高级网络工程师面试题

引言

高级网络工程师面试通常考察你如何处理设计取舍和故障场景，而不只是能否背出命令。你需要说明在真实企业网络中，为什么选择 OSPF 区域、BGP 策略、SD-WAN 或 MPLS、分段、QoS 以及自动化控制。

练习这些问题时，先说目标，再说明取舍、验证步骤，并把设计选择和可靠性、安全、成本、用户影响联系起来。

高级路由

1. 解释 OSPF 及其工作原理。

回答： **OSPF（开放最短路径优先）**是一种链路状态路由协议。

主要特点：

快速收敛
分层设计（区域）
无类别（支持 VLSM）
度量：成本（基于带宽）

OSPF 区域：

Loading diagram...

OSPF 配置：

! 启用 OSPF
Router(config)# router ospf 1
Router(config-router)# network 192.168.1.0 0.0.0.255 area 0
Router(config-router)# network 10.0.0.0 0.255.255.255 area 1

! 设置路由器 ID
Router(config-router)# router-id 1.1.1.1

! 配置被动接口
Router(config-router)# passive-interface gigabitethernet 0/0

! 验证
Router# show ip ospf neighbor
Router# show ip ospf database
Router# show ip route ospf

OSPF 状态：

Down（关闭）
Init（初始化）
Two-Way（双向）
ExStart（预启动）
Exchange（交换）
Loading（加载）
Full（完全）

稀有度： 非常常见 难度： 困难

2. BGP 如何工作，以及何时使用它？

回答： **BGP（边界网关协议）**是互联网的路由协议。

应用场景：

互联网服务提供商
多宿主网络
拥有多个 ISP 的大型企业

BGP 类型：

**eBGP：**在不同的 AS 之间（外部）
**iBGP：**在同一个 AS 内部（内部）

BGP 配置：

! 配置 BGP
Router(config)# router bgp 65001
Router(config-router)# neighbor 203.0.113.1 remote-as 65002
Router(config-router)# network 192.168.1.0 mask 255.255.255.0

! BGP 属性
Router(config-router)# neighbor 203.0.113.1 route-map PREFER-PATH in

! 路由映射
Router(config)# route-map PREFER-PATH permit 10
Router(config-route-map)# set local-preference 200

! 验证
Router# show ip bgp summary
Router# show ip bgp neighbors
Router# show ip bgp

BGP 路径选择：

最高的权重 (Weight)
最高的本地优先级 (Local Preference)
本地始发的 (Locally originated)
最短的 AS 路径 (AS Path)
最低的 Origin 类型 (Origin type)
最低的 MED (MED)
eBGP 优于 iBGP (eBGP over iBGP)
最低的 IGP 度量 (IGP metric)

稀有度： 常见 难度： 困难

3. 解释 MPLS 与 SD-WAN 的区别以及何时使用它们。

回答： **MPLS（多协议标签交换）**和 **SD-WAN（软件定义广域网）**是企业 WAN 技术。

MPLS：

基于标签的数据包转发
可预测的性能
流量工程能力
可预测，但通常成本更高

SD-WAN：

软件定义的覆盖网络
使用互联网连接
应用感知路由
在安全和监控设计到位时，可降低 WAN 成本

对比：

特性	MPLS	SD-WAN
成本	通常运营商线路成本更高	传输成本通常更低，但有平台/许可证成本
部署	由运营商主导，可能耗时更长	对分支和云路径通常更快
带宽	有限，昂贵	灵活，可扩展
管理	复杂	集中，简单
安全性	私有传输，但仍需要加密和分段	带集中策略的加密覆盖网络
灵活性	低	高
性能	在已开通线路上 SLA 更可预测	基于策略，依赖 underlay 和 SLA 监控

MPLS 配置：

! 在接口上启用 MPLS
Router(config)# interface gigabitethernet 0/0
Router(config-if)# mpls ip

! 配置 LDP（标签分发协议）
Router(config)# mpls ldp router-id loopback0 force

! 配置 MPLS VPN
Router(config)# ip vrf CUSTOMER_A
Router(config-vrf)# rd 65000:1
Router(config-vrf)# route-target export 65000:1
Router(config-vrf)# route-target import 65000:1

! 将接口分配给 VRF
Router(config)# interface gigabitethernet 0/1
Router(config-if)# ip vrf forwarding CUSTOMER_A
Router(config-if)# ip address 10.1.1.1 255.255.255.0

! 验证
Router# show mpls ldp neighbor
Router# show mpls forwarding-table
Router# show ip vrf

SD-WAN 架构：

Loading diagram...

