交换机端口错包排查方法
一、重要性:
从网维排查的用户反应网速慢的故障中,相当一部分是由于交换机和交换机端口、交换机端口和用户路由器端口、交换机端口和光电转换器端口、交换机端口和用户网卡匹配不当,产生错包引起的。该问题虽然比较常见,但只要按交换机开局来配置,通常能降低故障发生率,即使还存在端口错包问题,也能通过改端口速度和双工状态来彻底解决。
二、交换机端口错包说明:
以华为交换机端口为例进行说明:
[NJ-A-GJXC-S3026C-1]dis int eth 0/1
Ethernet0/1 current state : UP
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is
000f-e21d-bedc
Description: to gujiao_33-192.168.86.161
The Maximum Transmit Unit is 1500
Media type is twisted pair, loopback not set
Port hardware type is 100_BASE_TX
100Mbps-speed mode, full-duplex mode
Link speed type is force link, link duplex type is force link
Flow-control is not enabled
Port-flow-constrain has not been configured completely
The Maximum Frame Length is 1536
Broadcast MAX-ratio: 100%
PVID: 10
Mdi type: auto
Port link-type: hybrid
Tagged VLAN ID : , 99
Untagged VLAN ID : , 10, 458
Last 300 seconds input: 0 packets/sec 11 bytes/sec
Last 300 seconds output: 7 packets/sec 520 bytes/sec
Input(total): 11864483 packets, 6684922188 bytes
66707 broadcasts, 9522 multicasts
Input(normal): - packets, - bytes
- broadcasts, - multicasts
Input: 0 input errors, 0 runts, 0 giants, - throttles, 0 CRC
0 frame, - overruns, 0 aborts, 0 ignored, - parity errors
Output(total): 12008069 packets, 5178275457 bytes
3638352 broadcasts, 288120 multicasts, 0 pauses Output(normal): - packets, - bytes
- broadcasts, - multicasts, - pauses
Output: 0 output errors, - underruns, - buffer failures
0 aborts, 0 deferred, 0 collisions, 0 late collisions
0 lost carrier, - no carrier
如上红字所示:
输入错误数,input errors等于各种重要错误信息的总和。不同的产品可以根据具体情况增加其它参数,或减少不能实现的参数。
1.Runts: discarded packets that are smaller than the medium's minimum packet size.
( Receive Byte Count < 64 and NOT CRC Error
or Receive Byte Count < 64 and Tag Packet and NOT CRC Error,
无论是否有vlan tag,数据段小于64字节,而且没有CRC校验错误的帧。)
2.Giants: discarded packets that are larger than the medium's maximum packet size.
( Receive Byte Count > 1518 and NOT CRC Error
or Receive Byte Count > 1522 and Tag Packet and NOT CRC Error,
没有vlan tag,数据段大于1518字节,小于最大帧长度,而且没有CRC校验错误的帧,和有vlan tag,数据段大于1522字节,小于最大帧长度,而且没有CRC 校验错误的帧。)
3.Throttles: discarded packets that are incomplete frames.
( 交换机察觉缓存或CPU过载,关闭接口接收器的情形称为 throttle,是cisco路由器上的一个概念,我们的交换机目前不具备这个功能,一般应该显示为不支持。)
4.CRC: discarded packets with checksum error.
( Receive Packet CRC error,帧长度在正常范围(不带tag,长度在64到1518之间,或带tag,长度在64到1522之间),而且CRC校验错,如果支持此项,则不支持奇偶校验错误项。)
5.Frame: discarded packets with frame pad/sequence/alignment error, out of frame etc.
(不是整数字节,而是多1~7bit,因此不对齐,或乱序或空帧,而且CRC 校验错误,但是不计入CRC错误。)
6.Overrun: the receiver hardware is unable to hand receiveddata to a hardware buffer because the input rate exceeds the receiver'sability to handle the data.
(由于接口输入速率超过接受方处理能力,导致丢包,由于我们的交换机一般是线速转发,这项一般应该为0,只有部分交换机对上传CPU或三层线速转发的帧有接口带宽限制,或是通过ACL实现的带宽限制,因此被丢弃的帧,计入此项。)
7.Aborts: Input abnormal frames that are discarded.
( 除其他错误之外,产品认为有必要统计的错误,例如前导码异常的帧,计入此项。)
8.Ignored: packets that are discarded because the interface hardware does not have enough internal buffers.
( Packetignored,由于接口内部buffer满,丢弃的帧,与由于主系统缓存空间缺乏,导致的丢弃帧不同。线速转发的帧,在多接口满带宽输入,单接口输出等情况下,由于输出接口的带宽不足,数据帧将内部缓存占满,导致从接口输入的帧在进入内部缓存之前被丢弃,以及进入内部缓存的帧超时无法输出,计入
此项,上传到CPU的帧,由于CPU处理能力限制,toCPU的缓存满,导致被丢弃,也计入此项。)
9.Parity: Frames with parity error.
( Receive Packet parity error,如果支持此项,则不支持 CRC 错误项。)
输入丢弃数/输入错误数,output errors等于各种重要错误信息的总和。不同
的产品可以根据具体情况增加其它参数,或减少不能实现的参数。
1.Underruns: There are no data in the output queue.
( Transmit under run,与 Overrun相反,输出接口的缓存从输出队列中
取以太网帧时,没有帧,是一种非常少见的硬件异常。有的交换机就没有单独的接口输出缓存,与接口输出队列是同一块缓存。)
2.Buffer failures: Hardware does not have enough internal buffers.
