intro

all people seem to need data processing  （应用层，表示层，会话层，传输层，网络层，数据链路层，物理层）

• 应用层：http/https协议，用户直观使用网络服务

• 传输层：建立端到端的可靠连接（tcp稳定连接，udp快速传输）

• 网络层：分配 ip地址并实现路由，同时确定数据在局域网内或向公网传输的路径。

• 数据链路层：确认、验证，确保设备与路由器间数据帧准确传递。

• 物理层：接收射频信号，完成设备与路由器信号的连接。

1. 在 WLAN 网络的泛洪攻击检测中，泛洪攻击通常表现为终端频繁地上下线，以此来消耗 AP 的资源。AP 通过检测终端的上下线频率来发现泛洪攻击。

2. SFTP（SSH File Transfer Protocol）是基于 SSH 的加密传输协议，安全性高。

   把 AC 作为 SFTP Client，意味着从一个安全的 SFTP Server 下载升级文件，传输过程加密，能防止文件被篡改或窃听。

   让 AC 作为 SFTP Server 虽然也能加密，但此时是 AC 对外开放服务，可能带来额外的安全风险（如被非法访问），而作为 Client 去主动下载更安全可控。

   FTP 协议不加密，无论是 FTP Client 还是 FTP Server 模式，传输数据都存在明文风险，容易被中间人攻击。

3. 网络架构通常分为接入层、汇聚层和核心层。

   接入层：无线 AP 的作用是为无线终端提供网络接入，属于接入层设备。

   核心层：负责高速数据转发。

   汇聚层：负责数据汇聚和策略实施。

4. 提高覆盖信号强度范围的方法通常包括：

   增大发射功率、调整天线角度、调整 AP 位置，这些都能让信号传播更远、覆盖更均匀。

5. L2TP（Layer 2 Tunneling Protocol）是一种二层隧道协议，它会将数据封装在 UDP（User Datagram Protocol）报文中进行传输。（TCP 是面向连接的传输层协议，TCP、UDP均是传输层协议），但L2TP 不使用 TCP，而是使用 UDP，因为 UDP 更适合实时性较高的隧道传输。

   • IP 是网络层协议。

   • PPPoE 是一种链路层协议，用于在以太网中传输 PPP 帧。

6. 华为 Anti-DDoS 解决方案的核心模块包括：

   管理中心：负责策略配置与监控管理；

   采集器：负责流量数据采集与分析；

   清洗中心：负责流量清洗与攻击防护。

7. 防火墙对首次经过的流量（新建会话）处理顺序是：

   目的 NAT：先修改目的 IP / 端口，以匹配内部服务器地址。

   路由表：根据修改后的目的地址查找出接口。

   源 NAT：修改源 IP / 端口，以便外部设备回包时能找到正确的源。

   IPSec：如果需要，对报文进行加密和封装。

8. 集中式网关：所有跨子网流量的网关逻辑（封装 / 解封装、IP 路由）由专门的网关设备处理，Spine 设备是 VXLAN 中的核心交换节点，不承担网关功能，仅负责 Leaf 与网关之间的高速转发；该架构因存在网关单点瓶颈，更适合南北向流量为主的场景。

分布式网关：每个 Leaf 都可作为三层网关，虚拟机迁移时网关不变（IP 不变），适合大规模虚拟化环境。在 VXLAN 三层网关分布式部署方案中，

Leaf 设备作为接入层设备（网关设备），负责为虚拟机或物理机提供 VXLAN 接入，可以承担三层网关功能（实现跨 VXLAN 网段的路由转发）。（也可以只做二层网关的，三层网关可集中部署在 Spine 或 Border Leaf 上。）

• P 设备是传统 MPLS 网络中的标签交换路径节点；
• PE 设备是传统 MPLS VPN 中的边缘节点，与 VXLAN 架构无关

路由类型 (Type)	名称 (Name)	核心作用
Type1	Ethernet Auto-Discovery	传递设备标识信息，实现多归场景下的冗余路径发现与故障快速收敛，保障链路可靠性。
Type2	MAC/IP Advertisement	同步 VXLAN 网络中主机的 MAC 地址与 IP 地址对应关系，为跨 Leaf 节点的二层通信提供位置依据。
Type3	Inclusive Multicast	1. 支持 VXLAN 组播流量的复制与转发； 2. 多归场景下选举 DF（指定转发者），避免流量环路。
Type4	Ethernet Segment	标识多归设备接入的以太网段，为 Type1 的自动发现、Type3 的 DF 选举提供网段标识基础。
Type5	IP Prefix Route	发布 VXLAN 实例内的 IP 前缀路由（如虚拟机所在子网的路由），支持跨 VXLAN 网段的三层通信。

BGP EVPN的全称是 Border Gateway Protocol Ethernet Virtual Private Network，即边界网关协议 以太网虚拟专用网络。

10. 为了更好的满足虚拟机迁移的需求，需要在三层网络之上构建出一个虚拟的大二层网络，属于大二层网络的技术有VXLAN（Virtual Extensible LAN）。VXLAN是一种在三层网络之上构建的虚拟二层网络技术，通过将二层以太网帧封装到 UDP/IP 报文中，可以在不同物理位置的主机之间提供二层通信，非常适合虚拟机迁移等需求。

    IPSec 是用于加密和认证的网络协议，不是二层技术。

    VLAN 虽然也是二层隔离技术，但受限于物理网络范围（通常基于同一个广播域），无法跨广域网构建大二层。

    VPN 主要用于远程接入或网络间的安全通信，不是专门用于构建大二层的技术。

11. 可以实现数据冗余（增强容错能力）和数据并行读写（提高读写性能），是专门为提升存储可靠性和性能设计的技术——RAID（磁盘阵列）

12. CPU 全虚拟化（如 VMware 的 VMM、KVM）的核心特点是：虚拟机内的操作系统可以直接运行未修改的x86 指令，不需要在源码层面进行修改，兼容性非常好。不需要修改虚拟机操作系统。

13. AAA 机制的全称是 Authentication（认证）、Authorization（授权）、Accounting（计费）

14. SNMP（Simple Network Management Protocol） 是专门用于网络管理服务器与网元（如路由器、交换机）之间通信的协议，可以收集设备状态、配置信息、性能数据等。

    TCP 是传输层协议，不直接用于网络管理。

    LLDP 是链路层发现协议，用于设备间邻居信息的发现，不是管理协议。

    DCN 是数据通信网络的缩写，不是协议名称。

15. SAN 是存储区域网络。CIFS 是文件共享协议。DAS 是直连存储。

16. 在 OSPF 协议中，DR（Designated Router，指定路由器） 的作用是在一个广播或 NBMA 网络中（例如以太网或帧中继）减少邻接关系的数量，提高网络效率。它的选举和作用范围仅限于同一个网段内的 OSPF 路由器，不同网段的 OSPF 路由器不会共享同一个 DR。

17. 在 OSPF 邻居状态中：

    Full 表示两台路由器的 LSDB（链路状态数据库）已经完全同步，邻接关系正式建立。

    Established 表示双方已建立邻居关系，但尚未同步数据库。

    Exchange 表示正在交换链路状态摘要信息。

    2-way 表示邻居发现阶段完成，但尚未建立完全邻接。

18. 在 OSPF 中，Area 0是骨干区域（Backbone Area），所有非骨干区域必须直接与 Area 0 相连，或通过虚链路（Virtual Link）间接连接。区域间路由必须经过 Area 0。

19. PPPoE 协商分为四个阶段：

    PADI（PPPoE Active Discovery Initiation）—— 客户端向所有 PPPoE 服务器广播发送的第一个报文，用于发现可用的服务器。

    PADO（PPPoE Active Discovery Offer）—— 服务器回应的报文。

    PADR（PPPoE Active Discovery Request）—— 客户端选择一个服务器并发送请求。

    PADS（PPPoE Active Discovery Session-confirmation） —— 服务器确认会话建立。

20. 在以太网中配置静态路由时，路由表主要关心的是

    下一跳 IP 地址（用于跨子网转发）和

    目的 IP 地址和目的 IP 掩码（用于确定目标网络）。

    而 下一跳的 MAC 地址会由 ARP 协议自动学习，不需要在静态路由中手动配置。

21. 在 IEEE 802.1Q 标准中，VLAN Tag 字段被插入到以太网帧的源 MAC 地址字段之后、协议类型字段之前，这样可以在不破坏原有帧结构的前提下，实现 VLAN 标识的传输。

