h3c網路風暴設置

『壹』 H3C交換機怎樣抑制廣播風暴

1、打開H3C模擬器。

注意事項：

交換機有多個埠，每個埠都具有橋接功能，可以連接一個區域網或一台高性能伺服器或工作站。實際上，交換機有時被稱為多埠網橋。

『貳』 一個關於H3c 交換機配置問題

一般三層交換機，不做配置的話，是可以當傻瓜交換機用的，因為默認所有埠都是Vlan1下面的。
所以所有埠互通。

既然你又劃分了2000和2121兩個VLan，而且指定了埠，應該就是讓這幾個埠還有Vlan，不要與其餘的埠互通，所以就在這幾個埠下面，去掉Vlan1，這樣就不互通了。

可能是出於安全或者是別的想法考慮吧。

『叄』 區域網內出現網路風暴，該怎麼解決

網路風暴的產生有多種原因，如蠕蟲病毒、交換機埠故障、網卡故障、鏈路冗餘沒有啟用生成樹協議、網線線序錯誤或受到干擾等，其常見的產生網路風暴的原因及解決方法如下：

1、網線短路。

（1）產生原因：壓制網線時沒有做好，或者網線表面有磨損導致短路，會引起交換機的埠阻塞。當網線發生短路時，該交換機將接收到大量的不符合封裝原則的包，造成交換機處理器工作繁忙，
數據包來不及轉發，從而導致緩沖區溢出產生丟包現象，導致廣播風暴。

（2）對策：使用MRGT等流量查看軟體可以查看出現短路的埠，若交換機是可網管的，可以通過逐個封閉埠來進行處理查找，進而找到有問題的網線，找到短路的網線後，更換一根網線。

2、接入層拓撲環路。

（1）產生原因：當網路中存在環路，就會造成每一幀都在網路中重復廣播，引起廣播風暴。

（2）解決方案：在接入層啟用樹生成協議，或者在診斷故障時打開樹生成協議。

3、計算機網卡損壞或者交換器埠損壞。

（1）產生原因：當計算機網卡損壞或者交換器埠損壞，交換機埠不斷產生大量的廣播報文，會使交換機有一個埠傳輸速率非常緩慢，廣播包阻塞不能及時發出。

（2）對策：可將正常的計算機接到有問題的埠上，若故障解決，則是原先計算機的網卡損壞或網路故障所致，更換新網卡並檢測線路及網路配置即可解決。若故障依舊，則說明原先計算機的網卡未損壞，則是交換機的該埠已損壞，應檢查並確認該埠的指示燈是否正常。

4、 蠕蟲病毒。

（1）產生原因：當網路中某計算機感染蠕蟲病毒時，如Funlove、震盪波、RPC等病毒，如果查看該網卡的發送包和接收包的數量時發現發包數在快速增加，則說明該計算機感染了蠕蟲病毒，通過網路傳播，損耗大量的網路帶寬，引起網路堵塞，導致廣播風暴。

（2）對策：為每台計算機安裝殺毒軟體，並配置補丁伺服器（WSUS）來保證區域網內所有的計算機都能及時打上最新的補丁。

5、arp攻擊。

（1）產生原因：攻擊者發送大量的ARP請求包，阻塞正常網路寬頻，使區域網中有限的網路資源被無用的廣播信息所佔用，造成網路擁堵。

（2）對策：激活防止ARP病毒攻擊，在路由器中打開該選項，或者為計算機安裝防範ARP攻擊的軟體，如360安全衛士的區域網ARP攻擊攔截的保護功能等，對區域網內每一台計算機綁定網管的IP和其mac地址等。

(3)h3c網路風暴設置擴展閱讀：

網路風暴的預防措施

1、做好網路病毒的預防工作

在允許的前提下為各終端安裝殺毒軟體，將計算機系統中一些不必要的網路服務暫時停止掉，將使用不到的網路埠關閉掉，對於U盤等存儲設備的使用應當專網專用，盡量切斷病毒的跨網傳播途徑。

2、啟用生成樹協議，做好網路拓撲圖

當網路里有鏈路存在環接現象，就會導致廣播數據幀在網路中重復產生，引起廣播風暴，應提前開啟交換機中的STP協議。另外，應建立完善的各項文檔資料，包括：網路布線圖、網路拓撲圖、IP-MAC地址對應表等，避免在對現有網路進行變動時造成網路環路。

3、劃分VLAN

通過劃分vlan，做到每用戶每vlan，盡量減少廣播域。在同一個Vlan中，所有設備都是同一個廣播域的成員，並接收所有的廣播，所有的埠都會對廣播數據進行過濾。因此，通過VLAN的劃分可以有效地縮小廣播風暴產生的范圍，也能夠在產生廣播風暴時得到更准確的定位，減少排故時間。

『肆』 請問網路風暴如何解決...

