网络工程师（技术面-网络）集锦（附答案），收藏起来自己看。

 ⚡️ 欢迎来到 注意安全CL 的博客主页 🌷

🙋  我的专栏推荐  🙋

        🌱《软件安装与资源共享》分享好用的工具软件，条理清晰资源多多🍗，欢迎来访🐇

        🌱《信息安全-初级网络》有全面的网络基础知识分享，欢迎来访🙉

        🌱《信息安全-高级网络》涉及高级网络技术知识，实验案例部署配置，快速提升🐲 

        🌱《信息安全-渗透测试》有超全漏洞复现、攻击方式、渗透工具分享欧~💦

        🌱《信息安全-密码学》校内布置的剪短算法练习，帮助你更快爱上这一学科 🌺

学习完HCIA和HCIP的相关内容，是不是有小伙伴在准备就业面试了？（是的举手🙋🙋🙋）

不用紧张，下面是为你总结的一些网工岗位的常见面试问题!!!💡

来都来了，让我们直接进入正题感受下：（记不住的动动手拿本儿记下来✏️，增强记忆！）

特此说明 ！！！ 

本帖的所有面试题分有2个来源：

一部分为自己面试中被问到的

一部分为总结其他博主的优秀题目

1、浏览器如何访问百度？

答案：浏览器URL地址栏中输入百度域名www.baidu.com，电脑将百度域名发送给自己的DNS服务器，DNS服务器将域名解析为百度IP地址后，向百度服务器发送访问请求，百度服务器向电脑返回百度的网页到浏览器。

2、OSI七层参考模型有哪些，他们的作用是什么？

答案：

协议	作用
应用层	提供人机交互的界面，实现机器与用户交互。
表示层	将应用层传输来的视频、图片、文字等数据转换为机器语言。
会话层	隔绝不同应用程序，在通信双反之间建立、管理、终止会话。
传输层	约束传输方式，在通信双方之间建立、维护、管理端到端的连接。
网络层	实现IP寻址和路由转发。
数据链路层	将分组数据封装成帧，在数据链路上实现点到点或点到多点的直接通信。
物理层	将上层传输来的数据帧转换为比特流，从网线中发出。

• 表示层的编码转换方式：UTF-8、GBK国标码、Unicode（统一码、国际码、万国码、单一码）、Base64编码。

3、应用层各个协议的端口号?

协议	端口号	协议名
HTTP	80	超文本传输协议
HTTPS	443	超文本传输安全协议
FTP	20,21	文件传输协议
TFTP	69	文件传输协议
Telnet	23	远程登录控制协议
SSH	22	远程登录控制协议
SMTP	25	简单邮件传输协议
DNS	53	域名解析协议
POP3	110	邮局协议版本3
DHCP	67	动态地址分配协议
SNMP	162	简单网络管理协议

4、TCP/IP对等模型中，各层常见的网络技术有哪些？

答案：

• 应用层：HTTP、HTTPS、FTP、TFTP、SMTP、Telnet、DNS、DHCP等。
• 传输层：TCP、UDP。
• 网络层：IP、ICMP、IGMP。
• 数据链路层：以太网技术Ethernet、PPP、VLAN、CSMA/CD、STP生成树相关、PPPoE。
• 物理层：信道技术、编码技术。

5、TCP三次握手的过程？

答案：不论建立连接还是断开连接，都是双向的，所以需要双方都各发送一个建立连接请求包或断开连接请求包，收到响应ACK包后才认为是建立/断开连接成功，以下是建立连接的三个步骤：

（1）第一次握手：客户端client向服务端server发送建立连接请求，客户端随机生成一个起始序列号seq number=x，客户端向服务端发送的字段中包含SYN控制位置位为1 。

(三次握手过程中， SYN置位即SYN=1 ，表示要和客户端要建立连接， ACK置位即ACK=1表示确认序号有效)。

（2）第二次握手：服务端在收到客户端发来的数据包后，会随机生成一个服务端的起始序列号y，然后给客户端回复一段报文，其中包括标志位SYN=1，ACK=1，序列号 seq number=y，确认号 ack number=x+1。

（3）第三次握手：客户端收到服务端发来的报文后，会再向服务端发送报文，其中包含标志位 ACK=1，序列号 seq=x+1 ，确认号 ack=y+1 ，此时连接建立完成。

6、TCP四次挥手的过程？

答案：不论建立连接还是断开连接，都是双向的，所以需要双方都各发送一个建立连接请求包或断开连接请求包，收到响应ACK包后才认为是建立/断开连接成功，以下是断开连接的四个步骤：

