1、运行Windows系统自带的组策略器。
2、依次点击:计算机配置->管理模板-> 网络->Lanman工作站
3、双击 启用不安全的来宾登录 ,在弹出的窗口中,选择 “已启用”,并点击 “确定”即可。
Windows 10共享文件时提示“你不能访问此共享文件夹,因为你组织的安全策略阻止未经身份验证的来宾访问“的解决方法
东芝多功能复印机常见错误代码
E*** ——所有机型
卡纸,请参考机器提示取出卡纸,并检查纸张类型及状态。
E7** ——所有机型
输稿器卡纸,请检查原稿纸张是否符合规格要求,是否堆叠整齐,无折角、打孔、卷边、装订,前后档板夹紧等。
E06*—— 触屏机型
纸盒纸张尺寸设置错误,请检查实际纸张尺寸,纸盒前后及左侧档板是否夹紧,机器会自动识别标准尺寸。
非触屏机型 纸盒纸张尺寸设置错误,请检查实际纸张尺寸,设置正确的纸张尺寸。可在[用户功能]-[纸盒]中设置纸张尺寸。
CA00/CE40 ——彩色机型
图像校正未完成,请关机后打开前门,参考盖板上的图示清洁相关部位,然后重新启动机器。
CD40 ——彩色机型
废粉盒满且未及时更换,请联系您的服务商更换废粉盒。
2D11——带HDD机型
文件共享时内存容量不足,请重启机器。
2E11—— 带HDD机型
文件共享时USB存储容量不足,请检查USB并重启机器。
4031 ——带HDD机型
打印HDD满,请清除不需要的私密或部门打印及打印队列。
您的机器需要保养 **** 、维护、请求维修 CFB0—–触屏机型、非触屏机型
表示有周期性保养零部件达到更换周期,为保证机器性能和印品质量,建议联系您的服务商进行保养。
影响激光打印碳粉打印量的因素
众所周知,激光打印机(含一体机)对碳粉的消耗量比较大,原装碳粉昂贵(打印量也少),代用碳粉便宜(打印量也大,厂家不推荐,说是会损坏机器)
消耗量的原因,看厂家的说明(HP):
除了碳粉,所有的碳粉盒都包含大量的机械部件。 这些组件 – 例如显影辊、光电导体 (PC) 和清洁刀片 – 在打印过程,由于使用了碳粉,都会产生损耗。 尽管这些组件经过了耐磨设计,不同的打印方式可能会导致碳粉盒内的不同部分有不同程度的损耗。 例如,在某些激光打印机上,经常打印低覆盖页面可能会导致在碳粉耗尽前,碳粉盒的组件完全损耗。 在其它情况下,经常在信封等较窄的纸张打印可能会导致光电导体首先达到报废寿命。 这些损耗的组件最终将会导致打印质量下降,碳粉损耗也会导致打印质量下降。
此外,碳粉本身采用了复杂的化学佩服,经过专门设计并适用于其它打印机系统组件,可提供一致的高打印质量。 由于其物理特性,无法提取碳粉盒中的所有碳粉进行打印,某些剩余的碳粉会始终保留在碳粉盒,但是该碳粉是否可用,以及剩余的碳粉量都会根据客户打印风格和碳粉盒设计而不同。 由于碳粉在打印期间一直进行物理移动(搅拌),在打印过程中,碳粉实际也会在变得不可用前发生损耗。 该损耗可可能限制碳粉的正确显影图像能力,并会导致打印缺陷。
继续使用当前的碳粉盒进行打印,直至重新分布碳粉也不能产生可接受的打印质量。要使碳粉重新分布,从打印机中取出碳粉盒,然后沿水平轴方向轻轻来回摇晃碳粉盒。
其它因素也会影响打印碳粉盒打印量
停止后开始打印 – 每次开始打印作业,打印前后打印系统都有多次转动。 这些转动会导致打印系统中所有组件的损耗,包括碳粉。
打印机电重启 – 关闭打印机将会导致在重新开启时需要额外转动。 此外,大多数彩色激光打印机将在打开打印机时进行校准。
校准彩色打印机 – 要保持出色的打印质量,彩色打印机需要校准。 每次执行校准会导致组件损耗。 触发校准的情况包括: 环境更改、更换碳粉盒、重启以及打印大量的页面。
客户端环境问题 – HP 设计的打印系统可在各种环境下提供高品质、可靠的打印,但是部分环境中可能会导致系统使用更多或更少的碳粉,最终影响打印量。 例如,非常潮湿的环境可能会导致碳粉盒打印量降低。
