前言

又到了华为ICT地区赛的时间，这是一个简单的ICT复习。考纲根据华为Asia Pacific地区提供的内容进行简单复习，今年因为课程繁忙，很多都没认真看，只能是简单的过过概念了。

---

Datacom

这一部分是网络基础，占50%。

TCP/IP协议基础知识

这一部分要求掌握TCP、UDP、ARP、IP、NAT、Telnet、FTP 和 DHCP 的技术原理和配置。

1. TCP（Transmission Control Protocol）和UDP（User Datagram Protocol）：
   • TCP：可靠的、面向连接的协议，确保数据的可靠传输，提供错误检测和重传机制。
   • UDP：无连接的协议，传输速度快，但不保证数据的可靠性，用于实时通信和流媒体等场景。
2. ARP（Address Resolution Protocol）：
   • 用于将IP地址映射到MAC地址，使得在局域网中设备可以通过IP地址找到对应的物理硬件地址。
3. IP（Internet Protocol）：
   • 负责在网络中传输数据包，将数据包从源地址路由到目标地址。IPv4和IPv6是两种常见的IP版本，用于定义数据包如何在网络中传输和寻址。
4. NAT（Network Address Translation）：
   • 允许多个设备共享单个公共IP地址的技术，将私有网络中的IP地址映射到公共IP地址，提高了网络安全性和IP地址利用率。
5. Telnet：
   • 一种远程登录协议，允许用户通过网络远程访问和控制远程主机。传输的数据不加密，安全性较差，因此现在较少使用。
6. FTP（File Transfer Protocol）：
   • 用于在网络上传输文件的标准协议，允许用户在客户端和服务器之间传输文件。
7. DHCP（Dynamic Host Configuration Protocol）：
   • 自动分配网络设备IP地址、子网掩码、默认网关等网络配置信息的协议，简化了网络管理，使得设备可以自动获取所需的网络配置信息。

其中，DHCP的工作原理如下：

客户端会先进行广播，找到服务器端后，服务器端会单播回复分配IP地址，之后进行确认询问。

---

VLAN

VLAN原理

VLAN是在L2层上，基于交换机的端口、MAC地址等信息对网络进行划分不同的小广播域。它与第三层路由器分隔的广播域也有所不同，如图：

为了区分不同的VLAN，IEEE802.1Q要求在以太网数据帧(第二层)中，添加4 bytes(32 bits)的VLAN Tag用以区分不同的VLAN。如图：

那么我们应该如何进行VLAN划分呢，可以采取以下方式：

• 基于接口划分：根据交换机的接口来划分 VLAN 。
  网络管理员预先给交换机的每个接口配置不同的 PVID ，当一个数据帧进入交换机时，如果没有带 VLAN 标签，该数据帧就会被打上接口指定PVID的标签，然后数据帧将在指定 VLAN 中传输。它记录的是来源接口。
• 基于 MAC 地址划分：根据数据帧的源 MAC 地址来划分 VLAN。
  网络管理员预先配置 MAC 地址和 VLAN ID 映射关系表，当交换机收到的是Untagged 帧时，就依据该表给数据帧添加指定 VLAN 的标签，然后数据帧将在指定 VLAN 中传输。
• 基于 IP 子网划分：根据数据帧中的源 IP 地址和子网掩码来划分 VLAN 。
  网络管理员预先配置 IP 地址和 VLAN ID 映射关系表，当交换机收到的是Untagged 帧，就依据该表给数据帧添加指定 VLAN 的标签，然后数据帧将在指定 VLAN 中传输。
• 基于协议划分：根据数据帧所属的协议类型及封装格式来划分 VLAN 。
  网络管理员预先配置以太网帧中的协议域和 VLAN ID 的映射关系表，如果收到的是 Untagged 帧，就依据该表给数据帧添加指定 VLAN 的标签，然后数据帧将在指定 VLAN 中传输。
• 基于策略划分：根据配置的策略划分 VLAN ，能实现多种组合的划分方式，包括接口、MAC 地址、 IP 地址等。
  网络管理员预先配置策略，如果收到的是 Untagged 帧，且匹配配置的策略时，给数据帧添加指定 VLAN 的标签，然后数据帧将在指定 VLAN 中传输。

基于接口的 VLAN 划分依赖于交换机的接口类型。

VLAN间通信

实际网络部署中一般会将不同 IP 地址段划分到不同的 VLAN 。同 VLAN 且同网段的 PC 之间可直接进行通信 无需借助三层转发设备 该通信方式被称为二层通信 。VLAN 之间需要通过三层通信实现互访 三层通信需借助三层设备 。

三层设备中，最常用与VLAN间通信的是三层交换机。它具有一个三层逻辑接口VLANIF接口，可以进行路由转发且支持VLAN.

