华为认证HCIE面试中的一些分享
本人在一家网络公司做驻场,工作到目前为止也有一年多了。期间涉及华为防火墙的项目和变更居多,于是就开始了自学的过程。慢慢感觉学的东西也不少了,就打算考一个关于这方面的认证。一是系统的学习一下内容,毕竟自学和有人带比起来会有很多弯路,再一个考证还能涨工资^_^。
通过半年的学习期,再加上一些项目经验,对安全方面涉及的内容有了一些深入的了解,于是乎开始着手笔试。笔试的范围涵盖课程的所有内容,知识面广,结合着题库并且搞明白原理对补足自身的知识漏洞很有帮助。在6月份顺利通过笔试后,接着开始备考LAB。LAB考的就是实际操作,要做到精细化,像是安全策略要多细有多细,这才能叫安全。一些基础的配置和环境可以在模拟器上多练习,通过抓包并仔细分析交互内容能更深刻的理解工作过程和原理,对后面的面试也有很大帮助,像是IPSec 一、二阶段、主模式、野蛮模式的交互过程是必须了解清楚的。我准备了3个月的时间,到最后能默写出大部分的LAB配置,考到下午两点半就出来了,还得说一句题库是真的稳。
9月份通过LAB后开始准备面试。在LAB复习阶段时间比较长,就提前将防火墙流程图、双机热备与VPN相关的基础知识自己做了一套笔记,并且抓包分析过程。有了这充足的前期准备工作,结合产品文档和面试题库,持续学习了三个月,终于在12月份通过了面试,今年年初订的小目标也算完成了。
分享一下面试战报一、ASPF的作用以及原理
我解释了ASPF的定义,说了他的本质是创建server-map,从而创建会话表来让流量通过。用FTP主动模式来画图说明整个ASPF的过程,一定要画图,因为画图能托时间。后面说了在NAT环境下ALG的作用,整体主干过程没有打断。后面追问怎么排错,我按SIP那道题来讲的一个大体的思路,然后又问ASPF能识别的协议,也问了如何保证ASPF的安全性,大部分都是题库内的。第一道大约20分钟。
二、在DSVPN中NHRP的作用
我介绍了一下NHRP的定义和三个作用,然后接着就画图说明Normal模式和Shortcut模式的交互过程和几个区别,这题主干也没有打断。追问了这两种模式的应用场景,我以设备性能来分析Shortcut模式更适合一些分支路由性能不好的场景。然后又追问了一个DSVPN的安全性如何保证,我说可以用IPSEC加密GRE的报文,因为GRE是明文。因为这个题也不小所以追问了像报文封装结构,匹配的感兴趣流,采用的主模式、策略模板的一些配置,还有一个是没答好的运维难度的比较。我只答出来DSVPN可以基于动态路由协议来达到分支互访,无需像传统IPSec需要配置静态路由并且需要由总部来转发。这题大概用了25分钟。
三、SACG的两种部署区别
给了2张图,分别是直路部署和旁路部署。我按引流、路由、状态检测、单点故障等几个方面说了不同。接着讲了一下SACG和TSM服务器的交互过程,还有域的概念。因为本身这题能说的不太多,留一些给考官追问。然后就追问了如何排错,我按步骤一点点讲,随后又问了客户端的一个认证过程和SACG上通过TSM下发的策略和本地的策略的不同,我回答优先匹配TSM下发的策略,当TSM失效根据本地策略转发。最后又追问这两种策略的表现形式,我回答TSM通过ACL形式表现,本地就是在安全策略中配置。这题用了15分钟。
最后考官点评SACG中客户端的认证过程需要再详细一些,IPSEC的相关配置还需要多深入了解。
最后预祝一下各位同学都能通过考试拿到自己心仪的证书。
985大学 211大学 全国院校对比 专升本