H3C交换机限速策略

26 五月, 2017

本篇讲解如何在H3C交换机上对端口进行速率控制 本例使用H3C S5500网管型交换机 不同的设备型号和软件版本可能导致部分命令不可用 Ⅰ speed 这是最简单的端口限速方法,但因限制精度较小(10/100/1000Mbps),使用场景有限。 <H3C>system-view [H3C]interface GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1]speed 10…

Read More »

H3C利用ACL实现VLAN单向访问

18 五月, 2017

企业网络中,因为安全问题可能需要做单向访问控制,既A网络可以访问B网络,但反过来B网络不能访问A网络,针对这个需求,可以采用ACL单向访问控制来实现。 实现原理:大家都知道TCP有三次握手来建立连接,交换机侦测tcp标志位就可以知道TCP连接是已经建立过的还是即将新建,当TCP连接建立后,B发送往A的TCP报文均带有ACK标志位。原理弄清楚后这样我们只需要过滤掉B到A方向上TCP报文中仅有SYN标志位的报文就能实现单向访问。 本示例采用H3C S5500网管型交换机 场景: Vlan2能访问Vlan3,但Vlan3不能访问Vlan2. 关键: H3C交换机在ACL命令中提供established 参数,established代表一种状态,表示已经建立的连接。 [H3C]vlan 2 [H3C-vlan2]…

Read More »

H3C如何过滤非法MAC(交换机篇)

17 五月, 2017

本篇讲解如何通过交换机实现非法MAC地址过滤功能。本篇以H3C S5500网管型交换机为例。 方案Ⅰ:MAC黑洞 由用户手工配置的一类特殊的MAC地址,当交换机接收到源地址或目的地址为黑洞MAC地址的报文时,会将该报文丢弃。 <H3C>system-view [H3C]mac-address blackhole 11-22-33 vlan 1 方案Ⅱ:二层访问列表 二层IPv4 ACL根据报文的源MAC地址、目的MAC地址、VLAN优先级、二层协议类型等二层信息制定规则,对报文进行相应的分析处理。…

Read More »