的L2路由器来组成骨干区域。5.IS-IS协议的DIS(DR)选举比较简单是抢占式可预见的优先级最高的成为DIS(DR)。OSPF协议DR选举比较复杂优先级最高的不一定是DR并且有BDR的概念而IS-IS没有BDR。6.IS-IS只支持P2P和广播网络类型。
OSPF可以很好的支持各种网络模型支持P2P、P2MP、BMA、NBMA。运营商使用ISIS的原因猜测如下:
ISIS比OSPF的效率更高建立邻居和算法更快速扩展性强(OSPF不支持扩展IPv6ISIS协议可直接扩展IPv6)可以支持非IP协议(IPX)。ISIS有哪些类型一般用哪些类型
答:3种类型
(1) L1路由器。
(2) L2路由器。
(3) L1/L2路由器。
一般使用默认类型L1/L2类型。ISIS的DIS和OSPF的DR有什么不同
(1) IS-IS协议的DIS(DR)选举比较简单是抢占式可预见的优先级最高的成为DIS(DR)。
ISIS选举DIS:
1.选举基于接口优先级(华为设备默认为64)。
2.如果所有接口的优先级一样具有最大的subnetwork point of attachment(SNPA子网连接点)的路由器将当选DIS。
3.在LAN中SNPA指的是MAC地址。
4.在帧中继网络中SNPA是local data link connectionidentifier(DLCI)。
5.DIS的选举是抢占式没有规定不能参与选举的机制当优先级为0的时候仍可以参加DIS的选举。
6.与OSPF不同它的选举是抢占式IS-IS中不存在备份DIS当一个DIS不能工作时直接选举另一个。
7.DIS发送hello数据包的时间间隔是普通路由的1/3这样可以保证DIS失效可以被快速检测到。
(2)OSPF协议DR选举比较复杂优先级最高的不一定是DR并且有BDR的概念而IS-IS没有BDR。防火墙的五元组
(1) 源IP
(2) 源端口
(3) 目的IP
(4) 目的端口
(5) 协议你在项目中防火墙的应用场景有哪些主要做什么用途
主要是做不同区域网络间隔离和出口上网的业务场景例如生产/办公之间网络隔离以及内外网的源目NAT还有出口互联网上网的NAT以及策略域内NAT各种VPN例如IPSEC VPN/SSL VPN/L2TP VPN业务等。防火墙主备双机配置不同步的原因
(1) 主机和备机启动的时候初始配置不一致。
(2) 双机状态曾经出现过故障导致主备之间配置同步异常。
(3) 主机或备份曾经关闭过配置备份功能。
(4) 设备之间补丁和版本不一致。
(5) 设备之间心跳接口配置有误。
(6) 设备之间链路连通性出现故障。
(7) 有其他异常配置例如any nat配置可以导致心跳接口在互通时进行NAT转换。防火墙监测链路是监测物理口还是逻辑口
都检测ip-link功能有两种探测模式
一种是ICMP探测也就是周期性发送ping包用于探测非直连链路
一种是ARP探测也就是周期性发送arp请求包用于探测直连或中间跨越二层转发设备的链路。M-LAG的使用场景和堆叠有什么不同
使用场景是跨设备链路聚合和堆叠的不同是M-LAG是将一台设备与另外一台设备进行跨设备的链路聚合组成双活系统主要是针对链路聚合业务而堆叠是将2台以上的设备进行系统虚拟化整合成一台虚拟的设备使用。M-LAG主备之间需要运行OSPF吗peer-link需要加入其中吗
可运行也可不运行如果是运行OSPF则两端需要配置不同的M-LAG IP地址并且进行宣告否则路由协议建立不起来peer-link需要加入(因为宣告的是M-LAG IP地址)。主导过哪些项目你在其中担任什么角色(一般都会问就是问你干过啥项目)
主导过各种网络割接例如生产网核心、办公网核心、接入层交换机等场景割接还有专线割接业务新增核心设备项目等。担任项目经理/项目负责人角色。在现网中你使用哪种生成树的版本园区和数据中心不一样
现网中华为或华三设备使用的是RSTP生成树版本思科设备使用rapid-pvst版本。RSTP生成树的端口角色有哪些你在部署核心时用了生成树的哪些技术
DP指定端口、RP根端口、BP备份端口、AP交替端口、EP边缘端口。
使用了以下4个技术:
(1) EP边缘端口
(2) stp no-agreement-check #用于将端口改为使用普通P/A协商机制主要用于不同厂家之间对接使用例如华为与思科如果是同厂家则不需要使用。
(3) stp bpdu-protection #华为交换机全局模式下配置开启BPDU报文防护