( 内部缓存满,如果输出队列满,输出的以太网帧将在内部缓存中暂时存储,由于内部缓存满,导致帧丢弃。由于交换机对线速转发的数据帧发生的这种异常,认为只是到达内部缓存而没有到达出接口,是个输入帧,因此计入 Input IgnoredError,只有从CPU发出的帧,由于内部缓存满,导致帧丢弃,计入此项。)
3.Aborts: Output abnormal frames that are discarded.
(在半双工模式下,由于冲突检测,延迟发送超过15次的帧,被丢弃,计入此项。除其他错误之外,产品认为有必要统计的错误,例如添加前导码异常的帧,也计入此项)
4.Deferred: The packets could not be sent out for collision under
half-duplex mode.
( 半双工模式下,由于检测到载波正在被声明,当时没有发出的包,延时一次,计数加一。)
5.Collisions: Statistic of collision detection under half-duplex mode. ( 半双工模式下,在以太网帧数据部分的前64字节进入线路前,由于检测到冲突,当时没有发出的包。)
https://www.360docs.net/doc/b59234928.html,te collisions: Statistic of collision with GE port sendingpackets less than 512 bytes and 10/100M port less than 64 bytes.
( 半双工模式下,在以太网帧数据部分的前64字节进入线路后,由于检测到冲突,当时没有发出的包。)
7.Lost carrier: Statistic of losing the carrier.
(载波丢失,一般适用于串行WAN接口,发送过程中,每丢失一个载波,此计数加一,对于交换机,通常是由于线路中断造成。)
8.No carrier: Statistic of no carrier.
(无载波,一般适用于串行WAN接口,当试图发送帧时,如果没有载波出现,此计数加一,对于交换机,通常是由于线路中断造成。)如果“input errors”和“output errors”非“0”并且数字在增长,通常情况下可能存在端口匹配问题,必须进行端口状态调整。
其它厂商,cisco和中兴的二层交换机错包类型相似,可以类推。
三、错包问题排查方法
下面分别说下中兴、华为和CISCO二层交换机排查常用命令。
1.中兴交换机端口排查方法,以Z2826S为例进行说明;
①交换机端口原来配置,show run
set port 1 description To_702
set port 1 auto disable
set port 1 speed 10
set port 1 pvid 541
set port 1 macaddress on 1
set port 1 unit-statistics enable
②交换机端口原来数据包统计
NJ-A-CFDS-Z2826S_2(1#7F)(cfg)#sh port 1 statistics
PortId: 1 PortName:
ReceivedFrames :
128998658 ReceivedBroadcastFrames: 1815
ReceivedBytes :
741746864 ReceivedMulticastFrames: 0
CrcError :
4934296 InPause : 0 InMACRcvErr :
0 Jabber : 2
Fragments :
6447228 UndersizeFrames : 0
Frames64Bytes :
1232457 Frames65_127Bytes : 84450478
Frames128_255Bytes :
7180773 Frames256_511Bytes : 2203985
Frames512_1023Bytes :
4738336 Frames1024_UpBytes : 29192629
OversizeFrames : 0
SendUnicastFrames :
127249246 SendBytes : 4270894316 SendNoneUnicastFrames:
1892514 SendFrames : 129141760 SendBroadcastFrames :
1035165 SendMulticastFrames : 857349
SendSingleCollision :
0 SendMultiCollision : 0
SendLateCollision :
0 SendExcessCollision : 0
SendCollision :
0 SendDefferTrans : 0
OutPause : 0
可以看到端口有大量“CrcError”错包,并且多次查看端口信息,可以看到错包在增长,该用户当前的上网速度肯定会慢,需要整改
③更改端口匹配模式,改成端口自适应,主动宣告10M
set port 1 auto enable
set port 1 speedadvertise speed10 fullDuplex
更改后端口配置
set port 1 description To_702
set port 1 pvid 541
set port 1 speedadvertise speed10 FullDuplex
set port 1 macaddress on 1
set port 1 unit-statistics enable
④清除原端口1数据包统计,NJ-A-CFDS-Z2826S_2(1#7F)(cfg)#clear port 1 statistics
,再多次查看端口状态
NJ-A-CFDS-Z2826S_2(1#7F)(cfg)#sh port 1 statistics
PortId: 1 PortName:
ReceivedFrames :
2377 ReceivedBroadcastFrames: 0
ReceivedBytes :
174972 ReceivedMulticastFrames: 0
CrcError :
0 InPause : 0
InMACRcvErr :
0 Jabber : 0
Fragments :
0 UndersizeFrames : 0
Frames64Bytes :
4 Frames65_127Bytes : 2371
Frames128_255Bytes :
2 Frames256_511Bytes : 0
Frames512_1023Bytes :
0 Frames1024_UpBytes : 0
OversizeFrames : 0
SendUnicastFrames :
4293 SendBytes : 6461573 SendNoneUnicastFrames:
6 SendFrames : 4299
SendBroadcastFrames :
4 SendMulticastFrames : 2
SendSingleCollision :
0 SendMultiCollision : 0
SendLateCollision :
0 SendExcessCollision : 0
SendCollision :
0 SendDefferTrans : 0
OutPause : 0
可以发现用户端口“CrcError”一直为“0”,此时用户上网才是正常的。
总结,只要2826端口有“CrcError”错误,一定要进行排查,直到“CrcError”错误为“0”
。
2.华为二层交换机端口错包排查方法,以S2403H-EI为例进行说明
①交换机端口原来配置
[S2403EI]dis cu int eth 0/1
interface Ethernet0/1
description to_101
speed 10
duplex full
broadcast-suppression 5
mac-address max-mac-count 1
port access vlan 456
②交换机端口原来数据包统计
[S2403EI-2]dis int eth 0/1
Ethernet0/1 current state : UP
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is
000f-e22a-45fc
