华为HCIP认证考题笔记
本文说明:刷HCIP题时做的笔记,主要为了加深理解和记忆,若有错还请指正。
HCIP-(H12-221) V2.5
1.与IGP进行交互,即BGP路由表和IGP路由表相互引入
关于相互引入有问题,不一定都需要相互引入,如在ospf中只引入bgp路由,而bgp只发布、传输路由都行。
2. IP-Prefix工具不能被route-policy的apply子句直接引用
Apply子句用来为路由策略指定动作,用来设置匹配成功的路由的属性。
在一个节点中,如果没有配置apply子句,则该节点仅起过滤路由的作用。如果配置一个或多个apply子句,则通过节点匹配的路由将执行所有apply子句。
3.MUX VLAN不可以减少企业VLAN ID消耗
MUX VLAN提供的是二层流量隔离的机制,它可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。(pdf376)
4.15. 在配置BPDU报文的格式上,除了保证和STP格式基本一致之外,RSTP作了一些小变化,(其中:在flag字段中,Bit0是TCA是错误的选项)
flag字段,位于tcp层,有几个标识,syn,fin,ack,psh,rts,urg。
5. Peer命令可用于在OSPF的 NBMA网络中
NBMA网络是:非广播多路访问,是ospf通信协议中定义的四种网络类型之一。attempt (尝试)是只有NBMA网络才会出现的状态。
6.在OSPF中,LSDB超载通常是因为存储了太多AS外部路由信息(第五类LSA)引起的。
ospf有四种不同的网络类型,OSPF每种网络类型产生的一类LSA都会不同。
ospf四种网络类型
点到点
广播多路访问
NBMA 非广播多路访问
点到多点
四种网络类型要选举DR的
广播(Broadcast)、非广播NBMA,而点到点与点到多点不需要选举DR
ospf五类LSA(LS1为一类LSA…)
LSA1主要用来描述拓扑信息和路由信息。
LSA2(network)可以获知网络的路由信息以及拓扑信息
LS3(summary LSA)传播整个ospf域,通告者是ABR,它是一类二类汇总而成。
LSA4来告知域内其他路由器怎么到ASBR,四类LSA由ABR产生
LSA5由重发布进来的路由产生
ospf支持的缺省下发方式:
abr、asbr、非强制下发
7.BGP公认必遵属性
ORIGIN属性(起源属性):定义路由信息的来源,标记一条路是怎么成为成为BGP路由的
AS-PATH属性:到达一个目的地所经过的自治系统号码的有序列表
NEXT-HOP属性:为BGP发言者指示去往目的地的下一跳
8. BGP协议有一种消息在BGP邻居之间周期性的发送,用以维护连接关系
Keepalive
8.在Established状态下,BGP可以和对等体交换Update、Keepalive、Route-refresh报文和Notification报文。
Notification报文直接导致邻居down,不会交换
9.什么是路由策略?
路由策略主要是控制路由的策略,如路由信息的引入、发布和接收等
9.什么是策略路由?
