数通与网络基础知识

1.路由器的功能?是做什么用的?请简述三层转发原理?

功能：

路由器功能

连接外网：路由器的主要作用是连接本地局域网和外部广域网，如家庭宽带通常通过PPPOE协议连接到电信运营商提供的网络。

路由功能：路由器负责将从广域网收到的数据发送到局域网内的设备，并将局域网内的数据发送到广域网。这是路由器的基本功能，也是其核心作用。

防火墙功能：高端路由器或软路由通常具备全面的防火墙功能，包括外网黑名单、禁ping等基础功能，保护网络免受外部威胁。

集成无线功能：现代路由器通常集成WIFI功能，为智能手机、智能家居等产品提供无线网络连接。

媒体服务器功能：部分家庭路由器还提供轻量级的媒体服务器功能，用于家庭网络中的媒体共享和服务。

交换机功能

局域网连接：交换机主要用于连接多个以太网物理段，提供局域网内的数据交换服务。它通过MAC地址映射表进行数据转发，提高局域网性能和扩展性。

隔离冲突域：交换机通过隔离冲突域，减少网络中的冲突，提高网络稳定性和效率。

桥接和交换：交换机利用桥接和交换技术，提高局域网内的数据传输速度和效率。

应用场景区别

路由器适用于需要连接外部网络或多个不同类型网络的场景，如家庭宽带接入、企业网络出口等。

交换机则适用于局域网内部，用于扩展网络设备和提高网络性能，如办公室、学校等内部网络环境。

作用：

路由器的作用

路由器的主要作用是连接不同的网络，实现网络间的数据传输

数据转发：路由器根据目的地址选择最佳路径，将数据包传输到目的地。它通过分析数据包的目的地址，使用路由表选择最佳路径进行传输。

网络地址转换（NAT）：路由器可以将私有IP地址转换为公共IP地址，使得局域网内的设备可以通过一个公共IP地址访问互联网。

路由选择：路由器根据传输费用、转接时延、网络拥塞等因素选择最佳路径，确保数据高效传输。

协议控制信息交互：路由器通过交互路由等协议控制信息，实现网络中的路由选择和数据转发。

交换机的作用

交换机主要用于连接局域网中的各个设备

数据交换：交换机根据设备的MAC地址将数据包传送到相应的目标设备，实现局域网内设备之间的通信。

隔离冲突域：交换机可以隔离冲突域，减少网络中的冲突，提高网络性能。

扩展局域网：通过桥接和交换技术，交换机可以扩展局域网的范围，提高网络的覆盖和性能。

提供独享通路：交换机为接入的任意两个网络节点提供独享的电信号通路，确保数据传输的稳定性和速度。

三层转发原理：

三层转发：基于IP地址进行转发，使用路由表进行决策，适用于不同子网之间的通信。三层转发需要处理IP层的信息，包括IP地址和路由选择。

接收数据包：当路由器接收到一个数据包时，它会首先提取数据包中的目标IP地址和子网掩码，然后计算目标网络地址。

查找路由表：路由器会根据目标网络地址查找其维护的路由表。如果找到了匹配的条目，路由器就会按照该条目指定的出口接口将数据包转发到下一个路由器。

处理默认路由：如果路由表中没有找到匹配的目标网络地址，路由器会查看是否有默认路由。如果有默认路由，就按照默认路由的出口发送数据包；如果没有找到匹配的路由，则会向源IP发送一个出错ICMP数据包，表明无法传递该数据包。

直连路由处理：对于直连路由，路由器会根据第二层的MAC地址直接发送数据包到目标站点。

 

2.路由器解决什么问题，原理是什么?

问题：

路由器主要解决网络之间的数据传输和路由选择问题。路由器通过分析数据包的目的地址，使用路由表选择最佳路径将数据包传输到目的地。路由表由路由器自动构建和维护，包含网络拓扑结构和下一跳地址等信息。

 

路由器的原理：

路由选择和数据包转发：当数据包到达路由器时，路由器通过分析数据包的目的地址，使用路由表选择最佳路径将数据包传输到目的地。路由表包含网络拓扑结构和下一跳地址等信息。

网络地址转换（NAT）：路由器还可以执行网络地址转换（NAT），将私有IP地址转换为公共IP地址，以实现对Internet的访问。

路由协议：为了实现自动化的路由选择，路由器之间需要进行通信和信息交换。路由协议从最初的RIP发展到现在的SR和SDN控制器，实现了从静态到动态的复杂系统。

 

3.路由表内的表项?选路策略-用什么方式选路?

