未携带tag的帧会打上缺省VLAN的tag

untagged列表中的VLAN，剥离tag转发

tagged列表中的VLAN，保留tag转发

其他VLAN不予放行

定义

注意点

MVRP端口模式

全局开启MVRP

端口开启MVRP

配置端口MVRP模式

私有VLAN

用于解决大规模园区网中，VLAN数量不够用的问题

Primary VLAN连接上行设备

Secondary VLAN连接下行终端

上行接口为Hybrid类型，缺省VLAN为Primary VLAN，放行Primary VLAN和所有Secondary VLAN剥离tag通过

下行接口为Hybrid类型，缺省VLAN为本地Secondary VLAN，放行Primary VLAN和本地Secondary VLAN剥离tag 通过

对上行设备来说，Secondary VLAN不可见

各Secondary VLAN学习的MAC地址自动同步到Primary VLAN

Primary VLAN学习的MAC地址会自动同步到各Secondary VLAN

借助上层设备的三层接口开启本地代理ARP实现

借助本地交换机Primary Vlan的三层接口开启本地代理ARP实现 需要交换机开启L3域功能

超级VLAN

用于实现多个VLAN公用同一个IP网段，节省IP地址资源

Super VLAN只建立三层接口，不包含物理接口，不允许吧物理口以access加入到super vlan ，也不允许trunk口放行super vlan

Super VLAN包含若干Sub VLAN，为Sub VLAN提供三层转发服务

Sub VLAN连接终端，保留各自独立广播域

所有Sub VLAN通过Super VLAN的三层接口与外部通讯

Sub VLAN间的三层互通通过代理ARP实现

当前VLAN配置为Primary VLAN

配置Secondary VLAN

配置当前接口为上行接口

配置当前接口为下行接口

配置当前VLAN为Super VLAN

配置Sub VLAN

对数据包进行一次路由查表后，生成具体目的地址的转发表项

后续报文直接根据此表项进行精确匹配转发

对每个目的IP生成转发表项，表项规模庞大

基于硬件的最长匹配的三层交换技术

所有报文的转发都通过硬件快速匹配完成转发

H3C私有计算标准

如果涉及到跨厂商的交换机对接STP，需要修改计算标准一致

交换机有端口转变为Forwarding状态，且该交换机至少包含一个指定端口

交换机上有端口从Forwarding或Learning状态转变为Blocking

Discarding

Learning

Forwarding

根端口

指定端口

Alternate端口

Backup端口

BPDU Type为2

Protocol Version ID 为2

使用了Flags字段的全部8位

增加了Version1 Length字段

每台交换机自行从指定端口发送RST BPDU

RST BPDU老化时间为3个连续的Hello time

阻塞状态的端口可以立即对收到的低优先级RST BPDU做出回应

边缘端口通电后，可以直接进入转发状态，不进行STP运算

边缘端口UP/DOWN，不会触发拓扑状态变更

边缘端口收到BPDU，会转变为非边缘端口

根端口故障后，如果新的根端口对端的指定端口处于转发状态，则新的根端口立即进入转发状态

P/A机制

只有非边缘端口转变为Forwarding，才产生拓扑改变

拓扑变更后，向所有其他指定端口和根端口发送TC置位BPDU

收到TC置位BPDU，清除其他所有端口学习的MAC地址

由于每台交换机都可以主动发起RST BPDU，所以取消了TCN机制

定义

相同域的必要条件

内部生成树

每个MST域独立计算的内部生成树实例

实例0

公共生成树

用来互联MST域的单生成树（把每个MST域作为一台交换机，计算出的生成树实例）

公共内部生成树

CST+每个域的内部IST

每个IST的根网桥

整个CIST的根网桥

CST的根端口

单域MSTP中不可能存在Master端口

多域MSTP中，根域不可能存在Master端口，其他域只有一个

Auto 自动识别

dot1s 标准格式

Legacy 与非标准格式兼容的格式