（1）第一次挥手：主动方的应用进程先向其TCP发出断开连接报文段(FIN=1，seq=u)并停止再发送数据，主动关闭TCP连接，等待被动方的确认。

（2）第二次挥手：被动方收到断开连接报文段后即发出确认报文段(ACK=1，ack=u+1，seq=v)，此时的TCP处于半关闭状态，主动方到被动方的断开连接成功，

（3）第三次挥手：主动方收到被动方的确认后，等待被动方发出的断开连接的报文段。被动方发​​​​​​​送完数据，就会发出断开连接报文段(FIN=1，ACK=1，seq=w，ack=u+1)，被动方进入 LAST-ACK(最后确认)状态，等待A的确认。

（4）第四次挥手：主动方收到被动方的断开连接报文段后，对此发出确认报文段(ACK=1，seq=u+1，ack=w+1)，此时TCP还未释放，需要经过时间等待计时器设置的时间 2MSL（最大报文段生存时间）后，主动方才进入closed 状态。被动方收到主动方发出的确认报文段后关闭连接，若没收到A发出的确认报文段，B就会重传连接释放报文段。CSDN @Coder Xu

7、TCP、UDP协议的区别

• TCP：面向连接提供可靠传输。头部 20 字节。
• UDP：面向无连接提供不可靠传输。头部只有8字节，适合传输少量数据，耗时短，延时小的业务流量。

8、什么是路由器？

路由器是一种网络设备，用于在不同网络或网络的不同部分之间转发数据包。是负责实现网络互连的关键组件，广泛应用于家庭网络、小型局域网、企业级网络、运营商网络、云服务中。具有互连功能、路由功能、数据包转发功能、NAT功能、防火墙功能、VPN等功能。

9、什么是三层交换？

三层交换，也称为多层交换或IP交换，是一种网络技术。

它结合了第二层（数据链路层）交换和第三层（网络层）路由的功能。

三层交换机具备传统交换机的高速交换能力，同时也能进行路由选择，从而在更高层次上优化网络流量的转发。

10、说说三层交换和路由的区别？

（1）工作层次

• 三层交换机：工作在TCP/IP模型的第三层（网络层），使用IP地址进行数据包的路由和转发。
• 路由器：同样工作在网络层，但传统路由器通常具备更复杂的路由功能和协议支持。

（2）功能

• 三层交换机：结合了二层交换的高速数据转发和三层的路由功能，适合于局域网内部VLAN间的路由。
• 路由器：功能更全面，包括但不限于路由转发、网络地址转换(NAT)、ACL访问控制、防火墙等。

（3）应用场景

• 三层交换机：常用于局域网内连接不同VLAN，处理高速数据传输，减少广播流量。
• 路由器：用于连接不同网络，如局域网与互联网，或不同局域网之间的连接，处理跨网络的路由和访问控制。

（4）协议支持

• 三层交换机：支持基本的路由协议，如RIP、OSPF等，但可能不支持更复杂的协议如BGP。
• 路由器：支持广泛的路由协议，包括BGP，适合于大型网络和服务提供商环境。

11、ACL技术指什么？有哪几种分类？

        ACL为访问控制列表，是一种基于包过滤的访问控制技术，它通过一系列规则对数据包进行过滤，允许或拒绝特定流量通过。ACL由一系列规则组成，这些规则可以基于数据包的源地址、目的地址、端口号等信息进行匹配。

1. 基本ACL：主要针对IP报文的源IP地址进行匹配，编号范围通常是2000-2999。
2. 高级ACL：可以根据IP报文中的源IP地址、目的IP地址、协议类型，以及TCP或UDP的源目端口号等元素进行匹配，提供更精细的流量控制。
3. 二层ACL：根据报文的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定匹配规则。

12、VLAN环境的标签功能如何转发（讲清楚贴标签和撕标签过程）

（1）贴标签

        当数据帧从VLAN中的一个设备发送到交换机时，如果交换机配置了VLAN信息，它会对该数据帧进行“贴标签”操作，即在以太网帧中添加VLAN标签（通常是一个4字节的802.1Q标签）。

