注：以下内容基本来自support.huawei.com，访问网站注册普通帐号后即有权限查看相关资料。

云计算

云计算概念和价值

云计算是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需求提供给计算机和其他设备。

云计算的演进

云计算的关键特征

按需自动服务(On-demand Self-service)
无处不在的网络接入(Ubiquitous network access)
与位置无关的资源池(Location independent resource pooling)
快速弹性(Rapid Elastic)
按使用付费(Pay per user)

云计算的产生

需求推动：政企客户、个人用户
技术进步：虚拟化、分布于并行计算、互联网技术、宽带技术
商业模式转变：云服务

演进历程

并行计算→分布式计算→网格计算→云计算

云计算的模式

部署模式：私有云、公有云、混合云
商业模式：IaaS（基础设施，如：虚拟机出租、网盘）、PaaS（平台，如Visual Studio开发平台）、SaaS（软件，企业办公系统）

云计算的技术

物理设备（服务器、存储和网络设备）、虚拟化软件平台、分布式计算和存储调度、一体化自动化管控软件、虚拟化数据中心的安全和E2E的集成交付能力。
计算架构+云计算硬件+云计算软件

硬件技术

分布式存储：低成本硬盘、内部存储、存储资源池、分布式全局共享、多备份的安全
企业存储

软件技术

集群管理：对物理服务器创建不同的业务集群，实现资源调度和负载均衡，实现资源的动态调度，弹性调整。云计算虚拟化平台支持不同的存储设备：本地存储、SAN存储、NAS存储和分布式本地存储。同时，提供链接克隆、资源复用、精简置备和快照功能。
虚拟化技术

云计算的价值

资源整合、提高资源利用率：共享硬件，CPU和内存调整，节省空间
快速部署，弹性扩容：虚拟化批量部署
数据集中，信息安全
自动调度，节能减排
降温去噪，绿色办公
高效维护，降低成本
软硬件系统统一管理

华为云计算战略

云计算设备商：华为和Cisco
云计算解决方案产品：FusionCloud

虚拟化技术基础

虚拟化起源

技术推动力：
+ CPU速度越来越快，超出软件对硬件性能的要求
+ INTEL和AMD在CPU里加入虚拟指令
+ 企业成本压力
+ 环保压力
+ 不断增长的业务压力

什么是虚拟化

Virtualization, 资源抽象成共享资源池；操作系统与硬件解耦，从资源池中分配资源

虚拟化的好处：

提高硬件利用率

降低能耗，绿色节能

提高IT运维效率，系统管理人员减少

操作系统与硬件的解耦

虚拟化的本质：

分区、隔离、封装、相对于硬件独立

虚拟化类型：

寄居虚拟化、裸金属虚拟化、操作系统虚拟化

虚拟化主要内容：

计算虚拟化、存储虚拟化、网络虚拟化

计算机虚拟化分类

CPU虚拟化：利用与原始操作系统类似的机制—通过定时器中断，在终端触发时陷入VMM，从而根据调度机制进行调度。（X86有4个不同优先级）
内存虚拟化：把物理机的真实物理内存统一管理，包装成多份虚拟的内存给若干虚拟机使用。
IO虚拟化：多个VM共享一个物理设备，如磁盘、网卡，分时多路复用。VMM接货客户操作系统对设备的访问请求，然后通过软件的方式来模拟真实设备的效果。

存储虚拟化

裸设备+逻辑卷
存储设备虚拟化
主机存储虚拟化+文件系统

网络虚拟化

背景：

计算机虚拟化，一台服务器上虚拟多个主机，传统网络无法满足虚拟机间通讯的需求
云计算数据中心，虚拟机的动态迁移，传统数据中心无法很好满足

敏感指令？
半虚拟化、全虚拟化？

大数据

FusionInsight系统概述

大数据特征

4V：Volume数据量巨大，Variety种类和来源多样化，Velocity分析处理速度快，Value价值密度低商业价值高

传统数据处理系统面临问题

海量数据的高存储成本
大数据量下的数据处理性能不足
有限的扩展能力
单一数据源
数据资产对外增值
新的业务需求，需要新的大数据处理平台

FusionInsight组件介绍

分布式存储
- HDFS：分布式文件系统
- HBase：Hadoop分布式数据库
- MPP DB：用于性能较高的交互分析场景
分布式计算框架
- MapReduce：基于磁盘的离线分布式计算框架。
- Spark：基于内存的迭代计算框架。
- Storm：实时的、分布式，在线实时流处理计算系统。
- Yarn：资源管理与调度系统。
- Zookeeper：是一个开源文件应用程序接口，能使大型系统的分布式进程相互同步，这样所有提出请求的客户端就可以得到一致的数据，而且可以避免单点故障。

