Cisco交换机端口类常用故障排错 方法

Cisco交换机端口类常用故障排错：

在日常工作中，若遇到以下交换机端口类故障，可采取以下方法解决：

一、常用命令解释：

交换机10号端口Status状态为"administratively down",Protocol状态为"down"。

二、关于err-disabled状态的相关问题：

1、err-disabled状态的作用：

通常情况下,如果交换机运转正常,其中端口一项显示为启用(enable)状态。但是如果交换机的软件(CISCO IOS/CatOS)检测到端口的一些错误,端口将随即被关闭。也就是说,当交换机的操作系统检测到交换机端口发生些错误事件的时候,交换机将自动关闭该端口。

当端口处于err-disabled状态,将没有任何流量从该端口被转发出去,也将不接收任何进站流量。从交换机外观上看去,端口相对应的LED状态灯也将由正常的绿色变为暗黄色。同时使用查看端口状态的一些命令,比如show interfaces,也会看到端口是处于err-disabled状态的。

err-disabled的两个作用的：

1.告诉管理员端口状态出错。

2.消除因某个端口的错误导致所有端口,或者整个模块功能的出错。

2、err-disabled状态的起因：

如下是端口处于err-disabled状态的几种原因:

1.双工不匹配.【可通过在端口模式（config-if）#，shutdown--->no shutdown解决】

2.端口信道的错误配置.【建议报修处理】

3.违反BPDU守护(BPDU Guard)特性.【建议报修处理】

4.单向链路检测(UDLD).【建议报修处理】

5.检测到后期冲突.【建议报修处理】

6.链路振荡.(link-flap)【可通过在端口模式（config-if）#，shutdown--->no shutdown解决】

7.违反某些安全策略.【可通过在端口模式（config-if）#，shutdown--->no shutdown解决】

8.端口聚合协议(PAgP)的振荡.【建议报修处理】

9.层2隧道协议(L2TP)守护(L2TP Guard).【建议报修处理】

交换机端口安全性

交换机端口安全性 【实验名称】 交换机端口安全性 【实验目的】 理解什么是交换机的端口安全性，如何配置端口安全性。 【背景描述】 从网络管理的安全性考虑，某企业网络管理员想对交换机上端口的访问权限做些限制，通过限制允许访问交换机某个端口的MAC地址以及IP地址（可选）来实现严格控制对该端口的输入。现在要通过在交换机上做适当配置来实现这一目标。 本实验以一台S2126G交换机为例，交换机名为SwitchA。一台PC机通过串口（Com）连接到交换机的控制（Console）端口，通过网卡(NIC)连接到交换机的fastethernet 0/1端口。假设该PC机的IP地址为192.168.0.137 ，网络掩码为255.255.255.0 ，MAC地址为00-E0-98-23-95-26，为了验证实验的效果，另准备一台PC机，其IP地址设为192.168.0.150 ，网络掩码为255.255.255.0 。 【实现功能】 通过在交换机上设置端口安全性来实现对网络访问的控制。 【实验拓扑】 F0/1Console NIC Com PC 【实验设备】 S2126G（1台） 【实验步骤】 第一步：在交换机上配置管理接口IP地址 SwitchA(config)# interface vlan 1 ！进入交换机管理接口配置模式 SwitchA(config-if)# ip address 192.168.0.138 255.255.255.0 ！配置交换机管理接口IP地址

