交换机端口损坏闹故障

实验四 交换机端口安全技术

交换机端口安全技术 24.1 实验内容与目标 完成本实验，应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议，使接入交换机的PC 经

过认证后才能访问网络资源。通过本实验，掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一：建立物理连接并初始化交换机配置。 按实验组网图进行物理连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二：检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后，在PCA上用ping命令来测试到PCB的互通性，其结果是。 步骤三：配置802.1x协议。 实现在交换机SWA上启动802.1x协议，过程如下： 首先需要分别在和开启802.1x认证功能，在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户，用户名为abcde，密码为 明文格式的12345，该用户的服务类型server-type是，在如下的空格中完成该本地用户的配置命令。 步骤四：802.1x验证。 配置完成后，再次在PCA上用ping命令来测试到PCB的互通性，其结果是。 导致如上结果的原因是交换机上开启了802.1x认证，需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机，本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标，在弹出的窗口中双击“网络连接”图标，在弹出的窗口中右击“本地连接”图标，执行“属性”命令，如实验图24-2所示。 再选择“验证”选项卡，并选中“启用此网络的IEEE802.1x验证”复选框，如实验图24-3所示，然后单击“确定”按钮，保存退

第八章实验讲义-- 交换机基本配置端口安全与STP

第12章交换机基本配置 交换机是局域网中最重要的设备，交换机是基于MAC来进行工作的。和路由器类似，交换机也有IOS，IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备，可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个：一个是维护CAM（Conetxt Address Memory）表，该表是计算机的MAC地址和交换端口的映射表；另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种：交换机收到帧后，查询CAM表，如果能查询到目的计算机所在的端口，并且目的计算机所在的端口不是交换接收帧的源端口，交换机将把帧从这一端口转发出去（Forward）；如果该计算机所在的端口和交换机接收帧的源端口是同一端口，交换机将过滤掉该帧（Filter）；如果交换机不能查询到目的计算机所在的端口，交换机将把帧从源端口以外的其他所有端口上发送出去，这称为泛洪（Flood），当交换机接收到的帧是广播帧或多播帧，交换机也会泛洪帧。 12.2 实验0：交换机基本配置 1.实验目的: 通过本实验，可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 （1）步骤1：通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal

交换机常见的故障类型及分析排查

交换机常见的故障类型及分析排查交换机运行中出现故障是不可避免的，但出现故障后应当迅速地进行处理，尽快查出故障点，排除故障，这是网管人员应尽的职责。但是要做到这一点，就必须了解交换机故障的类型及具备对故障进行分析和处理的能力。为此，本文就交换机常出现的故障类型及分析排查的方法进行简要的介绍。 电源故障 由于外部供电不稳定，电源线路老化或者雷击等原因导致电源损坏或者风扇停转，以致不能正常工作。或者由于电源缘故导致机内其他部件的损坏都会使交换机出现问题。 假如交换机面板上的POWER指示灯是绿色的，就表示是正常的;假如该指示灯灭了，则说明交换机没有正常供电。这类问题很轻易发现，也很轻易解决，同时也是最轻易预防的。 针对这类故障，首先应该做好外部电源的供给工作，一般通过引入独立的电力线来提供独立的电源，并添加稳压器来避免瞬间高压或低压现象。假如条件答应，可以添加UPS(不间断电源)来保证交换机的正常供电，有的UPS提供稳压功能，而有的没有，选择时要注重。在机房内设置专业的避雷措施，来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司，实施网络布线时可以考虑。

