交换机端口锁死现象解决

交换机端口锁死现象解决

天河区分公司

王俊

2009-12-31

无

故障现象：换机的某一端13联接了一个HUB，HUB上面有DNS及WEB服务器。在没有任何征兆的情况下，交换机的这一端口突然出现故障，端口上的所有设备不能联网。

故障检查

①换交换机另一个好的端口，约几分钟后重复上述故障。

②怀疑连接交换机的HUB有物理故障，换了一个好的以后，过一段时间后故障仍然存在，可以确定不是HUB故障引起的。

③关掉交换机电源，重新加电后，原来出故障的端口恢复正常，但过一段时间后故障再次出现。由此判断端口故障很可能是因某种原因锁死，并非烧坏。依此，初步判断故障是由DNS 或WEB服务器的硬件或软件异常引起的。

④使用Sniffer协议分析仪接入该网段，测试后发现，DNS通过HUB接入一个好的交换机端口后，很快产生了几个广播风暴，之后交换机的端口就锁死。广播风暴是造成交换机端121锁死的直接原因。

⑤通过解读捕捉到的数据包内容，可以看到，广播风暴产生的原因，是本地DNS(主)服务器，与一台远程DNS(从)服务器之间产生了大量通信，通信内容是远程DNS服务器向本地DNS服务器查询一个主机的名字解析，而本地DNS服务器没有设置该主机所在域的DNS服务器地址，从而造成异常

的通信过程。

⑥从协议分析仪还可以看出，在1秒钟内，2台DNS之间有1155个这样的包来回.这种数据包产生了一个广播风暴，造成了交换机端口锁死。

故障排除

将www.*.net(基于保密用*代替)所在域的DNS服务器的地址定义在本地DNS上，故障排除。

故障排除的关键点在哪里？

远程DNS向本地DNS查询www.*.net的地址解释，本地DNS答复找不到以后，理论上远程DNS不应再发出查询请示，但由于软件BUG的问题，造成了DNS系统异常，产生了一个广播风暴，使交换机出现了故障。

操作系统概念第七版7-9章课后题答案(中文版)

7.1 假设有如图7.1所示的交通死锁。 a.证明这个例子中实际上包括了死锁的四个必要条件。 b.给出一个简单的规则用来在这个系统中避免死锁。 a.死锁的四个必要条件: (1)互斥；（2）占有并等待；（3）非抢占；（4）循环等待。 互斥的条件是只有一辆车占据道路上的一个空间位置。占有并等待表示一辆车占据道路上的位置并且等待前进。一辆车不能从道路上当前的位置移动开（就是非抢占）。最后就是循环等待，因为每个车正等待着随后的汽车向前发展。循环等待的条件也很容易从图形中观察到。 b.一个简单的避免这种的交通死锁的规则是，汽车不得进入一个十字路口如果明确地规定， 这样就不会产生相交。 7.2 考虑如下的死锁可能发生在哲学家进餐中，哲学家在同个时间获得筷子。讨论此种情况下死锁的四个必要条件的设置。讨论如何在消除其中任一条件来避免死锁的发生。 死锁是可能的，因为哲学家进餐问题是以以下的方式满足四个必要条件：1）相斥所需的筷子， 2 ）哲学家守住的筷子在手，而他们等待其他筷子， 3 ）没有非抢占的筷子，一个筷子分配给一个哲学家不能被强行拿走，4 ）有可能循环等待。死锁可避免克服的条件方式如下： 1 ）允许同时分享筷子， 2 ）有哲学家放弃第一双筷子如果他们无法获得其他筷子，3 ）允许筷子被强行拿走如果筷子已经被一位哲学家了占有了很长一段时间4 ）实施编号筷子，总是获得较低编号的筷子，之后才能获得较高的编号的筷子。 7.3 一种可能以防止死锁的解决办法是要有一个单一的，优先于任何其他资源的资源。例如，如果多个线程试图访问同步对象A?…E，那么就可能发生死锁。（这种同步对象可能包括互斥体，信号量，条件变量等），我们可以通过增加第六个对象来防止死锁。每当一个线程希望获得同步锁定给对象A???E，它必须首先获得对象F的锁.该解决方案被称为遏制：对象A???E的锁内载对象F的锁。对比此方案的循环等待和Section7.4.4的循环等待。 这很可能不是一个好的解决办法，因为它产生过大的范围。尽可能在狭隘的范围内定义死锁政策会更好。 7.4 对下列问题对比循环等待方法和死锁避免方法(例如银行家算法)： a.运行费用 b.系统的吞吐量 死锁避免方法往往会因为追踪当前资源分配的成本从来增加了运行费用。然而死锁避免方法比静态地防止死锁的形成方法允许更多地并发使用资源。从这个意义上说，死锁避免方案可以增加系统的吞吐量。 7.5 在一个真实的计算机系统中，可用的资源和进程命令对资源的要求都不会持续很久是一致的长期（几个月）。资源会损坏或被替换，新的进程会进入和离开系统，新的资源会被购买和添加到系统中。如果用银行家算法控制死锁，下面哪

