1.請寫出 568A 與 568B 的線序:

T568A 白綠、綠、 白橙、藍 白藍、橙 白棕、棕

T568B ：白橙、橙 白綠、藍 白藍、綠 白棕、棕

2.  什么是三層交換，說說和路由的區(qū)別在哪里？ 三層交換機和路由器都可工作在網(wǎng)絡的第三層，根據(jù) ip 地址進行數(shù)據(jù)包的轉發(fā)（或交換）， 原理上沒有太大的區(qū)別，這兩個名詞趨向于統(tǒng)一，我們可以認為三層交換機就是一個多端口 的路由器。但是傳統(tǒng)的路由器有 3 個特點：基于 CPU 的單步時鐘處理機制；能夠處理復雜 的路由算法和協(xié)議；主要用于廣域網(wǎng)的低速數(shù)據(jù)鏈路 在第三層交換機中，與路由器有關的 第三層路由硬件模塊也插接在高速背板/總線上，這種方式使得路由模塊可以與需要路由的 其 他 模 塊 間 高 速 的 交 換 數(shù) 據(jù) ， 從 而 突 破 了 傳 統(tǒng) 的 外 接 路 由 器 接 口 速 率 的 限 制 (10Mbit/s---100Mbit/s)。

3.請寫出下列服務使用的默認端口 POP3、SMTP、FTP: 

POP3 110 ,SMTP 25, FTP 21（20）

4.網(wǎng)卡 MAC 是由 6 組什么組成的?

有 16 進制數(shù)據(jù)組成，前三組表示廠商，有 IEEE 來分配，并可以在細分，后三 組表示該制 造商所制造的某個網(wǎng)絡產品（如網(wǎng)卡）的系列號。

5.ISO/OSI 7 層模型是什么應用層:

表示層，會話層，傳輸層，網(wǎng)絡層，數(shù)據(jù)鏈路層，物理層

6.C/S、B/S 的含義 :

C/S 表示客戶端/服務器的模式 C  是 client，s 是 server。B/S 是基于瀏覽

7.RFC950 定義了什么？:

RFC950 定義了 IP 的策略（分配策略），應用等規(guī)范。

8.綜合布線包括什么 綜合布線包括六大子系統(tǒng)： 建筑群連接子系統(tǒng)

設備連接子系統(tǒng) 干線（垂直）子系統(tǒng) 管理子系統(tǒng) 水平子系統(tǒng) 工作區(qū)子系統(tǒng)

含 網(wǎng)絡布線系統(tǒng)，監(jiān)控系統(tǒng)，閉路電視系統(tǒng)

9.路由器和交換機屬于幾層設備.

路由器屬于三層設備，交換機（通常所指的）屬于二層設備

10.  對路由知識的掌握情況，對方提出了一個開放式的問題：簡單說明一下你所了解的路由 協(xié)議。

路由可分為靜態(tài)&動態(tài)路由。靜態(tài)路由由管理員手動維護；動態(tài)路由由路由協(xié)議自動維護。 路由選擇算法的必要步驟：1、向其它路由器傳遞路由信息；2、接收其它路由器的路由信息；

3、根據(jù)收到的路由信息計算出到每個目的網(wǎng)絡的最優(yōu)路徑，并由此生成路由選擇表；4、根 據(jù)網(wǎng)絡拓撲的變化及時的做出反應，調整路由生成新的路由選擇表，同時把拓撲變化以路由 信息的形式向其它路由器宣告。

兩種主要算法：距離向量法（Distance Vector Routing）和鏈路狀態(tài)算法（Link-State Routing）。

由此可分為距離矢量（如：RIP、IGRP、EIGRP）&鏈路狀態(tài)路由協(xié)議（如：OSPF、IS-IS）。 路由協(xié)議是路由器之間實現(xiàn)路由信息共享的一種機制，它允許路由器之間相互交換和維護各 自的路由表。當一臺路由器的路由表由于某種原因發(fā)生變化時，它需要及時地將這一變化通 知與之相連接的其他路由器，以保證數(shù)據(jù)的正確傳遞。路由協(xié)議不承擔網(wǎng)絡上終端用戶之間 的數(shù)據(jù)傳輸任務。

11.  什么是 Cache  什么是 Buffer？區(qū)別是什么？ cache，直譯是高速緩存存儲器，有硬件來實現(xiàn)。起到設備間處理速度協(xié)調作 用。例如 CPU 的 L2，L1，內存的作用等。

buffer，直譯是緩沖區(qū)，有軟件在 RAM 中實現(xiàn)。起到加快響應速度的作用。例 如：WEB 緩存，各個應用軟件中的緩存，隊列。

共同點都是在 RAM 中實現(xiàn)，但實現(xiàn)的方式不一樣。

12.  什么是 MBR

MBR，master boot record，主引導記錄。引導 OS 作用的。

13.  你在局域網(wǎng)內想獲得 IP 192.168.1.2  的 MAC，在 XP 系統(tǒng)的命令提示符中如何操作？

先 ping 192.168.1.2  在用 ARP -a 命令查看 arp 列表即可獲得 [可用 nbtstat -a 192.168.1.2  一次 獲得]

14.  查看編輯本地策略，可以在開始/運行中輸入什么

gpedit.msc

15.  將 FAT32 轉換為 NTFS 分區(qū)的命令是什么

convert x: /fs:ntfs x:表示要轉換的分區(qū)

16.  手動更新 DHCP 分配的 IP 地址是什么

ipconfig /renew

17.  XP  每個分區(qū)下都有個 System  Volume  Information   名的隱藏目錄是做什么的？還有pagefile.sys 文件？

System Volume Information  該目錄是 XP 的自動還原功能所要用到的，存儲的 是還原點文件。pagefile.sys 就是 PF，虛擬內存的文件。

18.  默認時 XP 的文件共享是沒辦法設置用戶權限的，只有一個是否允許網(wǎng)絡用戶更改我的 文件選項，但要需要對此共享文件夾設置不同的用戶權限，該怎么做？

