2015年計算機四級《信息安全工程師》備考知識大全

　　一、什么是三層交換，和路由的區別在那里?

　　答案：

　　三層交換機和路由器都可工作在網(wǎng)絡(luò )的第三層，根據ip地址進(jìn)行數據包的轉發(fā)(或交換)，原理上沒(méi)有太大的區別，這兩個(gè)名詞趨向于統一，我們可以認為三層交換機就是一個(gè)多端口的路由器。

　　但是傳統的路由器有3個(gè)特點(diǎn)：基于CPU的單步時(shí)鐘處理機制;能夠處理復雜的路由算法和協(xié)議;主要用于廣域網(wǎng)的低速數據鏈路

　　在第三層交換機中，與路由器有關(guān)的第三層路由硬件模塊也插接在高速背板/總線(xiàn)上，這種方式使得路由模塊可以與需要路由的其他模塊間高速的交換數據，從而突破了傳統的外接路由器接口速率的限制(10Mbit/s---100Mbit/s)。

　　對路由知識的掌握情況，對方提出了一個(gè)開(kāi)放式的問(wèn)題：簡(jiǎn)單說(shuō)明一下你所了解的路由協(xié)議。

　　路由可分為靜態(tài)&動(dòng)態(tài)路由。靜態(tài)路由由管理員手動(dòng)維護;動(dòng)態(tài)路由由路由協(xié)議自動(dòng)維護。

　　路由選擇算法的必要步驟：1、向其它路由器傳遞路由信息;2、接收其它路由器的路由信息;3、根據收到的路由信息計算出到每個(gè)目的網(wǎng)絡(luò )的最優(yōu)路徑，并由此生成路由選擇表;4、根據網(wǎng)絡(luò )拓撲的變化及時(shí)的做出反應，調整路由生成新的路由選擇表，同時(shí)把拓撲變化以路由信息的形式向其它路由器宣告。

　　兩種主要算法：距離向量法(Distance Vector Routing)和鏈路狀態(tài)算法(Link-State Routing)。由此可分為距離矢量(如：RIP、IGRP、EIGRP)&鏈路狀態(tài)路由協(xié)議(如：OSPF、IS-IS)。

　　路由協(xié)議是路由器之間實(shí)現路由信息共享的一種機制，它允許路由器之間相互交換和維護各自的路由表。當一臺路由器的路由表由于某種原因發(fā)生變化時(shí)，它需要及時(shí)地將這一變化通知與之相連接的其他路由器，以保證數據的正確傳遞。路由協(xié)議不承擔網(wǎng)絡(luò )上終端用戶(hù)之間的數據傳輸任務(wù)。

　　二、簡(jiǎn)單說(shuō)下OSPF的操作過(guò)程。

　　答案：

　�、俾酚善靼l(fā)送HELLO報文;②建立鄰接關(guān)系;③形成鏈路狀態(tài)④SPF算法算出最優(yōu)路徑⑤形成路由表

　　OSPF路由協(xié)議的基本工作原理，DR、BDR的選舉過(guò)程，區域的作用及LSA的傳輸情況(注：對方對OSPF的相關(guān)知識提問(wèn)較細，應著(zhù)重掌握)。

　　特點(diǎn)：1、收斂速度快;2、支持無(wú)類(lèi)別的路由表查詢(xún)、VLSM和超網(wǎng)技術(shù);3、支持等代價(jià)的多路負載均衡;4、路由更新傳遞效率高(區域、組播更新、DR/BDR);5、根據鏈路的帶寬(cost)進(jìn)行最優(yōu)選路。

　　通過(guò)發(fā)關(guān)HELLO報文發(fā)現鄰居建立鄰接關(guān)系，通過(guò)泛洪L(cháng)SA形成相同鏈路狀態(tài)數據庫，運用SPF算法生成路由表。

　　DR/BDR選舉：1、DR/BDR存在->不選舉;達到2-way狀態(tài)Priority不為0->選舉資格;3、先選BDR后DR;4、利用“優(yōu)先級”“RouterID”進(jìn)行判斷。

