华为 ICT 网络赛道初级知识点汇总

[如何解决代理中的 DNS 泄漏问题？][https://youtu.be/fqREM6b25SY?si=oz90i_7ZOWAwBFtw](这个视频只用看 dns 的执行流程)

实践赛真题课程网址：https://talent.shixizhi.huawei.com/center/privateCenter.htm?schoolId=1365189427395223554&type=studyCenter_LearningTask&sxz-lang=zh_CN&mapDetail=3&mapDetailId=1838152212504219649

考前真题讲解-通义效率

IP 知识百科 - 华为

VRP 系统

VRP（Versatile Routing Platform，灵活路由平台）是华为自主开发的网络操作系统，广泛应用于其路由器、交换机、防火墙等网络设备上。VRP 系统的主要作用和特点包括：

路由管理：支持多种路由协议（如 OSPF、BGP、IS-IS 等），实现设备间路由信息的交换与管理。
交换与转发：支持数据帧的交换与数据包转发功能，可通过配置 VLAN、ACL 等模块实现流量控制。
安全管理：提供防火墙、VPN、AAA（认证、授权和计费）等安全功能，保障网络安全。
网络虚拟化和智能选路：支持网络虚拟化（如 VXLAN 等）与智能选路，优化资源利用与流量管理。
操作和监控：通过 CLI 进行设备配置与管理，支持 SNMP 等工具实现设备监控与故障排查。

VRP 用户等级：

访客用户（1 级）：仅能执行基本的查看命令，如 ping，tracert。
普通用户（2 级）：具备部分配置权限，可以配置路由的各个网络层次。
特权用户（3-15 级）：拥有最高权限，可以执行所有配置、维护和管理命令。

TCP/IP 四层模型概述

应用层：
- 功能：为应用程序提供通信服务。
- 协议：HTTP/HTTPS、FTP、DNS、SSH 等。
- 重点：用某种**应用协议**，决定数据如何格式化与传送。
传输层：
- 功能：提供端到端的进程间通信。
- 协议：TCP（可靠）和 UDP（不可靠），NAT（ip 转 ip），DHCP（自动分配 ip，子网掩码，默认网关）
- 端口号：使用源端口和目标端口标识应用进程。
- 重点：通过**端口号**确定进程间通信。
网络层：
- 功能：负责数据包的路由与转发，有多个路由器互相链接
- 协议：
  - IPInternet Protocol 网络协议：使用 IP 地址区分不同网络设备（路由器，主机）。
  - ICMP：用于错误报告和网络诊断，如ping和tracert命令。
  - ARPAddress Resolution Protocol 地址解析协议：用于将 IP 地址转换为 MAC 地址
  - ACL：访问控制列表
  - OSPF：开放最短路径优先算法
- 重点：通过**IP 地址**确定数据传输路径和目标设备。
接口层（数据链路层）：
- 功能：处理局域网内的设备间数据传输，路由器下面有多个设备
- 协议：Ethernet（有线链接）、Wi-Fi（无线连接）。
  - VLAN：虚拟局域网
  - STP：生成树协议
- MAC 地址：使用源 MAC 和目标 MAC 地址识别设备。
- 重点：通过**MAC地址**确保数据传输到正确的设备。

家庭网络通信图：

下面的内容按照 TCP/IP 四层模型的顺序编写

一, 接口层

掌握以太网交换的基本流程，学习 MAC 地址的概念及学习机制，包括 MAC 地址表的构建和维护原理。

CSMA/CD

（Carrier Sense Multiple Access with Collision Detection，载波监听多路访问/碰撞检测）

用于解决多台设备在共享传输介质上发送数据时的冲突问题。

载波监听：设备在发送数据之前，先监听共享的网络介质（如以太网电缆），检查是否有其他设备在发送数据。
多路访问：多台设备都可以通过同一条物理链路发送数据，但需要确保没有冲突。
碰撞检测：如果两个设备同时开始发送数据，发生碰撞后，设备会停止发送，等待随机的一段时间后再重新尝试发送。

由于现在以太网大多采用交换机，实现了全双工通信，CSMA/CD 已经在现代交换式网络中逐渐不再使用。但在早期的共享式网络（如集线器网络）中，它是确保数据顺利传输的关键机制。

1. MAC 地址

Media Access Control Address，介质访问控制地址，是一个 12 位（十六进制）的硬件地址

主要用于标识具体设备。

MAC 地址的结构可以分为前 3 字和后 3 字节：

MAC 地址结构详解
- 前 24 位（组织唯一标识符，OUI）：
  - 用于标识设备制造商OUI（Organizationally Unique Identifier，组织唯一标识符），由 IEEE（Institute of Electrical and Electronics Engineers，电气与电子工程师协会）分配给不同制造商。
- 后 24 位（设备唯一标识符，Device Identifier）：
  - 用于标识设备。厂商会确保分配的每个设备都有唯一的标识符。
前两字节特殊位解释
- 举例说明：
  - 02:00:00:00:00:01 —— 第一个字节是 02，二进制为 00000010，最后一位是 0，表示单播地址（点对点传输）
  - 01:00:5E:00:00:01 —— 第一个字节是 01，二进制为 00000001，最后一位是 1，表示组播地址（发送给一组设备）
  - 如果第一个字节最后一位是 1,通常表示组播地址

交换机的工作原理

交换机根据 MAC 地址表 决定如何处理数据帧，主要包括以下操作：

学习 MAC 地址：
- 交换机通过接收帧时的源 MAC 地址学习设备位置，并将其记录在 MAC 地址表中。
MAC 地址表查找：
- 如果目标 MAC 地址在 MAC 地址表中，数据帧会被转发到对应的出接口。
- 如果目标 MAC 地址不在 MAC 地址表中，数据帧会进行泛洪，即发送到除接收端口以外的所有端口。
- 如果是广播帧或组播帧，默认会进行泛洪处理。
数据帧处理：
- 如果帧有错误（如 CRC 校验失败）或受到访问控制列表（ACL）限制，数据帧会被丢弃。
- 在某些情况下（如无效帧类型），数据帧可能被不处理。

2. VLAN-虚拟局域网

（Virtual Local Area Network，虚拟局域网）：~~包括VLANIF（VLAN Interface，VLAN 接口）、MUX VLAN（Multiplex VLAN，多路复用 VLAN，用于隔离 VLAN 间的通信）和VLAN 聚合的技术原理及应用场景。~~