打開資源管理器---工具---文件夾選項---查看---使用簡單文件共享（推薦） 把前面的勾勾去掉，或者打開組策略編輯器---計算機配置----windows 設置---本 地策略---安全選項---網(wǎng)絡訪問:本地帳戶的共享安全模式，把該屬性修改為“經(jīng) 典”模式也可以。

19. QQ 等即時消息軟件采用的基本網(wǎng)絡傳輸協(xié)議是什么？

采用的是 UDP 和 TCP 協(xié)議，QQ 主要采用 UDP，在某些情況下采用 TCP，即時消息多數(shù)采用 UDP 協(xié)議

20.  剛剛裝好的 XP 系統(tǒng) C 盤下只顯示哪幾個文件夾？

只有 windows，program files ,documents and settings,System Volume Information(有隱藏屬性)，RECYCLER(有隱藏屬性)。

21.   Windows   XP   系 統(tǒng) 盤 C   盤 根 目 錄 下 都 有 哪 幾 個 重 要 的 文 件 （ 隱 藏 文 件 ）

ntldr ,ntdetect.com,boot.ini

22.  簡述計算機從加電到啟動系統(tǒng)時主板的工作流程，

按照屏幕顯示順序描述加電--[自檢]---BIOS信息---顯卡的參數(shù)--CPU的參數(shù)--內存的參數(shù)--硬盤 的 參數(shù)---光驅的參數(shù)---顯示PCI等主板的其他的I/O等參數(shù)----（如果有RAID卡這 步應該會顯示）----BIOS將更新ESCD最后給出（Verifying DMI Poll

DATA...........Update Success）字樣---讀取MBR記錄-----調用NTLDR做一系列 操作（這時的控制權從BIOS移交到硬盤/OS）---讀取boot.ini文件（顯示操作系 統(tǒng)選擇菜單）進入給定的操作---等等一系列操作都屬于操作系統(tǒng)的部分了，不在 這個問題的范圍---最終看到桌面

23.  電腦開機時主機內發(fā)出嘀嘀的鳴叫聲，且顯示器無任何信號，此現(xiàn)象可能是哪方面所導 致，怎樣處理？ 可能是內存問題導致，一般是內存松動，灰塵較多?？梢宰銮鍜呋覊m，從新插 好內存等操作。根據(jù)不同的鳴叫身也可以判斷是其他硬件等問題

24.  如果電腦的系統(tǒng)癱瘓（XP系統(tǒng)盤為C），正常啟動無法進入系統(tǒng)，而C盤中又有重要文件， 請問有幾種拯救方法，該如何操作？ 可能是內存問題導致，一般是內存松動，灰塵較多?？梢宰銮鍜呋覊m，從新插 好內存等操作。根據(jù)不同的鳴叫身也可以判斷是其他硬件等問題

25.  重裝系統(tǒng)格式化C盤之前該注意哪些方面？（系統(tǒng)可運行前提） 磁盤空間允許最好備份整個windows目錄。主要備份program  files  目錄，我的文檔目錄， documents and settings目錄。另：備份一些軟件的安裝信息等。

26.  如何設置寬帶路由器（基本步驟）

寬帶路由的設置，不復雜關鍵就幾個步驟 :設置好撥號屬性，一般都是PPPOE，ISP提供的用 戶名密碼等 ;設置好內網(wǎng)的合法IP地址 ;建議啟動防火墻功能。

27. 什么是VLAN，如何在CISCO交換機增加一個VLAN，又如何刪除？ VLAN又稱虛擬局域網(wǎng)，是指在網(wǎng)絡層對局域網(wǎng)進行劃分，一個VLAN組成一個邏輯子網(wǎng)，即 一個獨立的廣播域，各子網(wǎng)自己產生的廣播網(wǎng)絡流量被限制在各子網(wǎng)內部，降低數(shù)據(jù)幀的碰 撞率，它可以覆蓋多個網(wǎng)絡設備，允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng) 中．在CISCO交換機中增加一個VLAN 2如下命令:

Switch>enable Switch#vlan database Switch(vlan)#vlan 2

Switch(vlan)#exit

//以下設置vlan端口：

Switch(config)#int e0/6 //設置端口6從屬vlan 2

Switch1(config-if)#vlan-membership static 2

Switch#vlan database

Switch(vlan)#no vlan 2

Switch(vlan)#exit

Switch>no int vlan 2t

28. 磁盤RAID級別有幾種，分別是哪幾種？你了解或者使用過哪幾種，請寫出它們的大概描 述和區(qū)別。 RAID級別有以下幾種：NRAID，JBOD，RAID0，RAID1，RAID0+1，RAID3，RAID5等。目前經(jīng) 常使用的是RAID0，RAID1，RAID3，RAID5和RAID（0+1）。它們的區(qū)別大致如下：

RAID 0  存取速度最快 但沒有容錯

RAID 1  完全容錯但成本比較高，磁盤利用率為50% RAID 3  寫入性能最好 但沒有多任務功能

RAID 5  具備多任務及容錯功能寫入時有overhead

RAID 0+1  速度快、完全容錯但成本高

29.  知道現(xiàn)在流行的SAN網(wǎng)絡平臺嗎？它主要是為計算機的哪個領域提出的一個解決方案？

SAN 是指存儲區(qū)域網(wǎng)絡，它是一種高速網(wǎng)絡或子網(wǎng)絡，提供在計算機與存儲系統(tǒng)之間的數(shù)據(jù) 傳輸。一個 SAN  網(wǎng)絡由負責網(wǎng)絡連接的通信結構、負責組織連接的管理層、存儲部件以及 計算機系統(tǒng)構成，從而保證數(shù)據(jù)傳輸?shù)陌踩院土Χ取?/p>

