二层.flv (249.88MB)

1.Mux vlan的作用以及应用场景?哪些vlan能通信?哪些不能通信?主vlan能不能配置vlanif口?如果主机需要访问外网,网关应该怎么配置?用hybrid接口怎么实现Mux vlan的功能?

  • 隔离VLAN之间的通信
  • 同一个组内的用户可以通信
  • 隔离组之间相互之间不能通信,隔离组与普通组不能通信
  • 主vlan不能配置vlan if
  • 网关配置在上层路由器上
  • image.png

2.Super VLAN的作用及场景?正常情况下不同vlan能不能配置同网段?画图解释。Super vlan同一个vlan能不能通信?不同vlan行不行?如果需要通信怎么办?

  • 节约IP地址
  • image.png
  • image.png
  • 用掩码算IP地址发现是同网段,则在VLAN内通信,但是因为不同VLAN导致无法访问
  • 可以通信,就是正常的二层通信
  • 不同vlan端口过不去
  • 如果要通信要开启ARP代理

3.ARP VLAN间/VLAN内代理的场景?访问对端主机用谁的MAC地址?网关回复ARP响应的条件是什么?此时能够通信,是二层通信还是三层通信?路由式代理的场景又是咋样的?路由器两个接口能不能配置同网段的IP?网关回复ARP相应的条件是什么?

  • 网关会将MAC修改为自己的vlan if的MAC
  • ARP表中有另一个PC的MAC,如果没有则会发起ARP请求
  • 三层通信
  • 路由器两个接口不能配同网段IP
  • 回复的条件是路由表中有另一台主机的路由

4.免费ARP的作用有哪些?

  • DAD(重复地址检测)
  • VRRP主备切换,并且每120S就会发一次免费ARP

5.ARP泛洪攻击会带来的影响有哪些?什么叫ARP miss消息?产生ARP临时表项的作用是啥?什么场景会出现大量ARP miss消息?防止泛洪攻击的方法有哪些?什么叫ARP表项固化?什么叫严格学习?

  • 会使路由器生成ARP临时表项,并且一直在局域网内泛洪ARP请求,占用CPU资源
  • 产生临时表项就是因为现在路由器上没有该地址的ARP表项,所以需要临时保存然后去在局域网内请求
  • 攻击者一直攻击
  • 在路由器上配置,配置一分钟解析多少个ARP,ARP miss的限制,一定时间内处理多少次,严格学习,只有网关自己请求的学习,限制ARP表项,ARP表项固化。

6.欺骗攻击又是怎么样的?主机收到多份ARP响应,使用哪一份?免费ARP为什么可以防止欺骗攻击?严格学习为什么又能防止欺骗攻击?DAI是什么意思?需要在哪配置?

  • 在主机发送ARP请求网关的时候,攻击者立刻进行欺骗回应,使主机上有一个错误的MAC地址
  • 只记录第一份
  • 网关会周期性发送自己的免费ARP,刷新主机上错误的MAC地址
  • 开启了严格学习路由器只记录第一次学习到的MAC,后面的不记录
  • 动态ARP监测
  • 配置在网关上,需要开启DHCP Snooping,要结合动态ARP监测一起使用

7.什么叫做MAC地址漂移?不同vlan算不算漂移?什么情况会产生MAC地址漂移?环路带来的影响有哪些?什么叫广播风暴?怎么防止MAC地址漂移?

  • 在同个VLAN下同一个MAC地址在不同的接口上变化
  • 不算
  • 环路,人员移动,VRRP频繁切换
  • MAC地址漂移检测,和端口安全
  • MAC地址漂移,广播风暴

8.什么叫二层环路?什么叫三层环路?产生的原因是啥?画图解释?物理成环一定会有数据成环吗?谁的影响大?为啥?防环的机制有哪些?

