HCIE冲刺-----------论述解析

news2024/11/15 1:42:12

X园区
1.防火墙放行OSPF
2.trunk口阻塞vlan1
3.关闭VPN防环
4.ospf不通检查NSSA区域配置
5.重定向可以在三层口或二层口配置
6.vlan60在ospf的相关配置

Z园区
1.mpls不通检查lo0口配置
2.isis不通检查接口IP与lldp连接
3.确认同级RR还是备份RR
4.确认策略矩阵的访问

python
1.检查库与省电模式

论述题(5分) 40
1.在一个企业园区网络中来自企业外部(例如Internet)的攻击行为可通过防火墙及Anti-DDos等设备进行防御,但是来自企业内部的攻击和安全隐患也是企业的挑战,根据上述网络在不考虑外部的攻击,当前网络是否存在安全上的隐患(网络攻击场景及解决方案,5条以上满分)

1.DHCP server仿冒攻击
在当前网络中存在仿冒的DHCP服务器,该DHCP服务器上存在一些无法正常供内部用户上网的地址段(网络信息),一旦给用户提供了错误的ip地址,会使得用户无法正常访问使用网络服务
解决方案:使用DHCP snooping信任端口技术,只将链接合法DHCP服务器的接口设置成trust端口,其余端口均保持为非信任的untrust端口
只会处理并接收信任端口发来的dhcp offer/ack报文,非信任端口发来的offer/ack丢弃

2.DHCP饿死攻击
因为默认情况下,DHCP服务器只要是收到了用户发来的DHCP discovery报文,就会主动回复offer报文。此时如果网络中存在攻击者,恶意去找网络中的DHCP服务器不断地申请IP地址做使用
     场景1:不变更MAC地址,只变更discovery报文中的chaddr字段
    因为DHCP服务器默认是根据chaddr字段的变化,从而感知到要为不同设备分配ip地址
    如果现在有攻击者在不断的变化这个字段,则对服务器而言,他就会为这些设备不断地给该用户提供ip地址,直到自身地址池耗尽,从而无法对网络中其余的合法设备提供服务
    解决方案:开启检查chaddr字段功能,使用DHCP检测chaddr字段和报文的MAC地址是否一致
    开启之后,如果发现报文的chaddr字段和报文的MAC地址不一致,丢弃该DHCP报文
    
    场景2:变更MAC地址,也变更discovery报文中的chaddr字段
    攻击者不仅变更报文chaddr字段中的MAC地址,还变化报文头部的源MAC地址,这种情况,无法单纯的靠检测CHADDR字段来判断是否存在攻击
    解决方案:不止开启检查chaddr字段功能,同时也要开启同一接口下最大学习MAC地址的数量(也可以使用更优一点的端口安全技术中的sticky mac)

3.ARP欺骗攻击(中间人攻击)
企业内网尝发生ARP欺骗攻击,攻击者主动向USER A发送伪造USER B的ARP报文,导致USER A的ARP表中记录了错误的USER B的地址映射关系,攻击者就可以获取到USER A原本要发往给USER B的数据,同样,攻击者也可以获取到USER B原本要发往给USER A的数据,形成中间人攻击
解决方案:动态ARP检测机制,动态ARP检测机制会用到两张表(静态绑定表/DHCP snooping绑定表)(ip-mac-vlan-端口)

4.源IP地址欺骗攻击,攻击者通过伪造合法用户的IP地址获取网络访问权限,非法访问网络,甚至造成合法用户无法访问网络,或者信息泄密
解决办法:IPSG(IP源防护)针对IP地址欺骗攻击提供防护机制,IPSG利用绑定表(ip-mac-vlan-端口)
当设备试能了ipsg功能之后,在接收到数据包时,就会检查数据包的四要素,如果跟表里一直,认为是合法的报文,具备访问网络的权限,如果不一致,丢弃报文,不具备访问网络的权限。

5.MAC地址泛洪攻击
非法用户不断的变化自身设备的MAC地址,让交换机学习的MAC地址数量不断在增加,直到超出该设备可以容纳的最大MAC地址数量,合法设备的MAC地址无法正常学习到,导致合法设备不具备网络访问权限,其次后续的MAC地址都作为为止单播帧处理(泛洪的方式处理),让其他设备接收到不必要的报文
解决方案:使用端口安全技术,限制每个接口下最大学习MAC地址的数量,同时,可以将合法设备MAC地址通过静态安全MAC跟sticky MAC的方式记录到设备,这样可以保证合法设备正常接入网络又防止非法设备不断变化MAC侵占网络资源