表项：

目的地址（Destination）：标识IP包的目的地址或目的网络。

网络掩码（Mask）：与目的地址一起标识目的主机或路由器所在的网段的地址。

优先级（Pre）：标识路由加入IP路由表的优先级，用于在多个路由中选择优先级最高的路由。

下一跳IP地址（Next Hop）：说明IP包所经过的下一个路由器的IP地址。

输出接口（Interface）：说明IP包将从该路由器哪个接口转发。

路由开销（Cost）：当到达一个目的地的多个路由优先级相同时，路由开销最小的将成为最优路由。

 

选路策略：

最长掩码匹配原则：当路由表中存在多个路由表项指向同一目的地址时，路由器会选择掩码最长（即网络号最短）的路由表项进行转发，这样可以确保路由的精确匹配和高效利用。

优先级原则：如果路由表中存在多个目的网段范围相同的路由，路由器会根据路由优先级进行选择。优先级数值越小，优先级越高，路由将被优先选择‌。

度量值（开销）原则：在优先级相同的情况下，路由器会根据度量值（开销）进行选择。度量值越小，开销越小，路由将被优先选择

 

选路方式：

度量值比较：当路由器使用同一种路由协议学习到多个前往同一目的地的路由时，它们会使用度量值（metric）进行竞争。度量值通常基于路径长度、可靠性、延迟、带宽、负载等性能参数。竞争结果将选出该协议认为的最优路由，并提交给路由表进行进一步考虑。

管理距离（路由优先级）判断：当多个路由协议（包括静态路由）提交的去往同一目的地的路由到达路由表时，路由器会比较它们的管理距离（也称为路由优先级）。管理距离是一个0~255的整数，数值越小代表路由优先级越高。路由器会选择管理距离数值最小的路由作为最优路由，并将其写入路由表中。

最长匹配原则：在查找路由表时，路由器会遵循最长匹配原则。这意味着路由器会查找对目标网络最精确的路由条目，即掩码最长的那条路由。如果有多条路由条目可以匹配目标地址，路由器会选择掩码长度最长的那条路由进行转发。

 

4.什么是ECMP?

ECMP：

ECMP是一个逐跳的基于流的负载均衡策略，当路由器发现同一目的地址出现多个最优路径时，会更新路由表，为此目的地址添加多条规则，对应于多个下一跳。可同时利用这些路径转发数据，增加带宽。ECMP算法被多种路由协议支持，例如：OSPF、ISIS、EIGRP、BGP等。

 

5.IGP和EGP有什么区别?

区别：

IGP：IGP是在一个自治系统（AS）内部使用的路由协议。它的主要目的是在单一自治系统内提供内部路由信息，确保数据包能够在自治系统内部高效、准确地从一个网络节点传输到另一个网络节点。

EGP：EGP用于不同自治系统之间的路由信息交换。它的主要目的是在不同自治系统之间传递路由信息，使得数据包能够跨越不同的自治系统。EGP适用于更大规模的网络，涉及多个自治系统。

 

6.应用层的协议在网络层哪些是UDP的协议?

DNS（域名系统）、TFTP（简单文件传输协议）以及SNMP（简单网络管理协议）等。

 

7.二进制 VLSM CIDR

二进制

二进制是计算机内部使用的数制系统，由0和1两个数字组成。在IP地址和网络掩码中，二进制表示法用于精确控制网络地址和主机地址的划分。

 

VLSM（可变长子网掩码）

VLSM是为了解决固定长度子网掩码（FLSM）的局限性而提出的。FLSM要求一个网络中的所有子网使用相同的子网掩码长度，这可能导致IP地址的浪费。而VLSM允许在同一个网络中使用不同长度的子网掩码，从而可以根据实际需求灵活划分子网，提高IP地址的利用率。VLSM通过借用主机位来扩展网络位的长度，实现子网的进一步划分。

 

CIDR（无类域间路由）

CIDR是一种用于对互联网IP地址进行聚合和分配的技术。它打破了传统的基于类别的IP地址分配方案（如A类、B类、C类等），引入了可变长度子网掩码的概念。CIDR使用前缀长度来表示IP地址的网络部分的位数，从而实现了对IP地址的更灵活和高效的分配。CIDR还支持路由聚合，可以将多个连续的IP地址块聚合成一个较小的路由表项，减少路由表的大小和维护成本。CIDR的引入延长了IPv4地址空间的使用寿命，并提高了互联网的路由效率和可扩展性。

 

8.什么是浮动路由，配置上如何实现?

