同网段工作原理

不同网段工作原理

同一个网段的主机不在同一个广播域 特点： ARP代理部署在网关上，主机不需要改动配置 ARP代理使两个网络可以使用同一个网络号 ARP代理只影响主机的ARP表，对网关的ARP表和路由表没有影响

路由式ARP

vlan内ARP

vlan间ARP

动态ARP

静态ARP

免费ARP

通过广播目的IP地址解析目的MAC地址

 报文总长度42字节，前14字节的内容表示以太网首部，后28字节表示ARP请求或应答报文 字段 长度 含义 以太网目的MAC 48比特 以太网目的MAC地址。 发送ARP请求报文时，该字段为广播的MAC地址0xffff-ffff-ffff。 以太网源MAC 48比特 以太网源MAC地址。 帧类型 16比特 数据的类型。 对于ARP请求或应答来说，该字段的值为0x0806。 硬件类型 16比特 硬件地址的类型。 对于以太网，该字段的值为1。 协议类型 16比特 发送方要映射的协议地址类型。 对于IP地址，该字段的值为0x0800。 硬件地址长度 8比特 硬件地址的长度。 对于ARP请求或应答来说，该字段值为6。 协议地址长度 8比特 协议地址的长度。 对于ARP请求或应答来说，该字段值为4。 OP 16比特 操作类型。OP的值与操作类型的关系如下： 1表示ARP请求报文。 2表示ARP应答报文。 源MAC 48比特 源MAC地址。 该源MAC地址与以太网首部中的以太网源MAC相同。 源IP 32比特 源IP地址。 目的MAC 48比特 目的MAC地址。 发送ARP请求报文时，该字段为全0的MAC地址0x0000-0000-0000。 目的IP 32比特 目的IP地址。

以太网目的MAC--以太网源MAC--帧类型--硬件类型--协议类型--硬件长度--协议长度--OP--源MAC--源IP--目的MAC--目的IP

DHCP snooping

配置动态ARP检测 （DAI）

畸形攻击：向目标设备发送有缺陷的IP报文，使目标设备处理报文出错；

分片攻击：向目标设备发送分片报错的报文，使目标设备消耗CPU资源

IMCP 泛洪攻击防范

ARP泛洪攻击原理--如何防御

ARP欺骗攻击原理--如何防御

ARP攻击防御手段&原理

access接口收发处理

trunk接口收发处理

hybird 收发处理

灵活运用各类接口组合对接

思考题：通过hybrid技术实现

如何区分以太帧和802.3帧

什么协议使用802.3帧

二/三交换机/路由器收到未知表项如何处理

收到组播帧是否一定泛洪

交换机如何判断数据这帧做二层转发还是三层转发

一次路由多次交换

泛洪：除接收端口收到数据帧向其他端口转发

转发：收到数据帧查找表项找到对应出接口

丢弃：数据帧是同一个收发接口

三层交换机的三层转发依靠交换机芯片完成；路由器的三层主要依靠CPU完成； 功能上：路由器支持NAT 外形上：从接口板卡上对比

MAC子层主要是用来实现介质访问控制实体： 作用：数据帧的封装与解封装、帧的寻址和识别、帧的接收与发送、帧的拆错控制；

LLC子层：为上层网络提供服务；

数值范围0-4095（0,4095保留）可用范围1-4094

表示数据帧优先级

单臂路由实现原理

单臂路由配置

arp-broadcast enable 作用

1. DHCP discover //客户端首次登录请求服务器第一个报文，寻找服务器； 2. DHCP offer //服务器回应客户端，并分配一个IP地址和配置信息； 3. DHCP request //三种用途； 3.1 客户端初始化，对服务器offer报文的回应； 3.2 客户端重启，确认先前分配的IP地址等配置信息； 3.3 客户端已经和某个IP地址绑定后，发送request报文单播或广播更新IP地址的租约； 4. DHCP ack //服务器对客户端的request报文的确认，客户端收到ack，才说明获得IP地址和相关信息 5. DHCP nak //服务器对客户端的request报文拒绝响应； 6. DHCP deline //客户端发现服务器分配给他的IP地址存在冲突发送此报文，并向服务器申请重新分配IP地址； 7. DHCP release //客户端主动释放服务器给他分配的IP地址，发送此报文通知服务器； 8. DHCP inform //客户端获取IP地址后，若需要向服务器获取更详细的配置信息，发送此报文；

接口地址池只能对该接口下的用户分配IP地址；全局地址池可以为此设备所有接口下用户分配IP地址；

VRRP报文封装在IP报文中，在IP报文中，源地址为发送报文的真实ip地址，目的地址是224.0.0.18，TTL是225，协议号是112；

优先级0：设备停止参数VRRP备份组，backup设备升级为主； 优先级255：虚拟IP地址和真实IP地址相同；

心跳线主要用于传递VRRP协议报文

同一个备份组出现多个master 1. 检查各master设备之间网络通信 2.检查VRRP版本和报文发送方式 3.检查master设备配置：虚拟地址，报文发送间隔，认证方式

VRRP主备切换频繁 1. 检查设备VRRP备份组是否存在联动接口，有联动检查联动配置 1.1 若配置BFD、联动接口，需检查BFD和接口的配置 1.2 若没有配置联动执行2 2. 检查设备VRRP备份组之间抢占延迟时间 2.1 若配置抢占延迟时间为0，在备份组配置非0抢占时间 3. 检查设备VRRP备份组配置通告报文发送间隔时间或者抢占延迟时间

