第1页 / 共20页
第2页 / 共20页
第3页 / 共20页
第4页 / 共20页
第5页 / 共20页
第6页 / 共20页
第7页 / 共20页
第8页 / 共20页
华为HCIE RS面试新题+完整答案.pdf
美河学习在线 www.eimhe.com
面试新题
1. RIP 有哪些计时器,分别有什么作用?RIP 的防环机制。
答案:
更新定时器(Update timer):它定时触发更新报文的发送,更新周期默认为 30 秒。
老化定时器(Age timer):RIP 设备如果在老化时间内没有收到邻居发来的路由更新报文,
则认为该路由不可达。
垃圾收集定时器:如果在垃圾收集时间内不可达路由没有收到来自同一邻居的更新,则
该路由将被从路由表中彻底删除。
抑制定时器(Suppress timer):当 RIP 设备收到对端的路由更新,其 cost 为 16,对应路
由进入抑制状态,并启动抑制定时器。为了防止路由震荡,在抑制定时器超时之前,即使再
收到对端路由 cost 小于 16 的更新,也不接受。当抑制定时器超时后,就重新允许接受对端
发送的路由更新报文。
定时器之间的关系:
RIP 的更新信息发布是由 Update 定时器控制的,默认为每 30 秒发送一次。每一条路由
表项对应两个定时器:老化定时器和垃圾收集定时器。当学到一条路由并添加到路由表中时,
老化定时器启动。如果在默认 180 秒后没有收到邻居发来的更新报文,则把该路由的度量值
置为 16(表示路由不可达),并启动垃圾收集定时器,如果在默认 120 秒内仍然没有收到更
新报文,垃圾收集定时器超时后在路由中删除该表项。
【扩展问题 1】RIP 的防环机制:
答案:
水平分割:水平分割(Split Horizon)指的是 RIP 从某个接口学到的路由,不会从该接口
再发回给邻居设备。这样不但减少了带宽消耗,还可以防止路由环路。
如图 1 所示,RouterB 目的地址是 10.0.0.0 的路由信息通告给 RouterA 后,RouterA 不会
再把到网络 10.0.0.0 的路由发回给 RouterB。
毒性逆转:毒性逆转(Poison Reverse)指的是 RIP 从某个接口学到路由后,将该路由的
开销设置为 16(即指明该路由不可达),并从原接口发回邻居设备。利用这种方式,可以清
除对方路由表中的无用路由。
RIP 毒性逆转可以防止产生路由环路。
如图 1 所示,在不配置水平分割的情况下,RouterB 会向 RouterA 发送从 RouterA 学到
的路由,并且 RouterA 到网络 10.0.0.0 的路由开销值为 1。如果 RouterA 到网络 10.0.0.0 的路
由变成不可达,同时 RouterB 没有收到 RouterA 的更新报文,而继续向 RouterA 发送到达网
络 10.0.0.0 路由信息,则会导致路由环路。
如果 RouterA 在接收到从 RouterB 发来的路由后,向 RouterB 发送一个这条路由不可达
美河学习在线 www.eimhe.com
的消息,这样 RouterB 就不会再从 RouterA 学到这条可达路由,因此就可以避免上述环路的
发生。
如果毒性逆转和水平分割都配置了,简单的水平分割行为(从某接口学到的路由再从这
个接口发布时将被抑制)会被毒性逆转行为代替。
触发更新:
触发更新的原理是,路由信息发生变化时,立即向邻居设备发送触发更新报文,通知变
化的路由信息。
触发更新缩短了收敛时间,触发更新可以缩短网络收敛时间,在路由表项变化时立即向
其他设备广播该信息,而不必等待定时更新。
如图 1 所示,网络 11.4.0.0 不可达时,RouterC 最先得到这一信息。通常,更新路由信
息会定时发送给相邻 Router(RIP 协议每隔 30 秒发送一次)。但如果在 RouterC 等待更新周
期到来的时候,RouterB 的更新报文传到了 RouterC,RouterC 就会学到 RouterB 的去往网络
11.4.0.0 的错误路由。这样 RouterB 和 RouterC 上去往网络 11.4.0.0 的路由都指向对方从而形
成路由环路。如果 RouterC 发现网络故障之后,不再等待更新周期到来,就立即发送路由更
新信息给路由器 B,使路由器 B 的路由表及时更新,则可以避免产生上述问题。
触发更新还存在另外一种方式:当下一跳不可用之后(如因为链路故障)需要及时通告
给其它设备,此时要把该路由的 cost 设置为 16 然后发布出去,此更新也叫做路由毒杀。
2. DHCP 报文我们都知道有 5 中报文,能否具体描述一下 DHCP 服务器什么时候发送 DHCP
ACK,什么时候发送 DHCP NAK?你能否举出 1-2 个场景来描述 DHCP NAK 报文?
