面试题目总结

目录

一.网络基础 ............................................................................................ 3

1.OSI模型有哪几层,每一层有什么特点和作用? ................... 3 2．TCP/IP模型有哪几层？分别有什么作用和常见的协议？ ................................................................................................. 5 3.邮件传输在各层的具体过程 ............................................... 5 4.TCP/UDP的特点和区别？ .................................................... 6 5.你对ARP有什么了解？ ....................................................... 6 6.你对Traceroute 有什么了解？ ........................................... 7 7.以太网头部，IP头部等数据结构 ....................................... 7 8.Hub,交换机，路由器的工作原理？ .................................... 8 9.ftp,http等应用层协议 .......................................................... 8

交换部分 ................................................................................................. 8

1.交换机和路由器有什么区别？是否可以用交换机取代路由器？ ..................................................................................... 8 2.你对VLAN有什么了解？ .................................................... 9 3.你对trunk有什么了解？ .................................................... 9 4.你对VTP有什么了解？ ....................................................... 9 5.你对STP有什么了解？ ..................................................... 10 6.你对HSRP和VRRP有什么了解？有什么区别？ ............. 11 7.局域网常见的攻击类型，原理，以及解决办法。 .......... 12

路由部分 ............................................................................................... 13

1.路由策略和策略路由有什么区别？ .................................. 13 2.你对rip有什么了解？ ....................................................... 13 3.ospf ..................................................................................... 14 4.你对bgp有什么了解？ ..................................................... 15 5.你对mpls/vpn有什么了解？ ............................................ 16 6.路由器的体系结构（路由管理）？ .................................. 16

安全部分 ............................................................................................... 17

1.常见的网络攻击类型和原理 ............................................. 17 2.常见的网络安全解决方案？ ............................................. 18 3.防火墙的主要的安全功能有哪些？ .................................. 18 4.防火墙的种类及特点？ ..................................................... 19 3.透明防火墙的特点及应用（透明防火墙和路由防火墙的区别） ....................................................................................... 19 4.虚拟防火墙的特点及应用？略 ......................................... 19 5.防火墙故障倒换机制 ......................................................... 19 6.你对vpn有什么了解？ ..................................................... 20 7.你对ipsecvpn有什么了解？ ............................................. 21 8.sslvpn的特点。略 .............................................................. 22 9.安全算法？略 ..................................................................... 22

一.网络基础

1.OSI模型有哪几层,每一层有什么特点和作用?

答案: OSI模型从下到上依次为物理层，数据链路层，网络层，传输层，会话层，表示层，应用层。

物理层：协调在物理介质中传送比特流所需要的各种功能。负责把比特通过物理介质传送给下一结点。定义了接口和介质的类型，电气机械特性，以及与传输比特流相关的信息。

数据链路层：定义了物理介质的寻址，负责把数据帧传送给下一结点。 网络层：定义了互联网中的逻辑寻址和路由选择。负责把分组跨网络的从源点交付到终点。

传输层：负责把完整的数据报文进行端到端（进程到进程）的交付。 会话层：负责建立，维持通信系统之间的通信，并保持其对话同步。 表示层：确定数据类型，比如文本、图片、声音和影片在监视器上如何被表示

应用层：负责向用户提供服务，处理命令行或图形用户界面。

其他具体内容： 物理层：

1． 定义了物理接口的特性和传输介质的类型。

2． 定义了编码的类型，也就是说怎么把上层给的0和1转

换为能够在介质上传输的光电信号。

3． 定义了传输速率。

4． 同步传输链路上时钟频率必须相同。

5． 线路配置，点对点时两个设备通过专用链路连接在一

起，多点配置时多个设备共享链路。

6． 物理拓扑，定义设备是如何连接到网络上的，常见的有

网状拓扑，星型拓扑，环形拓扑，总线型拓扑等。 7． 定义传输方式：单工，半双工，全双工。

单工：只有一个设备可以发送，另一个设备只能接收。 半双工：两个设备都可以发送和接收，但不能在同一时间进行。

全双工：两个设备可以在同一时间接受和发送数据。

会话层的责任是会话控制和同步。 表示层的责任有转换，加密，压缩。

转换：将应用层不同进程或者不同计算机的多种编码方式统一转换为二进制编码传递给会话层，并在目的主机转换回相关编码格式交付给上层。

加密：在表示层对上层所交付的数据进行加密，那么在物理介质上截获的报文以密文显示，提供安全性。 压缩：数据压缩。

2．TCP/IP模型有哪几层？分别有什么作用和常见的协议？

答案：一般的说法为TCP/IP五层模型和四层模型，五层模型从下到上依次为物理层，数据链路层，网络层，传输层和应用层。而四层模型是将物理层和数据链路层合并称为网络接口层。 物理层：提供物理标准：接口，介质，编码等标准。 802.3 10Base-5 802.3a 10Base-2等。

