为您找到与思科交换机故障排查相关的共200个结果:
众所周知思科Cisco路由器是世界上一流的,他的相关操作也跟别的路由器不太一样,那你知道怎么组装思科第三层交换机吗?下面是读文网小编整理的一些关于怎么组装思科第三层交换机的相关资料,供你参考。
首先我们要了解第二层交换机的局限
但这些廉价交换机都是所谓的“第二层交换机”。它工作在OSI模型的第二层——数据链路层,它通过建立在内存中的交换表,来记录数据帧中所包含的计算机网卡的MAC地址和相关联的端口。交换机只将数据帧传递到相应的端口,如果交换表中没有目的地址的记录,它就只能以广播的方式发往所有端口。因此,目前所有的交换机都提供了划分VLAN的功能。VLAN划分一般是由端口来指定的,数据帧只会被发送到同一VLAN的端口,这样也就提高了性能,节省了带宽。
不过,这种交换机只能用在结构不太复杂的网络上,比如整个网络只有一个网段,或是虽有不同的网段,但网段之间的计算机互不访问等场合。对于其它的情况,这种交换机就显得功能不足了,因此它们往往只用作大型网络的支干交换机,负责“交换到桌面”的最后一道交换。而主干交换机就要用到“第三层交换机”,简单地说,“第三层交换机”就是增加了路由功能的“第二层交换机”,它使得用户的数据可以在网际间传送而不需要另外的路由器,而且其转发速度高于普通路由器(超级路由器当然除外)。但是功能的增强,不可避免地导致价钱的升高,相对于不到千元的第二层交换机,第三层交换机的价格一般都在几万元以上,这当然也与这些交换机并不普及有关。
接着开始“组装”第三层交换机
这就让一些单位在选择网络设备时感到为难,高端交换机价格不菲,低端交换机不能满足要求,最后只能退而求其次,仍然用路由器和集线器来构建网络。其实在要求不太高的情况,我们可以用其它设备作为网关来实现“第二层交换机”到“第三层交换机”的升级。既然“第三层交换机”可以认为是路由器加上普通交换机构成的,最简单的做法当然就是添加路由器了,不过安装了Windows 2000 Server操作系统的计算机也可做到,尤其现在计算机配件价格大降,组装一台够要求的机器仅仅五六千元而已。但要注意的是:使用两块网卡来连接两个网段的方法在这里是不行的,那样这台机器虽然可以被任何网段访问到,但以它为网关来访问其它不同网段的机器是无法做到的。
我们假定这个网络由两个网段组成:网段一的网络地址是100.100.100.0,掩码是255.255.255.0;网段二的网络地址是100.100.101.0,掩码也是255.255.255.0。计算机通过普通交换机相连,现在希望这两个网段能互相访问。显然,这时不能用VLAN将它们隔开。
路由器设置
用双绞线将路由器与交换机的任一端口相连,配置路由器的局域网口对应不同网段的两个IP地址。命令如下:IP ADDR 100.100.100.1 255.255.255.0。其它计算机只需将网关设为同网段的路由器地址,就可访问另一网段的机器。对于更多网段的情况,只需继续在路由器上配置地址即可。
看过文章“怎么组装思科第三层交换机”
浏览量:2
下载量:0
时间:
思科拥有丰富的行业经验、先进的技术,路由器功能也在世界遥遥领先,那么你知道思科如何配置跨交换机相同VLAN间通讯吗?下面是读文网小编整理的一些关于思科如何配置跨交换机相同VLAN间通讯的相关资料,供你参考。
Switch>en
Switch>enable
Switch#conf
Switch#configure
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname SWA
SWA(config)#in v
SWA(config)#in vlan 1
SWA(config-if)#ip add 192.168.1.4 255.255.255.0
SWA(config-if)#no shut
SWA(config-if)#no shutdown
%LINK-5-CHANGED: Interface Vlan1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
SWA(config-if)#exit
SWA(config)#v
SWA(config)#vl
SWA(config)#vlan 100
SWA(config-vlan)#exit
SWA(config)#vl
SWA(config)#vlan 200
SWA(config-vlan)#exit
SWA(config)#in r
SWA(config)#in range f0/1-8
SWA(config-if-range)#sw
SWA(config-if-range)#switchport m
SWA(config-if-range)#switchport mode a
SWA(config-if-range)#switchport mode access
SWA(config-if-range)#sw
SWA(config-if-range)#switchport a
SWA(config-if-range)#switchport access v
SWA(config-if-range)#switchport access vlan 100
SWA(config-if-range)#exit
SWA(config)#in r
SWA(config)#in range f0/9-16
SWA(config-if-range)#sw
SWA(config-if-range)#switchport m
SWA(config-if-range)#switchport mode a
SWA(config-if-range)#switchport mode access
SWA(config-if-range)#sw
SWA(config-if-range)#switchport a
SWA(config-if-range)#switchport access v
SWA(config-if-range)#switchport access vlan 200
SWA(config-if-range)#exit
SWAconfig)#in f0/24
SWA(config-if)#sw
SWA(config-if)#switchport m
SWA(config-if)#switchport mode t
SWA(config-if)#switchport mode trunk
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
SWA(config-if)#sw
SWA(config-if)#switchport t
SWA(config-if)#switchport trunk a
SWA(config-if)#switchport trunk allowed v
SWA(config-if)#switchport trunk allowed vlan a
SWA(config-if)#switchport trunk allowed vlan al
SWA(config-if)#switchport trunk allowed vlan all
SWA(config-if)#exit
SWA(config)#
另外一个交换机也是相同配置方法 只需要修改IP地址。
看过文章“思科如何配置跨交换机相同VLAN间通讯"
浏览量:3
下载量:0
时间:
思科依靠自身的技术和对网络经济模式的深刻理解,成为了网络应用的成功实践者之一,那么你知道思科交换机DHCPSnooping的功能是什么吗?下面是读文网小编整理的一些关于思科交换机DHCPSnooping的相关资料,供你参考。
采用DHCP服务的常见问题
架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有:
●DHCP Server的冒充
●DHCP Server的DOS攻击,如DHCP耗竭攻击
●某些用户随便指定IP地址,造成IP地址冲突
1、DHCP Server的冒充
由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数,那就会对网络造成非常大的危害。
2、DHCP Server的拒绝服务攻击
通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造 MAC的方式发送DHCP请求,但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性(PortSecurity)可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源 MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以攻击者可以通过大量发送伪造CHADDR的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击,也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时,攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址,使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和 CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。
3、客户端随意指定IP地址
客户端并非一定要使用DHCP服务,它可以通过静态指定的方式来设置IP地址。如果随便指定的话,将会大大提高网络IP地址冲突的可能性。
DHCP Snooping技术介绍
DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。
DHCP监听将交换机端口划分为两类:
●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等
●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口
通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如 DHCPOffer报文等。而且,并非所有来自用户端口的DHCP请求都被允许通过,交换机还会比较DHCP请求报文的(报文头里的)源MAC地址和(报文内容里 的)DHCP客户机的硬件地址(即CHADDR字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。这样就防止了DHCP耗竭攻击。信任端口可以 接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口,其他端口设置为非信任端口,就可以防止用户伪造DHCP服务器来攻击网络。DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速,将可以阻止合法DHCP请求报文的广播攻击。DHCP 监听还有一个非常重要的作用就是建立一张DHCP监听绑定表(DHCP SnoopingBinding)。一旦一个连接在非信任端口的客户端获得一个合法的DHCPOffer,交换机就会自动在DHCP监听绑定表里添加一个 绑定条目,内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。如:
Switch#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ----------------- ----------------
00:0F:1F:C5:10:08 192.168.10.131 682463 dhcp-snooping10 FastEthernet0/1
这张DHCP监听绑定表为进一步部署IP源防护(IPSG)和动态ARP检测(DAI)提供了依据。说明:
I.非信任端口只允许客户端的DHCP请求报文通过,这里只是相对于DHCP报文来说的。其他非DHCP报文还是可以正常转发的。这就表示客户端可以以静态指定IP地址的方式通过非信任端口接入网络。由于静态客户端不会发送DHCP报文,所以DHCP监听绑定表里也不会有该静态客户端的记录。信任端口的 客户端信息不会被记录到DHCP监听绑定表里。如果有一客户端连接到了一个信任端口,即使它是通过正常的DHCP方式获得IP地址,DHCP监听绑定表里也不有该客户端的记录。如果要求客户端只能以动态获得IP的方式接入网络,则必须借助于IPSG和DAI技术。
II.交换机为了获得高速转发,通常只检查报文的二层帧头,获得目标MAC地址后直接转发,不会去检查报文的内容。而DHCP监听本质上就是开启交换机对DHCP报文的内容部分的检查,DHCP报文不再只是被检查帧头了。
III. DHCP监听绑定表不仅用于防御DHCP攻击,还为后续的IPSG和DAI技术提供动态数据库支持。
IV.DHCP监听绑定表里的Lease列就是每个客户端对应的DHCP租约时间。当客户端离开网络后,该条目并不会立即消失。当客户端再次接入网络, 重新发起DHCP请求以后,相应的条目内容就会被更新。如上面的00F.1FC5.1008这个客户端原本插在Fa0/1端口,现在插在Fa0/3端口, 相应的记录在它再次发送DHCP请求并获得地址后会更新为:
Switch#show ip dhcp snooping binding
or
Switch#show ip source binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- ----------------
00:0F:1F:C5:10:08 192.168.10.131 691023 dhcp-snooping 10 FastEthernet0/3
V.当交换机收到一个DHCPDECLINE或DHCPRELEASE广播报文,并且报文头的源MAC地址存在于DHCP监听绑定表的一个条目中。但是报文的实际接收端口与绑定表条目中的端口字段不一致时,该报文将被丢弃。
●DHCPRELEASE报文:此报文是客户端主动释放IP 地址(如Windows 客户端使用ipconfig/release),当DHCP服务器收到此报文后就可以收回IP地址,分配给其他的客户端了
●DHCPDECLINE报文:当客户端发现DHCP服务器分配给它的IP地址无法使用(如IP地址发生冲突)时,将发出此报文让DHCP服务器禁止使用这次分配的IP地址。
VI. DHCP监听绑定表中的条目可以手工添加。
VII. DHCP监听绑定表在设备重启后会丢失,需要重新绑定,但可以通过设置将绑定表保存在flash或者tftp/ftp服务器上,待设备重启后直接读取,而不需要客户端再次进行绑定
