下面是小编帮大家整理的网管经验谈之如何设置交换机 防范被黑,本文共7篇,希望对大家有所帮助。
篇1:网管经验谈之如何设置交换机 防范被黑
宽带网接入交换机通常需要与用户终端直接连接,一旦用户终端感染蠕虫病毒,病毒发作就会严重消耗带宽和交换机资源,甚至造成网络瘫痪,这一现象在Slammer和冲击波事件中早已屡见不鲜,宽带接入交换机究竟面临哪些安全风险?怎样才能化解这些风险?接下来我们将逐一揭示。
交换机的风险
利用抓包工具,网管经常捕获到大流量的异常报文,它们一方面消耗网络带宽,另一方面消耗网络设备的资源,影响网络的正常运行。
单播类异常报文:单播流量大多数是发送给网关,网关设备根据路由表对这些报文做出转发或丢弃处理。对私有IP地址,公网三层交换机或路由器会自动丢弃单播流量。如果用户已经获得一个公网IP地址,这些单播流量就会被转发出去,进而影响更大范围的网络。以冲击波病毒为例,中毒主机只要监测到网络可用,就会启动一个攻击传播线程,不断随机生成攻击地址进行攻击。在冲击波发作严重的阶段,网络速度明显变慢,一些接入层交换机和一些小型路由器甚至崩溃,核心三层交换机的CPU利用率达到100%,运营商不得不采取屏蔽ICMP报文的办法加以应对。
广播类异常报文:广播是实现某些协议的必要方式。广播报文会发送给特定网段内的所有主机,每台主机都会对收到的报文进行处理,做出回应或丢弃的决定,其结果是既消耗网络带宽又影响主机性能。利用端口隔离技术,用户可以限制广播报文只发往上行端口,这样可以减小对本网段链路和主机的影响,但无法解决对汇聚层和核心层设备造成的影响。如果在汇聚或核心设备上将多个小区划在一个VLAN内,广播类流量就会通过上层设备返回到其他小区,进而继续占用这些小区的链路带宽并影响主机性能,这种配置方法在当前宽带网络中广泛存在。
组播类异常报文:组播类信息本来只服务于网络内的部分用户,其目的地址是网络内申请加入组播组的主机。一些主机并没有申请加入组播组,这些组播报文本不应该转发给这些主机,但是事实上这些主机还是收到了组播信息,
是什么原因导致组播报文转发给没有申请加入的主机呢?原来,为了实现组播,二层交换机使用GMRP组播注册协议或IGMP Snooping协议来维护一个动态组播表,然后把组播报文转发给与该组播组成员相关的端口,以实现在VLAN 内的二层组播,如果没有运行IGMP Snooping,组播报文将在二层广播,这就是导致组播泛滥的原因。
随着宽带网络的进一步普及以及视频应用的逐渐增加,组播技术将会得到更广泛地应用,那时组播类异常流量不仅会出现在网络的第二层,而且还会路由到整个组播树。加上视频类信息流量较大,很难区分正常流量和不正常流量。因而对组播进行控制也就更加困难了。
总之,局域网内的应用存在被病毒利用的可能性,如果不有效限制异常流量,就会对网络带宽以及网络设备造成资源消耗。因此,为面向用户的二层交换机增加智能,把问题隔离在最小的范围内,就显得尤为重要。
化解风险的对策
利用交换机的流量控制功能,我们能够把流经端口的异常流量限制在一定的范围内。不过,交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个合适的阈值也比较困难。如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表 )。ACL利用IP地址、TCP/UDP端口等对进出交换机的报文进行过滤,根据预设条件,对报文做出允许转发或阻塞的决定。
