网络工程师的用人单位最看重什么啊?学历、技术水平、项目经验、职业责任心?其实这些都是网络工程师的必备素质。

技术水平不用说了,用人单位会从你考取的认证就能够进行一个初步判断,比如你说你考了CCIE或者HCIE这样的顶级认证,又或者是CCNP、HCNP这样的普通水平的认证。而职业的责任心嘛,这个则需要在长期的共事之中体现出来。

而项目经验,或者说是实战经验,老实说,参与割接和担任运维是提升实战经验的唯一渠道。

对于实战经验的提升,光是靠着课本上那些知识点,也最多就是提升一下你的技术水平,让你能看懂一些TCP/IP的一些包头,会一些Cisco/H3C的配置命令等。所以呢,一个还没有步入职场的学员,最心虚的就是怕被人看出没经验来,所以也就很容易轻信一些在线课堂所说的标记着“实战”的课程。

不过呢,现在一些知名企业的技术总监都是久经沙场,你有没有经验,他问你几个问题就能问出来……不信?

一、第一轮面试

嘉铭科技成都分公司网络四组需要招一位高手,最好是技术水平和实战经验兼备者。而招一位高手开出的月薪可不低,所以四组的总监刘斌自己怕拿捏不准,拉着三组的吴雄飞一起进行筛选。

刘斌希望的工资价位是在12K—15K之间,而当他把招聘信息放出去以后,收到了不少简历。而通过一番筛选和电话面试,排除了硬条件不符合要求,工资要价太高,不接受出差等人。

最终锁定了三名应聘者:

应聘者A,年龄33岁,简历上写着有CCIE路由交换方向的认证,11年工作经验,中途跳槽过两次,还担任过项目经理,参加过多次项目的实施。刘斌与他电话面试的时候,觉得他语言表达能力还可以,理论水平也过关了,就是觉得他有些气势逼人。他的期望月薪是16K,超出了刘斌的心理价位。

应聘者B,28岁,自称是高材生,在一所职业教育学校担任讲师,但没有考过任何职业方面的认证。这个人是吴雄飞打电话去谈的。他一开口就是说什么A叔、C哥、W哥、X爷、L主的,并且说自己熟读这些课程,上通七层服务,下知底层协议,精通各种OSPF、BGP、Linux啥的。吴雄飞觉得这个人理论知识确实丰富,连RFC文档里的话都能说下来。他没说自己的实战经验,并且询问了嘉铭科技的办公室环境和人文建设这些。工资要价是16K,这也不符合刘斌的心理价位,所以,吴雄飞怀着好奇心也想会会他。

应聘者C,26岁,普通高校毕业,4年工作经验,思科华为Double IE。听说是嘉铭科技在北京的竞争对手那边培养的,因为待遇不公想跳槽回老家。电话里面听他的说法,是在竞争对手那边被一个老员工亲手调教的,参与过两次数据中心的网络建设。刘斌给他打电话的时候,这个人比较老实,会的就说自己会,不会的就说自己不会。因为应聘者C坦白了自己是单身的身份,所以薪酬要求10K,并愿意接受公司的一切安排,只要能在成都就可以。

三个人各有优点也各有缺点:

A、看起来履历丰富,技术水平和实战经验也能说得过去。就是有点骄傲,简历写得有点浮夸,年龄较大,可塑性已经不强了;

B、理论水平过硬,有良好的理论基础支撑,而且知识面比较广泛。就是不知道实战水平如何,且能不能胜任网络工程师的体力活?而且此人在网络上有自己的“偶像”,将来怕不好管理。

C、年轻,经验较浅,但是因为有老工程师带过,应该会学到点皮毛。优点也是年轻,工资要求低,可塑性比较强。

1.1、面试的题目

面试分为两轮,第一轮是方案设计,第二轮就是现场操作。先看第一轮面试的题目:

某分支机构计划建设一套局域网,要求内外网分离。客户采购的网络设备为:一台华为AR3260路由器,两台华为S5720交换机,两台华为S3700交换机,一台华为USG6600防火墙。现在设备已经上架并且连线好了,网络结构图如下图所示:

网络建设需求如下:

1、华为AR3260作为连接中心机构网络(内网)的上联设备,与中心机构一侧的网络设备建立了BGP邻居,用于收取总部内网路由(这里在本方案内无需配置);
2、连接外网使用USG 6600直接连接,外网使用PPPoE拨号的方式获取IP地址;
3、两台S5720作为分支机构局域网的网关设备,两台S3700作为分支机构局域网的接入层设备。
4、局域网需要两个网段,其中一个网段只允许访问Internet,另一个网段只能访问内网;
5、分支机构总共不超过200个主机。

问题:

1、请说出在这个网络中需要用到什么技术,如何用?请详细说明。
2、客户认为只有一个AR3260连接到总部网络,存在单点故障,想在华为USG 6600上打通一个隧道到中心机构网络作为备用通道,你认为此种做法是否可行?

刘斌认为,既然是让仨人公平竞争,且不能让他们受到影响,所以面试的时候(或者说是笔试),让他们在不同的总监办公室内进行,相互之间也无法交头接耳。给了他们一个下午的时间,在下午下班之前交卷即可。

1.2、应聘者C的答案:

应聘者C比较年轻,反应还是要迅速一些,他花了一个多小时就提交上了自己的答案。他是这样认为的:

1、分配两个IP网段:VLAN10:10.101.1.0/24和VLAN 20:10.102.2.0/24,让10.101.1.0/24访问内网,10.102.2.0/24访问外网;
2、10.101.1.0/24只能访问内网,所以在USG 6600上就不对这个网段做NAT了;而10.102.2.0/24只能访问外网,所以在AR 3260上,用ACL拒绝这个网段访问内网即可。
3、两台S5700上,做MSTP+VRRP,S5700-1做VLAN10的根桥,并做为VLAN 10:10.101.1.0/24的根桥和Master设备;S5700-2做VLAN 20的根桥,并作为VLAN 20:10.101.2.0/24的根桥和Master设备。
4、AR 3260和S 5700之间跑OSPF,做OSPF和BGP的双向重分发;对USG 6600的方向写默认路由即可。

整个方案的示意图如下:

对于第二个问题,应聘者C是这么说的:可以考虑把USG 6600和AR 3260换一个位置,这样,AR 3260就能支持DMV.PN了,而USG 6600与内网互连也能支持这些一般的路由功能。

刘斌看了这个方案,直接说道:“这小子嘛,还是跟着一个二把刀工程师学了点东西,至少优点是,还知道BGP和OSPF的双向重分发,而且也知道在USG 6600上禁止NAT的方式去禁止VLAN 10的主机访问外网。但是干嘛要多这一步操作呢?”

吴雄飞说:“这小伙子至少也知道一些行业内的道道,晓得用10.x.x.x这样的IP地址就是一个好习惯啊。不过呢,我最不喜欢的就是他说要把USG 6600和AR 3260换位置,且不说破坏了客户那边提供的网络架构,就是他这么做就是本末倒置。AR 3260那条线本来是访问内网的主要线路,可他为了刻意去适应备用链路,就让USG 6600去跑OSPF和BGP,还双向重分发,到时候USG 6600就是一个严重的通信瓶颈。而且,华为的技术不叫DMV.PN吧,叫DSV.PN,而且还需要另外买授权啊。”

“那吴总,你认为这个人怎么办?”刘斌问道:
“此人年轻,可塑性比较强,重要的是比较听话,先暂时留下吧,不过薪水嘛,最高给7K,不能再多了,要是他同意就留下,不同意我也没办法。”

1.3、应聘者B的答案:

应聘者B是最后一个交卷的,他的答卷上,写了不少内容。比如用到的NAT、ACL、还可能用到IPsec V.PN,SSL V.PN,他把这些技术的工作原理和工作机制都全部写进去了。看着这个写了100多页的Word文档,吴雄飞还在和刘斌打趣道:“看到没,这人理论知识就是那么扎实!我要是不仔细看看,还有点对不起他。”

“可惜没用啊,真正写方案的时候,谁有闲心看这些技术的工作原理啊!”

