前言
按理说在准备IE的考试,应该看IE相关的书籍,但目前市面上IE好的书籍都是全英文的,中文当中关于IE的书箱真的少之又少,翻译的那种句子都不通顺,真的是看不下去,华为官方也没有出版,华为官方参与出版的、写的比较好的也只有《HCNP路由交换学习指南》,这本书写的非常的诚恳平实,有一种厚重的感觉。中文里面确实有一本泰克教育培训机构出版的《HCIE路由交换指南》,但里面的内容像是没有灵魂一般,全都是知识点的罗列,而且很多东西也没有展开来说,看上来就像是老师上课时的教案或是学生的流水账笔记那般,枯燥又无聊。
那怎么不看IE的视频学习呢?视频其实也会看的,但是看视频并不是为了学习什么新的知识,仅仅是为了印证自己在书中学到的东西,这个时代,想学什么就学什么,我认为老师已经不再是知识的传播者,老师对于我的作用,不再是传递知识,而是我想听听老师对某个知识点有什么怎么样的理解,这样的见解,我想对于一个终身学习者是相当重要的,并不是老师讲什么我学什么,而是当我对某件事物有了一定的了解之后,告诉老师:我想听听您的看法!”,这是对老师的尊重,也是对自己的尊重。
工作两年了,从事也是网络相关、LINUX运维相关的工作,也渐渐发现了一些问题,比如我在工作当中经常使用的、非常好用的技能点,很多书里面竟然没有讲解,比如帮助客户排除网络故障的时候,面对一个不熟悉的网络环境,首先一点肯定是把客户的网络环境搞清楚,像是查看邻居这样的命令非常常用,但是书中要么是没有对这种命令的讲解,要么就是一句话带过。
<JN-DW-HJ>display lldp neighbor-information list
当你踏踏实实的学习时,在遇到疑问的时候去请教老师或同学,有时候会惊讶的发现,有些老师和同学根本也不会,有的干脆是胡说八道,这其实不是什么怪事,谁能全知全能呢?但怪就怪在,在我看来,我的这种疑问是任何一个学习某个知识点的人都会遇到的,为什么他们没有遇到过呢?为什么不考虑这件事呢?真正可怕的不是自己不知道,而不是不知道自己不知道!
MAC表项
这里面主要有两个重要的知识点,就是为什么要绑定静态MAC和为什么要限制MAC地址学习的数量。
- MAC地址表老化时间是多少?
300s
- mac地址表为什么要老化呢?
动态mac地址表是存储在内存当中的,内存是易失性存储,空间都是有限的,而且交换机的寻址能力也是有限的。
- 为什么要配置静态表项呢?
一台两层交换机,终端可以插入到任何一个接口上,这本来没什么问题,但是如何有人发起arp欺骗呢,比如A通过mac伪装成B,那这样去往B的流量都会跑到A上,有什么办法可以规避吗?这时候就可以通过在B所接入的接口上绑定B的MAC地址 ,这样的话,就相当于告诉交换机,此MAC地址只能从该接口当中进来,从别的接口进来就丢弃,这就是MAC地址静态绑定的意义。
- 为什么绑定静态MAC地址可以永久保存?
是因为静态MAC地址是会写入到硬盘当中的
- 为什么限制mac地址学习的数量呢?(说出两个原因)
这主要是用来防止有人私接交换机的,假如说对一个接口只限制它学习一个MAC地址 ,那么在这个MAC地址没有老化之前,源MAC与此MAC地址不匹配的报文就会被丢弃。
另外还有一点原因,那如果有人发起MAC地址泛洪攻击,交换机内存会被打满,会导致因为无法学习MAC地址导致交换机无法正常工作。
- 当违反了数量限制之后,会采取哪两种动作?默认是哪一种?
默认会被丢弃,此外还有一种动作是转发,那这里面的转发和正常的转发有什么不同呢?此处的转发是不学习MAC地址的。
接口安全
- 基本的端口安全功能与限制MAC地址数量有什么区别?两点
看着接口安全有点奇怪,接口安全本身具有限制MAC地址学习数量的作用,如果超出限制可以规定动作对其进行惩罚,咦!这不就和上一章的限制MAC地址学习数量一模一样嘛?有什么区别嘛?区别就是通过MAC地址表项做的限制MAC地址数量当中学习到的MAC地址300秒之后是会老化的,而通过端口安全学到的MAC是不会轻易老化的,会一直保持到设备重启的时候。
静态表项只有两个处理动作:丢弃和转发,而端口安全对有三个处理动作:
- shutdown,关闭接口并告警
- protect:丢弃不报警
- restrict:丢弃并报警(默认)
设备重启之后,如果还想让安全的MAC继续存在呢?除了开启安全端口之后,还要加上sticky功能就可以了。
DHCP 安全
- 说一下DHCP的四个交互报文?哪些是广播,哪些是单播?
discover、offer、request、ack,其中discover和request是广播,其它都是单播;
- dhcp会不会分配地址会不冲突?
