一、考生画像与定位
| 维度 | 情况 | 辅导对策 |
|---|---|---|
| 优势 | 计算机科班 + 前端代码阅读力 + 路由交换实操经验 | 配置类、实操类内容上手快,可带着过 |
| 短板 | 网络理论未系统化(协议栈原理、地址规划数学、路由协议机理、规划设计方法论、安全/管理理论) | 理论洼地重点补 |
| 目标 | 能力提升为主,非纯拿证 | 以「理解闭环」代替「刷题记忆」 |
| 核心策略 | — | 把"会配"升级为"懂为什么这么配";用模拟器把命令变成可验证现象 |
二、考纲概览
- 考试形式:上机考试(电脑答题),120 分钟,满分 100
- 题型与分值:单项选择题 60 题 × 1 分 = 60 分;综合题约 5 道大题 = 40 分(命令填空、场景分析、地址规划计算、配置输出分析)
- 获证线:一般 60 分合格(以当次公告为准)
- 报考条件:三级可直接报考,无前置证书要求
三级网络技术「不考真机操作」——综合题是默写/补全命令或分析配置输出,不是登录设备实时配置。
三、知识体系框架
以下权重为考情估算(官方不逐模块公布精确分值),用于排定优先级。
| 模块 | 教材章节 | 估算权重 | 主要题型 | 优先级 | 考生适配 |
|---|---|---|---|---|---|
| 网络系统结构与设计原则 | 第1章 | ~6% | 选择 | 中 | 略讲 |
| 中小型网络总体规划设计 | 第2章 | ~6% | 选择/综合 | 中高 | 重点补 |
| IP地址规划技术 | 第3章 | ~13% | 选择/综合 | 高 | 重点补 |
| 路由设计基础 | 第4章 | ~8% | 选择/综合 | 高 | 重点补 |
| 局域网技术 | 第5章 | ~10% | 选择 | 中 | 带着过 |
| 交换机及其配置 | 第6章 | ~11% | 综合 | 高 | 带着过+补命令 |
| 路由器及其配置 | 第7章 | ~11% | 综合 | 高 | 带着过+补命令 |
| 无线局域网设备安装与调试 | 第8章 | ~4% | 选择 | 低 | 略讲 |
| 网络信息服务系统安装配置 | 第9章 | ~13% | 综合 | 高 | 重点补 |
| 网络安全技术 | 第10章 | ~12% | 选择/综合 | 高 | 重点补 |
| 网络管理技术 | 第11章 | ~6% | 选择/综合 | 中 | 重点补 |
| (附)IPv6基础 | 散见 | ~1-2% | 选择 | 低 | 略讲 |
四、重点考点精讲
4.1 可「略讲 / 带着过」(已有实操基础)
- 局域网物理介质与设备(双绞线/光纤、集线器 vs 交换机、冲突域/广播域)
- 交换机基本连接、VLAN 基本划分、Trunk 概念(只需熟记 Cisco IOS / 华为 VRP 命令差异)
- 路由器基本配置(接口 IP、静态路由
ip route/ip route-static) - 综合布线系统组成(工作区/水平/垂直/设备间子系统)
- 物理接口与线缆(RJ45、光纤接口、Console 口、交叉/直通线)
- 无线局域网基本标准(802.11 a/b/g/n/ac,记忆性内容)
4.2 必须「重点补」的理论短板(考生风险区)
【A】TCP/IP 协议栈细节(最大盲区)
OSI 七层 ↔ TCP/IP 四层映射、封装/解封装、ARP 过程、TCP 三次握手/四次挥手/滑动窗口/拥塞控制、UDP 特点、知名端口号。风险:会配 IP 却讲不清封装流程、ARP 如何工作、TCP 为何可靠。
【B】IP 地址规划与子网划分(必考综合题)
A/B/C/D/E 类与私有地址段、掩码/网络地址/广播地址计算、VLSM、CIDR 路由聚合(超网)、NAT(静态/动态/NAPT/Easy IP)。风险:会设 IP 但不懂掩码数学、不会做地址规划与路由汇总。
【C】路由协议原理(会配不会讲的典型)
RIP(跳数/15跳/防环)、OSPF(Area/Router-ID/Cost/DR-BDR/LSA/管理距离 110)、BGP(AS/属性)、路由表要素与管理距离(AD)。风险:讲不清 RIP 与 OSPF 本质区别、不会设计 OSPF 多区域。
【D】网络规划与设计方法论(第2章,纯理论易忽视)
需求→逻辑设计→物理设计→实施测试;核心/汇聚/接入三层模型;冗余/可用性/可扩展/安全/性能原则。
【E】服务器配置理论(第9章,前端出身未必懂部署)
DHCP(地址池/租约/中继)、DNS(递归迭代/A/AAAA/CNAME/MX/PTR/NS)、WWW/FTP(主动21+20/被动)、邮件(SMTP/POP3/IMAP)。
【F】网络安全技术(理论密集)
对称(DES/AES) vs 非对称(RSA)、哈希(MD5/SHA)、数字签名;防火墙(包过滤/代理/状态检测/DMZ/ACL);IDS vs IPS;VPN(IPSec/SSL);攻击类型(DoS/DDoS/ARP欺骗/嗅探/端口扫描)。
【G】网络管理(概念抽象易丢分)
SNMP(Manager/Agent/MIB/SMI/v1/v2c/v3/Polling/Trap)、FCAPS 五大功能、RMON。
4.3 高频易失分难点
- 子网划分 / VLSM / CIDR 计算
- OSPF 区域设计与特性
- 交换机 VLAN / Trunk / STP 配置
- 服务器(DHCP/DNS/FTP)配置命令填空
- 网络安全 ACL / 防火墙与攻击识别
五、学习路线图与时间计划
典型 16 周,在职每周约 10 小时;若每周仅 6 小时则拉长至 5–6 个月,脱产可压缩至 2 个月。
| 阶段 | 周次 | 核心章节 | 周投入 | 里程碑 |
