IP+MAC+端口 做不了
IP+MAC+端口+VLAN 做不了
131 ARP防止IP报文攻击功能简介
如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:
l 设备向目的网段发送大量ARP请求报文,加重目的网段的负载。
l 设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。
为避免这种IP报文攻击所带来的危害,设备提供了下列两个功能:
l 如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。开启该功能后,如果网络中某主机向设备某端口连续发送目标IP地址不能解析的IP报文,当每5秒内由此主机发出IP报文触发的ARP请求报文的流量超过设置的阈值,那么对于由此主机发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理,从而避免了恶意攻击所造成的危害。
l 如果发送攻击报文的源不固定,可以采用ARP黑洞路由功能。开启该功能后,一旦接收到目标IP地址不能解析的IP报文,设备立即产生一个黑洞路由,使得设备在一段时间内将去往该地址的报文直接丢弃。等待黑洞路由老化时间过后,如有报文触发则再次发起解析,如果解析成功则进行转发,否则仍然产生一个黑洞路由将去往该地址的报文丢弃。这种方式能够有效地防止IP报文的攻击,减轻CPU的负担。
132 配置ARP防止IP报文攻击功能
1 配置ARP源抑制功能
表1-2 配置ARP源抑制功能
*** 作
命令
说明
进入系统视图
system-view
-
使能ARP源抑制功能
arp source-suppression enable
必选
缺省情况下,关闭ARP源抑制功能
配置ARP源抑制的阈值
arp source-suppression limit limit-value
可选
缺省情况下,ARP源抑制的阈值为10
133 ARP防止IP报文攻击显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP源抑制的运行情况,通过查看显示信息验证配置的效果。
表1-3 ARP源抑制显示和维护
*** 作
命令
显示ARP源抑制的配置信息
display arp source-suppression [ | { begin | exclude | include } regular-expression ]
14 配置源MAC地址固定的ARP攻击检测功能
141 源MAC地址固定的ARP攻击检测功能简介
本特性根据ARP报文的源MAC地址进行统计,在5秒内,如果收到同一源MAC地址的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印告警信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的模式为监控模式,则只打印告警信息,不会将该源MAC地址发送的ARP报文过滤掉。
对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该MAC地址存在攻击也不会被检测、过滤。
只对上送CPU的ARP报文进行统计。
142 配置源MAC地址固定的ARP攻击检测功能
表1-4 配置源MAC地址固定的ARP攻击检测功能
配置步骤
命令
说明
进入系统视图
system-view
-
使能源MAC地址固定的ARP攻击检测功能,并选择检查模式
arp anti-attack source-mac { filter | monitor }
必选
缺省情况下,源MAC地址固定的ARP攻击检测功能处于关闭状态
配置源MAC地址固定的ARP报文攻击检测的阈值
arp anti-attack source-mac threshold threshold-value
可选
配置源MAC地址固定的ARP防攻击检测表项的老化时间
arp anti-attack source-mac aging-time time
可选
缺省情况下,源MAC地址固定的ARP防攻击检测表项的老化时间为300秒,即5分钟
配置保护MAC地址
arp anti-attack source-mac exclude-mac mac-address&<1-n>
可选
缺省情况下,没有配置任何保护MAC地址
n的取值范围和设备相关,请以设备的实际情况为准
对于已添加到源MAC地址固定的ARP防攻击检测表项中的MAC地址,在等待设置的老化时间后,会重新恢复成普通MAC地址。
143 源MAC地址固定的ARP攻击检测显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后源MAC地址固定的ARP攻击检测的运行情况,通过查看显示信息验证配置的效果。
表1-5 源MAC地址固定的ARP攻击检测显示和维护
*** 作
命令
显示检测到的源MAC地址固定的ARP防攻击检测表项
display arp anti-attack source-mac [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]
15 配置ARP报文源MAC地址一致性检查功能
151 ARP报文源MAC地址一致性检查功能简介
ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。
配置本特性后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。
152 配置ARP报文源MAC地址一致性检查功能
表1-6 配置ARP报文源MAC地址一致性检查功能
配置步骤
命令
说明
进入系统视图
system-view
-
使能ARP报文源MAC地址一致性检查功能
arp anti-attack valid-check enable
必选
缺省情况下,关闭ARP报文源MAC地址一致性检查功能