6.WIFI密码暴力破解场景
因为园区内部的WIFI信号是对所有用户公布的,只要尝试测试WIFI密码次数够多,总会试出当前WIFI密码,从而进入到内部无线中,获取信息资源
解决方案:防暴力破解技术,延缓密码泄露的时间。使用了这个技术之后,会对某个wifi信号配置相关操作,比如当ssid在一定的时间内只能被用户试错几次(一分钟只能错误5次),若超出错误次数,则临时将该用户加入到动态黑名单内(最大拉黑时间3600s),在被拉黑的时间内,就算密码测试正确,也提示该用户被锁定,无法登录到网络中。
同时,给园区内密码设置强密码

—————————————————————————————————————————————————

论述题(3分)25
2.请简要描述Cloudcampus解决方案中业务随行的工作原理,此外在部署业务随行时,若网络中存在两个认证点(这些认证点同时也作为业务随性策略执行点),并且用户分散在这两个认证点上进行准入认证,那么要实验全网业务随行方案如何设计?(至少两种方案)

业务随行是一种不管用户身处何地,使用哪个ip地址,都可以保证该用户获得相同的网络访问策略,通过定义安全组匹配的不同的用户流量,对不同的用户流量执行不同的策略

在传统园区网络中,控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现的。
这些技术要求:
1.管理员如果希望保证员工在园区内的网络权限一致,必须要求员工从指定的设备、VLAN或网段接入上线。
2.用于控制用户访问权限的ACL需要管理员提前配置好,而且其中至少需要配置禁止或允许访问的目的IP地址范围。因此,在用户使用的IP地址不固定的前提下,ACL不能用于流量的源和目的都是用户主机时的控制。
ACL与用户的关联只在认证点设备上生效。因此对于非认证点设备,例如部署在企业园区边界的防火墙设备,必须基于IP地址来配置策略。
VLAN和ACL需要在大量的认证点设备上提前配置,部署和维护工作量巨大。

传统园区网依靠ACL和VLAN这种方式去限制用户访问权限

业务随行从三个方面解决传统园区中遇到的问题:
业务策略与IP地址解耦
管理员可以在控制器上从多种维度将全网用户及资源划分为不同的“安全组”。同时通过创新软硬件设计,设备在进行策略匹配时,可以先根据报文的源/目的IP地址去匹配源/目的安全组,再根据报文的源/目的安全组去匹配管理员预定义的组间策略。
通过这样的创新,可以将传统网络中基于用户和IP地址的业务策略全部迁移到基于安全组上来。而管理员在预定义业务策略时可以无需考虑用户实际使用的IP地址,实现业务策略与IP地址的完全解耦。

方案1:非虚拟化场景(不完全是传统网络,有控制器的非vxlan场景)
1.当两台终端相互访问时,如果终端设备都在同一台汇聚设备下
2.当两台终端互访时,如果两台终端设备不在同一台汇聚设备下

方案2:虚拟化场景(vxlan场景)
1.当两台终端相互访问时,如果终端设备都在同一台汇聚设备下
2.当两台终端互访时,如果两台终端设备不在同一台汇聚设备下

—————————————————————————————————————————————————

论述(5分)25
3.1MPLS LDP与RSVP_TE在实际部署会存在一些问题,请问相较于SR,MPLS LDP与RSVP_TE在部署时会出现什么问题?
在部署MPLS LDP时存在以下哪些问题
1.LDP本身并无算路能力,需依赖IGP进行路径计算。
2.控制面需要IGP及LDP,设备之间需要发送大量的消息来维持邻居关系及路径状态,浪费了链路带宽及设备资源。
3.若LDP与IGP未同步,则可能出现数据转发问题。
在部署RSVP_TE时存在以下哪些问题
1.RSVP-TE的配置复杂,不支持负载分担。
2.为了实现TE,设备之间需要发送大量RSVP报文来维持邻居关系及路径状态,浪费了链路带宽及设备资源。
3.RSVP-TE本质上是分布式架构,每台设备只知道自己的状态,设备之间需要交互信令报文。