数据链路层：定义了数据在网络中的物理寻址。 Ethernet II IEEE802.3（以太网的正式标准） IEEE802.11无线局域网 PPP/HDLC FR

网络层：定义了数据在网络中的逻辑寻址和路由选择。 ARP/RARP IP ICMP IGMP

传输层：定义了两台主机的应用程序之间端到端的信息交换。 TCP UDP

应用层：为用户提供服务。

FTP TELNET TFTP SNMP SSH DNS等

3.邮件传输在各层的具体过程

1.用户数据打上SMTP头部（这里简单的称为SMTP头部，事实上其中间还会有其他复杂的过程）转交给传输层。

2.传输层将其封装上TCP头部后视情况看是否分段传输，这里假设分段，而后主机将每个数据段转交给网络层。

3.网络层将数据段封装上IP头部，根据MTU确定数据段是否需要分片，这里假设分片，然后主机将每个IP分组转交给数据链路层。 4.数据链路层在每个IP分组上封装二层首尾，转交给物理层。 5.物理层将每个IP分组以比特流的方式在介质上传送。

6.数据到达目的主机后（根据二层头部确定）直接转交给数据链路层，拆掉二层封装，继续转交给上层，依次类推，传输层根据目的端口号转交给SMTP进程。而后拆掉应用层封装还原为用户识别的数据。

4.TCP/UDP的特点和区别？

TCP是一种面向连接的可靠的传输层协议，一般应用于一次性大量数据的传输，数据传输前经三次握手建立连接。拥有流量控制，差错控制，拥塞控制，数据分段和重组，有序传输等机制。是一种有状态协议，由于面向连接，因此不支持多播。

UDP是一种非面向连接的不可靠的传输层协议，一般应用于一次性传输少量数据时使用，不会在数据传输前建立连接，也没有流量控制等机制，因此它的传输速度相对于TCP要快，效率高。是一种无状态协议。

5.你对ARP有什么了解？

中文名字为地址解析协议，用来实现三层逻辑地址转换为二层的物理地址。现在一般应用于以太网中为了获得下一跳MAC地址。ARP的

工作原理是通过广播请求报文请求所需要的MAC地址，单播回复对应的MAC地址，最终实现IP到MAC的转换。现在仍然使用的ARP类型还有代理ARP和免费ARP。由于ARP本身的协议特性，导致现在内网中存在一些利用该协议的攻击方法，如ARP欺骗攻击，其解决办法可以静态绑定，ARP防火墙， DAI动态ARP检测。

6.你对Traceroute 有什么了解？

是一种应用层程序，用于测试追踪数据在网络上传输时所经过的详细路径。它的原理是初始时将ip首部的TTL值设为1发送，下一跳设备收到后丢弃并回复icmp超时报文，源设备收到后将TTL增加1再发送，依次类推便可以知道其传输过程中经过了哪些设备。同时在每一次发送时都将UDP的目的端口号设置为一个目的端永远不可能开启的值，那么数据发送到目的端时除了回复icmp超时报文外也会回复一份icmp端口不可达报文，此时跟踪过程终止。该程序一般只用于技术人员对网络进行测试。

注：icmp差错报文中必须包含生成该差错报文的数据报I P首部（包含任何选项），还必须至少包括跟在该I P首部后面的前8个字节。因此源主机就能够获得路径上详细的地址。

7.以太网头部，IP头部等数据结构

略。

8.Hub,交换机，路由器的工作原理？

Hub：集线器，是一个物理层设备，由集线器连接的网络是一种逻辑上的总线型拓扑，从一个端口收到的数据会从其他所有的端口转发出去，一个集线器就是一个冲突域，因此所有相连主机都在争用一条链路资源。