16 配置ARP主动确认功能
161 ARP主动确认功能简介
ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。
启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项。关于工作原理的详细介绍请参见“ARP攻击防范技术白皮书”。
162 配置ARP主动确认功能
表1-7 配置ARP主动确认功能
配置步骤
命令
说明
进入系统视图
system-view
-
使能ARP主动确认功能
arp anti-attack active-ack enable
必选
缺省情况下,关闭ARP主动确认功能
17 配置授权ARP功能
l 本特性目前仅支持三层以太网接口。
l 关于DHCP服务器和DHCP中继的介绍,请参见“三层技术-IP业务配置指导”中的“DHCP”。
171 授权ARP功能简介
所谓授权ARP(Authorized ARP),就是根据DHCP服务器生成的租约或者DHCP中继生成的安全表项同步生成ARP表项。
使能接口的授权ARP功能后:
l 系统会启动接口下授权ARP表项的老化探测功能,可以检测用户的非正常下线;
l 系统会禁止该接口学习动态ARP表项,可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击,保证只有合法的用户才能使用网络资源,增加了网络的安全性。
静态ARP表项可以覆盖授权ARP表项,授权ARP表项可以覆盖动态ARP表项,但是授权ARP表项不能覆盖静态ARP表项,动态ARP表项不能覆盖授权ARP表项。
172 配置授权ARP功能
表1-8 配置授权ARP功能
*** 作
命令
说明
进入系统视图
system-view
-
进入接口视图
interface interface-type interface-number
-
配置DHCP服务器(DHCP中继)支持授权ARP功能
dhcp update arp
必选
缺省情况下,DHCP服务器(DHCP中继)不支持授权ARP功能
使能授权ARP功能
arp authorized enable
必选
缺省情况下,接口下没有使能授权ARP功能
配置授权ARP表项的老化时间
arp authorized time-out seconds
可选
缺省情况下,接口下授权ARP表项的老化时间为1200秒
如果DHCP服务器(DHCP中继)不支持授权ARP功能,当配置了arp authorized enable命令后,只是会禁止该接口学习动态ARP表项,不会同步生成授权ARP表项。
173 授权ARP功能在DHCP服务器上的典型配置举例
1 组网需求
l Router A是DHCP服务器,为同一网段中的客户端动态分配IP地址,地址池网段为10110/24。通过在接口Ethernet1/1上启用授权ARP功能对客户端进行老化探测,并保证客户端的合法性。
l Router B是DHCP客户端,通过DHCP协议从DHCP服务器获取IP地址。
2 组网图
图1-1 授权ARP功能典型配置组网图
3 配置步骤
(1) 配置Router A
# 配置接口的IP地址。
<RouterA> system-view
[RouterA] interface ethernet 1/1
[RouterA-Ethernet1/1] ip address 10111 24
[RouterA-Ethernet1/1] quit
# 使能DHCP服务。
[RouterA] dhcp enable
[RouterA] dhcp server ip-pool 1
[RouterA-dhcp-pool-1] network 10110 mask 2552552550
[RouterA-dhcp-pool-1] quit
# 进入三层以太网接口视图。
[RouterA] interface ethernet 1/1
# 使能DHCP同步ARP表项功能。
[RouterA-Ethernet1/1] dhcp update arp
# 使能接口授权ARP功能。
[RouterA-Ethernet1/1] arp authorized enable
# 配置接口下授权ARP的老化时间。
[RouterA-Ethernet1/1] arp authorized time-out 120
[RouterA-Ethernet1/1] quit
(2) 配置Router B
<RouterB> system-view
[RouterB] interface ethernet 1/1
[RouterB-Ethernet1/1] ip address dhcp-alloc
[RouterB-Ethernet1/1] quit
(3) Router B获得Router A分配的IP后,在Router A查看授权ARP信息。
[RouterA] display arp all
Type: S-Static D-Dynamic A-Authorized
IP Address MAC Address VLAN ID Interface Aging Type
10112 0012-3f86-e94c N/A Eth1/1 2 A
从以上信息可以获知Router A为Router B动态分配的IP地址为10112。
此后,Router B与Router A通信时采用的IP地址、MAC地址等信息必须和授权ARP表项中的一致,否则将无法通信,保证了客户端的合法性。
如果Router B非正常下线(比如,异常断电),待老化时间过后,Router A将删除相应的授权ARP表项。
174 授权ARP功能在DHCP中继上的典型配置举例
1 组网需求
l Router A是DHCP服务器,为不同网段中的客户端动态分配IP地址,地址池网段为101010/24。
l Router B是DHCP中继,通过在接口Ethernet1/2上启用授权ARP功能对客户端进行老化探测,并保证客户端的合法性。