实验四 交换机端口安全技术

交换机端口安全技术 24.1 实验内容与目标 完成本实验，应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议，使接入交换机的PC 经

过认证后才能访问网络资源。通过本实验，掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一：建立物理连接并初始化交换机配置。 按实验组网图进行物理连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二：检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后，在PCA上用ping命令来测试到PCB的互通性，其结果是。 步骤三：配置802.1x协议。 实现在交换机SWA上启动802.1x协议，过程如下： 首先需要分别在和开启802.1x认证功能，在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户，用户名为abcde，密码为 明文格式的12345，该用户的服务类型server-type是，在如下的空格中完成该本地用户的配置命令。 步骤四：802.1x验证。 配置完成后，再次在PCA上用ping命令来测试到PCB的互通性，其结果是。 导致如上结果的原因是交换机上开启了802.1x认证，需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机，本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标，在弹出的窗口中双击“网络连接”图标，在弹出的窗口中右击“本地连接”图标，执行“属性”命令，如实验图24-2所示。 再选择“验证”选项卡，并选中“启用此网络的IEEE802.1x验证”复选框，如实验图24-3所示，然后单击“确定”按钮，保存退

几种典型交换机常见的故障以及解决办法

几种典型交换机常见的故障以及解决办法 计算机中有很多的部件都是随着计算机的运行时刻在工作，交换机、路由器这样的网络设备，在没有断电的情况下也时刻处于工作状态，无论一台交换机的性能有多好，时间工作长，难免不会出现故障，尽管交换机的故障多种多样，而且经常出现的也就这么几种。下面为大家归纳了交换机的几类典型的故障及其解决方法。 1.端口故障 故障现象：整个网络的运作正常，但个别的机器不能正常通信。 故障原因：这是交换机故障中最常见的，如果光纤插头或RJ-45端口脏了，可能导致端口污染而不能正常通信。还有，平常很多人都喜欢带电插拔接头，在理论上说似乎并没有不妥，但实际上经常这样的话就无意中增加了端口的故障发生率;在搬运时的不小心，也可能导致端口物理损坏;购买的水晶头尺寸偏大，插入交换机时，也很容易破坏端口。此外，如果接在端口上的双绞线有一段暴露在室外，万一这根电缆被雷电击中，就会导致所连交换机端口被击坏。 解决方法：一般情况下，端口故障是个别的端口损坏，先检查出现问题的计算机，在排除了端口所连计算机的故障后，可以通过更换所连端口，来判断其是否端口问题，若更换端口后问题能解决的话，再进一步判断是端口的何种缘故。关闭电源后，用酒精棉球清洗端口，如果端口确实被损坏，那就只能更换端口了。此外，无论是光纤端口还是双绞线的RJ-45端口，在插拔接头时一定要小心，建议插拔时最好不要带电操作。 2.电路板故障 故障现象：有一个电脑室经常出现一部分电脑不能访问服务器的现象。 故障原因：交换机一般是由主电路板和供电电路板组成，造成这种故障一般都是这两个部分出现了问题。而造成电路板不能正常工作的主要因素有：电路板上的元器件受损或基板不良，硬件工注不合适和硬件更新后以及由于兼容问题而造成的电路板块类型不合适等。 解决方法：首先确定究竟是主电路板还是供电电路板出现问题，先从电源部分开始检查，用万能表在去掉主电路板负载的情况下通电测量，看测量出的指标是否正常，若不正常，则换用一个AT电源，输入电源到主电路板，交换机前面板的指示灯恢复正常的亮度和颜色，而所连接这台交换机的电脑正常互访，就说明是供电电路板出现了问题。若以上操作无效的话，问题就应该是出现在主电路板上了。 3.电源故障 故障现象：开启交换机后，交换机没有正常运作，而且发现面板上的POWER指示灯并没有亮，而且风扇也不转动。 