交换机：链路层设备，从一个接口收到的数据会从同一广播域的所有其他借口转发出去。

路由器：网络层设备，从一个接口进来的数据先查看二层目的MAC地址，不是自己则丢弃，是自己则拆掉二层封装，根据三层ip首部中的目的IP地址查找全局路由表，查不到相应条目丢弃，查到后将数据包转到出接口，重新封装二层头部，从接口发送出去。

9.ftp,http等应用层协议

略。。。

交换部分

1.交换机和路由器有什么区别？是否可以用交换机取代路由器？

不能取代，路由器和交换机相比最大的优势在于它拥有丰富的广域网

接口类型，可以连接不同的网络。而交换机最大的优势在于，其硬件架构是基于芯片的转发方式，因此其转发性能要比路由器高的多。当然，这是针对与中低端而言的，高端路由器和交换机基本上没有什么区别了，不过这也是根据厂商的不同会有所区别的。

2.你对VLAN有什么了解？

vlan叫做虚拟局域网，就是将1台物理交换机划分为若干台逻辑上完全独立的交换机。主要实现了广播域的隔离和不同vlan间业务的二层隔离。可以分为基于接口的vlan划分和基于接入主机mac地址的vlan划分，现在一般都用基于接口的划分。它的接口有access接口 trunk 接口和华三私有的 hybrid接口。access接口只允许一个vlan流量通过，trunk接口允许多个vlan流量通过，其中只有nativevlan不带标签通过，而hybrid接口同样允许多个vlan流量通过，但是它能够定义多个vlan可以不带标签通过。

3.你对trunk有什么了解？

trunk是一种用来承载多个vlan流量的中继协议，其链路封装格式有两种：cisco私有的isl和ieee公有的802.1q，isl是在数据帧上封装26字节的头和尾，802.1q是在以太网头部插入四字节的vlantag，以单独的标示每个vlan。默认都为802.1q。

4.你对VTP有什么了解？

vlan中继协议，是cisco私有的用来在二层交换网络中动态配置和管

理vlan信息的二层帧协议。它的基本原理是通过在交换机的trunk链路上交换vlan信息，使得处在同一vtp域内的交换机能够具有相同的vlan信息。配制修订号高的同步配置修订号低的。vtp的工作模式有三种，其中，server模式拥有最高权限，可以创建，删除，修改vlan,同时可以发送接收处理和转发vtp消息，vlan信息存储在flash中。Client模式交换机拥有最低权限，只能通过接收到的vtp消息同步本交换机上的vlan信息，不能对vlan做任何修改,vlan信息存储在RAM中。transprent模式的交换机不参与vtp同步，相当于一个完全独立的交换机，但是它必须能够转发vtp消息，vlan信息存储在flash中。 其他：

1.Vtp同步的原则： Vtp域名相同 vtp版本相同

如果有vtp密码，则密码必须相同

收到一个修订号字段比自己当前高的vtp消息，将自己的vlan信息与之同步。

Vtp消息只在trunk链路上通过vlan1传播。

vtp只同步vlan信息，不同步vlan与接口的绑定关系。

5.你对STP有什么了解？

IEEE802.1D生成树协议，是一种在二层网络上形成树状网络拓扑结构，避免环路的协议。使用stp解决了二层物理环路上存在的广播风

暴和mac地址表抖动等问题，增强了二层网络的健壮性。它的工作原理简单来说是通过逻辑上阻塞一些端口使其不能转发数据，从而构建无环拓扑。而它决定阻塞哪些端口是根据BPDU中的四份参数，根网桥id，路径开销，网桥id和端口id来决定的.stp定义了自己的四种端口角色和五种端口状态，有自己的拓扑变更机制，包括拓扑的重收敛和mac表的重收敛。当然stp的缺点也是很明显的，收敛速度慢是它的最大缺点，这也是rstp产生的原因。

6.你对HSRP和VRRP有什么了解？有什么区别？

Hsrp是cisco私有的热备份路由协议，vrrp是公有的虚拟路由冗余协议，它们的原理和作用基本没有什么差别，都是通过在冗余网关之间共享协议和MAC地址，从而提供网关的故障切换。

