在开始本课程之前,我想说的是,在我们的网站nwking.org上,您不仅可以找到有关学习CCNA课程的信息,还可以找到许多对网络专家有用的主题。 我们在那里发布有关其他制造商的产品以及各种程序的评论的有趣信息。
今天,我们将讨论两个重要问题:连接速度慢和端口安全开关端口安全功能。
当您担当思科网络技术人员的职责时,必须解决的最重要问题之一就是连接速度慢。 公司的员工可能会与您联系,抱怨互联网速度慢,访问服务器速度慢,IP电话语音通话速度缓慢等。 此问题在办公室网络中非常常见,并且可能由于多种原因而发生,例如,当某天的流量急剧增加时,这会大大降低连接速度。
作为网络工程师,您应该注意问题的各个方面,以便找到问题发生的原因所在。 现在,我不是在讨论整个OSI模型中的故障排除,而是您应该有一个工作计划,要找出问题根源的一系列操作,还需要了解它的确切含义。 如果有人打电话给您,并说他们的Internet连接速度太慢,则必须亲自访问此站点并从计算机上进行检查。 有时,由于大量用户涌入,大型社交网站的速度变慢,在这种情况下,您无需在网络上寻找解决问题的方法。 因此,您应该考虑慢速连接的所有方面,因为有时同事的问题并不取决于计算机的状态。 如果某个站点加载缓慢,则应检查其他站点是否缓慢。 如果所有站点加载缓慢,我们可以得出结论,原因不是在特定站点中,而是在您的Internet连接问题中。
您需要将问题分为不同的部分,以了解问题所在的部分。
在大多数情况下,连接缓慢的原因有两个:交换端口的速度和双工。 您知道,所有现代交换机都是为快速以太网设备的10/100 Mbit / s或对于千兆位以太网设备的1 Gbit / s的数据传输而设计的。 自然,千兆以太网设备也可以10/100 Mbit / s的速度运行。 因此,我们拥有速度不同的设备,但4-5年前制造的大多数设备仍不支持1 Gbit / s,仅提供快速以太网。 但是,许多现代设备不支持全双工。
半双工是指设备只能发送或仅接收流量,而全双工是指设备可以同时发送和接收信息。 如果将计算机设置为半双工模式,即它可以发送或接收流量,并且计算机所连接的交换机的端口将在全双工模式下工作,则这种连接将不起作用。 因此,理想的情况是两个设备都以相同的双工模式(半双工或全双工)并以相同的速度(例如100 Mbps)运行。 如果一个端口以10 Mbps的速度运行,而另一个端口以100 Mbps的速度运行,则通信可能会失败。 因此,您必须小心这些事情。
大多数情况下,默认情况下,设备配置设置为自动兼容模式,即交换机端口速度模式和计算机网络端口端口设置为自动双工模式。 但是,对于速度为100 Mbps的交换机的快速以太网端口,这可能会引起问题。 在大多数情况下,交换机端口可提供速度兼容性,但有时会出错,因为它们无法与第二个设备进行“协商”。 在这种情况下,一台设备可以自己选择半双工模式,第二台-全双工。
在这种情况下,千兆以太网的性能更好,对此有一个解释。 事实是,很多年前,当创建快速以太网标准时,绝大多数设备都以半双工模式工作。 默认情况下,如果设备不匹配,则设置为自动速度选择和自动双工的快速以太网交换机将使用100 Mbps的速度和半双工模式。
假设您将其中一台设备设置为全双工模式,并指定100 Mbps的速度,然后要将这些参数扩展到网络上的所有交换机。 但是,网络上的其中一台设备可能处于自动模式,当连接到您配置的设备的端口时,它将达到100 Mbps的速度,但是同时,默认情况下,对于自动模式,它将切换为半双工。 如果发生这种情况,您将面临很大的麻烦。
但是,如果两个设备都使用千兆以太网标准并且都处于自动模式,则默认情况下它们将以1 Gbit / s或1000 Mbit / s的速度进入全双工状态。
如果有人呼叫您并说他的计算机运行缓慢,则可以使用show int <端口名称>命令查看交换机接口的状态。
从这里您可以提取很多有用的信息。 您会看到启用了快速以太网(快速以太网0/1启用),其中“ up”表示该端口实际上是有效的。 据进一步报道,网络协议处于活动状态,线路协议已建立,即连接建立并正常工作。 此外,您可以看到端口操作模式为全双工,连接速度为100 Mbps。
如果您看到该模式设置为半双工,则可能是某些故障。 在这种情况下,您需要检查连接另一侧的设备,如果它也可以在半双工模式下工作,则计算机运行缓慢的原因有所不同。 但是,如果“全双工-半双工”模式不一致,则可能导致许多问题。