看了半天,吴雄飞和刘斌才算看见应聘者B给出的方案:

1、分配两个IP网段:VLAN 11:192.168.1.0/24和VLAN 12:192.168.2.0/24,192.168.1.0/24允许访问内网,192.168.2.0/24允许访问外网;
2、允许访问内网的主机,在USG 6600上写ACL,拒绝其访问Internet;允许访问外网的主机,在S5720上写ACL,拒绝其访问内网;
3、两台S5700上,做MSTP+VRRP,根桥和Master都在S5700-1上,让AR 3260和S5700、USG 6600之间运行OSPF,再在USG 6600上以always的方式注入一个默认路由到网络中。

整个方案的示意图如下:

而对于最后一个问题,应聘者B认为:应该建议客户将PPPoE获取IP地址的方式改为静态IP的方式,要不然这个事情就没法做了。然后又写了一大堆IPsec V.PN,静态GRE Tunnel的工作原理,还画了一大堆拓扑图,在“需要静态IP”这里还用加粗的红字特别标注了。

没等刘斌开口,吴雄飞就直接无精打采地说道:“我通篇看了这个人的方案,写了一大堆工作原理,他无非就是想向我们彰显他的理论水平有多厉害。不过在这里没啥营养。还有一点我最看不上的就是:他这个人可以说根本不了解设备的特点,在S5720上就做ACL,怎么做?据我所知,华为S5720上做ACL可是很恼火的!上一个答案都知道规避,但这人就是不晓得。就算是S5720上的ACL做成了,在一个网络环境中,搞好几个设备上都有ACL,以后这网络的后期维护简直就是要命啊!”

“没错啊!这人我不想要了!”刘斌说道:“他干嘛用192.168.1.0/24这样的IP呢?可以说这个人根本就不懂行,或者说他连纸上谈兵的程度都没达到。就这水平也想要16K,给他8K我都嫌多!”

说完,刘斌给前台小妹打了个电话,说道:“ViVi,你让应聘者B回家等通知吧。”

1.4、应聘者A的答案

作为应聘者里面年龄最大的一位,应聘者A给出的答案是这样的:

1、分配两个IP网段:VLAN10:10.101.1.0/24和VLAN 20:10.102.2.0/24,让10.101.1.0/24访问内网,10.102.2.0/24访问外网;
2、10.101.1.0/24只能访问内网,所以为USG 6600上写静态路由的时候,不写10.101.1.0/24;而10.101.2.0/24只能访问外网,所以在AR 3620上,不把10.101.2.0/24发到BGP里面,让总部收不到这个路由即可;
3、两台S5700上,做MSTP+VRRP,S5700-1做VLAN10的根桥,并做为VLAN 10:10.101.1.0/24的根桥和Master设备;S5700-2做VLAN 20的根桥,并作为VLAN 20:10.101.2.0/24的根桥和Master设备。
4、AR 3260和S 5700之间跑OSPF,做OSPF和BGP的双向重分发;对USG 6600的方向写默认路由即可。

整个方案的示意图如下:

对于第二个问题,应聘者A认为的:防火墙USG 6600是用PPPoE获取的Internet地址,所以无法考虑使用IPsec V.PN,而USG 6600也无法使用DMV.PN。对于备用通道的事情,只能是建议客户让允许使用外网的主机安装SSL V.PN的插件,到时候拨通SSL V.PN也能访问公司内网。

吴雄飞看着这份方案显得比较有兴致,他问道:“刘总,你认为这个人能不能满足他的薪资要求?让他来呢?”