故障原因：这种故障通常是由于外部供电环境的不稳定，或者是电源线路老化，又或者是由于遭受雷击等而导致电源损坏或者风扇停止，从而导致交换机不能正常工作。还有可能是由于电源缘故而导致交换机机内的其他部件坏的损坏。 解决方法：这类问题很容易发现也很容易解决，当发生这种故障时，首先检查电源系统，看看供电插座有没有电流，电压是否正常。要是供电正常的话，那就要检查电源线是否有所损坏，有没有松动等，若电源线损坏的话就更换一条，松动了的话就重新插好。 如果问题还没有解决，那问题就应该落在交换机的电源或者是机内的其他部件损坏了。预防方法也比较简单，首先要做的就是保证外部供电环境的稳定，这可以通过引入独立的电力线来提供独立的电源，并添加稳压器来避免瞬间高压或低压象。可能的话，建议最好配置UPS系统。还有的就是采取必要的避雷措施，以防雷电对交换机造成的损害。 连接电缆和配线架跳线、配置不当、系统数据的问题也时有发生，此外，局数据错误也会对整个交换局造成影响，而用户数据被错误设置，则会对某个用户产生影响，还有的就是

交换机的端口配置与管理.pdf

实验2　交换机的端口配置与管理 实验目标 掌握交换机基本信息的配置管理。 实验背景 某公司新进一批交换机，在投入网络以后要进行初始配置与 管理，你作为网络管理员，对交换机进行端口的配置与管 理。 技术原理 交换机的管理方式基本分为两种：带内管理和带外管理。 通过交换机的Console端口管理交换机属于带外管理；这 种管理方式不占用交换机的网络端口，第一次配置交换机 必须利用Console端口进行配置。 交换机的命令行操作模式主要包括： 用户模式 Switch> 特权模式 Switch# 全局配置模式 Switch(config)# 端口模式 Switch(config-if)# 实验步骤： 新建Packet Tracer拓扑图 了解交换机端口配置命令行 修改交换机名称(hostname X) 配置交换机端口参数(speed,duplex) 查看交换机版本信息(show version) 查看当前生效的配置信息(show running-config) 查看保存在NVRAM中的启动配置信息(show startup- config) 查看端口信息 Switch#show interface 查看交换机的MAC地址表Switch#show mac-address-table 选择某个端口Switch(config)# interface type mod/port (type 表示端口类型，通常有ethernet、Fastethernet、 Gigabitethernet)（mod表示端口所在的模块，port表示在该 模块中的编号）例如interface fastethernet0/1 选择多个端口Switch(config)#interface type mod/startport- endport

第八章实验讲义-- 交换机基本配置端口安全与STP

第12章交换机基本配置 交换机是局域网中最重要的设备，交换机是基于MAC来进行工作的。和路由器类似，交换机也有IOS，IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备，可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个：一个是维护CAM（Conetxt Address Memory）表，该表是计算机的MAC地址和交换端口的映射表；另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种：交换机收到帧后，查询CAM表，如果能查询到目的计算机所在的端口，并且目的计算机所在的端口不是交换接收帧的源端口，交换机将把帧从这一端口转发出去（Forward）；如果该计算机所在的端口和交换机接收帧的源端口是同一端口，交换机将过滤掉该帧（Filter）；如果交换机不能查询到目的计算机所在的端口，交换机将把帧从源端口以外的其他所有端口上发送出去，这称为泛洪（Flood），当交换机接收到的帧是广播帧或多播帧，交换机也会泛洪帧。 12.2 实验0：交换机基本配置 1.实验目的: 通过本实验，可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 （1）步骤1：通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal

交换机的端口安全配置

【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： ? protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 ? restrict 当违例产生时，将发送一个Trap通知。 ? shutdown 当违例产生时，将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。【实验设备】 S2126G交换机（1台），PC（1台）、直连网线（1条）

交换机常见故障和排障方法

交换机常见故障和排障方法 交换机的优越性能和价钱的大幅度降落，促使了交换机的迅速普及。网络管理员在工作中经常会遇到各种各样的交换机故障，如何迅速、正确地查出故障并消除故障呢？本文就常见的故障类型和排障步骤做一个简略的介绍。由于交换机在公司网络中利用范畴非常普遍，从低端到中端，从中端到高端，几乎涉及每个级别的产品，所以交换机产生故障的机率比路由器，硬件防火墙等要高很多，这也是为什么我们首先讨论交换机故障的分类与消除故障步骤的原因。 一，交换机故障分类： 交换机故障一般可以分为硬件故障和软件故障两大类。硬件故障重要指交换机电源、背板、模块、端口等部件的故障，可以分为以下几类。 （1）电源故障： 由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源毁坏或者风扇停滞，从而不能正常工作。由于电源缘故而导致机内其他部件毁坏的事情也经常产生。 如果面板上的POWER指点灯是绿色的，就表示是正常的；如果该指点灯灭了，则解释交换机没有正常供电。这类问题很容易发现，也很容易解决，同时也是最容易预防的。 针对这类故障，首先应该做好外部电源的供应工作，一般通过引入独立的电力线来供应独立的电源，并添加稳压器来避免瞬间高压或低压现象。如果条件允许，可以添加UPS（不间断电源）来保证交换机的正常供电，有的UPS供应稳压功效，而有的没有，选择时要注意。在机房内设置专业的避雷方法，来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司，履行网络布线时可以斟酌。 （2）端口故障： 这是最常见的硬件故障，无论是光纤端口还是双绞线的RJ-45端口，在插拔接头时必定要当心。如果不当心把光纤插头弄脏，可能导致光纤端口污染而不能正常通讯。我们经常看到很多人喜欢带电插拔接头，理论上讲是可以的，但是这样也无意中增加了端口的故障产生率。在搬运时不当心，也可能导致端口物理毁坏。如果购置的水晶头尺寸偏大，插入交换机时，也容易毁坏端口。此外，如果接在端口上的双绞线有一段暴露在室外，万一这根电缆被雷电击中，就会导致所连交换机端口被击坏，或者造成更加不可预见的损伤。 一般情况下，端口故障是某一个或者几个端口毁坏。所以，在消除了端口所连计算机的故障后，可以通过更换所连端口，来断定其是否毁坏。遇到此类故障，

交换机端口安全性

交换机端口安全性 【实验名称】 交换机端口安全性 【实验目的】 理解什么是交换机的端口安全性，如何配置端口安全性。 【背景描述】 从网络管理的安全性考虑，某企业网络管理员想对交换机上端口的访问权限做些限制，通过限制允许访问交换机某个端口的MAC地址以及IP地址（可选）来实现严格控制对该端口的输入。现在要通过在交换机上做适当配置来实现这一目标。 本实验以一台S2126G交换机为例，交换机名为SwitchA。一台PC机通过串口（Com）连接到交换机的控制（Console）端口，通过网卡(NIC)连接到交换机的fastethernet 0/1端口。假设该PC机的IP地址为192.168.0.137 ，网络掩码为255.255.255.0 ，MAC地址为00-E0-98-23-95-26，为了验证实验的效果，另准备一台PC机，其IP地址设为192.168.0.150 ，网络掩码为255.255.255.0 。 【实现功能】 通过在交换机上设置端口安全性来实现对网络访问的控制。 【实验拓扑】 F0/1Console NIC Com PC 【实验设备】 S2126G（1台） 【实验步骤】 第一步：在交换机上配置管理接口IP地址 SwitchA(config)# interface vlan 1 ！进入交换机管理接口配置模式 SwitchA(config-if)# ip address 192.168.0.138 255.255.255.0 ！配置交换机管理接口IP地址