如果您的设备处于半双工模式,则它仅发送或仅接收数据。 但是工作在全双工模式下的交换机对此一无所知,并且在接收数据的同时发送数据,而您的设备却无法接收数据,因为它正忙于发送流量。 结果,数据“碰撞”并完全丢失。 从上一课中我们知道,TCP是一种检查帧顺序的机制,在这种情况下,它将尝试重复传输丢失的数据。 但是,尝试重复传输未到达目的地的流量会大大减慢数据交换的速度。 同时,看到流量尚未到达接收者,TCP将尝试一次又一次地重复丢失数据的传输。 此过程还会减慢网络速度。
评估交换机操作的另一个有用参数是在操作的最后5分钟内输入和输出数据的速度,以位/秒或数据包/秒的形式显示在这段时间内接收和发送了多少数据。 如果开关处于工作状态,则这些参数必须包含一些值。 如果看到0(表示通过此端口的流量为零),则说明有问题。 关于接收到的广播数量和接收到的冲突数量的信息也是有用的。 正如我们已经说过的,如果该交换机具有48个端口,则冲突数也应该为48,如果看到0,则表示该交换机中的所有端口均不起作用。 晚碰撞次数等于0也表示开关发生故障。
我将转到Packet Tracer程序,以显示如何配置这些内容。 我们使用config t命令输入SW0的设置。 我建议您拿一张纸,写下我将要使用的命令。 我认为,手动写下命令比使用命令行提示符在键盘上键入命令要记住的要快得多。 因此,要进入全局配置模式,请键入configure terminal命令,然后使用interface fastEthernet 0/1命令转到我们感兴趣的接口。 为了设置该端口的速度,我输入速度,系统会生成3个可能的参数。
Packet Tracer仅具有一个快速以太网交换机,没有千兆以太网交换机,因此最大速度为100 Mbps。 我可以将速度设置为10或100,为此我使用speed 100命令,并且由于我手动设置了速度,因此我还必须为此端口手动选择双工模式。
您不能使用自动速度模式和手动双工设置模式;必须将这两个参数之一设置为自动选择模式,或者手动分配这两个参数。
我警告您:在工作时间内切勿在工作网络中更改这些参数的设置。 如果执行此操作,则交换机将禁用该端口,重新引导并使用新参数启用该端口,但是在其重新引导的5秒钟内,网络连接将被中断。 我建议您仅在新创建的新网络中或下班后进行这些设置。
因此,要配置双工,您需要输入duplex命令,然后系统将显示三种可能的模式:自动,全双工和半双工。
我将发出duplex full命令以为此端口启用全双工。 如果查看f0 / 1接口的参数,您会看到一条具有全双工和100 Mbps模式的线路。 同时,让我们看一下当前的配置,为此我们使用show run命令。
您可以看到FastEthernet0 / 1端口操作参数是单独列出的,而其他端口未指定操作模式。 这是因为我是手动配置的,而其他所有端口都是默认配置的。
如果我想禁用此端口并使用接口接口FastEthernet0 / 1 shutdown命令并再次查看配置,我将看到shutdown行已添加到该端口的参数中。 因此,如果在带有交换机接口名称的线下没有关闭线,则表示该端口处于打开状态。
现在,我将使用speed auto和duplex auto命令更改此端口的操作模式。
如果再次查看当前配置,我们将看不到任何更改,因为speed auto和duplex auto命令是默认命令,并且默认模式参数不在当前设备配置中显示。 因此,我向您展示了如何配置端口的速度和双工。
现在的问题是:从工作环境中操作开关的角度出发,您认为硬调整速度和双工的想法是一个好主意吗? 答:这取决于具体条件。
手动调整参数的想法不错,但是会导致大量工作-您必须以100 Mbps和全双工的速度手动配置工作网络的每个交换机。 因此,有一个潜规则-仅对关键的网络设备(例如服务器或路由器)执行此操作。 通常将终端设备,计算机或IP电话连接到它们,因此硬端口设置不应引起任何意外。 将速度设置为100 Mbit / s或1 Gbit / s和全双工模式后,连接到此端口的客户端设备支持所选的连接参数,而不会出现任何问题。 因此,严格配置关键网络设备将帮助您节省大量时间。
因此,如果连接速度较慢,一种解决方法是配置速度和双工。
在继续讨论端口安全性问题之前,我们将研究什么是安全性。 假设您的办公室有用于网络电缆的墙壁插座,并且您的计算机(主要是台式机)已连接到这些插座。
问题:作为黑客,什么可以阻止我断开计算机的连接并将我自己的计算机连接到此插座? 没事! 我可以带我的家用计算机当实习生,并且您知道家用笔记本电脑通常会感染病毒或包含恶意软件,因为您需要向他们上载音乐,电影和其他内容。 如果使用电缆或无线连接将计算机连接到办公室网络,则可以通过在计算机上传播病毒来轻松破坏计算机。 当然你不想要这个。
