HCIE面試真題

1.網關
2.ospf認證
3.vrrp

網關就是按照原來的套路講，不過考官老是打斷我，
比如我說網關放在接入浪費地址，考官問我有什麽機制可以節約地址
我說堆疊，內部做NAT，考官問我還有呢？我答不出來，後來考官總結時
說supervlan 和muxvlan等技術（我當時怎麽就沒有想到呢？）

ospf認證，問了幾句就轉話題，問我ospf引入外部路由，怎麽避免次優？
我答了 NSSA 引入使用了FA地址
問我ISIS怎麽避免次優，我說有level2到level1的泄露，考官又問我
知不知道level1到level2的泄露，我就有點懵逼了，我說默認level-1
的路由都會到level2 裏，考官說，對，就是問你這麽命令有什麽作用?

沒有答上來。後來說讓我自己查，我查了下應該就是可以過濾掉一部分，
只有一部分引入level-2
後來又問虛鏈路應用有哪些問題要註意，我說有的情況不能匯總，會有次優
路徑，會有環路。考官問，還有麽？我說我只想到這麽多。後來總結，
骨幹區域不能配制虛鏈路，nssa，stub區域不能配制虛鏈路
認證這一塊本來想說 序列號 可以防重放攻擊的，考官沒有讓我說
後來又讓我說ISIS的認證，
我說ISIS有三種認證，
接口認證可以認證鄰居關系，
area認證是level-1LSP認證，不通過就沒有路由
domain認證是level-2LSP認證，不通過就沒有路由

然後就是vrrp
我先說了vrrp的0 和 255 的優先級不能配置

因為 0 的優先級 是在master主動放棄 主的報文中攜帶的，可以快速切換
255 的優先級 是 用來給ip地址和 虛擬ip地址一樣的svi用的
然後，我說了vrrp的選舉，先看優先級，再看ip地址大的
後來說vrrp可以使用md5認證
考官讓我講 vrrp 是怎麽計算虛擬mac的
我說 是 00 00 5e 00 01 xx xx是組號
讓後我加了一句，終端用ARP請求網關ip的mac地址時，是MASTER
設備負責回復一個IP地址和上面虛擬mac的對應關系
考官就問我，如果svi的ip和虛擬ip一樣，那麽MASTER回復的
是實際MAC還是虛擬MAC，我想了下說是虛擬MAC
考官問我三層交換機是如何決定回復哪個MAC，我說在svi下的配置
有物理ip地址和vrrp的配置，設備通過這個配置應該可以判斷應該
回復虛擬地址
後來又問我，如果報文已經到了MASTER設備，但是此時MASTER的上行
鏈路剛好斷了，那麽數據包怎麽走，我說
如果兩個冗余網關之間有有路由鄰居可以傳遞路由的話，應該可以從另外
一個網關出去，如果網關之間沒有路由鄰居，只是運行生成樹協議的話應該
就是丟包了。
然後考官又問我，交換機收到一個數據包之後到底怎麽處理？
我說，首先看是不是組播mac地址
考官說只考慮單播MAC的情況
我說那就先看單播目的MAC是不是交換機自己的MAC，如果是的話，拆開
二層，走三層轉發。如果目的MAC不是交換機自己的MAC，就查找mac地址表
轉發。然後就結束了，考官總結了下我沒有答上來的問題。
然後說我答的還不錯，問了問男考官，也沒有問題，就結束了。

HCIE面試真題戰報及點評系列14