A. 交换机工作原理,mac地址的学习,转发及过滤
H3 接2个交换机?还是H3有2张网卡?
B. 简述交换机的学习地址功能和数据转发过滤功能。
学习地址主要如下:最初,交换机从某一个端口接受到帧数据,然后广播,专正确的用属户接受到数据以后会告诉交换机,然后交换机就可以学习到这个用户的mac。。数据转发过滤如下:转发就是指交换机的存储转发功能,过滤主要是指交换机的vlan功能,vlan可以阻止局域网内的广播扩散,从而减少系统被影响的程度
C. 思科3560交换机 如何设置IP过滤功能
看你的描述,你应该通过抓包,看到了一些数据包的信息。如果单纯是 控制广播的话可以通过以下方式进行控制
storm-control action
shutdown或trap //当检测到风暴之后对端口处理的方式是err-disable 关闭端口还是产生一条日志
storm-control broadcast level [开始抑制的百分比] [重新使用的百分比] //当广播数据流量达到该端口百分多少时认为是storm
storm-control
broadcast level bps [开始抑制的带宽值] [重新使用的带宽值] //
当广播数据流量达到多少bps(即达到多少带宽)时认为是storm
storm-control
broadcast level pps [开始抑制的每秒报文数] [重新使用的每秒报文数] //
当广播数据流量达到多少pps(即每秒多少个数据包)时认为是storm
重新使用的参数值可以不配置,如果不配置两个的值一致。 三个控制选项使用其中一个就可以。
配置示例:
interface GigabitEthernet0/1
storm-control broadcast level 20.00 10.00 //当广播流量达到端口流量的20%关闭端口,10%开启端口
storm-controlaction shutdown
通过show storm-control broadcast查看接口广播控制状态
SW#show storm-control broadcast
Interface FilterState Upper Lower Current
--------- ------------- ----------- ----------- ----------
Gi0/1 Forwarding 20.00% 10.00% 0.00%
还有一种方式是通过acl进行过滤,根据抓到的数据包分析其特性,比如源和目的IP地址端口等等,编写acl或者mac acl 然后在相应的接口in方向绑定列表,禁止相应ip或者端口发送数据。
例如禁止10.1.1.1 的 4000端口对外访问
access-list 101 deny tcp 10.1.1.1 4000 any
access-list 101 permit ip 10.1.1.1 any
然后将列表绑定在相应的接口上面接口。
通过广播控制可以有效的控制交换机接收到的广播包,但一般来说,出现大量广播你应该查看一下相应ip或者主机是否存在问题。解决主机的问题才是根本。
D. alcatel(阿尔卡特)核心交换机怎么过滤MAC地址
交换机的配套操作手册中就有拒绝某个MAC地址的实例,遇到问题应该先看手册哦.:(pdd_13):
在这里举个简单例子——比如要在g9/1/1端口处进行过滤,阻止源MAC地址为0011-2233-4455的数据帧,那么S8500交换机上的操作步骤如下:
system-view
acl number 4000
rule 1 deny ingress 0011-2233-4455 0-0-0
quit
interface GigabitEthernet 9/1/1
flow-template user-defined
packet-filter inbound link-group 4001
E. 华为S3700交换机如何实现端口IP地址过滤
一、IP及MAC地址的采集
1.运行IP修改器,可以设定计算机的IP地址及用户名(直接可以改成使用者姓名);
2.运行“IP_MACSM-v1.037”MAC地址监视器,获取每个计算机的IP及MAC地址(导出EXCEL文件);
3.编辑:将IP和MAC地址分别复制到“批量命令”表格中,获取MAC地址的三段式及arp绑定命令、端口过滤命令。复制到记事本中,MAC地址与IP地址间应有空格。
二、进行绑定及过滤
1.连接三层交换机与电脑,三层交换机端口为:console,电脑连接9针接口;
2.安装HAP_SecureCRT_5.1.2软件,输入名字:Windows;公司:IC;序列号:03-50-006248