22. 在 STP（生成树协议）中，桥 ID（Bridge ID） 是选择根桥的核心参数。

    桥 ID 由两部分组成：优先级（默认 32768）和交换机的 MAC 地址。

    优先级数值越小，桥 ID 越小，该交换机就越容易被选为根桥。

23. 在一个C类地址的网段中要划分出31个子网，求哪个是正确的子网掩码：

    要划分出 31 个子网，需要计算子网位。C 类地址默认子网掩码是 255.255.255.0（8 位主机位）。

    • 因为子网数 = 2^n ≥ 31（n 是子网位）。2^5 = 32 ≥ 31，所以 n = 5 。5位子网位。

    子网位是 5 位，意味着子网掩码是 24（默认） + 5 = 29 位，对应的子网掩码是 255.255.255.248。

24. IPSec SA（安全关联）是单向的，意味着每一个方向（发送和接收）都需要独立建立一个 SA。SA 包含加密算法、认证算法、密钥等信息，但它本身不是用来生成算法或密钥的，而是用来应用这些配置。

25. 在 GRE（通用路由封装）的 Tunnel 配置中，Destination Address 指的是隧道报文在物理网络层的目标地址（外层封装的物理目的 IP），也就是对端设备的外网出口 IP 地址。

    Tunnel 接口的 IP 地址是隧道两端点之间的逻辑地址，用于在隧道内通信。

26. 发射功率：dBm 到毫瓦的换算公式是：P(mW)= 10^（十分之dBm）

27. 在华为 NCE-Campus 中，WLAN 准入认证方式支持：

    MAC 认证：基于设备 MAC 地址的免密认证

    Radius 认证：通过 RADIUS 服务器进行用户名 / 密码认证

    Portal 认证：通过网页跳转认证（常用在公共 Wi-Fi）

    802.1x 认证：基于 IEEE 802.1x 协议的端口级安全认证

28. 在华为 SecoManager 中，路由回注方式主要包括：

    黑洞路由回注：将非法流量引导到黑洞丢弃

    OPR 路由回注：基于入侵防御策略（OPR）生成回注路由

    策略路由回注：根据安全策略生成回注路由

    VXLAN的VNI——24bits

    STP选举根桥看——桥id

    STP中，被阻塞的接口不会发送 BPDU但是会侦听 BPDU。

    唯一标识一个AP——BSSID

    L2TP（Layer 2 Tunneling Protocol） 是承载于 IP 协议之上的

    Wi-Fi 6 对应的IEEE标准是——802.11ax

    聚合组通常指将多个物理或逻辑链路、端口、通道或资源捆绑或汇聚在一起，形成一个逻辑组。

    已加入某个聚合组（如LAG、Port Channel）的物理或逻辑接口称为成员接口。未加入任何聚合组的独立接口，不参与聚合逻辑，单独处理流量的接口称为非成员接口。

    在聚合组中实际转发流量的成员接口称为活动接口。

    AES 是一种加密算法，不是认证方式。

    在 AC+AP 架构 中，AP（接入点）的升级可以采用 AC模式、FTP模式、SFTP模式。

    出差人员通过公网安全接入企业私网适合的VPN技术有IPsec VPN，L2TP over IPSec，SSL/TLS VPN，SSH VPN，不推荐的是纯L2TP。

    Telnet：基于 tcp协议的23端口号的一种用于远程登录和管理网络设备的应用层协议，但 ac不支持telnet。

    火车站、机场这类人流量大、流动性高的公共场所，Portal认证（Captive Portal） 是一种常见且可行的网络接入方案。

    二层漫游——同一子网/VLAN

    三层漫游——不同子网/VLAN

    交换机处理单播帧的行为：

    目标MAC在地址表中——仅转发到对应端口

    目标MAC不在地址表中——泛洪到所有端口（除接收端口）

    目标MAC与源MAC在同一端口——丢弃帧

    弹性云服务器支持从一个 VPC 切换到另一个VPC。

    子网创建成功后，不支持修改网段。因为网段涉及网络地址规划等基础配置，修改会对已有网络资源和通信产生较大影响。

    不同 VPC 之间的网络默认是隔离、不通的，因此不同 VPC 的子网网络也不互通（若需互通，需通过对等连接等方式配置）。

    RAID 0：没有容错能力，磁盘故障会导致数据丢失
    RAID 1：通过镜像实现单磁盘容错
    RAID 5：通过奇偶校验实现单磁盘容错
    RAID 6：具备双磁盘容错能力

    AP发现AC的方式有：广播，dns，dhcp，静态。

    IPv6 报文结构包括基本报头和上层协议数据单元。扩展报头（可选，0 个或多个）。

二层回注通常属于设备级的二层阻断，不是 SecoManager 路由回注的选项。

26. SQL 注入攻击（SQL Injection）是攻击者利用应用程序对用户输入验证不严格的漏洞，将恶意 SQL 代码注入到输入字段中，从而操控后端数据库的攻击方式。其基本流程通常可分为 5 个核心步骤：

    • 信息探测：寻找注入点

      核心是定位 “用户输入能直接拼接进后端 SQL 语句” 的位置。常见的探测场景包括：用户交互字段、URL 参数、Cookie/HTTP 头。

      探测逻辑：若输入特殊字符（如单引号 ‘、双引号 “、分号 ;）后，页面返回数据库错误，则大概率存在注入漏洞。

    • 注入代码：构造恶意 SQL 语句

      确认注入点后，攻击者会根据后端数据库类型（如 MySQL、SQL Server、Oracle）和应用逻辑，构造 恶意 SQL 代码，并通过注入点传入后端。核心思路是 “破坏原有 SQL 语句结构，插入攻击逻辑”，常见示例：

      登录绕过场景：

      攻击者在 “用户名” 字段输入 admin’ OR ‘1’=‘1，则拼接后的 SQL 变为：

      SELECT * FROM users WHERE username=‘admin’ OR ‘1’=‘1’ AND password=‘[用户输入]’。

      由于 ‘1’=‘1’ 恒为真，该语句会查询出所有用户数据，实现 “无需正确密码登录”。

      数据窃取场景：

      若注入点为 URL 参数 id=1，正常 SQL 为 SELECT * FROM products WHERE id=1。

      攻击者输入 id=1 UNION SELECT username,password FROM users（联合查询），可窃取用户表的账号密码。

    • 执行攻击：触发恶意 SQL 执行

    • 结果获取：接收数据库返回信息

      恶意 SQL 执行后，数据库会返回执行结果（如查询到的数据、操作成功 / 失败提示），这些结果会通过应用程序传递到前端页面，被攻击者获取。形式包括：直接显示、间接提示、盲注推断。

