软考网络工程师备考指南
网络工程师 (中级) — OSI/TCP-IP体系、路由交换、网络安全、网络规划与设计、下午配置题详解
适用科目: 软考中级"网络工程师",每年上半年 (约5月) 考试,2024年起全面机考。
考试形式: 上午综合知识 (75道选择题,150分钟) + 下午案例分析 (4-5道大题,150分钟),各科满分75分,
两科均需 >= 45分 方可通过。
备考核心: 上午靠知识面广度,下午靠实操配置能力。网络层和传输层是重中之重,约占上午40%分值。
配合
软考全景图 使用。
| 模块 | 预估题数 | 占比 | 难度 | 备考建议 |
| 计算机基础 (组成原理、操作系统) |
5-8 |
7-11% |
中等 |
理解基本概念,不需要深挖 |
| 数据通信基础 |
5-7 |
7-9% |
中等 |
奈奎斯特/香农定理必考计算 |
| 网络体系结构 (OSI/TCP-IP) |
3-5 |
4-7% |
简单 |
七层模型必须滚瓜烂熟 |
| 物理层 |
3-5 |
4-7% |
中等 |
编码方式、复用技术 |
| 数据链路层 |
5-8 |
7-11% |
中等 |
以太网帧、交换机、VLAN |
| 网络层 重中之重 |
10-15 |
13-20% |
高 |
IP子网划分、路由协议必考 |
| 传输层 |
5-8 |
7-11% |
高 |
TCP三次握手/拥塞控制 |
| 应用层 |
5-7 |
7-9% |
中等 |
DNS/DHCP/HTTP原理 |
| 网络安全 |
3-5 |
4-7% |
高 |
加密体系、防火墙、VPN |
| 网络规划与设计 |
3-5 |
4-7% |
中等 |
三层架构、VRRP冗余 |
| 服务器与存储 |
3-5 |
4-7% |
中等 |
Linux命令、RAID计算 |
| 专业英语 |
5 |
7% |
简单 |
网络专业词汇+阅读理解 |
备考策略: 上午题拿分关键 = 网络层(15题) + 传输层(7题) + 数据链路层(7题) + 应用层(6题) ≈ 35题,占近一半。优先攻克这几个模块,保证正确率80%以上即可稳过上午。
| 题型 | 题数 | 分值 | 考查内容 | 难度 |
| 路由器配置 |
1 |
15-20分 |
静态路由、RIP/OSPF配置、ACL、NAT |
高 |
| 交换机配置 |
1 |
15-20分 |
VLAN划分、Trunk、STP、端口安全 |
高 |
| 防火墙/安全 |
1 |
10-15分 |
ACL规则、安全策略、VPN配置 |
中高 |
| 网络规划设计 |
1 |
10-15分 |
拓扑设计、IP规划、设备选型 |
中等 |
| 服务器/应用 |
0-1 |
10-15分 |
Windows/Linux服务器配置 |
中等 |
下午题核心区别: 上午考"知道什么",下午考"会做什么"。下午题需要填写具体命令、配置参数、网络地址计算。建议在模拟器 (eNSP/Packet Tracer) 上反复练习华为和思科设备配置。
| 层次 | 名称 | 主要功能 | 典型协议/标准 | 数据单位 | 设备 |
| 7 |
应用层 |
为用户应用进程提供网络服务 |
HTTP, FTP, SMTP, DNS, Telnet, SNMP |
APDU |
网关 |
| 6 |
表示层 |
数据格式转换、加密解密、数据压缩 |
JPEG, ASCII, SSL/TLS, MPEG |
PPDU |
网关 |
| 5 |
会话层 |
建立/管理/终止会话、同步 |
NetBIOS, RPC, SQL |
SPDU |
网关 |
| 4 |
传输层 关键层 |
端到端可靠传输、流量控制、差错控制 |
TCP, UDP |
数据段 (Segment) |
网关 |
| 3 |
网络层 关键层 |
路由选择、拥塞控制、网络互联 |
IP, ICMP, ARP, OSPF, BGP |
分组/包 (Packet) |
路由器 |
| 2 |
数据链路层 |
成帧、差错控制、流量控制、MAC寻址 |
以太网, PPP, HDLC, STP |
帧 (Frame) |
网桥、交换机 |
| 1 |
物理层 |
比特流传输、物理接口定义 |
RS-232, RJ-45, V.35 |
比特 (Bit) |
中继器、集线器 |
| TCP/IP层次 | 对应的OSI层次 | 核心协议 |
| 应用层 |
应用层 + 表示层 + 会话层 (5-7层) |
HTTP, FTP, DNS, SMTP, POP3, SNMP, Telnet, SSH |
| 传输层 |
传输层 (4层) |
TCP, UDP |
| 网际层 |
网络层 (3层) |
IP, ICMP, IGMP, ARP, RARP |
| 网络接口层 |
数据链路层 + 物理层 (1-2层) |
以太网, PPP, IEEE 802.x |
记忆技巧: OSI七层从下到上记忆口诀 — "物数网传会表应" (物理层→数据链路层→网络层→传输层→会话层→表示层→应用层)。
数据单位从下到上: 比特 → 帧 → 分组/包 → 数据段 → 数据 → APDU
| 设备 | 工作层次 | 寻址方式 | 冲突域 | 广播域 | 关键特性 |
| 中继器 (Repeater) |
物理层 |
无 |
不隔离 |
不隔离 |
信号放大再生,5-4-3规则 |
| 集线器 (Hub) |
物理层 |
无 |
不隔离 |
不隔离 |
多端口中继器,广播发送 |
| 网桥 (Bridge) |
