端口聚合整改命令

端口聚合整改命令华为S93系列

Interface Eth-Trunk*

Mode lacp-static

Quit

Interface g*/*/*

negotiation auto

quit

save

yes

中兴89系列

Interface smartgroup*

smartgroup mode802.3ad

exit

interface gei_*/*

negotiation auto

exit

end

write

华为OLT

GICF板：以17 18 为上联板卡为例

已存在聚合：0/17 0为主端口

link-aggregation 0/17 0 egress-ingress

link-aggregation add-member 0/17/0 0/17 1

link-aggregation add-member 0/17/0 0/18 1,0

从聚合中剔除端口：（将0/17/1和0/18/0和0/18/1从聚合中剔除出去）

link-aggregation delete-member 0/17/0 0/180

link-aggregation delete-member 0/17/0 0/18 1

link-aggregation delete-member 0/17/0 0/17 1

修改端口为自适应方式：

Interface giu 0/17

auto-neg 1 enable

Interface giu 0/18

auto-neg 0 enable

auto-neg 1 enable

透传原来在0/17/0上的所有vlan到0/18/0口：

port vlan 11 0/18 0

port vlan 1101 to 1212 0/18 0

新增一个聚合组：（使用静态lacp方式聚合，将0/17/1和0/18/1加到0/18/0的聚合组中）link-aggregation 0/18 0 egress-ingress workmode lacp-static

link-aggregation add-member 0/18/0 0/18 1

link-aggregation add-member 0/18/0 0/17 1

删除原聚合组并修改0/17/0为自适应：

undo link-aggregation 0/17/0

Interface giu 0/17

auto-neg 0 enable

将0/17/0添加到新聚合组中：

link-aggregation add-member 0/17/1 0/18 0

其他类型板卡：

ETHB板卡：

进入板卡interface eth 0/1，其他一样

SPUA板卡：

进入板卡interface eth 0/1，业务流做vlan透传

service-port vlan 11 eth 0/1/0 multi-service user-vlan 11 tag-transform transparent

链路聚合与端口隔离命令

第1章链路聚合配置命令 1.1 链路聚合配置命令 1.1.1 display lacp system-id 【命令】 display lacp system-id 【视图】 任意视图 【参数】 无 【描述】 display lacp system-id命令用来显示本端系统的设备ID，包括：系统的LACP协 议优先级与系统MAC地址。 【举例】 # 显示本端系统的设备ID。 display lacp system-id Actor System ID: 0x8000, 00e0-fc00-0100 表1-1display lacp system-id命令显示信息描述表 1.1.2 display link-aggregation interface 【命令】 display link-aggregation interface interface-type interface-number[ to interface-type interface-number ] 【视图】 任意视图 【参数】 interface-type interface-number：指定端口类型及端口号。

to：用来连接两个端口，表示在两个端口之间的所有端口（包含这两个端口）。【描述】 display link-aggregation interface命令用来显示指定端口的链路聚合的详细信 息，其中包括： ●指定端口所在聚合组ID； ●本端的端口的LACP协议优先级、操作Key、LACP协议状态标志； ●对端的设备ID、端口号、端口的LACP协议优先级、操作Key、LACP协议状 态标志； ●LACP协议报文统计信息。 需要注意的是，由于手工聚合组无法获知对端信息，因此对端的各项显示信息均为 0，并不代表对方系统实际信息。此外，对于手工聚合不会显示端口的LACP协议报 文统计信息。 【举例】 # 显示手工聚合组中端口Ethernet1/0/1聚合的详细信息。 display link-aggregation interface ethernet1/0/1 Flags: A -- LACP_Activity, B -- LACP_timeout, C -- Aggregation, D -- Synchronization, E -- Collecting, F -- Distributing, G -- Defaulted, H -- Expired Ethernet1/0/1: Selected AggID: 3 Local: Port-Priority: 32768, Oper key: 1, Flag: {} Remote: System ID: 0x0, 0000-0000-0000 Port Number: 0, Port-Priority: 0 , Oper-key: 0, Flag: {} # 显示动态聚合组中端口Ethernet1/0/2聚合的详细信息。 display link-aggregation interface ethernet1/0/2 Flags: A -- LACP_Activity, B -- LACP_timeout, C -- Aggregation, D -- Synchronization, E -- Collecting, F -- Distributing, G -- Defaulted, H -- Expired Ethernet1/0/2: Selected AggID: 0 Local: Port-Priority: 0, Oper key: 2, Flag: {ACG} Remote: System ID: 0x8000, 0000-0000-0000 Port Number: 0, Port-Priority: 32768 , Oper-key: 0, Flag: {EF} Received LACP Packets: 0 packet(s), Illegal: 0 packet(s) Sent LACP Packets: 0 packet(s)

