网络安全保密性高指的是哪种路由

A. 哪种路由器的安全性最好

各个品牌，不同型号路由器性能不同，不能说哪个路由器安全性能最好。一般是企业级的路由器功能比较强大，相对安全性能好些。

B. 什么样的路由器安全性高

华硕AC66U路由器，华硕路由器也是量产网很喜欢的了，而其中价格相对便宜又比较好的就是AC66U B1了，它相对网件R6400胜在于2.4G速率上，例如手机86m与72m或173与144m之间的差别，在2.4G速度上面AC66U B1比较有优势，5G差不多。AC66U辐射面广，信号稳定且高效，支持1750Mbps，华硕的固件也非常的好用，根本无需刷入其他的固件了，它自己的就很优秀，扩展能力优秀，路由器比起TP两三百的好用太多了，一百四十平，路由器放在客厅，信号全部覆盖一点问题没有，尤其是澳大利亚模式信号非常强。

C. 什么叫静态路由

静态路由是一种路由的方式，路由项由网络管理员手工配置路由信息。静态路由和动态路由的区别是：

1、路由状态是否能调整的区别

静态路由是固定的，不会改变，即使网络状况已经改变或是重新被组态。

动态路由是路由器能够自动地建立自己的路由表，并且能够根据实际情况的变化适时地进行调整。

2、适用网络规模上的区别

大型和复杂的网络环境通常不宜采用静态路由。静态路由用于网络规模不大、拓扑结构相对固定的网络。网络管理员难以全面地了解整个网络的拓扑结构；当网络的拓扑结构发生变化时，路由器静态路由信息需要大范围地调整，这一工作的难度和复杂程度非常高。

动态路由适用于网络规模大、拓扑复杂的网络。根据网络的情况自动计算路由、选择转发路径，根据网络拓朴结构的变化调整路由条目。

3、特性上的区别

使用静态路由的好处是网络安全保密性高。不占用网络带宽，静态路由不会产生更新流量。

而动态路由对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。无需管理员手工维护，减轻了管理员的工作负担。占用了网络带宽。

D. 面试问题：什么是静态路由

在Linux中，静态路由是路由项由手动设置的一种路由方式;即使网络状态已经改变或重新被组态，静态路由也是固定不变的，静态路由由网络管理员逐项加入路由表，可用route
add -net增加到某个网段的路由语句在Linux中添加路由。
静态路由Static routing，是一种路由的方式，路由项由手动配置，而非动态决定。与动态路由不同，静态路由是固定的，不会改变，即使网络状况已经改变或是重新被组态。一般来说，静态路由是由网络管理员逐项加入路由表。
优点
使用静态路由的另一个好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。因此，网络出于安全方面的考虑也可以采用静态路由。不占用网络带宽，因为静态路由不会产生更新流量。静态路由适用于中小型网络。
缺点
大型和复杂的网络环境通常不宜采用静态路由。一方面，网络管理员难以全面地了解整个网络的拓扑结构;另一方面，当网络的拓扑结构和链路状态发生变化时，路由器中的静态路由信息需要大范围地调整，这一工作的难度和复杂程度非常高。当网络发生变化或网络发生故障时，不能重选路由，很可能使路由失败。