VIII. 当前主流的Cisco交换机基本都支持DHCP Snooping功能。
DHCP Option 82
当DHCP服务器和客户端不在同一个子网内时,客户端要想从DHCP服务器上分配到IP地址,就必须由DHCP中继代理(DHCPRelayAgent)来转发DHCP请求包。DHCP中继代理将客户端的DHCP报文转发到DHCP服务器之前,可以插入一些选项信息,以便 DHCP服 务器能更精确的得知客户端的信息,从而能更灵活的按相应的策略分配IP地址和其他参数。这个选项被称为:DHCP relay agentinformation option(中继代理信息选项),选项号为82,故又称为option 82,相关标准文档为RFC3046.Option82是对DHCP选项的扩展应用。选项82只是一种应用扩展,是否携带选项82并不会影响DHCP原有 的应用。另外还要看DHCP服务器是否支持选项82.不支持选项82的DHCP服务器接收到插入了选项82的报文,或者支持选项82的DHCP服务器接收到了没有插入选项82的报文,这两种情况都不会对原有的基本的DHCP服务造成影响。要想支持选项82带来的扩展应用,则DHCP服务器本身必须支持选项 82以及收到的DHCP报文必须被插入选项82信息。从非信任端口收到DHCP请求报文,不管DHCP服务器和客户端是否处于同一子网,开启了DHCP监 听功能的Cisco交换机都可以选择是否对其插入选项82信息。默认情况下,交换机将对从非信任端口接收到的DHCP请求报文插入选项82信息。
当一台开启DHCP监听的汇聚交换机和一台插入了选项82信息的边界交换机(接入交换机)相连时:
●如果边界交换机是连接到汇聚交换机的信任端口,那么汇聚交换机会接收从信任端口收到的插入选项82的DHCP报文信息,但是汇聚交换机不会为这些信息建立DHCP监听绑定表条目。
●如果边界交换机是连接到汇聚交换机的非信任端口,那么汇聚交换机会丢弃从该非信任端口收到的插入了选项82的DHCP报文信息。但在 IOS12.2(25)SE版本之后,汇聚交换机可以通过在全局模式下配置一条ip dhcp snooping informationallow-untrusted命令。这样汇聚交换机就会接收从边界交换机发来的插入选项82的DHCP报文信息,并且也为这些信 息建立DHCP监听绑定表条目。
在配置汇聚交换机下联口时,将根据从边界交换机发送过来的数据能否被信任而设置为信任或者非信任端口。
四、DHCP Snooping的配置
Switch(config)#ip dhcp snooping https://打开DHCP Snooping功能
Switch(config)#ip dhcp snooping vlan 10 https://设置DHCP Snooping功能将作用于哪些VLAN
Switch(config)#ip dhcp snooping verify mac-address https://检测非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同,以防止DHCP耗竭攻击,该功能默认即为开启
Switch(config-if)#ip dhcp snooping trust https://配置接口为DHCP监听特性的信任接口,所有接口默认为非信任接口
Switch(config-if)#ip dhcp snooping limit rate 15 https://限制非信任端口的DHCP报文速率为每秒15个包(默认即为每秒15个包)如果不配该语句,则show ip dhcp snooping的结果里将不列出没有该语句的端口,可选速率范围为1-2048
建议:在配置了端口的DHCP报文限速之后,最好配置以下两条命令
Switch(config)#errdisable recovery causedhcp-rate-limit https://使由于DHCP报文限速原因而被禁用的端口能自动从err-disable状态恢复
Switch(config)#errdisable recovery interval 30 https://设置恢复时间;端口被置为err-disable状态后,经过30秒时间才能恢复
Switch(config)#ip dhcp snooping information option https://设置交换机是否为非信任端口收到的DHCP报文插入Option 82,默认即为开启状态
Switch(config)#ip dhcp snooping information optionallow-untrusted https://设置汇聚交换机将接收从非信任端口收到的接入交换机发来的带有选项82的DHCP报文
Switch#ip dhcp snooping binding 000f.1fc5.1008 vlan 10 192.168.10.131 interface fa0/2expiry 692000 https://特权模式命令;手工添加一条DHCP监听绑定条目;expiry为时间值,即为监听绑定表中的lease(租期)
Switch(config)#ip dhcp snooping databaseflash:dhcp_snooping.db https://将DHCP监听绑定表保存在flash中,文件名为dhcp_snooping.db
Switch(config)#ip dhcp snoopingdatabase tftp:https://192.168.2.5/Switch/dhcp_snooping.db https://将DHCP监听绑定表保存到tftp服务器;192.168.2.5为tftp服务器地址,必须事先确定可达。URL中的Switch是tftp服务 器下一个文件夹;保存后的文件名为dhcp_snooping.db,当更改保存位置后会立即执行"写"操作。
Switch(config)#ip dhcp snooping database write-delay30 https://指DHCP监听绑定表发生更新后,等待30秒,再写入文件,默认为300秒;可选范围为15-86400秒
Switch(config)#ip dhcp snooping database timeout 60https://指DHCP监听绑定表尝试写入操作失败后,重新尝试写入操作,直到60秒后停止尝试。默认为300秒;可选范围为0-86400秒
说 明:实际上当DHCP监听绑定表发生改变时会先等待write-delay的时间,然后执行写入操作,如果写入操作失败(比如tftp服务器不可达),接 着就等待timeout的时间,在此时间段内不断重试。在timeout时间过后,停止写入尝试。但由于监听绑定表已经发生了改变,因此重新开始等待 write-delay时间执行写入操作……不断循环,直到写入操作成功。
Switch#renew ip dhcp snooping databaseflash:dhcp_snooping.db https://特权级命令;立即从保存好的数据库文件中读取DHCP监听绑定表。
看过文章“思科交换机DHCPSnooping"
浏览量:2
下载量:0
时间:
思科cisco路由交换是所有设备中小编觉得最难的。不少网友都不知道思科交换机怎么恢复出厂设置。其实步骤并不难,下面读文网小编给大家介绍一下具体操作办法,供大家参考!
