網路安全保密性高指的是哪種路由

A. 哪種路由器的安全性最好

各個品牌，不同型號路由器性能不同，不能說哪個路由器安全性能最好。一般是企業級的路由器功能比較強大，相對安全性能好些。

B. 什麼樣的路由器安全性高

華碩AC66U路由器，華碩路由器也是量產網很喜歡的了，而其中價格相對便宜又比較好的就是AC66U B1了，它相對網件R6400勝在於2.4G速率上，例如手機86m與72m或173與144m之間的差別，在2.4G速度上面AC66U B1比較有優勢，5G差不多。AC66U輻射面廣，信號穩定且高效，支持1750Mbps，華碩的固件也非常的好用，根本無需刷入其他的固件了，它自己的就很優秀，擴展能力優秀，路由器比起TP兩三百的好用太多了，一百四十平，路由器放在客廳，信號全部覆蓋一點問題沒有，尤其是澳大利亞模式信號非常強。

C. 什麼叫靜態路由

靜態路由是一種路由的方式，路由項由網路管理員手工配置路由信息。靜態路由和動態路由的區別是：

1、路由狀態是否能調整的區別

靜態路由是固定的，不會改變，即使網路狀況已經改變或是重新被組態。

動態路由是路由器能夠自動地建立自己的路由表，並且能夠根據實際情況的變化適時地進行調整。

2、適用網路規模上的區別

大型和復雜的網路環境通常不宜採用靜態路由。靜態路由用於網路規模不大、拓撲結構相對固定的網路。網路管理員難以全面地了解整個網路的拓撲結構；當網路的拓撲結構發生變化時，路由器靜態路由信息需要大范圍地調整，這一工作的難度和復雜程度非常高。

動態路由適用於網路規模大、拓撲復雜的網路。根據網路的情況自動計算路由、選擇轉發路徑，根據網路拓樸結構的變化調整路由條目。

3、特性上的區別

使用靜態路由的好處是網路安全保密性高。不佔用網路帶寬，靜態路由不會產生更新流量。

而動態路由對路由表的分析可以揭示網路的拓撲結構和網路地址等信息。無需管理員手工維護，減輕了管理員的工作負擔。佔用了網路帶寬。

D. 面試問題：什麼是靜態路由

在Linux中，靜態路由是路由項由手動設置的一種路由方式;即使網路狀態已經改變或重新被組態，靜態路由也是固定不變的，靜態路由由網路管理員逐項加入路由表，可用route
add -net增加到某個網段的路由語句在Linux中添加路由。
靜態路由Static routing，是一種路由的方式，路由項由手動配置，而非動態決定。與動態路由不同，靜態路由是固定的，不會改變，即使網路狀況已經改變或是重新被組態。一般來說，靜態路由是由網路管理員逐項加入路由表。
優點
使用靜態路由的另一個好處是網路安全保密性高。動態路由因為需要路由器之間頻繁地交換各自的路由表，而對路由表的分析可以揭示網路的拓撲結構和網路地址等信息。因此，網路出於安全方面的考慮也可以採用靜態路由。不佔用網路帶寬，因為靜態路由不會產生更新流量。靜態路由適用於中小型網路。
缺點
大型和復雜的網路環境通常不宜採用靜態路由。一方面，網路管理員難以全面地了解整個網路的拓撲結構;另一方面，當網路的拓撲結構和鏈路狀態發生變化時，路由器中的靜態路由信息需要大范圍地調整，這一工作的難度和復雜程度非常高。當網路發生變化或網路發生故障時，不能重選路由，很可能使路由失敗。

E. 麻煩推薦一個保密性和安全性較好的路由器

如果是企業就用防火牆吧，現在的防火牆並不是很貴。現在稍微注重信息安全的企業都沒人用路由器了。

F. 無線路由器WPA-PSK/WPA2-PSK，WPA/WPA2，WEP加密有什麼區別

一、主體不同

1、WPA-PSK/WPA2-PSK：WEP預分配共享密鑰的認證方式，在加密方式和密鑰的驗證方式上作了修改，使其安全性更高。

2、WPA/WPA2：Wi-Fi 聯盟對採用 IEEE802.11i安全增強功能的產品的認證計劃。是基於WPA的一種新的加密方式。

3、WEP：有線等效保密（WEP）協議是對在兩台設備間無線傳輸的數據進行加密的方式。

二、加密方式不同

1、WPA-PSK/WPA2-PSK：客戶的認證仍採用驗正用戶是否使用事先分配的正確密鑰。

2、WPA/WPA2：用了更為安全的演算法。CCMP取代了WPA的MIC、AES取代了WPA的TKIP。

3、WEP：使用了rsa數據安全性公司開發的rc4 ping演算法。如果無線基站支持MAC過濾，推薦你連同WEP一起使用這個特性。

三、特點不同

1、WPA-PSK/WPA2-PSK：預先分配的密鑰僅僅用於認證過程，而不用於數據加密過程，因此不會導致像WEP密鑰那樣嚴重的安全問題。

2、WPA/WPA2：其口令長度為 20 個以上的隨機字元，或者使用 McAfee 無線安全或者 Witopia Secure MyWiFi 等託管的 RADIUS 服務。

