一、考生画像与定位

维度情况辅导对策
优势计算机科班 + 前端代码阅读力 + 路由交换实操经验配置类、实操类内容上手快,可带着过
短板网络理论未系统化(协议栈原理、地址规划数学、路由协议机理、规划设计方法论、安全/管理理论)理论洼地重点补
目标能力提升为主,非纯拿证以「理解闭环」代替「刷题记忆」
核心策略把"会配"升级为"懂为什么这么配";用模拟器把命令变成可验证现象

二、考纲概览

重要澄清

三级网络技术「不考真机操作」——综合题是默写/补全命令或分析配置输出,不是登录设备实时配置。

三、知识体系框架

以下权重为考情估算(官方不逐模块公布精确分值),用于排定优先级。

模块教材章节估算权重主要题型优先级考生适配
网络系统结构与设计原则第1章~6%选择略讲
中小型网络总体规划设计第2章~6%选择/综合中高重点补
IP地址规划技术第3章~13%选择/综合重点补
路由设计基础第4章~8%选择/综合重点补
局域网技术第5章~10%选择带着过
交换机及其配置第6章~11%综合带着过+补命令
路由器及其配置第7章~11%综合带着过+补命令
无线局域网设备安装与调试第8章~4%选择略讲
网络信息服务系统安装配置第9章~13%综合重点补
网络安全技术第10章~12%选择/综合重点补
网络管理技术第11章~6%选择/综合重点补
(附)IPv6基础散见~1-2%选择略讲

四、重点考点精讲

4.1 可「略讲 / 带着过」(已有实操基础)

4.2 必须「重点补」的理论短板(考生风险区)

【A】TCP/IP 协议栈细节(最大盲区)

OSI 七层 ↔ TCP/IP 四层映射、封装/解封装、ARP 过程、TCP 三次握手/四次挥手/滑动窗口/拥塞控制、UDP 特点、知名端口号。风险:会配 IP 却讲不清封装流程、ARP 如何工作、TCP 为何可靠

【B】IP 地址规划与子网划分(必考综合题)

A/B/C/D/E 类与私有地址段、掩码/网络地址/广播地址计算、VLSM、CIDR 路由聚合(超网)、NAT(静态/动态/NAPT/Easy IP)。风险:会设 IP 但不懂掩码数学、不会做地址规划与路由汇总。

【C】路由协议原理(会配不会讲的典型)

RIP(跳数/15跳/防环)、OSPF(Area/Router-ID/Cost/DR-BDR/LSA/管理距离 110)、BGP(AS/属性)、路由表要素与管理距离(AD)。风险:讲不清 RIP 与 OSPF 本质区别、不会设计 OSPF 多区域。

【D】网络规划与设计方法论(第2章,纯理论易忽视)

需求→逻辑设计→物理设计→实施测试;核心/汇聚/接入三层模型;冗余/可用性/可扩展/安全/性能原则。

【E】服务器配置理论(第9章,前端出身未必懂部署)

DHCP(地址池/租约/中继)、DNS(递归迭代/A/AAAA/CNAME/MX/PTR/NS)、WWW/FTP(主动21+20/被动)、邮件(SMTP/POP3/IMAP)。

【F】网络安全技术(理论密集)

对称(DES/AES) vs 非对称(RSA)、哈希(MD5/SHA)、数字签名;防火墙(包过滤/代理/状态检测/DMZ/ACL);IDS vs IPS;VPN(IPSec/SSL);攻击类型(DoS/DDoS/ARP欺骗/嗅探/端口扫描)。

【G】网络管理(概念抽象易丢分)

SNMP(Manager/Agent/MIB/SMI/v1/v2c/v3/Polling/Trap)、FCAPS 五大功能、RMON。

4.3 高频易失分难点

五、学习路线图与时间计划

典型 16 周,在职每周约 10 小时;若每周仅 6 小时则拉长至 5–6 个月,脱产可压缩至 2 个月。

阶段周次核心章节周投入里程碑
基础期第 1–6 周第1–5章(结构原则 / 规划设计 / IP规划 / 路由基础 / 局域网)8–10 h能不查表独立完成任意子网划分与 CIDR 计算;能口述 OSI/TCP-IP 映射与 TCP 可靠机制
强化期第 7–11 周第6–11章(交换/路由配置 / 无线 / 服务器 / 安全 / 管理)10–12 h能独立写出 VLAN/静态路由/OSPF/ACL 配置;能解释 DHCP/DNS/FTP 工作原理
冲刺期第 12–16 周近 5 年真题套卷 + 错题本12–15 h选择题正确率 ≥ 80%,综合题步骤完整不丢过程分

