思科交换机端口限速总结
交换机端口限速总结
可限速的交换机一般都在三层或者以上的交换机,自2008年之后新出的交换机型号二层设备就可以做到QOS限速,精确度达到1Mbps,例如Cisco2960系列交换机。在这之后的大多数国内的标准二层交换机都可以做多限速,精确度基本能达到1Mbps,比如中兴的标准二层,H3C的标准二层都可以做到。老式的CISCO标准二层交换机例如2950类的交换也可以做到限速,但是精确度只能达到10Mbps。2950G 的交换和2950为EI型的交换没有太大的限速区别,因为限速和IOS有关系,2950系列的交换IOS版本一般都是在9.0左右,最新的2960系列交换机IOS版本在12.2左右,高版本的IOS提供了更强的系统功能。
下面针对一些限速的方法进行总结:
PC1接在Cisco3550F0/1上,速率为1M;
PC1接在Cisco3550F0/2上,速率为2M;
Cisco3550的G0/1为出口。
PC是直接接在三层交换机端口的,意思就是说限制的是三层交换机端口的上下行流量控制,同理,如果三层交换机端口不是接PC,而是一个二层交换机,那么可以对下层的设备进行上联限速。
注:每个接口每个方向只支持一个策略;一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义。在同一个策略(在本例子当中为policy-map user-down),而PC不同速率的区分是在Class-map分别定义。
1、在交换机上启动QOS
Switch(config)#mls qos//在交换机上启动QOS
2、分别定义PC1(10.10.1.1)和PC2(10.10.2.1)访问控制列表
Switch(config)#access-list10permit10.10.1.00.0.0.255//控制pc1上行流量
Switch(config)#access-list100permit any10.10.1.00.0.0.255//控制pc1下行流量
Switch(config)#access-list11permit10.10.2.00.0.0.255//控制pc2上行流量
Switch(config)#access-list111permit any10.10.2.00.0.0.255//控制pc2下行流量
3、定义类,并和上面定义的访问控制列表绑定
Switch(config)#class-map user1-up//定义PC1上行的类,并绑定访问列表10
Switch(config-cmap)#match access-group10
Switch(config-cmap)#exit
Switch(config)#class-map user2-up
Switch(config-cmap)#match access-group11//定义PC2上行的类,并绑定访问列表10 Switch(config-cmap)#exit
Switch(config)#class-map user1-down
Switch(config-cmap)#match access-group100//定义PC1下行的类,并绑定访问列表100 Switch(config-cmap)#exit
Switch(config)#class-map user2-down
Switch(config-cmap)#match access-group111//定义PC2下行的类,并绑定访问列表111 Switch(config-cmap)#exit
4、定义策略,把上面定义的类绑定到该策略
Switch(config)#policy-map user1-up//定义PC1上行的速率为1M
Switch(config-pmap)#class user1-up
Switch(config-pmap-c)#trust dscp
Switch(config-pmap-c)#police10240001024000exceed-action drop
Switch(config)#policy-map user2-up//定义PC2上行的速率为2M
Switch(config-pmap)#class user2-up
Switch(config-pmap-c)#trust dscp
Switch(config)#policy-map user-down//定义PC1下行的速率为1M
Switch(config-pmap)#class user1-down
Switch(config-pmap-c)#trust dscp
Switch(config-pmap-c)#police10240001024000exceed-action drop
Switch(config-pmap-c)#exit
Switch(config-pmap)#class user2-down//定义PC2下行的速率为2M
Switch(config-pmap-c)#trust dscp
Switch(config-pmap-c)#police20480001024000exceed-action drop
Switch(config-pmap-c)#exit
5、在接口上运用策略
Switch(config)#interface f0/1//进入PC1端口上联交换机端口配置模式
Switch(config-if)#service-policy input user1-up//绑定PC1上行策略为user1-up
Switch(config)#interface f0/2//进入PC2端口上联交换机端口配置模式
Switch(config-if)#service-policy input user2-up//绑定PC2上行策略为user2-up
Switch(config)#interface g0/1//进入交换机上联千兆端口配置模式
Switch(config-if)#service-policy input user-down//绑定交换机上联端口策略为user-down
利用三层交换中的strom-control(风暴控制)功能,该功能是基于端口控制单播\多播\组播,可以精确到0.01%,但是一个近似值。此方法是一个门限方式,限制监控时间为每秒,超过设置的门限便丢弃包,并且用户是不知情的,以为是网络终端,或者远程无响应,显然这种方式不能确保终端用户每时每刻的网络畅通,所以本人认为此方法只适用于某些场合,或者和其它策略配合使用。
具体配置方法:
Switch(config)#interface f0/1//进入交换机端口配置模式
Switch(config-if)#strom-control unicast/broadcast/multi level10//该port带宽的10%
理解风暴控制
风暴控制防止交换机的端口被局域网中的广播、多播或者一个物理端口上的单播风暴所破坏。局域网风暴发生在包在局域网中泛洪,建立的过多的流量并丧失了网络性能。协议栈中的错误或者网络配置上的错误可以导致风暴。
风暴控制(或者叫流量压制)管理进栈的流量状态,通过一段时间和对比测量带有预先设定的压制级别门限值的方法来管理。门限值表现为该端口总的可用带宽的百分比。交换机支持单独的风暴控制门限给广播、组播和单播。如果流量类型的门限值达到了,更多这种类型的流量就会受到压制,直到进栈流量下降到门限值级别以下。
注意:当组播的速度超出一组门限,所有的进站流量(广播组播单播)都会被丢弃,直到级别下降到门限级别以下。只有stp的包会被转发。当广播和单播门限超出的时候,只有超出门限的流量会被封闭。
当风暴控制开启了时,交换机监视通过接口的包来交换总线和决定这个包是单播,组播还是广播。交换机监视广播组播和单播的数目,每1秒钟一次,并且当某种类型流量的门限值到达了,这种流量就会被丢弃了。这个门限以可被广播使用的总的可用带宽的百分比被指定。
以下是一个接口上的一段时间内的广播流量的模型曲线图。
这个例子也可被组播和单播流量套用。在这个例子中,广播流量在T1-T2、T4-T5时间之间被转发超过配置门限值所有的该种流量都在下一个时间被丢弃。因此广播流量在T2和T5时间内是被封闭的。在下一个时断,T3,如果广播流量没有超出限制,那么它又被转发了。
