本帖最后由 总有辣么几个刁民想弄死朕 于 2017-5-26 16:47 编辑
AD 1、要使用SSL卸载功能需要求服务器必须是HTTP的吗?
2.要使用SSL卸载功能如不开启自动跳转就无法访问?
3.DNS映射级别设置的是DNS映射里的静态就近性策略吗?
4、智能DNS的静态就近性可以实现将用户的访问通过地域远近调度到某个AD站点吗?
5.智能DNS的静态就近性可以实现将用户的访问通过运营商的不同调度到某一条公网线路吗?
6.智能路由轮询调度算法是对对应线路做轮询调度,比如:比例1:1这样?
7.动态就近性调度算法是根据什么来进行探测的?
8.单边加速支持TCP协议?
9.单边加速是否支持udp协议?
10.单边加速对高延时无丢包环境有没有急速效果?
11.TCP_RST节点监视器的原理?
12.被动监视器只能用于B/S架构的系统,且只支持HTTP协议?
13.节点监视器发现服务器异常后,会立即讲服务器置为禁用状态吗?
14.节点监视器发现服务器异常后置为异常,过一段时间又正常了,会重新置为正常状态吗?
15.如果首选会话保持选的是Ssource IP的话,备选会话保持只能用cookie?
16.首选会话保持选择cookie的话,不能选择备选会话保持?
17.会话保持可以优先于节点的连接数限制?
18.如果定义了NET1和NET2为交换网口组合,那这个交换网口组合就不能设置IP?
19.如NET1,NET2,NET3设置了交换网口,那可以将这3个网口当成一个三个口的二层交换机使用吗?
20.交换网口其实就是将设备的多个接口划分到同一个广播域,可以这么理解吗?
21.服务器负载每个节点可单独配置节点监视器,也可以继承节点池的节点监视器是吗
22.一个虚拟服务可以关联多个前置调度策略?
23.内置节点监视器支持DB2监视器吗
24.内置节点监视器支持LDAP监视器吗?
25.虚拟服务前置调度策略应用场景
26.DNS透明代理可以通过对DNS流量的分流达到上网流量的负载吗?
27.DNS透明代理是通过发送数据包对每条链路进行探测,从延时最小的链路进行DNS解析?
28.如果做高性能集群必须要交换机支持做端口聚合吗? 问的是在这个情况下:是不是必须,不是说支持哦
29.高性能集群业务口能做端口聚合吗?
30.高性能集群只支持做服务器负载不支持链路负载吗?
31.vAD支持修改接口模式吗?
32.vAD支持短信告警功能吗?
33.虚拟IP池和DNS映射可以同时启用静态就近性吗?
34.DNS代理-网关DNS设置-DNS服务器列表出可以留空不填,能保证内网PC的DNS解析正常吗?
35.DNS代理只能对内网全局网段生效?
36.哈希是入站链路负载调度算法中的一种吗?
37.智能DNS全局负载中,各设备之间能够同步跟智能DNS有关的配置不能同步其他配置吗?
38.AD智能DNS全局负载各设备之间的通讯端口是558吗,可以修改吗?
39.SSL卸载功能只适用于客户端通过SSL加密方式访问服务器的这一种场景吗?
40.三角传输,设备单臂部署时需要wan口设置多IP且第一个IP不能是虚拟服务发布的IP?
41.三角传输需要禁用网络攻击防护和开启WAN口网卡的入站链路转发?
42.三角传输支持四层和七层虚拟服务吗?
43.使用三角传输功能服务器和AD设备必须在同一网段?
44.TCP单边加速和HTTP压缩不能同时开启?
45.http连接池和传输客户端IP至服务器不能同时开启吗?
46.AD上是不是所有的优化策略都可以同时开启?
47.所有的优化策略都需要开启序列号才能使用吗?
48.如通过静态就近性选择到某一条链路,即使此链路处于繁忙也会从此链路转发?
49.静态就近性可以实现公网相同运营商的访问数据,访问域名的时候均解析成同一链路的IP?
50.虚拟IP池和DNS映射都可以设置静态就近性吗? 这应该是2个问题,一个没回答上来,一个格式不对,啊哈哈哈
51.只有一台服务器提供http服务,想用4个域名都能访问到,这时使用前置调度策略可以吗?
52.在虚拟服务A优先于虚拟服务B的时候,前置调度策略可以实现吗?
