《网络规划设计师知识点总结.docx》由会员分享,可在线阅读,更多相关《网络规划设计师知识点总结.docx(133页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、VLSM题目:CIDR题目: 在编址和路由选择模型中使用层次化模型具有如下好处?l 易于排查故障l 易于管理和性能优化l 加快路由选择协议收敛l 需要更少的网络资源l 可扩展和稳定性强 信创建设过程中,信息安全信创包括哪些?例举负载均衡策略及其应用场景负载均衡产品的3大应用场景按照使用场景划分负载均衡有3大应用场景:全局负载均衡(GLB)、链路负载均衡(LLB)、服务器负载均衡(SLB)。1)LLB(链路负载均衡):一般部署与企业或数据中心的网络出口,正常情况下企业或数据中心一般都具有多出口连接不同的运营商,通过链路负载均衡设备可以做到出口流量按照既定策略实现出口流量的负载分担,降低出口流量压
2、力。同时LLB还可以做到流量的源进源出即同一个运营商的流量进来访问服务器,对应的响应流量也会返回到对应的运营商,这样可以避免跨越运营商的流量互访带来的带宽延迟2)SLB(服务器负载均衡):一般在服务器区域前的接入或者汇聚交换机旁挂SLB,感知本区域服务器状态并通过负载均衡算法(如轮询、加权轮询等)将访问流量给对应的后台服务器。部署时一般都是2台SLB集群部署增加高可靠性,集群部署后会虚拟出一个浮动IP对外呈现,而SLB会感知其下所有服务器的IP地址,当业务流量进来时首先到SLB呈现的浮动IP上,SLB通过负载均衡算法将业务流量下发到对应的一台服务器上,进而实现了服务器负载均衡的目标。3)GLB
3、(全局负载均衡):一般在数据中心出口部署,大型企业一般都有2地3中心或者3地6中心甚至5地10中心,让距离用户最近的数据中心为用户提供服务可以降低访问时延提升用户服务体验是GLB要解决的首要问题。GLB的本质是智能DNS,当用户访问对应相关资源时通常通过域名访问,在网络中会将域名解析网IP地址进行正常的业务访问,当解析流量到达各个数据中心GLB时,GLB会根据用户local DNS的具体区域来返回对应的IP,(如深圳的local DNS来的请求时就给他响应深圳数据中心的IP,这样可以就近访问进而节约访问时间提升用户服务体验)。链路聚合的三种方式?方式一:网络接口绑定网络接口绑定(NIC Bon
4、ding)是链路聚合中最基本的方式之一,它将多个独立的物理网卡绑定在一起,形成一个虚拟的网卡,并将其作为一个逻辑单元来使用。使用网络接口绑定可以增加系统的带宽和可靠性,但是需要进行一定的网络配置和性能优化。方式二:虚拟链路聚合虚拟链路聚合(VLAG)是对物理链路聚合技术的进一步提升,它通过创建虚拟端口,将网络中的多个交换机绑定在一起,提供更高的带宽和可用性。VLAG 可以跨交换机实现链路聚合,允许多个物理链路看作一个逻辑链路,增强了网络的可靠性和可扩展性。VLAG 技术中,两个交换机之间的虚拟链路被看作是一个设备。通过 VLAG 技术,设计者可以构建出多个设备,每个设备内有多个端口,这样便可以
5、有效提升网络的可靠性和带宽。方式三:多协议标签交换多协议标签交换(MPLS)是一种基于标签交换技术的网络服务,它可以提供更高效的数据传输方式。在 MPLS 中,每个数据包都会被打上标签,这个标签标识了这个数据包的路由信息,可以有效提升数据的传输效率。MPLS 链路聚合可以帮助用户构建一个高效的网络服务体系。通过使用 MPLS 技术,可以合理地分配网络资源,提高网络的使用效率。但是,MPLS 技术的应用较为复杂,需要决策者有一定的专业知识和经验支持。NAT SERVER:当外网用户访问内网服务器时,NAT Server通过事先配置好的“公网IP地址+端口号”与“私网IP地址+端口号”之间的映射关
