1. STP / RSTP / MSTP Protocol

1.1 STP的作用

1. 消除二层环路：通过阻断冗余链路来消除网络中可能存在的环路
2. 链路备份：当活动链路发生故障时，激活冗余链路，恢复网络连通性。

1.2 STP 生成树算法的三个步骤

1. 选择根交换机 (Root Bridge)：网桥ID（BID）最小者当选
   • 优先级 ( P ) 越小则 BID 越小
   • 优先级相同，比较MAC，从左至右，数值越小 BID越小
2. 选举根端口：每个非根交换机上有且仅有一个根端口 RP（Root Port）
   • BDPU 接收到根交换机路径成本最小（带宽越大，成本越小）
   • 成本相同的端口，选择对端 BID 最小的端口
   • 对端BID相同，则选择对端端口ID（PID）最小的端口
     • 优先级 P
     • 端口号越小，PID 越小

根端口用于接收根交换机发来的BDPU，也可用来转发普通流量

3. 选举指定端口并阻塞备用端口：每一个网段上选出一个指定端口 DP（Designated Port），剩余端口为备用端口(Alternate Port)，将他们阻塞
   • 根交换机的所有端口都是指定端口
   • 根端口的对端端口一定是指定端口
   • BDPU转发端口到根交换机的路径成本最小的端口
   • 本端的 BID 最小

指定端口用来转发根交换机发来的BDPU，也用来转发普通流量

1.3 STP缺点

端口从阻塞状态到转发状态必须经历两倍的Forward Delay事件，如果网络拓扑结构变化频繁，网络会频繁失去连通性

2. ARP Protocol

ARP 协议 Address Resolution Protocol(地址解析协议)，它是一个通过用于实现从 IP 地址到 MAC 地址的映射，即询问目标 IP 对应的 MAC 地址 的一种协议。ARP 协议在 IPv4 中极其重要。

ARP 只用于 IPv4 协议中，IPv6 协议使用的是 Neighbor Discovery Protocol，译为邻居发现协议，它被纳入 ICMPv6 中。

C1 要给 C2发消息：( C1已知 IP2 ，但是不知道 C2 的 MAC)

1. C1 发出 broadcast package
   • 目的MAC Addres 是 ff:ff:ff:ff:ff:ff
   • 目的协议地址 是 IP2
   • 源 MAC Address 是 C1的 MAC Address
   • 源协议地址 是 IP1
2. C2/C3 收到 broadcast package
   • C2 发现 broadcast package 的目标协议地址 IP2 是自己的IP，应该发送 ARP 应答
   • C3 发现问的不是自己的 IP，不应答
3. C2 以单播形式应答 C1 告知自己的 MAC Address

3. DHCP Protocol

DHCP: Dynamic Host Configuration Protocol， 动态主机配置协议。是一个局域网络协议，用途：

1. 内部网络或者网络服务供应商自动分配IP给用户
2. 提供内部网络管理员作为对所有电脑中央管理的手段

当一个机器启动时，没有IP，会发送 DHCP Discover message. DHCP Server 收到 Discover message， 为机器分配一个永久的IP。

3.1 DHCP 三种分配方式

1. 自动分配:

管理员在server上建立地址池进行分配

2. 手工分配

由 管理员为少数特定客户端（如WWW服务器等） 静态绑定固定的IP地址，通过DHCP将配置的固定IP地址发给客户端

3. 动态分配

DHCP给主机指定一个有时间限制的IP地址，到达使用期限后或主机明确表示放弃这个地址时，客户端需要重新申请地址; 如果客户端没有重新申请，则这个地址将可能被其它的主机使用; 绝大多数客户端得到的都是这种 动态分配的地址(可以解决IP地址不够用的困扰)

3.2 DHCP Relay (中继)

如果DHCP服务器与客户端不在同一个网络，就需要中继 (Relay) 代理。

大型企业网络中会有很多vlan，不可能为每个vlan设置DHCP服务器，同时 vlan 间通信是靠高层的、三层交换机路由器防火墙，通讯的实质即拆分子接口然后分配给各个vlan端口，但是路由设备在处理物理网络流量的时候，是不允许广播包通过，所以 DHCP Relay实质就是把 DHCP 广播包转化为单播包再进行传输。

4. MACSEC

MACsec（Media Access Control Security，MAC安全）定义了基于IEEE 802局域网络的数据安全通信的方法。MACsec可为用户提供安全的MAC层数据发送和接收服务，包括用户数据加密、数据帧完整性检查及数据源真实性校验。

Encrypt traffic on Layer2 that nobody be able to sniff it.

MACsec主要应用在点对点组网的环境中，即从一台设备的接口到另一台设备的接口的组网。本端和对端之间使用安全密钥对数据报文进行加密和解密，密钥的协商以及安全通道的建立和管理由MKA（MACsec Key Agreement）协议负责。MKA协议定义了复杂的密钥生成体系，确保MACsec数据传输的安全性。其中，CAK（secure Connectivity Association Key）是用户在设备上配置的密钥，不直接用于数据报文的加密，而是由它和其他参数派生出用于数据加密的SAK（Secure Association Key）。