E. 麻烦推荐一个保密性和安全性较好的路由器

如果是企业就用防火墙吧，现在的防火墙并不是很贵。现在稍微注重信息安全的企业都没人用路由器了。

F. 无线路由器WPA-PSK/WPA2-PSK，WPA/WPA2，WEP加密有什么区别

一、主体不同

1、WPA-PSK/WPA2-PSK：WEP预分配共享密钥的认证方式，在加密方式和密钥的验证方式上作了修改，使其安全性更高。

2、WPA/WPA2：Wi-Fi 联盟对采用 IEEE802.11i安全增强功能的产品的认证计划。是基于WPA的一种新的加密方式。

3、WEP：有线等效保密（WEP）协议是对在两台设备间无线传输的数据进行加密的方式。

二、加密方式不同

1、WPA-PSK/WPA2-PSK：客户的认证仍采用验正用户是否使用事先分配的正确密钥。

2、WPA/WPA2：用了更为安全的算法。CCMP取代了WPA的MIC、AES取代了WPA的TKIP。

3、WEP：使用了rsa数据安全性公司开发的rc4 ping算法。如果无线基站支持MAC过滤，推荐你连同WEP一起使用这个特性。

三、特点不同

1、WPA-PSK/WPA2-PSK：预先分配的密钥仅仅用于认证过程，而不用于数据加密过程，因此不会导致像WEP密钥那样严重的安全问题。

2、WPA/WPA2：其口令长度为 20 个以上的随机字符，或者使用 McAfee 无线安全或者 Witopia Secure MyWiFi 等托管的 RADIUS 服务。

3、WEP：WEP 系统要求钥匙得用十六进制格式指定，有些用户会选择在有限的 0-9 A-F 的十六进制字符集中可以拼成英文词的钥匙。

G. OSPF跟静态路由

OSPF协议
OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相对，OSPF是链路状态路由协议，而RIP是距离向量路由协议。

一。OSPF起源
I E T F为了满足建造越来越大基于I P网络的需要，形成了一个工作组，专门用于开发开放式的、链路-状态路由协议，以便用在大型、异构的I P网络中。新的路由协议以已经取得一些成功的一系列私人的、和生产商相关的、最短路径优先( S P F )路由协议为基础， S P F在市场上广泛使用。包括O S P F在内，所有的S P F路由协议基于一个数学算法—D i j k s t r a算法。这个算法能使路由选择基于链路-状态，而不是距离向量。O S P F由I E T F在2 0世纪8 0年代末期开发，O S P F是S P F类路由协议中的开放式版本。最初的O S P F规范体现在RFC 11 3 1中。这个第1版( O S P F版本1 )很快被进行了重大改进的版本所代替，这个新版本体现在RFC 1247文档中。RFC 1247 OSPF称为O S P F版本2是为了明确指出其在稳定性和功能性方面的实质性改进。这个O S P F版本有许多更新文档，每一个更新都是对开放标准的精心改进。接下来的一些规范出现在RFC 1583、2 1 7 8和2 3 2 8中。O S P F版本2的最新版体现在RFC 2328中。最新版只会和由RFC 2138、1 5 8 3和1 2 4 7所规范的版本进行互操作。
链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。
OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（Autonomous System），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
作为一种链路状态的路由协议，OSPF将链路状态广播数据包LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。