6、系,将服务器的“公网IP地址+端口号”根据映射关系替换成对应的“私网IP地址+端口号”。这样,外网用户的请求就能正确地传递到内网服务器,实现了内网服务器对外提供服务的需求。 新一代WiFi 6主要特点有哪些?速度更快、延时更低、容量更大、更安全、更省电什么是下沉式5GMEC及其应用场景?MEC(Multi-access Edge Computing),即多接入边缘计算,在边缘节点提供用户所需服务和计算功能的网络解决方案,使得应用服务和内容更靠近用户,并实现与网络协同,为用户提供可靠、极致的业务体验。 华为提出下一代5G MEC解决方案,“联接+计算+X”三位一体,实现动态智能的联接+超性能异构
7、计算+随时随地的创新(X),加速边缘业务创新,使能2B新商业。SD-WAN 解决方案可以解决企业网络哪些问题?SD-WAN可以解决许多企业网络问题,包括:带宽不足:传统网络在连接分支机构时,带宽不足是一个常见的问题,而 SD-WAN 可以对网络带宽进行合理分配和优化,减少网络拥堵现象的发生。链路故障:传统网络的链路故障很难及时发现和处理,而 SD-WAN 可以通过链路质量监测和链路切换等功能,实现网络的高可靠性和可用性。SD-WAN可以通过针对不同应用程序的智能路由来优化网络性能,以确保应用程序获得所需的带宽和延迟水平。此外,SD-WAN提供网络监控和分析工具,以帮助管理员快速发现和解决网络中
8、的性能问题。应用优先级:SD-WAN 可以根据应用程序的不同,设置不同的优先级,确保重要应用程序的流量得到优先处理。SD-WAN可以通过针对不同应用程序的智能路由来优化网络性能,以确保应用程序获得所需的带宽和延迟水平。此外,SD-WAN提供网络监控和分析工具,以帮助管理员快速发现和解决网络中的性能问题。安全性:SD-WAN 可以为企业网络提供更高的安全性,例如 VPN、防火墙等功能,以保护企业网络的安全。SD-WAN可以通过在各个站点之间加密流量来提供安全保护,这对于跨公共互联网连接的站点尤为重要。此外,SD-WAN还可以提供先进的安全功能,例如基于策略的访问控制、防病毒和威胁防御等。多云部署
9、:企业逐渐将 IT 资源迁移到公有云或混合云环境中,而 SD-WAN 可以对这些云资源进行可控的网络连接和流量管理,保证多云部署的可靠性和高效性。企业在选择合适的SD-WAN网络方案时需要考虑的因素有哪些?性能要求:根据企业的网络需求和应用场景,评估不同方案提供的性能和吞吐量能否满足要求。可扩展性:考虑企业未来的扩展需求,选择具备良好可扩展性的方案,以支持更多的分支机构和用户。安全性:了解不同方案提供的安全功能,例如加密、身份验证、防火墙等,以确保网络和数据的安全性。管理和控制:评估不同方案提供的集中化管理和控制功能,以便企业能够轻松配置、监控和优化网络。成本效益:比较不同方案的成本和ROI(
10、投资回报率),选择对企业最具成本效益的解决方案。例举常见几种SD-WAN组网方案1.基于物理设备的SD-WAN方案:2.基于虚拟化的SD-WAN方案:3.云托管的SD-WAN方案:4.混合SD-WAN方案:0day漏洞原理及防御措施?原理:通常,黑客实施一次零日攻击会按如下的流程来进行:黑客发现漏洞编写漏洞利用脚本寻找目标发动攻击进入目标网络或系统安装后门控制系统或得到网络中机密数据清除攻击痕迹但是,并不是所有的黑客都会按这样的流程来进行零日攻击的,他们可能在进入系统或控制系统后,会对系统所在网络中的其它目标发动新的攻击,以得到更多的数据;或者将被攻入的系统作为攻击其它网络目标的跳板。防御措施
