网工面试问题之安全无线技术部分

说明:大部分面试问题出自数据中心和金融行业,转载自鸿鹄论坛。

防火墙问题

问题1

防火墙的五元组?

答:

  1. 源IP
  2. 源端口
  3. 目的IP
  4. 目的端口
  5. 协议

问题2

你在项目中防火墙的应用场景有哪些?主要做什么用途?

答:

主要是做不同区域网络间隔离和出口上网的业务场景,例如生产/办公之间网络隔离,以及内外网的源目NAT,还有出口互联网上网的NAT以及策略,域内NAT,各种VPN例如IPSEC VPN/SSL VPN/L2TP VPN业务等。

问题3

防火墙主备双机配置不同步的原因?

答:

  1. 主机和备机启动的时候初始配置不一致。
  2. 双机状态曾经出现过故障,导致主备之间配置同步异常。
  3. 主机或备份曾经关闭过配置备份功能。
  4. 设备之间补丁和版本不一致。
  5. 设备之间心跳接口配置有误。
  6. 设备之间链路连通性出现故障。
  7. 有其他异常配置,例如any nat配置,可以导致心跳接口在互通时进行NAT转换。

问题4

防火墙监测链路是监测物理口还是逻辑口?

答:

都检测,ip-link功能有两种探测模式,一种是ICMP探测,也就是周期性发送ping包,用于探测非直连链路,还有一种是ARP探测,也就是周期性发送arp请求包,用于探测直连或中间跨越二层转发设备的链路。

虚拟局域网问题

问题1

ipsec vpn做过吗?(做过一次,不过忘得差不多了,实在说不出来)面试官提了些加密规则,部署模式等

答:

  • 第一阶段,配置对方固定IP或者域名,预共享秘钥,支持的模式,DH群,本端ID或IP,对端ID或IP,认证算法和加密算法。
  • 第二阶段,配置入站和出站的感兴趣流也就是ACL抓取匹配ISPEC VPN的流量网段以及安全选项(ESP/AH,认证算法,加密算法等)。
  • 需要注意的事项为在华为或华三的设备上,NAT的优先级大于IPSEC VPN,所以如果一个网段被NAT的ACL和IPSEC VPN的ACL同时匹配,则会优先匹配NAT的ACL,此时需要在NAT的ACL中将匹配的网段deny掉NAT转换即可。

问题2

MPLS-VPN有RR和无RR的情况下,PE与PE之间是怎么传递路由的?(同一个AS情况)

答:

  1. 无RR的情况,PE将路由之间传递给P设备然后递归传递给对端PE设备。
  2. 有RR的情况,PE将路由传递给RR,由RR反射给其他PE设备。

无线问题

问题1

无线有没有部署过?什么厂家的?你部署的是什么架构?

答:

Aruba、华为、信锐,部署的都是AC+瘦模式架构,aruba则是MM+AC+UAP胖瘦一体。

问题2

无线场景下,客户想做应用层面的监管和控制,你怎么做?

答:

看现有环境中的设备类型以及设备功能是否支持,例如:

  1. 如果有较高端的防火墙,可以直接针对应用流量或应用端口做策略或者根据用户账号进行应用策略。
  2. 如果有上网行为管理设备的话,可以直接针对应用或端口进行策略配置。
  3. 如果没有三层网关类的设备做应用策略的话,只能在核心层面做三层ACL的配置,针对应用的常用端口做过滤配置,例如80 443等。

排错问题

问题1

远程登录SSH或者telnet,当设备突然无法登陆时,你会怎么排查?需要说思路(有无tacacs的情况)

答:

分两种情况:

一种是登录中突然断开后发现无法登录:

  1. 检查设备或系统是否掉电了、关机了。
  2. 检查是否在刚刚的操作进行了配置更改,可以通过例如CRT的日志记录查看操作命令记录。
  3. 如果是接入层或者汇聚层发现无法登录设备,可以在核心等上层设备上检查是否有环路的存在,如果存在例如MAC地址漂移,则表示有环路存在。
  4. 当前有线或无线网络质量不好,存在大量的丢包、延迟的情况。
  5. 本机系统网卡问题。