SD-WAN 策略示例：

# SD-WAN 应用路由策略
policy = {
    'voice': {
        'priority': 'high',
        'preferred_path': 'mpls',
        'backup_path': 'internet',
        'sla': {
            'latency': '< 100ms',
            'jitter': '< 30ms',
            'packet_loss': '< 1%'
        }
    },
    'video': {
        'priority': 'medium',
        'preferred_path': 'internet',
        'bandwidth': '5 Mbps',
        'sla': {
            'latency': '< 150ms',
            'packet_loss': '< 2%'
        }
    },
    'web': {
        'priority': 'low',
        'load_balance': ['internet', 'lte'],
        'sla': {
            'latency': '< 300ms'
        }
    }
}

迁移策略：

1. 混合方法：

为关键应用保留 MPLS
添加 SD-WAN 用于互联网分流
逐步迁移

2. 完全 SD-WAN：

在 SLA 和安全要求允许时减少或替换 MPLS
使用多个互联网线路
实施安全堆栈：防火墙策略、加密、分段和日志

应用场景：

当需要以下情况时选择 MPLS：

对延迟、丢包或私有传输有严格要求
高度敏感的数据
可预测的性能至关重要
预算允许

当需要以下情况时选择 SD-WAN：

需要成本优化
云优先战略
需要快速部署
多个分支机构
需要应用可见性

稀有度： 常见 难度： 困难

网络设计

4. 设计一个高可用的企业网络。

回答： 具有冗余的企业网络：

Loading diagram...

关键组件：

1. 冗余：

双 ISP 连接
冗余路由器（HSRP/VRRP）
冗余核心交换机
冗余链路（EtherChannel）

2. HSRP 配置：

! 路由器 1（活动）
Router1(config)# interface gigabitethernet 0/0
Router1(config-if)# ip address 192.168.1.2 255.255.255.0
Router1(config-if)# standby 1 ip 192.168.1.1
Router1(config-if)# standby 1 priority 110
Router1(config-if)# standby 1 preempt

! 路由器 2（备用）
Router2(config)# interface gigabitethernet 0/0
Router2(config-if)# ip address 192.168.1.3 255.255.255.0
Router2(config-if)# standby 1 ip 192.168.1.1
Router2(config-if)# standby 1 priority 100

3. 生成树：

! 配置 RSTP
Switch(config)# spanning-tree mode rapid-pvst

! 设置根桥
Switch(config)# spanning-tree vlan 1-100 root primary

! 接入端口的 PortFast
Switch(config)# interface range fastethernet 0/1-24
Switch(config-if-range)# spanning-tree portfast

稀有度： 非常常见 难度： 困难

5. 如何设计企业无线网络？

回答： 企业无线需要仔细规划覆盖范围、容量和安全性。

架构选项：

1. 基于控制器（集中式）：

Loading diagram...

优点：

集中管理
无缝漫游
一致的策略
更容易排除故障

2. 无控制器（分布式）：

每个 AP 都是自治的
成本更低
没有单点故障
管理更复杂

设计注意事项：

1. 现场勘测：

# RF 规划因素
- 覆盖范围
- 用户密度
- 应用需求
- 建筑材料
- 干扰源

# 工具
- Ekahau Site Survey
- AirMagnet Survey
- NetSpot

2. 信道规划：

2.4 GHz：

信道：1、6、11（非重叠）
20 MHz 信道宽度
范围更广，干扰更多

5 GHz：

更多可用信道（25+ 非重叠）
20/40/80/160 MHz 信道宽度
干扰更少，范围更短

! 配置 AP 信道
ap dot11 24ghz shutdown
ap dot11 24ghz channel 1
ap dot11 24ghz power-level 3
ap dot11 24ghz no shutdown

ap dot11 5ghz shutdown
ap dot11 5ghz channel 36
ap dot11 5ghz power-level 2
ap dot11 5ghz no shutdown

3. 漫游：

802.11r（快速漫游）：

预认证
更快的切换（< 50ms）
更适合 VoIP

配置：

! 启用 802.11r
wlan CORPORATE 1 CORPORATE
 security wpa akm ft psk
 security wpa akm ft dot1x
 mobility anchor 10.1.1.1