但是,如果您是黑客,则可以轻松地进行中间人攻击。 您将设备连接到此端口,更改MAC地址,并确保办公室中的所有设备都通过您创建的在线假网关发送流量。 使用Wireshark或任何数据包分析软件,黑客将能够解密拦截的流量并获取他感兴趣的数据,密码和其他机密信息。
第一道防线是端口安全性。 如果您问我此功能是否是最好的保护方法,我会回答-当然不是。 这只是第一道防线。 但是安全性不是一个巧妙的技巧,它是一个多层次的系统。 您具有物理安全性,第二级OSI,第三级,第七级的安全性。 一般而言,安全不仅限于端口安全,而且这是第一道防线,因此,我们将研究如何确保安全以及如何保护自己免受将办公室计算机与网络断开连接并连接自己的人的伤害。
返回Packet Tracer程序。 我们有一台PC0计算机,我已将其连接到Sw0交换机,并且我想为此计算机分配IP地址。
我输入switch命令行终端,然后输入show int brief命令,该命令显示设备上所有端口的状态。 这里显示的是所有24个快速以太网端口和2个千兆端口,以及IP地址为10.1.1.1的默认虚拟网络VLAN1。 接下来,我输入PC0网络设置,并在其中预先输入所有参数。
要启用端口安全性,必须首先执行以下操作: 我输入interface f0 / 1命令,因为它是计算机连接到的端口,并且我想确保此特定端口的安全性。
您必须记住,只能为访问端口启用端口安全功能,而中继端口则以不同的模式工作。 因此,首先,您应该将此端口转换为访问端口。 为此,我要始终输入switchport mode access和switchport access vlan 1命令,接下来,我要启用端口安全功能,键入switchport port-security命令,然后系统为我提供三个选项供您选择。
在参数列表下,您看到(正确)符号,这表示switchport port-security命令本身就是有效命令,即键入它并按“ Enter”,然后打开端口安全功能。 如果现在单击此端口,则可以看到已启用端口安全性。 但是在执行此操作之前,您需要进行一些设置。
您可以使用第一个参数来保护MAC地址。 为此,请使用switchportort-security mac-address命令,这意味着此交换机端口将仅使用与其连接的PC0计算机的MAC地址。
让我们看一下计算机IP地址的配置,为此,我们在命令行终端中输入命令PC> ipconfig / all。 我们看到连接的名称-FastEthernet0,此计算机的物理地址为0001.6307.EEAE,即MAC地址。
如果您尝试使用Windows命令行而不是Packet Tracer来查看计算机的网络配置,则MAC地址将以一组6个两个字符的组的不同格式显示。
原则上,这是相同的地址,只是MS Windows将其显示为十六进制数字,而Cisco则更喜欢使用3个四个字符的组,但是在两种情况下,MAC地址本身都是完全相同的。
我复制此MAC地址,并使用switchportort-security mac-address命令将其粘贴到行的末尾。 这意味着端口f0 / 1只能与给定的MAC地址通信。
如果不想手动键入此地址,则可以使用do show mac address-table命令查看连接到所选端口的设备的MAC地址。 您会看到该表为空,因为此端口当前不接受流量。
为了使数据显示在此处,您需要生成流量。 我给端口f0 / 1设置了no shutdown命令,此后该端口应从红色变为绿色。 由于某种原因,这种情况不会发生,我再次要求使用show ip interface brief命令向我显示端口的状态,并查看端口f0 / 1仍处于关闭状态。 我将尝试找出无法打开的原因,并使用ping命令从计算机将流量引向它。 您会看到已建立连接,并且两个端口现在都用绿点表示。
我重新发出了show mac address-table命令,您看到计算机的MAC地址现在出现在这里。 如果您不想打印此地址或不想从ipconfig命令提示符窗口中复制该地址,则只需从此处复制它并将其粘贴到所需的命令中即可。
因此,有两种方法:如果您知道MAC地址,则可以在命令末尾简单地打印它,或者浏览交换机的MAC地址表并从那里复制所需的地址。
MAC- stiky, : switchport ort-security mac-address sticky. , , port security. , «» , , . stiky, , MAC- «» MAC- .