    • 后续利用：扩大攻击范围

      总结：SQL 注入的核心逻辑本质是 “用户输入未被过滤 → 恶意 SQL 被拼接执行 → 数据库权限被滥用” 的过程。防御的关键在于切断这一链条。

防御手段：

• 参数化查询（Prepared Statements）：根本性解决拼接问题。

• **输入验证：**白名单过滤特殊字符。

• **最小权限原则：**数据库账户仅授予必要权限。

• **WAF（Web 应用防火墙）：**部署在应用前检测并阻断攻击。

27. 基于 VXLAN 的 Overlay 方案根据 VXLAN NVE（边缘设备）的属性不同，分为：

    Host Overlay：NVE 位于主机（VM / 容器），由主机发起 VXLAN 封装。

    Network Overlay：NVE 位于网络设备（如交换机、路由器），由网络设备完成封装。

    Hybrid Overlay：同时包含主机和网络设备作为 NVE，结合两者特点。

Leaf Overlay 通常是数据中心 Spine-Leaf 架构的一部分，不属于基于 NVE 属性的分类。

28. 在 VXLAN Fabric 中，Leaf 节点根据接入对象的不同，可以分为：

    Switch Leaf：接入普通网络交换机（如接入层交换机）

    Server Leaf：直接接入服务器或虚拟机

    Border Leaf：作为 VXLAN Fabric 的边界节点，连接外部网络

    Service Leaf：接入安全、负载均衡等服务设备

29. RAID技术将多个单独的物理硬盘以不同的方式组合成一个逻辑硬盘，以下哪些RAID类型具备容错能力？

    RAID 6：具备双磁盘容错能力
    
    RAID 5：通过奇偶校验实现单磁盘容错
    
    RAID 1：通过镜像实现单磁盘容错
    
    RAID 0：没有容错能力，磁盘故障会导致数据丢失

30. Xen：开源虚拟化技术，支持全虚拟化和半虚拟化

    KVM：基于 Linux 内核的开源虚拟化技术

    Hyper-V：微软的商业虚拟化平台，非开源

    VMware ESXi：商业虚拟化平台，非开源

31. 关于路由协议OSPF：

    OSPF 支持等价路由 → 正确，OSPF 支持多条等价路由（Equal-Cost Multipath）。

    OSPF 是一种内部网关协议 → 正确，OSPF 用于自治系统（AS）内部的路由。

    OSPF 基于链路状态（Link-State）算法。

    OSPF 工作在网络层（IP 层）。

32. 关于生成树协议STP：

    • STP 是局域网中的破环协议，运行该协议的设备通过彼此交互信息来发现网络中的环路 → 正确，STP 通过交换 BPDU 消息发现环路。

    • 通过阻断链路来消除桥接网络中可能存在的路径回环 → 正确，STP 会将某些链路设置为阻塞状态以避免环路。 • 当前活动路径发生故障时激活冗余备份链路恢复网络连通性 → 正确，STP 会在主链路故障时启用备份链路。 • STP 通过阻塞部分端口来消除环路，当活动路径故障时，会自动启用被阻塞的冗余路径，从而提高网络可靠性。

33. 关于IPv6：

    IPv6 是网络层协议的第二代标准协议，也被称为 IPng → 正确，IPv6 是 IPv4 的继任者，曾被称为 IP Next Generation。

    在一个 IPv6 地址中只能使用一次双冒号 → 正确，双冒号（::）用于压缩零，但只能出现一次。

    IPv6 地址采用 128 比特标识 → 正确，IPv6 地址长度为 128 位，是 IPv4（32 位）的 4 倍。

    IPv6 地址分为网络前缀和接口标识 → 正确，IPv6 地址结构通常分为前缀（网络部分）和接口 ID（主机部分）。

34. 21 → FTP 的控制连接端口（默认）。
    
    20 → FTP 的数据连接端口（默认）。
    
    22 → SSH 默认端口，与 FTP 无关。
    
    23 → Telnet 默认端口，与 FTP 无关。

35. 关于OSPF 中的Router ID的描述：

    Router ID 可以自动选举（从活动接口的 IP 地址中选最大的，或用环回接口地址），也可以手工配置。

    Router ID 可以是任意 32 位的唯一值，不一定来自接口 IP。

    每个路由器的 Router ID 在整个自治系统（AS）中必须唯一，无论区域。

    OSPF 协议正常运行的前提条件是该路由器有 Router ID。

36. 华为设备可以使用Telnet协议进行管理，关于该管理功能：

    •Telnet 默认端口是23，SSH 默认是 22。
    
    •不支持部署 ACL 来增加安全性 → 错误，ACL 可以应用在 Telnet 连接上限制访问。
    
    •Telnet 不支持基于用户名和密码的认证 → 错误，Telnet 支持简单的密码认证（虽然不加密）。
    
    •Telnet 操作的 VTY 接口，数量大为 15 →正确 ，华为设备的 VTY 接口默认是 15 个（0~14）。

37. 网关防病毒的典型技术：

    解压技术 → 网关防病毒需要解压压缩文件（如 ZIP、RAR）来检测其中的病毒。

    文件识别技术 → 识别文件类型、扩展名、签名，判断是否为病毒载体。

    脱壳技术 → 去除文件壳层（如 UPX、ASPack），还原原始代码进行病毒扫描。

38. AP发现AC的方式有：

    A. 广播方式获取 → AP 在本地广播寻找 AC。

    B. 通过 DNS 服务器方式 → AP 通过 DNS 解析 AC 的域名获取 IP。

    C. 通过 DHCP 服务器方式。

    D. 静态手工方式 → 直接在 AP 上手动配置 AC 的 IP 地址。

39. DNS（域名系统，Domain Name System）

核心作用：作为域名与 IP 地址的 “翻译工具”，将易记忆的域名（如设备域名）解析为对应的 IP 地址，实现网络设备间的地址定位。如：AP（无线接入点）可通过 DNS 服务器方式发现 AC（无线控制器）——AP 向 DNS 服务器发送 AC 的域名请求，DNS 服务器将域名解析为 AC 的 IP 地址，使 AP 能定位并连接 AC。

40. DHCP（动态主机配置协议，Dynamic Host Configuration Protocol））

核心作用：分配 IP 地址、子网掩码、网关、DNS 服务器地址等网络配置参数，避免手动配置的繁琐，实现网络参数的动态管理。

AP 上电后无预设 IP，需通过 DHCP 协议向 DHCP 服务器发送DHCP Discover请求，获取自身所需的 IP 地址、子网掩码等基础配置；

DHCP 服务器在返回的DHCP Offer报文中，还会通过Option 43（通用）或Option 138（IPv4 环境常用）字段，附带 AC 的 IP 地址列表，帮助 AP 定位并连接 AC；

部分场景下，AP 会通过 DHCP 的Option 60（厂商类标识）告知服务器自身厂商 / 型号，服务器据此匹配对应配置（再通过 Option 43 返回 AC 地址）

DHCP Option 43 或 Option 60 等字段：

Option 43：核心功能是直接携带 AC 的 IP 地址列表，供 AP 解析；

Option 60：本质是 “Vendor Class Identifier（厂商类标识）”，AP 通过发送 Option 60 告知 DHCP 服务器自身厂商 / 型号，DHCP 服务器根据 Option 60 匹配对应的配置（再通过 Option 43 返回 AC 地址）——Option 60 本身不直接携带 AC 地址

41. DNS 与 DHCP 相同点

42. 均为网络基础协议，服务设备通信：二者均是保障网络设备正常联网的核心协议，需依托服务器（DNS 服务器、DHCP 服务器）运行，最终目的是帮助终端、AP 等设备实现地址定位或配置获取，支撑设备间的通信与数据传输（如 AP 通过 DNS 获取 AC 的 IP、通过 DHCP 获取自身 IP，最终实现 AP 与 AC 的连接）。

43. 均在 AP 发现 AC 场景中发挥关键作用：文档第 39 点、第 54 点明确，AP 发现 AC 的过程需二者配合——AP 先通过 DHCP 获取自身 IP、网关及 DNS 服务器地址，再通过 DNS 服务器解析 AC 的域名，得到 AC 的 IP 地址，最终完成 AP 与 AC 的关联，二者共同支撑 AP 接入网络的核心流程。

44. IPSec封装模式包括传输模式和隧道模式。

•隧道模式能够加密数据报文 → 正确，隧道模式会加密整个原始 IP 报文。

•从安全性来讲，隧道模式优于传输模式，它可以完全地对原始 IP 数据报进行验证和加密，隐藏内部 IP 地址、协议类型和端口 → 正确，隧道模式对整个 IP 报文加密，外部无法看到内部信息。

•隧道模式因为有一个额外的 IP 头，所以它将比传输模式占用更多带宽 → 正确，隧道模式会在原始 IP 头外再加一个 IP 头，增加了开销。

•传输模式<mark>只对 IP 载荷（不含 IP 头）</mark>做完整性校验。

模式	特点	适用场景
传输模式	端到端；只加密 IP 载荷（校验/保护 数据载荷），原 IP 头不变	主机-to-主机
隧道模式	网关到网关；加密整个原 IP 包，外加新 IP 头，保护整个数据包	网关-to-网关，主机-to-网关，两个防火墙之间

ah 与 nat 不兼容，esp与 nat兼容，因为 esp认证范围不包括外部 ip头。

42. WLAN网络中的报文包括管理报文和业务数据报文。针对管理报文和业务数据报文要配置 管理VLAN 和 业务VLAN。

• 在直接转发（本地转发）模式下，管理VLAN和业务VLAN技术上允许配置为相同，设备可通过内部逻辑区分管理流量与业务流量；但从运维便利性（如故障定位）和网络安全性（如隔离管理平面风险）角度，行业普遍建议将二者分开配置。
• 隧道转发方式下，管理 VLAN 和业务 VLAN 不能配置为同一 VLAN，否则会导致 MAC 漂移，报文转发出错 → 正确。
• 建议不要使用 VLAN 1 作为管理 VLAN 或者业务 VLAN → 正确，VLAN 1 是默认 VLAN，安全性低且易受攻击。

