CCNA網(wǎng)絡(luò)工程師面試題（四）

什么是靜態(tài)路由？什么是動態(tài)路由？各自的特點是什么？

靜態(tài)路由是由管理員在路由器中手動配置的固定路由，路由明確地指定了包到達目的地必須經(jīng)過的路徑，除非網(wǎng)絡(luò)管理員干預(yù)，否則靜態(tài)路由不會發(fā)生變化。靜態(tài)路由不能對網(wǎng)絡(luò)的改變作出反應(yīng)，所以一般說靜態(tài)路由用于網(wǎng)絡(luò)規(guī)模不大、拓撲結(jié)構(gòu)相對固定的網(wǎng)絡(luò)。

靜態(tài)路由特點

1、它允許對路由的行為進行精確的控制；

2、減少了網(wǎng)絡(luò)流量；

3、是單向的；

4、配置簡單。

動態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。是基于某種路由協(xié)議來實現(xiàn)的。常見的路由協(xié)議類型有：距離向量路由協(xié)議（如RIP）和鏈路狀態(tài)路由協(xié)議（如OSPF）。路由協(xié)議定義了路由器在與其它路由器通信時的一些規(guī)則。動態(tài)路由協(xié)議一般都有路由算法。其路由選擇算法的必要步驟

1、向其它路由器傳遞路由信息；

2、接收其它路由器的路由信息；

3、根據(jù)收到的路由信息計算出到每個目的網(wǎng)絡(luò)的最優(yōu)路徑，并由此生成路由選擇表；

4、根據(jù)網(wǎng)絡(luò)拓撲的變化及時的做出反應(yīng)，調(diào)整路由生成新的路由選擇表，同時把拓撲變化以路由信息的形式向其它路由器宣告。

動態(tài)路由適用于網(wǎng)絡(luò)規(guī)模大、拓撲復雜的網(wǎng)絡(luò)。

動態(tài)路由特點：

1、無需管理員手工維護，減輕了管理員的工作負擔。

2、占用了網(wǎng)絡(luò)帶寬。

3、在路由器上運行路由協(xié)議，使路由器可以自動根據(jù)網(wǎng)絡(luò)拓樸結(jié)構(gòu)的變化調(diào)整路由條目；

CCNA網(wǎng)絡(luò)工程師面試題（五）

VLAN和VPN有什么區(qū)別？分別實現(xiàn)在OSI的第幾層？

VPN是一種三層封裝加密技術(shù)，VLAN則是一種第二層的標志技術(shù)（盡管ISL采用封裝），盡管用戶視圖有些相象，但他們不應(yīng)該是同一層次概念。

VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。

VLAN在交換機上的實現(xiàn)方法，可以大致劃分為2大類：基基于端口劃分的靜態(tài)VLAN；2、基于MAC地址|IP等劃分的動態(tài)VLAN。當前主要是靜態(tài)VLAN的實現(xiàn)。

跨交換機VLAN通訊通過在TRUNK鏈路上采用Dot1Q或ISL封裝（標識）技術(shù)。

VPN（虛擬專用網(wǎng)）被定義為通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

VPN使用三個方面的技術(shù)保證了通信的安全性：隧道協(xié)議、數(shù)據(jù)加密和身份驗證。

■VPN使用兩種隧道協(xié)議：點到點隧道協(xié)議（PPTP）和第二層隧道協(xié)議（L2TP）。

■VPN采用何種加密技術(shù)依賴于VPN服務(wù)器的類型，因此可以分為兩種情況。

對于PPTP服務(wù)器，將采用MPPE加密技術(shù) MPPE可以支持40位密鑰的標準加密方案和128位密鑰的增強加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份驗證被協(xié)商之后，數(shù)據(jù)才由 MPPE 進行加密，MPPE需要這些類型的身份驗證生成的公用客戶和服務(wù)器密鑰。

對于L2TP服務(wù)器，將使用IPSec機制對數(shù)據(jù)進行加密 IPSec是基于密碼學的保護服務(wù)和安全協(xié)議的套件。IPSec 對使用 L2TP 協(xié)議的 VPN 連接提供機器級身份驗證和數(shù)據(jù)加密。在保護密碼和數(shù)據(jù)的 L2TP 連接建立之前，IPSec 在計算機及其遠程VPN服務(wù)器之間進行協(xié)商。IPSec可用的加密包括 56 位密鑰的數(shù)據(jù)加密標準DES和 56 位密鑰的三倍 DES (3DES)。

■VPN的身份驗證方法

前面已經(jīng)提到VPN的身份驗證采用PPP的身份驗證方法，下面介紹一下VPN進行身份驗證的幾種方法。

CHAP CHAP通過使用MD5（一種工業(yè)標準的散列方案）來協(xié)商一種加密身份驗證的安全形式。CHAP 在響應(yīng)時使用質(zhì)詢-響應(yīng)機制和單向 MD5 散列。用這種方法，可以向服務(wù)器證明客戶機知道密碼，但不必實際地將密碼發(fā)送到網(wǎng)絡(luò)上。

MS-CHAP 同CHAP相似，微軟開發(fā)MS-CHAP 是為了對遠程 Windows 工作站進行身份驗證，它在響應(yīng)時使用質(zhì)詢-響應(yīng)機制和單向加密。而且 MS-CHAP 不要求使用原文或可逆加密密碼。

