HCDP笔记

mux vlan分为主vlan和从vlan,从vlan又分为互通型和隔离型。
主vlan和从vlan可以通信，互通型从vlan内的端口之间可以互相通信，隔离型从vlan内的端口之间不能相互通信，不同从vlan之间不能相互通信。

arp 使得处于不同物理网络但网络号相同的主机之间可以正常的相互通信。
路由式arp proxy 解决同一网段不同物理网络上的计算机的互通问题。
vlan内arp proxy 解决相同的vlan内，且vlan配置用户隔离后的网络上计算机互通问题。
vlan间的arp proxy 解决不同vlan之间对应的计算机三层互通问题。（可在super vlan对应的vlanif接口启动vlan间proxy arp功能，实现sub vlan间的用户互通）
super vlan 解决了IP地址资源浪费的问题。
用于隔离广播域的 vlan叫做sub-vlan，与该子网对应的vlan叫做super-vlan，多个sub-vlan组成一个super-vlan。

vlan mapping实现用户用户vlan和业务vlan相互转换的一个功能。
int gi 0/0/1 qinq vlan-translation enable 使能接口 vlan间转换功能
port vlan-mapping vlan 1 to 20 map-vlan 100

端口隔离是交换机端口之间的一种访问控制安全控制机制

全局 port-isolate mode enable 配置端口隔离模式
端口 port-isolate mode enable 使能

qinq协议在用户私网vlan tag 之外封装公网vlan tag，在公网中报文职根据公网vlan tag传播。qinq 为用户提供了一种较为简单的二层vpn隧道。
qinq 基于802.1q封装
报文封装双层vlan tag 外层tag 内层tag
qinq实现方式
基于端口(通过dot1q-tunnel，此属性不支持二层组播功能) 灵活qinq (vlan stacking) 基于流的灵活qinq （基于acl的灵活的qinq）
rstp端口标识，1字节长度的端口优先级和1个字节长度的端口号。

灵活qinq 接口类型为hybrid或者trunk(只允许)时，才能配置灵活qinq ，端口学习mac地址时，学习的是qinq报文外层vlan的mac地址

基于流的灵活qinq通过全局配置流分类，流行为，再将流策略绑定流分类和流行为来实现
相对灵活qinq，基于流的灵活qinq还可以根据入报文的内层vlan的属性来加s-vlantag,配置更加灵活

qinq配置 基于端口
int gi 0/0/1 port link_type dot1q-tunnel
port default vlan 3
灵活qinq 配置
int gi 0/0/1 port link_type hy(默认为hy，可以不配) port hy untagged vlan 3/port vlan-stacking vlan 200 to 300 stack-vlan 3
tpid 配置 int gi 0/0/1 qinq protocol 0x9100(缺省为0x8100)
stp
mac地址表是目的mac地址和目的端口的对应关系
环路引起的问题 广播风暴 mac地址表不稳定，而且生成了错误的表项
为了计算生成树，交换机之间需要交换相关信息和参数，这些信息和参数被封装在配置bpdu中在交换机之间传递，配置bpdu是bpdu的一种、
生成树的第一步是选举根交换机，根交换机的选举基于交换机标示识（bridge id ）
交换机标

识由2字节的交换机优先级和六子节长度的mac地址
优先级 取值是0-65535 默认是32768
网络中交换机标识最小的成为根交换机，优先级同则比较mac地址，值越小越优先
端口标识包含一个字节长度的端口优先级（默认为128）和一个字节长度的端口号
交换机端口角色 root port designated port alternate port
解决临时环路在一个端口从不转发状态进入转发状态之前，等待足够长的时间，以使需要进入不转发的端口有足够时间完成生成树计算，并进入不转发状态
forward delay 间隔默认15S,从一个端口从不转发状态进入转发状态之前需要等待2次forward delay间隔
端口状态 disable-blocking-listening-forwarding

root identifier root path cost,bridge identifier 和port identifier用于检测最优的配置bpdu，进行生成树计算

拓扑改变bpdu 拓扑改变确认配置bpdu 拓扑改变配置bpdu

proposal-agreement 只适用于点到点网络
stp point-to-point force-true （false auto ）用来标识与当前以太网端口相连的链路是点到点链路(全双工被确认是点到点链路)
配置边缘端口 stp edge enable/disable(缺省情况都为非边缘端口)

单个生成树弊端 部分vlan路径不通、无法适用流量分担、次优二层路径

stpmax-hops命令用来在交换机上设置mst域的最大跳数，此命令只在MST域内的域根交换机上起作用1-40（默认为20跳）tion
边缘端口正常情况是不会收到BPDU的，如果边缘端口收到了伪造的更优bpdu会重新计算生成树，造成拓扑震荡
stp bpdu_protection用于开启边缘端口的保护功能（默认不开启边缘保护）
stp loop-protection 环路保护
tcp-bpdu tc-bpdu保护功能

dhcp snooping是一种dhcp安全特性，通过截获DHCP clinet 和 dhcp relay 之间的 dhcp报文并分析处理，可以过滤不信任的dhcp报文并建立和维护一个dhcp snooping绑定表。
绑定表宝华MAC地址、IP地址、租约时间、VLAN ID 、接口信息。
dhcp snooping通过绑定表的维护，建立一道dhcp client和dchp server 之间的防火墙。
dhcp snooping 可以解决设备应用dhcp时遇到的dhcp dos dhcp server仿冒攻击、dchp仿冒续租报文攻击等问题。