1.Hsrp定义了四种路由器角色，分别为活跃，备份，虚拟和其他路由器；而vrrp定义了两种路由器角色，分别为主路由器和备份路由器。 2.hsrp底层基于udp，端口号1985，通过多播地址224.0.0.2发送消息；vrrp直接基于ip,协议号112，组播地址为224.0.0.18

3.hsrp有hello消息，政变消息和辞职消息三种消息类型,hello时间3秒，保持时间10秒。vrrp只有通告消息一种类型，每1秒发送一次，保持时间3秒。

4.hsrp默认不开启抢占，vrrp默认开启。

5.hsrp的虚拟网关和真实网关不能为同一地址，vrrp的虚拟网关和真实网关是可以相同的。

7.局域网常见的攻击类型，原理，以及解决办法。

1.利用DHCP的攻击方式，dhcp伪装攻击和dhcp拒绝服务攻击。

dhcp伪装攻击的原理是非法用户将自己的设备搭建为dhcp服务器接入网络中，运用dhcp提供ip先到先得的原理，使合法用户从自己这里获取ip地址，轻则用户不能正常通信，重则造成中间人攻击，窃取用户资料。其解决办法其一是静态配制ip地址，当然这样一来管理员的任务量太大，就没有意义了；另一种解决办法是在交换机上开启dhcp-snooping功能，通过定义信任端口和非信任端口，使交换机忽略从非信任端口收到的dhcp-offer报文和dhcp-ack报文，从而保证非法dhcp服务器接入对用户不会产生影响。

Dhcp拒绝服务攻击的原理是非法用户大量伪造不同的源mac地址向 服务器发送请求，对dhcp服务器来说不同的源即为不同的用户，因此会正常分配ip地址。通过这种方法将dhcp地址池耗尽，从而使服务器不能为合法用户提供服务。解决办法是开启dhcp-snooping功能，通过默认的监控非信任端口，通过对其发送的dhcp请求限速，同时对比二层头部与dhcp报文中的源mac地址是否相同，不同则丢弃，以此来缓解dhcp防止dhcp拒绝服务攻击。

2.利用ARP协议进行攻击，ARP中间人攻击，又称为arp欺骗攻击。 它的原理是通过伪造ip地址和mac地址实现arp欺骗，还可以通过在网络中伪造大量的arp通信致使网络拥塞最终导致arp重定向和嗅探攻击。解决办法，第一是在静态绑定mac地址，第二种是arp防火墙，第三种是DAI动态arp检测，结合了dhcp-snooping绑定表，通

过检测从非信任端口收到的ARP报文，与绑定表中表项对比，不一致则丢弃。

3．静态ip地址的威胁以及ip地址欺骗

静态ip地址威胁时指在局域网中，某些用户喜欢自己配制静态ip，这样就容易与dhcp分配的ip产生冲突，严重的如果配置成了网关ip，那么就可能导致整个局域网的通信中断。Ip地址欺骗则是非法用户故意将自己的ip配置为网关ip，轻则全网通信中断，重则造成中间人攻击，使所有用户信息泄露。解决办法是配置ip源保护，通常与dhcp-snooping绑定表相结合，在非信任端口配置了ipsg就相当于在端口上加载了基于端口的acl，从而就会对收到的数据包进行过滤。

路由部分

1.路由策略和策略路由有什么区别？

路由策略工作在路由器的控制层面，针对的是路由条目，最终以影响路由表的生成。策略路由工作在路由器的转发层面，直接针对数据包产生作用，对路由表没有任何影响。

路由策略常用的工具有分发列表，前缀列表，route-map. 策略路由的工具为route-map

2.你对rip有什么了解？

RIP是Routing Information Protocol（路由信息协议）的简称，该协议

定义每个路由器将自己的路由表中的条目发送给其他运行了同种协议的设备，从而使整个网络中的所有设备能够动态的学习到网络中的路由信息。RIP是一种典型的基于距离矢量（Distance-Vector）算法的路由协议 ，因此它同时也定义了六种防环机制。在工程中一般rip只适用于小型的网络，现存的版本有ripv1和ripv2两个版本，其最大的改进是v2版本是一种无类路由协议，支持认证。Rip定义了两种协议报文，请求信息和响应信息，以跳数为度量，16跳为不可达。 其他复习内容略：