SwitchA(config-if))# no shutdown ！开启交换机管理接口 验证测试：验证交换机管理IP地址已经配置和开启，PC机与交换机有网络连通性SwitchA#show ip interface ！验证交换机管理IP地址已经配置，管理接口已开启Interface : VL1 Description : Vlan 1 OperStatus : up ManagementStatus : Enabled Primary Internet address: 192.168.0.138/24 Broadcast address : 255.255.255.255 PhysAddress : 00d0.f8ef.9d08 SwitchA#ping 192.168.0.137 ！验证交换机与PC机具有网络连通性 Sending 5, 100-byte ICMP Echos to 192.168.0.137, timeout is 2000 milliseconds. !!!!! Success rate is 100 percent (5/5) Minimum = 1ms Maximum = 3ms, Average = 1ms 第二步：打开交换机上fastethernet 0/1接口的端口安全功能 SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)#switchport mode access ！配置fastethernet 0/1接口为access模式SwitchA(config-if)#switchport port-security ！在fastethernet 0/1接口上打开端口安全功能 验证测试：验证已开启fastethernet 0/1接口的端口安全功能 SwitchA#show port-security interface fastethernet 0/1 Interface : Fa0/1 Port Security : Enabled Port status : up Violation mode : Protect Maximum MAC Addresses : 128 Total MAC Addresses : 0 Configured MAC Addresses : 0 Aging time : 0 mins Secure static address aging : Disabled 第三步：配置安全端口上的安全地址(可选) SwitchA(config)# interface fastethernet 0/1 SwitchA(config-if)# switchport port-security mac-address 00e0.9823.9526 ip-address 192.168.0.137 ! 手工配置接口上的安全地址 验证测试：验证已配置了安全地址 SwitchA#show port-security address

第八章实验讲义-- 交换机基本配置端口安全与STP

第12章交换机基本配置 交换机是局域网中最重要的设备，交换机是基于MAC来进行工作的。和路由器类似，交换机也有IOS，IOS的基本使用方法是一样的。本章将简单介绍交换的一些基本配置。关于VLAN和Trunk等将在后面章节介绍。 12.1 交换机简介 交换机是第2层的设备，可以隔离冲突域。交换机是基于收到的数据帧中的源MAC地址和目的MAC地址来进行工作的。交换机的作用主要有两个：一个是维护CAM（Conetxt Address Memory）表，该表是计算机的MAC地址和交换端口的映射表；另一个是根据CAM 来进行数据帧的转发。交换对帧的处理有3种：交换机收到帧后，查询CAM表，如果能查询到目的计算机所在的端口，并且目的计算机所在的端口不是交换接收帧的源端口，交换机将把帧从这一端口转发出去（Forward）；如果该计算机所在的端口和交换机接收帧的源端口是同一端口，交换机将过滤掉该帧（Filter）；如果交换机不能查询到目的计算机所在的端口，交换机将把帧从源端口以外的其他所有端口上发送出去，这称为泛洪（Flood），当交换机接收到的帧是广播帧或多播帧，交换机也会泛洪帧。 12.2 实验0：交换机基本配置 1.实验目的: 通过本实验，可以掌握交换机的基本配置这项技能。 2.实验拓扑 实验拓扑图如图12-2所示。 图12-2 实验1拓扑图 3.实验步骤 （1）步骤1：通过PC0以Console方式登录交换机Switch0. 注意配置PC0上的终端. 登录成功后, 通过PC0配置交换机Switch0的主机名 Switch>enable Switch#conf terminal

实验四 交换机端口安全技术

交换机端口安全技术 24.1 实验内容与目标 完成本实验，应该能够达到以下目标。 ● 掌握802.1x 的基本配置 ● 掌握端口隔离基本配置 ● 掌握端口绑定技术基本配置 24.2 实验组网图 本实验按照实验图24-1进行组网。 PCA PCB SWA 实验图24-1 实验组网图 24.3 实验设备与版本 本实验所需之主要设备器材如实验表24-1所示。 实验表 24-1 实验设备器材 24.4 实验过程 实验任务一 配置802.1x 本实验通过在交换机上配置802.1x 协议，使接入交换机的PC 经

