控制端口流量减轻交换机压力要点

合集下载

交换机Flow-Control指导书

资料编码资料编码产品名称产品名称使用对象使用对象产品版本产品版本编写部门编写部门资料版本资料版本交换机流量控制指导书拟制：日期：审核：日期：批准：日期：修订记录日期修订版本作者描述2008.10.10V1.0 任富强目录端到端流量控制 (4)半双工网络的后退压力 (4)全双工网络中的显式流量控制 (6)MAC控制 (7)MAC控制结构 (7)MAC控制帧格式 (9)PAUSE功能 (11)PAUSE功能不解决下列问题： (11)PAUSE操作概述 (12)PAUSE帧的语义 (12)1. 目的地址 (12)2. 源地址 (13)3. 类型域 (14)4. MAC控制操作码和参数 (14)PAUSE功能的实现 (15)交换机交换机流量控制指导书流量控制指导书端到端流量控制可靠的传输协议常常提供端到端的流量控制。

也就是说，这些协议保证数据发送在接收方没有足够资源(如缓冲区)处理数据时不再继续进行。

然而，这只保证数据最终接收者的资源是可用的，站间的协议不能保证在每个中间的交换机或路由器有足够的可用资源用来接收和处理数据源。

因此端到端的流量控制无法保证帧不被网络互连设备丢失(由于缓冲内存不足)。

链路缓冲区溢出问题必须在链路层解决，端到端的流量控制不能解决这个问题。

半双工网络的后退压力当交换机端口连接到共享式LAN(半双工网络)时上，那么就可能通过改变MAC 算法的行为，抢在将要到来的数据之前采取某种动作，来阻止发送者发送它们的数据。

这就称为后退压力(back pressure)。

在CSMA/CDLAN 中，有两种方法可用来防止交换机的输入缓冲区溢出：1）强行与将要到达的帧发生冲突。

表面上看，这是一个合理的策略，冲突将使发送站重新传送该帧。

这确实能像设想的那样防止缓冲区溢出，但不幸的是，存在一些不利影响：发送站可能阻塞太多，导致系统实际吞吐量要比可用吞吐量低(即，在信道上有不必要的空闲时间)。

中兴使用交换机的traffic-limit控制流量

使用交换机的traffic-limit控制流量公司采用的都是全千兆的网络交换机，但是由于产品测试的需要，有时候需要限制某些端口，或者某些设备的接口流量带宽。

实际需求案例：一台服务器IP为172.16.1.222，用户要求限制该服务器提供的服务带限制在512K。

该服务器连接在中兴5228交换机的端口9上。

分析：1.交换机限制网路带宽的方法有speed和基于QoS的流量监管、流量限速（流量整形），由于SPEED命令模式支持的带宽类型简单（只有10/100/1000三个设置），所以不适用。

只能考虑基于QoS的配置。

2.流量监管是对某一业务数据流进行带宽限制，防止操作规定的带宽。

业务定义是基于ACL。

流量监管不会产生额外的延迟。

3.流量限速（流量整形）是对输出的数据包的速率进行控制，使报文以均匀的速率发送出去。

由于整形会缓存超过速率的报文，会产生额外的时间延迟。

4.需求是针对一个服务器的外发流量进行控制，考虑到使用监管方式不会产生额外延迟，所以选择使用监管方式5.中兴交换机的流量监管配置在端口进方向，流量限制配置在端口出方向。

6.由于无需考虑数据包信息，限制服务器IP发出的所有数据的总带宽，所以监管方式的色盲模式就完全满足配置要求。

配置说明：使用访问控制列表定义被监管数据包：ZXR10#conf tZXR10(config)#acl extended number 101//必须使用扩展访问控制列表，这样才能对数据包信息进行控制。

ZXR10(config-ext-acl)#rule 1 permit ip 172.16.1.222 0.0.0.0 any//因为是控制服务向外发送的数据，所以规则中，服务器地址是数据源地址。

我在此配置错误过，导致限制无效。

∙使用traffic-limit定义流量ZXR10(config)#traffic-limit in 101 rule-id 1 cir 512 cbs 256 ebs 256 mode blind//101代表访问控制列表编号，rule-id 1表明是规则1，cir 512是控制的带宽数。

控制端口流量减轻交换机压力要点

控制端口流量减轻交换机压力我们都知道，在企业局域网中网络连接枢纽的的核心就是交换机，交换机直接影响到连接到它上面的电脑上网，轻则出现上网缓慢的现象，严重的话断网。

小草上网行为管理软路由在这里提醒企业网管们：无论性能多么优越、无论质量怎么上乘的交换机，如果不加以妥善管理、维护，那么它的工作状态就很容易出现意外。

下面一则网络故障，就是由于网络管理员没有对交换端口的流量进行限制，造成了交换机被大流量“顶死”，最终引发了上网用户大面积断网的现象;为了不让这种故障现象再次发生，网络管理员决定控制上网端口，限制计算机的数据传输速度，确保交换机不会频繁受到大容量数据信息的“冲击”!某大楼共有1000台左右的计算机访问Internet，为了方便控制和管理这些计算机，它们被连接到若干台普通二层交换机上，所有二层交换机都通过多模光纤线路连接到大楼机房的路由交换机上，路由交换机通过本地电信部门的一条共享1000MB的宽带光纤线路，与Internet网络直接连接。

所有计算机根据所处单位的不同，被划分到不同的虚拟工作子网中，每个虚拟工作子网都互相独立，各个子网中的计算机不能进行跨网访问，如此一来就能避免网络病毒、广播风暴等不正常现象，危险整个大楼网络的运行稳定性。

大楼网络刚开始投入运行的时候，网络管理员在不同的虚拟工作子网中进行测试，发现每台计算机的上网速度都很快，而且各个上网用户对大楼网络的传输速度也很满意，每天几乎没有故障电话前来“骚扰”网络管理员。

可是，随着时间的推移，网络管理员接到的故障电话开始多了起来，有说自己的计算机上网速度明显不如以前快了，有说自己的计算机突然上网慢了起来，有说自己的计算机经常不能稳定上网，直到有一天楼层出现了大面积不能上网故障现象，这才让网络管理员意识到问题的严重性。

他立即根据组网资料，查找到不能上网楼层使用的交换机IP地址，并尝试远程登录进目标交换机后台系统，来查看各个交换端口的状态信息时，他发现远程登录操作竟然失败了;后来，网络管理员赶到故障交换机现场，通过Console线缆连接并利用超级终端程序直接登录进该交换机的后台系统，再进入该交换机与大楼路由交换机相连的级联端口配置模式，并在该模式状态下使用“display interface”命令，查看了级联端口的状态信息，发现该端口的输入输出流量特别大，特别是最近30秒内的输入数据包流量明显不正常。

交换机端口流量过大的原因

交换机端口流量过大的原因交换机端口流量过大的原因有很多，以下是一些可能导致交换机端口流量过大的原因：1.网络设备故障：交换机本身的硬件或软件故障可能会导致端口流量过大。

例如，交换机的端口可能经常在高负载情况下操作，导致流量异常增加。

2.网络拓扑不合理：如果网络拓扑设计不合理，可能会导致交换机端口之间的流量过大。

例如，当两个交换机直接连接在一起，没有使用合适的层级结构来管理网络流量时，会导致某些端口流量聚集在特定的交换机上。

3.网络设备配置错误：错误的网络设备配置可能会导致交换机端口流量过大。

例如，当交换机的端口配置错误或无效时，可能会导致流量在某个端口上集中，从而导致流量过大。

4.网络设备容量不足：交换机本身的硬件资源可能无法处理当前流量负载。

例如，如果交换机的带宽或缓冲区容量不足，可能会导致交换机端口流量过大。

5.网络拓扑改变：当网络拓扑发生变化时，例如添加或删除了设备，可能会导致交换机端口流量过大。

新添加的设备可能会产生额外的数据流量，而删除的设备可能会导致流量聚集在其他设备上。

6.网络攻击：网络攻击可能会导致交换机端口流量过大。

例如，分布式拒绝服务（DDoS）攻击可通过向目标设备发送大量的流量请求来消耗带宽和处理能力。

7.网络应用问题：某些网络应用程序可能会产生大量的流量，导致交换机端口流量过大。

例如，视频流、大文件下载或实时流媒体等应用程序可能会在网络中产生大量的数据流量。

8.不当的网络设备部署：如果交换机的端口部署不当，可能会导致流量过大。

例如，如果多个网络设备连接到同一个交换机端口，可能会导致流量拥塞。

为了解决交换机端口流量过大的问题，可以采取以下措施：1.检查并修复网络设备故障：定期检查交换机的硬件和软件状态，及时修复故障。

如果发现交换机端口经常有过大的流量，请尽快检查并排除故障。

2.优化网络拓扑：合理设计和优化网络拓扑结构，确保流量能够均衡地分布在各个交换机和端口之间。

使用层级结构和链路聚合技术能够有效减轻流量压力。

局域网组建中的交换机配置与管理技巧

局域网组建中的交换机配置与管理技巧在局域网（LAN）的组建中，交换机是一个至关重要的设备。

它不仅用于连接各个网络设备，还负责数据包的转发和过滤，以实现高效的数据传输和网络管理。

本文将重点介绍局域网中交换机的配置与管理技巧，帮助您更好地搭建和维护一个可靠的网络环境。

一、交换机配置技巧1. 网络拓扑规划在进行交换机配置之前，应该首先进行网络拓扑规划。

根据局域网的规模和需求，确定拓扑结构，包括主干交换机、接入交换机以及终端设备的连接方式。

合理的拓扑规划可以提高网络的可靠性和性能。

2. 网络地址规划为了实现设备之间的通信，需要对局域网进行地址规划。

在配置交换机时，应根据网络拓扑和子网划分，为每个接口分配合适的IP地址。

同时，还需设置默认网关和DNS服务器，以确保网络的正常通信和Internet访问。

3. VLAN划分与配置虚拟局域网（VLAN）的划分可以提高网络的灵活性和安全性。

通过交换机的VLAN配置，可以将不同的终端设备划分到不同的虚拟网络中，实现不同子网间的隔离和管理。

在交换机上创建VLAN，并配置端口的PVID和允许通过的VLAN，可以实现交换机对VLAN的支持。

4. 交换机端口配置在交换机的端口配置中，需要关注端口速率、双工模式和流量控制。

根据需要选择适合的速率和双工模式（如百兆/千兆以太网、全双工/半双工），并开启合适的流量控制机制，以确保数据传输的稳定和顺畅。

5. STP配置生成树协议（Spanning Tree Protocol，STP）是用于消除交换环路的一种协议。

在局域网中，多个交换机之间的连接可能形成环路，导致网络出现广播风暴和数据丢失等问题。

通过在交换机上启用STP，可以自动抑制环路，并选择合适的路径进行数据转发，提高网络的可用性。

二、交换机管理技巧1. 定期备份配置文件交换机的配置文件包含了设备的各项设置和参数，一旦配置丢失或错误，可能导致网络中断或异常。

为了避免这种情况，建议定期备份交换机的配置文件，以备不时之需。

交换机的流量控制和端口安全

交换机的流量控制和端口安全
(2009-10-16 )
四大traffic control:
∙
storm-control ——用于限制广播/组播/单播流量不超过门
限只有storm-control 不是switchport 语句
∙ switch protect,—— 用于接口隔离，配protect 的接口互相隔离 ∙ switch block ——用于block unknown unicast/multicast 包 ∙ switch port-security —— 只允许某个MAC 地址的包
∙
protected port 和另一个protected port 肯定隔离
∙ 常用于接入服务：要求流量只被uplink
转出，不转发到SW 其他端口，即端口间互相隔离,只和上层连接
swichport security配置经验
∙ switchport mode access
配置switchport port-security 前，先显式配置switchport mode access 否则提示错误
∙因为是switchport指令，所以不能应用在三层口如int vlan 20∙配前一定要先shutdown接口, 否则端口会报告地址重复。

华三交换机-路由器配置命令

华三交换机-路由器配置命令华三交换机-路由器配置命令第一章：登录华三交换机-路由器1. 使用浏览器登录：a. 打开浏览器；b. 在地址栏中输入交换机-路由器的IP地址；c. 输入正确的用户名和密码；d. 单击登录按钮。

2. 使用命令行登录：a. 打开命令提示符或终端窗口；b. 输入telnet或ssh命令，后跟交换机-路由器的IP地址；c. 输入正确的用户名和密码；d. 按下回车键登录。

第二章：基本配置1. 设置主机名：hostname [主机名]2. 设置登录密码：enable password [密码]3. 配置管理接口：interface [接口]ip address [IP地址] [子网掩码] 4. 配置默认网关：ip default-gateway [默认网关]第三章：VLAN（虚拟局域网）配置1. 创建VLAN：vlan [VLAN号]name [VLAN名称]2. 配置端口―VLAN关联：interface [端口]switchport mode accessswitchport access vlan [VLAN号] 3. 配置交换机端口为Trunk口：interface [端口]switchport mode trunk第四章：路由配置1. 静态路由配置：ip route [目标网络] [目标子网掩码] [下一跳IP地址] 2. OSPF（开放最短路径优先）配置：router ospf [进程号]network [网络地址] [通配符] area [区域号]3. BGP（边界网关协议）配置：router bgp [自治系统号]neighbor [对等体IP地址] remote-as [对等体自治系统号]第五章：安全配置1. 配置SSH（安全外壳协议）：crypto key generate rsaip ssh server enable2. 配置访问控制列表（ACL）：ip access-list [ACL名称]permit/deny [源IP地址] [目标IP地址] [协议]第六章：性能优化配置1. 配置端口速率限制：interface [端口]bandwidth [带宽]2. 配置端口链路聚合（LACP）：interface port-channel [聚合组号]channel-group [组号] mode active3. 配置端口流量控制：interface [端口]storm-control [选项]附件：本文档涉及的附件可在[link]。

控制端口流量

控制端口流量控制端口流量不让交换机被“顶死”交换机是局域网中的重要连接“枢纽”，一旦它的工作状态出现意外的话，那么连接到该交换机上的所有计算机都得“遭殃”，轻则出现上网缓慢的现象，严重的话干脆就不能上网了，为此选择性能优越、质量上乘的交换机来组建一些重要网络，是非常关键的。

然而，无论性能多么优越、无论质量怎么上乘的交换机，如果不加以妥善管理、维护，那么它的工作状态就很容易出现意外。

这不，本文下面一则网络故障，就是由于网络管理员没有对交换端口的流量进行限制，造成了交换机被大流量“顶死”，最终引发了上网用户大面积断网的现象;为了不让这种故障现象再次发生，网络管理员决定控制上网端口，限制计算机的数据传输速度，确保交换机不会频繁受到大容量数据信息的“冲击”!交换机被“顶死”某大楼共有1000台左右的计算机访问Internet，为了方便控制和管理这些计算机，它们被连接到若干台普通二层交换机上，所有二层交换机都通过多模光纤线路连接到大楼机房的路由交换机上，路由交换机通过本地电信部门的一条共享1000MB的宽带光纤线路，与Internet网络直接连接。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

控制端口流量减轻交换机压力
我们都知道，在企业局域网中网络连接枢纽的的核心就是交换机，交换机直接影响到连接到它上面的电脑上网，轻则出现上网缓慢的现象，严重的话断网。

下面一则网络故障，就是由于网络管理员没有对交换端口的流量进行限制，造成了交换机被大流量“顶死”，最终引发了上网用户大面积断网的现象;为了不让这种故障现象再次发生，网络管理员决定控制上网端口，限制计算机的数据传输速度，确保交换机不会频繁受到大容量数据信息的“冲击”!
某大楼共有1000台左右的计算机访问Internet，为了方便控制和管理这些计算机，它们被连接到若干台普通二层交换机上，所有二层交换机都通过多模光纤线路连接到大楼机房的路由交换机上，路由交换机通过本地电信部门的一条共享1000MB
的宽带光纤线路，与Internet网络直接连接。

他立即根据组网资料，查找到不能上网楼层使用的交换机IP地址，并尝试远程登录进目标交换机后台系统，来查看各个交换端口的状态信息时，他发现远程登录操作竟然失败了;
后来，网络管理员赶到故障交换机现场，通过Console线缆连接并利用超级终端程序直接登录进该交换机的后台系统，再进入该交换机与大楼路由交换机相连的级联端口配置模式，并在该模式状态下使用“display interface”命令，查看了级联端口的状态信息，发现该端口的输入输出流量特别大，特别是最近30秒内的输入数据包流量明显不正常。

按照同样的操作方法，网络管理员又检查了其他普通交换端口的状态信息，发现有的交换端口输入、输出流量大小正常，有的输入、输出流量也比较大;正常情况下，普通交换端口的输入数据包流量应该不会超过每秒钟500个数据包，可是在故
障交换机下，网络管理员发现有很多普通交换端口下的输入数据流量竟然超过了每秒钟1000个数据包，这显然是不正常的，那么这些流量究竟为什么会这么大呢?
起初的时候，网络管理员怀疑是故障交换机存在网络环路，可是启用了故障交换机的环回受控测试功能后，发现并没有网络环路存在，为此网络管理员估计这些大流量可能是故障交换机下面的上网用户恶意下载造成的。

继续在故障交换机的后台系统中，执行“display cpu”命令时，网络管理员发现交换机系统的CPU资源已经被消耗掉90%以上，而正常情况下交换机系统的CPU资源消耗率应该在50%以上，看来故障交换机已经被上网用户的大流量“顶死”了，从而引发了连接到该交换机上的所有用户都不能正常上网了。

从上面的故障描述来看，楼层用户大面积不能上网的原因，显然就是上网用户毫无节制地消耗宝贵的带宽资源引起的。

要想不让交换机被大流量的数据包“顶死”，通常有两种方案可供选择，一种方案是想办法扩大访问Internet网络的出口带宽大小，让上网用户继续在“高速高路”上自由驰骋，另外一种方案就是保持上网出口带宽大小不变，想办法限制每个用户的上网访问流量大小，确保他们不能过度占用上网出口带宽资源。

考虑到目前上网线路的租用，是根据出口带宽大小的不同进行收费的，并且出口带宽大小越大，上网线路的租用费用也是越高，显然通过简单地扩大上网出口带宽的大小来避免交换机被堵死的故障，需要支付较高的网络运行成本，而且即使使用了这种应对方案，交换机仍然存在被大容量数据包“顶死”的可能。

经过权衡考虑，网络管理员打算从网络优化设置着手，来限制上网用户的访问流量大小，禁止其进行BT下载或在线欣赏大容量多媒体影片时恶意抢用上网带宽资源。

由于限制上网流量大小的方法也有很多，例如选用一些专业的限速工具，我们可以针对某个IP地址，来限制计算机的上网访问流量大小，或者通过代理服务器中转的方法进行流量控制，避免上网用户随意消耗上网带宽资源;
不过这些方法都有明显的缺憾，例如使用代理服务器进行中转控制上网流量时，上网用户的访问速度会受制于代理服务器的性能，而且代理服务器同时处理的任务比较多时很容易发生瘫痪现象，而使用专业工具进行限制上网流量时，如果上网计算机的IP地址不停变化的话，那么流量限制效果也不会好到哪里。

最后，网络管理员经过认真分析、考虑，决定使用楼层交换机自带的网络管理功能，来限制每个上网交换端口的出入速度，日后无论上网计算机的IP地址怎么变化，只要接入到经过限速设置的交换端口上，它们的上网流量大小都被控制在一个规定的范围，如此一来交换机受到大流量数据包的冲击机率就大大降低了。

很明显，这种应对方案不需要额外支付上网成本，不需要单独增加设备，更不需要调整大楼网络已有的组网结构，因此这种限制端口流量的方案既能保证交换机不容易受到大容量数据信息的“冲击”，又能保证大楼网络可以稳定地运行。

当然，这种应对方案仅对中小规模的网络以及上网应用比较单一的网络比较适用!
选定了解决故障的可行方案后，网络管理员立即动手准备对故障交换机的各个交换端口访问速度进行限制了。

由于不同型号的交换机，限制端口流量大小的方法是不一样的，网络管理员发现单位网络中故障交换机使用的是Quidway品牌的交换机，上网搜索相关资料后，他发现该品牌的交换机往往使用line-rate命令来限制端口流量速度，同时他发现该品牌的交换机报文速率限制级别取值为1～127。

如果速率限制级别取值在1～28范围内，则速率限制的粒度为64Kbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为N*64K;如果速率限制级别取值在29～127范围内，则速率限制的粒度为1Mbps，这种情况下，当设置的级别为N，则端口上限制的速率大小为(N-27*1Mbps。

考虑到整个大楼网络的出口带宽大小为共享1000MB，网络管理员决定将楼层交换机上每个普通交换端口最大传输速度的大小限制为5Mbps;
假设，局域网中的某台普通计算机要是连接到了楼层交换机的第2个以太端口上，网络管理员现在希望这个以太端口的最大传输速度只能为5Mbps，要达到这个控制目的，那么他只要先以系统管理员身份进入目标楼层交换机后台管理系统，执行“system”字符串命令，将其切换到系统全局配置状态，在该状态下继续执行字符串命令“interface Ethernet 0/2”，进入第2个以太端口配置模式，在该配置界面下执行“line-rate outbound 32”命令，这样一来就能将目标交换端口的出方向报文流量速度限制为5Mbps了;
按照同样的操作方法，再执行“line-rate intbound 32”命令，将目标交换端口的入方向报文流量速度也限制为5Mbps。

之后，再对其他交换端口执行相同的操作，将它们的流量传输速度全部限制为5Mbps，那样的话整个交换机出口带宽资源就不会被某一个交换端口过度消耗了，那么交换机也就不容易被大容量数据“顶死”了。

当然，在局域网规模比较大、计算机数量比较多的情况下，我们就不能简单地针对普通楼层交换机的交换端口进行限制流量了，毕竟这种限制方法工作量非常大，不利于提高网络的管理效率，而且日后需要恢复普通交换端口的工作状态时，也是比较麻烦的。