HCIE冲刺-----------论述解析

X园区
1.防火墙放行OSPF
2.trunk口阻塞vlan1
3.关闭VPN防环
4.ospf不通检查NSSA区域配置
5.重定向可以在三层口或二层口配置
6.vlan60在ospf的相关配置

Z园区
1.mpls不通检查lo0口配置
2.isis不通检查接口IP与lldp连接
3.确认同级RR还是备份RR
4.确认策略矩阵的访问

python
1.检查库与省电模式

论述题（5分） 40
1.在一个企业园区网络中来自企业外部（例如Internet）的攻击行为可通过防火墙及Anti-DDos等设备进行防御，但是来自企业内部的攻击和安全隐患也是企业的挑战，根据上述网络在不考虑外部的攻击，当前网络是否存在安全上的隐患（网络攻击场景及解决方案，5条以上满分）

1.DHCP server仿冒攻击
在当前网络中存在仿冒的DHCP服务器，该DHCP服务器上存在一些无法正常供内部用户上网的地址段（网络信息），一旦给用户提供了错误的ip地址，会使得用户无法正常访问使用网络服务
解决方案：使用DHCP snooping信任端口技术，只将链接合法DHCP服务器的接口设置成trust端口，其余端口均保持为非信任的untrust端口
只会处理并接收信任端口发来的dhcp offer/ack报文，非信任端口发来的offer/ack丢弃

2.DHCP饿死攻击
因为默认情况下，DHCP服务器只要是收到了用户发来的DHCP discovery报文，就会主动回复offer报文。此时如果网络中存在攻击者，恶意去找网络中的DHCP服务器不断地申请IP地址做使用
     场景1：不变更MAC地址，只变更discovery报文中的chaddr字段
    因为DHCP服务器默认是根据chaddr字段的变化，从而感知到要为不同设备分配ip地址
    如果现在有攻击者在不断的变化这个字段，则对服务器而言，他就会为这些设备不断地给该用户提供ip地址，直到自身地址池耗尽，从而无法对网络中其余的合法设备提供服务
    解决方案：开启检查chaddr字段功能，使用DHCP检测chaddr字段和报文的MAC地址是否一致
    开启之后，如果发现报文的chaddr字段和报文的MAC地址不一致，丢弃该DHCP报文
    
    场景2：变更MAC地址，也变更discovery报文中的chaddr字段
    攻击者不仅变更报文chaddr字段中的MAC地址，还变化报文头部的源MAC地址，这种情况，无法单纯的靠检测CHADDR字段来判断是否存在攻击
    解决方案：不止开启检查chaddr字段功能，同时也要开启同一接口下最大学习MAC地址的数量（也可以使用更优一点的端口安全技术中的sticky mac）

3.ARP欺骗攻击（中间人攻击）
企业内网尝发生ARP欺骗攻击，攻击者主动向USER A发送伪造USER B的ARP报文，导致USER A的ARP表中记录了错误的USER B的地址映射关系，攻击者就可以获取到USER A原本要发往给USER B的数据，同样，攻击者也可以获取到USER B原本要发往给USER A的数据，形成中间人攻击
解决方案：动态ARP检测机制，动态ARP检测机制会用到两张表（静态绑定表/DHCP snooping绑定表）（ip-mac-vlan-端口）

4.源IP地址欺骗攻击，攻击者通过伪造合法用户的IP地址获取网络访问权限，非法访问网络，甚至造成合法用户无法访问网络，或者信息泄密
解决办法：IPSG（IP源防护）针对IP地址欺骗攻击提供防护机制，IPSG利用绑定表（ip-mac-vlan-端口）
当设备试能了ipsg功能之后，在接收到数据包时，就会检查数据包的四要素，如果跟表里一直，认为是合法的报文，具备访问网络的权限，如果不一致，丢弃报文，不具备访问网络的权限。

5.MAC地址泛洪攻击
非法用户不断的变化自身设备的MAC地址，让交换机学习的MAC地址数量不断在增加，直到超出该设备可以容纳的最大MAC地址数量，合法设备的MAC地址无法正常学习到，导致合法设备不具备网络访问权限，其次后续的MAC地址都作为为止单播帧处理（泛洪的方式处理），让其他设备接收到不必要的报文
解决方案：使用端口安全技术，限制每个接口下最大学习MAC地址的数量，同时，可以将合法设备MAC地址通过静态安全MAC跟sticky MAC的方式记录到设备，这样可以保证合法设备正常接入网络又防止非法设备不断变化MAC侵占网络资源