在VRRP下挂服务器场景，为什么要基于MAC表项刷新ARP表项？ 解：MAC地址表项的出接口通过报文刷新，ARP表项通过出接口在老化时间到后通过老化探测进行刷新，这样就导致MAC表项和ARP表项出接口不一致的情况。使能MAC刷新ARP的功能，在MAC地址表项出接口刷新时，直接刷新ARP表项的出接口。

单播（物理MAC）（第一字节最后一位为0）

组播（第一字节最后一位为1）

广播

dis mac-address

dis mac-address GigabitEthernet 0/0/1

display bridge mac-address

display mac-address static

MAC地址表分类

表项如何形成

以MAC地址和vlan ID和VSI和出接口为索引来唯一标识

配置静态MAC地址表项

配置黑洞表项

配置动态MAC表项老化时间

全局配置

配置接口或者vlan关闭MAC学习功能

配置接口限制MAC地址学习数量

基于vlan或接口关闭学习MAC能力

基于vlan或接口限制MAC地址数量

定义

特点

场景：针对用户数变化频繁；这样用户在变动时，及时清楚绑定的MAC地址表项；

定义

特点

场景:针对用户变动较少，且用户数较少情况

定义

特点

场景：针对使用变动较少，这样保存配置后，绑定的MAC地址表项不会丢失；

接口视图下：port-security enable //使能端口安全 port-security max-mac-num + 数字 //配置端口安全动态MAC学习数量--缺省为1 配置端口安全静态MAC地址表项 port-security mac-address +MAC地址+vlan+vlanID port-security protect-action +保护动作 //配置端口安全保护动作 port-security aging-time + 时间 //配置端口老化时间

场景1

超出限制后，若收到源MAC地址不存在的报文，交换机会认为非法用户攻击，对接口做保护处理。缺省情况下，保护动作的是丢弃该报文并上报告警

针对配置静态MAC地址漂移检测功能出现静态MAC地址漂移时的动作，若收到的报文的源MAC地址已经存在在其他接口的静态MAC地址表中，交换机则认为存在静态MAC地址漂移，根据端口做保护动作

restrict

protect

shutdown-----如何恢复shutdown

设备上一个vlan内两个端口学习到同一个MAC地址，后学习的MAC地址表项覆盖原MAC地址表项；

可以通过查看告警信息和漂移记录，快速定位和排除环路；

mac-address flapping detection //系统视图

display mac-address flapping record //查看MAC地址漂移详细记录

1、提高接口MAC地址优先级。 当不同接口学习到相同MAC地址表项时，高优先级接口学习到的MAC地址表项覆盖低优先级的MAC地址表项，防止MAC地址在接口间发生漂移；

2、不允许相同优先级的接口发生MAC地址表项覆盖。 当伪造的设备所连接的接口的优先级与安全设备所连接的接口优先级相同时，后学习到的伪造设备的MAC地址表项不可覆盖原有正确的表项；但安全设备一旦下电，那么接口仍会学习伪造设备的MAC地址，当安全设备再次上电将无法学习正确的MAC地址；

3、配置静态MAC地址防止发送漂移 mac-address static xxxx vlan xx

环路检测特性比较

环路现象

检查接口vlan是否创建 检查接口vlan是否在允许的列表 设备是否配置路由黑洞 接口是否关系MAC地址学习功能 接口是否限制MAC地址学习数量 接口是否配置端口安全

检查是否存在MAC地址漂移导致环路产生；系统视图配置mac-address flapping detection，配置MAC地址漂移检测功能 配置MAC地址漂移检测功能，系统检测vlan内是否发生MAC地址漂移；display mac-address flapping record //查看MAC地址漂移记录来判断是否存在环路 若存在MAC地址漂移，通过以下方式防止MAC地址漂移 排除环路故障 接口视图执行命令mac-learning priority，配置接口学习MAC地址的优先级

若该接口学习到的MAC地址数小于等于该接口连接的实际运行的主机数，说明设备接入的主机已经超过设备支持的规格 若该接口学习到的MAC地址数远大于该接口的所连接网络的实际运行的主机数，说明该接口所连接的网络可能存在恶意刷新MAC地址表项的攻击