浮动路由：

浮动路由又称为路由备份，由两条或多条链路组成，这些链路的目的地址相同但下一跳地址不同。通过给这些静态路由设置不同的优先级，优先级高的链路作为主链路，优先级低的链路作为备份链路。当主链路出现故障时，备份链路会顶替主链路承担数据转发任务，从而保持网络的不中断。

浮动路由的主要作用是预防单链路故障，确保网络的连续性和可靠性。在同一时刻，数据只会由一条链路进行转发，当主链路故障恢复时，主链路会重新进入路由表，而备份链路则会变为不可用状态并移出路由表。

 

浮动路由的实现方式

配置两条静态路由：设置相同的目的地址和不同的下一跳地址，并赋予不同的优先级。

优先级设置：优先级高的静态路由作为主链路，优先级低的静态路由作为备份链路。

故障切换：当主链路出现故障时，备份链路会自动接管数据转发任务，确保网络的不中断。

 

9.远程登录有哪些认证方式?本地登录和远程登录哪个需要的安全性更高?

认证方式：

密码认证：这是最基础的认证方式，用户在尝试通过Telnet或SSH连接到服务器时，需要输入用户名和密码。密码以明文形式在网络上传输，安全性较低，容易受到密码破解等攻击。

AAA认证（Authentication, Authorization, and Accounting）：在网络设备和服务器中，AAA可以作为一种认证框架，提供更为安全和集中化的访问控制机制。

公钥认证：使用非对称加密算法，用户需要在客户端生成一对公钥和私钥，将公钥上传到服务器，连接时服务器用公钥验证用户的身份。这种方式安全性较高，但需要预先设置公钥。

双因素认证：结合密码和其他因素（如手机验证码、指纹识别等），增强安全性。例如，在使用SSH进行远程登录时，除了输入用户名和密码外，还需要输入手机验证码。

Kerberos认证：这是一种网络认证协议，使用票证机制进行身份验证。Kerberos认证可以提高安全性和便捷性，但需要在网络环境中配置Kerberos服务器和客户端。

 

安全性：

远程登录需要的安全性更高。这是因为远程登录需要通过互联网进行，数据在传输过程中更容易受到恶意攻击，因此需要更高的安全性措施来保护数据和用户信息

 

10.RSA和password有什么区别，为什么要使用RSA认证，RSA的配置思路?

区别：

RSA：是一种非对称加密算法，使用一对密钥——公钥和私钥。公钥用于加密数据，私钥用于解密。RSA的加密过程可以表示为：密文 = 明文^E mod N，解密过程为：明文 = 密文^D mod N。

Password：通常指的是一个简单的字符串，用于验证用户的身份，不涉及复杂的加密算法。密码的验证过程是通过将用户输入的密码与系统存储的密码进行比对来实现的。

 

RSA认证：

使用RSA认证的主要原因包括其安全性、适用性和灵活性。

安全性

RSA认证使用非对称加密算法，这意味着它依赖于一对密钥：一个公钥和一个私钥。公钥可以公开，而私钥必须保密。

数据加密：在传输敏感数据时，可以使用公钥加密数据，只有持有对应私钥的接收方才能解密，从而确保数据在传输过程中的保密性。

数字签名：发送方可以使用私钥对数据进行签名，接收方使用公钥验证签名，确保数据的完整性和真实性，防止数据被篡改。

适用性和灵活性

RSA认证适用于多种场景，包括但不限于：

电子商务：在电子商务中，商家可以使用RSA算法对订单进行数字签名，确保订单的真实性和完整性。

在线银行：在网银等场景中，用户可以使用RSA算法生成一对公私钥，将公钥发送给银行，银行使用公钥对数据进行加密，只有用户拥有私钥才能解密，从而实现身份认证。

电子邮件：RSA可以用于电子邮件加密，确保邮件的机密性和安全性。

虚拟私人网络（VPN）：RSA可以用于创建VPN，保护网络通信的隐私和安全。

 

RSA的配置思路：

创建RSA密钥对

执行命令：在设备上可以直接创建RSA密钥对，无需再将密钥对导入到设备的内存中。

pki rsa local-key-pair create key-name [modulus modulus-size] [exportable]