SwitchA(config-if))# no shutdown ！开启交换机管理接口 验证测试：验证交换机管理IP地址已经配置和开启，PC机与交换机有网络连通性SwitchA#show ip interface ！验证交换机管理IP地址已经配置，管理接口已开启Interface : VL1 Description : Vlan 1 OperStatus : up ManagementStatus : Enabled Primary Internet address: 192.168.0.138/24 Broadcast address : 255.255.255.255 PhysAddress : 00d0.f8ef.9d08 SwitchA#ping 192.168.0.137 ！验证交换机与PC机具有网络连通性 Sending 5, 100-byte ICMP Echos to 192.168.0.137, timeout is 2000 milliseconds. !!!!! Success rate is 100 percent (5/5) Minimum = 1ms Maximum = 3ms, Average = 1ms 第二步：打开交换机上fastethernet 0/1接口的端口安全功能 SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)#switchport mode access ！配置fastethernet 0/1接口为access模式SwitchA(config-if)#switchport port-security ！在fastethernet 0/1接口上打开端口安全功能 验证测试：验证已开启fastethernet 0/1接口的端口安全功能 SwitchA#show port-security interface fastethernet 0/1 Interface : Fa0/1 Port Security : Enabled Port status : up Violation mode : Protect Maximum MAC Addresses : 128 Total MAC Addresses : 0 Configured MAC Addresses : 0 Aging time : 0 mins Secure static address aging : Disabled 第三步：配置安全端口上的安全地址(可选) SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)# switchport port-security mac-address 00e0.9823.9526 ip-address 192.168.0.137 ! 手工配置接口上的安全地址 验证测试：验证已配置了安全地址 SwitchA#show port-security address

交换机一般故障到特殊故障的排除

网络设备的范围很广，从交换机路由器到打印机服务器都属于网络设备的范畴，这些设备是网管员经常打交道的对象，之所以会经常和它们打交道，除了一般的工作需要外，最多的就是排除这些家伙的故障了。 网络设备故障通常有两种表现形式，软故障和硬故障，所谓软故障就是指因为误操作，错误配置，病毒等引起的网络设备的故障，这类故障通常能够通过更改设置，重新安装软件来排除，而硬故障是指网络设备本身的硬件系统发生了故障，这类故障一般智能通过更换硬件设备来解决，不过，网管员日常生活中所遇到的故障大部分是软故障，因此，本章主要涉及网络设备软故障的解决。 交换机故障 交换机，英文名称为“SWITCH”。大家肯定听说过“程控交换机”这个名词吧？“程控交换机”是指电话通讯系统中使用的线路交换机。计算机网络上使用的交换机就是从电话交换机的技术上发展而来的。一般意义上的交换机是指工作在OSI模型中第二层即数据链路层上的第二层交换机。从外观上来看，它与集线器（HUB）基本上没有太大区别，都是带有多个端口的长方形盒状体，而且都遵循IEEE802.3及其扩展标准，介质存取方式也均为CSMA／CD，但是它们在工作原理上还是有着根本的区别。 交换机的内部有一条带宽很高的背板总线和内部交换矩阵，交换机前面的所有端口都连接在背板总线之上。在交换机中还有一个重要的组成部分，那就是内存。在这个内存中保存着一张MAC地址对照表，它记录着MAC地址和端口的对应关系。如下图所示： 当交换机接收到一个数据时，首先取出数据包中的目标MAC地址，根据内存中所保存的MAC地址表来判断该数据包应该发送到哪个端口，然后就把数据包直接发送到目标端口。如果没有在MAC地址表中找到目标端口，则发送一个广播包至所有端口，来查找目标端口。只要目标端口所连接的计算机响应，则交换机就“记住”这个端口和MAC地址的对应关系，因为交换机具有学习功能。当下一次接收到一个拥有相同的目标MAC地址的数据时，这个数据会立即被转发到相应的端口上，而不用再发广播包。这样就使得数据传输效率大大提高，且不易出现广播风暴，也不会有被其它节点侦听的安全问题。而集线器不具有这个地址表，所以HUB接收到一个数据后，便将该数据发送到所有端口上，所以容易引起广播风暴，且易被其他节点侦听。