HDFS-分布式文件系统

存储大文件，将大文件分割成小块存储，流式数据读取，分布式可扩展性好，极大改善数据读写性能
HDFS集群包含一个主节点和多个从属节点，有多个客户端访问。

HBase

分布式非关系型数据库（NoSQL）；高可靠、高性能、面向列、可伸缩

数据结构

结构化：大多关系型数据库
非结构化：无法用统一结构表示，如文本、图像、视频、声音等
半结构化：具有一定结构，又有一定可变性；如XML、HTML；可转换成结构化数据存储

KeyValue结构

KeyValue行数据库分区方式——按Key值连续范围分区

Yarn

同样的资源管理模块，支持MapReduce、Spark、Storm等

MapReduce-分布式计算架构

核心理念是将一个大的运算任务分解到集群每个节点上，充分运用集群资源，缩短运行时间。
简化并行计算的编程模型

适合做：

大数据离线批处理计算；
任务分而治之，子任务相对独立

不适合做：

实时交互式计算
流式计算、实时分析
子任务之间相互依赖（迭代计算）

Spark 迭代计算

针对超大数据集合的低延迟的集群分布式计算系统，比MapReduce更快
输入和结合保存在内存中，即席查询

Spark适用于近线或准实时、数据挖掘与机器学习应用场景。迭代计算和交互式分析。

Storm 流式数据处理框架

Storm是一个开源、分布式、高容错的实时计算系统。

常用于在实时分析、在线机器学习、持续计算、分布式远程调用等领域。

Hive 数据仓库工具

常用于：作为数据仓库，数据汇总、非实时分析、数据挖掘

特点：

支持索引，加快数据查询。
支持不同的存储类型，例如：纯文本文件、HBase中的文件。
将元数据保存在关系数据库中，大大减少了查询过程中执行语义检查的时间。
可以直接使用存储在Hadoop文件系统中的数据。
内置大量用户函数UDF来操作时间、字符串和其他的数据挖掘工具，支持用户扩展UDF函数来完成内置函数无法实现的操作。
类SQL的查询方式，将SQL查询转换为MapReduce的job在Hadoop集群上执行。

优点：

高可靠、高容错
类SQL
可扩展
多接口

缺点

延迟较高
暂不支持实物
不适用OLTP
暂不支持存储过程

FusionInsight集成设计

集群组网设计 - 二层组网

一个子网（广播域）建议不超过200节点

集群组网设计 - 三层组网

节点数大于200集群
管理节点必须安装在同一网络内；控制节点、数据节点可以安装在不同网络。

数据中心

数据中心是以标准化组件：服务器、存储，通过网络组合起来的系统。

数据中心典型网络

数据中心架构：紧耦合、松耦合、虚拟化分区、云架构
多数据中心：IP+光、多数据中心容灾、业务负载均衡、主机镜像、业务永续
存储网络：数据备份和归档、异构存储网络融合、IP SAN、NAS、FC SAN多种技术，存储同异步赋值
应用优化：负载均衡、广域应用加速、SSL卸载、高可用集群
数据中心安全：边界安全、安全策略、设备管理、安全审计

数据中心演进趋势与面临的挑战

演进

各自为政：数据分散、互联互通、上报同步
数据大集中：高可靠安全、容灾备份、设备统一管理
云计算：VDC/VDI、虚拟化、智能化、融合网络

面临的挑战

性能与容量快速增长：大容量高密度交换网络，大缓存无阻塞网络
IT资源虚拟化
网络资源整合与共享
运维管理复杂

设计趋势

数据中心基础概念

暂时找不到😑

数据中心能源管理系统

NetEco管理系统是华为面向数据中心基础设施推出的新一代管理系统，采用”SAFE”理念，能够对数据中心基础设施层设备，包括空调、UPS、温湿度、视频、门禁等设备实时监控和管理。NetEco管理系统提供各种视图和报表展现，用户可以方便地查看系统的运行状态。NetEco管理系统还可以提供资产管理和容量管理，对数据中心进行生命周期管理，通过对系统空间、配电、制冷能力的分析，实现数据中心能耗管理，并提供能源使用优化建议，实现高效节能。NetEco管理系统提供了一个供标准的平台，可灵活配置、柔性扩容、分层级管理，既适应楼宇集中管理，也适应区域分布管理。

