系统架构设计师常见高频考点总结之计算机网络
学习这些网络题目时,可以将网络层次结构想象成高速公路系统:核心层是连接城市的大型立交桥和主干道,追求极速转发;汇聚层是出口闸机,负责检查通行证(安全过滤)和分流;而接入层则是通往各家各户的小路。这种分层解耦的设计保证了系统即使在局部发生交通拥堵(网络延迟)时,整体架构依然稳定
1、 网络规划与设计
1.1、 网络互联设备与OSI模型 (重点辨析)
这是软考中最基础也是最容易混淆的部分,核心是分层和隔离能力。
| 设备名称 | 对应OSI层次 | 核心功能 | 隔离能力 | 协议处理能力 |
| 中继器/集线器 | 物理层 | 信号放大、再生、整形 | 不隔离冲突域,不隔离广播域 | 无,只能连接相同协议、相同速率的网络 |
| 网桥/交换机 | 数据链路层 | 帧转发、MAC寻址 | 隔离冲突域,不隔离广播域 (VLAN除外) | 连接相同的高层协议,物理层协议可不同 |
| 路由器 | 网络层 | IP寻址、路由选择、分组过滤 | 隔离广播域(抑制广播风暴) | 处理网络层协议,连接不同子网 |
| 网关 | 应用层 | 协议转换 | 全隔离 | 连接协议差别很大的网络 (如不同架构的系统) |
考点提炼:
路由器 vs 交换机:路由器效率相对较低(软硬件结合处理),但能隔离广播、过滤分组(防火墙功能)、连接不同逻辑子网。
维度 交换机 (Switch) 路由器 (Router) 工作就像 办公室文员 海关 / 国际邮局 识别凭证 MAC 地址 (物理身份证) IP 地址 (收件地址) 处理对象 帧 (Frame) 包 (Packet) 如果有人喊大喇叭 (广播) 跟着一起喊 (传给所有人) 关门阻挡 (不让传出去) 主要职责 让大家连通,组成局域网 让大家隔离,连接不同的网 能连什么 只能连同一个网段的电脑 能连不同网段、不同架构的网 协议转换:只要看到“不同网络协议互联”或“协议转换”,首选网关。
1.2、 网络存储技术 (SAN/NAS)
随着大数据和云架构的流行,存储网络是架构师考试的高频点。
DAS (直连存储):服务器直接接硬盘,虽然便宜但孤岛效应严重,难以共享。
NAS (网络附属存储):
文件级存储 (File-level)。
即插即用,通过以太网(TCP/IP)共享文件 (NFS/CIFS协议)。
性能受网络带宽限制。
SAN (存储区域网络):
块级存储。
FC SAN:使用光纤通道 (Fibre Channel)协议。性能最高,成本昂贵,传输距离有限。
IP SAN:使用iSCSI协议 (把SCSI指令封装在TCP/IP包里)。成本低,利用现有以太网设施,无距离限制。
考点提炼:
iSCSI= TCP/IP + SCSI指令 (属于IP SAN)。
FC= 光纤通道 (属于FC SAN)。
数据库等高性能需求优先选 SAN,文件共享选 NAS。
1.3、 网络规划与服务器部署
架构师需要具备网络拓扑设计和安全规划的能力。
设计原则
高可用性:金融、银行核心业务的首要原则 (冗余设计、双机热备)。
其他原则:实用性、开放性、先进性、可扩展性。
服务器位置部署:
DMZ区 (非军事化区):放置对外服务的服务器,如Web服务器、邮件网关。
内网核心区:放置数据库服务器、核心业务服务器 (严禁直接暴露在公网)。
防火墙策略:公网只能访问DMZ,DMZ只能访问内网特定端口(如DB端口),内网可访问公网。
流量监控:
监控服务器通常连接在核心交换机的镜像端口 (Mirror Port)上,以便捕获所有流经的流量。
1.4、网络设计阶段任务
(2010年、2011年、2017年)
◦题目:逻辑网络设计阶段的任务是什么?物理网络设计阶段的任务是什么?
