主页!『正乾注册』!主页正常来说,上面的这种现象应该属于交换机的正常现象,毕竟两个交换机是用两条线缆连接两个端口,因此交换机系统可能会认为存在LOOP,于是交换机系统将会自动断开其中的一条连接通道,并自动将对应端口暂时屏蔽掉。为了避免上述这种现象,我们可以将交换机的Spanning-tree功能打开,以便让交换机系统知道这两个连接端口具有FEC的功能,逻辑上其实属于一个端口。
在准备启用交换机的FEC功能时,我们有时会发现两个交换机的两对端口使用两条线缆同时连接时,每一个交换机其中一个端口信号灯工作状态正常,另外一个端口信号灯状态不正常,那这种现象是不是由于交换机端口损坏引起的呢?面对这种奇怪现象,我们该如何才能使用交换机端口的FEC功能呢?
从上面的故障现象来看,我们会发现交换机自身在硬件方面不存在问题,毕竟安装了10/100Mbps自适应网卡的工作站与交换机直接连接时,交换机的工作状态是正常的;在排除了硬件因素后,我们不妨仔细检查一下交换机参数设置情况,因为从上面的现象描述中,我们很容易看出交换机此时对网卡通信速度具有明显的限制性,这种限制性往往是由于交换机参数设置不当造成的。此时,我们不妨进入到交换机的后台管理区域,检查一下交换机端口通信速度是否被强行设置成10Mbps了,如果线Mbps网卡与交换机直接相连时,交换机的工作状态就会报错。当发现交换机端口通信速度被强行设置成10Mbps时,我们必须及时对其端口参数进行重新配置,以便取消对端口速度的限制,只有这样交换机才不会对网卡通信速度进行“挑剔”。
局域网中有几台工作站Байду номын сангаас过交换机连接在一个相同的子网内,按照常规来说,只要每台工作站的网络参数设置正确,并且网络线缆处于连通状态的话,那么相同子网中的工作站应该能够相互Ping通,可事实上我们有时会遇到连接到同一交换机中的工作站无法互相Ping通的现象,面对这种现象我们究竟该如何进行应对呢?
恶意黑客通过VLAN跳跃攻击,即使未经授权,也可以从一个VLAN跳到另一个VLAN。VLAN的安全措施跳跃可以关掉用户可在任何地方之间航线的装置地图虚拟的.黑客利用局域网跳跃捕捉敏感信息如银行帐户资料及密码,网络用户为对象.也有的用跳跃的VLAN袭击者腐败,修改或删除数据,最终用户的电脑.另一个用途是宣扬的VLAN跳跃病毒,蠕虫,特洛伊木马、和其他恶意程式及间谍程式等恶意程序.
其实造成这种现象的原因可能是硬件因素,也可能是设置因素。如果是由硬件因素引起的话,我们可以通过人眼观察法来确认相关的网络设备工作状态是否正常,观察的主要对象包括工作站与交换机之间的线缆连接是否稳定可靠,是否存在明显的断线或短路现象,交换机控制面板中的相关信号灯状态是否正常,交换机端口或其他配件是否工作正常等;要是交换机的端口发生损坏,或者交换机控制面板中的相关信号灯状态不正常的话,那连接到该交换机中的工作站无法相互Ping通的现象就是由交换机自身引起的,此时我们必须重新更换新的交换机或者请专业的技术人员进行维修,才能解决连接到同一交换机中的工作站无法相互Ping通的现象。
根据交换机所应用的网络层次,我们又可以将网络交换机划分为可分为企业级交换机、校园网交换机、部门级交换机和工作组交换机、桌机型交换机五种。就是我们常说的低端交换和高端交换机的区分,根据不同的业务需求,交换机的功能有所不同。我们所说的交换机有了安全漏洞是从二层以上交换机开始排查,例如:Cisco Catalyst 5532交换机的168个端口分配给了一个虚拟VLAN,将SPAN端口配置为监控VLAN,然后将一监测器接到了SPAN端口上。当时吞吐量非常大,竟达到了100%的利用率。除了非常大的吞吐量外,接收到了超量的广播风暴和重复传送。将168个VLAN端口映射到一个以太网端口,并使用监测器来监视吞吐量的作法可能会造成你对Intranet吞吐量不准确的看法。所看到的利用率是连接到SPAN端口上的VLAN的情况,SPAN端口可能是半双工或全双工的10/100Base-T端口。在这种情况下,观察到100%的利用率不会引起报警,因为交换机光纤是用来处理千兆位吞吐量的,可以轻而易举地超过你正在监测吞吐量的那个端口的速度。广播风暴可能是一次分析所有的VLAN造成的。