数据中心选址

能源充沛且价格相对便宜（配电站设施）
冷却，室外环境温度较低地区
水冷，稳定的水资源
网络带宽，骨干网络地区
政府支持（地水电，税收，补贴）
人才来源
安全地区，避免地质灾害、硫化污染、火灾、治安动乱

数据中心网络分层结构

？？ FatTree[5],ElasticTree[22],Monsoon[3], VL2[12],PortLand[16],SecondNet[13]和Jellyfish

存储

信息数据管理

数据是对所有事物的数字表示。
信息是为了满足用户决策的需要而经过加工处理的数据。信息适从已收集到的数据中提取出来的。

数据的价值

通常，数据的价值由老板决定。
RPO恢复点目标
RTO恢复时间点目标
COD停机成本

数据的生命周期

数据创建，用户访问，数据删除

ICT基础架构

主机(服务器)、存储列阵、网络、交换机、备份、数据中心

DAS

直连存储（DAS）：是一种存储设备与服务器直接相连的架构。

DAS的好处

对于本地数据供给是一个理想方案
可靠
对于小型环境来说部署迅速
部署很简单
复杂度小
投资小

DAS遇到的挑战

可扩展性低：可连接到主机的端口数有限；可寻址的磁盘数有限；距离限制
维护内部DAS时，系统需要下电
资源共享性较差：导致资源孤岛……

（机械）硬盘组件

读/写磁头
磁头臂
盘片
主轴
控制电路

硬盘属性

磁道、扇区

IOPS

IOPS是IO系统每秒所执行IO操作的次数
IOTime = 寻道时间 + 60s/转速/2 + IOChunkSize/传输速度
= 寻道时间 + 旋转时延 + 数据传送时间
IOPS = 1/IOTime

通过减少服务时间（寻道时延、旋转时延和传输时间的总和）或折半减少磁盘系统的利用率，可以大幅度降低整个磁盘系统的响应时间。

R&S

小型IP网络

ICMP协议

CMP是TCP/IP协议簇的核心协议之一，它用于在IP网络设备之间发送控制报文，传递差错、控制、查询等信息。

报文类型

Redirect重定向消息用于支持路由功能
Echo消息常用语诊断源和目的之间的网络连通性，还可以提供其他信息，如报文往返时间
ICMP差错报告报文

ICMP应用

Ping：Ping命令的输出信息中包括目的地址、ICMP报文长度、序号、TTL值、以及往返时间。序号是包含在Echo回复消息（Type=0）中的可变参数字段，TTL和往返时间包含在消息的IP头中。
Tracert：Tracert基于报文头中的TTL值来逐跳跟踪报文的转发路径。

ARP协议

ARP能够通过目的IP地址发现目标设备的MAC地址，从而实现数据链路层的可达性。
网络层协议，生存期180s

网络设备一般都有一个ARP缓存（ARP Cache）。
如果目标设备位于其他网络，则源设备会在ARP缓存表中查找网关的MAC地址，然后将数据发送给网关，网关再把数据转发给目的设备。

ARP Request帧中，目的MAC为0，以太帧中目的MAC为全ff。
ARP Reply：单播；老化超时时间缺省为1200s
ARP冲突检测：广播，目的IP地址为自己的IP地址。

传输层协议

TCP

面向连接的协议

TCP端口号

知名端口：0-1023
动态端口：1024-65535
应用程序 | FTP | TELNET | SMTP | DNS | TFTP | HTTP | SNMP | SNMP（trap）|
----|---|---|---|---|---|---|---|---
知名端口|21|23|25|53|69|80|161|162|

UDP

使用UDP传输数据时，需要应用程序提供报文的到达确认、排序和流量控制等功能。
通常情况下，UDP采用实时传输机制和时间戳来传输语音和视频数据。（对延迟敏感的流量）

交换网络基础

交换机工作在数据链路层，对数据帧进行操作。在收到数据帧后，交换机会根据数据帧的头部信息对数据帧进行转发。

转发行为：Flooding，Forwarding，Discarding
具体见HCNA Page64
MAC地址表项的老化时间为300s

广播域与冲突域

冲突域：连接在同一导线上的所有工作站的集合，或者说是同一物理网段上所有节点的集合或以太网上竞争同一带宽的节点集合。 HUB、Repeater
广播域：接收同样广播消息的节点的集合。

