華為網路工程師面試全流程：路由交換+網路安全全考察

背景介紹

先說說我的情況吧，本科網路工程專業，畢業後在一家系統整合公司做了2年網路工程師，主要負責企業網的規劃、實施和運維，日常和路由器、交換機、防火牆打交道，用的主要是華為和H3C的裝置。華為的網路工程師崗位是我一直想去的，畢竟華為是網路裝置領域的巨頭，能接觸到更大規模的網路和更前沿的技術。

投履歷是在6月份，透過華為官網投的。大概一週後HR聯繫我約了一面，整個流程是三輪技術面+一輪HR面，跨度大概三週。華為的面試非常注重專業深度和實戰經驗，特別是對網路協定的理解不能停留在表面。下面我詳細覆盤每輪面試的情況。

面試流程覆盤

一面：網路基礎OSPF/BGP（約65分鐘）

一面的面試官是個看起來很專業的網路架構師，開場先讓我自我介紹，然後問了幾個專案背景的問題，接著就進入技術環節了。

OSPF深度：

第一個問題就很有分量——「說一下OSPF的工作原理」。我從OSPF的區域劃分（骨幹區域、常規區域、Stub區域、NSSA）、鄰居狀態機（Down、Init、2-Way、ExStart、Exchange、Loading、Full）、LSA類型（Type 1-7）、SPF演算法等方面詳細說了。面試官追問了幾個點：「OSPF的DR/BDR選舉規則是什麼？」「Type 3 LSA和Type 5 LSA的區別是什麼？」「OSPF為什麼需要區域劃分？」

對於DR/BDR，我從優先級和Router ID的選舉規則說了，並解釋了DR/BDR的作用是減少鄰接關係數量。對於LSA類型，我詳細說了Type 3是彙總LSA由ABR產生，Type 5是外部LSA由ASBR產生。對於區域劃分，我從減少LSA泛洪範圍、降低SPF計算開銷、提高網路穩定性等角度回答了。

BGP深度：

面試官問：「說一下BGP的工作原理和選路規則」。我從BGP的鄰居建立（Open訊息、Keepalive訊息）、路由更新（Update訊息）、路由撤銷（Withdrawn Routes）說了，然後詳細列舉了BGP的13條選路規則：Weight → Local Preference → 本地生成的路由 → AS-Path最短 → Origin → MED → eBGP優於iBGP → IGP Metric → 等等。面試官追問：「BGP為什麼不用週期性更新？BGP的路由抖動怎麼處理？」

對於不週期性更新，我解釋了BGP是路徑向量協定，使用TCP連線，路由更新是增量的，週期性更新會浪費頻寬和CPU。對於路由抖動，我說了Route Dampening機制，透過給不穩定路由分配懲罰值，超過閾值後抑制該路由。

VLAN和STP：

面試官還問了一些二層的技術：「說一下VLAN的劃分方式和VLAN間路由的實現」。我列舉了基於連接埠、基於MAC、基於協定、基於子網的VLAN劃分方式，然後說了VLAN間路由的三種方式：單臂路由、三層交換、VXLAN。追問：「STP的原理是什麼？RSTP和MSTP有什麼改進？」

二面：網路安全+VPN（約75分鐘）

二面的面試官是安全方向的技術專家，問的問題非常深入。

防火牆：

第一個問題——「說一下防火牆的工作模式和安全策略」。我從封包過濾、狀態偵測、應用層閘道三種工作模式說了，然後詳細講了安全策略的設定要素（來源位址、目的位址、服務、動作、日誌等）。面試官追問：「下一代防火牆（NGFW）和傳統防火牆有什麼區別？」我從應用辨識、入侵防禦、使用者身分認證、SSL解密等方面對比了。

VPN技術：

面試官問：「說一下IPSec VPN的原理和設定」。我從IKE階段1（主模式/積極模式）、IKE階段2（快速模式）、ESP/AH協定、傳輸模式/隧道模式等方面詳細說了。追問：「IPSec VPN的NAT穿越問題怎麼解決？」我解釋了NAT-T機制，透過在ESP外封裝UDP 4500來解決NAT裝置無法修改ESP承載的問題。

還問了一個關於SSL VPN的問題：「IPSec VPN和SSL VPN的區別是什麼？各自適用什麼場景？」我從協定層次、用戶端要求、存取粒度、NAT穿越等方面對比了，並說了IPSec VPN適合站點到站點，SSL VPN適合遠端接入。

網路攻擊與防禦：

面試官問：「常見的網路攻擊有哪些？怎麼防禦？」我列舉了DDoS攻擊（SYN Flood、UDP Flood、HTTP Flood）、ARP欺騙、DNS劫持、中間人攻擊等，並分別說了防禦方法。追問：「DDoS攻擊的流量清洗方案是怎樣的？」我從近源清洗、黑洞引流、CDN分發、Anycast網路等方面說了。

網路准入：

還問了一個關於網路准入的問題：「802.1X的認證流程是怎樣的？」我從Supplicant、Authenticator、Authentication Server三個角色說了，詳細講了EAPOL訊息互動和RADIUS認證過程。