|---|---|---|---|---|
| 基础期 | 第 1–6 周 | 第1–5章(结构原则 / 规划设计 / IP规划 / 路由基础 / 局域网) | 8–10 h | 能不查表独立完成任意子网划分与 CIDR 计算;能口述 OSI/TCP-IP 映射与 TCP 可靠机制 |
| 强化期 | 第 7–11 周 | 第6–11章(交换/路由配置 / 无线 / 服务器 / 安全 / 管理) | 10–12 h | 能独立写出 VLAN/静态路由/OSPF/ACL 配置;能解释 DHCP/DNS/FTP 工作原理 |
| 冲刺期 | 第 12–16 周 | 近 5 年真题套卷 + 错题本 | 12–15 h | 选择题正确率 ≥ 80%,综合题步骤完整不丢过程分 |
六、实战建议
考试虽不考真机,但你目标是要真懂——强烈建议搭配实操,这正是把理论短板补成闭环的关键:
- 模拟器:Packet Tracer(Cisco 命令直观,入门首选)、eNSP(华为 VRP,贴近国内考试设备风格)。把第6/7章每个实验真做一遍:VLAN、Trunk、STP、静态路由、RIP、OSPF、ACL、NAT。
- 现有设备:手头路由/交换直接练;对照 Cisco IOS vs 华为 VRP 命令差异(考试常混考)。
- 服务器:VMware + Windows Server 或 Linux 搭 DHCP/DNS/FTP,对应第9章,理解「服务如何工作」而非只背命令。
- 理论验证闭环(关键):每配一个功能,用
show/ipconfig/ping/traceroute验证现象,再把「现象」和「协议原理」对应起来。例如配通 OSPF 后看邻居状态、看路由表,理解 LSA 如何变成路由——这是你要补的理论闭环。
七、教材与资源推荐
- 官方教程:《全国计算机等级考试三级教程——网络技术》(教育部考试中心编)
- 真题:近 5 年真题及详解(综合题务必按步骤完整作答)
- 模拟器:Cisco Packet Tracer、华为 eNSP
- 服务器实验:VMware Workstation + Windows Server / Linux
- 刷题:选择题专项训练 + 综合题步骤分训练
八、三级 → 四级晋级路径
- 四级网络工程师:需「已获(或同时获得)三级网络技术证书」方可取证。
- 四级侧重:网络规划、网络构建、网络安全、网络管理的高阶工程能力。
- 四级含【模拟器上机操作】考题(真配设备),实操与难度明显高于三级。
- 建议:把三级当作通往四级网络工程师的扎实底座来学,理论-实操双线并进;先扎实拿下三级,再冲击含真机操作的四级。
九、学习策略总谏
你最大的优势是「手上有活」——路由交换实操经验能让配置类综合题事半功倍,但请把精力重点砸向「会配却讲不清为什么」的理论洼地:TCP/IP 协议栈、子网规划数学、路由协议原理、规划设计方法论、安全与管理。用模拟器把每一条命令变成「可验证的现象」,让实操反哺理论,而非止于照猫画虎。三级只是资格门槛,目标若真在能力提升,建议把它当作通往四级网络工程师(含真机操作)的扎实底座来学。备考节奏上以「理解闭环」代替「刷题记忆」,每周固定复盘一个原理盲区,比考前突击更有效。
十、专项突破(一):子网划分 / VLSM / CIDR 计算题集
本篇针对你画像里的最大数学短板之一——「子网规划数学」。共 10 道题由易到难,计算步骤完整,落笔前先写 2^h−2 与块大小两行就不会乱。可直接照着练。
核心公式速记
- 可用主机数 = 2^h − 2(h = 主机位数;减 2 是去掉网络地址与广播地址)
- 子网数 = 2^n(n = 借位数)
- 块大小(Block Size)= 256 − 该八位组掩码值(只在"最后一个非 255 的八位组"上算)
- 子网地址 = 块大小的整倍数
题1(基础·定长子网划分·借位)
题干:将 192.168.10.0/24 划分为 4 个等长子网,求每个子网的子网掩码、网络地址、广播地址、可用主机范围。
考查点:借位计算(2^n ≥ 子网数)、块大小、网络/广播地址推算。
解题:
- /24 主机位 8 位。需 4 个子网:2^n ≥ 4 → n=2,借 2 位。
- 新掩码 = /26,十进制 255.255.255.192。
- 块大小 = 256 − 192 = 64。子网从 .0 起每 64 跳一个。
- 四个子网:
- 192.168.10.0/26 :广播 .63 ,可用 .1 ~ .62(62台)
- 192.168.10.64/26 :广播 .127,可用 .65 ~ .126
- 192.168.10.128/26 :广播 .191,可用 .129 ~ .190
- 192.168.10.192/26 :广播 .255,可用 .193 ~ .254
答案:掩码 255.255.255.192(/26);四段如上。每段可用主机 62 台。
题2(定长·同时满足子网数与主机数)
题干:公司获 172.16.0.0/16,需至少 8 个子网,每子网至少 800 台主机。求子网掩码,并列出前 3 个子网的地址范围。
考查点:先按子网数定借位,再验证主机位是否够。
解题:
- 8 个子网:2^n ≥ 8 → n=3,借 3 位 → /19。
- 主机位 = 32−19 = 13 位,可用主机 2^13−2 = 8190 ≥ 800 ✓。
- 掩码 255.255.224.0;第三八位组块大小 = 256−224 = 32。
- 前三段:
- 172.16.0.0/19 :广播 172.16.31.255 ,可用 172.16.0.1 ~ 172.16.31.254
