天上飘的猫~Blog

 
 


 
 
案例名称
根据IP地址，找到交换机上相对应的端口
 
案例介绍
前面我写了一篇SNIFFER监控的案例，那么我们通过监控自然会发现一些问题。对于网络管理员来说，监控不是目的，而是手段，我们在SNIFFER监控服务上发现某个IP地址异常发包，或是BT下载，或是流量过大，总之，如果发现这个IP地址有问题，我们就要对之处理，来维护网络的稳定，健康运行。那么，发现某个IP地址有问题了，中病毒，异常发包，我们要怎么来处理呢？
我们的处理思路是这样的：为了保证网络正常，避免传染到企业网里的其它电脑，我们就需要将其断网。在CISCO交换机很容易实现，把那个电脑连接的端口SHUT就可以了。如何找到对应的端口，就是我们这里要重点讲解给大的。
 
 
 
 
配置命令
1. 在核心交换机SCM4506-A上
show arp | in 172.27.47.5 找到其MAC地址，
2. 然后show mac-address-table address 0009.6b8c.64ec 找到对应交换机端口是G3/15
3. 我们知道172.27.47.5肯定不可能是连在SCM4506-A的核心交换机上，肯定是TRUNK在核心交换机上的接入层交换机，某台CISCO29系统交换机上。
我们再用命令show cdp neighbors GigabitEthernet3/15 看一下G3/15上连的是哪台接入层交换机。找到是CISCO2924. 后面就好处理了，TELNET到CISCO2924上，
再次使用 show mac-address-table address 0009.6b8c.64ec 找到相对应的端口SHUTDOWN
 
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
0710-SCM4506-A>show cdp neighbors GigabitEthernet3/15  查找端口上所接的设备
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID        Local Intrfce     Holdtme    Capability  Platform  Port ID
254150           Gig 3/15           166          S I      WS-C2950G-Gig 0/2
 
Cisco2924#show mac-address-table dynamic address 0009.6b8c.64ec
Non-static Address Table:
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------
0009.6b8c.64ec Dynamic 2 FastEthernet0/2
Cisco2924#show mac-address-table dynamic interface f0/2
Non-static Address Table:
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------
0009.6b8c.64ec Dynamic 2 FastEthernet0/2
　　通过以上命令可知，MAC地址0009.6b8c.64ec 与Cisco 2924交换机相连，且是该端口上唯一活动的MAC地址，所以IP为172.27.47.5的机器应该就连接在这个端口上。
 
 
 
 
 
 [/img]..

 
> 
案例名称
在CISCO 4506交换机上配置端口镜像，使用SNIFFER 对企业网流量进行监控
 
设备型号
CISCO 4506 四台，SCM-4506-A 和 SCM-4506-B是核心交换机，互为热备
OA-4506-A和OA-4506-B是汇聚交换机。
CISCO 2950交换机若干台，用于接入层，我的项目实际实施时，用了80多台2950
SNIFFER监控服务器，安装WINXP 或WIN2003 操作系统都可以。内存要大，否则监控过程中进行抓包时，会死机或是蓝屏。
 
案例介绍
CISCO7206-1路由器，配置ISP分配的公网IP，7206的G0/1连接核心交换机SCM4506-A的G5/30,
SCM4506-A 的G5/30是企业网连互连网的出口，所有访问企业网外部资源的流量都要经过G5/30，将G5/30的流量镜像到G5/6号口上，SNIFFER对这些流量数据进行监控，分析。可以监控到下载或是病毒发包，还可以对办公电脑进行抓包，解包后可以看到办公电脑访问哪些网站。
 
配置命令
在SCM4506-A上配置
monitor session 1  source interface Gi5/>30         G5/30是企业网连互连网的出口
monitor session 1  destination interface Gi5/6      Gi5/6接SNIFFER监控服务器
 
实施总结：
SNIFFER是个攻击工具，同时也是网管管理网络的好帮手，技术向来是双刃剑，网络的很多问题，都是来自网络内部，电脑中病毒，员工下载占用大量带宽，导致设备和线路负载太大，实时的监控对于网络的健康稳定运行，很重要。通过监控我们可以及时发现问题，处理问题，也对判断故障提供了分析依据。
 [/img]..

*案例名称：
端口限速
 
技术范围：
交换
 
技术关键词：
QOS   限制上行和下行速率
 
案例描术：
某大型国企广域网，城市XF是生产工厂，建有生产系统，文件存储管理系统，物流管理系统，仓库管理系统，SAP企业管理系统，等等，由于应用较多，这里就不赘述。情况是这样的，城市XF与城市HD用10M  SDH线路相连，这条线路需要承载生产数据，财务数据，仓储物流数据，由于数据量大，对这条线路负载较大。
情况是这样的，文件服务器（File-Server）在XF机房，HD的人员需要在File-Server上存储数据..