30.  請說出幾種動態(tài)路由協(xié)議，并談談動態(tài)路由和靜態(tài)路由的區(qū)別 動態(tài)路由協(xié)議的種類：

（1）RIP 路由協(xié)議

RIP 協(xié)議最初是為 Xerox 網(wǎng)絡系統(tǒng)的 Xerox parc 通用協(xié)議而設計的，是 Internet 中常用的 路由協(xié)議。RIP 采用距離向量算法，即路由器根據(jù)距離選擇路由，所以也稱為距離向量協(xié)議。 路由器收集所有可到達目的地的不同路徑，并且保存有關到達每個目的地的最少站點數(shù)的路 徑信息，除到達目的地的最佳路徑外，任何其它信息均予以丟棄。同時路由器也把所收集的 路由信息用 RIP 協(xié)議通知相鄰的其它路由器。這樣，正確的路由信息逐漸擴散到了全網(wǎng)。

RIP 使用非常廣泛，它簡單、可靠，便于配置。但是 RIP 只適用于小型的同構網(wǎng)絡，因 為它允許的最大站點數(shù)為 15，任何超過 15 個站點的目的地均被標記為不可達。而且 RIP 每 隔 30s 一次的路由信息廣播也是造成網(wǎng)絡的廣播風暴的重要原因之一。

（2）OSPF 路由協(xié)議

0SPF 是一種基于鏈路狀態(tài)的路由協(xié)議，需要每個路由器向其同一管理域的所有其它路 由器發(fā)送鏈路狀態(tài)廣播信息。在 OSPF 的鏈路狀態(tài)廣播中包括所有接口信息、所有的量度和 其它一些變量。利用 0SPF 的路由器首先必須收集有關的鏈路狀態(tài)信息，并根據(jù)一定的算法 計算出到每個節(jié)點的最短路徑。而基于距離向量的路由協(xié)議僅向其鄰接路由器發(fā)送有關路由 更新信息。

與 RIP 不同，OSPF 將一個自治域再劃分為區(qū)，相應地即有兩種類型的路由選擇方式： 當源和目的地在同一區(qū)時，采用區(qū)內路由選擇；當源和目的地在不同區(qū)時，則采用區(qū)間路由 選擇。這就大大減少了網(wǎng)絡開銷，并增加了網(wǎng)絡的穩(wěn)定性。當一個區(qū)內的路由器出了故障時 并不影響自治域內其它區(qū)路由器的正常工作，這也給網(wǎng)絡的管理、維護帶來方便。

（3）BGP 和 BGP4 路由協(xié)議

BGP 是為 TCP／IP 互聯(lián)網(wǎng)設計的外部網(wǎng)關協(xié)議，用于多個自治域之間。它既不是基于純 粹的鏈路狀態(tài)算法，也不是基于純粹的距離向量算法。它的主要功能是與其它自治域的 BGP 交換網(wǎng)絡可達信息。各個自治域可以運行不同的內部網(wǎng)關協(xié)議。BGP 更新信息包括網(wǎng)絡號／ 自治域路徑的成對信息。自治域路徑包括到達某個特定網(wǎng)絡須經(jīng)過的自治域串，這些更新信 息通過 TCP 傳送出去，以保證傳輸?shù)目煽啃浴?/p>

為了滿足 Internet 日益擴大的需要，BGP 還在不斷地發(fā)展。在最新的 BGP4 中，還可以 將相似路由合并為一條路由。

（4）IGRP 和 EIGRP 協(xié)議

EIGRP 和早期的 IGRP 協(xié)議都是由 Cisco 發(fā)明，是基于距離向量算法的動態(tài)路由協(xié)議。 EIGRP(Enhanced Interior Gateway Routing Protocol)是增強版的 IGRP 協(xié)議。它屬于動態(tài)內部網(wǎng) 關路由協(xié)議，仍然使用矢量－距離算法。但它的實現(xiàn)比 IGRP 已經(jīng)有很大改進，其收斂特性 和操作效率比 IGRP 有顯著的提高。

它的收斂特性是基于 DUAL ( Distributed Update Algorithm )  算法的。DUAL  算法使得路徑 在路由計算中根本不可能形成環(huán)路。它的收斂時間可以與已存在的其他任何路由協(xié)議相匹 敵。

Enhanced IGRP  與其它路由選擇協(xié)議之間主要區(qū)別包括：收斂寬速（Fast Convergence）、 支持變長子網(wǎng)掩模（Subnet Mask）、局部更新和多網(wǎng)絡層協(xié)議。執(zhí)行 Enhanced IGRP  的路由 器存儲了所有其相鄰路由表，以便于它能快速利用各種選擇路徑（Alternate  Routes）。如果沒有合適路徑，Enhanced IGRP  查詢其鄰居以獲取所需路徑。直到找到合適路徑，Enhanced

IGRP  查詢才會終止，否則一直持續(xù)下去。

EIGRP  協(xié)議對所有的 EIGRP  路由進行任意掩碼長度的路由聚合，從而減少路由信息傳 輸，節(jié)省帶寬。另外 EIGRP  協(xié)議可以通過配置，在任意接口的位邊界路由器上支持路由聚 合。

EIGRP  不作周期性更新。取而代之，當路徑度量標準改變時，Enhanced IGRP  只發(fā)送局 部更新（Partial Updates）信息。局部更新信息的傳輸自動受到限制，從而使得只有那些需 要信息的路由器才會更新?；谝陨线@兩種性能，因此 Enhanced IGRP  損耗的帶寬比 IGRP 少得多。

使用增強的內部網(wǎng)關路由選擇協(xié)議，一個路由器保持一份它的鄰近路由器的路由表副 本。如果它不能從這些表中找到一條到達目的地的路由，它向它的鄰近路由器詢問一個路由 并且它們輪流詢問它們的鄰近的路由器直到找到一個路由。為了保持所有的路由器注意鄰近 路由器的狀態(tài)，每個路由器定時發(fā)出“握手”信息包。一個在一定時間間隔內沒有收到“握手” 信息包的路由器被認為是無效的。