1)拔下交换机电源,用手按住交换机“Mode” 按钮,插上电源,等待交换机进入控制台模式。其提示符为“switch:”
2)switch: flash_init https://初始化flash文件系统
3)switch: dir flash: https://命令显示flash中所保存的配置文件的名称。
4)switch: rename flash:config.text flash:config.old https://命令把原来的配置文件改名为config.old。(NVRAM是从flash虚拟的,flash:config.text =startup-config)
5)switch: reset https://命令把原来的配置文件改名为config.old。重新启动交换机,这时交换机找不到其配置文件(所以配置文件中的特权密码也就无效),系统就会提示是否进入“配置对话(configuration dialog)” ,选择“N” 。
6)switch># enable https://进入特权执行模式。
7)switch# rename flash:config.old flash:config.text https://把配置文件名字修改回来
8)switch#copy flash:config.text running-config https://把配置文件从FLASH中装载到RAM中。
9)Switch# config terminal https://进入全局配置模式
10)Switch(config)# no enable password https://删除使能密码
11)Switch(config)# no enable secret https://删除加密的密码
12)Switch(config)# end https://直接返回到特权模式
13)Switch# show runnig-confighttps://查看正在进行的配置文件,请注意查看密码
14)Switch# copy running-config startup-config https://备份配置文件到NVRAM
读文网小编分享了思科交换机恢复出厂设置的解决方法。希望大家喜欢。
浏览量:3
下载量:0
时间:
Cisco依靠自身的技术和对网络经济模式的深刻理解,成为了网络应用的成功实践者之一,那么你知道思科48口交换机如何配置ACL吗?下面是读文网小编整理的一些关于思科48口交换机如何配置ACL的相关资料,供你参考。
大家先看下配置,我的要求就是,在47口上做镜像,4vlan内的机器的数据镜像到47口上,47口接监控服务器,然后在做下访问控制,4vlan内的机器 跟47口上的服务器可以相互通讯,但4vlan之间不能相互通讯!目前47口的ip地址为192.168.25.1 255.255.255.0.
FwhSwh#show run
Building configuration…
Current configuration : 4909 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname FwhSwh
!
!
no aaa new-model
ip subnet-zero
ip routing
!
ip dhcp pool vlan20
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
dns-server 202.106.196.115 202.106.0.20
!
ip dhcp pool vlan21
network 192.168.21.0 255.255.255.0
default-router 192.168.21.1
dns-server 202.106.196.115 202.106.0.20
!
ip dhcp pool vlan22
network 192.168.22.0 255.255.255.0
default-router 192.168.22.1
dns-server 202.106.196.115 202.106.0.20
!
ip dhcp pool vlan23
network 192.168.23.0 255.255.255.0
default-router 192.168.23.1
dns-server 202.106.0.20
!
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport access vlan 20
!
interface FastEthernet0/2
switchport access vlan 20
!
interface FastEthernet0/3
switchport access vlan 20
!
interface FastEthernet0/4
switchport access vlan 20
!
interface FastEthernet0/5
switchport access vlan 20
!
interface FastEthernet0/6
switchport access vlan 20
!
interface FastEthernet0/7
switchport access vlan 20
!
interface FastEthernet0/8
switchport access vlan 20
!
interface FastEthernet0/9
switchport access vlan 20
!
interface FastEthernet0/10
switchport access vlan 20
!
interface FastEthernet0/11
switchport access vlan 20
!
interface FastEthernet0/12
switchport access vlan 20
!
interface FastEthernet0/13
switchport access vlan 20
!
interface FastEthernet0/14
switchport access vlan 20
!
interface FastEthernet0/15
switchport access vlan 20
!
interface FastEthernet0/16
switchport access vlan 20
!
interface FastEthernet0/17
switchport access vlan 20
!
interface FastEthernet0/18
switchport access vlan 20
!
interface FastEthernet0/19
switchport access vlan 20
!
interface FastEthernet0/20
switchport access vlan 20
!
interface FastEthernet0/21
switchport access vlan 21
!
interface FastEthernet0/22
switchport access vlan 21
!
interface FastEthernet0/23
switchport access vlan 21
!
interface FastEthernet0/24
switchport access vlan 21
!
interface FastEthernet0/25
switchport access vlan 21
!
interface FastEthernet0/26
switchport access vlan 21
!
interface FastEthernet0/27
switchport access vlan 21
!
interface FastEthernet0/28
switchport access vlan 21
!
interface FastEthernet0/29
switchport access vlan 21
!
interface FastEthernet0/30
switchport access vlan 21
!
interface FastEthernet0/31
switchport access vlan 22
!
interface FastEthernet0/32
switchport access vlan 22
!
interface FastEthernet0/33
switchport access vlan 22
!
interface FastEthernet0/34
switchport access vlan 22
!
interface FastEthernet0/35
switchport access vlan 22
!
interface FastEthernet0/36
switchport access vlan 22
!
interface FastEthernet0/37
switchport access vlan 22
!
interface FastEthernet0/38
switchport access vlan 22
!
interface FastEthernet0/39
switchport access vlan 22
!
interface FastEthernet0/40
switchport access vlan 22
!
interface FastEthernet0/41
switchport access vlan 23
!
interface FastEthernet0/42
switchport access vlan 23
!
interface FastEthernet0/43
switchport access vlan 23
!
interface FastEthernet0/44
switchport access vlan 23
!
interface FastEthernet0/45
!
interface FastEthernet0/46
!
interface FastEthernet0/47
!
interface FastEthernet0/48
no switchport
ip address *.*.*.* 255.255.255.0
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface GigabitEthernet0/3
!
interface GigabitEthernet0/4
!
interface Vlan1
no ip address
shutdown
!
interface Vlan20
ip address 192.168.20.1 255.255.255.0
ip access-group 100 in
ip helper-address 192.168.20.1
!
interface Vlan21
ip address 192.168.21.1 255.255.255.0
ip access-group 101 in
ip helper-address 192.168.21.1
!
interface Vlan22
ip address 192.168.22.1 255.255.255.0
ip access-group 102 in
ip helper-address 192.168.22.1
!
interface Vlan23
ip address 192.168.23.1 255.255.255.0
ip access-group 103 in
ip helper-address 192.168.23.1
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.0.0.1
no ip http server
!
access-list 100 deny ip any 192.168.21.0 0.0.0.255
access-list 100 deny ip any 192.168.22.0 0.0.0.255
access-list 100 permit ip any any
access-list 101 deny ip any 192.168.22.0 0.0.0.255
access-list 101 deny ip any 192.168.20.0 0.0.0.255
access-list 101 deny ip any 192.168.23.0 0.0.0.255
access-list 101 permit ip any any
access-list 102 deny ip any 192.168.20.0 0.0.0.255
access-list 102 deny ip any 192.168.21.0 0.0.0.255
access-list 102 deny ip any 192.168.23.0 0.0.0.255
access-list 102 permit ip any any
access-list 103 deny ip any 192.168.21.0 0.0.0.255
access-list 103 deny ip any 192.168.22.0 0.0.0.255
access-list 103 permit ip any any
!
control-plane
!