三面：網路架構設計（約70分鐘）

三面是網路架構團隊的總監面的，主要考察網路架構設計能力和系統性思維。

資料中心網路架構：

面試官給了一個設計題：「如果讓你設計一個大型資料中心的網路架構，你會怎麼設計？」我從Spine-Leaf架構說了：Spine層和Leaf層全互連，東西向流量無需經過核心層，每個Leaf交換機的上行頻寬相等，不存在oversubscription問題。然後詳細說了BGP作為Underlay、VXLAN作為Overlay的方案，以及EVPN作為控制平面的優勢。面試官追問了幾個點：「Spine-Leaf和傳統三層架構相比有什麼優勢？」「VXLAN的VTEP怎麼實現？」「EVPN Type 2和Type 5路由的區別是什麼？」

廣域網架構：

面試官問：「如何設計一個跨國企業的廣域網架構？」我從Hub-Spoke和Full-Mesh兩種拓撲說了，然後介紹了SD-WAN的方案：Underlay（Internet/MPLS/4G）+ Overlay（IPSec隧道）+ 智慧選路（基於應用、鏈路品質、策略）。追問：「SD-WAN的智慧選路演算法是怎樣的？」

網路自動化：

還問了一個關於網路自動化的問題：「你了解網路自動化嗎？有哪些實踐？」我說了Netconf/YANG、Ansible網路模組、Python腳本（Netmiko/NAPALM）、以及SDN控制器（OpenFlow）。追問：「如果讓你實現一個網路的設定自動化平台，你會怎麼設計？」

高可用設計：

面試官最後問了一個關於高可用的問題：「如何設計一個高可用的網路架構？」我從裝置級冗餘（雙機熱備/VRRP）、鏈路級冗餘（鏈路聚合/ECMP）、路徑級冗餘（路由協定多路徑）三個層面說了。追問：「VRRP和HSRP的區別是什麼？」

真題彙總

OSPF：

1. OSPF工作原理（區域、狀態機、LSA、SPF）

2. DR/BDR選舉規則

3. Type 3 LSA和Type 5 LSA的區別

4. OSPF區域劃分的原因

BGP：

5. BGP工作原理和13條選路規則

6. BGP為什麼不週期性更新

7. BGP路由抖動處理（Route Dampening）

二層技術：

8. VLAN劃分方式和VLAN間路由

9. STP/RSTP/MSTP原理和改進

防火牆：

10. 防火牆工作模式和安全策略

11. NGFW和傳統防火牆的區別

VPN：

12. IPSec VPN原理和設定

13. IPSec VPN的NAT穿越

14. IPSec VPN和SSL VPN的區別

安全：

15. 常見網路攻擊和防禦方法

16. DDoS流量清洗方案

17. 802.1X認證流程

架構設計：

18. 資料中心Spine-Leaf架構

19. VXLAN和EVPN方案

20. SD-WAN廣域網架構

21. 網路自動化實踐

22. 網路高可用設計

23. VRRP和HSRP的區別

心得建議

1. 網路協定要理解原理，不能只背概念。華為的面試官對協定的理解深度要求很高，比如OSPF不是背出7個鄰居狀態就完了，面試官會追問每個狀態的轉換條件、LSA的泛洪過程、SPF演算法的細節。建議用抓包工具（Wireshark）實際抓一下OSPF和BGP的報文，理解會深很多。

2. 安全知識不能只停留在理論層面。面試官問的很多安全問題是實際場景中的問題，比如IPSec的NAT穿越、DDoS的流量清洗，這些不是看書就能理解的，需要有實際設定和排錯的經驗。建議在實驗室環境搭建IPSec VPN，實際設定和排錯一遍。

3. 架構設計要有全域視野。不要只會配單台裝置，要理解整網的設計思路。Spine-Leaf架構、SD-WAN方案、網路自動化這些是當前網路領域的熱點，面試前一定要深入了解。

4. 華為認證是加分項。如果你有HCIP或HCIE認證，面試中會有一定的優勢。雖然不是硬性要求，但認證代表了你系統學習過華為的網路技術，面試官會認可你的專業能力。

5. 結合華為的產品來回答會加分。華為的面試中如果能結合華為的產品（如CloudEngine交換機、NetEngine路由器、USG防火牆等）來回答問題，會顯得你對華為的產品線很熟悉，這是很大的加分項。

FAQ

Q：華為網路工程師面試對認證要求高嗎？

A：不是硬性要求，但有HCIP/HCIE認證會有優勢。我面試的時候沒有HCIE，但2年的專案經驗彌補了認證的不足。

Q：需要會程式設計嗎？

A：有Python基礎會加分。華為在推進網路自動化，面試中可能會問到Python腳本和Netconf相關的問題。不會程式設計也能過，但會程式設計的話選擇面更廣。

Q：面試中會做實驗嗎？

A：不會做上機實驗，但面試官會給你一些設定場景讓你口述設定思路。比如「如何設定OSPF多區域」、「如何設定IPSec VPN」這種。

Q：華為網路工程師的工作內容是什麼？

A：看具體部門，有的是做售前網路設計，有的是做售後網路實施，有的是做產品技術支援。面試前建議了解清楚崗位的具體職責。

Q：薪資待遇怎麼樣？

A：2年經驗的話，華為網路工程師的薪資在國內算中上水準，具體看部門和談的情況。華為的福利比較完善，五險一金按全額交，還有補充醫療保險。