网络工程师面试题目及答案（实战版）.docxVIP

网络工程师面试题目及答案（实战版）

一、基础理论与场景应用（考察核心认知）

题目：同一VLAN下的两台主机通信，和跨VLAN通信的核心区别是什么？实际部署中怎么控制跨VLAN流量的安全性？

答案：同一VLAN通信不用经过三层设备，基于二层MAC地址转发，转发效率高；跨VLAN必须通过路由器或三层交换机做三层转发，需要IP地址和路由表。安全控制方面，实际中会在三层设备上做ACL策略，精准放行必要的端口（比如只允许跨VLAN访问数据库的3306端口），再配合端口安全绑定MAC，防止非法终端接入后跨VLAN访问，重要场景还会叠加VLANACL（VACL）在二层阻断异常流量。

题目：OSPF和RIP的适用场景怎么选？中小型企业网络用OSPF的话，会注意哪些配置细节？

答案：RIP适合小型网络（节点少、拓扑简单），配置简单但收敛慢、跳数限制15跳；OSPF适合中大型网络，收敛快、支持分层（区域划分），能适配复杂拓扑。中小型企业用OSPF，首先会划分区域（比如核心区Area0，接入区Area1），减少LSA泛洪范围；然后给接口配置合适的Hello时间（默认10秒/30秒，根据链路稳定性调整），设置Router-ID用环回口地址（避免物理口down导致Router-ID变化）；还会做路由汇总，在ABR上把接入区的明细路由汇总成网段，减轻核心设备路由表压力。

二、实操配置与故障排查（考察动手能力）

题目：用户反馈“办公室有线网能连但上不了网”，你会按什么步骤排查？（从终端到核心设备）

答案：第一步先查终端：看IP获取方式（DHCP是否拿到正确网段的IP，网关、DNS是否配置），ping网关通不通（通的话说明二层到网关没问题，不通查物理链路或VLAN）；第二步查接入交换机：看终端对应的端口是否UP，VLAN配置是否正确（没配错VLAN或端口被禁用），用displayinterface看端口是否有CRC错误（有则可能是网线或端口故障）；第三步查网关和路由：ping网关的物理口和环回口，确认三层连通性，查静态路由或OSPF是否学习到外网路由（没学到则可能是路由配置错误或邻居没起来）；第四步查DNS：如果能ping通外网IP（比如）但不能访问域名，就是DNS配置问题，让用户手动设置DNS为或。

题目：配置SSH远程登录交换机时，怎么避免密码明文传输？实际配置中会加哪些安全措施？

答案：SSH本身就是加密传输，比Telnet安全，配置时要确保交换机启用SSH版本2（版本1不安全），生成RSA密钥对（cryptokeygeneratersa），然后在VTY线路上配置“transportinputssh”（只允许SSH登录，禁用Telnet）。额外安全措施：设置强密码策略（密码长度≥8位，包含字母、数字、特殊字符），配置登录失败锁定（比如连续5次输错密码锁定10分钟），限制SSH登录的源IP（用ACL只允许管理员网段访问），定期更换RSA密钥对和登录密码，关闭不必要的服务（比如HTTP、SNMPv1）。

三、项目经验与架构设计（考察综合能力）

题目：如果要给一个500人规模的公司做网络升级，你会怎么规划网络架构？核心考虑哪些点？

答案：架构分三层：接入层、汇聚层、核心层。接入层用百兆/千兆交换机，每个部门划分独立VLAN，接入交换机上联到汇聚层（做链路聚合，比如2条千兆链路捆绑，提高带宽和冗余）；汇聚层用三层交换机，做VLAN间路由、ACL策略、路由汇总，上联核心层也做链路聚合；核心层用两台三层交换机做冗余（比如VRRP或堆叠），保证单点故障不影响整体网络，核心层连接外网防火墙和服务器区。核心考虑点：冗余性（关键链路和设备双备份）、带宽够用（接入到汇聚千兆，核心到汇聚万兆，根据业务需求调整）、安全性（部门VLAN隔离、ACL控制、防火墙防护）、可扩展性（预留端口和带宽，方便后续扩招）、可管理性（配置SNMP监控，对接运维平台，实时查看设备状态）。

题目：遇到网络丢包严重的问题，你会用哪些工具排查？举一个你实际处理过的类似案例（简要说明）。

答案：常用工具：ping（测试连通性和丢包率）、traceroute（定位丢包的网段或设备）、wireshark（抓包分析数据包传输情况，看是否有重传、延迟过高）、交换机的displayinterface（看端口是否有丢包、CRC错误）、路由器的displayiproute（看路由是否稳定）。案例：之前处理过电商公司促销期间的丢包问