通过细分不同的网络流量,用户可以针对性地对异常流量分别进行控制。通过IP报文的协议字段控制单播类异常流量,通过以太帧的协议字段控制广播类异常报文,通过IP目的地址段控制组播类报文。除了这些控制手段之外,网络管理员还需要经常注意网络异常流量,及时定位异常流量的源主机,并且排除故障。
篇2:网管经验谈 交换机连接常见故障二例
故障一:交换机级联故障
故障情形:有一家客户,其通过交换机连接交换机的级联方式来增加可用的以太网接口。一次增加了一台新的交换及之后,发现新增加的交换机端口无法连接到企业的网络中。他们采用的是交换机的Uplink端口进行连接。即两台交换机之间直接通过Uplink端口利用直通线进行互联,从而发生连接故障。当前这根网线是没有问题的,交换机的端口也没有问题。但是连接在这些端口上的主机就是无法连接企业的网络。
原因分析:一般交换机上的端口主要有一个Uplink端口和其他普通端口组成。通常情况下,交换机之间的连接可以通过Uplink端口来进行连接,也可以采用普通端口进行连接。而采用Uplink来进行连接,又包括两种情况。一种情况是Uplink端口连接另外一个交换机的Uplink端口;另外一种情况是Uplink端口与另外一台交换机的普通端口进行连接。不过不同的连接方式,对于网线的要求是不同的。通常情况下,建议交换机与交换机之间使用Uplink端口进行连接(一端使用Uplink接口、另一端使用普通端口)。因为在这种情况下,可以使用直通线来进行连接。而如果两台交换机使用的都是Uplink端口的话,则必须使用交叉线进行连接。而这家客户现在采用的连接方式就是将两台交换机的Uplink接口进行直接相连,而采用的确是直通线。这就导致了两台交换机之间根本无法进行通信。
故障解除:原因找到了,那么问题解决起来就比较方便了。只要将这跟网线换一下,换成交叉线即可。如果不想换网线的话,那么更换交换机的连接端口也可以。将其中一台交换机的Uplink端口采用普通端口就可以了。
故障总结:在交换机互联环境中,一般建议的连接方式是一端使用Uplink端口,而另外一边使用普通端口。在这种情况下可以采用直通线进行连接。一般情况下都不建议两边都采用相同的端口。因为此时必须通过交叉线才能够完成连接。在交换机级联中,这是一个比较基本的规则。级联就是指使用交换机普通的或者特殊的端口,以网线将两个或者两个以上的设备连接起来的方式。一般来说交换机与路由器等设备都可以进行级联,但是级联的方式会因为所采取的端口不同而不同。有些厂商为了满足级联的需要,还会专门在自己的设备上提供Uplink等类似的行连接端口。在实际工作中,当交换机等设备上有专门提供的用于上行连接的Uplink端口时,可以使用直通跳线将这个端口连接到其他设备的普通端口上(即Uplink端口以外的任何端口)。
在谈到交换机级联时,笔者最后还要强调一点内容。即交换机级联虽然是可行的,但是一般建议级联的层次不要太多。如最好不要超过五层。否则的话,由于交换机的局限性(如无法隔离广播域),会降低企业网络的性能。
故障二:Vlan端口故障的排除过程
故障情形:有一家客户由于研发部门涉及到比较多的机密数据,为此IT负责人决定将企业的网络划分为多个Vlan网络,
并根据企业的安全策略,设置了相应的访问策略。如其他部门的用户不能够访问研发部门所在的虚拟局域网、并且研发部门的用户也无法访问互联网,以防止他们向外发送机密信息。企业在Vlan设计时,规定不同的Vlan网络的计算机采用不同的IP地址段、子网掩码和默认网关。现在这家企业采购部门来了几个新的员工。将他们的电脑连接到网络中之后,发现有一台电脑无法连接到网络。不知道哪里出了问题?