答案:
DHCP 报文分为 8 种类型,DHCP 服务器和客户端之间通过这 8 种类型的报文进行通信。
DHCP DISCOVER:这是 DHCP 客户端首次登录网络时进行 DHCP 过程的第一个报文,用
来寻找 DHCP 服务器。
DHCP OFFER:DHCP 服务器用来响应 DHCP DISCOVER 报文,此报文携带了各种配置信息。
DHCP REQUEST:此报文用于以下三种用途。
客户端初始化后,发送广播的 DHCP REQUEST 报文来回应服务器的 DHCP OFFER 报文。
客户端重启初始化后,发送广播的 DHCP REQUEST 报文来确认先前被分配的 IP 地址等配
置信息。
当客户端已经和某个 IP 地址绑定后,发送 DHCP REQUEST 报文来延长 IP 地址的租期。
DHCP ACK:服务器对客户端的 DHCP REQUEST 报文的确认响应报文,客户端收到此报文
后,才真正获得了 IP 地址和相关的配置信息。
美河学习在线 www.eimhe.com
DHCP NAK:服务器对客户端的 DHCP REQUEST 报文的拒绝响应报文,比如服务器对客户
端分配的 IP 地址已超过使用租借期限(服务器没有找到相应的租约记录)或者由于某些原
因无法正常分配 IP 地址,则发送 DHCP NAK 报文作为应答(客户端移到了另一个新的网络)。
通知 DHCP 客户端无法分配合适 IP 地址。DHCP 客户端需要重新发送 DHCP DISCOVERY 报文
来申请新的 IP 地址。
DHCP DECLINE:当客户端发现服务器分配给它的 IP 地址发生冲突时会通过发送此报文
来通知服务器,并且会重新向服务器申请地址。
DHCP RELEASE:客户端可通过发送此报文主动释放服务器分配给它的 IP 地址,当服务
器收到此报文后,可将这个 IP 地址分配给其它的客户端。
DHCP INFORM:客户端已经获得了 IP 地址,发送此报文的目的是为了从服务器获得其
他的一些网络配置信息,比如网关地址、DNS 服务器地址等。
以上 8 种类型报文的格式相同,只是某些字段的取值不同。DHCP 报文格式基于 BOOTP
的报文格式。
【扩展问题 1】DHCP Server 主动发送的 DHCP OFFER,ACK 和 NAK 报文,里面主要包含
什么信息和参数,是广播还是单播发送?为什么这样设计?(也就是在问广播和单播你觉
得哪种好?好在哪里?为什么这样设计?华为是怎么设计的?)最后徐一鸣要求我举出一
个场景来阐述 DHCP OFFER,ACK 和 NAK 设计成广播和单播有什么差异?