VLAN 经常用于隔离广播域！！！

链路聚合、堆叠和集群：

Trunk-聚合链路

Eth-Trunk（Ethernet Trunk，以太网汇聚链路）也是同一个意思

是一种交换机端口模式（注意是交换机的物理端口），用于多个 VLAN 的数据通过一个物理链路传输（用于聚合链路）。

Trunk 端口在数据帧中插入 VLAN 标签，以标识数据属于哪个 VLAN，确保数据包可以正确路由到目标 VLAN。

Trunk 的原理

Trunk 端口的主要作用是通过 VLAN 标签（Tagging）在一个物理接口上承载多个 VLAN 的数据。

用以下关键元素来实现其功能：

VLAN Tagging（VLAN 标记）：
- 在 Trunk 端口上传输的数据帧中会插入一个 VLAN 标签字段，称为802.1Q 标签。
- VLAN 标签在数据帧的源地址和以太网类型字段之间插入，包含 VLAN ID 等信息。
- VLAN ID：使用 12 位字段，范围从 0 到 4095，标识数据包属于哪个 VLAN。
- 当数据帧在 Trunk 端口上传输时，源交换机会根据该帧的 VLAN 标签识别其 VLAN，确保数据到达目标交换机后可以正确路由到对应的 VLAN。
Native VLAN（本地 VLAN）：
- Trunk 端口可以设置一个 Native VLAN，默认情况下 Native VLAN 的数据帧不携带 VLAN 标签。
- 通常用于传输不打标签的数据流量或不支持 VLAN 的旧设备。
- Native VLAN 通常设置为与其他 VLAN 隔离的数据流量，以防止标签未匹配的流量进入不正确的 VLAN。
VLAN 帧封装方式：
- 常见的 Trunk 帧封装方式是802.1Q，即 IEEE 定义的标准方式，支持 VLAN ID 的打标签。

Trunk 的配置方法

假设在交换机上配置端口为 Trunk 模式，允许 VLAN 10、20 和 30 通过，Native VLAN 为 99，配置示例如下：

# 进入接口配置模式
Switch(config)# interface GigabitEthernet0/1
# 将端口设置为Trunk模式
Switch(config-if)# switchport mode trunk
# 指定允许通过的VLAN列表
Switch(config-if)# switchport trunk allowed vlan 10,20,30

完成配置后，GigabitEthernet0/1 端口将作为 Trunk 端口，允许 VLAN 10、20 和 30 的数据帧通过

iStack（Intelligent Stack，智能堆叠）：将多个交换机虚拟成一个逻辑交换机以便统一管理。
CSS（Cluster Switching System，集群交换系统）：将多台设备集群为一体。

3. STP-生成树协议

STP（Spanning Tree Protocol，生成树协议）是一种在网络中用于防止环路的协议，适用于交换机。当网络中存在多个冗余链路时，可能会形成网络环路，导致广播风暴、MAC 地址表异常等问题。STP 通过选择性地阻塞冗余路径，确保网络中只有一条无环路径到达每一个网络节点，形成一棵“生成树”。

STP 协议主要通过桥协议数据单元（BPDU, Bridge Protocol Data Unit）进行通信和决策。BPDU 是一种包含拓扑信息的帧，用于交换机之间的通信，以确定网络拓扑和优先路径。下面我们详细介绍 STP 的工作原理和 BPDU 的组成及其功能。

STP 的工作原理

STP 的基本过程包括选择根桥、确定每个非根交换机的根端口和指定端口，并通过阻塞不必要的链路来避免环路。以下是 STP 的主要步骤：

根桥的选举：
- 在 STP 网络中，所有交换机会通过 BPDU 的交换来选举根桥（Root Bridge）。根桥是整个生成树的中心，所有的网络路径都会以根桥为基准建立。
- 每个交换机在启动后都会认为自己是根桥，并发送 BPDU 进行“竞选”。最终 BPDU 中具有最低桥 ID（Bridge ID）的交换机会成为根桥。
- 桥 ID由桥优先级（Bridge Priority）和 MAC 地址组成，优先级较低的交换机更容易成为根桥。
根端口的选择：
- 在每个非根交换机上选择一个最短路径到达根桥的端口，称为根端口（Root Port）。
- 根端口是非根交换机上连接到根桥的最佳路径，用于转发到根桥的流量。
指定端口的选择：
- 在每个网络段中，选出唯一一个交换机端口作为该网络段的指定端口（Designated Port），负责为该段提供到根桥的最短路径。
- 指定端口通常是该网络段中连接到根桥路径最短的端口，用于转发流量。
非根桥上的阻塞端口：
- 非根桥上，除了根端口和指定端口之外的其他端口将被置为阻塞状态，不转发流量。
- 阻塞端口用于防止形成环路，但在主链路故障时可以自动激活以维持连通性。

IEEE 802.1D

IEEE 802.1D 是关于 STP 的一种标准，主要用于局域网（LAN）中防止环路的出现。

BPDU-生成树协议的数据包

BPDU（Bridge Protocol Data Unit）桥协议数据单元。是生成树协议（STP）中的一种数据包，用于交换机之间传递信息，以维护生成树拓扑和防止环路。

BPDU 里面最重要的参数是 BID（Bridge ID，桥接 ID），BID 由两部分组成：优先级（默认值为 32768，范围 0-65535）和 MAC 地址。

较小的 BID 值优先级更高，优先级最小的会被选做为根桥

TCN BPDU

TCN BPDU（Topology Change Notification BPDU）（拓扑更改通知 BPDU）是特殊的 BPDU 数据包，用于通知网络拓扑结构发生了变化。STP 网络中的交换机发生端口状态变化时，会生成 TCN BPDU，以便让根桥更新拓扑信息并通知其他交换机进行调整。
- 当一个交换机检测到链路变化时（例如端口从阻塞状态变为转发状态，或者反之），会发送 TCN BPDU 给其上行设备，逐跳发送至根桥。
根桥收到 TCN BPDU 后，将触发网络中所有交换机缩短其 MAC 地址表的老化时间，使网络迅速适应新拓扑。

STP 端口状态

STP 端口的状态转换帮助避免环路，端口在 STP 中的典型状态如下：

阻塞（Blocking）：初始状态，阻塞状态不转发数据流量，只监听 BPDU。
侦听（Listening）：交换机检测到拓扑变更后进入侦听状态，接收和发送 BPDU，不学习 MAC 地址表。
学习（Learning）：继续监听 BPDU，同时开始学习 MAC 地址表，但不转发数据流量。
转发（Forwarding）：正常工作状态，转发数据流量并学习 MAC 地址表。
禁用（Disabled）：端口被手动禁用或无连接，不参与 STP 过程。