过认证后才能访问网络资源。通过本实验，掌握802.1x认证的基本 原理和802.1x本地认证的基本配置。 步骤一：建立物理连接并初始化交换机配置。 按实验组网图进行物理连接，并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用默认的配置参数进行初始化。 步骤二：检查互通性。 分别配置PCA、PCB的IP地址为172.16.0.1/24、172.16.0.2/24。配置完成后，在PCA上用ping命令来测试到PCB的互通性，其结果是。 步骤三：配置802.1x协议。 实现在交换机SWA上启动802.1x协议，过程如下： 首先需要分别在和开启802.1x认证功能，在 下面的空格中补充完整的命令。 [SWA] [SWA]dot1x 其次在SWA上创建本地802.1x用户，用户名为abcde，密码为 明文格式的12345，该用户的服务类型server-type是，在如下的空格中完成该本地用户的配置命令。 步骤四：802.1x验证。 配置完成后，再次在PCA上用ping命令来测试到PCB的互通性，其结果是。 导致如上结果的原因是交换机上开启了802.1x认证，需要在客 户端配置802.1x认证相关属性。 PC可以使用802.1x客户端软件或Windows系统自带客户端接入交换机，本实验以Windows系统自带客户端为例说明如何进行设置。 在Windows操作系统的“控制面板”窗口中双击“网络和Internet 连接”图标，在弹出的窗口中双击“网络连接”图标，在弹出的窗口中右击“本地连接”图标，执行“属性”命令，如实验图24-2所示。 再选择“验证”选项卡，并选中“启用此网络的IEEE802.1x验证”复选框，如实验图24-3所示，然后单击“确定”按钮，保存退

交换机常见的故障类型及分析排查

交换机常见的故障类型及分析排查交换机运行中出现故障是不可避免的，但出现故障后应当迅速地进行处理，尽快查出故障点，排除故障，这是网管人员应尽的职责。但是要做到这一点，就必须了解交换机故障的类型及具备对故障进行分析和处理的能力。为此，本文就交换机常出现的故障类型及分析排查的方法进行简要的介绍。 电源故障 由于外部供电不稳定，电源线路老化或者雷击等原因导致电源损坏或者风扇停转，以致不能正常工作。或者由于电源缘故导致机内其他部件的损坏都会使交换机出现问题。 假如交换机面板上的POWER指示灯是绿色的，就表示是正常的;假如该指示灯灭了，则说明交换机没有正常供电。这类问题很轻易发现，也很轻易解决，同时也是最轻易预防的。 针对这类故障，首先应该做好外部电源的供给工作，一般通过引入独立的电力线来提供独立的电源，并添加稳压器来避免瞬间高压或低压现象。假如条件答应，可以添加UPS(不间断电源)来保证交换机的正常供电，有的UPS提供稳压功能，而有的没有，选择时要注重。在机房内设置专业的避雷措施，来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司，实施网络布线时可以考虑。

端口故障 这是最常见的硬件故障，无论是光纤端口还是双绞线的RJ-45端口，在插拔接头时一定要小心。假如不小心把光纤插头弄脏，可能导致光纤端口污染而不能正常通信。我们经常看到很多人喜欢带电插拔接头，理论上讲是可以的，但是这样也无意中增加了端口的故障发生率。在搬运时不小心，也可能导致端口物理损坏。假如购买的水晶头尺寸偏大，插入交换机时，也轻易破坏端口。此外，假如接在端口上的双绞线有一段暴露在室外，万一这根电缆被雷电击中，就会导致所连交换机端口被击坏，或者造成更加不可预料的损伤。 一般情况下，端口故障是某一个或者几个端口损坏。所以，在排除了端口所连计算机的故障后，可以通过更换所连端口，来判定其是否损坏。碰到此类故障，可以在电源关闭后，用酒精棉球清洗端口。假如端口确实被损坏，那就只能更换端口了。 模块故障 交换机是由很多模块组成，比如：堆叠模块、治理模块(也叫控制模块)、扩展模块等。这些模块发生故障的几率很小，不过一旦出现问题，就会遭受巨大的经济损失。假如插拔模块时不小心，或者搬运交换机时受到碰撞，或者电源不稳定等情况，都可能导致此类故障的发生。 当然上面提到的这3个模块都有外部接口，比较轻易辨认，有的还可以通过模块上的指示灯来辨别故障。比如：堆叠模块上有一个扁平的

