（一）技术点介绍
1.WLAN：无线局域网WLAN（Wireless Local Area Network）是一种无线计算机网络，使用无线信道代替有线传输介质连接两个或多个设备形成一个局域网LAN（Local Area Network），典型补数场景如家庭、学校、校园、企业办公楼等。WLAN是一个网络系统，常见的WIFI是这个网络系统中的一种技术，WLAN包含了WIFI。
WLAN优点：
网络使用自由：凡是自由空间均可连接网络，不受限于线缆和端口位置。在办公大楼、机场候机厅、体育场馆、商务酒店等场所适用。
网络部署灵活：对于地铁、公路交通监控等难于布线的场所，采用WLAN进行无线网络覆盖，免去或减少了繁杂的网络布线，实施简单，成本低、扩展性好。
WLAN技术：WLAN技术具有安装便捷、使用灵活、经济节约、易于扩展等优点。但是WLAN技术是以无线射频信号作为业务数据的传输介质，这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改。
WLAN常见安全威胁：
Wi-Fi无认证：攻击者可随意连接无线网络，进而对整个网络进行攻击。
无线数据无加密：攻击者可以通过铜扣抓包对在无线信道中传输的业务数据进行窃听和篡改。
边界威胁：非法AP与合法AP放出相同SSID，导致用户连接非法AP，数据被攻击者截获。
针对以上安全威胁，对应的安全防护措施：
防止未经授权使用网络服务的措施是链路认证和用户接入认证，通过部署企业级用户认证方案，对用户身份进行集中的认证和管理。
提高数据安全的措施是数据加密，通过部署无线入侵检测系统/无线入侵防御系统，实时发现空口威胁和钓鱼AP，并进行反制，保护客户网络不被非法入侵。
常见的WLAN漫游技术有传统漫游、快速漫游、智能漫游、无损漫游等。
WLAN的基本元素：
工作站STA（Station）：支持802.11标准的终端设备。例如带无线网卡的电脑、支持WLAN的手机等。
接入点AP（Access Point）：为STA提供基于802.11标准的无线接入服务，起到有线网络和无线网络的桥接作用。

虚拟接入点VAP（Virtual Access Point）：是AP设备上虚拟出来的业务功能实体。用户可以在一个AP上创建不同的VAP来为不同的用户群体提供无线接入服务。

基本服务集BSS（Basic Service Set）：一个AP所覆盖的范围。在一个BSS的服务区域内，STA可以互相通信。
扩展服务集ESS（Extend Service Set）：由多个使用相同SSID的BSS组成。