Description: to_101
The Maximum Transmit Unit is 1500
Media type is twisted pair, loopback not set
Port hardware type is 100_BASE_TX
10Mbps-speed mode, full-duplex mode
Link speed type is force link, link duplex type is autonegotiation Flow-control is not enabled
Port-flow-constrain has not been configured completely
The Maximum Frame Length is 1518
Broadcast MAX-ratio: 5%
PVID: 456
Mdi type: normal
MAX mac-address learning count: 1
Port link-type: access
Tagged VLAN ID : none
Untagged VLAN ID : 456
Last 300 seconds input: 29 packets/sec 5729 bytes/sec
Last 300 seconds output: 22 packets/sec 3705 bytes/sec
Input(total): 33659824 packets, 8999990068 bytes
16038 broadcasts, 175 multicasts
Input(normal): 33659823 packets, - bytes
16038 broadcasts, 175 multicasts
Input: 1102 input errors, 0 runts, 0 giants, - throttles, 112 CRC
0 frame, - overruns, 0 aborts, 2637 ignored, - parity errors
Output(total): 36569492 packets, 12321086583 bytes
1404710 broadcasts, 5025215 multicasts, 0 pauses Output(normal): 36569492 packets, - bytes
1404710 broadcasts, 5025215 multicasts, - pauses Output: 0 output errors, - underruns, - buffer failures
19947 aborts, 0 deferred, 0 collisions, 0 late collisions
- lost carrier, - no carrier
端口有1102个“input errors”,说明端口匹配有问题,需要进行排查。
③更改端口匹配模式,改成端口指定10M,duplex自适应
duplex auto
更改后端口配置
interface Ethernet0/1
description to_101
speed 10
broadcast-suppression 5
mac-address max-mac-count 1
port access vlan 456
④清除原端口1数据包统计,再多次查看端口状态,需要从“#”模式退到“>”模式
[S2403EI]quit
[S2403EI]dis int eth 0/1
Ethernet0/1 current state : UP
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is
000f-e22a-45fc
Description: to_101
The Maximum Transmit Unit is 1500
Media type is twisted pair, loopback not set
Port hardware type is 100_BASE_TX
10Mbps-speed mode, full-duplex mode
Link speed type is force link, link duplex type is autonegotiation Flow-control is not enabled
Port-flow-constrain has not been configured completely
The Maximum Frame Length is 1518
Broadcast MAX-ratio: 5%
PVID: 456
Mdi type: normal
MAX mac-address learning count: 1
Port link-type: access
Tagged VLAN ID : none
Untagged VLAN ID : 456
Last 300 seconds input: 28 packets/sec 5804 bytes/sec
Last 300 seconds output: 27 packets/sec 4880 bytes/sec
Input(total): 33672483 packets, 9002467028 bytes
16038 broadcasts, 175 multicasts
Input(normal): 33672482 packets, - bytes
16038 broadcasts, 175 multicasts
Input: 0 input errors, 0 runts, 0 giants, - throttles, 0 CRC
0 frame, - overruns, 0 aborts, 0 ignored, - parity errors
Output(total): 36580860 packets, 12322962080 bytes
1404792 broadcasts, 5025466 multicasts, 0 pauses Output(normal): 36580860 packets, - bytes
1404792 broadcasts, 5025466 multicasts, - pauses Output: 0 output errors, - underruns, - buffer failures
0 aborts, 0 deferred, 0 collisions, 0 late collisions
- lost carrier, - no carrier
如果再多次查看端口状态,看到“input errors”为“0”,此时用户上网速度才正常。
3.CISCO二层交换机端口错包排查方法,以C2950为例进行说明
①交换机端口原来配置
2950#sh ru int fa0/3
interface FastEthernet0/3
description test
switchport access vlan 100
no ip address
duplex full
speed 100
end
②交换机端口原来数据包统计,
2950#sh int fa0/3
FastEthernet0/3 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 000d.bd98.1c43 (bia
000d.bd98.1c43)
Description: test
MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s
input flow-control is off, output flow-control is off
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:01, output hang never
Last clearing of "show interface" counters 21w6d
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops:
Queueing strategy: fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute ouxtput rate 0 bits/sec, 0 packets/sec