思科交换机安全 做 802.1X、port-security案例

端口和MAC绑定：port-security 基于DHCP的端口和IP,MAC绑定：ip source guard 基于DHCP的防止ARP攻击：DAI 防止DHCP攻击：DHCP Snooping cisco所有局域网缓解技术都在这里了！ 常用的方式： 1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全；很多名字，有些烦 当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息 示例配置： Router#config ure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式，正常的通过认证和授权过程 强制授权方式：不通过认证，总是可用状态 强制不授权方式：实质上类似关闭了该接口，总是不可用

cisico 二层交换机端口错包排查方法

CISCO二层交换机端口错包排查方法，以C2950为例进行说明 ①交换机端口原来配置 2950#sh ru int fa0/3 interface FastEthernet0/3 description test switchport access vlan 100 no ip address duplex full speed 100 end ②交换机端口原来数据包统计, 2950#sh int fa0/3 FastEthernet0/3 is up, line protocol is up (connected) Hardware is Fast Ethernet, address is 000d.bd98.1c43 (bia 000d.bd98.1c43) Description: test MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 100Mb/s input flow-control is off, output flow-control is off ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 00:00:01, output hang never Last clearing of "show interface" counters 21w6d Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute ouxtput rate 0 bits/sec, 0 packets/sec 330574221 packets input, 78353246 bytes, 0 no buffer Received 372 broadcasts, 0 runts, 0 giants, 0 throttles 3540 input errors, 3540 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 0 multicast, 0 pause input 0 input packets with dribble condition detected 307917156 packets output, 176359999 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 PAUSE output

思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)

网络拓扑图如下： 根据图示连接设备。 在本次试验中，具体端口情况如上图数字标出。核心交换机（core ）设置为s1或者SW1，汇聚层交换机（access）设置为s2或者SW2。 IP 地址分配： Router：e0：：f0/1: 接口：Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址：区域网段地址： PC1：PC2：路由器清空配置命令： en erase startup-config Reload 交换机清空配置命令： en erase startup-config

delete Reload 加速命令： en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配，防止OFFICE 网络发生ARP 攻击，不允许OFFICE 网段PC 互访；STUDENTS 区域主机输入正确的学号和密码后接入网络，自动获取地址，阻止STUDENTS网段地址发生ARP攻击； 1、基本配置 SW1的配置： SW1(config)#vtp domain cisco 然后在pc上进入接口，设置为DHCP获取地址,命令如下： int f0/1 ip add dhcp 查看结果：

5、Student区域ARP防护： SW2配置如下： ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量，此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址，就可以发现端口down状态，修改mac地址命令如下： pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证： 服务器地址为：vlan 30 //创建vlan 30的原因：在sw1、sw2中配置svi口，服务器的地址为，使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机，所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct

交换机的端口安全配置

【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： ? protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 ? restrict 当违例产生时，将发送一个Trap通知。 ? shutdown 当违例产生时，将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。【实验设备】 S2126G交换机（1台），PC（1台）、直连网线（1条）

总结交换机常见故障的分类和排障步骤

总结交换机常见故障的一般分类和排障步骤 交换机的优越性能和价格的大幅度下降，促使了交换机的迅速普及。 网络管理员在工作中经常会遇到各种各样的交换机故障，如何迅速、准确地查出故障并排除故障呢?本文就常见的故障类型和排障步骤做一个简单的介绍。由于交换机在公司网络中应用范围非常广泛，从低端到中端，从中端到高端，几乎涉及每个级别的产品，所以交换机发生故障的机率比路由器，硬件防火墙等要高很多，这也是为什么我们首先讨论交换机故障的分类与排除故障步骤的原因。 一，交换机故障分类: 交换机故障一般可以分为硬件故障和软件故障两大类。硬件故障主要指交换机电源、背板、模块、端口等部件的故障，可以分为以下几类。 (1)电源故障: 由于外部供电不稳定，或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止，从而不能正常工作。由于电源缘故而导致机内其他部件损坏的事情也经常发生。 如果面板上的POWER指示灯是绿色的，就表示是正常的;如果该指示灯灭了，则说明交换机没有正常供电。这类问题很容易发现，也很容易解决，同时也是最容易预防的。 针对这类故障，首先应该做好外部电源的供应工作，一般通过引入独立的电力线来提供独立的电源，并添加稳压器来避免瞬间高压或低压现象。如果条件允许，可以添加UPS(不间断电源)来保证交换机的正常供电，有的UPS提供稳压功能，而有的没有，选择时要注意。在机房内设置专业的避雷措施，来避免雷电对交换机的伤害。现在有很多做避雷工程的专业公司，实施网络布线时可以考虑。 (2)端口故障: 这是最常见的硬件故障，无论是光纤端口还是双绞线的RJ-45端口，在插拔接头时一定要小心。如果不小心把光纤插头弄脏，可能导致光纤端口污染而不能正常通信。我们经常看到很多人喜欢带电插拔接头，理论上讲是可以的，但是这样也无意中增加了端口的故障发生率。在搬运时不小心，也可能导致端口物理损坏。如果购买的水晶头尺寸偏大，插入交换机时，也容易破坏端口。此外，如果接在端口上的双绞线有一段暴露在室外，万一这根电缆被雷电击中，就会导致所连交换机端口被击坏，或者造成更加不可预料的损伤。