39. 高密场馆的业务需求特点：

    大量用户注册管理，集中的用户认证

    用户通常会在多个区域移动，需要漫游功能

    多种业务访问控制类型

40. 交换机端口的缺省VLAN又称为PVID。

    Hybrid 接口的缺省 VLAN（PVID）只能有1个。
    
    Trunk 允许通过多个 VLAN，但 PVID 只有一个。
    
    所有二层接口（Access、Trunk、Hybrid）都有 PVID。
    
    Access 接口只能属于一个 VLAN，且 PVID 就是该 VLAN。

41. 以太网交换机二层转发流程

    • A. 根据接收到的以太网帧的源 MAC 地址和 VLAN ID 信息添加或刷新 MAC 地址表 → 正确，这是 MAC 地址学习过程。

    • B. 在交换机查表转发时，如果找到匹配项，但是表项对应的端口并不属于报文对应的 VLAN，那么丢弃该帧 → 正确，VLAN 不匹配则不转发。

    • C. 根据目的 MAC 地址查找 MAC 地址表，如果没有找到匹配项，那么在报文对应的 VLAN 内广播 → 正确，未知目的 MAC 在 VLAN 内广播。

    • D. 在交换机查表转发时，如果找到匹配项，且表项对应的端口属于报文对应的 VLAN，那么将报文转发到该端口，但是如果表项对应端口与收到以太网帧的端口相同，则丢弃该帧 → 正确，避免端口内回环。

42. 天线的互易性原理：一副天线在发射时的辐射特性（如增益、方向图、阻抗等）和它在接收时的特性基本相同，所以可以互换使用。

43. 在双链路热备场景下，AP 只会与主 AC建立 CAPWAP 隧道，备 AC 处于监听状态。

    只有当主 AC 故障时，AP 才会切换到备 AC 建立隧道。

44. **ESP（Encapsulating Security Payload）**可以提供认证和加密功能。

    **AH（Authentication Header）**只能提供认证，不提供加密。

45. BGP EVPN（Ethernet VPN）不仅支持不同站点之间的 MAC 地址学习和发布，还支持IP 路由的学习和发布，例如通过 Type 5 路由发布 IP 前缀信息。

46. 虚拟化技术（如 VMware、KVM 等）允许在一台物理服务器上运行多个虚拟机，共享 CPU、内存、存储等资源，从而大幅提高物理硬件的利用率。

47. RAID-0 是条带化存储，不提供镜像，数据分散存储在多块硬盘上，不做备份。而镜像硬盘（如 RAID-1）才会在主硬盘写入数据时，同时写入到镜像硬盘。

48. IPv6 报文结构是：

    IPv6 基本报头

    IPv6 扩展报头（可选，0 个、1 个或多个）

    上层协议数据单元（如 TCP、UDP、ICMPv6 等）

49. 交换机的 MAC 地址表是根据数据帧的源 MAC 地址来学习的，而不是目的 MAC 地址。交换机通过记录每个源 MAC 地址对应的端口，从而建立 MAC 地址表。

50. 在 STP（生成树协议）中，被阻塞（Blocking）的接口会侦听 BPDU（桥协议数据单元），但不会发送 BPDU，也不会转发用户数据。

51. WAF（Web 应用防火墙）常见的组网方式包括透明代理模式、反向代理模式、旁路监听模式等。

52. 虚拟系统（Virtual System）确实是在一台物理设备上划分出的多台相互独立的逻辑设备，每个虚拟系统都有自己的接口、地址集、用户 / 组、路由表项和策略，可由对应管理员或根系统管理员配置和管理。

53. AP接入AC完整流程步骤 :

    1. AP上电启动：AP接通电源后，初始化自身硬件与基础网络模块，进入待配置状态。

    2. AP发起DHCP请求：AP因无预设IP，向网络中的DHCP服务器发送广播形式的DHCP Discover请求，申请IP地址等基础配置。

    3. DHCP服务器响应配置：DHCP服务器收到请求后，返回包含AP所需配置的DHCP Offer报文，核心内容包括：

    • 基础网络参数：AP的IP地址、子网掩码、网关、DNS服务器地址。
    • AC地址信息：通过Option 43（通用） 或Option 138（IPv4环境常用） 字段，附带AC的IP地址列表。

    4. AP确认并获取配置：AP接收DHCP Offer后，发送DHCP Request确认选择该配置，DHCP服务器再回传DHCP ACK确认，AP正式获取并应用所有网络配置。

    5. AP解析AC地址并发起关联：AP基于配置中的Option 43/138信息，解析出AC的IP地址，通过CAPWAP协议（控制和配置无线接入点协议）向AC发送关联请求。

    6. AC认证与配置下发：AC接收请求后，对AP进行身份认证（如预共享密钥、证书认证），认证通过后，向AP下发无线服务配置（如SSID、信道、加密方式等）。

    7. AP应用配置并正常工作：AP接收并应用AC下发的配置，启动无线信号发射，此时AP成功接入AC，可正常为终端提供无线接入服务。

54. 在 PPP 链路的 NCP（网络控制协议）协商阶段，如果一端发送的 Configure-Request 报文中包含 IP 地址 0.0.0.0，这表示它希望对端分配一个 IP 地址给它，而不是它自己提供。

55. 在 VRRP 中，当主设备主动退出 VRRP 组时，它会发送一个 VRRP 通告报文，其中优先级字段设为 0，以此告诉其他设备它不再承担主设备角色，让从设备可以进行抢占。

56. Session ID 确实是 PPPoE 会话的唯一标识符，用于区分同一客户端与服务器之间的不同连接。

57. $? 上个命令的退出状态或函数的返回值

​ $0 当前脚本的文件名

​ $# 传递给脚本或函数的参数个数

58. df-h 显示已挂载文件系统的磁盘空间使用情况

    fdisk-l 列出系统中所有磁盘的分区信息

59. OSPF 链路状态路由协议。支持等价路由，工作在网络层，基于IP协议，协议号89，是内部网关协议，用于自治系统AS内部的路由。OSPF的RouterID可以手动指定，也可以由路由器自动选择，通常选最大的环回口IP，没有则选择最大的物理接口IP。RouterID无论区域都不能重复，全局唯一。

60. IP v4：32bits 无符号。

61. 注意力机制：捕捉序列中长距离依赖关系。复杂，计算成本高。

62. 图像分类的常用损失函数：Cross-Entropy Loss 交叉熵损失

63. open Gauss 采用栏宽松许可证协议，针对频繁更新场景提供 UStore存储引擎和AStore。

64. Leaf设备是在 VXLAN三层网关分布式部署方案中的分布式三层网关，负责 VXLAN网段之间的三层转发。

65. vpc 虚拟私有云。

    1. 支持从一个vpc切换到另一个vpc
    2. 不能直接删除，必须先释放占用资源
    3. 不同vpc网络默认不互通（隔离）、
    4. 子网的网段在创建成功后不支持修改。