数据链路层 |
MAC地址 |
隔离 |
不隔离 |
基于MAC转发,软件实现 |
| 交换机 (Switch) |
数据链路层 |
MAC地址 |
隔离 |
不隔离 |
多端口网桥,硬件转发 |
| 路由器 (Router) |
网络层 |
IP地址 |
隔离 |
隔离 |
路由选择,连接不同网络 |
| 网关 (Gateway) |
传输层以上 |
协议转换 |
隔离 |
隔离 |
不同协议体系间的转换 |
关键区分: 物理层设备 (中继器/集线器) 不隔离冲突域也不隔离广播域 → 数据链路层设备 (网桥/交换机) 隔离冲突域但不隔离广播域 → 网络层设备 (路由器) 既隔离冲突域也隔离广播域
奈奎斯特定理 (无噪声信道):
最大数据传输率 = 2W × log2V (bps)
W = 信道带宽 (Hz),V = 每个码元可取的离散值个数
例题: 带宽3kHz,采用16种不同的信号状态 → R = 2 × 3000 × log216 = 6000 × 4 = 24000 bps
香农定理 (有噪声信道):
最大数据传输率 = W × log2(1 + S/N) (bps)
S/N为信噪比,常用分贝表示: dB = 10 × log10(S/N)
例题: 带宽3kHz,信噪比30dB → S/N = 103 = 1000
C = 3000 × log2(1001) ≈ 3000 × 9.97 ≈ 29900 bps
波特率 vs 比特率: 波特率 (Baud Rate) 是码元传输速率,比特率 (Bit Rate) 是信息传输速率。
比特率 = 波特率 × log2V (V为码元状态数)。当V=2时,波特率=比特率。
| 编码方式 | 原理 | 特点 | 效率 |
| NRS-I (不归零) |
高电平=1,低电平=0 |
简单,但无法同步时钟 |
1 bit/baud |
| 曼彻斯特编码 |
每位中间跳变: 低→高=1,高→低=0 |
自同步,以太网采用 考频高 |
0.5 bit/baud |
| 差分曼彻斯特 |
每位中间必跳变,位开始处跳变=0,不跳=1 |
抗干扰好,令牌环网用 |
0.5 bit/baud |
| 4B/5B |
每4位数据映射为5位编码 |
效率比曼彻斯特高,FDDI使用 |
0.8 bit/baud |
| 介质 | 分类 | 最大距离 | 速率 | 特点 |
| 双绞线 UTP |
Cat5(100MHz)/Cat5e/Cat6(250MHz) |
100m |
最高10Gbps |
便宜、易安装、抗干扰弱 |
| 单模光纤 |
芯径~9μm,激光光源 |
数十km |
高速 |
距离远、带宽大、成本高 |
| 多模光纤 |
芯径~50/62.5μm,LED光源 |
~2km |
1Gbps+ |
距离短、成本较低 |
| 技术 | 原理 | 应用场景 |
| FDM (频分复用) |
不同用户占用不同频段 |
有线电视、无线电 |
| TDM (时分复用) |
不同用户占用不同时隙 |
E1/T1电话线路 |
| STDM (统计时分复用) |
按需动态分配时隙 |
数据传输,提高利用率 |
| WDM (波分复用) |
光纤中不同波长同时传输 |
光纤骨干网 |
| CDMA (码分复用) |
不同用户分配不同编码 |
3G移动通信 |
CRC计算步骤:
1. 设信息位 M = 1100,生成多项式 G(x) = x3 + x + 1 → 除数为 1011 (最高位次幂r=3)
2. 在信息位后添加 r 个0 → 被除数 = 1100000
3. 模2除法 (异或运算): 1100000 ÷ 1011
1100000 ⊕ 1011 = 0111 → 余数 110
4. 余数 110 即为CRC校验码,发送数据 = 1100110
5. 接收方用同样除数去除,余数为0则无错
| 方法 | 原理 | 问题 |
| 字符计数法 |
帧头用1字节标识帧长度 |
计数出错则后续全部错位 |
| 字符填充法 |
用特殊字符标记帧起止,数据中出现则转义 |
依赖特定字符编码 |
| 比特填充法 |
用01111110标记帧界,数据中5个1后自动插0 |
透明传输,PPP采用 |
海明码:
海明距离 (Hamming Distance) = 两个等长编码中不同位的个数
检测 d 位错误需海明距离 >= d+1;纠正 d 位错误需海明距离 >= 2d+1
校验位公式: 2r >= m + r + 1 (m=数据位,r=校验位)
例题: 数据位 m=4 → 2r >= 4+r+1 → r=3 (因为 23=8 >= 8)
校验位放在第 1, 2, 4, 8... 位 (即 2i 的位置)
| 协议 | 发送窗口 | 接收窗口 | 效率 (无差错) | 出错处理 |
| 停止等待协议 |
1 |
1 |
1/(1+2a),a=传播延迟/发送时间 |
超时重传 |
| 后退N帧 (GBN) |
W<=2n-1 |
1 |
W/(1+2a),W为窗口大小 |
从出错帧起全部重传 |
| 选择重传 (SR) |
W<=2n-1 |
>1 |
=1 (窗口足够大时) |
只重传出错帧 |
窗口大小限制: GBN发送窗口最大 = 2n-1 (n为序号位数)。
SR发送窗口+接收窗口 <= 2n,通常各取 2n-1。
例: n=2时,GBN最大窗口=3,SR最大窗口=2。这是为了防止序号混淆。
CSMA/CD 最小帧长计算:
最小帧长 = 2 × 最大传播时延 × 数据传输率