华为交换机安全防范技术

在网络实际环境中，随着计算机性能的不断提升，针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重，影响越来越剧烈。交换机作为局域网信息交换的主要设备，特别是核心、汇聚交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，交换机厂商在交换机上应用了一些安全防范技术，网络管理人员应该根据不同的设备型号，有效地启用和配置这些技术，净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例，分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播，都可能引起广播风暴，交换机会把大量的广播帧转发到每个端口上，这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴，避免网络拥塞。 1.广播风暴抑制比 可以使用以下命令限制端口上允许通过的广播流量的大小，当广播流量超过用户设置的值后，系统将对广播流量作丢弃处理，使广播所占的流量比例降低到合理的范围，以端口最大广播流量的线速度百分比作为参数，百分比越小，表示允许通过的广播流量越小。当百分比为100时，表示不对该端口进行广播风暴抑制。缺省情况下，允许通过的广播流量为100%，即不对广播流量进行抑制。在以太网端口视图下进行下列配置： broadcast-suppression ratio 2.为VLAN指定广播风暴抑制比 同样，可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下，系统所有VLAN不做广播风暴抑制，即max-ratio值为100%。 MAC地址控制技术 以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文，以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大，可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址，快速填满交换机的MAC表，MAC表被填满后，交换机会以广播方式处理通过交换机的报文，流量以洪泛方式

交换机端口故障处理思路

交换机端口故障处理思路 交换机端口出现故障，究其原因是因为交换机自身的性能发生老化， 这就意味着故障交换机的确出现了硬件性能下降的现象，因此会出现上网数据丢包严重的现象。总结这次工作，自己的一点心得就是要细心，在平时的工作中多积累，多总结，下次再出现此类问题就可以迅速的找到问题的所在点，并快速解决问题! 解决网络不通数据只有发送不接收 网络的畅通是表现在既有发送包，也有接收包，只有来去都畅通才正常。但是如果只有发送，却没有接收，碰到这样的故障到底又是怎么回事呢?在笔者短暂的两年网管生涯中，出现了几次这样的故障，但 他们发生的原因又各有不同。今天笔者就把一些解决方法奉献给大家。 一般来说，出现这种故障的时候，网络连接都是都是好的，即不会出现红色的叉子图标。但这又只是一种表现的正常，因此我们入手的时候必须先从自身入手。 从自身入手的第一点就是检查出现该故障前有没有安装过什么软件，有没有改过什么设置，尤其是杀毒软件、防火墙这一类的软件，因为设置不当就可能出现机器只发送不接收数据包的情况。接下来可以使用Ping 127.0.0.1 对本地网卡的工作状态进行一个基础的判断，如果能够ping 通则证明网卡是正常的。 为了保险起见，建议大家在这种情况下还应该将TCP/IP 重新安装一下。打开本地连接的属性窗口，然后单击安装按钮，在打开的组件窗口中选中协议项并打开添加窗口，选中Microsoft 下的Microsoft TCP/IP 版本6 将TCP/IP 重新安装一下。 再一种情况就是10/100M 自适应网卡的问题，尤其是集成网卡的低端机器，出现这种情况时不防将网直接设为10M。打开本地连接的属