防环机制，计时器，距离矢量路由协议和链路状态路由协议的区别， Ripv1和ripv2的差别（注：可能会有这种说法，rip的第三个版本，是指基于ipv6的测试版本。）

3.ospf

OSPF是Open Shortest Path First开放式最短路径优先的简写，它是为了解决rip不能应用于大型网络而产生的协议。该协议是通过在邻居之间交换链路状态信息，并以自己为根经过spf算法计算最优路径的协议。ospf可以说是一种完美的协议，适用于大中型网络，是一种链路状态协议，因此协议本身是无环的，不需要复杂的防环机制，这就决定了它的收敛速度要比rip快的多。它最大的特点在于支持区域划分以及多种不同的区域类型，这样也便于路由管理。 其他复习内容：

报文类型，hello包中的重要字段。

邻接关系建立过程。 Ospf网络类型 对dr/bdr的了解 特殊区域的了解

4.你对bgp有什么了解？

bgp的全称为边界网关协议，是一种站在as层面进行矢量传递的路由信息的协议，它的每一跳就是一个as。BGP属于EGP，是高级DV协议，也称为路径矢量协议，基于TCP 179端口。正是因为基于TCP所以可以与非直接路由器形成邻居关系。在工程上一般应用于超大型的网络，它所能支持的路由条目要比ospf多的多。而我们之所以适用bgp的原因在于，第一，BGP可以将庞大的网络划分成若干个AS，每个as内部运行igp协议，互不干涉。第二，BGP具有丰富的路由属性，其选路控制能力非常强，能应用BGP实现复杂的业务需求。第三，可以支撑MPLS/VPN的应用，传递客户VPN路由。 其他复习内容： 报文类型 邻居建立过程， 路由黑洞及解决办法 下一跳不可达及解决办法 路由优选原则

5.你对mpls/vpn有什么了解？

全程为vpn虚拟专用网络，它利用mpls与bgp和vrf等技术结合，在运营商建立的mpls承载网上建立一条虚拟的隧道使流量通过。 它的意义在于实现了在同一个物理网上承载多种业务，并实现业务之间完全隔离的目的。Mpls/vpn实现多业务承载和隔离的原理是将一台物理路由器虚拟为多个虚拟路由器，每个路由器有单独的接口，路由表，地址空间，这样只要路由表中没有相应的路由条目那么就不可能访问对方的业务。数据在私网上是基于路由转发，而在mpls承载网上是基于标签转发的。Mpls/vpn同时定义了rd,rt,私网标签，mp-bgp等一系列特性来使该技术完整可用。 其他内容： Rd和rt的区别

公网标签和私网标签的区别

为什么要用loopback口建立bgp邻居 转发等价类，lsp

路由传播过程和数据传播过程。

6.路由器的体系结构（路由管理）？

路由器的结构分为控制层面和转发层面（也称为数据层面），控制层面主要负责的内容：1.各种路由协议进程，选出各自的协议路由表，而后根据路由路由器路由优选原则选出最佳路由装载进全局路由表。2.arp/ppp/hdlc等关于二层转发的进程而后形成邻接表。3.如果有mpls

的情况下，会为全局路由表中的路由表项分发标签形成标签数据库，经过标签优选后（即选出有效标签）放进标签转发表。

转发层面负责数据的转发，它包含控制层面下发过来的，路由fib表，adj邻接表，以及标签fib表。 其他内容：

路由装载入全局路由表的优选原则（管理距离，度量值）

安全部分

1.常见的网络攻击类型和原理

侦查攻击 访问攻击 拒绝服务攻击 应用层攻击 具体内容略

2.常见的网络安全解决方案？

数据传输安全：加密解密技术

边界安全：防火墙 防火墙是一个部署在网络基础设施中的硬件或者软件解决方案，它通过对流经防火墙的流量进行限制，从而保证网络免受外网的入侵。

身份识别：aaa, 802.1x pppoe等，

入侵检测和入侵防御：ids入侵检测，相当于在网络中接入一台监控设备，它会监控网络中的流量，对于不正当流量会向管理员发出警报并记录日志。Ips入侵防御系统，则是在检测的基础上加上一定的动作，对于不正当流量除了警报和记录外会采取过相应的措施，比如断开连接，丢弃，重置连接等。