l Router C是DHCP客户端,通过DHCP中继从DHCP服务器获取IP地址。
2 组网图
图1-2 授权ARP功能典型配置组网图
3 配置步骤
(1) 配置Router A
# 配置接口的IP地址。
<RouterA> system-view
[RouterA] interface ethernet 1/1
[RouterA-Ethernet1/1] ip address 10111 24
[RouterA-Ethernet1/1] quit
# 使能DHCP服务。
[RouterA] dhcp enable
[RouterA] dhcp server ip-pool 1
[RouterA-dhcp-pool-1] network 101010 mask 2552552550
[RouterA-dhcp-pool-1] gateway-list 101011
[RouterA-dhcp-pool-1] quit
[RouterA] ip route-static 101010 24 10112
(2) 配置Router B
# 使能DHCP服务。
<RouterB> system-view
[RouterB] dhcp enable
# 配置接口的IP地址。
[RouterB] interface ethernet 1/1
[RouterB-Ethernet1/1] ip address 10112 24
[RouterB-Ethernet1/1] quit
[RouterB] interface ethernet 1/2
[RouterB-Ethernet1/2] ip address 101011 24
# 配置Ethernet1/2接口工作在DHCP中继模式。
[RouterB-Ethernet1/2] dhcp select relay
[RouterB-Ethernet1/2] quit
# 配置DHCP服务器的地址。
[RouterB] dhcp relay server-group 1 ip 10111
# 配置Ethernet1/2接口对应DHCP服务器组1。
[RouterB] interface ethernet 1/2
[RouterB-Ethernet1/2] dhcp relay server-select 1
# 使能DHCP同步ARP表项功能。
[RouterB-Ethernet1/2] dhcp update arp
# 使能接口授权ARP功能。
[RouterB-Ethernet1/2] arp authorized enable
# 配置接口下授权ARP的老化时间。
[RouterB-Ethernet1/2] arp authorized time-out 120
[RouterB-Ethernet1/2] quit
(3) 配置Router C
<RouterC> system-view
[RouterC] ip route-static 10110 24 101011
[RouterC] interface ethernet 1/2
[RouterC-Ethernet1/2] ip address dhcp-alloc
[RouterC-Ethernet1/2] quit
(4) Router C获得Router A分配的IP后,在Router B查看授权ARP信息。
[RouterB] display arp all
Type: S-Static D-Dynamic A-Authorized
IP Address MAC Address VLAN ID Interface Aging Type
101012 0012-3f86-e94c N/A Eth1/2 2 A
从以上信息可以获知Router A为Router C动态分配的IP地址为101012。
此后,Router C与Router B通信时采用的IP地址、MAC地址等信息必须和授权ARP表项中的一致,否则将无法通信,保证了客户端的合法性。
如果Router C非正常下线(比如,异常断电),待老化时间过后,Router B将删除相应的授权ARP表项。
18 配置ARP自动扫描、固化功能
181 ARP自动扫描、固化功能简介
ARP自动扫描功能一般与ARP固化功能配合使用:
l 启用ARP自动扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。
l ARP固化功能用来将当前的ARP动态表项(包括ARP自动扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效的防止攻击者修改ARP表项。
推荐在网吧这种环境稳定的小型网络中使用这两个功能。
182 配置ARP自动扫描、固化功能
表1-9 配置ARP自动扫描、固化功能
*** 作
命令
说明
进入系统视图
system-view
-
进入接口视图
interface interface-type interface-number
-
启动ARP自动扫描功能
arp scan [ start-ip-address to end-ip-address ]
必选
退回系统视图
quit
-
配置ARP固化功能
arp fixup
可选
l 对于已存在ARP表项的IP地址不进行扫描。
l 扫描 *** 作可能比较耗时,用户可以通过Ctrl_C来终止扫描(在终止扫描时,对于已经收到的邻居应答,会建立该邻居的动态ARP表项)。
l 固化后的静态ARP表项与配置产生的静态ARP表项相同。
l 通过arp fixup命令将当前的动态ARP表项转换为静态ARP表项后,后续学习到的动态ARP表项可以通过再次执行arp fixup命令进行固化。
l 固化生成的静态ARP表项数量同样受到设备可以支持的静态ARP表项数目的限制,由于静态ARP表项数量的限制可能导致只有部分动态ARP表项被固化。
l 通过固化生成的静态ARP表项,可以通过命令行undo arp ip-address [ -instance-name ]逐条删除,也可以通过命令行reset arp all或reset arp static全部删除。
