首页
技术博客
PHP教程
数据库技术
前端开发
HTML5
Nginx
php论坛
新用户注册
|
会员登录
PHP教程
技术博客
编程问答
PNG素材
编程语言
前端技术
Android
PHP教程
HTML5教程
数据库
Linux技术
Nginx技术
PHP安全
WebSerer
职场攻略
JavaScript
开放平台
业界资讯
大话程序猿
登录
极速注册
取消
热门标签 | HotTags
email
match
chat
testing
datetime
heatmap
timezone
random
dockerfile
python2
case
dll
callback
js
blob
vba
loops
bitmap
flutter
cmd
range
iostream
rsa
version
grid
bytecode
substring
function
javascript
buffer
uml
less
plugins
php5
include
dagger
web
const
jsp
stream
solr
tags
express
client
md5
char
runtime
heap
ip
php8
数组
config
audio
replace
hash
bash
hook
uri
cPlusPlus
hashset
python
keyword
post
utf-8
filter
regex
golang
select
perl
frameworks
actionscrip
httprequest
instance
bit
import
settings
httpclient
list
byte
当前位置:
开发笔记
>
编程语言
> 正文
交换机抑制广播命令详解
作者:果粒仙子妹妹 | 来源:互联网 | 2023-05-17 09:05
在企业网络中,广播数据包是一把双刃剑。一方面其是进行正常网络连接所必须的一种数据包,如在自动获得IP地址方案中需要利用广播数据报来寻找可用的DHCP服务器。另一方面其又很容易被病毒或者黑客
在企业网络中,广播数据包是一把双刃剑。一方面其是进行正常网络连接所必须的一种数据包,如在自动获得IP地址方案中需要利用广播数据报来寻找可用的DHCP服务器。另一方面其又很容易被病毒或者黑客所利用,如通过DOS攻击等手段导致网络拥塞。为此在网络设计中,必须要对广播数据包进行合理的控制。
一、广播数据包的危害
广包有一个很重要的特征,就是广播域中每台网络设备,包括PC或者交换机都需要处理广播数据包。可见,如果某个广播域中存在比较多的广播流量,那么所有的相关设备都会受到影响,因为他们必须抽出一定的资源来处理这些广播数据包。同时,这些广播数据包还会占用宝贵的带宽资源,如果网络中存在过多的广播数据包,则可能会导致网络拥塞,大大降低网络的性能与安全等级。所以,在网络设计中应当防止过量的广播流量所导致的非正常功能故障,同时需要注意由此可能带来的安全隐患。总之,在网络中如果发生意外情况,那么异常的设备就会发送大量的广播数据包流量。如果在每秒之内发生的广播数据报流量过多,那么就会直接导致交换机等网络设备的CPU利用率高,设置利用率会达到100%从而导致网络中断。为此一个安全的网络设计,都会采用各种各样的措施来抑制广播数据包的流量。
在传统的网络设计中,也有不少的措施可以用来减少网络中不必要的广播数据包。如可以将网络设计成多个网段,以减少广播域内设备的数量,从而实现减少广播包的目的。不过这些传统的方案,都需要增加一些额外的设备,而且实施起来也不是很方便。在思科系列的交换机中,本身就提供了广播抑制的方案。或许网络管理员可以换一种思路来解决这个问题。
二、思科交换机广播数据包抑制方案分析
为了缓解过量的广播数据报对网络带来的不利影响,思科系列的交换机特别设计了广播抑制特性。简单的说,交换机操作系统会自动监测经过其设备的网络流量。如果发现广播数据包比较多的话,这交换机会采取两个措施:要么是丢弃过量的广播数据包;要么就是禁用接收过量的流量端口。