六、实战建议

考试虽不考真机,但你目标是要真懂——强烈建议搭配实操,这正是把理论短板补成闭环的关键:

七、教材与资源推荐

八、三级 → 四级晋级路径

九、学习策略总谏

你最大的优势是「手上有活」——路由交换实操经验能让配置类综合题事半功倍,但请把精力重点砸向「会配却讲不清为什么」的理论洼地:TCP/IP 协议栈、子网规划数学、路由协议原理、规划设计方法论、安全与管理。用模拟器把每一条命令变成「可验证的现象」,让实操反哺理论,而非止于照猫画虎。三级只是资格门槛,目标若真在能力提升,建议把它当作通往四级网络工程师(含真机操作)的扎实底座来学。备考节奏上以「理解闭环」代替「刷题记忆」,每周固定复盘一个原理盲区,比考前突击更有效。

十、专项突破(一):子网划分 / VLSM / CIDR 计算题集

本篇针对你画像里的最大数学短板之一——「子网规划数学」。共 10 道题由易到难,计算步骤完整,落笔前先写 2^h−2 与块大小两行就不会乱。可直接照着练。

核心公式速记

题1(基础·定长子网划分·借位)

题干:将 192.168.10.0/24 划分为 4 个等长子网,求每个子网的子网掩码、网络地址、广播地址、可用主机范围。

考查点:借位计算(2^n ≥ 子网数)、块大小、网络/广播地址推算。

解题

  1. /24 主机位 8 位。需 4 个子网:2^n ≥ 4 → n=2,借 2 位。
  2. 新掩码 = /26,十进制 255.255.255.192。
  3. 块大小 = 256 − 192 = 64。子网从 .0 起每 64 跳一个。
  4. 四个子网:
    • 192.168.10.0/26 :广播 .63 ,可用 .1 ~ .62(62台)
    • 192.168.10.64/26 :广播 .127,可用 .65 ~ .126
    • 192.168.10.128/26 :广播 .191,可用 .129 ~ .190
    • 192.168.10.192/26 :广播 .255,可用 .193 ~ .254

答案:掩码 255.255.255.192(/26);四段如上。每段可用主机 62 台。

题2(定长·同时满足子网数与主机数)

题干:公司获 172.16.0.0/16,需至少 8 个子网,每子网至少 800 台主机。求子网掩码,并列出前 3 个子网的地址范围。

考查点:先按子网数定借位,再验证主机位是否够。

解题

  1. 8 个子网:2^n ≥ 8 → n=3,借 3 位 → /19。
  2. 主机位 = 32−19 = 13 位,可用主机 2^13−2 = 8190 ≥ 800 ✓。
  3. 掩码 255.255.224.0;第三八位组块大小 = 256−224 = 32。
  4. 前三段:
    • 172.16.0.0/19 :广播 172.16.31.255 ,可用 172.16.0.1 ~ 172.16.31.254
    • 172.16.32.0/19 :广播 172.16.63.255 ,可用 172.16.32.1 ~ 172.16.63.254
    • 172.16.64.0/19 :广播 172.16.95.255 ,可用 172.16.64.1 ~ 172.16.95.254

答案:掩码 255.255.224.0(/19);前三段如上。

题3(定长·A类大网)

题干:给定 10.0.0.0/8,要至少 1000 个子网、每子网至少 50 台主机。求掩码。

考查点:大类网络借位、子网/主机需求同时满足。

解题

  1. 1000 子网:2^n ≥ 1000 → n=10(2^10=1024),借 10 位 → /18。
  2. 主机位 = 32−18 = 14 位,2^14−2 = 16382 ≥ 50 ✓。
  3. 掩码 = /18 = 255.255.192.0。

答案:255.255.192.0(/18)。

题4(VLSM·经典多部门)

题干:公司分到 192.168.5.0/24,需分配给:研发120台、市场50台、财务20台、行政10台,另有 3 条点到点链路各需 2 个地址。用 VLSM 分配,写出每个网段的网络地址、CIDR 掩码、可用范围。