3、WEP：WEP 系統要求鑰匙得用十六進制格式指定，有些用戶會選擇在有限的 0-9 A-F 的十六進制字元集中可以拼成英文詞的鑰匙。

G. OSPF跟靜態路由

OSPF協議
OSPF(Open Shortest Path First開放式最短路徑優先)是一個內部網關協議(Interior Gateway Protocol,簡稱IGP)，用於在單一自治系統(autonomous system,AS)內決策路由。與RIP相對，OSPF是鏈路狀態路由協議，而RIP是距離向量路由協議。

一。OSPF起源
I E T F為了滿足建造越來越大基於I P網路的需要，形成了一個工作組，專門用於開發開放式的、鏈路-狀態路由協議，以便用在大型、異構的I P網路中。新的路由協議以已經取得一些成功的一系列私人的、和生產商相關的、最短路徑優先( S P F )路由協議為基礎， S P F在市場上廣泛使用。包括O S P F在內，所有的S P F路由協議基於一個數學演算法—D i j k s t r a演算法。這個演算法能使路由選擇基於鏈路-狀態，而不是距離向量。O S P F由I E T F在2 0世紀8 0年代末期開發，O S P F是S P F類路由協議中的開放式版本。最初的O S P F規范體現在RFC 11 3 1中。這個第1版( O S P F版本1 )很快被進行了重大改進的版本所代替，這個新版本體現在RFC 1247文檔中。RFC 1247 OSPF稱為O S P F版本2是為了明確指出其在穩定性和功能性方面的實質性改進。這個O S P F版本有許多更新文檔，每一個更新都是對開放標準的精心改進。接下來的一些規范出現在RFC 1583、2 1 7 8和2 3 2 8中。O S P F版本2的最新版體現在RFC 2328中。最新版只會和由RFC 2138、1 5 8 3和1 2 4 7所規范的版本進行互操作。
鏈路是路由器介面的另一種說法，因此OSPF也稱為介面狀態路由協議。OSPF通過路由器之間通告網路介面的狀態來建立鏈路狀態資料庫，生成最短路徑樹，每個OSPF路由器使用這些最短路徑構造路由表。
OSPF路由協議是一種典型的鏈路狀態（Link-state）的路由協議，一般用於同一個路由域內。在這里，路由域是指一個自治系統（Autonomous System），即AS，它是指一組通過統一的路由政策或路由協議互相交換路由信息的網路。在這個AS中，所有的OSPF路由器都維護一個相同的描述這個AS結構的資料庫，該資料庫中存放的是路由域中相應鏈路的狀態信息，OSPF路由器正是通過這個資料庫計算出其OSPF路由表的。
作為一種鏈路狀態的路由協議，OSPF將鏈路狀態廣播數據包LSA（Link State Advertisement）傳送給在某一區域內的所有路由器，這一點與距離矢量路由協議不同。運行距離矢量路由協議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。

