系统架构设计师常见高频考点总结之计算机网络

学习这些网络题目时，可以将网络层次结构想象成高速公路系统 ：核心层 是连接城市的大型立交桥和主干道，追求极速转发；汇聚层 是出口闸机，负责检查通行证（安全过滤）和分流；而接入层则是通往各家各户的小路。这种分层解耦的设计保证了系统即使在局部发生交通拥堵（网络延迟）时，整体架构依然稳定

1、 网络规划与设计

1.1、 网络互联设备与OSI模型 (重点辨析)

这是软考中最基础也是最容易混淆的部分，核心是分层 和隔离能力。

|-------------|-----------|--------------------|---------------------------|----------------------------|
| 设备名称 | 对应OSI层次 | 核心功能 | 隔离能力 | 协议处理能力 |
| 中继器/集线器 | 物理层 | 信号放大、再生、整形 | 不隔离冲突域，不隔离广播域 | 无，只能连接相同协议、相同速率的网络 |
| 网桥/交换机 | 数据链路层 | 帧转发、MAC寻址 | 隔离冲突域，不隔离广播域 (VLAN除外) | 连接相同的高层协议，物理层协议可不同 |
| 路由器 | 网络层 | IP寻址、路由选择、分组过滤 | 隔离广播域 (抑制广播风暴) | 处理网络层协议，连接不同子网 |
| 网关 | 应用层 | 协议转换 | 全隔离 | 连接协议差别很大的网络 (如不同架构的系统) |

• 考点提炼：

  • 路由器 vs 交换机：路由器效率相对较低（软硬件结合处理），但能隔离广播、过滤分组（防火墙功能）、连接不同逻辑子网。

    维度	交换机 (Switch)	路由器 (Router)
    工作就像	办公室文员	海关 / 国际邮局
    识别凭证	MAC 地址 (物理身份证)	IP 地址 (收件地址)
    处理对象	帧 (Frame)	包 (Packet)
    如果有人喊大喇叭 (广播)	跟着一起喊 (传给所有人)	关门阻挡 (不让传出去)
    主要职责	让大家连通，组成局域网	让大家隔离，连接不同的网
    能连什么	只能连同一个网段的电脑	能连不同网段、不同架构的网

  • 协议转换 ：只要看到"不同网络协议互联"或"协议转换"，首选网关。

1.2、 网络存储技术 (SAN/NAS)