接口自协商

自协商功能就是给互连设备提供一种交换信息的方式，使物理链路两端的设备通过交互信息自动选择同样的工作参数（包括双工模式和速率），以使其自动配置传输能力，达到双方能够都能支持的最大值。
链路两端的协商模式必须保持一致。如果链路两端的协商模式不一致，例如本端配置为非自协商模式，对端配置为自协商模式，则本端接口可能为Up或Down状态，但对端一定为Down状态。链路之间仍无法正常通信。

IP网络互联

路由基础

路由协议

一台路由器可以同时运行多种路由协议
计算机不运行任何路由协议，只有一个IP路由表

路由协议优先级

直连 0
OSPF 10
静态 60
RIP 100
BGP 255

路由表表项结构：

Destination/Mask Proto Pre Cost Flags NextHop Interface

路由器数据转发原则

最长掩码匹配

缺省路由来源

手工配置&路由协议产生

静态路由

路由器报文转发原理 Page137

静态路由主备备份

浮动静态路由：配置去往相同的目的网段，但优先级不同的静态路由，以保证网络中优先级较高的路由，及主路由失效的情况下，提供备份路由。正常情况下，备份路由不会出现在路由表中。

[R1]ip route-static 192.168.20.0 24 10.0.12.2 preference 100

注：pre值越小优先级越高

静态路由特点

手动配置
路由路径相对固定
永久存在
不可通告性
单向性
接力性

RIP（路由信息协议）

一种分布式的基于距离向量的路由选择协议
使得每一个路由器到每一个目的网络的路由都是最短的。

仅和相邻路由器交换信息
交换信息为当前本路由器所知道的全部信息，即自己的路由表
按固定的时间间隔交换路由信息

跳数等于或大于16的路由将被视为不可达的路由，这限制了RIP协议一般应用于规模较小的网络。
RIP-1只能适合于有类编制的场景（采用缺省掩码），实现有类路由（Classful Routing）功能，而RIP-2则支持无类路由（Classless Routing)，支持VLSM、CIDR等特性。支持认证。
RIP-2要比RIP-1少占用（浪费）计算机的处理资源。RIP-2组播地址224.0.0.9
RIP消息都是封装在UDP报文中的，端口号为520.

RIP路由表的更新算法可能导致路由环路，解放办法：1）触发更新，2）水平分割，3）毒性逆转

OSPF（开放最短路径优先）

分布式的链路状态协议
最常见的是采用链路的带宽来定义路由开销。

向本自治系统中所有路由器发送信息，泛洪法（flooding）
发送消息为：与本路由器相邻的所有路由器的链路状态，部分信息，度量metric
只有当链路状态发生变化时，路由器才泛洪发送该信息

OSPF没有传输层协议，OSPF报文是直接封装在IP报文中的。
OSPF 无类路由，支持VLSM、CIDR特性，与RIPv2一样，支持认证功能。

OSPFHello报文用来发现和维持邻站的可达性，每隔10秒钟要交换一次问候报文。
OSPF中，只有彼此发送给对方的Hello报文的内容完全一样，它们之间才存在邻居关系。

对比
OSPF可以获知全网的拓扑结构图，而RIP不能。
OSPF可以使用多路径间的负载平衡，而RIP只能找出到某个网络的一条路径。
当互联网规模很大时，OSPF协议要比距离向量协议RIP好得多。
OSPF重要优点：更新过程收敛够快，比RIP快
RIP和OSPF共同特点：每一个路由器都要不断地和其他一些路由器交换路由信息

外部网关协议BGP

计算机不运行任何路由协议，计算机上只有一个IP路由表。
暂时没提到

STP

一种由交换机运行的、用来解决交换网络中环路问题的数据链路层协议。

环路的存在会导致MAC地址表翻摆、广播风暴、多帧复制等现象。
环路能提高网络连接的可靠性
生成树协议STP（Spanning Tree Protocol）可以提高可靠性的同时又能避免环路带来的各种问题。

STP的作用：STP通过阻塞端口来消除环路，并能够实现链路备份的目的。
STP协议帧的载荷数据被称为BPDU(Bridge Protocol Data Unit)

冗余链路虽然增强了网络的可靠性，但是也会产生环路。

STP树的生成

选举根桥：BID最小的交换机作为根桥
确定根端口：先比较RFC，相同则比较BID，再则比较PID，小的为根端口
确定指定端口：RFC——BID——PID，小的为指定端口。根桥上只存在指定端口。
阻塞备用端口：备用端口不能转发由终端计算机产生并发送的帧，但是可以接受并处理STP协议帧