端口故障 这是最常见的硬件故障，无论是光纤端口还是双绞线的RJ-45端口，在插拔接头时一定要小心。假如不小心把光纤插头弄脏，可能导致光纤端口污染而不能正常通信。我们经常看到很多人喜欢带电插拔接头，理论上讲是可以的，但是这样也无意中增加了端口的故障发生率。在搬运时不小心，也可能导致端口物理损坏。假如购买的水晶头尺寸偏大，插入交换机时，也轻易破坏端口。此外，假如接在端口上的双绞线有一段暴露在室外，万一这根电缆被雷电击中，就会导致所连交换机端口被击坏，或者造成更加不可预料的损伤。 一般情况下，端口故障是某一个或者几个端口损坏。所以，在排除了端口所连计算机的故障后，可以通过更换所连端口，来判定其是否损坏。碰到此类故障，可以在电源关闭后，用酒精棉球清洗端口。假如端口确实被损坏，那就只能更换端口了。 模块故障 交换机是由很多模块组成，比如：堆叠模块、治理模块(也叫控制模块)、扩展模块等。这些模块发生故障的几率很小，不过一旦出现问题，就会遭受巨大的经济损失。假如插拔模块时不小心，或者搬运交换机时受到碰撞，或者电源不稳定等情况，都可能导致此类故障的发生。 当然上面提到的这3个模块都有外部接口，比较轻易辨认，有的还可以通过模块上的指示灯来辨别故障。比如：堆叠模块上有一个扁平的

交换机的端口配置与管理.pdf

实验2　交换机的端口配置与管理 实验目标 掌握交换机基本信息的配置管理。 实验背景 某公司新进一批交换机，在投入网络以后要进行初始配置与 管理，你作为网络管理员，对交换机进行端口的配置与管 理。 技术原理 交换机的管理方式基本分为两种：带内管理和带外管理。 通过交换机的Console端口管理交换机属于带外管理；这 种管理方式不占用交换机的网络端口，第一次配置交换机 必须利用Console端口进行配置。 交换机的命令行操作模式主要包括： 用户模式 Switch> 特权模式 Switch# 全局配置模式 Switch(config)# 端口模式 Switch(config-if)# 实验步骤： 新建Packet Tracer拓扑图 了解交换机端口配置命令行 修改交换机名称(hostname X) 配置交换机端口参数(speed,duplex) 查看交换机版本信息(show version) 查看当前生效的配置信息(show running-config) 查看保存在NVRAM中的启动配置信息(show startup- config) 查看端口信息 Switch#show interface 查看交换机的MAC地址表Switch#show mac-address-table 选择某个端口Switch(config)# interface type mod/port (type 表示端口类型，通常有ethernet、Fastethernet、 Gigabitethernet)（mod表示端口所在的模块，port表示在该 模块中的编号）例如interface fastethernet0/1 选择多个端口Switch(config)#interface type mod/startport- endport

交换机的端口安全配置

【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： ? protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 ? restrict 当违例产生时，将发送一个Trap通知。 ? shutdown 当违例产生时，将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。【实验设备】 S2126G交换机（1台），PC（1台）、直连网线（1条）

cisico 二层交换机端口错包排查方法

CISCO二层交换机端口错包排查方法，以C2950为例进行说明 ①交换机端口原来配置 2950#sh ru int fa0/3 interface FastEthernet0/3 description test switchport access vlan 100 no ip address duplex full speed 100 end ②交换机端口原来数据包统计, 2950#sh int fa0/3 FastEthernet0/3 is up, line protocol is up (connected) Hardware is Fast Ethernet, address is 000d.bd98.1c43 (bia 000d.bd98.1c43) Description: test MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s input flow-control is off, output flow-control is off ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 00:00:01, output hang never Last clearing of "show interface" counters 21w6d Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute ouxtput rate 0 bits/sec, 0 packets/sec 330574221 packets input, 78353246 bytes, 0 no buffer Received 372 broadcasts, 0 runts, 0 giants, 0 throttles 3540 input errors, 3540 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 0 multicast, 0 pause input 0 input packets with dribble condition detected 307917156 packets output, 176359999 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 PAUSE output

交换机端口安全功能配置

---------------------------------------------------------------最新资料推荐------------------------------------------------------ 交换机端口安全功能配置 4 《交换与路由技术》实验报告书班级： 姓名： 学号： 课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型课程名称交换与路由技术实验项目实验九交换机端口安全实验项目类型验证演示综合设计其他验证演示综合设计其他指导教师成绩指导教师成绩一、实验目的了解交换机端口在网络安全中的重要作用，掌握交换机端口安全功能配置方法，具体包括以下几个方面。 （1）认识交换机端口安全功能用途。 （2）掌握交换机端口安全功能配置方法。 二、实验设备及环境针对这一工作任务，公司网络接入交换机的所有端口配置最大连接数为 1，并对公司每台主机连接的交换机端口进行 IP+MAC 地址绑定，模拟网络拓扑结构图如图 11.1 所示。 假设 PC1 的 IP 地址为 192.168.0.10/24， PC2 的 IP 地址为192.168.0.20/24， PC3 的 IP 地址为 192.168.0.30/24. 4 三、实验步骤第 1 步： 配置交换机端口的最大连接数限制。 进行一组端口 Fa 0/1-23 配置模式。 开启交换机端口安全功能。 1 / 3