　　1、通過(guò)劃分區域可以減少路由器LSA DB，降低CPU、內存、與LSA泛洪帶來(lái)的開(kāi)銷(xiāo)。2、可以將TOP變化限定在單個(gè)區域，加快收斂。

　　LSA1、LSA2只在始發(fā)區域傳輸;LSA3、LSA4由ABR始發(fā)，在OSPF域內傳輸;LSA5由ASBR始發(fā)在OSPF的AS內傳輸;LSA7只在NSSA內傳輸。

　　三、OSPF有什么優(yōu)點(diǎn)?為什么OSPF比RIP收斂快?

　　優(yōu)點(diǎn)：

　　1、收斂速度快;2、支持無(wú)類(lèi)別的路由表查詢(xún)、VLSM和超網(wǎng)技術(shù);3、支持等代價(jià)的多路負載均衡;4、路由更新傳遞效率高(區域、組播更新、DR/BDR);5、根據鏈路的帶寬進(jìn)行最優(yōu)選路

　　采用了區域、組播更新、增量更新、30分鐘重發(fā)LSA

　　四、RIP版本1跟版本2的區別?

　　答：①RIP-V1是有類(lèi)路由協(xié)議，RIP-V2是無(wú)類(lèi)路由協(xié)議②RIP-V1廣播路由更新，RIP-V2組播路由更新③RIP-V2路由更新所攜帶的信息要比RIP-V1多

　　五、描述RIP和OSPF，它們的區別、特點(diǎn)。

　　RIP協(xié)議是一種傳統的路由協(xié)議，適合比較小型的網(wǎng)絡(luò )，但是當前Internet網(wǎng)絡(luò )的迅速發(fā)展和急劇膨脹使RIP協(xié)議無(wú)法適應今天的網(wǎng)絡(luò )。

　　OSPF協(xié)議則是在Internet網(wǎng)絡(luò )急劇膨脹的時(shí)候制定出來(lái)的，它克服了RIP協(xié)議的許多缺陷。

　　RIP是距離矢量路由協(xié)議;OSPF是鏈路狀態(tài)路由協(xié)議。

　　RIP&OSPF管理距離分別是：120和110

　　1.RIP協(xié)議一條路由有15跳(網(wǎng)關(guān)或路由器)的限制，如果一個(gè)RIP網(wǎng)絡(luò )路由跨越超過(guò)15跳(路由器)，則它認為網(wǎng)絡(luò )不可到達，而OSPF對跨越路由器的個(gè)數沒(méi)有限制。

　　2.OSPF協(xié)議支持可變長(cháng)度子網(wǎng)掩碼(VLSM)，RIP則不支持，這使得RIP協(xié)議對當前IP地址的缺乏和可變長(cháng)度子網(wǎng)掩碼的靈活性缺少支持。

　　3.RIP協(xié)議不是針對網(wǎng)絡(luò )的實(shí)際情況而是定期地廣播路由表，這對網(wǎng)絡(luò )的帶寬資源是個(gè)極大的浪費，特別對大型的廣域網(wǎng)。OSPF協(xié)議的路由廣播更新只發(fā)生在路由狀態(tài)變化的時(shí)候，采用IP多路廣播來(lái)發(fā)送鏈路狀態(tài)更新信息，這樣對帶寬是個(gè)節約。

　　4.RIP網(wǎng)絡(luò )是一個(gè)平面網(wǎng)絡(luò )，對網(wǎng)絡(luò )沒(méi)有分層。OSPF在網(wǎng)絡(luò )中建立起層次概念，在自治域中可以劃分網(wǎng)絡(luò )域，使路由的廣播限制在一定的范圍內，避免鏈路中繼資源的浪費。

　　5.OSPF在路由廣播時(shí)采用了授權機制，保證了網(wǎng)絡(luò )安全。

　　上述兩者的差異顯示了OSPF協(xié)議后來(lái)居上的特點(diǎn)，其先進(jìn)性和復雜性使它適應了今天日趨龐大的Internet網(wǎng)，并成為主要的互聯(lián)網(wǎng)路由協(xié)議。

　　六、什么是靜態(tài)路由?什么是動(dòng)態(tài)路由?各自的特點(diǎn)是什么?

