思科2600交换机上网限制的配置

liujiaqiang 2004-12-16 06:35:27

我有一事业单位客户，他们用思科2600把单位内部网络和政府网联系起来（光纤连接），使得单位内部也可以上internet。现在单位的员工买六合彩等。因此需要控制上网时间和上网的机器。
我从没搞过这方面的工作。现在连思科2600的配置界面都不知道如何进入。如果需要安装，安装什么软件。在单位内部网中哪台机器上安装就可以？如何配置？谢谢大虾指教。不胜感激！
QQ:6725264
E-mail:liujiaqiang@21cn.com

...全文

236 11 打赏收藏转发到动态举报

写回复

11 条回复

切换为时间正序

请发表友善的回复…

发表回复

zealVampire 2005-01-06

打赏
举报

回复

用超级终端啊。

laosea 2004-12-29

打赏
举报

回复

串口线拿得多到:得了皮肤癌，还是只会en,co te,sh ru……没长进啊，有没高人可以指点下，期待你加我MSN：laosead@hotmail.com

zhangblade 2004-12-28

打赏
举报

回复

楼主人呢？

Jeewins 2004-12-27

打赏
举报

回复

按照上楼的说法试试看连好线后用talnet登陆即可

xxuubb 2004-12-23

打赏
举报

回复

老兄,你是哪儿的.

myboor 2004-12-20

打赏
举报

回复

其实现在配置软件多了，如果用超级终端或telnet的话，还要熟悉命令行，干脆down一个配置软件算了，看起来也清楚一些，不过还是建议请专业人员做，不然，我们靠什么吃饭啊，哈哈

zhangblade 2004-12-20

打赏
举报

回复

连思科2600的配置界面都不知道如何进入
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
用console线，连接路由器的console口和电脑的串口

兄弟，如果是事业单位，那就花点钱找个人做吧，一点都不会是不行di。

applegreentea 2004-12-17

打赏
举报

回复

兄弟你好像一点也不会呵呵

feifeizaizhe 2004-12-17

打赏
举报

回复

ACL

Quebradawill 2004-12-17

打赏
举报

回复

可以使用基于时间的访问控制列表。
不过说得不太清楚，就是要控制上Internet吗？

wangyuhu 2004-12-17

打赏
举报

回复

你好像是一个新手哦.............