下面是一个VLANIF的转发例子：

现在需要从PC1发送到PC2，PC1的VLAN为10，PC2为VLAN20。

1. PC1发现，目的地址在不同的网段，故发送给网关。
2. 交换机收到 PC1 发送的去往 PC2 的报文，经解封装发现目的 MAC 为 VLANIF10 接口的 MAC 地址，所以将报文交给路由模块继续处理，打上VLAN Tag。
3. 路由模块解析发现目的 IP 为 192.168.20.2 ，查找路由表后，匹配另一个网段的接口。
4. 另一个网段的接口处重新封装，去除VLAN Tag，发送给PC2。

---

生成树STP

生成树(Spanning Tree)是解决冗余网络的环路问题的一种方法，通过选取一个指定的根和端口，其他端口阻塞的方式来解决环路问题。

1. 桥ID与根桥：每个交换机都有唯一的桥ID，通过比较优先级和MAC地址选取根桥。
2. 开销：每个接口维护开销值，用于计算到达根桥的路径开销。
3. BPDU：用于交换配置信息，包括BID、Cost和端口ID等参数。
4. STP过程：包括根桥选取、根端口选取、指定端口选取和非指定端口的阻塞。其中：
   • 根桥：BID最小的交换机。
   • 根端口：离根桥最近的端口。可以有多个。
   • 指定端口：根桥所有参与生成树选举的端口。
5. 端口状态：包括禁用、阻塞、侦听、学习和转发状态，用于控制数据流向。

例如如下的网络拓扑中。

1. 选择根桥，找到BID最小的。它们优先级都一样的情况下，SW1的MAC地址最小，所以SW1为根桥。
2. 选择根端口，即其他交换机中与根桥距离最近的端口。如图中与SW1相连的SW2的GE 0/0/1端口和SW3的GE 0/0/1端口为根端口。
3. 找到指定端口，首先根桥上的所有端口都是指定端口。故SW1的GE 0/0/0和GE 0/0/1均为指定端口。接下来计算其他端口收到的BPDU最优结果。SW2的GE 0/0/2端口接收到 SW3 的配置 BPDU，比较它们的BID，发现SW2的BID更小，同理在SW3中比较SW2和SW3，得到SW2的GE 0/0/2端口为指定端口。
4. 最终确定非根非指定端口，非指定端口的SW3的GE 0/0/2端口为预备端口。

---

以太网链路聚合与交换机堆叠、集群

设备之间存在多条链路时，由于 STP 的存在，实际只会有一条链路转发流量，设备间链路带宽无法得到提升。而使用以太网链路聚合Eth-Trunk(链路聚合)，通过将多个物理接口捆绑成为一个逻辑接口可以在不进行硬件升级的条件下，达到增加链路带宽的目的。

总的来说，链路聚合技术是一种将多条物理链路捆绑成一条逻辑链路的技术，可以提高网络的带宽、可靠性和负载均衡。链路聚合技术有两种模式：手工模式和LACP模式。

• 手工模式是指不使用任何协议来建立和维护链路聚合，而是由人工配置。手工模式的优点是简单易用，不需要设备支持LACP协议，缺点是不能及时检测到链路故障、错连等问题，也不能实现跨设备的链路聚合。
• LACP模式是指使用链路聚合控制协议（LACP）来自动协商和管理链路聚合。它可以通过发送和接收LACPDU报文来交换设备的信息，如系统优先级、MAC地址、接口优先级、接口号等，从而确定哪些接口可以加入到同一个聚合组中，以及哪些接口是活动的或备份的。LACP模式的优点是能够动态地调整和恢复链路聚合，提高网络的稳定性和可靠性，也能够支持跨设备的链路聚合，缺点是需要设备支持LACP协议，以及配置更加复杂。

对于堆叠和集群：

• 堆叠(iStack)是一种将多台支持堆叠特性的盒式交换机通过堆叠线缆连接在一起，从逻辑上虚拟成一台交换设备的技术。
• 集群(Cluster Switch System，CSS)是一种将两台支持集群特性的柜式交换机通过集群线缆连接在一起，从逻辑上虚拟成一台交换设备的技术。

iStack和CSS的区别主要在于适用的交换机类型、合并的数量、连接的方式和实现的细节。

---

ACL技术

ACL（Access Control List）是一种访问控制列表，是由一条或多条规则组成的集合，用于对网络中的报文流进行精确识别和控制。ACL可以实现以下功能：

• 提供安全访问：使用ACL可以指定用户访问特定的服务器、网络与服务，从而避免随意访问的情况。
• 防止网络攻击：使用ACL可以封堵高危端口，从而阻止外部网络的恶意流量入侵1。
• 提高网络带宽利用率：使用ACL实现对网络流量的精确识别和控制，限制部分网络流量从而保障主要业务的质量。