堆叠系统多台成员交换机之间冗余备份

多台设备堆叠成一台设备，可以不需要使用MSTP协议和VRRP协议

当接入端口不能满足现有设备接入需求，可以增加新的交换机与原交换机组成堆叠扩展端口数量

上行链路不能不能满足带宽，可以增加新的交换机与原交换机组成堆叠，堆叠成员交换机链路配置聚合组

可以将相距较远的楼层交换机组成堆叠，使网络拓扑更加简单，网络更加可靠

堆叠卡堆叠

业务卡堆叠

优点：首尾不需要物理连接，适合长距离

优点：可靠性高，其中堆叠链路故障，不会影响堆叠系统正常工作；带宽利用率高，数据按照最短路径转发；

主交换机

备交换机

从交换机

查看堆叠ID：display stack

及成员交换机的槽位号，用来标识和管理交换机，堆叠中所有交换机的堆叠ID是唯一的；取值范围0-8

堆叠优先级取值范围1-255，缺省值100

用来确认成员交换机的角色，优先级越高当选为主的可能性越大（优先级相同，MAC地址小的交换机优先成为主交换机）

堆叠建立的四个阶段

堆叠连接拓扑对比

不带电加入过程

堆叠成员退出

堆叠退出触发方式

与堆叠成员加入过程一样

分裂处理过程

堆叠分裂产生的影响

直连检测

代理检测

MAD冲突处理

堆叠卡组件堆叠配置

业务口组建堆叠配置

盒式与框式的区别：CSS为框式交换机堆叠，而istack是盒式交换机堆叠

堆叠数量区别：istack最多支持16台（CE交换机），CSS支持2两台

交换机角色：CSS只支持两台，只有主备交换机；istack最大支持16台，角色主备从交换机

主交换机

备交换机

集群系统自动完成步骤

S系列

cloudEngine系列

加入

合并

堆叠分裂后，若两台交换机都正常运行，其全局配置完全相同，会存在相同的IP地址和MAC地址导致地址冲突，引起网络故障；

检测和处理堆叠分裂的协议，实现堆叠分裂的检测和冲突处理和故障恢复

直连检测

代理检测

堆叠卡组建堆叠配置

业务口组建堆叠配置

跨设备链路聚合组，提高设备可靠性和设备级别，组成双活系统 M-LAG的两台设备逻辑被虚拟成以太设备，且两台可以独立升级，业务秒级中断的目标；正常情况下，主备同时转发数据

二层接口，必须eth-trunk相连，就算只有一个接口也是eth-trunk；主要用于同步性信息

三层接口，可达即可；双主机检测链路

1、DFS group配对，通过peer-link链路交互发送hello包携带DFS group编号，比较编号，编号相同配对成功

2、DFS group协商主备，通过peer-link链路交互信息报文报文携带优先级和系统MAC地址确定DFS group主备状态；

3、M-LAG成员接口协商主备，通过peer-link链路交互M-LAG设备信息报文，携带接口配置信息，先UP为主，确定M-LAG成员接口的主备状态；

4、双主检测，通过Keepalive链路交互M-LAG双主检测报文，检测peer-link是否故障，正常1s为周期发送，peer-link故障，100ms的周期发送三个双主检测链路报文，加速检测。

5、M-LAG同步信息，通过peer-link链路发送同步信息同步对端的信息，两台信息同步相同的信息表，这样的好处是任意一台设备故障都不会业务中断；（M-LAG同步报文中包括MAC表项、ARP表项、ND表项等，发送M-LAG成员端口的状态）

封装在以太报文中，在二层链路上 以太头+msg header+payload node+slot+version+serial num 节点变化 槽位号 版本号 数据报文使用TLV封装

水平分割原则：当交换机从peer-link收到广播报文，不会在传递给M-LAG成员接口

前提条件

M-LAG一般逐台升级，而堆叠的话会全部重启，版本不一致，选择低版本兼容

链路故障

设备/Peer-Link故障

执行命令interface eth-trunk trunk-id //进入Eth-Trunk接口视图; 执行命令mode manual load-balance //配置Eth-Trunk的工作模式; 执行命令load-balance { dst-ip | dst-mac | src-ip | src-mac | src-dst-ip | src-dst-mac } //配置Eth-Trunk负载分担方式。 缺省情况下，交换机上Eth-Trunk接口的负载分担模式为src-dst-ip。

interface eth-trunk trunk-id //进入Eth-Trunk接口视图。 mode lacp //配置Eth-Trunk的工作模式。 least active-linkunmber link-number //配置链路聚合活动接口下限阈值，缺省活动接口下限阈值为1 max actice-linknumber link-number //配置链路聚合活动接口数上限阈值 load-balance { dst-ip | dst-mac | src-ip | src-mac | src-dst-ip | src-dst-mac }，配置Eth-Trunk负载分担方式。缺省情况下，交换机上Eth-Trunk接口的负载分担模式为src-dst-ip。 lacp priority priority //配置当前设备的系统LACP优先级。缺省32768；系统视图下或者接口视图 interface g0/0/0 lacp preempt enable //开启接口LACP抢占功能 lacp preempt delay delay-time //配置抢占等待时间；缺省30s

M条活动链路，N条备份链路，实际链路带宽为M条链路总和，但是能提供最大带宽为M+N条链路总和；

E-trunk

负载分担

负载均衡

报文分析

报文

 dead-establish阶段就是物理链路加电 establish阶段进行LCP协商，协商包括工作方式，魔术字，认证，MRU；协商成功进行OPENED阶段 若配置了验证，则进行CHAP或者PAP认证；若没有配置认证，则直接进行network阶段 authentication阶段，若验证失败，进入terminate阶段，拆除链路，LCP状态转化为down，验证成功，则进入network阶段； network阶段，进行NCP协商，NPCP一般是通过IPCP协商，IPCP协商包括地址互通，地址获取；PPP在运行过程中，可以随时终止链路，进入terminate阶段； NCP协商成功，则PPP链路进入通信状态； 在terminate阶段，进行资源释放