66. 减少训练中的内存占用：重计算

    提升训练速度：数据并行

    并行效率：流水线并行

    减少数据传输开销：数据下沉（从主机下沉到设备）

67. 支持向量机SVM适合处理分类、回归等结构化数据。

    而处理序列数据的常见模型有循环神经网络、大模型等。

    opencl是通用并行计算api。

68. 在openEuler（属于Linux系统）中，ps-ef| grep xxx 查找包含 xxx字段的进程。

69. ai计算架构有：CUDA, ROCm, CANN

70. samba核心基于 SMB/CIFS协议，NetBIOS 是早期辅助名称解析的协议。

71. 网络存储配置属于网络存储，不属于本地磁盘IO子系统的调优策略。

72. 无线ap：数据链路层

73. ECS是云端虚拟服务器，无法加载外接硬件设备（因为没有实体硬件接口）

74. NVLink是NVIDTA的接口技术。

75. GAN核心用途是数据生成，由生成器和判别器组成。

76. MindX核心组件：MindXEdge、MindXDL

    MindSpore 分布式训练策略包括数据并行、半自动并行、自动并行。

    Model属于MindSpore的High level api，封装了训练推理流程。

77. PXE 的全称是 Preboot Execution Environment，中文译为预启动执行环境。

    它是一种基于网络协议的技术，核心作用是让计算机不依赖本地存储设备（比如硬盘、U 盘），直接通过网络从服务器加载操作系统镜像或启动文件，完成开机和系统部署。

78. 可以调整进程的优先级：nice、renice

    ps:查看进程

    top:动态监控进程

----------------------------------

1. BPDU：网桥协议数据单元；stp交换机间的通信邮件

   边缘端口：不会发送 bpdu报文的访客使用的 vip通道

   stp、rstp（rapid spanning tree protocol）生成树协议；数据链路层；解决二层环路，关心 mac

2. 32个域中有2个是默认域，用户可配置的只有30个。（domain）

3. ospf是区域边界路由协议之一，解决三层环路，关心 ip

4. 类型标签：

   0x8863	PPPoE发现阶段
   
   0x8864	PPPoE会话阶段
   
   0x0806	arp（address resolution protocol）地址解析协议；根据 ip获取 mac；广播请求，单薄回应
   
   08100	VLAN Tag

5. PPP协议链路建立过程：在 dead之前：PADI、PADO、PADR、PADS，之后正式启动 dead：

   Dead ->Establish (LCP报文) ->Authenticate (可选) -> Network ->数据传输...-> Terminate Phase连接终止

   其实padt报文可以在ppp状态的任何阶段

6. vrp ( versatile routing platform) 通用路由平台

   网络层：ospf，ip

   数据链路层：ppp，以太网，stp，二层交换机（二层交换机是局域网的核心连接设备）

   流表的工作流程：

   先匹配，再按数值高优先级高来执行规则，再看具体指令

7. tcn ( topology change notification) 拓扑更改通知

8. stp的核心目标是防止二层环路，即以太网帧在交换机组成的网络里无限循环（重复帧），导致“网络风暴”，stp管理和阻塞的是交换机的端口（物理概念）。

9. ppp点对点协议的 protocol字段常见协议代码：

   0x0021-ip
   
   0x002b-novell ipx
   
   0x8021-ipcp
   
   0xc021-lcp链路控制报文
   
   0xc023-pap密码认证协议
   
   0xc223-chap挑战握手认证协议

lcp链路控制报文的结构：

• 链路控制层：mru 协商数据包大小、魔术字检测链路环路、fcs校验错误；
• 认证层：通过 lcp确定的认证协议认证，如 pap，chap；
• 网络控制层ncp：例如用 ipcp协商双方的 ip地址。

1. 以太网光接口只能工作在全双工模式，光纤通常由两根独立的纤芯组成，一根专门用于发送（Tx），一根专门用于接收（Rx）。

2. PPPoE的PADO报文目的地址是发送PADI报文的client的MAC地址。

3. 交换机中端口与mac绑定的技术是Porter security端口安全

4. 二层：sep（ smarter ethernet protection）以太网保护切换（环网协议）

   三层：nat网络地址转换，acl访问控制列表

   （基本ACL主要基于源IP等网络层信息，高级ACL可基于IP、协议、端口号等三四层信息）

   四层：端口

5. 2019年发布的802.11ax是ieee电气电子工程师学会802.11标准的最新版本，理论上协商速率可达10Gbps以上，其他大概均为5Gbps以下。

6. 默认动作是deny的有：http, https, telnet, ssh, snmp, ftp.

   默认动作是permit的有：traffic policy流策略、路由策略.

7. 802.1x：基于端口的网络访问控制

   wifi技术发展简史（可以把WLAN发展分为几个时代：）

   1. 初始时代（1997-1999）：802.11原始标准，802.11a,802.11b
   2. 初级移动办公时代（1999-2009）：基本的可用的无线连接，802.11g,802.11n
   3. 高速体验与移动互联网时代（2009-今）：802.11ac,802.11ax

   其中a,ac的工作频段为5GHz;b,g为2.4GHz;n,ax为双频战士

8. ospf主从关系选举发生在 exchange state，也就是 r建立邻接关系时，用dd（database description）报文交互数据库摘要，为了保证dd能被有效使用，需要选一个 master和一个 slave，选举master/slave比较的是router id，选大的一个，再次是比较ip。

   启动协议的顺序不影响主从选举；ospf协议的进程号在本地有效，不传递给邻居，不参与主从选举。

9. tc变更，交换机会发出bpdu：命令让其他所有交换机快速更新它们的mac地址。

   在RSTP中，什么事会触发tc：

   只有当一个正在使用的端口（非边缘端口）进入 forwarding状态时才会触发TC。

   backup port 是备份端口，本就是阻塞状态，不转发数据，不影响tc。

   edge port 边缘端口是直接连接电脑服务器等终端设备的端口，RSTP默认他们不会接到其他网络设备。

   在RSTP中为提高收敛速度，可以将交换机直接与终端相连的端口定义为边缘端口，以实现快速转发，边缘端口不接收也不处理BPDU、不参与STP计算、只有禁用或转发两种状态。

10. ospf v3：router id冲突不能建立邻接关系

ospf v3：的主要组播地址：

ff02::5 -> all ospf routers

ff02::6 -> all dr/bdr routers

ff02::1 -> all notes结点

ff02::2 ->all routers

11. rstp bpdu 字段：

    protocol id, version, bpdu type, flags, root id
     	2byte		1		  1		   1	   8

12. stp在 listening状态先选举根桥（->优先级小优，再看mac也是小优），同时选举根端口和指定端口。

13. ip 报文的TOS (type of service)字段的前6比特作为 dscp差分服务代码点的值 (differentiated services code point )，2^6=64所以取值范围是0-63，和交换机内部使用的 dscp值一一对应。

    dscp	ecn
    区分服务代码点 6bits， 可以标识0-63共64个优先级，数值越大优先级越高	显式拥塞通知 2bits

14. ip Sec (internet protocol security) 包含的协议有

    ah(authentication header)认证头，
    
    esp(encapsulating security payload)封装安全载荷。

15. 只要运行OSPF协议就必须有骨干区域，就算只有一台也需要，骨干区域可以含有区域边界路由器和内部路由器。路由器开启dhcp(dynamic host confuguration protocol 动态主机配置协议)服务时其某接口地址本身不会被分配给dhcp客户端，最后缀255是广播也不会分配。

16. dhcp select relay 开启路由器接口的dhcp中继功能

17. 网络层（ip层）的protocol字段中，协议类型字段值及表示的协议：

    1	icmp互联网控制消息协议
    
    2	igmp互联网组管理协议
    
    6	tcp传输控制协议
    
    17	udp用户数据报协议
    
    47	gre通用路由封装
    
    50	esp
    
    51	ah
    
    89	ospf开放最短路径优先

18. rstp有4种主要端口角色，比STP多了后面两种以加快收敛。

    root port 根端口：非根桥上，去往根桥路径最优先的端口。
    
    designated port指定端口
    
    alternate port替代端口：是根端口的备份；阻塞状态；监听；只接收并处理BPDU；不转发不学习。
    
    back up port备份端口：是指定端口的备份；备份同一网段内的指定端口。

19. 华为网络设备使用VIP系统启动时各存储器的角色：

    NCRAN(non-volatile random-access memory)：非易失性随机存取存储器

    DAM：普通内存(易失性)

    flash/HDD：硬盘

    SD card(security digital card)：安全数字存储卡/闪存卡/外部扩展存储

    usb：外部扩展存储

20. 在ospf中，路由器通过 link-lsa (type 0x0008) 向本链路通告它在该链路上使用的所有 IP v6 地址，包括全球单播地址和链路本地地址。

21. IP v6组播地址的组成是：

    1111,1111	flags	scoped	group ID
    8bits	4bits	4bits	112bits

    其中标志字段 flag的组成是：[o][r][p][t]

    o	r	p	t
    	与汇聚点 rp有关	1表示组播musticast地址基于单播前缀	0表示永久分配，1表示临时分配

22. eth-trunk（以太网链路聚合）的默认优先级时 32768（再看mac，都是小优），其接口最多能加入8个成员端口

23. 在IP v6网络中，ospf v3本身不提供认证功能，而是通过使用IP v6提供的安全机制来保证 ospf v3报文的合法性。

24. csma/cd

    carrier sense multiple access with collision detection
    载波 	    侦听    多路     访问          冲突    检测