11、:1、预防:良好的预防安全实践是必不可少的。这些实践包括谨慎地安装和遵守适应业务与应用需要的防火墙政策,随时升级防病毒软件,阻止潜在有害的文件附件,随时修补所有系统抵御已知漏洞。漏洞扫描是评估预防规程有效性的好办法。2、实时保护:部署提供全面保护的入侵防护系统(IPS)。在考虑IPS时,寻找以下功能:网络级保护、应用完整性检查、应用协议“征求意见”(RFC)确认、内容确认和取证能力。3、计划的事件响应:即使在采用以上措施后,企业仍可能受到“零日漏洞”影响。周密计划的事件响应措施以及包括关键任务活动优先次序在内的定义的规则和规程,对于将企业损失减少到最小程度至关重要。4、防止传播:这可以通过将连
12、接唯一限制在满足企业需要所必须的机器上。这样做可以在发生初次感染后,减少利用漏洞的攻击所传播的范围。例举几种网络安全测评标准?1、信息系统安全等级保护测评标准2、产品测评标准3、信息安全风险评估标准4、密码应用安全5、工业控制系统信息安全防护能力评估IPv4和IPv6的过渡期间主要采用三种基本技术?1. 双协议栈:主机同时运行IPv4和IPv6两套协议栈,同时支持两套协议,一般来说IPv4和IPv6地址之间存在某种转换关系,如IPv6的低32位可以直接转换为IPv4地址,实现互相通信。2. 隧道技术:这种机制用来在IPv4网络之上建立一条能够传输IPv6数据报的隧道,例如可以将IPv6数据报当
13、做IPv4数据报的数据部分加以封装,只需要加一个IPv4的首部,就能在IPv4网络中传输IPv6报文。3. 翻译技术:利用一台专门的翻译设备(如转换网关),在纯IPv4和纯IPv6网络之间转换IP报头的地址,同时根据协议不同对分组做相应的语义翻译,从而使纯IPv4和纯IPv6站点之间能够透明通信。IPv6地址的分配方法通常包含以下几种:顺序分配、离散分配、最佳分配、随机分配、逐级分配。1、顺序分配在地址块内按照相同的掩码从右向左(数值从低到高)分配地址,这种分配方法简单,但在分配时需要充分考虑可扩展性,提前预留足够的地址,避免后期增加地址后无法聚合,导致路由数量过多。2、离散分配在地址块内按照
14、相同的掩码进行顺序分配,但从左向右进行分配,最初分配的数据块是离散的,但后续地址扩充后仍然可以进行地址聚合。3、最佳分配类似IPv4的CIDR(Classless Inter-Domain Routing,无类别域间路由)技术,在地址分配时不按照相同的掩码进行下一级分配,而是按照顺序分配的方式,根据地址需求分配合适的可用地址块。4、随机分配随机分配地址块。5、逐级分配采用逐级展开方式,如下图从24 bit掩码的固定前缀中分出多个27 bit网段,将其分配给不同属性的地址,如果一个27 bit网段的地址不够用,可以分配多个27 bit网段,为用户地址分配了3个27 bit的地址块。最后预留了两个
15、27 bit网段用于未来。简要描述网络虚拟化的优点有哪些?使用网络虚拟化技术的优缺点医院内外网拓扑图网络出口区的组网设计需要考虑哪些?出口网关设备的选择出口组网设计出口网关设备需要部署的主要功能出口网关设备选型的设计约束NAT设计出口带宽评估使用 FCoE 后的好处有哪些?IPSEC 模式有哪些,简要描述配置步骤传输模式和隧道模式的区别: RIP 防环机制有哪些?RIP的防环机制包括水平分割、最大跳数、触发更新和毒性反转。OSPF 防环机制有哪些? BGP 防环机制有哪些?EIGRP 防环机制? 支持IPV6的路由协议有哪些?RIPng、OSPFv3、IS-ISv6、BGP4+简要貌似堆叠的优
16、缺点:iMaster NCE 实现的功能路由策略和策略路由的区别? 防火墙旁挂模式与串行模式主要区别?旁挂模式引流采用的主要技术有?防火墙旁挂模式与串行模式主要是旁挂模式主要是可以进行有选择的进行引流。旁挂模式引流采用的主要技术有:策略路由和SDN。防火墙支持那些接口模式,一般使用在那些场景?部署透明模式(L2):适用于用户不希望改变现有网络规划和配置的场景部署路由模式(L3):适用于需要防火墙提供路由和NAT功能的场景部署混合模式(L1):适用于防火墙在网络中即有二层接口,又有三层接口的场景部署旁路模式(Tap):适用于用户希望试用防火墙的监控、统计、入侵防御等功能,暂时不将防火墙直连在网络