二.OSPF的hello协议
1.Hello协议的目的:
1.用于发现邻居
2.在成为邻居之前,必须对Hello包里的一些参数协商成功
3.Hello包在邻居之间扮演着keepalive的角色
4.允许邻居之间的双向通信
5.它在NBMA(Nonbroadcast Multi-access)网络上选举DR和BDR
2.Hello Packet包含以下信息:
1.源路由器的RID
2.源路由器的Area ID
3.源路由器接口的掩码
4.源路由器接口的认证类型和认证信息
5.源路由器接口的Hello包发送的时间间隔
6.源路由器接口的无效时间间隔
7.优先级
8.DR/BDR
9.五个标记位(flag bit)
10.源路由器的所有邻居的RID
三.OSPF的网络类型
OSPF定义的5种网络类型:
1.点到点网络
2.广播型网络
3.NBMA网络
4.点到多点网络
5.虚链接(virtual link)
1.1.点到点网络, 比如T1线路,是连接单独的一对路由器的网络,点到点网络上的有效邻居总是可以形成邻接关系的,在这种网络上,OSPF包的目标地址使用的是224.0.0.5,这个组播地址称为AllSPFRouters.
2.1.广播型网络,比如以太网,Token Ring和FDDI,这样的网络上会选举一个DR和BDR,DR/BDR的发送的OSPF包的目标地址为224.0.0.5,运载这些OSPF包的帧的目标MAC地址为0100.5E00.0005;而除了DR/BDR以外的OSPF包的目标地址为224.0.0.6,这个地址叫AllDRouters.
3.1.NBMA网络, 比如X.25,Frame Relay,和ATM,不具备广播的能力,因此邻居要人工来指定,在这样的网络上要选举DR和BDR,OSPF包采用unicast的方式
4.1.点到多点网络 是NBMA网络的一个特殊配置,可以看成是点到点链路的集合. 在这样的网络上不选举DR和BDR.
5.1.虚链接: OSPF包是以unicast的方式发送
所有的网络也可以归纳成2种网络类型:
1.传输网络(Transit Network)
2.末梢网络(Stub Network )
四.OSPF的DR及BDR
在DR和BDR出现之前，每一台路由器和他的邻居之间成为完全网状的OSPF邻接关系，这样5台路由器之间将需要形成10个邻接关系,同时将产生25条LSA.而且在多址网络中,还存在自己发出的LSA 从邻居的邻居发回来,导致网络上产生很多LSA的拷贝,所以基于这种考虑，产生了DR和BDR.
DR将完成如下工作
1. 描述这个多址网络和该网络上剩下的其他相关路由器.
2. 管理这个多址网络上的flooding过程.
3. 同时为了冗余性，还会选取一个BDR，作为双备份之用.
DR BDR选取规则： DR BDR选取是以接口状态机的方式触发的.
1. 路由器的每个多路访问(multi-access)接口都有个路由器优先级(Router Priority),8位长的一个整数,范围是0到255,Cisco路由器默认的优先级是1优先级为0的话将不能选举为DR/BDR.优先级可以通过命令ip ospf priority进行修改.
2. Hello包里包含了优先级的字段,还包括了可能成为DR/BDR的相关接口的IP地址.
3. 当接口在多路访问网络上初次启动的时候,它把DR/BDR地址设置为0.0.0.0,同时设置等待计时器(wait timer)的值等于路由器无效间隔(Router Dead Interval).
DR BDR选取过程：
1. 在和邻居建立双向(2-Way)通信之后,检查邻居的Hello包中Priority,DR和BDR字段,列出所有可以参与DR/BDR选举的邻居.所有的路由器声明它们自己就是DR/BDR(Hello包中DR字段的值就是它们自己的接口地址;BDR字段的值就是它们自己的接口地址)
2. 从这个有参与选举DR/BDR权的列表中,创建一组没有声明自己就是DR的路由器的子集(声明自己是DR的路由器将不会被选举为BDR)
3. 如果在这个子集里,不管有没有宣称自己就是BDR,只要在Hello包中BDR字段就等于自己接口的地址,优先级最高的就被选举为BDR;如果优先级都一样,RID最高的选举为BDR
4. 如果在Hello包中DR字段就等于自己接口的地址,优先级最高的就被选举为DR;如果优先级都一样,RID最高的选举为DR;如果没有路由器宣称自己就是DR,那么新选举的BDR就成为DR
5. 要注意的是,当网络中已经选举了DR/BDR后,又出现了1台新的优先级更高的路由器,DR/BDR是不会重新选举的
6. DR/BDR选举完成后,DRother只和DR/BDR形成邻接关系.所有的路由器将组播Hello包到AllSPFRouters地址224.0.0.5以便它们能跟踪其他邻居的信息,即DR将洪泛update packet到224.0.0.5;DRother只组播update packet到AllDRouter地址224.0.0.6,只有DR/BDR监听这个地址.