330574221 packets input, 78353246 bytes, 0 no buffer
Received 372 broadcasts, 0 runts, 0 giants, 0 throttles
3540 input errors, 3540 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 0 multicast, 0 pause input
0 input packets with dribble condition detected
307917156 packets output, 176359999 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out
端口有3540个“input errors”,说明端口匹配有问题,需要进行排查。
③更改端口匹配模式,改成端口双工状态duplex自适应
duplex auto
更改后端口配置
2950#sh ru int fa0/3
interface FastEthernet0/3
description test
switchport access vlan 100
no ip address
speed 100
end
④清除原端口1数据包统计,再多次查看端口状态
2950#clear counters fa0/3
Clear "show interface" counters on this interface [confirm] [回车确认] sw4-idc#sh int fa0/3
FastEthernet0/3 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 000d.bd98.1c43 (bia
000d.bd98.1c43)
Description: HeHai-SyslogServer-218.104.84.114_5#B03
MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s
input flow-control is off, output flow-control is off
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:01, output hang never
Last clearing of "show interface" counters 00:01:40
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 105000 bits/sec, 1 packets/sec
4278 packets input, 3722881 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 0 multicast, 0 pause input
0 input packets with dribble condition detected
5454 packets output, 4793504 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out
多次查看端口状态,看到“input errors”为“0”,此时用户上网速度才正常。
四、端口错包排查常用命令
1.中兴交换机常用命令
2826(cfg)#show
run
####查看设备配置文件###
2826(cfg)#sh port 1
statistics ###查看端口数据统计信息###
2826(cfg)#set port 1 auto
enable ###改成端口自适应### 2826(cfg)#set port 1 speedadvertise speed10 fullDuplex ###改端口主动宣告10M全双工###
2826(cfg)#clear port 1
statistics ###清除原端口1数据包统计###
2.华为二层交换机常用命令
[S2403EI]dis cu int eth
0/1 ####查看端口配置###
[S2403EI]dis int eth
0/1 ###查看端口数据统计信息###
[S2403EI]int eth
0/1 ## #进入0/1口###
Speed
10
###端口速度指定为强制10M###
duplex
auto # ##双工自适应###
[S2403EI]quit
[S2403EI]dis int eth 0/1
3.CISCO二层交换机端口错包排查方法,以C2950为例进行说明
2950#sh ru int
fa0/3
####查看端口配置###
2950#sh int
fa0/3
###查看端口数据统计信息###
2950(config)#int
fa0/3 ###进入
fa0/3口###
Speed
10 ###端口速度指定为强制10M###
duplex auto ###双工自适应###
2950#clear counters
fa0/3 ###清除
原端口数据包统计###
Clear "show interface" counters on this interface [confirm] [回车确认]
请代维在网络开通和维护时,尽量减少因为端口匹配的故障。定期主动远程登入到交换机,查下端口统计信息,如果发现端口有错包,尽快解决,直到端口没有错包产生。
实验四 交换机端口安全技术
交换机端口安全技术 24.1 实验内容与目标 完成本实验,应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议,使接入交换机的PC 经
过认证后才能访问网络资源。通过本实验,掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一:建立物理连接并初始化交换机配置。 按实验组网图进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二:检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果是。 步骤三:配置802.1x协议。 实现在交换机SWA上启动802.1x协议,过程如下: 首先需要分别在和开启802.1x认证功能,在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户,用户名为abcde,密码为 明文格式的12345,该用户的服务类型server-type是,在如下的空格中完成该本地用户的配置命令。 步骤四:802.1x验证。 配置完成后,再次在PCA上用ping命令来测试到PCB的互通性,其结果是。 导致如上结果的原因是交换机上开启了802.1x认证,需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机,本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标,在弹出的窗口中双击“网络连接”图标,在弹出的窗口中右击“本地连接”图标,执行“属性”命令,如实验图24-2所示。 再选择“验证”选项卡,并选中“启用此网络的IEEE802.1x验证”复选框,如实验图24-3所示,然后单击“确定”按钮,保存退
交换机常见的故障类型及分析排查
交换机常见的故障类型及分析排查交换机运行中出现故障是不可避免的,但出现故障后应当迅速地进行处理,尽快查出故障点,排除故障,这是网管人员应尽的职责。但是要做到这一点,就必须了解交换机故障的类型及具备对故障进行分析和处理的能力。为此,本文就交换机常出现的故障类型及分析排查的方法进行简要的介绍。 电源故障 由于外部供电不稳定,电源线路老化或者雷击等原因导致电源损坏或者风扇停转,以致不能正常工作。或者由于电源缘故导致机内其他部件的损坏都会使交换机出现问题。 假如交换机面板上的POWER指示灯是绿色的,就表示是正常的;假如该指示灯灭了,则说明交换机没有正常供电。这类问题很轻易发现,也很轻易解决,同时也是最轻易预防的。 针对这类故障,首先应该做好外部电源的供给工作,一般通过引入独立的电力线来提供独立的电源,并添加稳压器来避免瞬间高压或低压现象。假如条件答应,可以添加UPS(不间断电源)来保证交换机的正常供电,有的UPS提供稳压功能,而有的没有,选择时要注重。在机房内设置专业的避雷措施,来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司,实施网络布线时可以考虑。