随着大数据和云架构的流行，存储网络是架构师考试的高频点。

1. DAS (直连存储)：服务器直接接硬盘，虽然便宜但孤岛效应严重，难以共享。

2. NAS (网络附属存储)：

   • 文件级存储 (File-level)。

   • 即插即用，通过以太网(TCP/IP)共享文件 (NFS/CIFS协议)。

   • 性能受网络带宽限制。

3. SAN (存储区域网络)：

   • 块级存储。

   • FC SAN ：使用光纤通道 (Fibre Channel) 协议。性能最高，成本昂贵，传输距离有限。

   • IP SAN ：使用 iSCSI 协议 (把SCSI指令封装在TCP/IP包里)。成本低，利用现有以太网设施，无距离限制。

• 考点提炼：

  • iSCSI = TCP/IP + SCSI指令 (属于IP SAN)。

  • FC = 光纤通道 (属于FC SAN)。

  • 数据库等高性能需求优先选 SAN，文件共享选 NAS。

1.3、 网络规划与服务器部署

架构师需要具备网络拓扑设计和安全规划的能力。

1. 设计原则

   • 高可用性：金融、银行核心业务的首要原则 (冗余设计、双机热备)。

   • 其他原则：实用性、开放性、先进性、可扩展性。

2. 服务器位置部署 ：

   • DMZ区 (非军事化区) ：放置对外服务的服务器，如 Web服务器、邮件网关。

   • 内网核心区：放置数据库服务器、核心业务服务器 (严禁直接暴露在公网)。

   • 防火墙策略：公网只能访问DMZ，DMZ只能访问内网特定端口（如DB端口），内网可访问公网。

3. 流量监控：

   • 监控服务器通常连接在核心交换机的镜像端口 (Mirror Port) 上，以便捕获所有流经的流量。

1.4、网络设计阶段任务

（2010年、2011年、2017年）

◦ 题目：逻辑网络设计阶段的任务是什么？物理网络设计阶段的任务是什么？

◦ 答案 ：逻辑设计 任务是根据需求规范实施资源分配和安全规划 （如选择路由协议、IP地址方案）；物理设计 任务是确定设备的具体物理分布和运行环境（如设备选型、结构化布线、机房设计）。

1.5、SDN网络架构

Software Defined Netwok 将控制层与转发层分离，通过可编程接口实现灵活网络管控

1.**6、**网闸

题目 ：部署在政府内外网之间实现物理隔离的设备是网闸。

解析：网闸通过专用硬件确保内外网不直接物理连接，一个时刻只与一个网络连通进行数据倒换。

1.7、5G通信系统架构

软考架构师必读：别再死磕物理层！一文掌握 5G 架构设计的"上帝视角"

2、 网络协议与通信原理

2.1、 数据通信基础计算 (必考公式)

这是送分题，必须掌握公式，注意单位换算。

1. 码元与比特的关系 ：

   • 波特率 (Baud)：码元传输速率（每秒传输多少个信号变化）。

   • 数据速率 (R, bps)：每秒传输多少比特信息。

   • 相数 (N)：调制技术产生的不同信号状态数量 (如4相DPSK, N=4)。

   • 核心公式 ：

2. 香农公式 (有噪声信道)：

   • 

   • 注意：题目给出的信噪比通常是分贝(dB)，需要先换算成数值。

   • 换算公式：𝑑𝐵=10×log⁡10(𝑆/𝑁)。例如 30dB 意味着 𝑆/𝑁=1000

2.2、 TCP/IP 协议族核心速记

这是软考网络部分的基石：

1. 网络层协议：

   • IP：寻址和路由。

   • ICMP：ping 命令用的就是它，报告错误。

   • ARP：IP地址 → MAC地址。

   • RARP：MAC地址 → IP地址。

2. 传输层协议：

   • TCP：可靠、面向连接、慢 (用于HTTP, FTP, SMTP)，全双工。

   • UDP：不可靠、无连接、快 (用于视频流、DNS, SNMP)。

3. 应用层协议端口：

   • FTP (20/21), SSH (22), Telnet (23), SMTP (25), DNS (53), HTTP (80), POP3 (110), HTTPS (443)。

2.3、TCP/IP 与网络控制

（2012年、2014年、2021年）

◦ 题目：TCP 如何防止拥塞？Internet 网络核心采取的交换方式是

◦ 答案 ：TCP 采用可变大小的滑动窗口协议 ；交换方式为分组交换（基于 IP 协议）

2.4、 DHCP协议原理

DHCP (动态主机配置协议)软考系统架构师考点秒杀

2.5、域名系统 DNS 查询与配置

（2012年、2013年、2018年、2020年）

◦ 题目：根域名服务器采用何种查询方式会严重影响性能？解决解析出 IP 但无法解析出服务器名称的方法是？Linux DNS 配置文件是？

◦ 答案 ：根域名服务器若采用递归查询 会影响性能；解决方法是为服务器创建 PTR 记录 （反向解析）；配置文件为 /etc/resolv.conf。

2.6、 IPv6 关键特征

还在死磕 IPv6？背下这 5 句口诀，面试/考试横着走！

2.7. 负载均衡机制对比

◦ 题目：基于 DNS 的负载均衡与基于反向代理的负载均衡有何区别？

◦ 答案 ：DNS 负载均衡 配置简单、成本低，但无法感知服务器实时负载；反向代理负载均衡能根据实时负载分配请求，支持静态资源缓存，安全性更高（屏蔽真实 IP），但实现较复杂