Dhcp两大威胁以及arp欺骗等试验总结 1 伪dhcp server。Dhcp的工作原理大概是首先client广播dhcp discovery消息，本网段的dhcp server回送dhcp offer消息，客户段再发送dhcp request消息，声明自己即将使用的ip地址，server发送ack给client告知client可以使用。防止伪dhcp其实就可以在交换机上启用dhcp snooping功能，凡是不信任的端口（信任端口就是dhcp server使用的端口，需独立配置），都将拒绝从该端口发送dhcp offer消息从而杜绝伪dhcp server。在cisco交换机上全局启用 ip dhcp snooping,,并使用命令ip dhcp snooping vlan 2,告知在vlan2里使用snooping，这样所有端口都是非信任端口，都将丢弃dhcp offer报文，如果是使用三层交换机提供dhcp服务，就不比单独配置信任端口了。配置信任端口是在物理端口下使用命令 ip dhcp snooping trust. 记住：接入层交换机需支持dhcp snooping功能；信任端口是在物理端口下配置（包括trunk级联端口） 2 DHCP dos攻击。主要就是伪造大量mac地址去像server申请地址，耗费dhcp server地址池，从个人达到拒绝服务攻击的目的。一般用两种方法，但实际操作性都不是太强。第一种办法就是对交换机端口规定一些合法的mac地址池，只有在此范围内的主机才可以通过该端口进行转发。或者限制最大mac地址数。这样客户端就没办法伪造mac地址去申请ip了。Cisco交换机就是在物理端口下使用switchport port-security mac-add命令填加，这种方法工作量大且不能满足移动性的要求。另一种方法就是与实际认证系统相结合，认证系统首先对MAC地址进行第一次认证，只有MAC地址是合法的，才允许DHCP Sever分配IP地址给终端，这主要用到802.1x认证协议和radius认证服务器。 3 有时候为了需要，不希望用户自己设定ip地址来上网，也就是说限制用户只能动态获取地址才能上网，自己固定地址不能上网。这种就相对比较简单，不需要在接入层上做什么设置，也就是不要求接入层支持dhcp snooping功能。只需要在三层交换机上使用如下命令就搞定。 Ip arp inspection vlan 500 //vlan500下面启用arp inspection功能 Ip arp inspection validate src-mac dst-mac ip //只有源mac 目的mac和ip都正确才合法这里必须还是先在三层交换机上启用ip dhcp snooping功能同时监控snooping vlan 500。因为arp inspection实际是根据dhcp 绑定信息来判断的。如果用户不是自动获取ip，而是自己设置ip，那么它就不会被dhcp snooping捕获到，当然所有的该ip地址发送的arp请求都会被网关拒绝掉的（因为源，目的mac和ip地址都是不合法的，自然被认为是非法的arp请求）。但是固定ip时是可以跟本局域网内其它机器通信的，只是不能通过arp协议学习到网关的mac地址。注：以上的dhcp server都是在三层交换机上启用的。 4 arp欺骗。可以分两种情况：一是伪造网关去欺骗网内其它主机；而是伪造其它主机去欺骗网关。当然更严重的是两种情况同时存在，并开始数据转发功能，这就是一种中间人攻击（双方欺骗），可以嗅探数据包（代理arp功能跟此类似，很多计费网关和一些透明防火墙就利用了代理arp功能）。从某种意义上说，arp欺骗就是一种代理arp。神码可提供专门的在接入层交换机使用ACL来限制客户仿冒网关，这个acl就是限制该端口下不允许发送网关地址的arp通告报文，这样可以有效的防止伪造网关去欺骗其它主机。 (Config)# access-list 1101 deny an an untagged-eth2 12 2 0806 20 2 0002 28 4 C0A80001 该ACL说明如下： 13，14字节是arp协议代码0806,21,22字节是0002表示arp reply,29-32字节就是网关ip地址的16进制 STEP2:应用ACL (Config)# Firewall enable (Config)# int e 0/0/1-24 //在所有端口下应用该acl (int)# mac access-group 1101 in traffic-statistic 当然，如果知道某个具体端口是什么IP地址，那么就可以限制该端口只能发送该IP的arp通告是最好了，这就可以完全杜绝arp欺骗。但明显可操作性差。另一种能较好防止arp欺骗的办法就是在各个主机上绑定网关的mac，同时在网关上静态绑定IP＋mac。不过这种办法不如前面办法好，它不能防止局域网内部的arp欺骗。如果采取的是动态获取ip地址，神码交换机有个新特性，能完全控制arp欺骗。可以防止接入主机假冒网关，可以防止接入主机假冒其它用户；管理复杂度低，交换机配置简单并且基本不需要变更；支持用户移动接入，交换机可以自动检测到用户接入位置并正确转发用户数据； ip dhcp snooping enable ip dhcp snooping binding enable Interface Ethernet0/0/1 ip dhcp snooping binding user-control ! Interface Ethernet0/0/2 ip dhcp snooping binding user-control 如果是静态ip，需要ip＋mac＋端口的绑定。 am enable Interface Ethernet0/0/1 am port am mac-ip-pool 00-1C-23-06-0D-B9 10.10.1.90 还是说说cisco交换机吧。一般采取动态获取IP地址的上网方式比较多，先配置ip dhcp snooping 再配置ip arp inspection,此时，客户端就应该没办法伪造其它主机去伪造网关，因为这些伪造的arp reply报文在网关看来都是非法的，自然会拒绝。至于伪造网关的防治，大概就只能在用户自己主机上静态绑定arp缓存表了。 1 防止arp扫描。在某些情况下也可抑制arp欺骗。原理就是对物理端口进行arp报文数量的限制。方法就是在物理端口是使用ip arp inspection limit rate 命令限制每秒钟允许通过的arp报文数。 2 伪mac地址的防治。交换机的mac地址表如果被大量充斥，将会影响性能，严重的将会是交换机崩溃，因为一般的cam存储都有限。所以这类防治般限制每端口出来的mac地址数目即可。至于伪造的防治，那就只能选择port-security了，虽然不能满足移动性的要求。针对目前学校主干是cisco交换机，接入层品牌太杂，档次参差不齐，用户自动从cisco三层交换机上获取地址上网的情况，我认为比较好的办法就是在cisco交换机上启用dhcp snooping 以及arp inspection功能来尽可能防止arp欺骗。用户还得绑定好网关的mac地址。要能更有效的防止arp欺骗和防止伪dhcp server，还得升级接入层交换机。