LCP协商的作用

LCP协商了那些内容

PAP认证过程

CHAP认证过程

IPCP协商

CHAP：如果说认证方发送challenge报文携带用户名，被认证方接口可以不用配置密码；认证方challenge报文不携带用户名，被验证接口必须配置密码；

1、HDLC只能支持点到点 2、没有PPP的NCP过程，地址必须同网段 3、不支持认证

PPP提供认证，有地址获取的功能，但是PPP是点对点链路；以太解决点到点问题，以太有广播功能，寻找服务器，以太单独服务没有认证功能；

MTU:1492,中间有PPPOE头部和PPP头部占了8bit

AC-name：表示特定的服务器； AC-cooike：防止服务攻击；

AC-cooike：防止服务攻击；

session ID的作用

客户端广播请求发送PADI报文，服务器端单播回复PADO报文，客户端单播回复PADR报文，服务器单播回复PADS报文携带session-id会话给看客户端

discovery阶段--session阶段（ppp协商，数据传输）--terminate

发送的是二层广播；

因为服务器在发送PADO报文携带了MAC地址回复给客户端，客户端收到PADO报文知道服务器的MAC地址。

指向dialer接口

路由器做server如何配置

路由器做client如何配置

售前计费功能，记录网络资源

1.主机可以ping 公网地址，但是上网很慢 故障分析：PPPOE侧端口的MTU值为1492，当从这个接口上发送的三层转发报文大于1492，且报文被设备不可分片导致报文无法发送出去，出现用户上网慢的情况。 解决办法：dialer接口修改MSS值小于1492（tcp adjust-mss），推荐使用1200 2.设备作为PPPOE client，无法动态获取DNS服务器地址 dialer接口视图下：ppp ipcp dns request //配置PPPOE client主动向服务器请求DNS服务器地址 dialer接口视图下：ppp ipcp dns admint-any //配置PPPOE client被动接收服务器指定的DNS服务器地址 3.设备作为PPPOE client下行接入内网用户，配置NAT后还是无法正常接入Internet 故障分析：在dialer接口绑定的物理接口上配置NAT，没有在dialer接口上配置。 解决办法：Dialer接口视图下，执行命令nat outbound acl-number，配置Easy-IP地址转换。

1. PPP同步和PPP异步是什么？ 异步传输：异步传输将比特分成小组进行传送，小组可以是8位的1个字符或更长； 同步传输：同步传输的比特的分组大很多，他不是独立地发送每个字符，每个字符都有自己的开始和停止位，而是把他们组合起来一起发送；要求接收方与发送方时钟同一，保证传输同步无间隔； 异步传输面向字符，同步传输面向比特的传输； 异步传输的单位是字符而同步传输的单位是帧； 2. HASH算法和加密有什么区别： HASH的结果具有相同的长度；加密算法的结果长度不同，他与本身的明文长度有成正比；哈希算法是不可逆的，（哈希值为R，即使知道文本S的哈希值为R，也不断断定文本就是S）； 3. 认证与加密的区别？ 加密是对数据的加密，就算非法用户获得加密过的资料，但是无法或者资料的正确内容； 认证就是判断身份的真实性，确认身份之后，才能根据身份给予不同的权限； 4. PPP是第几层协议？PPP封装MAC吗？ PPP是数据链路层协议，不要封装MAC，不需要ARP请求，封装PPP 5. PPP通信过程？ 设备根据NCP协商阶段对端携带的IP地址生成一条去往对端设备的接口IP的主机路由。 6.PPP和HDLC的区别？ HDLC协议不支持认证；不支持IP地址的协商；没有流量控制机制；

相同vlan内不同通信，加入隔离组

模式

类型

64

port-isolate enable group 1

group vlan 互通性vlan

separate vlan 隔离型vlan：1

1.若不支持vlanif接口，在旁边接一个路由器

通过ARP代理：PC1去访问PC2，但是PC1的没有对应PC2的ARP表项，于是PC1通过ARP广播请求，网关收到广播请求之后，网关设备使能sub-vlan的ARP代理，开始通过报文中的目的IP寻找路由，发现是直连路由，出接口就是sup-vlan，向外发送ARP广播请求到PC2，PC2应答，网关学习到PC2的MAC地址。进行三层转发

创建一个vlanif并设置与出口路由器同网段,配置缺省路由，下一跳指向出口路由器；

sub-vlan可以绑定物理接口，super-vlan不能绑定物理接口

交换机依赖于数据帧的源MAC地址学习，形成MAC地址表项，且交换机对广播报文的处理方式都是泛洪，导致大量数据报被复制

两台交换机双线连接，关闭STP

广播风暴，MAC漂移（物理成环）

1、查看日志；display logbuffer

2、查看CPU利用率；display cpu-usage

3、查看是否存在MAC地址漂移

4、查看接口带宽利用率

路由互指和物理拓扑成环

二层环路和三层环路影响谁大？解：二层环路，二层环路造成MAC地址漂移，广播风暴，造成CPU超负荷；三层环路路由器自身有TTL值和路由防环机制

STP

RSTP

优先级+MAC地址组成；优先级65535，MAC地址选小的

端口优先级

优先级16bit，后12bit作为扩展的ID，作为优先级表示只能取0，那么只有前4bit可以作为优先级；取值如下; 0001-0000-0000=4096 PID占两字节，后1bit标识端口编号 0001 0000=16

优先级+MAC地址

端口up/down

一个非边缘端口进入forwarding状态

STP: disable--block--learning--listening--forwarding RSTP:discarding--learning--forwarding MSTP：同RSTP