第八章实验讲义-- 交换机基本配置端口安全与STP

第12章交换机基本配置 交换机是局域网中最重要的设备，交换机是基于MAC来进行工作的。和路由器类似，交换机也有IOS，IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备，可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个：一个是维护CAM（Conetxt Address Memory）表，该表是计算机的MAC地址和交换端口的映射表；另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种：交换机收到帧后，查询CAM表，如果能查询到目的计算机所在的端口，并且目的计算机所在的端口不是交换接收帧的源端口，交换机将把帧从这一端口转发出去（Forward）；如果该计算机所在的端口和交换机接收帧的源端口是同一端口，交换机将过滤掉该帧（Filter）；如果交换机不能查询到目的计算机所在的端口，交换机将把帧从源端口以外的其他所有端口上发送出去，这称为泛洪（Flood），当交换机接收到的帧是广播帧或多播帧，交换机也会泛洪帧。 12.2 实验0：交换机基本配置 1.实验目的: 通过本实验，可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 （1）步骤1：通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal

如何查看80端口是否被占用_端口被占用解决办法

80端口是否被占用的解决办法 一、问题描述 公司外网发布是必须使用80端口，可是每次tomcat启动时，总时报端口占用，如果将端口改为不用的端口，例如：8090等，就能正常启动使用。 二、问题分析 一般服务器安装MS SQL Server 2008 时，都要求安装IIS 5.0或6.0，此时，肯定时被IIS 占用了，如果你把IIS 端口号修改成其它的，重启IIS 后，80端口仍然被占用呢，那你就需要检测是否还有其它服务占用了。 三、问题检查及处理 先介绍一下我的服务器环境：Windows 2003 Server SP2，MS SQL Server 2008 R2 ，Tomcat 6.0 ，Sun JDK 1.6 和1.7版本。 检查端口占用常用方法有：使用Dos 命令检查或使用专用软件检查。 使用Dos 检查：在Dos 命令行中输入netstat -aon|findstr "80" 即可查看到端口被谁占用，我查时被System 占用，PID为4，使用进程查看器发现是系统自己的进程，所以没办法停用，如果停用，系统无法正常工作，并且重新启动电脑。 使用专用软件检查，例如：Active Ports软件，可以查看到什么端口被什么软件点用，安装位置是什么等，就可以直接定位，但是我的服务器还是显示为PID为4，程序为System 占用，声明：System不带.exe啊（有的进程为：System.exe，我的则不是） 处理方法：经仔细查找，发现是MS SQL Server 2008服务占用了80端口，此时启动SQL Server 配置管理器，进入后，将SQL Server Reporting Services 服务停用后即可，也不影响MS SQL Server 的正常使用。

交换机的端口安全配置

【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： ? protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 ? restrict 当违例产生时，将发送一个Trap通知。 ? shutdown 当违例产生时，将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。【实验设备】 S2126G交换机（1台），PC（1台）、直连网线（1条）

