网管必会了解交换机控制端口流量

网络流量知识：网络安全管理中的流量控制网络流量指的是在网络中传输的数据量，它是网络通信的核心要素之一，对于网络安全管理来说，流量控制是非常重要的一部分。

流量控制可以帮助网络管理员监控和管理网络流量，保护网络免受恶意攻击、网络拥塞和其他安全威胁。

本文将深入探讨网络安全管理中的流量控制，包括流量控制的概念、目的、方法和实施策略。

1.流量控制的概念流量控制是指在网络中控制数据传输的过程，以确保网络流量在可接受的范围内，保障网络的稳定和安全。

流量控制可以通过监控、调整和管理网络中的数据流量来实现，以避免网络过载、拥塞和其他安全问题。

流量控制可以应用于局域网（LAN）、广域网（WAN）和互联网等各种网络环境中。

2.流量控制的目的流量控制的主要目的是保障网络的正常运行和安全，包括以下几个方面：(1)避免网络拥塞网络拥塞是指网络中的数据流量超出了网络的处理能力，导致网络性能下降、延迟增加和数据丢失等问题。

流量控制可以帮助网络管理员监控和调整网络流量，避免网络拥塞的发生，确保网络的正常运行。

(2)防止恶意攻击流量控制可以帮助网络管理员检测和阻止恶意攻击，包括DDoS （分布式拒绝服务）攻击、网络病毒和僵尸网络等安全威胁，从而保护网络的安全。

(3)管理网络资源流量控制可以帮助网络管理员优化和管理网络资源的使用，包括带宽、服务器和存储等资源，以提高网络的利用率和性能。

(4)保护用户隐私流量控制可以帮助网络管理员监控和管理用户的网络行为，以保护用户隐私和数据安全。

3.流量控制的方法流量控制可以通过多种方法来实现，主要包括以下几种：(1)带宽控制带宽控制是流量控制的一种常见方法，它通过限制用户的带宽使用来控制网络流量。

带宽控制可以分配和管理网络带宽资源，以确保网络的合理使用。

(2)流量监控流量监控是流量控制的基础，它通过检测和分析网络流量来了解网络的使用情况和性能状况，从而帮助网络管理员及时采取措施来控制网络流量。

(3)流量限制流量限制是指通过设置网络设备（如路由器、防火墙等）的访问控制列表（ACL）、流量分类和限速等功能，限制用户的网络流量使用。

H3C交换机端口限速和流量监管典型配置指导5.1 端口限速和流量监管典型配置指导5.1.1 组网图5.1.2 应用要求公司企业网通过交换机（以 S5500-EI 为例）实现互连。

网络环境描述如下：Host A 的IP 地址为192.168.1.2，Server 的IP 地址为192.168.1.1，两者通过端口 GigabitEthernet 1/0/1 接入交换机；Host B 的IP 地址为192.168.2.1，通过端口GigabitEthernet 1/0/2 接入交换机。

配置端口限速和流量监管，实现如下需求：限制 Switch 向 Internet 发送的流量为 640kbps，丢弃超出限制的报文；限制Host A 向外发出的流量为320kbps，丢弃超出限制的报文；限制 Host B 与 Server 之间的流量为 64kbps，丢弃超出限制的报文。

5.1.3 配置过程和解释针对 Switch 配置端口限速# 在端口 GigabitEthernet 1/0/3 上配置端口限速，限制端口发送报文的速率为 640kbps。

system-view[Switch] interface GigabitEthernet 1/0/3[Switch-GigabitEthernet1/0/3] qos lr outbound cir 640 [Switch-GigabitEthernet1/0/3] quit针对 Host A 配置流量监管# 定义基本 ACL 2000，对源 IP 地址为 192.168.1.2 的报文进行分类。

[Switch] acl number 2000[Switch-acl-basic-2000] rule permit source 192.168.1.2 0 [Switch-acl-basic-2000] quit# 定义类 classifier_hostA，匹配基本 ACL 2000。

使用交换机的traffic-limit控制流量公司采用的都是全千兆的网络交换机，但是由于产品测试的需要，有时候需要限制某些端口，或者某些设备的接口流量带宽。

实际需求案例：一台服务器IP为172.16.1.222，用户要求限制该服务器提供的服务带限制在512K。

该服务器连接在中兴5228交换机的端口9上。

分析：1.交换机限制网路带宽的方法有speed和基于QoS的流量监管、流量限速（流量整形），由于SPEED命令模式支持的带宽类型简单（只有10/100/1000三个设置），所以不适用。

只能考虑基于QoS的配置。

2.流量监管是对某一业务数据流进行带宽限制，防止操作规定的带宽。

业务定义是基于ACL。

流量监管不会产生额外的延迟。

3.流量限速（流量整形）是对输出的数据包的速率进行控制，使报文以均匀的速率发送出去。

由于整形会缓存超过速率的报文，会产生额外的时间延迟。

4.需求是针对一个服务器的外发流量进行控制，考虑到使用监管方式不会产生额外延迟，所以选择使用监管方式5.中兴交换机的流量监管配置在端口进方向，流量限制配置在端口出方向。

6.由于无需考虑数据包信息，限制服务器IP发出的所有数据的总带宽，所以监管方式的色盲模式就完全满足配置要求。

配置说明：使用访问控制列表定义被监管数据包：ZXR10#conf tZXR10(config)#acl extended number 101//必须使用扩展访问控制列表，这样才能对数据包信息进行控制。

ZXR10(config-ext-acl)#rule 1 permit ip 172.16.1.222 0.0.0.0 any//因为是控制服务向外发送的数据，所以规则中，服务器地址是数据源地址。

我在此配置错误过，导致限制无效。

∙使用traffic-limit定义流量ZXR10(config)#traffic-limit in 101 rule-id 1 cir 512 cbs 256 ebs 256 mode blind//101代表访问控制列表编号，rule-id 1表明是规则1，cir 512是控制的带宽数。

交换机端口限速设置、交换机如何限制网速交换机端口限速设置、交换机要限制网速，该怎么办呢，那么交换机端口限速设置、交换机如何限制网速?下面是店铺收集整理的交换机端口限速设置、交换机如何限制网速，希望对大家有帮助~~交换机端口限速设置、交换机限制网速的方法一、通过交换机端口限速的方法来实现局域网网速控制和上网流量管理。

由于很多电脑都是连接在单位的交换机的端口上，因此控制交换机端口网速也就直接控制了电脑网速。

并且，当前企业交换机很多都是带网管功能的智能交换机，可以实现有效的端口网速限制。

设置方法：在交换机的“端口管理”这里，通常会找到“端口限速”，然后点击这里，就可以为交换机各个端口设置网速，同时还可以为不同端口设置不同的网速，这样对于一些重要的电脑，如服务器、经理电脑或另外接交换机的电脑设置较高的带宽，从而实现了网络资源的优化、合理分配，保证关键电脑或应用可以享受较高的网速，从而可以更加便捷地开展工作，让带宽真正为企业创造价值。

图：交换机端口限速设置但是交换机限制网速、分配带宽也面临着一些不足：设置网速较为复杂，尤其是对于一些核心交换机、三层交换机等，需要在不同VLAN的不同端口分别设置网速，并且有些交换机还是基于命令来操作，从而不太合适一般网管员的需要;同时，交换机分配网速、限制局域网网速一般只能限制在一个固定的值，对于电脑在某些情况下需要较大带宽时，往往不能够灵活设置，从而不利于实现带宽的灵活限制。

此外，对于一些中小型企业，由于很多采用普通的二层交换机，常常没有端口限速的功能，因此不利于实现网速控制。

最后，由于交换机无法有效阻止局域网P2P软件的使用，尤其是迅雷、BT、电驴、PPS、PPlive等网络电视软件，因此即便限制了网速，也无法从根源上消除局域网网速被某些电脑过量占用的情况发生，不能从根源上治理局域网网络资源捉襟见肘的情况。

二、通过局域网网速分配软件、局域网网速监控软件来实现局域网网速控制。

交换机端口数据流量信息作者：采集廖来源：《企业技术开发·中旬刊》2015年第06期摘要：随着网络技术的不断发展，交换机作为计算机网络当中的一个重要节点设备，它的地位在整个计算机网络中显得越来越重要。

交换机是网络链接的重要枢纽，其信息采集关系网络链接运行状况，其重要性自然是不言而喻的。

文章主要是对交换机工作原理、交换机封包转发、交换机信息采集等技术进行探讨，希望对企业局计算机网络中各个节点的安全平稳运行提供有效帮助。

关键词：封包；数据；流量中图分类号：TP311 文献标识码：A 文章编号：1006-8937（2015）17-0066-011 交换机的重要作用在企业局域网中，网络链接的核心就是交换机。

交换机属于网络运转枢纽，直接影响到连接到它上面的电脑上网。

如果交换机出现运行问题，轻则导致电脑上网缓慢，严重的话则会出现断网现象。

我们利用技术手段对交换机端口数据流量信息进行采集、分析、控制，可以有效保证交换机和网络链接的正常运行。

网络中对流量进行有效的控制，能够保证网络运行的稳定性。

为此，选择性能优越、质量上乘的交换机组成完善的网络链接体系，就显得至关重要了。

当然，无论交换机质量有多么过硬，如果网络管理员平时疏于管理维护，也会让局域网出现一些技术问题，甚至是严重的机械故障，影响整个系统的正常运行。

因此，网络管理员要注意提升网络交换机管理维护水平，充分认识到交换机管理维护的重要性，及时妥善地进行技术维护，确保交换机的健康运行。

2 交换机的工作原理交换技术是数据链的重要环节，处于OSI七层网络模型中的第二层。

在这个数据链接过程中，交换机要实时进行数据链路层操作。

在网络信息传递正常运转时，交换机对数据报文的转发是建立在MAC（Media Access Control ）地址之上的。

在网络链接启动后，交换机不需要知道信源机和信宿机地址，只要知道IP 网络协议用户的物理地址（MAC），就可以进行数据信息的封包转发。

交换机流量控制原理交换机流控机制网络拥塞一般是由于速率不匹配（如100M向10M端口发送数据）和突发的集中传输而产生的，它可能导致这几种情况：延时增加、丢包、重传增加，网络资源不能有效利用。

IEEE802.3x规定了一种64字节的“PAUSE”MAC控制帧的格式。

当端口发生阻塞时，交换机向信息源发送“PAUSE”帧，告诉信息源暂停一段时间再发送信息。

在实际的网络中，尤其是一般局域网，产生网络拥塞的情况极少，所以有的厂家的交换机并不支持流量控制。

高性能的交换机应支持半双工方式下的反向压力和全双工的IEEE802.3x 流控。

有的交换机的流量控制将阻塞整个LAN的输入，降低整个LAN 的性能；高性能的交换机采用的策略是仅仅阻塞向交换机拥塞端口输入帧的端口，保证其他端口用户的正常工作。

后退压力算法(backpressure)桥接式或交换式半双工以太网利用CSMA/CD机制处理速度不同的站之间的传输问题，它采用一种所谓的“后退压力（backpressure）”概念。

例如，如果一台高速100Mbps服务器通过交换机将数据发送给一个10Mbps的客户机，该交换机将尽可能多地缓冲其帧，一旦交换机的缓冲区即将装满，它就通知服务器暂停发送。

有两种方法可以达到这一目的：交换机可以强行制造一次与服务器的冲突，使得服务器退避；或者，交换机通过插入一次“载波检测”使得服务器的端口保持繁忙，这样就能使服务器感觉到交换机要发送数据一样。

利用这两种方法，服务器都会在一段时间内暂停发送，从而允许交换机去处理积聚在它的缓冲区中的数据IEEE802.3x -发送PAUSE帧在全双工环境中，服务器和交换机之间的连接是一个无碰撞的发送和接收通道。

由于没有碰撞检测，且不允许交换机通过产生一次冲突而使得服务器停止发送，那么服务器将一直发送到交换机的帧缓冲器溢出。

因此，IEEE制定了一个组合的全双工流量控制标准802.3x。

IEEE802.3x标准定义了一种新方法，在全双工环境中去实现流量控制。

如何实现局域网内的流量控制在局域网中，流量控制是一项重要的任务，它可以帮助我们有效管理和优化网络资源。

本文将介绍如何实现局域网内的流量控制，以提高网络的稳定性和性能。

一、了解局域网流量控制的意义局域网是指在一个相对较小的地理区域内建立的网络，通常是用来连接同一建筑物或者办公区域内的多台计算机设备。

在局域网中，流量控制的目的是避免网络拥塞，保证网络带宽充足的同时，防止某些设备占用过多的带宽导致其他设备无法正常使用网络资源。

二、使用交换机进行流量控制1. VLAN划分VLAN是一种虚拟局域网技术，可以将一个物理局域网划分为多个逻辑上的子网，从而实现流量的分割和控制。

通过在交换机上配置VLAN，可以将不同的设备或者用户分配到不同的VLAN中，实现对不同子网之间的流量进行隔离和控制。

2. 端口带宽控制大多数交换机都支持端口级别的带宽控制功能。

通过设置端口的带宽限制，可以限制单个设备或者用户的带宽使用量，避免某个设备占用过多的带宽资源。

在配置端口带宽控制时，需要根据实际需求合理分配带宽限制的数值，以满足各个设备的使用需求。

三、使用路由器进行流量控制1. 使用QoS技术QoS（Quality of Service）是一种用于在网络中进行流量管理和优先级调度的技术。

通过配置路由器上的QoS参数，可以对不同类型的流量进行优先级排序，并分配相应的带宽资源。

例如，可以将VoIP通话、视频会议等对实时性要求较高的流量设为高优先级，而将文件传输、电子邮件等对实时性要求较低的流量设为低优先级。

2. 控制访问列表（ACL）控制访问列表是一种基于网络层次的访问控制机制，它可以根据源IP地址、目的IP地址、协议类型等条件来控制流量的访问。

通过在路由器上配置ACL规则，可以实现对流量的过滤和限制。

例如，可以设置针对某些特定IP地址或者特定协议的流量进行限制，从而避免这些流量对网络带宽的占用。

四、应用流量控制策略1. 统计和分析定期对局域网中的流量进行统计和分析，可以了解到不同设备或者用户的流量使用情况，并根据实际情况进行调整和优化。

交换机的初始化及其端口流量的SNMP监控一．交换机的配置本文从使用console口配置交换机开始，如何通过usb2console的线缆连接交换机，这里将不再赘述。

1.使用linux下的minicom或者windows下的putty，xshell之类的工具连接交换机因为交换机配置过，存在旧的配置以及各类未知密码，为了避免影响，我们需要初始化交换机设置。

交换机型号为,H3C S5024P,该型号交换机软件具有多个版本，对于重置密码的方式，请参考以下信息：R0103~R0108，提供条码和MAC，联系H3C工程师计算E0101~E0102P01，需要通过特殊软件计算，联系H3C工程师指导操作R0109通过console口登陆输入SYS，即可重置密码重置交换机设置，查看当前交换机ip设置本地ip地址跟管理地址在同一子网内，登陆管理页面，默认密码为admin，当设置了超级用户密码的情况下，请使用超级密码登陆。

点击恢复按钮，交换机将初始化为出厂状态交换机重置后的设置1.设置主机名2.设置超级用户密码3.更改默认的管理ip4.配置SNMP演示的认证字符为hintsoft,可按实际要求更改，该值会在最后的监控环节使用到5.保存设置以上的设置只是当前生效，需要将配置长期保存，不受重启的影响6.测试SNMP是否生效使用linux的snmpwalk命令，查看能否收集到信息，正确情况如下如果未能有以上显示，请检查测试机器与交换机直接的连通性以及交换机上的snmp设置信息，确保信息无误。

二、通过zabbix proxy方式监控内网交换机的端口流量1.配置好yum源，安装编译zabbix_proxy所需的安装包#yum install mysql mysql-server mysql-devel net-snmp net-snmp-devel curl-devel gcc gcc-c++autoconf-y2.编译安装zabbix proxy#cd/root/zabbix-2.2.4#./configure--prefix=/usr/local/zabbix--enable-proxy--with-mysql--with-net-snmp --with-libcurl#make&&make install3.数据库配置#service mysqld start#chkconfig mysqld on#mysql_secure_installation<交互完成安全配置工作>#mysql-uroot-pMysql>create database zabbix character set utf8;Mysql>GRANT ALL ON zabbix.*TO zabbix@'localhost'IDENTIFIED BY'zabbix'; Mysql>flush privileges;Mysql>use zabbixMysql>source/root/zabbix-2.2.4/database/mysql/schema.sql4.zabbix proxy的配置#useradd zabbix修改/usr/local/zabbix/etc/zabbix_proxy.conf文件的以下参数为实际环境值ServerHOSTNAMEDBNameDBUserDBPassword5.Proxy的添加启动zabbix proxy并在server的web界面添加proxy，注意查看日志信息上图显示的Proxy_Interal为/usr/local/zabbix/etc/zabbix_proxy.conf定义的HOSTNAME的参数，请在web界面添加proxy时注意保持名称的一致性。

交换机的流量控制和端口安全
(2009-10-16 )
四大traffic control:
∙
storm-control ——用于限制广播/组播/单播流量不超过门
限 只有storm-control 不是switchport 语句
∙ switch protect,—— 用于接口隔离，配protect 的接口互相隔离 ∙ switch block ——用于block unknown unicast/multicast 包 ∙ switch port-security —— 只允许某个MAC 地址的包
∙
protected port 和另一个protected port 肯定隔离
∙ 常用于接入服务：要求流量只被uplink
转出，不转发到SW 其他端口，即端口间互相隔离,只和上层连接
swichport security配置经验
∙ switchport mode access
配置switchport port-security 前，先显式配置switchport mode access 否则提示错误
∙因为是switchport指令，所以不能应用在三层口如int vlan 20∙配前一定要先shutdown接口, 否则端口会报告地址重复。