以太网 (10Mbps): 最大单段长500m,5段时延约 25μs × 2 = 50μs
最小帧长 = 10Mbps × 50μs = 500bit → 取 64字节 (512bit)
为什么最小帧64字节? 如果帧太短,发送方发完帧后才检测到冲突,就无法知道发生了碰撞。
| 项目 | 10Base-T | 100Base-TX | 1000Base-T | 10GBase-T |
| 速率 | 10Mbps | 100Mbps | 1000Mbps | 10Gbps |
| 线缆 | UTP Cat3+ | UTP Cat5 | UTP Cat5e/Cat6 | UTP Cat6a |
| 最大距离 | 100m | 100m | 100m | 100m |
MAC地址表学习过程
- 交换机收到帧,记录 源MAC + 入端口 到地址表
- 查找目的MAC在地址表中是否存在
- 存在 → 单播转发到对应端口
- 不存在 → 泛洪 (Flooding) 到除入端口外所有端口
- 地址表项有老化时间 (默认300s)
VLAN类型
- 基于端口 (最常用): 端口划入指定VLAN
- 基于MAC地址: 根据源MAC划分
- 基于协议: 根据网络层协议划分
- 基于子网: 根据IP子网划分
Trunk口 用于交换机间传递多个VLAN流量,封装协议: IEEE 802.1Q
STP生成树协议
- 目的: 消除网络中的环路
- 根桥选举: 桥ID最小的交换机 (优先级+MAC)
- 根端口: 到根桥路径开销最小的端口
- 指定端口: 每段链路上到根桥开销最小的端口
- 端口状态: 阻塞→侦听→学习→转发
| 字段 | 长度 | 说明 |
| Flag | 1字节 | 0x7E,帧定界符 |
| Address | 1字节 | 0xFF,广播地址 |
| Control | 1字节 | 0x03,无编号帧 |
| Protocol | 2字节 | 标识上层协议 (0x0021=IP, 0xC021=LCP, 0x8021=NCP) |
| Information | 可变 | 数据 |
| FCS | 2/4字节 | 帧校验序列 |
PPP协商过程: LCP协商 (链路层参数) → 认证 (PAP/CHAP,可选) → NCP协商 (网络层参数,如IPCP分配IP地址)
| 类别 | 首位 | 网络号范围 | 默认子网掩码 | 最大网络数 | 每网络最大主机数 |
| A类 |
0 |
1.0.0.0 ~ 126.0.0.0 |
255.0.0.0 (/8) |
126 |
224-2 = 16,777,214 |
| B类 |
10 |
128.0.0.0 ~ 191.255.0.0 |
255.255.0.0 (/16) |
214 = 16,384 |
216-2 = 65,534 |
| C类 |
110 |
192.0.0.0 ~ 223.255.255.0 |
255.255.255.0 (/24) |
221 = 2,097,152 |
28-2 = 254 |
| D类 |
1110 |
224.0.0.0 ~ 239.255.255.255 |
无 (组播) |
- |
- |
| E类 |
1111 |
240.0.0.0 ~ 255.255.255.255 |
保留 |
- |
- |
私有地址 (不可在公网路由):
A类: 10.0.0.0 ~ 10.255.255.255 (10.0.0.0/8)
B类: 172.16.0.0 ~ 172.31.255.255 (172.16.0.0/12)
C类: 192.168.0.0 ~ 192.168.255.255 (192.168.0.0/16)
特殊地址: 127.0.0.0/8 (环回), 0.0.0.0 (默认路由), 255.255.255.255 (广播), 169.254.0.0/16 (APIPA自动配置)
子网划分核心公式:
借 n 位做子网号 → 子网数 = 2n
剩余 m 位做主机号 → 每子网主机数 = 2m - 2 (减去网络地址和广播地址)
例题1: 将 192.168.1.0/24 划分为4个子网
需借 n 位: 2n >= 4 → n=2
子网掩码: /24 + 2 = /26 → 255.255.255.192
4个子网:
子网1: 192.168.1.0/26 (主机范围: .1 ~ .62,广播: .63)
子网2: 192.168.1.64/26 (主机范围: .65 ~ .126,广播: .127)
子网3: 192.168.1.128/26 (主机范围: .129 ~ .190,广播: .191)
子网4: 192.168.1.192/26 (主机范围: .193 ~ .254,广播: .255)
例题2: 给定IP 192.168.10.130/26,求子网信息
子网掩码: 255.255.255.192 → 块大小 = 256 - 192 = 64
所属子网: 130 / 64 = 2 (取整) → 子网 = 64 × 2 = 128
网络地址: 192.168.10.128
广播地址: 192.168.10.191
可用主机范围: 192.168.10.129 ~ 192.168.10.190
可用主机数: 26 - 2 = 62
CIDR与超网聚合: CIDR (无类域间路由) 打破传统分类限制,如 192.168.0.0/23 表示聚合了两个C类网络。
超网聚合条件: 地址必须连续、块大小必须是2的幂、起始地址必须能被块大小整除。