4. RSTP-快速生成树协议

RSTP（Rapid Spanning Tree Protocol，快速生成树协议）是对传统生成树协议（STP）的改进，比 STP 更快更好。

RSTP 的主要特点与改进

RSTP 在 STP 的基础上做了以下几个关键改进：

更快的收敛时间：
- RSTP 通过将端口直接从阻塞状态转换到转发状态，无需像 STP 那样等待侦听（Listening）和学习（Learning）两个阶段，这样能够加速网络故障恢复时间。
可设置备用端口：
简化的端口状态：
- RSTP 将端口状态从 STP 的五种状态减少为三种：丢弃（Discarding）、学习（Learning）和转发（Forwarding）。丢弃状态相当于 STP 中的阻塞状态。
- 丢弃状态避免了数据包的转发，但仍然允许 BPDU 的处理和交换。
边缘端口（Edge Port）：
- RSTP 的边缘端口（Edge Port）类似于 STP 的 PortFast 端口。边缘端口直接连接终端设备，可直接进入转发状态，不做生成树计算
- 只有在检测到环路时边缘端口会退出快速模式，进入普通的 RSTP 计算。

RSTP 的 BPDU类型和改进

RSTP 的 BPDU 格式与 STP 类似，但包含了额外的字段以支持快速收敛机制。

BPDU 类型和拓扑变化通知：
- RSTP 的 BPDU 始终以“Hello”方式发送，每隔 2 秒发送一次，不像 STP 需要等待上行设备来中继 TCN BPDU（拓扑变化通知）。
- 当发生拓扑变化时，RSTP 直接通过 BPDU 通知邻居交换机，并触发相邻设备更新拓扑状态。
快速回收：
- RSTP 交换机能够通过检测链路的物理状态变化来判断端口是否断开或重新连接。这样，在端口恢复时，不需要依赖配置 BPDU 的老化时间，即可判断链路状态并快速转为转发。

在 RSTP（快速生成树协议）的 BPDU 报文中，Flag 字段的总长度为 8 比特（即 1 字节）。

该字段包含了多个用于拓扑管理的信息位，其中包括指示拓扑变化、端口角色、端口状态等关键位，帮助 RSTP 实现快速收敛和拓扑更新。

5. MSTP

~~（Multiple Spanning Tree Protocol，多生成树协议）不考~~

6.LACP（Link Aggregation Control Protocol，链路聚合控制协议）

LACP 是 IEEE 802.1AX 标准的一部分，用于在交换机或网络设备之间聚合多个物理链路形成一个逻辑链路，从而提高带宽和冗余性。

LACP 通过自动协商链路聚合的配置，增强了链路的可靠性和传输效率。

二, 网络层

IP 数据报

ip 数据包首部部分详解

1、版本：从图中可以看到，版本字段占 4 位。记录着通信双方使用的 IP 协议版本，比如 IPv4、IPv6，目前广泛使用的是IPv4。

2、首部长度：占 4 位，表示的单位为 4 字节，比如 1111（十进制的 15）就代表首部长度为 60 字节（15*4=60）.以 4 字节的整数倍划分，不足则填充。最常用的首部长度为 0101（20 字节）。

3、区分服务：占 8 位：

DSCP（Differentiated Services Code Point，区分服务代码点）

功能：为 IP 数据包设置优先级，提供 QoS 管理

以便网络设备（如路由器、交换机等）可以根据这些优先级来调度和管理流量，从而实现网络资源的合理分配，满足各种应用对带宽、延迟、抖动等的要求。

DSCP 字段位置：
对于**IPv4 数据包，DSCP 使用8位的服务字段中的前**6 位；对于 IPv6 数据包，它位于流量分类字段中。

DSCP 值的定义：
DSCP 的 6 个位可组合成 64 个不同的值（从 0 到 63），每个值可以用来代表不同的流量优先级。通常，网络管理员会将这些值划分为若干类，如“默认流量”、“保障流量”、“最高优先级”等，以区分不同的数据流。比如，语音和视频流量一般会被设置为较高的优先级，以减少延迟和抖动，而普通的网页浏览和邮件流量则优先级较低。

常用在：

企业网络：在企业网络中，可以通过 DSCP 对语音、视频和数据流量进行分类，确保语音和视频等延迟敏感的应用优先通过，提升通话和会议质量。

ISP 网络：在 ISP（互联网服务提供商）网络中，DSCP 可以用于管理客户流量，确保高优先级的客户业务在网络高负载时仍能得到保障。

数据中心：数据中心内部流量种类繁多，通过 DSCP 区分不同流量（如存储数据、虚拟机迁移等）可以有效保证各类业务的服务质量。

配置 DSCP

DSCP 配置通常在网络设备的 QoS 配置中完成。管理员可以在数据包进入网络时根据应用类型或用户需求为数据包设定 DSCP 值，也可以通过网络设备（如路由器、交换机）对经过的流量自动设置或重写 DSCP 值。

示例：

//复制代码在网络设备上，为所有发往特定应用服务器的数据包标记DSCP为“EF”（即DSCP值为46）：
policy-map voice-policy
 class voice
  set dscp ef

4、总长度

即首部长度和数据长度之和。占 16 位。因此，最大长度可知为 16 位都是 1，就是65535 字节。

在 IP 层下层数据链路层存在自己的帧格式，帧格式的数据字段最大传送单元（MTU）是 1500 字节。尽可能长的数据报能够提高传输效率，实际中数据报长度很少大于 1500 字节。所以，IP 标准规定：所有主机和路由器的 IP 数据报长度不能小于 576 字节。

如果数据报长度超过 MTU，则将进行分片后再传送，与后面的片偏移相关。然后总长度就成了分片后每个分片的首部和数据的长度之和。

5、标识

占 16 位。在实际 IP 中，维持了一个计数器，每产生一个数据报，计数其加 1，存放到该字段。IP 是无连接服务，不存在按序接收问题，该标识不是序号，而是在进行分片之后对相同的数据报进行标识，属于同一个数据报的标识相同，以便到达目的后被重新封装为原来的数据报。

~~6、标志~~

~~占 3 位。目前使用 2 两位有意义的。~~

~~最低位：MF（More Fragment）还有分片，MF=0 时说明是最后一个分片。~~

~~中间位：DF（Don‘t Fragment）不能分片，DF=0 时才能分片。~~

7、片偏移

占 13 位。用于记录较长分组中，一个分片在原数据报中的相对位置。片偏移以 8 字节为单位，长度是 8 字节的整数倍。

~~假设一个数据报总长度为 3820 字节。首部 20 字节和数据 3800 字节。现在要求长度不超过 1420 字节，那么它的每个分片为多少呢？~~
~~我们简单分析一下，数据部分尽可能长的可以分为 1400,1400,1000 三个分片，这样再加上首部满足小于 1420 字节。~~
~~分片一：0-1399 字节，因此片偏移=0/8=0~~
~~分片二：1400-2799 字节,片偏移=1400/8=175~~
~~分片三：2800-3800 字节,片偏移=2800/8=350~~
~~很容易就计算出每个分片的片偏移。~~