        VLAN标签包含了VLAN ID（用于标识数据帧属于哪个VLAN）和一些控制信息，如优先级和丢弃阈值。

（2）交换机内部转发

        交换机根据VLAN标签中的VLAN ID将数据帧转发到正确的VLAN内部端口，但不会转发到其他VLAN的端口，从而实现了不同VLAN之间的隔离。

（3）路由器或多层交换机的介入

        当需要实现不同VLAN间的通信时，数据帧需要被发送到路由器或支持VLAN的多层交换机（Layer 3 switch）。

（4）撕标签

        在路由器或多层交换机接收到带有VLAN标签的数据帧后，它会根据路由表或VLAN路由信息决定数据帧的去向。在这个过程中，路由器或多层交换机会将VLAN标签从数据帧中移除，这个过程称为“撕标签”。

        撕标签的原因是，外部网络（如互联网或另一个VLAN）可能不知道或不支持原始VLAN的VLAN ID。

（5）重新贴标签

        如果路由器或多层交换机需要将处理后的数据帧转发回VLAN中的设备，它可能会给数据帧重新贴上一个新的VLAN标签，这个标签对应于目标VLAN的ID。

（6）转发到目标设备

        最后，路由器或多层交换机将重新贴标签的数据帧发送回交换机，交换机根据VLAN标签将数据帧转发到正确的端口和设备。

        整个过程确保了VLAN之间的隔离和通信，同时允许网络管理员灵活地控制不同VLAN间的流量。通过这种方式，VLAN技术可以提高安全性、减少广播流量，并简化网络管理。

13、你对OSPF有哪些了解？

（1）含义：OSPF（Open Shortest Path First，开放最短路径优先）是一种基于链路状态的内部网关协议（Interior Gateway Protocol，IGP），广泛应用于大型网络中以实现IP数据包的路由。

（2）工作原理：OSPF使用Dijkstra算法来计算最短路径树，并通过组播方式在所有开启OSPF的接口发送Hello包来发现邻居并建立OSPF邻居关系，形成邻居表。之后，路由器们互相发送LSA（链路状态通告）来相互通告路由，形成LSDB（链路状态数据库）。OSPF利用SPF算法计算最佳路径后放入路由表。

（3）关键优势

• 支持变长子网掩码（VLSM技术）和无类别域间路由（CIDR），提供更灵活的网络配置。
• 快速收敛，当网络拓扑发生变化时，OSPF能够迅速调整路由。
• 无路由环路，通过区域划分和路由汇总等技术手段有效避免。
• 支持安全性认证，确保路由信息的安全传输 。

（4）划分特殊区域：OSPF将网络划分为多个区域（Area），每个区域内部使用自己的链路状态数据库计算最短路径。区域之间通过ABR（Area Border Router）进行信息交换，降低网络复杂性，提高路由计算效率 。

（5）工作机制：简历邻居、LSA互通、LSDB建立、SPF最短路径优先算法计算最短路径。

14、谈谈对DHCP技术？

（1）名称：动态主机配置协议，是一个局域网的网络协议。

（2）作用：给终端用户分配网络参数（IP、子网掩码、DNS、网关等），用户提供了即插即用的联网方式，用户不需要再手动配置 IP 地址等信息。

（3）4个阶段

discover：用来发现和寻找局域网中的DHCP有哪些。

offer：提供客户端需要的参数（offer包携带：IP、子网掩码、网关、DNS、租期）。

request：选择了哪个offer包，就在request包中向那个DHCP进行请求。

ack：DHCP服务器对收到的request包进行确认。

15、VLAN技术

VPN，虚拟专用网络，是一种常用打通私网到私网连通的技术，允许A网络的用户通过一个不安全的网络——外网，向另一个私网B建立一个安全的连接。

（1）IPsec VPN

IPsec（Internet Protocol Security）是一种网络层安全协议，用于在IP层上保护数据传输。它通过加密和验证机制确保数据的安全性和完整性，适用于多种网络互访场景，包括站点到站点和远程访问。IPsec VPN在配置和部署上可能相对复杂，但提供了较高的安全性 。

（2）L2TP VPN

L2TP（Layer 2 Tunneling Protocol）是一种第二层隧道协议，常用于远程访问场景，允许用户通过互联网安全地连接到企业内部网络。L2TP VPN结合了PPTP和L2F的特点，支持多种认证方式和多协议传输，但本身不提供加密，常与IPSec结合使用以增强安全性 。

（3）GRE VPN

GRE（Generic Routing Encapsulation）是一种封装协议，允许一种网络协议的数据包在另一种协议中传输。GRE VPN适用于跨越异构网络的通信，支持组播路由协议，但本身缺乏安全性，因此经常与IPsec结合使用来提供加密和认证 。