答案:
DHCP OFFER 报文和 DHCP ACK 报文里面包含的内容除了 DHCP 消息类型不同外,其他的
内容相同。包含为客户端分配的 IP 地址、客户端的 MAC 地址、消息类型、服务器 ID、子网
掩码、租期、域名、网关、DNS 服务器等内容。以单播方式发送。OFFER 消息和 ACK 消息是
发送给客户端的,提供以及确认为客户端分配的 IP 地址。此时服务器可以认为客户端的 IP
地址为自己分配给客户的 IP 地址,二层封装为单播。
DHCP NAK 报文里面包含 DHCP 消息类型为 DHCP NAK;客户端的 MAC 地址等内容。以
广播发送。NAK 消息是发送给客户端的,拒绝客户端请求的 IP 地址。此时服务器不知道客
户端的 IP 地址,用 255.255.255.255 代替,二层封装为广播地址。
DHCP OFFER 报文和 DHCP ACK 报文是发送给客户端的,如果设计成广播,会让同一个广
播域不需要收到该报文的设备处理这些报文。
DHCP NAK 报文是发送给客户端的,但是是拒绝客户端请求的 IP 地址。如果此时设计成
单播,在 IP 封装的目的 IP 地址写那个 IP 地址都不合适。
3. SNMPv3 基于用户定义了基本模型,用到的三个分类是哪些?v1 v2 v3 的区别。
答案:
SNMPv3 基于用户定义了基本模型。
在 SNMPv3 中引入了下列三个安全级别:
noAuthNoPriv:不需要认证,不提供隐私性(加密)。无认证、无加密。
authNoPriv:基于 HMAC-MD5 或 HMAC-SHA 的认证,不提供加密。有认证、无加密。
authPriv:除了认证之外,还将 CBC-DES 加密算法用作隐私性协议。有认证、有加
密。
目前 SNMP 的发展主要包括三个版本:SNMPv1、SNMPv2c 以及最新的 SNMPv3。
从市场应用来看,目前大多数厂商普遍支持的版本是 SNMPv1 和 v2c,并未广泛支持
SNMPv3。但从安全鉴别机制来看,二者表现较差。而 SNMPv3 安全性和管理上有很大
的提高。
SNMPv1 规定了 5 种协议数据单元 PDU(也就是 SNMP 报文),用来在管理进程和
美河学习在线 www.eimhe.com
代理之间的交换。
get-request 操作:从代理进程中提取一个或多个参数值。
get-next-request 操作:从代理进程中按照字典序提取下一个参数值。
set-request 操作:设置代理进程的一个或多个参数值。
get-response 操作:返回的一个或多个参数值。这个操作是由代理进程发出的,它
是前面三种操作的响应操作。
trap 操作:代理进程主动发出的报文,通知管理进程有某些事情发生。
前面的 3 种操作是由管理进程向代理进程发出的,后面的 2 个操作是代理进程发给
管理进程的,为了简化起见,前面 3 个操作今后叫做 get、get-next 和 set 操作。
SNMPv2c 对 SNMPv1 的主要增强可以分为以下几类:
SMI(管理信息结构):SNMPv2c 支持 SMIv2,对比只支持 SMIv1 的 SNMPv1,管理
站与管理站之间通信能力得到加强。
报文类型:对比 SNMPv1,SNMPv2c 新增两种报文类型。
get-bulk 报文:基于 get-next 实现。通过给 get-bulk 操作,实现了网管端对被管理
设备的信息群查询,相当于连续执行多次 get-next 操作。在网管侧可以设置 get-bulk 的
报文循环次数(相当于主机侧在一次报文交互时,执行 get-next 操作的次数)。
informRequset 报文:通过 informRequest 操作,为告警提供保证机制。设备端在发
送 informRequest 消息后,网管端只有发送确认报文给设备端,设备端才能够确认网管
端已经接收到告警信息,否则会重新传送此告警消息,直到得到网管端的确认消息或发
送的次数到达最大重传次数。
SNMPv3 的实现原理和 SNMPv1/SNMPv2c 基本一致,唯一的区别是 SNMPv3 增加了
身份验证和加密处理。
SNMPv1 和 SNMPv2c 只使用一种安全策略,团体名。团体名和密码类似。Agent 能
够被设置回答那些团体名能够被接受的 Manager 的查询。很容易让人截取得到团体名。
SNMPv3 提供三重的安全机制。最高层是认证和加密,中间层提供认证而没有加密,
最底层没有任何的认证机制和加密。
SNMPV3 定义了基于用户的安全模型, 引入了哪三个安全级别?
noAuthNoPriv:不需要认证,不提供隐私性(加密)。
authNoPriv:基于 HMAC-MD5 或 HMAC-SHA 的认证,不提供加密。
authPriv:除了认证之外,还将 CBC-DES 加密算法用作隐私性协议。
SNMPv3 比 V1 和 V2 有哪些增强?
主要增加 SNMP 在安全性和远端配置方面的强化
SNMP 第三版提供重要的安全性功能:
信息完整性:保证封包在传送中没有被篡改。
美河学习在线 www.eimhe.com
认证:检验信息来自正确的来源。
封包加密:避免被未授权的来源窥探。
在 SNMPv1 中指定五种核心 PDU:
GET REQUEST
GET NEXT REQUEST
GET RESPONSE
SET REQUEST
TRAP
SNMPV2 中指定了 7 种核心 PDU,
GET REQUEST
GET NEXT REQUEST
GET RESPONSE
SET REQUEST
TRAP
GETBULK REQUEST
INFORM
SNMPv3 比 V1 和 V2 有哪些增强?