刘斌笑了,他说道:“对他来说,这份方案还不足以让我破格给他超出我心理范围的薪水。”
“咋啦?刘总?这个人我看他设计得挺规范的啊。防火墙USG 6600上用不给静态路由的方式,让10.101.1.0/24无法上外网,AR 3260上也是不把路由发给总部,让10.101.2.0/24无法上内网,这是最佳的解决方案啊。”

“哎呀,我说吴雄飞,你小子别给我装糊涂了,实际上你比谁的明白。首先,这个人还是考虑再AR 3260上做BGP和OSPF的双向重分发,当年我们俩个组去实施这个项目的时候,你是这么做的吗?是你坚持是要用network的方式把分支机构的路由注入BGP的吧!还有一点,既然是外网主机,都说了不能访问内网了,你能让客户去安装SSL V.PN插件?让外网主机也能访问内网吗?还有……还有,这个案例里面,防火墙上你真的敢不给10.101.1.0/24路由?要是不给这个路由,备用通道就没戏了吧。只是当时你说服了客户,让客户放弃了备用通道的想法,防火墙上才真删掉10.101.1.0/24的路由了吧。所以,这个人,撑死了给14K,他要是不服,我倒是可以考虑他的试用期只有一个月。”

总的来说,一场面试下来,仨人的方案都被挑出了毛病。其中应聘者B直接就出局了。应聘者A和应聘者C,留下了两名应聘者,但是刘斌只想要一个人啊,那怎么办呢?于是,他们只能再进行一轮最终面试。既然招聘的是高级工程师,技术水平和实战经验都要俱佳才行,于是,就只能让他们实战见分晓了。

二、第二轮面试

第二轮面试要求实战,但他们两个应聘者尚未入职,也仍然不敢让他们拿客户的网络去开玩笑。那怎么办呢?只能是用公司的局域网和测试网去给他们玩了。刘斌告诉他们二位:“如果你们能完成这两个题目,我就把你们俩人都留下并且给你们期望的薪水;如果失败了,要么你们选择降薪留任,要么……”

应聘者A抽到的题目是:两台防火墙,型号为Cisco ASA 5520,本来配置了A/S模式的Failover,现在这个Failover裂开了,导致网络出现问题,公司已经没有备品了,请排除这个故障;

应聘者C抽到的题目是:机房里有一台接入交换机出现故障无法启动,交换机型号为Cisco 3750,现在库房里面有一台型号和硬件配置完全相同的备件,请拿去更换,限时一个小时内完成。

两个题目看起来都比较简单吧,但实际上呢?

2.1、应聘者A的操作

应聘者A在拿到这个题目以后,就被请到了有视频录像监控的设备间了。只见设备间里面放了一个机架,在中间13U和14U的位置,就放着两台正在运转中的Cisco ASA 5520。两台Cisco ASA 5520上还有Failover线,上联设备和下联设备,并且还有一台测试用的PC机和服务器。紫竹给了应聘者A一个WIFI密码,并告诉他说:“里面的WIFI随便连。”还有一张纸,就是两台Cisco ASA 5520的登录用户名和密码。如果他操作了其他的交换机,那本次操作就直接0分。

应聘者A毕竟有经验,所以他先检查了一下Cisco ASA 5520上的连接线,先确认不是Failover线连接质量的问题。

现在,两台Cisco ASA 5520都认为自己的Active设备,那到底是什么原因呢?应聘者A登录到了两台Cisco ASA 5520上,查看了Failover的配置:

那应该是怎么回事呢?应聘者A马上想到了,配置Failover,需要两台Cisco ASA的硬件型号和软件版本都必须完全一致。而他又听紫竹说过:这两台Cisco ASA之前的Failover一直都是正常的,只是经过了一次重启以后就不行了的。那重启以后,既然没有配置上的变动,那是怎么回事呢?于是,他马上查看两台Cisco ASA的IOS软件版本:

很显然,这是两台Cisco ASA的软件版本不符导致的Failover裂开,所以要解决这个问题,就需要让两台Cisco ASA的软件版本保持一致才可以。但这个时候,应聘者A想到的第一个办法,就是赶紧打开Cisco的官网,准备去下载Cisco ASA的IOS。虽然紫竹给了他一个有权限下载IOS的CCO账号,但是这个下载的速度,只有10几KB/S,要硬下的话,还需要两个小时,这肯定来不及。

他只能去下载一些非官网版本的IOS的,但是接下来的事情却让他感到绝望:因为这个非官网版本的IOS下载并拷贝到Cisco ASA内后,那台Cisco ASA就立刻启动不成功了……

“哎!我完蛋了!多出来的两千块薪水我拿不到了啊!”于是,应聘者A灰溜溜地出了监控室。

2.2、应聘者C的操作

小伙子拿到这个题目的时候,觉得:“好像我这1万的月薪是拿定了”因为应聘者C换交换机的操作,他已经做过很多次了,而这次换的又是一个接入层交换机,他觉得十拿九稳了。

紫竹给了应聘者C一个配置文件,这就是那台故障的Cisco 3750的全部配置,在配置文件里面,还写了明文的本地登录用户名和密码,还有明文的enable密码。当应聘者C走到故障的Cisco 3750之前时,发现上面也就插着那么七八条线,而且都打着标签呢。最高兴的是,机架上的预定上架位置上还有安装好的导轨,连上架都可以省力了。这小伙子顿时觉得一阵兴奋,他大喊道:“天助我也!别说一个小时,十几分钟我就能搞定!”

但是他没注意到,紫竹在监控室里,和吴雄飞、刘斌相对一笑,她的嘴角露出一丝坏笑。吴雄飞说:“哎……最毒妇人心啊,谁也没有我媳妇做事情狠毒!”

其实,紫竹做的事情也并不“狠毒”,而是她准备考验一下应聘者C是不是能认真、仔细、冷静地处理问题。

这台Cisco 3750,其实是个三层设备,是有OSPF的,网关就在Cisco 3750上。紫竹在这里面留了几个坑,那就是在给应聘者C的配置文件中是关闭两个Cisco 3750的上联三层接口,也就是GigabitEthernet 0/47和GigabitEthernet 0/48这两个接口,并且故意把本地登录的用户名和密码写错在里面了。还有,紫竹在脚本的最后写了两个exit……

这台Cisco 3750上配置有AAA联动,如果Cisco 3750的网络不通,并且本地登录的用户名和密码写错了,那这台Cisco 3750就怎么也登录不进去了。

如果应聘者C能认真一点,仔细检查一下原始配置,不说是能判断出本地登录的用户名和密码有问题,就是GigabitEthernet 0/47和GigabitEthernet 0/48这两个接口是关闭的,他应该能发现。但是呢,这小伙子果然觉得这个题目简单,配置也全,交换机上连线也少还有标签,他就想都没想,直接把备机上架,然后把紫竹给的配置一股脑就刷进了备机,但是……这一刷进去,两个exit一执行,直接就退出登录了。然后应聘者C想再登录设备,就怎么也登录不进去了,不管是本地用户名和密码还是AAA服务器上的用户名和密码,怎么登怎么登不进去。

于是,应聘者C只能是按照资料上说的破解密码。密码是破解了,应聘者C又把配置命令一股脑的刷进去,结果,备机又登录不上了。于是,应聘者C来来回回破密码又刷配置,然后登录不进去了又破密码,来来回回搞了好几次……时间一分一秒的过去,应聘者C也只能是越来越心慌急躁,头脑一热,就是没仔细去查看一下配置文件。等应聘者C终于冷静下来,准备去好好看看配置文件的时候,他才发现,配置里面GigabitEthernet 0/47和GigabitEthernet 0/48这两个接口是关闭的。虽然他在第45分钟的时候,成功完成了设备的更换,但是他也早已头昏脑涨,走路都走不稳了。