STP端口的五种状态 Page94

注意事项：
网络收敛后，只有指定端口和根端口可以转发数据。
网络拓扑稳定以后，只有根桥主动发送配置BPDU。
在稳定的STP拓扑里，非根桥会定时收到来自根桥的BPDU报文。
根桥故障会导致50秒左右的恢复时间，恢复时间约等于Max Age加上两倍的Forward Delay收敛时间。

VLAN(Virtual Local Area Network)

VLAN可以将一个规模较大的广播域在逻辑上划分成若干个不同的、规模较小的广播域，由此有效提升网络安全性，减少垃圾流量，节约了网络资源。

广播域带来问题：网络安全问题&垃圾流量问题

VLAN划分方式

基于端口（Port-based VLAN）
基于MAC地址
基于协议

默认vlan：vlan1

Trunk端口 Page112

交换机之间直连的链路上的端口

一个Trunk端口可以同时属于多个VLAN
除了要配置PVID之外，还必须配置允许通过的VLAN ID列表
当一个Tagged帧从本交换机的其他端口到达一个Trunk端口后，如果这个真的Tag中的VID在允许通过的VLAN ID列表中，且VID与PVID相同，则交换机会对这个Tagged帧的Tag进行剥离，然后将得到的Untagged帧从链路上发送出去。

Access端口 Page112

交换机与终端计算机直接相连的链路上交换机一侧的端口称为Access端口

一个Access端口只能属于某个特定的VLAN

VLAN的三层通讯

多臂路由器：每个VLAN占用路由器一个物理接口
单臂路由器：节约路由器的物理接口资源；单臂链路提供带宽有限，单臂链路中断导致VLAN间通讯中断
三层交换机：

网络应用服务

DHCP

Client/Server

+ 发现阶段：广播帧，载荷数据为UDP报文，server端口67，client端口68
+ 提供阶段：广播帧，交易号
+ 请求阶段：广播帧，server idertifier
+ 确认阶段

DHCP中继代理
DHCP Relay Agent 的基本作用就是专门在DHCP Client 和 DHCP Server 之间进行 DHCP 消息的中转。

DHCP服务的地址池有两种类型
接口地址池的优先级比全局地址池高

FTP

文件传输协议。TCP/IP协议中，FTP标准命令TCP端口号为21，Port方式数据端口为20。TCP传输

传输模式

ASCII模式：传输文本
二进制模式：发送图片文件和程序文件

Telnet

Telnet可以通过终端对本地和远程的网络设备进行集中管理。

VRP用户级别0-15
命令级别：0参观级，1监控级、2配置级、3管理级

认证模式

AAA：用户名和密码
Password：登录密码

企业网络互联

网络地址转换技术（NAT）

可用地址：
A类：0.0.0.0~127.255.255.255
B类：128.0.0.0~191.255.255.255
C类：192.0.0.0~223.255.255.255
D类（组播）：224.
私有地址：
A类：10.0.0.0~10.255.255.25
B类：172.16.0.0~172.31.255.255
C类：192.168.0.0~192.168.255.255

静态NAT：建立并维护一张静态地址映射表，固定一一映射，不能节约公有ip
动态NAT：一个公有IP地址资源池和一张动态地址映射表
NAPT：将TCP报文或UDP报文中的端口号作为映射参数纳入公有IP地址与私有IP地址之间的映射关系中，从而使得同一个公有ip地址在同一时刻可以与多个私有ip地址进行映射
Easy IP：只会用到一个公有IP地址（部署Easy IP的路由器的出接口IP地址，其IP地址可手工配置或动态分配）

PPP

PPP接口是数据链路层（二层）通信的终结点，所以说，PPP接口是三层接口。广域网技术。
PPP帧不包括MAC地址（MAC地址对于PPP接口来说毫无意义）
PPP技术和Ethernet技术一样都是数据链路层的技术。