主要增加 SNMP 在安全性和远端配置方面的强化
SNMP 第三版提供重要的安全性功能:
信息完整性:保证封包在传送中没有被篡改。
认证:检验信息来自正确的来源。
封包加密:避免被未授权的来源窥探。
4. 虚拟防火墙的特点?
答案:
虚拟防火墙是一种虚拟化的防火墙,其各个虚拟防火墙之间的配置、路由表、NAT 表等
相互隔离,实现的是更加灵活的管理方案,并且各个虚拟防火墙之间是隔离的,其与使
用多个物理防火墙能实现相同的功能,但是从成本以及维护上,减少了投资等。
5. NQA 针对 HTTP 的处理机制。对 NQA 不了解,考官给我换了一道题。BFD 的工作机制,
和哪些协议可以联动。
运营商给了你 10M 带宽,你怎么测试?
答案:
HTTP 测试主要是测试是否可以与指定的 HTTP 服务器建立连接,从而判断该设备是否提
供了 HTTP 服务以及建立连接的时间。 HTTP 测试支持 GET 和 POST 操作,即向指定地
址的 HTTP 服务器发送 GET 请求或者 POST 请求,在接收到回应信息以后,计算整个测
试的时间。整个过程只是和 HTTP 服务器建立连接,如果建立连接成功即认为成功。
HTTP 测试的结果和历史记录将记录在测试组中,可以通过命令行来查看探测结果和历
史记录。
可以使用第三方软件测试运营商提供的带宽。
6. 交换机接口类型。Hybrid 什么时候使用,什么时候打 tag,什么时候不打 tag。Qinq 接
口。
答案:
美河学习在线 www.eimhe.com
在 802.1Q 中定义 VLAN 帧后,设备的有些接口可以识别 VLAN 帧,有些接口不能识别 VLAN
帧。根据对 VLAN 帧的识别情况,将接口分为 4 类:
Access 接口:
access 接口是交换机上用来连接用户主机的接口,它只能连接接入链路。仅仅允许唯一
的 VLAN ID 通过本接口,这个 VLAN ID 与接口的缺省 VLAN ID 相同,access 接口对发往对
端设备的以太网帧永远是不带标签的帧。
Trunk 接口:
Trunk 接口是交换机上用来和其他交换机连接的接口,它只能连接干道链路,允许多个
VLAN 的帧(带 tag 标记)通过。
Hybrid 接口:
Hybrid 接口是交换机上既可以连接用户主机,又可以连接其他交换机的接口。Hybrid 接
口既可以连接接入链路,也可以连接干道链路。Hybrid 接口允许多个 VLAN 的帧通过,
并可以在出接口方向将某些 VLAN 帧的 tag 剥掉。
QinQ 接口:
QinQ(802.1Q-in-802.1Q)接口是使用 QinQ 协议的接口。QinQ 接口可以给帧加上双重
tag,即在原来 tag 的基础上,给帧加上一个新的 tag,从而可以支持多达 4094*4094 个
VLAN(不同的产品支持不同的规格),满足网络对 VLAN 数量的需求。
QinQ 帧的格式如下图所示。外层的标签通常被称作公网 tag,用来存放公网的 VLAN ID。
内层标签通常被称作私网 tag,用来存放私网的 VLAN ID。
7. 帧中继二层内容(LMI?)
答案:
LMI 协议有哪些标准?用户端设备是如何知道 PVC 状态信息的?
ITU-T 的 Q.933 Annex A,ANSI 的 T1.617 Annex D 和非标准兼容协议;
DTE 端定时发送状态查询消息(Status Enquiry)。DCE 端收到询问消息后,用状态消息
(Status)应答状态询问消息(Status Enquiry)。DTE 解析收到的应答消息(Status),以
了解链路状态和 PVC 状态。当两端设备 LMI 协商报文收发正确的情况下,链路协议状态
变为 Up 状态,PVC 状态变为 Active 状态。帧中继 LMI 协商通过。
帧中继环境下逆向地址解析协议(Inverse ARP)是怎么工作的?
以上图为例说明帧中继环境下逆向地址解析协议(Inverse ARP)的工作过程。当帧中继
LMI 协商通过,PVC 状态变为 Active 后,PVC 开始 InARP 协商过程。InARP 协商过程如下:
a) 如果本地接口上已配置了协议地址,那么设备就在该虚电路上发送 Inverse ARP 请
求报文给对端设备。该请求报文包含有本地的协议地址。
b) 对端设备收到该请求后,可以获得本端设备的协议地址,从而生成地址映射,并发
送 Inverse ARP 响应报文进行响应。
美河学习在线 www.eimhe.com
8.