25. ma网络（multiple access network）（多路访问网络），分为广播型 broadcast ma，非广播型 non-broadcast ma。在ospf中，bma/pip：hello间隔10秒，nbma：hello间隔30秒。

26. rstp协议的三种端口状态：转发、丢弃、学习（f，d，l）

27. mpls（多协议标签交换）的网络中，ldp标签分发协议的知识点：

    lsr标签交换路由器对收到的标签的保存策略有自由方式和保守方式。

    自由模式lrm(liberal retention mode)：华为默认，保存所有邻居发来的标签映射。

    保守模式crm(conservation retention mode)：只保存下一跳邻居的标签。

    lsp(label switched path)标签交换路径

28. 标签传递方式：

    （1）du：下游自主模式，华为默认。所有lsr在分配好标签后可以主动地将标签传递给其他的lsr设备。

    dod：下游按需模式。只有下游设备收到上游设备的通知后才会给上游设备发送l。

    （2）fec(forwarding equivalence class)转发等价类

29. 华为AR G3系列路由器的acl支持的两种匹配顺序：配置顺序 or 自动排序（深度优先）

30. 华为设备静态默认路由基本命令结构：

    ip route-static <目标网络> <掩码> <下一跳地址/出接口> [优先级]

    主机路由的掩码是 255.255.255.255，只匹配 0.0.0.0这一个ip地址。

    默认路由的掩码是 0.0.0.0，可以匹配任何目标网络

31. ftp基于tcp，tftp（trivial简单）基于udp

32. bss：基本服务集

    ess：扩展服务集

bss id 对应ap无线接口的mac地址，每个ap的每个射频都有全球唯一的bss id，sta(eg.手机)可以通过bss id来识别并连接到一个特定的ap。

bss：单个ap的覆盖区域

ess由多个使用相同ssid的bss连接到一个相同的分布式系统，通常是有线网络所组成的更大范围的网络。sta可以在该ess内的不同ap之间无缝漫游。

42. dhcp v6：

    有状态自动分配：dhcp v6 server为 client分配 ip v6地址及其他参数。
    
    无状态自动分配：主机的ip v6仍通过路由通告自动生成，dhcp v6 server只分配其他参数。

43. arp(area border router)区域边界路由器：同时连接至少两个ospf区域且其中一个必须是区域0（骨干区域）。

44. 路由协议：

    距离矢量路由协议：rip，igrp内部网关路由协议，eigrp
    链路状态路由协议：ospf，is-is

或分为：

内部网关协议（ospf, is-is, rip, eigrp, igrp）
外部网关协议（BGP）

路由器获得路由条目的来源：静态/动态/直连路由是路由方式，不是路由协议。

45. ptp(precision time protocol)精确时间协议

46. ping：检测主机到本地网关的连通。

47. 配置ospf区域之前不需要给路由器的loopback接口（永不宕机）配置ip地址。loopback接口可以作为router id、网络管理的ip地址、BGP建立tcp会话的源地址。

48. MAD多活跃检测（multi-active detection）：处于数据链路层（layer2）；主要用于集群系统，检测网络是否出现脑裂，通常通过 level2的特殊的bpdu or lldp报文 or layer2‘ s 组播or广播来传递检测信息。

    MAD分裂检测机制会检测到网络中存在多个处于detect状态的堆叠系统，这些系统相互竞争，成功的保持detect，失败的转为recovery。

    MAD冲突处理机制会使分裂后的堆叠系统处于detect状态（正常工作）或recovery状态（禁用）。

49. ospf的网络命令：

    network <ip地址> <反掩码> area <区域号>
    
    eg.
    ospf1 area 0.0.0.0 network 192.168.0.0 0.0.255.255
    匹配 192.168.0.0-192.168.255.255

50. 即使有arp地址解析协议 缓存表，pc也不能跨vlan ping通。

51. lacp链路聚合控制协议(link aggregation control protocol)

    发现邻居、发送 lacp du 报文-> 协商参数-> 选举端口-> 状态维护

    在lacp下如何选举主动端：先比较系统优先级，数值越小的设备优先级越高，再比较mac，也是小优。

52. snmp网络管理架构包含nms、agent（接口人/代理人/代理进程）和被管理设备。snmp报文通过udp来承载

53. 在路由器上创建一个虚拟子接口来处理 vlan的流量时，就是让路由器终结vLAN标签，配好后路由器收到vlan标签的帧后此接口会剥掉该标签再进行三层路由处理。

54. access端口连接的是终端，应该剥离报文的 vlan信息再发送报文。

55. ospf v2是 ip v4的。ospf v3是 ip v6的。

56. 关于以太网子接口：子接口可以配置 ip地址，子接口id和 vlan id没有关系（虽然编号常用 vlan id，但无所谓，终结对象对应正确即可（子接口下封装的 dot1q的 id才是要和 vlan id相同。

57. ospf会选举一个 dr，一个 bdr，其他路由器称为 DRouter，DRouter只会与 dr、bdr建立 full adjacency完全邻接，并交换 lsa，DRouter与DRouter 之间只会停留在 2-way状态，不会交换 链路状态信息。

58. 以太网默认是广播网络

    ospf 定义的网络类型	|	是否需要 dr/bdr	eg
    MA多路访问网络	广播	是，使用组播	以太网
    MA多路访问网络	非广播	是，使用单播	帧中继、ATM
    非MA网络 与唯一的邻居建立邻接关系	P2P	否	PPP、HDLC串行链路
    非MA网络 与唯一的邻居建立邻接关系	P2MP	否	配置为点对多点的帧中继

    ospf 要求所有非骨干区域必须与唯一的一个骨干区域直接相连。区域间的路由必须通过骨干区域中转。

    在ospf（位于第三层网络层）中，对于广播类型的网络，举例 R1与R2 要建立 ospf邻接关系的过程：

    - 发现阶段：down -> send hello -> init -> response hello -> 2-way
    - 数据库同步阶段：2-way -> empty dd && 主从选举 -> exstart -> 互发 dd报文 -> exchange ->发送 lsr 请求完整的 lsa -> loading -> response lsu（包含完整的lsa） ->receive a lsAck ->将该lsa安装进自己的 lsdb里。
    - 完全同步后：full

    ospf的作用：减小 lsa(link-state advertisement)的泛洪范围；在区域边界可以进行路由汇总能够减小路由表的规模，还可以避免环路。

59. dhcp offer报文可以携带多个 dns(domain name system)地址

60. 路由器工作于网络层(ip)

61. roam-track 漫游追踪

62. ip v6：128bits

63. nas网络接入服务（第七层），负责aaa（认证授权计费），基于域进行管理，一个用户必须属于一个域，一个域则包含多个具有相同管理属性的用户。为什么要基于域->为了对不同用户群体实施不同的aaa策略和server。

64. dhcp有很多安全威胁处，但不包括响应时间长。包括的威胁是：虚假的 ip与 mac映射；无法分清chad dr 的合法非法；发现报文以广播的形式发送。

65. mac媒体访问控制media access control

    mac地址为48bits，通常以十六进制表示。

    XX:XX:XX: XX:XX:XX

    单播mac地址	lsb(least significant bit)=0
    组播mac地址	lsb=1，且 OUI为特定值
    广播mac地址	固定全为F

（1）将48bits的mac变为 64bits EUI-64 接口标识符：

eg.mac为：00E0-FCEF-0FEC

1个十六进制字母= 4bits

前 24bits（即 00-E0-FC）是公司标识符（ OUI 厂商编号）
后 24bits（即 EF-0F-EC）是扩展标识符（ 厂商内部给此网卡的编号）

步骤一、中间插入 FFFE

步骤二、反转 U/L 位: 0000,0000 -> 0000,0010，十六进制写法为：02
expl.
在 EUI-64 格式中，第一字节的第七个比特叫做 U/L 位。
U/L=0, means the address is 全局管理
U/L=1, means 本地管理
mac地址 is usually distributed by ieee unitely, so it's U/L = 0, then we have to reverse it to 1 because we are turning it to a EUI-64 mode.