链路建立阶段
认证阶段
网络层协议阶段

PPPoE

PPPoE（PPP over Ethernet）是一个允许在以太广播域中的两个以太接口之间创建点对点隧道的协议，它描述了如何将PPP帧封装在以太帧中。

工作过程：
+ Discovery发现阶段
+ Session会话阶段

IP报文——PPP帧——PPPoE报文——以太帧

WLAN

WLAN历史概述

初步应用，二战
1971 第一个基于封包式技术的无线电通讯网络——ALOHNET网络
1990，IEEE启用802.11项目

无线射频

无线电波是频率介于3hz和300GHz之间的电磁波。
+ 2.4GHz工作频段 IEEE 802.11 b/g/n 特高频UHF 波长12cm
+ 5GHz工作频段 IEEE 802.11 a/n 超高频SHF 波长5+cm

WLAN频段介绍

ISM频段
+ 工业频段：902-928MHz
+ 科学频段：2.4-2.4835GHz
+ 医疗频段：5.725-5.875GHz

信道

美国：1-11
欧洲：1-13
日本：1-14
中国：1-13

在2.4GHz频段下工作可以获得更大的使用范围和更强的抗干扰能力
5GHz几乎被限制在直线范围内使用，这导致必须使用更多的接入点，同样还意味着5GHz不能传播得像2.4GHz那么远

WLAN拓扑介绍

基本服务集（Basic Service Set，BBS）
只要位于基本服务区域，工作站就可以跟同一个BSS的其他成员通信。
所谓ESS，就是利用骨干网络将几个BSS串联在一起。
服务标识符SSID：用户所谓的网络名称。在一个ESS内SSID是相同的。
基本服务集标识符BSSID：AP的MAC地址

AP

AP支持多SSID，目前的AP已经支持同时创建多个扩展服务集
如果一个AP可以同时支持多个SSID的话，则AP会分配不同的BSSID来对应这些SSID。
BSSID是AP的MAC地址
无线接入点也为半双工的模式
AP之间使用互相不重叠的信道，AP之间信号覆盖重叠区域为10%-15%。

WDS

通过无线链路链接两个或者多个独立的有线局域网或者无线局域网，组建一个互通的网络，从而实现数据访问。
WDS架构可以做到一对多

相比传统有线网络，WDS具有以下优势：

WDS无需架线挖槽，可以实现快速部署和扩容。
有线网络连接除电信部门外，其它单位的通信系统在公共场所没有敷设电缆的权力，而无线桥接方式则可根据客户需求使用2.4G和5.8G免许可的ISM频段灵活定制专网。
有线网络运维故障排查难度大，而WDS只需维护桥接设备，故障定位和修复快捷。
WDS组网快，支持临时、应急、抗灾通信保障。

三种模式：Root（靠近AC）、Middle、Leaf

WDS组网拓扑

点对点：Root-Leaf，应设置为相同的信道
点对多点：Root-Multi Leaf，多个分支网络的互通都要通过中心桥接设备进行数据转发
中继AP：无线中继器用来在通讯路径的中间转发数据，从而延伸系统的覆盖范围。
手拉手：Root-Middle-Leaf，典型室内组网场景
背靠背：Root-Leaf-Root-Leaf，典型室外组网场景；当需要连接的网络之间有障碍物或者传输距离太远时
Mesh网络：是指利用无线链路将多个AP连接起来，并最终通过一个或两个Portal节点接入有线网络的一种星型动态自组织自配置的无线网络。

802.11协议介绍

802.11规定了一个基站和无线客户端或两个无线客户端之间通过空气传输的接口。

802.11b: 11Mbps，支持14个信道，3个信道不重叠，22MHz；OFDM（正交频分复用）
802.11n: 600Mbps，MIMO与OFDM相结合，兼容802.11a/b/g，吞吐能力大大增强；40MHz 更多子载波，更高编码比率，更短GI，更宽信道，更多空间流

802.11帧

控制帧：用于竞争期间的握手通信和正向确认、结束非竞争期等；
数据帧：用于在竞争期和非竞争期传输数据；四个地址字段（接受地址，发送地址，xxx，xxx）
管理帧：主要用于STA与AP之间协商、关系的控制，如关联、认证、同步等；

安全

TCP IP协议

IPV4安全隐患

缺乏数据源验证机制
缺乏完整性验证机制
缺乏机密性保障机制

在TCP/IP协议栈中，绝大多数协议没有提供必要的安全机制，例如：

不提供认证服务
明码传输，不提供保密性服务，不提供数据保密性服务
不提供数据完整性保护
不提供抗抵赖服务
不保证可用性——服务质量（QoS）

MAC欺骗

攻击者将自己的MAC地址更改为受信任系统的地址。
措施：通过在交换机上配置静态条目，绑定到正确的出接口，就能避免Mac欺骗攻击风险。

ARP欺骗

比如当主机收到ARP响应包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表。
措施：ARP地址绑定

IP欺骗攻击（IP Spoofing）

IP欺骗是利用了主机之间的正常信任关系来发动的。基于IP地址的信任关系的主机之间
将充许以IP地址为基础的验证，允许或者拒绝以IP地址为基础的存取服务。信任主机之
间无需输入口令验证就可以直接登录。

