网络工程师面试题

不同网段如何通信？

答：

采用三层设备，例如三层交换机、路由器

HUB

变长子网掩码

TCP和UDP的服务有哪些？

答：

TCP：HTTP、FTP、SMTP、TELNET、SSH

UDP：DNS、TFTP、SNMP、NTP

讲一下OSI七层模型及其作用

答：

OSI七层模型及每一层的作用

应用层：为应用程序提供服务

表示层：数据格式转化，对数据进行加密

会话层：建立、管理和维护表示层实体的会话

传输层：建立、维护和管理端对端的区别

网络层：IP地址及路由的逻辑寻址

数据链路层：通过各种控制协议，将有差错的物理信道变为无差错的、能可靠传输数据帧的数据链路。

物理层：利用传输介质为数据链路层提供物理连接，实现比特流的透明传输。

STP和RSTP有什么区别？

答：

相同点：所有的VALN共享一棵生成树，无法在VLAN间实现数据流量的负载均衡。

不同点：

RSTP收敛比STP快，RSTP的P/A机制能够使指定端口进入转发用户数据帧，能学习MAC地址；

端口状态数量：RSTP有三种、STP有五种

二层环路和三层环路是如何形成的，怎么解决？

答：

二层环路一般是交换机链路冗余产生的

解决办法：生成树协议

三层环路一般是路由双点双向的引入

解决办法：通过打标签的方法解决、修改路由优先级

IPSec VPN阶段一、阶段二？

答：

阶段一：

协商建立管理连接。内容：加密技术、验证数据完整性、设备认证类型、DH组、管理连接的生存周期；

通过DH算法共享密钥

对等体彼此进行身份认证

阶段二：

定义感兴趣流

定义保护数据的安全协议AH或ESP

定义传输模式

定义建立数据连接的生存周期和密钥刷新方法

IPSec VPN和MPLS VPN的区别？

答：

IPSec VPN在第三层，转发的是IP数据包

MPLS VPN在二点五层，转发的是标签

野蛮模式和主模式的区别？

答：

主模式：两端公网IP地址固定，主模式一般采用IP地址方式标识对端设备；

主模式在IKE协商的时候要经过三个阶段：SA交换、密钥交换、ID交换和验证；

野蛮模式：两端公网IP地址不固定，可以采用IP地址方式或者域名方式标识对端设备。 野蛮模式只有两个阶段：SA交换和密钥生成、ID交换和验证。

生成树如何收敛？

答：

• 选举根桥，比较桥ID（桥优先级+MAC地址），越小越优先
• 选举根端口，比较去往根桥的根路径开销、对端的BID、对端的PID、本端的PID
• 选举指定端口，比较累计去往根桥的路径开销，再比较端口所在桥ID，越小为指定端口
• 选举阻塞端口，既不是根端口也不是指定端口的为阻塞端口。

RSTP比STP收敛速度快的原因

答：
在RSTP里面引入了边缘端口的概念，边缘端口不接收处理配置BPDu,不参与RSTP运算，可以由Disable直接转到Forwarding状态。

如果网络中一个根端口失效，那么网络中最优的Altenate端口将成为根端口，进入Forwarding状态

RSTP中，某端口被选举为指定端口后，会先进入Discarding 状态，再通过Proposal/Agreement机制快速进入Forwarding状态。

RSTP中当一个端口收到上游的指定桥发来的RST BPDu报文时，该端口会将自身存储的RSTBPDu与收到的RST BPDU进行比较

VRRP和hsrp的区别？

答：

1. 两个都支持认证.
2. 两个都支持抢占，VRRP抢占默认开启.
3. 都可以做负载均衡（不同组之间）.
4. HSRP中路由状态有6中，VRRP有3种.
5. HSRP中叫做active路由器和standby路由器，VRRP叫做master路由器和backup路由器.