4. 安全性：

WPA3-Enterprise (802.1X):

! RADIUS 配置
wlan CORPORATE 1 CORPORATE
 security wpa akm dot1x
 security wpa wpa3
 security wpa cipher aes
 radius server auth RADIUS-SERVER

! RADIUS 服务器
radius server RADIUS-SERVER
 address ipv4 10.1.1.100 auth-port 1812 acct-port 1813
 key MySecretKey

访客网络隔离：

! 访客 WLAN
wlan GUEST 2 GUEST
 security open
 security web-auth
 security web-passthrough
 no security wpa
 no security wpa wpa2
 no security wpa wpa3

! 客户端隔离
wlan GUEST 2 GUEST
 peer-blocking drop

5. 无线 QoS：

! 优先处理语音流量
wlan CORPORATE 1 CORPORATE
 qos wmm required

! Platinum QoS 配置文件
qos profile VOICE
 priority platinum
 average-data-rate 6000
 burst-data-rate 6000

容量规划：

# 计算 AP 需求
def calculate_aps(area_sqft, users, throughput_per_user_mbps):
    # 基于覆盖范围
    coverage_per_ap = 5000  # 平方英尺（因环境而异）
    aps_for_coverage = area_sqft / coverage_per_ap
    
    # 基于容量
    ap_throughput = 300  # Mbps（802.11ac 的实际值）
    users_per_ap = 25  # 建议的最大值
    
    total_throughput = users * throughput_per_user_mbps
    aps_for_capacity = total_throughput / ap_throughput
    
    # 使用更高的值
    return max(aps_for_coverage, aps_for_capacity)

# 示例
required_aps = calculate_aps(
    area_sqft=50000,
    users=500,
    throughput_per_user_mbps=2
)
print(f"所需 AP 数量: {required_aps}")

最佳实践：

20-30% 的 AP 重叠以实现无缝漫游
为不同的用户类型分离 SSID
定期进行频谱分析
监控客户端健康状况和性能
规划增长（50% 的容量缓冲）

稀有度： 常见 难度： 中-困难

网络安全

6. 如何保护网络基础设施的安全？

回答： 对于高级岗位，应把安全描述为覆盖用户、设备、网络分段、应用和管理平面的分层控制：

1. 访问控制列表 (ACL)：

! 标准 ACL
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 10 deny any

! 扩展 ACL
Router(config)# ip access-list extended BLOCK-TELNET
Router(config-ext-nacl)# deny tcp any any eq 23
Router(config-ext-nacl)# permit ip any any

! 应用于接口
Router(config)# interface gigabitethernet 0/0
Router(config-if)# ip access-group BLOCK-TELNET in

2. 端口安全：

! 启用端口安全
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation restrict
Switch(config-if)# switchport port-security mac-address sticky

3. VPN 配置：

! IPsec VPN
crypto isakmp policy 10
 encryption aes 256
 hash sha256
 authentication pre-share
 group 14

crypto isakmp key MySecretKey address 203.0.113.1

crypto ipsec transform-set MYSET esp-aes 256 esp-sha256-hmac

crypto map MYMAP 10 ipsec-isakmp
 set peer 203.0.113.1
 set transform-set MYSET
 match address VPN-TRAFFIC

4. 网络分段：

DMZ 用于公共服务
单独的 VLAN 用于部门
分段之间的防火墙

稀有度： 非常常见 难度： 困难

服务质量 (QoS)

7. 解释 QoS 以及如何实施它。

回答： QoS 优先处理网络流量以获得更好的性能。

QoS 机制：

分类： 识别流量
标记： 标记数据包 (DSCP, CoS)
排队： 优先处理流量
监管/整形： 控制带宽

QoS 配置：

! 类映射（识别流量）
Router(config)# class-map match-any VOICE
Router(config-cmap)# match protocol rtp
Router(config-cmap)# match ip dscp ef

Router(config)# class-map match-any VIDEO
Router(config-cmap)# match protocol http

! 策略映射（定义操作）
Router(config)# policy-map QOS-POLICY
Router(config-pmap)# class VOICE
Router(config-pmap-c)# priority percent 30
Router(config-pmap-c)# class VIDEO
Router(config-pmap-c)# bandwidth percent 40
Router(config-pmap-c)# class class-default
Router(config-pmap-c)# fair-queue

! 应用于接口
Router(config)# interface gigabitethernet 0/0
Router(config-if)# service-policy output QOS-POLICY