STP: DP RP 阻塞 RSTP: DP BP RP AP MSTP：域边缘端口 master端口 DP BP RP BP

STP：版本0，类型是00，BPDU超时20s,次等BPDU收到后丢弃，flag只开发了最高位TCA和最低位TC RSTP:版本2，类型是02，BPDU超时3倍hellotime，默认18，收到次等BPDU，只发最优的，flag为开发了全部：TCA--A--F--L--role--P--TC）

EP端口 P/A协商 RP端口快速切换

STP: up/down 发TCN-BPDU--TCA-BPDU回，根桥发TC 泛洪35s，缩短MAC老化15s RSTP：forwarding 发TC BPDU，触发TC 计时器，DP和RP都会发送，其他设备收到删除MAC地址表项

BPDU保护 root保护 TC 保护 环路保护

STP发送配置BPDU，RSTP收到之后等待2倍hellotime,回复STP的配BPDU RSTP--MSTP：MSTP将RSTP当做instance 0进行计算

RP---DP

点对点

全双工

半双工环路场景

1.S1和S2认为自己都是根桥，相互发送RST BPDU，S2收到BPDU比自己更优，S2为RP口，S1为DP口； 2.S1的1口进入discarding状态，于是发送一个P置位的RST BPDU，S2收到之后，开始将自己所有端口（除EP端口）进行SYN同步变量，进入临时阻塞状态，当SYN变量置位之后，所有端口进入forwarding状态，S2的2口并向S1发送一个A置位的RST BPDU； 3.当S1判断这是对自己发出P置位的回应，于是S1的DP端口马上进入forwarding状态；

1. 协商开始，两台设备都认为自己是根桥，根桥上的指定端口为discarding 状态，端口的SYN同步变量，触发P/A置1，向外发送P置位的BPDU，下游设备收到之后，阻塞所有端口，除边缘端口； 2. 上游设备继续发送A置位的BPDU，下游收到之后，根端口进入forwarding状态； 3. 下游设备回应A置位的BPDU给上游设备，上游设备收到之后，DP端口进入forwarding状态；

普通P/A协商是先选举端口角色再发P置位的BPDU，增强型P/A协商，是便选举端口角色边发P置位BPDU；

STP

RSTP

根保护

BPDU保护

环路保护

TC 保护

1. EP端口UP后，直接进入转发状态，不需要等待30s； 2. EP端口UP后，不算做拓扑变化，不触发TC； 3. 收到TC BPDU后，不删除EP端口下的MAC地址 4. P/A协商，不会阻塞EP端口 5. EP端口收到BPDU，会丧失EP端口特性，从新参与生成树选举；

1.1 EP端口下一般接入终端设备 2.1/3.1 比如办公室电脑开机关机，防止拓扑变化，交换机端口设置EP端口 4.1 S1下面接入两台服务器实时传输数据，并且端口若没有设置EP端口，新接入一个S2连接S1，那么形成P/A，关闭除EP端口外所有端口；导致服务器数据不能实时传输； 5.1 交换机的EP端口下面接入终端，后修改为接入交换机，那么EP端口就会收到BPDU，丧失特性，从新参与式生成树选举；

场景1：PC1换成S4接入S1，那么EP端口就会收到BPDU，丧失边缘端口特性，参与生成树选举；解决办法：配置BPDU保护，当EP端口收到BPDU，EP端口就会进入error-down状态，并上送到网管系统；

场景2：当PC1去ping一个不存在的地址，发送ARP广播消息，当EP1收到BPDU，每2s发送一个，EP2端口收到BPDU，EP2丧失边缘端口特性；在EP1发送BPDU之前，会形成一个2s内的临时环路产生； 解决办法：在BPDU发出后再发送广播消息;全局使用命令stp eb disable,会有5s关闭边缘端口不转发；

场景3：S2可以识别BPDU，但是不能转发

根保护，防止交换机接入比桥优先级跟高的交换机，导致网络拓扑改变；一旦启用Root保护功能的指定端口收到优先级更高的RST BPDU时，端口状态将进入Discarding状态，不再转发报文。根保护只能配置在指定端口；一般经过两倍的forward-delay时间，如果端口没有收到优先级较高的RST BPDU，端口则会自行恢复；

为什么配置在指定端口？

当发生链路阻塞或单向链路故障，导致AR或RP收不到上游设备的RST BPDU，那么交换机会重新选择根端口，原来的根端口会转发为指定端口，阻塞端口则会进入转发状态；配置环路保护，只能在根端口或阻塞端口端口配置，若阻塞端口或根端口长时间收不到BPDU，根端口则进入discarding状态，角色切换为指定端口，阻塞端口则一致保持阻塞；不转发报文，并上报网管系统；

在RSTP网络中，正常情况下，边缘端口不会收到RST BPDU，启用了BPDU保护功能后，如果有人伪造RST BPDU恶意攻击交换机，边缘端口将被Error-Down。同时通知网管系统；

设备收到TC BPDU，会删除MAC地址表项，若交换机时间收到大量TC BPDU，则会对设备造成很大的负担，导致网络不稳定；开启TC BPDU防报文攻击，可以设置在单位时间内设置交换机处理TC-BPDU的次数；超出的阈值，定时器到期后对其统一处理。