| 特性 | RIP | OSPF | BGP |
| 类型 |
距离向量 |
链路状态 |
路径向量 |
| 算法 |
Bellman-Ford |
SPF (Dijkstra) |
路径向量算法 |
| 协议分类 |
内部网关 (IGP) |
内部网关 (IGP) |
外部网关 (EGP) |
| 度量标准 |
跳数 (Hop Count) |
开销 (Cost = 108/带宽) |
多种属性 (AS-Path等) |
| 最大跳数 |
15 (16为不可达) |
无限制 |
无限制 |
| 更新方式 |
周期性 (30s) 全部路由表 |
触发更新 + 周期性 (30min) |
触发更新,增量 |
| 收敛速度 |
慢 |
快 |
较慢 |
| 适用规模 |
小型网络 |
中大型网络 |
自治系统间 |
| 传输协议 |
UDP 端口520 |
IP 协议号89 |
TCP 端口179 |
OSPF区域划分
- 骨干区域 Area 0: 所有非骨干区域必须与Area 0直连
- 普通区域: 标准的非骨干区域
- 存根区域 (Stub): 不接收外部路由
- NSSA: 允许少量外部路由
路由器角色: IR (内部)、ABR (区域边界)、ASBR (自治系统边界)、BR (骨干)
OSPF五种报文类型
- Hello: 发现和维护邻居关系 (10s/30s间隔)
- DD (数据库描述): 摘要信息交换
- LSR (链路状态请求): 请求特定LSA
- LSU (链路状态更新): 发送具体LSA
- LSAck (链路状态确认): 确认收到LSU
OSPF邻居状态
Down → Init → 2-Way → ExStart → Exchange → Loading → Full
- 2-Way: 邻居关系建立 (Broadcast需DR选举)
- Full: 邻接关系建立,LSDB同步完成
- DR/BDR选举: 优先级最高者优先,相同则Router ID最大者胜
| 协议 | 功能 | 关键要点 |
| ICMP |
网络层差错报告与查询 |
ping = ICMP Echo Request/Reply (Type 8/0) tracert/traceroute = 利用TTL递增的ICMP超时报文 (Type 11) 目的不可达: Type 3,重定向: Type 5 |
| ARP |
IP地址 → MAC地址解析 |
广播ARP请求,单播ARP应答。ARP缓存有老化时间。免费ARP (Gratuitous ARP) 用于检测IP冲突 |
| RARP |
MAC地址 → IP地址 |
无盘工作站获取自身IP地址 |
IPv6 vs IPv4:
地址长度: 128位 vs 32位 → 地址空间 2128 (约3.4×1038)
地址表示: 冒号分隔的8组4位十六进制,如 2001:0DB8:0000:0000:0000:FF00:0042:8329
简化规则: ①每组前导0可省 → 2001:DB8:0:0:0:FF00:42:8329 ②连续全0组可用::替代(只能用一次) → 2001:DB8::FF00:42:8329
IPv6过渡方案: 双栈 (Dual Stack) / 隧道 (Tunneling, 如6to4) / NAT64转换
| 类型 | 原理 | 特点 |
| 静态NAT |
一对一固定映射 (内网IP ↔ 公网IP) |
需要足够公网IP,适合服务器发布 |
| NAPT (网络地址端口转换) |
多对一: 多个内网IP共用一个公网IP,通过端口区分 |
最常用,节省公网IP |
| 端口映射 (Port Forwarding) |
将公网IP某端口映射到内网某主机的特定端口 |
内网服务器对外提供服务 |
TCP三次握手过程 (必考):
客户端 → 服务器: SYN=1, seq=x (客户端进入 SYN_SENT 状态)
服务器 → 客户端: SYN=1, ACK=1, seq=y, ack=x+1 (服务器进入 SYN_RCVD 状态)
客户端 → 服务器: ACK=1, seq=x+1, ack=y+1 (双方进入 ESTABLISHED 状态)
为什么需要三次? 两次无法防止历史连接请求导致的资源浪费。三次握手能确认双方的发送和接收能力都正常。
TCP四次挥手过程:
主动方 → 被动方: FIN=1, seq=u (主动方进入 FIN_WAIT_1)
被动方 → 主动方: ACK=1, seq=v, ack=u+1 (被动方进入 CLOSE_WAIT,主动方进入 FIN_WAIT_2)
被动方 → 主动方: FIN=1, ACK=1, seq=w, ack=u+1 (被动方进入 LAST_ACK)
主动方 → 被动方: ACK=1, seq=u+1, ack=w+1 (主动方进入 TIME_WAIT,等待2MSL后关闭)
TIME_WAIT (2MSL) 的原因: ①确保最后一个ACK能到达对方 ②让本连接所有报文在网络中消失,避免影响新连接
慢启动 (Slow Start)
- 初始 cwnd = 1 MSS (或几MSS)
- 每收到一个ACK,cwnd翻倍 (指数增长)
- 达到慢开始门限 ssthresh 时转入拥塞避免
拥塞避免 (Congestion Avoidance)
- cwnd 每个RTT增加1 MSS (线性增长)
- 发生超时: ssthresh = cwnd/2, cwnd = 1, 重新慢启动
快重传 + 快恢复