风暴控制算法的工作是风暴控制抑制级别和每秒钟间隔控制的结合。一个更高的门限允许更多的包通过。如果把门限值设置成100%意味着将不会限制所有任何的流量。0%意味着所有的广播组播和单播流量都会被封闭。
注意:因为包不会在统一时间间隔内到达,每秒钟间隔间如果没有流量会影响风暴控制。
交换机持续监视端口的流量,而且当利用级别降到门限以下,这种被丢弃类型的流量,又会被再次转发。
你可以使用storm-control接口命令来设定门限值给每一种类型的流量。
默认的风暴控制配置:默认地,单播组播广播的风暴控制都是在交换机上关闭的,意味着:压制级别都是100%。
开启风暴控制:你在接口开启风暴控制,并输入总可用带宽的百分比来确定你要使用给该种流量;输入100%会允许所有流量。然而,因为硬件的限制以及包大小的不同的会导致偏差,门限值百分比是一个近似值。
注意:风暴控制仅支持在物理端口下使用;它不支持以太通道下使用,尽管能敲进去。
以下例子在f0/17下把组播风暴级别限制在70.5%
Switch#configure terminal
Switch(config)#interface fastethernet0/17
Switch(config-if)#storm-control multicast level70.5//限制组播类型的包
Switch(config-if)#end
Switch#show storm-control fastethernet0/17multicast
Interface Filter State Level Current
------------------------------------
Fa0/17Forwarding70.50%0.00%
这个是关闭风暴控制
Switch#configure terminal
Switch(config)#interface fastethernet0/17
Switch(config-if)#no storm-control multicast level
Switch(config-if)#end
Switch#show storm-control fastethernet0/17multicast
Interface Filter State Level Current
------------------------------------
CISCO3550-QOS的-接口限速
Building configuration...
Current configuration:3123bytes
version12.1
no service pad
service timestamps debug uptime
service timestamps log datetime localtime
no service password-encryption
hostname shangwu
enable secret5$1$PmhU$dlsphRGumA1simUEIA87j0 enable password
ip subnet-zero
mls qos
class-map match-all user1-up
match access-group10
class-map match-all user1-down
match access-group100
policy-map user1-up
class user1-up
police800000800000exceed-action drop
trust dscp
spanning-tree extend system-id
interface FastEthernet0/1
no ip address
interface FastEthernet0/2 no ip address
duplex full
speed100
interface FastEthernet0/3 no ip address
duplex full
speed100
interface FastEthernet0/4 no ip address
duplex full
speed100
interface FastEthernet0/5 no ip address
duplex full
speed100
interface FastEthernet0/6 no ip address
duplex full
speed100
interface FastEthernet0/7
speed100
interface FastEthernet0/8 no ip address
duplex full
speed100
interface FastEthernet0/9 no ip address
duplex full
speed100
interface FastEthernet0/10 no ip address
duplex full
speed100
interface FastEthernet0/11 no ip address
duplex full
speed100
interface FastEthernet0/12 no ip address
duplex full
speed100
service-policy input user1-up interface FastEthernet0/14 no ip address
duplex full
speed100
service-policy input user1-up interface FastEthernet0/15 no ip address
duplex full
speed100
service-policy input user1-up interface FastEthernet0/16 no ip address
duplex full
speed100
service-policy input user1-up interface FastEthernet0/17 no ip address
duplex full
speed100
service-policy input user1-up
duplex full
speed100
service-policy input user1-up interface FastEthernet0/19 no ip address
duplex full
speed100
service-policy input user1-up interface FastEthernet0/20 no ip address
duplex full
speed100
service-policy input user1-up interface FastEthernet0/21 no ip address
duplex full
service-policy input user1-up interface FastEthernet0/22 no ip address
duplex full
speed100
interface FastEthernet0/23
no ip address
duplex full
speed100
service-policy input user1-up
interface FastEthernet0/24
description wan interface
switchport mode access
no ip address
duplex full
speed100
interface GigabitEthernet0/1
no ip address
interface GigabitEthernet0/2
no ip address
interface Vlan1
ip address********255.255.255.0
ip default-gateway********
ip classless
ip http server
logging trap debugging
logging source-interface FastEthernet0/24