链路聚合配置命令

目录 1 链路聚合配置命令................................................................................................................................ 1-1 1.1 链路聚合配置命令............................................................................................................................. 1-1 1.1.1 description .............................................................................................................................. 1-1 1.1.2 display lacp system-id ............................................................................................................ 1-2 1.1.3 display link-aggregation member-port.................................................................................... 1-2 1.1.4 display link-aggregation summary.......................................................................................... 1-4 1.1.5 display link-aggregation verbose............................................................................................ 1-5 1.1.6 enable snmp trap updown...................................................................................................... 1-7 1.1.7 interface bridge-aggregation .................................................................................................. 1-8 1.1.8 lacp port-priority...................................................................................................................... 1-8 1.1.9 lacp system-priority................................................................................................................. 1-9 1.1.10 link-aggregation mode........................................................................................................ 1-10 1.1.11 port link-aggregation group ................................................................................................ 1-10 1.1.12 reset lacp statistics............................................................................................................. 1-11 1.1.13 shutdown ............................................................................................................................ 1-11

利用命令查看端口及对应程序

利用命令查看端口及对应程序 利用 netstat 命令查看本机开放端口 netstat 是 windows 自带命令，用于查看系统开放的端口，主要参数只有 -a 和 -n ，前者表示显示所有连接和侦听端口，而后者表示以数字格式显示地址和端口号。 在“ 命令提示符” 中输入“ netstat -an ”, 即可显示本机所有开放端口。 其中 active connections 是指当前本机活动连接， proto 是指连接使用的协议名称 local address 是本地计算机 IP 地址和连接正在使用的端口号 foreign address 是指连接此端口的远程计算机的 IP 地址与端口号 state 则表示 TCP 连接状态 注意如果后面的 UDP 协议有异常连接，则可能有木马正使用端口号，正处于监听状态，如冰河木马的默认监听端口号是 7626 利用 netstat 命令查找打开可疑端口的恶意程序 先用命令提示符 " netstat -ano " 命令显示端口状态，再在结果中找到可疑端口，然后根据其 PID 在输入“ tasklist ” 命令显示中查找其对应程序，就可知道其程序名，进而查明程序的来源，采取适当的措施。 直接查看端口与程序 ( 以上两个命令的结合效果 ) 在命令提示符后输入“ netstat -anb ” 回车，即可显示所有端口及所对应的进程信息，用来查找木马非常方便 用第三方端口查看工具 FPORT fport 是 foundstone 出品的一个用来查看系统所有打开 TCP/IP 和 UDP 端口，及它们对应程序的完整路径， PID 标识，进程名称等信息的小工具

服务器基本安全配置

服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字，并新建同名 Administrator普通用户，设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。

(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名；——启动 交互式登录：回话锁定时显示用户信息；——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问：可匿名访问的共享；——清空 网络访问：可匿名访问的命名管道；——清空 网络访问：可远程访问的注册表路径；——清空 网络访问：可远程访问的注册表路径和子路径；——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户（****代表计算机名）ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注：用户添加查找如下图：

(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下： (8)

配置交换机端口聚合

配置交换机端口聚合（思科、华为、锐捷） 2008-08-18 16:27 思科命令行配置： CLI:SW#conf t SW(config)#interface range f1/1 -2 SW(config-if)#channel-group 1 mode desirable/on SW(config-if)#swithport SW(config-if)#switchport mode trunk SW(config-if)#switchport trunk encap dot1q 可以通过 interface port-channel 1 进入端口通道 华为端口聚合配置： 华为交换机的端口聚合可以通过以下命令来实现： S3250(config)#link-aggregation port_num1 to port_num2 {ingress | ingress-egress} 其中port_num1是起始端口号，port_num2是终止端口号。 ingress/ingress-egress这个参数选项一般选为ingress-egress。 在做端口聚合的时候请注意以下几点： 1、每台华为交换机只支持1个聚合组 2、每个聚合组最多只能聚合4个端口。 3、参加聚合的端口号必须连续。 对于聚合端口的监控可以通过以下命令来实现： S3026(config)#show link-aggregation [master_port_num] 其中master_port_num是参加聚合的端口中端口号最小的那个端口。 通过这条命令可以显示聚合组中包括哪些端口等一些与端口聚合相关的参数。 锐捷端口聚合配置： Switch#configure terminal Switch(config)#interface range fastethernet 1/1-2 Switch(config-if-range)#port-group 5 Switch(config-if-range)#switchport mode trunk 你可以在全局配置模式下使用命令#interface aggregateport n(n为AP号) 来直接创建一个AP(如果AP n不存在)。 配置aggregate port的流量平衡 aggregateport load-balance {dst-mac | src-mac |ip} 设置AP的流量平衡，选择使用的算法： dst-mac：根据输入报文的目的MAC地址进行流量分配。在AP各链路中，目的MAC地址相同的报文被送到相同的接口，目的MAC不同的报文分配到不同的接口