Smurf

Smurf攻击方法是发ICMP应答请求，该请求包的目标地址设置为受害网络的广播地址
，这样该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。

缓冲区溢出攻击

益处，可能导致系统崩溃

被动攻击

侦听、窃听，获取机密信息，透明，难以发现
措施：数据加密

主动攻击

假冒攻击、篡改攻击、拒绝服务攻击

防火墙基础技术

防火墙特征

逻辑区域过滤器
隐藏内网网络结构
自身安全保障
主动防御攻击

防火墙分类

形态

硬件防火墙（功能更强）
软件防火墙

保护对象

单机防火墙
网络防火墙

访问控制方式

包过滤防火墙（检测报头 IP、TCP、APP）包过滤是指在网络层对每一个数据包进行检查，根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是：通过配置访问控制列表（ACL, Access Control List）实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。包过滤防火墙的转发机制是逐包匹配包过滤规则并检查，所以转发效率低下。
代理防火墙
状态检测防火墙
- 状态检测是包过滤技术的扩展。基于连接状态的包过滤在进行数据包的检查时，不仅将每个数据包看成是独立单元，还要考虑前后报文的历史关联性。
- “状态检测”机制以流量为单位来对报文进行检测和转发，即对一条流量的第一个报文进行包过滤规则检查。这个“状态”就是我们平常所述的会话表项。
- 状态检测防火墙在网络层截获数据包
- 会话表五元组：源IP地址，源端口，目的IP地址，目的端口，协议号

VPN技术

虚拟专用网（VPN）是指通过共享的公共网络建立私有的数据通道，将各个需要接入虚拟网的网络或终端通过通道连接起来，构成一个专用的、具有一定安全性和服务质量保证的网络。

隧道技术——身份认证——数据认证——加解密技术——密钥管理技术
主要的第三层隧道协议有VTP、IPSec。IPsec由多个协议组成，并通过这个协议集来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。

加密技术

加密服务：保密性、完整性、鉴别性、抗抵赖性

信息加密的四个关键要素：

明文、密文、加密算法和密钥

对称加密算法也叫传统密码算法（秘密密钥算法、单钥算法），加密密钥能从解密密钥
中推算出来。
衡量对称算法优劣的主要尺度是其密钥的长度。
- 加解密速度快；
- 密钥分发问题
- 没有签名机制因此也不能实现抗可抵赖问题
非对称算法也叫公钥加密，使用两个密钥：一个公钥和一个私钥，这两个密钥在数学上是相关的。
公钥算法的主要局限在于，这种加密形式的速度相对较低。
- 密钥安全性高；
- 加解密对速度敏感
对称和非对称密钥算法通常结合使用，用于密钥加密和数字签名，即实现安全又能优化性能。

常见的对称加密算法

流加密算法：RC4（面向字节操作）
分组加密算法：DEC、3DES、AES、IDEA、RC2、RC5、RC6

密钥交换：

用对称算法加密明文；用非对称算法加密会话密钥（对称算法的密钥）

数据认证--散列算法

把任意长度的输入变换成固定长度的输出
+ MD5
+ SHA-1（哈希运算）

数字证书

数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。
在数字签名应用中，发送者的公钥可以很方便地得到，但他的私钥则需要严格保密。（私钥加密，公钥解密）

主体部分、算法部分、签名部分；主体部分：
证书版本号、证书序列号、签名算法标识、签发CA名称、证书有效期、证书持有者名称、证书公钥

VPN技术应用

L3VPN：IPSec VPN、GRE VPN
L2VPN：PPTP、L2F、L2TP

按业务用途划分

Access VPN：企业内部或远程办公
Intranet VPN：企业各分支
Extranet VPN：B2B

GRE VPN

GRE（Generic Routing Encapsulation）即通用路由封装协议，是对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。