考查点:VLSM 从大到小分配;点到点用 /30。

解题

  1. 各需求所需主机位:
    • 120台 → 2^h−2 ≥ 120 → h=7(126)→ /25(255.255.255.128)
    • 50台 → h=6(62)→ /26
    • 20台 → h=5(30)→ /27
    • 10台 → h=4(14)→ /28
    • 点到点 → /30(2 可用)
  2. 从大到小、从 192.168.5.0 连续分配(互不重叠):
    • 研发 /25 :192.168.5.0/25 ,可用 .1 ~ .126
    • 市场 /26 :192.168.5.128/26 ,可用 .129 ~ .190
    • 财务 /27 :192.168.5.192/27 ,可用 .193 ~ .222
    • 行政 /28 :192.168.5.224/28 ,可用 .225 ~ .238
    • WAN1 /30 :192.168.5.240/30 ,可用 .241 ~ .242
    • WAN2 /30 :192.168.5.244/30 ,可用 .245 ~ .246
    • WAN3 /30 :192.168.5.248/30 ,可用 .249 ~ .250
  3. (验证:.0/25→.0~.127;.128/26→.128~.191;.192/27→.192~.223;.224/28→.224~.239;.240/30→.240~.243;.244/30→.244~.247;.248/30→.248~.251,无重叠。剩余 .252~.255 可作备用 /30。)

答案:分配表如上。共节约大量地址(若用定长 /25 须 4 段、浪费明显)。

题5(VLSM·B类网多校区)

题干:ISP 分给某单位 172.20.0.0/16,需:主校区1000台、分校A500台、分校B200台、3条点到点/30。用 VLSM 分配。

考查点:B类网 VLSM、跨八位组分块。

解题

  1. 主机位:1000→h=10(/22);500→h=9(/23);200→h=8(/24);WAN ×3 /30。
  2. 从 172.20.0.0 分配:
    • 主校区 /22 :172.20.0.0/22 → 第三八位组块4,覆盖 .0.0~.3.255,可用 172.20.0.1 ~ 172.20.3.254
    • 分校A /23 :172.20.4.0/23 → 覆盖 .4.0~.5.255,可用 172.20.4.1 ~ 172.20.5.254
    • 分校B /24 :172.20.6.0/24 → 可用 172.20.6.1 ~ 172.20.6.254
    • WAN1 /30 :172.20.7.0/30
    • WAN2 /30 :172.20.7.4/30
    • WAN3 /30 :172.20.7.8/30

答案:分配表如上。

题6(CIDR·路由聚合/超网)

题干:某路由器有以下路由,用一条 CIDR 聚合:192.168.0.0/24、192.168.1.0/24、192.168.2.0/24、192.168.3.0/24

考查点:找共同前缀、超网合并。

解题

  1. 看第三八位组二进制:0=00000000、1=00000001、2=00000010、3=00000011。
  2. 前 6 位相同(000000),即前 16+6 = 22 位共同 → 聚合 /22。
  3. 范围 192.168.0.0 ~ 192.168.3.255,块大小4,正好覆盖 0~3 ✓。

答案:192.168.0.0/22。

题7(CIDR·对齐边界)

题干:将以下 4 个网段聚合成最小超网:192.168.16.0/24、192.168.17.0/24、192.168.18.0/24、192.168.19.0/24

解题

  1. 16=00010000、17=00010001、18=00010010、19=00010011。
  2. 前 6 位相同(000100)→ /22,起点 16 是 4 的整数倍(对齐边界)。
  3. 聚合 192.168.16.0/22,覆盖 16~19 ✓。

答案:192.168.16.0/22。

题8(CIDR·边界陷阱,常考)

题干:以下网段能否聚合成"一条"精确超网?若能写出;若不能说明原因:192.168.20.0/24、192.168.21.0/24、192.168.22.0/24、192.168.23.0/24、192.168.24.0/24

考查点:连续≠可单条聚合;必须落在 2^n 边界上。

解题

  1. 20~23 可聚合成 192.168.20.0/22(块4,起点20对齐)。
  2. 但加 24 后共 5 个 /24。要单条覆盖需 /21(块8);/21 必须起在 16 或 24 的倍数。
    • 192.168.16.0/21 覆盖 16~23(不含24)
    • 192.168.24.0/21 覆盖 24~31(含25~31多余)
  3. 20~24 不落在同一 /21 块内(跨 16~23 与 24~31 两个块),无法用"一条"精确聚合而不引入非目标网段(路由黑洞/越界)。

答案:不能单条精确聚合。可用 192.168.20.0/22 + 192.168.24.0/24 两条;或接受更大范围(但会含多余地址)。——这正是三级高频陷阱。

题9(NAT·NAPT/Easy IP 地址规划,简答+思路)