access-list10permit*********.00.0.0.255
access-list100permit ip any********.00.0.0.255
line con0
exec-timeout00
line vty04
password
login
line vty515
password
login
end
交换机的主机名、进入enable模式的密码、远程登陆的用户名和密码及设置、管理vlan的IP地址、交换机的默认网关、交换机的端口、SNMP服务、交换机时间设置等。这些和之前的2950交换机都是一样的,2960交换机和2950相比增加了限速等功能,由于今后客户新上架除了签署了流量合同的其他都要在交换机的端口上做限速。
首先也是十分重要的一点就是,在交换机的配置没有完成前,特别是VTP模式的配置(一般情况下VTP的初始模式因配置为transparent模式)没有完成前禁止将交换机接入网络,以免使网络中的VLAN 信息发生改变,因当使用console线对其进行配置。
在刚开始配置2950的时候由于还没有设置密码,处于安全方面的考虑不要将其接入网络,因使用console口对其进行配置。交换机刚加电启动时所有的端口会进行自检,开始时每个端口上的指示灯会呈琥珀色经过一段时间后熄灭。系统的指示等默认情况下会亮在SYST和STAT两个灯上。
交换机启动后使用console线对其进行设置。Console线使用的是串行接口,串行口与电脑的串行口相连(如电脑没有串行口可以使用转接器连接),RJ-45的接头和交换机的console口相连。线连好后在windows上点击开始→程序→附件→通讯→超级终端,在跳出新建连接对话框后在名称一栏中填入想要新建的连接名称,然后确定。接着所连接的COM口,在COM1属性里波特率选择“9600”,数据位选择“8”,
奇偶效验选择“无”,停止位选择“1”,流量控制选择“无”;或直接点击“还原默认值”,确定进入2950配置界面。
2950如第一次启动会出现对话配置模式选项,选择yes进入对话配置模式,选择no进入CLI命令行界面。以下配置都在CLI模式下进行。
在CLI模式下交换机显示:switch>
在此输入命令switch>用户模式
switch>enable进入特权模式
switch#configure terminal进入配置模式
switch(config)#配置模式
设置主机名switch(config)#hostname主机名一般情况下主机名的设置规则是switch后面跟交换机编号,如switch20、switch21等
设置enable密码switch(config)#enable secret密码设置密码时使用secret命令,因为它比password命令有更好的安全性,密码用Password Agent软件随机生成12位包含数字和大小写字母的密码
设置远程登陆的switch(config)#username用户名privilege权限secret密码
用户名、权限和密码在设置权限参数时一般填0(最低权限),用户名统一为netmaster,密码用Password Agent软件随机生成12位包含数字和大小写字母的密码
对所设置的密码switch(config)#service password-encryption进行加密
设置管理vlan和switch(config)#interface vlan1进入管理vlan的配置
默认网关switch(config-if)#ip address IP地址子网掩码设置管理vlan的IP,远程登陆使用此IP
switch(config-if)#no shutdown启用管理vlan
switch(config-if)#exit退出管理vlan的配置
switch(config)#ip default-gateway IP地址设置默认网关
设置交换机端口switch(config)#interface FastEthernet0/1进入交换机的1号端口
switch(config-if)#description uplink port对端口进行描述,默认时交换机1号口为上连口
switch(config-if)#switchport mode trunk将上连口设为trunk模式
switch(config-if)#speed100设置端口速率
switch(config-if)#duplex full端口设为全双工模式
switch(config-if)interface range fastEthernet0/2-24
进入端口2至端口24的配置
switch(config-if-range)#shutdown关闭这些端口,到使用时再打开设置SNMP服务switch(config)#snmp-server community字符串LgB96G0o RO
命令允许读访问到任何提交community string为字符串的软件,字符串设置要符合长度8位以上、需包含大小写字母和数字
关闭http服务switch(config)#no ip http server由于开启http服务在全全上存在隐患,因关闭
设置vty switch(config)#line vty04设置telnet为0至4共5条线路
switch24(config-line)#login local使系统在远程登录时使用本地设置的用户名和密码进行验证
设置timestamps switch(config)#service timestamps debug datetime
switch(config)#service timestamps log datetime默认时debug/log为uptime,改为datetime
设置VTP模式switch#vlan database进入VTP的设置
switch(vlan)#vtp transparent将VTP模式设置为transparent模式设置交换机时间switch#clock set hh:mm:ss
保存交换机的设置switch#copy running-config startup-config
查看交换机设置switch#show running-config查看交换机的配置
端口流量的限制
交换机端口流量的限制是用policy-map来实现的。
switch(config)#ip access-list standard name//建立标准的命名访问控制列表,name为ACL的名称
Switch(config-std-nacl)#permit any//匹配任何ip
Switch(config)#class-map name//设置QoS Class Map
Switch(config-cmap)#match access-group name name//绑定ACL列表
Switch(config)#policy-map name//设置策略名称
Switch(config-pmap)#class name//绑定class-map
Switch(config-pmap-c)#police3000000100000exceed-action drop定义策略正常速率为每秒3Mbit,允许超出的范围是100KByte,超出范围的数据包就drop
Switch(config)#interface range fastEthernet0/1–24//进入1-24端口,默认交换机除了上联口外都要做限速
Switch(config-if)#service-policy input name//在端口上进的方向绑定策略
Switch(config)#mls qos//启用mls qos使策略生效
端口绑定MAC地址
进入配置模式后用以下命令绑定:
Switch(config-if)switchport port-security mac-address MAC(主机的MAC地址)
解除绑定
Switch(config-if)no switchport port-security mac-address MAC(主机的MAC地址)
二层交换机如何限速?
使用cisco2950交换机,每个端口都是二层接入,如何限速?