本软件来源于网络，本人搜集，如影响您的权益，请通知删除。网络岗旁路监控　　如果用户以硬件路由器（或FireWall)为出口上Internet，为实现“通过一台机器监控整个网络”的目的,通常采用下面几种手段：　　1.在网关处添加共享式HUB（集线器），Internet出口网络线和监控机网络线均接入HUB。　　2.在主交换机网口上设置镜像端口（一个镜像端口，一个被镜像端口)；监控机网络线接入镜像端口。　　上面实现的监控就是所谓的“旁路监控”。　　打个更形象的比喻：交警为监视公路上汽车行驶状况，为不影响交通，仅在路边配置一台监控设备，同步监视路上的每辆车，并不需要在路中间设卡检查车辆，这种方式相当与“旁路监控”。如果设卡监控，那就应该属于“非旁路监控” 优点：　　对网速影响甚小,如果不考虑封堵，可实现电信级的网络监视；所以网络流量庞大且封包需求很少时，必须采用该监控方式。缺点：　　1、封堵TCP连接时采用发送带RST标记的IP包，以破坏TCP连接；系统控制不好的话，则可能导致发送的封包太多，影响网络。　　2、不能封堵UDP通讯包。　　3、如果监控机处理速度慢，而流量太大，则可能导致分析包丢失。非旁路监控(拦截式) 　　1.网路岗NAT　　2.网路岗虚拟网桥（单网卡）　　3.网路岗网桥（双网卡）　　　防火墙产品是单纯采用“拦截式”技术的典型网络产品，所有进出FireWall数据包，都必须经过筛选，符合过滤过滤条件的数据包，将被抛弃。　　因此，防火墙的处理器性能和筛选规则的复杂程度，将直接影响到防火墙对数据包的处理速度，进而影响到网络速度。基于网卡、基于帐户、基于IP 　　所有的网络监控产品，都必须面对这个问题：在对具体电脑进行监控时，以什么信息来判断所捕获的数据包是由哪台机器发出的？　　“网路岗”提供了多种选项给客户选择，当用户网络是单网段，也就是说没有划分不同的IP段，我们建议客户选用“基于网卡”的方式，也就是说以“网卡地址MAC”来作为判断数据包的依据。　　相对IP地址来讲，网卡地址一般是不会改变的，而且是全球唯一的。针对单一网段内机器而言，网卡地址是网络寻址的重要依据，一旦网卡地址重复或不确定，必然造成网络通讯的紊乱或不稳定。　　针对多网段（划分VLAN）的情况，情况比较复杂，当数据包从某个VLAN转到其他VLAN时候，数据包中的网卡地址会发生改变，所以，我们捕获的网卡地址是发生变化了的，这时，如果系统对该MAC不加处理而简单使用，必然导致监控错乱。　　但是，这种情况，“网路岗”已经充分考虑了其应对策略，我们的客户依然可以选择“基于网卡”的方式，正如单一网段环境一样。　　当然，如果客户网络庞大，IP地址相对固定，从操作的简单性方面考虑，选择“基于IP”地址来监控也是可以的，用户也必须容忍IP地址是经常变化的。如果客户对某个范围IP的电脑行为感兴趣，那么用户也可以以“自定义的IP范围”作为一个监控对象来对待。　　最后，我们要谈谈“基于帐户”。当客户机通过浏览器上网时候，会出现一个输入用户名和密码的画面，此时，只有当客户拥有了自己的用户名和密码，才拥有了上网的权限，这就是“基于帐户”模式的具体表现。　　“基于帐户”的方式从理论上讲，是完美的，因为该方式下，与被监控电脑的网卡地址和IP地址均无关系，而只需要根据用户帐号来判断监控对象。但其缺点也非常明显，因为客户机每次上网时候，都必须输入帐号及其对应的密码，给客户机上网带来麻烦，而且因为密码容易被忘记，网络管理员还不得不经常为客户机Reset密码。从目前客户的使用情况来看，“基于帐户”在“宾馆客房”上网方面似乎是非常好的方案。　网桥　　先解释一下通常意义下的“网桥”概念。　　网桥工作在数据链路层，将两个局域网（LAN）连起来，根据MAC地址（物理地址）来转发帧，可以看作一个“低层的路由器”（路由器工作在网络层，根据网络地址如IP地址进行转发）。它可以有效地联接两个LAN，使本地通信限制在本网段内，并转发相应的信号至另一网段，网桥通常用于联接数量不多的、同一类型的网段。　　网桥通常有透明网桥和源路由选择网桥两大类。　　1、透明网桥　　简单的讲，使用这种网桥，不需要改动硬件和软件，无需设置地址开关，无需装入路由表或参数。只须插入电缆就可以，现有LAN的运行完全不受网桥的任何影响。　　2、源路由选择网桥　　源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一局域网（LAN）上。