h3c网络风暴设置

‘壹’ H3C交换机怎样抑制广播风暴

1、打开H3C模拟器。

注意事项：

交换机有多个端口，每个端口都具有桥接功能，可以连接一个局域网或一台高性能服务器或工作站。实际上，交换机有时被称为多端口网桥。

‘贰’ 一个关于H3c 交换机配置问题

一般三层交换机，不做配置的话，是可以当傻瓜交换机用的，因为默认所有端口都是Vlan1下面的。
所以所有端口互通。

既然你又划分了2000和2121两个VLan，而且指定了端口，应该就是让这几个端口还有Vlan，不要与其余的端口互通，所以就在这几个端口下面，去掉Vlan1，这样就不互通了。

可能是出于安全或者是别的想法考虑吧。

‘叁’ 局域网内出现网络风暴，该怎么解决

网络风暴的产生有多种原因，如蠕虫病毒、交换机端口故障、网卡故障、链路冗余没有启用生成树协议、网线线序错误或受到干扰等，其常见的产生网络风暴的原因及解决方法如下：

1、网线短路。

（1）产生原因：压制网线时没有做好，或者网线表面有磨损导致短路，会引起交换机的端口阻塞。当网线发生短路时，该交换机将接收到大量的不符合封装原则的包，造成交换机处理器工作繁忙，
数据包来不及转发，从而导致缓冲区溢出产生丢包现象，导致广播风暴。

（2）对策：使用MRGT等流量查看软件可以查看出现短路的端口，若交换机是可网管的，可以通过逐个封闭端口来进行处理查找，进而找到有问题的网线，找到短路的网线后，更换一根网线。

2、接入层拓扑环路。

（1）产生原因：当网络中存在环路，就会造成每一帧都在网络中重复广播，引起广播风暴。

（2）解决方案：在接入层启用树生成协议，或者在诊断故障时打开树生成协议。

3、计算机网卡损坏或者交换器端口损坏。

（1）产生原因：当计算机网卡损坏或者交换器端口损坏，交换机端口不断产生大量的广播报文，会使交换机有一个端口传输速率非常缓慢，广播包阻塞不能及时发出。

（2）对策：可将正常的计算机接到有问题的端口上，若故障解决，则是原先计算机的网卡损坏或网络故障所致，更换新网卡并检测线路及网络配置即可解决。若故障依旧，则说明原先计算机的网卡未损坏，则是交换机的该端口已损坏，应检查并确认该端口的指示灯是否正常。

4、 蠕虫病毒。

（1）产生原因：当网络中某计算机感染蠕虫病毒时，如Funlove、震荡波、RPC等病毒，如果查看该网卡的发送包和接收包的数量时发现发包数在快速增加，则说明该计算机感染了蠕虫病毒，通过网络传播，损耗大量的网络带宽，引起网络堵塞，导致广播风暴。

（2）对策：为每台计算机安装杀毒软件，并配置补丁服务器（WSUS）来保证局域网内所有的计算机都能及时打上最新的补丁。

5、arp攻击。

（1）产生原因：攻击者发送大量的ARP请求包，阻塞正常网络宽带，使局域网中有限的网络资源被无用的广播信息所占用，造成网络拥堵。

（2）对策：激活防止ARP病毒攻击，在路由器中打开该选项，或者为计算机安装防范ARP攻击的软件，如360安全卫士的局域网ARP攻击拦截的保护功能等，对局域网内每一台计算机绑定网管的IP和其mac地址等。

(3)h3c网络风暴设置扩展阅读：

网络风暴的预防措施

1、做好网络病毒的预防工作

在允许的前提下为各终端安装杀毒软件，将计算机系统中一些不必要的网络服务暂时停止掉，将使用不到的网络端口关闭掉，对于U盘等存储设备的使用应当专网专用，尽量切断病毒的跨网传播途径。

2、启用生成树协议，做好网络拓扑图

当网络里有链路存在环接现象，就会导致广播数据帧在网络中重复产生，引起广播风暴，应提前开启交换机中的STP协议。另外，应建立完善的各项文档资料，包括：网络布线图、网络拓扑图、IP-MAC地址对应表等，避免在对现有网络进行变动时造成网络环路。

3、划分VLAN

通过划分vlan，做到每用户每vlan，尽量减少广播域。在同一个Vlan中，所有设备都是同一个广播域的成员，并接收所有的广播，所有的端口都会对广播数据进行过滤。因此，通过VLAN的划分可以有效地缩小广播风暴产生的范围，也能够在产生广播风暴时得到更准确的定位，减少排故时间。

‘肆’ 请问网络风暴如何解决...