17、里。 简要描述建立IPSecVPN隧道的配置要点?1配置接口的IP地址和到对端的静态路由,保证两端路由可达。2配置ACL,以定义需要IPSec保护的数据流。3配置IPSec安全提议,定义IPSec的保护方法。4配置IKE对等体,定义对等体间IKE协商时的属性。5配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法。6在接口上应用安全策略组,使接口具有IPSec的保护功能。BGP协议中的路由生成方式有哪些?1. BGP 单播路由单播路由是指将数据包从一个源地址发送到一个目标地址。在 BGP 中,单播路由是最基本也是最常用的一种路由类型。在单播路由中,每个
18、BGP 路由器都会维护自己所连接网络中所有可达目标地址及其对应的下一跳信息,并将这些信息与其他 BGP 路由器交换。2. BGP 多播路由多播(Multicast)指将数据包同时发送给多个目标设备。在 BGP 中,多播可以用来传递组播地址及其对应的下一跳信息。BGP 路由器会将自己所连接网络中所有可达的组播地址及其对应的下一跳信息发送给其他 BGP 路由器,从而实现组播路由的传递。3. BGP 无类别域间路由(CIDR)CIDR(Classless Inter-Domain Routing)是指无类别域间路由,它是一种更加灵活的 IP 地址分配方式。在 CIDR 中,IP 地址不再按照 A、B
19、、C 类地址进行划分,而是采用“前缀长度”来表示网络地址和主机地址的划分。BGP 协议中支持 CIDR 的路由生成方式,可以更加有效地利用 IP 地址资源。4. BGP 策略路由BGP 策略路由是指通过设置不同的路由策略来实现对数据包转发的控制。在 BGP 中,可以通过设置不同的属性值来控制数据包转发路径。例如,可以通过设置 AS Path 属性来限制数据包只能经过特定的自治系统进行转发;也可以通过设置 Local Preference 属性来控制数据包在本地自治系统中选择最优路径进行转发。5. BGP 聚合路由聚合(Aggregation)是指将多个子网地址汇聚成一个更大的网络地址。在 BG
20、P 中,聚合可以用于减少路由表大小,并且可以提高路由选择的效率。BGP 路由器可以将多个相邻的子网地址聚合成一个更大的网络地址,并将这个聚合后的地址作为路由信息进行传递。BGP 路由生成方式的优缺点?交换机二层转发与三层转发的区别有哪些?NAT优缺点? 什么是网络切片?网络切片是如何工作的?网络切片应用场景有那些?网络切片是一种新型网络架构,在同一个共享的网络基础设施上提供多个逻辑网络,每个逻辑网络服务于特定的业务类型或者行业用户。每个网络切片都可以灵活定义自己的逻辑拓扑、SLA需求、可靠性和安全等级,以满足不同业务、行业或用户的差异化需求。运营商通过网络切片可以降低建设多张专网的成本,而且可
21、根据业务需求提供高度灵活的按需调配的网络服务,从而提升运营商的网络价值和变现能力,并助力各行各业的数字化转型。随着5G和云时代多样化新业务的涌现,不同的行业、业务或用户对网络提出了各种各样的服务质量要求。例如,对于移动通信、智能家居、环境监测、智能农业和智能抄表等业务,需要网络支持海量设备连接和大量小报文频发;网络直播、视频回传和移动医疗等业务对传输速率提出了更高的要求;车联网、智能电网和工业控制等业务则要求毫秒级的时延和接近100%的可靠性。因此,5G网络应具有海量接入、确定性时延、极高可靠性等能力,需要构建灵活、动态的网络,以满足用户和垂直行业多样化业务需求。02 网络切片有哪些价值?IP
