華為認(rèn)證HCIE面試中的一些分享
發(fā)布時間:
2019-12-22
本人在一家網(wǎng)絡(luò)公司做駐場,工作到目前為止也有一年多了���。期間涉及華為防火墻的項(xiàng)目和變更居多���,于是就開始了自學(xué)的過程。慢慢感覺學(xué)的東西也不少了���,就打算考一個關(guān)于這方面的認(rèn)證���。一是系統(tǒng)的學(xué)習(xí)一下內(nèi)容,畢竟自學(xué)和有人帶比起來會有很多彎路���,再一個考證還能漲工資^_^。
通過半年的學(xué)習(xí)期���,再加上一些項(xiàng)目經(jīng)驗(yàn)���,對安全方面涉及的內(nèi)容有了一些深入的了解��,于是乎開始著手筆試���。筆試的范圍涵蓋課程的所有內(nèi)容,知識面廣��,結(jié)合著題庫并且搞明白原理對補(bǔ)足自身的知識漏洞很有幫助���。在6月份順利通過筆試后��,接著開始備考LAB���。LAB考的就是實(shí)際操作,要做到精細(xì)化���,像是安全策略要多細(xì)有多細(xì)��,這才能叫安全���。一些基礎(chǔ)的配置和環(huán)境可以在模擬器上多練習(xí)���,通過抓包并仔細(xì)分析交互內(nèi)容能更深刻的理解工作過程和原理,對后面的面試也有很大幫助��,像是IPSec 一��、二階段���、主模式���、野蠻模式的交互過程是必須了解清楚的。我準(zhǔn)備了3個月的時間���,到最后能默寫出大部分的LAB配置���,考到下午兩點(diǎn)半就出來了,還得說一句題庫是真的穩(wěn)��。
9月份通過LAB后開始準(zhǔn)備面試���。在LAB復(fù)習(xí)階段時間比較長��,就提前將防火墻流程圖��、雙機(jī)熱備與VPN相關(guān)的基礎(chǔ)知識自己做了一套筆記��,并且抓包分析過程��。有了這充足的前期準(zhǔn)備工作���,結(jié)合產(chǎn)品文檔和面試題庫,持續(xù)學(xué)習(xí)了三個月��,終于在12月份通過了面試���,今年年初訂的小目標(biāo)也算完成了���。
分享一下面試戰(zhàn)報
一、ASPF的作用以及原理
我解釋了ASPF的定義��,說了他的本質(zhì)是創(chuàng)建server-map���,從而創(chuàng)建會話表來讓流量通過��。用FTP主動模式來畫圖說明整個ASPF的過程���,一定要畫圖��,因?yàn)楫媹D能托時間��。后面說了在NAT環(huán)境下ALG的作用���,整體主干過程沒有打斷。后面追問怎么排錯��,我按SIP那道題來講的一個大體的思路���,然后又問ASPF能識別的協(xié)議��,也問了如何保證ASPF的安全性��,大部分都是題庫內(nèi)的���。第一道大約20分鐘。
二���、在DSVPN中NHRP的作用
我介紹了一下NHRP的定義和三個作用��,然后接著就畫圖說明Normal模式和Shortcut模式的交互過程和幾個區(qū)別���,這題主干也沒有打斷���。追問了這兩種模式的應(yīng)用場景,我以設(shè)備性能來分析Shortcut模式更適合一些分支路由性能不好的場景���。然后又追問了一個DSVPN的安全性如何保證,我說可以用IPSEC加密GRE的報文��,因?yàn)镚RE是明文���。因?yàn)檫@個題也不小所以追問了像報文封裝結(jié)構(gòu)��,匹配的感興趣流���,采用的主模式、策略模板的一些配置���,還有一個是沒答好的運(yùn)維難度的比較��。我只答出來DSVPN可以基于動態(tài)路由協(xié)議來達(dá)到分支互訪��,無需像傳統(tǒng)IPSec需要配置靜態(tài)路由并且需要由總部來轉(zhuǎn)發(fā)��。這題大概用了25分鐘���。
三��、SACG的兩種部署區(qū)別
給了2張圖��,分別是直路部署和旁路部署���。我按引流、路由��、狀態(tài)檢測���、單點(diǎn)故障等幾個方面說了不同��。接著講了一下SACG和TSM服務(wù)器的交互過程���,還有域的概念。因?yàn)楸旧磉@題能說的不太多���,留一些給考官追問��。然后就追問了如何排錯���,我按步驟一點(diǎn)點(diǎn)講���,隨后又問了客戶端的一個認(rèn)證過程和SACG上通過TSM下發(fā)的策略和本地的策略的不同,我回答優(yōu)先匹配TSM下發(fā)的策略���,當(dāng)TSM失效根據(jù)本地策略轉(zhuǎn)發(fā)���。最后又追問這兩種策略的表現(xiàn)形式��,我回答TSM通過ACL形式表現(xiàn)��,本地就是在安全策略中配置��。這題用了15分鐘��。
最后考官點(diǎn)評SACG中客戶端的認(rèn)證過程需要再詳細(xì)一些��,IPSEC的相關(guān)配置還需要多深入了解��。
最后預(yù)祝一下各位同學(xué)都能通過考試拿到自己心儀的證書���。
上一篇:
騰科-惠州經(jīng)濟(jì)職業(yè)技術(shù)學(xué)院合作辦學(xué)簽約儀式
下一篇:
為什么要考華為認(rèn)證��?這是見過最全的答案
騰科IT教育