策略路由pbr(policy-based-route),主要是控制报文的转发,即可以不按照路由表进行报文的转发。
10.ACL(访问控制列表)的概述
ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行步同的处理。
ACL根据不同规则进行不同的分类。常见的三种分类是基本ACL、高级ACL和二层ACL。
基本ACL可以使用报文的源IP地址、分片标记和时间段信息来匹配报文,其编号取值范围是2000-2999
高级ACL可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文。高级ACL可以定义比基本ACL更准确、更丰富、更灵活的规则,其编号取值范围是3000-3999
二层ACL可以使用源/目的MAC地址以及二层协议类型等二层信息来匹配报文,其编号取值范围是4000-4999
ACL用来描述报文的属性:
源地址、目的地址、端口号、ICMP报文类型和消息码
11.ospf stub特性
虚连接不能跨越stub area
12.rpf检查的作用
防止组播路由发生环路、防止转发冗余的组
13.ISIS的Hello报文类型
·Level-1 LAN IIH、Level-2 LAN IIH、P2P LAN IIH
14.IGMPv1两种报文类型
成员查询报告、成员关系报告
15.端口安全技术中的安全MAC
安全动态MAC地址、安全静态MAC地址、Sticky MAC地址
16.router-policy中,能用于apply子句的BGP属性有:
local-preference、med、as-path
17.igp与egp
igp着重于发现路由与计算路由
egp着重于控制路由传播与选择最优路由
18.静态LACP模式下
优先级越优的主动端
19.IGMP snooping
概述:运行在链路层,是二层以太网交换机上的组播约束机制,用于管理和控制组播组,它通过侦听主机发出的IGMP报文,建立MAC组播地址表。
优势:减少二层网络广播报文,节约带宽、增强组播信息安全、便捷给用户单独计费。
解决的问题:解决组播数据报文在二层设备上广播问题,用于管理和控制组播数据报文的转发。
20.PIM-SM
断言机制名称: Assert
21.bgp中open报文包含的信息:
version、as编号、hold time消息
22.前缀列表:
可以过滤IP前缀、可匹配前缀号和前缀长度、对于路由前缀的匹配功能比访问控制列表更强。
23.AS path
它是bgp中一个非常重要的公认必遵属性,它是指在bgp路由在传输的路径中所经历的AS的列表。
24.关于虚链路的描述
网络中存在虚链路,说明网络设计存在问题,需要优化。
虚链路增加了网络的复杂度,还可能带来环路。
25.永久组播地址的描述
224.0.0.1被网段内的所有主机及路由器侦听
224.0.0.2 被所有路由器侦听
224.0.0.5所有运行OSPF的路由器侦听
25.OSPF路由器从初始到邻居,形成邻接的关系过程
Down、 Init、2-way、 Exstart、 Exchange、 Loading、 Full
26.OSPF特殊区域
Totally stub Area 作用是允许ABR发布的LSA3缺省路由,不允许自治系统外部路由和区域间的路由。Stub Area区域与它不同处在于该区域允许域间路由。NSSA区域与它不同处在于该区域不允许域间路由。
27.ISIS协议具备的特点:
报文结构简单、适用于大容量的路由传递、扩展性较好
28.ospf dr-priority命令默认值为1,取值范围为0~255
29.静态LACP模式中的抢占机制概述
当一条高优先级的接口因故障切换为非活动状态而后又恢复时,如果使能了抢占,则恢复的高优先级接口将在延时一定时间后,重新成为活动接口,如果未使能抢占,该接口不能自动成为活动接口。
为了避免由于某些链路状态频繁变化而导致整条链路传输不稳定,可以设置抢占延时。
30.Route-policy概述
一个Router-policy由多个节点构成,可包含多个if-match、apply字句,if-match字句用来定义节点的匹配条件,字句过滤规则关系是“与”,即必须全部匹配、apply子句用来定义通过过滤的路由行为,节点间的过滤关系“或”,即只要通过了一个节点的过滤,就可通过该route-policy。