cisco交换机的端口安全配置

【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能，控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。例如：某员工分配的IP地址是172.16.1.55/24，主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数，并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定，可以针对IP地址、MAC地址、IP＋MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗，IP地址攻击等。 配置了交换机的端口安全功能后，当实际应用超出配置的要求，将产生一个安全违例，产生安全违例的处理方式有3种： ? protect 当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 ? restrict 当违例产生时，将发送一个Trap通知。 ? shutdown 当违例产生时，将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。【实验设备】 S2126G交换机（1台），PC（1台）、直连网线（1条）

交换机端口错误包类型

错误报分类： 1）input errors： 各种输入错误的总数，显示范围是20bit。 （2）runts： 表示接收到的超小帧个数。超小帧即接收到的报文小于64字节，且包括有效的CRC字段，报文格式正确。（3）giants： 表示接收到的超长帧个数。超长帧即接收到的有效报文字节长度大于1518（如果是带tag报文，大于1522），且小于设备能接收的超长帧最大值（1536）。 （4）CRC： 表示接收到的CRC校验错误报文个数，即接收到的报文在64～1518（带tag报文是1522）字节范围内，且字节是整数，而CRC校验错误。 （5）frame： 也是CRC校验出错报文个数，报文字节不是整数，其他同上。 （6）aborts： 表示接收到的非法报文总数，包括：○1报文碎片：小于64字节，且CRC校验错误（报文字节是整数或非整数）。○2jabber帧：大于1518（tag报文是1522）字节，且CRC校验错误（报文字节是整数或非整数）。○3符号错误帧：报文中至少包含1各错误的符号，其他部分合法。○4携带错误帧：在空闲阶段发现的错误携带帧。○5操作码未知帧：报文是MAC控制帧，但不是Pause帧。○6长度错误帧：报文中802.3长度字段与报文实际长度（46～1500字节）不匹配，但不包括802.3长度字段无效（如Ether Type）的报文。 （7）ignored： 表示在端口接收报文时因各种原因丢弃的报文总数。 4. 输出错误统计值详解 （1）output errors：

各种输出错误的总数，显示范围是20bit。 （2）aborts： 表示发送失败的报文总数，指已经开始发送，但由于各种原因（如冲突）而导致发送失败的报文。该项统计包括各类发送失败的报文，无论是二层或是三层转发。 （3）deferred： 表示延迟报文的总数。报文延迟是指因延迟过长的周期而导致发送失败的报文，而这些报文由于发送媒质繁忙而等待了超过2倍的最大报文发送时间。 （4）collisions： 表示冲突帧总数，即在发送过程中发生冲突的报文。冲突是指DO和RD信号同时出现，即发送和接收同时发生。（5）late collisions： 表示延迟冲突帧，即发送过程中发生延迟冲突超过512bit时间的帧。 （6）lost carrier： 表示在空闲阶段发现的错误携带帧的总数。

思科交换机端口安全(Port-Security)