- 172.16.32.0/19 :广播 172.16.63.255 ,可用 172.16.32.1 ~ 172.16.63.254
- 172.16.64.0/19 :广播 172.16.95.255 ,可用 172.16.64.1 ~ 172.16.95.254
答案:掩码 255.255.224.0(/19);前三段如上。
题3(定长·A类大网)
题干:给定 10.0.0.0/8,要至少 1000 个子网、每子网至少 50 台主机。求掩码。
考查点:大类网络借位、子网/主机需求同时满足。
解题:
- 1000 子网:2^n ≥ 1000 → n=10(2^10=1024),借 10 位 → /18。
- 主机位 = 32−18 = 14 位,2^14−2 = 16382 ≥ 50 ✓。
- 掩码 = /18 = 255.255.192.0。
答案:255.255.192.0(/18)。
题4(VLSM·经典多部门)
题干:公司分到 192.168.5.0/24,需分配给:研发120台、市场50台、财务20台、行政10台,另有 3 条点到点链路各需 2 个地址。用 VLSM 分配,写出每个网段的网络地址、CIDR 掩码、可用范围。
考查点:VLSM 从大到小分配;点到点用 /30。
解题:
- 各需求所需主机位:
- 120台 → 2^h−2 ≥ 120 → h=7(126)→ /25(255.255.255.128)
- 50台 → h=6(62)→ /26
- 20台 → h=5(30)→ /27
- 10台 → h=4(14)→ /28
- 点到点 → /30(2 可用)
- 从大到小、从 192.168.5.0 连续分配(互不重叠):
- 研发 /25 :192.168.5.0/25 ,可用 .1 ~ .126
- 市场 /26 :192.168.5.128/26 ,可用 .129 ~ .190
- 财务 /27 :192.168.5.192/27 ,可用 .193 ~ .222
- 行政 /28 :192.168.5.224/28 ,可用 .225 ~ .238
- WAN1 /30 :192.168.5.240/30 ,可用 .241 ~ .242
- WAN2 /30 :192.168.5.244/30 ,可用 .245 ~ .246
- WAN3 /30 :192.168.5.248/30 ,可用 .249 ~ .250
- (验证:.0/25→.0~.127;.128/26→.128~.191;.192/27→.192~.223;.224/28→.224~.239;.240/30→.240~.243;.244/30→.244~.247;.248/30→.248~.251,无重叠。剩余 .252~.255 可作备用 /30。)
答案:分配表如上。共节约大量地址(若用定长 /25 须 4 段、浪费明显)。
题5(VLSM·B类网多校区)
题干:ISP 分给某单位 172.20.0.0/16,需:主校区1000台、分校A500台、分校B200台、3条点到点/30。用 VLSM 分配。
考查点:B类网 VLSM、跨八位组分块。
解题:
- 主机位:1000→h=10(/22);500→h=9(/23);200→h=8(/24);WAN ×3 /30。
- 从 172.20.0.0 分配:
- 主校区 /22 :172.20.0.0/22 → 第三八位组块4,覆盖 .0.0~.3.255,可用 172.20.0.1 ~ 172.20.3.254
- 分校A /23 :172.20.4.0/23 → 覆盖 .4.0~.5.255,可用 172.20.4.1 ~ 172.20.5.254
- 分校B /24 :172.20.6.0/24 → 可用 172.20.6.1 ~ 172.20.6.254
- WAN1 /30 :172.20.7.0/30
- WAN2 /30 :172.20.7.4/30
- WAN3 /30 :172.20.7.8/30
答案:分配表如上。
题6(CIDR·路由聚合/超网)
题干:某路由器有以下路由,用一条 CIDR 聚合:192.168.0.0/24、192.168.1.0/24、192.168.2.0/24、192.168.3.0/24
考查点:找共同前缀、超网合并。
解题:
- 看第三八位组二进制:0=00000000、1=00000001、2=00000010、3=00000011。
- 前 6 位相同(000000),即前 16+6 = 22 位共同 → 聚合 /22。
- 范围 192.168.0.0 ~ 192.168.3.255,块大小4,正好覆盖 0~3 ✓。
答案:192.168.0.0/22。
题7(CIDR·对齐边界)
题干:将以下 4 个网段聚合成最小超网:192.168.16.0/24、192.168.17.0/24、192.168.18.0/24、192.168.19.0/24
解题:
- 16=00010000、17=00010001、18=00010010、19=00010011。
- 前 6 位相同(000100)→ /22,起点 16 是 4 的整数倍(对齐边界)。
- 聚合 192.168.16.0/22,覆盖 16~19 ✓。
答案:192.168.16.0/22。
题8(CIDR·边界陷阱,常考)
题干:以下网段能否聚合成"一条"精确超网?若能写出;若不能说明原因:192.168.20.0/24、192.168.21.0/24、192.168.22.0/24、192.168.23.0/24、192.168.24.0/24
考查点:连续≠可单条聚合;必须落在 2^n 边界上。
解题:
- 20~23 可聚合成 192.168.20.0/22(块4,起点20对齐)。