- 快重传: 收到3个重复ACK立即重传 (不等超时)
- 快恢复: ssthresh = cwnd/2, cwnd = ssthresh,直接进入拥塞避免
- 避免慢启动导致吞吐量骤降
| 特性 | TCP | UDP |
| 连接方式 | 面向连接 (三次握手) | 无连接 |
| 可靠性 | 可靠传输 (确认、重传、排序) | 不可靠 (尽力交付) |
| 流量控制 | 滑动窗口 | 无 |
| 拥塞控制 | 有 (慢启动/拥塞避免/快重传/快恢复) | 无 |
| 传输效率 | 较低 (头部20字节+) | 较高 (头部8字节) |
| 通信模式 | 一对一 | 一对一/一对多/多对多 |
| 适用场景 | 文件传输、邮件、网页 | DNS、DHCP、视频流、游戏 |
| 端口 | 协议 | 端口 | 协议 | 端口 | 协议 |
| 20/21 | FTP (数据/控制) | 22 | SSH | 23 | Telnet |
| 25 | SMTP | 53 | DNS | 67/68 | DHCP (服务器/客户端) |
| 69 | TFTP | 80 | HTTP | 110 | POP3 |
| 143 | IMAP | 161 | SNMP | 443 | HTTPS |
| 445 | SMB | 3389 | RDP | 514 | Syslog |
递归查询 vs 迭代查询
- 递归查询: 客户端只问一次,DNS服务器负责最终回答 (客户端→本地DNS)
- 迭代查询: 服务器返回"我不知道,但你可以问XX" (本地DNS→根DNS→顶级DNS→权威DNS)
DNS记录类型
- A: 域名 → IPv4地址
- AAAA: 域名 → IPv6地址
- CNAME: 域名别名
- MX: 邮件交换服务器
- NS: DNS服务器
- PTR: 反向解析 (IP→域名)
- SOA: 起始授权机构
| 请求方法 | 说明 | 幂等性 |
| GET | 获取资源 | 是 |
| POST | 提交数据 (创建资源) | 否 |
| PUT | 更新/替换资源 | 是 |
| DELETE | 删除资源 | 是 |
| HEAD | 只获取响应头 | 是 |
| OPTIONS | 查询支持的方法 | 是 |
| 状态码 | 类别 | 常见码 |
| 1xx | 信息性 | 100 Continue |
| 2xx | 成功 | 200 OK, 204 No Content, 206 Partial Content |
| 3xx | 重定向 | 301 永久重定向, 302 临时重定向, 304 未修改 |
| 4xx | 客户端错误 | 400 Bad Request, 401 未授权, 403 禁止, 404 未找到 |
| 5xx | 服务器错误 | 500 内部错误, 502 网关错误, 503 服务不可用, 504 网关超时 |
HTTP版本演进: HTTP/1.0 → 短连接; HTTP/1.1 → 持久连接 (Keep-Alive)、管道化; HTTP/2.0 → 多路复用、头部压缩、服务器推送; HTTP/3.0 → 基于QUIC (UDP),解决队头阻塞
| 协议 | 端口 | 核心机制 |
| FTP |
控制: 21, 数据: 20(主动)/随机(被动) |
双连接: 控制连接持久,数据连接按需建立。主动模式: 服务器主动连客户端; 被动模式: 客户端连服务器随机端口 |
| DHCP |
67 (服务器) / 68 (客户端) |
DORA四步过程:
D-Discover (客户端广播) → O-Offer (服务器响应) → R-Request (客户端选择) → A-Acknowledge (服务器确认分配)
全部基于UDP广播,客户端初始无IP,源地址0.0.0.0,目的255.255.255.255 |
| SMTP |
25 / 465 (加密) |
邮件发送协议 (推协议),客户端→服务器 或 服务器→服务器 |
| POP3 |
110 / 995 (加密) |
邮件接收协议 (拉协议),下载后通常删除服务器上的邮件 |
| IMAP |
143 / 993 (加密) |
邮件接收协议,邮件保留在服务器上,支持多设备同步 |
| SNMP |
161 (Agent) / 162 (Trap) |
网络管理协议。操作: Get/GetNext/Set/GetBulk (管理站→Agent),Trap (Agent→管理站告警)。基于UDP |
| 类别 | 算法 | 密钥 | 速度 | 特点 |
| 对称加密 |
DES (56位), 3DES (168位), AES (128/192/256位) |
同一密钥加解密 |
快 |
效率高,但密钥分发困难 |
| 非对称加密 |
RSA, ECC, DSA |
公钥加密,私钥解密 |
慢 |
解决密钥分发问题,支持数字签名 |
| 混合加密 |
先非对称协商会话密钥,再对称加密数据 |
- |
兼顾 |
SSL/TLS、IPSec采用此方案 |
数字签名过程:
发送方: 将消息用 Hash 计算摘要 → 用发送方私钥加密摘要 (即签名) → 消息+签名一起发送
接收方: 用发送方公钥解密签名得到摘要A → 对消息用同样Hash计算得到摘要B → 比较A和B
数字签名 = 私钥加密 + Hash摘要 → 保证完整性、认证性、不可抵赖性
PKI体系
- CA (证书颁发机构): 签发和管理数字证书
- RA (注册机构): 身份验证,代理用户向CA申请证书