端口聚合整改命令

端口聚合整改命令华为S93系列 Interface Eth-Trunk* Mode lacp-static Quit Interface g*/*/* negotiation auto quit save yes 中兴89系列 Interface smartgroup* smartgroup mode802.3ad exit interface gei_*/* negotiation auto exit end write

华为OLT GICF板：以17 18 为上联板卡为例 已存在聚合：0/17 0为主端口 link-aggregation 0/17 0 egress-ingress link-aggregation add-member 0/17/0 0/17 1 link-aggregation add-member 0/17/0 0/18 1,0 从聚合中剔除端口：（将0/17/1和0/18/0和0/18/1从聚合中剔除出去） link-aggregation delete-member 0/17/0 0/180 link-aggregation delete-member 0/17/0 0/18 1 link-aggregation delete-member 0/17/0 0/17 1 修改端口为自适应方式： Interface giu 0/17 auto-neg 1 enable Interface giu 0/18 auto-neg 0 enable auto-neg 1 enable 透传原来在0/17/0上的所有vlan到0/18/0口： port vlan 11 0/18 0 port vlan 1101 to 1212 0/18 0 新增一个聚合组：（使用静态lacp方式聚合，将0/17/1和0/18/1加到0/18/0的聚合组中）link-aggregation 0/18 0 egress-ingress workmode lacp-static link-aggregation add-member 0/18/0 0/18 1 link-aggregation add-member 0/18/0 0/17 1 删除原聚合组并修改0/17/0为自适应： undo link-aggregation 0/17/0 Interface giu 0/17 auto-neg 0 enable 将0/17/0添加到新聚合组中： link-aggregation add-member 0/17/1 0/18 0 其他类型板卡： ETHB板卡： 进入板卡interface eth 0/1，其他一样 SPUA板卡： 进入板卡interface eth 0/1，业务流做vlan透传 service-port vlan 11 eth 0/1/0 multi-service user-vlan 11 tag-transform transparent

查看80端口以及端口被占用解决办法

如何查看80端口是否被占用以及端口被占用解决办法 进入CMD（注：win8系统没有开始-->运行，需要使用快捷键：win+R进入运行），输入netstat -ano就可以很清楚的看到本地80口占用程序的PID，然后再去任务管理器里查找到PID所对应的进程(如果任务管理器没有PID,查看-->选择列-->PID（进程标示符）勾上即可) 1、如何查看80端口是否被占用 开始--运行（或者win+R） 输入cmd 命令 进入命令提示符,输入netstat -ano 即可看到所有连接的PID 之后启动任务管理器

找到这个PID所对应的程序 如果任务管理器中没有PID这一项,可以在任务管理器中选"查看"-"选择列"

勾选pid，确定即可显示

经常，我们在启动应用的时候发现系统需要的端口被别的程序占用，如何知道谁占有了我们需要的端口，很多人都比较头疼，下面就介绍一种非常简单的方法，希望对大家有用 2、确定谁占用了我们的80端口以及解决办法 1)在windows命令行窗口下执行： C:>netstat -ano|findstr "80" TCP 127.0.0.1:80 0.0.0.0:0 LISTENING 2448 2)端口被进程号为2448的进程占用，继续执行下面命令： C:>tasklist|findstr"2448" thread.exe 2016 Console 0 16,064 K 3)C:>taskkill /pid 2448 /F 4)如果第二步查不到，那就开任务管理器，看哪个进程是2448或者thread.exe ，