端口故障 这是最常见的硬件故障,无论是光纤端口还是双绞线的RJ-45端口,在插拔接头时一定要小心。假如不小心把光纤插头弄脏,可能导致光纤端口污染而不能正常通信。我们经常看到很多人喜欢带电插拔接头,理论上讲是可以的,但是这样也无意中增加了端口的故障发生率。在搬运时不小心,也可能导致端口物理损坏。假如购买的水晶头尺寸偏大,插入交换机时,也轻易破坏端口。此外,假如接在端口上的双绞线有一段暴露在室外,万一这根电缆被雷电击中,就会导致所连交换机端口被击坏,或者造成更加不可预料的损伤。 一般情况下,端口故障是某一个或者几个端口损坏。所以,在排除了端口所连计算机的故障后,可以通过更换所连端口,来判定其是否损坏。碰到此类故障,可以在电源关闭后,用酒精棉球清洗端口。假如端口确实被损坏,那就只能更换端口了。 模块故障 交换机是由很多模块组成,比如:堆叠模块、治理模块(也叫控制模块)、扩展模块等。这些模块发生故障的几率很小,不过一旦出现问题,就会遭受巨大的经济损失。假如插拔模块时不小心,或者搬运交换机时受到碰撞,或者电源不稳定等情况,都可能导致此类故障的发生。 当然上面提到的这3个模块都有外部接口,比较轻易辨认,有的还可以通过模块上的指示灯来辨别故障。比如:堆叠模块上有一个扁平的
交换机三种端口模式Access Hybrid和Trunk的理解
交换机三种端口模式Access Hybrid和Trunk的理解 TRUNK是端口汇聚的意思,允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量,大幅度提供整个网络能力。VLAN TRUNK一般是你设置了多个VLAN后,想通过一个端口传输多个VLAN,这个后需要把该端口设置为TRUNK了。 在技术领域中把TRUNK翻译为中文是“主干、干线、中继线、长途线” ,不过一般不翻译,直接用原文。而且这个词在不同场合也有不同的解释: 1、在网络的分层结构和宽带的合理分配方面,TRUNK被解释为“端口汇聚”,是带宽扩展和链路备份的一个重要途径。TRUNK把多个物理端口捆绑在一起当作一个逻辑端口使用,可以把多组端口的宽带叠加起来使用。TRUNK技术可以实现TRUNK内部多条链路互为备份的功能,即当一条链路出现故障时,不影响其他链路的工作,同时多链路之间还能实现流量均衡,就像我们熟悉的打印机池和MODEM池一样。 2、在电信网络的语音级的线路中,Trunk指“主干网络、电话干线”,即两个交换局或交换机之间的连接电路或信道,它能够在两端之间进行转接,并提供必要的信令和终端设备。 3、但是在最普遍的路由与交换领域,VLAN的端口聚合也有的叫TRUNK,不过大多数都叫TRUNKING ,如CISCO公司。所谓的TRUNKING是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的端口就称为TRUNK端口。与一般的交换机的级联不同,TRUNKING是基于OSI第二层数据链路层(DataLinkLayer)TRUNKING技术,如果你在2个交换机上分别划分了多个VLAN(VLAN也是基于Layer2的),那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通,就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。那么如果交换机上划了10个VLAN 就需要分别连10条线作级联,端口效率就太低了。当交换机支持TRUNKING的时候,事情就简单了,只需要2个交换机之间有一条级联线,并将对应的端口设置为Trunk,这条线路就可以承载交换机上所有VLAN的信息。这样的话,就算交换机上设了上百个个VLAN也只用1个端口就解决了。 当一个VLAN跨过不同的交换机时,在同一 VLAN上但是却是在不同的交换机上的计算机进行通讯时需要使用Trunk。Trunk技术使得一条物理线路可以传送多个VLAN的数据。交换机从属于某一VLAN (例如VLAN 3)的端口接收到数据,在Trunk链路上进行传输前,会加上一个标记,表明该数据是VLAN 3的;到了对方交换机,交换机会把该标记去掉,只发送到属于VLAN 3的端口。 如果是不同台的交换机上相同id的vlan要相互通信,那么可以通过共享的trunk端口就可以实现,如果是同一台上不同id的vlan/不同台不同id的vlan它们之间要相互通信,需要通过第三方的路由来实现。 untag 就是普通的ethernet报文,普通PC机的网卡是可以识别这样的报文进行通讯;tag报文结构的变化是在源mac地址和目的mac地址之后,加上了 4bytes的vlan信息,也就是vlan tag头;一般来说这样的报文普通PC机的网卡是不能识别的下图说明了802.1Q封装tag报文帧结构带802.1Q 的帧是在标准以太网帧上插入了4个字节的标识。其中包含:2个字节的协议标识符(TPID),当前置0x8100的固定值,表明该帧带有802.1Q的标记信息。2个字节的标记控制信息(TCI),包含了三个域。Priority域,占3bits,表示报文的优先级,取值0到7,7为最高优先级,0为最低优先
交换机端口安全性
交换机端口安全性 【实验名称】 交换机端口安全性 【实验目的】 理解什么是交换机的端口安全性,如何配置端口安全性。 【背景描述】 从网络管理的安全性考虑,某企业网络管理员想对交换机上端口的访问权限做些限制,通过限制允许访问交换机某个端口的MAC地址以及IP地址(可选)来实现严格控制对该端口的输入。现在要通过在交换机上做适当配置来实现这一目标。 本实验以一台S2126G交换机为例,交换机名为SwitchA。一台PC机通过串口(Com)连接到交换机的控制(Console)端口,通过网卡(NIC)连接到交换机的fastethernet 0/1端口。假设该PC机的IP地址为192.168.0.137 ,网络掩码为255.255.255.0 ,MAC地址为00-E0-98-23-95-26,为了验证实验的效果,另准备一台PC机,其IP地址设为192.168.0.150 ,网络掩码为255.255.255.0 。 【实现功能】 通过在交换机上设置端口安全性来实现对网络访问的控制。 【实验拓扑】 F0/1Console NIC Com PC 【实验设备】 S2126G(1台) 【实验步骤】 第一步:在交换机上配置管理接口IP地址 SwitchA(config)# interface vlan 1 !进入交换机管理接口配置模式 SwitchA(config-if)# ip address 192.168.0.138 255.255.255.0 !配置交换机管理接口IP地址
SwitchA(config-if))# no shutdown !开启交换机管理接口 验证测试:验证交换机管理IP地址已经配置和开启,PC机与交换机有网络连通性SwitchA#show ip interface !验证交换机管理IP地址已经配置,管理接口已开启Interface : VL1 Description : Vlan 1 OperStatus : up ManagementStatus : Enabled Primary Internet address: 192.168.0.138/24 Broadcast address : 255.255.255.255 PhysAddress : 00d0.f8ef.9d08 SwitchA#ping 192.168.0.137 !验证交换机与PC机具有网络连通性 Sending 5, 100-byte ICMP Echos to 192.168.0.137, timeout is 2000 milliseconds. !!!!! Success rate is 100 percent (5/5) Minimum = 1ms Maximum = 3ms, Average = 1ms 第二步:打开交换机上fastethernet 0/1接口的端口安全功能 SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)#switchport mode access !配置fastethernet 0/1接口为access模式SwitchA(config-if)#switchport port-security !