華為認(rèn)證HCIE面試中的一些分享
發(fā)布時(shí)間:
2019-12-22
本人在一家網(wǎng)絡(luò)公司做駐場(chǎng)����,工作到目前為止也有一年多了�����。期間涉及華為防火墻的項(xiàng)目和變更居多�����,于是就開(kāi)始了自學(xué)的過(guò)程�����。慢慢感覺(jué)學(xué)的東西也不少了����,就打算考一個(gè)關(guān)于這方面的認(rèn)證�����。一是系統(tǒng)的學(xué)習(xí)一下內(nèi)容����,畢竟自學(xué)和有人帶比起來(lái)會(huì)有很多彎路�����,再一個(gè)考證還能漲工資^_^�����。
通過(guò)半年的學(xué)習(xí)期�����,再加上一些項(xiàng)目經(jīng)驗(yàn)�����,對(duì)安全方面涉及的內(nèi)容有了一些深入的了解�����,于是乎開(kāi)始著手筆試����。筆試的范圍涵蓋課程的所有內(nèi)容,知識(shí)面廣����,結(jié)合著題庫(kù)并且搞明白原理對(duì)補(bǔ)足自身的知識(shí)漏洞很有幫助。在6月份順利通過(guò)筆試后����,接著開(kāi)始備考LAB。LAB考的就是實(shí)際操作�����,要做到精細(xì)化����,像是安全策略要多細(xì)有多細(xì)�����,這才能叫安全�����。一些基礎(chǔ)的配置和環(huán)境可以在模擬器上多練習(xí)�����,通過(guò)抓包并仔細(xì)分析交互內(nèi)容能更深刻的理解工作過(guò)程和原理,對(duì)后面的面試也有很大幫助����,像是IPSec 一、二階段����、主模式、野蠻模式的交互過(guò)程是必須了解清楚的�����。我準(zhǔn)備了3個(gè)月的時(shí)間����,到最后能默寫(xiě)出大部分的LAB配置,考到下午兩點(diǎn)半就出來(lái)了�����,還得說(shuō)一句題庫(kù)是真的穩(wěn)�����。
9月份通過(guò)LAB后開(kāi)始準(zhǔn)備面試。在LAB復(fù)習(xí)階段時(shí)間比較長(zhǎng)����,就提前將防火墻流程圖、雙機(jī)熱備與VPN相關(guān)的基礎(chǔ)知識(shí)自己做了一套筆記�����,并且抓包分析過(guò)程�����。有了這充足的前期準(zhǔn)備工作�����,結(jié)合產(chǎn)品文檔和面試題庫(kù)����,持續(xù)學(xué)習(xí)了三個(gè)月�����,終于在12月份通過(guò)了面試����,今年年初訂的小目標(biāo)也算完成了�����。
分享一下面試戰(zhàn)報(bào)
一����、ASPF的作用以及原理
我解釋了ASPF的定義�����,說(shuō)了他的本質(zhì)是創(chuàng)建server-map����,從而創(chuàng)建會(huì)話(huà)表來(lái)讓流量通過(guò)。用FTP主動(dòng)模式來(lái)畫(huà)圖說(shuō)明整個(gè)ASPF的過(guò)程�����,一定要畫(huà)圖����,因?yàn)楫?huà)圖能托時(shí)間。后面說(shuō)了在NAT環(huán)境下ALG的作用�����,整體主干過(guò)程沒(méi)有打斷。后面追問(wèn)怎么排錯(cuò)����,我按SIP那道題來(lái)講的一個(gè)大體的思路,然后又問(wèn)ASPF能識(shí)別的協(xié)議�����,也問(wèn)了如何保證ASPF的安全性�����,大部分都是題庫(kù)內(nèi)的�����。第一道大約20分鐘�����。
二�����、在DSVPN中NHRP的作用
我介紹了一下NHRP的定義和三個(gè)作用����,然后接著就畫(huà)圖說(shuō)明Normal模式和Shortcut模式的交互過(guò)程和幾個(gè)區(qū)別,這題主干也沒(méi)有打斷����。追問(wèn)了這兩種模式的應(yīng)用場(chǎng)景,我以設(shè)備性能來(lái)分析Shortcut模式更適合一些分支路由性能不好的場(chǎng)景����。然后又追問(wèn)了一個(gè)DSVPN的安全性如何保證,我說(shuō)可以用IPSEC加密GRE的報(bào)文�����,因?yàn)镚RE是明文����。因?yàn)檫@個(gè)題也不小所以追問(wèn)了像報(bào)文封裝結(jié)構(gòu),匹配的感興趣流����,采用的主模式、策略模板的一些配置����,還有一個(gè)是沒(méi)答好的運(yùn)維難度的比較����。我只答出來(lái)DSVPN可以基于動(dòng)態(tài)路由協(xié)議來(lái)達(dá)到分支互訪(fǎng)����,無(wú)需像傳統(tǒng)IPSec需要配置靜態(tài)路由并且需要由總部來(lái)轉(zhuǎn)發(fā)。這題大概用了25分鐘�����。
三����、SACG的兩種部署區(qū)別
給了2張圖,分別是直路部署和旁路部署����。我按引流、路由�����、狀態(tài)檢測(cè)����、單點(diǎn)故障等幾個(gè)方面說(shuō)了不同����。接著講了一下SACG和TSM服務(wù)器的交互過(guò)程�����,還有域的概念�����。因?yàn)楸旧磉@題能說(shuō)的不太多�����,留一些給考官追問(wèn)����。然后就追問(wèn)了如何排錯(cuò),我按步驟一點(diǎn)點(diǎn)講����,隨后又問(wèn)了客戶(hù)端的一個(gè)認(rèn)證過(guò)程和SACG上通過(guò)TSM下發(fā)的策略和本地的策略的不同,我回答優(yōu)先匹配TSM下發(fā)的策略�����,當(dāng)TSM失效根據(jù)本地策略轉(zhuǎn)發(fā)。最后又追問(wèn)這兩種策略的表現(xiàn)形式����,我回答TSM通過(guò)ACL形式表現(xiàn),本地就是在安全策略中配置����。這題用了15分鐘。
最后考官點(diǎn)評(píng)SACG中客戶(hù)端的認(rèn)證過(guò)程需要再詳細(xì)一些����,IPSEC的相關(guān)配置還需要多深入了解。
最后預(yù)祝一下各位同學(xué)都能通過(guò)考試拿到自己心儀的證書(shū)����。
上一篇:
騰科-惠州經(jīng)濟(jì)職業(yè)技術(shù)學(xué)院合作辦學(xué)簽約儀式
下一篇:
為什么要考華為認(rèn)證?這是見(jiàn)過(guò)最全的答案
騰科IT教育