3.2在部署FRR功能时需要使用LFA、R-LFA、TI-LFA功能,确保LFA不会发生环路,请问为什么FRR会有潜在的环路?
答:当网络的拓扑发生变化时,比如链路或者节点发生故障,IGP首先把拓扑变化的链路状态信息分发给网络中其他节点,新的链路状态通告在网络中泛洪,然后网络中每个节点独立运行相同的路由算法,并更新自身的转发表。在这个时间段内网络节点的转发表是不一致的,一些节点仍然基于旧拓扑转发流量,而另一些节点已经按照新拓扑更新了自己的转发表。拓扑发生变化和节点转发表更新之间的时间间隔随着不同节点,不同因素的变化而变化。
比如
1、在网络中传播拓扑变化引入了时延,拓扑变化通知到节点的时间取决于拓扑变化处到该节点的距离。
2、每个节点更新转发表中前缀的顺序不能保证是相同的。
3、控制平面和数据平面的更新速度有差异,跟CPU,ASIC,平台架构等相关。
   则会导致数据包在转发时出现A根据最新收敛的路由信息,将数据包转发给了B设备,而B设备此时路由未收敛完成,认为去往目的地最优的下一跳仍为A设备,从而导致临时环路产生,这种环路存在时间较短,故称之为微环。
   在FRR中,不论是采用LFA、R-LFA亦或者是TI-LFA,都会有可能存在上述微环的风险存在。

因为LFA在很多情况下,计算不出一个合适的下一跳,因为只有满足两个算法才会生成备份路径,也就是说LFA算不出一个无环链路时,就不会帮你去计算出一个备份路径,而他如果不会帮我计算出一个备份路径的时候,又需要靠设备自身收敛,又会出现微环的情况

  LFA的工作机制:
LFA的原理是找到一个非主下一跳(即不是最短转发路径上的下一跳)的邻居节点,如果这个邻居节点到目的节点的最短路径不经过源节点,则这个邻居节点为无环备份下一跳。本质上来说,LFA有两种保护机制,一种是链路保护机制、一种是节点保护机制。两种保护机制均有对应的保护公式。
如链路保护场景可用如下公式计算无环下一跳:
Distance_opt(N, D) < Distance_opt(N, S) + Distance_opt(S, D)
以上公式的意思为:从邻居节点N到目的节点D的距离比从邻居节点N到S然后再从S到目的节点D的距离短,也即从邻居节点N到目的节点D的最短路径不会经过S。如果邻居节点满足上述公式,则该邻居满足链路保护条件,即流量不会从LFA节点重新回到S节点。
    如节点保护场景可以用如下公式计算无环的下一跳:
当发生节点故障时,流量需要从最短路径上S的下一跳节点绕行。所以如果邻居节点同时满足下述公式,则该邻居满足节点保护条件。
Distance_opt(N, D) < Distance_opt(N, S) + Distance_opt(S, D)
Distance_opt(N, D) < Distance_opt(N, E) + Distance_opt(E, D)
以上公式的意思为:从邻居节点N到达目的节点D的距离比先到主下一跳节点E然后再从E到目的节点D的距离短,也即从邻居节点N到目的节点D的最短路径不会经过故障节点E。这种情况下,邻居节点N可以作为节点故障时的LFA节点。
邻居节点满足上述两个公式,则可以作为对应设备的保护节点。
但LFA的问题在于它不能覆盖所有场景,在很多拓扑下,LFA无法计算合适的备份下一跳。如整张网络拓扑的开销无法满足上述任何链路保护公式的情况下,则会导致无法通过LFA计算出备份路径,从而只能靠路由协议进行收敛,导致最初的微环问题发生。

—————————————————————————————————————————————————

新改动论述题:
4.在大规模组网中部署BGP一般需要部署双RR,保障RR的可靠性,但在部署时会将两台RR的cluster id的值人为设置成一样的,请问这样做有什么好处?
在做备份时,两台RR分别和网络中其他所有设备建立BGP邻居关系时,如果此时反射器簇ID不一致,则可能导致反射器A将路由大批量的反射给反射器B,同理,反射器B也会将路由大批量的反射给反射器A。这个时候,两台反射器就学习到了过多无用的路由。如果此时将两台设备的反射器簇ID设置成一样的话,可以使反射器A传递给反射器B的路由,反射器B不接收。这样对于其他非反射器设备而言,能够从两台反射器都学习路由的情况下,还减少了两台反射器之间的路由学习数量。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2047480.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