（4）MPLS VPN

MPLS（Multiprotocol Label Switching）VPN结合了MPLS技术和VPN，提供了一种高效、可靠的通信网络，允许企业使用公共互联网作为传输网络，同时建立私密、安全的VPN通道。MPLS VPN适用于构建宽带的Intranet和Extranet，满足多种业务需求，通过MPLS LDP建立隧道，使用MP-BGP在PE设备间传递路由信息，并利用VRF技术在PE设备上区分不同客户的VPN流量 

（5）SSL VPN

SSL VPN使用SSL/TLS协议来加密通过互联网的数据传输，提供安全的远程访问解决方案。与IPsec VPN相比，SSL VPN不需要安装专用客户端，用户可以通过支持SSL的标准浏览器进行连接，实现简便的配置和低成本维护。SSL VPN支持多种用户认证方式，并允许对用户访问内网资源的权限进行精细控制 。

16、讲讲你了解的IPv6？

IPv6的主要特点包括：

1. 更大的地址空间：IPv6使用128位地址，相比IPv4的32位地址，提供了21282128个唯一的地址。这足以为地球上每个人分配数十亿个IP地址。

2. 简化的头部格式：IPv6的数据包头部格式比IPv4更简单，减少了处理数据包的复杂性，从而提高了路由器的转发效率。

3. 内置的安全性：IPv6支持IPsec，这是一种网络层的安全协议，提供了数据加密和认证功能。虽然IPv4也支持IPsec，但IPv6的设计使得安全性更加集成和易于部署。

4. 自动配置：IPv6支持无状态地址自动配置（SLAAC），允许设备在没有DHCP服务器的情况下自动配置自己的IP地址。

5. 更好的路由效率：由于地址空间的增加，IPv6可以减少路由表的大小，从而提高路由效率。

6. 扩展性：IPv6的头部设计允许更容易地添加新的功能和服务，而不需要对协议进行重大修改。

7. 移动性支持：IPv6支持移动性，使得移动设备在改变网络连接时可以更容易地保持连接。

8. 更少的配置复杂性：由于地址空间的增加，网络设计可以更加简化，减少了子网划分和路由配置的复杂性。

17、文件上传漏洞

（1）概念：

文件上传漏洞是指在Web应用程序中，由于对上传文件的类型、内容或扩展名验证不严格，导致攻击者可以上传恶意文件（如可执行文件、脚本文件等），并通过这些文件获取执行服务器端命令的能力。这种漏洞可能允许攻击者上传WebShell，从而远程控制服务器，导致数据泄露、服务中断等严重安全问题。

（2）文件上传漏洞的主要特点

1. 验证机制绕过：攻击者可能会尝试绕过客户端JavaScript验证、服务端MIME类型验证、文件扩展名验证（包括黑名单和白名单）以及服务器文件内容验证（如文件头检查）。

2. 攻击方法：攻击者可能会利用各种技术，如%00截断、双重后缀名、条件竞争等，来绕过上传限制。

3. 危害：文件上传漏洞可能导致攻击者上传恶意文件，如WebShell，从而获取对服务器的控制权，导致数据泄露、服务中断等问题。

4. 防御措施：为了防御文件上传漏洞，可以采取以下措施：

   • 服务器配置：确保上传目录和文件不可执行，避免文件解析漏洞。
   • 服务端检查：使用白名单控制上传文件类型，对上传文件的后缀名和MIME Type进行匹配校验，限制文件大小和数量，对文件名进行输入校验。
   • 文件存储：上传文件应保存在指定路径下，对上传文件进行随机数重命名，避免文件被覆盖，尽量保存在内容服务器或Web目录外部。
   • 图片文件处理：对图片文件进行二次渲染或压缩，以破坏可能包含的恶意代码。
   • 日志记录：校验失败后，记录详细的错误日志信息，包括时间、用户、IP、操作内容等。

18、Linux文件管理基础命令

1. ls - 列出目录内容

   • ls -l：以长格式列出文件和目录的详细信息。
   • ls -a：显示所有文件，包括隐藏文件（以.开头的文件）。

2. cd - 改变当前目录

   • cd /path/to/directory：切换到指定的目录。
   • cd ..：切换到上一级目录。
   • cd ~：切换到用户的主目录。

3. pwd - 显示当前工作目录的路径。

4. mkdir - 创建新目录

   • mkdir newdir：在当前目录下创建一个名为newdir的新目录。
   • mkdir -p /path/to/newdir：创建多级目录结构。

5. rmdir - 删除空目录

   • rmdir directory：删除指定的空目录。

6. rm - 删除文件或目录

   • rm file：删除文件。
   • rm -r directory：递归删除目录及其内容。
   • rm -f：强制删除，不提示确认。

7. cp - 复制文件或目录

   • cp source destination：将source文件复制到destination。
   • cp -r source destination：递归复制目录。