当发送一帧到另外的网段时，源机器将目的地址的高位设置成1作为标记。另外，它还在帧头加进此帧应走的实际路径。　　下面图示的是在WinXP和Win2003系统下创建“网桥”：(Win2k下无此功能) 同时选中两块网卡，点Mouse右键，会弹出上图中的菜单。　　网桥一旦建立完成，其网卡原配的IP地址将消失，网内其他机器无法通过原来的两块网卡的IP地址来访问该机器。是不是该机器作废了？不是，用户仍然可以在上面显示的“网络桥”上配置另外的IP。　　透明网桥示意图：左右两边的机器可以相互访问，不用做任何额外的配置，就象两台交换机之间接入新的交换机设备一样。启用《网路岗》“网络桥” 　　网路岗也提供了“网络桥”功能，可以在WinXP/2K/2003上使用，应用更加广泛，如用户需要较严格的上网过滤，请启用网路岗网桥功能，记住：启用网路岗网桥之前，请确认系统自带的“网络桥”已经删除．虚拟网桥　　“虚拟网桥”实际上是“网路岗”为一种“网络监控技术”而命名的一个技术名词。和实际“网桥”概念完全不同，仅仅因为其通讯过程类似“网桥”罢了。　　通常意义上的“网桥”一般需要两块网卡来实现，而这里所谓的“虚拟网桥”只需要一块网卡。　　下面的网络结构是非常常见的：机器：192.168.0.2发出的Internet数据包，直接发向网关192.168.0.1 　　以下是“网路岗”启用“虚拟网桥”功能后，数据包走向图：　　当“网路岗”主机启用“虚拟网桥”功能后，从客户机192.168.0.2发向Internet的数据包，先送到“网路岗”主机，然后由“网路岗”主机转发到网关192.168.0.1，反之亦然。　　不难看出，要达到一台机器监控整个网络的目的，只需要启用“虚拟网桥”功能就可以了，这种监控技术可以在纯交换机环境下实现，不需要添加HUB，也不需要设置镜像端口。行话称之为“装在任何一台电脑上就可以监控整个网络”。　　而实际使用中，该技术的缺点非常明显，虽然“网路岗”已经加入该技术，但有必要向客户交代其中问题所在。缺点1：客户机盲目安装. 　　既然装在任何一台电脑就可以实现对整个网络的监控，员工或学生是否会随意下载、随意安装、随意监控？这是完全可能的，因为毕竟实现监控的门槛太低。不过，当同时多台机器启用这类监控方式后，网络会出现紊乱状况，很可能导致无法上网。缺点2：很容易逃避监控　　所有采用类似监控技术的产品，均需要发送ARP欺骗包，以使正常上网路径发生改变。但是象瑞星等杀毒软件可以识别并抛弃ARP欺骗包，使对本机的监控不能得逞。另外用户也可以通过添加静态路由轻松避免被监控。　　因此，在单网段环境下，我们建议客户仍然采用传统的“监控手段”。如果客户执意采用该监控手段，那么请注意：“网路岗”可以自动探测出网内其他机器是否启用过类似的监控手段(也许是其他监控产品)，并记录在历史记录中。如何启用“虚拟网桥”？ 1、选中“非旁路监控”选项 2、设置“虚拟网桥”相关选项 3、选中并启用“虚拟网桥” 　共享上网NAT 　　“网络地址转换”(NAT) 是一种 Internet Engineering Task Force (IETF) 标准，用于允许专用网络上的多台 PC 机（使用专用地址范围，例如 10.0.x.x、192.168.x.x、172.x.x.x）共享单个、可全局路由的 IPv4 地址。经常部署 NAT 的一个主要原因就是 IPv4 地址日渐紧缺。Windows XP 和 Windows Me 中的“Internet 连接共享”及许多 Internet 网关设备都使用 NAT，尤其是在通过 DSL 或电缆调制解调器连接宽带网的情况下。　　NAT 对于解决 IPv4 地址耗费问题（在 IPv6 部署中却没必要）尽管成效及时，但毕竟属于临时性的解决方案。这种 IPv4 地址耗费问题在亚洲及世界其它一些地方已比较严重，且日渐成为北美地区需要关注的问题。这就是人们为什么长久以来一直关注使用 IPv6 来克服这个问题的原因所在。　　除了减少所需的 IPv4 地址外，由于专用网络之外的所有主机都通过一个共享的 IP 地址来监控通讯，因此 NAT 还为专用网络提供了一个隐匿层。NAT 与防火墙或代理服务器不同，但它确实有利于安全。