配置端口的最大连接数为 1。 配置安全违例的处理方式为shutdown，即当违例产生时，关闭端口并发送一个Trap通知。 除此之外，还有两种违例处理方式： protect 方式，即当安全地址个数满后，安全端口将丢弃求知名地址的包；restrict 方式，即当违例产生时，将发送一个Trap 通知。 查看交换机的端口安全配置。 第 2 步： 配置交换机端口的地址绑定。 在 PC1 上打开 cmd 命令提示符窗口，执行 Ipconfig/all 命令，记录下 PC1 的 IP地址及 MAC 地址。 配置交换机端口的地址绑定。 查看地址安全绑定配置。 第 3 步： 验证交换机端口安全功能的效果。 在 PC1 连接交换机端口 Fa 0/1， PC2 连接交换机端口 Fa 0/2，PC3 连接交换机端口 Fa 0/10 情况下，执行下列操作。 4 在 PC1 的命令提示符下输入 C:bping 192.168.0.300 在PC2 的命令提示符下输入C:bping 192.168.0.300 在 PC1 连接交换机端口 Fa 0/2; PC2 连接交换机端口 Fa 0/1， PO 连接交换机端口Fa 0/10 情况下，执行下列操作。

总结交换机常见故障的分类和排障步骤

总结交换机常见故障的一般分类和排障步骤 交换机的优越性能和价格的大幅度下降，促使了交换机的迅速普及。 网络管理员在工作中经常会遇到各种各样的交换机故障，如何迅速、准确地查出故障并排除故障呢?本文就常见的故障类型和排障步骤做一个简单的介绍。由于交换机在公司网络中应用范围非常广泛，从低端到中端，从中端到高端，几乎涉及每个级别的产品，所以交换机发生故障的机率比路由器，硬件防火墙等要高很多，这也是为什么我们首先讨论交换机故障的分类与排除故障步骤的原因。 一，交换机故障分类: 交换机故障一般可以分为硬件故障和软件故障两大类。硬件故障主要指交换机电源、背板、模块、端口等部件的故障，可以分为以下几类。 (1)电源故障: 由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止，从而不能正常工作。由于电源缘故而导致机内其他部件损坏的事情也经常发生。 如果面板上的POWER指示灯是绿色的，就表示是正常的;如果该指示灯灭了，则说明交换机没有正常供电。这类问题很容易发现，也很容易解决，同时也是最容易预防的。 针对这类故障，首先应该做好外部电源的供应工作，一般通过引入独立的电力线来提供独立的电源，并添加稳压器来避免瞬间高压或低压现象。如果条件允许，可以添加UPS(不间断电源)来保证交换机的正常供电，有的UPS提供稳压功能，而有的没有，选择时要注意。在机房内设置专业的避雷措施，来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司，实施网络布线时可以考虑。 (2)端口故障: 这是最常见的硬件故障，无论是光纤端口还是双绞线的RJ-45端口，在插拔接头时一定要小心。如果不小心把光纤插头弄脏，可能导致光纤端口污染而不能正常通信。我们经常看到很多人喜欢带电插拔接头，理论上讲是可以的，但是这样也无意中增加了端口的故障发生率。在搬运时不小心，也可能导致端口物理损坏。如果购买的水晶头尺寸偏大，插入交换机时，也容易破坏端口。此外，如果接在端口上的双绞线有一段暴露在室外，万一这根电缆被雷电击中，就会导致所连交换机端口被击坏，或者造成更加不可预料的损伤。