- 证书: 包含公钥+持有者信息+CA签名
- CRL: 证书吊销列表
- 证书链验证: 根CA → 中间CA → 终端证书
SSL/TLS握手过程
- ClientHello: 支持的TLS版本+密码套件+随机数
- ServerHello: 选定版本+套件+证书+随机数
- 客户端验证证书 (证书链→CA根证书)
- 密钥交换: 生成预主密钥,用服务器公钥加密发送
- 双方计算会话密钥 (由三个随机数生成)
- 后续通信使用对称加密 (AES等)
| 协议 | 功能 | 安全服务 |
| AH (认证头, 协议号51) |
数据完整性验证 + 身份认证 |
防篡改、防重放,不加密数据 |
| ESP (封装安全载荷, 协议号50) |
加密 + 完整性 + 认证 |
加密+防篡改+防重放 (功能更全) |
| 模式 | 保护范围 | 应用场景 |
| 传输模式 |
只保护IP载荷 (上层协议数据) |
端到端通信 (主机-主机) |
| 隧道模式 |
保护整个原始IP包 (新IP头+加密的原始包) |
网关间VPN (网关-网关) |
| 防火墙类型 | 工作层次 | 原理 | 优缺点 |
| 包过滤 |
网络层 |
基于五元组 (源/目的IP、端口、协议) 过滤 |
速度快,但不检查应用层数据 |
| 应用代理 |
应用层 |
代理所有应用层请求,深度检查 |
安全性高,但速度慢、配置复杂 |
| 状态检测 |
网络层~传输层 |
跟踪连接状态,基于状态表过滤 |
平衡安全和性能,主流方案 |
DMZ (非军事区): 放置对外提供服务的服务器 (Web、邮件、DNS等)。外部网络可以访问DMZ但不能直接访问内网,内网可以访问DMZ和外部网络。
VPN对比: IPSec VPN (网络层,适合站点互联) vs SSL VPN (应用层,适合远程接入,无需客户端)
| 攻击类型 | 层次 | 原理 | 防范 |
| DDoS |
网络/传输层 |
大量伪造请求耗尽目标资源 |
流量清洗、限速、黑洞路由 |
| SQL注入 |
应用层 |
在输入中嵌入恶意SQL语句 |
参数化查询、输入验证 |
| XSS |
应用层 |
注入恶意脚本到网页中 |
输出编码、CSP策略 |
| ARP欺骗 |
数据链路层 |
发送伪造ARP应答,截获流量 |
静态ARP绑定、端口安全 |
| 中间人攻击 |
多层级 |
拦截并可能篡改双方通信 |
加密通信、证书验证 |
| 钓鱼攻击 |
社会工程 |
伪装成可信实体骗取信息 |
安全意识培训、SPF/DKIM/DMARC |
Kerberos 工作原理
- 客户端向 AS (认证服务器) 发送用户ID
- AS返回: TGT (票据授予票据) + 会话密钥 (用用户密码加密)
- 客户端用 TGT 向 TGS (票据授予服务器) 请求服务票据
- TGS 返回服务票据
- 客户端用服务票据访问目标服务
核心: 对称加密 + 时间戳 + 三方认证,防止重放攻击
802.1X 认证
- 基于端口的网络访问控制
- 三要素: 请求者 (客户端) + 认证者 (交换机/AP) + 认证服务器 (RADIUS)
- EAPOL 协议封装在以太网帧中
- 认证前端口仅允许EAP流量通过
| 阶段 | 主要任务 | 产出物 |
| 需求分析 |
业务需求、用户需求、应用需求、网络需求 |
需求规格说明书 |
| 通信规范 |
分析现有网络流量、瓶颈、增长趋势 |
通信规范说明书 |
| 逻辑设计 |
拓扑结构、地址规划、路由策略、安全策略 |
逻辑设计文档 |
| 物理设计 |
设备选型、线缆布线、机房规划 |
物理设计文档 |
| 实施 |
安装、配置、测试、割接 |
实施报告、验收报告 |
| 运维 |
监控、故障处理、性能优化、升级 |
运维文档 |
| 层次 | 功能 | 设备要求 | 关键特性 |
| 核心层 |
高速数据交换、网络互联 |
三层交换机/高端路由器,高带宽、高可用 |
不实施策略,追求转发速度。冗余设计 |
| 汇聚层 |
策略实施、路由汇总、VLAN间路由 |
三层交换机 |
实施ACL、QoS策略,连接核心层和接入层 |
| 接入层 |
用户接入、端口安全、VLAN划分 |
二层交换机 |
802.1X认证、端口安全、PoE供电 |
链路冗余
- 链路聚合 (Eth-Trunk / Port-Channel)
- STP/RSTP/MSTP 防环路
- 冗余链路负载均衡
设备冗余
- 双核心交换机
- 堆叠/集群 (iStack/CSS)
- UPS不间断电源
网关冗余 (VRRP/HSRP)
- VRRP (开放标准): 虚拟路由器,Master/Backup选举
- HSRP (思科私有): Active/Standby
- 优先级最高者成为Master/Active
- 虚拟IP作为默认网关
| 指标 | 含义 | 计算/说明 |
| 带宽 (Bandwidth) |
信道最大数据传输速率 |
单位: bps/Mbps/Gbps |
| 延迟 (Latency) |
数据从源到目的所需时间 |
= 发送延迟 + 传播延迟 + 处理延迟 + 排队延迟 |
| 吞吐量 (Throughput) |
单位时间实际传输的数据量 |
受带宽、网络拥塞影响,<= 带宽 |
| 丢包率 |
丢失数据包的比例 |
网络拥塞或链路错误导致 |
| 抖动 (Jitter) |
延迟的变化量 |
影响实时音视频质量 |
| 服务 | 功能 | 关键配置 |