8、生存时间

**TTL（Time To Live）**占 8 位。最大值 255.是一个用于限制数据包生存时间的计数器

它表示数据包可以经过的**最大路由跳数**（可以经过多少个路由器）。

不同操作系统发送 ICMP 报文的 TTL 默认值不同，例如：

Windows 系统的默认 TTL 是 128。
Linux 和 Unix 系统的默认 TTL 是 64。

9、协议

占 8 位。指明数据报携带的数据是使用什么协议，方便目的主机的 IP 层将数据交给对应的程序处理，这里列举常用的几个。

协议	ICMP	IGMP	TCP	UDP	OSPF
字段值	1	2	6	17	89

10、首部检验和

占 16 位。只校验数据报首部，不包括数据部分。这样可以减少计算量，同时不采用复杂的 CRC 检验码，而是使用简单的**反码算术运算**。

反码算术运算：将数据报首部划分为多个 16 位的序列，16 位序列相加之和取反码，写入检验和。接收方再将首部 16 位序列（包含检验和的 16 位）相加之和取反码，结果为 0 则说明数据报正确，否则丢弃。

ip 地址，子网，广播地址计算题举例

IPSec（Internet Protocol Security，IP 包加密）

是一套协议和标准，用于在 IP 网络（如互联网或私有网络）上实现数据包的加密、认证、数据完整性验证和重放保护。

主要应用于 VPN（虚拟专用网络）中，确保在公网传输的数据安全可靠。

IPSec 工作在网络层，能够保护所有基于 IP 的应用，不需要应用层的额外支持。

IPSec 的两种工作模式

传输模式（Transport Mode）：IPSec 只加密 IP 数据包的数据部分，而保留 IP 头部。
这种模式通常用于端到端的加密通信，适合在两个主机之间的直接通信中使用。
隧道模式（Tunnel Mode）：IPSec 将整个 IP 数据包（包括头部和有效负载）进行加密，并封装在一个新的 IP 头部中。
这种模式常用于 VPN 应用，因为它可以保护整个数据包在不安全的网络中传输，适合网关到网关的加密通信。

ICMP（Internet Control Message Protocol，互联网控制消息协议）

是互联网协议族中的一种核心协议，位于 IP 协议的上层。

它主要用于传输控制信息和错误报告，以帮助管理和诊别网络中的问题。

ICMP 是一种特殊的数据，用来报告网络通信中的错误情况或传递控制消息。

ICMP 协议的功能：

错误报告：当 IP 层无法传输数据时，ICMP 协议会通知源主机，以便做出相应的调整。
网络诊断：如**ping**命令测试和目标 ip 的连通性
.
路由诊断：通过“路由跟踪”命令（tracert）诊断数据包经过了那些路由器

路由技术

路由负责在不同网段之间转发数据包

1. 静态路由

静态路由是手动配置的路由。

IPv4 静态路由配置：
- 配置命令通常为ip route <目标网段> <子网掩码> <下一跳地址>。
- 例如：ip route 192.168.1.0 255.255.255.0 192.168.2.1。
IPv6 静态路由配置：
- IPv6 静态路由的配置类似于 IPv4，但需要使用 IPv6 地址。
- 配置命令为ipv6 route <目标IPv6网段> <下一跳IPv6地址>。
- 例如：ipv6 route 2001:db8:1::/64 2001:db8:2::1。

IPv4 地址分类：

类别	地址范围	默认子网掩码	用途	起始位
A 类	0.0.0.0 - 127.255.255.255	255.0.0.0	适用于大型网络（公网），最多可容纳 1677 万个主机	0
B 类	128.0.0.0 - 191.255.255.255	255.255.0.0	适用于中型网络（大型局域网），最多可容纳 6.5 万个主机	10
C 类	192.0.0.0 - 223.255.255.255	255.255.255.0	适用于小型网络（局域网），最多可容纳 254 个主机	110
D 类	224.0.0.0 - 239.255.255.255	不适用	多播地址，专用于组播	1110
E 类	240.0.0.0 - 255.255.255.255	不适用	预留地址，通常用于科研实验和未来用途	1111

2. OSPF（Open Shortest Path First，开放最短路径优先算法）

和 ICMP 一样，存在 IP 数据报最后的数据部分。

OSPF是一种链路状态协议，通过路由协议实现最佳路由路径选择。

OSPF 的基本原理：

将网络划分为不同区域，每个区域使用链路状态广告（LSA）传播拓扑信息。
每个路由器都维护一个链路状态数据库（LSDB），并使用该数据库计算最佳路径。

其有五种主要报文：

Hello 报文（Hello Packet）：用于邻居发现和维持邻居关系。
DBD 报文（Database Description Packet）：描述链路状态数据库概要信息，用于同步状态数据库。
LSR 报文（Link State Request Packet）：请求缺失的链路状态信息。
LSU 报文（Link State Update Packet）：传输链路状态更新信息。
LSAck 报文（Link State Acknowledgment Packet）：确认接收到的链路状态信息。

OSPF 邻居状态：

Down：没有收到 Hello 报文，邻居关系尚未建立。
Init：接收到 Hello 报文，但未确认双向通信。
2-Way：确认双向通信，邻居关系建立，但未进行数据库同步。
ExStart：确定主从关系，开始交换数据库信息。
Exchange：交换 DBD 报文，同步链路状态数据库概要信息。
Loading：通过 LSR 和 LSU 报文请求并补充缺失的链路状态信息。
Full：邻居同步完成，达到完全邻接状态。

发送顺序说明：

OSPF 首先通过 Hello 报文 建立并维护邻居关系（从 Down 到 2-Way）。
邻居关系建立后，路由器进入 ExStart 和 Exchange 状态，交换 DBD 报文，同步链路状态数据库的概要信息。
如果数据库中有缺失信息，路由器进入 Loading 状态，发送 LSR 报文 请求补充。
收到 LSR 后，邻居通过 LSU 报文 提供更新的链路状态信息。
最后，接收方通过 LSAck 报文 确认收到的 LSU，确保数据一致性，进入 Full 状态。

在 OSPF（Open Shortest Path First）协议中，DR（Designated Router，指定路由器）是一种特殊的路由器角色，主要用于多访问（Multi-Access）网络类型，例如互联网。DR 的引入可以减少 OSPF 邻居关系的数量，从而降低网络的开销和收敛时间。下面是 DR 的详细解释：

2.1 DR（Designated Router，指定路由器）

在一个多访问网络上，每台路由器都可以与其它路由器建立邻居关系。如果不使用 DR，N 台路由器会形成 $(N \times (N - 1) / 2)$ 个邻居关系，这样会带来大量的 Hello、LSA（Link State Advertisement，链路状态通告）和 LSU（Link State Update，链路状态更新）信息，影响网络性能。DR 的引入简化了这些情况情况：