如上图所示,假设现在主机A受到了攻击,中了某种病毒。此时其就会不断的向外面发送广播数据包,直到主机瘫痪为止。其发送的广播数据包都需要经过交换机来转发。此时交换机会监测到来自主机A的大量的广播数据包流量。监测到这种情况之后,交换机会采取哪种措施呢?交换机可能会将主机A发送过来的广播数据包流量丢弃掉,其他的数据流量正常转发,从而杜绝A主机发出的广播数据包对广播域内其他设备的影响。交换机也有可能关闭主机A连接的交换机端口,即来自主机A的所有数据流量都将无法通过交换机来转发,就好像是将A的网络断开了,从而防止主机A继续危害网络。交换机具体采用哪种措施,这主要看网络管理员的配置。
交换机在监测广播数据流量的时候,检测的频率还是很高的。通常情况下,其回监测1秒周期内进入端口的数据流量。如果广播数据包超过了所设置的最大值,那么交换机就会采用网络管理员预先配置的违规措施。所以采用交换机的广播数据包抑制方案,可以在最短时间内发现非正常的广播数据包,从而采取有效的措施来减少其对企业网络的危害。
三、CatOS软件与IOS软件配置的异同
在思科系列的交换机中,主要采用CatOS与IOS操作系统软件。这两种操作系统在配置广播数据包抑制上还是有一定的差异。如在基于CatOS操作系统的交换机上,主要是通过如下命令来启用广播数据包抑制特性。
Set port broadcast thresho1d% violation drop-packets/err-disable enable/disable
在这个命令中,主要注意两个参数。第一个参数就是thresho1d%,也就是允许通过的广播数据包流量的最大值。利用专业术语来说就是阀值。如果将这个参数设置为100%,那么交换机将不会限制任何的流量。也就是说不会限制任何的广播数据流量。如果将这个参数设置为0%,那么交换机将会抑制所有的数据流量。通常情况下,我们都不会采用这两个极端的值。那么这个参数到底设置为多少合适呢?通常情况下在选择这个参数大小的时候,需要根据企业现有的网络流量模式来定义。这里需要强调的是,不要一开始就将这个参数设置的比较低,因为其可能会错误的丢弃交换机的正常流量。我们在平时管理的时候,往往会先设置一个比较大的值,然后再慢慢的根据企业的网络流量来降低这个阀值,最终调整到最优的阶段。另外笔者建议各位网络管理员,不要在任何交换机上都启用这个特性。通常情况下只需要在接入层的用户端口上启用广播抑制特性即可。因为大部分情况下,我们只要限制特定的主机端口所能够发送到网络中的广播数据流量即可。在太多的交换机上启用这个特性,有时候会起到适得其反的效果,会影响网络的性能与稳定性。
第二个参数是violation,即当交换机发现广播数据流量超过规定的最大值时,该采用何种措施来处理?在思科系列的交换机中,主要有两种方式,分别为丢弃数据包或者将某个端口禁用掉(设置为err-disable状态)。具体采取哪种措施主要要看企业的网络需求。不过笔者的意见是,尽量少用“err-disable”状态。因为如果交换机的某个端口进入到这个状态的时候,交换机将会显示错误信息,并且立即产生相关的信息通过管理员预先定义的方式来同志管理员这种情况。此时可能会影响到正常数据流量的转发。所以一般情况下笔者建议采用丢弃数据包的方式来处理。从而将广播数据包对网络的影响降低到最低。
如果网络管理员采用的是基于IOS操作系统软件的交换机,那么配置的灵活性要降低一点。在使用IOS的交换机中,广播数据包抑制又叫做风暴控制。在使用这个特性的时候,阀值的设置跟CatOS软件类似,主要是要看违规操作的设置。因为在IOS软件版本中,不同的版本的交换机其支持的违规操作方式是不同的。如在6500系列的基于IOS软件的交换机中,其支持的违规操作只有一项就是“丢弃数据包”。而在基于IOS软件的4500系列交换机中,其支持的违规操作就有两项,分别为”“丢弃数据包”与“关闭选项”。关闭选项同上面说到的设置为err-disable状态效果类似,只是称呼不同而已。所以如果网络管理员采用的是基于IOS的交换机,那么就需要注意这个不同的系列所支持的违规操作方式的不同。
另外需要提醒的是,如果企业采用的是6500系列的交换机,还有一个问题要引起大家的重视。网络管理员可以在6500系列交换机的吉比特以太网端口上配置多播或者单播抑制特性。这个特性跟上面所讲的广播抑制特性非常的相似。这个特性可以同时抑制广播流量、多播流量、单播流量等等。在比较复杂的网络设计中,可以直接启用这个特性来代替前面讲到的广播抑制方案。
交换机
ip
服务器
安全
cpu
写下你的评论吧 !
