本题涉及生成树、热备份路由以及802.1X协议等方面的内容。
【问题1】
本题主要考查STP、MSTP和PVST/PVST+相关知识点。
MSTP（MultipleSpanningTreeProtocol，多生成树协议）将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN数据的负载均衡。MSTP兼容STP和RSTP，并且可以弥补STP和RSTP的缺陷。它既可以快速收敛，也能使不同VLAN的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制。
MST域（MultipleSpanningTreeRegions，多生成树域）是由交换网络中的多台交换机以及它们之间的网段构成。这些交换机都启动了MSTP、具有相同的域名、相同的VLAN到生成树映射配置和相同的MSTP修订级别配置，并且物理上有链路连通。
一个交换网络可以存在多个MST域。用户可以通过MSTP配置命令把多台交换机划分在同一个MST域内。域内所有交换机都有相同的MST域配置：域名相同regionl，VLAN与生成树的映射关系相同（VLAN10和VLAN12映射到生成树实例1，VLAN9和VLAN11映射到生成树实例2）。
在本题中，配置S7606-1交换机在instance1中的优先级为4096，默认值是32768，值越小越优先成为该instance中的根交换机。同理，instance2的生成树的根交换机是S7606-2，因为其优先级的值较小，优先成为该实例的根交换机。
对instance1而言，交换机S2924G-1的根端口是Gig2/1端口，因为instance1的生成树的根交换机是S7606-1，交换机S2924G-1离根桥最近的端口为根端口。
PC1和PC5都属于VLAN9，同时VLAN9被映射到实例2，由于实例2生成树的根交换机是S7606-2，根据生成树算法，对实例2而言，S2924G-1的根端口是Gig2/2，S2924G-2的根端口也是Gig2/2。因此PC1到PC5的传输路径是PC1→S2924G-1（Gig2/2）→S7606-2→S2924G-2（Gig2/2）→PC5。
MSTP与PVST/PVST+之间的区别：
每个VLAN都生成一棵树是一种比较直接，而且最简单的解决方法。它能够保证每一个VLAN都不存在环路。但是由于种种原因，以这种方式工作的生成树协议并没有形成标准，而是各个厂商各有一套，尤其是以Cisco公司的VLAN生成树PVST（PerVLANSpanningTree）为代表。
为了携带更多的信息，PVSTBPDU的格式和STP/RSTPBPDU格式已经不一样，发送的目的地址也改成了Cisco保留地址01-00-0C-CC-CC-CD，而且在VLANTrunk的情况下PVSTBPDU被打上了802.10VLAN标签。所以，PVST协议并不兼容STP/RSTP协议。
Cisco公司很快又推出了经过改进的PVST+协议，并成为其交换机产品的默认生成树协议。经过改进的PVST+协议在VLAN1上运行的是普通STP协议，在其他VLAN上运行PVST协议。PVST+协议可以与STP/RSTP互通，在VLAN1上生成树状态按照STP协议计算。在其他VLAN上，普通交换机只会把PVSTBPDU当作多播报文按照VLAN号进行转发。但这并不影响环路的消除，只是有可能VLAN1和其他VLAN的根桥状态可能不一致。由于每个VLAN都有一棵独立的生成树，单生成树的种种缺陷都被克服了。同时，PVST带来了新的好处，那就是二层负载均衡。
PVST/PVST+协议也有它的明显不足：
（1）由于每个VLAN都需要生成一棵树，PVSTBPDU的通信量将正比于Trunk的VLAN个数。
（2）当VLAN个数比较多时，维护多棵生成树的计算量和资源占用量将急剧增长。特别是当Trunk了很多VLAN的接口状态发生变化的时候，所有生成树的状态都要重新计算，CPU将不堪重负。
（3）由于协议的私有性，PVST/PVST+不能像STP/RSTP一样得到广泛的支持，不同厂家的设备并不能在这种模式下直接互通。
多生成树协议MSTP（MultipleSpanningTreeProtocol）是IEEE802.1s中定义的一种新型多实例化生成树协议。MSTP协议的精妙之处在于把支持MSTP的交换机和不支持MSTP交换机划分成不同的区域，分别称作MST域和SST域。在MST域内部运行多实例化的生成树，在MST域的边缘运行RSTP兼容的内部生成树IST（InternalSpanningTree）。
MSTP定义了'实例'（Instance）和域的概念。简单地说，STP/RSTP是基于端口的，PVST/PVST+是基于VLAN的，而MSTP就是基于实例的。所谓实例就是多个VLAN的一个集合，通过将多个VLAN捆绑到一个实例可以节省通信开销和资源占用率。
MSTP带来的好处是显而易见的。它既有PVST的VLAN认知能力和负载均衡能力，又拥有可以和SST媲美的低CPU占用率。
【问题2】
本题主要考查VRRP相关知识点。
VRRP（VirtualRouterRedundancyProtocol，虚拟路由冗余协议）是一种容错协议。通常，一个网络内的所有主机都设置一条默认路由，这样，当主机发出数据包的目的地址不在本网段时，报文将被通过默认路由发往网关路由器，从而实现了主机与外部网络的通信。当某网络的默认网关（路由器）坏掉时，本网段内所有主机将不能与外部网络通信。VRRP就是为解决这一严重问题而提出的，为具有多播或广播能力的局域网而设计。VRRP将局域网的一组路由器（包括一个Master即主控路由器和若干个Backup即备份路由器）组织成一个虚拟路由器，称之为一个备份组。
在VRRP协议中，有两组重要的概念：VRRP路由器和虚拟路由器，主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器，是物理实体；虚拟路由器是指VRRP协议创建的，是逻辑概念。一组VRRP路由器协同工作，共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色：主控路由器和备份路由器，一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP相应和转发IP数据包，组中的其他路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时，备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址，故对终端使用者系统是透明的。
一个VRRP路由器有唯一的标识：VRID，范围为0～255。该路由器对外表现为唯一的虚拟MAC地址，地址的格式为00-00-5E-OO-01-［VRID］。主控路由器负责对ARP请求用该MAC地址做应答。这样，无论如何切换，保证给终端设备的是唯一一致的IP和MAC地址，减少了切换对终端设备的影响。
VRRP控制报文只有一种：VRRP通告（Advertisement）。它使用IP多播数据包进行封装，组地址为224.0.0.18，发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性地发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
在VRRP路由器组中，按优先级选举主控路由器，VRRP协议中优先级范围是0～255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同，则称该虚拟路由器作VRRP组中的IP地址所有者；IP地址所有者自动具有最高优先级--255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1～254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其他管理策略设定。主控路由器的选举中，高优先级的虚拟路由器获胜，因此，如果在VRRP组中有IP地址所有者，则它总是作为主控路由的角色出现。对于相同优先级的候选路由器，按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。
为了保证VRRP协议的安全性，提供了明文认证和IP头认证两种安全认证措施。明文认证方式要求，在加入一个VRRP路由器组时，必须同时提供相同的VRID和明文密码。它避免在局域网内的配置错误，但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性，能够防止报文重放和修改等攻击。
在本小题中，在两台S7606中都配置了两个虚拟备份组，虚拟备份组10的IP地址为202.10.10.1/24；虚拟备份组11的IP地址为202.10.11.1/24。虚拟备份组10为VLAN10中的主机提供了网关冗余，虚拟备份组11为VLAN11中的主机提供了网关冗余。
由于VRRP路由器S7606-1的IP地址和虚拟备份组10的IP地址相同，因此其具有最高优先级，成为虚拟备份组10的主控路由器，S7606-1为虚拟组10的备份路由器。
在网络正常运行的情况下，主机PC2访问Internet的数据转发路径为：PC2→S2924G-1→S7606防火墙→边界路由器→Internet。
当路由器S7606-1宕机后，PC2不用修改网关IP地址，可以访问Internet。因为当虚拟备份组10的备份路由器S7606-2在数秒之内没有收到主控路由器的通告，会认为主控路由器失效，自动启动切换，成为主控路由器，响应对虚拟IP地址的ARP请求，并且响应的是虚拟MAC地址，而不是接口的真实MAC地址。同时负责转发目的MAC地址为虚拟MAC地址的IP报文，这样就保证了对客户透明的网关切换。
【问题3】
IEEE802.1X是根据用户ID或设备，对网络客户端（或端口）进行鉴权的标准。该流程被称为'端口级别的鉴权'。它采用RADIUS（远程认证拨号用户服务）方法，并将其划分为三个不同小组：请求方、认证方和授权服务器。
802.1X标准应用于试图连接到端口或其他设备（如CiscoCatalyst交换机或CiscoAironet系列接入点）（认证方）的终端设备和用户（请求方）。认证和授权都通过鉴权服务器（如CiscoSecureACS）后端通信实现。IEEE802.1X提供自动用户身份识别，集中进行鉴权、密钥管理和LAN连接配置。整个802.1x的实现设计三个部分，请求者系统、认证系统和认证服务器系统。
请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备，用户通过启动客户端软件发起802.1x认证。认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.1x协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以是逻辑端口，一般在用户接入设备（如LANSwitch和AP）上实现802.1x认证。请求者和认证系统之间运行802.1x定义的EAPoL（ExtensibleAuthenticationProtocoloverLAN）协议。当认证系统工作于中继方式时，认证系统与认证服务器之间运行EAP协议，EAP帧中封装认证数据，将该协议承载在其他高层次协议中（如RADIUS），以便穿越复杂的网络到达认证服务器；当认证系统工作于终结方式时，认证系统终结EAPoL消息，并转换为其他认证协议（如RADIUS），传递用