在fastethernet 0/1接口上打开端口安全功能 验证测试:验证已开启fastethernet 0/1接口的端口安全功能 SwitchA#show port-security interface fastethernet 0/1 Interface : Fa0/1 Port Security : Enabled Port status : up Violation mode : Protect Maximum MAC Addresses : 128 Total MAC Addresses : 0 Configured MAC Addresses : 0 Aging time : 0 mins Secure static address aging : Disabled 第三步:配置安全端口上的安全地址(可选) SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)# switchport port-security mac-address 00e0.9823.9526 ip-address 192.168.0.137 ! 手工配置接口上的安全地址 验证测试:验证已配置了安全地址 SwitchA#show port-security address
cisico 二层交换机端口错包排查方法
CISCO二层交换机端口错包排查方法,以C2950为例进行说明 ①交换机端口原来配置 2950#sh ru int fa0/3 interface FastEthernet0/3 description test switchport access vlan 100 no ip address duplex full speed 100 end ②交换机端口原来数据包统计, 2950#sh int fa0/3 FastEthernet0/3 is up, line protocol is up (connected) Hardware is Fast Ethernet, address is 000d.bd98.1c43 (bia 000d.bd98.1c43) Description: test MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s input flow-control is off, output flow-control is off ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 00:00:01, output hang never Last clearing of "show interface" counters 21w6d Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute ouxtput rate 0 bits/sec, 0 packets/sec 330574221 packets input, 78353246 bytes, 0 no buffer Received 372 broadcasts, 0 runts, 0 giants, 0 throttles 3540 input errors, 3540 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 0 multicast, 0 pause input 0 input packets with dribble condition detected 307917156 packets output, 176359999 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 PAUSE output
交换机的端口安全配置
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
总结交换机常见故障的分类和排障步骤
总结交换机常见故障的一般分类和排障步骤 交换机的优越性能和价格的大幅度下降,促使了交换机的迅速普及。 网络管理员在工作中经常会遇到各种各样的交换机故障,如何迅速、准确地查出故障并排除故障呢?本文就常见的故障类型和排障步骤做一个简单的介绍。由于交换机在公司网络中应用范围非常广泛,从低端到中端,从中端到高端,几乎涉及每个级别的产品,所以交换机发生故障的机率比路由器,硬件防火墙等要高很多,这也是为什么我们首先讨论交换机故障的分类与排除故障步骤的原因。 一,交换机故障分类: 交换机故障一般可以分为硬件故障和软件故障两大类。硬件故障主要指交换机电源、背板、模块、端口等部件的故障,可以分为以下几类。 (1)电源故障: 由于外部供电不稳定,或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止,从而不能正常工作。由于电源缘故而导致机内其他部件损坏的事情也经常发生。 如果面板上的POWER指示灯是绿色的,就表示是正常的;如果该指示灯灭了,则说明交换机没有正常供电。这类问题很容易发现,也很容易解决,同时也是最容易预防的。 针对这类故障,首先应该做好外部电源的供应工作,一般通过引入独立的电力线来提供独立的电源,并添加稳压器来避免瞬间高压或低压现象。如果条件允许,可以添加UPS(不间断电源)来保证交换机的正常供电,有的UPS提供稳压功能,而有的没有,选择时要注意。在机房内设置专业的避雷措施,来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司,实施网络布线时可以考虑。 (2)端口故障: 这是最常见的硬件故障,无论是光纤端口还是双绞线的RJ-45端口,在插拔接头时一定要小心。如果不小心把光纤插头弄脏,可能导致光纤端口污染而不能正常通信。我们经常看到很多人喜欢带电插拔接头,理论上讲是可以的,但是这样也无意中增加了端口的故障发生率。在搬运时不小心,也可能导致端口物理损坏。如果购买的水晶头尺寸偏大,插入交换机时,也容易破坏端口。此外,如果接在端口上的双绞线有一段暴露在室外,万一这根电缆被雷电击中,就会导致所连交换机端口被击坏,或者造成更加不可预料的损伤。
交换机端口错误包类型
错误报分类: 1)input errors: 各种输入错误的总数,显示范围是20bit。 (2)runts: 表示接收到的超小帧个数。超小帧即接收到的报文小于64字节,且包括有效的CRC字段,报文格式正确。(3)giants: 表示接收到的超长帧个数。超长帧即接收到的有效报文字节长度大于1518(如果是带tag报文,大于1522),且小于设备能接收的超长帧最大值(1536)。 (4)CRC: 表示接收到的CRC校验错误报文个数,即接收到的报文在64~1518(带tag报文是1522)字节范围内,且字节是整数,而CRC校验错误。 (5)frame: 也是CRC校验出错报文个数,报文字节不是整数,其他同上。 (6)aborts: 表示接收到的非法报文总数,包括:○1报文碎片:小于64字节,且CRC校验错误(报文字节是整数或非整数)。○2jabber帧:大于1518(tag报文是1522)字节,且CRC校验错误(报文字节是整数或非整数)。○3符号错误帧:报文中至少包含1各错误的符号,其他部分合法。○4携带错误帧:在空闲阶段发现的错误携带帧。○5操作码未知帧:报文是MAC控制帧,但不是Pause帧。○6长度错误帧:报文中802.3长度字段与报文实际长度(46~1500字节)不匹配,但不包括802.3长度字段无效(如Ether Type)的报文。 (7)ignored: 表示在端口接收报文时因各种原因丢弃的报文总数。 4. 输出错误统计值详解 (1)output errors:
各种输出错误的总数,显示范围是20bit。 (2)aborts: 表示发送失败的报文总数,指已经开始发送,但由于各种原因(如冲突)而导致发送失败的报文。该项统计包括各类发送失败的报文,无论是二层或是三层转发。 (3)deferred: 表示延迟报文的总数。报文延迟是指因延迟过长的周期而导致发送失败的报文,而这些报文由于发送媒质繁忙而等待了超过2倍的最大报文发送时间。 (4)collisions: 表示冲突帧总数,即在发送过程中发生冲突的报文。冲突是指DO和RD信号同时出现,即发送和接收同时发生。(5)late collisions: 表示延迟冲突帧,即发送过程中发生延迟冲突超过512bit时间的帧。 (6)lost carrier: 表示在空闲阶段发现的错误携带帧的总数。
