交换机安全特性
Cisco交换机的安全特性
一、端口安全
二、AAA服务认证
三、DHCP欺骗
四、IP Source Guard
五、ARP
六、DAI的介绍
七、SSH认证
八、VTY线路出入站的ACL
九、HTTP server
十、ACL功能
十一、PVLAN
一、端口安全:
A、通过端口安全特性可以检查连接交换机的MAC地址的真实性。管理员可以通过这个特性将固定的MAC地址写在交换机中。
B、配置顺序:
1)启动端口安全程序,
2)配置有效的MAC地址学习上线,
3)配置静态有效MAC地址(动态学习不需要配置),
4)配置违反安全规定的处理方法(方法有三种:shut down直接关闭端口,需要后期由管理员手工恢复端口状态;protect过滤掉不符合安全配置的MAC地址;restrict过滤掉非安全地址后启动计时器,记录单位时间内非安全地址的连接次数),
5)配置安全地址的有效时间(静态配置的地址永远生效,而动态学习的地址则需要配置有效时间)。
C、配置实例:
D、当管理员需要静态配置安全MAC地址,而又不知道具体MAC地址时,可通过sticky特性实现需求。命令如下:
switchport port-security mac-address sticky
sticky特性会将动态学习到的MAC地址自动配置为静态安全地址。且该条目可以在show run中看到(记得保存配置)。
E、校验命令:
show port-security [interface interface-id] [address]具体端口明细信息show port-security显示端口安全信息
show port-security address显示安全地址及学习类型
二、AAA认证
1、A AA:
A、Authentication 身份认证:校验身份
B、Authorization 授权:赋予访问者不同的权限
C、Accounting 日志:记录用户访问操作
2、A AA服务认证的三要素:AAA服务器、各种网络设备、客户端客户端:AAA服务中的被管理者
各种网络设备:AAA服务器的前端代理者
AAA服务器:部署用户、口令等
注:CC IE-RS只涉及网络设备上的一小部分,不作为重点。
3、802.1X端口认证协议(标准以太网技术)
在以太网卡和以太交换机之间通过802.1X协议,实现网络接入控制。即是否允许客户端接入网络。
三、DHCP欺骗
1、D HCP过程是客户端接入网络后会发广播(discover)寻找本网段的DHCP服务器;服务器收到广播后,会向客户端进行回应(offer),回应信息中携带着地址段信息;客户端会在offer中挑选一个IP地址,并向服务器发起请求(responds);服务器会检查客户端选取的IP地址是否可用,同时向客户端确认消息(acknowledgment)。
DHCP欺骗主要与服务器给客户端的回应有关。
2、D HCP Snooping 在交换机上检查DHCP消息。具体的说它会检查两类消息:discover消息和offer消息。交换机对discover消息的控制
方法是限速,对offer消息的控制是引导。在专业的攻击中,病毒电脑会先用discover方式向合法的DHCP服务器发起QOS攻击。当DHCP服务器瘫痪后,由另一台病毒电脑对这个网段进行DHCP欺骗。由于是两台病毒电脑配合攻击,因此解决问题的方法也不同。
3、D HCP Snooping的部署
注1:最后两条命令,是在接口模式下配置。
注2:没有被配置成trust的接口,都是untrust接口。
注3:DHCP中的扩展信息是通过交换机时获得的。当客户端与服务器不是通过直连网络连接,而是中间通过交换机连接,此时交换机会在DHCP过程中附加一些交换的信息(option)。这些信息可以被DHCP Snooping监听。即:没有交换机,就没有(option)。
4、D HCP Snooping的校验
show ip dhcp snooping
5、D HCP Snooping建立“绑定数据库”
当DHCP Snooping被启用后,交换机会对untrust接口建立数据库。数据库最大容量8192条信息。数据库的内容包括:每个客户端在申请DHCP时的IP地址、MAC地址、端口号、VLAN ID和租用时间。
6、远程储存命令:
7、校验命令:
四、IP Source Guard
交换机能够检查来自客户端的源IP地址,防止虚假的IP地址攻击。在实际的网络攻击中,在IP层面的攻击行为几乎都包括虚假的IP攻击。最常用的方法是借鉴DHCP Snooping建立的绑定表。当启
用Source Guard特性后,交换机会自动生成一条ACL并下发到端口中,比较连接端口的主机IP是否与绑定表中的条目一致,如果不一致,则中断连接。
注:IP Source Guard配置前必须先配置DHCP Snooping
●配置命令(端口模式):
ip verify source 只检查源IP地址
ip verify source port-security 同时检查源IP地址和源MAC地址
注1:如果配置source和port-security交换机必须支持option82功能。即当客户端通过交换机连接DHCP服务器时,可以在DHCP过程中收到携带交换机信息的数据包。
注2:port-security功能启用后,交换机不检查DHCP消息的MAC地址,直到终端设备获得IP地址之后,交换机才会检查源MAC地址。
●静态绑定和校验命令
ip source binding mac-address vlan vlan-id i p address interface interface-id show ip verify source [interface interface-id]
show ip source binding [ip-address] [mac-address] [dhcp snooping | static] [interface interface-id] [vlan vlan-id]
五、ARP
●消息封装以太帧ARP消息
6字节以太网目的地址
6字节以太网源地址
2字节帧类型
2字节硬件类型
2字节协议类型
1字节硬件地址长度
1字节协议地址长度
2字节op
6字节发送端以太网地址
4字节发送端ip地址
6字节目的以太网地址
4字节目的ip地址
对于一个ARP请求来说,除目的端硬件地址外的所有其他的字段都有填充值。
当系统收到一份目的端为本机的ARP请求报文后,它使用自己的MAC和IP分别替换两个发送端的地址,将发送端的两个地址填写到目的以太网地址和目的IP地址字段,并把操作字段设置为“2”,最后发送回去。