- 但加 24 后共 5 个 /24。要单条覆盖需 /21(块8);/21 必须起在 16 或 24 的倍数。
- 192.168.16.0/21 覆盖 16~23(不含24)
- 192.168.24.0/21 覆盖 24~31(含25~31多余)
- 20~24 不落在同一 /21 块内(跨 16~23 与 24~31 两个块),无法用"一条"精确聚合而不引入非目标网段(路由黑洞/越界)。
答案:不能单条精确聚合。可用 192.168.20.0/22 + 192.168.24.0/24 两条;或接受更大范围(但会含多余地址)。——这正是三级高频陷阱。
题9(NAT·NAPT/Easy IP 地址规划,简答+思路)
题干:企业内网 192.168.1.0/24,出口路由器外网口 IP 200.1.1.1/30(对端 ISP 200.1.1.2)。50 台主机要同时上公网,但只有一个公网 IP。说明 NAPT 规划思路并给出 Cisco/华为关键配置。
考查点:NAPT 端口复用、Easy IP(用出接口地址转换)、ACL 定义内网。
解题(简答):
- 原理:多个 私网IP:私网端口 → 同一 公网IP:不同公网端口。一个公网 IP 靠 TCP/UDP 端口(1~65535,可用约 6 万+)可承载海量并发会话。
- 地址池 vs Easy IP:只有一个公网 IP 且与出接口同 IP,用 Easy IP 最省——直接拿出接口地址做转换,无需单独地址池。
- ACL 定义需转换的内网 192.168.1.0/24。
Cisco 思路:
华为思路(VRP):
答案:用 NAPT(PAT)端口复用 + Easy IP;Cisco 用 ip nat inside source list ... interface ... overload,华为用出接口 nat outbound <acl>。
题10(综合·地址规划与聚合联动,设计题)
题干:集团总部用 192.168.0.0/22(已聚合),下属分支各 /24:分支1 192.168.1.0、分支2 192.168.2.0、分支3 192.168.3.0。请在核心路由器把 4 个 /24 聚合为一条回程路由。若分支4 实际用了 192.168.5.0/24(跳过了 .4),还能聚合进同一超网吗?
考查点:聚合前提是"连续 + 边界对齐";规划阶段就要连续分配。
解题:
- 0、1、2、3 → 前 22 位同,聚合 192.168.0.0/22 ✓(块4,起点0对齐)。
- 若分支4 用 192.168.5.0/24,则 0、1、2、3、5 不连续(缺4)。要含 0~5 需 /21 起在 0(覆盖0~7,含6、7非目标),或拆成 192.168.0.0/22 + 192.168.5.0/24。无法单条精确聚合。
- 结论:地址规划必须"连续分配、对齐边界",否则聚合失效、路由表膨胀。
答案:4分支可聚 192.168.0.0/22;加入跳号的 .5 后不能单条精确聚合,需拆分或扩大范围。
★ Part A 易错点提醒(考生自查清单)
- 主机位全0(网络地址)与全1(广播地址)不可用 → 可用数 = 2^h − 2,很多人忘减2。
- 借位后主机位不够:先满足"主机数"再满足"子网数",冲突时须扩大网络(如 /24 装不下大主机数就用 /23 或更大)。
- 块大小算错:块大小 = 256 − 掩码值(作用在那个非255的八位组);子网地址必为块大小整倍数。
- CIDR 聚合边界:网段须连续且起点是块大小整数倍;"5个连续/24"不能简单并成一条(除非接受/21含多余)——先做二进制对齐再下结论。
- VLSM 必须从大到小分,否则小网段插在大网段中间造成重叠/浪费;点到点用 /30(有的设备支持 /31,RFC3021)。
- 反掩码≠正掩码:Cisco
network用反掩码(0=匹配,1=忽略),华为network用正掩码——别混。 - NAT:NAPT 靠端口复用,一个公网 IP 可撑大量内网主机;Easy IP 直接用出接口 IP,无需地址池;别忘了 inside/outside 接口划分。
十一、专项突破(二):OSPF 多区域设计详解与配置实验
1. 多区域设计原则(原理补强)
Area 0 骨干区
OSPF 规定:所有非骨干区域必须"直接"连到 Area 0(物理或虚链路)。区域间路由一律经 Area 0 中转,形成单棵骨干树,借此防环。非骨干区之间禁止直接交换路由。
ABR(区域边界路由器)
连两个及以上区域、且至少一个接口在 Area 0 的路由器。ABR 为所连每个区域维护独立 LSDB;把所在非骨干区域的明细"摘要"成 Type3 LSA 注入 Area 0,也把其他区域的 Type3 转发进本地区域。它是区域间路由的"翻译官"。
三类路由区别
- 区域内(Intra-area):同区域内部,由 Type1/2 LSA 算得,最优先,路由标记 O。
- 区域间(Inter-area):ABR 的 Type3 LSA 通告的其他区域路由,标记 O IA。
- 外部(External):ASBR 引入的自治系统外路由(静态/其他IGP),Type5 LSA,标记 O E1/E2。
LSA 类型(大白话)
- Type1 Router LSA:每台路由器"自报家门"——我有哪些接口、连到哪些网、链路代价多少。只在自己区域内泛洪。
- Type2 Network LSA:DR 产生,报"这个广播网段上都挂了哪些路由器(邻居清单)"。只在区域内泛洪。
- Type3 Summary LSA(网络汇总):ABR 产生,把一个区域的网段"摘要"成一条路由通告给其他区域(跨区路由信息)。
