Archive for 1月 2009

新年快乐,各位兄弟姐妹!

“牛”年就要来到了,在这里祝各位新年快乐,“”气冲天。相信自己,你永远最“”!

ps:老婆准备的年夜饭,哈哈,幸福ing~~~~~~~~~~~~: )

0809nian

联想天工iSpirit 2948G交换机端口和MAC绑定及端口带宽限制

前段时间接触了联想天工交换机,核心为联想天工iSpirit8800,楼层都为天工iSpirit 2948G,在楼层上做了两个限制,一是将端口与用户的网卡MAC绑定,只有绑定的网卡数据包才能出去,二是限制了每个端口的带宽(防止P2P下载),配置如下:

1、端口与MAC地址绑定

MAC与端口绑定

shiyan#conf t
//进入配置模式
shiyan_config#interface fastEthernet 0/11
//进入交换机11端口配置模式
shiyan_config_f0/11#switchport port-security mode static accept
//打开安全端口的模式
shiyan_config_f0/11#switchport port-security static mac-address 0001.4A22.E728
//设置安全端口的安全MAC
shiyan_config_f0/11#switchport port-security static mac-address 0001.4DFF.EEFD
//设置安全端口的安全MAC
shiyan_config_f0/11#exit
shiyan_config#exit
shiyan#wr
//写入配置
Saving current configuration…
OK!

去除MAC与端口绑定

shiyan#conf t
//进入配置模式
shiyan_config#interface fastEthernet 0/11
//进入交换机11端口配置模式
shiyan_config_f0/11#no switchport port-security static mac-address 0001.4A22.E728
//设置去除安全端口的安全MAC地址
shiyan_config_f0/11#no switchport port-security static mac-address
//设置去除所有安全端口的安全MAC
shiyan_config_f0/11#exit
shiyan_config#exit
shiyan#wr
//写入配置
Saving current configuration…
OK!

只打开端口的安全端口功能(此端口不能上网)

shiyan#conf t
//进入配置模式
shiyan_config#interface fastEthernet 0/11
//进入交换机11端口配置模式
shiyan_config_f0/11#switchport port-security mode static accept
//打开11口的安全端口功能
shiyan_config_f0/11#exit
shiyan_config#exit
shiyan#wr
//写入配置
Saving current configuration…
OK!

打开多端口的安全端口功能(此些端口不能上网)

shiyan#conf t
//进入配置模式
shiyan_config#interface range fastEthernet 0/11 – 20
//进入交换机11-20端口配置模式
shiyan_config_f0/11#switchport port-security mode static accept
//打开11口的安全端口功能
shiyan_config_f0/11#exit
shiyan_config#exit
shiyan#wr
//写入配置
Saving current configuration…
OK!

2、端口带宽限制

通过设置端口的rate-limit参数来限制端口带宽,共有1-32个单位可以设置,每个单位速度为3.3Mbps(约330KB/S)下载速度。端口有进和出的限制,都限制为1,这样上行和下行的带宽共为2个单位,约660KB/S。操作如下:

shiyan#conf t
shiyan_config#interface fastEthernet 0/42
shiyan_config_f0/42#switchport rate-limit 1 ingress
shiyan_config_f0/42#switchport rate-limit 1 egress
//limit单位1-32,每个单位速度为3.3Mbps
shiyan_config_f0/42#exit
shiyan_config#exit
shiyan#wr

核心H3C S7506E与边界3COM 4400通过光纤口链接时的注意

by funpower,2009年1月5日21:31,funpower#gmail.com,转载请注明出处。水平有限,文中难免有错误,望指正。

前段时间将一个网络中的核心交换机替换为H3C S7506E,与核心相连的四十几个边界交换机都为3COM 4400,在网络切割中出现了一些小问题,做个笔记。

简单拓扑图:

h3c6

1、速率及全双工、半双工问题

经调试下来,H3C S7506E与3COM 4400都设置为自协商,光纤口也不能起来,有可能是品牌不同引起,最后将两边都强制为1000兆且全双工,光纤口就起来了。

因此切割前一定要先查看所有边界交换机的速率及全双工、半双工设置,进入3COM交换机管理界面后输入:phy eth sum 1:26,查看显示的光纤口的设置。

h3c1

h3c2

上图mode显示为1000full,即模式为强制1000兆并且全双工,如果显示为1000<auto>,为1000兆并且自动协商,需改为强制全双式,输入命令:phy eth portmode,然后输入1:26,接下来是确定自动协商为disable还是enable,这里要强制,不协商,所以输入disable,接下来为端口模式,输入1000full,步骤如下图。

h3c3

这样就把一个边界交换机的光纤口设置为强制1000及全双工了。

然后连接到H3C S7506E核心交换机上,将连接至边界交换机的光纤口也都改成1000兆且全双工,如下:

[center7506]interface gig2/0/1
[center7506-GigabitEthernet2/0/1]speed 1000
[center7506-GigabitEthernet2/0/1]duplex full
[center7506-GigabitEthernet2/0/1]q

2、3COM交换机VLAN1带标记的问题

在调试过程中,出现了一个问题,边界交换机的其它VLAN都能和三层交换通讯且可以出防火墙上互联网,唯独VLAN1不能和三层通讯,最后发现是所有的边界交换机把VLAN1口也打上TAG标记再送给核心三层,如下图:

h3c5

但H3C默认是不认打标记的VLAN1的帧,所以会产生其它非VLAN1打标记都能和三层通讯。此时有两种解决方法,第一是将所有的边界交换机都改成VLAN1不打标记,第二种方法就是如果核心交换机支持HYBRID模式,就可以将核心交换机的和边界交换机相连的所有光纤口都从TRUNK模式改为HYBRID模式。这里采用了第二种方法:具体如下:

[center7506]interface gig 2/0/1
[center7506-GigabitEthernet2/0/1]undo port link-type trunk
[center7506-GigabitEthernet2/0/1]port link-type hybrid
[center7506-GigabitEthernet2/0/1]port hybrid vlan 1 to 2 4 to 46 51 to 59 tagged
[center7506-GigabitEthernet2/0/1]q

这样就将光口2/0/1改为了hybrid模式,这样就强制该端口的VLAN1也打上tag。就能认边界发过来的带tag的VLAN1的帧了。

RouterOS上建立PPTP点对点隧道

by funpower,2009年1月4日23:33,funpower#gmail.com,转载请注明出处。水平有限,文中难免有错误,望指正。

网络说明:
1、RouterOS公网IP:218.50.45.xxx/248
2、企业内网服务器资源IP:192.168.0.0/04
3、远端用户端入后的IP:192.168.5.0/24
4、本例中建立一个pptp用户:用户名user,密码123456

简单网络拓扑图:

pptp4

首先介绍一下PPTP,字面意思理解就是一种点对点隧道协议,Point to Point Tunneling Protocol,用于在IP网络上建立PPP会话隧道。通常用在出差人员在外想使用公司内部资源,不可以通过拔入公司的PPTP SERVER,会话建立后,计算机就会多出一个VPN IP,如下图,这样就可以像在公司访问企业内部资源一样了。

pptp5

下面就开始简单介绍如何在RouterOS上建立公司的PPTP Server:

1、利用winbox登陆RouterOS服务器

pptp6

2、建立远端用户地址池
选择IP—>池,在打开的窗口中点击“+”,然后输入池名称pptp_pool,地址输入192.168.5.1-192.168.5.254,新的池输入none(默认),最后点击“OK”。

pptp7

pptp9

3、配置PPTP Server

配置Interfaces(启用PPTP Server):
点击主菜单的PPP,在弹出的菜单中选择Interfaces选项,然后点击PPTP Server,在enable上打钩,Max MTU和Max MRU都改成1460,其余设置参考下图,完成后点击“OK”。

pptp10

pptp18
再选择此窗口的“+”按扭,并选择“PPTP Server”,名称默认,直接点击“OK”,如下图。

pptp11

pptp12

这时Interfaces窗口下就多了个name为pptp-in1的项了,选择它点击右键选“启用”,如下图。

pptp13

配置Profiles(配置PPTP配置文件):
配置完刚才的Interfaces窗口后,点击窗口的Profiles选项栏,如下图:

pptp14

再点击“+”,Name设置为pptp-profiles,Local Address设置为公网IP218.50.45.xxx,Remote Address设置为刚才新建的地址池pptp_pool,其他设置参考如下两张图,设置完后点击“OK”。

pptp15

pptp16

配置Secrets(配置PPTP登陆用户名密码):
选择Secrets选项栏后,点击“+”按扭,name输入user,密码输入123456,Service选择pptp,Profile选择上一步建立的pptp_profiles,点击“OK”,这样就建立了一个用户名为user,密码为123456的pptp登陆用户。如下图。

pptp17

至此,企业服务器端RouterOS上的PPTP Server设置全部完成。

4、在远程移动办公的计算机上建立PPTP拔号连接

打开一个新建链接,点击下一步

pptpa

选择“连接到我的公共场所的网络”

pptpb

选择“虚拟专用网络连接”

pptpc

任意输入一个pptp连接名称

pptpd

选择“不拔初始连接”

pptpe

这里填入公司RouterOS Server的公网IP地址:218.50.45.xxx

pptpf

pptpg

点击完成,这样桌面上就会产生一个pptp拔号图标,双击后就能连接公司的PPTP Server,连接成功后右下角就会增加一个网络图标,并可以查看获取到的pptp信息,如下图。

pptph