6.WIFI密码暴力破解场景
因为园区内部的WIFI信号是对所有用户公布的，只要尝试测试WIFI密码次数够多，总会试出当前WIFI密码，从而进入到内部无线中，获取信息资源
解决方案：防暴力破解技术，延缓密码泄露的时间。使用了这个技术之后，会对某个wifi信号配置相关操作，比如当ssid在一定的时间内只能被用户试错几次（一分钟只能错误5次），若超出错误次数，则临时将该用户加入到动态黑名单内（最大拉黑时间3600s），在被拉黑的时间内，就算密码测试正确，也提示该用户被锁定，无法登录到网络中。
同时，给园区内密码设置强密码

—————————————————————————————————————————————————

论述题（3分）25
2.请简要描述Cloudcampus解决方案中业务随行的工作原理，此外在部署业务随行时，若网络中存在两个认证点（这些认证点同时也作为业务随性策略执行点），并且用户分散在这两个认证点上进行准入认证，那么要实验全网业务随行方案如何设计？（至少两种方案）

业务随行是一种不管用户身处何地，使用哪个ip地址，都可以保证该用户获得相同的网络访问策略，通过定义安全组匹配的不同的用户流量，对不同的用户流量执行不同的策略

在传统园区网络中，控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现的。
这些技术要求：
1.管理员如果希望保证员工在园区内的网络权限一致，必须要求员工从指定的设备、VLAN或网段接入上线。
2.用于控制用户访问权限的ACL需要管理员提前配置好，而且其中至少需要配置禁止或允许访问的目的IP地址范围。因此，在用户使用的IP地址不固定的前提下，ACL不能用于流量的源和目的都是用户主机时的控制。
ACL与用户的关联只在认证点设备上生效。因此对于非认证点设备，例如部署在企业园区边界的防火墙设备，必须基于IP地址来配置策略。
VLAN和ACL需要在大量的认证点设备上提前配置，部署和维护工作量巨大。

传统园区网依靠ACL和VLAN这种方式去限制用户访问权限

业务随行从三个方面解决传统园区中遇到的问题：
业务策略与IP地址解耦
管理员可以在控制器上从多种维度将全网用户及资源划分为不同的“安全组”。同时通过创新软硬件设计，设备在进行策略匹配时，可以先根据报文的源/目的IP地址去匹配源/目的安全组，再根据报文的源/目的安全组去匹配管理员预定义的组间策略。
通过这样的创新，可以将传统网络中基于用户和IP地址的业务策略全部迁移到基于安全组上来。而管理员在预定义业务策略时可以无需考虑用户实际使用的IP地址，实现业务策略与IP地址的完全解耦。

方案1：非虚拟化场景（不完全是传统网络，有控制器的非vxlan场景）
1.当两台终端相互访问时，如果终端设备都在同一台汇聚设备下
2.当两台终端互访时，如果两台终端设备不在同一台汇聚设备下

方案2：虚拟化场景（vxlan场景）
1.当两台终端相互访问时，如果终端设备都在同一台汇聚设备下
2.当两台终端互访时，如果两台终端设备不在同一台汇聚设备下

—————————————————————————————————————————————————

论述（5分）25
3.1MPLS LDP与RSVP_TE在实际部署会存在一些问题，请问相较于SR，MPLS LDP与RSVP_TE在部署时会出现什么问题？
在部署MPLS LDP时存在以下哪些问题
1.LDP本身并无算路能力，需依赖IGP进行路径计算。
2.控制面需要IGP及LDP，设备之间需要发送大量的消息来维持邻居关系及路径状态，浪费了链路带宽及设备资源。
3.若LDP与IGP未同步，则可能出现数据转发问题。
在部署RSVP_TE时存在以下哪些问题
1.RSVP-TE的配置复杂，不支持负载分担。
2.为了实现TE，设备之间需要发送大量RSVP报文来维持邻居关系及路径状态，浪费了链路带宽及设备资源。
3.RSVP-TE本质上是分布式架构，每台设备只知道自己的状态，设备之间需要交互信令报文。