场景：交换机连接HUB 问题：收到BPDU可以忽略不计，但是无法解决环路问题

BPDU过滤用于用于边缘端口，一般配置EP端口还是会发送BPDU，由于终端设备不需要接收和不能处理，所以可以使用BPDU过滤使接口不发送BPDU

多生成树实例，位于MST域内和vlan进行绑定，缺省情况，所有vlan都在实例0中

多生成树域，由交换机网络的多台交换设备以及他们之间的网段构成；相同域条件

公共生成树CST，域间的生成树

内部生成树，每个域内实例0的树；

CST+IST组成CIST

构建单生成树SST，两种情况

去往总根路径最近的端口；

位于MST域的边缘并连接其他的MST域或SST的端口；

1、交互BPDU选举主根和域根

2、域内计算出IST，即实例0的树，确定端口角色

3、域间计算CST，合并为CIST

4、其他实例独立计算，与CST相连的端口集成实例0的角色，其他端口独立计算

IST域根

MSTI域根

总根是CIST的根桥，整个MSTP中网络中优先级最高的交换机；实例0的总根

IST MAster，他是域内距离总根最近的交换设备；

如果总根在MST域中，则总根为该域的主桥；

根端口、指定端口和边缘端口、Alternate端口、Backup端口

ID和路径开销。

VBST协议中BID是由桥优先级（Bridge Priority）、VLAN ID与桥MAC地址构成。桥优先级与VLAN ID之和占据前16位，其余的低48位是MAC地址。 在VBST网络中，桥ID最小的设备会被选举为根桥。

链路故障处理方式

P/A协商机制、P/A增强型协商、保护机制跟RSTP一致

发送控制vlan：当链路切换，设备会发送控制vlan内广播发送flush报文

接收控制vlan：上游设备收到flush报文，刷新MAC地址表和ARP表

主接口和从接口都可以同时转发不同实例的流量，同时，当其中一条链路故障，smart-link会自动切换将所有的流量切换到另外一条链路上；

ospf协议号：89---IP协议无确认机制

ospf这个协议是做什么用的？

ospf 网络类型

ospf：open shortest path first 开放式最短路径：链路状态内部网关协议

network含义：在ospf中network 宣告的是接口，network 1.1.1.1 0.0.0.0 //0.0.0.0表示通配符，0表示检查，1表示忽略；

路由器类型

路由类型

区域类型

ospf头部信息

hello报文

DD报文

LSR

LSU

LSACK

LSA 头部

影响ospf邻居&邻接的因素

RID 冲突场景

DR 选举规则

主从选举规则

主从选举的目的

ospf状态机

ospf稳定状态机：down--2way--full

认证在那些报文中

不同网络类型互联结果

option 选项位

1类LSA

2类LSA

3类LSA

4类LSA

5类LSA

7类LSA

总结

LSA新旧比较原则

撤销路由总结：当LSA描述多条路由信息的时候，只能通过seq+1更新来重新计算 LSA一对一的时候可以通过3600s来老化。

9类LSA

10类LSA

11类LSA

外部路由类型1与类型2如何计算开销

type1 和 type 2的区别

为什么要区分类型1和类型2

区域内

域间路由防环

外部路由防环

ospf有哪些区域类型

ospf有哪些特殊区域

stu和nssa区别

vlink 的作用

如何建立v-link

v-link如果计算开销

vlink如何做认证

vlink仅用来传递LSA，不能用来传递数据

vlink使用时有什么问题

ospf加快收敛角度

OSPF 减小LSDB规模角度

smart-discover

开销值计算

路由选路原则

扩展特性

database overflow

缺省路由下发

路由&过滤的方法

路由&LSA汇总的方法

检查LSDB规模的方式有哪些

ospf 对应MPLS VPN环境有哪些改进

控制平面

转发平面

full状态

处理ACK对LSU的确认是否还存在其他确认？ 答：ospf确认分为显示确认和隐士确认 隐士确认：1. 建立ospf邻居，收到hello报文会进行状态切换 2. DD报文从设备使用主设备的序列号 3. 发送LSR后没有收到LSU会进行重传 显示确认为收到LSU回复LSAck

支持MPLS 流量工程，建立和维护TE的标签交换路径

MPLS-TE 的作用

TE LSA

IGP shortcut和转发邻接

保证路由协议在重启过程中数据正常转发并且不影响业务

level-1

level-2

level-1-2

P2P/广播

system-id+伪节点+分片标识符组成

net 最多配置多少个，作用是什么

多个net 地址时area id是否要求一致

多个net地址时system id是否要求一致

area address

system ID

SEL

L1: 0180C2000014

L2: 0180C3000015

P2P 09002b000005

IIH

LSP

SNP

ISIS一共有几种报文？报文的目的地址是多少 ？ 九种报文： IIH （MA：level-1 level-2）（P2P） LSP(level-1 level-2) PSNP(level-1 level-2) CSNP(level-1 level-2) P2P 09002b000005 level-1 0180c20000014 level-2 0180c2000015

CSNP和DBD报文的区别？相同点 内容 ：描述的LSDB的本地摘要信息 不同点（产生阶段不同、确认机制、报文字段） 1.CSNP在P2P 只发一次，在MA网络周期性发送；在ospf中exstart状态开始交互DBD报文，进入loading就不要发送DBD报文； 2.CSNP不管是在P2P还是MA都是描述的LSDB的内容；在ospf当中，第一个DD报文是为了选举主从，携带MTU I M MS SEQ ,选完主从在确定序列号； 3.CSNP报文是不需要确认的；OSPF 中DBD需要确认，主设备发送DBD，从确认