---

广域网技术

广域网是指连接不同地区局域网的网络，通常所覆盖的范围从几十公里到几千公里。它能连接多个地区、城市和国家，或横跨几个洲提供远距离通信，形成国际性的远程网络。

PPP(Point to Point Protocol)是一种广域网数据链路层协议，主要用于在全双工(full-duplex)的链路上进行点到点的数据传输封装。PPP提供了安全认证协议族PAP(密码验证协议)和CHAP(挑战握手认证协议)，以及各种网络控制协议，如IPCP等。

PPPoE(PPP over Ethernet)是一种在以太网上建立广域网连接的协议，它把PPP帧封装到以太网帧中，使以太网网络中的多台主机连接到远端的宽带接入服务器。PPPoE集中了PPP和以太网两个技术的优点，既有以太网的组网灵活优势，又可以利用PPP协议实现认证、计费等功能。PPPoE会话的建立过程有发现阶段、提供阶段、会话建立阶段、认证过程、会话阶段和会话终止阶段。

---

VPN技术

VPN（Virtual Private Network）是一种虚拟专用网络，它可以在公共网络上建立安全的隧道，实现不同地点的用户或网络之间的私密通信。VPN的主要功能有：

• 提供数据加密和认证，保护数据的机密性和完整性。
• 提供网络地址转换，解决地址空间重叠和地址不足的问题。
• 提供网络拓扑隐藏，防止网络结构和资源被暴露。
• 提供网络优化和负载均衡，提高网络性能和可用性。

MPLS VPN（Multiprotocol Label Switching Virtual Private Network）是一种基于MPLS技术的VPN，它利用标签交换机制，在MPLS网络中建立虚拟专用网。

GRE（Generic Routing Encapsulation）是一种通用路由封装协议，它可以将一种协议的报文封装在另一种协议的报文中，实现异种网络的互通。

---

Security

网络安全技术

AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，是网络安全的一种管理机制和管理框架，提供了认证、授权、计费三种安全功能。

它提供了授权部分用户访问指定资源和记录这些用户操作行为的安全机制。因其具有良好的可扩展性，并且容易实现用户信息的集中管理而被广泛使用。在实际应用中，最常使用RADIUS （Remote Authentication Dial-In User Service）协议。

AAA支持的授权方式有：不授权，本地授权，远端授权。

1. 不授权（no authorization）：该授权方式不对用户进行任何权限验证，因此用户可以访问所有资源和执行所有操作。这种授权方式通常用于测试环境或者开放的公共资源，不适用于安全性要求较高的系统。
2. 本地授权（local authorization）：该授权方式通过在本地维护用户的权限信息来验证用户是否有权限访问某个资源或执行某个操作。本地授权通常在设备或者服务器上进行，是一种简单、快速、易于管理的授权方式。但是，由于权限信息存储在本地，因此安全性较低。
3. 远端授权（remote authorization）：该授权方式通过与远程授权服务器进行通信来验证用户是否有权限访问某个资源或执行某个操作。远程授权通常使用标准的协议（如RADIUS、TACACS+等）进行通信，可以实现跨网络、跨设备的授权功能。远程授权的优点是安全性高、可扩展性好，但是需要维护授权服务器和网络连接等环境。

---

WLAN

WLAN（Wireless Local Area Network）是一种无线局域网，它利用无线电波或红外线等无线媒介，实现不同地点的用户或网络之间的数据通信。

WLAN的组网方式通常分为两种：胖AP+有线交换机的分布式WLAN组网模式和瘦AP+无线控制器（AC）的集中式WLAN管理模式。它们的区别主要在于：

• 胖AP(FAT AP)是一种可以独立工作的无线接入点，除了无线接入功能外，还具备路由、DHCP服务器、DNS、VPN接入、防火墙等功能，类似于无线路由器。胖AP不需要AC的配合，但也不能实现集中管理、无线漫游、负载均衡等功能。胖AP一般适用于小型的无线网络建设，如家庭、小型商户或小型办公场景。
• 瘦AP(AC+FIT AP)是一种不能独立工作的无线接入点，只保留了无线接入的部分，类似于无线交换机或集线器。瘦AP必须配合AC的管理，由AC负责无线网络的接入控制、安全控制、转发和统计、AP的统一集中配置管理、漫游管理等功能。瘦AP一般适用于中大型的无线网络建设，如商场、超市、景点、酒店、餐饮娱乐、企业办公等。

CAPWAP（Control And Provisioning of Wireless Access Points）是一种控制和配置无线接入点的协议，它定义了AC和AP之间如何通信，为实现AP和AC之间的互通性提供了一个通用封装和传输机制。