  • 物理层环路+关闭STP
  • 物理网络环路+路由环路+路由互指

  • 不一定,如果交换机没有收到BUM+组播+广播帧就不会产生环路
  • 二层环路问题大,会导致数据帧在局域网内无限循环,占用CPU资源
  • OSPF防环,ISIS防环,BGP防环,二层STP防环

9.三层交换机和路由器的区别?转发行为为啥有啥区别?什么叫一次路由多次交换?功能上有什么区别?外形上有什么区别?为啥内网中路由器用的少,交换机用的多?配置有啥不同?

  • 三层交换机三层转发使用一次转发多次交换,而路由器是查路由表进行转发。
  • 三层交换机同网段互访使用二层MAC进行通信,不同网段采用一次路由多次交换方式,路由器则只根据数据包中的目的网段进行查表进行转发。
  • 即三层交换机中不同网段互访没有对应的MAC地址表项,所以需要第一次访问是需要CPU进行一个查表转发数据,后续的数据全都通过交换芯片来转发。
  • 防火墙有NAT,防火墙,交换机不支持
  • 接口,板卡数量
  • 内网转发数据比较快,出口处用路由器做NAT,防火墙

10.交换机收到未知表项数据怎么处理?目的MAC是广播、组播、单播分别怎么处理?什么叫做协议组播帧?收到未知协议组播帧怎么处理?开启IGMP Snooping和没开启有啥差别?如果交换机是三层交换机又是怎么样的?

image.png

  • 协议组播帧0180 xxxx xxxx二层协议使用
  • 收到未知协议组播帧直接丢弃
  • 开启了IGMP Snooping收到流量组播帧时根据表项进行转发,如果没有对应表项则丢弃
  • 三层交换机收到广播帧会进行泛洪+上送CPU处理

11.路由器收到未知表项数据帧咋怎样处理?目的MAC是广播、组播、单播分别怎么处理?如果是单播,目的MAC不是自己的怎么办?

  • 直接丢弃
  • 广播帧进行同广播域发+上送CPU处理,组播查PIM,单播查看是不是查找我接口的MAC
  • 如果不是自己则直接丢弃

12.ICMP的攻击有哪些攻击行为?ICMP泛洪攻击咋攻击的?只有少数ICMP报文算不算攻击?Smurf攻击是什么原理?大包攻击和超大包攻击有啥区别?重定向和不可达攻击又是啥原理?

  • 泛洪攻击、ping大包攻击、超大包攻击(大于65535的包)win7会蓝屏,重定向、不可达
  • ICMP分别使用不同的源去访问目标主机,让他一直回复无法处理别的数据
  • image.png
  • 重定向和不可达就是伪装成网关给主机发送错误消息,让主机无法访问目标网络

13.Tracert的基本原理是啥?路由跟踪时每一跳发几个包?ping和Tracert是不是属于ICMP协议?如图,R1去ping R5的Loopback口用哪个接口地址?换成R2呢又是哪个接口地址?路由在负载的情况下怎么选路的?五元组指的是什么?ping包有没有五元组?逐流负载和逐包负载啥意思?华为是逐流还是逐包负载?R1 ping R5时,第一个包在3-5之间过滤了,后续报文能不能ping通?R1去Tracert R5的loopback口时,第一跳是谁?第一跳是谁?会不会显示两个下一跳?换成主机呢?

  • 逐跳增加TTL值,让经过的路由器回复ICMP不可达信息
  • 每一跳发3个包
  • 属于
  • image.png
  • 使用出接口地址
  • 五元组指的是源目IP,源目端口,协议
  • 华为使用逐流负载
  • 过滤掉了不能同,因为第一个包确定一条流走哪一边
  • 第一跳显示的是R2连接R1的接口
  • 会显示两个下一跳,因为华为的Tracert是基于UDP的,端口号3000以上会一直变
  • 换成主机不行

14.临时环路,如果DP口频繁UP/Down会出现什么问题?

image.png

15.为何P/A收敛需要在全双工模式,为何MA网络不支持PA

image.png