Hrp是什么？

答：

华为冗余协议，它是承载在VGMP报文上进行传输的，在Master和Backup防火墙设备之间备份关键配置命令和会话表状态信息，保证在发生故障时上行下行流量能够切换到备份防火墙，从而实现业务的平滑过渡。

MSTP是什么？

答：

MSTP（多生成树协议）：在一个MST域内可以生成多棵生成树，每棵生成树都称为一个实例，实例之间彼此独立。MSTP兼容stp和RSTP，既可以快速收敛，又提供了数据转发的多个冗余路径，从而在数据转发过程中实现VLAN数据的负载均衡。解决了在STP和RSTP中由于局域网内所有的VLAN共享一棵生成树，因此无法在VLAN间实现数据流量的负载均衡的缺陷。

MSTP+VRRP和堆叠的区别？

答：

相同点：冗余备份、防环

不同点：VRRP+MSTP的使用率是50%，而堆叠是100%

什么是堆叠？

答：

堆叠（iStack）将多台交换机通过堆叠线缆连接在一起，使多台设备在逻辑上变成一台交换设备，作为一个整体参与数据转发。

请简述DHCP获取IP地址的工作过程。

答：

1、客户端通过发送DHCP发现报文来发现DHCP服务器

2、DHCP服务器选取一个未分配的IP地址，向DHCP客户端发送提供报文（如果存在多个DHCP服务器，每个DHCP服务器都会响应）

3、客户端发送DHCP请求报文，请求IP地址（如果有多个服务器响应，客户端将会选择收到的第一个DHCP提供报文）

4、DHCP服务器在收到请求后，向客户端发送确认报文

MSTP和RSTP的区别？

答：

RSTP所有的VLAN共享一棵生成树，不能按VLAN阻塞冗余链路，所有的VLAN的报文都沿着一棵生成树转发。

MSTP兼容STP和RSTP，既可以快速收敛，又提供了数据转发的多个冗余路径，从而在数据转发过程中实现VLAN数据的负载均衡。

防火墙的作用？

答：

增强网络安全策略、隔离网络，包的透明转发、包过滤、监控审计、网络地址转换、保护脆弱的服务、攻击记录、阻拦外部攻击。

传输模式和隧道模式？

答：

传输模式：在IP头和传输协议头之间插入AH或ESP，不改变原有的IP头，主要应用于两台主机或一台主机和一台VPN网关之间通信

隧道模式：在IP头之前插入AH或ESP，另外重新生成一个新的IP头，主要应用于两台VPN网关之间或一台主机与一台VPN网关之间的通信。

传输模式和隧道模式的区别在于：

（1）从安全性来讲，隧道模式优于传输模式。它可以完全地对原始IP数据包进行验证和加密。隧道模式下可以隐藏内部IP地址，协议类型和端口。

（2）从性能来讲，隧道模式因为有一个额外的IP头，所以它将比传输模式占用更多带宽。

BGP防环？

答：

IBGP防环：IBGP的水平分割、RR反射器的两个属性：起源ID、群集

EBGP防环：as_path

BGP的选路

答：

丢弃下一跳不可达的路由。

 优选Preference_Value值最高的路由（私有属性，仅本地有效)

 优选本地优先级(Local_Preference)最高的路由。

 优选手动聚合>自动聚合>network>import>从对等体学到的

 优选AS_Path短的路由。

 起源类型IGP>EGP>Incomplete.

 对于来自同一AS的路由，优选MED值小的

 优选从EBGP学来的路由(EBGP>IBGP)

 优选AS内部IGP的Metric最小的路由

 优选Cluster_List最短的路由

 优选Orginator_ID最小的路由

 优选Router_ID最小的路由器发布的路由

 优选具有较小IP地址的邻居学来的路由

什么是BFD及故障检测机制？

答：

BFD双向转发检测协议。是一个用于检测两个转发点之间故障的网络协议（可以提供毫秒级的检测），实现快速收敛。

主要应用在：OSPF、ISIS、BGP、VRRP联动等场景

BFD的故障检测机制:

BFD依赖会话进行故障的检测，我们在两个系统之间建立BFD会话，并沿它们之间的路径快速的发送BFD控制报文，如果一方在特定的时间内没有收到BFD控制报文，那么BFD将会认为会话down，此时联动其他协议或者接口状态的改变。

OSPF是什么，有几种状态，多少种报文，多少张表？

答：

OSPF全名开放式最短路径优先，是一种链路状态路由协议，基于IP，工作在网络层，端口号为89，运行OSPF的设备会相互交互LSA，把接收到的LSA放入LSDB中，从而掌握整个网络拓扑，在这个基础上通过SPF算法计算出以自己为根的、无环的、拥有最短路径的树，最终把优选路径加载到路由表中。在整个过程中，会产生三张表，五种报文，七种状态。