对于近几年我们常说的企业组网,很多人会有一个误区,就是认为企业组网就是在企业内部建立一个局域网络。这种说法不完全对,它和组建企业局域网还是一些区别的。根据企业自身要求制定个性化的组网方案,可以快速组建 虚拟局域网。
实现组网内电脑、手机、服务器的互联互通。
企业组网是企业组建网络的简称,说简单一点,就是将公司内部,已经外部的分支机构,通过互联网和设备组建成一个统一的网络系统,系统内部互通互联,提升工作效率。
企业组网相对于传统的企业局域网来说更加复杂,尤其是在整个企业组网系统的管理方面,特别是面对异地组网的时候,更需要专业的企业组网方案来保证其正常运行。
常见的企业组网方式
1、互联网组网方式。这种方式组网比较简单,只要有互联网可以通过设备架设,实现内部的通信。但是相对产品比较单一,网络品质得不到保障。
2、SDH、DDN 和MSTP 数据链路组网方式,这种方式组网可靠性高、传输速率和延时、带宽均可得到有效的保障。
3、MPLS 组网方式。这种方式适合多点组网,多点通信过程中,此方式优势明显。
当然企业使用比较多的还是蒲公英企业组网方案,它可以代替传统的网络,可以将不在同一区域的多台设备连接在一起,从而形成一个简单的局域网,在这个局域网中,每个设备之间都能相互连接,而且不受网络环境的影响和限制,被广泛的应用于中小型企业。服务器型的就是 通过一台或多太电脑或 服务器 来连接 外网和内网 使内网的电脑通过那些当服务器的电脑共享上网而路由型的就是 通过路由器 来连接电脑和家里茶不多一个路由器通1到2台电脑那个路由器再通出根线来连接下个路由器这样一直下去就可以大面积的上网了没图解啊 只能空说服务器型的比较好速度 要快现在大部分网吧都在服务器型的而 后者会出现网内的部分机器卡的要死越是后面的机器速度越慢有错的话一定要指出来啊 是来这里学习的001�网络拓扑结构
采用星形网,也就是通过网络集线器将每台计算机连接起来。
2�准备工作
在开始网络布线之前,首先要画一张施工简图。确认每台计算机的摆放方式和地点,然后在图上标明节点位置(也就是每台计算机的摆放位置)。根据节点的分布确定网络集线器的摆放地点。要注意网关服务器(就是接入Internet的那台计算机)的放置要配合上网电话线的入户方向,因为电话入户线越短越好。图2是一个网络布线施工示意图。
3�开始布线
首先是“放线”,确定网络集线器和每台计算机之间的距离,分别截取相应长度的网线,然后将网线穿管(PVC管)。也可以不用穿管,直接沿着墙壁走线。要注意的是双绞线(网线)的长度不得超过100米,否则就得加装中继器来放大信号。
接着是“做网络接头”,也就是制作RJ45双绞线接头。在讲述如何正确接线之前,要先说明8根双绞线的编号规则。编号次序是 这么定义的:把RJ45有卡子的一面向下,8根线镀金脚的一端向上,从左起依次为12345678。下面就讲一下所谓的“1、2、3、6”的接法。“1、2、3、6”用于上行和下行数据传输,1、2和3、6各为一对,我们只要把1、2用一对绞线,3、6用一对绞线就可以了。至于颜色只需要相同就行。如果不用以上接法,也可以8根线单独接,具体做法:左手拿RJ45水晶头,右手拿线,按照棕、棕白、蓝、蓝白、绿、绿白、橙、橙白的顺序接入,然后用夹线钳夹好。一般情况下,接线应使用专用的夹线钳(有些高手可以用尖嘴钳代替,但是对于广大的菜鸟来说,RJ45水晶头可是2元一个啊,还是使用专用的夹线钳保险)。按上述方法将线接好之后,将RJ45水晶头用夹线钳夹住,用力一压就行了。要注意的是压线一定要压到底,一般压两到三下即可。
然后,将做好的接头和网卡连接。要注意将接头插入网卡槽中时,要轻轻地平行插入,直至听到“咔”的声音,确保接头已经和网卡良好地接触。
将网线两端做好的接头分别插入网卡和网络集线器,这样,布线工作就基本完成了。
四、连网、检测和故障诊断
接下来的工作是具体的连网工作,包括物理连通和计算机 *** 作系统的对等互联。判断计算机的物理连通与否很简单:查看网卡的指示灯或者网络集线器上对应的指示灯是否正常就知道了。一般网卡上绿灯亮表示网络连通。
单是网络物理连通还不能使整个网络运作起来,你必须对每一台计算机进行网络配置。首先要安装网卡。网卡按总线标准可分为:PCI,ISA两种。如果买的是PCI网卡,一般在安装和设置中不会出现什么问题;如果买的是ISA网卡,在安装过程中可能会遇到硬件设备冲突问题,此时可用网卡驱动盘中的诊断程序来重新设置IRQ和I/O。将网卡插入主板,重新启动计算机后,还要在Windows中进行设置。在“控制面板”的“网络”选项中选择“添加”→“适配器”,然后选择厂商和网卡型号,按“确定”后,在网络窗口中会显示添加的网卡设备,同时还会安装相应的网络协议和网络客户。注意只需要安装TCP/IP协议、Microsoft网络客户、文件和打印机共享即可。双击“TCP/IP协议”,在d出的IP对话框里填好本机IP地址、子网掩码、网关地址以及DNS服务器的IP地址。例如笔者的设置:本机IP为19216801~192168020;子网掩码为2552552550;网关地址为19216801;DNS服务器地址为6112812868。
打开网络对话框中“标识”标签,这是给机器取网名和划分工作组的地方。在“计算机名”中填上计算机的网名,其他人可以在“网上邻居”中用这个名字访问你的机器;然后“工作组”中填上一个工作组名,在同一局域网中工作组的名字必须相同。
现在检测网络是否连通。在Windows桌面上双击“网上邻居”,如果在打开的窗口中看到自己和其他计算机名,这就表示网络已经连通了。
如果不能在“网络邻居”里看到计算机名,可按以下步骤诊断:
1检查网络物理上是否连通。
2如果只是看不到自己的本机名,检查是否添加了“文件与打印机共享”服务。
3如果“网络邻居”里只有自己,首先保证网络物理是连通的,然后检查工作组名字是否和其他计算机一致。
4如果什么都看不到,可能是网卡的设置问题,重新检查网卡设置,或者换一块网卡试试。