route-policy能给预先定义的条件过滤设置BGP属性,所以它经常被用来针对BGPpeer的策略,也经常在路由生成时期被使用,缺省情况下所有未匹配的路由都拒绝通过route-policy。
31.BGP可选属性概述
分为可选过渡和非可选过渡两种。
可选过渡属性是BGP路由器可以选择是否在Update消息中携带这些消息,接收的路由器如果不识别此属性,可以转发给邻居,邻居可能识别并使用。
非可选过渡属性是BGP路由器可以选择是否在Update消息中携带这种属性,接收的路由如果不识别 这种属性,将丢弃,不转发给邻居。
32.BGP公认团体属性有:No-export、No-advertise、Internet。
33.BGP-Open消息携带那些信息:
本地自治系统(AS号)、BGPID、Hold Time、BGP版本
34.BGP的Origin属性:
通过import 命令注入BGP的路由,Origin属性都为Incomplete,通过network命令注入BGP的路由,Origin属性都为IGP。
35.ISIS协议路由计算包括那些步骤
邻居关系建立、链路信息交换、路由计算
HCIP(H12-222) V2.5
1.MPLS多协议标签交换,MPLS标签描述:
标签栈按后进先出方式组织标签,从栈顶开始处理标签,标签封装在链路层与网络层之间,标签上固定长度4字节。
2.关于ASPF(Application specific packet filter):
ASPF是一种基于应用层的包过滤,它会检查应用层协议信息并且监控链接的应用层协议状态,并通过了Server map 表实现了特殊的安全机制。
3.关于ASPF和Server map 表的说法:
ASPF监控通信过程中的报文,ASPF动态创建和删除过滤规则,ASPF通过servermap表实现动态允许多通道协议数据通过。
流镜像分为两种:本地流镜像、远程流镜像
NFV框架内的功能组件:VIM、VNF、VNFM模块。
Agile controller服务器角色有:业务管理器、业务控制器、安全态势管理器
USG防火墙的servermap表的三要素:目的IP、目的端口号、协议号
VXLAN支持哪几种常用配置方式:虚拟化软件配置、SDN控制器配置
DHCP服务器支持多种类型的地址分配策略:自动、动态、手动
VRRP的IP地址和虚拟IP地址可以相同
快速检测可以尽早地检测到与相邻设备间地通信故障,以便系统能够及时采取措施,保证业务不中断
为防止中间人攻击或IP/MAC Spoofing攻击,可以采取在交换机上配置 DHCP Snooping 域DAI或IPSG进行联动。
LDF是场景为标签分发而制定的协议,它的消息类型很多种,用来宣告和维护网络中一个LSR存在的消息是:Discovery message(发现消息)。
LDP是专门为标签分发而制定的 协议,它的消息类型有多种,其中用来生成、改变和删除FEC的标签映射的消息是:Advertisement Message(广告消息)
LDP消息类型有多种,其中Session message可实现 监控LDP session 的TCP连接的完整性,在LDP Session建立过程中协商参数。
数据采集的方法:分光器物理采集、通过端口镜像采集、NMS集中采集
SDN基本工作过程包括哪些步骤:拓扑信息搜集、网元资源信息收集、生成内部交换路由
在防火墙ping防火墙某接口IP时,这些报文将交给防火墙内部模块处理,并不被转发出去。
MPLS体系中,标签的发布方式有两种,分别是:独立方式、有序方式
网络进行管理的主要目标:确保网络用户收到期望的网络服务质量与技术服务信息,帮助网络工程师面对复杂的网络数据,并确保数据能够快速全面的呈现给使用者。
对于IPv4报文,可以根据报文的DSCP信息、IP Precedence 信息来进行简单流分类
流量临客功能:对报文进行着色处理,对超过流量限制的报文不能进行缓存
QOS服务模型:best-effort service(尽力服务)、integrated service(综合服务)、differentiated service(差异化服务)