所谓的ARP欺骗,就是在最后4组字段做文章。欺骗都发生在应答消息中。
六、DAI的介绍:
A:功能
·DAI会检查应答消息中的发送IP和发送MAC是否在DHCP Snooping建立的数据库中存在,如果存在即为真,反之为假;·DAI会过滤“免费ARP消息”(没有经过ARP请求就自动收到的
ARP应答消息);
·DAI可以阻止ARP病毒或者ARP攻击;
·DAI还可以对ARP请求消息进行限速
B:规划
在接入层交换机上进行配置,通常将级联端口配置为trusted接口,将连接终端的接口untrunsted接口。DAI只对untrunsted端口生效。C:ARP ACls配置命令:
arp access-list acl-name
配置ACL的名称
permit ip host sender-ip mac host sender-mac [log]
手工填写IP地址和对应的MAC地址
Exit
退出ACL配置
ip arp inspection filter arp-acl-name vlan vlan-range [static]
调用ACLs配置
注:ARP Acl是是检查ARP消息,不是绑定主机的IP和MAC
例:
Arp access-list host2 配置arp ACL,名称host2 Permit ip host 1.1.1.1 mac host 1.1.1 主机1.1.1.1的mac地址1.1.1 Exit 退出
ip arp inspection filter host2 vlan 1 在vlan 1中调用host2 interface ethe0/0/1 进入ethe0/0/1口
no ip arp inspection trust 修改端口为untrust端口
说明:以上配置完成后,交换机ethe0/0/1口应答的ARP消息中,发送端口IP和发送端口MAC地址,必须与host2中配置相同。如果ARP应答消息中的字段与ACL配置中的任何一项不符,则直接过滤。D:校验命令
show arp access-list [acl-name]
show ip arp inspection vlan vlan-range
show ip arp inspection interface
E:以太帧的ARP检查命令
ip arp inspection validate {[src-mac][dst-mac][ip]} 可以检查以太帧的内容,“以太网源地址”要和“发送端以太网地址”相同,“以太网目的地址”要和“目的以太网地址相同”
配置实例:
七、SSH认证
telnet:明文传递,易被抓包
ssh:使用加密算法,使用强身份认证
cisco的产品都可以配置为ssh server。同时都具有客户端功能。配置例:
hostname 123 定义主机名
username xyz password abc123 设置管理员账户及密码
ip domain-name https://www.360docs.net/doc/6911932159.html, 配置域名
crypto key generate rsa 产生密钥算法
ip ssh version 2 ssh协议的版本号
line vty 0 15 配置vty线路
login local 登录时使用本地的数据库transport input ssh 允许ssh连接
八、VTY线路出入站的ACL
命令:
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
允许源地址段为10.0.0.0/24 目的地址段为any
line vty 0 15
access-class 100 in
in:入站连接的源IP,out:以本机为源出站连接
即:in是谁能连接我,out是我能连接谁
九、HTTP server
示例:
hostname 123 定义主机名
access-list 100 permit ip 10.1.9.0 0.0.0.255 any
定义列表100,只允许源地址为10.1.9.0/24网段通过,目的地址any username xyz password abc123 设置管理员账户及密码
ip domain-name https://www.360docs.net/doc/6911932159.html, 配置域名
crypto key generate rsa 产生密钥算法
no ip http server 关闭http server服务
ip http secure-server 开启http secure-server功能
http access-class 100 in 进站方向调用列表100
http authentication local 针对本地的http访问使用本地的用户名登录十、ACL功能
交换机支持3种ACL。即:基于端口的acl,基于vlan的acl和在三层接口上配置出站或入站的acl(三层交换机支持)。
示例一:
需求:
·drop all IGMP packets 丢弃所有的IGMP包
·forward all tcp packets 转发所有的TCP包
·drop all other ip packets 丢弃所有其他的(非IGMP和非TCP)IP 包
·forward all non-ip packets 转发所有的非IP包(不使用IP协议通讯的包,例如:以太帧等)
命令:
定义列表:
ip access-list extended igmp-match 定义列表igmp-match
permit igmp any any 允许igmp协议的源、目的地址通过
ip access-list extended tcp-match 定义列表tcp-match
permit tcp any any 允许所有tcp协议的源、目的地址通过
exit退出
调用列表
vlan access-map drop-ip-default 10
创建基于vlan的控制列表:drop-ip-default是列表名称,10:序号match ip address igmp-match 定义筛选范围:调用列表igmp-match action drop 选择操作:将满足match条件的数据丢弃(drop)
exit退出
vlan access-map drop-ip-default 20
drop-ip-default列表第20句