讲一下LSA的类型

答：

router-LSA（Type1）:每台运行OSPF协议的设备都会产生，描述了设备的链路状态和开销，在所属区域传播。

Network-LSA（Type2）：由DR产生，描述本网段的链路状态，在所属区域内传播。

Network-summary-LSA（Type3）：由ABR产生，描述区域间的路由信息。（除STUB和NSSA区域，只发布一条缺省路由。）

ASBR-summary-LSA（Type4）：由ABR产生，描述到ASBR的路由，通告给除ASBR所在区域的其他相关区域。每经过一个ABR路由器都会对这个LSA-4重新产生一次，主要作用是计算这个ABR路由器到ASBR的cost值;也就是说这个LSA-4没经过一个ABR会把Advertising Router ID和cost值重新填写

AS-external-LSA（Type5）：由ASBR产生，描述到AS外部的路由，通告到所有的区域（除STBU区域和NSSA区域）

NSSA-LSA（Type7）：明细七类LSA由ASBR产生，描述到AS外部的路由，仅在NSSA区域内传播；缺省七类LSA由ABR产生，主要用来帮助NSSA区域前往其他区域

跨域MPLS方案

答：

Option A：域间的ASBR互为PE和CE，他们之间跑的是IPv4路由，需要在ASBR上创建VPN实例，建一个子接口绑定VPN实例。优点：简单。缺点：扩展性比较差，每新增一个VPN都需要新建一个子接口。

Option B：三次MP-BGP的VPNV4路由传递；ASBR之间跑的是VPNV4路由；ASBR下要配置undo policy vpn-target去RT过滤使能(一般在反射器和ASBR上要配置）。

Option C：ASBR之间不需要起VPN实例；两个策略，本端ASBR发本AS的PE带标签的路由给对端ASBR，对端ASBR再通过策略产生新标签发给对端AS内的PE。

AC+AP的转发模式？

答：

  集中式转发模式：客户端的数据流量由AP通过隧道透传到AC，由AC转发数据报文。 本地转发模式：由AC对客户端进行认证，但客户端的数据流量直接由AP进行转发。

VXLAN和VLAN的区别？

答：

VLAN作为传统的网络隔离技术，数量只有4000个左右，无法满足大二层网络的租户间隔离需求。另外，VLAN的二层范围一般较小且固定，无法支持虚拟机大范围的动态迁移。

VXLAN完美地弥补了VLAN的上述不足，数量上远远大于4000多个，能满足大二层网络租户间隔离需求。另外VXLAN本质上是在两台交换机之间构建了一条穿越基础IP网络的虚拟隧道，将IP基础网络虚拟成一个巨型“二层交换机”，满足虚拟机大范围动态迁移的需求。

策略路由和路由策略的区别？

答：

策略路由和路由策略都可以影响数据包的转发过程，但它们对效据包的影响方式是不同的。策略路由是基于策略的转发，失败后再查找路由表转发，基于转发平面，为转发策略服务，并且需要手工配票。路由策略是基于目的地址按路由表转发，基于控制平面。为路由协议和路由表服务，并与路由协议结合完成策略

DDOS攻击如何防御？

答：

购买抗D服务、流量清洗、扩带宽。

限制同时打开SYN半链接的数目

缩短SYN半链接的time out时间

关闭不必要的服务

未来五年的职业规划是什么？

答：

前两年我会往网络工程师的技术岗位发展，在这两年内要考取软考的网络工程师证书、信息安全工程师证书和IP证书，后三年我会往网络安全或系统集成方面发展，如果转行失败，我就会在后面的三年里往售前方面发展，或者是去考IE证书，往讲师方面发展。

如果去到客户的公司，有一些新设备没有接触和配置过，自己不会怎么办？

答：

首先我会和组长说明一下情况，毕竟这是工作，不是实验，会就是会不会就是不会，不要滥竽充数。

其次我会在网上查找一些资料，尝试配置，毕竟原理是一样的只是命令不同

最后可以联系厂商那边，把自己的问题和需求和他们说一下，他们就会远程帮忙协助的。