靜態(tài)路由是指路由表由網(wǎng)絡管理人員手動設定的一種路由方式。靜態(tài)路由的好處是網(wǎng)絡 尋址快捷，適用于網(wǎng)絡變動不大的網(wǎng)絡系統(tǒng)。

動態(tài)路由是指路由表不是由網(wǎng)絡管理人員手動設定，而是由路由器通過端口進行地址學 習自動生成路由表的方式。動態(tài)路由的好處是對網(wǎng)絡變化的適應性強，適用于網(wǎng)絡環(huán)境變化 大的網(wǎng)絡系統(tǒng)。

在一個路由器中，可同時配置靜態(tài)路由和一種或多種動態(tài)路由。它們各自維護的路由表 都提供給轉發(fā)程序，但這些路由表的表項間可能會發(fā)生沖突。這種沖突可通過配置各路由表 的優(yōu)先級來解決。通常靜態(tài)路由具有默認的最高優(yōu)先級，當其它路由表表項與它矛盾時，均 按靜態(tài)路由轉發(fā)。

31. RIP 版本 1 跟版本 2 的區(qū)別？

答：①RIP-V1 是有類路由協(xié)議，RIP-V2 是無類路由協(xié)議②RIP-V1 廣播路由更新，RIP-V2 組播 路由更新③RIP-V2 路由更新所攜帶的信息要比 RIP-V1 多

32.描述 RIP 和 OSPF，它們的區(qū)別、特點

RIP 協(xié)議是一種傳統(tǒng)的路由協(xié)議，適合比較小型的網(wǎng)絡，但是當前 Internet 網(wǎng)絡的迅速發(fā)展 和急劇膨脹使 RIP 協(xié)議無法適應今天的網(wǎng)絡。

OSPF 協(xié)議則是在 Internet 網(wǎng)絡急劇膨脹的時候制定出來的，它克服了 RIP 協(xié)議的許多缺陷。

RIP 是距離矢量路由協(xié)議；OSPF 是鏈路狀態(tài)路由協(xié)議。

RIP&OSPF 管理距離分別是：120 和 110

1．RIP 協(xié)議一條路由有 15 跳（網(wǎng)關或路由器）的限制，如果一個 RIP 網(wǎng)絡路由跨越超過 15

跳（路由器），則它認為網(wǎng)絡不可到達，而 OSPF 對跨越路由器的個數(shù)沒有限制。

2．OSPF 協(xié)議支持可變長度子網(wǎng)掩碼（VLSM），RIP 則不支持，這使得 RIP 協(xié)議對當前 IP 地 址的缺乏和可變長度子網(wǎng)掩碼的靈活性缺少支持。

3．RIP  協(xié)議不是針對網(wǎng)絡的實際情況而是定期地廣播路由表，這對網(wǎng)絡的帶寬資源是個極 大的浪費，特別對大型的廣域網(wǎng)。OSPF 協(xié)議的路由廣播更新只發(fā)生在路由狀態(tài)變化的時候， 采用 IP 多路廣播來發(fā)送鏈路狀態(tài)更新信息，這樣對帶寬是個節(jié)約。

4．RIP 網(wǎng)絡是一個平面網(wǎng)絡，對網(wǎng)絡沒有分層。OSPF 在網(wǎng)絡中建立起層次概念，在自治域 中可以劃分網(wǎng)絡域，使路由的廣播限制在一定的范圍內，避免鏈路中繼資源的浪費。

5．OSPF 在路由廣播時采用了授權機制，保證了網(wǎng)絡安全。

上述兩者的差異顯示了 OSPF 協(xié)議后來居上的特點，其先進性和復雜性使它適應了今天日趨

龐大的 Internet 網(wǎng)，并成為主要的互聯(lián)網(wǎng)路由協(xié)議

33. HSRP 是什么?它是如何工作的？

答：HSRP 是熱備份路由協(xié)議，思科專有。通過 HSRP，一組路由器可以一起協(xié)同工作，來代 表一臺虛擬路由器，備份組像一臺路由器一樣工作，一個虛擬 IP  地址和 MAC 地址，從末端 主機來看，虛擬主路由器是一臺有自己 IP 地址和 MAC 地址的路由器，它不同于實際物理路 由器，那么該組中一臺路由器失效則另一臺路由器接替工作，路由選擇照常。

34.  介紹一下 ACL 和 NAT？NAT 有幾種方式？

ACL：1、訪問控制列表（ACL）是應用在路由器接口的指令列表（規(guī)則），用來告訴路由器 哪些數(shù)據(jù)包可以接收轉發(fā)，哪些數(shù)據(jù)包需要拒絕；2、ACL 的工作原理 ：讀取第三層及第四 層包頭中的信息，根據(jù)預先定義好的規(guī)則對包進行過濾；3、使用 ACL 實現(xiàn)網(wǎng)絡控制：實現(xiàn) 訪問控制列表的核心技術是包過濾；4、ACL 的兩種基本類型（標準訪問控制列表；擴展訪 問控制列表）

NAT：改變 IP 包頭使目的地址，源地址或兩個地址在包頭中被不同地址替換。 靜態(tài) NAT、動態(tài) NAT、PAT

35. STP 協(xié)議的主要用途是什么？為什么要用 STP

主要用途：1、STP 通過阻塞冗余鏈路，來消除橋接網(wǎng)絡中可能存在的路徑回環(huán)；2、當前活 動路徑發(fā)生故障時，STP 激活冗余鏈路恢復網(wǎng)絡連通性。 原因：交換網(wǎng)絡存在環(huán)路時引起：廣播環(huán)路（廣播風暴）；橋表損壞

36.  、VPN 有三種解決方案，用戶可以根據(jù)自己的情況進行選擇。這三種解決方案分別是： 遠程訪問虛擬網(wǎng)（AccessVPN ）、企業(yè)內部虛擬網(wǎng)（IntranetVPN ）和企業(yè)擴展虛擬網(wǎng)