! 验证
Router# show policy-map interface gigabitethernet 0/0

DSCP 值：

EF (46)：语音
AF41 (34)：视频
AF31 (26)：关键数据
BE (0)：尽力而为

稀有度： 常见 难度： 中-困难

8. 如何自动化网络配置和管理？

回答： 网络自动化提高了配置一致性，减少了错误并扩展了操作。

自动化工具：

1. 带有 Netmiko 的 Python：

from netmiko import ConnectHandler
import getpass

# 设备连接
device = {
    'device_type': 'cisco_ios',
    'host': '192.168.1.1',
    'username': 'admin',
    'password': getpass.getpass(),
    'secret': getpass.getpass('Enable password: ')
}

# 连接并执行命令
with ConnectHandler(**device) as conn:
    conn.enable()
    
    # Show commands
    output = conn.send_command('show ip interface brief')
    print(output)
    
    # Configuration commands
    config_commands = [
        'interface GigabitEthernet0/1',
        'description Uplink to Core',
        'ip address 10.1.1.1 255.255.255.0',
        'no shutdown'
    ]
    output = conn.send_config_set(config_commands)
    print(output)
    
    # Save configuration
    conn.save_config()

2. 用于网络自动化的 Ansible：

# inventory/hosts
[routers]
router1 ansible_host=192.168.1.1
router2 ansible_host=192.168.1.2

[routers: vars]
ansible_network_os=ios
ansible_connection=network_cli
ansible_user=admin
ansible_password=vault_encrypted_password

# playbooks/configure_interfaces.yml
---
- name: Configure router interfaces
  hosts: routers
  gather_facts: no
  tasks:
    - name: Configure interface settings
      cisco.ios.ios_interfaces:
        config:
          - name: GigabitEthernet0/1
            description: Configured by Ansible
            enabled: true
        state: merged

    - name: Configure IPv4 address
      cisco.ios.ios_l3_interfaces:
        config:
          - name: GigabitEthernet0/1
            ipv4:
              - address: 10.1.1.1/24
        state: merged

    - name: Save configuration when changed
      cisco.ios.ios_config:
        save_when: modified

3. NETCONF/RESTCONF APIs：

import requests
from requests.auth import HTTPBasicAuth
import json

# RESTCONF 示例
url = 'https://192.168.1.1/restconf/data/ietf-interfaces:interfaces'
headers = {
    'Content-Type': 'application/yang-data+json',
    'Accept': 'application/yang-data+json'
}
auth = HTTPBasicAuth('admin', 'password')

# 获取接口
response = requests.get(url, headers=headers, auth=auth, verify=False)
interfaces = response.json()
print(json.dumps(interfaces, indent=2))

# 配置接口
interface_config = {
    "ietf-interfaces:interface": {
        "name": "GigabitEthernet0/1",
        "description": "Configured via RESTCONF",
        "type": "iana-if-type:ethernetCsmacd",
        "enabled": True,
        "ietf-ip:ipv4": {
            "address": [{
                "ip": "10.1.1.1",
                "netmask": "255.255.255.0"
            }]
        }
    }
}

response = requests.put(
    f"{url}/interface=GigabitEthernet0/1",
    headers=headers,
    auth=auth,
    data=json.dumps(interface_config),
    verify=False
)
print(f"Status: {response.status_code}")

4. 配置备份自动化：

import os
from datetime import datetime
from netmiko import ConnectHandler

def backup_device_config(device_info, backup_dir='/backups'):
    """Backup device configuration"""
    try:
        # 连接到设备
        with ConnectHandler(**device_info) as conn:
            conn.enable()
            
            # 获取运行配置
            config = conn.send_command('show running-config')
            
            # 创建备份文件名
            hostname = conn.send_command('show run | include hostname').split()[1]
            timestamp = datetime.now().strftime('%Y%m%d_%H%M%S')
            filename = f"{backup_dir}/{hostname}_{timestamp}.cfg"
            
            # 保存到文件
            os.makedirs(backup_dir, exist_ok=True)
            with open(filename, 'w') as f:
                f.write(config)
            
            print(f"[+] 备份已保存: {filename}")
            return True
    except Exception as e:
        print(f"[-] 备份失败: {e}")
        return False