得到结果：02E0-FC FFFE EF-0FEC

66. 手工负载分担模式下，可以设置活动端口数量（<=8个），and we could exchange LACP报文 only under the ACP mode, not the 手工mode。手工分担下所有 active interfaces engage in the 数据转发，分担负载流量。

67. 删除 Eth-trunk 接口需要先删除成员端口。

68. stp相关。

    有人在根桥上 shut down the stp function suddenly/directly, 根桥会立即停止对 bpdu的发送和处理。

    当一个阻塞端口blocked，找不到应有的 bpdu，会变为阻塞状态（等待20秒），之后变为侦听状态15秒，再成为学习状态15秒，最后进入转发状态。

    侦听状态可以发送/接收 bpdu以确定拓扑，学习状态可以开始学习mac地址，转发状态可以开始转发数据帧。

69. nfv网络功能虚拟化 中，具体的底层物理设备包括存储设备、网络设备、服务器。

70. 华为 eSight网管软件支持哪些设备发现方式？

    指定某个 ip address

    指定某个 ip segment

    通过 excel表格指定 ip地址导入

71. ppp 中启用 chap（挑战握手认证协议）认证的命令是：

    ppp authentication-mode chap

72. vrp通用路由平台系统中，访问上一个输入的命令的命令是：上光标 or ctrl+p

73. acl只对转发的流量生效，对自身产生的无效

74. 本地转发用户的报文不经过 ac，直接在 ap侧进行本地转发。
    本地转发时的上行报文：ap 接收到用户的数据报文后，直接在本地转发到用户的网关，不通过 capwap转发到ac。
    本地转发时的下行报文：isp下行给用户的数据报文先发到用户的网关（交换机等），然后由网关转发给相应的 ap，最后由ap通过无线通道传送给用户。

    集中转发的用户所有报文都需要经过 ac进行转发。

    集中转发时的上行报文：

    ap 接到 data packet ->经过 capwap转发到 ac ->ap

    集中转发时的下行报文：

    网络服务提供商 isp下行给用户的 data packet ->ac ->经过 capwap转发到 ap

75. capwap 作用之一就是为 ac提供管理 ap的通道，包括控制通道和数据通道。

76. ac 的基本功能：向所有瘦ap下发配置（又称 ap配置下发）、用户接入控制、用户接入认证。

77. 路由表的最长匹配原则和优先级机制：

    - 当多条路由都匹配目的地址时，路由器会选择掩码最长的路由
    - 当以上都相同时，路由器将选择优先级数值最小的路由
    - 开销

78. 实现静态路由备份，必须配置两条目的网络和掩码完全相同但优先级不同的静态路由以控制主次。

79. 瘦ap：F flexible I intelligent T termination ap

    胖ap：F flexible A autonomous T termination ap

    FIT ap 可以通过 dhcp option43 获取 ac的 ip地址以此建立 capwap，无须预存 ac ip

80. 端口是传输层协议 tcp、udp的数据包头中的一个 16位字段（1-65535），作用：进程寻址（房间号）

    接口主要在数据链路层，也称网络接口层，的实物，作用：设备互联和寻址（大楼 ip）

81. dhcp v6端口号核心规则：client永远使用546，server使用547

    1. client 发现server：546->Solicit->547	discover
    2. server 回应：547->Advertise->546		offer
    3. client 请求地址：546->Request->547	   request
    4. server 确认分配：547->reply-546		   acknowledgement

82. 交换机是二层设备（数据链路层），一般工作在内部，不作为出口设备，能为终端设备（pc、服务器等）提供接入服务。交换机能自动识别mac地址。

83. sta无线终端主动寻找并获取 ssid，发送的是 probe request探测请求报文；

    被动扫描的话，就是 ap主动，此时是由ap发送 beacon信标帧报文（广播）；

    join报文是用于 ap 加入 ac发送的。

84. ip v6组播地址格式：FF0X::/8，关键看X，决定组播范围。只要是 ff02（永久分配的链路本地组播地址）或 ff12（临时分配），就表示是链路范围内的组播地址。

85. 根桥的根路径开销默认是0

86. IPSec的隧道模式隐藏了内网主机的 ip地址。

87. silent-interface 是静默接口/被动接口，不会再发送 ospf报文，而对端设备无法收到 hello报文，连续3个hello间隔后，一共 10+30=40秒，邻居就会down掉。

88. 传输的最大带宽取决于传输路径上最小链路带宽。

89. ip v6 报头进行了简化，其中专门为 QoS设计的一个字段是 traffic class，这个字段长 8bits，功能类似于 ip v4的 ToS服务类型字段或后来的 dscp差分服务代码点字段，网络设备可根据此字段的值来对数据包进行分类和处理。

90. 传输层中，流量控制方式有：源抑制报文、窗口机制、缓存技术

91. 确认技术是 arq自动重传请求(automatic repeat request)

92. 如果网络中有 dhcp服务器，而有主机地址获取失败，则该主机客户端系统会自动生成 169.254.0.1-169.254.255.254范围内的地址。

93. 无线控制器ac 一般位于整个网络的汇聚层（在核心层与接入层之间），提供高速安全可靠的 wlan业务。

94. FIT ap不能独立完成用户接入认证业务转发等功能。

95. 需要 16个地址时，2^4=16，则掩码应该配置为 32-4=28 位。255.255.255.240

96. vlan1 是默认 pvid，默认本征 vlan也会剥离 tag。

-------------------------------------

1. display firewall session table verbose显示防火墙会话表详细信息

   ——包括五元组信息（源ip、目的ip、源端口、目的端口、协议）、会话id、会话状态、命中的安全策略、老化时间。

防火墙和会话处于三层与四层之间。mac处于二层。

capwap无线接入点的控制和配置协议——Control And Provisioning of Wireless Access Points

ap获取ip地址，发现ac	ap的状态：idle空闲
ap与ac进行capwap协议交互	download
ac成功控制ap	normal

standby：热备状态，不处理业务

2. acl编号范围：

2000-2999	基本acl	主要基于源ip地址进行匹配
3000-3999	高级acl	可基于更多条件
5000-5999	用户自定义acl	可任意指定条件

默认情况下，acl的匹配顺序是 config模式：一旦匹配立即停止。一个acl内多个acl规则同时匹配同一个数据包时，设备按精确度选择执行哪条规则，可以看通配符掩码0越多越精确。

3. • vlan的主要作用是隔离广播域；

   • dot1x 即指定使用 802.1x 的意思；

   • aes：加密算法

4. 安全区域优先级：local(100) - trust(85) - dm(demilitarized zone)(2 ) - untrust(5)

5. arp地址解析协议address resolution protocol，属于tcp/ip协议栈。在局域网内将ip->mac。分为普通arp和代理arp（有网关传话）。免费arp是指自我声明查冲突的arp。

6. ips入侵防御系统 intrusion prevention system

   ips或防火墙通常都部署在网络出口处（如企业内网与互联网的连接节点），部分ips也会部署在内网中进行核心区域防护。

   ids入侵检测系统 intrusion detection system：通常旁挂在交换机上用于检测入侵，同时可以避免单点故障影响网络运行。

7. | ip地址五大类   |       首段范围           |  默认子网掩码  | 用途 
   | ------------ | ----------------------- | ------------ | ---- 
   | A            | 1.0.0.1-126.255.255.254 | 255.0.0.0    |   大型网络
   
   ################127.0.0.1-127.255.255.255是本地回环地址##########################
    
   | B            |128.0.0.1-191.255.255.254| 255.255.0.0  |	中型网络      
   | C            |192.0.0.1-223.255.255.254| 255.255.255.0|   小型网络   
   | D            |224.0.0.0-239.255.255.255| 不固定        |   组播（视频会议）  
   | E            |240.0.0.0-255.255.255.254| 不固定        |   科研实验（私密）   

8. IP—— internet protocol；

   IP v4地址为 32bits，即四组 bytes（如上表）；

   /xx表示子网掩码前 xx位是网络位；

   子网掩码的网络位全为1；
   子网掩码的主机位全为0；

   网络范围：从子网地址开始到广播地址结束；

   子网地址的主机位全是0；
   
   广播地址的主机位全是1；

   可用 IP：排除头尾；

   子网地址（即ip地址）和子网掩码进行按位与可以得到网络地址。

   192.168.1.50 & 255.255.255.0 = 192.168.1.0 网络地址 按位或 反掩码（也叫通配符掩码 ） = 广播地址 反掩码= 255.255.255.255 - 子网掩码