使用service-policy可以进行端口限速:
可以先定义class,然后
Switch(config)#policy-map policy1
Switch(config-pmap)#class class1
Switch(config-pmap-c)#police100000065536exceed-action drop
然后在接口下配置:
Switch(config)#interface gigabitethernet0/17
Switch(config-if)#service-policy input plcmap1
可以限速,但是不精确。。。。。。
给个6500上的限速例子:
Mls qos aggregate-policer test50000000100000conform-action transmit exceed-action drop Mls qos
class-map match-any test_limite
match access-group name test_addr
policy-map rate-limit-uplink
police aggregate test
ip access-list extended test_addr
permit ip any x.x.x.x0.0.0.255
inter g0/1
service-policy input rate-limit-uplink
总结:Cisco交换机端口限速常用配置,以前端口限速的工作都是由上级部门来做,最近由于分公司自己的内部客户需求,我们要为其提供50M的带宽.为此我们可是煞费苦心作了两天的测试,先来说说我们测试的设备连接情况:
思科3560端口0/47(模拟用户)——————思科6509端口0/1、0/2(模拟局端,两条路有上联,热备)。
测试方法在3560及6509上分别起ftp进行测速
重点来了,来说说6509上的命令吧:
mls qos aggregate-policer test50000000100000conform-action transmit exceed-action drop
mls qos
class-map match-any test_limite
match access-group name test_addr
policy-map rate-limit-uplink
class test_limite
police aggregate test
ip access-list extended test_addr(因为上下行都引用策略一样因此不单独做acl)
permit ip any x.x.x.x0.0.0.3(分配给用户的互联网地址段A)
permit ip x.x.x.x0.0.0.3any
permit ip any x.x.x.x0.0.0.3(分配给用户的互联网地址段B)
permit ip x.x.x.x0.0.0.3any
inter f0/1
ip addre x.x.x.x255.255.255.252
service-policy input test_uplink限制上传
inter f0/2
ip addre x.x.x.x255.255.255.252
service-policy input test_uplink限制上传
inter g0/47
service-policy input rate-limit-uplink限制下载
经过测试,这个方案成功了!有几点需要解释一下,因为35和65只有在input方向才能引用策略,所以同时对上行和下载作限速需要在上联和下载两方向的端口上做,其次,我们中间有很多弯路,说来给大家提个醒,开始我们用的测试设备性能很低,所以始终测试不出理想的结果,很泄气,无意中拿了最好的一台电脑去测试,结果居然出人意料,后来又找了一台高性能设备进行测试,结果非常理想,在此提醒大家,低性能的设备在测试高带宽的时候要特别注意。
华为的2层交换机,是直接进端口后,用line-rate对上下行进行限速,不过好像是要双向做
下面是偶看到的你试试看
access-list2permit any
mls qos
class-map match-all input-class
match access-group2
class-map match-all output-class
match ip dscp0
policy-map output-policy-2M
police2000000200000exceed-action drop policy-map input-policy-2M
class input-class
police2000000200000exceed-action drop policy-map output-policy-5M
class output-class
police5000000500000exceed-action drop policy-map input-policy-5M
class input-class
police5000000500000exceed-action drop policy-map output-policy-10M
class output-class
police100000001000000exceed-action drop policy-map input-policy-10M
class input-class
police100000001000000exceed-action drop policy-map output-policy-20M
class output-class
police200000001000000exceed-action drop policy-map input-policy-20M
class input-class
police200000001000000exceed-action drop
service-policy input input-policy-5M
service-policy output output-policy-5M
系列智能以太网交换机
Cisco Catalyst2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列,提供桌面快速以太网和千兆以太网连接,可为入门级企业、中型市场和分支机构网络提供增强LAN服务。Catalyst2960系列具有集成安全特性,包括网络准入控制(NAC)、高级服务质量(QoS)和永续性,可为网络边缘提供智能服务。
Cisco Catalyst2960系列提供:为网络边缘提供了智能特性,如先进的访问控制列表(ACL)和增强安全特性双介质上行链路端口提供了千兆以太网上行链路灵活性,可以使用铜缆或光纤上行链路端口—每个介质上行链路端口都有一个10/100/1000以太网端口和一个小型可插拔(SFP)千兆以太网端口,在使用时其中一个端口激活,但不能同时使用这两个端口。通过高级QoS、精确速率限制、ACL和组播服务,实现了网络控制和带宽优化。通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制,实现了网络安全性,通过思科网络助理,简化了网络配置、升级和故障诊断,使用Smartports自动配置特定应用
Cisco Catalyst2960-24TT:24个10/100以太网端口和2个10/100/1000固定以太网上行链路端口;1机架单元(RU)
Cisco Catalyst2960-48TT:48个10/100以太网端口和2个10/100/1000固定以太网上行链路端口;1RU
Cisco Catalyst2960-24TC:24个10/100以太网端口和2个双介质上行链路端口;1RU
Cisco Catalyst2960-48TC:48个10/100以太网端口和2个双介质上行链路端口;1RU
Cisco Catalyst2960G-24TC:20个10/100/1000以太网端口,其中4个为双介质端口;1RU
CiscoCatalyst2960系列软件镜像提供了一系列丰富的智能服务,包括高级QoS、速率限制和ACL。SFP千兆以太网端口可安装多种SFP收发器,包括Cisco1000BASE-SX、1000BASE-LX、1000BASE-BX、1000BASE-ZX、100BASE-FX、100BASE-LX10、100BASE-BX和粗波分多路复用(CWDM)SFP收发器。
高级QoS:
实验四 交换机端口安全技术
交换机端口安全技术 24.1 实验内容与目标 完成本实验,应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议,使接入交换机的PC 经
过认证后才能访问网络资源。通过本实验,掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一:建立物理连接并初始化交换机配置。 按实验组网图进行物理连接,并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二:检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后,在PCA上用ping命令来测试到PCB的互通性,其结果是。 步骤三:配置802.1x协议。 实现在交换机SWA上启动802.1x协议,过程如下: 首先需要分别在和开启802.1x认证功能,在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户,用户名为abcde,密码为 明文格式的12345,该用户的服务类型server-type是,在如下的空格中完成该本地用户的配置命令。 步骤四:802.1x验证。 配置完成后,再次在PCA上用ping命令来测试到PCB的互通性,其结果是。 导致如上结果的原因是交换机上开启了802.1x认证,需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机,本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标,在弹出的窗口中双击“网络连接”图标,在弹出的窗口中右击“本地连接”图标,执行“属性”命令,如实验图24-2所示。 再选择“验证”选项卡,并选中“启用此网络的IEEE802.1x验证”复选框,如实验图24-3所示,然后单击“确定”按钮,保存退
交换机三种端口模式Access Hybrid和Trunk的理解