然后杀之即可。 如果需要查看其他端口。把 80 改掉即可 补充：原来出现这个错误原因（ 4)httpd.exe: Could not reliably determine the server's fully qualified domain na me, using 192.168.1.111 for ServerName）是因为DNS没配置好. 如果不想配置DNS, 就在httpd.conf , 在最前加入 ServerName localhost:80 即可 另外360安全卫士中的【流量防火墙】，查看网络连接就可以看一些端口的情况。

cisco交换机的端口安全配置

【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： ? protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 ? restrict 当违例产生时，将发送一个Trap通知。 ? shutdown 当违例产生时，将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。【实验设备】 S2126G交换机（1台），PC（1台）、直连网线（1条）

交换机汇聚配置

（1）交换机的基本配置 （2）在交换机上创建聚合接口 （3）在交换机上配置聚合端口 （4）端口聚合增加交换机之间的传输带宽，验证当一条链路断开时仍能互相通信。 第一步：交换机A的基本配置。 SwitchA(config)#vlan 10 SwitchA(config-vlan)#name sales SwitchA(config-vlan)#exit SwitchA(config)#interface fastEthernet0/5 SwitchA(config-if)#switchport access vlan 10 验证测试：验证已创建了VLAN 10，并将0/5端口已划分到VLAN 10中。SwitchA#show vlan id 10 VLAN Name Status Ports -------------------------------------------------------------------------------------------------------- 10 sales active Fa0/5 第二步：在交换机SwitchA上配置聚合端口。 SwitchA(config)#interface aggregateport 1 ！创建聚合接口AG1 SwitchA(config-if)#switchport mode trunk ！配置AG模式为trunk SwitchA(config-if)#exit SwitchA(config)#interface range fastEthernet 0/1-2 ！进入接口0/1和0/2 SwitchA(config-if-range)#port-group 1 ！配置接口0/1和0/2属于AG1验证测试：验证接口fastEthernet0/1和0/2属于AG1。 SwitchA#show aggregatePort 1 summary ！查看端口聚合组1的信息AggregatePort MaxPorts SwitchPort Mode Ports -------------------------------------------------------------------------------------------------- Ag1 8 Enabled Trunk Fa0/1, Fa0/2 注：AG1，最大支持端口数为8个，当前VLAN模式为Trunk，组成员有F0/1、F0/2。 第三步：交换机B的基本配置。 （具体步骤与SwitchA类似） 第四步：在交换机SwitchB上配置聚合端口。 （具体步骤与SwitchA类似） 第五步：验证当交换机直接的一条链路断开时，PC1与PC2仍能互相通信。 注意事项： （1）只有同类型端口才能聚合为一个AG端口。 （2）所有物理端口必须属于同一个VLAN。 （3）在锐捷交换机上最多支持8个物理端口聚合为一个AG。 （4）在锐捷交换机上最多支持6组聚合端口。 参考配置： SwitchA#show running-config ！显示交换机SwitchA的全部配置 Bui lding configuration… Current configuration : 497 bytes

H3C配置端口聚合

H3C配置端口聚合 环境：H3C S2000系列交换机下级联一S5000系列交换机 S2000为公司百兆交换机，S5000为客户自用千兆交换机 客户原带宽为100M,现因业务的拓展新购买50M带宽目的：在现有设备的情况下，为满足客户要求，即采用端口汇聚可以实现增加带宽， 并且可以实现负载分担和链路备份效果 配置： S2000 : 将23各24端口配置端口聚合 这个是自己的交换机直接找了两个没有使用的端口做的配置 1.首先创建汇聚组，并描述 link-aggregation group 10 mode manual link-aggregation group 10 description BeiJing_150M 2.将端口加入到汇聚组 interface Ethernet1/0/23 duplex full speed 100 line-rate inbound 76800 line-rate outbound 76800 port link-aggregation group 10 interface Ethernet1/0/24 duplex full speed 100 line-rate inbound 76800 line-rate outbound 76800 port link-aggregation group 10 S5000：将正在使用的1和2口做端口聚合，因1口正在使用，中间要断一会，所以客户授 权可以机房登录 因是客户交换机所以直接把做好的配置写上了，其实中间也是曲折的，客户端口配置 的东西比较多，