（ExtranetVPN），這三種類型的 VPN 分別與傳統(tǒng)的遠程訪問網(wǎng)絡、企業(yè)內部的 Intranet 以及 企業(yè)網(wǎng)和相關合作伙伴的企業(yè)網(wǎng)所構成的 Extranet 相對應。

※以思科路由器為例,你寫下單臂路由的配置命令？ 答：router(config)#interface f0/1.1

router(config-if)#encapsulation dotlQ 100 router(config-if)#ip add 192.168.1.1 255.255.255.0 router(config-if)#no shutdown

router(config-if)#interface f0/1.2 router(config-if)#i encapsulation dotlQ 200 router(config-if)#i ip add 192.168.2.1 255.255.255.0 router(config-if)#no shutdown

37.  什么是 VPN？

VPN（V irtual Private Network）：虛擬專用網(wǎng)絡，是一門網(wǎng)絡新技術，為我們提供了一種通過 公用網(wǎng)絡安全地對企業(yè)內部專用網(wǎng)絡進行遠程訪問的連接方式。

38. VPN 的加密技術。VPN 采用何種加密技術依賴于 VPN 服務器的類型，因此可以分為兩種 情況。

1、對于 PPTP 服務器，將采用 MPPE 加密技術 MPPE 可以支持 40 位密鑰的標準加密方案和

128 位密鑰的增強加密方案。只有在 MS-CHAP、MS- CHAP v2 或 EAP/TLS 身份驗證被協(xié)商之 后，數(shù)據(jù)才由 MPPE 進行加密，MPPE 需要這些類型的身份驗證生成的公用客戶和服務器密 鑰。2、對于 L2TP 服務器，將使用 IPSec 機制對數(shù)據(jù)進行加密 IPSec 是基于密碼學的保護服 務和安全協(xié)議的套件。IPSec 對使用 L2TP 協(xié)議的 VPN 連接提供機器級身份驗證和數(shù)據(jù)加密。 在保護密碼和數(shù)據(jù)的 L2TP 連接建立之前，IPSec 在計算機及其遠程 VPN 服務器之間進行協(xié) 商。IPSec 可用的加密包括 56 位密鑰的數(shù)據(jù)加密標準 DES 和 56 位密鑰的三倍 DES（3DES）

39.  VPN 的身份驗證方法：1、PPP 的身份驗證方法；2、CHAP：CHAP 通過使用 MD5（一種 工業(yè)標準的散列方案）來協(xié)商一種加密身份驗證的安全形式。CHAP 在響應時使用質詢-響應 機制和單向 MD5 散列。用這種方法，可以向服務器證明客戶機知道密碼，但不必實際地將 密碼發(fā)送到網(wǎng)絡上。3、MS- CHAP：同 CHAP 相似，微軟開發(fā) MS-CHAP 是為了對遠程 Windows 工作站進行身份驗證，它在響應時使用質詢-響應機制和單向加密。而且 MS- CHAP 不要求使 用原文或可逆加密密碼。4、MS-CHAP v2：MS-CHAP v2 是微軟開發(fā)的第二版的質詢握手身份 驗證協(xié)議，它提供了相互身份驗證和更強大的初始數(shù)據(jù)密鑰，而且發(fā)送和接收分別使用不同 的密鑰。如果將 VPN 連接配置為用 MS-CHAP v2 作為唯一的身份驗證方法，那么客戶端和服 務器端都要證明其身份，如果所連接的服務器不提供對自己身份的驗證，則連接將被斷開。

5、EAP：EAP 的開發(fā)是為了適應對使用其他安全設備的遠程訪問用戶進行身份驗證的日益增 長的需求。通過使用 EAP，可以增加對許多身份驗證方案的支持，其中包括令牌卡、一次性 密碼、使用智能卡的公鑰身份驗證、證書及其他身份驗證。對于 VPN 來說，使用 EAP 可以 防止暴力或詞典攻擊及密碼猜測，提供比其他身份驗證方法（例如 CHAP）更高的安全性。

6、在 Windows 系統(tǒng)中，對于采用智能卡進行身份驗證，將采用 EAP 驗證方法；對于通過密 碼進行身份驗證，將采用 CHAP、MS-CHAP 或 MS- CHAP v2 驗證方法。

40. VLAN 和 VPN 有什么區(qū)別？分別實現(xiàn)在 OSI 的第幾層？

VPN 是一種三層封裝加密技術，VLAN 則是一種第二層的標志技術（盡管 ISL 采用封裝），盡 管用戶視圖有些相象，但他們不應該是同一層次概念。

VLAN（V irtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內的設備邏輯地而 不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術。

VLAN 在交換機上的實現(xiàn)方法，可以大致劃分為 2 大類：基基于端口劃分的靜態(tài) VLAN；2、 基于 MAC 地址|IP 等劃分的動態(tài) VLAN。當前主要是靜態(tài) VLAN 的實現(xiàn)。

跨交換機 VLAN 通訊通過在 TRUNK 鏈路上采用 Dot1Q 或 ISL 封裝（標識）技術。 VPN（虛擬專用網(wǎng)）被定義為通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的 連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。

VPN 使用三個方面的技術保證了通信的安全性：隧道協(xié)議、數(shù)據(jù)加密和身份驗證。

■VPN 使用兩種隧道協(xié)議：點到點隧道協(xié)議（PPTP）和第二層隧道協(xié)議（L2TP）。

■VPN 采用何種加密技術依賴于 VPN 服務器的類型，因此可以分為兩種情況。

對于 PPTP 服務器，將采用 MPPE 加密技術 MPPE 可以支持 40 位密鑰的標準加密方案和 128 位密鑰的增強加密方案。只有在 MS-CHAP、MS-CHAP v2  或 EAP/TLS  身份驗證被協(xié)商之后， 數(shù)據(jù)才由 MPPE  進行加密，MPPE 需要這些類型的身份驗證生成的公用客戶和服務器密鑰。 對于 L2TP 服務器，將使用 IPSec 機制對數(shù)據(jù)進行加密 IPSec 是基于密碼學的保護服務和安全 協(xié)議的套件。IPSec  對使用 L2TP  協(xié)議的 VPN  連接提供機器級身份驗證和數(shù)據(jù)加密。在保 護密碼和數(shù)據(jù)的 L2TP  連接建立之前，IPSec  在計算機及其遠程 VPN 服務器之間進行協(xié)商。 IPSec 可用的加密包括 56  位密鑰的數(shù)據(jù)加密標準 DES 和 56  位密鑰的三倍 DES (3DES)。