华为交换机安全防范技术
在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。 1.广播风暴抑制比 可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。当百分比为100时,表示不对该端口进行广播风暴抑制。缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。在以太网端口视图下进行下列配置: broadcast-suppression ratio 2.为VLAN指定广播风暴抑制比 同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。 MAC地址控制技术 以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式
思科交换机端口安全(Port-Security)
思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全(Port-Security) 1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用: a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获 得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。 4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法: 针对第3条的两种应用,分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址: Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包, 在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。 b、接受某特定计算机mac地址: Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky
交换机接口信息解释
Display interface: [1] GigabitEthernet3/0/1 current state : DOWN 接口状态显示硬件链路的状态 [2] IP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc00-0010 接口的输出帧封装类型和MAC地址显示接口的删除帧封装类型和MAC地址 [3] The Maximum Transmit Unit is 1500 接口的最大传输单元显示接口的最大传输单元 [4] Media type is not sure, loopback not set 端口的连接线类型和环回状态显示接口的连接线类型和环回状态 [5] Port hardware type is No Connector 端口的连接器硬件类型显示接口的连接器硬件类型 [6] Unknown-speed mode, unknown-duplex mode 端口的实际速度和双工状态显示端口的实际速度和双工状态 [7] Link speed type is autonegotiation, link duplex type is autonegotiation 端口是否是速度、双工的自协商配置显示端口速度、双工的自协商配置 [8] Flow-control is not supported 端口流控状态显示端口的MDI类型(不是缺省值的情况显示) 目前以太网有MDI和MDI-X两种类型的接口。MDI称为介质相关接口,MDI-X称为介质非相关接口。市场上常见的以太网交换的端口都属于MDI-X接口,而路由器和PC的端口都属于MDI接口。当MDI-X接口和连接时,需要用直连网线(Normal Cable);当同一类型号的接口如MDI和MDI、MDI-X和MDI-X连接时,需要采用交叉网线(Cross Cable)。 [9] The Maximum Frame Length is 1536 端口可以正常转发的帧长度显示端口可以正常转发的帧长度 [10] Broadcast MAX-ratio: 100% 端口的广播抑制比显示端口的广播抑制比 [11] Allow jumbo frame to pass 端口是否允许jumbo帧通过显示端口是否允许jumbo帧通过 [12] PVID: 1 端口的PVID 显示端口的PVID pvid,就是指port vid,一般来说,pvid和vid是同时应用的(只要是支持802.1q的交换机),pvid指的是帧进端口的策略,vid指的是帧出端口的策略。进端口时如果帧没有vlan tag,就以pvid值给帧打上tag;如果有tag,就不改变其值。
交换机端口隔离及端口安全
实验二 交换机端口隔离及端口安全 背景描述: 假设你所用的交换机是宽带小区城域网中的1台楼道交换机,住户PC1连接在交换机的0/1口,住户PC2连接在交换机的0/2口。住户不希望他们之间能够相互访问,现要实现各家各户的端口隔离。 一、:实验名称:交换机端口隔离 二、实验目的: 1. 熟练掌握网络互联设备-交换机的基本配置方法 2. 理解和掌握Port Vlan 的配置方法 三、实验设备:每一实验小组提供如下实验设备 1、 实验台设备:计算机两台PC1和PC2(或者PC4和PC5) 2、 实验机柜设备: S2126(或者S3550)交换机一台 3、 实验工具及附件:网线测试仪一台 跳线若干 四、实验原理及要求: 1、Vlan(virual laocal area network,虚拟局域网),是指在一个物理网段内,进行逻辑的划分,划分成若干个虚拟局域网。其最大的特性是不受物理位置的限制,可以进行灵活的划分。VLAN 具备一个物理网段所具备的特性。相同的VLAN 内的主机可以相互直接访问,不同的VLAN 间的主机之间互相访问必须经由路由设备进行转发,广播包只可以在本VLAN 内进行传播,不能传输到其他VLAN 中。 2、PORT VLAN 是实现VLAN 的方式之一,PORT VLAN 是利用交换机的端口进行VLAN 的划分,一个普通端口只能属于一个VLAN 。 五、实验注意事项及要求: 1、 实验中严禁在设备端口上随意插拔线缆,如果确实需要应向老师说明征求许可。 2、 以电子文档形式提交实验报告。 3、 本次实验结果保留:是 √ 否 4、 将交换机的配置文档、验证计算机的TCP/IP 配置信息保存。 5、 将交换机的配置信息以图片的形式保存到实验报告中。 6、 六、实验用拓扑图 注意:实验时按照拓扑图进行网络的连接,注意主机和交换机连接的端口 七、实验具体步骤及实验结果记录: 1、 实现两台主机的互联,确保在未划分VLAN 前两台PC 是可以通讯的(即F0/1和F0/2间是可以通讯的)。 实验结果记录:要求将PC1和pc2的IP 设置和连通性测试的结果记录下来。 2、 创建VLAN 1)、启用“本地连接”网卡,正确设置IP 地址及默认网关,打开设备配置界面,完成以下命令行操作: S2126(S3550) F0/1 NIC2) NIC2 F0/2 Vlan 10 Vlan 20
H3C交换机端口绑定与端口安全
H3C端口绑定与端口安全 端口安全: 1.启用端口安全功能 [H3C]port-security enable 2.配置端口允许接入的最大MAC地址数 [H3C-Ethernet1/0/3]port-security max-mac-count count-value 缺省情况下,最大数不受限制为0 3.配置端口安全模式 [H3C-Ethernet1/0/3]port-security port-mode { autolearn |noRestriction… } 4.手动添加Secure MAC地址表项 [H3C-Ethernet1/0/3] mac-address security mac-address vlan vlan-id 5.配置Intrusion Protection(Intrusion Protection被触发后,设置交换机采取的动作) [H3C-Ethernet1/0/3]port-security intrusion-mode { blockmac | disableport | disableport -temporarily } 验证命令: display port-security [ interface interface-list ] 显示端口安全配置的相关信息display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] 显示Secure MAC地址的配置信息