- Type4 ASBR Summary LSA:ABR 产生,告诉其他区域"去某个 ASBR 该怎么走"(通告 ASBR 的位置)。
- Type5 External LSA:ASBR 产生,描述引入的外部路由(静态、RIP/BGP 等),洪泛到整个 OSPF 域(特殊区域除外)。
Cost(路径代价)
接口 Cost = 参考带宽 ÷ 接口带宽;默认参考带宽 10^8 bps(100 Mbps)。
- 100M 链路 → cost 1;10M → cost 10;T1(1.544M) → 64。
- 1G 在默认参考带宽下算 0.1,取整也为 1(与 100M 同价,这是缺陷)→ 现代网络常改
auto-cost reference-bandwidth 1000(10^9),使 1G=1、10G=10。 - 路径 Cost = 沿途"入方向"接口 Cost 累加;选路比总 Cost 最小。相等则等价负载分担。
DR/BDR 选举(为何广播网段需要)
若以太网段 N 台路由器两两建全邻接,需 N(N−1)/2 条邻接、LSA 泛洪量爆炸。于是选 DR(指定路由器)+ BDR(备份),其余 DROTHER 只和 DR/BDR 建全邻接,DR 负责网段内转发 LSA。
- 选举规则:①比接口优先级(priority 0~255,0=不参与),高者胜;②同优先级比 Router-ID 大者胜。选举不抢占(稳定后新加入的高优先级不会抢 DR)。
- Router-ID 选举:手动配置 > 最大 Loopback IP > 最大物理口 IP。
- (点到点链路无 DR/BDR。)
2. 多区域实验(总部-分支拓扑,可真做)
拓扑与角色
- R1:Area 0(总部核心),含总部 LAN
- R2:ABR,左连 Area 0、右连 Area 1
- R3:Area 1(分支),含分支 LAN
- 链路:R1─(Area0)─R2─(Area1)─R3
IP 规划表
| 设备 | 接口 | IP 地址 | OSPF区域 | 说明 |
|---|---|---|---|---|
| R1 | Loopback0 | 1.1.1.1/32 | — | Router-ID |
| R1 | G0/0 | 10.1.1.1/24 | Area 0 | 总部LAN网关 |
| R1 | G0/1 | 192.168.12.1/24 | Area 0 | 连 R2 |
| R2 | Loopback0 | 2.2.2.2/32 | — | Router-ID |
| R2 | G0/0 | 192.168.12.2/24 | Area 0 | 连 R1 |
| R2 | G0/1 | 192.168.23.2/24 | Area 1 | 连 R3 |
| R3 | Loopback0 | 3.3.3.3/32 | — | Router-ID |
| R3 | G0/0 | 192.168.23.3/24 | Area 1 | 连 R2 |
| R3 | G0/1 | 10.3.3.3/24 | Area 1 | 分支LAN网关 |
预期效果:R3 学到 10.1.1.0 为 O IA;R1 学到 10.3.3.0 为 O IA。
Cisco IOS 配置(注意:router ospf 进程号 + network 反掩码 area)
华为 VRP 配置(注意:先 ospf 进程+router-id,再 area,再 network 正掩码)
- ①Cisco
router ospf <进程号>后直接network 地址 反掩码 area <区域>;华为先ospf <进程> router-id→area <区域>→network 地址 正掩码。 - ②Cisco 静默叫
passive-interface,华为叫silent-interface。 - ③Cisco network 用反掩码(0匹配1忽略),华为用正掩码,绝不可混抄。
验证 / 排错命令
Cisco:
show ip ospf neighbor:看 Neighbor ID(对端Router-ID)、State 是否 Full(邻接成功;以太网DROTHER间卡 2-Way 属正常)、Priority、DR/BDR 地址、接口。show ip ospf interface:各接口是否参与OSPF、所属区域、Cost、是否为 DR/BDR。show ip route ospf:O = 区域内路由;O IA = 区域间路由(来自ABR的Type3);O E1/E2 = 外部路由。
华为:
display ospf peer:邻居 Router-ID、状态 State=Full、优先级、对端地址。display ospf interface:接口 OSPF 信息、Cost、DR/BDR。display ip routing-table protocol ospf:OSPF 路由条目;配合display ospf routing可看类型 Intra/Inter/ASE。注:华为表中区域间路由也标 OSPF,想区分 O/O IA 看display ospf routing的 Type 列。
盲区点透(针对"会配不会讲")
- 为什么要有 Area 0:区域间路由被强制在 Area 0 上"中转",非骨干区不能两两直连交换,从而构成单骨干树、靠骨干防环(OSPF 区域间本质是距离矢量行为,必须靠骨干约束)。
- ABR 怎么产生 Type3 LSA:ABR 算完本地区域 SPF 树后,把"到达该区域各网段的可达性(网络号+掩码+到ABR的cost)"以 Type3 Summary LSA 注入 Area 0 及其他区域;别区路由器据此算出"经此ABR到那个网段"的区域间路由。