match ip address tcp-match 定义筛选范围:调用列表tcp-match action forward 选择操作:将满足match条件的数据包转发(forward)注:在access-map中如果配置了有关IP协议的策略,无论是drop还是forward,列表在最后默认deny有关IP协议的其他流量。因此需求三得到满足。同时,由于上述列表中没有涉及的非IP流量,因此对非IP流量不做任何处理,直接转发。需求四得到满足。
示例二:
需求:
·forward all tcp packets 允许转发所有tcp的流量
·forward MAC packets from hosts 0000.0c00.0111and 0000.0c00.0211 转发两个源MAC地址的流量
·drop all other ip packets 丢弃其他的IP流量
·drop all other mac packets 丢弃其他的MAC流量
命令:
ip access-list extended tcp-match 定义列表tcp-match
permit tcp any any 允许tcp协议的源、目的地址通过
mac access-list extended good-hosts 定义列表good-hosts
permit host 0000.0c00.0111 any允许源mac地址为0000.0c00.0111的流量通过
permit host 0000.0c00.0211 any允许源mac地址为0000.0c00.0211的流量通过
exit退出
调用列表
vlan access-map drop-all-default 10
创建基于vlan的控制列表:drop-ip-default是列表名称,10:序号match ip address tcp-match 定义筛选范围:调用列表tcp-match action forward 选择操作:将满足match条件的数据包转发(forward)exit退出
vlan access-map drop-all-default 20
drop-all-default列表第20句
match mac address good-hosts 定义筛选范围:调用列表good-hosts action forward选择操作:将满足match条件的数据包转发(forward)exit
注:需求三和需求四满足的原因同“示例一”。由于在列表中分别配置了IP和以太网的策略,因此acl会在最后deny其他的相关流量。VLAN Map的调用
命令:全局模式配置vlan filter mapname vlan-list list
十一、PVLAN
在普通VLAN下面设置二层VLAN(private vlan)。使普通VLAN 下面呈现出不同的VLAN控制。
1、P VLAN的六个概念(三种类型VLAN和三种类型端口)
A、三种类型VLAN
primary vlan 基本vlan
community vlan 团体vlan
isolated vlan 隔离vlan
注:其中community vlan和isolated vlan都属于secondary vlan。它们分别可以和primary vlan通讯,但是彼此不能通讯
B、三种类型端口:
Isolated 隔离端口属于isolated vlan
Promiscuous 混杂端口属于primary vlan
Community 团体端口属于community vlan
2、各个类型端口的通讯
A、Isolated隔离端口:每一个隔离端口只能与混杂端口通讯,隔离端口之前不能通讯。
B、Promiscuous混杂端口:可以和PVLAN中的任意端口通讯。
C、Community 团体端口:可以和混杂端口以及同一个community内的其他端口通讯。
3、配置命令及注意事项
示例:
vtp transparent配置PVLAN不能使用VTP
vlan 201 建立VLAN201
private-vlan isolated将VLAN201配置为隔离VLAN vlan 202 建立VLAN202
private-vlan community将VLAN202配置为团体VLAN vlan 100 建立VLAN100
private-vlan primary 将VLAN100配置为混杂VLAN private-vlan association 201,202 将vlan201与202配置在vlan100下面interface fa0/24 进入0/24端口
switchport mode private-vlan promiscuous配置为混杂端口switchport private-vlan mapping 100 201,202 配置该端口所属vlan
注1:mapping 后面先写主vlan ID,再写辅助vlan ID。interface range fa0/1-2 进入fa0/1和fa0/2口
switchport mode private-vlan host将端口配置为辅助端口switchport private-vlan host-association 100 202 配置端口可通行vlan 注2:host-association 先写主vlan ID后写辅助vlan ID。interface range fa0/3-4 进入fa0/3和fa0/4口
switchport mode private-vlan host将端口配置为辅助端口switchport private-vlan host-association 100 201 配置端口可通行vlan 4、校验
show vlan private-vlan
交换机的端口安全配置
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
交换机安全技术操作规程正式样本
文件编号:TP-AR-L1307 There Are Certain Management Mechanisms And Methods In The Management Of Organizations, And The Provisions Are Binding On The Personnel Within The Jurisdiction, Which Should Be Observed By Each Party. (示范文本) 编制:_______________ 审核:_______________ 单位:_______________ 交换机安全技术操作规 程正式样本