其他厂商设备可能使用私有密钥计算配置摘要

开启摘要侦听使设备不在对比配置摘要，但会导致只要域名和修订级别一致，VLAN映射关系不一致也能属于同一域

可全局开启，也可接口开启

P/A机制的问题

配置No Agreement Check特性后，MSTP不再检查Propsal报文中的A位是否置位

进入MST域配置模式

配置MST域名

配置修订级别

配置实例和VLAN映射关系

激活MST配置

配置交换机为实例的主备根

查看MST域配置

当边缘端口收到BPDU后，将转换成非边缘端口，重新参与生成树计算

使用PC伪造BPDU报文恶意攻击，将导致STP频繁重计算

开启BPDU保护后，边缘端口收到BPDU，则MSTP会关闭该端口

合法根网桥收到优先级更高的BPDU，将失去根网桥角色，并引起STP重计算

设置根桥保护的端口，一旦收到优先级更高的BPDU，则立即将端口设置为Listening状态，不在转发报文

环形链路拥塞，导致没有及时收到BPDU报文，从而重新计算STP，开启阻塞端口，形成逻辑环路

配置环路保护的端口，当接收不到对端交换机的BPDU时，如端口参数了STP计算，则该端口进入Discarding状态

使用PC伪造TC-BPDU发送，将导致交换机频繁清除MAC地址表，导致网络不稳定

设置交换机在收到TC-BPDU的10秒内，MAC地址表删除的最大次数

配置BPDU保护

配置根桥保护

配置环路保护

配置TC保护

平均无故障时间

故障平均修复时间

链路聚合

RRPP

Smart-Link

设备自身备份技术

VRRP

IRF

用于选择链路聚合成员端口的配置信息

由参考端口的第二类配置生成

第二类配置与操作Key一致，端口才能被选中

用来选择聚合成员端口的标准端口

包括速率、双工模式、链路状态(UP/DOWN）这三项配置，速率和双工模式会参与参考端口选举，链路状态会影响成员端口是否被选中

不参与操作Key计算的配置信息

MVRP、MSTP等

参与操作Key计算的配置信息

Vlan配置、端口类型、QinQ、Mac地址学习配置

端口不与对端设备交互信息

参考端口选举规则

端口使用LACP协议与对端交互信息

参考端口选举规则

配置链路聚合模式为动态模式

配置LACP优先级

配置端口优先级

配置最大可用接口数量

双上行的两个端口组成一个Smart-link组，配置为主端口和副端口

主端口链路故障，立即切换为副端口转发数据

Smart-link组允许转发的VLAN

以MST实例的形式进行映射

FLUSH报文转发的VLAN

技术背景

解决方案

默认主端口故障恢复后，不会发生角色抢占

可通过配置使主端口自动抢占角色

Smart-link、STP、RRPP同时只能运行一种

配置Smart-link时，需要在相关接口上关闭STP特性

用于把上行链路的存活状态同步到下行链路

使Smart-link可以感知到跨设备的链路故障

上行端口

下行端口

当所有上行端口Down，自动关闭下行端口

任意一个上行端口Up，自动开启下行端口

创建Smart-link组

配置保护VLAN

配置控制VLAN

Smart-link视图下配置端口角色

接口视图下配置端口角色

开启角色抢占

上行交换机配置控制VLAN

创建Monitor-link组

配置端口角色

共同运行同一个RRPP协议的网络范围

主要环结构

主环和子环的健康状态检测都在主环上进行

和主环相连的其他环结构

定义

分类

主端口

副端口

边缘端口

公共端口

主节点的主端口周期性发送Hello报文

传输节点转发该报文

如副端口能够周期性接收到Hello报文，判断为环网正常，超出周期未收到，则判断环网故障

检测到环网故障，主节点立即开启副端口

环网故障后，故障所在节点立即向主节点发起Link-down报文

主节点收到Link-down报文后，立即开启副端口

子环主节点的主端口周期性发送Hello报文

Hello报文分别沿主环链路和主环与子环相交的链路转发

只有两条链路同时故障，才会导致子环主节点的副端口无法收到Hello报文，判断为子环故障

子环故障后，子环主节点立即开启副端口

该机制会导致多子环环境产生环路

正常情况下，边缘节点周期性沿主环链路和主环与子环相交的链路发送Edge-hello报文，该报文会被辅助边缘节点接收