- Cost 怎么影响选路:OSPF 只比到目标的总 Cost(路径入接口累加)。改接口带宽或手动
ip ospf cost即改选路;两条等 Cost 则等价负载分担——所以"真懂选路"要先会算沿途 Cost。
子网数学的命门是"先算主机位再算网络位、二进制对齐才敢聚合",每题落笔前先写 2^h−2 与块大小两行就不会乱;OSPF 的命门是"Area 0 是防环骨架、ABR 用 Type3 做区域间翻译、选路只看 Cost 累加"——把这三句挂在嘴边,配命令时你就能同步讲清每一步在干什么,而不只是照敲。
十二、专项突破(三):网络安全技术
对象:38 岁、科班出身、会简单组网、目标"真懂原理"的考生。定位:本专项针对"会配不会讲"盲区——ACL 能敲但讲不清匹配逻辑、防火墙与 ACL 混淆、VPN/密码学概念模糊、攻击停留在名词层面。每节先点透原理,再给能真敲的配置,最后标出考试坑。
一、ACL 访问控制列表(重点,必考综合题)
1. 标准 ACL vs 扩展 ACL:到底差在哪
| 维度 | 标准 ACL | 扩展 ACL |
|---|---|---|
| 匹配依据 | 只看源 IP 地址 | 源 IP、目的 IP、协议(tcp/udp/icmp/ip)、源/目的端口、established 等 |
| Cisco 编号 | 1–99(标准);1300–1999(扩展标准范围) | 100–199;2000–2699 |
| 华为 编号 | acl 2000 基本 | acl 3000 高级 |
| 放置位置原则 | 靠近目的(只能看源,放源端会误伤去其他目的地的流量) | 靠近源(尽早过滤,省带宽、早丢包) |
| 精确度 | 粗(整段网段一刀切) | 细(精确到"谁→去哪→用什么端口") |
大白话:标准 ACL "看你是谁(从哪来)",扩展 ACL "看你从哪来、去哪、干嘛(什么协议/端口)"。"禁止某网段访问某服务器 80 端口"必须扩展 ACL,标准 ACL 看不到目的端口。
2. Cisco IOS 配置(重点写准确)
标准 ACL:
access-list 1:编号 1 = 标准;0.0.0.255 是反掩码(通配符掩码),非子网掩码;接口下用 ip access-group 1 out。
反掩码核心规则(必考):
- 0 = 这一位必须精确匹配;255(8个1)= 这一位忽略/不关心
- 例:192.168.1.0 0.0.0.255 → 匹配 192.168.1.0~255 整个 /24
- 反掩码 0 和 1 可非连续(和正掩码完全不同!)如 0.0.0.254 只匹配偶数主机,0.0.0.1 只匹配奇数主机。考题常拿非连续反掩码挖坑。
扩展 ACL:
eq 80 = 目的端口 80;也可 range 20 21、gt 1023。末尾 deny ip any any 收尾(Cisco 隐式 deny,显式写是高分写法)。
命名 ACL(推荐,支持删单条):
命名 ACL 用 ip access-list extended/standard 名字 进子模式,可用 no 序号 删单条(编号 ACL 删一条要整体重敲,工程现实考点)。
in/out 方向含义与陷阱(高频坑):
- in:该接口上流入路由器的包;out:该接口上流出路由器的包。
- 陷阱:in/out 相对接口,不是相对内外网。同一 ACL 放 in/out 效果可能相反。考试给拓扑问"哪个接口、哪个方向"——先定流量从哪进/出哪个接口,再定方向。
- 额外坑:过滤到路由器自身流量(Telnet/SSH 到设备)用 access-class 配 line vty,不是 access-group。
3. 华为 VRP 配置(与 Cisco 严格对照,别混)
华为用"基本/高级"ACL。基本 2000–2999,高级 3000–3999。
基本 ACL(对应标准):
要点:华为 ACL 内用 rule 逐条写,默认 rule-id 步长 5,按 rule-id 从小到大顺序匹配;末尾隐含 deny(所有未匹配默认拒绝)——想"允许一部分、其余放行"必须显式写 permit,否则被末尾 deny 干掉;接口下用 traffic-filter inbound/outbound acl 编号(不是 ip access-group)。
高级 ACL(对应扩展):
Cisco IOS vs 华为 VRP 严格对照表:
| 项目 | Cisco IOS | 华为 VRP |
|---|---|---|
| 标准/基本 编号 | 1–99, 1300–1999 | 2000–2999 |
| 扩展/高级 编号 | 100–199, 2000–2699 | 3000–3999 |
| 配置入口 | access-list 编号 ...(全局) | acl 编号 内建 rule(子模式) |
| 匹配源 | access-list 1 permit 源 反掩码 | rule permit source 源 反掩码 |
| 匹配目的+端口 | ... destination 反掩码 eq 端口 | destination 反掩码 destination-port eq 端口 |
| 接口应用 | ip access-group 编号 in/out | traffic-filter inbound/outbound acl 编号 |
| 过设备自身 | access-class 编号 in(line vty) | VTY 下 acl 编号 inbound |
| 末尾默认 | 隐式 deny any | 隐式 deny(所有) |
| 命名方式 | ip access-list extended 名字 | acl name 名字 或 acl 编号 |