分离问题和分离公式 – 在彩色打印机上有特殊的模式,可在打印单色文档时将彩色碳粉盒从系统分离。 这就是分离。 根据单色和彩色文档发送至打印机的频率,分离系统可能会在部分情况下无法取出彩色碳粉盒。 客户渴望较快的打印速度,因此折中设计了分离系统,在保证打印机速度的同时(不经常分离时会速度更快)降低彩色碳粉盒损耗碳粉盒。 分离频率可能影响由于碳粉盒损耗增加的彩色碳粉盒使用寿命,而不是使用碳粉。
碳粉盒碳粉润滑 – 在打印过程中,有系统将微量碳粉用于润滑。 光电导体和传输系统间的清洁刀片连接区域需要少量碳粉减少摩擦及延长续航时间。 在进行 ISO 打印量测试时会将碳粉使用量考虑进来(换言之,在生产时就已经包含了“额外的”碳粉,以应对润滑)。
在打印 – 为提高打印件部分区域的“暗度”或整体 PQ,HP 可能将某些彩色碳粉与黑色碳粉配合使用,在页面上生成特定暗色区域。 此项操作可为客户提供最高品质的打印质量。
生产差异 – 与所有生产系统一样,打印系统种的所有部分可能存在差异。 某些差异可能导致打印系统校准 – 因此 HP 打印机时常需要自我校准。 其它生产差异不会导致需要校准,并可能会影响打印系统的打印量。 为确保将差异降到最低,HP 在测量打印量时使用了多个打印机和打印碳粉盒。 HP 使用的 ISO 测试方法需要至少配置 3 台打印机,每台打印机至少使用 3 个碳粉盒/碳粉盒组。
合成黑色 – 打印黑白图像和照片时,可能会使用名为“复合黑”的混和色彩来获得比只使用黑色碳粉更好的图像质量和更平滑的灰色调。 对于想要仅适用黑色碳粉打印图像的用户,许多 HP 彩色打印机为客户可配置的选项,使客户能够仅适用黑色碳粉进行打印。 例如,通过选择打印机驱动程序中的“灰度打印”,指定仅使用黑色碳粉进行打印。
双面打印 – 要在纸张双面进行打印,在将纸张打印面翻页时,纸张需要传输较长距离。 这会产生更多转动和碳粉盒机械损耗,导致碳粉盒使用寿命和页面打印量减少。
用户选项(打印模式和密度设置)- 用户还可以选择用多少碳粉来打印照片或文档。 打印机中提供了两个设置,一个关于打印模式,另一个则是密度设置。 一般来说,打印模式中,草稿模式的打印质量都较低,且使用的碳粉比默认普通模式要少。 密度设置可以从 1 调整到 5,默认值为 3。 设置的值越低,使用的碳粉量越少。 此外还有设备特定设置,详情请见相应的产品用户指南。
激光打印机频繁卡纸常规解决方法
如果频繁地出现卡纸现象,则尝试下列操作:
.检查所有卡纸位置。 在打印机中的某个位置可能卡住一片纸。
.检查是否将纸张正确装入纸盒,是否针对所装载纸张的尺寸对纸盒进行了正确的调整,以及是否将纸盒装得过满。 确信纸张在前、后标签的下方。
.检查是否将所有纸盒和纸张处理附件完全插入打印机。 (如果在进行打印作业过程中打开纸盒,则可能导致卡纸故障。)
.检查是否关闭了所有的盖和门。 (如果在进行打印作业过程中打开盖或门,则可能导致卡纸故障。)
.尝试打印到不同的出纸盒。
.多张纸可能正卡在一起。 尝试弯曲纸堆,将每张纸分离。 不要扇动纸堆。
.如果正在从纸盒 1 进行打印,则尝试一次填入较少纸张或较少信封。
.如果正在从信封进纸器进行打印,则确信正确装载了信封,并推动底部信封,使其比顶部信封稍远一些。
.如果正在进行小尺寸打印(例如索引卡),则确保将纸张在纸盒中正确定位。 在装入较窄的纸张时,确保首先将短边送入。
.翻转纸盒中的纸叠。 并且将纸张旋转 180 度。
.检查正在打印的纸张的质量。 不应使用已损坏或不规则的纸张。
.仅使用符合惠普规范的纸张。
.避免使用在打印机或复印机中已使用过的纸张。 (不要在信封、投影胶片或标签上进行双面打印。)
.检查为打印机供电的电源是否稳定并符合打印机规范。
.清洗打印机。
.进行打印机常规保养。
HP LaserJet 系列打印机 - 打印质量故障排除
1、背景呈灰色碳粉阴影
如果背景的碳粉阴影程度难以接受,则下述步骤可能对清除该状况有所帮助:
.提高密度设置。 这样将减少背景的着色量。
.把纸张的基本着色量改轻。
.检查打印机周围环境;非常干燥(低湿度)的环境会增加背景的阴影程度。
.安装新的硒鼓。
2、黑色水平线污秽掺杂
如果页面上的黑色水平线污秽掺杂,请按照以下故障排除步骤操作:
.硒鼓可能安装不当。 取下硒鼓并重新安装。
