华为网络工程师面试全流程：路由交换+网络安全全考察

背景介绍

先说说我的情况吧，本科网络工程专业，毕业后在一家系统集成公司做了2年网络工程师，主要负责企业网的规划、实施和运维，日常和路由器、交换机、防火墙打交道，用的主要是华为和H3C的设备。华为的网络工程师岗位是我一直想去的，毕竟华为是网络设备领域的巨头，能接触到更大规模的网络和更前沿的技术。

投简历是在6月份，通过华为官网投的。大概一周后HR联系我约了一面，整个流程是三轮技术面+一轮HR面，跨度大概三周。华为的面试非常注重专业深度和实战经验，特别是对网络协议的理解不能停留在表面。下面我详细复盘每轮面试的情况。

面试流程复盘

一面：网络基础OSPF/BGP（约65分钟）

一面的面试官是个看起来很专业的网络架构师，开场先让我自我介绍，然后问了几个项目背景的问题，接着就进入技术环节了。

OSPF深度：

第一个问题就很有分量——"说一下OSPF的工作原理"。我从OSPF的区域划分（骨干区域、常规区域、Stub区域、NSSA）、邻居状态机（Down、Init、2-Way、ExStart、Exchange、Loading、Full）、LSA类型（Type 1-7）、SPF算法等方面详细说了。面试官追问了几个点："OSPF的DR/BDR选举规则是什么？""Type 3 LSA和Type 5 LSA的区别是什么？""OSPF为什么需要区域划分？"

对于DR/BDR，我从优先级和Router ID的选举规则说了，并解释了DR/BDR的作用是减少邻接关系数量。对于LSA类型，我详细说了Type 3是汇总LSA由ABR产生，Type 5是外部LSA由ASBR产生。对于区域划分，我从减少LSA泛洪范围、降低SPF计算开销、提高网络稳定性等角度回答了。

BGP深度：

面试官问："说一下BGP的工作原理和选路规则"。我从BGP的邻居建立（Open消息、Keepalive消息）、路由更新（Update消息）、路由撤销（Withdrawn Routes）说了，然后详细列举了BGP的13条选路规则：Weight → Local Preference → 本地生成的路由 → AS-Path最短 → Origin → MED → eBGP优于iBGP → IGP Metric → 等等。面试官追问："BGP为什么不用周期性更新？BGP的路由抖动怎么处理？"

对于不周期性更新，我解释了BGP是路径矢量协议，使用TCP连接，路由更新是增量的，周期性更新会浪费带宽和CPU。对于路由抖动，我说了Route Dampening机制，通过给不稳定路由分配惩罚值，超过阈值后抑制该路由。

VLAN和STP：

面试官还问了一些二层的技术："说一下VLAN的划分方式和VLAN间路由的实现"。我列举了基于端口、基于MAC、基于协议、基于子网的VLAN划分方式，然后说了VLAN间路由的三种方式：单臂路由、三层交换、VXLAN。追问："STP的原理是什么？RSTP和MSTP有什么改进？"

二面：网络安全+VPN（约75分钟）

二面的面试官是安全方向的技术专家，问的问题非常深入。

防火墙：

第一个问题——"说一下防火墙的工作模式和安全策略"。我从包过滤、状态检测、应用层网关三种工作模式说了，然后详细讲了安全策略的配置要素（源地址、目的地址、服务、动作、日志等）。面试官追问："下一代防火墙（NGFW）和传统防火墙有什么区别？"我从应用识别、入侵防御、用户身份认证、SSL解密等方面对比了。

VPN技术：

面试官问："说一下IPSec VPN的原理和配置"。我从IKE阶段1（主模式/积极模式）、IKE阶段2（快速模式）、ESP/AH协议、传输模式/隧道模式等方面详细说了。追问："IPSec VPN的NAT穿越问题怎么解决？"我解释了NAT-T机制，通过在ESP外封装UDP 4500来解决NAT设备无法修改ESP载荷的问题。

还问了一个关于SSL VPN的问题："IPSec VPN和SSL VPN的区别是什么？各自适用什么场景？"我从协议层次、客户端要求、访问粒度、NAT穿越等方面对比了，并说了IPSec VPN适合站点到站点，SSL VPN适合远程接入。

网络攻击与防御：

面试官问："常见的网络攻击有哪些？怎么防御？"我列举了DDoS攻击（SYN Flood、UDP Flood、HTTP Flood）、ARP欺骗、DNS劫持、中间人攻击等，并分别说了防御方法。追问："DDoS攻击的流量清洗方案是怎样的？"我从近源清洗、黑洞引流、CDN分发、Anycast网络等方面说了。

网络准入：

还问了一个关于网络准入的问题："802.1X的认证流程是怎样的？"我从Supplicant、Authenticator、Authentication Server三个角色说了，详细讲了EAPOL消息交互和RADIUS认证过程。