# 备份多个设备
devices = [
    {'device_type': 'cisco_ios', 'host': '192.168.1.1', 'username': 'admin', 'password': 'pass'},
    {'device_type': 'cisco_ios', 'host': '192.168.1.2', 'username': 'admin', 'password': 'pass'},
]

for device in devices:
    backup_device_config(device)

5. 网络验证：

# 验证网络状态
def validate_network(device):
    """Validate network configuration and state"""
    with ConnectHandler(**device) as conn:
        conn.enable()
        
        checks = {
            'interfaces_up': [],
            'bgp_neighbors': [],
            'ospf_neighbors': [],
            'issues': []
        }
        
        # 检查接口状态
        output = conn.send_command('show ip interface brief')
        for line in output.split('\n')[1:]:
            if 'up' in line.lower():
                checks['interfaces_up'].append(line.split()[0])
            elif 'down' in line.lower() and 'administratively' not in line.lower():
                checks['issues'].append(f"Interface down: {line.split()[0]}")
        
        # 检查 BGP 邻居
        output = conn.send_command('show ip bgp summary')
        # 解析 BGP 邻居
        
        # 检查 OSPF 邻居
        output = conn.send_command('show ip ospf neighbor')
        # 解析 OSPF 邻居
        
        return checks

优点：

减少配置时间
一致的配置
减少人为错误
易于回滚
审计跟踪
可扩展性

稀有度： 常见 难度： 中-困难

高级故障排除

9. 如何排除复杂的网络问题？

回答： 解决复杂问题的系统方法：

1. 收集信息：

! 检查接口
show ip interface brief
show interfaces status

! 检查路由
show ip route
show ip protocols

! 检查邻居
show cdp neighbors
show lldp neighbors

! 检查日志
show logging

2. 数据包捕获：

# tcpdump
tcpdump -i eth0 -w capture.pcap

# Wireshark 过滤器
tcp.port == 80
ip.addr == 192.168.1.1
http.request.method == "GET"

3. 网络监控：

# SNMP 监控
snmpwalk -v2c -c public 192.168.1.1

# NetFlow 分析
# 分析流量模式
# 识别带宽占用者
# 检测异常

4. 逐层故障排除：

第 1 层： 物理层（电缆、端口）
第 2 层： 数据链路层（VLAN、STP）
第 3 层： 网络层（路由、IP）
第 4 层： 传输层（TCP/UDP）
第 7 层： 应用层（DNS、HTTP）

5. 常见问题：

! 双工不匹配
show interfaces gigabitethernet 0/0
interface gigabitethernet 0/0
 duplex auto
 speed auto

! 路由环路
show ip route
traceroute 192.168.1.1

! VLAN 不匹配
show vlan brief
show interfaces trunk

稀有度： 非常常见 难度： 困难

结论

优秀的高级回答会把协议知识和运维判断结合起来。每个主题都准备一个来自真实经历的例子：问题、约束、设计选择、验证步骤和结果。

重点准备这些方向：

高级路由： OSPF 设计、BGP 策略、路由控制和故障行为
WAN 策略： MPLS、SD-WAN、云连接、迁移风险和 SLA 取舍
网络设计： 冗余、高可用、扩展限制和变更计划
无线： 容量规划、漫游、安全和客户端体验
安全： 分段、管理平面保护、VPN、ACL、日志和 Zero Trust 原则
QoS： 分类、标记、排队、整形、限速和拥塞时的行为
自动化： 版本控制、模板、验证、分阶段发布、回滚和审计记录
故障排除： 分层诊断、数据包分析、监控数据和清晰的事件沟通

面试前，把每个回答对应到真实故障、迁移或设计决策上，并确保能如实说明自己的角色。

最新职业建议

高级网络工程师面试题与答案

引言

高级路由

1. 解释 OSPF 及其工作原理。

2. BGP 如何工作，以及何时使用它？

3. 解释 MPLS 与 SD-WAN 的区别以及何时使用它们。

网络设计

4. 设计一个高可用的企业网络。

5. 如何设计企业无线网络？

网络安全

6. 如何保护网络基础设施的安全？

服务质量 (QoS)

7. 解释 QoS 以及如何实施它。

8. 如何自动化网络配置和管理？

高级故障排除

9. 如何排除复杂的网络问题？

结论

真正有效的每周职业建议

真正有效的每周职业建议

相关文章

Node.js 高级后端面试题

Python 高级后端开发面试题

Go后端开发工程师面试题：实用指南

停止申请，开始被录用

分享这篇文章

快50%获得工作