A. 交換機工作原理,mac地址的學習,轉發及過濾
H3 接2個交換機?還是H3有2張網卡?
B. 簡述交換機的學習地址功能和數據轉發過濾功能。
學習地址主要如下:最初,交換機從某一個埠接受到幀數據,然後廣播,專正確的用屬戶接受到數據以後會告訴交換機,然後交換機就可以學習到這個用戶的mac。。數據轉發過濾如下:轉發就是指交換機的存儲轉發功能,過濾主要是指交換機的vlan功能,vlan可以阻止區域網內的廣播擴散,從而減少系統被影響的程度
C. 思科3560交換機 如何設置IP過濾功能
看你的描述,你應該通過抓包,看到了一些數據包的信息。如果單純是 控制廣播的話可以通過以下方式進行控制
storm-control action
shutdown或trap //當檢測到風暴之後對埠處理的方式是err-disable 關閉埠還是產生一條日誌
storm-control broadcast level [開始抑制的百分比] [重新使用的百分比] //當廣播數據流量達到該埠百分多少時認為是storm
storm-control
broadcast level bps [開始抑制的帶寬值] [重新使用的帶寬值] //
當廣播數據流量達到多少bps(即達到多少帶寬)時認為是storm
storm-control
broadcast level pps [開始抑制的每秒報文數] [重新使用的每秒報文數] //
當廣播數據流量達到多少pps(即每秒多少個數據包)時認為是storm
重新使用的參數值可以不配置,如果不配置兩個的值一致。 三個控制選項使用其中一個就可以。
配置示例:
interface GigabitEthernet0/1
storm-control broadcast level 20.00 10.00 //當廣播流量達到埠流量的20%關閉埠,10%開啟埠
storm-controlaction shutdown
通過show storm-control broadcast查看介面廣播控制狀態
SW#show storm-control broadcast
Interface FilterState Upper Lower Current
--------- ------------- ----------- ----------- ----------
Gi0/1 Forwarding 20.00% 10.00% 0.00%
還有一種方式是通過acl進行過濾,根據抓到的數據包分析其特性,比如源和目的IP地址埠等等,編寫acl或者mac acl 然後在相應的介面in方向綁定列表,禁止相應ip或者埠發送數據。
例如禁止10.1.1.1 的 4000埠對外訪問
access-list 101 deny tcp 10.1.1.1 4000 any
access-list 101 permit ip 10.1.1.1 any
然後將列表綁定在相應的介面上面介面。
通過廣播控制可以有效的控制交換機接收到的廣播包,但一般來說,出現大量廣播你應該查看一下相應ip或者主機是否存在問題。解決主機的問題才是根本。
D. alcatel(阿爾卡特)核心交換機怎麼過濾MAC地址
交換機的配套操作手冊中就有拒絕某個MAC地址的實例,遇到問題應該先看手冊哦.:(pdd_13):
在這里舉個簡單例子——比如要在g9/1/1埠處進行過濾,阻止源MAC地址為0011-2233-4455的數據幀,那麼S8500交換機上的操作步驟如下:
system-view
acl number 4000
rule 1 deny ingress 0011-2233-4455 0-0-0
quit
interface GigabitEthernet 9/1/1
flow-template user-defined
packet-filter inbound link-group 4001
E. 華為S3700交換機如何實現埠IP地址過濾
一、IP及MAC地址的採集
1.運行IP修改器,可以設定計算機的IP地址及用戶名(直接可以改成使用者姓名);
2.運行「IP_MACSM-v1.037」MAC地址監視器,獲取每個計算機的IP及MAC地址(導出EXCEL文件);
3.編輯:將IP和MAC地址分別復制到「批量命令」表格中,獲取MAC地址的三段式及arp綁定命令、埠過濾命令。復制到記事本中,MAC地址與IP地址間應有空格。
二、進行綁定及過濾
1.連接三層交換機與電腦,三層交換機埠為:console,電腦連接9針介面;
2.安裝HAP_SecureCRT_5.1.2軟體,輸入名字:Windows;公司:IC;序列號:03-50-006248