只好一点点的NO 掉 1.创建汇聚组 int eth-trunk 10 port default vlan 100 2.将端口加入到汇聚组中 int gi 0/0/1 undo nonegotiate auto duplex full speed 100 eth-trunk 10 int gi 0/0/2 undo nonegotiate auto duplex full speed 100 eth-trunk 10 在客户规定的时间内完成此操作，并测试所有业务均可正常运行。。 配置关键点： 1．同一个汇聚组中端口的基本配置必须保持一致，基本配置主要包括STP、QoS、VLAN、端 口属性等相关配置； 2．对于端口环回监测（loopback-detection）特性的相关命令和端口汇聚的相关命令，不 能同时配置； 3．对于配置了mac-address max-mac-count命令的端口，不能加入到汇聚组中；反之，对于已经加入到某个汇聚组中的端口，也不能再配置mac-address max-mac-count命令； 4．对于使能了MAC地址认证或802.1x的端口，不能加入到汇聚组中； 5．对于镜像目的端口、远程镜象反射端口、不能加入到汇聚组中； 6．对于配置了黑洞MAC地址、静态MAC地址或配置了静态ARP的端口，不能加入到汇聚组 中； 7．对于配置了MAC地址和IP地址绑定的端口，不能加入到汇聚组中； 8．对于已经配置了端口安全（Port-Sercurity）特性相关命令的端口，不能加入到汇聚组 中

端口聚合及端口安全配置

配置端口聚合提供冗余备份链路 1 实验原理 端口聚合又称链路聚合，是指两台交换机之间在物理上将多个端口连接起来，将多条链路聚合成一条逻辑链路，从而增大链路带宽，解决交换网络中因带宽引起的网络瓶劲问题。多条物理链路之间能够相互冗余备份，其中任意一条链路断开，不会影响其他链路的正常转发数据。 2 实验步骤 （1）交换机A的基本配置 switchA#conf t switchA(config)#vlan 10 switchA(config-vlan)#name sales switchA(config-vlan)#exit switchA(config)#int fa0/5 switchA(config-if)#switchport access vlan 10 switchA(config)#exit switchA#sh vlan id 10 (2)在交换机switchA上配置端口聚合

switchA(config)#int aggregateport 1 switchA(config-if)#switchport mode trunk switchA(config-if)#exit switchA(config)#int range fa0/1-2 switchA(config-if-range)#port-group 1 switchA(config-if-range)#exit switchA#sh aggregatePort 1summary (3)在交换机B上基本配置（同（1）） （4）在交换机switchB上配置端口聚合（同（2））（5）验证测试 验证当交换机之间一条链路断开时，PC1和PC2任能互相通信。 C:\>Ping 192.168.10.30 –t

如何查看自己已开的和已经关闭的端口号方法.

查看端口在Windows 2000/XP/Server 2003中要查看端口，可以使用Netstat命令：依次点击“开始→运行”，键入“cmd”并回车，打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”，按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。小知识：Netstat命令用法命令格式：Netstat -a -e -n -o -s－an -a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP 端口。 -e 表示显示以太网发送和接收的字节数、数据包数等。 -n 表示只以数字形式显示所有活动的TCP连接的地址和端口号。 -o 表示显示活动的TCP连接并包括每个连接的进程ID（PID）。 -s 表示按协议显示各种连接的统计信息，包括端口号。 -an 查看所有开放的端口关闭/开启端口在介绍各种端口的作用前，这里先介绍一下在Windows中如何关闭/打开端口，因为默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如Telnet服务的23端口、FTP 服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。关闭端口比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。开启端口如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。提示：在Windows 98中没有“服务”选项，你可以使用防火墙的规则设置功能来关闭/开启端口。端口分类逻辑意义上的端口有多种分类标准，下面将介绍两种常见的分类： 1. 按端口号分布划分（1）知名端口（Well-Known Ports） 知名端口即众所周知的端口号，范围从0到1023，这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务，135端口分配给RPC（远程过程调用）服务等等。（2）动态端口（Dynamic Ports）动态端口的范围从1024到65535，这些端口号一般不固定分配给某个服务，也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些端口号中分配一个供 该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后，就会释放所占用的端口号。不过，动态端口也常常被病毒木马程序所利用，如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。 2. 按协议类型划分按协议类型划分，可以分为TCP、UDP、IP和ICMP（Internet控制消息协议）等端口。下面主要介绍TCP