■VPN 的身份驗證方法

前面已經(jīng)提到 VPN 的身份驗證采用 PPP 的身份驗證方法，下面介紹一下 VPN 進行身份驗證 的幾種方法。

CHAP  CHAP 通過使用 MD5（一種工業(yè)標準的散列方案）來協(xié)商一種加密身份驗證的安全形 式。CHAP  在響應時使用質詢-響應機制和單向 MD5  散列。用這種方法，可以向服務器證明 客戶機知道密碼，但不必實際地將密碼發(fā)送到網(wǎng)絡上。

MS-CHAP  同 CHAP 相似，微軟開發(fā) MS-CHAP  是為了對遠程 Windows  工作站進行身份驗證， 它在響應時使用質詢-響應機制和單向加密。而且 MS-CHAP  不要求使用原文或可逆加密密 碼。

MS-CHAP v2 MS-CHAP v2 是微軟開發(fā)的第二版的質詢握手身份驗證協(xié)議，它提供了相互身份 驗證和更強大的初始數(shù)據(jù)密鑰，而且發(fā)送和接收分別使用不同的密鑰。如果將 VPN 連接配 置為用 MS-CHAP v2  作為唯一的身份驗證方法，那么客戶端和服務器端都要證明其身份，如 果所連接的服務器不提供對自己身份的驗證，則連接將被斷開。

EAP EAP 的開發(fā)是為了適應對使用其他安全設備的遠程訪問用戶進行身份驗證的日益增長 的需求。通過使用 EAP，可以增加對許多身份驗證方案的支持，其中包括令牌卡、一次性 密碼、使用智能卡的公鑰身份驗證、證書及其他身份驗證。對于 VPN 來說，使用 EAP 可以 防止暴力或詞典攻擊及密碼猜測，提供比其他身份驗證方法（例如 CHAP）更高的安全性。 在 Windows 系統(tǒng)中，對于采用智能卡進行身份驗證，將采用 EAP 驗證方法；對于通過密碼 進行身份驗證，將采用 CHAP、MS-CHAP 或 MS-CHAP v2 驗證方法。

41.  什么是靜態(tài)路由？什么是動態(tài)路由？各自的特點是什么？

靜態(tài)路由是由管理員在路由器中手動配置的固定路由，路由明確地指定了包到達目的地必須 經(jīng)過的路徑，除非網(wǎng)絡管理員干預，否則靜態(tài)路由不會發(fā)生變化。靜態(tài)路由不能對網(wǎng)絡的改 變作出反應，所以一般說靜態(tài)路由用于網(wǎng)絡規(guī)模不大、拓撲結構相對固定的網(wǎng)絡。 靜態(tài)路由特點

1、它允許對路由的行為進行精確的控制；

2、減少了網(wǎng)絡流量；

3、是單向的；

4、配置簡單。 動態(tài)路由是網(wǎng)絡中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器 表的過程。是基于某種路由協(xié)議來實現(xiàn)的。常見的路由協(xié)議類型有：距離向量路由協(xié)議（如 RIP）和鏈路狀態(tài)路由協(xié)議（如 OSPF）。路由協(xié)議定義了路由器在與其它路由器通信時的一 些規(guī)則。動態(tài)路由協(xié)議一般都有路由算法。其路由選擇算法的必要步驟

1、向其它路由器傳遞路由信息；

2、接收其它路由器的路由信息；

3、根據(jù)收到的路由信息計算出到每個目的網(wǎng)絡的最優(yōu)路徑，并由此生成路由選擇表；

4、根據(jù)網(wǎng)絡拓撲的變化及時的做出反應，調整路由生成新的路由選擇表，同時把拓撲變化 以路由信息的形式向其它路由器宣告。

動態(tài)路由適用于網(wǎng)絡規(guī)模大、拓撲復雜的網(wǎng)絡。 動態(tài)路由特點：

1、無需管理員手工維護，減輕了管理員的工作負擔。

2、占用了網(wǎng)絡帶寬。

3、在路由器上運行路由協(xié)議，使路由器可以自動根據(jù)網(wǎng)絡拓樸結構的變化調整路由條目；

42.常見的認證方式：

1）口令驗證協(xié)議（PAP）

PAP 是一種簡單的明文驗證方式。NAS（網(wǎng)絡接入服務器，Network Access Server）要求 用戶提供用戶名和口令，PAP 以明文方式返回用戶信息。很明顯，這種驗證方式的安全性較 差，第三方可以很容易的獲取被傳送的用戶名和口令，并利用這些信息與 NAS 建立連接獲 取 NAS 提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP 無法提供避免受到第三方 攻擊的保障措施。

2）挑戰(zhàn)-握手驗證協(xié)議（CHAP）

CHAP 是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。NAS 向遠程

用戶發(fā)送一個挑戰(zhàn)口令（challenge），其中包括會話 ID  和一個任意生成的挑戰(zhàn)字串（arbitrary challengestring）。遠程客戶必須使用 MD5 單向哈希算法（one-way hashing algorithm）返回 用戶名和加密的挑戰(zhàn)口令，會話 ID 以及用戶口令，其中用戶名以非哈希方式發(fā)送。