交换机一般故障到特殊故障的排除

网络设备的范围很广，从交换机路由器到打印机服务器都属于网络设备的范畴，这些设备是网管员经常打交道的对象，之所以会经常和它们打交道，除了一般的工作需要外，最多的就是排除这些家伙的故障了。 网络设备故障通常有两种表现形式，软故障和硬故障，所谓软故障就是指因为误操作，错误配置，病毒等引起的网络设备的故障，这类故障通常能够通过更改设置，重新安装软件来排除，而硬故障是指网络设备本身的硬件系统发生了故障，这类故障一般智能通过更换硬件设备来解决，不过，网管员日常生活中所遇到的故障大部分是软故障，因此，本章主要涉及网络设备软故障的解决。 交换机故障 交换机，英文名称为“SWITCH”。大家肯定听说过“程控交换机”这个名词吧？“程控交换机”是指电话通讯系统中使用的线路交换机。计算机网络上使用的交换机就是从电话交换机的技术上发展而来的。一般意义上的交换机是指工作在OSI模型中第二层即数据链路层上的第二层交换机。从外观上来看，它与集线器（HUB）基本上没有太大区别，都是带有多个端口的长方形盒状体，而且都遵循IEEE802.3及其扩展标准，介质存取方式也均为CSMA／CD，但是它们在工作原理上还是有着根本的区别。 交换机的内部有一条带宽很高的背板总线和内部交换矩阵，交换机前面的所有端口都连接在背板总线之上。在交换机中还有一个重要的组成部分，那就是内存。在这个内存中保存着一张MAC地址对照表，它记录着MAC地址和端口的对应关系。如下图所示： 当交换机接收到一个数据时，首先取出数据包中的目标MAC地址，根据内存中所保存的MAC地址表来判断该数据包应该发送到哪个端口，然后就把数据包直接发送到目标端口。如果没有在MAC地址表中找到目标端口，则发送一个广播包至所有端口，来查找目标端口。只要目标端口所连接的计算机响应，则交换机就“记住”这个端口和MAC地址的对应关系，因为交换机具有学习功能。当下一次接收到一个拥有相同的目标MAC地址的数据时，这个数据会立即被转发到相应的端口上，而不用再发广播包。这样就使得数据传输效率大大提高，且不易出现广播风暴，也不会有被其它节点侦听的安全问题。而集线器不具有这个地址表，所以HUB接收到一个数据后，便将该数据发送到所有端口上，所以容易引起广播风暴，且易被其他节点侦听。

cisco交换机的端口安全配置

【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： ? protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 ? restrict 当违例产生时，将发送一个Trap通知。 ? shutdown 当违例产生时，将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。【实验设备】 S2126G交换机（1台），PC（1台）、直连网线（1条）

思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)

网络拓扑图如下： 根据图示连接设备。 在本次试验中，具体端口情况如上图数字标出。核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。 IP 地址分配： Router：e0：：f0/1: 接口：Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址：区域网段地址： PC1：PC2：路由器清空配置命令： en erase startup-config Reload 交换机清空配置命令： en erase startup-config

delete Reload 加速命令： en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配，防止OFFICE 网络发生ARP 攻击，不允许OFFICE 网段PC 互访；STUDENTS 区域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击； 1、基本配置 SW1的配置： SW1(config)#vtp domain cisco 然后在pc上进入接口，设置为DHCP获取地址,命令如下： int f0/1 ip add dhcp 查看结果：

5、Student区域ARP防护： SW2配置如下： ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量，此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址，就可以发现端口down状态，修改mac地址命令如下： pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证： 服务器地址为：vlan 30 //创建vlan 30的原因：在sw1、sw2中配置svi口，服务器的地址为，使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机，所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct

交换机端口错误包类型

错误报分类： 1）input errors： 各种输入错误的总数，显示范围是20bit。 （2）runts： 表示接收到的超小帧个数。超小帧即接收到的报文小于64字节，且包括有效的CRC字段，报文格式正确。（3）giants： 表示接收到的超长帧个数。超长帧即接收到的有效报文字节长度大于1518（如果是带tag报文，大于1522），且小于设备能接收的超长帧最大值（1536）。 （4）CRC： 表示接收到的CRC校验错误报文个数，即接收到的报文在64～1518（带tag报文是1522）字节范围内，且字节是整数，而CRC校验错误。 （5）frame： 也是CRC校验出错报文个数，报文字节不是整数，其他同上。 （6）aborts： 表示接收到的非法报文总数，包括：○1报文碎片：小于64字节，且CRC校验错误（报文字节是整数或非整数）。○2jabber帧：大于1518（tag报文是1522）字节，且CRC校验错误（报文字节是整数或非整数）。○3符号错误帧：报文中至少包含1各错误的符号，其他部分合法。○4携带错误帧：在空闲阶段发现的错误携带帧。○5操作码未知帧：报文是MAC控制帧，但不是Pause帧。○6长度错误帧：报文中802.3长度字段与报文实际长度（46～1500字节）不匹配，但不包括802.3长度字段无效（如Ether Type）的报文。 （7）ignored： 表示在端口接收报文时因各种原因丢弃的报文总数。 4. 输出错误统计值详解 （1）output errors：

各种输出错误的总数，显示范围是20bit。 （2）aborts： 表示发送失败的报文总数，指已经开始发送，但由于各种原因（如冲突）而导致发送失败的报文。该项统计包括各类发送失败的报文，无论是二层或是三层转发。 （3）deferred： 表示延迟报文的总数。报文延迟是指因延迟过长的周期而导致发送失败的报文，而这些报文由于发送媒质繁忙而等待了超过2倍的最大报文发送时间。 （4）collisions： 表示冲突帧总数，即在发送过程中发生冲突的报文。冲突是指DO和RD信号同时出现，即发送和接收同时发生。（5）late collisions： 表示延迟冲突帧，即发送过程中发生延迟冲突超过512bit时间的帧。 （6）lost carrier： 表示在空闲阶段发现的错误携带帧的总数。

交换机带外管理及端口识别

交换机带外管理及端口识别 一、实验目的 1、熟悉普通二层交换机的外观； 2、了解普通二层交换机各端口的名称和作用； 3、了解交换机最基本的管理方式——带外管理的方法。 二、应用环境 网络设备的管理方式可以简单地分为带外管理（out-of-band）和带内管理（in-band）两 种管理模式。所谓带内管理，是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送，简而言之，就是占用业务带宽；而在带外管理模式中，网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送，也就是设备提供专门用于管理的带宽。 目前很多高端的交换机都带有带外网管接口，使网络管理的带宽和业务带宽完全隔离， 互不影响，构成单独的网管网。 通过Console 口管理是最常用的带外管理方式，通常用户会在首次配置交换机或者无法 进行带内管理时使用带外管理方式。 带外管理方式也是使用频率最高的管理方式。带外管理的时候，我们可以采用Windows 操作系统自带的超级终端程序来连接交换机，当然，用户也可以采用自己熟悉的终端程序。Console 口：也叫配置口，用于接入交换机内部对交换机作配置； Console 线：交换机包装箱中标配线缆，用于连接console 口和配置终端。 三、实验设备 1、DCS-3926S 交换机1 台 2、PC 机1 台 3、交换机 console 线1 根 四、实验拓扑 将PC 机的串口和交换机的console 口用console 线如图连接。

五、实验要求 1、正确认识交换机上各端口名称； 2、熟练掌握使用交换机 console 线连接交换机的console 口和PC 的串口； 3、熟练掌握使用超级终端进入交换机的配置界面。 六、实验步骤 第一步：认识交换机的端口。 0/0/1 中的第一个0 表示堆叠中的第一台交换机，如果是1，就表示第2 台交换机；第2 个0 表示交换机上的第1 个模块（DCS-3926s 交换机有3 个模块：网络端口模块（M0），模块1（M1），模块2（M2）；最后的1 表示当前模块上的第1 个网络端口。 0/0/1 表示用户使用的是堆叠中第一台交换机网络端口模块上的第一个网络端口。 默认情况下，如果不存在堆叠，交换机总会认为自己是第0 台交换机。 第二步：连接console 线。 拔插console 线时注意保护交换机的console 口和PC 的串口，不要带电拔插。 第三步：使用超级终端连入交换机。 1、打开微软视窗系统，点击“开始”——“程序”——“附件”——“通讯”——“超级终端”。 2、为建立的超级终端连接取名字：点击后出现下图界面，输入新建连接的名称，系统 会为用户把这个连接保存在附件中的通讯栏中，以便于用户的下次使用。点击“确 定”按扭。