分布式系统（Distribution System）：分布式系统是指AP之间通过无线链路连接两个或者多个独立的局域网（包括有线局域网和无线局域网），组建一个互通的网络实现数据传输。
AC+Fit AP集中式部署：
此模式被广泛应用于大中型园区的WiFi网络部署。AC的主要功能是要通过CAPWAP隧道对所有FIT AP进行管理和控制。AC统一给FIT AP批量下发配置，因此不需要对AP逐个进行配置，大大降低了WLAN的管控金额维护成本。同时，因为用户的接入认证可以由AC统一管理，所以用户可以在AP间实现无线漫游。（胖AP一般应用于小型的无线网络建设，可以独立工作，不需要AC配合。）
2.VLAN：VLAN（Virtual Local Area Network）虚拟局域网，将一个物理的LAN在逻辑划分成多个广播域的通信技术。每个VLAN就是一个广播域，VLAN内的主机间可以直接通信，而VLAN间则不能直接互通。当主机数目较多时会导致冲突严重、广播泛滥、性能下降可能会造成网络不可用等问题，通过二层设备实现LAN互连虽然解决冲突严重的问题，但仍然不能隔离广播报文和提升网络质量。
VLAN优点：
限制广播域（广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。）
增强局域网的安全性（不同VLAN内的报文在传输时互相隔离，vlan间不能直接通信）
提高网络的健壮性（故障被限制在一个VLAN内，不会影响到其他VLAN的正常工作）
灵活构建虚拟工作组（用VLAN可以划分不同的用户到不同的工作组同一工作组的用户也不局限于某一固定的物理范围，网络构建和维护更方便灵活）
为了保证羊村用户小羊间的独立和安全，将生活区和教务区划分成不同的vlan，实现了羊村各区域部门间数据的完全隔离。
3.链路聚合：端口绑定技术又称为链路聚合（Link Aggregation）是将一组物理接口捆绑在一起作为一个逻辑接口在一起作为一个逻辑接口来增加贷款的一种方法，又称为多接口负载均衡组。主要是通过在两台设备之间建立链路聚合组，可以提供更高的通讯带宽和更高的可靠性。链路聚合在不需要对硬件进行升级的情况下为设备通信提供了冗余保护。
链路聚合优点：
为逻辑链路增加带宽
增加可靠性
实现链路传输弹性和冗余
实现条件：
每个Eth-Trunk接口下最多包含8个成员接口
成员接口不能配置任何业务和静态MAC地址
Eth-Trunk接口不能嵌套，成员接口不能是Eth-Trunk
一个以太网接口只能加入到一个Eth-Trunk接口
一个Eth-Trunk接口中的成员接口必须是同一类型
可以将不同的接口板上的以太网接口加入到同一个Eth-Trunk
若本地设备使用了Eth-Trunk，与成员接口直连的对端接口也必须捆绑为Eth-Trunk接口，两端才能够正常通信
当成员接口的速率不一致时，实际使用中速率小的接口可能会出现拥塞，导致丢包
当成员接口速率不一致时，学习MAC地址时是按照Eth-Trunk学习的，而不是按照成员接口来学习
4.静态路由：使用静态路由的另一个好处是网络安全保密性高，静态路 是一种需要手工配置的特殊路由，静态路由比动态路由使用更少的带宽。当网络发生故障或者拓扑图发生改变时，静态路由不会自动更新，必须手动重新配置。
静态路由有五个主要的参数：目的地址、掩码、出接口、下一跳、优先级。
静态路由的优点：配置简单、可控性高。
配置注意事项：
两个设备之间通信是双向的，路由也必须是双向的，在本端配置完静态路由后，在对端设备也要配置回程路由。
在网络双出口的场景中，通过配置两条等价的静态路由可以实现负载分担，流量可以均衡的分配到两条不同的链路上；通过配置两条不等价的静态路由可以实现主备份，当主用链路故障时流量切换到备用链路上。
静态路由配置方法：
指定借口：示例：ip route-static 192.168.10.0 24 s1/0/1
指定下一跳：示例： ip route-static 192.168.20.0 255.255.255.0 10.0.12.2
区别：在路由查找上：指定下一跳，会多进行一次路由的递归查找，拿下一跳去进行递归，得出出接口；二层地址解析：指定下一跳使用最后一次递归的下一跳IP地址去解析下一跳二层地址，如果指定出接口的路由，数据包匹配到后直接用目的地址解析下一跳地址。
5.默认路由：默认路由是一种特殊的静态路由，默认路由会大大简化路由器的配置，减轻管理员的工作负担，提高网络性能。
6.VRRP：现网中的主机使用缺省网关与外部网络联系时，如果Gateway出现故障，与其相连的主机将于外界失去联系，导致业务中断。VRRP解决了这个问题，将多台设备组成一个虚拟设备，通过配置虚拟设备的IP地址为缺省网关，实现缺省网关的备份。当网关设备发生故障时，VRRP机制能够选举新的网关设备承担数据流量，从而保障网络的可靠通信。
如下图所示，当Master设备故障时，发往缺省网关的流量将由Backup设备进行转发。

VRRP选举机制：各设备会根据所配置的优先级来选举Master设备，选举过程如下图所示：

在羊村VS狼堡项目中，VRRP与路由状态联动：当上行路由出现异常时，Master设备可以降低一定的优先级，当优先级低于Backup设备的优先级时，Backup设备切换为Master设备，从而避免因为上行路由的异常导致的业务受损。如下图所示：

7.IPSec VPN：VPN（Virtual Private Network）虚拟专用网，是一种在公用网络上建立专用网络的技术。是因为VPN的两个节点之间并没有像传统专用网那样使用端到端的物理链路，而是架构在公用网络如Internet之上的逻辑网络，用户数据通过逻辑链路传输。
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术，通过在公网上为两个或者多个私有网络之间建立IPsec隧道，并通过加密和验证算法保证VPN连接的安全。示意图如下：

