- 积分
- 87
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 注册时间
- 2016-2-16
- 最后登录
- 1970-1-1
- 阅读权限
- 20
- 听众
- 收听
助理工程师
|
. t- y) @# w% u$ z0 g/ WHCIE R&S顺利通过,申请勋章。还是老版本, 不是新的“HCIE-R&S V3.0”。# a+ r* A: U4 j' P" H, G: K
) G. a# S0 \* t3 p. p( q
& I0 U1 U6 F+ q5 l& Y! _+ I% ]$ K1 j# y: L0 o8 M
7 T; }; V* E+ J' f+ J6 O( N0 g* q
题目:
7 N; ^7 \$ G. u* G1.理论:DHCP的攻击有哪些?有什么防护手段?% H( d: u Z/ |8 t" a! ~
2.项目:百台路由器
3 z" q& c: p S" j" o8 w3.LAB:vlan间互访, i$ r G! L o
顺序123
0 m' P5 i% h! [" f+ R! m1 ]; o
. K1 D( }- y5 I# H1.刚开始看到理论题的时候有点懵,考官人不错,在自我介绍前给了我几分钟做准备,所以我就想了一下理论题,发现跟DHCP snooping差不多,所以我讲理论的时候就按照讲DHCP snooping的套路讲了,全程讲的时候考官都没打断我。( L) S5 R: j, C; u; l p# N g
追问1:DHCP是基于什么封装的?# ]; R4 K3 }& o
答:我当时没想到,因为DHCP是特性那块,没怎么认真看,当时答了是基于2层(其实是基于UDP)。% w. P0 [0 r+ a, E7 C) I$ w8 i
追问2:如果一个客户端隔了一个广播域怎么获取到地址?: J* E- h) O& e' I" v
答:这个我说了通过DHCP中继去获取。然后问我中继的工作过程,我没复习到,在那卡了一会。然后考官就问下一个问题
+ @6 k3 ~* m! w/ O9 x$ b4 B9 l追问3:DHCP snooping绑定表有动态和静态,那么静态的绑定表怎么实现?( a, u5 c8 D/ G/ B* q
答:当时我就觉得应该是如何配置命令,但我没试过静态绑定,所以就说没做过静态,只做过动态,而动态就是通过监听服务器和客户端的报文来自动生成表项的。
/ ~" C" {9 q1 T追问4:DHCP报文泛洪攻击都泛洪什么报文?
( [5 H+ Q3 D2 Q+ v. { 答:我就说有Report、Inform、Release、Discover、Dcline报文,通过配置对DHCP报文处理单元检测防护。考官就问Release报文不会被速率限制那怎么办,当时脑子一懵就说了绑定表出来,绕了几分钟这个问题。后来考官就说下一题,没有追问下去
- v3 a0 z/ t% @: C! \/ o6 C : j) N, F6 ]( H9 |
2.百台就直接按照套路来回答,考官也没打断我,可能讲得有点快,我讲完的时候考官没反应,我叫了一声考官他才反应过来。然后追问' r. ]8 q# C' a- V
追问1:特殊区域有哪些?
7 ]5 o' N" g& s+ d% \5 U0 }% T# u 答:stub、NSSA、totally stub、totally nssa
& f0 `# w- z9 l+ _' B6 `( \( j追问2:这几个特殊区域有什么区别?5 ~, U( r' w# A; H4 S$ J* d ^) z, F
答:stub和nssa区域是拒绝4类和5类LSA,totally stub、totally nssa是拒绝3.4.5类LSA
9 B! _, w/ @4 P0 y. f追问3:totally stub区域如何访问外网?+ X# |7 U' d, d8 `: V
答:通过一条默认的3类LSA去访问,然后考官又问stub不是拒绝3类了吗?为什么还有3类? 我就说totally stub拒绝的是3类LSA的明细,默认3类LSA是自动下发的,为了能够访问外网。 r7 ^) G1 L( a
追问4:在设备可以互相访问的前提,如何减少设备数据库的大小?1 o" j1 } v' g4 j3 t; G
答:当时只回答了划分区域以及汇总,考官问我还有吗?我说想不到了。然后就下一题了。) E- q2 y1 B$ e3 N
! M9 O+ C( L% D4 J4 u: T* W
3.最后一题也是按照套路来答,考官页没打断我。这道题只追问了2个问题。& _% M0 u% o: `" C" g
追问1:在做了虚链路后,R3能收到几条3类LSA。
8 k) Y" D0 ]1 w 答:之前都是分析R5的能收到几条,所以在分析R3的时候有些慌,我说了3个(R5的区域0、R5的区域35、R4的区域0)少说了一个R1的区域0.# G6 Z5 ?2 z! `# m, \3 ~
追问2:做虚链路的命令是什么?在哪里做?指定更新源可以是接口地址吗? [' @" T' F8 [2 O# d6 x
答:在区域下使用vlink-peer xxxx。当时就想到建立区域的时候可以用接口指定,也没怎么思考接说可以(其实是不可以的)。
# ]/ [6 [+ k! m7 O7 [
& Q [ N& m5 I" q; F" L3 C- `( N+ }# b- Y8 K& v
|
评分
-
查看全部评分
|