交换机三种端口模式Access Hybrid和Trunk的理解 TRUNK是端口汇聚的意思,允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量,大幅度提供整个网络能力。VLAN TRUNK一般是你设置了多个VLAN后,想通过一个端口传输多个VLAN,这个后需要把该端口设置为TRUNK了。 在技术领域中把TRUNK翻译为中文是“主干、干线、中继线、长途线” ,不过一般不翻译,直接用原文。而且这个词在不同场合也有不同的解释: 1、在网络的分层结构和宽带的合理分配方面,TRUNK被解释为“端口汇聚”,是带宽扩展和链路备份的一个重要途径。TRUNK把多个物理端口捆绑在一起当作一个逻辑端口使用,可以把多组端口的宽带叠加起来使用。TRUNK技术可以实现TRUNK内部多条链路互为备份的功能,即当一条链路出现故障时,不影响其他链路的工作,同时多链路之间还能实现流量均衡,就像我们熟悉的打印机池和MODEM池一样。 2、在电信网络的语音级的线路中,Trunk指“主干网络、电话干线”,即两个交换局或交换机之间的连接电路或信道,它能够在两端之间进行转接,并提供必要的信令和终端设备。 3、但是在最普遍的路由与交换领域,VLAN的端口聚合也有的叫TRUNK,不过大多数都叫TRUNKING ,如CISCO公司。所谓的TRUNKING是用来在不同的交换机之间进行连接,以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的端口就称为TRUNK端口。与一般的交换机的级联不同,TRUNKING是基于OSI第二层数据链路层(DataLinkLayer)TRUNKING技术,如果你在2个交换机上分别划分了多个VLAN(VLAN也是基于Layer2的),那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通,就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。那么如果交换机上划了10个VLAN 就需要分别连10条线作级联,端口效率就太低了。当交换机支持TRUNKING的时候,事情就简单了,只需要2个交换机之间有一条级联线,并将对应的端口设置为Trunk,这条线路就可以承载交换机上所有VLAN的信息。这样的话,就算交换机上设了上百个个VLAN也只用1个端口就解决了。 当一个VLAN跨过不同的交换机时,在同一 VLAN上但是却是在不同的交换机上的计算机进行通讯时需要使用Trunk。Trunk技术使得一条物理线路可以传送多个VLAN的数据。交换机从属于某一VLAN (例如VLAN 3)的端口接收到数据,在Trunk链路上进行传输前,会加上一个标记,表明该数据是VLAN 3的;到了对方交换机,交换机会把该标记去掉,只发送到属于VLAN 3的端口。 如果是不同台的交换机上相同id的vlan要相互通信,那么可以通过共享的trunk端口就可以实现,如果是同一台上不同id的vlan/不同台不同id的vlan它们之间要相互通信,需要通过第三方的路由来实现。 untag 就是普通的ethernet报文,普通PC机的网卡是可以识别这样的报文进行通讯;tag报文结构的变化是在源mac地址和目的mac地址之后,加上了 4bytes的vlan信息,也就是vlan tag头;一般来说这样的报文普通PC机的网卡是不能识别的下图说明了802.1Q封装tag报文帧结构带802.1Q 的帧是在标准以太网帧上插入了4个字节的标识。其中包含:2个字节的协议标识符(TPID),当前置0x8100的固定值,表明该帧带有802.1Q的标记信息。2个字节的标记控制信息(TCI),包含了三个域。Priority域,占3bits,表示报文的优先级,取值0到7,7为最高优先级,0为最低优先
交换机端口安全性
交换机端口安全性 【实验名称】 交换机端口安全性 【实验目的】 理解什么是交换机的端口安全性,如何配置端口安全性。 【背景描述】 从网络管理的安全性考虑,某企业网络管理员想对交换机上端口的访问权限做些限制,通过限制允许访问交换机某个端口的MAC地址以及IP地址(可选)来实现严格控制对该端口的输入。现在要通过在交换机上做适当配置来实现这一目标。 本实验以一台S2126G交换机为例,交换机名为SwitchA。一台PC机通过串口(Com)连接到交换机的控制(Console)端口,通过网卡(NIC)连接到交换机的fastethernet 0/1端口。假设该PC机的IP地址为192.168.0.137 ,网络掩码为255.255.255.0 ,MAC地址为00-E0-98-23-95-26,为了验证实验的效果,另准备一台PC机,其IP地址设为192.168.0.150 ,网络掩码为255.255.255.0 。 【实现功能】 通过在交换机上设置端口安全性来实现对网络访问的控制。 【实验拓扑】 F0/1Console NIC Com PC 【实验设备】 S2126G(1台) 【实验步骤】 第一步:在交换机上配置管理接口IP地址 SwitchA(config)# interface vlan 1 !进入交换机管理接口配置模式 SwitchA(config-if)# ip address 192.168.0.138 255.255.255.0 !配置交换机管理接口IP地址
SwitchA(config-if))# no shutdown !开启交换机管理接口 验证测试:验证交换机管理IP地址已经配置和开启,PC机与交换机有网络连通性SwitchA#show ip interface !验证交换机管理IP地址已经配置,管理接口已开启Interface : VL1 Description : Vlan 1 OperStatus : up ManagementStatus : Enabled Primary Internet address: 192.168.0.138/24 Broadcast address : 255.255.255.255 PhysAddress : 00d0.f8ef.9d08 SwitchA#ping 192.168.0.137 !验证交换机与PC机具有网络连通性 Sending 5, 100-byte ICMP Echos to 192.168.0.137, timeout is 2000 milliseconds. !!!!! Success rate is 100 percent (5/5) Minimum = 1ms Maximum = 3ms, Average = 1ms 第二步:打开交换机上fastethernet 0/1接口的端口安全功能 SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)#switchport mode access !配置fastethernet 0/1接口为access模式SwitchA(config-if)#switchport port-security !在fastethernet 0/1接口上打开端口安全功能 验证测试:验证已开启fastethernet 0/1接口的端口安全功能 SwitchA#show port-security interface fastethernet 0/1 Interface : Fa0/1 Port Security : Enabled Port status : up Violation mode : Protect Maximum MAC Addresses : 128 Total MAC Addresses : 0 Configured MAC Addresses : 0 Aging time : 0 mins Secure static address aging : Disabled 第三步:配置安全端口上的安全地址(可选) SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)# switchport port-security mac-address 00e0.9823.9526 ip-address 192.168.0.137 ! 手工配置接口上的安全地址 验证测试:验证已配置了安全地址 SwitchA#show port-security address
交换机的端口安全配置
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
H3C华为交换机限速方法
H3C华为交换机限速方法 H3C华为交换机限速有以下方法: line-rate(lr) speed traffic-limit qos car H3C华为交换机端口限速 二层较为准确(如:lr,speed),三层不准确(如:traffic-linit,qos car) lr : E050:(可信度100%) [Quidway-Ethernet0/1]line-rate ? INTEGER<1-100> Target rate(Mbps S5500:(可信度100%) [S5500-GigabitEthernet1/0/1]qos lr outbound cir ? INTEGER<64-1000000> Committed Information Rate(kbps), it must be a multiple of 64 speed : (可信度100%) [S5500-GigabitEthernet1/0/1]speed ? 10 Specify speed of current port 10Mb/s 100 Specify speed of current port 100Mb/s 1000 Specify speed of current port 1000Mb/s auto Enable port's speed negotiation automatically traffic-limit : (可信度50%,当设定50M时,带宽为7M左右;当设定10M时,带宽为1M左右) [Quidway E050-Ethernet0/1]traffic-limit inbound ip-group 2000 ? INTEGER<1-100> Target rate(Mbps) link-group Apply the link-based acl rule Specify the ID of acl rule qos car :(s5500)(可信度50%,当设定9.6M时,带宽为5M左右) acl number 2000 rule 0 permit source 10.0.0.0 0.0.0.255 traffic classifier liukong operator and if-match acl 2000 traffic behavior liukong car cir 9600 cbs 200000 ebs 4000 green pass red discard yellow pass qos policy liukong classifier liukong behavior liukong interface GigabitEthernet1/0/1 qos apply policy liukong inbound 补充说明:交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选!