思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全（Port-Security） 1、Cisco29系列交换机可以做基于2层的端口安全，即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全，即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用： a、设定一端口只接受第一次连接该端口的计算机mac地址，当该端口第一次获 得某计算机mac地址后，其他计算机接入到此端口所发送的数据包则认为非法，做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址，其他计算机均无法接入到此端口。 4、破解方法：网上前辈所讲的破解方法有很多，主要是通过更改新接入计算机网卡的mac地址来实现，但本人认为，此方法实际应用中基本没有什么作用，原因很简单，如果不是网管，其他一般人员平时根本不可能去注意合法计算机的mac地址，一般情况也无法进入合法计算机去获得mac地址，除非其本身就是该局域网的用户。

5、实现方法： 针对第3条的两种应用，分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址： Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机，端口处理模式{丢弃数据包，不发警告| 丢弃数据包， 在console发警告| 关闭端口为err-disable状态，除非管理员手工激活，否则该端口失效。 b、接受某特定计算机mac地址： Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky

交换机接口信息解释

Display interface： [1] GigabitEthernet3/0/1 current state : DOWN 接口状态显示硬件链路的状态 [2] IP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc00-0010 接口的输出帧封装类型和MAC地址显示接口的删除帧封装类型和MAC地址 [3] The Maximum Transmit Unit is 1500 接口的最大传输单元显示接口的最大传输单元 [4] Media type is not sure, loopback not set 端口的连接线类型和环回状态显示接口的连接线类型和环回状态 [5] Port hardware type is No Connector 端口的连接器硬件类型显示接口的连接器硬件类型 [6] Unknown-speed mode, unknown-duplex mode 端口的实际速度和双工状态显示端口的实际速度和双工状态 [7] Link speed type is autonegotiation, link duplex type is autonegotiation 端口是否是速度、双工的自协商配置显示端口速度、双工的自协商配置 [8] Flow-control is not supported 端口流控状态显示端口的MDI类型（不是缺省值的情况显示） 目前以太网有MDI和MDI-X两种类型的接口。MDI称为介质相关接口，MDI-X称为介质非相关接口。市场上常见的以太网交换的端口都属于MDI-X接口，而路由器和PC的端口都属于MDI接口。当MDI-X接口和连接时，需要用直连网线（Normal Cable）；当同一类型号的接口如MDI和MDI、MDI-X和MDI-X连接时，需要采用交叉网线（Cross Cable）。 [9] The Maximum Frame Length is 1536 端口可以正常转发的帧长度显示端口可以正常转发的帧长度 [10] Broadcast MAX-ratio: 100% 端口的广播抑制比显示端口的广播抑制比 [11] Allow jumbo frame to pass 端口是否允许jumbo帧通过显示端口是否允许jumbo帧通过 [12] PVID: 1 端口的PVID 显示端口的PVID pvid，就是指port vid，一般来说，pvid和vid是同时应用的（只要是支持802.1q的交换机），pvid指的是帧进端口的策略，vid指的是帧出端口的策略。进端口时如果帧没有vlan tag，就以pvid值给帧打上tag；如果有tag，就不改变其值。

接入交换机常见安全配置

适用场景：1-24口下联P C用户,25口下联二层网管交换机,26口上联汇聚交换机 堆叠环境中，若未指定优先级，则是根据它们的MAC地址（mac小的为主机）来确定谁是主机。优先级为越大越好，范围1-10。出场默认为1。 1、系统时间同步：如果客户有使用 ntp/sntp进行全网统一的时间配置的需求，可在设备上做Ruijie(config)#hostname TSG#5750 //给交换机命名 Ruijie(config)#sntp enable //首先开启 sntp 服务 Ruijie(config)#sntp server 210.72.145.44 //配置服务器IP地址，此为国家授时中心服务器IP 地址 Ruijie(config)#sntp interval 36000 // 配置sntp交互的时间间隔 措施一：限制远程管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#line vty 0 35 Ruijie(config-line)#access-class 99 in 措施二：限制SNMP管理源地址 Ruijie(config)#access-list 99 permit host 192.168.1.100 //配置控制列表，严格限定允许ip Ruijie(config)#snmp-server community ruijie rw 99 措施三：使用加密管理协议，使用SSH管理，禁用Telnet协议 Ruijie(config)#no enable service telnet-server //禁用telnet管理 Ruijie(config)#enable service ssh-server //启用SSH管理 Ruijie(config)#crypto key generate dsa //设置ssh加密模式