.感光磁鼓可能刮伤。 安装新的硒鼓(如果使用的是黑白打印机);安装新的成像磁鼓(如果使用的是彩色打印机)。
.打印机可能很脏。 有关清洁说明,请参阅打印机的 用户指南 。
.打印机的热熔组件可能需要更换。
.请确认纸张已正确装入打印机。 某些类型的纸张只能单面打印。
.请确认纸张是否符合 HP LaserJet 的纸张规格。
3、黑色垂直线污秽掺杂
如果页面上的黑色垂直线污秽掺杂,请按照以下故障排除步骤操作:
.感光磁鼓可能刮伤。 安装新的硒鼓(如果使用的是黑白打印机);安装新的成像磁鼓(如果使用的是彩色打印机)。
.打印机可能很脏。 有关清洁说明,请参阅打印机的 用户指南 。
4、空白页(所有作业均如此)
如果打印机只能打印出空白页,请按照以下故障排除步骤操作:
.硒鼓可能安装不当。 取下硒鼓并重新安装。
.硒鼓的碳粉可能已经用光。 更换硒鼓。
.如果更换硒鼓不能解决该问题,请联系惠普以获得服务。
5、空白页(偶尔如此)
如果偶尔打印出空白页,而不是全部打印作业,请按照以下故障排除步骤操作:
.页面尺寸的页长和页边距设置不正确。
.打印机可能存在多次送纸的现象。
.软件应用程序可能发送了多余的页面送出命令或作业分离命令。
6、页面下半部分空白
打印出来的页面底部空白,或者部分图片被截断。 打印作业可能过于复杂。 请按照以下故障排除步骤来缓解该问题:
.通过软件或打印驱动程序将分辨率降至 300 dpi,然后重新发送作业。
.增加惠普打印机的内存。 有关向打印机增加内存的信息,请参阅打印机的 用户指南 。
7、打印缺失
如果页面上随机出现褪色区域、普遍圆整或字符空缺(部分打印)现象,请按照以下故障排除步骤操作:
.由于周围湿度的原因,导致纸张的潮湿程度不均,或者纸张表面有潮湿斑点。 将纸张存储在防潮的容器中。 试试从纸盒中取出头几张纸,或使用另一批纸(如另一包纸),或者换另一品牌的纸。
.纸块损坏 制纸加工过程会导致某些区域无法着墨。 试用另一种品牌的纸。
.调整打印密度设置。
.硒鼓可能已经损坏。 更换硒鼓。
.在打印机上运行 Cleaning Utility。
注:
并非所有打印机都有 Cleaning Utility。 这些打印机通常具有内部引擎清洁页面,可通过按下 Engine Test 按钮或控制面板序列执行。 有关步骤,请参阅打印机的 用户指南 。 如果打印机支持硒鼓清洁程序,那么就不需要 Cleaning Utility。
从 (http://www.hp.com/) 上定位并下载 Cleaning Utility 文件。 欲定位该文件,有必要搜索对应的打印机下载页面。 打印出清洁页面的文本文件,以获得如何使用清洁页面的说明。 Cleaning Utility 也可以从驱动程序发行处定购;请参阅打印机的 用户指南 以获取电话号码。
8、整个页面打印成黑色
如果在整个页面上打印出一个黑色框,并覆盖了整个页面,请按照以下故障排除步骤进行操作:
.硒鼓可能安装不当。 取下硒鼓并重新安装。
.硒鼓可能已经损坏,或者可能不是惠普硒鼓。 更换新的惠普硒鼓。
.如果更换完硒鼓之后,问题仍然存在,请联系惠普以获得服务。
9、重影
重影是指某个物体或字母以相等的间距在页面长度方向上重复多次。 重复的图像相对于周围图像显示深浅不一。 在大型黑色图案之后紧跟高灰度图案时,常常发生这种状况。 出现这种状况是因为电子图像 (EP) 硒鼓表面还有残余电荷,或者显影区域缺少碳粉。 在使用 EP 处理的所有设备中,都会出现重影现象,且表现各异。 显影剂和 EP 硒鼓都会产生深色或浅色重影。
注:
而对于被认为是重影的重复图像,预印制好的笺头或表格的墨水不可能导致沿页面向下重复的图像。 笺头要求能够抵抗华氏 392 度(摄氏 200 度)的热熔器温度。
重影最常见的形式缘于一种称为显影剂缺乏的显影剂状态。 显影剂缺乏现象在以下情况下发生:打印第一幅图像需要大量碳粉,以至于显影剂没有足够的时间加入新碳粉,并且供墨打印。 显影剂缺乏将产生浅色重影。 请按照以下纠正步骤来减少图像重影现象:
.换一种图案。 避免使用百分之五十灰度的图案或“像素间隔”的图案。
