1.网关
2.ospf认证
3.vrrp
网关就是按照原来的套路讲,不过考官老是打断我,
比如我说网关放在接入浪费地址,考官问我有什么机制可以节约地址
我说堆叠,内部做NAT,考官问我还有呢?我答不出来,后来考官总结时
说supervlan 和muxvlan等技术(我当时怎么就没有想到呢?)
ospf认证,问了几句就转话题,问我ospf引入外部路由,怎么避免次优?
我答了 NSSA 引入使用了FA地址
问我ISIS怎么避免次优,我说有level2到level1的泄露,考官又问我
知不知道level1到level2的泄露,我就有点懵逼了,我说默认level-1
的路由都会到level2 里,考官说,对,就是问你这么命令有什么作用?
没有答上来。后来说让我自己查,我查了下应该就是可以过滤掉一部分,
只有一部分引入level-2
后来又问虚链路应用有哪些问题要注意,我说有的情况不能汇总,会有次优
路径,会有环路。考官问,还有么?我说我只想到这么多。后来总结,
骨干区域不能配制虚链路,nssa,stub区域不能配制虚链路
认证这一块本来想说 序列号 可以防重放攻击的,考官没有让我说
后来又让我说ISIS的认证,
我说ISIS有三种认证,
接口认证可以认证邻居关系,
area认证是level-1LSP认证,不通过就没有路由
domain认证是level-2LSP认证,不通过就没有路由
然后就是vrrp
我先说了vrrp的0 和 255 的优先级不能配置
因为 0 的优先级 是在master主动放弃 主的报文中携带的,可以快速切换
255 的优先级 是 用来给ip地址和 虚拟ip地址一样的svi用的
然后,我说了vrrp的选举,先看优先级,再看ip地址大的
后来说vrrp可以使用md5认证
考官让我讲 vrrp 是怎么计算虚拟mac的
我说 是 00 00 5e 00 01 xx xx是组号
让后我加了一句,终端用ARP请求网关ip的mac地址时,是MASTER
设备负责回复一个IP地址和上面虚拟mac的对应关系
考官就问我,如果svi的ip和虚拟ip一样,那么MASTER回复的
是实际MAC还是虚拟MAC,我想了下说是虚拟MAC
考官问我三层交换机是如何决定回复哪个MAC,我说在svi下的配置
有物理ip地址和vrrp的配置,设备通过这个配置应该可以判断应该
回复虚拟地址
后来又问我,如果报文已经到了MASTER设备,但是此时MASTER的上行
链路刚好断了,那么数据包怎么走,我说
如果两个冗余网关之间有有路由邻居可以传递路由的话,应该可以从另外
一个网关出去,如果网关之间没有路由邻居,只是运行生成树协议的话应该
就是丢包了。
然后考官又问我,交换机收到一个数据包之后到底怎么处理?
我说,首先看是不是组播mac地址
考官说只考虑单播MAC的情况
我说那就先看单播目的MAC是不是交换机自己的MAC,如果是的话,拆开
二层,走三层转发。如果目的MAC不是交换机自己的MAC,就查找mac地址表
转发。然后就结束了,考官总结了下我没有答上来的问题。
然后说我答的还不错,问了问男考官,也没有问题,就结束了。
原文地址:http://blog.51cto.com/enderjoe/2115608