!
line con 0
line vty 0 4
no login
line vty 5 15
no login
!
!
end
看过文章“思科48口交换机如何配置ACL"
浏览量:2
下载量:0
时间:
今天读文网小编就针对思科2960系列交换机产品,说一说进行网络限速的方法。附带需要的命令行脚本。希望能帮到你。
(1)、针对IP地址限速
switch(config)#access-list 101 permit ip host 10.10.10.100 any
switch(config)#class-map match-all output-class
switch(config-cmap)#match access-group 101
switch(config)#policy-map 5m
switch(config-pmap)#class output-class
switch(config-pmap-c)#police 5000000 1000000 exceed-action drop
switch(config)#int f0/1 --->下联口
switch(config-if)#service-policy input 5m --->限制上传
(2)、常规限速
switch(config)#policy-map 5m
switch(config-pmap)#class class-default
switch(config-pmap-c)#police 5000000 1000000 exceed-action drop
switch(config)#int f0/1 --->下联口
switch(config-if)#service-policy input 5m --->限制上传
备注:
如果多个IP地址在一个访问控制列表共享一个class,则共享上传或下载的5M带宽;如果在不同的class里,则不同访问控制列表享受各对应class的对应上传或者下载带宽。
Clojure、Scala等JVM上的新语言却层出不穷,这又进一步激发了人们继续以JVM为平台搭建新兴大数据系统的热情。而《实战Java虚拟机》一书就是为深入JVM学习做准备的。
历时一年反复写作和各种读者在课程中的提问,整理过称的辛苦和困难遇到很多,但好在终于出版了。本书赠送51CTO中JVM课程的50元优惠券,大家看视频的同时,也可以辅助图书进行深入了解每个技术点。
浏览量:2
下载量:0
时间:
交换机设备是局域网中的重要设备之一,它的工作状态与局域网的工作状态息息相关。可是,质量再好的交换机,持续运行的时间长了,也会出现这样或那样的故障,这些故障要是不能被快速解决掉,显然会影响局域网的运行稳定性。为了帮助各位朋友快速、有效地发现和解决交换故障,读文网小编现在就对交换机各类常见故障现象进行解读,并将相关故障排除方法与大家分享一下。
在管理局域网的过程中,我们时常会遇到连接交换机的物理线缆发生各式各样的问题,例如光纤线缆或网络双绞线自身发生短路或断裂现象,或者是光纤收发连接不正确,或者是选用了错误的网络线缆类型,也有可能是类似光纤转换器这样的中间传输设备工作状态不正常,或者是网络线缆的长度超过了规定的范围等等。
在解决网络连通性故障时,我们可以首先尝试通过观察交换机控制面板上的信号灯状态,来判断网络故障是否真的是由连通性问题引起的;一般来说交换机的line信号灯被点亮的话,就说明网络线路处于连通状态,要是line信号灯处于熄灭状态的话,就说明网络线路没有连通,如果active信号灯处于不停闪烁状态时,那就说明当前线路上有数据在收发,否则的话就说明当前线路上没有数据在收发。
要是我们无法读懂交换机控制面板中的信号灯状态信息时,可以交换机后台管理系统,查看对应连接端口的状态信息,看看目标交换端口的工作状态究竟是"down"还是"up",如果目标交换端口处于"up"状态,那就意味着对应交换端口的网络连通性是正常的,否则的话就可能存在网络连通性问题;例如,在查看e0/12连接端口的状态信息时,我们可以先进入交换机后台管理系统,在该系统下执行"interface e0/12"字符串命令时,进入e0/12连接端口的视图模式配置状态,在该状态下执行"display interface e0/12"字符串命令,在其后返回的结果信息中我们就能查看到e0/12连接端口的启用状态了光盘之家 。
当确认网络连通性真的存在问题时,我们应该先使用专业的线缆测试仪器,来对网络线缆的连通性进行检查,对光纤线路可以采用专业的光功率计来进行检查,如果网络线缆或光纤线路真的存在问题,我们只要替换使用新的线路就能解决问题了;当发现线路连通性不存在问题时,那我们可以继续使用替换法,来检查交换机的连接端口、插卡、槽位以及整机,直到排除网络连通性故障为止。
浏览量:2
下载量:0
时间:
以下是小编对关于思科路由器的故障日志详细介绍,对这一方便有兴趣的伙伴可以来看看。
sysloqd提供下列方法供您记录系统发生的事件:
这是最普遍的方式。你可以指定好文件路径与文件名称,但是必须以目录符号"/"开始,系统才会知道这是一个文件。例如/var/adm/maillog表示要记录到/var/adm下面一个称为maillog的文件。如果之前没有这个文件,系统会自动产生一个。
浏览量:3
下载量:0
时间:
思科公司是全球领先的网络解决方案供应商。Cisco的名字取自San Francisco(旧金山),那里有座闻名于世界的金门大桥。可以说,依靠自身的技术和对网络经济模式的深刻理解,思科成为了网络应用的成功实践者之一。本文为大家介绍详解Cisco(思科)路由器的故障日志,希望对大家喜欢。