题干:企业内网 192.168.1.0/24,出口路由器外网口 IP 200.1.1.1/30(对端 ISP 200.1.1.2)。50 台主机要同时上公网,但只有一个公网 IP。说明 NAPT 规划思路并给出 Cisco/华为关键配置。

考查点:NAPT 端口复用、Easy IP(用出接口地址转换)、ACL 定义内网。

解题(简答)

  1. 原理:多个 私网IP:私网端口 → 同一 公网IP:不同公网端口。一个公网 IP 靠 TCP/UDP 端口(1~65535,可用约 6 万+)可承载海量并发会话。
  2. 地址池 vs Easy IP:只有一个公网 IP 且与出接口同 IP,用 Easy IP 最省——直接拿出接口地址做转换,无需单独地址池。
  3. ACL 定义需转换的内网 192.168.1.0/24。

Cisco 思路

access-list 1 permit 192.168.1.0 0.0.0.255 ip nat inside source list 1 interface GigabitEthernet0/1 overload ! overload = PAT/NAPT interface g0/0 ! 内网口 ip nat inside interface g0/1 ! 外网口 ip nat outside

华为思路(VRP)

acl 2000 rule permit source 192.168.1.0 0.0.0.255 interface GigabitEthernet0/0/1 ! 出接口 nat outbound 2000 ! 不带 address-group = Easy IP,用接口IP转换 ! 内网口无需特别命令,仅出接口配 nat outbound 即可

答案:用 NAPT(PAT)端口复用 + Easy IP;Cisco 用 ip nat inside source list ... interface ... overload,华为用出接口 nat outbound <acl>

题10(综合·地址规划与聚合联动,设计题)

题干:集团总部用 192.168.0.0/22(已聚合),下属分支各 /24:分支1 192.168.1.0、分支2 192.168.2.0、分支3 192.168.3.0。请在核心路由器把 4 个 /24 聚合为一条回程路由。若分支4 实际用了 192.168.5.0/24(跳过了 .4),还能聚合进同一超网吗?

考查点:聚合前提是"连续 + 边界对齐";规划阶段就要连续分配。

解题

  1. 0、1、2、3 → 前 22 位同,聚合 192.168.0.0/22 ✓(块4,起点0对齐)。
  2. 若分支4 用 192.168.5.0/24,则 0、1、2、3、5 不连续(缺4)。要含 0~5 需 /21 起在 0(覆盖0~7,含6、7非目标),或拆成 192.168.0.0/22 + 192.168.5.0/24。无法单条精确聚合。
  3. 结论:地址规划必须"连续分配、对齐边界",否则聚合失效、路由表膨胀。

答案:4分支可聚 192.168.0.0/22;加入跳号的 .5 后不能单条精确聚合,需拆分或扩大范围。

★ Part A 易错点提醒(考生自查清单)

  1. 主机位全0(网络地址)与全1(广播地址)不可用 → 可用数 = 2^h − 2,很多人忘减2。
  2. 借位后主机位不够:先满足"主机数"再满足"子网数",冲突时须扩大网络(如 /24 装不下大主机数就用 /23 或更大)。
  3. 块大小算错:块大小 = 256 − 掩码值(作用在那个非255的八位组);子网地址必为块大小整倍数。
  4. CIDR 聚合边界:网段须连续且起点是块大小整数倍;"5个连续/24"不能简单并成一条(除非接受/21含多余)——先做二进制对齐再下结论。
  5. VLSM 必须从大到小分,否则小网段插在大网段中间造成重叠/浪费;点到点用 /30(有的设备支持 /31,RFC3021)。
  6. 反掩码≠正掩码:Cisco network 用反掩码(0=匹配,1=忽略),华为 network 用正掩码——别混。
  7. NAT:NAPT 靠端口复用,一个公网 IP 可撑大量内网主机;Easy IP 直接用出接口 IP,无需地址池;别忘了 inside/outside 接口划分。

十一、专项突破(二):OSPF 多区域设计详解与配置实验

1. 多区域设计原则(原理补强)

Area 0 骨干区

OSPF 规定:所有非骨干区域必须"直接"连到 Area 0(物理或虚链路)。区域间路由一律经 Area 0 中转,形成单棵骨干树,借此防环。非骨干区之间禁止直接交换路由。

ABR(区域边界路由器)

连两个及以上区域、且至少一个接口在 Area 0 的路由器。ABR 为所连每个区域维护独立 LSDB;把所在非骨干区域的明细"摘要"成 Type3 LSA 注入 Area 0,也把其他区域的 Type3 转发进本地区域。它是区域间路由的"翻译官"。