五.OSPF邻居关系
邻接关系建立的4个阶段:
1.邻居发现阶段
2.双向通信阶段：Hello报文都列出了对方的RID，则BC完成.
3.数据库同步阶段：
4.完全邻接阶段: full adjacency
邻居关系的建立和维持都是靠Hello包完成的,在一般的网络类型中,Hello包是每经过1个HelloInterval发送一次,有1个例外:在NBMA网络中,路由器每经过一个PollInterval周期发送Hello包给状态为down的邻居(其他类型的网络是不会把Hello包发送给状态为down的路由器的).Cisco路由器上PollInterval默认60s Hello Packet以组播的方式发送给224.0.0.5，在NBMA类型，点到多点和虚链路类型网络，以单播发送给邻居路由器。邻居可以通过手工配置或者Inverse-ARP发现.
OSPF路由器在完全邻接之前,所经过的几个状态:
1.Down: 初始化状态.
2.Attempt: 只适于NBMA网络,在NBMA网络中邻居是手动指定的,在该状态下,路由器将使用HelloInterval取代PollInterval来发 送Hello包.
3.Init: 表明在DeadInterval里收到了Hello包,但是2-Way通信仍然没有建立起来.
4.two-way: 双向会话建立.
5.ExStart: 信息交换初始状态,在这个状态下,本地路由器和邻居将建立Master/Slave关系,并确定DD Sequence Number,接口等级高的的成为Master.
6.Exchange: 信息交换状态,本地路由器向邻居发送数据库描述包,并且会发送LSR用于请求新的LSA.
7.Loading: 信息加载状态,本地路由器向邻居发送LSR用于请求新的LSA .
8.Full: 完全邻接状态,这种邻接出现在Router LSA和Network LSA中.
六.OSPF泛洪
Flooding采用2种报文
LSU Type 4---链路状态更新报文
LSA Type 5---链路状态确认报文
(补充下)
{
Hello Type 1 ---Hello协议报文
DD(Data Description) Type 2----链路数据描述报文
LSR Type 3----链路状态请求报文
}
在P-P网络，路由器是以组播方式将更新报文发送到组播地址224.0.0.5.
在P-MP和虚链路网络，路由器以单播方式将更新报文发送至邻接邻居的接口地址.
在广播型网络，DRother路由器只能和DR&BDR形成邻接关系，所以更新报文将发送到224.0.0.6，相应的DR以224.0.0.5泛洪LSA并且BDR只接收LSA，不会确认和泛洪这些更新，除非DR失效 在NBMA型网络，LSA以单播方式发送到DR BDR，并且DR以单播方式发送这些更新.
LSA通过序列号,校验和,和老化时间保证LSDB中的LSA是最新的,
Seq: 序列号(Seq)的范围是0x80000001到0x7fffffff.
Checksum: 校验和(Checksum)计算除了Age字段以外的所有字段,每5分钟校验1次.
Age: 范围是0到3600秒,16位长.当路由器发出1个LSA后,就把Age设置为0,当这个LSA经过1台路由器以后,Age就会增加1个LSA保存在LSDB中的时候,老化时间也会增加.
当收到相同的LSA的多个实例的时候,将通过下面的方法来确定哪个LSA是最新的:
1. 比较LSA实例的序列号,越大的越新.
2. 如果序列号相同,就比较校验和,越大越新.
3. 如果校验和也相同,就比较老化时间,如果只有1个LSA拥有MaxAge(3600秒)的老化时间,它就是最新的.
4. 如果LSA老化时间相差15分钟以上,(叫做MaxAgeDiff),老化时间越小的越新.
5. 如果上述都无法区分,则认为这2个LSA是相同的.
六.OSPF区域
区域长度32位，可以用10进制，也可以类似于IP地址的点分十进制分3种通信量
1. Intra-Area Traffic:域内间通信量
2. Inter-Area Traffic:域间通信量
3. External Traffic:外部通信量
路由器类型
1. Internal Router:内部路由器
2. ABR(Area Border Router):区域边界路由器
3. Backbone Router(BR):骨干路由器
4. ASBR(Autonomous System Boundary Router):自治系统边界路由器.
虚链路(Virtual Link)
以下2中情况需要使用到虚链路:
1. 通过一个非骨干区域连接到一个骨干区域.
2. 通过一个非骨干区域连接一个分段的骨干区域两边的部分区域.
虚链接是一个逻辑的隧道（Tunnel）,配置虚链接的一些规则:
1. 虚链接必须配置在2个ABR之间.