交换机安全技术操作规程正式样本 使用注意:该操作规程资料可用在组织/机构/单位管理上,形成一定的管理机制和管理原则、管理方法以及管理机构设置的规范,条款对管辖范围内人员具有约束力需各自遵守。材料内容可根据实际情况作相应修改,请在使用时认真阅读。 一、职责:(1)根据加热制度(或按煤气组长要求),调节煤气流量,烟道吸力保持稳定。 (2)负责设备日常检查,按规定时间和程序进行交换和巡回检查,发现问题及时处理或汇报。 (3)准确填写各项数据,计算本班加热制度平均数值,保持记录整洁。 (4)负责交换机的特殊操作和事故处理。 (5)维护好所属设备,并保持所属区域周围的卫生清洁。 二、工艺流程 加热煤气流向:回炉煤气总管 1号2号回炉煤
气总管煤气预热器 1号2号地下室煤气主管加减考克孔板盒交换考克横排管喷嘴煤气上立 管直立砖煤气道立火道底部与空气混合燃烧。 空气流向:开闭器进风口小烟道蓄热室(篦子砖格子砖)斜道区上升立火道斜道口与煤气混合燃烧。 废弃流向:上升立火道底部跨越孔下降气流立火道斜道区蓄热室(篦子砖格子砖)小烟道开闭器 分烟道总烟道烟囱排出。 荒煤气流向:炭化室顶空间上升管桥管阀体集气 管 n型管吸气管气液分离器初冷器鼓风 机电捕焦油器脱硫塔硫铵饱和器终冷塔洗苯塔回炉加热。
交换机常见的故障类型及分析排查
交换机常见的故障类型及分析排查交换机运行中出现故障是不可避免的,但出现故障后应当迅速地进行处理,尽快查出故障点,排除故障,这是网管人员应尽的职责。但是要做到这一点,就必须了解交换机故障的类型及具备对故障进行分析和处理的能力。为此,本文就交换机常出现的故障类型及分析排查的方法进行简要的介绍。 电源故障 由于外部供电不稳定,电源线路老化或者雷击等原因导致电源损坏或者风扇停转,以致不能正常工作。或者由于电源缘故导致机内其他部件的损坏都会使交换机出现问题。 假如交换机面板上的POWER指示灯是绿色的,就表示是正常的;假如该指示灯灭了,则说明交换机没有正常供电。这类问题很轻易发现,也很轻易解决,同时也是最轻易预防的。 针对这类故障,首先应该做好外部电源的供给工作,一般通过引入独立的电力线来提供独立的电源,并添加稳压器来避免瞬间高压或低压现象。假如条件答应,可以添加UPS(不间断电源)来保证交换机的正常供电,有的UPS提供稳压功能,而有的没有,选择时要注重。在机房内设置专业的避雷措施,来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司,实施网络布线时可以考虑。
端口故障 这是最常见的硬件故障,无论是光纤端口还是双绞线的RJ-45端口,在插拔接头时一定要小心。假如不小心把光纤插头弄脏,可能导致光纤端口污染而不能正常通信。我们经常看到很多人喜欢带电插拔接头,理论上讲是可以的,但是这样也无意中增加了端口的故障发生率。在搬运时不小心,也可能导致端口物理损坏。假如购买的水晶头尺寸偏大,插入交换机时,也轻易破坏端口。此外,假如接在端口上的双绞线有一段暴露在室外,万一这根电缆被雷电击中,就会导致所连交换机端口被击坏,或者造成更加不可预料的损伤。 一般情况下,端口故障是某一个或者几个端口损坏。所以,在排除了端口所连计算机的故障后,可以通过更换所连端口,来判定其是否损坏。碰到此类故障,可以在电源关闭后,用酒精棉球清洗端口。假如端口确实被损坏,那就只能更换端口了。 模块故障 交换机是由很多模块组成,比如:堆叠模块、治理模块(也叫控制模块)、扩展模块等。这些模块发生故障的几率很小,不过一旦出现问题,就会遭受巨大的经济损失。假如插拔模块时不小心,或者搬运交换机时受到碰撞,或者电源不稳定等情况,都可能导致此类故障的发生。 当然上面提到的这3个模块都有外部接口,比较轻易辨认,有的还可以通过模块上的指示灯来辨别故障。比如:堆叠模块上有一个扁平的
实验四 交换机端口安全技术
交换机端口安全技术 24.1 实验内容与目标 完成本实验,应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议,使接入交换机的PC 经
过认证后才能访问网络资源。通过本实验,掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一:建立物理连接并初始化交换机配置。 按实验组网图进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二:检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果是。 步骤三:配置802.1x协议。 实现在交换机SWA上启动802.1x协议,过程如下: 首先需要分别在和开启802.1x认证功能,在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户,用户名为abcde,密码为 明文格式的12345,该用户的服务类型server-type是,在如下的空格中完成该本地用户的配置命令。 步骤四:802.1x验证。 配置完成后,再次在PCA上用ping命令来测试到PCB的互通性,其结果是。 导致如上结果的原因是交换机上开启了802.1x认证,需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机,本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标,在弹出的窗口中双击“网络连接”图标,在弹出的窗口中右击“本地连接”图标,执行“属性”命令,如实验图24-2所示。 再选择“验证”选项卡,并选中“启用此网络的IEEE802.1x验证”复选框,如实验图24-3所示,然后单击“确定”按钮,保存退
思科交换机安全 做 802.1X、port-security案例
端口和MAC绑定:port-security 基于DHCP的端口和IP,MAC绑定:ip source guard 基于DHCP的防止ARP攻击:DAI 防止DHCP攻击:DHCP Snooping cisco所有局域网缓解技术都在这里了! 常用的方式: 1、802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;很多名字,有些烦 当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT必须支持802.1X方式,如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息 示例配置: Router#config ure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式,正常的通过认证和授权过程 强制授权方式:不通过认证,总是可用状态 强制不授权方式:实质上类似关闭了该接口,总是不可用