H3C交换机端口绑定与端口安全

H3C端口绑定与端口安全 端口安全: 1.启用端口安全功能 [H3C]port-security enable 2.配置端口允许接入的最大MAC地址数 [H3C-Ethernet1/0/3]port-security max-mac-count count-value 缺省情况下,最大数不受限制为0 3.配置端口安全模式 [H3C-Ethernet1/0/3]port-security port-mode { autolearn ｜noRestriction… } 4.手动添加Secure MAC地址表项 [H3C-Ethernet1/0/3] mac-address security mac-address vlan vlan-id 5.配置Intrusion Protection(Intrusion Protection被触发后,设置交换机采取的动作) [H3C-Ethernet1/0/3]port-security intrusion-mode { blockmac | disableport | disableport -temporarily } 验证命令: display port-security [ interface interface-list ] 显示端口安全配置的相关信息display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] 显示Secure MAC地址的配置信息

端口+IP+MAC绑定 方法一: [H3C]am user-bind mac-addr B888-E37B-CE2C ip-addr 192、168、1、106 interface Ethernet 1/0/3 方法二: [H3C-Ethernet1/0/3] am user-bind mac-addr B888-E37B-CE2C ip-addr 192、168、1、106 验证命令: [H3C]display am user-bind 显示端口绑定的配置信息 端口+IP绑定 [H3C-Ethernet1/0/3] am user-bind ip-addr 192、168、1、106 注: 交换机只要接收一个3层表项,交换机使用动态ARP产生一条arp条目。选用交换机时应该注意交换机所支持的最大ARP表项的数目。

交换机端口错包排查方法

一、重要性： 从网维排查的用户反应网速慢的故障中，相当一部分是由于交换机和交换机端口、交换机端口和用户路由器端口、交换机端口和光电转换器端口、交换机端口和用户网卡匹配不当，产生错包引起的。该问题虽然比较常见，但只要按交换机开局来配置，通常能降低故障发生率，即使还存在端口错包问题，也能通过改端口速度和双工状态来彻底解决。 二、交换机端口错包说明： 以华为交换机端口为例进行说明： [NJ-A-GJXC-S3026C-1]dis int eth 0/1 Ethernet0/1 current state : UP IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 000f-e21d-bedc Description: to gujiao_33-192.168.86.161 The Maximum Transmit Unit is 1500 Media type is twisted pair, loopback not set Port hardware type is 100_BASE_TX 100Mbps-speed mode, full-duplex mode Link speed type is force link, link duplex type is force link Flow-control is not enabled Port-flow-constrain has not been configured completely The Maximum Frame Length is 1536

开启Cisco交换机DHCP Snooping功能

开启Cisco交换机DHCP Snooping功能 一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。但在DHCP服务的管理上存在一些问题，常见的有： ●DHCP Server的冒充 ●DHCP Server的DOS攻击，如DHCP耗竭攻击 ●某些用户随便指定IP地址，造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。 2、DHCP Server的拒绝服务攻击 通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的，但由于DHCP请求报文是广播报文，如果大量发送的话也会耗尽网络带宽，形成另一种拒绝服务攻击。 3、客户端随意指定IP地址 客户端并非一定要使用DHCP服务，它可以通过静态指定的方式来设置IP地址。如果随便指定的话，将会大大提高网络IP地址冲突的可能性。 二、DHCP Snooping技术介绍 DHCP监听（DHCP Snooping）是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP 监听特性。通过这种特性，交换机能够拦截第二层VLAN域内的所有DHCP报文。 DHCP监听将交换机端口划分为两类： ●非信任端口：通常为连接终端设备的端口，如PC，网络打印机等 ●信任端口：连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 通过开启DHCP监听特性，交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如DHCP Offer报文等。而且，并非所有来自用户端口的DHCP请求都被允许通过，交换机还会比较DHCP 请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