RouterA 端 生 成 地 址 映 射 ( 10.1.1.2<--->100 ), RouterB 端 生 成 地 址 映 射
c) 本端收到 Inverse ARP 响应报文后,解析报文中的对端地址,也生成地址映射。
d)
(10.1.1.1<--->100)。
经过 LMI 和 InARP 协商后,帧中继接口的协议状态变为 Up 状态,并且生成了对端 IP 地
址映射,这样 PVC 上就可以承载 IP 报文了
IPsec IKE v1 和 v2 的区别。(IKEv2 的产生----IKEv1 相比有啥变化?)
答案:
IKEv2 和 IKEv1 相比有下面好处:
兼容性:IKEv2 兼容性更好;
协商机制:IKEv2 的协商更加灵活,可以简化协商过程。
身份认证:IKEv2 的身份认证更加灵活,可以进行单向认证,即 A 到 B 可能是预共享密
钥,B 到 A 可能是证书认证方式。
9. RIPv2 比 RIPv1 有哪些优势。
答案:
支持 VLSM;
支持认证;
携带下一跳;
携带 tag 值;
组播更新;
RIPv2 报文携带下一跳的优化场景:
10. VRRP v1 和 v2 比较。
答案:
目前,VRRP 协议包括两个版本:VRRPv2 和 VRRPv3。
VRRPv2 仅适用于 IPv4 网络,VRRPv3 适用于 IPv4 和 IPv6 两种网络。
VRRPv2 和 VRRPv3 的主要区别为:
1> 支持的网络类型不同。VRRPv3 适用于 IPv4 和 IPv6 两种网络;而 VRRPv2 仅适用于 IPv4
网络。
2> 认证功能不同。VRRPv3 不支持认证功能,而 VRRPv2 支持认证功能。
3> 发送通告报文的时间间隔的单位不同。VRRPv3 支持的是厘秒级,而 VRRPv2 支持的
是秒级。
11. MPLS 设备角色、作用。PE 设备控制层面和数据层面的作用。分发标签分类。RD 和 RT
美河学习在线 www.eimhe.com
的作用。
答案:
可以进行 MPLS 标签交换和报文转发的网络设备称为标签交换路由器 LSR(label switching
router);由 LSR 构成的网络区域称为 MPLS 域(MPLS Domain)。
位于 MPLS 域边缘、连接其他网络的 LSR 称为边缘路由器 LER(Label Edge Router),区域
内部的 LSR 称为核心 LSR(Core LSR)。
LER 负责从 IP 网络接收 IP 报文并给报文打上标签,然后送到 LSR,反之,也负责从 LSR
接收带有标签的报文并去掉标签然后转发到 IP 网络。
LSR 只负责按照标签进行转发。
MPLS 的体系结构由控制平面(Control Plane)和转发平面(Forwarding Plane)组成。
MPLS 体系结构示意图如下:
控制平面是无连接的,主要功能是负责产生和维护路由信息以及标签信息。
控制平面中 IP 路由协议(IP Routing Protocol)模块用来传递路由的信息,生成路由信息
表;标签分发协议(Label Distribution Protocol)模块用来完成标签信息的交换,建立标
签转发路径。
转发平面也称为数据平面(Data Plane),是面向连接的,主要功能是负责普通 IP 报文的
转发以及带 MPLS 标签报文的转发。
数据平面包括 IP 转发信息表(Forwarding Information Base)和标签转发信息表(Label
Forwarding Information Base),当收到普通 IP 报文时,如果是普通 IP 转发,则查找 IP
路由表转发,如果需要标签转发,则按照标签转发表转发;当收到带有标签的报文时,
如果需要按照标签转发,根据标签转发表转发,如果需要转发到 IP 网络,则去掉标签后
根据 IP 转发表转发。
标签发布方式有两种方式:
下游自主方式 DU(Downstream Unsolicited):对于一个特定的 FEC,LSR 无需从上游获
得标签请求消息即进行标签分配与分发。
下游按需方式 DoD(Downstream on Demand):对于一个特定的 FEC,LSR 获得标签请求
消息之后才进行标签分配与分发。
具有标签分发邻接关系的上游 LSR 和下游 LSR 必须对使用的标签发布方式达成一致。