5用Ping、Tracert等网络检测工具诊断,限于篇幅,这里就不讲解了。
五、接入Internet
目前较为经济的Internet接入方式是用Modem或者ISDN拨号上网,这也是网吧老板的首选接入方式。当然要是档次要求较高,也可以选用DDN专线接入。在网吧中指定一台计算机为网关服务器,通过拨号上网后,其他局域网中的机器都可以共享该机器的拨号连接。共享上网只需在所有的上网机器中安装TCP/IP协议和在网关服务器中安装代理服务软件即可实现。
使用代理服务器有两个好处:一是可利用其大容量的缓存提高上网速度;二是可以起防火墙作用。 代理服务器软件有两种类型:一种是带有缓存功能的“快取型”(Cache)代理服务器,如Wingate、Winroute、MS Proxy等;另一种是简单的”网关型”,如Sygate、WIN98SE中的Internet连接共享等。由于 “快取型”(Cache)代理服务器的设置和管理比较复杂,已经超出了本文的范围,请另行参考有关书籍(编者注:本期19版对“快取型”(Cache)代理服务器——Wingate的设置和管理有详细介绍)。笔者在这里简单介绍一下WIN98SE(WIN98第二版)的Internet连接共享的安装和使用方法。
1安装WIN98SE中的Internet连接共享服务
首先保证网吧内部的局域网已经连通,然后选择一台计算机作为网关机。网关机上安装WIN98SE版本的 *** 作系统,同时安装好Modem或ISDN,保证该机拨号上网一切正常。添加Internet连接共享的方法十分简单,在“Windows安装程序”的“Internet工具”选项中选择“Internet连接共享”,按照提示安装即可。IP地址设置为19216801。
2客户计算机的设置
在本文的第四部分“连网、检测和故障诊断”中,笔者已经对计算机的连网设置做了介绍,按照上面的方法设置即可。最重要的一点就是指定网关地址为19216801,即网关机的IP地址。此外DNS服务器IP地址设定为ISP提供的DNS服务器即可,如:6112812868。在客户计算机上用Ping命令检测是否已经通过共享连接上网(如图5),如果Ping通Internet上的指定IP,就表示已经大功告成了。
六、网吧架设和维护注意事项
其实组建网络的工作实践性很强,必须亲自动手才会对建网的一些要领有更加深入的理解。笔者对此也没有太多的经验要讲。现把笔者在架设网吧过程中得到的一些比较重要的经验列举如下:
1ISDN的安装和设置和普通的Modem没有太大的区别,但是如果要使用128K速度上网,则需要在已建好的ISDN拨号网络连接上双击“属性”,选择“多重链接”、“使用附加设备”、“添加”,选择“ISDN Line1”,确定之后再重拨上网。
2通常一个Modem带20台以内的计算机共享上网时,浏览网页和聊天的速度与单机上网的速度相差无几。但是要注意,最好不要让几台计算机同时在网上下载,因为多机同时下载会严重降低整个网络的速度。
3 对于自身水平不太高的经营者而言,安装一些网吧管理软件如“网吧管理专家”,“美萍安全卫士”和防火墙软件还是很有必要的。
4网吧正常运营后,需要定期对网络做检查。根据笔者经验,最容易出问题的设备是网络集线器和网卡。所以最好有备用的网络集线器和网卡,一旦发现问题,可以及时更换,不至于影响网吧的正常运营。用交换机组建局域网方法一:
考虑以下几个方面可以实现你所需要的功能。
1交换机是否可网管如可网管可参照交换机 说明书 在交换机上作策略控制上网权限
2如不是网管型交换机可以考虑在路由器上作策略一样可以实现上网权限的控制
3如果路由器和交换机都不具备网络权限控制(QOS)功能则建议放弃使用路由器用一台server系统电脑作代理服务器上网然后集连交换机一定可以实现上网权限的控制
用交换机组建局域网方法二:
如果是100兆交换机100兆网卡,要按100兆线做法做水晶头,
线序:
白橙,橙,白绿,蓝,白蓝,绿,白棕,棕,这样干扰最小,传输速度最快。
还有,uplink口是做级连用的,要空着
你的现象可能是网内有的电脑感染病毒了,可以查看一下交换机的指示灯,闪的厉害,就拔掉它,看看其他电脑是不是可以正常上网了
用交换机组建局域网方法三:
1、买以太5口交换机。
2、三条直通线(线序两头一样) 。
3、从猫出来的宽带信号直通双绞线水晶头,插入交换机一个端口,二台电脑分别用直通双绞线与交换机的端口相连。
4、设置协议TCP/IP属性。
(1)本地连接
右击本地连接—属性—常规—协议(TCP/IP)--属性—使用下面的IP地址
A电脑:
IP地 址:1921680 2 (这是我使用的)
子网掩码:2552552550
默认网关:19216801
B电脑:
IP地 址:1921680 3(2—254之间除2以外的数)
子网掩码:2552552550
默认网关:19216801
(2)宽带连接
右击宽带连接—属性—网络--协议(TCP/IP)--属性—使用下面的IP地址--两台电脑均设为“自动获得IP地址”。
5、二台电脑用一个用户名和密码,分别建立宽带拨号上网。那就简单的说,单域组网就是一般局域网,同一IP段联网,若是安全面可设服务器,可以管理分布的各个主机,相应的就是各种域服务器,而多域是就是如此相同性质的单域网络再联网,比如, 一个网吧内部的机器联网为单域网络,(虽然也有不同的IP段),多域就是一个大公司各个子公司网络相连/比如,化为中国总部和各个分区(也有国外区)的域网联连/此好处就是单域网络内机器可以共享好管理,外域不能直接进行共享 及管理,,相对安全好管理些
希望 能帮上你
基本属性:
vlan特性:三层互通,两层隔离。三层交换机不同vlan之间默认是互通的,两次交换机不同vlan是隔离的。
vlan IP:就是定义一个vlan下所有机器的网关地址,该vlan下的机器网关必须是这个IP。
接口:就是交换机后面可以插网线的端口,可以设置为Access、Trunk、Hybrid等
注意点:
交换机与相关设备(路由、交换机)相连时,建议将接口设置为Trunk口,并且允许相关vlan通过。