2.8. ESB（企业服务总线）

ESB（企业服务总线）在SOA中的作用？ 题解： 作为总线，负责服务的元数据管理、传输协议转换、路由和消息调度。

2.9. MQTT

基于发布/订阅模式的轻量级协议，适用于网络差、低带宽的物联网环境

3. 网络安全

3.1、网络攻击原理

（2010年、2020年）

◦ 题目：ARP 攻击导致无法跨网段通信的原因？SYN Flooding 攻击的原理？

◦ 答案 ：ARP 攻击 通过伪造网关 ARP 报文使数据包无法发往网关；SYN Flooding 利用 TCP 三次握手缺陷恶意制造大量半连接耗尽资源。

3.2、安全协议应用

（2011年、2014年、2017年）

◦ 题目：实现安全电子邮件的协议是？应用层安全协议是？

◦ 答案 ：电子邮件协议为 PGP 或 S/MIME ；应用层安全协议如 HTTPS。

3.4. IETF 集成服务 IntServ 类型

◦ 题目：IntServ 把 Internet 服务分成哪三种类型？

◦ 答案 ：保证质量的服务 （Guaranteed）、负载受控的服务 （Controlled-load）和尽力而为的服务（Best-Effort）。

3.5. 数字加密

1. 加密方式对比

   类型	密钥特点	典型算法	比喻
   对称加密	加密解密用同一把密钥	AES, DES, 3DES	保险箱：上锁和开锁用同一把钥匙
   非对称加密	用公钥加密 ，私钥解密	RSA, ECC, DSA	信箱：任何人都能投信（公钥），但只有只有主人能取（私钥）

2. 数字信封概念：就是"用对称密钥锁数据，用公钥锁对称密钥"。既要了对称加密的速度，又要了非对称加密的安全性。

3. 三重 DES ： 3DES 默认指的就是 2-Key TDEA（双密钥模式） ，因为它是性价比最高的折中方案。即便你使用了 168位 的 3 Key 模式，其有效的破解难度（安全性强度）也被证明大约只有 112位。

3.6. Kerberos 协议

Kerberos 的名字来源于希腊神话中守卫地狱大门的"三头犬"，寓意它有三个头（Client、Server、KDC）来共同守护安全。

1. Kerberos 三要素：Client、Server、KDC。

2. KDC 的组成：

   • AS（认证 服务器**）** ：负责初次登录，发 TGT。

   • TGS（ 票证授予服务器**）** ：负责发具体服务的 Service Ticket。

3. 防重放手段 ：加密的时间戳 （需配合时间同步 NTP 网络时间协议）。

4. 特点：单点登录（SSO）、双向认证（不仅服务器认证你，你也认证服务器）、不传输明文密码。

3.7 JWT（JSON Web Token）

什么是JWT（JSON Web Token）？ 题解： 基于密钥签名机制，支持跨域、简单易用，但长度较长可能增加网络负荷。

3.8 VLAN（虚拟局域网）及其安全作用

1. 什么是 VLAN？

VLAN (Virtual Local Area Network)，即虚拟局域网。它是一种将物理的局域网（LAN）在逻辑上划分成多个广播域的技术。

• 物理上：所有电脑可能都连在同一台交换机上。

• 逻辑上：通过配置，可以将它们划分为不同的组（如：财务部 VLAN 10，技术部 VLAN 20）。

2. VLAN 在网络安全中的作用

VLAN 是内网安全的第一道防线，其核心作用体现在以下几点：

• 隔离广播风暴：

• 逻辑隔离与访问控制：

• 实施安全策略 (ACLs) ：

  一旦划分了 VLAN，这就给了管理员在 VLAN 之间设置"关卡"的机会。我们可以在三层设备上应用 ACL（访问控制列表）。

  • 例子：允许技术部 VLAN 访问互联网，但禁止技术部 VLAN 访问财务部 VLAN。

• 限制嗅探攻击：