| 反掩码语义 | 0=精确/255=忽略,可非连续 | 完全相同 |
4. ACL 综合配置题(2 道,含答案+考查点)
题1(Cisco)——扩展 ACL 靠近源 + 过滤到设备自身
场景:路由器 R 三口——G0/0 连财务 192.168.10.0/24,G0/1 连研发 192.168.20.0/24,G0/2 连服务器区(含 Web 10.0.0.10:80)。要求:①研发禁止访问财务,但都能访问服务器 Web;②禁止任何 Telnet(23) 登录路由器。
考查点:扩展 ACL 靠近源(研发接口 in);deny ip 后必须 permit ip any any 否则全断;过滤到路由器自身用 access-class(高频坑)。
题2(华为)——高级 ACL 出方向 + 华为隐式 deny
场景:内网 172.16.0.0/16,市场部 172.16.30.0/24 禁止上外网(任意目的),其余内网允许。在连接外网的 G0/0/1 出方向应用。
考查点:高级 ACL 出方向(outbound)应用;destination any 简写;华为隐含 deny——rule 10 必须显式 permit 其余网段,否则被末尾 deny 全部拦掉。
二、防火墙技术
1. 三类防火墙原理对比(大白话点透)
| 类型 | 工作层次 | 能干啥 | 致命弱点 |
|---|---|---|---|
| 包过滤 | 网络层 | 按源/目的 IP、端口、协议放行/丢弃;极快、对应用透明 | 看不了内容;无状态每包独立判;易被 IP 欺骗绕过 |
| 应用代理 | 应用层 | 内外不直接连,代理"代你收发";深度检查应用内容;隔离最彻底 | 每种协议写代理、性能差延迟大、难支持新应用 |
| 状态检测 | 网络层+会话 | 维护连接状态表,首包建会话、后续凭状态表快放;兼具速度与识别力(主流) | 对极复杂应用层攻击不如代理深入(现代常叠加 UTM/IPS) |
一句话比喻:包过滤=看门牌号放人(快但不看包里装啥);应用代理=保安替你收发所有东西(最安全但慢);状态检测=记了来访登记本的看门人(快且认得回头客/返回包)。关键认知:路由器上的 ACL 本质就是"包过滤防火墙"的一种实现——ACL 那节和这节是连着的。
2. DMZ 非军事区(三区隔离)
作用:把需对外提供服务的服务器(Web/Mail/DNS)放 DMZ,与内网、外网三区隔离。外网只能访问 DMZ 指定服务;内网可访问 DMZ 和外网;DMZ 一般禁止主动访问内网(防 DMZ 被攻陷后横向打内网)。
为什么不把 Web 服务器放内网(考试常问):Web 是对外暴露、被攻击概率最高的资产。放内网且被拿下,攻击者直接在内网心脏里。放 DMZ 等于把"可能被炸的店面"放独立隔离区,炸了也炸不到金库(内网)。配合防火墙:外→DMZ 只开 80/443;DMZ→内 默认拒绝。
3. 防火墙 vs ACL:关系与区别(易混点澄清)
- ACL:路由器/交换机上的访问控制手段,属包过滤,规则简单(五元组),大多无状态。
- 防火墙:专用安全设备/功能,核心是状态检测,能跟踪会话、做应用识别、VPN、IPS,能力远超 ACL。
- 澄清:ACL 不是"小防火墙",而是防火墙"包过滤"能力的底层实现之一。考题问"路由器 ACL 能否替代防火墙"——答案:仅能做基础包过滤,无法提供状态检测、应用层防护,不能替代专用防火墙。
三、VPN 虚拟专用网
1. IPSec VPN(网络层)
层次:网络层,对 IP 包加密/认证,对上层应用透明。两大协议:AH(认证头,只认证不加密,保数据源+完整性,不保密);ESP(封装安全载荷,既加密又认证,主流)。两种模式:传输模式(只保护载荷)、隧道模式(保护整个原 IP 包并加新 IP 头,用于站点到站点)。IKE(密钥交换):分两阶段协商 SA(安全关联)——阶段1建管理通道,阶段2建数据通道。场景:站点到站点(总部↔分支)、远程接入(出差员工)。
2. SSL VPN(应用层)
层次:基于 SSL/TLS(即 HTTPS)。特点:浏览器访问 https://vpn.xxx.com 即可,无需装客户端,适合远程接入、移动办公、伙伴临时访问。与 IPSec 区别:IPSec 需客户端、配置复杂、常被 NAT/防火墙挡;SSL VPN 基于 Web、穿透性好、控制粒度可到某 URL/某应用。
3. 隧道技术大白话
数据被"套了一层壳"在公网传输:原始包(含私网地址)被封装进新公网 IP 包里,像快递套外箱,公网只认外箱地址传输;到达对端 VPN 网关后"拆箱"还原原始包。端点(VPN 网关)负责加壳/拆壳。
四、密码学基础(选择题高频)
1. 对称 vs 非对称
| 维度 | 对称加密 | 非对称加密 |
|---|---|---|
| 密钥 | 加解密同一把 | 公钥+私钥成对,公钥加密私钥解密 |
| 算法 | DES、3DES、AES | RSA、ECC、DSA |
| 速度 | 快,适合大数据量 | 慢,CPU 开销大 |
| 痛点 | 密钥分发难 | 解决分发 + 数字签名 |
| 用途 | 加密传输/存储的大量数据 | 密钥交换、数字签名、证书 |
2. 哈希(摘要)
MD5(128 位,已不安全)、SHA-1(160 位,已弱化)、SHA-256 等。单向不可逆、定长输出、雪崩效应(改 1 位输出全变)。用途:完整性校验(比对文件 hash)、口令存储(存 hash 不存明文)。
3. 数字签名与数字证书
- 数字签名:发送方用私钥对消息 hash 签名,接收方用发送方公钥验证。保证:①不可否认(只有你有私钥)②完整性(hash 对得上)③身份认证。
