H3C内网 限速
H3C内网限速
出口带宽是极为重要的网络资源,当前网络上占用带宽的应用越来越多,比如P2P、在线视频、BT下载等都是消耗带宽的大户,即使再大的网络带宽,仍然满足不了用户实际的需求,这就要求我们管理员从技术上采取必要的手段对网络进行合理的优化和配置,限制用户对带宽无止境的占用,从而保证网络带宽的有效利用,提高资源的利用效率。当前进行带宽管理的主要有流量控制、上网行为管理等设备,这些设备虽然功能强大,但在经济上是一笔不小的投入。本文主要介绍了我馆如何利用现有的出口设备对内网进行限速,特别介绍了将两种限速方式结合起来使用的方法。
一、网络概况和相关介绍
我馆是典型的三层网络架构,配有两个网络出口,其中电信出口带宽为
15M,由华为路由器AR4620负责接入,全馆有两个VLAN通过此接口访问互联网。其中VLAN20(
172.16.
20.0)为办公区,接入终端数为30台,用户为我馆职工;VLAN70(
172.16.
70.0)为电子阅览室,接入终端数为200台,用户为全校学生。路由器上主要开启了地址转换和路由功能,使用了两个以太网接口:
接口连接互联网,接口连接内网核心交换机。
网络主要存在的问题是电子阅览室上网学生大量使用高带宽软件,导致出口带宽被占尽,网速缓慢,所以对网络进行限速显得十分必要。华为路由器限速是通过服务质量(QoS)配置来实现的,它支持ACL列表和CAR列表(VRP版本为V
3.4Feature 0308),可以实现基于网段和基于每IP的限速功能。基于上述考虑,决定在不增加投入的情况下利用华为路由器进行限速。
二、基于网段的限速
为了保证办公区对带宽的优先使用,决定采用按VLAN分配带宽的限速策略。由于办公区优先级别高,它的平均带宽应大于带宽总平均值,所以将15M 中的3M分配给VLAN 20,剩余的12M分配给VLAN 70。配置如下:
acl number 3001
rule 0 permit ip source
172.16.
20.0
0.0.
0.255
acl number 3002
rule 0 permit ip destination
172.16.
20.0
0.0.
0.255
acl number 3003
rule 0 permit ip source
172.16.
70.0
0.0.
0.255
acl number 3004
rule0permitipdestination
172.16.
70.00.
0.0.255 //以上定义各个vlan的上下行ACL
在内网口做限速
qos car inbound acl 3001 cir cbs 2000 ebs 0 green pass reddiscard //vlan20上行带宽限制为3M
qos car inbound acl 3003 cir cbs 8000 ebs 0 green pass reddiscard //vlan70上行带宽限制为12M
qos car outbound acl 3002 cir cbs 2000 ebs 0 green pass reddiscard //vlan20下行带宽限制为3M
qos car outbound acl 3004 cir cbs 8000 ebs 0 green pass reddiscard //vlan70下行带宽限制为12M
经过以上限速,两个VLAN各自使用自己分得的那部分带宽,不能占用对方的带宽,办公区日常的网络需求得到了很好的满足。需要注意的是,配置限速一定要在上行和下行两个方向同时配置,否则效果不明显。
三、基于每IP的限速
上面的配置存在如下问题:
(1)电子阅览室的配额低,带宽不够用,很多正常网络需求无法得到满足;
(2)在晚上和周末等上网高峰期,办公区没有用户使用网络,而此时电子阅览室却仍然只能使用已分配的12M,无法使用办公区处于闲置的3M带宽,从而造成了带宽的浪费,网络利用率不高。为此需要改进限速策略,决定采用支持每IP的CAR列表限速,对电子阅览室每IP限速为1M,办公区每IP限速为
1.2M。配置如下:
172.16.
172.16.
172.16.
172.16.