◦答案:逻辑设计任务是根据需求规范实施资源分配和安全规划(如选择路由协议、IP地址方案);物理设计任务是确定设备的具体物理分布和运行环境(如设备选型、结构化布线、机房设计)。
1.5、SDN网络架构
1.6、网闸
题目:部署在政府内外网之间实现物理隔离的设备是网闸。
就像银行柜台的防弹玻璃和那个小抽屉。你(外网)和柜员(内网)被物理隔开了,你们之间没有直接的通道(应用协议被中断)。
你想存钱存文件怎么办?你把文件放进小抽屉(中间设备),关上外面的门;柜员从里面打开抽屉,把文件拿进去。这就是图里写的“文件级交换”。
1.7、5G通信系统架构
软考架构师必读:别再死磕物理层!一文掌握 5G 架构设计的“上帝视角”
2、 网络协议与通信原理
2.1、 数据通信基础计算 (必考公式)
这是送分题,必须掌握公式,注意单位换算。
码元与比特的关系:
波特率 (Baud):码元传输速率(每秒传输多少个信号变化)。
数据速率 (R, bps):每秒传输多少比特信息。
相数 (N):调制技术产生的不同信号状态数量 (如4相DPSK, N=4)。
核心公式:
香农公式 (有噪声信道):
C (Capacity - 信道容量):公式算出来的结果。代表理论上最大的数据传输速率,单位通常是 bps。
W (Bandwidth - 带宽):信道的频带宽度,单位是 Hz(赫兹)。通俗理解:这就是“高速公路的宽度”(车道数)。道路越宽,能同时跑的车就越多。
S/N (Signal-to-Noise Ratio - 信噪比):S 代表有用信号的功率,N 代表噪声干扰的功率。 就是指信号强度是噪声强度的多少倍。注意:题目给出的信噪比通常是分贝(dB),需要先换算成数值。
换算公式:𝑑𝐵=10×log10(𝑆/𝑁)。例如 30dB 意味着 𝑆/𝑁=1000
2.2、 TCP/IP 协议族核心速记
这是软考网络部分的基石:
网络层协议:
IP:寻址和路由。
ICMP:ping 命令用的就是它,报告错误。
ARP:IP地址 → MAC地址。
RARP:MAC地址 → IP地址。
传输层协议:
TCP:可靠、面向连接、慢 (用于HTTP, FTP, SMTP),全双工。
UDP:不可靠、无连接、快 (用于视频流、DNS, SNMP)。
应用层协议端口:
FTP (20/21), SSH (22), Telnet (23), SMTP (25), DNS (53), HTTP (80), POP3 (110), HTTPS (443) ,SNMP(161),DHCP(服务端67,客户端68),TFTP(69)。
2.3、TCP/IP 与网络控制
(2012年、2014年、2021年)
◦题目:TCP 如何防止拥塞?Internet 网络核心采取的交换方式是
◦答案:TCP 采用可变大小的滑动窗口协议;交换方式为分组交换(基于 IP 协议)
2.4、 DHCP协议原理
DHCP (动态主机配置协议)软考系统架构师考点秒杀
2.5、域名系统 DNS 查询与配置
(2012年、2013年、2018年、2020年)
◦题目:根域名服务器采用何种查询方式会严重影响性能?解决解析出 IP 但无法解析出服务器名称的方法是?Linux DNS 配置文件是?
◦答案:根域名服务器若采用递归查询会影响性能;解决方法是为服务器创建PTR 记录(反向解析);配置文件为/etc/resolv.conf。
2.6、IPv6 关键特征
还在死磕 IPv6?背下这 5 句口诀,面试/考试横着走!
2.7.负载均衡机制对比
◦题目:基于 DNS 的负载均衡与基于反向代理的负载均衡有何区别?
◦答案:DNS 负载均衡配置简单、成本低,但无法感知服务器实时负载;反向代理负载均衡能根据实时负载分配请求,支持静态资源缓存,安全性更高(屏蔽真实 IP),但实现较复杂
2.8. ESB(企业服务总线)
ESB(企业服务总线)在SOA中的作用?题解:作为总线,负责服务的元数据管理、传输协议转换、路由和消息调度。
2.9. MQTT
MQTT(消息队列遥测传输)是一个基于发布/订阅模式的消息协议。它工作在TCP/IP协议族上,是为硬件性能低下的远程设备以及网络状况糟糕的情况下而设计的发布/订阅型消息协议。MQTT协议是轻量、简单、开放和易于实现的。
2.10Ping和Echo
ping 是应用程序(工具),而 Echo 是它底层使用的具体协议消息(ICMP Echo)。可以把它们的关系理解为:Ping 命令是“枪”,而 ICMP Echo 包是“子弹”。
以下是底层的技术拆解:
1. 技术层级关系
上层应用:用户在命令行输入 ping。
网络层协议:操作系统内核使用ICMP 协议
具体消息类型:ICMP 协议中定义了很多种消息,ping 专门使用了以下两种:
去程:ICMP Echo Request(类型码 Type 8)—— 请求回显。
回程:ICMP Echo Reply(类型码 Type 0)—— 回显应答。
2. 架构设计中的引申
在软考的“Ping/Echo 心跳模式”中,这个概念被抽象化了:
不仅仅指 ICMP:在分布式系统中,服务 A 发送一个 HTTP 请求(Ping),服务 B 返回一个 200 OK(Echo),这也被称为 Ping/Echo 模式。
核心逻辑:主动探测(Ping) -> 被动响应(Echo)。
ping 命令的本质就是发送一个ICMP Echo Request并等待ICMP Echo Reply。
3. 网络安全
3.1、网络攻击原理
(2010年、2020年)
◦题目:ARP 攻击导致无法跨网段通信的原因?SYN Flooding 攻击的原理?