交换机带外管理及端口识别

交换机带外管理及端口识别 一、实验目的 1、熟悉普通二层交换机的外观； 2、了解普通二层交换机各端口的名称和作用； 3、了解交换机最基本的管理方式——带外管理的方法。 二、应用环境 网络设备的管理方式可以简单地分为带外管理（out-of-band）和带内管理（in-band）两 种管理模式。所谓带内管理，是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送，简而言之，就是占用业务带宽；而在带外管理模式中，网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送，也就是设备提供专门用于管理的带宽。 目前很多高端的交换机都带有带外网管接口，使网络管理的带宽和业务带宽完全隔离， 互不影响，构成单独的网管网。 通过Console 口管理是最常用的带外管理方式，通常用户会在首次配置交换机或者无法 进行带内管理时使用带外管理方式。 带外管理方式也是使用频率最高的管理方式。带外管理的时候，我们可以采用Windows 操作系统自带的超级终端程序来连接交换机，当然，用户也可以采用自己熟悉的终端程序。Console 口：也叫配置口，用于接入交换机内部对交换机作配置； Console 线：交换机包装箱中标配线缆，用于连接console 口和配置终端。 三、实验设备 1、DCS-3926S 交换机1 台 2、PC 机1 台 3、交换机 console 线1 根 四、实验拓扑 将PC 机的串口和交换机的console 口用console 线如图连接。

五、实验要求 1、正确认识交换机上各端口名称； 2、熟练掌握使用交换机 console 线连接交换机的console 口和PC 的串口； 3、熟练掌握使用超级终端进入交换机的配置界面。 六、实验步骤 第一步：认识交换机的端口。 0/0/1 中的第一个0 表示堆叠中的第一台交换机，如果是1，就表示第2 台交换机；第2 个0 表示交换机上的第1 个模块（DCS-3926s 交换机有3 个模块：网络端口模块（M0），模块1（M1），模块2（M2）；最后的1 表示当前模块上的第1 个网络端口。 0/0/1 表示用户使用的是堆叠中第一台交换机网络端口模块上的第一个网络端口。 默认情况下，如果不存在堆叠，交换机总会认为自己是第0 台交换机。 第二步：连接console 线。 拔插console 线时注意保护交换机的console 口和PC 的串口，不要带电拔插。 第三步：使用超级终端连入交换机。 1、打开微软视窗系统，点击“开始”——“程序”——“附件”——“通讯”——“超级终端”。 2、为建立的超级终端连接取名字：点击后出现下图界面，输入新建连接的名称，系统 会为用户把这个连接保存在附件中的通讯栏中，以便于用户的下次使用。点击“确 定”按扭。

思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)

网络拓扑图如下： 根据图示连接设备。 在本次试验中，具体端口情况如上图数字标出。核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。 IP 地址分配： Router：e0：：f0/1: 接口：Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址：区域网段地址： PC1：PC2：路由器清空配置命令： en erase startup-config Reload 交换机清空配置命令： en erase startup-config

delete Reload 加速命令： en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配，防止OFFICE 网络发生ARP 攻击，不允许OFFICE 网段PC 互访；STUDENTS 区域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击； 1、基本配置 SW1的配置： SW1(config)#vtp domain cisco 然后在pc上进入接口，设置为DHCP获取地址,命令如下： int f0/1 ip add dhcp 查看结果：

5、Student区域ARP防护： SW2配置如下： ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量，此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址，就可以发现端口down状态，修改mac地址命令如下： pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证： 服务器地址为：vlan 30 //创建vlan 30的原因：在sw1、sw2中配置svi口，服务器的地址为，使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机，所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct

思科交换机端口安全(Port-Security)

思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全（Port-Security） 1、Cisco29系列交换机可以做基于2层的端口安全，即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全，即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用： a、设定一端口只接受第一次连接该端口的计算机mac地址，当该端口第一次获 得某计算机mac地址后，其他计算机接入到此端口所发送的数据包则认为非法，做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址，其他计算机均无法接入到此端口。 4、破解方法：网上前辈所讲的破解方法有很多，主要是通过更改新接入计算机网卡的mac地址来实现，但本人认为，此方法实际应用中基本没有什么作用，原因很简单，如果不是网管，其他一般人员平时根本不可能去注意合法计算机的mac地址，一般情况也无法进入合法计算机去获得mac地址，除非其本身就是该局域网的用户。