导入RSA密钥对

通过FTP/SFTP传输：当需要使用其他PKI实体产生的密钥对时，可以通过FTP/SFTP将密钥对传到设备上，然后导入到设备的内存中

pki import rsa-key-pair key-name [include-cert realm realm-name] {pem|pkcs12} file-name [exportable] [password password]

或者

pki import rsa-key-pair key-name der file-name [exportable]

其中，include-cert参数表示是否包含证书，pem或pkcs12表示证书的格式，exportable参数表示创建的密钥对是否可导出‌12。

RSA密钥对的生成原理

生成公钥和私钥：RSA加密算法通过随机挑选两个大质数p和q，构造n=pq，然后计算欧拉函数φ(n)=(p-1)(q-1)。接着，随机挑选一个与φ(n)互素的整数e，并计算d，使得e*d≡1(mod φ(n))。公钥为(e,n)，私钥为(d,n)。

加密和解密过程：加密过程是将明文m进行E次方后除以n求余数，即c=m^e mod n。解密过程是将密文c进行D次方后除以n求余数，即m=c^d mod n。解密过程利用了欧拉定理和模反元素的概念。

 

11.高级ACL五元组有哪些，如何区分数据流?

五元组：

源IP：数据包的源IP地址。

目的IP：数据包的目的IP地址。

源端口：数据包的源端口号。

目的端口：数据包的目的端口号。

协议类型：数据包使用的协议类型，如TCP、UDP等。

 

区分数据流：

匹配源IP和目的IP：确定数据包的源地址和目的地址是否符合特定的规则。

匹配源端口和目的端口：确定数据包的源端口和目的端口是否符合特定的规则。

匹配协议类型：确定数据包使用的协议类型是否符合特定的规则。

 

12.ACL有哪些分类和作用?

ACL的分类：

①基本ACL：2000~2999，仅使用报文的源IP地址。

②高级ACL：3000~3999，可使用IPv4报文的源IP地址、目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口号、UDP源目的端口号、生效时间段等来定义规则。

③二层ACL：4000~4999，使用报文的以太网帧头信息来定义规则，如根据源MAC地址、目的MAC地址、二层协议类型等。

④用户自定义ACL：5000~5999，使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则。

⑤用户ACL：6000~6999，既可使用IPv4报文的源!P地址或源UCL(User Control List)组，也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。

 

作用：

限制网络流量：通过ACL可以限制网络中的流量，提供网络性能。

控制通信流量：ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

提供网络安全：ACL是提供网络安全访问的基本手段，可以在路由器端口处决定哪种类型的通信流量被转发或阻塞。

防止恶意访问：通过ACL可以防止重要的资源被恶意访问，造成损失。

防止带宽挤占：防止带宽被随意挤占，提高业务的带宽质量。

防止病毒侵入：防止外网的病毒侵入，给内部网络造成安全隐患。

 

13.NAT有什么作用，什么是源NAT，什么是目的NAT，easyIP和NAPT有什么区别?

NAT作用：

解决IP地址不足问题：NAT通过将多个内部私有IP地址映射到一个或少数几个公共IP地址上，有效地解决了IPv4地址不足的问题。这对于拥有大量设备的网络环境尤为重要。

提高网络安全性：NAT通过隐藏内部网络的IP地址，使得外部网络无法直接访问内部网络，从而减少了来自外部的攻击风险。此外，NAT还可以通过端口转发等技术，允许特定的外部访问内部服务，同时保持整体网络的安全性。

宽带共享：NAT主机可以将公共IP地址共享给多个内部设备，实现宽带的共享使用，提高了网络资源的利用率。

灵活性和可扩展性：NAT支持地址重叠和灵活的地址配置，使得网络管理更加便捷和灵活。

 

源NAT：

源NAT（Source Network Address Translation）是一种网络地址转换技术，主要作用是将内部网络（私有网络）的源IP地址替换为合法的外部网络（如互联网）的IP地址，从而允许内部网络的设备访问外部网络。

 

目的NAT：

目的NAT（Destination Network Address Translation，简称DNAT）是一种网络地址转换技术，其核心作用是将外部网络中的公网地址和端口转换为内部网络中的私网地址和端口，从而允许外部用户访问内部服务器资源。

目的NAT的定义和作用

目的NAT的主要作用是将外部网络中的公网地址和端口转换为内部网络中的私网地址和端口。这样，外部用户通过公网地址访问内部服务器时，实际上访问的是经过转换的私网地址，从而实现了对内部资源的访问。

