一、DHCP高级

• 进化过程：RARP—-BOOTP—-DHCP
• wireshark抓DHCP的报文时，过滤DHCP报文使用bootp

配置：  方法一：全局   dhcp enable   ip pool 123   network X.X.X.0 mask 255.255.255.0   gateway-list X.X.X.X   进接口：    dhcp select global  基于全局   excluded-ip-address x.x.x.1 X.X.X.10   ipconfig /rel 手动释放地址   ipconfig /renew 重新获取地址   display ip pool name 123 used 查看使用情况  方法二：接口   dhcp enble   ip pool 123   进接口：        dhcp select interface        dhcp server dns-list 8.8.8.8    注：默认网关为接口地址     分配接口的地址段为地址池地址  方法三：中继   进接口：    dhcp select relay DHCP中继    dhcp relay server-ip X.X.X.X DHCP服务器地址 DHCP Snooping  接入层技术  原理：一但针对某个VLAN启用dhcpsnooping后，那么该VLAN中的所有接口都默认为非信任接口，非信任接口收到的DHCP offer报文会直接丢弃  配置：   dhcp enable   dhcp snooping enable   dhcp snooping enable vlan 1   进入接口：    dhcp snooping trusted 设置接口为信任接口 

二、BFD双向转发检查

• 作用：毫秒级故障检查，通常结合三层协议，如静态路由、OSPF、BGP等，实现链路故障快速检查
  配置：

   bfd  bfd 1 bind peer-ip 12.1.1.1 source-ip 12.1.1.2  discriminator local 2 标识  discriminator remote 1 标识（两端要一致）  commit 确认提交  ip route-static 2.2.2.2 32 12.1.1.1 track  bfd-session 1 静态调用  display bfd session all 查看  ospf调用BFD加快收敛：  bfd  ospf 1  bfd all-interface enable  注：所有ospf都要启用 

三、端口安全与端口镜像

• 端口安全
  配置：

 进入接口：   port-security enable 开启端口安全，改接口只允许一个主机通信   port-security max-mac-num X 允许X台主机可以通信   port-security mac-address sticky 开启黏贴功能，第一个用户的MAC会自动黏贴进来   port-security mac-address sticky 5489-9851-2403 vlan 1    port-security protect-action shutdown 超过连接时直接关闭接口   port-security protect-action restrict 超过连接时发出警告并丢弃数据包   display mac-address:查看交换机上Mac 

• 端口镜像
  作用：①用于维护查看网络流量。②用来配合IDS、堡垒机等安全设备的使用
  堡垒机：第三方代维人员时对服务器上的所有操作都会记录
  IDS：入侵检测系统，对用户的数据进行分析，如果检测有危险性，会告警。安全设备旁路在核心交换机
  配置：

observe-port 1 interface g0/0/1 将g0/0/1设置为观察口，1为观察组   进接口：     port-mirrorin to observe-port1both 将进出的数据复制一份发送给观察组1 

四、VLAN高级配置

一、 基于IP地址的VLAN

HCIA已有讲解

二、 基于Mac的VLAN

配置：

vlan 10 mac-vlan mac-address 0000-0000-0001  mac-vlan enable 

三、 超级VLAN

作用：用于酒店、小区、运营商和高校共建的校园网等用户密集度高的地方进行二层隔离，防止病毒扩散和攻击，提高网络稳定性。  使用超级VLAN，将多个VLAN使用相同的IP网段和网关，节省ip地址。 

配置：

vlan batch 10 20 30 将相关接口划入相应vlan vlan30 aggregate-vlan 对vlan30定义为聚合vlan access-vlan 10 20  将vlan 10 20定义为vlan 30的子vlan给vlan 30配置ip地址 

四、相同vlan端口隔离

一个端口可以加入多个隔离组，trunk接口也可以加入隔离组
隔离端口为华为、华三特有，思科使用复杂的PVLAN解决
工作原理：同一台交换机相同隔离组的端口是不能互访，隔离组本地有效
配置：

port-isolate enable group 1 将接口加入隔离组1 

五、vlan mapping(vlan映射)

vlan最多有4096个
将vlan标签转换后可以有4096*4096个vlan，解决运营商vlan标签不足问题
配置：

进接口：  qinq vlan-translation enable 启用vlan标签转换  port vlan-mapping vlan 30 to 40 map-vlan 100 将30-40转换成100 

注：模拟器上不支持，真机可以

六、Hybrid混合接口

注：trunk封装：802.1q封装
混合接口：是华为设备特有的接口，是华为设备默认的接口类型。
同时具有access和trunk的特性
配置：

将hybrid当access口：  进接口：   port hybrid pvid vlan 10   port hybrid untagged vlan 10   将hybrid当trunk口：  port hybrid tagged vlan 10