不会,因为在分配之前会地地址冲突检测的。
- dhcp server从什么时候就已经准备好分配的IP地址了?
其实就是office当中就已经准备好地址了。
-
描述一个DHCP的完整的交互过程
PC通过广播发送discover包,dhcp从地址池当中选取没人使用的IP放在offer报文里面,PC会选取是先达到它的offer报文使用,PC通过request广播通告所有的dhcp server自己的选择,DHCP SERVER会通过ACK报文告知PC可以使用此地址 ,至此,这个地址才会正式生效。
-
DHCP snoping的原理
此功能会将接口分为两种类型,信任接口和非信任接口,信任接口连接dhcp server允许dhcp的任意报文通过,而非信任接口不允许dhcp offer报文通过。
MAC地址漂移
四种方法概述
- 什么情况会被判定为MAC地址漂移?
少数几次的漂移不能完全判定是MAC地址漂移,比如运行了VRRP,只有在短时间内发生了大量地址漂移的现象才能被判定是MAC地址漂移。
- 哪些情况会引起MAC地址漂移?
环路或攻击行为
3 .mac地址漂移会造成什么影响?
假如交换成环之后,MAC地址不断漂移很有可能会造成广播风暴。
5 . 描述一下MAC地址优先级是如何防止环路的?
三个招数:
- 一个是通过将某个接口的优先级调高,低的不允许覆盖高的;
- 优先级就是通过将一个接口的MAC地址学习优先级变高,这个接口以后比如学习了一个MAC地址AA,那后续如果别的接口也学到这个MAC地址,就不记录,也不会生效,无法覆盖之前学习到的
- 另一个招数是不允许相同等级的接口MAC地址相互覆盖。
- 默认的接口MAC地址 学习优先级是多少?0
- 那问题来了,不允许别的接口低优先级覆盖高优先级的,那这个生效范围是vlan?整个交换机?整个交换机,全局配置
- 最后一个基于vlan的mac地址漂移检测+动作(默认仅报警、阻塞mac、阻塞接口)
- 配置全局MAC地址漂移检测
#################################################################
基于vlan的mac地址漂移
- 基于vlan的mac地址漂移功能默认有没有开启?
没有
- 解释以下这条命令是什么意思?
vlan 10
loop-detect eth-loop block-time 10 retry-times 2
意思就是如果在vlan10当中发现MAC地址漂移,会将接口 阻塞10S,10S之后放开,放开之后的20S内如果没有继续发现MAC地址漂移那就不管此接口了,如果20S之内又发现了此接口的漂移现象,那就再阻塞10S,10S之后放开,放开之后的20S内如果没有继续发现MAC地址漂移那就不管此接口了,如果20S之内又发现了此接口的漂移现象,就彻底的down掉,之后之能手动up起来。
- 直接阻塞接口是否妥当?有没有更好的办法?
直接阻塞接口影响范围太大,我们可以设置仅阻塞漂移的MAC地址,不阻塞接口。
- 仅阻塞漂移的MAC地址有什么弊端?
所有使用此MAC地址的设备无论是好的还是坏的,都无法使用了。
基于全局的MAC地址漂移
- 基于全局的MAC地址漂移,默认有没有开启?
开启了
- 基于全局的MAC地址漂移与基于VLAN的MAC地址漂移检测能同时配置吗?并说明为什么?
可以同时配置,但建议只配置一种,全局在一定程序上包括了基于VLAN的,同时配置比较浪费资源。
- mac地址漂移检查的VLAN白名单是干什么的?
比如说一个服务器两个网卡做了负载分担,用同一个虚拟IP和虚拟MAC,这样的话,交换机的两个接口会发生MAC地址漂移,但这种情况是正常的,我们可以把这个MAC地址通过白名单排除在外。
其实没必要这么麻烦,我们也在交接机上进行聚合就好了。
- 基于全局的MAC地址漂移触发器和处理动作是什么?
默认是middle(中等10次以上认为漂移),low是50次,high是3次。
默认的动作就是报警,然后啥也不干,触发动作可以设置为error-down,还可以将后发生漂移的端口移动出VLAN。