編輯本段網路風暴-預防（以CISCO catalyst switch為例） 1、首先使用網管分析你網路的baseline，這樣可以明確你的網路當中正常情況下的廣播包比例是多少。 2、目前絕大多數交換機都支持廣播風暴抑制特性，配置了這個特性以後，你可以控制每個埠的廣播包維持在特定的比例之下，這樣可以保留帶寬給必須的應用。 配置：（以CISCO catalyst switch為例） Int XX storm-control broadcast level 20.00 switch#sh storm Interface Filter State Level Current --------- ------------- ------- ------- Fa1/0/1 Forwarding 20.00% 0.00% 3、針對預設STP配置無法排除的網路環路問題，利用STP的BPDUguard特性來預防廣播風暴。此種環路情況示意圖如下： switch——hub（portA——portB） Switch啟用了STP，而hub則被人有意無意的用一根網線聯起來，導致引起了環路。SWITCH的埠不會收到其他交換機或本交換機其他埠的 BPDU，不會觸發該埠的STP決策過程，也就不可能blocking該埠，這樣就會引起廣播風暴。我們可以利用CISCO STP的BPDUguard特性來預防這一點。 int xxx spanning-tree bpguard enable 值得注意的是bpguard可以在全局下配置，也可以在每埠的基礎上配置。如果在全局下配置，則只對配置了portfast的埠起作用，如果在埠下配置，則不用配置portfast。 編輯本段網路風暴-排障（以CISCO catalyst switch為例） [1]如果網路中已經產生了網路風暴（現象通常為網路丟包、響應遲緩、時斷時通等），則可以利用如下的方法來排障 1、首先確認是否是網路風暴或其他異常流量引起的網路異常，在核心交換機上 Switch〉sh proc cpu | e 0.00 CPU utilization for five seconds: 19%/0%; one minute: 19%; five minutes: 19% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 15 20170516 76615501 263 0.31% 0.13% 0.12% 0 ARP Input 26 7383266801839439482 401 5.03% 4.70% 5.08% 0 Cat4k Mgmt HiPri 27 8870781921122570949 790 5.67% 7.50% 6.81% 0 Cat4k Mgmt LoPri 43 730060152 341404109 2138 6.15% 5.29% 5.28% 0 Spanning Tree 50 59141788 401057972 147 0.47% 0.37% 0.39% 0 IP Input 56 2832760 3795155 746 0.07% 0.03% 0.01% 0 Adj Manager 58 4525900 28130423 160 0.31% 0.25% 0.18% 0 CEF process 96 20789148 344043382 60 0.23% 0.09% 0.08% 0 Standby (HSRP) 如果交換機的CPU利用率較高，且大部分的資源都被「IP Input」進程佔用，則基本可以確定網路中有大流量的數據 2、查找異常流量是從交換機的那一個埠來的： switch #sh int | i protocol|rate|broadcasts FastEthernet1/0/1 is up, line protocol is up (connected) Queueing strategy: fifo 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 2000 bits/sec, 3 packets/sec Received 241676 broadcasts (0 multicast) 如果找到一個埠的input rate非常高，且接收到的廣播包也非常多，則基本可以找到來源，如果該埠下聯的也是可管理的交換機，則再次執行此過程，直到找到一個連接PC或者HUB的埠 3、shutdown該埠 int xx shutdown 4、查找產生異常流量的根源 如果是HUB環路，則拆掉環；如果是病毒，則做殺毒處理；如果是網卡異常，則更換網卡。此部分不詳述。 5、確認交換機的CEF功能是否啟用，如果沒有，則需要啟用，可以加速流量的轉發 配置CEF： switch〉sh ip cef 全局模式下輸入 ip cef

『伍』 h3c路由器配置步驟

路由器（Router），是連接網際網路中各區域網、廣域網的設備，它會根據信道的情況自動選擇和設定路由，以最佳路徑，按前後順序發送信號。路由器是互聯網路的樞紐，"交通警察"。

目前路由器已經廣泛應用於各行各業，各種不同檔次的產品已成為實現各種骨幹網內部連接、骨幹網間互聯和骨幹網與互聯網互聯互通業務的主力軍。

路由和交換機之間的主要區別就是交換機發生在OSI參考模型第二層（數據鏈路層），而路由發生在第三層，即網路層。這一區別決定了路由和交換機在移動信息的過程中需使用不同的控制信息，所以說兩者實現各自功能的方式是不同的。