53.需要使用http缓存功能,要开启前置调度策略吗?
IPSEC VPN 1.某公司 DLAN的应用场景 全面回答: ①统一的信息平台建立,实现总部与分支之间资源共享的需求 ②多线路环境下,实现线路智能选路的需求 ③大专网内构建“小专网”,保障敏感数据的安全的需求 ④专线备份,全方位的稳定性保证的需求
2.某公司 DLAN 的技术特点? 全面回答: ①基于国际标准的IPSec VPN ②细化到端口的权限控制 ③VPN专线技术使访问更安全 ④VPN多线路复用技术实现带宽叠加和负载均衡,最大化的提高带宽利用率!(专利) ⑤通过畅联技术优化传输线路,即使面对高丢包的环境也能畅通无阻!(专利)
3.某公司有哪些设备包含ipsec VPN模块 答: 某公司 DLAN 设备(如S5100/P5100、VPN1050/1150 ) 某公司 SSL 设备 某公司 AC 设备 某公司 SG 设备 某公司 MIG 设备 某公司 WOC 设备 某公司 NGAF 设备 注:设备在不同的部署模式下支持的功能各不一样,上述设备在某些特殊环境下不支持VPN功能
4.什么情况下可以被称为直连? 答:直连:即设备的VPN连接端口能被 公网直接访问。 ①设备WAN口直接接光纤或者拨号,本身就有公网IP。 ②设备放在企业内网,但是在前面的网关设备上将VPN连接端口映射给了某公司 VPN设备。
5.什么情况下可以被称为非直连? 非直连:即设备的VPN连接端口不能被 公网直接访问。 常见的情况是设备放在企业的内网,能够上网,但是前面的网关设备没有做端口映射给某公司 VPN设备。
6.某公司 DLAN 建立连接的过程 答:最基本的三步曲 ①寻址:与谁建立连接(找到对方) ——寻址(WebAgent原理、WebAgent设置) ②认证:身份验证(提交正确、充分的信息)—账号密码、Dkey、硬件鉴权、第三方认证。 ③策略:(下发)选路策略、权限策略、VPN路由策略、安全策略(移动用户)、VPN专线(移动用户)、分配虚拟IP
7.网关模式DLAN多线路应用场景有哪些? 答: 场景一: 总部多线路部署,分支单线路部署,总部和分支进行IPSEC VPN互连。 总部与分支可以建立两条VPN隧道,且通信数据可以通过这两条VPN隧道同时传输,互为备份。 场景二: 总部和分支均为多线路部署,进行IPSEC VPN互连。 总部和分支可以建立4条VPN隧道,同时可以设置多线路策略,实现VPN隧道的备份和数据传输速度的优化 注:网关多线路模式下需要开通多线路授权
8.单臂模式DLAN多线路应用场景? 答: 总部单臂部署,出口双线路,总部与分支或移动用户建立多条VPN隧道。 注:VPN单臂多线路功能要求DLAN总部和分支都是4.3及以上版本。 9.什么是标准IPSEC VPN? 答:IPSec是一种开放标准的框架结构,特定的通信方之间在IP 层通过加密和数据摘要(hash)等手段,来保证数据包在Internet 网上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication)。 ①通过加密保证数据的私密性。私密性:防止信息泄漏给未经授权的个人,通过加密把数据从明文变成无法读懂的密文,从而确保数据的私密性 ②对数据进行hash运算来保证完整性。完整性:数据没有被非法篡改,通过对数据进行hash运算,产生类似于指纹的数据摘要,以保证数据的完整性。 ③数据和密钥一起进行hash运算。攻击者篡改数据后,可以根据修改后的数据生成新的摘要,以此掩盖自己的攻击行为。通过把数据和密钥一起进行hash运算,可以有效抵御上述攻击。 ④通过身份认证保证数据的真实性。真实性:数据确实是由特定的对端发出。通过身份认证可以保证数据的真实性。 常用的身份认证方式包括:Pre-shared key,预共享密钥,RSA Signature,数字签名
10.Sangfor 3G VPN的需求场景? 场景一:比如客户是XX环境监测单位,在道路旁需要覆盖设备来实时监测当前环境,并需要及时实现对总部数据的上传和共享,在这样不方便覆盖有线线路的情况下,选择3G VPN设备,通过设备3G上网,达到客户需求。 场景二:比如客户分支某公司对访问总部业务有较高要求,需要通过两条线路实现VPN的主备冗余,并且备用线路主要是给VPN传输数据用,选择3G VPN设备,让物理线路和3G线路同时建立VPN,但优先使用物理线路,当物理线路中断时,才通过3G线路进行VPN数据传输 注意:单纯使用3G,需要考虑客户流量使用问题,如果3G流量套餐是包月计费,建议使用。