3.2在部署FRR功能时需要使用LFA、R-LFA、TI-LFA功能，确保LFA不会发生环路，请问为什么FRR会有潜在的环路？
答：当网络的拓扑发生变化时，比如链路或者节点发生故障，IGP首先把拓扑变化的链路状态信息分发给网络中其他节点，新的链路状态通告在网络中泛洪，然后网络中每个节点独立运行相同的路由算法，并更新自身的转发表。在这个时间段内网络节点的转发表是不一致的，一些节点仍然基于旧拓扑转发流量，而另一些节点已经按照新拓扑更新了自己的转发表。拓扑发生变化和节点转发表更新之间的时间间隔随着不同节点，不同因素的变化而变化。
比如
1、在网络中传播拓扑变化引入了时延，拓扑变化通知到节点的时间取决于拓扑变化处到该节点的距离。
2、每个节点更新转发表中前缀的顺序不能保证是相同的。
3、控制平面和数据平面的更新速度有差异，跟CPU,ASIC,平台架构等相关。
   则会导致数据包在转发时出现A根据最新收敛的路由信息，将数据包转发给了B设备，而B设备此时路由未收敛完成，认为去往目的地最优的下一跳仍为A设备，从而导致临时环路产生，这种环路存在时间较短，故称之为微环。
   在FRR中，不论是采用LFA、R-LFA亦或者是TI-LFA，都会有可能存在上述微环的风险存在。

因为LFA在很多情况下，计算不出一个合适的下一跳，因为只有满足两个算法才会生成备份路径，也就是说LFA算不出一个无环链路时，就不会帮你去计算出一个备份路径，而他如果不会帮我计算出一个备份路径的时候，又需要靠设备自身收敛，又会出现微环的情况

  LFA的工作机制：
LFA的原理是找到一个非主下一跳（即不是最短转发路径上的下一跳）的邻居节点，如果这个邻居节点到目的节点的最短路径不经过源节点，则这个邻居节点为无环备份下一跳。本质上来说，LFA有两种保护机制，一种是链路保护机制、一种是节点保护机制。两种保护机制均有对应的保护公式。
如链路保护场景可用如下公式计算无环下一跳：
Distance_opt(N, D) < Distance_opt(N, S) + Distance_opt(S, D)
以上公式的意思为：从邻居节点N到目的节点D的距离比从邻居节点N到S然后再从S到目的节点D的距离短，也即从邻居节点N到目的节点D的最短路径不会经过S。如果邻居节点满足上述公式，则该邻居满足链路保护条件，即流量不会从LFA节点重新回到S节点。
    如节点保护场景可以用如下公式计算无环的下一跳：
当发生节点故障时，流量需要从最短路径上S的下一跳节点绕行。所以如果邻居节点同时满足下述公式，则该邻居满足节点保护条件。
Distance_opt(N, D) < Distance_opt(N, S) + Distance_opt(S, D)
Distance_opt(N, D) < Distance_opt(N, E) + Distance_opt(E, D)
以上公式的意思为：从邻居节点N到达目的节点D的距离比先到主下一跳节点E然后再从E到目的节点D的距离短，也即从邻居节点N到目的节点D的最短路径不会经过故障节点E。这种情况下，邻居节点N可以作为节点故障时的LFA节点。
邻居节点满足上述两个公式，则可以作为对应设备的保护节点。
但LFA的问题在于它不能覆盖所有场景，在很多拓扑下，LFA无法计算合适的备份下一跳。如整张网络拓扑的开销无法满足上述任何链路保护公式的情况下，则会导致无法通过LFA计算出备份路径，从而只能靠路由协议进行收敛，导致最初的微环问题发生。

—————————————————————————————————————————————————

新改动论述题:
4.在大规模组网中部署BGP一般需要部署双RR，保障RR的可靠性，但在部署时会将两台RR的cluster id的值人为设置成一样的,请问这样做有什么好处？
在做备份时，两台RR分别和网络中其他所有设备建立BGP邻居关系时，如果此时反射器簇ID不一致，则可能导致反射器A将路由大批量的反射给反射器B，同理，反射器B也会将路由大批量的反射给反射器A。这个时候，两台反射器就学习到了过多无用的路由。如果此时将两台设备的反射器簇ID设置成一样的话，可以使反射器A传递给反射器B的路由，反射器B不接收。这样对于其他非反射器设备而言，能够从两台反射器都学习路由的情况下，还减少了两台反射器之间的路由学习数量。