二.OSPF的hello協議
1.Hello協議的目的:
1.用於發現鄰居
2.在成為鄰居之前,必須對Hello包里的一些參數協商成功
3.Hello包在鄰居之間扮演著keepalive的角色
4.允許鄰居之間的雙向通信
5.它在NBMA(Nonbroadcast Multi-access)網路上選舉DR和BDR
2.Hello Packet包含以下信息:
1.源路由器的RID
2.源路由器的Area ID
3.源路由器介面的掩碼
4.源路由器介面的認證類型和認證信息
5.源路由器介面的Hello包發送的時間間隔
6.源路由器介面的無效時間間隔
7.優先順序
8.DR/BDR
9.五個標記位(flag bit)
10.源路由器的所有鄰居的RID
三.OSPF的網路類型
OSPF定義的5種網路類型:
1.點到點網路
2.廣播型網路
3.NBMA網路
4.點到多點網路
5.虛鏈接(virtual link)
1.1.點到點網路, 比如T1線路,是連接單獨的一對路由器的網路,點到點網路上的有效鄰居總是可以形成鄰接關系的,在這種網路上,OSPF包的目標地址使用的是224.0.0.5,這個組播地址稱為AllSPFRouters.
2.1.廣播型網路,比如乙太網,Token Ring和FDDI,這樣的網路上會選舉一個DR和BDR,DR/BDR的發送的OSPF包的目標地址為224.0.0.5,運載這些OSPF包的幀的目標MAC地址為0100.5E00.0005;而除了DR/BDR以外的OSPF包的目標地址為224.0.0.6,這個地址叫AllDRouters.
3.1.NBMA網路, 比如X.25,Frame Relay,和ATM,不具備廣播的能力,因此鄰居要人工來指定,在這樣的網路上要選舉DR和BDR,OSPF包採用unicast的方式
4.1.點到多點網路 是NBMA網路的一個特殊配置,可以看成是點到點鏈路的集合. 在這樣的網路上不選舉DR和BDR.
5.1.虛鏈接: OSPF包是以unicast的方式發送
所有的網路也可以歸納成2種網路類型:
1.傳輸網路(Transit Network)
2.末梢網路(Stub Network )
四.OSPF的DR及BDR
在DR和BDR出現之前，每一台路由器和他的鄰居之間成為完全網狀的OSPF鄰接關系，這樣5台路由器之間將需要形成10個鄰接關系,同時將產生25條LSA.而且在多址網路中,還存在自己發出的LSA 從鄰居的鄰居發回來,導致網路上產生很多LSA的拷貝,所以基於這種考慮，產生了DR和BDR.
DR將完成如下工作
1. 描述這個多址網路和該網路上剩下的其他相關路由器.
2. 管理這個多址網路上的flooding過程.
3. 同時為了冗餘性，還會選取一個BDR，作為雙備份之用.
DR BDR選取規則： DR BDR選取是以介面狀態機的方式觸發的.
1. 路由器的每個多路訪問(multi-access)介面都有個路由器優先順序(Router Priority),8位長的一個整數,范圍是0到255,Cisco路由器默認的優先順序是1優先順序為0的話將不能選舉為DR/BDR.優先順序可以通過命令ip ospf priority進行修改.
2. Hello包里包含了優先順序的欄位,還包括了可能成為DR/BDR的相關介面的IP地址.
3. 當介面在多路訪問網路上初次啟動的時候,它把DR/BDR地址設置為0.0.0.0,同時設置等待計時器(wait timer)的值等於路由器無效間隔(Router Dead Interval).
DR BDR選取過程：
1. 在和鄰居建立雙向(2-Way)通信之後,檢查鄰居的Hello包中Priority,DR和BDR欄位,列出所有可以參與DR/BDR選舉的鄰居.所有的路由器聲明它們自己就是DR/BDR(Hello包中DR欄位的值就是它們自己的介面地址;BDR欄位的值就是它們自己的介面地址)
2. 從這個有參與選舉DR/BDR權的列表中,創建一組沒有聲明自己就是DR的路由器的子集(聲明自己是DR的路由器將不會被選舉為BDR)
3. 如果在這個子集里,不管有沒有宣稱自己就是BDR,只要在Hello包中BDR欄位就等於自己介面的地址,優先順序最高的就被選舉為BDR;如果優先順序都一樣,RID最高的選舉為BDR
4. 如果在Hello包中DR欄位就等於自己介面的地址,優先順序最高的就被選舉為DR;如果優先順序都一樣,RID最高的選舉為DR;如果沒有路由器宣稱自己就是DR,那麼新選舉的BDR就成為DR
5. 要注意的是,當網路中已經選舉了DR/BDR後,又出現了1台新的優先順序更高的路由器,DR/BDR是不會重新選舉的
6. DR/BDR選舉完成後,DRother只和DR/BDR形成鄰接關系.所有的路由器將組播Hello包到AllSPFRouters地址224.0.0.5以便它們能跟蹤其他鄰居的信息,即DR將洪泛update packet到224.0.0.5;DRother只組播update packet到AllDRouter地址224.0.0.6,只有DR/BDR監聽這個地址.
五.OSPF鄰居關系
鄰接關系建立的4個階段:
1.鄰居發現階段
2.雙向通信階段：Hello報文都列出了對方的RID，則BC完成.
3.資料庫同步階段：
4.完全鄰接階段: full adjacency
鄰居關系的建立和維持都是靠Hello包完成的,在一般的網路類型中,Hello包是每經過1個HelloInterval發送一次,有1個例外:在NBMA網路中,路由器每經過一個PollInterval周期發送Hello包給狀態為down的鄰居(其他類型的網路是不會把Hello包發送給狀態為down的路由器的).Cisco路由器上PollInterval默認60s Hello Packet以組播的方式發送給224.0.0.5，在NBMA類型，點到多點和虛鏈路類型網路，以單播發送給鄰居路由器。鄰居可以通過手工配置或者Inverse-ARP發現.
OSPF路由器在完全鄰接之前,所經過的幾個狀態:
1.Down: 初始化狀態.
2.Attempt: 只適於NBMA網路,在NBMA網路中鄰居是手動指定的,在該狀態下,路由器將使用HelloInterval取代PollInterval來發 送Hello包.
3.Init: 表明在DeadInterval里收到了Hello包,但是2-Way通信仍然沒有建立起來.
4.two-way: 雙向會話建立.
5.ExStart: 信息交換初始狀態,在這個狀態下,本地路由器和鄰居將建立Master/Slave關系,並確定DD Sequence Number,介面等級高的的成為Master.
6.Exchange: 信息交換狀態,本地路由器向鄰居發送資料庫描述包,並且會發送LSR用於請求新的LSA.
7.Loading: 信息載入狀態,本地路由器向鄰居發送LSR用於請求新的LSA .