.改变页面的布局,不在黑色区域后使用灰度图案。 如果可能的话,将深色图案变浅,浅色图案变深。 横向打印图像。
.使用打印密度和分辨率增强技术 (RET) 设置进行试验。
.在出现重影现象的页面前立刻打印一张全黑页面。 此黑色页面必须是同一打印作业的一部分,这样打印传动装置就不会在页面之间产生停顿。
.检查湿度和温度: 温度和湿度较低的时候会加重重影现象。 请确保打印机环境符合打印机 用户指南 中给出的要求。 由显影剂引起的浅色或深色重影很大程度上受环境条件的影响。
.以 300 点每英寸 (dpi) 进行打印。
处理重影问题时的注意事项:
发生浅色重影的大多数情况下,更改硒鼓无助于改善状况。 因为 EP 硒鼓或充电辊可能已经损坏,所以更换硒鼓或许能够纠正 EP 硒鼓导致的深色重影。
由于重影主要是 EP 处理过程的问题,因而大多数情况下更换 HP LaserJet 打印机组件和配件并不能解决该问题。
10、字符形状不正确或起伏不当
如果字符形状不正确,或产生空图像,请按照以下故障排除步骤操作:
.纸托可能太光滑。 如果字符形状不正确或者出现波浪效果,请换一张纸。
.激光扫描仪可能需要维护。 致电惠普以获得服务。
11、打印太浅或出现褪色
如果打印输出比正常情况浅,或者出现褪色现象,请按照以下故障排除步骤操作:
.打印自测页面。 如果页面打印过浅,请联系惠普以获得服务。
.提高碳粉密度设置。
.如果使用 Courier 字体,请将其设为 Dark Courier,并重新测试打印作业。
.尝试修改字体。 打印机之间的字体显示可能各不相同。
.用于黑色字体的打印设置可能打出彩色来。 将字体设置为打印黑色。
.硒鼓可能快用光。 来回摇晃硒鼓几次,使碳粉分布均匀,然后重新安装硒鼓。 可能有必要安装新的硒鼓。
.如果启用了 EconoMode,请将其关闭。
.通过软件或打印驱动程序将分辨率降至 300 dpi(总共 600 dpi),并重新发送作业。
.请确认硒鼓是打印机支持的新 HP LaserJet 硒鼓。 在有充足的供电将碳粉提取到硒鼓之前,大约需要打印五十份。 在对硒鼓的供电增加的同时,页面上的碳粉将逐渐变深。
12、不打印页面周边区域
如果页面边界出现不打印现象,请按照以下故障排除步骤操作:
.页边距可能设置不正确,请在应用程序的 Page Setup 中重新设置页边距。 大多数 HP LaserJet 系列打印机不能提供全出血版打印。
.减小图像尺寸,以使其符合页面打印区域。
.如果要打印减小后的页面,请将备份或打印设置的值调低。
13、打印扭曲
如果页面打印发生扭曲,请按照以下故障排除步骤操作:
.纸张输入盒可能太满。 从纸盒中取出多余的纸张。
.纸张导向器可能调整不正确。 重新定位纸张导向器。
.纸张可能不符合惠普规格,因而不能正确送纸。
14、“Print Text as Black”失败
在 PostScript 驱动程序中选择 Print Text as Black 选项后,某些 CorelDRAW 文档中的文字不能打印成黑色。 CorelDRAW 打印对话框上的 Miscellaneous 选项卡有一个 Print All Text in Black 选项。 选择该选项可以将文字打成黑色。
15、碳粉污迹
如果纸张的页首出现碳粉污迹现象,请按照以下故障排除步骤操作:
.纸张导向器很脏。 用无绒布擦拭纸张导向器。
.如果纸张上的碳粉松散或者可以轻易擦掉,则表明热熔器可能已经损坏。 更换热熔器组件。
16、碳粉斑点(背景呈散点分布)
如果碳粉斑点是在页面任意一面随机出现的黑点,请按照以下故障排除步骤操作:
.介质可能不符合惠普规格(例如,纸张太潮或太硬)。
.降低碳粉密度设置。 如果设置太高,就会出现斑点现象。
.在打印机上运行 Cleaning Utility。
注:
并非所有打印机都有 Cleaning Utility。 这些打印机通常具有内部引擎清洁页面,可通过按下 Engine Test 按钮或控制面板序列执行。 有关步骤,请参阅打印机的 用户指南 。 如果打印机支持硒鼓清洁程序,那么就不需要 Cleaning Utility。