交换机下行连接电脑终端或服务器终端建议将接口设置为Access接口。
定义vlan时,尽量使用24的掩码(2552552550)进行划分,如果存在包含关系vlan之间互连就会有问题,所以尽量不适用大网段。
设置DHCP自动划分IP示例:
组网图:
1)配置DHCP服务# 启用DHCP服务。<H3C> system-view[H3C] dhcp enable2)配置端口所属VLAN和对应VLAN接口的IP地址,IP地址即是对应VLAN的网关地址[H3C]vlan 5[H3C-vlan5]port GigabitEthernet 1/0/5[H3C-vlan5]quit[H3C]vlan 6[H3C-vlan6]port GigabitEthernet 1/0/6[H3C-vlan6]quit[H3C]vlan 7[H3C-vlan7]port GigabitEthernet 1/0/7[H3C-vlan7]quit[H3C]interface vlan 5[H3C-Vlan-interface5]ip address 1921685254 2552552550[H3C-Vlan-interface5]quit[H3C]interface vlan 6[H3C-Vlan-interface6]ip address 1921686254 2552552550[H3C-Vlan-interface6]quit[H3C]interface vlan 7[H3C-Vlan-interface7]ip address 1921687254 2552552550[H3C-Vlan-interface7]quit3)配置不参与自动分配的IP地址(DNS服务器等,此步为选配)[H3C] dhcp server forbidden-ip 1921685100[H3C] dhcp server forbidden-ip 1921686100[H3C] dhcp server forbidden-ip 19216871004)配置DHCP地址池5,用来为19216850/24网段内的客户端分配IP地址。[H3C] dhcp server ip-pool 5[H3C-dhcp-pool-5] network 19216850 mask 2552552550[H3C-dhcp-pool-5] dns-list 8888[H3C-dhcp-pool-5] gateway-list 1921685254[H3C-dhcp-pool-5] quit说明:如果有多个公网的DNS地址,命令可以如下方式输入[H3C-dhcp-pool-5] dns-list 8888 1141141141145)配置DHCP地址池6,用来为19216860/24网段内的客户端分配IP地址。[H3C] dhcp server ip-pool 6[H3C-dhcp-pool-6] network 19216860 mask 2552552550[H3C-dhcp-pool-6] dns-list 8888[H3C-dhcp-pool-6] gateway-list 1921686254[H3C-dhcp-pool-6] quit6)配置DHCP地址池7,用来为19216870/24网段内的客户端分配IP地址。[H3C] dhcp server ip-pool 7[H3C-dhcp-pool-7] network 19216870 mask 2552552550[H3C-dhcp-pool-7] dns-list 8888[H3C-dhcp-pool-7] gateway-list 1921687254[H3C-dhcp-pool-7] quit7)保存配置[H3C]save force
通过端口将给下联傻瓜SW打标签,将一个交换机配置为一个vlan:
如图:电脑发出的数据,通过交换机到核心SW的下联口,因为下联SW没有做打标签的工作,直接在进入核心SW的时候给数据打上VLAN10的标签即可。
简单的网络组图示例:
一、H3C交换机划分vlan
1、基于端口划分vlan
(1) 配置 Device A
# 创建 VLAN 100,并将 GigabitEthernet1/0/1 加入 VLAN 100。
<DeviceA> system-view
[DeviceA] vlan 100[DeviceA-vlan100] port gigabitethernet 1/0/1[DeviceA-vlan100] quit
# 创建 VLAN 200,并将 GigabitEthernet1/0/2 加入 VLAN 200。
[DeviceA] vlan 200[DeviceA-vlan200] port gigabitethernet 1/0/2[DeviceA-vlan200] quit
# 为了使 Device A 上 VLAN 100 和 VLAN 200 的报文能发送给 Device B,将 GigabitEthernet1/0/3的链路类型配置为 Trunk,并允许 VLAN 100 和 VLAN 200 的报文通过。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] port link-type trunk[DeviceA-GigabitEthernet1/0/3] port trunk permit vlan 100 200
(2) Device B 上的配置与 Device A 上的配置相同,不再赘述。
(3) 将 Host A 和 Host C 配置在一个网段,比如 1921681000/24;将 Host B 和 Host D 配置在
一个网段,比如 1921682000/24。
4 验证配置
(1) Host A 和 Host C 能够互相 ping 通,但是均不能 ping 通 Host B。Host B 和 Host D 能够互相ping 通,但是均不能 ping 通 Host A。
(2) 通过查看显示信息验证配置是否成功。