准入控制：nac/ead 准入控制系统会检测要求接入网络的主机是否安全，以防止给网络带来蠕虫，病毒等的攻击。 行为管理： 智能分析

3.防火墙的主要的安全功能有哪些？

最主要的功能，也是传统防火墙功能的流量控制，核心是过滤流量。而现在市面上的防火墙产品则是集成了多种其他安全功能的综合性防火墙，它所集成的安全功能有：ips流量监控功能，vpn功能，内容

过滤等内网安全功能，针对应用层数据的应用检测功能，以及杀毒功能。

4.防火墙的种类及特点？

包过滤防火墙 状态包过滤防火墙 应用网关防火墙 具体内容略

3.透明防火墙的特点及应用（透明防火墙和路由防火墙的区别）

着重回答其应用场景，具体内容略

4.虚拟防火墙的特点及应用？略 5.防火墙故障倒换机制

failover是通过将主防火墙和备份防火墙的配置进行同步，最终达到防火墙产生故障时可以对用户透明切换的目的。它的原理就是将主防火墙的配置和状态自动同步到备份防火墙上，在故障倒换时会将ip和mac一起倒换。failover分为硬件故障恢复和基于状态的故障恢复两种，一般都会选择基于状态的，因为它提供了连接状态的同步，而基于硬件的不提供状态同步，那么在故障倒换期间会有连接中断的现

象产生。它的工作模式有两种，主备模式a/s和负载均衡模式a/a，a/s模式下，一台防火墙承担所有任务，而另一台防火墙则完全闲置，但是它的实现要比a/a简单的多。A/a模式则必须工作在虚拟防火墙上，相当于cisco的pvst+一样使其在不同的虚拟防火墙中实现负载均衡。

6.你对vpn有什么了解？

Vpn叫做虚拟专用网，是通过在公网上逻辑的建立一条隧道，使业务能够直接承载在公网上传输。所谓的隧道事实上就是在本身的分组外面封装vpn头部，使其能够穿越公网设施。Vpn分为两种类型：站点到站点的vpn和远程接入vpn。常用的站点到站点vpn技术有ipsec，gre.ipsec的最大的优点就在于它的安全性很高。而gre虽然不能提供安全性，但它是唯一一种支持多播的vpn种类，因此能够支持动态路由协议。远程接入vpn实现了移动用户的网络接入，包括cisco私有的ezvpn，l2tp,pptp,sslvpn。其中ezvpn是由ipsec改进的，因此具有了ipsec所拥有的高安全功能，客户端只需要安装相应软件即可。pptp也提供安全性，原理类似于l2tp，虽然是微软私有的，但是目前在国内与微软合作的厂商很多，所以相对于ezvpn而言它的使用范围要大得多。L2tp和sslvpn都是共有协议，l2tp本身并不提供安全性，但是它直接运用了操作系统自带客户端，由于不加密，传输速度相对较快。Sslvpn是以https为基础的vpn技术，提供安全性，客户端可以直接

使用浏览器，在设备支持的情况下，sslvpn是目前使用最多的远程接入方式。

7.你对ipsecvpn有什么了解？

首先，ipsec称为ip screting,它是一个标准框架，而非一个协议，它有一系列协议组成。这些协议包括isakmp，ike，ah和esp.它的最大的优点在于提供了高安全性，安全性由ah或者esp协议调用各种算法来提供，包括数据机密性，完整性，不可否认性，抗回放攻击等。一般应用于站点到站点的vpn接入，直接保护局域网数据。它的封装模式有两种，主要区别在于对用户数据的封装结构有差别，分别为传输模式和隧道模式。Ipsec的建立分为isakmp管理连接建立阶段和ipsec数据连接建立阶段。Isakmp阶段用来构建一个安全的通信环境以保护ipsec阶段的协商，ipsec阶段则在isakmp阶段所构建的安全环境下协商和生成真正用来保护用户数据的安全策略和密钥。Isakmp阶段又分为两种模式，主模式和积极模式，简单的说主模式就是按序的交换信息从而完成协商，而积极模式则是一次将所有需要交换的信息发给对端设备，因此它的速度也相对较快。而ipsec阶段只有一种快速模式。

8.sslvpn的特点。略 9.安全算法？略

本文来源：https://www.bwwdw.com/article/5ud.html