. show run , Fa0/1 : switchport mode access switchport ort-security mac-address sticky. switchport ort-security maximum. maximum , MAC- . . , , , IP-, , MAC-. switchport ort-security maximum 2. – maximum 1 – , .
— switchport ort-security violation. MAC-, «» MAC-, , , violation, . ?
switchport ort-security violation. shutdown , MAC-, , , . , . ort-security violation – protect restrict. , . , protect, MAC- , , .
restrict , , «» MAC- «» . , restrict – SNMP- , . , MAC-, . , protect restrict , . ort-security violation shutdown.
, Port Security. switchport ort-security «». , MAC-. show run, , MAC- «» switchport ort-security mac-address sticky 0001.6307.. 48 , 48 , stiky , . , PC0 , SW0.
, , PC1. , , , , IP-, PC0, . , IP- 10.1.1.1. , . , : « 5 : Fast Ethernet 0/1 «».
, . , . 3 , , MAC- . , Packet Tracer – , , «error-disabled», .
, . , - , , show interface brief. , Fa0/1, , manual down, shutdown . , , – show int f0/1, .
, – err-disabled, . , Port Security. , show port-security .
, Fa0/1 , «» MAC-, 1, 1, - – Shutdown. , , MAC-.
. , 15 , CCNA , . CCNA , , Cisco, . , , .
, – show rt-security address. , MAC-.
VLAN 1, MAC- , — SecureSticky — FastEthernet0/1. rt-security interface fastEthernet0/1, , .
Port Status: Secure-shutdown, , - , MAC-. , MAC-, Last Source Address, MAC- .
Aging Time – , MAC- , - , . 0. MAC- 1, MAC- 1, MAC- 0, . «» MAC- 1, MAC- 1 , . , , .
, PC1 PC0. , , , SW0 MAC-, , . , int f0/1 shutdown, , no shutdown. Port Security, show port-security interface f0/1, , Secure-up, . , , .
Port Security. , . ! , Port Security . , , . MAC- MAC- , , . . Port Security .
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的资料吗?
通过下订单或将其推荐给您的朋友来支持我们,为我们为您发明的入门级服务器的独特模拟,为Habr用户 提供30%的折扣:关于VPS(KVM)E5-2650 v4(6核)的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器? (RAID1和RAID10提供选件,最多24个内核和最大40GB DDR4)。
戴尔R730xd便宜2倍? 仅
在荷兰,我们有
2台Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100电视 ! 戴尔R420-2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB-$ 99起! 阅读有关
如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程?