MS-CHAP v2 MS-CHAP v2是微軟開發(fā)的第二版的質(zhì)詢握手身份驗證協(xié)議，它提供了相互身份驗證和更強大的初始數(shù)據(jù)密鑰，而且發(fā)送和接收分別使用不同的密鑰。如果將VPN連接配置為用 MS-CHAP v2 作為唯一的身份驗證方法，那么客戶端和服務(wù)器端都要證明其身份，如果所連接的服務(wù)器不提供對自己身份的驗證，則連接將被斷開。

EAP EAP 的開發(fā)是為了適應(yīng)對使用其他安全設(shè)備的遠程訪問用戶進行身份驗證的日益增長的需求。通過使用 EAP，可以增加對許多身份驗證方案的支持，其中包括令牌卡、一次性密碼、使用智能卡的公鑰身份驗證、證書及其他身份驗證。對于VPN來說，使用EAP可以防止暴力或詞典攻擊及密碼猜測，提供比其他身份驗證方法（例如 CHAP）更高的安全性。

在Windows系統(tǒng)中，對于采用智能卡進行身份驗證，將采用EAP驗證方法；對于通過密碼進行身份驗證，將采用CHAP、MS-CHAP或MS-CHAP v2驗證方法。

CCNA網(wǎng)絡(luò)工程師面試題（六）

關(guān)于VPN

一、VPN（Virtual Private Network）：虛擬專用網(wǎng)絡(luò)，是一門網(wǎng)絡(luò)新技術(shù)，為我們提供了一種通過公用網(wǎng)絡(luò)安全地對企業(yè)內(nèi)部專用網(wǎng)絡(luò)進行遠程訪問的連接方式。

二、VPN使用三個方面的技術(shù)保證了通信的安全性：隧道協(xié)議、身份驗證和數(shù)據(jù)加密。

三、1.隧道技術(shù)是VPN的基本技術(shù)，類似于點對點連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標準，由IETF融合PPTP與L2F而形成。 2、第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec（IP Security）是由一組RFC文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。

四、VPN的身份驗證方法：1、PPP的身份驗證方法；2、CHAP：CHAP通過使用MD5（一種工業(yè)標準的散列方案）來協(xié)商一種加密身份驗證的安全形式。CHAP在響應(yīng)時使用質(zhì)詢-響應(yīng)機制和單向MD5散列。用這種方法，可以向服務(wù)器證明客戶機知道密碼，但不必實際地將密碼發(fā)送到網(wǎng)絡(luò)上。3、MS- CHAP：同CHAP相似，微軟開發(fā)MS-CHAP是為了對遠程Windows工作站進行身份驗證，它在響應(yīng)時使用質(zhì)詢-響應(yīng)機制和單向加密。而且MS- CHAP不要求使用原文或可逆加密密碼。4、MS-CHAP v2：MS-CHAP v2是微軟開發(fā)的第二版的質(zhì)詢握手身份驗證協(xié)議，它提供了相互身份驗證和更強大的初始數(shù)據(jù)密鑰，而且發(fā)送和接收分別使用不同的密鑰。如果將VPN連接配置為用MS-CHAP v2作為唯一的身份驗證方法，那么客戶端和服務(wù)器端都要證明其身份，如果所連接的服務(wù)器不提供對自己身份的驗證，則連接將被斷開。5、EAP：EAP的開發(fā)是為了適應(yīng)對使用其他安全設(shè)備的遠程訪問用戶進行身份驗證的日益增長的需求。通過使用EAP，可以增加對許多身份驗證方案的支持，其中包括令牌卡、一次性密碼、使用智能卡的公鑰身份驗證、證書及其他身份驗證。對于VPN來說，使用EAP可以防止暴力或詞典攻擊及密碼猜測，提供比其他身份驗證方法（例如 CHAP）更高的安全性。 6、在Windows系統(tǒng)中，對于采用智能卡進行身份驗證，將采用EAP驗證方法；對于通過密碼進行身份驗證，將采用CHAP、MS-CHAP或MS- CHAP v2驗證方法。

五、VPN的加密技術(shù)。VPN采用何種加密技術(shù)依賴于VPN服務(wù)器的類型，因此可以分為兩種情況。1、

對于PPTP服務(wù)器，將采用MPPE加密技術(shù)MPPE可以支持40位密鑰的標準加密方案和128位密鑰的增強加密方案。只有在MS-CHAP、MS- CHAP v2或EAP/TLS身份驗證被協(xié)商之后，數(shù)據(jù)才由MPPE進行加密，MPPE需要這些類型的身份驗證生成的公用客戶和服務(wù)器密鑰。2、對于L2TP服務(wù)器，將使用IPSec機制對數(shù)據(jù)進行加密IPSec是基于密碼學的保護服務(wù)和安全協(xié)議的套件。IPSec對使用L2TP協(xié)議的VPN連接提供機器級身份驗證和數(shù)據(jù)加密。在保護密碼和數(shù)據(jù)的L2TP連接建立之前，IPSec在計算機及其遠程VPN服務(wù)器之間進行協(xié)商。IPSec可用的加密包括56位密鑰的數(shù)據(jù)加密標準DES和56位密鑰的三倍DES（3DES）

六、VPN有三種解決方案，用戶可以根據(jù)自己的情況進行選擇。這三種解決方案分別是：遠程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴展虛擬網(wǎng)（ExtranetVPN），這三種類型的VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。

【編輯推薦】

1. 淺析思科證書的價值
2. 思科認證入門必讀
3. 為什么要學習Cisco
4. 共享思科認證CCNP學習方法
5. 學習CCNA和CCNP與提高英語水平