20.024per-address //以上定义各个vlan的上下行CARL
在内网口做限速
qos car inbound carl 1 cir 1000 cbs 1000 ebs 0 green pass reddiscard //vlan70上行每IP限制为1M
qos car inbound carl 3 cir 12000 cbs 12000 ebs 0 green pass reddiscard
//vlan20上行每IP限制为
1.2M
qos car outbound carl 2 cir 1000 cbs 1000 ebs 0 green pass reddiscard
//vlan70下行每IP限制为1M
qos car outbound carl 4 cir 12000 cbs 12000 ebs 0 green pass reddiscard
//vlan20下行每IP限制为
1.2M
经过以上限速,总带宽被两个VLAN所共享,任何IP超过规定带宽的请求都被忽略,很好的防止了个别用户的带宽消耗。
四、两种方式的结合
随着时间的推移,又产生了新的问题:
由于学生对带宽的高要求,15M已经捉襟见肘,高峰时网速到了令人无法忍受的地步,特别是办公区的网络需求无法得到保障,已影响到了日常的工
作,因此限速策略需要进一步完善。经过考虑,决定将上面两种策略结合起来使用:
将2M分配给办公区,并对每IP限速为
1.2M;将13M分配给电子阅览室,并对每IP限速为1M。在应用规则时采用不同的接口,外网口用来做VLAN限速,内网口用来做每IP限速,配置时特别要注意上下行的方向。配置如下:
//各个vlan的上下行ACL及CARL同上
在外网口做VLAN限速
qos car inbound acl 3002 cir cbs 2000 ebs 0 green pass reddiscard //vlan20下行带宽限制为2M
qos car inbound acl 3004 cir cbs 8000 ebs 0 green pass reddiscard //vlan70下行带宽限制为13M
qos car outbound acl 3001 cir cbs 2000 ebs 0 green pass reddiscard
//vlan20上行带宽限制为2M
qos car outbound acl 3003 cir cbs 8000 ebs 0 green pass reddiscard //vlan70上行带宽限制为13M
在内网口做每IP限速
qos carinbound carl 1 cir 1000 cbs 1000 ebs 0 green pass reddiscard //vlan70上行每IP限制为1M
qos car inbound carl 3 cir 12000 cbs 1200 ebs 0 green pass reddiscard
//vlan20上行每IP限制为
1.2M
qos car outbound carl 2 cir 1000 cbs 1000 ebs 0 green pass reddiscard
//vlan70下行每IP限制为1M
qos car outbound carl 4 cir 12000 cbs 1200 ebs 0 green pass reddiscard
//vlan20下行每IP限制为
1.2M
可以通过运行display qos car interface命令查看每条限速命令是否已生效。
经过检测,效果十分明显,这是由于虽然办公区的带宽减少了,但是增加了每IP限速,办公区的需求基本可以满足,而电子阅览室带宽得到增加,加上每IP限速,即使超过配额也不会占用办公区的带宽,之前出现的各个问题都得到了缓解,网络的利用率得到了很大提高。
五、总结
网络的发展使得用户对带宽的需求将永远无法得到满足,如何在有限资源的条件下提高网络的效率,更好的利用网络这个基本平台为我们服务是眼下很多企业和高校网络部门面临的问题。本文主要介绍了我馆在利用现有资源而不增加投入的前提下如何在华为路由器上对内网进行限速的两种方式和方法,特别是在探索中提出了将两种方法结合起来的想法,实践证明这一方法行之有效,具有一定的推广和借鉴意义
H3C华为交换机限速方法
H3C华为交换机限速方法 H3C华为交换机限速有以下方法: line-rate(lr) speed traffic-limit qos car H3C华为交换机端口限速 二层较为准确(如:lr,speed),三层不准确(如:traffic-linit,qos car) lr : E050:(可信度100%) [Quidway-Ethernet0/1]line-rate ? INTEGER<1-100> Target rate(Mbps S5500:(可信度100%) [S5500-GigabitEthernet1/0/1]qos lr outbound cir ? INTEGER<64-1000000> Committed Information Rate(kbps), it must be a multiple of 64 speed : (可信度100%) [S5500-GigabitEthernet1/0/1]speed ? 10 Specify speed of current port 10Mb/s 100 Specify speed of current port 100Mb/s 1000 Specify speed of current port 1000Mb/s auto Enable port's speed negotiation automatically traffic-limit : (可信度50%,当设定50M时,带宽为7M左右;当设定10M时,带宽为1M左右) [Quidway E050-Ethernet0/1]traffic-limit inbound ip-group 2000 ? INTEGER<1-100> Target rate(Mbps) link-group Apply the link-based acl rule Specify the ID of acl rule qos car :(s5500)(可信度50%,当设定9.6M时,带宽为5M左右) acl number 2000 rule 0 permit source 10.0.0.0 0.0.0.255 traffic classifier liukong operator and if-match acl 2000 traffic behavior liukong car cir 9600 cbs 200000 ebs 4000 green pass red discard yellow pass qos policy liukong classifier liukong behavior liukong interface GigabitEthernet1/0/1 qos apply policy liukong inbound 补充说明:交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选!