VPN模型主要分两种:Overlay VPN、Peer-to-Peer VPN
在DHCP客户端申请IP,DHCP server分配IP过程中,DHCP Offer、 DHCP ACK是以单播方式传播。
关于USG防火墙两接口被划分到同一区域,那么两目的端口数据包流动也必须经过域间包过滤处理过程。
VXLAN的广播域被称为桥域
关于Agile Controller 的访客账号申请方式可以由接待员工创建
关于网络地址端口转换(NAPT)与仅转换网络地址(No-PAT),No-PAT支持网络层的协议地址转换
网络层攻击:IP攻击、Smurf攻击、ICMP攻击
在eSight中,网元发现方式支持的协议:SNMP、ICMP协议
抖动是由于属于同一个流的 数据包的端到端时延不相等造成的。
IFTF定义的多协议标签交换技术(MPLS)是一种第三层交换技术,用于向IP层提供此连接服务,MPLS网络由:标签交换路由器、标签边缘路由器组成。
负责为网络流添加/删除标记的设备是:标签边缘路由器
QOS中,Differentiated service与 Integrated Service区别:在Differentiated service无需为每个流维护状态信息且适合于大型骨干网络上应用。
QOS针对各种不同的需求,提供不同的服务质量,以下属于QOS所提供的功能有:支持位用户提供专用宽带、可以减少报文的丢失率、避免和管理网络拥塞。
CAPEX的定义是资本性支出
VRRP报文的IP协议号是112
MPLS标签字段共有20bit
SDN控制器可以根据网络状态智能调整流量路径,以达到提升整网吞吐的目的。
VRRP设备在备份组中的默认优先级为:100
VXLAN用户可以通过VXLAN接口访问Internet
使用eSight对历史告警进行查询时,可以按照下列条件进行告警:
告警级别、首次发生时间、告警源、告警名称
包过滤防火墙只对网络层的数据报文进行检查,包过滤防火墙能够完全控制网络信息的交换机,控制会话过程,具有较高的安全性。
NFV的定义是网络功能虚拟化
VRRP可以同:接口track、BFD、NQA、ip-link机制结合来监视上行链路的连通性。
Agile Controller支持802.1x、portal、MAC旁路、SACG准入方式
ASPF技术使得防火墙能够支持如FTP等多通道协议,同时还可以对复杂的应用制定相应的安全策略
流量分类是按照一定的规则来标识符合某类特征的报文,不同特征报文享受不同服务,分简单流和复杂流分类。
通常在配置QOS中Diff-Serv时,边界路由器会通过报文的源地址和目的地址等对报文进行分类
BFD控制报文封装在UDP报文中进行传送,多跳BFD控制报文的目的端口号为:4784,VRP版本支持的BFD 版本号是version1。
华为eSight创建的缺省角色:Administrator、Monitor、Operator
传统网络的局限性:网络协议实现复杂,运维难度大、流量路径调整能力不够灵活、网络新业务升级速度较慢
DHCP Server负责为客户端IP地址的分配,在配置DHCP Server时,需要:全局使能DHCP功能、采用全局地址池的DHCP服务器模式时,配置全局地址池、采取端口地址池的DHCP服务器模式时,配置端口地址池。
4.关于LDP session建立过程:
两个LSR之间互相发送Hello消息,hello消息中携带传输地址,传输地址较大的一方作为主动方,发起tcp连接,如果被动方能够接收相关参数,则发送initialzation message消息,同时发送keepalive消息给主动方。状态会迁移到Openrec。
5.开启DHCP Snooping配置作用:
可以防止DHCP server仿冒者攻击、防止ARP欺骗攻击
6.关于Agile Controller业务随行描述:
1.管理员在配置业务随行时,应该选择合适的用户认证点和策略执行点
2.在业务随行中,通过矩阵关系来描述一个安全组到另一个安全组的访问权限关系
3.在业务随行中,通过指定某些VIP用户所属安全组的转发优先级,来保证这部分人员的网络使用体验
7.MPLS中有转发等价类(FEC,Forwarding Equivalence Class )概念,FEC能基于哪些标准进行分配:
目标地址、应用协议、服务类别
8.关于RT描述:
1.每个VPN实例关联一对或多对VPN target属性,用来控制VPN路由信息在这个站点的发布和接收
2.RT可以分为两类VPN Target属性:Export Target (出口目标)和Import Target (入口目标)
3.出、入口目标的设置相对独立,并且可以设置多个值,能够灵活的VPN访问控制
4.RT值与BGP扩展团体属性的方式通过update消息发布给邻居
9.关于QOS丢包:
1.路由器在收到数据包的时候,可能会因为CPU繁忙,没办法处理数据包,导致出现丢包现象。
2.在把数据包调度到丢列的时候,可能会因为队列被装满而导致丢包
3.数据包在链路上传输的时候,可能会因为链路故障等原因而导致丢包
10.相对于流量监管,流量整形引入了队列,用户缓存超过限制的流量,对于流量整形描述:
1.相对于流量监管,流量整形具有更好的抗突发能力
2.流量整形可以使报文比较均匀的速度向外发送
3.由于引入队列,当发生拥塞时,报文的时延相对增加。
11.MPLS VPN网络中,数据包在进入公网被转发时,会被封装上两层MPLS标签,关于两层标签描述:
1.MPLS VPN的外层标签是由LDP协议或静态分配的,内层标签是由对端的MP-BGP分配的
2.默认情况下,外层标签在数据包转发给最后一跳设备前被弹出。
12.关于VRRP描述:
1.VRRP组中的路由器根据优先级选举出Master
2.Master路由器通过发送免费ARP报文,将自己的虚拟MAC地址通知给与它连接的设备或主机
3.如果Master路由器出现故障,虚拟路由器中的Backup路由器将根据优先级重新选举新的Master。
13.关于Agile Controller的业务编排概念:
1.业务编排中,用户控制列表是针对用户级别的ACL控制,使用数据包的源安全组、目的安全组、端口号等内容定义的规则。
2.编排设备是指对业务流进行有序引导的设备,一般指交换机
3.业务设备是指对编排设备引入的业务流进行安全业务处理的设备,主要包括防火墙、防病毒设备和上网行为控制设备。
14.TCP/IP版本中,存在安全隐患:
缺乏数据源验证机制、缺乏对数据完整性的验证机制、缺乏机密性保障机制。
15.在LSP建立过程中,LSR分配标签采用的标签分配控制方式:
1.标签分配控制方式分为:独立标签分配控制和有序标签分配控制
2.如果标签发布方式为DU,且标签分配方式为Indpendent,则LSR无需等待下游的标签,就会直接向上游分发标签。如果分配方式为Ordered,则LSR(transit)只有收到下游(Egress)的标签映射消息,才会向上游(Ingress)分发标签。
16.关于QOS的DSCP描述:
1.用 TOS字段的前6个比特(高6比特)来标识不同的业务类型
2.每隔DSCP值对应一个BA(begavior aggregate),然后可以对每个BA指定一种PHB
3.可以使用某些QOS机制来实现PHB
17.对Agile Controller的准入控制技术的应用场景描述:
1.MAC认证中,用户终端以MAC地址作为身份凭据认证服务器上进行认证,MAC地址认证主要用于IP电话、打印机等终端设备的认证。
2.802.1x认证使用EAP认证协议,实现客户端、设备端和认证服务器之间认证信息交换。
3.portal认证也成为web认证,用户通过web认证页面,输入用户账号信息,实现对终端用户身份的认证。
18.DHCP Relay又称为DHCP中继,关于DHCP Relay说法:
DHCP协议多采用广播报文,如果出现多个子网则无法穿越,所以需要DHCP Relay设备,DHCP Relay设备可以是一台主机。
19.MPLS称为多协议标签交换,关于MPLS中标签描述:
1.标签是一个长度固定、只具有本地意义的短标识符,用于唯一标识一个分组所属FEC
2.标签与ATM/VCI以及Frame Relay的DLCI类似,是一种连接标识符
3.MPLS支持单层标签同时也支持多层标签
4.MPLS体系有多种标签发布协议,如LDP就是一种标签发布协议
20.对DiffServ模型的描述:
1.可以通过设置IP报文头部的QOS参数信息,来告知网络节点它的QOS需求
2.报文传播路径上的各个设备,都可以通过IP报文头的分析来获知报文的服务需求类别
3.Doffserv是一种基于报文流的QOS解决方案
21.MPLS中关于转发等价类FEC概念:
1.MPLS将具有相同转发处理方式的分组归为一类,称为FEC
2.FEC划分很灵活,可以是源地址、目的地址、源端口、目的端口、协议类型或VPN等划分依据的任意组合
22.MPLS是一种标签转发技术,对MPLS描述:
1.控制平面实现路由信息的传递和标签的分发,数据平面实现报文在建立的标签转发路径上传送
2.MPLS域内交换机只需要根据封装在IP头外面的标签进行转发即可
3.对于传统的IP转发,MPLS标签转发大大提高了数据转发的效率
23.DHCP Snooping是一种DHCP安全特性,可以用于防御多种攻击:
防御改变Chaddr值的饿死攻击、防御DHCP仿冒者攻击、防御中间人攻击和IP/MAC Snooping攻击
24.LDP会话用于LSR间交换标签映射、释放等消息,关于LDP会话建立过程描述:
1.两台LSR之间通过交换hello消息来触发LDP session的建立
2.Initializtion Message用来在LDP session建立过程中协商参数
3.keepalive Message用来监控LDP Session的TCP连接的完整性
H12-223
DHCP减少了对网络进行管理的工作量
采用TCP/IP模型作为理论基础的故障排除法:自顶向上法、自底向上法、替换法
项目规划阶段要完成的:了解项目背景、确定项目需求
华为的企业网管产品是esight,有精简、标准、专业三个版本,专业比标准版多了支持分层的管理模型。
测试物理线路是否中断的测试叫“打环”
DHCP Snooping可以防止DHCP仿冒者攻击、防止对DHCP服务器的DOS攻击、结合IPSG功能对数据包的源IP地址进行检查。
网络设计关键:设备线路等元素的选择
光功率用DBM表示
网桥是基于数据帧的MAC地址进行数据转发的
ISDN、PSTN可以运行PPP协议但是不能运行HDLC协议
发标是标志网络规划阶段的事件
项目范围的三个界定:功能边界、覆盖范围、工程边界
光纤入户主要采用GPON/EPON技术
关于IP地址分配:
除非使用AnyCast,否则全网的IP地址必须保持唯一性,为了提高IP地址的使用效率,我们一般采用VLSM,按照需要确定掩码长度。
当前的交换机主流采用交换矩阵式架构
网络优化的主要工作内容包括:硬件优化、软件优化、网络扩容
网络优化的需求来源:
经过长期的网络维护,把总结的一些问题和改进点,提出相关建议,进行集中的整改
网络中需要开展视频会议业务,需要增加支持二层组播功能的交换设备。
某弱电井因环境问题,信号线老化严重,需要集中更换
企业信息安全需要,增加新的安全设备
割接的难点有哪些?
最大限度减少影响业务的范围
风险规避做到最好
制定完善的割接方案
顺利的执行割接
在一个割接项目中,需要客户签字的事项有?
定稿割接方案、变更申请单、割接竣工报告
割接的操作步骤?
割接前快照、割接中下发、割接后检查
在进行软件与配置备份时,备份的目的是为了在极端的情况下,恢复网络功能。
哪些原因会引起IS-IS邻居关系故障:
链路两端设备的system ID相同、链路两端的IS-IS Level不匹配、
建立IS-IS Level-1邻居时,链路两端设备的区域地址不匹配
链路两端的接口的IP地址不在同一网段
了解项目的行业背景可以掌握行业常规解决方案
使用ping和tracert进行网络故障测试属于网络故障排除方法的确定业务流量路径
未完待续…
不同虚拟机如何通信?
不同虚拟机可以利用vswitch建立的vtep隧道来进行vxlan的通信,通信过程:
1.源VTEP将VM发送的ARP广播封装为组播报文发送到L3网络中
2.目的VTEP收到组播报文后,学习源VM与源VTEP映射关系,并将组播报文转发给本地VM
3.本地VM进行单播应答
4.目标VTEP封装Vxlan隧道,并建立映射表封装后单播发给源VTEP。
5.源VTEP收到隧道建立目标VM与目标VTE映射关系,去掉隧道转发给VM
6.源VM与目标VM通过隧道进行单播报文通信