sysloqd提供下列方法供您记录系统发生的事件:
这是最普遍的方式。你可以指定好文件路径与文件名称,但是必须以目录符号"/"开始,系统才会知道这是一个文件。例如/var/adm/maillog表示要记录到/var/adm下面一个称为maillog的文件。如果之前没有这个文件,系统会自动产生一个。
指定的终端机或其他设备
你也可以将系统记录写到一个终端机或是设备上。若将系统记录写到终端机,则目前正在使用该终端机的使用者就会直接在屏幕上看到系统信息(例如 /dev /conso旧或是/dev/tty1,你可以拿一个屏幕专门来显示系统信息)。若将系统记录写到打印机(例如/dev/!p0)。,则你会有一长条印满系统记录的纸,这样网络入侵者就不能修改日志来隐藏入侵痕迹。
指定的远端主机
如果你不将系统信息记录在本地机器上,你可以写下网络中另一个主机的名称,然后在主机名称前面加上"@"符号(例如(@)ccunix1.variox.int,但被你指定的主机上必须要有sysloqd)。这可以防止由于硬盘错误等情况使日志文件丢失。
以上就是syslog各项记录程度及记录方式的写法,可以依照自己的需求记录下自己所需要的内容。但是这些记录都是一直追加上去的,除非将文件自行删除掉,否则这些文件就会越来越大。Syslog设备是一个网络攻击者的显着目标,通过修改日志来隐藏入侵痕迹,因此我们要特别注意。最好养成每周(或更短的时间)定期检查一次记录文件的习惯,并将过期的记录文件依照流水号或是日期备份,以后查阅时也比较容易。千万不要记录下*.*,这样无论什么都被记录下来,结果会导致文件太大,要找资料时根本无法马上找出来。有人在记录网络日志时,连谁去ping他的主机都要记录,这样不仅降低系统效率而且增加了磁盘用量。
路由器日志功能的具体设置方法
首先在UNIX主机上做下列工作,以超级用户注册进入:
其中168.1.1.2为日志主机的IP地址。这样对路由器进行的一些操作将会记录在mail_debug和r2509_debug这两个文件中。
详解Cisco(思科)路由器的故障日志的相关
浏览量:2
下载量:0
时间:
打印机脱机无法打印的情况想必有很多朋友都有遇到过吧,各种各样的情况在此就不一一介绍了,下面读文网小编就为大家详细介绍下如何排除故障及具体的解决方法,欢迎大家参考和学习。
日常生活中我们都经常会接触到打印机,特别是现在日雏的网络化办公,常常的在办公室上班的都会接触到打印机!打印机,说白了就是:通过一个设备,最常见的以A4纸为介质,把电脑上的文本文档或者图片通过机械转印在纸张上面,使得抽象的东西具体化!既然是设备,使用起来或多或少都会有这样那样的问题,特别是急着要用打印机时,而打印机就是不给力…。
第一、打印机电源有没有打开!现在的打印机电源开关都做得比较明显的。这一点不用多说;
第二、USB打印线!顾名思义,USB打印线就一根线,当打印机出现打印机脱机的情况下,我们要看看USB打印线有没有折断,脱皮,两边的接头有没有生锈,变形等等,如果出现了任何感觉打印线不良的情况那就得换一根打印线;
第三、如果换了打印线还是不行,那只有把打印机的驱动从新安装一次。
最后还要注意一点的就是打印机电源灯面板有没有什么不良的闪烁闪红之类的出现。一般情况下,通过以上这三点都可以把打印机脱机的问题解决掉。当然,很多时候我们都会事不得人为!当我们都试过了上面说的那些方法还是解决不了打印脱机的故障的时候,请不要嫌弃麻烦,请继续往下看!
如图5
我们按照图1、2、3、4的步骤进入到图5的这个画面,然后把脱机的打印机直接删除掉。如图6(这里取打钩的打印机来举例子)。
图6:删除脱机的打印机
打印机删除之后我们就点我的电脑属性(如图7)→设备管理器(如图8)→搜索新硬件(如图9),重新安装打印机驱动,如下图所示:
图7:重新安装打印机驱动示意图
图8
图9
如果打印机硬件正常,打印线正常,打印机电源打开,电脑的USB接口正常(这个很容易判断,换一个接口插就知道原来那个口的好坏了),那么一定会出现图2发现新硬件的图标,把打印机驱动装好就可以正常使用了!如果以上的方法试过了还是不行,那很大可能是打印机硬件或者电脑系统方面出故障了,打印机硬件,电脑系统的留在后文讲!
类似阅读:提示“打印机后台程序服务没有运行”的解决办法!
最后补充几句:当你能确定打印线,电脑USB是好的,驱动也是正确的,但你点了“扫描硬件改动”,电脑没提示发现新硬件, 那基本上是打印机硬件方面出故障了,这只能去保修或者维修咯!O(∩_∩)O哈哈~话多了点,但希望能真真实实帮到您!
浏览量:2
下载量:0
时间:
浏览量:2
下载量:0
时间:
浏览量:2
下载量:0
时间:
以下是小编向大家分享的电脑换显卡后显示器不亮故障排查方法,希望可以帮到你。
电脑换了显卡显示器不亮的几种常见原因和对应解决办法,遇到此类问题的朋友,可以按照排除法一一分析解决。
1、一般独立显卡好一点的都需要独立供电,有的插1个6pin电源接口,有的插2个6pin电源接口,请检查是否插上或者没插好,或者检查电源是否有显卡供电接口,如果没有,则需要买两个4转6的线或者是换电源;
2、显卡接触不良,关机电脑,重新拔下清理下显卡PCI-E插槽或者显卡金手指再插上去试试。
3、电脑电源额定功率太低,一般四核以上的并且带独立供电的电脑功耗相对说比较高一点,电源差一点的,肯定就没法带动显卡也是常有的事。
4、有的老式主板可能和新的显卡会存在兼容性,不能匹配,需要升级BIOS版本,实在太低的升级BIOS版本可能也没用,但是这种几率很小。
5、显示器分辨率之前设置过高造成,可以想办法降低分辨率再尝试。
6、本身显卡就有问题,这种几率应该非常低,除非你倒霉!