吐个槽吧,看都看了
会员登录
|
用户注册
推荐阅读
version
CISCO ASA防火墙Failover+multiple context详细部署By 年糕泰迪[操作系统入门]
一.文章概述本文主要就CISCOASA防火墙的高可用和扩张性进行阐述和部署。再cisco防火墙系列中主要有3种技术来实现高可用和扩张性。分别是Failover,multiplese ...
[详细]
蜡笔小新 2023-10-17 12:19:10
version
网卡工作原理及网络知识分享
本文介绍了网卡的工作原理,包括CSMA/CD、ARP欺骗等网络知识。网卡是负责整台计算机的网络通信,没有它,计算机将成为信息孤岛。文章通过一个对话的形式,生动形象地讲述了网卡的工作原理,并介绍了集线器Hub时代的网络构成。对于想学习网络知识的读者来说,本文是一篇不错的参考资料。 ...
[详细]
蜡笔小新 2023-12-11 12:01:41
version
Python高级之网络编程及TCP/IP协议簇的OSI七层模型介绍
本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容,主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ...
[详细]
蜡笔小新 2023-12-14 18:16:27
version
云服务器API接口的入门使用及功能解析
本文详细介绍了云服务器API接口的概念和作用,以及如何使用API接口管理云上资源和开发应用程序。通过创建实例API、调整实例配置API、关闭实例API和退还实例API等功能,可以实现云服务器的创建、配置修改和销毁等操作。对于想要学习云服务器API接口的人来说,本文提供了详细的入门指南和使用方法。如果想进一步了解相关知识或阅读更多相关文章,请关注编程笔记行业资讯频道。 ...
[详细]
蜡笔小新 2023-12-14 12:43:39
version
图解redis的持久化存储机制RDB和AOF的原理和优缺点
本文通过图解的方式介绍了redis的持久化存储机制RDB和AOF的原理和优缺点。RDB是将redis内存中的数据保存为快照文件,恢复速度较快但不支持拉链式快照。AOF是将操作日志保存到磁盘,实时存储数据但恢复速度较慢。文章详细分析了两种机制的优缺点,帮助读者更好地理解redis的持久化存储策略。 ...
[详细]
蜡笔小新 2023-12-13 20:24:11
version
计算机存储系统的层次结构及其优势
本文介绍了计算机存储系统的层次结构,包括高速缓存、主存储器和辅助存储器三个层次。通过分层存储数据可以提高程序的执行效率。计算机存储系统的层次结构将各种不同存储容量、存取速度和价格的存储器有机组合成整体,形成可寻址存储空间比主存储器空间大得多的存储整体。由于辅助存储器容量大、价格低,使得整体存储系统的平均价格降低。同时,高速缓存的存取速度可以和CPU的工作速度相匹配,进一步提高程序执行效率。 ...
[详细]
蜡笔小新 2023-12-13 17:32:41
version
计算机网络初识及通信流程分析
本文介绍了计算机网络的定义和通信流程,包括客户端编译文件、二进制转换、三层路由设备等。同时,还介绍了计算机网络中常用的关键词,如MAC地址和IP地址。 ...
[详细]
蜡笔小新 2023-12-13 16:50:29
version
如何在服务器主机上实现文件共享的方法和工具
本文介绍了在服务器主机上实现文件共享的方法和工具,包括Linux主机和Windows主机的文件传输方式,Web运维和FTP/SFTP客户端运维两种方式,以及使用WinSCP工具将文件上传至Linux云服务器的操作方法。此外,还介绍了在迁移过程中需要安装迁移Agent并输入目的端服务器所在华为云的AK/SK,以及主机迁移服务会收集的源端服务器信息。 ...
[详细]
蜡笔小新 2023-12-13 13:23:48
version
开发笔记:计网局域网:NAT 是如何工作的?
篇首语:本文由编程笔记#小编为大家整理,主要介绍了计网-局域网:NAT是如何工作的?相关的知识,希望对你有一定的参考价值。 ...
[详细]
蜡笔小新 2023-12-13 13:04:08
js
CentOS 7部署KVM虚拟化环境之一架构介绍
本文介绍了CentOS 7部署KVM虚拟化环境的架构,详细解释了虚拟化技术的概念和原理,包括全虚拟化和半虚拟化。同时介绍了虚拟机的概念和虚拟化软件的作用。 ...
[详细]
蜡笔小新 2023-12-12 21:38:57
js
Oracle优化新常态的五大禁止及其性能隐患
本文介绍了Oracle优化新常态中的五大禁止措施,包括禁止外键、禁止视图、禁止触发器、禁止存储过程和禁止JOB,并分析了这些禁止措施可能带来的性能隐患。文章还讨论了这些禁止措施在C/S架构和B/S架构中的不同应用情况,并提出了解决方案。 ...
[详细]
蜡笔小新 2023-12-12 12:55:55
js
RouterOS 5.16软路由安装图解教程
本文介绍了如何安装RouterOS 5.16软路由系统,包括系统要求、安装步骤和登录方式。同时提供了详细的图解教程,方便读者进行操作。 ...
[详细]
蜡笔小新 2023-12-12 10:22:22
js
双路由器有线搭建网络方案图文教程,公司家庭组建局域网
本文介绍了如何使用双路由器有线搭建一个小型的局域网网络,解决家庭或公司多个网络设备无法同时上网的问题。详细讲解了两种简单快速的组网方式,并提供了具体的设置步骤和注意事项。 ...
[详细]
蜡笔小新 2023-12-11 14:51:00
js
操作系统的定义和功能
本文介绍了操作系统的定义和功能,包括操作系统的本质、用户界面以及系统调用的分类。同时还介绍了进程和线程的区别,包括进程和线程的定义和作用。 ...
[详细]
蜡笔小新 2023-12-11 14:17:13
js
Linux虚拟化部署中的VLAN配置方法详解
本文详细介绍了在Linux虚拟化部署中进行VLAN配置的方法。首先要确认Linux系统内核是否已经支持VLAN功能,然后配置物理网卡、子网卡和虚拟VLAN网卡的关系。接着介绍了在Linux配置VLAN Trunk的步骤,包括将物理网卡添加到VLAN、检查添加的VLAN虚拟网卡信息以及重启网络服务等。最后,通过验证连通性来确认配置是否成功。 ...
[详细]
蜡笔小新 2023-12-09 03:55:11
果粒仙子妹妹
这个家伙很懒,什么也没留下!
Tags | 热门标签
email
match
chat
testing
datetime
heatmap
timezone
random
dockerfile
python2
case
dll
callback
js
blob
vba
loops
bitmap
flutter
cmd
range
iostream
rsa
version
grid
bytecode
substring
function
javascript
buffer
RankList | 热门文章
1
详解Docker镜像推送push到Docker Hub
2
虎牙直播进不去怎么办 虎牙直播打不开解决办法
3
策略模式 – 设计模式之行为模式
4
mysql 数据库排名实现
5
Docker 环境 Nacos2 MySQL8的详细操作_docker
6
php json是否存在,PHP Json看看是否存在值
7
poj1637 混合欧拉回路的判定
8
高可用集群_AIX UNIX 下 HACMP/POWERHA 高可用集群的配置与搭建
9
java jna调用dll 路径_Java 通过Jna调用dll路径问题
10
vue流程图简画
11
关于api:Postman-Windows-10-安装过程
12
C++中的内存序std::memory_orde_*
13
php rabbitmq 封装,封装php的RabbitMq
14
Codeforces Round #365 (Div. 2) D. Mishka and Interesting sum
15
linux文本分析命令,linux基础命令介绍八:文本分析 awk
PHP1.CN | 中国最专业的PHP中文社区 |
DevBox开发工具箱
|
json解析格式化
|
PHP资讯
|
PHP教程
|
数据库技术
|
服务器技术
|
前端开发技术
|
PHP框架
|
开发工具
|
在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved |
京公网安备 11010802041100号
|
京ICP备19059560号-4
| PHP1.CN 第一PHP社区 版权所有