跨VLAN/单网段/多网段　　VLAN，是英文Virtual Local Area Network的缩写，中文名为"虚拟局域网"， VLAN是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术。　　VLAN这一新兴技术主要应用于交换机和路由器中，但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能，只有三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。　　　　VLAN在交换机上的实现方法，可以大致划分为六类:　　1. 基于端口的VLAN（最常应用的一种VLAN划分方法)　　2. 基于MAC地址的VLAN　　3. 基于网络层协议的VLAN　　4. 根据IP组播的VLAN 　　5. 按策略划分的VLAN　　6. 按用户定义、非用户授权划分的VLAN 　　在监控产品中，所谓“跨VLAN”监控就是所监控的客户机位于多个VLAN中。　　单网段：整个局域网只有一个IP段，如：192.168.0.x (255.255.255.0) 　　多网段：整个局域网有多个不同IP段，如：192.168.1.x(255.255.255.0) / 192.168.2.x(255.255.255.0) 镜像端口/监控端口/被监控端口　　在一些交换机中，我们可以通过对交换机的配置来实现将某个端口上的数据包，拷贝一份到另外一个端口上，这个过程就是“端口镜像”，如下图：　　端口1 为镜像端口，端口2 为被镜像端口；因为通过端口1可以看到端口2的流量，所以，我们也称端口1为监控端口，而端口2为被监控端口。　　市面上，绝大多数交换机（如cisco产品)的某个口被设置为镜像端口后，接到该端口的主机将无法发送数据包到网内其他机器，变成了“单向接受”模式；这类情况，并不利于监控，因为系统无发发送封包到客户机，而导致无法对客户机进行控制；不过“网路岗”针对此类情况有专门的解决手段，如碰到此类情况，用户可以咨询我公司技术人员。　　不过仍然有部分交换机除外，比如：TPLink-SF2008 或TPLink-SF2008(web)，因为其价格便宜，功能实用，因此我们一般建议客户购买此款交换机进行监控。汇聚MAC 　　在多VLan环境下，假如 Vlan-1最靠近因特网，通常情况下,其他 Vlan 的机器发出的数据包都需经过 Vlan-1 借道连入因特网，那么，其他Vlan下的机器发出的IP包经过这样的“路由”进入 Vlan-1 时，其数据包中原来的网卡地址通常会改变，改变后的地址就是我们这里提到的“汇聚MAC”。　　建议用“工具”菜单下的“ip包分析工具”抓包，如发现某个MAC对应多个不同的内网IP,那么这个MAC就是我们要找的MAC值。　 MAC采集点　　见安装包中程序MacSetup.exe，网卡地址“采集”程序，在跨VLAN环境、且选择“基于网卡MAC”的方式监控时才用，一般可在每个VLAN中安装一个，不安装也可以，安装“MAC采集点”程序是为了获取更及时、准确、全面的客户机网卡地址情况，且可有效进行IP-MAC绑定。　　尽管客户不安装该程序，系统仍然可以跨VLAN获取机器MAC信息，所以本程序并非必须安装。　　安装方法极其简单,只需要在选定的机器上运行此程序即可,不用任何配置.

本课程是以笔者将于2016年10月份出版的《Cisco/H3C交换机配置与管理完全手册》（第三版）为主线而录制的配套实战视频课程，以H3C新的Comware V7版本操作系统为基础，以实战方式介绍H3C以太网交换机的IRF2技术原理，以及相关功能的配置与管理方法，是国内第一套，也是目前为止唯一一套介绍HC3新的Comware V7操作系统的大型实战课程（后面还有许多课程）。

1 实验目的1. 了解QOS，理解实现端口限速的机制2. 掌握如何实现交换网络QOS，实现端口限速2 实验原理某校园网络中心最近收到很多学生的投诉，他们抱怨网络变得很慢，不论是收发邮件还是上网查资料都很慢，影响了学习。对此，网络管理员进行了调查，发现某台交换机的某些端口的数据流量很大，严重影响了网络性能，于是决定对这台交换机的进行速率限制，从而改进网络性能，提高网络效率。3 实验环境 ...

交换及路由技术

3,811

社区成员

12,781

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章