7、VGA或者DVI视频线和显示器没接好。
浏览量:2
下载量:0
时间:
所谓OSPF是Open Shortest Path First的缩写,其是IETF组织开发的一个基于链路状态的自治系统内部路由协议。OSPF协议允许自治系统的网络被划分成区域管理,区域间传送被压缩,减少了占用的带宽,通过收集和传递自系统中的链路来动态地发现并传播路由,下面是读文网小编整理的一些关于思科路由器OSPF故障的相关资料,供你参考。
router(config)#router ospf 1 启动OSPF路由进程
router(config-router)#router-id 1.1.1.1 配置Router ID
router(config-router)#network 1.0.0.0 0.255.255.255 area 0 指定OSPF协议运行的接口和所在的区域
浏览量:1
下载量:0
时间:
如今是网络信息发达的时代,每家每户都会使用到网络,那么不少人也会用到路由器,关于路由器,大家知道思科路由器OSPF故障是什么吗?读文网小编在这里为大家详细介绍。
所谓OSPF是Open Shortest Path First的缩写,其是IETF组织开发的一个基于链路状态的自治系统内部路由协议。OSPF协议允许自治系统的网络被划分成区域管理,区域间传送被压缩,减少了占用的带宽,通过收集和传递自系统中的链路来动态地发现并传播路由,出现的故障主要是下面几个问题造成:
相连的思科路由器不保证交换链路状态更新,一旦思科路由器决定与一个邻居相连,它就开始交换其链路状态数据库的一份完整拷贝。
(1)OSPF陷入ATTEMPT
show ip ospf neighbor查看。
错误配置neighbor;NBMA上的单播连通性断了。
(2)OSPF陷入INIT
其中一方访问列表阻止了HELLO;
其中一个交换机故障;
只有一方启用了认证;
(3)OSPF陷入双向状态
这时需确保至少一台路由器具有一个至少为1的IP OSPF优先级。
(4)OSPF陷入EXSTART/EXCHANGE
不匹配的接口MTU ;
邻居上重复的路由器ID;
无法用超过特定MTU 长度进行PING;
断掉的单播连通性,它可能是因为错误的DLCI,访问列表或转换单播的NAT。
思科路由器的OSPF故障主要是以上这几种,希望对大家有用。
浏览量:2
下载量:0
时间:
监控系统常见故障与排查方法
随着时代发展,视频监控越来越普及!本文简单介绍一下日常生活中遇到的监控系统常见故障!
首先简单介绍一下监控系统的形成。
1、监控系统设备组成
由硬盘录像机,视频监控镜头,视频监控线,镜头电源,连接监控线头尾的BNC头这几大部分组成!一旦这些设备通过一定的方式连接,与电脑搭建成一个系统,那么我们就可以在一个地方上看到一个或者一个以上不同地方的环境!
2、监控画面的产生
监控镜头头通过监控线与电脑连接,白天的时候靠外面的光线把镜头周围环境光反射到镜头表面(晚上的时候就靠镜头周围的LED灯发出红外线),镜头通过信号的处理传输到电脑,电脑再通过处理在显示器上把画面展现处理!
我们都知道,只要是电子产品,时间久了或多或少都会出现各种各样的毛病。那么监控系统也不例外!下面就把监控系统常见故障以及解决方法大概地概况出来!
监控系统常见故障分为软故障和硬故障!
软件故障包括监控系统软件故障或损坏、监控软件设置出错等;硬件故障包括镜头本身故障、镜头电源故障、监控连接线故障、BNC头故障硬盘录像机故障等!监控系统软故障相对来讲比较简单点,当监控系统软件出现故障而无法正常使用时,可将损坏监控系统软件卸载干净,然后重新安装监控系统软件;或者将监控系统软件丢失损坏的文件修复,使监控系统软件恢复正常功能。
监控系统硬故障范围就比较广一点,有时候难以判断是哪个部分出了问题!
当监控系统出现硬故障时,我们首先第一时间就是要看显示器监控画面有几个镜头是没有图像显示的,一般来讲都是其中的一个或者两个镜头是没有图像,如果确定了没有显示图像的镜头那问题就容易解决了!
话又讲回来,当我们碰到全部镜头都没有显示图像的时候,那一般都是软故障的,如果不是软故障那很大可能是录像机的问题了,是软故障的上面介绍监控系统软故障的步骤应该可以解决!
下面以一个镜头有故障为例
我们假设这个监控系统里有4个镜头,其中有一个出现了问题,其他三个都可一正常地显示图像!
1、首先我们要找到这个镜头相对应的接口,不管是硬盘录相机还是监控视频卡,它们的接口都是有编号的!找到相对应的编号之后,把连接在电脑上的连接头(BNC头)拔下来,看看有没有老化生锈、中间那一枚针有没有断,如果有这些现象出现的话那就要把BNC换了!(BNC头的接法这里就不提了,其实也很简单,喜欢动手的朋友可以到电脑城买几个,然后拿一根家庭电视天线当做监控线,学着自己做)与镜头相连的BNC检查方法也一样,这里就不重复了!