許可密鑰:ADPUSB W3DQ5B ZC35EJ 99AG3T ACM47V SAK5W68CD1YZ GJU7JK;發布日期:27-06-2006進行注冊;
3.運行該軟體進行第一次設置:配置文件-快速連接-協議「Serial」-埠「com1」-波特率「9600」-數據位「8」-奇偶校驗「無」-停止位「1」-數據項控制去掉「√」,保存會話。
4.進入軟體按回車鍵,出現<Qidway> 輸入sy尖括弧變為方括弧
(1)查看綁定命令 dispplay arp 顯示S 為靜態(綁定),D為動態;(發現一個問題,如果電腦沒有開機,顯示的ARP列表中就沒有相應的埠號顯示)
(2)綁定命令 art static *.*.*.* H-H-H (說明,*.*.*.* 是IP地址,H-H-H是三段式MAC地址);
(3)過濾命令,S3700不需要進埠,而是直接在命令中輸入埠號及VLAN號。1、過濾命令:user-bind static mac-addr H-H-H IP-addr *.*.*.* interface Eth0/0/15 vlan 5(*.*.*.* 是IP地址,H-H-H是三段式MAC地址,此命令允許該埠下,命令中的IP、MAC的地址通過,Eth0/0/15為埠號,需要按實際填寫,vlan 5為該IP地址所處的VLAN號,需要按實際填寫);
(4)按S3900的操作,至此應該可以完成過濾,但實際情況發現換用其它的IP地址後,過濾過的這台電腦仍然可以上網,需要進埠配置相關的設置。
輸入命令:interface Eth0/0/15,進入15號埠。
繼續輸入命令:arp anti-attack check user-bind enable //檢查MAC地址
arp anti-attack check user-bind alarm enable
ip source check user-bind enable //檢查MAC和IP的對應關系
ip source check user-bind alarm enable
ip source check user-bind alarm threshold 200
(5)如何查看過濾情況,未找到對應的命令,請知道的朋友幫忙補充哦。
(6)如果綁定或是過濾錯誤,按以下方式修改,一、某個IP錯誤綁定 執行 undo arp *.*.*.* 即可(*.*.*.*為綁錯的IP地址) 二、過濾錯誤 1、undo user-bind static mac-addr H-H-H ip-addr *.*.*.* (H-H-H 為MAC地址,*.*.*.* 為IP地址)
(6)注意綁定、過濾後輸入quit退出,再輸入save保存(Y/N)Y.
F. 1.如果某個目的MAC地址不在交換機的轉發/過濾表中,交換機將如何處理幀
答案:有一類卑微的工作是用堅苦卓絕的精神忍受著的,最低陋的事情往往指向最崇高的目標。
G. 思科(CISCO) 5500核心交換機過濾MAC地址命令
你的00-3E-A3-04-F3-E0在交換機里是用003E.A304.F3E0來表示的
你這個MAC地址有問題,標準的是48位的16進製表示。下面的XX是你漏寫的地址符號 你按我下面配置打啊
確定你處於全局配置模式下
switchcisco>en
switchcisco#conf t
switchcisco(config)#mac access-list extended 111
switchcisco(config-ext-macl)#deny host 003E.A304.F3E0 any
switchcisco(config-ext-macl)#per any any
然後再埠上配置
switchcisco(config)#int f0/1 這里就是你要應用到策略的埠,連接INTERNET的埠
switchcisco(config-if)#mac access-group 111 out
事實上只要做個基於IP地址的ACL就可以了,5500可是3層設備
H. 華為三層交換機埠模式下地址過濾入境命令
如果過濾IP就寫ACL篩選 IP,然後應用在介面,
如果過濾篩選MAC地址就ACL中添加IP匹配MAC地址。然後應用在介面。
I. 交換機管理問題(過濾mac地址)
你就是在交換機上設置mac安全,一個交換機埠只允許連接的pc的網卡mac。這樣專接上其他電腦時由屬於mac不同,交換機不會讓其與其他電腦通信的。當然,如果將其他電腦mac改成與原來接的電腦一樣,也就可以連接了。