三类路由区别

LSA 类型(大白话)

Cost(路径代价)

接口 Cost = 参考带宽 ÷ 接口带宽;默认参考带宽 10^8 bps(100 Mbps)。

DR/BDR 选举(为何广播网段需要)

若以太网段 N 台路由器两两建全邻接,需 N(N−1)/2 条邻接、LSA 泛洪量爆炸。于是选 DR(指定路由器)+ BDR(备份),其余 DROTHER 只和 DR/BDR 建全邻接,DR 负责网段内转发 LSA。

2. 多区域实验(总部-分支拓扑,可真做)

拓扑与角色

IP 规划表

设备接口IP 地址OSPF区域说明
R1Loopback01.1.1.1/32Router-ID
R1G0/010.1.1.1/24Area 0总部LAN网关
R1G0/1192.168.12.1/24Area 0连 R2
R2Loopback02.2.2.2/32Router-ID
R2G0/0192.168.12.2/24Area 0连 R1
R2G0/1192.168.23.2/24Area 1连 R3
R3Loopback03.3.3.3/32Router-ID
R3G0/0192.168.23.3/24Area 1连 R2
R3G0/110.3.3.3/24Area 1分支LAN网关

预期效果:R3 学到 10.1.1.0 为 O IA;R1 学到 10.3.3.0 为 O IA。

Cisco IOS 配置(注意:router ospf 进程号 + network 反掩码 area)

! ---- R1 (Area 0) ---- router ospf 1 router-id 1.1.1.1 network 1.1.1.1 0.0.0.0 area 0 network 10.1.1.0 0.0.0.255 area 0 network 192.168.12.0 0.0.0.255 area 0 passive-interface GigabitEthernet0/0 ! 总部LAN无邻居,静默省资源/安全 ! ---- R2 (ABR: Area0 + Area1) ---- router ospf 1 router-id 2.2.2.2 network 2.2.2.2 0.0.0.0 area 0 network 192.168.12.0 0.0.0.255 area 0 network 192.168.23.0 0.0.0.255 area 1 ! ---- R3 (Area 1) ---- router ospf 1 router-id 3.3.3.3 network 3.3.3.3 0.0.0.0 area 1 network 192.168.23.0 0.0.0.255 area 1 network 10.3.3.0 0.0.0.255 area 1 passive-interface GigabitEthernet0/1 ! 分支LAN无邻居

华为 VRP 配置(注意:先 ospf 进程+router-id,再 area,再 network 正掩码)

# ---- R1 (Area 0) ---- ospf 1 router-id 1.1.1.1 area 0 network 1.1.1.1 0.0.0.0 network 10.1.1.0 0.0.0.255 network 192.168.12.0 0.0.0.255 silent-interface GigabitEthernet0/0/1 # 对应LAN口静默 # ---- R2 (ABR) ---- ospf 1 router-id 2.2.2.2 area 0 network 2.2.2.2 0.0.0.0 network 192.168.12.0 0.0.0.255 area 1 network 192.168.23.0 0.0.0.255 # ---- R3 (Area 1) ---- ospf 1 router-id 3.3.3.3 area 1 network 3.3.3.3 0.0.0.0 network 192.168.23.0 0.0.0.255 network 10.3.3.0 0.0.0.255 silent-interface GigabitEthernet0/0/1
Cisco / 华为关键差异
  • ①Cisco router ospf <进程号> 后直接 network 地址 反掩码 area <区域>;华为先 ospf <进程> router-idarea <区域>network 地址 正掩码
  • ②Cisco 静默叫 passive-interface,华为叫 silent-interface
  • ③Cisco network 用反掩码(0匹配1忽略),华为用正掩码,绝不可混抄。

验证 / 排错命令

Cisco

Neighbor ID Pri State Dead Time Address Interface 2.2.2.2 1 FULL/DR 00:00:35 192.168.12.2 Gig0/1

华为

盲区点透(针对"会配不会讲")

子网数学的命门是"先算主机位再算网络位、二进制对齐才敢聚合",每题落笔前先写 2^h−2 与块大小两行就不会乱;OSPF 的命门是"Area 0 是防环骨架、ABR 用 Type3 做区域间翻译、选路只看 Cost 累加"——把这三句挂在嘴边,配命令时你就能同步讲清每一步在干什么,而不只是照敲。

十二、专项突破(三):网络安全技术

对象:38 岁、科班出身、会简单组网、目标"真懂原理"的考生。定位:本专项针对"会配不会讲"盲区——ACL 能敲但讲不清匹配逻辑、防火墙与 ACL 混淆、VPN/密码学概念模糊、攻击停留在名词层面。每节先点透原理,再给能真敲的配置,最后标出考试坑。