编辑本段网络风暴-预防（以CISCO catalyst switch为例） 1、首先使用网管分析你网络的baseline，这样可以明确你的网络当中正常情况下的广播包比例是多少。 2、目前绝大多数交换机都支持广播风暴抑制特性，配置了这个特性以后，你可以控制每个端口的广播包维持在特定的比例之下，这样可以保留带宽给必须的应用。 配置：（以CISCO catalyst switch为例） Int XX storm-control broadcast level 20.00 switch#sh storm Interface Filter State Level Current --------- ------------- ------- ------- Fa1/0/1 Forwarding 20.00% 0.00% 3、针对缺省STP配置无法排除的网络环路问题，利用STP的BPDUguard特性来预防广播风暴。此种环路情况示意图如下： switch——hub（portA——portB） Switch启用了STP，而hub则被人有意无意的用一根网线联起来，导致引起了环路。SWITCH的端口不会收到其他交换机或本交换机其他端口的 BPDU，不会触发该端口的STP决策过程，也就不可能blocking该端口，这样就会引起广播风暴。我们可以利用CISCO STP的BPDUguard特性来预防这一点。 int xxx spanning-tree bpguard enable 值得注意的是bpguard可以在全局下配置，也可以在每端口的基础上配置。如果在全局下配置，则只对配置了portfast的端口起作用，如果在端口下配置，则不用配置portfast。 编辑本段网络风暴-排障（以CISCO catalyst switch为例） [1]如果网络中已经产生了网络风暴（现象通常为网络丢包、响应迟缓、时断时通等），则可以利用如下的方法来排障 1、首先确认是否是网络风暴或其他异常流量引起的网络异常，在核心交换机上 Switch〉sh proc cpu | e 0.00 CPU utilization for five seconds: 19%/0%; one minute: 19%; five minutes: 19% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 15 20170516 76615501 263 0.31% 0.13% 0.12% 0 ARP Input 26 7383266801839439482 401 5.03% 4.70% 5.08% 0 Cat4k Mgmt HiPri 27 8870781921122570949 790 5.67% 7.50% 6.81% 0 Cat4k Mgmt LoPri 43 730060152 341404109 2138 6.15% 5.29% 5.28% 0 Spanning Tree 50 59141788 401057972 147 0.47% 0.37% 0.39% 0 IP Input 56 2832760 3795155 746 0.07% 0.03% 0.01% 0 Adj Manager 58 4525900 28130423 160 0.31% 0.25% 0.18% 0 CEF process 96 20789148 344043382 60 0.23% 0.09% 0.08% 0 Standby (HSRP) 如果交换机的CPU利用率较高，且大部分的资源都被“IP Input”进程占用，则基本可以确定网络中有大流量的数据 2、查找异常流量是从交换机的那一个端口来的： switch #sh int | i protocol|rate|broadcasts FastEthernet1/0/1 is up, line protocol is up (connected) Queueing strategy: fifo 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 2000 bits/sec, 3 packets/sec Received 241676 broadcasts (0 multicast) 如果找到一个端口的input rate非常高，且接收到的广播包也非常多，则基本可以找到来源，如果该端口下联的也是可管理的交换机，则再次执行此过程，直到找到一个连接PC或者HUB的端口 3、shutdown该端口 int xx shutdown 4、查找产生异常流量的根源 如果是HUB环路，则拆掉环；如果是病毒，则做杀毒处理；如果是网卡异常，则更换网卡。此部分不详述。 5、确认交换机的CEF功能是否启用，如果没有，则需要启用，可以加速流量的转发 配置CEF： switch〉sh ip cef 全局模式下输入 ip cef

‘伍’ h3c路由器配置步骤

路由器（Router），是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号。路由器是互联网络的枢纽，"交通警察"。