(4) error-down auto-recovery cause bpdu-protection interval 间隔时间(最少30秒) #由BPDU-protection原因关闭的端口会经过配合的间隔时间后自动恢复UP状态接触过什么类型的设备都是什么型号的多说几家华三、华为、锐捷、思科奔腾、深信服啥的
交换机、路由器、防火墙、VPN设备、存储、服务器、光交、链路负载均衡等设备型号有例如:
(1) 华为交换机:S57、CE67、S127/128等。
(2) 思科交换机:3650、3560、4506、6509等华三S10510X等。
(3) 防火墙:华为USG 6500、6507华三F1090山石SG-6000等。
(4) VPN设备:深信服SSL VPN设备。
(5) 存储:联想v5030。
有更多可以说更多无线有没有部署过什么厂家的你部署的是什么架构
Aruba、华为、信锐部署的都是AC瘦模式架构aruba则是MMACUAP胖瘦一体。远程登录SSH或者telnet当设备突然无法登陆时你会怎么排查需要说思路有无tacacs的情况
分两种情况:
一种是登录中突然断开后发现无法登录:
(1) 检查设备或系统是否掉电了、关机了。
(2) 检查是否在刚刚的操作进行了配置更改可以通过例如CRT的日志记录查看操作命令记录。
(3) 如果是接入层或者汇聚层发现无法登录设备可以在核心等上层设备上检查是否有环路的存在如果存在例如MAC地址漂移则表示有环路存在。
(4) 当前有线或无线网络质量不好存在大量的丢包、延迟的情况。
(5) 本机系统网卡问题。一种是登录时发现无法登录:
(1) 检查最近的配置是否有做过更改导致无法远程。
(2) 询问是否有其他同事进行了设备配置操作。
(3) 检查设备中是否有禁止某网段或者某IP远程的配置例如ACL等。
(4) Ping设备IP是否存在丢包、延迟高、无法通信的情况。
(5) 当前有线或无线网络质量不好存在大量的丢包、延迟的情况。
(6) 本机系统网卡问题。
(7) 检查设备或系统是否掉电了、关机了。项目实施中你遇到过哪些比较麻烦的事情是什么
(1) 不同网络厂家之间对接设备有需要注意的事项例如上述描述的华为与思科对接STP的事项、例如不同厂家之间对接IPSEC VPN事项(主要是v1 v2以及感兴趣流还有NAT优先级等问题)。
(2) 服务器厂家安装系统的问题有例如华为RH2288H V3服务器就存在安装Windows Server系统时无法正确识别和选择盘符只能通过反复重启来解决此BUG。
(3) 无线调优的工作例如信号弱需要加强功率AP太密导致干扰AP无故假死BUG。BGP中有哪些角色RR主要做什么用的看重什么参数
4种角色:客户机Client、非客户机Non-Client、始发者Originator、集群Cluster。RR的作用以及反射规则:RR路由器反射器的路由传递RR反射器里非客户端和非客户端之间不能经过RR服务器端传递路由信息
(1)客户端传递来的路由信息服务器端会将该路由信息传递给其他所有邻居路由器(传递过来路由的设备也不会传递)
(2)EBGP邻居传递来的路由信息服务器端会将该路由信息传递给其他所有邻居路由器(传递过来路由的设备也不会传递)
(3)从非客户端传递来的路由信息服务器端会将该路由信息传递给客户端和EBGP邻居不会传递给非客户端设备(传递过来路由的设备也不会传递)
(4)客户端不知道自己是客户端RR路由器参数:
路由反射器环路防止机制——Originator_ID:
1.Originator_ID属性用于防止在反射器和客户机/非客户机之间产生环路。
2.Originator_ID属性长4字节可选非过渡属性属性类型为9是由路由反射器(RR)产生携带了本地AS内部路由发起者的Router ID。
3.当一条路由第一次被RR反射的时候RR将Originator_ID属性加入到这条路由标识这条路由的始发路由器。如果一条路由中已经存在了Originator_ID则RR将不会创建新的Originator_ID。
4.当其他BGP对等体接收到这条路由的时候将比较收到的Originator_ID和本的Router ID如果两个ID相同BGP对等体会忽略掉这条路由不做处理。路由反射器环路防止机制——Cluster_List:
1.Cluster_List属性用于防止AS内部的环路。
2.Cluster_List是可选非过渡属性属性类型编码为10。