三面：网络架构设计（约70分钟）

三面是网络架构团队的总监面的，主要考察网络架构设计能力和系统性思维。

数据中心网络架构：

面试官给了一个设计题："如果让你设计一个大型数据中心的网络架构，你会怎么设计？"我从Spine-Leaf架构说了：Spine层和Leaf层全互联，东西向流量无需经过核心层，每个Leaf交换机的上行带宽相等，不存在oversubscription问题。然后详细说了BGP作为Underlay、VXLAN作为Overlay的方案，以及EVPN作为控制平面的优势。面试官追问了几个点："Spine-Leaf和传统三层架构相比有什么优势？""VXLAN的VTEP怎么实现？""EVPN Type 2和Type 5路由的区别是什么？"

广域网架构：

面试官问："如何设计一个跨国企业的广域网架构？"我从Hub-Spoke和Full-Mesh两种拓扑说了，然后介绍了SD-WAN的方案：Underlay（Internet/MPLS/4G）+ Overlay（IPSec隧道）+ 智能选路（基于应用、链路质量、策略）。追问："SD-WAN的智能选路算法是怎样的？"

网络自动化：

还问了一个关于网络自动化的问题："你了解网络自动化吗？有哪些实践？"我说了Netconf/YANG、Ansible网络模块、Python脚本（Netmiko/NAPALM）、以及SDN控制器（OpenFlow）。追问："如果让你实现一个网络的配置自动化平台，你会怎么设计？"

高可用设计：

面试官最后问了一个关于高可用的问题："如何设计一个高可用的网络架构？"我从设备级冗余（双机热备/VRRP）、链路级冗余（链路聚合/ECMP）、路径级冗余（路由协议多路径）三个层面说了。追问："VRRP和HSRP的区别是什么？"

真题汇总

OSPF：

1. OSPF工作原理（区域、状态机、LSA、SPF）

2. DR/BDR选举规则

3. Type 3 LSA和Type 5 LSA的区别

4. OSPF区域划分的原因

BGP：

5. BGP工作原理和13条选路规则

6. BGP为什么不周期性更新

7. BGP路由抖动处理（Route Dampening）

二层技术：

8. VLAN划分方式和VLAN间路由

9. STP/RSTP/MSTP原理和改进

防火墙：

10. 防火墙工作模式和安全策略

11. NGFW和传统防火墙的区别

VPN：

12. IPSec VPN原理和配置

13. IPSec VPN的NAT穿越

14. IPSec VPN和SSL VPN的区别

安全：

15. 常见网络攻击和防御方法

16. DDoS流量清洗方案

17. 802.1X认证流程

架构设计：

18. 数据中心Spine-Leaf架构

19. VXLAN和EVPN方案

20. SD-WAN广域网架构

21. 网络自动化实践

22. 网络高可用设计

23. VRRP和HSRP的区别

心得建议

1. 网络协议要理解原理，不能只背概念。华为的面试官对协议的理解深度要求很高，比如OSPF不是背出7个邻居状态就完了，面试官会追问每个状态的转换条件、LSA的泛洪过程、SPF算法的细节。建议用抓包工具（Wireshark）实际抓一下OSPF和BGP的报文，理解会深很多。

2. 安全知识不能只停留在理论层面。面试官问的很多安全问题是实际场景中的问题，比如IPSec的NAT穿越、DDoS的流量清洗，这些不是看书就能理解的，需要有实际配置和排错的经验。建议在实验室环境搭建IPSec VPN，实际配置和排错一遍。

3. 架构设计要有全局视野。不要只会配单台设备，要理解整网的设计思路。Spine-Leaf架构、SD-WAN方案、网络自动化这些是当前网络领域的热点，面试前一定要深入了解。

4. 华为认证是加分项。如果你有HCIP或HCIE认证，面试中会有一定的优势。虽然不是硬性要求，但认证代表了你系统学习过华为的网络技术，面试官会认可你的专业能力。

5. 结合华为的产品来回答会加分。华为的面试中如果能结合华为的产品（如CloudEngine交换机、NetEngine路由器、USG防火墙等）来回答问题，会显得你对华为的产品线很熟悉，这是很大的加分项。

FAQ

Q：华为网络工程师面试对认证要求高吗？

A：不是硬性要求，但有HCIP/HCIE认证会有优势。我面试的时候没有HCIE，但2年的项目经验弥补了认证的不足。

Q：需要会编程吗？

A：有Python基础会加分。华为在推进网络自动化，面试中可能会问到Python脚本和Netconf相关的问题。不会编程也能过，但会编程的话选择面更广。

Q：面试中会做实验吗？

A：不会做上机实验，但面试官会给你一些配置场景让你口述配置思路。比如"如何配置OSPF多区域"、"如何配置IPSec VPN"这种。

Q：华为网络工程师的工作内容是什么？

A：看具体部门，有的是做售前网络设计，有的是做售后网络实施，有的是做产品技术支持。面试前建议了解清楚岗位的具体职责。

Q：薪资待遇怎么样？

A：2年经验的话，华为网络工程师的薪资在国内算中上水平，具体看部门和谈的情况。华为的福利比较完善，五险一金按全额交，还有补充医疗保险。