5、实现方法： 针对第3条的两种应用，分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址： Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机，端口处理模式{丢弃数据包，不发警告| 丢弃数据包， 在console发警告| 关闭端口为err-disable状态，除非管理员手工激活，否则该端口失效。 b、接受某特定计算机mac地址： Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky

东南大学操作系统练习题 第四章 复习题

第四章 单选 1.在利用信号量实现进程的同步与互斥时,应将()至于Ｐ操作和Ｖ操作之间．（A） Ａ临界区 Ｂ进入区 Ｃ退出区 Ｄ剩余区 ２．进程的基本关系为（B ） Ａ相互独立与相互制约 Ｂ同步与互斥 Ｃ并行执行与资源共享 Ｄ信息传递与信息缓冲 ３.在一段时间内，只允许一个进程访问的资源称为（C） A共享资源 B临界区 C临界资源 D共享区 4.临界区是指（D ） A并发进程中用于实现进程的同步与互斥的程序段 B并发程序中用于实现进程的同步与互斥的程序段 C并发程序中用于实现进程通信的程序段 D并发程序中与共享变量有关的的程序段 5.正在运行的进程在信号量S上操作P操作之后，当s

接入交换机常见安全配置

适用场景：1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中，若未指定优先级，则是根据它们的MAC地址（mac小的为主机）来确定谁是主机。优先级为越大越好，范围1-10。出场默认为1。 1、系统时间同步：如果客户有使用 ntp/sntp进行全网统一的时间配置的需求，可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址，此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一：限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二：限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三：使用加密管理协议，使用SSH管理，禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式

交换机端口安全

【实训目的】 （1）掌握交换机端口安全功能，控制用户的安全接入 （2）掌握交换机的端口配置的连接数 （3）掌握如何针对PC1主机的接口进行IP+MAC地址绑定 【实训技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入；交换机端口安全主要有两种类型：一是限制交换机端口的最大连接数；二是针对交换机端口进行MAC地址、IP地址的绑定； 配置交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： （1）protect 当安全地址个数满后，安全端口将丢弃未知地址的包； （2）restrict当违例产生时，将发送一个trap通知； （3）shutdown当违例产生时，将关闭端口并发送一个trap通知； 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来； 【实训背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.23/24，主机MAC地址是0090.210E.55A0。该主机连接在1台2126G上。 【实训设备】 S2126G（1台），PC（2台）、直连线（2条） 【实训内容】 （1）按照拓扑进行网络连接 （2）配置交换机端口最大连接数限制 （3）配置交换机端口地址绑定 【实训拓扑图】 （1）配置交换机端口的最大连接数限制 Switch#configure terminal

交换机的端口管理

交换机的端口管理 一、端口的开启与关闭 通过TELNET登陆交换机（已经对交换机设置了管理IP），二层交换机只能配置一个IP地址，复合业态约定确认管理IP。具体操作步骤见： 1.dis cur 查看当前配置按space 显示完全 2.找到计划关闭的物理端口例如eth1/0/20 3.Sys 进入配置模式 4.Interface eth1/0/20 5.shutdown 关闭端口 dis this查看确认状态 6.undo shutdown 开启端口 dis this 查看状态

二、查看端口的状态与流量 1.查看端口状态 全局模式下 [swtchA]dis interface eth1/0/20

2.查看端口流量 3.举例寻找大流量传输主机步骤。Dis mac Dis arp

三、端口的绑定 mac-address命令 使用mac-address static命令，来完成MAC地址与端口之间的绑定。 [SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1 [SwitchA]mac-address max-mac-count 0 配置说明：由于使用了端口学习功能，故静态绑定mac后，需再

设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习，也就是说端口和主机实现了一对一的绑定。 arp命令 使用特殊的arp static命令，来完成IP地址与MAC地址之间的绑定。 例如： [SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3 配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。 四、报障格式 必备信息：“门店号+门店名+posserver 地址” 网络状态描述：ping 数据中心网关是否正常，ping posserver 地址是否正常。