CHAP 對 PAP 進行了改進，不再直接通過鏈路發(fā)送明文口令，而是使用挑戰(zhàn)口令以哈希 算法對口令進行加密。因為服務器端存有客戶的明文口令，所以服務器可以重復客戶端進行 的操作，并將結果與用戶返回的口令進行對照。CHAP 為每一次驗證任意生成一個挑戰(zhàn)字串 來防止受到再現(xiàn)攻擊（replay  attack）。在整個連接過程中，CHAP 將不定時的向客戶端重復 發(fā)送挑戰(zhàn)口令，從而避免第 3 方冒充遠程客戶（remote client impersonation）進行攻擊。

43. PAT 和 NAT 有什么區(qū)別？

PAT 叫端口地址轉換，NAT 是網(wǎng)絡地址轉換，由 RFC 1631 定義。PAT 可以看做是 NAT 的一部 分。在 NAT 時，考慮一種情形，就是只有一個 Public IP，而內部有多個 Private IP，這個時候 NAT 就要通過映射 UDP 和 TCP 端口號來跟蹤記錄不同的會話，比如用戶 A、B、C 同時訪問 CSDN，則 NAT 路由器會將用戶 A、B、C 訪問分別映射到 1088、1098、23100（舉例而已， 實際上是動態(tài)的），此時實際上就是 PAT 了。

由上面推論，PAT 理論上可以同時支持（65535 - 1024）= 64511 個連接會話。但實際使用中 由于設備性能和物理連接特性是不能達到的，CISCO 的路由器 NAT 功能中每個 Public IP 最多 能有效地支持大約 4000 個會話。

44.  操作系統(tǒng)使用 Windows 2000 Professional，數(shù)據(jù)庫是 MSDE，在上面部署公司開發(fā)的 B/S

架構的應用程序，有哪些方面需要注意？

Windows 2000 Pro 有 10 個并發(fā)連接的限制，MSDE（SQL Server 桌面數(shù)據(jù)庫）有 5 個用戶連 接限制，而且 Pro 的 IIS 只能建立一個 Web 站點，這些限制對于應用服務器的部署都是需要 考慮的。在設計程序的時候，則用完的數(shù)據(jù)庫連接馬上釋放掉，否則容易出現(xiàn)超過限制而不 能連接數(shù)據(jù)庫的問題。

45  交換機是如何轉發(fā)數(shù)據(jù)包的?

交換機通過學習數(shù)據(jù)幀中的源 MAC 地址生成交換機的 MAC 地址表，交換機查看數(shù)據(jù)幀的目 標 MAC 地址，根據(jù) MAC 地址表轉發(fā)數(shù)據(jù)，如果交換機在表中沒有找到匹配項，則向除接受 到這個數(shù)據(jù)幀的端口以外的所有端口廣播這個數(shù)據(jù)幀。

46.  簡述 STP 的作用及工作原理.

作用:(1)  能夠在邏輯上阻斷環(huán)路，生成樹形結構的拓撲;

(2) 能夠不斷的檢測網(wǎng)絡的變化，當主要的線路出現(xiàn)故障斷開的時候，STP 還能通過計算激 活阻起到斷的端口，起到鏈路的備份作用。

工作原理: STP 將一個環(huán)形網(wǎng)絡生成無環(huán)拓樸的步驟： 選擇根網(wǎng)橋（Root Bridge）

選擇根端口（Root Ports） 選擇指定端口（Designated Ports）

生成樹機理

每個 STP 實例中有一個根網(wǎng)橋 每個非根網(wǎng)橋上都有一個根端口 每個網(wǎng)段有一個指定端口

非指定端口被阻塞 STP 是交換網(wǎng)絡的重點,考察是否理解.

47.簡述傳統(tǒng)的多層交換與基于 CEF 的多層交換的區(qū)別

簡單的說:傳統(tǒng)的多層交換:一次路由,多次交換 基于 CEF 的多層交換:無須路由,一直交換.

48DHCP 的作用是什么,如何讓一個 vlan 中的 DHCP 服務器為整個企業(yè)網(wǎng)絡分配 IP 地址?

作用:動態(tài)主機配置協(xié)議,為客戶端動態(tài)分配 IP 地址.

配置 DHCP 中繼,也就是幫助地址.(因為 DHCP 是基于廣播的,vlan  或路由器隔離了廣播)

49.有一臺交換機上的所有用戶都獲取不了 IP  地址,但手工配置后這臺交換機上的同一 vlan

間的用戶之間能夠相互 ping 通,但 ping 不通外網(wǎng),請說出排障思路.

1:如果其它交換機上的終端設備能夠獲取 IP 地址,看幫助地址是否配置正確;

2:此交換機與上連交換機間是否封裝為 Trunk.

3:單臂路由實現(xiàn) vlan 間路由的話看子接口是否配置正確,三層交換機實現(xiàn) vlan 間路由的話看 是否給 vlan 配置 ip 地址及配置是否正確.

4:再看此交換機跟上連交換機之間的級連線是否有問題;

排障思路.

50.簡述有類與無類路由選擇協(xié)議的區(qū)別 有類路由協(xié)議:路由更新信息中不含有子網(wǎng)信息的協(xié)議,如 RIPV1,IGRP

無類路由協(xié)議:路由更新信息中含有子網(wǎng)信息的協(xié)議,如 OSPF,RIPV2,IS-IS，EIGRP 是否理解有 類與無類

8:簡述 RIP 的防環(huán)機制

1.定義最大跳數(shù) Maximum Hop Count  （15 跳）

2.水平分割  Split Horizon  （默認所有接口開啟，除了 Frame-Relay 的物理接口，可用 sh ip interface  查看開啟還是關閉）

3.毒化路由  Poizoned Route

4.毒性反轉  Poison Reverse （RIP 基于 UDP，UDP 和 IP 都不可靠，不知道對方收到毒化路 由沒有；類似于對毒化路由的 Ack 機制）