GRE VPN可以实现任意一种网络协议在另一种网络协议上的封装。与IPSec相比，安全性没有得到保证，只能提供有限的简单的安全机制。
特点：

GRE是一个标准协议
支持多种协议和多播
能够用来创建弹性的VPN
支持多点隧道
能够实施QOS

缺点：

缺乏加密机制
没有标准的控制协议来保持GRE隧道（通常使用协议和keepalive）
隧道很消耗CPU
出现问题要进行DEBUG很困难
MTU和IP分片是一个问题

VPDN隧道协议

是指利用公共网络的拨号功能及接入网来实现虚拟专用网，从而为企业、小型ISP、移动办公人员提供接入服务。

VPDN隧道协议可分为PPTP、L2F和L2TP三种，目前使用最广泛的是L2TP

L2TP 二层隧道协议

结合了L2F协议和PPTP协议

项目管理

项目是：为完成某一独特产品或服务所做的一次性努力
+ 临时性 temporary
+ 独特性 unique
+ 逐步完善 progressive elaboration

项目启动阶段

立项申请——组建项目组——策划/制作任务书——项目开工会（项目目标、管理方式、工作方式……）

项目计划阶段

工作分解结构——活动排序——资源、工期、成本估算——进度计划——风险沟通计划——项目计划
+ 工作分解结构：WBS，大事化小；完全穷尽，彼此独立
+ 活动排序：前导图PDM
+ 资源、工期、成本估算：3W1H——专家判断法、自下而上估算法、类比估算法、参数成本法
+ 进度计划：关键路径法、甘特图；
+ 风险沟通计划：

- 识别风险
-  评估风险等级（可能性y，影响力x）
- 风险响应计划：规避、转移、减轻、接受

沟通计划：四个适当：适当的时间、信息、渠道、利益干系人三大原则：及时、准确、信息量恰到好处

项目实施阶段

沟通需求：职责、授权、协调、状态；
项目监控
变更管理

项目收尾阶段

评估与验收
项目总结
文件归档

前导图

指按工作先后顺序把每项工作作为一个方块，按照先后顺序用带箭的界限图表示。单代号工作位于节点上，也就是说每一个节点表示一个工作，用箭头表示工作的先后顺序和相互关系。

关键路径法(CPM - Critical Path Method)

工期总和最长的一条路径称为关键路径，它是完成该项目所需的最短时间。关键路径上的每一项任务都是关键任务，这些任务的完成时间一有延迟，就会影响项目或阶段的完成时间。

关键路线法沿着项目进度网络线进行正向与反向分析，从而计算出所有计划活动理论上的最早开始与完成日期、最迟开始与完成日期，不考虑任何资源限制。由此计算而得到的最早开始与完成日期、最迟开始与完成日期不一定是项目的进度表，他们只不过指明计划活动在给定的活动持续时间、逻辑关系、时间提前量与滞后量，以及其他已知制约条件下应当安排的时间段与长短。

甘特图

甘特图内在思想简单，即以图示的方式通过活动列表和时间刻度形象地表示出任何特定项目的活动顺序与持续时间。基本是一条线条图，横轴表示时间，纵轴表示活动（项目），线条表示在整个期间上计划和实际的活动完成情况。它直观地表明任务计划在什么时候进行，及实际进展与计划要求的对比。管理者由此可便利地弄清一项任务（项目）还剩下哪些工作要做，并可评估工作进度。

OSI模型

物理层：数字信号转换物理信号，实现物理信号的发送、接受，以及在介质上的传输过程。
数据链路层：逻辑意义上的数据链路，点对点或点到多点的直连通信网络层实体间提供数据发送和接收的功能和过程；提供数据链路的流控。
网络层：任意两个节点之间的、全局性的数据传递控制分组传送系统的操作、路由选择、拥护控制、网络互连等功能，它的作用是将具体的物理传送对高层透明。
传输层：建立、维护和取消一次端到端的数据传输过程，控制快慢，调整排序提供建立、维护和拆除传送连接的功能；选择网络层提供最合适的服务；在系统之间提供可靠的透明的数据传送，提供端到端的错误恢复和流量控制。
会话层：在通信双方之间建立、管理和终止会话提供两进程之间建立、维护和结束会话连接的功能；提供交互会话的管理功能，如三种数据流方向的控制，即一路交互、两路交替和两路同时会话模式。
表示层：数据格式的转换代表应用进程协商数据表示；完成数据转换、格式化和文本压缩。
应用层：向用户应用软件提供丰富的系统应用接口提供OSI用户服务，例如事务处理程序、文件传送协议和网络管理等。

Jiajie's nap

华为网络技术比赛学习笔记

云计算