许可密钥:ADPUSB W3DQ5B ZC35EJ 99AG3T ACM47V SAK5W68CD1YZ GJU7JK;发布日期:27-06-2006进行注册;
3.运行该软件进行第一次设置:配置文件-快速连接-协议“Serial”-端口“com1”-波特率“9600”-数据位“8”-奇偶校验“无”-停止位“1”-数据项控制去掉“√”,保存会话。
4.进入软件按回车键,出现<Qidway> 输入sy尖括号变为方括号
(1)查看绑定命令 dispplay arp 显示S 为静态(绑定),D为动态;(发现一个问题,如果电脑没有开机,显示的ARP列表中就没有相应的端口号显示)
(2)绑定命令 art static *.*.*.* H-H-H (说明,*.*.*.* 是IP地址,H-H-H是三段式MAC地址);
(3)过滤命令,S3700不需要进端口,而是直接在命令中输入端口号及VLAN号。1、过滤命令:user-bind static mac-addr H-H-H IP-addr *.*.*.* interface Eth0/0/15 vlan 5(*.*.*.* 是IP地址,H-H-H是三段式MAC地址,此命令允许该端口下,命令中的IP、MAC的地址通过,Eth0/0/15为端口号,需要按实际填写,vlan 5为该IP地址所处的VLAN号,需要按实际填写);
(4)按S3900的操作,至此应该可以完成过滤,但实际情况发现换用其它的IP地址后,过滤过的这台电脑仍然可以上网,需要进端口配置相关的设置。
输入命令:interface Eth0/0/15,进入15号端口。
继续输入命令:arp anti-attack check user-bind enable //检查MAC地址
arp anti-attack check user-bind alarm enable
ip source check user-bind enable //检查MAC和IP的对应关系
ip source check user-bind alarm enable
ip source check user-bind alarm threshold 200
(5)如何查看过滤情况,未找到对应的命令,请知道的朋友帮忙补充哦。
(6)如果绑定或是过滤错误,按以下方式修改,一、某个IP错误绑定 执行 undo arp *.*.*.* 即可(*.*.*.*为绑错的IP地址) 二、过滤错误 1、undo user-bind static mac-addr H-H-H ip-addr *.*.*.* (H-H-H 为MAC地址,*.*.*.* 为IP地址)
(6)注意绑定、过滤后输入quit退出,再输入save保存(Y/N)Y.
F. 1.如果某个目的MAC地址不在交换机的转发/过滤表中,交换机将如何处理帧
答案:有一类卑微的工作是用坚苦卓绝的精神忍受着的,最低陋的事情往往指向最崇高的目标。
G. 思科(CISCO) 5500核心交换机过滤MAC地址命令
你的00-3E-A3-04-F3-E0在交换机里是用003E.A304.F3E0来表示的
你这个MAC地址有问题,标准的是48位的16进制表示。下面的XX是你漏写的地址符号 你按我下面配置打啊
确定你处于全局配置模式下
switchcisco>en
switchcisco#conf t
switchcisco(config)#mac access-list extended 111
switchcisco(config-ext-macl)#deny host 003E.A304.F3E0 any
switchcisco(config-ext-macl)#per any any
然后再端口上配置
switchcisco(config)#int f0/1 这里就是你要应用到策略的端口,连接INTERNET的端口
switchcisco(config-if)#mac access-group 111 out
事实上只要做个基于IP地址的ACL就可以了,5500可是3层设备
H. 华为三层交换机端口模式下地址过滤入境命令
如果过滤IP就写ACL筛选 IP,然后应用在接口,
如果过滤筛选MAC地址就ACL中添加IP匹配MAC地址。然后应用在接口。
I. 交换机管理问题(过滤mac地址)
你就是在交换机上设置mac安全,一个交换机端口只允许连接的pc的网卡mac。这样专接上其他电脑时由属于mac不同,交换机不会让其与其他电脑通信的。当然,如果将其他电脑mac改成与原来接的电脑一样,也就可以连接了。