3.Cluster_List由一系列的Cluster_ID组成描述了一条路由所经过的反射器路径这和描述路由经过的AS路径的AS_Path属性有相似之处Cluster_List由路由反射器产生。
4.当RR在它的客户机之间或客户机与非客户机之间反射路由时RR会把本地Cluster_ID添加到Cluster_List的前面。如果Cluster_List为空RR就创建一个。
5.当RR接收到一条更新路由时RR会检查Cluster_List。如果Cluster_List中已经有本地Cluster_ID丢弃该路由如果没有本地Cluster_ID将其加入到Cluster_List然后反射该更新路由。MPLS-VPN有RR和无RR的情况下PE与PE之间是怎么传递路由的同一个AS情况
(1)无RR的情况PE将路由之间传递给P设备然后递归传递给对端PE设备。
(2)有RR的情况PE将路由传递给RR由RR反射给其他PE设备。NAT用过哪几种做什么用的
NAT用过源目NAT
作用:
(1) 源NAT可以做互联网出口NAT也可以做专线内网源NAT转换还可以做域内NAT转换将内网源地址转换后可以解决域内NAT的问题。
(2) 目的NAT一般是做静态映射也就是外网访问内网时做的NAT 映射转换。链路聚合中配置LACP和不配置有什么区别LACP主要为了解决什么问题的
(1)不配置LACP的话华为和华三设备默认使用手工负载分担模式手工负载分担模式下所有接口都处于转发状态平均分担流量。
(2)LACP模式下接口处于活动状态与非活动状态也就是冗余模式。(3)不配置LACP的话可能会导致厂家之间对接出现问题例如思科默认使用PAGP模式如果不配置LACP的话思科与华为等厂家对家会导致无法协商成功从而无法对接成功。(4)LACP主要解决冗余问题手工负载分担模式下所有接口都处于转发状态而LACP的话会有备份链路的存在所以当某条活动链路出现故障时备份链路可以顶上。而手工负载分动模式则没有备份链路的概念。BFD和NQA的使用场景是什么当你在连接运营商的链路上使用时你选择哪种
(1) BFD通常是使用在链路层的场景或者IGP协议对接时使用。
(2) NQA通常使用在静态路由的场景下使用需要感知对端IP是否存活的情况下使用。
(3) 如果是连接出口运营商的链路使用那肯定是使用NQA因为NQA可以针对静态路由做配置例如当有多出口冗余负载时配置了NAQ后某条链路NQA检测到无法通信则会自动在路由表中删除此链路相关的静态路由当链路恢复后路由也会恢复不会影响到通信。设备部署方式有哪些
串连直连旁挂引流你部署的网络中用过DHCP吗是怎么部署的设备上部署和服务器上部署客户需求点不同
在Windows服务器端和交换机端都部署过交换机端部署DHCP会减少DHCP报文传递不用配置dhcp relay或者help-addree等配置缺点是当配置N条IP与MAC绑定时会导致接口下的配置增加导致影响配置检查工作配置热备操作比较繁琐热备的操作依赖于VRRP如果无VRRP协议则无法完成热备。 在Windows服务器端上配置则可以进行图形化的操作并且各个功能模块分开方便查看同时域内多台DC设备存在可以配置故障转移热备。简述Web常见攻击技术
Web常见攻击技术1SQL 注入Web 应用未对用户提交的数据做过滤或者转义导致后端数据库服务器执行了黑客提交的 sql 语句。黑客利用 sql 注入攻击可进行拖库、植入 webshell进而入侵服务器。
2XSS 跨站Web 应用未对用户提交的数据做过滤或者转义导致黑客提交的 javascript 代码被浏览器执行。黑客利用 xss 跨站攻击可以构造恶意蠕虫、劫持网站 cookie、获取键盘记录、植入恶意挖矿 js 代码。
3命令注入Web 应用未对用户提交的数据做过滤或者转义导致服务器端执行了黑客提交的命令。黑客利用登入注入攻击可以对服务器植入后门、直接反弹 shell 入侵服务器。
4CSRFWeb 应用对某些请求未对来源做验证导致登录用户的浏览器执行黑客伪造的 HTTP 请求并且应用程序认为是受害者发起的合法请求的请求。黑客利用 CSRF 攻击可以执行一些越权操作如添加后台管理员、删除文章等。
5目录遍历Web 应用对相关目录未做访问权限控制并且未对用户提交的数据做过滤或者转义导致服务器敏感文件泄露。黑客利用目录遍历攻击可获取服务器的配置文件进而入侵服务器。
6木马后门Web 应用未对用户提交的数据做过滤或者转义导致木马代码执行。黑客利用木马后门攻击可以入侵服务器。