故障排除过程:Vlan通信的故障排除相对来说要复杂一些,因为其涉及到的内容比较多。笔者就以这个案例为例,谈谈Vlan连接故障的核心排错过程。一般情况下,只要根据这个过程来操作,就可以发现其故障点。
第一步是判断本地网络的配置情况。如需要查看一下这台故障计算机的网卡驱动安装情况(如有没有感叹号等警告标志)。如需要查看一下本地的IP地址、子网掩码和默认网关是否正确(无论是手工配置还是DHCP自动分配,都需要确认一下这个配置信息)。通常情况下,我们可以使用Ping命令,来Ping一下这台主机的IP地址。如果可以Ping通的话,则说明网卡可以正常工作。
第二步是判断与其它主机的通信状况,特别是判断一下与其它也有类似情况的主机之间的连接。如我们可以使用Ping命令来Ping一下另外一台也连不上网络的计算机的IP地址。如果能够连接到另外一台电脑,则说明其物理链路没有问题、交换机工作也是正常的。如果不能够连通的话,则可能说明主机与交换机之间的链路可能有问题。有可能是他们之间的连接线有故障,也有可能是交换机的接口没有正常工作。然后再Ping一下其它联网正常的主机,如果无法Ping通的话,在基本上可以确定是在虚拟局域网配置上出现了问题。由于虚拟局域网的安全策略,阻止了这几台计算机连入到企业的网络。
第三步:判断与默认网关之间的通信。最后,我们需要再次判断故障主机与Vlan的默认网关、网络内的服务器和路由器的默认网关之间的连通性,来确认我们刚才的判断是否准确。如果发现无法Ping默认网关的话,则可以百分之百的确定是Vlan惹的祸。如此的话,我们找到问题的原因,那么后续解决故障时就有了方向。
通过这几个步骤,就可以确定主要是因为新增加的主机,被分配到了错误的虚拟局域网内才造成了通信的故障。纵观这几个过程,我们发现其基本上可以分为两个阶段。第一个阶段是分析本地配置与物理链路是否有问题。第二个阶段就是分析Vlan配置的有效性,包括主机是否接错了端口等信息。
故障总结:Vlan的主要特性在于提高网络性能(可以隔离不必要的广播风暴)、增加网络的安全性(控制不同局域网之间用户的连接)。但是这些特性是以增加网络的复杂度为代价的。为此在Vlan环境中,网络出现故障的几率也会大许多。而大部分故障都是因为配置所导致的,如接错了端口或者说配置了错误的网关所造成的。为此笔者建议,在有Vlan应用的情况下,需要将Vlan中的IP地址、子网掩码、默认网关、交换机对应端口等信息都一一记录在案。我们可以在Vlan交换机的旁边放上这个文档(并及时的更新),以方便我们在后续维护中及时查询。而Vlan又有不同的实现方式。在后续维护时,还需要考虑不同实现方式对实际工作的影响。如以端口来实现的Vlan网络,则不同的交换及接口对应着不同的Vlan。如果端口接错的话,就可能会导致网络故障。而以IP地址为主的Vlan,则IP地址不同就有可能连接到错误的Vlan中。为了减少后续维护的复杂程度,一家企业最好采用一种Vlan方案,而不要采用多种。不然的话,容易混淆。
篇3:设置交换机集线器 网管经验大家谈
设置交换机集线器 网管经验大家谈,网管经验之配置Cisco交换机和集线器,设置交换机集线器,主要是以Cisco Catalyst 2820交换机为实例讲解,希望大家在阅读完下面文章后能够有一个清晰明了的认识,
对于任何类型的交换机或集线器,必须遵循下列的指示。打开硬件的包装箱,并确认其中的内容符合包装。堆叠或将交换机安装在支架上(正确使用橡胶垫或者支架),其位置和任何连接的10BaseT设备的距离不能超过100米,温度必须适合产品,并且保持足够的通风。
当选择电缆时,在任何端口上都使用直通电缆,其上没有标“ X”记号。X代表交叉电缆。类型5电缆适合所有端口,100BaseFX端口除外,它需要光纤介质。确认电源插座的电压和标签上指明的电压是一样的,并连接电源。