端口+IP+MAC绑定 方法一: [H3C]am user-bind mac-addr B888-E37B-CE2C ip-addr 192、168、1、106 interface Ethernet 1/0/3 方法二: [H3C-Ethernet1/0/3] am user-bind mac-addr B888-E37B-CE2C ip-addr 192、168、1、106 验证命令: [H3C]display am user-bind 显示端口绑定的配置信息 端口+IP绑定 [H3C-Ethernet1/0/3] am user-bind ip-addr 192、168、1、106 注: 交换机只要接收一个3层表项,交换机使用动态ARP产生一条arp条目。选用交换机时应该注意交换机所支持的最大ARP表项的数目。
交换机端口错包排查方法
一、重要性: 从网维排查的用户反应网速慢的故障中,相当一部分是由于交换机和交换机端口、交换机端口和用户路由器端口、交换机端口和光电转换器端口、交换机端口和用户网卡匹配不当,产生错包引起的。该问题虽然比较常见,但只要按交换机开局来配置,通常能降低故障发生率,即使还存在端口错包问题,也能通过改端口速度和双工状态来彻底解决。 二、交换机端口错包说明: 以华为交换机端口为例进行说明: [NJ-A-GJXC-S3026C-1]dis int eth 0/1 Ethernet0/1 current state : UP IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 000f-e21d-bedc Description: to gujiao_33-192.168.86.161 The Maximum Transmit Unit is 1500 Media type is twisted pair, loopback not set Port hardware type is 100_BASE_TX 100Mbps-speed mode, full-duplex mode Link speed type is force link, link duplex type is force link Flow-control is not enabled Port-flow-constrain has not been configured completely The Maximum Frame Length is 1536
交换机端口安全
【实训目的】 (1)掌握交换机端口安全功能,控制用户的安全接入 (2)掌握交换机的端口配置的连接数 (3)掌握如何针对PC1主机的接口进行IP+MAC地址绑定 【实训技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入;交换机端口安全主要有两种类型:一是限制交换机端口的最大连接数;二是针对交换机端口进行MAC地址、IP地址的绑定; 配置交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: (1)protect 当安全地址个数满后,安全端口将丢弃未知地址的包; (2)restrict当违例产生时,将发送一个trap通知; (3)shutdown当违例产生时,将关闭端口并发送一个trap通知; 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来; 【实训背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.23/24,主机MAC地址是0090.210E.55A0。该主机连接在1台2126G上。 【实训设备】 S2126G(1台),PC(2台)、直连线(2条) 【实训内容】 (1)按照拓扑进行网络连接 (2)配置交换机端口最大连接数限制 (3)配置交换机端口地址绑定 【实训拓扑图】 (1)配置交换机端口的最大连接数限制 Switch#configure terminal
实验2:交换机端口安全
12.3 实验2:交换机端口安全 1.实验目的 通过本实验,读者可以掌握如下技能: ①理解交换机的CAM表; ②理解交换机的端口安全; ③配置交换的端口安全特性。 2.实验拓扑 实验拓扑图如图12-3所示。 图12-3 实验2拓扑图
3.实验步骤 交换机端口安全特性可以让我们配置交换机端口,使得当具有非法MAC地址的设备接入时,交换机会自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址数。在这里限制f0/接口只允许R1接入。 (1)步骤1:检查R1的g0/0接口的MAC地址 R1(config)#int g0/0 R1(config-if)#no shutdown R1(config-if)#ip address 172.16.0.101 255.255.0.0 R1#show int g0/0 GigabitEthernet0/0 is up ,line protocol is up Hardware is MV96340 Ethernet,address is 0019.5535.b828(bia 0019.5535.b828) //这里可以看到g0/0接口的Mac地址,记下它 Internet address is 172.16.0.101/16 MTU 1500 bytes,BW 100000 Kbit,DL Y 100 usec, (此处省略) (2)步骤2:配置交换端口安全 S1(config)#int f0/1 S1(config-if)#shutdown S1(config-if)#switch mode access //以上命令把端口改为访问模式,即用来接入计算机,在下一章将详细介绍该命令的含义 S1(config-if)#switch port-security //以上命令是打开交换机的端口安全功能 S1(confg-if)#switch port-security maximum 1 //以上命令只允许该端口下的MAC条目最大数量为1,即只允许一个设备接入 S1(config-if)#switch port-security violation shutdown “switch port-security violation{protect|shutdown|restrict}”//命令含义如下: ●protect;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算 机将无法接入,而原有的计算机不受影响; ●shutdown;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则该接口将会 被关闭,则这个新的计算机和原有的计算机都无法接入,需要管理员使用”no shutdown” 命令重新打开; ●restrcit;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算 机可以接入,然而交换机将向发送警告信息。 S1(config-if)#switchport port-security mac-address 0019.5535.b828 //允许R1路由器从f0/1接口接入 S1(confgi-if)#no shutdown
交换机端口安全配置实验
1、如图的拓扑 2、配置交换机的 Switch(config)#interface f0/1 Switch(config-if)#switchport mode access 接口设置为access模式 Switch(config-if)#switchport port-security 、//启动安全端口 Switch(config-if)#switchport port-security ? mac-address Secure mac address maximum Max secure addresses violation Security violation mode