接入交换机常见安全配置

适用场景：1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中，若未指定优先级，则是根据它们的MAC地址（mac小的为主机）来确定谁是主机。优先级为越大越好，范围1-10。出场默认为1。 1、系统时间同步：如果客户有使用 ntp/sntp进行全网统一的时间配置的需求，可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址，此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一：限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二：限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三：使用加密管理协议，使用SSH管理，禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式

交换机接口信息解释

Display interface： [1] GigabitEthernet3/0/1 current state : DOWN 接口状态显示硬件链路的状态 [2] IP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc00-0010 接口的输出帧封装类型和MAC地址显示接口的删除帧封装类型和MAC地址 [3] The Maximum Transmit Unit is 1500 接口的最大传输单元显示接口的最大传输单元 [4] Media type is not sure, loopback not set 端口的连接线类型和环回状态显示接口的连接线类型和环回状态 [5] Port hardware type is No Connector 端口的连接器硬件类型显示接口的连接器硬件类型 [6] Unknown-speed mode, unknown-duplex mode 端口的实际速度和双工状态显示端口的实际速度和双工状态 [7] Link speed type is autonegotiation, link duplex type is autonegotiation 端口是否是速度、双工的自协商配置显示端口速度、双工的自协商配置 [8] Flow-control is not supported 端口流控状态显示端口的MDI类型（不是缺省值的情况显示） 目前以太网有MDI和MDI-X两种类型的接口。MDI称为介质相关接口，MDI-X称为介质非相关接口。市场上常见的以太网交换的端口都属于MDI-X接口，而路由器和PC的端口都属于MDI接口。当MDI-X接口和连接时，需要用直连网线（Normal Cable）；当同一类型号的接口如MDI和MDI、MDI-X和MDI-X连接时，需要采用交叉网线（Cross Cable）。 [9] The Maximum Frame Length is 1536 端口可以正常转发的帧长度显示端口可以正常转发的帧长度 [10] Broadcast MAX-ratio: 100% 端口的广播抑制比显示端口的广播抑制比 [11] Allow jumbo frame to pass 端口是否允许jumbo帧通过显示端口是否允许jumbo帧通过 [12] PVID: 1 端口的PVID 显示端口的PVID pvid，就是指port vid，一般来说，pvid和vid是同时应用的（只要是支持802.1q的交换机），pvid指的是帧进端口的策略，vid指的是帧出端口的策略。进端口时如果帧没有vlan tag，就以pvid值给帧打上tag；如果有tag，就不改变其值。

交换机端口错包排查方法

一、重要性： 从网维排查的用户反应网速慢的故障中，相当一部分是由于交换机和交换机端口、交换机端口和用户路由器端口、交换机端口和光电转换器端口、交换机端口和用户网卡匹配不当，产生错包引起的。该问题虽然比较常见，但只要按交换机开局来配置，通常能降低故障发生率，即使还存在端口错包问题，也能通过改端口速度和双工状态来彻底解决。 二、交换机端口错包说明： 以华为交换机端口为例进行说明： [NJ-A-GJXC-S3026C-1]dis int eth 0/1 Ethernet0/1 current state : UP IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 000f-e21d-bedc Description: to gujiao_33-192.168.86.161 The Maximum Transmit Unit is 1500 Media type is twisted pair, loopback not set Port hardware type is 100_BASE_TX 100Mbps-speed mode, full-duplex mode Link speed type is force link, link duplex type is force link Flow-control is not enabled Port-flow-constrain has not been configured completely The Maximum Frame Length is 1536

交换机的端口管理

交换机的端口管理 一、端口的开启与关闭 通过TELNET登陆交换机（已经对交换机设置了管理IP），二层交换机只能配置一个IP地址，复合业态约定确认管理IP。具体操作步骤见： 1.dis cur 查看当前配置按space 显示完全 2.找到计划关闭的物理端口例如eth1/0/20 3.Sys 进入配置模式 4.Interface eth1/0/20 5.shutdown 关闭端口 dis this查看确认状态 6.undo shutdown 开启端口 dis this 查看状态