# 查看 Device A 上 VLAN 100 和 VLAN 200 的配置信息,验证以上配置是否生效。
[DeviceA-GigabitEthernet1/0/3] display vlan 100 VLAN ID: 100 VLAN type: Static
Route interface: Not configured
Description: VLAN 0100 Name: VLAN 0100 Tagged ports: GigabitEthernet1/0/3
1-18 Untagged ports: GigabitEthernet1/0/1
[DeviceA-GigabitEthernet1/0/3] display vlan 200 VLAN ID: 200 VLAN type: Static
Route interface: Not configured
Description: VLAN 0200 Name: VLAN 0200 Tagged ports: GigabitEthernet1/0/3 Untagged ports:GigabitEthernet1/0/2
2、基于IP自网段划分网段
(1) 配置 Device C
# 配置子网 19216850/24 与 VLAN 100 关联。
<DeviceC> system-view
[DeviceC] vlan 100[DeviceC-vlan100] ip-subnet-vlan ip 19216850 2552552550[DeviceC-vlan100] quit
# 配置子网 192168500/24 与 VLAN 200 关联。
[DeviceC] vlan 200[DeviceC-vlan200] ip-subnet-vlan ip 192168500 2552552550[DeviceC-vlan200] quit
# 配置端口 GigabitEthernet1/0/11 为 Hybrid 端口,允许 VLAN 100 通过,并且在发送 VLAN 100的报文时携带 VLAN Tag。
[DeviceC] interface gigabitethernet 1/0/11
[DeviceC-GigabitEthernet1/0/11] port link-type hybrid[DeviceC-GigabitEthernet1/0/11] port hybrid vlan 100 tagged[DeviceC-GigabitEthernet1/0/11] quit# 配置端口 GigabitEthernet1/0/12 为 Hybrid 端口,允许 VLAN 200 通过,并且在发送 VLAN 200
的报文时携带 VLAN Tag。
[DeviceC] interface gigabitethernet 1/0/12
[DeviceC-GigabitEthernet1/0/12] port link-type hybrid[DeviceC-GigabitEthernet1/0/12] port hybrid vlan 200 tagged[DeviceC-GigabitEthernet1/0/12] quit# 配置端口GigabitEthernet1/0/1为Hybrid端口,允许VLAN 100、200通过,并且在发送VLAN 100、
200 的报文时不携带 VLAN Tag。
[DeviceC] interface gigabitethernet 1/0/1
[DeviceC-GigabitEthernet1/0/1] port link-type hybrid[DeviceC-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged# 配置端口 GigabitEthernet1/0/1 和基于 IP 子网的 VLAN 100、200 关联。
[DeviceC-GigabitEthernet1/0/1] port hybrid ip-subnet-vlan vlan 100
[DeviceC-GigabitEthernet1/0/1] port hybrid ip-subnet-vlan vlan 200
[DeviceC-GigabitEthernet1/0/1] quit(2) 配置 Device A 和 Device B配置 Device A 和 Device B 允许对应 VLAN 通过,配置过程略。
4 显示与验证
# 查看所有子网 VLAN 的信息。
[DeviceC] display ip-subnet-vlan vlan all
VLAN ID: 100 Subnet index IP address Subnet mask
0 19216850 2552552550 VLAN ID: 200 Subnet index IP address Subnet mask
0 192168500 2552552550
1-22
# 查看端口 GigabitEthernet1/0/1 关联的子网 VLAN 的信息。
[DeviceC] display ip-subnet-vlan interface gigabitethernet 1/0/1 Interface: GigabitEthernet1/0/1 VLAN ID Subnet index IP address Subnet mask Status
100 0 19216850 2552552550 Active
200 0 192168500 2552552550 Active
二、基于端口划分vlan后没有网络,需要配置交换机静态路由与路由器上的回城静态路由
路由器端配置
#配置虚接口地址
<H3C>system-view
[H3C]interface Vlan-interface 1
[H3C-Vlan-interface1]ip address 19216811 24