DR 在该多访问网络上集中管理和维护所有 OSPF 邻居关系。
其它路由器只需与 DR（以及备份 DR，BDR）建立邻居关系，而不必直接与网络中的所有其它路由器建立关系。
DR 负责在网络中生成和分发该网络的 LSA，使所有路由器能够了解该网络的状态信息。

. 选举DR前后对比图

DR 选举
在 OSPF 网络启动时，每台路由器在网络中通过 Hello 报文参与 DR 和BDR（Backup Designated Router，备份指定路由器）的选举过程。选举基于以下两个条件：
1. 优先级：路由器接口的 OSPF 优先级（Priority）决定选举的优先级。值越大，优先级越高。优先级范围为 0 到 255，缺省值为 1。如果优先级设置为 0，则该路由器不会参与 DR 或 BDR 的选举。
2. Router ID：如果优先级相同，则根据 Router ID（通常为路由器最高 IP 地址）选择优先级更高的路由器。

在完成选举后，DR 负责维护网络的 OSPF 状态和拓扑变化，BDR 在 DR 失效时自动接替 DR 的角色，以保证网络稳定性。

DR 和 BDR 的工作方式

在多访问网络中，除 DR 和 BDR 以外的所有路由器都称为 DROther。
DROther 路由器只与 DR 和 BDR 建立邻居关系，并将所有的 LSA 更新发送给 DR。
DR 接收 DROther 路由器的更新后，将其转发给整个多访问网络的其他路由器。
BDR不主动参与数据转发，但在 DR 故障时会立即接管成为新的 DR。

配置示例！！！！！
在 OSPF 配置中，可以通过设置接口的优先级来影响 DR 选举。例如：

1 2	interface GigabitEthernet0/0 ip ospf priority 100

此配置将接口的优先级设置为 100，使其更可能被选举为 DR。

3. OSPFv3（OSPF 协议的 IPv6 版本）

OSPFv3是 OSPF 协议的 IPv6 版本，用于 IPv6 网络中，实现了对 IPv6 地址格式的支持。

OSPFv3 的基本原理：
- 类似于 OSPF，OSPFv3 也使用 LSA 广播链路状态。
- OSPFv3 的路由器 ID 仍然是 32 位，与 IPv4 无关。
OSPFv3 配置：
- 进入 OSPFv3 配置模式：ipv6 router ospf <进程号>。
- 配置网络：在接口模式下使用ipv6 ospf <进程号> area <区域号>。
- 例如：
  1
  2
  3
  ipv6 router ospf 1
  interface GigabitEthernet0/0
  ipv6 ospf 1 area 0
缺省情况下，在以太网链路上发送 OSPFv3 Hello 报文的周期为 10 秒。这个时间间隔用于 OSPFv3 邻居之间的状态保持和链路检测，确保邻居关系的正常建立和维持。

4. IS-IS（Intermediate System to Intermediate System，中间系统到中间系统）

IS-IS是一种链路状态路由协议，广泛应用于服务提供商网络中。IS-IS 最初设计用于 OSI 网络模型，后续加入了对 IPv4 和 IPv6 的支持。

IS-IS 的基本原理：
- 使用 CLNS（Connectionless Network Service）协议承载路由信息。
- IS-IS 将网络划分为不同等级（Level），支持多层级结构。
IS-IS 配置：
- 基本配置：进入 IS-IS 进程router isis <进程号>。
- 配置网络：进入接口模式，指定接口类型。
- 例如：
  1
  2
  3
  4
  router isis 1
  net 49.0001.1921.6800.1001.00
  interface GigabitEthernet0/0
  isis enable

5. BGP（Border Gateway Protocol，边界网关协议）

BGP是一种自治系统间的路由协议，用于跨多个自治系统传输路由信息。

更注重路由的可靠性和安全性，以及大规模网络的可扩展性

BGP 的两个版本包括 BGP4（IPv4 路由）和 BGP4+（IPv6 路由）。

BGP 的基本原理：
- 使用路径向量协议，包含自治系统路径信息以避免环路。
- BGP 通常应用于大型互联网或运营商网络中，提供灵活的路径选择能力。

BGP 配置：

例如：

#启用BGP（Border Gateway Protocol，边界网关协议），并设置本地自治系统（AS）编号为100
#格式：router bgp <AS号>
router bgp 100
#配置一个BGP邻居，其IP地址为192.168.1.1，远程自治系统（AS）编号为200
#格式：neighbor <邻居地址> remote-as <邻居AS号>
neighbor 192.168.1.1 remote-as 200

6. ACL（Access Control List，访问控制列表）

ACL 在路由器上用于控制网络流量，可以基于源/目的地址、端口等条件对数据包进行允许或拒绝操作。ACL 广泛用于流量过滤和访问控制。

ACL 的原理：
- 类型分类：
  - 标准 ACL：仅基于源地址进行匹配。
  - 扩展 ACL：可基于源/目的地址、协议类型、端口号等多种条件匹配。
- 匹配机制：
  1. 缺省情况下，ACL 的规则按照配置顺序（即 config 模式）进行匹配。
  2. 匹配顺序与规则的精确度无关，不会按精确度从高到低进行匹配。
  3. 报文一旦匹配某条规则（无论是允许 permit 还是拒绝 deny），则停止匹配后续规则。
  4. 不论匹配结果是 permit 还是 deny，只要匹配到规则，就视为成功匹配。
ACL 的分类与编号范围：
- 四层 ACL：
  - 基本 ACL（2000-2999）：基于源 IP 地址。
  - 高级 ACL（3000-3999）：基于五元组（源/目的地址、端口号、协议等）。
  - 二层 ACL（4000-4999）：基于链路层（如 MAC 地址）。
  - 用户自定义 ACL（5000-5999）：灵活定义匹配规则。
  - 用户 ACL（6000-6999）：特定用途的访问控制规则。
ACL 的应用场景：
- 流量过滤：控制进出接口的数据流量，提升网络安全性。
- 访问权限控制：限制特定设备或用户的网络访问权限。

ACL 配置：

#创建一个标准访问控制列表（ACL），编号为10，允许来自192.168.1.0/24子网的流量
#格式为：access-list <编号> permit/deny <条件>
access-list 10 permit 192.168.1.0 0.0.0.255
#进入GigabitEthernet0/1接口的配置模式
interface GigabitEthernet0/1
#在GigabitEthernet0/1接口上应用编号为10的ACL，方向为入站（in），即控制进入该接口的流量
#ip access-group <编号> in/out
ip access-group 10 in