2. 虚链接所经过的区域叫Transit Area,它必须拥有完整的路由信息.
3. Transit Area不能是Stub Area.
4. 尽口的避免使用虚链接,它增加了网络的复杂程度和加大了排错的难度.
七.LSA类型
1.类型1:Router LSA:每个路由器都将产生Router LSA,这种LSA只在本区域内传播，描述了路由器所有的链路和接口，状态和开销.
2.类型2:Network LSA:在每个多路访问网络中，DR都会产生这种Network LSA，它只在产生这条Network LSA的区域泛洪描述了所有和它相连的路由器（包括DR本身）.
3.类型3:Network Summary LSA :由ABR路由器始发,用于通告该区域外部的目的地址.当其他的路由器收到来自ABR的Network Summary LSA以后,它不会运行SPF算法,它只简单的加上到达那个ABR的开销和Network Summary LSA中包含的开销,通过ABR,到达目标地址的路由和开销一起被加进路由表里,这种依赖中间路由器来确定到达目标地址的完全路由(full route)实际上是距离矢量路由协议的行为
4.类型4:ASBR Summary LSA:由ABR发出，ASBR汇总LSA除了所通告的目的地是一个ASBR而不是一个网络外，其他同NetworkSummary LSA.
5.类型5:AS External LSA:发自ASBR路由器,用来通告到达OSPF自主系统外部的目的地,或者OSPF自主系统那个外部的缺省路由的LSA.这种LSA将在全AS内泛洪
6.类型6:Group Membership LSA
7.类型7:NSSA External LSA:来自非完全Stub区域（not-so-stubby area）内ASBR路由器始发的LSA通告它只在NSSA区域内泛洪，这是与LSA-Type5的区别.
8.类型8:External Attributes LSA
9.类型9:Opaque LSA(link-local scope,)
10.类型10:Opaque LSA(area-local scope)
11.类型11:Opaque LSA(AS scope)
八.OSPF末梢区域
由于并不是每个路由器都需要外部网络的信息,为了减少LSA泛洪量和路由表条目,就创建了末节区域,位于Stub边界的ABR将宣告一条默认路由到所有的Stub区域内的内部路由器.
Stub区域限制：
a) 所有位于stub area的路由器必须保持LSDB信息同步, 并且它们会在它的Hello包中设置一个值为0的E位(E-bit),因此这些路由器是不会接收E位为1的Hello包,也就是说在stub area里没有配置成stub router的路由器将不能和其他配置成stub router的路由器建立邻接关系.
b) 不能在stub area中配置虚链接(virtual link),并且虚链接不能穿越stub area.
c) stub area里的路由器不可以是ASBR.
d) stub area可以有多个ABR,但是由于默认路由的缘故,内部路由器无法判定哪个ABR才是到达ASBR的最佳选择.
e)NSSA允许外部路由被宣告OSPF域中来,同时保留Stub Area的特征,因此NSSA里可以有ASBR,ASBR将使用type7-LSA来宣告外部路由,但经过ABR,Type7被转换为Type5.7类LSA通过OSPF报头的一个P-bit作Tag,如果NSSA里的ABR收到P位设置为1的NSSA External LSA,它将把LSA类型7转换为LSA类型5.并把它洪泛到其他区域中;如果收到的是P位设置为0的NSSAExternal LSA,它将不会转换成类型5的LSA,并且这个类型7的LSA里的目标地址也不会被宣告到NSSA的外部NSSA在IOS11.2后支持.

静态路由:

静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的，不会传递给其他的路由器。当然，网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境，在这样的环境中，网络管理员易于清楚地了解网络的拓扑结构，便于设置正确的路由信息。
在一个支持DDR（dial-on-demand routing）的网络中，拨号链路只在需要时才拨通，因此不能为动态路由信息表提供路由信息的变更情况。在这种情况下，网络也适合使用静态路由。
使用静态路由的另一个好处是网络安全保密性高。动态路由因为需要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息。因此，网络出于安全方面的考虑也可以采用静态路由。
大型和复杂的网络环境通常不宜采用静态路由。一方面，网络管理员难以全面地了解整个网络的拓扑结构；另一方面，当网络的拓扑结构和链路状态发生变化时，路由器中的静态路由信息需要大范围地调整，这一工作的难度和复杂程度非常高。