TPLINK R402 局域网限速 限制 PPS端口限制
TPLINK R402 局域网限速限制PPS端口限制 最近由于放假在家,没事天天上网泡着。。。可惜家里电脑接的是1MB的ADSL,还分给了其他两家邻居使用。所以上网速度特别卡。。 后来观察发现他们平时没事就用PPS看网络电视,令人更可恶的是看完电视也不关,就放在那里上 传占用带宽。55555~~~为什么我这么倒霉! 现在没事在家里试试能用个什么软件或方法能解决这个问题。网络上看了很多,到今天才有点小体会分享给大家。^_^ 以前也测试过P2P终结者,长角牛,网络特工,网络剪刀手,聚生网管等一些LAN软件,但是效果不大,而且比较容易被现有的杀毒软件防火墙等查出来。所以在此不推荐使用。 这里因为是自己家买的路由器,型号是TPLINK R402,所以知道路由器的配置密码。一般购买同等型号的TPLINK路由器的账号和密码都是admin。如果不记得可以通过路由器上面的一个金属触点恢复出厂设置来还原密码。然后登陆路由器。现在到重点了: 1.首先确定你的路由器联网成功了,这里是指上INTERNET。 2.再根据路由器中的DHCP服务器查询IP地址的分配问题。这里也有可能是自动或者手动配置的IP地址。确定你要屏蔽的局域网电脑IP地址。一般别人通常会把192.168.1.1配置成网关,然后子网掩码 255.255.255.0,这样以来同等网路下(局域网)其他局域网分配的IP地址是192.168.1.2~192.168.1.255,从中可以提取你要屏蔽的电脑的IP。当然如果你不清楚,还有个简单的方法来判断:在开始菜单中有个运行(R)...程序,点击打开,然后输入命令:cmd,回车,进入MS-DOS界面,然后输入arp -a可以查询当前在线局域网的IP,当然现在也有很多防火墙屏蔽了这种查询,那就只有通过其他方法来做判断了。这里就不在说了,走题走题。 3.确定好你要屏蔽电脑的IP后,这里假设我要屏蔽的IP是:192.168.1.10。以后要回到路由器的控制界面。左边一竖条的选择中有安全设置:点击打开,其中有几个子选项:防火墙设置,IP地址过滤,域名过滤,MAC地址过滤,远程WEB管理,WAN口Ping。这里只讲到使用防火墙设置和IP地址过滤就能实现端口限制功能,从而限制PPS看网络电视占用的大量带宽(当然这里配置后PPS就看不成了,一般的上网浏览网页和上QQ都没任何问题)。 4.打开防火墙设置,勾选开启防火墙(防火墙的总开关),然后再勾选开启IP地址过滤,并更改:缺省过滤规则,选择:凡是不符合已设IP地址过滤规则的数据包,允许通过本路由器。最后再左下脚保存。 5.最后到重点中的重点,配置IP地址过滤,也算的上是核心配置吧。这里会显示之前的配置信息: 防火墙功能:开启 IP地址过滤功能:开启
H3C 交换机常用配置命令
H3C 交换机常用配置命令 1、配置主机名 [H3C]systemname H3C 2、配置console口密码 #进入系统视图。
局域网限制流量方法
企业内网安全管理,流量管理,带宽控制解决方案 ExtraMonitor流量管理控制设备应用于政府企业信息中心 一、应用背景: 在国内,政府信息中心(以下简称:信息中心)的网络通常由Internet和政务专网组成,通过多年的政府网络建设,全国各地政务网无论是从基础网络,还是网络的管理及安全,都已颇具规模。近年来中央强调各级政务信息公开,打造服务性政府,让电子政务变的不仅仅政府各部门间的沟通工具,也逐渐成为政府信息公开窗口,广大民众获取政务信息的重要途径,这更为政务网络的管理人员、规划人员提出更高的要求。 下面我们以某政府信息中心作为案例,探讨政府信息中心如何在目前的环境下改善网络运行效果,优化各种网络应用,规避因网络流量所造成的断网事故。 该政府信息中心作为全国性的电子政务的示范单位,目前在IT系统建设方面状况如下:1.网络接入:与上、下级政府单位通过政务专网实现广域网互联,网络中心通过300M光纤线路接入Internet。 2. 应用方面:已成功实施了电子政务、OA等全局性的应用系统,以及各部门的业务系统。开通了“区长在线”等与公众互动的交互平台,电子政务建设方面,在国内屡获殊荣,获得各级政府部门的一致肯定与好评。 3. 信息资源:有五十多台服务器,其中大部分服务放置本地监管,部分服务器托管于其它机房,
机房所在的区政府大楼至少有2000台以上的PC机、并全部实现联网。 4. 为保证IT系统的正常运行,已采取了大量的安全防范措施:如已实现内外网物理隔离、已部署防火墙、防病毒、入侵检测系统等。 5. 专业人员队伍:信息中心拥有一批高水平的技术人员,负责IT系统的建设与运作维护,同时也聘请第三方的安全顾问公司进行指导。 随着信息中心网络的扩容、发展,各个网络上业务、用户规模及流量快速增长,但网络流量的增长速度远高于用户数量的增长速度,网络带宽扩容的压力与日俱增,网络流向很不均衡;对网络内流量及各种应用协议急需进行管理与统计分析,为网络规划和优化调整提供基础依据。 网络上以BT、eDonkey、迅雷为代表的P2P类型的应用以及各种视频应用等大量使用,占用了大量的带宽资源,导致了网络的拥塞和服务质量下降。为了保证用户能够“相对平等”的使用网络资源和带宽,提高网络的整体服务质量,同时提高“每个单位的平均收益率”,需要采取必要的技术手段对BT、eDonkey等大量耗费带宽的P2P应用进行一定程度的监测和调控,以达到提高服务质量的目的。 二、面临的问题与隐患 当前的网络应用已经从物理连接的建设,数据链路层高速网络的实施,网络层全球化的路由交换和会话层的应用发展到了网络应用层也就是OSI第七层的应用。但随之而来的是如何保证网络应用的性能和安全已经成为困扰所有网络用户的问题,成为所有网络用户的迫切需要解决的问题。 另外在目前的网络中有70%以上的安全威胁来自于网络内部,那种认为购买了防火墙、防病毒产品就等于买到了网络安全的想法早已过时,网络攻击和病毒常常发源于企业网内部的
H3C交换机配置详解
[S3600]H3C 交换机配置详解 本文来源于网络,感觉比较全面,给大家分享; 一.用户配置:
企业局域网限制网络流量的方案
企业局域网限制网络流量的方案 企业网络管理员日常工作中一项最重要的工作就是限制局域网网速、控制电脑流量,防止个别电脑过量占用带宽而影响整个局域网上网速度的情况。因为在企业局域网中,最普遍的上网方式就是单位申请一条宽带,然后通过上网猫接路由器,然后路由器接交换机,局域网所有电脑都接入交换机的方式进行上网。这使得在企业局域网上网环境下,不可避免地出现网络带宽分配不均、局域网抢网速的行为。尤其是当前一些流行的、娱乐性质的应用层出不穷,如P2P下载、在线看视频、玩在线游戏等,对局域网网速消耗极大,极容易导致整个局域网网速变慢、办公室上网速度很慢的情况。 局域网带宽分配、上网流量限制是一个古老的话题,同时也是网络管理的一个顽疾。本文汇聚了当前局域网网速控制、限制网络流量的一些常见的、比较有效的方法,提供给企业网管员进行参考,帮助网管员实现有效的网速控制和带宽分配。 一、通过路由器、防火墙或交换机等进行局域网网速控制。目前,一些中高端的企业级路由器、上网行为管理路由器、防火墙或交换机都带有上网行为管理的功能,同时这些网络设备由于是部署在局域网公网出口,因此从技术上来说,限制局域网网速、控制电脑上网流量是较为有效的办法。 但是路由器是专业提供网路路由的功能,是为了为局域网用户提供上网,如果过多地进行上网行为管理或网速限制方面的设置,则会加大路由器的负荷,严重情况下还可能导致路由器出现假死的情况,从而不利于单位网络的稳定、安全和畅通。因此,企业限制局域网网速,如果一定要用路由器的方式进行,则最好选择较好的中高端路由器,否则效果可能适得其反。但是,这些中高端路由器由于价格昂贵,则可能成为企业一笔不小的开支。 二、使用一些局域网限速软件、网速控制软件来进行局域网限速和带宽分配,防止个别电脑过量占用网络带宽的情况发生。小草网管软件(小草软路由)就可以完全做到这一点。小草网管软件(小草软路由)可以完全控制整个公司局域网的网络带宽,实时限制电脑网速。小草网管软件(小草软路由)可以完全突破各种ARP防火墙限制网速,也不受各种杀毒软件的干扰和破坏。其上网行为管理功能也是深受企业用户好评的。 企业局域网限制网速,除了直接通过计算电脑数据包、统计报文来限制电脑网速之外,还必须要结合控制P2P下载、禁止局域网看视频、屏蔽视频网站、禁止在线游戏等与企业工作毫不相干的网络应用,只有完全禁止了这些消耗网络带宽的大户,才能从根源上治理带宽网速入不敷出的情况发生。小草网管软件(小草软路由)可以禁止员工玩游戏、看视频、下载等行为,严格管理约束员工的上网行为。
H3C交换机常用配置命令
H3C交换机常用配置命令 一、用户配置
华为交换机.思科交换机限制带宽
交换机命令: 华为交换机:
Switch(config)#interface fastEthernet 0/22 //进入端口 Switch(config-if)#storm-control unicast level 2 //限制单播风暴为 2%,如果100Mb 带宽则为2Mb Switch(config-if)#exit //退出端口管理 Switch(config)#exit //退出配置模式 Switch#write //保存 ------------------------------------------------------------------------------------------------------ 思科交换机实例操作: PC>telnet 10.0.0.60 Trying 10.0.0.60 ...Open User Access Verification Password: Switch>en Password: Switch#sh ru Building configuration...
交换机下的局域网内如何限速
交换机下的局域网内如何限速 局域网内为何要进行限速,因为如果不加以限制的话,即使增加再多的互联网出口带宽也会被局域网内各种各样的网络应用消耗掉,而限速的目的就是限制对于网络的滥用,从而使出口带宽维持在一个比较合理的水平,从而达到既保证网内用户可以正常的使用网络,又节省单位的互联网出口费用开支,所以说网络限速是一个网管员必备的素质。本文从网络限速的思路和具体实现方法入手,说明一下具体的实施办法。 一、限速思路 (一)能够进行限速的前提 在进行网络限速前,实际上我们先想做局域网内的流量监控,只有对局域网中各台交换机的端口流量(甚至是各类网络应用)有一个全面的了解,才能够制定出限速的标准以及具体实施方案。比如我们就利用MRTG软件针对单位中的核心交换机为CISCO3550和下挂的CISCO29系列交换机作了实时的流量监控(如图1所示)。 图1 通过MRTG监控CISCO交换机的端口流量 对每一个端口(相对应一个或一组用户)的用量情况都有了一个清晰的了解,这样通过观察,得出哪些用户(即哪个端口)的流量大,对带宽的占用多,就可以着手进行限速方案的制定了。 (二)限制,而不是拒绝 我们进行网络限速,是限制局域网用户对于网络的滥用,而不是不让用户使用网络,因此我们不论是从端口还是从应用层面做限速,就要遵循这个思路。 (三)目标 目标是什么,最终目标是使现有的带宽可以满足目前局域网的带宽需求,具体到我们单位,我们租用了100M互联网出口,局域网内有几十个单位的用户,这几十个单位有免费用户,也有付费用户。在进行网络限速时我们当然应该优先保证付费用户的带宽,当然免费用户中有一部分用户也要特殊照顾。在对某个端口(对应一个单位用户)实际限速操作时,我们先通过MRTG生成的流量图了解这个单位的日常带宽使用情况,限速后削去明显高出的波峰即可(即类似歌手大奖赛时出掉一个最高分),然后将带宽维持在一个以前统计出的平均值上即可,这样设置后被限速的用户基本上没有感觉(网速不会明显变慢),但是我们的目的也达到了。 (四)要至上而下,制定缜密的限速规划 最后要强调一点,网络限速可以从网络接入的底层实施,但是一定要从网络的顶层规划,这样做一是可以保证限速的效果,二来也将可能出现的网络故障限制在一个可控的范围内,另外关于交换机配置存盘的时机也很有讲究,我们一般是这样做的,进行限速操作前先存一次交换机的配置(保留好当前正常工作状态),限速操作完成,进行观察,确认对网络没有影响后,等一两天以后再执行保存交换机配置的操作(等足够长的时间,确认没有产生网络故障再存盘),这一措施是非常有效的,及时的故障处理措施保证了我们进行网络限速期间没有引起新的网络故障,保证了网络的正常运行。
局域网内解决被限速的问题
很多朋友都问我~~在局域网中网速被他人限制怎么办~~我的回答都是安装防火墙~~其实我并不是故意敷衍~~因为有时这是很有效的方法~~但限制网速的方法有很多~~并不是仅仅安装防火墙就可以解决所有问题~~现在我就说说具体怎么解决被限速的问题~~ 一.他人利用第三方软件限速~~ 网上流传很多限速软件~~比如:P2p终结者~聚生网管~~网络执法官~网络剪刀手等等~~其实这样的软件大部分都是利用arp攻击~~从而起到限制网速的目的~~ ps:点击查看什么是arp攻击~~ 解决方法: 1.在局域网中隐藏你的计算机~~从而使那些网管软件无法搜索到你~~ 在开始~运行中输入下面命令(红色部分)~~ net config server /hidden:yes ps~想连网游戏的时候再输入这个命令~~net config server /hidden:no 2.安装ARP防火墙~~可以自动抵挡arp攻击~~适合对电脑技术不太熟悉的朋友~~ Anti ARP Sniffer ~~https://www.360docs.net/doc/c21413758.html,/soft/52718.htm 360ARP防火墙~~https://www.360docs.net/doc/c21413758.html,/down/soft_down11.html
金山ARP防火墙~~https://www.360docs.net/doc/c21413758.html,/download/arp.shtml ps:并非安装防火墙就可以高枕无忧了~~有一款叫做skiller的限速软件~~传说可以穿透任何防火墙进行网络攻击~~害怕呀~~ 3.修改mac地址~~让那些软件总也逮不到你~~ 在“设备管理器中”~~右键点击需要修改MAC地址的网卡图标~~并选择“属性/高级”选项卡~~在“属性”区~~就可以看到一个称作“Network Address”或其他相类似名字的的项目~~点击它~~在右侧“值”的下方~~输入要指定的MAC地址值~~要连续输入12个数字或字母~~重新启动网卡后设置就会生效了~~修改mac地址之后再在局域网中隐藏你的计算机~~ ps~ a.并非所有网卡都可以如此改变mac地址~~您的要是不可以这样改变请点击这里查看修改方法~~https://www.360docs.net/doc/c21413758.html,/aking%5Froc/blog/item/f1b178fc1774db1c09244 dec.html b.改变mac地址后如若无法上网~~说明网管已在路由中绑定了你的mac~~要想通过改变mac地址的方法阻挡arp攻击只能把原mac地址改成同局域网中未被限速的他人计算机的mac地址~~ c.想知道什么是mac地址~~请点击这里~~https://www.360docs.net/doc/c21413758.html,/view/32702.html?wtp=tt d.本文来源:https://www.360docs.net/doc/c21413758.html,/aking%5Froc
H3C交换机配置详解
[S3600]H3C交换机配置详解 本文来源于网络,感觉比较全面,给大家分享; 一.用户配置:
如何限制局域网内其他电脑的网速.doc
如何限制局域网内其他电脑的网速 如何限制局域网内其他电脑的网速_解决局域网中某台电脑中毒导致网速变慢的问题解决局域网中某台电脑中毒导致网速变慢的问题一、首先诊断是否为 ARP 病毒攻击 1、当发现上网明显变慢,或者突然掉线时,我们可以用 arp-命令来检查 ARP 表:(点击“开始”按钮 - 选择“运行” - 输入“cmd” 点击“确定“按钮,在窗口中输入“arp -a”命令)如果发现网关的 MAC 地址发生了改变,或者发现有很多 IP 指向同一个物理地址,那么肯定就是 ARP 欺骗所致。 2、利用 Anti ARP Sniffer 软件查看(详细使用略)。 二、找出 ARP 病毒主机 1、用“arp –d”命令,只能临时解决上网问题,要从根本上解决问题,就得找到病毒主机。通过上面的 arp –a 命令,可以判定改变了的网关 MAC 地址或多个 IP 指向的物理地址,就是病毒机的 MAC 地址。哪么对应这个 MAC 地址的主机又是哪一台呢,windows 中有 ipconfig/all 命令查看每台的信息,但如果电脑数目多话,一台台查下去不是办法,因此可以下载一个叫“NBTSCAN”的软件,它可以取到 PC 的真实 IP 地址和 MAC 地址。 命令:“nbtscan -r 192.168.80.0/24”(搜索整个 192.168.80.0/24 网段, 即192.168.80.1-192.168.80.254);或“nbtscan 192.168.80.25-137”搜索192.168.80.25-137 网段,即192.168.80.25-192.168.80.137。输出结果第一列是 IP 地址,最后一列是 MAC 地址。这样就可找到病毒主机的 IP 地址。
思科交换机端口限速总结
交换机端口限速总结 可限速的交换机一般都在三层或者以上的交换机,自2008年之后新出的交换机型号二层设备就可以做到QOS限速,精确度达到1Mbps,例如Cisco2960系列交换机。在这之后的大多数国内的标准二层交换机都可以做多限速,精确度基本能达到1Mbps,比如中兴的标准二层,H3C的标准二层都可以做到。老式的CISCO标准二层交换机例如2950类的交换也可以做到限速,但是精确度只能达到10Mbps。2950G 的交换和2950为EI型的交换没有太大的限速区别,因为限速和IOS有关系,2950系列的交换IOS版本一般都是在9.0左右,最新的2960系列交换机IOS版本在12.2左右,高版本的IOS提供了更强的系统功能。 下面针对一些限速的方法进行总结: PC1接在Cisco3550F0/1上,速率为1M; PC1接在Cisco3550F0/2上,速率为2M; Cisco3550的G0/1为出口。 PC是直接接在三层交换机端口的,意思就是说限制的是三层交换机端口的上下行流量控制,同理,如果三层交换机端口不是接PC,而是一个二层交换机,那么可以对下层的设备进行上联限速。 注:每个接口每个方向只支持一个策略;一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义。在同一个策略(在本例子当中为policy-map user-down),而PC不同速率的区分是在Class-map分别定义。 1、在交换机上启动QOS Switch(config)#mls qos//在交换机上启动QOS 2、分别定义PC1(10.10.1.1)和PC2(10.10.2.1)访问控制列表 Switch(config)#access-list10permit10.10.1.00.0.0.255//控制pc1上行流量 Switch(config)#access-list100permit any10.10.1.00.0.0.255//控制pc1下行流量 Switch(config)#access-list11permit10.10.2.00.0.0.255//控制pc2上行流量
思科交换机端口限速方法汇总
以前端口限速的工作都是由上级部门来做,最近由于分公司自己的内部客户需求,我们要为其提供50M的带宽. 为此我们可是煞费苦心作了两天的测试,先来说说我们测试的设备连接情况: 思科3560端口0/47(模拟用户)——————思科6509端口0/1、0/2(模拟局端,两条路有上联,热备) 测试方法在3560及6509上分别起ftp进行测速 重点来了,来说说6509上的命令吧: mls qos aggregate-policer test 50000000 100000 conform-action transmit exceed-action drop mls qos class-map match-any test_limite match access-group name test_addr ! ! policy-map rate-limit-uplink class test_limite police aggregate test ip access-list extended test_addr (因为上下行都引用策略一样因此不单独做acl) permit ip any x.x.x.x 0.0.0.3 (分配给用户的互联网地址段A) permit ip x.x.x.x 0.0.0.3 any permit ip any x.x.x.x 0.0.0.3 (分配给用户的互联网地址段B) permit ip x.x.x.x 0.0.0.3 any inter f0/1 ip addre x.x.x.x 255.255.255.252
service-policy input test_uplink限制上传 inter f0/2 ip addre x.x.x.x 255.255.255.252 service-policy input test_uplink限制上传 inter g0/47 service-policy input rate-limit-uplink限制下载 经过测试,这个方案成功了!!哈哈,庆祝庆祝,有几点需要解释一下,因为35和65只有在input方向才能引用策略,所以同时对上行和下载作限速需要在上联和下载两方向的端口上做 其次,我们中间有很多弯路,说来给大家提个醒,开始我们用的测试设备性能很低,所以始终测试不出理想的结果,很泄气,无意中拿了班上最好的一台电脑去测试,结果居然出人意料,后来又找了一台高性能设备进行测试,结果非常理想,在此提醒大家,低性能的设备在测试高带宽的时候要特别注意。
H3C交换机的端口配置
H3C交换机的端口配置 一、端口常用配置 1. 实验原理 1.1 交换机端口基础 随着网络技术的不断发展,需要网络互联处理的事务越来越多,为了适应网络需求,以太网技术也完成了一代又一代的技术更新。为了兼容不同的网络标准,端口技术变的尤为重要。端口技术主要包含了端口自协商、网络智能识别、流量控制、端口聚合以及端口镜像等技术,他们很好的解决了各种以太网标准互连互通存在的问题。以太网主要有三种以太网标准:标准以太网、快速以太网和千兆以太网。他们分别有不同的端口速度和工作视图。1.2 端口速率自协商 标准以太网其端口速率为固定10M。快速以太网支持的端口速率有10M、100M和自适应三种方式。千兆以太网支持的端口速率有10M、100M、1000M和自适应方式。以太网交换机支持端口速率的手工配置和自适应。缺省情况下,所有端口都是自适应工作方式,通过相互交换自协商报文进行匹配。 其匹配的结果如下表。 速率一致。其修改端口速率的配置命令为: [H3C-Ethernet0/1] speed {10|100|1000|auto} 如果两端都以固定速率工作,而工作速率不一致时,很容易出现通信故障,这种现象应该尽量避免。 1.3 端口工作视图 交换机端口有半双工和全双工两种端口视图。目前交换机可以手工配置也可以自动协商来决定端口究竟工作在何种视图。修改工作视图的配置命令为: [H3C-Ethernet0/1] duplex {auto|full|half} 1.4 端口的接口类型 目前以太网接口有MDI和MDIX两种类型。MDI称为介质相关接口,MDIX称为介质非相关接口。我们常见的以太网交换机所提供的端口都属于MDIX接口,而路由器和PC提供的都属于MDI接口。有的交换机同时支持上述两种接口,我们可以强制制定交换机端口的接口类型,其配置命令如下: [H3C-Ethernet0/1] mdi {normal| cross| auto} Normal:表示端口为MDIX接口 Cross:表示端口为MDI接口 Auto:表示端口工作在自协商视图 1.5 流量控制 由于标准以太网、快速以太网和千兆以太网混合组网,在某些网络接口不可避免的会出现流量过大的现象而产生端口阻塞。为了减轻和避免端口阻塞的产生,标准协议专门规定了解决这一问题的流量控制技术。在交换机中所有端口缺省情况下都禁用了流量控制功能。开启/关闭流量控制功能的配置命令如下: [H3C-Ethernet0/1]flow-control
局域网内路由器限速问题分析
局域网内路由器限速问题分析 摘要:局域网内,有人在下载东西可能会严重影响你的网络使用,P2P终结者虽然可以现在P2P占用宽带,但是普通下载不能,每次要他的宽带又要这个软件来占用电脑资源,本文就来和大家一起探讨一下路由器限速的问题。 关键字:限速局域网路由器限速 局域网用路由器共享宽带如何限速? 家里用宽带路由器共享宽带,让2台电脑一起使用,但是我平时玩QQ农场和网络游戏,另一台电脑下载东西(普通下载、BT下载)。他电脑大多数时候是在下载东西。严重影响我的网络使用,P2P终结者虽然可以现在P2P占用宽带。但是普通下载不能,每次要他的宽带又要这个软件来占用我电脑资源,有没有软件能直接安装在他电脑上从而他的宽带(能直接明确出他的下载速度和上传速度,退出时需要密码) 如何用路由器限速软件:用P2P终结者或其他软件可以对局域网速度进行但别人可以开ARP防护硬件:看看自己的路由器有QOS管理吗?有的,就规范一下没有的话,最好换个带QOS管理的路由器,不贵的,~1自己到淘宝看路由器QOS管理的意义:P2P软件(BT、PPS…)在局域网里大量占用上行通道tenda路由器设置详解,就算下行空闲,也因为上行的阻塞,造成服务请求无法发送或延缓发送,形成延时高或断包,所以对带宽要求低的网页浏览会很慢,只是以命令形式传输的网游会卡。路由器QOS就是对带宽上行/下行进行管理设置的。 用聚生网管,网上有提供下载,不注册的话(我一直都没注册),可以控制2小时后重启软件。功能蛮强大的,各种限速的设置比较齐全。自己要用网络的时候,艾泰八LAN口企业级由横空出世仅539元。稍微下网内其他人的下载或者访问的速度,不用的时候关掉。不过千万别把别人都死了Tenda路由器和笔记本可以本地连接,但是无法连接internet!否则容易被发现,爆发关系不和。 怎么使用路由器IP让你的网络限速 在很多公司里都设置了路由器IP,防止员工在上班时间干一些与工作无关的事情。但同时也了员工利用网络来更好的工作,所以这是一个两难的选择。怎么实现通过路由器IP来达到迅雷看看的功能? 现在一局域网3台电脑,两台XP,一台VISTA,三台共享2MADSL带宽。只要那台VISTA笔记本用迅看看,其它机器就没有办法玩了。打开网页都半天。我试过用聚生网管和P2P终结者都没用。路由器是普通的TPLINK402M,只有IP地址功能。没有限速功能。有没有什么办法。他用迅雷看看。或者网速。
企业局域网中如何限制网络访问
企业局域网中如何限制网络访问 在企业局域网中,为了更好的保障员工的工作效率,防止员工利用网络做私人事情,企业就会做一些访问限制。通常限制的方法有路由器IP过滤和强制使用代理服务器等几种方式,当然现在也可以使用小草上网行为管理软路由这样的专业局域网管理软件来做网络访问限制。 路由器IP过滤指的是通过在路由器中加入外网或国外的IP黑名单,使得内网或国内无法访问外网或国外的这些IP,达到限制访问的目的。强制使用代理服务器的过滤方式通常只在大型企业中应用,指的是内网必须通过代理服务器才能访问外网,那么在代理服务器上可以实现更为复杂的过滤机制。 如果要禁止人们访问某些网站,那么路由器管理者可以在路由器中设置IP过滤规则,把这些网站的IP加入黑名单,自然人们就无法访问这些网站了。之后,人们为了继续访问这些网站,就会用代理服务器绕过限制。代理服务器的IP成千上万,而且不停在变化,使得限制网络访问的工作处于被动局面。 然而,由于代理服务器协议是明文的,通过监听网络数据包并制作自动搜集整理的程序可以知道人们访问了哪些代理服务器并自动把代理服务器的IP加入到IP黑名单中,这样使用普通代理服务器绕过访问限制的方式就失效了,绕过网络访问限制的工作处于相当被动的局面。 所以,为了避免被侦测到代理服务器地址,加密代理软件应运而生。用户和代理服务器之间的通讯协议进行了加密,使得无法简单通过侦听网络数据包分析出代理服务器的IP地址。又一次使得限制网络访问的工作处于被动局面。 但是,加密代理软件也需要和代理服务器进行通讯,也需要知道加密代理服务器的IP 地址。所以加密代理软件一般会在启动时去某些发布加密代理服务器IP地址的地方获得加密代理服务器的IP。那么,只需要单独拿出一台计算机,启动加密代理软件,对这台计算机的网络通讯进行监视,那么即可知道发布加密代理IP地址的地方,从而对发布点进行IP过滤。而且可以做成程序自动启动加密代理软件,自动监视数据包,自动把加密代理IP的发布地点的IP加入黑名单,这样加密代理软件无法获得加密代理的IP,加密代理软件失效,绕过网络限制的工作又一次处于十分不利的位置。 加密代理软件为了对付这种情况,就需要把访问代理IP发布点的流量混杂在访问非代理IP发布点的流量中。比如,加密代理软件启动时,首先访问其它大量网站,在访问其它网站之中的某一次访问代理IP发布点,这样就把流量进行混杂了,无法通过简单的网络数