8.Full: 完全鄰接狀態,這種鄰接出現在Router LSA和Network LSA中.
六.OSPF泛洪
Flooding採用2種報文
LSU Type 4---鏈路狀態更新報文
LSA Type 5---鏈路狀態確認報文
(補充下)
{
Hello Type 1 ---Hello協議報文
DD(Data Description) Type 2----鏈路數據描述報文
LSR Type 3----鏈路狀態請求報文
}
在P-P網路，路由器是以組播方式將更新報文發送到組播地址224.0.0.5.
在P-MP和虛鏈路網路，路由器以單播方式將更新報文發送至鄰接鄰居的介面地址.
在廣播型網路，DRother路由器只能和DR&BDR形成鄰接關系，所以更新報文將發送到224.0.0.6，相應的DR以224.0.0.5泛洪LSA並且BDR只接收LSA，不會確認和泛洪這些更新，除非DR失效 在NBMA型網路，LSA以單播方式發送到DR BDR，並且DR以單播方式發送這些更新.
LSA通過序列號,校驗和,和老化時間保證LSDB中的LSA是最新的,
Seq: 序列號(Seq)的范圍是0x80000001到0x7fffffff.
Checksum: 校驗和(Checksum)計算除了Age欄位以外的所有欄位,每5分鍾校驗1次.
Age: 范圍是0到3600秒,16位長.當路由器發出1個LSA後,就把Age設置為0,當這個LSA經過1台路由器以後,Age就會增加1個LSA保存在LSDB中的時候,老化時間也會增加.
當收到相同的LSA的多個實例的時候,將通過下面的方法來確定哪個LSA是最新的:
1. 比較LSA實例的序列號,越大的越新.
2. 如果序列號相同,就比較校驗和,越大越新.
3. 如果校驗和也相同,就比較老化時間,如果只有1個LSA擁有MaxAge(3600秒)的老化時間,它就是最新的.
4. 如果LSA老化時間相差15分鍾以上,(叫做MaxAgeDiff),老化時間越小的越新.
5. 如果上述都無法區分,則認為這2個LSA是相同的.
六.OSPF區域
區域長度32位，可以用10進制，也可以類似於IP地址的點分十進制分3種通信量
1. Intra-Area Traffic:域內間通信量
2. Inter-Area Traffic:域間通信量
3. External Traffic:外部通信量
路由器類型
1. Internal Router:內部路由器
2. ABR(Area Border Router):區域邊界路由器
3. Backbone Router(BR):骨幹路由器
4. ASBR(Autonomous System Boundary Router):自治系統邊界路由器.
虛鏈路(Virtual Link)
以下2中情況需要使用到虛鏈路:
1. 通過一個非骨幹區域連接到一個骨幹區域.
2. 通過一個非骨幹區域連接一個分段的骨幹區域兩邊的部分區域.
虛鏈接是一個邏輯的隧道（Tunnel）,配置虛鏈接的一些規則:
1. 虛鏈接必須配置在2個ABR之間.
2. 虛鏈接所經過的區域叫Transit Area,它必須擁有完整的路由信息.
3. Transit Area不能是Stub Area.
4. 盡口的避免使用虛鏈接,它增加了網路的復雜程度和加大了排錯的難度.
七.LSA類型
1.類型1:Router LSA:每個路由器都將產生Router LSA,這種LSA只在本區域內傳播，描述了路由器所有的鏈路和介面，狀態和開銷.
2.類型2:Network LSA:在每個多路訪問網路中，DR都會產生這種Network LSA，它只在產生這條Network LSA的區域泛洪描述了所有和它相連的路由器（包括DR本身）.
3.類型3:Network Summary LSA :由ABR路由器始發,用於通告該區域外部的目的地址.當其他的路由器收到來自ABR的Network Summary LSA以後,它不會運行SPF演算法,它只簡單的加上到達那個ABR的開銷和Network Summary LSA中包含的開銷,通過ABR,到達目標地址的路由和開銷一起被加進路由表裡,這種依賴中間路由器來確定到達目標地址的完全路由(full route)實際上是距離矢量路由協議的行為
4.類型4:ASBR Summary LSA:由ABR發出，ASBR匯總LSA除了所通告的目的地是一個ASBR而不是一個網路外，其他同NetworkSummary LSA.
5.類型5:AS External LSA:發自ASBR路由器,用來通告到達OSPF自主系統外部的目的地,或者OSPF自主系統那個外部的預設路由的LSA.這種LSA將在全AS內泛洪
6.類型6:Group Membership LSA
7.類型7:NSSA External LSA:來自非完全Stub區域（not-so-stubby area）內ASBR路由器始發的LSA通告它只在NSSA區域內泛洪，這是與LSA-Type5的區別.
8.類型8:External Attributes LSA
9.類型9:Opaque LSA(link-local scope,)
10.類型10:Opaque LSA(area-local scope)
11.類型11:Opaque LSA(AS scope)
八.OSPF末梢區域
由於並不是每個路由器都需要外部網路的信息,為了減少LSA泛洪量和路由表條目,就創建了末節區域,位於Stub邊界的ABR將宣告一條默認路由到所有的Stub區域內的內部路由器.
Stub區域限制：
a) 所有位於stub area的路由器必須保持LSDB信息同步, 並且它們會在它的Hello包中設置一個值為0的E位(E-bit),因此這些路由器是不會接收E位為1的Hello包,也就是說在stub area里沒有配置成stub router的路由器將不能和其他配置成stub router的路由器建立鄰接關系.
b) 不能在stub area中配置虛鏈接(virtual link),並且虛鏈接不能穿越stub area.
c) stub area里的路由器不可以是ASBR.
d) stub area可以有多個ABR,但是由於默認路由的緣故,內部路由器無法判定哪個ABR才是到達ASBR的最佳選擇.
e)NSSA允許外部路由被宣告OSPF域中來,同時保留Stub Area的特徵,因此NSSA里可以有ASBR,ASBR將使用type7-LSA來宣告外部路由,但經過ABR,Type7被轉換為Type5.7類LSA通過OSPF報頭的一個P-bit作Tag,如果NSSA里的ABR收到P位設置為1的NSSA External LSA,它將把LSA類型7轉換為LSA類型5.並把它洪泛到其他區域中;如果收到的是P位設置為0的NSSAExternal LSA,它將不會轉換成類型5的LSA,並且這個類型7的LSA里的目標地址也不會被宣告到NSSA的外部NSSA在IOS11.2後支持.