 

easyIP和NAPT的区别：

EasyIP和NAPT的主要区别在于它们的应用场景、配置复杂度以及地址转换的方式。

应用场景

EasyIP：主要用于简单的网络地址转换场景，适用于需要快速配置且不需要复杂地址池管理的环境。它直接使用边界设备的连接外网接口地址作为NAT转换的公有地址，简化了配置过程。

NAPT：适用于需要更灵活地址转换的场景，通常涉及多个内部私有地址共享一个或多个公有地址。NAPT允许在同一公有IP地址的不同端口上复用多个私有IP地址，适用于资源有限的网络环境。

配置复杂度

EasyIP：配置相对简单，无需专门配置公网地址，只需抓取需要进行NAT转换的流量即可。在接口下使用nat outbound命令即可完成配置，适合快速部署和简单管理。

NAPT：配置相对复杂，需要设置地址池和管理多个地址转换规则，适用于需要更精细控制的网络环境。

地址转换方式

EasyIP：与NAPT相同，也是针对公网地址进行复用操作，同时转换IP地址和传输层端口。区别在于EasyIP没有地址池的概念，直接使用边界设备连接外网接口地址作为NAT转换的公有地址。

NAPT：允许在同一公有IP地址的不同端口上复用多个私有IP地址，提高了公有IP地址的利用率。

 

13-2.NAT动态NAT和NAPT有什么区别?

区别：

动态NAT和NAPT的主要区别在于地址转换的方式和端口处理的不同。

动态NAT

动态NAT（Dynamic NAT）是将内网主机的私有地址转换为公网地址池中的地址。动态NAT有一个地址池的概念，当内部主机访问外部网络时，会从地址池中临时分配一个未使用的公有地址。这种转换方式不会转换端口号，即使用“no-pat”参数。动态NAT适用于需要动态分配公网IP地址的场景，可以有效避免地址浪费。

NAPT

NAPT（Network Address and Port Translation，网络地址端口转换）不仅转换IP地址，还会对端口号进行转换。NAPT可以实现公有地址与私有地址的1映射，即一个公有IP地址可以对应多个私有地址，通过不同的端口号进行区分。这种转换方式可以有效提高公有地址的利用率，使得一个公网IP地址可以用于多个私网终端的地址转换。NAPT通常用于需要高效率地址复用的场景。

 

13-3.easyIP的配置步骤有哪些?

配置步骤：

1、配置出局端口（公网接口）和私网地址

配置路由器的出局端口（通常是连接外网的接口），包括IP地址、子网掩码和网关。

定义私网地址池，这些地址是内网用户将要使用的地址。

2、配置ACL（访问控制列表）

创建一个ACL，并定义规则来允许或拒绝特定的内网地址访问外网。

3、关联私网地址池到公网接口

在公网接口上配置NAT（网络地址转换），并关联之前定义的私网地址池。

这通常涉及到在出接口上执行特定的NAT命令，如nat outbound，并指定之前创建的ACL编号。

4、配置DNS和其他必要设置

配置DNS服务器地址，以便内网用户可以解析外部域名。

根据需要配置其他必要的网络设置，如路由协议、防火墙规则等。

5、验证配置

通过执行相关的命令来验证配置是否正确，如查看NAT配置信息、测试网络连接等。

 

13-4. RIPv1和v2这两个版本有什么区别?

区别：

1、路由更新方式：

RIPv1：使用广播方式发送路由更新，广播地址为255.255.255.255。

RIPv2：使用组播方式发送路由更新，组播地址为224.0.0.9。

2、支持的路由类型：

RIPv1：是有类路由协议，不支持VLSM（变长子网掩码）。

RIPv2：是无类路由协议，支持VLSM和CIDR（无类域间路由）。

3、认证功能：

RIPv1：没有认证功能。

RIPv2：支持认证功能，包括明文和MD5两种认证方式。

4、下一跳信息：

RIPv1：不携带下一跳地址，直接将通告路由器的IP地址作为下一跳。

RIPv2：每个路由更新条目都携带下一跳地址。

5、最大路由条目数量：

RIPv1：最多可以携带25条路由条目。

RIPv2：在有认证的情况下最多只能携带24条路由。

6、更新频率和机制：

RIPv1：定时更新，每隔30秒更新一次。

RIPv2：采用触发更新等机制来加速路由计算。