11.Sangfor 3G VPN注意事项 答: 1、3G VPN设备如果物理链路和3G链路都要同时启用,需要开通双WAN口授权。 2、3G VPN设备也类似小硬件设备,不支持单臂VPN多线路,同时也不支持标准IPSEC VPN多线路。 3、3G VPN设备不支持按需拨号、流量配额及短信告警等。 4、3G VPN设备只支持显示当次拨号总流量,不支持显示拨号当月总流量,具体月总流量统计以当地运营商为准。
12.Sangfor MIG的应用场景? 答: 场景一:公司网络规模不大,但内网用二层交换机划分了多个VLAN,现出口网关设备损坏,刚好公司新增对提高员工工作效率和降低上网安全风险新需求,在尽可能降低新设备成本的情况下,建议采用MIG,支持对用户上网策略和流量的控制,并4.1版本开始新增VLAN功能。 场景二:客户集团新增分支,但出口是第三方友商设备,现在需要和总部进行VPN对接,而当前总部出口设备无法添加VPN配置,MIG4.1版本设备支持标准IPSEC VPN单臂对接。(设备DLAN5.0版本开始支持单臂标准IPSEC VPN)
13.MIG 注意事项? 布吉岛这回答的是什么鬼 答: 1、MIG4.1开始才支持VLAN划分。 2、MIG4.1单臂部署时,不支持建立多条标准IPSEC VPN。 3、3G VPN设备不支持按需拨号、流量配额及短信告警等。 4、3G VPN设备只支持显示当次拨号总流量,不支持显示拨号当月总流量,具体月总流量统计以当地运营商为准。
14.身份类型(ID)中的FQDN、USER_FQDN、IPV4_ADDR都是什么? IPV4_ADDR格式:IP地址格式,例如:123.123.123.123 注意:某些厂商是通过@符号前是否有字符串来区分是FQDN还是USER_FQDN,在对端设备配置页面直接输入 www.sangfor.com会自动在前方加入@符号。 因此我们设备配置时要注意在对端身份ID和我方身份ID里加上@符号,否则会报ID不匹配。
15.什么是GRE封装的标准IPSEC?有什么用? 答:标准IPSEC只支持单播数据流,也就意味着广播和组播无法在IPSEC隧道里传输。 GRE:通用路由封装(Generic Routing Encapsulation),定义了在任意一种网络层协议上封装任意一个其它网络层协议的协议。因此可以支持广播、组播甚至IPX等协议,但是是明文传输。 因此IPSEC+GRE就成了既要安全,又要广播、组播等数据传输的首选。
16.启用PFS与不启用PFS的区别? 答:PFS:Prefect Forward Secrecy,某公司设备上称为“密钥完美向前保密” 在IPSEC协商的第一阶段,通过DH算法进行了密钥的交互,并生成了加密密钥。 如果不使用PFS,则第二阶段的加密密钥会根据第一阶段的密钥自动生成。 使用了PFS,则第二阶段要重新通过DH算法协商一个新的加密密钥,从而提高了数据的安全性。 PFS主要是用来加强数据传输的安全性;要启用PFS,则连接双方都要启用PFS,否则无法进行第二阶段的DH交换,从而协商不出新的加密密钥;启用PFS会比较消耗设备性能。
17.SPI不对有什么后果? 答:SPI不匹配会导致IPSEC无法正确处理加密的数据包,导致数据传输有问题。 当出现这个提示时:DLAN总部 调试 12:17:25 [Isakmp_Server]无效的SPI(可能是随机生成的SPI发生冲突,请重新发起一次连接),则只能重新建立这个IPSEC连接
18.答:MIG各接口默认地址是多少?
LAN:10.254.254.253/255.255.255.0 DMZ:10.253.253.253/255.255.255.0 MIG设备LAN口子接口IP是10.111.222.33/30,用单台电脑连接时,电脑需配置10.111.222.34/30. 设备访问方式:http://ip:1000或者https://ip:1000
| 
发表于 2017-5-26 18:19
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
厉害了,容我慢慢看
技术员3级 