生成树协议(STP)可以防止冗余的交换环境出现回路。要是网络中有回路,就会变得拥塞不堪,从而出现广播风暴,引起MAC表不一致,最终使网络崩溃。假如在网络中用一台PC机模拟生成树协议,不断发布BPDU包,就会导致一定范围内的生成树拓扑结构定期地发生变化。虽然没有流量,但是由于生成树不稳定,仍会导致整个网络不断发生动荡,使网络不可用。
VLAN的跳跃可以预防某些特征autotrunking延长关掉所有开关确不需要集群和具体建议从以下交换,VLAN的安全供应。千万别用缺省的VLAN的VLAN因为更容易实现跳跃从违约的VLAN。 一个好的安全举措,是为所有你的接口部分采用局域网,从不使用任何违约的VLAN,(典型的VLAN1)算数。
局域网中有一台交换机工作状态很奇怪,每当有安装了10/100Mbps自适应网卡的工作站与该交换机相连时,交换机工作状态就正常,而且工作站也能正常上网,而换用安装了100Mbps网卡的工作站与该交换机相连时,交换机的工作状态立即出现了问题,具体表现为与100Mbps网卡直接相连的交换机端口信号灯变成了红灯闪亮状态,而且工作站此时无法上网。遇到这种现象时,我们该如何才能让交换机的工作状态恢复正常呢?
要是交换机自身工作状态正常,网络连接通道也处于正常通信状态,那么连接到同一交换机中的工作站无法相互Ping通的现象很有可能是网络管理人员人为设置不当引起的;此时我们必须先仔细检查一下交换机的IP地址是否设置正确,要是交换机的IP地址和其他工作站或网络设备的IP地址不处于同一网段的话,那我们必须重新为其分配一个和其他工作站处于同一子网的IP地址;在排除了IP地址因素后,我们还需要检查一下交换机是否启用了VLAN设置,因为交换机一旦设置了不同的VLAN时,连接到交换机不同端口中的工作站可能并处于相同的子网,这样它们自然也就无法相互Ping通了,所以我们只有将设置好的VLAN取消掉,才能解决连接到同一交换机中的工作站无法相互Ping通的现象。
ARP(Address Resolution Protocol)欺骗是攻击中的常见手法,地址解析协议(ARP)利用第2层物理MAC地址来映射第3层逻辑IP地址,如果该设备知道了IP地址,但不知道被请求主机的MAC地址,它就会发送ARP请求。ARP请求通常以广播形式发送,以便所有主机都能收到。黑客可以发送被欺骗的ARP回复,获取发往另一个主机的信息流。分析一下一个完整ARP欺骗过程中,ARP请求以广播帧的形式发送,以获取合法用户的MAC地址。假设黑客也在网络上,试图获取发送到这个合法用户的信息流,黑客欺骗ARP响应,声称自己是IP地址为192.168.10.2(MAC地址为00-1C-55-00-A1-11)的主人,合法用户也会用相同的MAC地址进行响应。结果就是,交换机在MAC地表中有了与该MAC表地址相关的两个端口,发往这个MAC地址的所有帧被同时发送到了合法用户和黑客。使用Anti-ARP-Spoofing命令在端口上检测网关的IP地址,从而保证交换机下联端口的主机无法进行网关ARP欺骗;在所有接入交换机的下联端口配置防ARP欺骗。
跳跃攻击(VLAN hopping)依靠的是动态中继协议(DTP)。如果有两个相互连接的交换机,DTP就能够对两者进行协商,确定它们要不要成为802.1Q中继,洽商过程是通过检查端口的配置状态来完成的。VLAN跳跃攻击充分利用了DTP,在VLAN跳跃攻击中,黑客可以欺骗计算机,冒充成另一个交换机发送虚假的DTP协商消息,宣布他想成为中继; 真实的交换机收到这个DTP消息后,以为它应当启用802.1Q中继功能,而一旦中继功能被启用,通过所有VLAN的信息流就会发送到黑客的计算机上。
