HCIE-学习笔记

动态授权加入的成员优先级高于静态绑定的成员；
any组（缺省）：所有用户或资源，通常用来配置默认规则。any组只能做目的组，不支持配置为源组。
同一个安全组既可以与多条授权规则绑定来表示动态用户，也可以与多个IP地址或IP网段绑定来表示静态资源。
如果一个IP地址同时以认证方式和静态绑定方式分别加入了不同组，则以认证方式授权的动态组为优先。同一个IP地址，只能加入一个安全组中。
资源组之间允许IP地址重复；

MAC旁路认证比单纯的MAC认证多一个802.1X认证环节，故时间要比MAC认证时间长。
用户进行Portal认证成功后，在一定时间内断开网络重新连接，能够直接通过MAC认证接入，无需输入用户名、密码重新进行Portal认证。
该功能需要在设备配置MAC+Portal的混合认证，同时在认证服务器上开启MAC优先的Portal认证功能并配置MAC地址有效时间。
一个认证模板同时最多支持绑定一个802.1X接入模板、一个MAC接入模板和一个Portal接入模板。

配置默认域：设备根据用户名中携带的域名进行认证，未携带域名则将该用户在默认域中进行认证。
配置强制域：无论用户名中是否携带域名，都将用户在强制域中进行认证。
认证模板的作用是统一管理NAC的相关配置。通过将认证模板绑定到接口或VAP模板视图下来使能NAC，实现对接口或VAP模板下的用户进行接入控制。

接入层设备需透传BPDU报文，否则用户的802.1X认证将失败。
策略联动是通过在网关设备上统一管理用户的访问策略，并且在网关设备和接入设备执行用户的访问策略，来解决大型园区策略强度与复杂度之间矛盾的一种解决方案。
认证控制点与认证执行点之间建立CAPWAP（Control And Provisioning of Wireless Access Points）隧道。

VPN技术按业务用途划分可分成以下三类：
Access VPN（远程访问虚拟专网）：又称拨号VPN、远程访问VPN，通常使用L2TP VPN技术。
Intranet VPN（企业内部虚拟专网）：网关到网关，通过公司的网络架构连接来自同公司的资源，通常使用GRE或者DSVPN技术。
Extranet VPN（扩展的企业内部虚拟专网）：与合作伙伴企业网构成Extranet，通常使用SSL VPN技术。

第二层隧道协议：是将整个PPP帧封装在内部隧道中。现有的第二层隧道协议有：PPTP（Point-to-Point Tunneling Protocol，点到点隧道协议），L2F（Layer 2 Forwarding，二层转发协议），L2TP（Layer 2 Tunneling Protocol，二层隧道协议）。
第三层隧道协议：隧道内只携带第三层报文。现有的第三层隧道协议主要有GRE（Generic Routing Encapsulation，通用路由封装协议），
IPsec（IP Security）协议：IPsec协议不是一个单独的协议，包括AH（Authentication Header，头验证协议）和ESP（Encapsulating Security Payload，封装安全载荷协议）。 

VPDN（Virtual Private Dial-up Networks，虚拟专用拨号网）技术，是基于拨号用户的虚拟专用拨号网业务。可以用于企业互联或者远程访问企业网络。
所有VPN协议中，PPTP加密级别最低，且PPTP必须基于IP网络。
L2TP只是一种隧道协议，既不提供加密也不保证隐私，因此一般与IPsec配合使用。
使用L2TP需要配合AAA服务器，当需要构建L2VPN时，L2TP是非常好的选择。
Access VPN 现网中多用于内网用户远程接入，使用最多的是L2TP over IPsec。
L2TP没有办法传递组播数据，无法在总公司和分公司之间传递路由，所以现网L2TP更多用于远程用户接入。

Intranet VPN技术指的是，基于Internet在公司网关之间构建VPN网络，主要用到的技术有GRE、DSVPN等。

GRE（Generic Routing Encapsulation，通用路由封装协议）：是对某些网络层协议（如：IP、 IPX、AppleTalk等）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如IP）中传输。
GRE的主要缺点是不支持加密。IPsec的主要缺点是只支持IP协议，且不支持组播。

GRE可以封装组播数据并在GRE隧道中传输。而IPsec目前只能对单播数据进行加密保护，因此对于诸如路由协议、语音、视频等组播数据需要在IPsec隧道中传输的情况，可以通过建立GRE隧道，并对组播数据进行GRE封装，然后再对封装后的报文进行IPsec的加密处理，就实现了组播数据在IPsec隧道中的加密传输。

GRE over IPsec可以使用两种封装模式：
隧道模式
传输模式

DSVPN是一种动态建立GRE隧道的技术，通过NHRP协议动态收集、维护和发布各节点的公网地址等信息，解决了源分支无法获取目的分支公网地址的问题。
DSVPN借助mGRE技术，使一个Tunnel接口可与多个对端建立VPN隧道。
DSVPN主要解决GRE Over IPsec的缺陷：
所有流量必须穿越Hub。
新增站点后需要修改Hub配置。
Spoke站点使用动态地址，部署点到点GRE时会有问题。

SPR就是在这一背景下产生的一种策略路由。它可以主动探测链路质量并匹配业务的需求，从而选择一条最优链路转发业务数据，可以有效地避免网络黑洞、网络震荡等问题。

以下哪些是专线技术？(AC)
SDH
L2TP
MPLS VPN
IPsec VPN