几种典型交换机常见的故障以及解决办法
几种典型交换机常见的故障以及解决办法 计算机中有很多的部件都是随着计算机的运行时刻在工作,交换机、路由器这样的网络设备,在没有断电的情况下也时刻处于工作状态,无论一台交换机的性能有多好,时间工作长,难免不会出现故障,尽管交换机的故障多种多样,而且经常出现的也就这么几种。下面为大家归纳了交换机的几类典型的故障及其解决方法。 1.端口故障 故障现象:整个网络的运作正常,但个别的机器不能正常通信。 故障原因:这是交换机故障中最常见的,如果光纤插头或RJ-45端口脏了,可能导致端口污染而不能正常通信。还有,平常很多人都喜欢带电插拔接头,在理论上说似乎并没有不妥,但实际上经常这样的话就无意中增加了端口的故障发生率;在搬运时的不小心,也可能导致端口物理损坏;购买的水晶头尺寸偏大,插入交换机时,也很容易破坏端口。此外,如果接在端口上的双绞线有一段暴露在室外,万一这根电缆被雷电击中,就会导致所连交换机端口被击坏。 解决方法:一般情况下,端口故障是个别的端口损坏,先检查出现问题的计算机,在排除了端口所连计算机的故障后,可以通过更换所连端口,来判断其是否端口问题,若更换端口后问题能解决的话,再进一步判断是端口的何种缘故。关闭电源后,用酒精棉球清洗端口,如果端口确实被损坏,那就只能更换端口了。此外,无论是光纤端口还是双绞线的RJ-45端口,在插拔接头时一定要小心,建议插拔时最好不要带电操作。 2.电路板故障 故障现象:有一个电脑室经常出现一部分电脑不能访问服务器的现象。 故障原因:交换机一般是由主电路板和供电电路板组成,造成这种故障一般都是这两个部分出现了问题。而造成电路板不能正常工作的主要因素有:电路板上的元器件受损或基板不良,硬件工注不合适和硬件更新后以及由于兼容问题而造成的电路板块类型不合适等。 解决方法:首先确定究竟是主电路板还是供电电路板出现问题,先从电源部分开始检查,用万能表在去掉主电路板负载的情况下通电测量,看测量出的指标是否正常,若不正常,则换用一个AT电源,输入电源到主电路板,交换机前面板的指示灯恢复正常的亮度和颜色,而所连接这台交换机的电脑正常互访,就说明是供电电路板出现了问题。若以上操作无效的话,问题就应该是出现在主电路板上了。 3.电源故障 故障现象:开启交换机后,交换机没有正常运作,而且发现面板上的POWER指示灯并没有亮,而且风扇也不转动。 故障原因:这种故障通常是由于外部供电环境的不稳定,或者是电源线路老化,又或者是由于遭受雷击等而导致电源损坏或者风扇停止,从而导致交换机不能正常工作。还有可能是由于电源缘故而导致交换机机内的其他部件坏的损坏。 解决方法:这类问题很容易发现也很容易解决,当发生这种故障时,首先检查电源系统,看看供电插座有没有电流,电压是否正常。要是供电正常的话,那就要检查电源线是否有所损坏,有没有松动等,若电源线损坏的话就更换一条,松动了的话就重新插好。 如果问题还没有解决,那问题就应该落在交换机的电源或者是机内的其他部件损坏了。预防方法也比较简单,首先要做的就是保证外部供电环境的稳定,这可以通过引入独立的电力线来提供独立的电源,并添加稳压器来避免瞬间高压或低压象。可能的话,建议最好配置UPS系统。还有的就是采取必要的避雷措施,以防雷电对交换机造成的损害。 连接电缆和配线架跳线、配置不当、系统数据的问题也时有发生,此外,局数据错误也会对整个交换局造成影响,而用户数据被错误设置,则会对某个用户产生影响,还有的就是
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
交换机安全技术操作规程(正式)
编订:__________________ 单位:__________________ 时间:__________________ 交换机安全技术操作规程 (正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-4732-39 交换机安全技术操作规程(正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 一、职责:(1)根据加热制度(或按煤气组长要求),调节煤气流量,烟道吸力保持稳定。 (2)负责设备日常检查,按规定时间和程序进行交换和巡回检查,发现问题及时处理或汇报。 (3)准确填写各项数据,计算本班加热制度平均数值,保持记录整洁。 (4)负责交换机的特殊操作和事故处理。 (5)维护好所属设备,并保持所属区域周围的卫生清洁。 二、工艺流程 加热煤气流向:回炉煤气总管 1号2号回炉煤气总管煤气预热器 1号2号地下室煤气主管加减考克孔板盒交换考克横排管喷嘴煤气上立管直立砖煤气道立火道底部与空气混合燃烧。
空气流向:开闭器进风口小烟道蓄热室(篦子砖格子砖)斜道区上升立火道斜道口与煤气混合燃烧。 废弃流向:上升立火道底部跨越孔下降气流立火道斜道区蓄热室(篦子砖格子砖)小烟道开闭器 分烟道总烟道烟囱排出。 荒煤气流向:炭化室顶空间上升管桥管阀体集气 管n型管吸气管气液分离器初冷器鼓风机电捕焦油器脱硫塔硫铵饱和器终冷塔洗苯塔回炉加热。 生产工艺流程:各单种煤1至5号料仓皮带秤煤1皮带破碎机煤2皮带煤仓摇臂给料器加煤车碳化室推焦车拦焦车熄焦车熄焦塔晾焦台焦1皮带转运站焦2皮带焦厂外运 三、设备构造及型号 63孔焦炉系双联火道废弃循环下喷单热式焦炉,
总结交换机常见故障的分类和排障步骤