2.3、后记

应聘者A和应聘者C只能灰溜溜地回到办公室,面对刘斌的时候,他俩已经没了底气。刘斌问道:“你俩,这次实操都不合格啊。如果你们留下,可能你们的薪资就不能够达到预期了。”不过呢,应聘者A和应聘者C都决定留下。应聘者A留在了四组,接受了12K一个月;应聘者C被三组要去了,接受了7K一个月。

不过后来,应聘者A在和刘斌聊天的时候,刘斌就告诉他说道:“你根本不可能在客户现场去当场下IOS的,除非是你去找官网开Case,由原厂工程师给你提供一份,更不能去其他网站下非官方认证的IOS,这个让客户知道后果很严重的。当时是两台Cisco ASA的软件版本不一致嘛,你要做的事情就是,找一台软件版本更高的Cisco ASA,把里面的IOS文件拷贝到你的电脑上,再拷贝到版本更低的Cisco ASA里面不就可以了吗?”

“哎哟!我这个脑子!”应聘者A这才恍然大悟。不过刘斌又说了一句:“你进去以后还有一步操作忘了做,那就是你应该关掉2号Cisco ASA上的接口。因为Failover裂开了以后,会造成业务中断的,所以你应该先把网络抢通了再做其他操作啊。”

而应聘者C的问题呢,除了脑子发热不够冷静是一个问题,他在处理换故障设备的时候就纯粹是一个没经验的问题。虽然,紫竹给了他一个完整的配置,但是他不能把所有的配置全都往里面刷啊。应该是,先把接口配置、路由配置这些和连通性相关的先写进去,发现网络畅通了以后,再慢慢往里面加用户名密码、ACL包过滤这些“阻碍”通信的配置。

而他把配置一股脑的刷到设备里以后,发现网络不通,而设备又被密码锁定无法登录,他连排错的机会都没有了。所以啊,要先把网络配通,确认无误以后再往里面配置用户名和密码啊。

这次成都分公司的照片计划算是失败的,三个应聘者,一个被淘汰,另外两个人也只能选择降薪,并且也无法立刻就投入到单独的实施之中。你说那三个应聘者真的是技术水平不行吗?也不见得,三名应聘者中,他们的技术水平其实是可以过关的。因为不管是设计方案还是去实操,他们都没有寻求过技术上的帮助,但问题出在什么地方呢?

其实就是经验问题,这个经验不仅是体现在如何处理突发事件,也体现在如何把技术用在最合理的地方。还有就是,不管是更换故障的设备,还是做割接,也要搞明白,先做什么,再做什么。很多培训课程,很多教材,都是单纯的讲技术或者是实验支撑理论。我不否认这些课程讲的都是技术干货,但是这些技术干货怎么应用?如何权衡利弊?按什么流程来用?这就真的需要由久经沙场的人,以故事的方式来叙述了。实际的网络工程案例,需要的高深顶尖技术并不多,很多都是一些最基础的知识,但是,没有经过实际操作的人,拿去做还真的不一定做得出来。

所以,《高级网工实战之旅》系列专栏将以网络工程师的故事来叙述,介绍网络工程师在拿到一个Case的时候,是用什么样的方式来进行处理的。在经验不足的时候,又会遇到什么样的坑,又怎么从这个坑里面跳出来。如果你是一位还在求学的同学,或者是一位刚刚入行的小鲜肉,我建议你好好看一下本专栏的文章。从生动的网络工程师故事,结合小清新的漫画场景,讲述每一次网络建设,网络改造从策划到实施完成的过程。你不仅能够从中解决技术难题,更能够了解到一名有经验的网络工程师是如何对待网络改造的。
如果你觉得你已经入行,但是苦于没有机会接触到一些“高级”的协议,甚至你认为那些“高级”的协议根本用不到。那也请你仔细阅读本专栏的文章,不仅能够开拓你的视野,也能够从中借鉴其经验,更能够遵守其标准。

一次掌握60个网络实战案例,打包学习组合专栏《高级网工实战之旅》