测试架构师要正直诚实而非率真

目录 正直诚实的重要性 为何需要正直诚实而非仅是率真 如何实践 正直不得罪人的方式 这里是一些关键的问题&#xff0c;在你感觉要“绝对诚实”地表达时考虑 率真这里有若干问题要考虑&#xff1a; 测试架构师作为软件开发团队中的关键角色之一&#xff0c;需要具备多种专…

Python编码系列—Python SQL与NoSQL数据库交互:深入探索与实战应用

&#x1f31f;&#x1f31f; 欢迎来到我的技术小筑&#xff0c;一个专为技术探索者打造的交流空间。在这里&#xff0c;我们不仅分享代码的智慧&#xff0c;还探讨技术的深度与广度。无论您是资深开发者还是技术新手&#xff0c;这里都有一片属于您的天空。让我们在知识的海洋中…

极狐GitLab 多行命令的 CI 日志管理体验的改进

极狐GitLab 是 GitLab 在中国的发行版&#xff0c;专门面向中国程序员和企业提供企业级一体化 DevOps 平台&#xff0c;用来帮助用户实现需求管理、源代码托管、CI/CD、安全合规&#xff0c;而且所有的操作都是在一个平台上进行&#xff0c;省事省心省钱。可以一键安装极狐GitL…

Python中15个递归函数经典案例解析

文末赠免费精品编程资料~~ 递归是Python编程中一个强大的工具&#xff0c;它允许函数调用自身以解决复杂问题。在本文中&#xff0c;我们将探索15个递归函数的经典案例&#xff0c;从基础到进阶&#xff0c;帮助你理解和掌握递归编程。 1. 阶乘计算 阶乘是一个常见的递归应用…

CSP-CCF 202109-1 数组推导

一、问题描述 二、解答 初版&#xff1a; 只得了60分 #include<iostream> using namespace std; int main() {int n;cin >> n;int B[101] { 0 };int sum_max 0;int sum_min0;//以防错误“使用未初始化的局部变量”&#xff0c;建议所有变量都要初始化&#xf…

2024 Google 开发者大会,沉浸式体验AI社会公益

文章目录 一、现场打卡二、AI 社会公益三、Gemma 模型四、Gemini 模型五、Google Cloud六、现场体验七、带着问题逛展八、学习资源和活动九、结束 Happy Hour 一、现场打卡 大家好&#xff0c;我是小雨。 2024 Google 开发者大会&#xff0c;沉浸式体验AI社会公益 今天我们参加…

ERD Online即将突破 4500 用户的喜悦与展望

亲爱的朋友们&#xff1a; 大家好&#xff01; 今天&#xff0c;我怀着无比激动的心情&#xff0c;要与大家分享一个令人振奋的消息&#xff1a;我们的网站用户即将突破 4500 大关&#xff01; 这一路走来&#xff0c;充满了挑战与艰辛&#xff0c;但每一次的困难都成为了我们前…

2024新型数字政府综合解决方案(十)

新型数字政府综合解决方案融合先进的人工智能、大数据、区块链及云计算技术&#xff0c;旨在通过数据共享、智能分析与自动化处理&#xff0c;打造高效、透明、安全的政务环境&#xff0c;优化服务流程&#xff0c;提升决策科学性&#xff0c;加强信息安全&#xff0c;实现政府…

java入门-成员内部类和静态内部类的访问

&#xff08;一&#xff09;成员内部类 package InnerClass;import javax.print.attribute.standard.MediaSize;public class Outer {//2外部类中的成员private int age99;public static String a;public class Inner{//普通的成员内部类//1.1成员变量public String name;priva…

删除镜像报子镜像依赖错误

1、删除镜像报子镜像依赖错误 出现这个错误的原因是因为有其他镜像依赖需要删除的镜像。 2解决方法 2.1首先查看无法删除的镜像被哪些镜像所依赖 docker image inspect --format{{.RepoTags}} {{.Id}} {{.Parent}} $(docker image ls -q --filter since${image_id}) # ${ima…