7. IP Prefix List （前缀列表）

IP Prefix List 是一种更精细的 ACL，用于定义 IP 前缀和长度范围，以便灵活控制路由选择。

IP Prefix List 的原理：
- 前缀列表提供了一种比 ACL 更有效的路由过滤方式，特别是在 BGP 环境中。

IP Prefix List 配置：

创建前缀列表：ip prefix-list <名称> seq <序号> permit/deny <前缀>。
应用到路由协议：在 BGP 配置模式中应用前缀列表。

例如：

#创建一个名为FILTER的前缀列表，序列号为5，允许192.168.0.0/16网段内前缀长度不超过24的路由
#格式为：ip prefix-list <名称> seq <序号> permit/deny <前缀>
ip prefix-list FILTER seq 5 permit 192.168.0.0/16 le 24
#进入BGP模式，AS号为100
router bgp 100
#对邻居192.168.1.1应用名为FILTER的前缀列表，方向为入站（in），即控制从该邻居接收的路由
neighbor 192.168.1.1 prefix-list FILTER in

8. 路由策略和策略路由

路由策略和策略路由用于控制路由表的生成和路由选择，帮助管理员在复杂网络中自定义流量转发行为。

路由策略和策略路由配置：

例如：

# 创建名为SET_METRIC的路由映射，允许符合条件的流量。
route-map SET_METRIC permit 10
# 匹配访问列表10中的IP地址。
match ip address 10
# 将匹配到的路由度量值设为50。
set metric 50
# 进入GigabitEthernet0/1接口配置。
interface GigabitEthernet0/1
# 在GigabitEthernet0/1接口上应用SET_METRIC路由映射。
ip policy route-map SET_METRIC

广域网技术

广域网（WAN）是连接多个局域网（LAN）或城域网（MAN）的大范围网络

1. PPP（Point-to-Point Protocol，点对点协议）

PPP 是一种用于在两个网络节点之间建立直接连接的协议，适合通过电话线、串口、光纤或无线链路进行通信。PPP 的典型应用是拨号连接，广泛用于宽带拨号上网以及远程访问等场景。

工作过程
PPP 的工作过程可分为以下几个阶段：

链路建立阶段：双方节点通过链路控制协议LCP（Link Control Protocol）进行协商，建立并配置链路的参数（如最大传输单元 MTU、链路质量等）。
鉴权阶段：LCP 链路建立后，双方根据需要进行身份验证，确保合法访问。通常使用 PAP 或 CHAP 进行认证。
网络层协议协商阶段：链路建立并通过鉴权后，网络控制协议 NCP（Network Control Protocol）协商使用的网络层协议（如 IPv4 或 IPv6），配置 IP 地址等。
数据传输阶段：完成链路建立和协议协商后，双方可以在链路上进行数据传输。PPP 将上层协议数据帧封装后传输，具备一定的安全和传输稳定性。
链路终止阶段：传输完成后，LCP 终止链路，断开连接。

LCP（Link Control Protocol，链路控制）

LCP 是 PPP 协议的一部分，负责在两台设备之间建立、配置、测试和维护点对点链路。

LCP 使用 魔术字（Magic Number） 参数来检测链路环路和其他异常情况。

魔术字是 LCP 协议在协商时使用的一个随机数，用来检测环路和其他链路问题。

在 LCP 协商过程中，每一端都会生成一个唯一的魔术字并将其附加到数据包中。
如果一端设备接收到的数据包中的魔术字和自己发送的一致，意味着数据包被环回了，可能存在链路环路或其他异常。

2. PPPoE（Point-to-Point Protocol over Ethernet，以太网点对点协议）

在以太网链路上运行 PPP 协议，用于在宽带连接中实现用户认证和计费功能，适用于 DSL 或光纤接入的用户。

PPPoE 能够在广域网环境中有效管理网络连接，支持多个用户通过单一物理连接接入广域网。

以太网类型 0x8863：这个值标识了 PPPoE 的**发现阶段通信**，即客户端和服务器之间用来发现、建立连接的报文类型。

PPPoE 发现阶段（Discovery Phase）的所有报文都使用此以太网类型值。

以太网类型 0x8864：用于 PPPoE**会话阶段**的通信，指的是在客户端和 PPPoE 服务器建立会话后进行的数据传输阶段。

IPv6 技术

太复杂了，不想学

IPv6 基础知识：了解 IPv6 协议及地址相关概念
IPv6 地址配置：了解 ICMPv6 和 IPv6 无状态自动配置
IPv6 过渡技术：掌握双栈、6PE、6VPE、NAT64 等过渡技术的原理及配置

三, 传输层

TCP/IP 协议

TCP/IP 协议架构是网络通信的基础，它是互联网和局域网（LAN）通信的核心协议。TCP/IP 架构由多个协议层次组成，每个层次负责不同的网络任务，确保数据从源端传输到目的端的正确性和可靠性。

TCP/IP 协议体系结构通常分为四层：

应用层：包括最接近用户的协议，处理具体应用的数据传输。例如：HTTP、FTP、SMTP 等。
传输层：主要负责端到端的数据传输，确保数据包的可靠性。包括 TCP（传输控制协议）和 UDP（用户数据报协议）。
网络层：负责数据包的路由选择与转发，确保数据从源端到目的端。最重要的协议是 IP（互联网协议）。
数据链路层：包括物理层和数据链路层，负责数据帧的封装和传输，确保数据在物理网络中传递，常用协议如 Ethernet。

各种协议技术

TCP（Transmission Control Protocol，传输控制协议）

TCP 是面向连接的协议，提供可靠的数据传输。

工作原理：
- 三次握手：客户端向服务器发送连接请求，服务器确认后再返回确认，最后客户端再确认，建立连接。
- 数据传输：传输的数据被分为多个数据包，按顺序发送，接收端通过确认应答（ACK）确认数据包接收。
- 四次挥手：当传输结束时，客户端和服务器通过四次挥手断开连接。
配置：在应用程序中使用socket()调用创建 TCP 连接，通过端口号进行通信。

UDP（User Datagram Protocol，用户数据报协议）

UDP 是无连接协议，它提供数据报文传输，但不可靠。主要用于那些对实时性要求高、允许丢包的应用，如视频流、语音通话等。

工作原理：数据包通过 IP 层发送，但不进行握手或错误恢复。UDP 数据包通过源端口和目标端口识别应用进程。
配置：在应用程序中使用socket()创建 UDP 连接，发送和接收数据报文。

ARP（Address Resolution Protocol，地址解析协议）

ARP 用于将 IP 地址转换为 MAC 地址。网络中设备通过 ARP 请求可以得知其他设备的 MAC 地址，从而能够在数据链路层发送数据帧。

配置：ARP 通常自动运行，但可使用arp命令查看或手动修改 ARP 表。

免费 ARP（Gratuitous ARP）

**是设备通过广播发送的一种特殊 ARP 报文，用于主动通知网络中其他设备自己的 IP 和 MAC 地址。**它主要用于检测 IP 地址冲突、更新 ARP 缓存表、支持冗余设备切换（如 VRRP），以及维护网络通信一致性。免费 ARP 的目标地址是自己，接收设备无需回复，常见于设备上线、IP 地址变更或冗余切换场景中。