IPsec VPN保护的是点对点之间的通信，通过IPsec VPN可以在主机和主机之间、主机和网络安全网关之间或网络安全网关（如防火墙、路由器）之间建立安全的隧道连接。其协议主要工作在IP层，在IP层对数据包进行加密和验证。IPsec加密验证过程示意图如下：

优点：IPsec VPN安全性更高，数据在IPsec隧道中都是加密传输。
IPsec工作在网络层，它直接运行在IP（Internet Protocol互联网协议）上。通常适用于点对点的组网。
8.OSPF：（Open Shortest Path First开放式最短路径优先）是一种主要应用于大型网络的路由协议（链路状态协议），最佳路由是通过链路状态类型的方法实现的。一般用于同一个路由域内。
优点：
可以进行负载均衡
收敛时间短
不会出现环路
采用组播形式收发报文，可以减少对其他不运行OSPF路由器的影响
支持报文加密
支持无类型域间选路
9.NAT：

静态NAT：
静态NAT实现了私有地址和共有地址的一对一映射。
一个公网IP只会分配给唯一固定的内网主机。

Easy IP:
当用户拥有的公网IPv4地址个数较少时，配置了NAT设备出接口的IPv4地址和其他应用之后，没有可用的空闲公网IPv4地址时，可以选择Easy IP，使用出接口的IPv4地址作为私网主机转换后的公网IPv4地址。在设备上配置Easy IP，实现私网主机访问Internet。

10.BGP：自治系统AS（Autonomous System）是指在一个实实体管辖下 的拥有相同选路策略的IP网络。BGP网络中的每个AS都被分配在一 个唯一的AS号，用于区分不同的AS。
BGP使用认证和通用TTL安全保护机制GTSM（Generalized TTL Security Mechanism）两个方法保证BGP对等体间的交换券。
BGP认证：BGP认证分为MD5和Keychain认证，对BGP对等体关系 进行认证是提高安全性的有效手段。MD5认证只能为TCP连接设置认 证密码，而Keychain认证除了为TCP连接设置认证密码外，还可以 对BGP协议报文进行认证。
11.DHCP：动态主机配置DHCP（Dynamic Host Configuration Portocol） 是一种网络管理协议，用于集中对用户IP地址进行动态管理和配置。
DHCP采用UDP作为 传输协议，DHCP客户端发送请求消息到DHCP 服务器68端口号，DHCP服务器回应应答消息给DHCP客户端的67 号端口。
要点：只有跟DHCP客户端在同一个网段的DHCP服务器才能收到DHCP客户端广播的DHCP Discover报文。当DHCP客户端与服务器不在同一网段时，必须部署DHCP中继来转发DHCP客户端和服务器之间的报文。
优点：
准确的IP配置
减少IP地址冲突
IP地址管理的自动化
高效的变更管理
12.ACL：访问控制列表（Access Control List）是由一条或者多条规则组成的集合。ACL本质上是一种报文过滤器。
作用：ACL作为一个过滤器，设备通过应用ACL来阻止和允许特定流量的流入和流出，若没有ACL任何流量都会自由的流入和流出，网络容易遭受攻击.为了保护内网安全，在设备上应用ACL可以封堵网络病毒常用端口，防止Internet上的恶意流量入侵。
提供安全访问
防止网络攻击
提高网络带宽利用率
在防火墙中使用ACL： 防火墙用在内外网络边缘处，防止外部网络对内部网络的入侵，也可以用来保护网罗内部大型服务器和重要的资源。由于ACL直接在设备的转发硬件中配置，在防火墙中配置ACL在保护网络安全的同时不会影响到服务器的性能。

匹配机制：一旦命中即停止匹配。

13.AC：无线控制器，是一种网络设备，用来集中化控制局域网内可控的无线AP，是一个无线网络的核心，负责管理无线网络中的所有无线AP，包括：下发配置、修改相关配置参数、射频智能管理、接入安全控制等，相当于调度官。
14.Fit AP：也称为无线网桥、无线网关。此无线设备的传输机制相当于有线网络中的集线器，在无线局域网中不停地接收和传送数据；瘦AP本身不能进行配置，需要一台专门的设备（无线控制器）进行集中控制管理配置。在狼村VS羊村中采用的是AC+Fit AP集中部署方式。