当两条链路同时故障，辅助边缘节点无法收到Edge-hello报文，立即沿子环链路发送Major-fault报文

边缘节点收到Major-fault报文后，立即阻塞所有边缘端口

阻塞完成后，子环主节点开启副端口

该机制会造成部分设备成为孤岛设备

边缘即节点上只有子环ID最小的才能发送Edge-hello报文

辅助边缘节点上任意子环收到Edge-hello报文，都会通知其他子环

传输节点链路故障，主节点收到Link-down报文后，切换至Faied状态，并放开副端口;主节点发送Common-Flush-FDB报文刷新其他交换机表项

如果Link-down报文未被主节点收到，主节点的副端口无法收到Hello报文，同样会切换至Failed状态，并进行后续操作

当传输节点链路恢复，传输节点状态切换至Preforwardfing状态，阻塞刚刚恢复的端口

主节点的副端口收到Hello报文，状态切换至Complete，阻塞副端口

主节点从主端口发送Complete-Flush-FDB报文

传输节点收到Complete-Flush—FDB报文后，状态切换到Link-Up状态，放开临时阻塞的端口，并刷新表项

传输节点中Preforwarding状态下，一定时间内接受不到主节点的Complete-Flush-FDB报文，也可以自动放开阻塞端口

创建RRPP域

配置控制VLAN

控制VLAN不能提前创建

配置保护VLAN

配置主节点

配置传输节点

配置边缘节点

配置辅助边缘节点

使能RRPP环

使能RRPP

1.优先级大的优先

2.IP地址大的优先

当前的主网关设备故障，导致备份网关无法接收到心跳报文

备份组中出现优先级更高的网关设备 VRRP默认工作在抢占模式

如果网关设备的上行链路故障，而网关本身正常，不会导致角色切换，但发往本网关的数据已经无法连通外部网络

VRRP监视上行接口状态，当上行接口Down，主动降低本网关优先级，以触发角色抢占

配置VRRP虚拟IP地址

配置VRRP优先级

配置接口监视

VRRP中调用接口监视

选举失败的设备会自动重启，重启完成后成为Slave设备

优先级默认为1

创建IRF堆叠口

物理口加入到堆叠口

更改IRF设备ID

激活IRF配置

标识组播接收者

定义组播数据转发方式

建立组播转发路径

定义终端设备加入/离开组播组

维护组播组成员信息

224.X.X.X-239.X.X.X

本地协议预留地址

用户组播地址

本地管理地址

组播MAC地址

任意信源组播

不区分组播源，所有组播源共享同一个组播信息表

指定信源组播

区分组播源，每个组播源维护独立的组播信息表

1.路由器向开启了IGMP的端口发送查询报文，询问该接口下有没有组播接收者

2.收到查询报文的主机，如果希望接收某个组的组播，则向路由器回复report报文，把希望加入的组播组地址通告给路由器；如果不希望接收任何组播，则不回复

3.收到report报文后，路由器就会在本地建立组播组信息表，记录该组的（*、G）表项，后续将会转发该组组播

默默离开

当路由器在后续的查询报文中没有收到某个组的Report报文时，路由器将会把该组的（*、G）表项删除，不再转发该组组播

一个网段中只能有一个路由器负责处理组播，该路由器就是查询器

IGMPv1没有查询器选举机制，只能依靠上层组播路由协议选举

主机以组播224.0.0.1的地址发送report报文，该报文也会发送至其他主机

收到该report报文的主机会启动计时器（10秒）；在该计时器时间内，如果本机也希望加入该组播组，不会重复发送report报文

路由器会周期性向开启了IGMP的接口发送普遍查询报文

其他和IGMPv1一致

1.主机主动向路由器发送Leave报文，通告希望离开的组播组地址

2.路由器收到leave报文后，会发送指定组查询报文，询问该网段内是否还有主机希望接收该组的组播

3.如网段内还有该组接收者，则该接收者会向路由器回复membership-report报文，通告路由器本机还希望接收该组播；如果不希望接收该组播，则不回复

4.如接收到membership-report报文，则不对组播组信息表做任何操作；如没有接收到任何报文，则删除该组播组信息

自动选举