8. mv - 移动或重命名文件/目录

   • mv source destination：将source移动或重命名到destination。

9. touch - 创建空文件或更新现有文件的时间戳

   • touch newfile：创建一个名为newfile的空文件。

10. cat - 显示文件内容

    • cat filename：显示filename文件的内容。

11. more 或 less - 分页显示文件内容

    • more filename 或 less filename：分页显示filename文件的内容。

12. head - 显示文件的开头部分

    • head -n 10 filename：显示filename文件的前10行。

13. tail - 显示文件的结尾部分

    • tail -n 10 filename：显示filename文件的最后10行。
    • tail -f filename：实时显示filename文件的新增内容。

14. grep - 搜索文件内容

    • grep "pattern" filename：在filename文件中搜索包含"pattern"的行。

15. chmod - 改变文件或目录的权限

    • chmod 755 filename：设置filename文件的权限，使得文件所有者有读、写和执行权限，而组和其他用户有读和执行权限。

16. chown - 改变文件或目录的所有者

    • chown user:group filename：将filename的所有权更改为指定的用户和组。

17. find - 在目录树中搜索文件

    • find /path/to/search -name filename：在指定路径下搜索名为filename的文件。

18. du - 显示文件或目录的磁盘使用情况

    • du -sh directory：显示目录的总磁盘使用情况。

19. df - 显示文件系统的磁盘空间使用情况

    • df -h：以易读的格式显示文件系统的磁盘空间使用情况。

19、用户常用地址？（即私网地址）

        10.x.x.x

        172.10.x.x-172.31.x.x

        192.168.x.x

20、如果某人突然不能上网，需要排查什么？

（1）检查物理链路

确认电脑网卡状态，检查水晶头、网线质量和网线连接。

（2）查看网络配置

检查本机IP地址、子网掩码、默认网关和DNS服务器设置是否正确。使用ipconfig（Windows）或ifconfig（Linux/Mac）命令查看IP配置 。

（3）测试网络连通性

使用ping命令测试本机IP地址，确认网卡工作正常。
ping网关地址，测试与路由器或网关的连通性。
ping外部公网IP，如ping 8.8.8.8，检查是否能够访问互联网 。

（4）检查DNS服务

使用ping命令测试域名解析，如ping www.baidu.com。如果无法解析，尝试使用nslookup或dig命令检查DNS配置 。

（5）检查路由器或调制解调器

登录路由器检查WAN口连接状态，确认上级线路没有问题，必要时重启路由器或调制解调器 。

（6）检查防火墙和安全软件

确保没有防火墙规则或安全软件阻止了网络连接。

（7）检查系统日志

查看系统日志文件，如Windows的事件查看器或Linux的/var/log目录下的日志文件，寻找可能的错误信息或警告 。

（8）网络诊断工具

使用如Wireshark等网络诊断工具捕获网络数据包进行分析 。

（9）联系ISP

如果以上步骤都无法解决问题，可能需要联系互联网服务提供商（ISP）来检查是否存在服务端的问题。

21、 为什么3次连接4次断开？

• 为快速发送数据，需要快速打通连接通道，所以三次建立越快越好；连接通道是双向的，客户端服务端各一个通道，如果另一边数据可能还没发完，单方面断开连接不代表断开连接，所以需要双发各自独立断开操作。

22、HTTP常见状态码

200 OK：表示从客户端发送给服务器的请求被正常处理并返回成功

301 Moved Permanently：永久性重定向，表示请求的资源被分配了新的URL，之后应使用更改的URL；

302 Found：临时性重定向，表示请求的资源被分配了新的URL，希望本次访问使用新的URL；

400 Bad Request：表示请求报文存在语法错误；

403 Forbidden：服务器拒绝该次访问（访问权限问题）

404 Not Found：表示服务器上无法找到请求的资源（也可以在服务器拒绝请求但不想给拒绝原因

时使用）

500 Inter Server Error：表示服务器在执行请求时发生了错误，也有可能是web应用存在的bug或某些临时的错误时；

503 Server Unavailable：表示服务器暂时处于超负载或正在进行停机维护，无法处理请求；