数据结构:线性结构之顺序表、链表篇

数据结构&#xff1a;顺序表、链表篇 线性表一、顺序表&#xff08;一&#xff09;顺序表的结构定义&#xff08;二&#xff09;顺序表的功能实现1、初始化2、销毁3、扩容4、插入5、删除 &#xff08;三&#xff09;顺序表例题分析1、删除有序数组中的重复项2、合并两个有序数组…

【Hot100】LeetCode—73. 矩阵置零

目录 1- 思路开辟额外两个一维数组 2- 实现⭐53. 最大子数组和——题解思路 3- ACM 实现 原题连接&#xff1a;73. 矩阵置零 1- 思路 开辟额外两个一维数组 1- 利用额外的两个一维数组 boolean 数组空间&#xff0c;遇到 0 则将当前位置的元素设置为 true 一维 row 数组&…

如何判断一个dll/exe是32位还是64位

通过记事本判断&#xff08;可判断C或者C#&#xff09; 64位、将dll用记事本打开&#xff0c;可以看到一堆乱码&#xff0c;但是找到乱码行的第一个PE&#xff0c;如果后面是d?则为64位 32位、将dll用记事本打开&#xff0c;可以看到一堆乱码&#xff0c;但是找到乱码行的第…

最好用的Linux发行版---WSL

使用debian开发半年&#xff0c;那个号称稳定的操作系统&#xff0c;ubuntu也是基于它的testing版本开发的&#xff0c;在一次设置testing更新后英伟达驱动掉了、引导区无法启动、bios损坏&#xff0c;现在老实了&#xff0c;换回了Window&#xff0c;并且激进的选择了win11&am…

c语言中的宏函数及c++的内联函数及auto及NULL

c的内联函数 使用内联函数可以减少函数栈帧的开销。 Swap(a, b); 00A516C8 mov eax,dword ptr [a] 00A516CB mov dword ptr [ebp-20h],eax 00A516CE mov ecx,dword ptr [b] 00A516D1 mov dword ptr [a],ecx 00A516D4 mov …

Linux登录后自动健康检查:一键掌握系统状态

Linux登录后自动健康检查&#xff1a;一键掌握系统状态 最近开始公众号文章也开始同步更新了&#xff0c;对Java、大数据、人工智能、开发运维相关技术分享&#xff0c;文章对您有用的话&#xff0c;辛苦您也关注下公众号&#xff0c;感谢&#xff01; 引言 当我们登录到某些服…

rt-thread 打开flashdb若干问题

1、打开FAL和SFUD功能 2、打开FLASHDB时&#xff0c;想用utest测试工程&#xff0c;结果报错&#xff0c;缺少mkdir函数&#xff1a; 解决办法&#xff1a;打开DFS RT-Thread Components → DFS: device virtual file system 重新编译

大数据-87 Spark 集群 案例学习 Spark Scala 案例 手写计算圆周率、计算共同好友

点一下关注吧&#xff01;&#xff01;&#xff01;非常感谢&#xff01;&#xff01;持续更新&#xff01;&#xff01;&#xff01; 目前已经更新到了&#xff1a; Hadoop&#xff08;已更完&#xff09;HDFS&#xff08;已更完&#xff09;MapReduce&#xff08;已更完&am…

windows重装系统后无法安装软件,Windows软件无法打开,缺少dll,缺少c++运行库

如果你使用Directx&#xff0c;要么识别不出来&#xff0c;要么装上之后更新会发现重复安装了很多运行库 装一个visual stiudio&#xff1a;<Visual Studio 2022 IDE - 适用于软件开发人员的编程工具> 选择使用C游戏开发、.Net桌面开发 然后安装即可

学习Java的日子 Day71 手写一个SpringMVC的框架(一)

手写一个SpringMVC的框架 1.理解为什么要写这样一个框架 SpringMVC 实际上跟Servlet是一样&#xff0c;都是 Controller的一个解决方案&#xff0c;也就是说我们手写这个框架的目的就是为了替换原来的 Servlet 注意&#xff1a; spring不是框架&#xff0c;springMVC才是框架&…