NAT配置 示例1

在本例中，公司使用一台两接口路由器，一个是Ethernet，另一个是串行接口。
Ethernet0连接到内部网络，而串行接口则通过PPP链路连接到ISP路由器。
在内部网络中，公司使用10.0.0.0/24地址范围内的地址。公司已从其供应商那里获得了一个单一的全局可路由的IP地址171.100.1.1，并且该地址用于路由器的串行接口上。
公司使用PAT将其所有的内部本地地址转换成单一的内部全局地址171.100.1.1。
公司希望提供可以从Internet访问的FTP和Web服务器，
并且对Web服务器的请求应被送到 Web服务器所在的地址10.1.1.100，
而F..

网络工程师交换试验手册之十三：单区域OPSF配置


2007-06-25 　




实验目的：

熟悉OPSF在常规区域种的单区配置。熟悉OSPF的工作原理和工作过程，理解OSPF的特点，理解OSPF的区域和OSPF的进程的概念。

实验拓扑：





实验内容：

1．路由器的基本配置。

R1上的基本配置：

interface Loopback0

ip address 1.1.1.1 255.255.255.0

ip os..

ARP病毒是让LAN里的PC都无法上网，你在不能上网的PC上运行，ARP　－A
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
C:\Documents and Settings\ww>ARP -A
Interface: 10.192.68.111 --- 0x2
  Internet Address      Physical Address      Type
  10.192.68.82          00-14-22-d4-7d-26     dynamic
  10.192.69.254         00-00-0c-..

Configuring Traffic Storm Control



This chapter describes how to configure the traffic storm control feature . the Catalyst 6500 series switches. Release 12.1(12c)E1 and later releases support traffic storm control. For earlier releases, refer to "Configuring Broadcast Suppression"
Note • For complete syntax and usage information for the commands used in this chapter, refer to the Catalyst 6500 Series Switch Cisco IOS Command Reference publication.
• The ..

基于MAC地址的ACL 控制MAC地址上网
=======================================
mac access-list extended MAC80185
 deny   host 00e0.4c90.01d1 any
 permit any any
!
interface FastEthernet0/4
 switchport access vlan 251
 no ip address
 mac access-group MAC80185 in
=======================================

封到一个MAC地址，不让其接入网络的方法二
使用SNIFFER查到故障PC的IP，在交换机上查到PC的MAC地址
0710-SCM4506-A#sh arp | in  172.27.2.120 
Internet  17..

show arp | in ip找到MAC地址，
然后show mac-address-table address MAC找到对应交换机端口，
vlan1 必须管理DOWN 掉，否则netmaneger　vlan2不通，无法远程管理交换机。
0710-SCM4506-A>show cdp neighbors GigabitEthernet3/15  查找端口上所接的设备
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID &nb..

Vlan间DHCP配置



网络环境：



一台3550EMI交换机，划分三个vlan,

vlan2 为服务器所在网络，命名为server,|



IP地址段为192.168.2.0,子网掩码:255.255.255.0,网关:192.168.2.1,

域服务器为windows 2000 advance server,同时兼作DHCP服务器，DNS服务器，

IP地址为192.168.2.10, vlan3为客户机1



所在网络，



IP地址段为192.168.3.0,子网掩码:255.255.255.0,网关:192.168.3.1

命名为work01,vlan4 为客户机2所在网络,命名为work02,



IP地址段为192.168.4.0,子网掩码:255.255.255.0,网关:192.168.4.1.


..

OSPF入门童话

可以把整个网络（一个自治系统AS）看成一个王国，这个王国可以分成几个 区(area)，现在我们来看看区域内的某一个人(你所在的机器root)是怎样得到一张 世界地图(routing table)的。

　　首先，你得跟你周围的人（同一网段如129.102）建立基本联系。你大叫一声 “我在这！”(发HELLO报文),于是，周围的人知道你的存在，他们也会大叫，这样 你知道周围大概有哪些人，你与他们之间建立了邻居(neighbor)关系，当然，他们 之间也有邻居关系。

　　在你们这一群人中，最有威望(Priority优先级)的人会被推荐为首领（ Designa..

1,启用QOS
qos
qos aggregate-policer 29 1024000 102400 exceed-action drop 限速1M
2、定义访问控制列表
Switch(config)#access-list 129 permit tcp any 172.25.0.0 0.0.255.255
Switch(config)#access-list 129 permit udp any 172.25.0.0 0.0.255.255
允许该网段电脑从此端口下载数据

3、定义类，并和上面定义的访问控制列表绑定
Switch(config)#class-map match-all 29out  
Switch(config-cmap)# match access-group 129
Switch(config-cmap)# end
4、定义策略，把上面定义的类绑定到该策略
Switch(config)# pol..

思科交换机的登录、密码恢复与应用

一、登录交换机
首先找一根CONSOLE线将计算机的串口与交换机的CONSOLE口相连。（注：CONSOLE[控制台]线的一端为RJ45的水晶头，一端用DB9的串口，如果想要自己制作这根线，可以使用一根UTP网线将两端对调连接，即两端的线序正好相反，再配一个RJ45转DB9的接头即可）
在计算机里点击“开始”——“所有程序”——“附件”——“通讯”——“超级终端”，将出现一个对话框，输入一些数字（可随意），回车后还要创建一个连接名称，随便输入一些字符，一路回车即可。
给交换机加电，超级终端对话框里将会..