IP（Internet Protocol，互联网协议）

IP 协议的目标是将数据包从源地址发送到目标地址，依赖路由器进行路径选择。

工作原理：IP 将数据分成数据包，并根据目的地址路由。常见的版本为 IPv4（32 位）和 IPv6（128 位）。
配置：可以手动进行 IP 地址的配置，或通过 DHCP 动态获取 IP。

NAT（Network Address Translation，网络地址转换）

功能：NAT 协议用于**将私有 IP 地址转换为公网 IP 地址，允许多个设备共享一个公网 IP 地址访问互联网。它通常在路由器**中实现。
工作原理：当内网设备请求访问外部网络时，NAT 会将内部私有 IP 地址转换为一个公网 IP 地址，确保外部网络能识别请求来源。
配置：NAT 在路由器或防火墙中配置，常见配置如源地址转换（SNAT）和目的地址转换（DNAT）。

Telnet（远程终端协议）

Telnet 协议用于远程访问设备和管理服务器，以用于执行命令行操作。

它是无加密的协议，不安全，已逐渐被 SSH 取代。
通过 Telnet 客户端连接到远程设备的**23 端口**，进行命令输入和输出。

FTP（File Transfer Protocol，文件传输协议）

FTP 客户端连接 FTP 服务器的**21 端口**

FTP主动模式：服务器通过默认端口 21 接受客户端连接，并使用端口 20 进行数据传输。在此模式下，客户端需要开放一个端口，以便服务器主动连接以传输数据。
被动模式：手动配置客户端使用服务器开放的某个端口进行数据连接。客户端主动发起连接，适合在有防火墙的环境中使用。

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）

功能：DHCP 用于**自动为设备分配 IP 地址、子网掩码、默认网关**等网络配置，简化网络管理。
工作原理：设备启动时，DHCP 客户端通过广播向 DHCP 服务器请求配置，服务器分配一个 IP 地址及其他信息，并将配置返回给客户端。
配置：在 DHCP 服务器上配置地址池、租约时间等参数；客户端通常自动配置为 DHCP 模式，无需手动设置。

NAK （Negative Acknowledgement）否定 DHCP 确认消息

当客户端收到 DHCP NAK 消息后，必须放弃原请求，重新开始 DHCP 流程，发送 DHCP Discover 消息，重新申请新的 IP 地址和网络配置信息。

四, 应用层

网络管理与网络编程自动化技术

网络管理与监控技术

1. SNMP（Simple Network Management Protocol，简单网络管理协议）：

功能：SNMP 是一种网络管理协议，用于在网络设备（如路由器、交换机、服务器）与管理系统之间传输管理信息。它允许管理员查看设备状态、性能数据并进行故障检测。SNMP 的工作通过管理信息库（MIB）进行，MIB 存储着设备的管理数据。
工作原理：SNMP 主要通过“请求-响应”机制工作。管理系统发送请求查询或设置设备信息，而设备返回相应数据。SNMP 的三种基本操作包括 GET（获取信息）、SET（设置信息）、TRAP（主动通知）。
配置：配置通常包括设定 SNMP 代理、MIB、访问控制等，确保监控数据的收集和传输安全有效。

1.1 NMS（Network Management System，网络管理系统）

**NMS 是用于监控和管理计算机网络的工具或系统。**它的作用是监控网络设备（如路由器、交换机、服务器等）的状态、性能、故障等，确保网络的正常运行。NMS 可以进行设备配置、故障检测、性能分析以及安全管理。

2. LLDP（Link Layer Discovery Protocol，链路层发现协议）

功能：LLDP 是一种数据链路层协议，允许网络设备共享信息，自动发现和识别相邻的设备。它帮助管理员了解网络拓扑结构，提高网络管理和故障排查的效率。
工作原理：LLDP 通过在网络上周期性地发送 LLDP 数据单元（LLDPDU）进行邻居发现。这些数据包含设备标识、端口、系统信息等。每个 LLDPDU 通过一个特定的时间间隔更新，设备定期广播这些信息给相邻设备。
配置：管理员可以启用或禁用 LLDP 的广播，设定更新频率等。

3. NQA（Network Quality Analysis，网络质量分析）

功能：NQA 是用来分析和评估网络性能的工具。它通过定期发送探测数据包，收集网络时延、抖动、丢包率等信息，帮助管理员判断网络的整体健康状况和性能瓶颈。
工作原理：NQA 在指定的时间间隔内发送探测数据包到目标节点，然后根据响应的时间和质量来分析网络连接的性能参数。
配置：管理员需要设定目标 IP、测试类型、探测周期等，以便 NQA 能够在网络中执行监控任务。

网络安全技术

AAA（3A 安全认证）

（Authentication, Authorization, Accounting，用户验证、用户授权和用户计费）：

功能：AAA 是一种网络安全框架，用于管理用户身份验证、权限控制和操作审计。它在确保网络资源安全的同时，使管理员能够追踪用户活动、控制权限及记录日志。
原理：
- 身份验证（Authentication）：用户通过提供凭据（如用户名、密码）来确认身份，服务器验证其身份以允许或拒绝访问。
- 授权（Authorization）：在验证身份后，服务器会根据用户角色分配适当的资源访问权限，确保用户仅能访问其权限范围内的资源。
- 计费（Accounting）：记录用户在系统中的操作日志，如访问时间、使用资源等，便于后续的审计和分析。
配置：AAA 通常通过 RADIUS 或 TACACS+等协议配置，管理员设定用户组权限、审计参数等，使 AAA 实现有效的访问控制和操作跟踪。

信息安全

信息安全基础

了解 TCP/IP 和 OSI 模型：掌握网络通信中的分层模型，特别是 TCP/IP 协议栈和 OSI 参考模型，为信息安全防护提供技术基础。
熟悉网络安全威胁防范：了解并防御常见安全威胁，如 DDoS 攻击、恶意软件、钓鱼网站，以及使用网络防护工具检测和防范威胁。
熟悉网络安全设备：掌握防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）等设备的原理与配置。例如，防火墙可根据安全策略对流量进行过滤、转发或阻止，确保网络的边界安全。