什么时候会产生LSP报文 MA网络，建立邻居关系之后发送LSP消息 P2P网络，对端发送CSNP报文，我收到之后查看自己有无缺失，缺失回复PSNP请求，对端设备发送LSP我所需要的

summary 1.1.0.0 255.255.0.0 level-1 avoid-feeback //配置avoid-feedback，避免从其他设备接收到聚合路由

summary 1.1.0.0 255.255.0.0 level-1 generate_null0_route //在本地路由表产生一条指向null0的聚合路由条目

手工配置一条指向指向null0接口的聚合路由

接口认证

区域认证

路由域认证

是否支持单项认证

2次握手和3次握手能否兼容

P2P如果携带TLV240则为三次握手，没有携带两次握手 在P2P情况配置：isis peer-ignore忽略IP地址检查，可以不在同一个子网建立邻居

2次握手

3次握手

在P2P hello报头中减少了优先级和system-id字段，增加了一个本地电路ID字段，标识发送端接口；在TLV架构，P2P hello携带了一个P2P邻接状态，用来保证邻接关系的可靠性，使用TLV240承载信息；

物理层：物理链路down，光纤光衰大

链路层：设备接口vlan划分错误

没收到hello包角度

L1只能和同区域的L1或L1-2建立邻居关系，L2可以和不同区域的L2或L1-2建立邻居关系，L1无法与L2建立邻居关系，因为组播目的地址不同

system-id冲突（同区域造成直连网络震荡，不同区域无问题

网络类型要相同

MA网络要在同一个子网

MTU值相同，因为hello报文会填充MTU一致，通过padding填充字段

接口认证类型要相同

P2P如果一边配置3-only，一边没配无法建立

收到hello包角度

设备学习不到Isis路由的原因

在ospf的MA网络中，DRother只能和DR/BDR建立full的邻接关系，交互LSA，同步LSDB，如果没有DR那么会导致MA网络的LSDB无法同步

在isis网络中，所有isis路由器都是全邻接关系，交互LSP，同步LSDB，但是在MA没有确认机制，需要DIS设备周期性发送CSNP报文进行同步LSDB

在ospf中，DR是在2way阶段进行选举的，DR抢占会导致ospf网络中路由震荡，造成流量丢失

在isis网络中，DIS设备故障不会对Isis网络设备产生影响；如果DIS设备抢占了，那么新的DIS设备会发送CSNP报文，其他isis路由器就会向新的DIS设备泛洪一组新的LSP，这样新的DIS设备就可以正常工作了

在ospf中，如果DR故障之后，若没有BDR，则会导致ospf网络震荡，从新收敛，导致流量丢失

在isis中，DIS发送报文间隔3.3s，如果在DIS发生故障那么其他isis路由器可以在10s内感知DIS发生故障，重新选举DIS： 在isis中所有路由器都是邻接关系，互相交互LSP，同步LSDB，DIS只需要周期性发送CSNP报文，如果DIS发生故障，那么只需要选举新的DIS设备发送新的CSNP报文，其他设备收到之后将自身的LSP泛洪给DIS设备

为了避免次优路径

广播的LSP交互过程

P2P的LSP交互过程

Isis收敛步骤

ISPF算法

PRC算法

LSP快速扩散

按照优先级收敛

快速收敛

分片工作原理

分片工作模式

1. level-1默认可以渗透到level-2，level-2默认不能渗透到level-1； 2. 通过命令将level-2渗透到level-1以后，该LSP UD置位，其他level-1-2路由器不能用这条LSP，除非失去所有的level-2的邻居关系； 3. level-1-2不能使用其他路由器传来的ATT置位的LSP，即使失去了所有的level-2邻居关系也不能使用；

UD为是如何产生的

UD位的作用

ATT为是如何产生的

ATT位的作用

L1>L2>L1(UD)

相同

不同

基本特点 相同点： 均支持IP环境，均采用分层设计和区域设计； 不同点： ospf仅支持IP，isis支持IP，也支持CLNP； ospf支持网络类型丰富，isis仅支持两种 ospf是IP协议，isis是链路层协议； ospf基于接口划分区域，isis基于设备划分区域；

过载位

场景：都R2中途需要更换设备或者需要做下架处理，下架处理导致路由流量的丢失，所以在R2上使用set-overlad让R2发出的LSP中OL置位，这样其他设备在SPF计算时就不会计算R2，等到R3设备进行流量转发，将其R2设备下架

set-overload on-startup wait for bgp作用？

引入路由时则不能携带原本开销命令：inhert-cost

default-route advertise 命令产生缺省，默认类型为L2；但是产生缺省路由的设备会计算发布的缺省路由，就有可能形成路由互指，存在环路风险；

如果是L1区域下发缺省路由则不会通告到L2，L2下发不会通告到L1

isis基于TLV架构，拓扑和路由分离，当拓扑节点发生变使用ISPF计算，叶子路由发生变化使用PRC部分路由计算；但是ospf区域中的1类2类LSA拓扑信息和路由信息是在一起的，所以当区域内叶子阶段发生变化是使用的ISPF计算，只有当3 4 5 7 类发生变化才使用PRC部分路由计算，PRC计算速度比ISPF计算速度快，而且节约CPU资源开销