| AD域 |
集中管理用户、计算机、策略 |
域控制器、组策略GPO、OU组织单元、LDAP协议 |
| DNS服务器 |
域名解析 |
正向查找区域/反向查找区域、转发器、区域传送 |
| DHCP服务器 |
自动分配IP地址 |
作用域、地址池、排除范围、保留地址(基于MAC)、选项(网关/DNS) |
| IIS |
Web/FTP服务 |
网站绑定(IP+端口+主机头)、虚拟目录、应用程序池 |
| 命令 | 功能 | 示例 |
| ifconfig |
查看/配置网络接口 |
ifconfig eth0 192.168.1.10 netmask 255.255.255.0 |
| ip (推荐) |
新一代网络配置工具 |
ip addr add 192.168.1.10/24 dev eth0 |
| route |
查看/配置路由表 |
route add -net 10.0.0.0/8 gw 192.168.1.1 |
| ping |
测试连通性 |
ping -c 4 192.168.1.1 |
| traceroute |
路由跟踪 |
traceroute 8.8.8.8 |
| netstat |
查看网络连接和端口 |
netstat -tlnp (查看监听端口) |
| ss |
替代netstat |
ss -tlnp |
| iptables |
防火墙规则 |
iptables -A INPUT -p tcp --dport 22 -j ACCEPT |
| 类型 | 特点 | 适用场景 |
| DAS (直连存储) |
存储设备直接连服务器,不能共享 |
小型环境、数据库本地存储 |
| NAS (网络附加存储) |
通过网络提供文件级共享 (NFS/CIFS) |
文件共享、备份、多媒体 |
| SAN (存储区域网络) |
专用高速网络 (FC/iSCSI),块级存储 |
数据库、虚拟化、高性能应用 |
| 级别 | 最少磁盘 | 可用容量 | 容错能力 | 读写性能 | 特点 |
| RAID 0 |
2 |
100% |
无 |
读写最快 |
条带化,一块坏了全丢 |
| RAID 1 |
2 |
50% |
可坏1块 |
读快写慢 |
镜像,安全性高 |
| RAID 5 |
3 |
(n-1)/n |
可坏1块 |
读写均衡 |
条带+分布式校验,性价比高 |
| RAID 6 |
4 |
(n-2)/n |
可坏2块 |
写较慢 |
双校验,安全性更高 |
| RAID 10 |
4 |
50% |
每组可坏1块 |
读写快 |
RAID 1+0,先镜像后条带 |
RAID容量计算例题:
RAID 5: 5块2TB硬盘 → 可用容量 = (5-1) × 2TB = 8TB
RAID 10: 6块2TB硬盘 → 可用容量 = 6/2 × 2TB = 6TB
RAID 6: 5块2TB硬盘 → 可用容量 = (5-2) × 2TB = 6TB
| 平台 | 类型 | 特点 |
| VMware ESXi |
Type-1 裸金属虚拟化 |
企业级,vSphere生态,功能完善 |
| Hyper-V |
Type-1 (Windows内置) |
与Windows Server深度集成 |
| KVM |
Type-1 (Linux内核模块) |
开源免费,OpenStack底层,性能好 |
| 维度 | 上午选择题 | 下午配置题 |
| 考查重点 |
概念理解、原理辨析 |
实际操作、配置命令、网络计算 |
| 答题方式 |
四选一,排除法 |
填空、命令补全、简答 |
| 难度分布 |
均匀,基础题多 |
阶梯式,最后1-2题较难 |
| 备考方式 |
刷题+背诵知识点 |
模拟器实操+命令记忆 |
基本操作
<Huawei> 用户视图
system-view 进入系统视图
[Huawei] 系统视图
sysname R1 修改设备名
quit 退回上一级
return 直接回到用户视图
display current-configuration 查看当前配置
save 保存配置
undo 撤销命令
接口配置
interface GigabitEthernet 0/0/0
ip address 192.168.1.1 24 配置IP
ip address 192.168.1.1 255.255.255.0
undo shutdown 开启接口
display ip interface brief 查看接口IP
路由配置
ip route-static 10.0.0.0 255.255.0.0 192.168.1.2 静态路由
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 默认路由
display ip routing-table 查看路由表
display ip routing-table protocol static 查看静态路由
RIP配置
rip 1
network 192.168.1.0 宣告直连网段
version 2 使用RIPv2
display rip 1 route
OSPF配置
ospf 1 router-id 1.1.1.1
area 0
network 192.168.1.0 0.0.0.255 反向掩码
display ospf peer 查看邻居
display ospf lsdb 查看链路状态数据库
display ospf routing 查看OSPF路由
VLAN配置