华为交换机.思科交换机限制带宽
交换机命令: 华为交换机:
Switch(config)#interface fastEthernet 0/22 //进入端口 Switch(config-if)#storm-control unicast level 2 //限制单播风暴为 2%,如果100Mb 带宽则为2Mb Switch(config-if)#exit //退出端口管理 Switch(config)#exit //退出配置模式 Switch#write //保存 ------------------------------------------------------------------------------------------------------ 思科交换机实例操作: PC>telnet 10.0.0.60 Trying 10.0.0.60 ...Open User Access Verification Password: Switch>en Password: Switch#sh ru Building configuration...
华为交换机安全防范技术
在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。 1.广播风暴抑制比 可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。当百分比为100时,表示不对该端口进行广播风暴抑制。缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。在以太网端口视图下进行下列配置: broadcast-suppression ratio 2.为VLAN指定广播风暴抑制比 同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。 MAC地址控制技术 以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式
交换机下的局域网内如何限速
交换机下的局域网内如何限速 局域网内为何要进行限速,因为如果不加以限制的话,即使增加再多的互联网出口带宽也会被局域网内各种各样的网络应用消耗掉,而限速的目的就是限制对于网络的滥用,从而使出口带宽维持在一个比较合理的水平,从而达到既保证网内用户可以正常的使用网络,又节省单位的互联网出口费用开支,所以说网络限速是一个网管员必备的素质。本文从网络限速的思路和具体实现方法入手,说明一下具体的实施办法。 一、限速思路 (一)能够进行限速的前提 在进行网络限速前,实际上我们先想做局域网内的流量监控,只有对局域网中各台交换机的端口流量(甚至是各类网络应用)有一个全面的了解,才能够制定出限速的标准以及具体实施方案。比如我们就利用MRTG软件针对单位中的核心交换机为CISCO3550和下挂的CISCO29系列交换机作了实时的流量监控(如图1所示)。 图1 通过MRTG监控CISCO交换机的端口流量 对每一个端口(相对应一个或一组用户)的用量情况都有了一个清晰的了解,这样通过观察,得出哪些用户(即哪个端口)的流量大,对带宽的占用多,就可以着手进行限速方案的制定了。 (二)限制,而不是拒绝 我们进行网络限速,是限制局域网用户对于网络的滥用,而不是不让用户使用网络,因此我们不论是从端口还是从应用层面做限速,就要遵循这个思路。 (三)目标 目标是什么,最终目标是使现有的带宽可以满足目前局域网的带宽需求,具体到我们单位,我们租用了100M互联网出口,局域网内有几十个单位的用户,这几十个单位有免费用户,也有付费用户。在进行网络限速时我们当然应该优先保证付费用户的带宽,当然免费用户中有一部分用户也要特殊照顾。在对某个端口(对应一个单位用户)实际限速操作时,我们先通过MRTG生成的流量图了解这个单位的日常带宽使用情况,限速后削去明显高出的波峰即可(即类似歌手大奖赛时出掉一个最高分),然后将带宽维持在一个以前统计出的平均值上即可,这样设置后被限速的用户基本上没有感觉(网速不会明显变慢),但是我们的目的也达到了。 (四)要至上而下,制定缜密的限速规划 最后要强调一点,网络限速可以从网络接入的底层实施,但是一定要从网络的顶层规划,这样做一是可以保证限速的效果,二来也将可能出现的网络故障限制在一个可控的范围内,另外关于交换机配置存盘的时机也很有讲究,我们一般是这样做的,进行限速操作前先存一次交换机的配置(保留好当前正常工作状态),限速操作完成,进行观察,确认对网络没有影响后,等一两天以后再执行保存交换机配置的操作(等足够长的时间,确认没有产生网络故障再存盘),这一措施是非常有效的,及时的故障处理措施保证了我们进行网络限速期间没有引起新的网络故障,保证了网络的正常运行。
思科交换机端口安全(Port-Security)
思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全(Port-Security) 1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用: a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获 得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。 4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法: 针对第3条的两种应用,分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址: Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包, 在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。 b、接受某特定计算机mac地址: Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky
交换机端口隔离及端口安全