一、ACL 访问控制列表(重点,必考综合题)

1. 标准 ACL vs 扩展 ACL:到底差在哪

维度标准 ACL扩展 ACL
匹配依据只看源 IP 地址源 IP、目的 IP、协议(tcp/udp/icmp/ip)、源/目的端口、established 等
Cisco 编号1–99(标准);1300–1999(扩展标准范围)100–199;2000–2699
华为 编号acl 2000 基本acl 3000 高级
放置位置原则靠近目的(只能看源,放源端会误伤去其他目的地的流量)靠近源(尽早过滤,省带宽、早丢包)
精确度粗(整段网段一刀切)细(精确到"谁→去哪→用什么端口")

大白话:标准 ACL "看你是谁(从哪来)",扩展 ACL "看你从哪来、去哪、干嘛(什么协议/端口)"。"禁止某网段访问某服务器 80 端口"必须扩展 ACL,标准 ACL 看不到目的端口。

2. Cisco IOS 配置(重点写准确)

标准 ACL:

access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 deny any ! interface GigabitEthernet0/1 ip access-group 1 out

access-list 1:编号 1 = 标准;0.0.0.255 是反掩码(通配符掩码),非子网掩码;接口下用 ip access-group 1 out。

反掩码核心规则(必考)

扩展 ACL:

access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80 access-list 100 deny ip any any ! interface GigabitEthernet0/0 ip access-group 100 in

eq 80 = 目的端口 80;也可 range 20 21、gt 1023。末尾 deny ip any any 收尾(Cisco 隐式 deny,显式写是高分写法)。

命名 ACL(推荐,支持删单条)

ip access-list extended BLOCK-TELNET permit tcp 192.168.2.0 0.0.0.255 any eq 23 deny tcp any any eq 23 exit ! interface Gi0/0 ip access-group BLOCK-TELNET in

命名 ACL 用 ip access-list extended/standard 名字 进子模式,可用 no 序号 删单条(编号 ACL 删一条要整体重敲,工程现实考点)。

in/out 方向含义与陷阱(高频坑)

[网络A] ---(in)--> [路由器接口] ---(out)--> [网络B] ↑数据包进入路由器 ↑数据包离开路由器

3. 华为 VRP 配置(与 Cisco 严格对照,别混)

华为用"基本/高级"ACL。基本 2000–2999,高级 3000–3999。

基本 ACL(对应标准)

acl 2000 rule 5 permit source 192.168.1.0 0.0.0.255 rule 10 deny source any ! interface GigabitEthernet0/0/1 traffic-filter inbound acl 2000

要点:华为 ACL 内用 rule 逐条写,默认 rule-id 步长 5,按 rule-id 从小到大顺序匹配;末尾隐含 deny(所有未匹配默认拒绝)——想"允许一部分、其余放行"必须显式写 permit,否则被末尾 deny 干掉;接口下用 traffic-filter inbound/outbound acl 编号(不是 ip access-group)。

高级 ACL(对应扩展)

acl 3000 rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.0.0.255 destination-port eq 80 rule 10 deny ip ! interface GigabitEthernet0/0/2 traffic-filter outbound acl 3000

Cisco IOS vs 华为 VRP 严格对照表

项目Cisco IOS华为 VRP
标准/基本 编号1–99, 1300–19992000–2999
扩展/高级 编号100–199, 2000–26993000–3999
配置入口access-list 编号 ...(全局)acl 编号 内建 rule(子模式)
匹配源access-list 1 permit 源 反掩码rule permit source 源 反掩码
匹配目的+端口... destination 反掩码 eq 端口destination 反掩码 destination-port eq 端口
接口应用ip access-group 编号 in/outtraffic-filter inbound/outbound acl 编号
过设备自身access-class 编号 in(line vty)VTY 下 acl 编号 inbound
末尾默认隐式 deny any隐式 deny(所有)
命名方式ip access-list extended 名字acl name 名字 或 acl 编号
反掩码语义0=精确/255=忽略,可非连续完全相同

4. ACL 综合配置题(2 道,含答案+考查点)

题1(Cisco)——扩展 ACL 靠近源 + 过滤到设备自身

场景:路由器 R 三口——G0/0 连财务 192.168.10.0/24,G0/1 连研发 192.168.20.0/24,G0/2 连服务器区(含 Web 10.0.0.10:80)。要求:①研发禁止访问财务,但都能访问服务器 Web;②禁止任何 Telnet(23) 登录路由器。

