- 积分
- 87
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 注册时间
- 2016-2-16
- 最后登录
- 1970-1-1
- 阅读权限
- 20
- 听众
- 收听
助理工程师
|
D( Q, s, ^0 Q W
HCIE R&S顺利通过,申请勋章。还是老版本, 不是新的“HCIE-R&S V3.0”。, Z; l e* \9 @' D; i5 r
9 R8 ^& M' C [, d0 C' D. ]2 Q+ F6 B# x3 \! `
3 y# \. n' ^: g/ j) b, [3 S
7 k+ b8 \2 f) b' F/ ?3 H+ t( @
2 p3 s6 M8 e7 t0 A% i5 G/ ~8 D题目:
4 P' F9 i4 X+ G/ l$ E6 J2 U# u1.理论:DHCP的攻击有哪些?有什么防护手段?
$ |! e! {# {! l) }" H, C4 @2.项目:百台路由器! [) Q* z% Y2 ^& h
3.LAB:vlan间互访
9 J4 b. v; e2 x顺序123
2 X* }4 N# [. B- x
2 w0 `6 O; h) e7 Y1.刚开始看到理论题的时候有点懵,考官人不错,在自我介绍前给了我几分钟做准备,所以我就想了一下理论题,发现跟DHCP snooping差不多,所以我讲理论的时候就按照讲DHCP snooping的套路讲了,全程讲的时候考官都没打断我。
- e, e: a- e7 \8 u/ Q0 S追问1:DHCP是基于什么封装的?
( T. V6 j- \: ] 答:我当时没想到,因为DHCP是特性那块,没怎么认真看,当时答了是基于2层(其实是基于UDP)。
. P5 R) h6 \, o1 L3 V4 t追问2:如果一个客户端隔了一个广播域怎么获取到地址?
* O2 o. M9 p6 j" G 答:这个我说了通过DHCP中继去获取。然后问我中继的工作过程,我没复习到,在那卡了一会。然后考官就问下一个问题
4 r+ y; T) g: X) ?( e2 s; F追问3:DHCP snooping绑定表有动态和静态,那么静态的绑定表怎么实现?
: j% t- O9 g% |( y/ `# f 答:当时我就觉得应该是如何配置命令,但我没试过静态绑定,所以就说没做过静态,只做过动态,而动态就是通过监听服务器和客户端的报文来自动生成表项的。
" U) ]8 T7 V- w追问4:DHCP报文泛洪攻击都泛洪什么报文?2 x, X- D" Y; M3 c1 f" {
答:我就说有Report、Inform、Release、Discover、Dcline报文,通过配置对DHCP报文处理单元检测防护。考官就问Release报文不会被速率限制那怎么办,当时脑子一懵就说了绑定表出来,绕了几分钟这个问题。后来考官就说下一题,没有追问下去
8 Y' ?$ R$ _3 D5 w# Y
; _' I( H2 G4 [5 K4 J2.百台就直接按照套路来回答,考官也没打断我,可能讲得有点快,我讲完的时候考官没反应,我叫了一声考官他才反应过来。然后追问
7 v1 G! W. Y. W( F追问1:特殊区域有哪些?
' I& G& B; G4 y0 T8 n 答:stub、NSSA、totally stub、totally nssa* j, N* b# f8 S2 j& r
追问2:这几个特殊区域有什么区别?8 D. X. [8 t4 S1 A9 V' k* _
答:stub和nssa区域是拒绝4类和5类LSA,totally stub、totally nssa是拒绝3.4.5类LSA* u! P( Y) X* e8 c% Y- N/ u2 I3 q
追问3:totally stub区域如何访问外网?
# F2 O6 w& w% X1 j 答:通过一条默认的3类LSA去访问,然后考官又问stub不是拒绝3类了吗?为什么还有3类? 我就说totally stub拒绝的是3类LSA的明细,默认3类LSA是自动下发的,为了能够访问外网。
- Q. [3 F {# u% w3 q. `追问4:在设备可以互相访问的前提,如何减少设备数据库的大小?
" v4 J1 j9 w2 W' \# a# G 答:当时只回答了划分区域以及汇总,考官问我还有吗?我说想不到了。然后就下一题了。7 |& E9 y* H' [
2 o* @- [; l9 o( c4 e# b% V I# J% Y3.最后一题也是按照套路来答,考官页没打断我。这道题只追问了2个问题。$ }, a: P( ^/ [" @
追问1:在做了虚链路后,R3能收到几条3类LSA。
2 w/ o" B2 A) z8 ^' C$ G 答:之前都是分析R5的能收到几条,所以在分析R3的时候有些慌,我说了3个(R5的区域0、R5的区域35、R4的区域0)少说了一个R1的区域0.; ~6 U! d+ v1 u5 n* D5 a/ U6 v6 m
追问2:做虚链路的命令是什么?在哪里做?指定更新源可以是接口地址吗?
2 e/ F+ M' w; ~; r% [ 答:在区域下使用vlink-peer xxxx。当时就想到建立区域的时候可以用接口指定,也没怎么思考接说可以(其实是不可以的)。6 M: I) l8 k2 e0 {0 A' D$ x
9 X% l! W& L) X7 U9 G5 t, i
& Z$ j# P, q4 t9 V' c |
评分
-
查看全部评分
|