总结交换机常见故障的一般分类和排障步骤 交换机的优越性能和价格的大幅度下降,促使了交换机的迅速普及。 网络管理员在工作中经常会遇到各种各样的交换机故障,如何迅速、准确地查出故障并排除故障呢?本文就常见的故障类型和排障步骤做一个简单的介绍。由于交换机在公司网络中应用范围非常广泛,从低端到中端,从中端到高端,几乎涉及每个级别的产品,所以交换机发生故障的机率比路由器,硬件防火墙等要高很多,这也是为什么我们首先讨论交换机故障的分类与排除故障步骤的原因。 一,交换机故障分类: 交换机故障一般可以分为硬件故障和软件故障两大类。硬件故障主要指交换机电源、背板、模块、端口等部件的故障,可以分为以下几类。 (1)电源故障: 由于外部供电不稳定,或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止,从而不能正常工作。由于电源缘故而导致机内其他部件损坏的事情也经常发生。 如果面板上的POWER指示灯是绿色的,就表示是正常的;如果该指示灯灭了,则说明交换机没有正常供电。这类问题很容易发现,也很容易解决,同时也是最容易预防的。 针对这类故障,首先应该做好外部电源的供应工作,一般通过引入独立的电力线来提供独立的电源,并添加稳压器来避免瞬间高压或低压现象。如果条件允许,可以添加UPS(不间断电源)来保证交换机的正常供电,有的UPS提供稳压功能,而有的没有,选择时要注意。在机房内设置专业的避雷措施,来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司,实施网络布线时可以考虑。 (2)端口故障: 这是最常见的硬件故障,无论是光纤端口还是双绞线的RJ-45端口,在插拔接头时一定要小心。如果不小心把光纤插头弄脏,可能导致光纤端口污染而不能正常通信。我们经常看到很多人喜欢带电插拔接头,理论上讲是可以的,但是这样也无意中增加了端口的故障发生率。在搬运时不小心,也可能导致端口物理损坏。如果购买的水晶头尺寸偏大,插入交换机时,也容易破坏端口。此外,如果接在端口上的双绞线有一段暴露在室外,万一这根电缆被雷电击中,就会导致所连交换机端口被击坏,或者造成更加不可预料的损伤。
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
交换机安全防范技术
编号:SM-ZD-40739 交换机安全防范技术Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
交换机安全防范技术 简介:该方案资料适用于公司或组织通过合理化地制定计划,达成上下级或不同的人员之间形成统一的行动方针,明确执行目标,工作内容,执行方式,执行进度,从而使整体计划目标统一,行动协调,过程有条不紊。文档可直接下载或修改,使用时请详细阅读内容。 在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客
交换机的安全策略及实施
交换机的安全策略及实施 交换机在企业网中占有重要的地位,通常是整个网络的核心所在。在这个黑客入侵风起云涌、病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起网络安全的一部分责任。因此,交换机要有专业安全产品的性能,安全已经成为网络建设必须考虑的重中之中。安全交换机由此应运而生,在交换机中集成安全认证、ACL(Access Control List,访问控制列表)、防火墙、入侵检测甚至防毒的功能,网络的安全真的需要“武装到牙齿”。交换机在企业网中占有重要的地位,通常是整个网络的核心所在。在这个黑客入侵风起云涌、病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起网络安全的一部分责任。因此,交换机要有专业安全产品的性能,安全已经成为网络建设必须考虑的重中之中。安全交换机由此应运而生,在交换机中集成安全认证、ACL(Access Control List,访问控制列表)、防火墙、入侵检测甚至防毒的功能,网络的安全真的需要“武装到牙齿”。 安全交换机三层含义 交换机最重要的作用就是转发数据,在黑客攻击和病毒侵扰下,交换机要能够继续保持其高效的数据转发速率,不受到攻击的干扰,这就是交换机所需要的最基本的安全功能。同时,交换机作为整个网络的核心,应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是,交换机还应该配合其他网络安全设备,对非授权访问和网络攻击进行监控和阻止。 安全交换机的新功能 (一)、802.1x加强安全认证 在传统的局域网环境中,只要有物理的连接端口,未经授权的网络设备就可以接入局域网,或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给一些企业造成了潜在的安全威胁。另外,在学校以及智能小区的网络中,
交换机常见故障和排障方法
交换机常见故障和排障方法 交换机的优越性能和价钱的大幅度降落,促使了交换机的迅速普及。网络管理员在工作中经常会遇到各种各样的交换机故障,如何迅速、正确地查出故障并消除故障呢?本文就常见的故障类型和排障步骤做一个简略的介绍。由于交换机在公司网络中利用范畴非常普遍,从低端到中端,从中端到高端,几乎涉及每个级别的产品,所以交换机产生故障的机率比路由器,硬件防火墙等要高很多,这也是为什么我们首先讨论交换机故障的分类与消除故障步骤的原因。 一,交换机故障分类: 交换机故障一般可以分为硬件故障和软件故障两大类。硬件故障重要指交换机电源、背板、模块、端口等部件的故障,可以分为以下几类。 (1)电源故障: 由于外部供电不稳定,或者电源线路老化或者雷击等原因导致电源毁坏或者风扇停滞,从而不能正常工作。由于电源缘故而导致机内其他部件毁坏的事情也经常产生。 如果面板上的POWER指点灯是绿色的,就表示是正常的;如果该指点灯灭了,则解释交换机没有正常供电。这类问题很容易发现,也很容易解决,同时也是最容易预防的。 针对这类故障,首先应该做好外部电源的供应工作,一般通过引入独立的电力线来供应独立的电源,并添加稳压器来避免瞬间高压或低压现象。如果条件允许,可以添加UPS(不间断电源)来保证交换机的正常供电,有的UPS供应稳压功效,而有的没有,选择时要注意。在机房内设置专业的避雷方法,来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司,履行网络布线时可以斟酌。 (2)端口故障: 这是最常见的硬件故障,无论是光纤端口还是双绞线的RJ-45端口,在插拔接头时必定要当心。如果不当心把光纤插头弄脏,可能导致光纤端口污染而不能正常通讯。我们经常看到很多人喜欢带电插拔接头,理论上讲是可以的,但是这样也无意中增加了端口的故障产生率。在搬运时不当心,也可能导致端口物理毁坏。如果购置的水晶头尺寸偏大,插入交换机时,也容易毁坏端口。此外,如果接在端口上的双绞线有一段暴露在室外,万一这根电缆被雷电击中,就会导致所连交换机端口被击坏,或者造成更加不可预见的损伤。 一般情况下,端口故障是某一个或者几个端口毁坏。所以,在消除了端口所连计算机的故障后,可以通过更换所连端口,来断定其是否毁坏。遇到此类故障,
接入交换机常见安全配置