二、查看端口的状态与流量 1.查看端口状态 全局模式下 [swtchA]dis interface eth1/0/20

2.查看端口流量 3.举例寻找大流量传输主机步骤。Dis mac Dis arp

三、端口的绑定 mac-address命令 使用mac-address static命令，来完成MAC地址与端口之间的绑定。 [SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1 [SwitchA]mac-address max-mac-count 0 配置说明：由于使用了端口学习功能，故静态绑定mac后，需再

设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习，也就是说端口和主机实现了一对一的绑定。 arp命令 使用特殊的arp static命令，来完成IP地址与MAC地址之间的绑定。 例如： [SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3 配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。 四、报障格式 必备信息：“门店号+门店名+posserver 地址” 网络状态描述：ping 数据中心网关是否正常，ping posserver 地址是否正常。

华为交换机端口提示CRC错误解决方法

华为交换机端口提示CRC错误解决方法 1、问题现象 查询端口计数，发现端口有大量的CRC错包，并且不断增长。 [HUAWEI-GigabitEthernet0/0/1]display this interface GigabitEthernet0/0/1 current state : UP Line protocol current state : UP Unicast : 888962,Multicast : 0 Broadcast : 0,Jumbo : 0 CRC : 4782,Giants : 0 Jabbers : 0,Throttles : 0 Runts : 0,DropEvents : 0 2、解决方案 首先将两端的端口协商模式设置为一致，设置成非自协商模式，或均设置成自协商模式，结果问题依旧。最后更换网线解决。 3、经验总结 CRC错包一般是由于物理链路问题造成的，出现CRC错包后，首先要排除物理链路的影响。 交换机端口错误包分类 （1）input errors： 各种输入错误的总数，显示范围是20bit。 （2）runts： 表示接收到的超小帧个数。超小帧即接收到的报文小于64字节，且包括有效的CRC字段，报文格式正确。 （3）giants： 表示接收到的超长帧个数。超长帧即接收到的有效报文字节长度大于1518（如果是带tag报文，大于1522），且小于设备能接收的超长帧最大值（1536）。（4）CRC： 表示接收到的CRC校验错误报文个数，即接收到的报文在64～1518（带tag报文是1522）字节范围内，且字节是整数，而CRC校验错误。 （5）frame： 也是CRC校验出错报文个数，报文字节不是整数，其他同上。 （6）aborts：

交换机配置—交换机接口管理

交换机配置—交换机接口管理 交换机借助对接口传输控制的配置，不但可以调整客户端接入的速度，同时也可以有效杜绝广播风暴对整个网络的冲击，从而保证网络的正常通信。另外，又可以拒绝未被授权的计算机接入网络，或者限制某个接口接入计算机的数量，从而保证网络的接入安全，避免网络被个别用户滥用。 以太网交换机根据接口实现的功能分类，包括以下几种： ●基于接口的VLAN（Port-Based VLANs） ●交换接口（Switch Ports） ●以太网通道接口组（Etherchannel Port Groups） ●交换虚拟接口（Switch Virtual Interfaces） ●被路由接口（Routed Ports） ●连接接口（Connecting Interfaces） 1．接口配置参数 为了配置一个物理接口（或逻辑接口）属性，必须先进入接口配置模式，并且指定接口的Type、Slot和Port Number。 （1）Type参数 Type是指10/100的Fast Ethernet（fastethernet or fa）或者Gigabit Ethernet（gigabitethernet or gi）。 （2）Slot参数 Slot是交换机上的插槽号码，例如，在Catalyst3550上，插槽号码是0，而在Catalyst6509上则可能是1或者2。 （3）Port Numbe参数 最后需要指定Port Numbe，即交换机上的接口号，接口号码总是以1开头，面对交换机正面从左开始，例如，gigabitethernet 0/1、gigabitethernet 0/2。 检查接口状态之前，首先要分清交换机槽号和接口号。当指定特定接口时，其命令语法为：mod_num/port_num（模块号/接口号）。例如，2/1表示指定位于模块2上的接口1。通常情况下，模块的排序为从上到下，顶端为1；接口的排序从左至右，左侧为1。