5.保持計時器  hold-down T imer  （防止路由表頻繁翻動）

6.閃式更新  Flash Update

7.觸發(fā)更新  Triggered  Update  （需手工啟動，且兩邊都要開 Router  (config-if)#  ip  rip triggered  ）

當啟用觸發(fā)更新后，RIP 不再遵循 30s 的周期性更新時間，這也是與閃式更新的區(qū)別所在。

RIP 的 4 個計時器： 更新計時器（update）： 30 s

無效計時器（invalid）： 180 s （180s 沒收到更新，則置為 possible down 狀態(tài)） 保持計時器（holddown）：  180s （真正起作用的只有 60s） 刷新計時器（flush）：  240s  （240s 沒收到更新，則刪除這條路由）

如果路由變成 possible down 后，這條路由跳數(shù)將變成 16 跳，標記為不可達；這時 holddown 計時器開始計時。

在 holddown 時間內即使收到更優(yōu)的路由，不加入路由表；這樣做是為了防止路由頻繁翻動。 什么時候啟用 holddown 計時器： “當收到一條路由更新的跳數(shù)大于路由表中已記錄的該條 路由的跳數(shù)”

51.簡述電路交換和分組交換的區(qū)別及應用場合.  電路交換連接 根據(jù)需要進行連接

每一次通信會話期間都要建立、保持，然后拆除 在電信運營商網(wǎng)絡中建立起來的專用物理電路

分組交換連接 將傳輸?shù)臄?shù)據(jù)分組 多個網(wǎng)絡設備共享實際的物理線路 使用虛電路/虛通道（V irtual Channel）傳輸

若要傳送的數(shù)據(jù)量很大，且其傳送時間遠大于呼叫時間，則采用電路交換較為合適；當端到 端的通路有很多段的鏈路組成時，采用分組交換傳送數(shù)據(jù)較為合適。

52.簡述 PPP 協(xié)議的優(yōu)點.  支持同步或異步串行鏈路的傳輸 支持多種網(wǎng)絡層協(xié)議

支持錯誤檢測 支持網(wǎng)絡層的地址協(xié)商 支持用戶認證 允許進行數(shù)據(jù)壓縮

53:你都知道網(wǎng)絡的那些冗余技術,請說明.

交換機的冗余性：spanning－tree、ethernet－channel 路由的冗余性:HSRP,VRRP,GLBP. (有必要的話可以詳細介紹)

54.HSRP 的轉換時間是多長時間?

10s

55:標準訪問控制列表和擴展訪問控制列表的區(qū)別.

標準訪問控制列表:基于源進行過濾

擴展訪問控制列表:  基于源和目的地址、傳輸層協(xié)議和應用端口號進行過濾

56:NAT 的原理及優(yōu)缺點.

原理:轉換內部地址,轉換外部地址,PAT,解決地址重疊問題.

優(yōu)點:節(jié)省 IP 地址,能夠處理地址重復的情況,增加了靈活性,消除了地址重新編號,隱藏了內部 IP 地址.

缺點:增加了延遲,丟失了端到端的 IP 的跟蹤過程,不能夠支持一些特定的應用(如:SNMP),需要 更多的內存來存儲一個 NAT 表,需要更多的 CPU 來處理 NAT 的過程.

57. snmp 的兩種工作方式是什么,有什么特點?

首先,SNMP 是基于 UDP 的,有兩種工作方式,一種是輪詢,一種是中斷. 輪詢:網(wǎng)管工作站隨機開端口輪詢被管設備的 UDP 的 161 端口. 中斷:被管設備將 trap 報文主動發(fā)給網(wǎng)管工作站的 UDP 的 162 端口. 特點:輪詢一定能夠查到被管設備是否出現(xiàn)了故障,但實時性不好. 中斷實時性好(觸發(fā)更新),但不一定能夠將 trap 報文報告給網(wǎng)管工作站.

58. 說說 ARP 的解析過程。

答：ARP 用于把一個已知的 IP 地址解析成 MAC 地址，以便在 MAC 層通信。為了確定目標 的 MAC 地址，首先查找 ARP 緩存表。如果要查找的 MAC 地址不在表中，ARP 會發(fā)送一個廣 播，從而發(fā)現(xiàn)目的地的 MAC 地址，并記錄到 ARP 緩存表中以便下次查找。

下面一些涉及經(jīng)驗問題，無標準答案，根據(jù)實際情況而答（一些大公 司很喜歡問，答的好壞說明你在這一行業(yè)的經(jīng)驗長短，跟薪水也有很 大關系）：

一、 請說出自己配置過的路由器型號，并說出幾個最常用的配置命令。 二、 請介紹幾種方式用來在 web 服務器上創(chuàng)建虛擬主機。

三、 請介紹幾種你所使用過的代理服務器。 四、 請?zhí)峁追N郵件服務器的建設方案。 五、 說出你所使用過的數(shù)據(jù)庫產品。

六、 你認為 SQL2000 數(shù)據(jù)庫中最難的部分是什么，為什么？ 七、 介紹你所使用過的網(wǎng)管軟件，以及它的特點。

八、 你認為網(wǎng)絡工程師最重要的能力是什么？

九、 如果你負責將一個公司的所有計算機接入互聯(lián)網(wǎng)，你會選擇哪種接入方式，為什么？ 十、 如果你面臨的用戶對計算機都不熟悉，你將如何開展工作？ 十一、你會選擇讓哪種操作系統(tǒng)裝在公司內的計算機上，為什么？ 十二、你用過哪些操作系統(tǒng)，簡述一下它們的特點？ 十三、將來在公司建設企業(yè)內部網(wǎng)時，你會選擇哪種網(wǎng)絡？ 十四、你用過哪種型號的路由器？

十五、談談你認為網(wǎng)絡中最容易出現(xiàn)的故障有哪些？ 十六、簡要介紹你所管理過的網(wǎng)絡。

十七、DHCP 服務器的作用是什么？你可以提供哪些 dhcp 服務器的建設方案 十八、你用過哪些備份方式？請詳細說明一下。

最新評論