[H3C-Vlan-interface1]quit#添加两条静态路由,将vlan 2,3的数据下一跳回城到vlan1的ip,vlan1会将数据下发到vlan 2,3
#如果在路由web界面配置,出口需要选择LAN出口
[H3C]ip route-static 19216820 24 1921681254
[H3C]ip route-static 19216830 24 1921681254
#保存配置
[H3C]save force32交换机端的配置
#创建vlan<H3C>system-view[H3C]vlan 2 to 3
#创建虚接口地址,vlan2和vlan3的地址分别作为PC1和PC2的网关,24对应 2552552550
[H3C]interface vlan 1
[H3C-Vlan-interface1]ip address 1921681254 24
[H3C]interface vlan 2
[H3C-Vlan-interface2]ip address 19216821 24
[H3C]interface vlan 3
[H3C-Vlan-interface3]ip address 19216831 24
#将连接PC1和PC2接口划分到相应的vlan中,已经划分vlan的跳过这步
[H3C]interface GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2] port access vlan 2
[H3C-GigabitEthernet1/0/2]interface GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3] port access vlan 3
#添加静态路由,指向路由器的网关
[H3C]ip route-static 0000 0 19216811
#保存配置
[H3C]save force
核心交换机配置示例:
需求:核心交换机下接两个底层交换机,分别连接大量PC终端与大量服务器。需要划分vlan使不同vlan的PC端都可以正常访问服务器与服务器下的虚拟机。因为服务器之间可能存在需要相互通讯的问题,需要将服务器划分进一个vlan能够正常通讯。
网络拓扑图:
左侧是划分前:路由网关为1721801,服务器中虚拟化了大量虚拟机,网管全部为1721801如果要重新划分vlan会很麻烦,PC端划分了不同vlan。
右侧是划分后:将路由网关修改为19216812,将核心交换机单独划一个vlan 200用于和路由相连。服务器vlan 100虚拟接口IP就修改为1721801,这样就不需要修改服务器与虚拟机中的网管了。记得写回城路由将数据写回核心交换机。
配完之后,流量如下走:
1、终端数据到网关,即核心交换机上
2、核心SW查找路由发现只有一条缺省路由,下一跳是路由器互联地址,将数据发给路由器互联地址
3、路由器查找路由表,将数据发往公网。
4、回包时路由器查路由表,根据路由表发现下一跳是核心交换的互联地址,将数据发给核心SW,
5、核心SW收到后,根据路由表发给各个网段
现在很多家庭用户都通过电信的ADSL或其他公司提供的类似类型的宽带上网。由于宽带的费用并低廉,而对于大多数没有大量数据下载的家庭用户来说,一户人或一台电脑独占一条ADSL有点浪费资源的感觉。于是现在很多人都用共享一条宽带上网。这种共享上网的方法一般如下:电话线--语音分离器--ADSL猫--宽带路由器--交换机集线器--电脑
在这种情况下,我经过思考与试验,我发现可以通过对宽带路由器进行适当设置就可以对上网进行限制。
这里以TP-LINK TL-R402M为例(因为我发现最多人用这种。。。)说说限制上网的步骤。
1取得局域网内所有使用者的IP与MAC地址
取得IP的方法很多,推荐用"局域网查看工具",网上随便搜索一下就有了
取得MAC地址的方法:WIN+R,输入CMD,用"NBTSTAT -A IP地址" 查看
取得自己电脑IP与MAC的方法:WIN+R,输入CMD,用"IPCONFIG /ALL" 查看
2登陆宽带路由器
打开IE,输入19216811(一般都是这个),就会出现登陆窗口
账号:ADMIN
密码:ADMIN(默认是这个,一般不更改滴如果被更改了,稍候我研究下怎样破解,有进展再发帖)
登陆后会出现宽带路由器的设置页面 3只允许自己的电脑上网的设置
1,设置页面--DHCP服务器--静态地址分配--将自己的IP地址与MAC地址绑定(输入并保存即可)
2,设置页面--安全设置--防火墙设置--选择开启防火墙,开启IP地址过滤,开启MAC地址过滤三项--选择"凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器"和"仅允许已设MAC地址列表中已启用的MAC地址访问Internet"。
3,设置页面--安全设置--IP地址过滤--添加新条目--把你的IP地址填进去,并选择使所有条目生效。
4,设置页面--安全设置--MAC地址过滤--添加新条目--把你的MAC地址填进去,并选择使所有条目生效。
这样设置后,嘿嘿,除了你之外,没有人可以上外网,但局域网内部之间可以正常访问。
4不允许某一台电脑上网的设置
1,设置页面--安全设置--防火墙设置--选择开启防火墙,开启MAC地址过滤二项--"禁止已设MAC地址列表中已启用的MAC地址访问Internet"。
2,设置页面--安全设置--MAC地址过滤--添加新条目--把禁止上网的电脑的MAC地址填进去,并选择使该条目生效。
这样设置后,被禁止上网的电脑就不可以上网了,但局域网内部之间可以正常访问。
对于只允许自己的电脑上网的设置,其他电脑想上网,是比较有难度的(除了入侵路由器并更改设置外)。
最好的呵呵你看看学习一下 电话线--语音分离器--ADSL猫--宽带路由器--交换机集线器--电脑
仔细的在照者 设定一下 呵呵住你好运
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)