迈普公司交换机培训资料PPT资料.ppt
- 文档编号:15073593
- 上传时间:2022-10-27
- 格式:PPT
- 页数:79
- 大小:499.50KB
迈普公司交换机培训资料PPT资料.ppt
《迈普公司交换机培训资料PPT资料.ppt》由会员分享,可在线阅读,更多相关《迈普公司交换机培训资料PPT资料.ppt(79页珍藏版)》请在冰豆网上搜索。
端口配置
(二)端口配置(三)配置端口的带宽限制配置端口的带宽限制可以对交换机的每个端口的接收与发送帧的带宽进行限制。
配置命令bandwidth-limitreceive|transmitbandwidth语法语法描述描述Receive对端口接收帧的带宽进行限制Transmit对端口发送帧的带宽进行限制Bandwidth以为最小单位,最大值为【配置模式】端口配置模式。
【缺省情况】缺省为不使用带宽限制。
端口配置(四)配置风暴控制功能配置风暴控制功能配置命令storm-controldisable|low|high语法语法描述描述Disable禁用风暴控制功能Low设置风暴控制功能为低级别High设置风暴控制功能为高级别【配置模式】端口配置模式。
【缺省情况】缺省的风暴控制为低级别“low”。
端口镜像简介端口镜像简介端口镜像(PortMirroring)是一种非常有用的功能。
可以在镜像端口上利用专用测试仪器或测试软件,用它来监视某个端口的输入/输出的数据。
在MyPowerS3000系列交换机中,任何端口都可以用作被镜像端口。
被镜像端口上接收和发送的包可以被转发到镜像端口。
MyPowerS3000系列交换机允许将多个不同被镜像端口中接收、发送的数据包送往镜像端口。
例如,用户可通过网管配置将端口0/0/7、0/0/8、0/0/9接收的数据包和端口0/0/0发送的数据包镜像至镜像端口0/0/5。
端口镜像(配置)端口镜像(配置)配置命令mirrormonitor-portport-notarget-portport-list|target-portport-list|in|out语法语法描述描述port-no设置镜像端口号。
port-list设置被镜像的端口列表。
in将被镜像端口的输入镜像到镜像端口。
out将被镜像端口的输出镜像到镜像端口。
端口安全配置
(一)端口安全一般应用在接入层。
它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。
端口安全功能将用户的MAC地址、IP地址、VLANID以及PORT号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。
用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和MAX规则,MAC规则又分为三种绑定方式:
MAC绑定,MAC+IP绑定,MAC+VID绑定;
IP规则可以针对某一IP也可以针对一系列IP;
MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。
端口安全配置
(二)MAC绑定:
(config-port-0/0/6)#port-securitypermitmac-address0050.bac3.bebd(config-port-0/0/6)#port-securitydenymac-address0050.bac3.bebdMAC+VID绑定:
(config-port-0/0/6)#port-securitypermitmac-address0050.bac3.bebdvlan-id100(config-port-0/0/6)#port-securitydenymac-address0050.bac3.bebdvlan-id100MAC+IP绑定:
(config-port-0/0/6)#port-securitypermitmac-address0050.bac3.bebdip-address128.255.1.1(config-port-0/0/6)#port-securitydenymac-address0050.bac3.bebdip-address128.255.1.1端口安全配置(三)启动和关闭端口启动和关闭端口Port-security功能功能配置命令port-securityenable|disable语法语法描述描述Enable打开端口的的端口安全功能。
Disable关闭端口的的端口安全功能。
【缺省情况】缺省不启动端口的的端口安全功能。
地址过滤功能简介地址过滤功能简介地址过滤功能具有全全局局性性,作用于整台交换机。
如果某个地址被配置为过滤地址,那么具有该地址的主机将被禁止通过本交换机访问网络。
MyPower系列以太网交换机支持MAC地址过滤和IP地址过滤。
地址过滤功能配置地址过滤功能配置配置命令如下:
(config)#address-filterip-address11.11.11.11【配置模式】全局配置模式。
撤消配置命令为:
(config)#noaddress-filterip-address11.11.11.11|all.【配置模式】全局配置模式。
显示配置命令为:
(config)#showaddress-filterip-address【配置模式】Enable模式,全局配置模式。
端口监控
(一)端口监控功能就是对上交换机CPU的报文进行监控,在底层过滤掉过量的报文,保护交换机免受大量非法报文的攻击。
监控分为端口级和主机级。
当交换机受到攻击时,用户首先启动端口级监控,监控程序按端口对上CPU的报文进行统计,用户从统计数据中发现受攻击的端口,然后在该端口启动主机级监控,并设置各类报文的在采样周期内上CPU数目的上限值。
发起攻击的主机在一个采样周期内超过该上限值的报文,将会在底层被过滤,不会上IP层去路由,也不会写硬件路由表,从而节省了CPU资源及硬件表项资源。
在对发起攻击的主机进行包过滤的同时,其他的主机仍然可以正常通信。
监控程序会将发起攻击的主机的MAC地址记入黑名单(Blacklist),以便网管人员查看。
端口监控
(二)端口监控将报文分为五类:
(1)广播报文(broadcast-packet):
目的MAC地址为全1。
(2)多播报文(multicast-packet):
目的MAC地址的最高字节的最低位位1。
(3)管理报文(admin-packet):
目的IP地址是交换机sw接口的IP地址。
(4)转发报文(forward-packet):
目的IP地址不是交换机sw接口的IP地址,要求在路由之后转发出去的报文。
(5)其他报文(other-packet):
以上四种之外的其他报文。
端口监控(三)monitorhostenable|disable|limitadmin-packet|broadcast-packet|forward-packet|multicast-packet|numbernumber|other-packet|total-packet语法语法描述描述Enable启动主机级监控。
Disable关闭主机级监控。
Limitadmin-packet限制该端口下主机上CPU的管理报文的数目Limitbroadcast-packet限制该端口下主机上CPU的广播报文的数目Limitforward-packet限制该端口下主机上CPU的转发报文的数目Limitmulticast-packet限制该端口下主机上CPU的组播报文的数目,OSPF、EIGRP、BPDU包不在此限制范围内Limitnumbernumber限制该端口下主机数目,用于防止主机以改变源MAC方式进行攻击Limitother-packet限制该端口下主机上CPU的其他类型报文数目Limittotal-packet限制该端口下主机上CPU的报文总数端口监控(四)showmonitorforward-packet-EntryPortTypeCountDropCountAmountDropAmount-10/3Forward3952016952020/2Forward247011040Step2:
通过对比上面的统计信息可以知道port0/3受到了攻击。
在port0/3上启动主机级监控,并将每个主机转发报文在一个周期内上CPU报文的上限值设置为300个。
链路汇聚
(一)链路汇聚(LinkAggregation),是将多个交换机物理链路汇聚在一起,形成一个高带宽的数据传输通道。
交换机将这个传输通道看作一个逻辑上的端口。
在链路汇聚中,要求所有端口的工作方式保持一致。
因此,在对某一个LinkAggregation成员端口进行设置时,其设置结果同样会被作用于这个LinkAggregation的其它成员。
因此,当你需要对链路汇聚中的端口进行设置时,可以仅对某个端口设置即可。
链路汇聚有如下特点:
n灵活增加带宽n链路冗余n负载均衡链路汇聚
(二)link-aggregationnum语法语法描述描述Num设置待配置的链路聚合组,取值范围为18。
【配置模式】全局配置模式、链路汇聚配置模式。
2.7.2.2配置链路汇聚端口配置链路汇聚端口配置命令portport-list语法语法描述描述port-list设置该链路聚合组的端
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 公司 交换机 培训资料