IP地址小的优先

与IGMPv1一致

组地址 过滤模式 源列表

主机通过发送membership-report报文向路由器通告本机当前组播信息状态、过滤模式变化、源列表变化

组状态

源列表

1.路由器发送普遍查询报文

2.收到普遍查询报文的主机，如果希望加入某个组播组，就会发送membership-report报文；报文格式会包含组地址、源过滤模式、源列表

3.路由器收到report报文后，会根据报文的汇总信息，生成相应的组播信息表项

离开某个组播源

离开某个组播组

开启IGMP Snooping后，交换机会把收到普遍查询报文的接口设置为路由器接口

交换机只会把从路由器接口收到的组播报文转发至成员端口；从非路由器端口收到的组播报文丢弃

交换机从某个端口收到IGMP Report报文后，就自动吧该端口加入到组播转发表的成员端口

交换机只会把Report报文从路由器端口转发，所以其他主机不会收到Report报文，不会触发成员报告抑制机制

进入IGMP视图

配置IGMP版本

接口开启IGMP

组播数据在网络中的转发路径

由组播路由协议建立

SPT

RPT

逆向路径转发

组播数据包到达路由器后，执行RPF检查

如果数据包是在到达组播源的最优路径上到达，则RPF检查成功，数据包被转发

如果RPF检查失败，则丢弃数据包

RPF检查基于单播路由表，如果单播路由存在等价路由，则RPF选择吓一跳IP地址大的

RIP组播版本

要求单播使用RIP

OSPF组播版本

要求单播使用OSPFv2

协议无关组播

对单播路由来源无要求

PIM密集模式

假定网络中组播接收者较多，且分部于大部分设备上，采用推的方式分发组播数据

适用于小规模组播网络

PIM路由器之间周期性发送Hello报文来发现、建立和维护邻居关系

如网段中IGMP版本是v1，则Hello报文可以选举查询器

扩散

剪枝

加入

扩散-剪枝-加入周期性进行，形成组播源到接收者之间的SPT

嫁接

断言

状态刷新机制

PIM稀疏模式

采取拉的方式，根据接收者的需求，在组播接收者和组播源之间建立组播分发树

无论网段中的IGMP协议是什么版本，都通过Hello报文选举查询器

与PIM-DM相同

加入

通过加入过程，形成RP到每个组播接收者的RPT

组播源注册

通过组播源注册，形成组播源到RP的SPT

组播源停止注册

RPT向SPT切换

RP

全局开启组播路由功能

创建PIM进程

接口使能PIM，并指定PIM模式

配置静态RP

配置候选RP

配置候选BSR

查看组播路由表

用户验证

授权

计费

用户身份验证过程发生在接入设备上

用户身份验证过程发生在指定的AAA服务器上

可以实现对网络中所有接入点进行集中统一身份验证

使用UDP1812和1813端口传输数据

验证和授权发生在同一台服务器上，不可分离

使用TCP传输

比RADIUS的安全级别更高

TACACS+可以对用户命令行的级别进行授权，而Radius不行

验证、授权、计费可独立运行在不同服务器上

受控端口/非受控端口

授权/非授权

单向/双向受控

基于端口验证

基于MAC地址验证

客户端触发

设备端触发

EAP中继

EAP终结

Guest VLAN

Dynamic VLAN

客户端无需专用拨号客户端，使用方便

用户名格式

支持Guest VALN和Dynamic VLAN

NoRestrictions

autolearn

secure

检查数据帧的目的MAC地址，目的MAC地址未通过验证，则丢弃数据帧

检查数据帧的源MAC地址，源MAC地址未通过验证则做出相应惩罚措施

网络管理站

用于统一管理网络设备的服务器

代理器

接受NMS远程管理的网络设备

管理信息库

用于记录网络设备的各种参数属性

用于描述MIB中某一个属性的路径信息

读团体字

写团体字

报文类型

特点

特点

特点

可以发送和接收LLDP报文

只能发送LLDP报文

只能接受LLDP报文

不能发送接收LLDP报文

本地端口镜像

远程端口镜像

将指定的数据包复制到用户指定的目的地，进行网络检测和故障排除

创建本地镜像组

配置源端口

配置目的端口

开启NTP服务

配置NTP时钟级别

配置NTP服务器地址