终极网络练成之道详解.doc

网络工程师练成之道 几秒钟搞定交换机端口绑定mac的安全问题 　　单位的宿舍网老是有人中arp，搞得头大，又不好意思把别个地网络给喀嚓了，只有用这种麻烦事情了。虽然在三层设备上可以做到ip＋交换机端口绑定mac，但数量大了那是牺牲设备性能做代价的。　　交换机端口绑定mac防arp欺骗　　华为交换机端口绑定mac防arp欺骗　　废话少说，还是在接我电脑的末端交换机华为S2016－E1上开工吧：[S2016-E1-Ethernet0/1]mac-address max-mac-count 0;进入到端口，用命令mac max-mac-count 0(端口mac学习数设为0)[S2016-E1]mac static 0000-9999-8888 int e0/1 vlan 10;　　交换机端口绑定mac防arp欺骗（华为）　　将0000-9999-8888绑定到e0/1端口上，此时只有交换机端口绑定mac的pc可以通过此口上网,同时E0/1属于vlan 10，就这样，ok了，不过上面两个命令顺序不能弄反，除非端口下没有接pc。呵呵！　　常见华为交换机端口绑定mac防arp欺骗 级联端口变化引发无法上网故障 　　交换机是局域网中的一种核心“枢纽”设备，组网规模相对较大的局域网使用的交换机数量往往比较多，它们之间的位置变化可能也比较频繁。在这样的工作环境中，网络管理员必须根据交换机的特点以及性能进行合理部署，因为我们的随意部署或许给网络的正常运行、维护带来隐患。现在，本文和大家分享一个由于交换机级联端口的变化引发无法上网的案例，希望能对大家高效管理局域网带来帮助。 　　故障现象 某大楼局域网规模较大，大约有300台左右的计算机分布在各个楼层，每个楼层驻扎的单位不尽相同，有的楼层只有一个单位，有的楼层最多能同时包含四家单位；为了既能高效管理大楼网络，又能确保大楼内的各家单位上网安全，网络管理员选用了可管理的H3C S3050型号交换机作为楼层交换机，并在楼层交换机中根据单位家数的不同，为各个单位单独划分一个虚拟工作子网，这样一来即使某个单位内部的网络中遭遇了病毒袭击，也不会影响到其他单位的正常上网，同时网络管理员在排除网络故障时，只需要将故障排查范围锁定在某一个虚拟工作子网中，而不需要大范围地进行寻找、排查故障节点。　　经过网络管理员的合理规划、正确配置后，大楼中的各个单位工作子网平时都能正常访问Internet网络。可是，最近又有一些单位住进大楼，为了保证这些单位的人员也能正常上网，不得已网络管理员只好对大楼网络进行一些升级改造。现在，网络管理员打算将位于三楼的S3楼层交换机放置到四楼，并让其与本来就放置在四楼的S4楼层交换机进行级联；先前S3楼层交换机是通过1交换端口与大楼网络的核心交换机进行级联的，在变换位置后，该交换机改成使用2交换端口与S4楼层交换机进行级联。在完成物理连接的变动之后，网络管理员发现，设置在S3楼层交换机中的虚拟工作子网5、虚拟工作子网6都不能正常访问Internet网络了，这让网络管理员百思不得其解，交换机还是那台交换机，各个虚拟工作子网的配置参数也没有发生改动，只是改变了一下交换机的级联端口，划分在该交换机上的所有虚拟工作子网为什么就不能正常访问网络了呢？ 　　分析排查 　　1、测试交换机状态 　　经过仔细分析，网络管理员认为对于那些支持即插即用功能的交换机来说，更改交换机的级联端口，应该不会影响对应交换机下虚拟工作子网的工作状态，但现在S3楼层交换机的级联端口位置发生改变后，划分在该交换机上的虚拟工作子网5、虚拟工作子网6都不能正常访问Internet网络了，显然该故障是由于交换机的级联端口变化引起的。考虑到S3楼层交换机现在是通过S4楼层交换机连接到大楼网络中的，会不会是S4楼层交换机的工作状态不正常，造成了S3楼层交换机下面的虚拟工作子网无法正常访问Internet网络呢？想到这一点，网络管理员立即从S4楼层交换机下面的虚拟工作子网中找了一台计算机进行上网测试，测试发现该计算机可以正常上网；网络管理员还是有点不放心，他又接连选择了其他计算机进行上网测试，测试结果都很正常，这说明S4楼层交换机的工作状态很正常。 　　2、测试级联端口状态 　　经过上述排查，网络管理员断定问题出在S3楼层交换机、S4楼层交换机的级联端口上，于是他打算检查一下这两个交换端口的详细配置信息。注意打定后，网络管理员立即使用交换机随机配备的控制线缆连接到S3楼层交换机，然后以超级终端方式登录进入S3楼层交换机的后台管理系统，在该系统的命令行状态执行“system”命令，切换进入系统全局配置状态，再在该状态下输入字符串命令“display interface ethernet 0/2”，单击回车键后，网络管理员从其后返回的