适用场景:1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中,若未指定优先级,则是根据它们的MAC地址(mac小的为主机)来确定谁是主机。优先级为越大越好,范围1-10。出场默认为1。 1、系统时间同步:如果客户有使用 ntp/sntp进行全网统一的时间配置的需求,可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址,此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一:限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二:限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表,严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三:使用加密管理协议,使用SSH管理,禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式
安全管理路由器和交换机
安全管理路由器和交换机
M10-1 安全管理路由器和交换机 1.1教学目的与要求 1.1.1 教学目的 学生通过该能力模块的学习,能够独立配置路由器和交换机上的安全功能。 1.1.2 教学要求 1.教学重点 配置登录验证:重点讲解登录的密码不是特权密码。网络设备的登录认证是如何实现的。 配置线路访问:帮助学生理解什么是线路访问。如何控制不同的线路访问验证。 配置SSH认证服务:SSH和普通的telnet 的区别。 2.教学难点 配置线路访问:学生往往很难理解线路访问与telnet访问与特权访问的区别。 1.2 本能力单元涉及的知识组织 1.2.1本能力单元涉及的主要知识点 1、配置线路访问 2、配置登录认证
3、配置SSH认证服务 1.2.2本能力单元需要解决的问题 1、按照项目的需求,重点理解线路访问与 其他访问的区别; 2、按照项目的需求,熟练掌握配置各种登 录认证的方法; 1.3 核心技术和知识的理解 1.3.1 SSH 概述 SSH 为Secure Shell 的缩写,由IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础 上的安全协议。 传统的网络服务程序,如FTP、POP和 Telnet其本质上都是不安全的;因为它们在网 络上用明文传送数据、用户帐号和用户口令, 很容易受到中间人(man-in-the-middle)攻 击方式的攻击。就是存在另一个人或者一台机 器冒充真正的服务器接收用户传给服务器的 数据,然后再冒充用户把数据传给真正的服务 器。 而SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信 息泄露问题。透过SSH 可以对所有传输的数
交换机常见故障处理
精心整理 1.1 调度交换机常见故障处理 1.1.1 故障分析 交换机出现故障后,检修人员也应做到‘望、闻、问、切’几步骤,用户应先观察故障现象,是单一?是整体?还是局部?有没有规律?询问故障发生时工作环境和工作状态,分析故障原因、及故障大致所在方位,自己不能处理的打电话到售后服务中心咨询,尽量把故障现象和工作状况描述清楚,便于判断。用户自己维修时,修理人员必须具备电子方面知识,应在专业维修人员指导下进行。 1. 电源指示灯不亮 1.保险管熔断,电压无输出,更换保险即可。 2.指示灯故障,机器能正常工作。 32. 1. 2. 3. 3. 12344. 12.检查电源指示灯,按照‘电源板’章节检查交换机电源输出电压是否正常,不正常时检查保险管是否融断,否则更换交换机电源或修复电源。 3.检查交换机主机板指示灯是否正常,检查交换机分控板指示灯是否正常,否则更换主机板或分控板。 4.若分机能呼叫和报号码,应该是交换机主板450HZ 音源部分故障 5.关电后重新开电恢复正常,应是交换机主时钟晶振停振无时钟输出。多为环境温度骤降等因素引起。 6.更换交换机总线板上74125器件及74238器件和4051、74244器件 总线板上两组74238、4051分别控制前4块和后4块用户板的收发检测 74238:用户板发送数据 4051:用户板接收数据
74125、74244:信号放大 5.分机话机提机噪音 1.全部话机噪音时,A检查电源电压及交换机接地情况,B内部时钟晶振是否不震荡,音板7400、时序分配交换电路MT2003是否损坏 2.单部话机噪音时,检查分机话机及分机线是否有接地或串线。 3.交换机用户板分机电路故障。 6.分机话机呼出呼入单向通话 1.话机故障。 2.控制板或用户板未插紧。 3 7. 8. 1 2 9. 1 2 3 4 10. 1 2 3 4 11. 1 2 3 4 12.分机不振铃可以呼出及通话 1.单部话机不振铃: a话机故障。 b分机电路振铃继电器触点吸合,不能正常跳起,用手指敲击用户板继电器即可恢复,更换振铃继电器。2.一块板或8路(前后)不振铃: a用户板继电器控制芯片IC4094、IC2004、三极管9013 b总线板74238芯片。 3.所有分机不振铃: a铃流电源输出线与母板对插接触不良,关电后重新插入即可恢复。
华为交换机安全防范技术
在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。 1.广播风暴抑制比 可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。当百分比为100时,表示不对该端口进行广播风暴抑制。缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。在以太网端口视图下进行下列配置: broadcast-suppression ratio 2.为VLAN指定广播风暴抑制比 同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。 MAC地址控制技术 以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式发送到所有接口,这时攻击者可以利用各种嗅探工具获取网络信息。TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包,甚至瘫痪。可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。 1.设置最多可学习到的MAC地址数