两个智能定时器

快速扩散机制

什么时候一定使用宽度量，TLV 135

路由源到目标所经历的所有链路的开销总和

AS=自治域系统

AS取值范围

IBGP

EBGP

TCP 179

单播建立邻居

从IBGP学到的路由，不会再传给IBGP邻居，会传给EBGP；

从EBGP学到的路由，传给IBGP、EBGP;

BGP设备只将最优路由发给对等体

路由更新时，BGP设备只发送更新的BGP路由

所有对等体发送的路由，BGP设备都会接收

MD5

key chain

认证在TCP option字段

针对收到的报文检查IP报头中TTL字段，检查是否在自身预先设置好的额匹配范围内

使用fake命令，进行伪造

收到open报文

没收到open报文

双方未指定更新源

一边指定更新源能否建立邻居

connect：主动发1次TCP请求，SYN置位。被动等待，等待超时（32s）与别的BGP请求

active：不断连续的发TCP请求，被动等待。等待超时后（32s）进入connect状态。

两个状态来回切换，可能是TCP重传次数过多或IP地址不可达、导致open报文协议参数不一致；如果出现错误error，发送notification报文，回到idle状态

open报文内容

update什么时候发送

notification

Keepalive

refresh报文的作用

AS内：从IGBP学来的路由，不能在IBGP传递（水平分割）

AS间：as-path

SOO

RR

联盟

聚合路由

反射器和client所组成的域，该域用来域间防环

1、RR从非客户机学来的，只传给客户机

2、RR从客户机学来的，传给他的客户机和非客户机

3、RR从EBGP学来的，传给他的客户机和非客户机

漂亮老男人

local-preference

MED

传递范围

默认值

apply as-path 100 100 additive（添加）/overwrite（覆盖）

什么是as_path完全一致

负载配置命令

本地有效，只能在入方向使用；默认0，越大越优

只能在出方向，默认100，越大越优

添加 additive 覆盖 overwrite

影响的是两个AS之间，入方向的流量

EBGP内部优先级=20 IBGP内部优先级=200

maximum load-balancing ebgp/ibgp xx load-balancing ad-path-ignore 忽略as-path检查

BGP在大型网络中路由经常发生震荡导致路由不可用，当路由频繁发生震荡的时候，就会反复计算，消耗CPU资源

惩罚值

抑制阈值

抑制时间

使用阈值

半衰期

dampening(半衰期分钟）（使用阈值）<（抑制阈值）<（最大惩罚值）

BGP是通过周期性发送Keepalive报文来时间邻居检测，但由于检测时间较长，造成数据大量丢失；BGP就引入了BGP与BFD联动技术，实现快速收敛

由于BFD需要全网部署，扩展性比较差。在无法部署BFD检测的情况下，可以在本地配置BGP peer tracking功能，快速感知链路不可达或者邻居不可达的情况，实现快速收敛；

1、目的网段和下一跳相同，例如将自己建立邻居的接口宣告进BGP

2、下一跳标签不可达，LDP中断

3、下一跳不可达、黑洞路由场景

4、vpnv4 私网路由交互失败

1、下一跳不可达或者标签不可达，不是最优的，不传递

2、路由被过滤

3、路由没有宣告进BGP

4、对端发送路由的数量超出peer route-limit设定的值

5、originator-id和自身router-id冲突

6、cluster-list中包含自身cluster-id

7、收到active-route-advertise 只发布IP表中最优的路由，默认发BGP表最优

8、收到EBGP更新包含自身存在本AS号

9、ORF被过滤

1、路由过滤掉的时候

2、如果是VPNV4路由，私网交叉失败时，则不会加载到BGP路由表中，RT不符合

3、originator-id和自身router-id一致

4、cluster-list中包含自身cluster-id

5、收到EBGP更新，as-path中存在本AS号

1、下一跳不可达或非最优的路由

2、通过其他协议学习到相同的路由，优先级比BGP的优先级高的时候不会加在到IP表中

3、配置了bgp rib-only命令，禁止BGP路由下发到IP表中

4、配置了路由衰减，当BGP路由被抑制的时候，那么就会导致不会加载到IP表中

传递路由角度

传递属性角度

静态聚合

聚合作用

手动汇总和自动汇总的区别

聚合后as-path会被丢失，因为对于聚合者来说，聚合路由是自己产生的，产生者为自己

变的

因为聚合路由是自己产生的，会返回给聚合者，造成环路

解决办法

新增属性

丢弃属性

当Y去往X，数据转发给R3，R3和R1是跨跳建立IBGP邻居，需要进行迭代为直连下一跳，将数据包转发给R2，R2没有运行BGP，同时R2没有X这条路由，导致产生路由黑洞

null 0口路由

1、BGP全互联

2、BGP引入IGP

3、MPLS

RR

联盟

当在一个AS内，设备数量多，建立的IBGP连接数就为n(n-1)/2，配置复杂，设备资源消耗大

本AS，客户机传递路由携带origin as-path next-hop med local-preference，但是经过反射器，会添加originator-id 和 cluster-list属性

如果说从EBGP传递过来的路由，那么RR不会携带cluster-list属性和originator-id属性

只传最优，IBGP不传IBGP

解决路由黑洞