H3C不僅交換機做的好，H3C的路由器也是棒棒噠~很多朋友都是采購了H3C的交換機，然後也采購了H3C的路由器。但是有些朋友可能不大熟悉H3C路由器的配置方案。

近期H3C知了社區整理了路由器常用的配置以及維護案例。今天分享給大家，希望能夠幫助大家輕輕鬆鬆

『陸』 路由器連接交換機如何防止廣播風暴

h3c 指定 dhcp server 防止非法dhcp服務DHCP Snooping
時間:2011-01-29 15:22來源:未知 作者:admin 點擊:179次
『配置環境參數』 1. DHCP Server 連接在交換機 SwitchA 的 G1/1 埠，屬於 vlan10 ， IP 地址為 10.10.1 .253/24 2. 埠 E0/1 和 E0/2 同屬於 vlan10 『組網需求』 1. PC1 、 PC2 均可以從指定 DHCP Server 獲取到 IP 地址 2. 防止其他非法的 DHCP Server 影響網路中的主機 『交換機 DHCP-Snooping 配置流程』 當交換機開啟了 DHCP-Snoopin
『配置環境參數』
1. DHCP Server連接在交換機SwitchA的G1/1埠，屬於vlan10，IP地址為10.10.1.253/24
2. 埠E0/1和E0/2同屬於vlan10

『組網需求』
1. PC1、PC2均可以從指定DHCP Server獲取到IP地址
2. 防止其他非法的DHCP Server影響網路中的主機

『交換機DHCP-Snooping配置流程』
當交換機開啟了DHCP-Snooping後，會對DHCP報文進行偵聽，並可以從接收到的DHCP Request或DHCP Ack報文中提取並記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個物理埠設置為信任埠或不信任埠。信任埠可以正常接收並轉發DHCP Offer報文，而不信任埠會將接收到的DHCP Offer報文丟棄。這樣，可以完成交換機對假冒DHCP Server的屏蔽作用，確保客戶端從合法的DHCP Server獲取IP地址。

【SwitchA相關配置】
1. 創建（進入）VLAN10
[SwitchA]vlan 10
2. 將埠E0/1、E0/2和G1/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1
3. 全局使能dhcp-snooping功能
[SwitchA]dhcp-snooping
4. 將埠G1/1配置為trust埠，
[SwitchA-GigabitEthernet1/1]dhcp-snooping trust

【補充說明】
由於DHCP伺服器提供給用戶包含了伺服器分配給用戶的IP地址的報文――」dhcp offer」報文，由G1/1埠進入SwitchA並進行轉發，因此需要將埠G1/1配置為」trust」埠。如果SwitchA上行介面配置為Trunk埠，並且連接到DHCP中繼設備，也需要將上行埠配置為」trust」埠。

『柒』 H3C S5028二層交換機VLAN問題

你不能每個埠都單獨分到一個vlan里吧。。。
而且如果下面是接入層，那麼設置port link-type access，如果接的是另一個可網管交換機，那麼建議設置port link-type trunk。
假如wlan1如果產生網路風暴，只會影響在wlan1介面下的電腦或者設備。
其他vlan下的介面是不會受到任何的影響。
wlan的最大作用就是隔離廣播風暴。

『捌』 H3C路由器怎樣設置才能上網

先將線路連接好，然後將設備通電後打開電腦進入路由器設置寬頻撥號上網，保存重啟路由器即可正常上網。
詳細如下：
1、將網線—路由器—電腦之間的線路連接好，啟動電腦和路由器設備；
2、翻看路由器底部銘牌或使用說明書，找到路由器IP、默認帳號及密碼。如接入的是光纖，光纖貓IP必須和路由器IP不在一個網段，否則容易起沖突；
3、打開瀏覽器，輸入查詢到的IP地址並按下回車，如192.168.1.1如輸入提示不對，則表示被修改過只能是長按路由器上面的Reset按鈕將路由器恢復出廠設置後重新設置；

4、進入路由器登錄界面，輸入查詢到的默認登錄帳號及密碼，如輸入提示不對，則表示被修改過只能是長按路由器上面的Reset按鈕將路由器恢復出廠設置後重新設置；

5、進入路由器設置界面，找到左側菜單欄的設置向導，根據提示選擇下一步，選擇PPPOE撥號上網；

6、輸入從網路服務商申請到的賬號和密碼，輸入完成後直接下一步；

7、設置wifi密碼，盡量字母數字組合比較復雜一點不容易被蹭網（此步驟針對路由器有wifi功能的，無wifi功能的直接到下一步）；

8、輸入正確後會提示是否重啟路由器，選擇是確認重啟路由器，重新啟動路由器後即可正常上網。