! ① 阻断研发→财务,其余放行(扩展ACL放研发接口入方向,靠近源) access-list 101 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 101 permit ip any any ! interface G0/1 ip access-group 101 in ! ! ② 禁止 Telnet 到本机(用 access-class,不是 access-group) access-list 1 deny tcp any any eq 23 ! line vty 0 4 access-class 1 in

考查点:扩展 ACL 靠近源(研发接口 in);deny ip 后必须 permit ip any any 否则全断;过滤到路由器自身用 access-class(高频坑)。

题2(华为)——高级 ACL 出方向 + 华为隐式 deny

场景:内网 172.16.0.0/16,市场部 172.16.30.0/24 禁止上外网(任意目的),其余内网允许。在连接外网的 G0/0/1 出方向应用。

acl 3000 rule 5 deny ip source 172.16.30.0 0.0.0.255 destination any rule 10 permit ip source 172.16.0.0 0.0.255.255 destination any ! interface GigabitEthernet0/0/1 traffic-filter outbound acl 3000

考查点:高级 ACL 出方向(outbound)应用;destination any 简写;华为隐含 deny——rule 10 必须显式 permit 其余网段,否则被末尾 deny 全部拦掉。

二、防火墙技术

1. 三类防火墙原理对比(大白话点透)

类型工作层次能干啥致命弱点
包过滤网络层按源/目的 IP、端口、协议放行/丢弃;极快、对应用透明看不了内容;无状态每包独立判;易被 IP 欺骗绕过
应用代理应用层内外不直接连,代理"代你收发";深度检查应用内容;隔离最彻底每种协议写代理、性能差延迟大、难支持新应用
状态检测网络层+会话维护连接状态表,首包建会话、后续凭状态表快放;兼具速度与识别力(主流)对极复杂应用层攻击不如代理深入(现代常叠加 UTM/IPS)

一句话比喻:包过滤=看门牌号放人(快但不看包里装啥);应用代理=保安替你收发所有东西(最安全但慢);状态检测=记了来访登记本的看门人(快且认得回头客/返回包)。关键认知:路由器上的 ACL 本质就是"包过滤防火墙"的一种实现——ACL 那节和这节是连着的。

2. DMZ 非军事区(三区隔离)

Internet | [防火墙] / | \ Outside DMZ Inside (WAN) (Web/ (内网/金库) Mail/ 财务/研发 DNS) 规则:外→DMZ 只开 80/443;内→DMZ/外 允许;DMZ→内 默认 deny

作用:把需对外提供服务的服务器(Web/Mail/DNS)放 DMZ,与内网、外网三区隔离。外网只能访问 DMZ 指定服务;内网可访问 DMZ 和外网;DMZ 一般禁止主动访问内网(防 DMZ 被攻陷后横向打内网)。

为什么不把 Web 服务器放内网(考试常问):Web 是对外暴露、被攻击概率最高的资产。放内网且被拿下,攻击者直接在内网心脏里。放 DMZ 等于把"可能被炸的店面"放独立隔离区,炸了也炸不到金库(内网)。配合防火墙:外→DMZ 只开 80/443;DMZ→内 默认拒绝。

3. 防火墙 vs ACL:关系与区别(易混点澄清)

三、VPN 虚拟专用网

1. IPSec VPN(网络层)

层次:网络层,对 IP 包加密/认证,对上层应用透明。两大协议:AH(认证头,只认证不加密,保数据源+完整性,不保密);ESP(封装安全载荷,既加密又认证,主流)。两种模式:传输模式(只保护载荷)、隧道模式(保护整个原 IP 包并加新 IP 头,用于站点到站点)。IKE(密钥交换):分两阶段协商 SA(安全关联)——阶段1建管理通道,阶段2建数据通道。场景:站点到站点(总部↔分支)、远程接入(出差员工)。

2. SSL VPN(应用层)

层次:基于 SSL/TLS(即 HTTPS)。特点:浏览器访问 https://vpn.xxx.com 即可,无需装客户端,适合远程接入、移动办公、伙伴临时访问。与 IPSec 区别:IPSec 需客户端、配置复杂、常被 NAT/防火墙挡;SSL VPN 基于 Web、穿透性好、控制粒度可到某 URL/某应用。