交换机常见故障处理
交换机常见故障处理 This model paper was revised by the Standardization Office on December 10, 2020
1.1调度交换机常见故障处理 1.1.1故障分析 交换机出现故障后,检修人员也应做到‘望、闻、问、切’几步骤,用户应先观察故障现象,是单一是整体还是局部有没有规律询问故障发生时工作环境和工作状态,分析故障原因、及故障大致所在方位,自己不能处理的打电话到售后服务中心咨询,尽量把故障现象和工作状况描述清楚,便于判断。用户自己维修时,修理人员必须具备电子方面知识,应在专业维修人员指导下进行。 1.电源指示灯不亮 1.保险管熔断,电压无输出,更换保险即可。 2.指示灯故障,机器能正常工作。 3.机器不能正常工作,电源部分故障。 2.死机(微机工作不正常) 1.复位 A.总线板复位开关是否短路 B.总线板复位电路上电阻阻值、电容容量是否变动 C.复位线与其它线是否短路 2.工作电压是否正常(C5V电压必须在~之间),否则维修电源 3.主板、分控板、中继板的微机灯工作是否正常(按照故障检查排除)
3.用户摘机主机板、分机控制板对应的指示灯没有反应 1.测试其它用户,一路或一块板不好查该用户板的电路;都不好查其它 2.检查电源指示灯,按照‘3.2.13电源板’章节检查交换机电源输出电压是否正常,不正常时检查保险管是否融断,否则更换交换机电源或修复电源。 3.主机板或分机控制板故障。检查交换机主机板、分控板指示灯是否正常,否则对主机板、分控板进行更换或维修 4.更换交换机总线板上74238器件和4051器件 总线板上两组74238、4051分别控制前4块和后4块用户板的收发检测 74238:用户板发送数据 4051:用户板接收数据 4.分机提机无音 1.测试其它用户,一路或一块板不好查该用户板的电路;都不好查其它 2.检查电源指示灯,按照‘3.2.13电源板’章节检查交换机电源输出电压是否正常,不正常时检查保险管是否融断,否则更换交换机电源或修复电源。 3.检查交换机主机板指示灯是否正常,检查交换机分控板指示灯是否正常,否则更换主机板或分控板。 4.若分机能呼叫和报号码,应该是交换机主板450HZ音源部分故障
交换机应用中的六种安全设置方法
交换机应用中的六种安全设置方法 L2-L4 层过滤 现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则设置有两种模式,一种是MAC模式,可根据用户需要依据源MAC或目的MAC有效实现数据的隔离,另一种是IP模式,可以通过源IP、目的IP、协议、源应用端口及目的应用端口过滤数据封包;建立好的规则必须附加到相应的接收或传送端口上,则当交换机此端口接收或转发数据时,根据过滤规则来过滤封包,决定是转发还是丢弃。另外,交换机通过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则确定,完全不影响数据转发速率。 802.1X 基于端口的访问控制 为了阻止非法用户对局域网的接入,保障网络的安全性,基于端口的访问控制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。例如华硕最新的GigaX2024/2048等新一代交换机产品不仅仅支持802.1X 的Local、RADIUS 验证方式,而且支持802.1X 的Dynamic VLAN 的接入,即在VLAN和802.1X 的基础上,持有某用户账号的用户无论在网络内的何处接入,都会超越原有802.1Q 下基于端口VLAN 的限制,始终接入与此账号指定的VLAN组内,这一功能不仅为网络内的移动用户对资源的应用提供了灵活便利,同时又保障了网络资源应用的安全性;另外, GigaX2024/2048 交换机还支持802.1X的Guest VLAN功能,即在802.1X的应用中,如果端口指定了Guest VLAN项,此端口下的接入用户如果认证失败或根本无用户账号的话,会成为Guest VLAN 组的成员,可以享用此组内的相应网络资源,这一种功能同样可为网络应用的某一些群体开放最低限度的资源,并为整个网络提供了一个最外围的接入安全。 流量控制(traffic control)
中兴交换机故障分析诊断
.专业整理. .学习帮手. ZXJ10交换机故障预防中兴通讯网络事业部南京用服部
.专业整理. .学习帮手. 目录 1. 病毒感染 (3) 2. 网络风暴 (4) 3. 传输故障 (5) 4. 对端设备问题 (6) 5. 雷击 (7) 6. 日常维护 (7) 6.1 服务器C盘空间不足 (7) 6.2 服务器数据库空间不足 (8) 6.3 数据未及时备份 (9) 6.4 数据未及时转储 (9) 6.5 机房环境不符合要求 (10) 6.6 线缆松动 (11) 7. 机房停电 (11) 8. 误操作 (13) 8.1 数据配置误操作 (13) 8.2 硬件操作不规范 (14) 9. 未购买维保服务 (14)
前言 随着消费者对通讯服务要求的日益提高,要求我们的通讯设备能够稳定运行,并且在出现业务中断后能迅速恢复。 目前很多故障是由于没有很好的预防导致的,如果能够进行有效预防,则可以大大降低故障发生的概率,并且即使在故障发生以后,也能尽快的恢复业务。下面对常见的会引起重大故障的情况以及预防措施进行介绍,希望能给各个局予以参考。 1.病毒感染 故障现象: 1.服务器或操作终端反应速度慢,无法正常操作; 2.后台程序无法正常运行,报错,或自动退出; 3.计费服务器不能正常登录或计费进程不接收话单,导致立即计费、IP超市不能正常使用; 4.鉴权服务器不能提供实时的服务,造成鉴权、拦截等业务呼叫失败; 5.破坏数据库,尤其是计费库,使数据丢失; 6.话务台、网管前置机等后台终端不能正常使用。 7.计算机自动重启。 影响范围: 1.影响计算机的正常操作,不能进行正常的日常维护; 2.影响实时的业务,如立即计费、鉴权等。 3.影响到话务台、网管前置机等终端。 预防措施: 1.安装中兴通讯指定的防病毒软件,并定期更新病毒库,定期进行全盘病毒扫描; 2.操作系统、数据库打最新的补丁; 3.安装中兴通讯自主研发的网络安全软件,对关键程序、系统进程实时监控,防止病毒感染; 4.后台网络与大网隔离,防止外网病毒入侵; 5.不在ZXJ10后台维护网络上安装、使用其它无关软件;