目前路由器已经广泛应用于各行各业，各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。

路由和交换机之间的主要区别就是交换机发生在OSI参考模型第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和交换机在移动信息的过程中需使用不同的控制信息，所以说两者实现各自功能的方式是不同的。

H3C不仅交换机做的好，H3C的路由器也是棒棒哒~很多朋友都是采购了H3C的交换机，然后也采购了H3C的路由器。但是有些朋友可能不大熟悉H3C路由器的配置方案。

近期H3C知了社区整理了路由器常用的配置以及维护案例。今天分享给大家，希望能够帮助大家轻轻松松

‘陆’ 路由器连接交换机如何防止广播风暴

h3c 指定 dhcp server 防止非法dhcp服务DHCP Snooping
时间:2011-01-29 15:22来源:未知 作者:admin 点击:179次
‘配置环境参数’ 1. DHCP Server 连接在交换机 SwitchA 的 G1/1 端口，属于 vlan10 ， IP 地址为 10.10.1 .253/24 2. 端口 E0/1 和 E0/2 同属于 vlan10 ‘组网需求’ 1. PC1 、 PC2 均可以从指定 DHCP Server 获取到 IP 地址 2. 防止其他非法的 DHCP Server 影响网络中的主机 ‘交换机 DHCP-Snooping 配置流程’ 当交换机开启了 DHCP-Snoopin
‘配置环境参数’
1. DHCP Server连接在交换机SwitchA的G1/1端口，属于vlan10，IP地址为10.10.1.253/24
2. 端口E0/1和E0/2同属于vlan10

‘组网需求’
1. PC1、PC2均可以从指定DHCP Server获取到IP地址
2. 防止其他非法的DHCP Server影响网络中的主机

‘交换机DHCP-Snooping配置流程’
当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

【SwitchA相关配置】
1. 创建（进入）VLAN10
[SwitchA]vlan 10
2. 将端口E0/1、E0/2和G1/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1
3. 全局使能dhcp-snooping功能
[SwitchA]dhcp-snooping
4. 将端口G1/1配置为trust端口，
[SwitchA-GigabitEthernet1/1]dhcp-snooping trust

【补充说明】
由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的报文――”dhcp offer”报文，由G1/1端口进入SwitchA并进行转发，因此需要将端口G1/1配置为”trust”端口。如果SwitchA上行接口配置为Trunk端口，并且连接到DHCP中继设备，也需要将上行端口配置为”trust”端口。

‘柒’ H3C S5028二层交换机VLAN问题

你不能每个端口都单独分到一个vlan里吧。。。
而且如果下面是接入层，那么设置port link-type access，如果接的是另一个可网管交换机，那么建议设置port link-type trunk。
假如wlan1如果产生网络风暴，只会影响在wlan1接口下的电脑或者设备。
其他vlan下的接口是不会受到任何的影响。
wlan的最大作用就是隔离广播风暴。

‘捌’ H3C路由器怎样设置才能上网

先将线路连接好，然后将设备通电后打开电脑进入路由器设置宽带拨号上网，保存重启路由器即可正常上网。
详细如下：
1、将网线—路由器—电脑之间的线路连接好，启动电脑和路由器设备；
2、翻看路由器底部铭牌或使用说明书，找到路由器IP、默认帐号及密码。如接入的是光纤，光纤猫IP必须和路由器IP不在一个网段，否则容易起冲突；
3、打开浏览器，输入查询到的IP地址并按下回车，如192.168.1.1如输入提示不对，则表示被修改过只能是长按路由器上面的Reset按钮将路由器恢复出厂设置后重新设置；

4、进入路由器登录界面，输入查询到的默认登录帐号及密码，如输入提示不对，则表示被修改过只能是长按路由器上面的Reset按钮将路由器恢复出厂设置后重新设置；

5、进入路由器设置界面，找到左侧菜单栏的设置向导，根据提示选择下一步，选择PPPOE拨号上网；

6、输入从网络服务商申请到的账号和密码，输入完成后直接下一步；

7、设置wifi密码，尽量字母数字组合比较复杂一点不容易被蹭网（此步骤针对路由器有wifi功能的，无wifi功能的直接到下一步）；

8、输入正确后会提示是否重启路由器，选择是确认重启路由器，重新启动路由器后即可正常上网。