　　答案：

　　靜態(tài)路由是由管理員在路由器中手動(dòng)配置的固定路由，路由明確地指定了包到達目的地必須經(jīng)過(guò)的路徑，除非網(wǎng)絡(luò )管理員干預，否則靜態(tài)路由不會(huì )發(fā)生變化。靜態(tài)路由不能對網(wǎng)絡(luò )的改變作出反應，所以一般說(shuō)靜態(tài)路由用于網(wǎng)絡(luò )規模不大、拓撲結構相對固定的網(wǎng)絡(luò )。

　　靜態(tài)路由特點(diǎn)：

　　1、它允許對路由的行為進(jìn)行精確的控制;

　　2、減少了網(wǎng)絡(luò )流量;

　　3、是單向的;

　　4、配置簡(jiǎn)單。

　　動(dòng)態(tài)路由是網(wǎng)絡(luò )中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過(guò)程。是基于某種路由協(xié)議來(lái)實(shí)現的。常見(jiàn)的路由協(xié)議類(lèi)型有：距離向量路由協(xié)議(如RIP)和鏈路狀態(tài)路由協(xié)議(如OSPF)。路由協(xié)議定義了路由器在與其它路由器通信時(shí)的一些規則。動(dòng)態(tài)路由協(xié)議一般都有路由算法。其路由選擇算法的必要步驟：

　　1、向其它路由器傳遞路由信息;

　　2、接收其它路由器的路由信息;

　　3、根據收到的路由信息計算出到每個(gè)目的網(wǎng)絡(luò )的最優(yōu)路徑，并由此生成路由選擇表;

　　4、根據網(wǎng)絡(luò )拓撲的變化及時(shí)的做出反應，調整路由生成新的路由選擇表，同時(shí)把拓撲變化以路由信息的形式向其它路由器宣告。

　　動(dòng)態(tài)路由適用于網(wǎng)絡(luò )規模大、拓撲復雜的網(wǎng)絡(luò )。

　　動(dòng)態(tài)路由特點(diǎn)：

　　1、無(wú)需管理員手工維護，減輕了管理員的工作負擔。

　　2、占用了網(wǎng)絡(luò )帶寬。

　　3、在路由器上運行路由協(xié)議，使路由器可以自動(dòng)根據網(wǎng)絡(luò )拓樸結構的變化調整路由條目;

　　七、VLAN和VPN有什么區別?分別實(shí)現在OSI的第幾層?

　　VPN是一種三層封裝加密技術(shù)，VLAN則是一種第二層的標志技術(shù)(盡管ISL采用封裝)，盡管用戶(hù)視圖有些相象，但他們不應該是同一層次概念。

　　VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內的設備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現虛擬工作組的新興技術(shù)。

　　VLAN在交換機上的實(shí)現方法，可以大致劃分為2大類(lèi)：基基于端口劃分的靜態(tài)VLAN;2、基于MAC地址|IP等劃分的動(dòng)態(tài)VLAN。當前主要是靜態(tài)VLAN的實(shí)現。

　　跨交換機VLAN通訊通過(guò)在TRUNK鏈路上采用Dot1Q或ISL封裝(標識)技術(shù)。

　　VPN(虛擬專(zhuān)用網(wǎng))被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò )(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò )的安全、穩定的隧道。

　　VPN使用三個(gè)方面的技術(shù)保證了通信的安全性：隧道協(xié)議、數據加密和身份驗證。

　　VPN使用兩種隧道協(xié)議：點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)和第二層隧道協(xié)議(L2TP)。