有一种方法可以设置Cisco Catalyst 2820交换机。这种方法说明了带外管理。那就是,从终端上管理交换机,这个终端直接连接在交换机的一个串行口上。这种方法的优越性在于,无论交换机的网络连接是否可用,都可以工作。设置交换机集线器步骤如下:
◆打开交换机,并观察加电自检,此时所有端口的二极管都必须变成绿色,然后熄灭。
◆用正确的电缆,将设备连接到集线器上。
◆将VT-100终端或仿真器连接到EIA/TIA-232(RS-232)端口上,设置为9600 bps, 8个数据位,1个停止位,没有奇偶校验,并登录,
◆按下S以访问System Configuration(系统配置)菜单,并通过再次选择S而修改Switching Mode (交换模式)。然后选择代表期望的交换模式的数字。这个步骤是必须的,如果并不希望使用快速转发交换模式。
◆按下X以退回到主菜单,然后按下N访问Network Management(网络管理)菜单,在这里可以配置协议。
◆选择I访问IP Configuration(IP配置),然后再次选择I,以指定一个I P地址。当在第一次指定后,再次指定I P地址时,必须重新启动交换机,以使地址生效。选择S和G,以分别指定合适的子网掩码和Default Gateway(默认网关)。
◆选择X以退回到主菜单,再次选择S以进入系统,并且选择R以重新启动交换机,并保留指定的参数。
◆安装FastHub 316C或FastHub 316T的过程中,其初始的步骤和交换机安装中的打开包装和验证程序是一样的。在打开包装和从物理上安装集线器之后,可以进一步的进行配置。
◆在插入集线器,验证POST后,将设备连接到RJ-45端口上。
◆设置交换机集线器将节点连接到控制台端口上,并配置终端仿真程序为9600波特,8个数据位,1个停止位和没有奇偶校验。
◆在管理控制台登录。
◆选择IP Configuration(IP配置)菜单。设置I P地址、子网掩码、默认网关和DNS服务器。如果正在使用另一个路由选择协议,则禁用RIP。
◆退回到主菜单,并退出控制台。
篇4:电脑交换机怎么设置
1、只用交换机是不能上网的。
2、一般电脑上网要么单独一台电脑通过设置宽带连接上网。要么几台电脑通过 连接设置路由器上网。有路由器,然后再用交换机连接更多电脑通过路由器上网。
3、如果是外网线-路由器-交换机-多台电脑这种方式,和几台电脑-路由器-外网线(宽带线)一样,需要设置路由器:
a、随便打开一台连好的PC电脑。打开网上邻居属性,然后打开本地连接属性,然后打开tcp/ip协议属性,设置ip为192.168.1.2子网:255.255.255.0网关:192.168.1.1。
b、打开任意一款浏览器,在地址栏输入“192.168.1.1”,在打开的窗口中输入登陆路由器的用户名和密码进行登陆,登陆完成后,点击左侧的“DHCP服务器”,选择“启用”DHCP服务器,同时设置地址池开始地址为“192.168.1.100”,地址池结束地址为“192.168.1.199”,最后点击“确定”进行保存。
c、检测DNS的配置情况,通常情况下当DNS设置不当时将会造成浏览器无法打开网页,一般来说,对于动态IP分配方式,DNS和网关IP是一致的,当然,我们也可以直接设置网络提供商为我们提供的DNS。 打开任意一款浏览器,在地址栏输入“192.168.1.1”,在打开的窗口中输入登陆路由器的用户名和密码进行登陆,登陆完成后,就可以看到DNS信息。
d、设置上网用户和密码。交换机不用设置,其他电脑就可以自动获得ip和网关ip等可以上网了。
篇5:电脑交换机怎么设置