接入交换机常见安全配置

适用场景：1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中，若未指定优先级，则是根据它们的MAC地址（mac小的为主机）来确定谁是主机。优先级为越大越好，范围1-10。出场默认为1。 1、系统时间同步：如果客户有使用 ntp/sntp进行全网统一的时间配置的需求，可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址，此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一：限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二：限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三：使用加密管理协议，使用SSH管理，禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式

查看window的端口号命令

查看window的端口号命令 Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。 为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和UDP 135、137、138、445 端口，一些流行病毒的后门端口(如TCP 2745、3127、6129 端口)，以及远程服务访问端口3389。 查看端口 在Windows 2000/XP/Server 2003中要查看端口，可以使用Netstat命令： 依次点击“开始→运行”，键入“cmd”并回车，打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”，按下回车键后就可以看到以数字形式显示的TCP 和UDP连接的端口号及状态。 小知识：Netstat命令用法 命令格式：Netstat -a -e -n -o -s－an -a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口。 -e 表示显示以太网发送和接收的字节数、数据包数等。 -n 表示只以数字形式显示所有活动的TCP连接的地址和端口号。 -o 表示显示活动的TCP连接并包括每个连接的进程ID（PID）。 -s 表示按协议显示各种连接的统计信息，包括端口号。 -an 查看所有开放的端口 关闭/开启端口 先介绍一下在Windows中如何关闭/打开端口的简单方法，因为默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。 关闭端口 比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。 开启端口 如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。 提示：在Windows 98中没有“服务”选项，你可以使用防火墙的规则设置功能来关闭/开启端口。 如何在WinXP/2000/2003下关闭和开放网络端口的详细方法 第一步，点击开始菜单/设置/控制面板/管理工具，双击打开本地安全策略，选中IP 安全策略，在本地计算机，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择创建IP 安全策略(如右图)，于是弹出一个向导。在向导中点击下一步按钮，为新的安全策略命名；再按下一步，则显示安全通信请求画面，在画面上把激活默认相应规则左边的钩去掉，点击完成按钮就创建了一个新的IP 安全策略。 第二步，右击该IP安全策略，在属性对话框中，把使用添加向导左边的钩去掉，然后单击添加按钮添加新的规则，随后弹出新规则属性对话框，在画面上点击添加按钮，弹出IP筛选器列表窗口；在列表中，首先把使用添加向导左边的钩去掉，然后再点击右边的添加按钮添加新的筛选器。 第三步，进入筛选器属性对话框，首先看到的是寻址，源地址选任何IP 地址，目标地址选我的IP 地址；点击协议选项卡，在选择协议类型的下拉列表中选择TCP，然后在到此端口下的文本框中输入135，点击确定按钮(如左图)，这样就添加了一个屏蔽TCP 135(RPC)端口的筛选器，它可以防止外界通过135端口连上你的电脑。 点击确定后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加TCP 137、139、445、593 端口和UDP 135、139、445 端口，为它们建立相应的筛选器。 重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击确定按钮。 第四步，在新规则属性对话框中，选择新IP 筛选器列表，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击筛选器操作选项卡。在筛选器操作选项卡中，把使用添加向导左边的钩去掉，点击添加按钮，添加阻止操作(右图)：在新筛选器操作属性的安全措施选项卡中，选择阻止，然后点击确定按钮。 第五步、进入新规则属性对话框，点击新筛选器操作，其左边的圆圈会加了一个点，表示已经激活，点击关闭按钮，关闭对话框；最后回到新IP安全策略属性对话框，在新的IP筛选器列表左边打钩，按确定按钮关闭对话框。在本地安全策略窗口，用鼠标右击新添加的IP 安全策略，然后选择指派。 重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你的电脑。目前还没听说有补丁下载。