　　VPN采用何種加密技術(shù)依賴(lài)于VPN服務(wù)器的類(lèi)型，因此可以分為兩種情況。

　　對于PPTP服務(wù)器，將采用MPPE加密技術(shù) MPPE可以支持40位密鑰的標準加密方案和128位密鑰的增強加密方案。只有在 MS-CHAP、MS-CHAP v2 或 EAP/TLS 身份驗證被協(xié)商之后，數據才由 MPPE 進(jìn)行加密，MPPE需要這些類(lèi)型的身份驗證生成的公用客戶(hù)和服務(wù)器密鑰。

　　對于L2TP服務(wù)器，將使用IPSec機制對數據進(jìn)行加密 IPSec是基于密碼學(xué)的保護服務(wù)和安全協(xié)議的套件。IPSec 對使用 L2TP 協(xié)議的 VPN 連接提供機器級身份驗證和數據加密。在保護密碼和數據的 L2TP 連接建立之前，IPSec 在計算機及其遠程VPN服務(wù)器之間進(jìn)行協(xié)商。IPSec可用的加密包括 56 位密鑰的數據加密標準DES和 56 位密鑰的三倍 DES (3DES)。

　　VPN的身份驗證方法：

　　前面已經(jīng)提到VPN的身份驗證采用PPP的身份驗證方法，下面介紹一下VPN進(jìn)行身份驗證的幾種方法。

　　CHAP CHAP通過(guò)使用MD5(一種工業(yè)標準的散列方案)來(lái)協(xié)商一種加密身份驗證的安全形式。CHAP 在響應時(shí)使用質(zhì)詢(xún)-響應機制和單向 MD5 散列。用這種方法，可以向服務(wù)器證明客戶(hù)機知道密碼，但不必實(shí)際地將密碼發(fā)送到網(wǎng)絡(luò )上。

　　MS-CHAP 同CHAP相似，微軟開(kāi)發(fā)MS-CHAP 是為了對遠程 Windows 工作站進(jìn)行身份驗證，它在響應時(shí)使用質(zhì)詢(xún)-響應機制和單向加密。而且 MS-CHAP 不要求使用原文或可逆加密密碼。

　　MS-CHAP v2 MS-CHAP v2是微軟開(kāi)發(fā)的第二版的質(zhì)詢(xún)握手身份驗證協(xié)議，它提供了相互身份驗證和更強大的初始數據密鑰，而且發(fā)送和接收分別使用不同的密鑰。如果將VPN連接配置為用 MS-CHAP v2 作為唯一的身份驗證方法，那么客戶(hù)端和服務(wù)器端都要證明其身份，如果所連接的服務(wù)器不提供對自己身份的驗證，則連接將被斷開(kāi)。

　　EAP EAP 的開(kāi)發(fā)是為了適應對使用其他安全設備的遠程訪(fǎng)問(wèn)用戶(hù)進(jìn)行身份驗證的日益增長(cháng)的需求。通過(guò)使用 EAP，可以增加對許多身份驗證方案的支持，其中包括令牌卡、一次性密碼、使用智能卡的公鑰身份驗證、證書(shū)及其他身份驗證。對于VPN來(lái)說(shuō)，使用EAP可以防止暴力或詞典攻擊及密碼猜測，提供比其他身份驗證方法(例如 CHAP)更高的安全性。

　　在Windows系統中，對于采用智能卡進(jìn)行身份驗證，將采用EAP驗證方法;對于通過(guò)密碼進(jìn)行身份驗證，將采用CHAP、MS-CHAP或MS-CHAP v2驗證方法。

【計算機四級《信息安全工程師》備考知識】相關(guān)文章：

計算機四級《信息安全工程師》備考知識03-14

計算機四級信息安全工程師備考知識08-15

2017計算機四級《信息安全工程師》備考知識05-10

計算機四級信息安全工程師備考測試題02-13

2017計算機四級考試信息安全工程師備考題08-12

2017年9月計算機四級信息安全工程師備考知識點(diǎn)匯總01-11

2015計算機四級《信息安全工程師》基礎知識（三）05-28

2017計算機四級《信息安全工程師》知識點(diǎn)匯總05-05

2015計算機四級《信息安全工程師》基礎知識（一）06-06