MAC地址欺骗攻击会导致交换机要发送到正确目的地的数据被发送给了攻击者

攻击者可以通过伪造的源Mac地址数据帧发送给交换机来实施MAC地址欺骗攻击

MAC地址欺骗攻击主要利用了交换机Mac地址学习机制

MAC地址欺骗攻击会造成交换机学习到错误的Mac地址与IP地址的映射关系

授权的安全组

授权结果名称

绑定站点

绑定认证规则

P设备只需要具备基本MPLS转发能力，不维护VPN相关信息

一般情况下，CE设备感知不到VPN的存在，且CE设备不需要支持MPLS、MP-BGP等

BGP/MPLSIPVPN网络架构由CE(Customer Edg)PE(Provider Edg)和P(Provider)三部分组成，其中PE和P是运营商设备，CE是BGP/MPLSIP VPN用户设备

站点之间可以通过VPN互访，一个站点只可以属于一个VPN

新建的安全区域，系统默认其安全级别为1

只能为自定义的安全区域设定安全级别

同一系统中，两个安全区域不允许配置相同的安全级别

安全级别一旦设定，不允许更改

经过NAPT转换后，对于外网用户，所有报文都只会来自于同一个IP地址

NO-PAT支持网络层的协议地址转换

NAPT只支持网络层的协议地址转换

NO-PAT只支持传输层的协议端口转换

在接口视图下使能DHCP Snooping功能，则对该接口下的所有DHCP报文命令功能生效

DHCP Snooping可 以通过设置信任端口防止非法攻击

全局使能DHCP Snooping功能，不带任何后置参数的情况下设备默认只处理DHCPV4报文

在VLAN视图下使能DHCP Snooping功能，则对设备所有接口收到的属于该VL AN的DHCP报文命令功能生效

一般情况下，Portal认证不需要安装专门门的客户端软件，因此主要用于无客户端软件要求的终端接入场景

Porta1认证可以基于用户名与VLAN、IP地址、MAC地址的组合对用户进行认证

当网络中部署了Porta1认证时，被认证的客户端需要支持Porta1协议

在进行Porta1认证前，客户端必须获得IP地址且与Porta1服务器之间IP可达

启用Root保护功能的指定端口，其端口角色只能保持为指定端口

启用防TC-BPDU报文攻击功能后，在单位时间内，交换设备处理IC BPDU报文的次数可配置

交换设备上启动了BPDU保护功能后，如果边缘端口收到RST BPDU,边缘端口将被设置为非边缘端口，并重新进行生成树计算

启动根保护的指定端口，当该端口收到更优的RST BPDU后，端口会进入Discarding状态，不再转发报文。若段时间内端口未收到更优的RST BPD