一种是登录时发现无法登录:

  1. 检查最近的配置是否有做过更改导致无法远程。
  2. 询问是否有其他同事进行了设备配置操作。
  3. 检查设备中是否有禁止某网段或者某IP远程的配置,例如ACL等。
  4. Ping设备IP是否存在丢包、延迟高、无法通信的情况。
  5. 当前有线或无线网络质量不好,存在大量的丢包、延迟的情况。
  6. 本机系统网卡问题。
  7. 检查设备或系统是否掉电了、关机了。

问题2

客户反映某台设备无法获取地址,你的排查思路是什么?

答:

  1. 检查现网环境中是否有认证的配置,例如802.1x认证,需要先过MAC认证才能获取到IP。
  2. 检查有线网口是否正常,有没有CRC错误包过多的情况,检查网络跳线是否有星不通的情况。
  3. 检查无线AP是否假死或其他BUG导致无法正常获取IP,可以多用WiFi设备进行测试,如果在同一个AP下大面积无法获取IP,则可以判断此AP出现故障或BUG假死等问题。
  4. 检查PC网卡是否正常,先检查网卡是否开启了802.1X的认证,如果有则取消此功能选项,再就是Windows7系统碰到过有线网卡无法正确获取IP,不换系统换板卡都无法解决此问题,只能重装系统解决此故障问题。

问题3

台路由器之间地址为1.1.1.1/2 24,其中一台设备的环回口地址配了1.1.1.3 32,对方可以ping通吗?(回答了不可以,广播报文无法到达环回口,问了解决方法,没想起来,面试官说了ARP代理)

答:

(1)不可以通,因为如果是将地址配置在同一个接口下的sub地址则可以通,并且也能配置上,但是如果是配置在环路口的话,无法配置上,也就无法通信。
(2)经过实验发现,loopback接口无法配置已经配置过的网段地址,会报错(Error: The specified address conflicts with another address),如果是配置在接口下的sub地址,则对端收到的ARP条目都是此物理接口的ARP条目,可以通。

项目问题

问题1

接触过什么类型的设备?都是什么型号的?(如果只有一家产品,很难让面试官满意)

答:

交换机、路由器、防火墙、VPN设备、存储、服务器、光交、链路负载均衡等设备,型号有例如:

  1. 华为交换机:S57、CE67、S127/128等。
  2. 思科交换机:3650、3560、4506、6509等,华三S10510X等。
  3. 防火墙:华为USG 6500、6507,华三F1090,山石SG-6000等。
  4. VPN设备:深信服SSL VPN设备。
  5. 存储:联想v5030。

等…

问题2

主导过哪些项目,你在其中担任什么角色?(都会问到)

答:

主导过各种网络割接,例如生产网核心、办公网核心、接入层交换机等场景割接,还有专线割接业务,新增核心设备项目等。担任项目经理/项目负责人角色。

问题3

在项目实施中,你遇到过哪些比较麻烦的事情是什么?

答:

  1. 不同网络厂家之间对接设备,有需要注意的事项,例如上述描述的华为与思科对接STP的事项、例如不同厂家之间对接IPSEC VPN事项(主要是v1 v2以及感兴趣流还有NAT优先级等问题)。
  2. 服务器厂家安装系统的问题,有例如华为RH2288H V3服务器就存在安装Windows Server系统时,无法正确识别和选择盘符,只能通过反复重启来解决此BUG。
  3. 无线调优的工作,例如信号弱需要加强功率,AP太密导致干扰,AP无故假死BUG。

问题4

设备部署方式有哪些?(串联,旁挂)

答:

串连直连,旁挂引流

问题5

当你要在网络中串联一台设备,你会怎么做?(不断业务的情况下)

答:

  1. 检查现网中是否有冗余设备链路和路由的存在,如果有则直接将流量引入冗余链路然后进行在现有链路的设备串联(可以通过调整路由优先级或者接口down的方式来实现流量切换)。
  2. 查看现网中设备是否具备有bypass的功能,如果有,则可以进行bypass的操作放通所有流量,然后进行设备串联。