信息安全管理技术

防火墙防护与趋势：
- 安全区域优先级：在华为防火墙中，每个安全区域都有一个唯一的优先级。
- 区域之间默认优先级从高到低的排序为：Local > Trust > DMZ > Untrust。
- 其中：
  - Local：设备自身的管理接口，优先级最高（优先级为 100）。
  - Trust：内部可信网络（优先级为 85）。
  - DMZ（Demilitarized Zone，非军事区）：半可信区，用于托管公开服务（优先级为 50）。
  - Untrust：外部不可信网络，优先级最低（优先级为 5）。
- 下一代防火墙：结合 AI 和大数据技术，增强对高级威胁的检测能力，如 APT（高级持续性威胁）。
信息安全管理与标准：
- 实施基于 ISO 27001 的信息安全管理体系，包含风险评估、应急响应和数据保护等方面，确保企业信息安全。
隐私保护及相关法律手段：
- 采用数据加密、匿名化等技术保护用户隐私。
- 遵守《网络安全法》和《通用数据保护条例》（GDPR），保障数据合法合规使用。

安全通信

网络安全基础
- 防火墙安全策略、地址转换、双机热备、用户管理和入侵防御
防火墙高级特性
- 防火墙高可靠性、流量管理、虚拟防御、智能选路
安全组网规划部署
- 全场景安全解决方案、防火墙技术综合应用、IPv6 安全技术

VPN 技术

VPN 基础(加解密)
- 加密技术原理、PKI 证书体系、VPN 应用、IPv6 安全技术
SSL VPN 应用
- SSL VPN 技术与应用
VPN 高可用技术
- VPN 高可靠技术、双机场景 VPN 技术与应用

攻击与防御

安全区域边界防护技术
- 网络攻击与防御、漏洞防御、内容安全过滤
攻击与防御技术
- 信息收集、网络探测、Web 安全、病毒防范、DoS/DDoS 攻击防御、主机安全、数据安全

WLAN 基础业务

WLAN 工作原理
- CAPWAP 隧道：
  （Control and Provisioning of Wireless Access Points， 无线接入点的控制与配置协议）
  用于无线控制器（AC）与接入点（AP）之间的隧道协议，分为控制隧道和数据隧道：
  - 控制隧道：用于 AP 和 AC 之间交互管理。
  - 数据隧道：用于用户数据的转发。
  - 工作流程：
    1. AP 通过 DHCP 或静态方式获取 IP 地址。
    2. AP 与 AC 建立 CAPWAP 隧道，完成控制和数据路径。
    3. 隧道建立成功，AP 上线，并可服务终端。
- WLAN 关键报文：用于控制连接的建立、维护和终端的接入，如认证、关联和数据传输控制报文。
- STA 上线流程：终端接入无线网络的流程，包括扫描、认证、关联、IP 获取等步骤。
WLAN 组网架构
- FAT AP：独立运行的 AP，负责所有无线功能，适合小型网络。
- Leader AP：在多 AP 网络中充当管理者，分担部分控制功能。
- WAC+FIT AP：WAC（无线控制器）集中管理 FIT AP，适用于大规模部署。

WLAN 安全

WLAN 接入安全
- 链路认证：通过加密认证用户设备，如 802.1X、PSK 等。
  - 802.1X 是一种网络接入控制协议
    它通过对接入设备进行身份验证，确保只有授权用户或设备才能连接到网络。工作流程包括以下三部分：
    - 客户端（Supplicant）：需要知道你是谁。
    - 认证服务器（RADIUS Server）：需要知道你是找我的吗。
    - 网络接入设备（Authenticator）：需要知道你是怎么找我的。
    在 802.1X 认证过程中，客户端向认证服务器发送**用户名和密码**，认证服务器验证后，允许或拒绝设备接入网络。
- 用户接入安全：确保合法用户接入，防止未授权用户访问网络。
- 终端黑白名单：通过 MAC 地址控制设备接入权限。
- 安全策略：基于用户、设备或应用设置访问控制规则。
WLAN 数据安全
- Open：无加密，适用于开放网络。
- WEP：基础加密方式，已不安全，但仍用于兼容性。
- WPA/WPA2（Wi-Fi Protected Access）
  增强的安全协议，使用动态密钥加密，推荐使用 WPA2。
  - WPA：采用 TKIP（临时密钥完整性协议）加密，相比 WEP 更安全，但仍存在一些漏洞。
  - WPA2：增强版，使用更强的AES（高级加密标准）加密，是目前最推荐的安全标准，提供更高的保护。
    - AES（Advanced Encryption Standard）是一种对称加密算法，特点是安全高效。
WLAN 安全与防御
- WLAN 安全威胁及方案：针对非法 AP、恶意攻击等威胁提供检测与防御。
- 安全平面控制：通过网络分层保护不同级别的数据和用户。

WLAN 高级特性

WLAN 漫游
- 概述：用户在多个 AP 之间移动时无缝切换连接。
- 流量转发：保证数据流在切换期间不中断。
- 优化技术：如快速漫游、漫游策略配置等，提高用户体验。

WLAN 网络规划

WLAN 网络规划基础
- WLAN 覆盖设计：根据场景需求设计信号覆盖范围和强度。
- 容量设计：基于用户数量、设备并发性和应用需求规划网络容量。

原题举例：
工程师正在无线控制器上配置无线业务，配置命令行如下，那么以下关于该配置的描述，错误的是哪一项？

[AC-wlan-view] security-profile name wlan-net
# 创建一个名为 wlan-net 的安全配置文件。

[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 dot1x aes
# 配置安全模式为 WPA-WPA2，认证方式为 802.1X，数据加密方式为 AES。

[AC-wlan-sec-prof-wlan-net] quit
# 退出安全配置文件视图。

[AC-wlan-view] ssid-profile name wlan-net
# 创建一个名为 wlan-net 的 SSID 配置文件。

[AC-wlan-ssid-prof-wlan-net] ssid wlan-net
# 配置无线网络的 SSID 名称为 wlan-net。

[AC-wlan-ssid-prof-wlan-net] quit
# 退出 SSID 配置文件视图。

[AC-wlan-view] vap-profile name wlan-net
# 创建一个名为 wlan-net 的 VAP（虚拟接入点）配置文件。

[AC-wlan-vap-prof-wlan-net] forward-mode direct-forward
# 配置用户数据的转发模式为直接转发（Direct-Forward），即数据不经过无线控制器。

[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 101
# 将无线用户的业务流量映射到 VLAN 101。

[AC-wlan-vap-prof-wlan-net] security-profile wlan-net
# 关联安全配置文件 wlan-net。

[AC-wlan-vap-prof-wlan-net] authentication-profile wlan-net
# 关联认证配置文件 wlan-net。

[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net
# 关联 SSID 配置文件 wlan-net。

[AC-wlan-vap-prof-wlan-net] quit
# 退出 VAP 配置文件视图。

A. 当前配置的无线信号的名称为 wlan-net
B. 终端接入无线网络需进行 802.1X 认证
C.用户数据转发方式为隧道转发（错，写的是直连）
D.用户的业务 VLAN 为 101

华为ICT网络赛道初级知识点汇总笔记

华为 ICT 网络赛道 初级 知识点汇总