7缓冲区溢出http 协议未对请求头部做字节大小限制导致可以提交大量数据因此可能导致恶意代码被执行。
8文件上传Web 应用未对文件名后缀上传数据包是否合规导致恶意文件上传。文件上传攻击将包含恶意代码的文件上传到服务器最终导致服务器被入侵。
9扫描器扫描黑客利用漏洞扫描器扫描网站可以发现 web 应用存在的漏洞最终利用相关漏洞攻击网站。
10高级爬虫爬虫自动化程度较高可以识别 setcookie 等简单的爬虫防护方式。
11常规爬虫爬虫自动化程度较低可以利用一些简单的防护算法识别如 setcookie 的方式。
敏感信息泄露:web 应用过滤用户提交的数据导致应用程序抛出异常泄露敏感信息黑客可能利用泄露的敏感信息进一步攻击网站。
服务器错误Web 应用配置错误导致服务器报错从而泄露敏感信息黑客可能利用泄露的敏感信息进一步攻击网站。
12非法文件下载Web 应用未对敏感文件 (密码、配置、备份、数据库等) 访问做权限控制导致敏感文件被下载黑客利用下载的敏感文件可以进一步攻击网站。
13第三方组件漏洞Web 应用使用了存在漏洞的第三方组件导致网站被攻击。
14XPATH 注入Web 应用在用 xpath 解析 xml 时未对用户提交的数据做过滤导致恶意构造的语句被 xpath 执行。黑客利用 xpath 注入攻击可以获取 xml 文档的重要信息。
15XML 注入Web 应用程序使用较早的或配置不佳的 XML 处理器解析了 XML 文档中的外部实体引用导致服务器解析外部引入的 xml 实体。黑客利用 xml 注入攻击可以获取服务器敏感文件、端口扫描攻击、dos 攻击。
16LDAP 注入防护Web 应用使用 ldap 协议访问目录并且未对用户提交的数据做过滤或转义导致服务端执行了恶意 ldap 语句黑客利用 ldap 注入可获取用户信息、提升权限。
17SSI 注入Web 服务器配置了 ssi并且 html 中嵌入用户输入导致服务器执行恶意的 ssi 命令。黑客利用 ssi 注入可以执行系统命令。
18Webshell 黑客连接尝试去连接网站可能存在的 webshell黑客可能通过中国菜刀等工具去连接 webshell 入侵服务器。
19暴力破解黑客在短时间内大量请求某一 url 尝试猜解网站用户名、密码等信息黑客利用暴力破解攻击猜解网站的用户名、密码可以进一步攻击网站。
20非法请求方法Web 应用服务器配置允许 put 请求方法请求黑客可以构造非法请求方式上传恶意文件入侵服务器。
21撞库Web 应用对用户登入功能没做验证码验证黑客可以借助工具结合社工库去猜网站用户名及密码。简述SQL注入概念和原理
SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句在管理员不知情的情况下实现非法操作以此来实现欺骗数据库服务器执行非授权的任意查询从而进一步得到相应的数据信息。
SQL 注入可影响任何使用了 SQL 数据库的网站或应用程序例如常用的数据库有 MySQL、Oracle、SQL Server 等等。攻击者利用它便能无需授权地访问你的敏感数据比如用户资料、个人数据、商业机密、知识产权等等。SQL 注入是一种最古老、最流行、也最危险的网站漏洞。SQL注入攻击的原理是什么
当应用程序使用输入内容来构造动态SQL语句以访问数据库时会发生SQL注入攻击。如果代码使用存储过程而这些存储过程作为包含未筛选的用户输入的字符串来传递也会发生 SQL 注入。SQL注入可能导致攻击者使用应用程序登陆在数据库中执行命令。如果应用程序使用特权过高的帐户连接到数据库这种问题会变得很亚重。在某些表单中用户输入的内容直接用来构造动态 SQL命令或者作为存储过程的输入参数这些表单特别容易受到SQL注入的攻击。而许多网站程序在编写时没有对用户输入的合法性进行判断或者程序中木身的变量处理不当使应用程序 存在安全隐患。这样用户就可以提交一段数据库查询的代码根据程序返回的结果获得一些敏感的信息或者控制整个服务器于是SQL注入就发生了。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web 页面访问没什么区别。所以目前市面的防火墙都不会对 SQL注入发出警报如果管理员没查看 IS 日志的习惯。可能被入侵很长时间都不会发觉。但是SQL 注入的手法相当灵活在注入的时候会碰到很多意外的情况需要构造巧妙的 SQL 语句从而成功获取想要的数据。