靜態路由:

靜態路由是指由網路管理員手工配置的路由信息。當網路的拓撲結構或鏈路的狀態發生變化時，網路管理員需要手工去修改路由表中相關的靜態路由信息。靜態路由信息在預設情況下是私有的，不會傳遞給其他的路由器。當然，網管員也可以通過對路由器進行設置使之成為共享的。靜態路由一般適用於比較簡單的網路環境，在這樣的環境中，網路管理員易於清楚地了解網路的拓撲結構，便於設置正確的路由信息。
在一個支持DDR（dial-on-demand routing）的網路中，撥號鏈路只在需要時才撥通，因此不能為動態路由信息表提供路由信息的變更情況。在這種情況下，網路也適合使用靜態路由。
使用靜態路由的另一個好處是網路安全保密性高。動態路由因為需要路由器之間頻繁地交換各自的路由表，而對路由表的分析可以揭示網路的拓撲結構和網路地址等信息。因此，網路出於安全方面的考慮也可以採用靜態路由。
大型和復雜的網路環境通常不宜採用靜態路由。一方面，網路管理員難以全面地了解整個網路的拓撲結構；另一方面，當網路的拓撲結構和鏈路狀態發生變化時，路由器中的靜態路由信息需要大范圍地調整，這一工作的難度和復雜程度非常高。