22、承载网络切片的价值,主要体现在资源与安全隔离、确定性时延、灵活定制拓扑连接、自动化切片管理四个方面。2.1 资源与安全隔离网络切片隔离的目的,一方面是从服务质量的角度,需要控制和避免某个切片中的业务突发或异常流量影响到同一网络中的其他切片,做到不同网络切片内的业务之间互不影响。这一点对于智能电网、智慧医疗、智慧港口等业务尤其重要,这些业务对于时延、抖动等方面的要求十分严苛,无法容忍其他业务对其业务性能的影响。另一方面是从安全性角度出发,若某个网络切片中的业务或用户信息不希望被其他网络切片的用户访问或者获取,就需要为不同切片之间提供有效的安全隔离措施,如金融、政府等专线业务。按照隔离程度不同,I
23、P承载网络切片可以提供三个层次的隔离:业务隔离、资源隔离和运维隔离。 业务隔离:某一网络切片的业务报文不会被发送给同一网络中另一网络切片中的业务节点,即提供不同网络切片之间的业务连接和访问的隔离,使不同网络切片的业务在网络中互不可见。 资源隔离:某一网络切片所使用的网络资源与其他网络切片所使用的资源之间相互隔离。资源隔离按照隔离程度可以分为硬隔离和软隔离,硬隔离是指为不同的网络切片在网络中分配完全独享的网络资源;软隔离是指不同的网络切片既拥有部分独立的资源,同时对网络中的另一些资源也存在共享,从而在提供满足业务需求的隔离特性的同时也可保持一定的统计复用能力。结合软硬隔离技术,可以灵活选择哪些网
24、络切片需要独享资源,哪些网络切片之间可以共享部分资源,从而实现在同一张网络中满足不同业务的差异化SLA要求。 运维隔离:对于一部分网络切片用户来说,在提供业务隔离和资源隔离的基础上,还要求能够对运营商分配的网络切片进行独立的管理和维护操作,即做到对网络切片的使用近似于使用一张专用网络,网络切片通过管理平面接口开放提供运维隔离功能。2.2 确定性时延不同业务对于带宽和时延有着截然不同的需求。传统业务对网络E2E时延的要求一般在100ms以上,时延要求较低。但实时交互和工业控制类业务,如电网差动保护业务,对IP承载网络的时延要求是2ms,且要求网络提供确定性、可承诺的时延保证。通过网络切片技术,将
25、不同业务部署在不同切片中,可以为交互和控制类业务提供确定性时延保证。2.3 灵活定制拓扑连接业务和流量均由相对单一向多方向综合发展,导致网络的连接关系变得更加灵活,复杂和动态。网络切片支持为不同行业、业务或用户提供按需定制的逻辑网络拓扑和连接,满足差异化的网络连接需求。网络切片用户无需感知基础网络的全量拓扑,而是只需要看到该网络切片的逻辑拓扑与连接,而且网络切片内的业务也被限定在该网络切片对应的拓扑内部署。这样,对网络切片用户来说,简化了需要感知和维护的网络信息。对运营商来说,避免了将基础网络过多的内部信息暴露给网络切片用户,提高了网络安全性。2.4 自动化切片管理面对业务种类和规模持续增加,
26、网络管理复杂度快速增长,难以继续依赖人工的网络管理手段。需要引入自动化网络管理技术以实现动态和高效的网络管理。网络分片管理器提供网络切片的全生命周期管理功能,实现从用户意图到业务开通的全流程打通,支持网络切片的规划、部署、业务到切片的灵活映射、切片业务的实时可视以及切片的动态调整优化,提供租户级精细化的业务管理。随着网络管理自动化的不断深入,智能技术可能被更广泛的应用到网络分片管理的各个环节,以实现对网络的智能化管理。IP承载网络切片架构整体上可以划分为三个层次,网络切片转发层、网络切片控制层和网络切片管理层。出口路由器/防火墙配置哪些内容?IPSEC、NAT、链路负载均衡、静态路由/动态路由IPSEC VPN 建立步骤:网络联通流量控制(ACL)安全提议IKE对等体安全策略(流量控制、安全提议、IKE对等体关联起来)策略在接口应用拒绝服务攻击防范措施有哪些?禁止对外响应ICMP请求;禁止ICMP广播;防火配置;启用网络监控和关闭不必要端口等第133页