9. 传输层：端到端的连接

   网络层：路由与转发

   数据链路层：帧传输

10. （1）tcp三次握手建立可靠连接：

    client：发送 syn同步报文，携带客户端的初始序列号
    server：发送 syn+ack，携带服务器的初始序列号，双向序列号同步
    client：发送 ack确认。

（2）syn flood攻击原理：用假的 ip发送 syn占用服务器的半连接资源，使正常用户被 DoS拒绝服务，无法发送 syn，并且服务器也不能发送 ack。

防火墙策略：限制 tcp半连接数、源地址异常 syn报文触发认证、差异化 DoS防御系统。

（3）域间安全策略是基于静态规则的权限过滤的基础访问控制功能，仅判断 ip/端口 是否允许在两个安全域之间通信，不检测流量行为特征。

16. 蠕虫	独立，通过网络漏洞主动传播，大量复制消耗资源
    病毒	寄生与执行破坏
    木马	隐蔽与窃取

17. pc接入 wlan的过程：

    ①扫描——广播探测请求，监听ap发出的信标帧

    ②链路认证——向 ap发送请求（802.1x）

    ③关联——ap 为 pc分配一个标识并为它预留资源，但是还是不能传输数据

    ④安全认证——四次握手

    ap 生成一个随机数发给 pc
    pc 也生成一个随机数计算出 ptk成对临时密钥并把随机数发给 ap
    ap 以同样方式计算出相同的 ptk
    互相确认密钥计算正确，并使用这个 ptk来加密后续所有的单播数据

    ⑤获取 ip地址——

    pc 在 wlan内广播一个dhcp 发现报文
    dhcp server 回复一个 dhcp提供报文
    pc 选一个提供的 ip地址，发送 dhcp 请求报文
    dhcp server 确认并下发各种信息

​ ⑥结果—— successfully entered the wlan!

18. ip v4有单播、组播、广播

    ip v6 有单播、组播、任播地址（一个ip对应多台）

19. tls传输层安全 协议，位于应用层与传输层之间的会话层，是一个密码学协议，https 通过tls实现安全通信。

    用非对称加密的安全特性来协商密钥（公钥、私钥、预备主密钥）
    用对称加密的高效率来加密数据，保证通信高效（通过非对称加密传递被对称加密保护的会话密钥）

20. firewall配置 ips入侵防御系统 的功能时，需要调用相应签名。

21. nfv网络功能虚拟化

22. 频段包含信道

23. 安全区域是网络安全设备以接口为单位，依据网络信任级别划分的逻辑网络片区，是实施安全策略的基础。

    防火墙的一个三层接口只能属于一个安全区域，此为安全隔离的基础。

    域内转发：默认不经过区域间安全策略检查

    local区域：不可改变地、代表防火墙自身。管理员不能将物理网络接口添加到该local区域，因为任何发送至防火墙的任一接口ip地址的数据包都是被自动识别为 在与local进行通信。

24. vlsm可变长子网掩码

    vrrp虚拟路由器冗余协议Virtual Router Redundancy Protocol：解决默认网关单点故障问题

25. 如果企业需要在不同 vlan之间实现流量负载分担，只能通过部署 mstp实现，stp和rstp均不具备此功能。

26. nac 网络接入控制：是一个跨越多个层次的完整安全框架，包括三种认证方式：

    802.1x, mac, portal

    (802.1x 安全性最高，不需要mac地址，只需要用户名和密码，并且只有在终端设备列表中的终端才能够通过认证)

    (portal认证通过 web页面完成)

27. IKE 互联网密钥交换 internet key exchange主要有两个阶段，

    （1）建立安全的管理通道

    • 主模式：更安全；6次消息交换；常用于站点到站点的vpn。
    • 野蛮模式：更快；3次；常用于远程接入vpn，或当有一方的ip地址不固定的情况。然而 IKE v2没有野蛮模式这个说法。

    （2）为具体的数据流协商安全参数，只有一种模式：快速模式。为特定数据流创建IPSec安全关联并生成会话密钥，可进行多次。

28. aaa支持的认证包括：不认证、本地认证、远端认证

29. snmp属于应用层，依赖传输层与网络层进行通信，使用 udp协议。

30. 默认下手工模式的 Eth-trunk，华为交换机只能将相同速率的端口加入到同一个 Eth-trunk端口，若要将不同速率的端口加入同一个 Eth-trunk接口，也可以通过相关配置命令实现。

31. 路由优先级：第一比较 管理距离 ad，（eg.直连0，静态1），第二比较度量值（RIP跳数、OSPF开销、EIGRP复合度量）

32. ac 作为管理核心，安全性要求高，通常禁用明文远程连接，不支持通过 telnet协议远程连接。

33. ssl vpn 主要提供 web代理、网络扩展、文件共享、端口转发（tcp应用接入）四种业务功能。

34. nfv 可以降低建网成本，缩短业务上线时间。

35. 192.168.1.96/29 ，/29是一个非常精确的掩码，定义了只有000共8个ip地址的网络（192.168.1.96-192.168.1.103），在选项中来说算是优先级较高。

36. 华为防火墙admin的缺省角色包含：审计管理员、配置管理员、监控管理员和系统管理员。

37. USG6000系列设备支持的证书保存文件格式有：PKCS#12（pkcs#系列之一）, DER, PEM, etc.

38. 数据传输过程中，加密技术对数据起到的保障作用有：机密性、完整性、源校验。

39. radius server 提供计费服务时使用的端口号是 1813

    remote authentication dial in user service
    远程		认证			拨号		用户服务

40. 双机热备中的核心协议 Vgmp（ VPN gateway management protocol) 华为私有的网关管理协议

• VGMP通过监控下属的所有 vrrp组的状态（主/备），来统一决定整体状态。
• 心跳口：是用于状态备份和心跳检测的接口，必须在两台设备上使用相同类型和相同编号的接口，为了系统能正确识别和建立备份通道；MTU值必须大于1500，通常大于等于9000；心跳接口的连接方式有直连/通过交换机或路由器连接；要求心跳口所在网络是一个二层可达的网络，不能经过路由器，因为vgmp心跳报文是二层广播报文。
• Vgmp组之间定期发送 hello报文（心跳报文）来检测对端设备是否存活。
• 心跳线的两个核心作用：状态检测（hello）和状态备份（…表的同步）。

41. MGMT（Management Port）带外管理口，一个管理接口
42. 信息安全发展经历的阶段：

• 信息保障
• 信息安全
• 信息加密

43. 单包攻击有：ip欺骗攻击、Smurf攻击、ip地址扫描攻法、icmp重定向攻击

44. 配置用户单点登录时，采用接受pc消息模式的认证过程：

    - 用户登录ad（活动目录 active directory）域，ad server验证才刚刚返回/下发 登录脚本
    - 登录脚本在用户pc 上执行，将用户登录信息发给 ad监控器
    - ad监控器连接 ad server 查询确认，再转发给防火墙
    - 防火墙提取用户与ip对应关系，添加到在线用户表

45. 最简单的证书包含一个公钥、名称以及证书授权中心的数字签名。

46. 防火墙部署模式：

• 路由模式（第三层）
• 透明模式（第二层）：优点是不改变现有网络拓扑和 ip规则
• 混合模式（部分接口属于第三层，部分接口属于第二层）

47. Leaf 节点作为 VXLAN Fabric 网络功能接入节点，按照接入的对象不同，可以分为 Service Leaf，Server Leaf，Border Leaf。

48. 一个 IPv6 地址主要由网络前缀和接口标识组成，其中接口标识有多种生成方式，主要包括 SDN（自动）、手工配置、EUI-64 自动生成，但与路由器的 MAC地址 无关。

49. IP Sec传输模式只加密上层协议（TCP、UDP、ICMP）和数据本身，主要用于端到端的安全通信，不保护原始IP头。 隧道模式保护整个原始IP数据包，不保护新的IP头，用于网络到网络（网关到网关）的安全通信。

50. STP、RSTP 在整个交换网络范围内只维护一棵生成树。 MSTP 允许网络中存在多棵生成树，引入了“实例”概念，可以将多个 VLAN 映射到同一个生成树实例上，每个实例独立计算自己的拓扑，能实现 VLAN 间流量负载分担。