vlan batch 10 20 30 批量创建VLAN
interface GigabitEthernet 0/0/1
port link-type access
port default vlan 10
port link-type trunk
port trunk allow-pass vlan 10 20
display vlan
ACL配置
acl 2000 基本ACL (2000-2999)
rule deny source 192.168.1.0 0.0.0.255
acl 3000 高级ACL (3000-3999)
rule deny tcp source 192.168.1.0 0.0.0.255 destination 10.0.0.1 0 destination-port eq 80
- 接口下应用:
traffic-filter inbound acl 3000
NAT配置
nat address-group 1 202.1.1.1 202.1.1.5
acl 2000 → rule permit source 192.168.1.0 0.0.0.255
- 外网接口下:
nat outbound 2000 address-group 1
- 静态NAT:
nat static global 202.1.1.10 inside 192.168.1.10
DHCP配置
dhcp enable 全局启用
ip pool vlan10 创建地址池
network 192.168.10.0 mask 255.255.255.0
gateway-list 192.168.10.1
dns-list 8.8.8.8
lease day 3 租期3天
- 接口下:
dhcp select global
基本操作
enable 进入特权模式
configure terminal 进入全局配置
hostname R1 修改设备名
exit / end (直接回特权)
show running-config 查看当前配置
write memory / copy run start 保存
no 撤销命令 (如 no ip address)
接口与路由
interface GigabitEthernet 0/0
ip address 192.168.1.1 255.255.255.0
no shutdown
ip route 10.0.0.0 255.255.0.0 192.168.1.2
ip route 0.0.0.0 0.0.0.0 192.168.1.1 默认路由
show ip route
show ip interface brief
OSPF / VLAN
router ospf 1
network 192.168.1.0 0.0.0.255 area 0
show ip ospf neighbor
vlan 10 → name Sales
interface fa0/1 → switchport mode access → switchport access vlan 10
switchport mode trunk → switchport trunk allowed vlan 10,20
ACL / NAT
- 标准ACL:
access-list 1 deny 192.168.1.0 0.0.0.255
- 扩展ACL:
access-list 100 deny tcp host 192.168.1.10 host 10.0.0.1 eq 80
- 接口应用:
ip access-group 100 in
- NAT:
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 interface Gi0/1 overload
- 接口标记:
ip nat inside / ip nat outside
下午配置题答题策略:
1. 先读图再看题: 下午题通常配有网络拓扑图,先理解拓扑结构 (设备连接、VLAN划分、网段分配),再读题目要求。
2. 填空题技巧: 仔细观察上下文 — 已给出的命令格式就是线索。如前面有 interface GigabitEthernet0/0/1,说明后续命令在接口视图下填写。
3. 命令记忆优先级: 静态路由 > OSPF配置 > VLAN/Trunk > ACL > NAT > DHCP。这几个几乎是必考,务必熟练。
4. 答题规范: 填写命令时注意不要多加空格或缩写错误。如不确定完整命令,可写关键部分 (通常按标准答案给分)。
5. 计算题保分: 子网划分、CIDR聚合、VLSM几乎每年都考。掌握"块大小"方法,先确定掩码再推算范围。
高频失分点:
- OSPF network命令使用反向掩码 (如 0.0.0.255 而非 255.255.255.0)
- Trunk口忘记允许VLAN通过: port trunk allow-pass vlan all
- NAT配置忘记标记 inside/outside 接口
- ACL规则顺序错误 (按顺序匹配,一旦匹配就执行)
- 静态路由下一跳地址写错 (应是直连链路的对端IP,不是本端IP)
模拟器推荐:
- 华为 eNSP: 官方模拟器,最接近考试环境,支持路由器/交换机/防火墙
- 思科 Packet Tracer: 入门友好,图形界面,适合初学者
- GNS3: 功能强大,支持真机镜像,但配置较复杂
建议至少熟练掌握 eNSP 的基本操作,考试以华为设备为主。