dhcp snooping关键技术
信任/非信任端口，一般通向dhcp 服务器设成信任，其他端口设成非信任。
option82,时用于 dhcp协议报文中选项部分之中的一项，用于记录报文入端口的类型，端口号，vlan信息以及桥mac地址，时生成绑定表的重要部分。
dhcp服务器和dhcp客户端之间的dhcp报文中继次数不能超过4次，否则dhcp报文被丢弃。
一个 super vlan下使能了dhcp中继功能之后，则该super-vlan下不能使能dhcp snooping功能。

mpls
传统IP转发时面向无连接的，无法提供好的qos保证。
mpls是一种标签转发技术，采用无连接的控制平面和

面向链接的数据平面，无链接的控制平面实现路由信息的传递和标签的转发，面向链接的数据平面实现报文在建立的标签转发路径上传送。
CE 用户边缘设备 PE 服务商边缘交换机 P 是服务提供商网络中的骨干交换机，不与CE直接相连。vpn数据在封装MPLS的标签转发路径中传递。
mpls te结合了mpls技术与te流量工程，通过建立到达制定路径的lsp隧道进行资源预留。使网络流量绕开拥塞节点，可以达到平衡网络流量的目的。
mpls和differserv完美配合，提供qos功能。

mpls有2种封装模式，帧模式和信元模式，帧模式封装时直接在报文的二层头部和三层头部之间增加一个mpls标签头。以太网、PPP采用这种封装格式。
ftn将fec映射到nhlfe
mpls环路检测
igp环路检测机制
ttl环路检测
帧模式的mpls中使用ttl
信元模式的mpls中无ttl
ldp环路检测 距离向量法 最大跳数法
undo ttl propagate public 取消拷贝ip ttl 值
缺省配置为不进行ldp环路检测。
MPLS需要使用标签分发协议完成标签烦人分配控制和报纸，目前有很多种标签分发协议，LDP时其中之一
fec 转发等价类
ldp消息承载在UDP或者tcp之上，端口号为646。
discovery message 用来发现邻居，承载在UDP报文上，LDP要求可靠而有序地传递消息，所以LDP使用TCP建立session,session message.advertisement message消息。
标签空间有基于平台的标签空间和基于接口的标签空间，当后2bytes填充0时表示基于平台的标签空间，帧模式封装的mpls使用基于平台的标签空间，信元模式的mpls使用基于接口的标签空间。
基于平台的标签空间中，lsr为一个目的网段分配只分配一个标签，并将该标签发送给所有的ldp peers，该标签基于平台，可以用于本lsr任意一个入接口，该方式可以节省标签。
标签分发有2种方式，du和dod。
标签控制方式分为ordered和independent
缺省的标签保持方式为liberal
vrp5.30推荐组合，du+ordered+liberal
PHP penultimate hop poping倒数第二跳弹出


dhcp报文中的option字段，采用 clv方式构成。
dhcp报文采用udp封装。
NAC包含三个组件，通信代理、网络访问控制设备、策略服务器。
当发送eapol数据帧的时候，目的地址为组MAC地址01-80-c2-00-00-03。
已有上线用户，不能undo dot1x enable。
若在接口下配置dot1x port-method命令指定认证方式为基于接口port对接入用户进行认证，则接口的最大接入用户数量变为1，此时不能执行dot1x max-user命令，需要undo dot1x port-methond才能再进行最大用户数量的配置。
eapol数据包格式
pae ethernet type 协议类型，值为0x888E,version为1个字节。
在二层上应用dhcp snooping时，不配置option82功能也可以获得绑定表所需的接口信息。
使能option82功能，

可以根据option82信息建立精确到接口的绑定表。

ldp路径向量法和最大跳数通过2类TLV实现，path vector 和 hop count tlv。
mpls是一种标签转发技术，采用无连接的控制平面和面向连接的数据平面。
pop移除顶部标签。
advertisement message 用来生成、改变、和删除FEC的标签映射。
标签控制方式分为独立和有序。
标签保持方式分为自由和保守。
控制平面负责产生和维护路由信息以及标签信息，数据平面负责普通IP报文的转发以及带MPLS标签报文的转发。
qinq帧和802.1Q帧有区别的，qinq帧有2层vlan tag，相比802.1Q帧多的是在802.1Qvlantag之前插入4B长度的vlan tag。
qinq报文公网tag中的tpid缺省值是0x8100,可以使用qinq protocol修改。
端口类型为dot1q-tunnel时，该端口加入的vlan不支持二层组播功能。
在出方向对报文的TPID进行修改和添加。
可以在SUPER VLAN对应的vlanif接口启动vlan间的proxy arp功能，实现sub vlan间的用户互通。
缺省模式下，端口隔离为二层隔离三层互通。
与stp不同， rstp响应拓扑结构改变的使用的是部分删除机制。
边缘端口开启保护后，收到bpdu消息关闭端口。

dchp option字段长度不固定
dhcp 租期87.5%发送广播 dhcp request报文。
不同的接口可以配置不同的guest vlan
dhcp中的options字段至少312字节
如果用户想释放IP地址，则发送DHCP release报文，报文中的client ip address填充已获得的IP地址
DHCP和bootp具有相同的报文格式
当eap包为成功和失败类型时，没有data域
session message 作用在LDP session 建立过程中协商参数，监控LDP session的TCP建立的完整性
mpls的标签位置在二层头后面，三层头前面。