- 数字证书:CA(证书颁发机构)签发,把"公钥 + 持有者身份"绑定并签名。解决"我怎么确定这把公钥真的是对方的"——信任 CA 这条链。
4. 点透组合原理(考试最爱)
"HTTPS = 非对称协商密钥 + 对称加密传输数据":
- 握手阶段用 RSA/ECDHE 等非对称算法,安全协商出一个对称会话密钥(解决对称加密的密钥分发难题);
- 之后海量数据用 AES 等对称算法加密传输(解决非对称太慢的问题)。
一句话:用非对称的"慢但安全"解决密钥怎么给,用对称的"快"解决数据怎么传。
五、攻击类型与识别
1. DoS / DDoS
- DoS(拒绝服务):单点发海量请求/畸形包,耗尽 CPU、带宽、连接表,使服务不可用。
- DDoS(分布式):控制大量"肉鸡"(僵尸网络)同时打,流量更大更难溯源;常见 DNS/NTP 反射放大攻击。
- 防护:流量清洗、限速、黑洞路由、CDN 分散、源头 ACL 过滤。
2. ARP 欺骗(结合你懂的交换机,讲清二层怎么发生)
- 前提:ARP 无认证、广播请求;交换机是二层转发(按 MAC 表),不验证 ARP 真伪——这是根因。
- 过程:攻击者周期性伪造"ARP 应答",声称"网关 IP 对应的 MAC 是我",发给受害者。受害者 ARP 缓存被篡改,之后发往网关的流量全送到攻击者 MAC → 攻击者成中间人(可嗅探/篡改)或直接断网。
- 为什么在二层发生:ARP 是二层协议,交换机只按 MAC 转发,不校验"这个 IP 真属于这个 MAC 吗",伪造 ARP 畅通无阻。
- 防护:交换机端口安全、DAI(动态 ARP 检测,绑定 IP-MAC)、静态 ARP 绑定、DHCP Snooping。
3. 嗅探与端口扫描
- 嗅探(Sniffer):网卡设混杂模式,抓本网段所有包。风险:Telnet/FTP/HTTP 明文协议会被直接看到账号密码。防护:用 SSH/HTTPS 加密、VLAN 隔离广播域。
- 端口扫描:用 nmap 等向目标大量端口发探测,按响应判断开放端口/服务,是攻击前的 reconnaissance。防护:关不必要端口/服务、防火墙限制、IDS 检测扫描行为。
4. 病毒 / 蠕虫 / 木马 区别
- 病毒:依附宿主文件,用户运行才激活,不能自我传播,靠人为复制扩散。
- 蠕虫:独立程序,自我复制、主动传播(利用漏洞),不需人为干预,爆发快。
- 木马:伪装成有用程序诱骗安装,隐藏控制(开后门远程控制),重在潜伏控制,未必自我复制。
5. IDS vs IPS(区别要点透)
- IDS(入侵检测):旁路部署,监听镜像流量,只检测告警、不阻断(像监控摄像头)。
- IPS(入侵防御):串联部署(在线),实时检测并阻断恶意流量(像安检门直接拦人)。
- 易混点:IDS 接镜像口、不影响流量;IPS 串在链路中、可能影响性能且故障会断网(需 bypass 机制)。
六、典型真题(3 道,含答案与解析)
真题 1(ACL 综合配置/分析,综合题)
题干:路由器 R 三接口——G0/0 连内网 192.168.1.0/24,G0/1 连服务器区 192.168.2.0/24(其中 192.168.2.10 是 Web 服务器:80),G0/2 连外网。要求:内网主机只能访问 Web 服务器 80 端口,禁止访问服务器区其他服务和外网;外网禁止主动访问内网。用 Cisco 扩展 ACL 实现,并说明应用接口与方向。
考查点:扩展 ACL 放源端接口 in 方向(靠近源);host 关键字 = 反掩码 0.0.0.0;deny ip any any 收尾阻断其余;外网主动访问内网也被该 deny all 挡住(ACL 无方向记忆,入口已拦)。
解题思路:先写"允许的精确流量" → 再"deny all 收尾";应用位置选离源最近的接口入方向。
真题 2(防火墙/攻击识别,选择题)
题干:以下哪项措施主要用于防御 ARP 欺骗攻击?
A. 路由器上配置 ACL 禁止 ICMP B. 交换机上启用 DAI(动态 ARP 检测)并配合 DHCP Snooping C. 部署 IDS 旁路监听 D. 增加防火墙包过滤规则
答案:B。考查点:ARP 欺骗发生在二层,路由器 ACL/防火墙(三层+)管不到;DAI 校验 ARP 报文中的 IP-MAC 绑定,从源头拦伪造 ARP。IDS 旁路不阻断;防火墙管不了二层 ARP。解题思路:先定位攻击发生的层次(二层 ARP)→ 选二层防护手段(DAI/端口安全/静态绑定)。
真题 3(密码学/VPN,选择题)
题干:关于 HTTPS 的安全机制,下列说法正确的是?
A. HTTPS 全程用 RSA 加密传输所有数据 B. HTTPS 用非对称加密协商会话密钥,再用对称加密传输数据 C. HTTPS 用 MD5 对网页内容加密 D. HTTPS 不需要 CA 证书也能保证安全
答案:B。考查点:HTTPS = TLS 握手用非对称(ECDHE/RSA)协商对称密钥 + 后续用对称(AES)加密数据;MD5 是哈希不可逆,不是加密;CA 证书用于验证服务器公钥身份。解题思路:记住"非对称慢用于协商、对称快用于传输"的组合模型,即可排除 A;MD5 不可逆排除 C;CA 是信任锚排除 D。
ACL 的本质是"在正确位置、用正确方向,按五元组写允许、用 deny all 收尾"——配置前先在脑中画好流量方向与接口,比背命令更重要。防火墙、VPN、密码学、攻击防护要串成一条线理解:网络层用 ACL/防火墙 + IPSec 挡住非法接入,应用层用状态检测 + IDS/IPS 拦住威胁,密码学为这一切提供"身份可信 + 数据保密"的底层保障。安全没有银弹,考试考的正是你能否在"哪一层、用什么手段、为什么"之间做出正确判断。