实验二 交换机端口隔离及端口安全 背景描述: 假设你所用的交换机是宽带小区城域网中的1台楼道交换机,住户PC1连接在交换机的0/1口,住户PC2连接在交换机的0/2口。住户不希望他们之间能够相互访问,现要实现各家各户的端口隔离。 一、:实验名称:交换机端口隔离 二、实验目的: 1. 熟练掌握网络互联设备-交换机的基本配置方法 2. 理解和掌握Port Vlan 的配置方法 三、实验设备:每一实验小组提供如下实验设备 1、 实验台设备:计算机两台PC1和PC2(或者PC4和PC5) 2、 实验机柜设备: S2126(或者S3550)交换机一台 3、 实验工具及附件:网线测试仪一台 跳线若干 四、实验原理及要求: 1、Vlan(virual laocal area network,虚拟局域网),是指在一个物理网段内,进行逻辑的划分,划分成若干个虚拟局域网。其最大的特性是不受物理位置的限制,可以进行灵活的划分。VLAN 具备一个物理网段所具备的特性。相同的VLAN 内的主机可以相互直接访问,不同的VLAN 间的主机之间互相访问必须经由路由设备进行转发,广播包只可以在本VLAN 内进行传播,不能传输到其他VLAN 中。 2、PORT VLAN 是实现VLAN 的方式之一,PORT VLAN 是利用交换机的端口进行VLAN 的划分,一个普通端口只能属于一个VLAN 。 五、实验注意事项及要求: 1、 实验中严禁在设备端口上随意插拔线缆,如果确实需要应向老师说明征求许可。 2、 以电子文档形式提交实验报告。 3、 本次实验结果保留:是 √ 否 4、 将交换机的配置文档、验证计算机的TCP/IP 配置信息保存。 5、 将交换机的配置信息以图片的形式保存到实验报告中。 6、 六、实验用拓扑图 注意:实验时按照拓扑图进行网络的连接,注意主机和交换机连接的端口 七、实验具体步骤及实验结果记录: 1、 实现两台主机的互联,确保在未划分VLAN 前两台PC 是可以通讯的(即F0/1和F0/2间是可以通讯的)。 实验结果记录:要求将PC1和pc2的IP 设置和连通性测试的结果记录下来。 2、 创建VLAN 1)、启用“本地连接”网卡,正确设置IP 地址及默认网关,打开设备配置界面,完成以下命令行操作: S2126(S3550) F0/1 NIC2) NIC2 F0/2 Vlan 10 Vlan 20
H3C交换机端口绑定与端口安全
H3C端口绑定与端口安全 端口安全: 1.启用端口安全功能 [H3C]port-security enable 2.配置端口允许接入的最大MAC地址数 [H3C-Ethernet1/0/3]port-security max-mac-count count-value 缺省情况下,最大数不受限制为0 3.配置端口安全模式 [H3C-Ethernet1/0/3]port-security port-mode { autolearn |noRestriction… } 4.手动添加Secure MAC地址表项 [H3C-Ethernet1/0/3] mac-address security mac-address vlan vlan-id 5.配置Intrusion Protection(Intrusion Protection被触发后,设置交换机采取的动作) [H3C-Ethernet1/0/3]port-security intrusion-mode { blockmac | disableport | disableport -temporarily } 验证命令: display port-security [ interface interface-list ] 显示端口安全配置的相关信息display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] 显示Secure MAC地址的配置信息
端口+IP+MAC绑定 方法一: [H3C]am user-bind mac-addr B888-E37B-CE2C ip-addr 192、168、1、106 interface Ethernet 1/0/3 方法二: [H3C-Ethernet1/0/3] am user-bind mac-addr B888-E37B-CE2C ip-addr 192、168、1、106 验证命令: [H3C]display am user-bind 显示端口绑定的配置信息 端口+IP绑定 [H3C-Ethernet1/0/3] am user-bind ip-addr 192、168、1、106 注: 交换机只要接收一个3层表项,交换机使用动态ARP产生一条arp条目。选用交换机时应该注意交换机所支持的最大ARP表项的数目。
交换机端口安全
【实训目的】 (1)掌握交换机端口安全功能,控制用户的安全接入 (2)掌握交换机的端口配置的连接数 (3)掌握如何针对PC1主机的接口进行IP+MAC地址绑定 【实训技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入;交换机端口安全主要有两种类型:一是限制交换机端口的最大连接数;二是针对交换机端口进行MAC地址、IP地址的绑定; 配置交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: (1)protect 当安全地址个数满后,安全端口将丢弃未知地址的包; (2)restrict当违例产生时,将发送一个trap通知; (3)shutdown当违例产生时,将关闭端口并发送一个trap通知; 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来; 【实训背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.23/24,主机MAC地址是0090.210E.55A0。该主机连接在1台2126G上。 【实训设备】 S2126G(1台),PC(2台)、直连线(2条) 【实训内容】 (1)按照拓扑进行网络连接 (2)配置交换机端口最大连接数限制 (3)配置交换机端口地址绑定 【实训拓扑图】 (1)配置交换机端口的最大连接数限制 Switch#configure terminal
实验2:交换机端口安全
12.3 实验2:交换机端口安全 1.实验目的 通过本实验,读者可以掌握如下技能: ①理解交换机的CAM表; ②理解交换机的端口安全; ③配置交换的端口安全特性。 2.实验拓扑 实验拓扑图如图12-3所示。 图12-3 实验2拓扑图
3.实验步骤 交换机端口安全特性可以让我们配置交换机端口,使得当具有非法MAC地址的设备接入时,交换机会自动关闭接口或者拒绝非法设备接入,也可以限制某个端口上最大的MAC地址数。在这里限制f0/接口只允许R1接入。 (1)步骤1:检查R1的g0/0接口的MAC地址 R1(config)#int g0/0 R1(config-if)#no shutdown R1(config-if)#ip address 172.16.0.101 255.255.0.0 R1#show int g0/0 GigabitEthernet0/0 is up ,line protocol is up Hardware is MV96340 Ethernet,address is 0019.5535.b828(bia 0019.5535.b828) //这里可以看到g0/0接口的Mac地址,记下它 Internet address is 172.16.0.101/16 MTU 1500 bytes,BW 100000 Kbit,DL Y 100 usec, (此处省略) (2)步骤2:配置交换端口安全 S1(config)#int f0/1 S1(config-if)#shutdown S1(config-if)#switch mode access //以上命令把端口改为访问模式,即用来接入计算机,在下一章将详细介绍该命令的含义 S1(config-if)#switch port-security //以上命令是打开交换机的端口安全功能 S1(confg-if)#switch port-security maximum 1 //以上命令只允许该端口下的MAC条目最大数量为1,即只允许一个设备接入 S1(config-if)#switch port-security violation shutdown “switch port-security violation{protect|shutdown|restrict}”//命令含义如下: ●protect;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算 机将无法接入,而原有的计算机不受影响; ●shutdown;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则该接口将会 被关闭,则这个新的计算机和原有的计算机都无法接入,需要管理员使用”no shutdown” 命令重新打开; ●restrcit;当新的计算机接入时,如果该接口的MAC条目超过最大数量,则这个新的计算 机可以接入,然而交换机将向发送警告信息。 S1(config-if)#switchport port-security mac-address 0019.5535.b828 //允许R1路由器从f0/1接口接入 S1(confgi-if)#no shutdown
思科交换机端口限速总结
交换机端口限速总结 可限速的交换机一般都在三层或者以上的交换机,自2008年之后新出的交换机型号二层设备就可以做到QOS限速,精确度达到1Mbps,例如Cisco2960系列交换机。在这之后的大多数国内的标准二层交换机都可以做多限速,精确度基本能达到1Mbps,比如中兴的标准二层,H3C的标准二层都可以做到。老式的CISCO标准二层交换机例如2950类的交换也可以做到限速,但是精确度只能达到10Mbps。2950G 的交换和2950为EI型的交换没有太大的限速区别,因为限速和IOS有关系,2950系列的交换IOS版本一般都是在9.0左右,最新的2960系列交换机IOS版本在12.2左右,高版本的IOS提供了更强的系统功能。 下面针对一些限速的方法进行总结: PC1接在Cisco3550F0/1上,速率为1M; PC1接在Cisco3550F0/2上,速率为2M; Cisco3550的G0/1为出口。 PC是直接接在三层交换机端口的,意思就是说限制的是三层交换机端口的上下行流量控制,同理,如果三层交换机端口不是接PC,而是一个二层交换机,那么可以对下层的设备进行上联限速。 注:每个接口每个方向只支持一个策略;一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义。在同一个策略(在本例子当中为policy-map user-down),而PC不同速率的区分是在Class-map分别定义。 1、在交换机上启动QOS Switch(config)#mls qos//在交换机上启动QOS 2、分别定义PC1(10.10.1.1)和PC2(10.10.2.1)访问控制列表 Switch(config)#access-list10permit10.10.1.00.0.0.255//控制pc1上行流量 Switch(config)#access-list100permit any10.10.1.00.0.0.255//控制pc1下行流量 Switch(config)#access-list11permit10.10.2.00.0.0.255//控制pc2上行流量
交换机端口安全配置实验
1、如图的拓扑 2、配置交换机的 Switch(config)#interface f0/1 Switch(config-if)#switchport mode access 接口设置为access模式 Switch(config-if)#switchport port-security 、//启动安全端口 Switch(config-if)#switchport port-security ? mac-address Secure mac address maximum Max secure addresses violation Security violation mode
交换机端口安全
实验交换机端口安全 一、实验目的和要求 ? 了解交换机的端口安全性的基本知识 ? 掌握如何配置交换机连接的最大安全地址数 ? 掌握如何配置交换机绑定指定的mac地址 二、实验设备 模拟软件:Cisco PacketTracer53_setup_no_tutorials 设备:交换机两台,PC机若干,直连线,交叉线若干。 三、实验内容 1.在交换机上配置端口安全,以及违例的处理方式。 2.两台交换机以交叉线相连,其中主交换机上连接一台PC机,以用来验证链路。次交换机下连接两台PC机。在主交换机上配置最大安全地址数maximum,验证工作组PC数目超过最大安全地址数时,链路不通,以指定的违例处理方式处理。 3.在主交换机上配置绑定固定的mac地址,验证当更换工作组pc机时,链路不通,以指定的违例处理方式处理。 四、实验拓扑 图1 交换机端口连接最大安全地址数
图2 交换机端口绑定指定mac地址 五、背景描述 1.某公司在内部的交换机上配置每个端口可连接的最大安全地址数,可以防止外来用户盗用公司内部网络。 2.公司的主交换机上绑定公司内部主机的mac地址之后,能防止公司外部带有病毒的pc机感染公司内部主机,或者防止人为的恶意破坏,窃取公司内部机密。 六、相关知识 锐捷网络的交换机有端口安全功能,利用端口安全这个特性,可以实现网络接入安全。交换机的端口安全机制是工作在交换机二层端口上的一个安全特性,它主要有以下几个功能: ?只允许特定mac地址的设备接入到网络中。从而防止用户将非法或未授权的设备接入网络。 ?限制端口接入的设备数量,防止用户将过多的设备接入到网络中。 当一个端口被配置成为一个安全端口(启用了端口安全特性)后,交换机将检查从此端口接收到的帧的源mac地址,并检查再此端口配置的最大安全地址数。如果安全地址没有超过配置的最大值,交换机会检查安全地址列表,若此帧的源mac地址没有被包含在安全地址表中,那么交换机将自动学习此mac地址,并将它加入到安全地址表中,标记为安全地址,进行后续转发;若此帧的源mac地址已经存在于安全地址表中,那么交换机将直接对帧进行转发。安全端口的安全地址表既可以通过交换机自动学习,也可以手工配置。 配置安全端口安全存在以下限制。 ?一个安全端口必须是一个Access端口,及连接终端设备的端口,而非Trunk端口。 ?一个安全端口不能是一个聚合端口(Aggregate Port)。 ?一个安全端口不能是SPAN的目的端口。 七、实验步骤 步骤1.画出实验拓扑结构图。 步骤2. 按实验拓扑图1连接设备。并对三台PC机进行IP设置。