◦答案:ARP 攻击通过伪造网关 ARP 报文使数据包无法发往网关;SYN Flooding利用 TCP 三次握手缺陷恶意制造大量半连接耗尽资源。
3.2、安全协议应用
(2011年、2014年、2017年)
◦题目:实现安全电子邮件的协议是?应用层安全协议是?
◦答案:电子邮件协议为PGP 或 S/MIME;应用层安全协议如HTTPS。
3.4. IETF 集成服务 IntServ 类型
◦题目:IntServ 把 Internet 服务分成哪三种类型?
◦答案:保证质量的服务(Guaranteed)、负载受控的服务(Controlled-load)和尽力而为的服务(Best-Effort)。
3.5.数字加密
加密方式对比
类型 密钥特点 典型算法 比喻 对称加密 加密解密用同一把密钥 AES, DES, 3DES 保险箱:上锁和开锁用同一把钥匙 非对称加密 用公钥加密,私钥解密 RSA, ECC, DSA 信箱:任何人都能投信(公钥),但只有只有主人能取(私钥) 数字信封概念:就是“用对称密钥锁数据,用公钥锁对称密钥”。既要了对称加密的速度,又要了非对称加密的安全性。
三重 DES: 3DES 默认指的就是2-Key TDEA(双密钥模式),因为它是性价比最高的折中方案。即便你使用了168位的 3 Key 模式,其有效的破解难度(安全性强度)也被证明大约只有112位。
3.6.Kerberos 协议
Kerberos 的名字来源于希腊神话中守卫地狱大门的“三头犬”,寓意它有三个头(Client、Server、KDC)来共同守护安全。
Kerberos 三要素:Client、Server、KDC。
KDC 的组成:
AS(认证服务器):负责初次登录,发 TGT。
TGS(票证授予服务器):负责发具体服务的 Service Ticket。
防重放手段:加密的时间戳(需配合时间同步 NTP网络时间协议)。
特点:单点登录(SSO)、双向认证(不仅服务器认证你,你也认证服务器)、不传输明文密码。
3.7 JWT(JSON Web Token)
什么是JWT?
JWT 是一种基于 JSON 的开放标准,由头部、载荷、签名三部分组成。它具有无状态和自包含的特性,通过数字签名防止篡改,广泛用于前后端分离系统的身份验证(如 SSO)和信息交换。
JWT的优点
- 无状态:JWT是无状态的,服务器不需要保存任何会话信息,可以轻松扩展和分布式环境下使用。
- 安全:JWT通过密钥对头部和载荷进行签名,保证了数据的完整性和安全性。
- 跨域支持:JWT可以跨域使用,可以在不同的域名和服务器之间使用。
- 简单易用:JWT使用简单,易于实现和维护。
JWT的缺点
- 载荷信息不能太多:JWT的载荷信息不能太多,否则会导致,JWT的长度过长,增加网络传输的负
- 安全性依赖于密钥:JWT的安全性依赖于密钥的保护,如果密钥泄露,则JWT的安全性将受到威
- 无法撤销:一旦JWT生成后,无法撤销,除非修改密钥或者设置短期的过期时间
3.8 VLAN(虚拟局域网)及其安全作用
1. 什么是 VLAN?
VLAN (Virtual Local Area Network),即虚拟局域网。它是一种将物理的局域网(LAN)在逻辑上划分成多个广播域的技术。
物理上:所有电脑可能都连在同一台交换机上。
逻辑上:通过配置,可以将它们划分为不同的组(如:财务部 VLAN 10,技术部 VLAN 20)。
2. VLAN 在网络安全中的作用
VLAN 是内网安全的第一道防线,其核心作用体现在以下几点:
隔离广播风暴:
逻辑隔离与访问控制:
实施安全策略 (ACLs):
一旦划分了 VLAN,这就给了管理员在 VLAN 之间设置“关卡”的机会。我们可以在三层设备上应用ACL(访问控制列表)。
例子:允许技术部 VLAN 访问互联网,但禁止技术部 VLAN 访问财务部 VLAN。
限制嗅探攻击:
3.9 无线网络安全协议
1. 安全级别排序(必背)WEP < WPA < WPA2
2. 详细协议对比解析
协议标准 WEP(有线等效保密) WPA(WiFi网络安全接入) WPA2 加密算法 RC4(流加密) RC4(但在其基础上增强) AES(对称加密) 完整性校验 CRC-32(循环冗余校验) MIC(报文完整性编码) CCMP (基于AES) 密钥管理 静态密钥 (容易被破解) TKIP(临时密钥完整性协议) CCMP 核心特点 安全性低,数据易被篡改 动态改变密钥,防止重放攻击 安全性最高,硬件加速