第一台机器(主机的设置)先设置你的网络参数(右键“网上邻居”-“属性”-右键“本地连接”-属性-找到TCP/IP协议后双击它):
IP地址:192.168.0.1
子网掩码:255.255.255.0
网关:不管它
DNS:不要管它。
第二台机器,将(TCP/IP协议)IP地址变成192.168.0.2子网掩码:255.255.255.0
网关:192.168.0.1 (意思通过第一台主机来上网)
然后再设置第一台机器:网上邻居”-“属性”-宽带的那个连接-属性-高级
将internet的连接共享第一个(允许其他网络通过此计算机的internet连接来连接)前面勾选,确定就可以了
1.交换机电脑上怎么设置
2.电脑没有交换机怎么上网
3.设置电脑密码怎么设置
4.电脑设置密码怎么设置
5.wifi在电脑中怎么设置
6.电脑怎么设置定时护眼
7.电脑ip地址怎么设置
8.电脑ip怎么设置
9.电脑超频怎么设置
10.电脑双网关怎么设置
篇6:电脑交换机怎么设置
1下面只介绍进入配置界面的方法,至于如何配置那是比较多的,要视具体情况而定,不作具体介绍。进入配置界面步骤很简单,只需简单的两步: 第1步:单击”开始“按钮选择”运行“菜单项,然后在对话框中按”telnet61.159.62.182“格式输入。
2登录(当然也可先不输入IP地址,在进入telnet主界面后再进行连接,但是这样会多了一步,直接在后面输入要连接的IP的地址更好些),如图所示。如果为交换机配置了名称,则也可以直接在“Telnet”。
3命令后面空一个空格后输入交换机配置的名称。
4这里要注意的是”Hostnqme包括了交换机的名称,但更多的是我们在前面是为交换机配置了IP地址,所以在这里更多的是指交换机的IP地址。格式后面的“Port”一般是不需要输入的,它是用来设定Telnet通信所用的端口的。
5一般来说Telnet通信端口,在TCP/IP协议中有规定,为23号端口,最好不用改它,也就是说我们可以不接这个参数。第2步,输入好后,单击“确定”按钮,或单击回车键,建立与远程交换机的连接。如图9所示为与计算机通过Tetnet与Catalyst1900交换机建立连接时显示的界面。
6当利用Console口为交换机配置好IP地址信息并启用HTTP服务后,即可通过支持JAVA的Web浏览器访问交换机,并可通过Web通过浏览器修改交换机的各种参数并对交换机进行管理。
篇7:办公室交换机怎么设置
本人家里用的这种是小型的交换机,只有几个接口的,家用是够了的,另外其他的交换机设置也是跟这种一样的,首先看图片如下图:背面是网线的插槽;
这是交换机的侧面,通常都是电源线的接口,当然了不同的交换机可能的位置有些许不同,但一般都在侧面。
这是正面,主要是交换机的指示灯,等等,可通过此处确定你的网线是否连接成功
下面我们来开始设置交换机。在下图中的电源线连接成功。将电源连接成功之后,通常教皇及正面会有一盏指示灯亮起。
接下来我们吧网线接好,首先将外来的宽带网线接入到交换机的其中一个接口,然后在用网线连接交换机和你的电脑,连接过程中,可以查看正面的指示灯,如果一直在闪说明连接成功了。
解析来我们需要设置一台主机,将IP地址固定,如192.168.0.1 如下图
假如你的一台电脑设置的IP如上图,那么另外几台电脑的IP也应该设置在同一个网段,也就是说 要设置成192.169.0.* (*号代表任何255以下的数字。)设置好之后,我们测试一下是否成功,打开运行输入“cmd” 然后PING 命令 看是否连接成功
接下来,我们再回到主机上,也就是192.168.0.1这台电脑,点击网络连接中的 宽带连接,右击---属性---高级。 然后设置好共享网络。设置好之后,宽带连接后面会显示“共享的”三个字,如下图。这样就可以了。
[办公室交换机怎么设置]
文档为doc格式