3. 隧道技术大白话

数据被"套了一层壳"在公网传输:原始包(含私网地址)被封装进新公网 IP 包里,像快递套外箱,公网只认外箱地址传输;到达对端 VPN 网关后"拆箱"还原原始包。端点(VPN 网关)负责加壳/拆壳。

四、密码学基础(选择题高频)

1. 对称 vs 非对称

维度对称加密非对称加密
密钥加解密同一把公钥+私钥成对,公钥加密私钥解密
算法DES、3DES、AESRSA、ECC、DSA
速度快,适合大数据量慢,CPU 开销大
痛点密钥分发难解决分发 + 数字签名
用途加密传输/存储的大量数据密钥交换、数字签名、证书

2. 哈希(摘要)

MD5(128 位,已不安全)、SHA-1(160 位,已弱化)、SHA-256 等。单向不可逆、定长输出、雪崩效应(改 1 位输出全变)。用途:完整性校验(比对文件 hash)、口令存储(存 hash 不存明文)。

3. 数字签名与数字证书

4. 点透组合原理(考试最爱)

"HTTPS = 非对称协商密钥 + 对称加密传输数据":

一句话:用非对称的"慢但安全"解决密钥怎么给,用对称的"快"解决数据怎么传。

五、攻击类型与识别

1. DoS / DDoS

2. ARP 欺骗(结合你懂的交换机,讲清二层怎么发生)

3. 嗅探与端口扫描

4. 病毒 / 蠕虫 / 木马 区别

5. IDS vs IPS(区别要点透)

六、典型真题(3 道,含答案与解析)

真题 1(ACL 综合配置/分析,综合题)

题干:路由器 R 三接口——G0/0 连内网 192.168.1.0/24,G0/1 连服务器区 192.168.2.0/24(其中 192.168.2.10 是 Web 服务器:80),G0/2 连外网。要求:内网主机只能访问 Web 服务器 80 端口,禁止访问服务器区其他服务和外网;外网禁止主动访问内网。用 Cisco 扩展 ACL 实现,并说明应用接口与方向。

access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.2.10 eq 80 access-list 100 deny ip any any ! interface G0/0 ip access-group 100 in

考查点:扩展 ACL 放源端接口 in 方向(靠近源);host 关键字 = 反掩码 0.0.0.0;deny ip any any 收尾阻断其余;外网主动访问内网也被该 deny all 挡住(ACL 无方向记忆,入口已拦)。

解题思路:先写"允许的精确流量" → 再"deny all 收尾";应用位置选离源最近的接口入方向。

真题 2(防火墙/攻击识别,选择题)

题干:以下哪项措施主要用于防御 ARP 欺骗攻击?

A. 路由器上配置 ACL 禁止 ICMP B. 交换机上启用 DAI(动态 ARP 检测)并配合 DHCP Snooping C. 部署 IDS 旁路监听 D. 增加防火墙包过滤规则

答案:B。考查点:ARP 欺骗发生在二层,路由器 ACL/防火墙(三层+)管不到;DAI 校验 ARP 报文中的 IP-MAC 绑定,从源头拦伪造 ARP。IDS 旁路不阻断;防火墙管不了二层 ARP。解题思路:先定位攻击发生的层次(二层 ARP)→ 选二层防护手段(DAI/端口安全/静态绑定)。

真题 3(密码学/VPN,选择题)

题干:关于 HTTPS 的安全机制,下列说法正确的是?

A. HTTPS 全程用 RSA 加密传输所有数据 B. HTTPS 用非对称加密协商会话密钥,再用对称加密传输数据 C. HTTPS 用 MD5 对网页内容加密 D. HTTPS 不需要 CA 证书也能保证安全

答案:B。考查点:HTTPS = TLS 握手用非对称(ECDHE/RSA)协商对称密钥 + 后续用对称(AES)加密数据;MD5 是哈希不可逆,不是加密;CA 证书用于验证服务器公钥身份。解题思路:记住"非对称慢用于协商、对称快用于传输"的组合模型,即可排除 A;MD5 不可逆排除 C;CA 是信任锚排除 D。

ACL 的本质是"在正确位置、用正确方向,按五元组写允许、用 deny all 收尾"——配置前先在脑中画好流量方向与接口,比背命令更重要。防火墙、VPN、密码学、攻击防护要串成一条线理解:网络层用 ACL/防火墙 + IPSec 挡住非法接入,应用层用状态检测 + IDS/IPS 拦住威胁,密码学为这一切提供"身份可信 + 数据保密"的底层保障。安全没有银弹,考试考的正是你能否在"哪一层、用什么手段、为什么"之间做出正确判断。

返回随笔