2、当BNC头正常的话,那我们就要看镜头的红外线有没有亮,如果亮但又没有显示只有两种可能:监控线有问题,镜头本身不行!如果红外线不亮那只有两种可能:镜头本身不行,镜头电源不行!如果是镜头本身不行,那只能是保修了。镜头电源不行的话就只能换一个电源了!一般带红外LED灯的镜头都是用2A 12V的开关电源为监控头电源!有条件朋友可以拿个万用表测量一下监控电源的电压!
3、前面 BNC头,镜头电源,镜头本身出现故障的现象和解决方法都讲了,但是如果我们检查到BNC头,镜头电源,镜头本身都觉得没有问题,那就要考虑监控线!监控线跟我们家里电视机用的天线差不多,我们检查的时候也比较简单,熟悉万用表的朋友可以用电阻档量出它的好坏!不熟万用表的朋友也没关系,我们可以把镜头,镜头电源拆卸到其他监控头的位置,也就是我们平常说的代换法!
监控系统常见故障基本就以上这几大类,只要按照步骤来做,一般的故障时没问题的!
浏览量:3
下载量:0
时间:
第一级故障检测
1、祯中继故障检测
路由器与祯中继交换机是否正确通信?
Show frame PVC显示的DLCI是否处于激活状态?
路由器送出分组吗?(debug frame packet/show frame PVC(分组进/分组出)
你的祯中继分组语句正确吗?(show frame-relay map)
实验环境最受欢迎的祯中继故障检测工具:debug frame packet.
2. ISDN/DDR故障检测
ISDN
Show isdn status
Debug isdn q921
Debug isdn q931
最受欢迎的ISDN故障检测工具,debug isdn q931
DDR
出境业务流是否是有兴趣的业务流
Show dialer
Show dialer map
Debug dialer packet
Debug dialer events
记住——当怀疑的时候,保持拨号者列表的配置尽可能的简单。
ISDN呼叫是否正常设置?
Debug isdn q931
由呼叫方产生的Q931信息是什么?
由被呼叫方产生的Q931信息是什么?
最受欢迎的DDR故障检测工具ebug dialer packet.
PPP权威认证是否正常发生?
Debug PPP authentication
3. Catalyst 5000故障检测
端口是否激活
Show port
端口通过祯吗?
清除计数器
show mac module/port
CAM表中是否有特定的MAC地址?
Show port
Show mac
Show cam dynamic
Show vlan
Show trunk
Show spantree
4. ATM故障检测
Show atm interface status
Show atm ilmi
Show atm vc
5. ATM仿真局域网LANE故障检测
LANE设备是否正确地建立所有管理和控制VC?
Show lane default
Show lane client
Show lane database
Show lane le-arp
Debug lane client all
第二级故障检测
1. IP地址
分配给特定路由器的接口的IP地址有哪些?
Show ip interface brief
直接相连的邻居接口IP地址是哪些?
Show cdp neighbor detail
你能ping通自身的接口吗?
2. 特定路由器转发的IP分组
ping (standard ping/extended ping)
Debug ip packet
分组通过正确的接口离开路由器吗?
如果debug ip packet显示”unroutable” 信息,检查路由表(show ip route)
如果debug ip packe显示”encap failed”信息,检查支持IP分组转发特定接口的过程。
如果”encap failed”信息出现在一个多访问接口,例如Ethernet或令牌环,使用debug arp 确保ARP过程正常。
如果”encap failed”信息出现在非广播多重访问接口,例如祯中继或ATM,使用debug 祯分组或debug atm分组确保分组映射到目的地址
。
如果”encap failed”出现在交换连接上,例如ISDN/DDR连接,使debug q931来确保呼叫方正确设置,检查拨号者分组来确保业务流已被
定义为“有兴趣的”,或检查PPP权威认证确保PPP权威认证已正确产生。
如果debug ip packet仅仅显示sending信息,则所有的IP转发过程都在该路由器上正确操作。检查所有中间路由器或路由业务流的返回路
径。
3. IP路由
IP路由更新信息是否把正确的前缀送出正确的接口了吗?
你在正确的接口上收到正确的路由更新信息吗?
Debug ip rip
Debug ip igrp transactions
Debug ip igrp events
Debug ip eigrp
4. 跟踪分组通过互连网的路径
traceroute (standard traceroute/extened traceroute)
5. OSPF
参与OSPF进程每个接口的OSPF是否激活?
Show Ip ospf interface
OSPF邻居之间关系正确形成了吗?
Show ip ospf neighbor
OSPF的毗邻正确形成了吗?
6. NBMA网络上OSPF
是否有不同接口混合使用(物理的、点到点子接口和多点子接口),存在接口不匹配情况吗?
7. DDR
OSPF Hello 分组无限地保持接口处于激活状态吗?
8. IP路由分组再分派
激活合适的路由协议检错工具,确认路由正确通过再分派进程。
在路由再分派过程中存在FLSM/VLSM冲突吗?
Show ip protocols
Clear ip ospf redistribution
第三级故障检测
你的BGP邻居关系形成了吗?
Show ip bgp summary
BGP 网络已在通告了吗?
正在通告的网络在BGP路由器的IGP表中?
Show ip route
IBGP路由器能ping到广播的下一跳地址吗?
如果不能,考虑使用下一跳地址本身。
你的BGP表正确形成了吗?
Clear ip bgp *
Debug ip bgp events
Debug ip bgp updates
同步是否应该关闭?
Show ip bgp
Show ip route
第四级故障检测
1. 访问表
记住隐含为所有拒绝
记住有方向性的访问表。
show access-lists
show access-expressions
debug access-expressions
2. 排队
show queue
debug custom
debug priority
3. 策略路由和路由图
show ip policy
debug ip policy
浏览量:2
下载量:0
时间: