交换机攻防见招拆招

1 S系列交换机攻击处理

如何确定攻击类型

当设备遭受攻击时，通常伴随着如下现象：

l 用户无法获取ARP。

l 用户上线成功率较低。

l 用户无法访问网络。

当大量用户或固定某个端口下的所有用户出现上述现象时，可以先通过如下定位手段分析是否为攻击问题。

步骤 1 执行命令display cp u-usage查看设备CPU占用率的统计信息，CPU Usage表示的是CPU占用率，TaskName表示的是设备当前正在运行的任务名称。

如果CPU利用率持续较高，并且bcmRX、FTS、SOCK或者VPR任务过高（通常协议报文攻击会导致这些任务过高），则较大可能是收到的报文过多，接下来需要执行步骤2继续判断设备收到的报文类型。

一般情况下，交换机长时间运行时CPU占用率不超过80%，短时间内CPU占用率不超过95%，可认为交换机状态是正常的。

步骤 2 执行命令display cp u-defend statistics all查看相关协议是否有CPCAR丢包、丢包是否多，并确认现网设备是否放大相关协议的CPCAR值。如果CPCAR存在大量丢包，就基本可以确认现网存在攻击，根据丢包的协议，采用相关防攻击措施。具体有哪些常见的丢包协议，请参见表1-1。

表1-1 丢包协议

21招帮你成为交换机运维高手

一、基础配置

1.框式主备环境设置启动大包的步骤由3步简化为1步 涉及产品 9300、 9300E、 9700、 7700 改进前 V200R003之前版本配置方法如下： 1. 设置主用主控板下次启动大包 2. copy大包到备板 3. copy完成，设置备用主控板启动大包 改进后 V200R003版本以及之后版本的配置方法如下： 直接设置主备主控板的下次启动大包 使用场景

一条命令轻松完成下次启动大包的配置，真是省时又省力。 举个例子

设置框式主备环境的下次启动大包。

V200R003之前版本配置分三步： 1. 设置主用主控下次启动大包

startup system-software s9300&s9300e-v200r003c00spc300.cc Info: Succeeded in setting the software for booting system. 2. copy大包到备板

copy s9300&s9300e-v200r003c00spc300.cc slave#cfcard: Copy cfcard:/s9300&s9300e-v200r003c00spc300.cc to

21招帮你成为交换机运维高手

一、基础配置

1.框式主备环境设置启动大包的步骤由3步简化为1步 涉及产品 9300、 9300E、 9700、 7700 改进前 V200R003之前版本配置方法如下： 1. 设置主用主控板下次启动大包 2. copy大包到备板 3. copy完成，设置备用主控板启动大包 改进后 V200R003版本以及之后版本的配置方法如下： 直接设置主备主控板的下次启动大包 使用场景

一条命令轻松完成下次启动大包的配置，真是省时又省力。 举个例子

设置框式主备环境的下次启动大包。

V200R003之前版本配置分三步： 1. 设置主用主控下次启动大包

startup system-software s9300&s9300e-v200r003c00spc300.cc Info: Succeeded in setting the software for booting system. 2. copy大包到备板

copy s9300&s9300e-v200r003c00spc300.cc slave#cfcard: Copy cfcard:/s9300&s9300e-v200r003c00spc300.cc to

前言：

无论是小型的网络企业部署还是大型的数据中心网络部署，交换机都是必不可少的重要组成部分，它能把各线路的功能单元根据单个的用户需求进行连接。我们平时接触的多为以太交换机、光纤交换机等，那么核心交换机与汇聚交换机又是什么呢？它们两者之间有何区别呢？本文将就这两种交换机进行详细介绍。

核心交换机与汇聚交换机概念区别

核心交换机与汇聚交换机与普通交换机最大的区别在于它们并不是交换机的某一种类型，而是根据它们的职能来进行的区分。从概念上来讲，部署于核心层的网络交换机就叫核心交换机。同理部署于汇聚层的交换机便叫汇聚交换机。若要了解这两种交换机便要先了解什么是核心层与汇聚层。

核心层

核心层顾名思义是整个网络布局的核心主干部分，承受、汇聚着所有传输流量，起管理作用，是网络性能的主要保障。核心层除了核心交换机外，还有路由器、防火墙等设备。其主要功能是为汇聚层设备提供高速的传输和优化。是网络部署中不可或缺的一部分。

汇聚层

汇聚层主要用来减轻核心层设备的负荷，起着上传下达的作用，具有实施策略、安全、工作组接入、虚拟局域网（VLAN）之间的路由、源地址或目的地址过滤等多种功能。汇聚层在实际的应用中很容易被忽略，尤其是在短距离传输中，因核心层具有足够的接入可与接入层直接进

ros+普通交换机代替三层交换机，具体实现方法如下：

思路：将ros的n-1个口配置用来当作vlan交换机，比如rb450g有5个端口，将lan1-4 口配置为vlan交换机，lan5配置为本地局域网接口，如果rb450gb 的lan1-4用于vlan连接上层交换机，在interface vlan 里面增加相应的 与上层交换机对应的vlan id和vlan name，然后新建相应的桥接 比如 bridg1-4 把 lan5（接局域网）和增加的vlan1-4 桥接在一起，

将lan1-4的ip地址设置好（固定ip）或虚拟拨号 lan5的局域网地址设置好 如

192.168.1.1 其 他 局域网机器设置为 192.168.2-254 网关设置为 192.168.1.1 即可连接网络，实现 ros（路由）+ 交换机 =定制的三层交换机

一、上层交换机配置

电信线路 vlan 372 10.0.0.5/30 dianxin 主线路

广电线路 vlan 242 10.0.0.125/30 guangdian 备用线路

二、ros配置

接线情况：lan2 口接局域网，rb450g的 3口接 广电线路，4口接电信线路。 1口和

BROCADE交换机配置

与交换机交互，可以使用三种方式： 串口 以太网口 光纤口

缺省的串口参数是：9600，N，8，1 缺省IP访问方式是：

IP地址： 10.77.77.77

用户名： admin 密码：password 时区： Pacific time 交换机名称：switch

可使用ipAddrSet命令来重新设置交换机的IP地址。

在2000和3000系列交换机之中，只能同时支持一个Telnet进程。

Brocade的交换机可以使用命令行和图形界面方式进行管理。

代表性的CLI方法代表性的如：Telnet,HyperTerm和tip。对于Fabric OS v4.1，SSH

v2可以被使用。

如果Brocade Secure Fabric OS被设置有效，CLI 接口必须是Brocade Secure

Telnet.

Brocade API v2.1提供给用户扩展访问到交换机的方法；可以轻松的整合Brocade SAN Fabric的智能到已经存在的管理应用中，或者快速的开发用户SAN的特殊功能。该工具包可以通过Brocade Connect 站点获得。

Brocade Fabric Manager v4.0 是一个实时管理多台B

第四章 交换机的硬件结构及原理

目的：了解交换机的硬件结构及原理

理解相关概念

了解APT和APZ的子系统

AXE10：是一种全数字集中的控制的程控交换机，可在移动网，公网上使用。 AXE10由APZ和APT两大部分组 成。其系统结构如下：

系统层1

子系统层 CPS 功能块层 功能单元层（软件或硬件）

1、APZ：为交换机的控制部分，主要子系统：

BTU 。。。 BTR RE DA BT RPS IOS MAS TCS TSS 。。。 GSS APZ APT 系统层2 AXE10 CPS： 中央处理机子系统

MAS： 维护子系统 RPS： 区域处理机子系统 IOS： I/O输入输出子系统

在AXE10系统中，根据不同的应用要求，APZ有两大类：APZ211和APZ212。主要在硬件和处理能力上有所不同。

1.1CPS：CENTRAL PROCESSOR SUBSYSTEM 中央处理机子系统。

1.1.1含有双备份的处理机CPA和CPB。还为系统中所有的功能块提供程序和数据的存

储器。CPS由硬件和软件组成，并与MAS、RPS和SPS配合工作。CP的类型：CP20、CP25、C

如何配置交换机

一、 连接交换机和PC

首先，需要先把PC和交换机连接在一起，这样才能进行管理。可网管型交换机都附带一条串口电缆，供网管员进行本地管理。先把串口电缆的一端插在交换机背面的Console口上，同时拧好螺钉，防止接触不良。串口线的另一端插在普通PC的串口上，此时要记住电缆插在COM1还是COM2口上，以后设置会用得着。

二、设置“超级终端”

连接好后，接通交换机和电脑电源并开机。Windows 98/Me/2000都提供“超级终端”服务，如果没有可以在“添加/删除程序”中的“通讯”组内添加。你也可以使用其他符合VTY100(终端的一种标准，现在很少见)标准的终端模拟程序。

在第一次运行“超级终端”时，系统默认为通过Modem连接，会要求用户输入连接的区号，随便输入一个即可。如果你的电脑中没有安装Modem，则会提示“在连接之前必须安装调制解调器，现在就安装吗?”，这里点击[否]按钮。

程序运行之后会提示你建立一个新的连接名称，我们在这里输入“Switch”。点击[确定]按钮后，会出现一个窗口，要求用户选择连

如何配置交换机

接时使用哪一个端口。这里一定要注意，应该选择你连接的PC串口的序号。如果不太清楚，可以用“串口1”和“串口2”分别试试。

串口

ros+普通交换机代替三层交换机，具体实现方法如下：

思路：将ros的n-1个口配置用来当作vlan交换机，比如rb450g有5个端口，将lan1-4 口配置为vlan交换机，lan5配置为本地局域网接口，如果rb450gb 的lan1-4用于vlan连接上层交换机，在interface vlan 里面增加相应的 与上层交换机对应的vlan id和vlan name，然后新建相应的桥接 比如 bridg1-4 把 lan5（接局域网）和增加的vlan1-4 桥接在一起，

将lan1-4的ip地址设置好（固定ip）或虚拟拨号 lan5的局域网地址设置好 如

192.168.1.1 其 他 局域网机器设置为 192.168.2-254 网关设置为 192.168.1.1 即可连接网络，实现 ros（路由）+ 交换机 =定制的三层交换机

一、上层交换机配置

电信线路 vlan 372 10.0.0.5/30 dianxin 主线路

广电线路 vlan 242 10.0.0.125/30 guangdian 备用线路

二、ros配置

接线情况：lan2 口接局域网，rb450g的 3口接 广电线路，4口接电信线路。 1口和

1、 一台16端口的交换机可以产生多少个冲突域（ ）

A. 1 B. 2 C. 14 D. 16

2、 交换机如何学习连接到其端口的网络设备的地址（ ）

A. 交换机从路由器得到相应的表

B. 交换机检查从端口流入的分组的源地址 C. 交换机之间交换地址表 D. 交换机不能建立地址表

3、 在交换中，交换机检查目的地址后就立即开始转发帧，而在交换中，交换机接收到

完整的帧才转发？（ ） A. 存储转发；对称 B. 贯穿式；存储转发 C. 存储转发；贯穿式 D. 存储缓冲；贯穿式

4、 生成树协议的目的是什么（ ）

A. 维持单一环路 B. 维持无环网络 C. 维持多环网络

D. 维持减少了环路的网络

5、 以下那种网桥会被STP选为根网桥（ ）

A. 网桥优先级和网桥IP地址 B. 网桥优先级和网桥MAC地址 C. 网桥MAC地址和网桥IP地址 D. 网桥MAC地址和以太网端口号

6、 在哪种状态下端口只形成MAC地址表但不转发用户数据帧（ ）

A. 学习状态 B. 阻塞状态 C. 侦听状态 D. 转发状态

7、 STP收敛的定义是什么（ ）

A. 所有端口转换到阻塞状态 B. 所有端口转换到转发状态

C. 所有