从 http://www.hp.com/ 上定位并下载 Cleaning Utility 文件。 欲定位该文件,有必要搜索对应的打印机下载页面。 打印出清洁页面的文本文件,以获得如何使用清洁页面的说明。 Cleaning Utility 也可以从驱动程序发行处定购;请参阅打印机的 用户指南 以获取电话号码。
17、垂直褪色
如果页面上出现垂直的白色条纹或褪色区域,请按照以下故障排除步骤操作:
.碳粉供应不足。 通过重新摇匀硒鼓的碳粉有可能暂时延长硒鼓的寿命。 轻轻地左右摇动硒鼓,将碳粉重新摇匀。 如果此方法未能奏效,请更换硒鼓。
.打印密度调整得太浅;请将其调深。
.可能已启用了 EconoMode;请将其关闭。
.某些打印机内部的镜子可能需要清洁;有关清洁说明,请参阅打印机的 用户指南 。
.纸张可能不符合惠普的纸张规格(例如,太潮或太硬)。 换另一品牌的纸。
18、垂直重复瑕疵
如果在页面的打印面上以相等间距重复出现某些标记,请按照以下故障排除步骤操作:
.请确认纸张符合惠普的纸张规格。 非支持介质在连续打印时会产生碎片和残余物,或者损坏打印机组件。
.有关特定打印机型号中重复性缺陷的信息,请参阅打印机的 用户指南 。
19、白色垂直线
如果页面上出现白色垂直条纹,请参阅以下故障排除步骤操作:
.某些打印机的内镜可能需要清洁。 有关清洁说明,请参阅打印机的 用户指南 。
.某些打印机的扫描设备可能需要重新校准。 有关重新校准的说明,请参阅打印机的 用户指南 。
交换机基础ACL
ACL定义
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规
则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、
端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹
配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报
文通过。
目的
随着网络的飞速发展,网络安全和网络服务质量QoS(Quality of Service)问题日益
突出。
● 企业重要服务器资源被随意访问,企业机密信息容易泄露,造成安全隐患。
● Internet病毒肆意侵略企业内网,内网环境的安全性堪忧。
● 网络带宽被各类业务随意挤占,服务质量要求最高的语音、视频业务的带宽得不
到保障,造成用户体验差。
以上种种问题,都对正常的网络通信造成了很大的影响。因此,提高网络安全性服务
质量迫在眉睫。ACL就在这种情况下应运而生了。
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网
络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质
量的可靠性。
下图是一个典型的ACL应用组网场景。
某企业为保证财务数据安全,禁止研发部门访问财务服务器,但总裁办公室不受
限制。实现方式:
在Interface 1的入方向上部署ACL,禁止研发部门访问财务服务器的报文通过。
Interface 2上无需部署ACL,总裁办公室访问财务服务器的报文默认允许通过。
保护企业内网环境安全,防止Internet病毒入侵。实现方式:
在Interface 3的入方向上部署ACL,将病毒经常使用的端口予以封堵。
……………………
更多内容,请下载 华为ACL教程
交换机端口镜像
定义
镜像是指将指定源的报文复制一份到目的端口。指定源被称为镜像源,目的端口被称为观察端口,复制的报文被称为镜像报文。
镜像可以在不影响设备对原始报文正常处理的情况下,将其复制一份,并通过观察端口发送给监控设备,从而判断网络中运行的业务是否正常。
镜像端口和观察端口
如图1-1所示,原始报文经过的端口被称为镜像端口;连接监控设备的端口被称为观察端口,用于将镜像报文发送给监控设备。根据监控设备在网络中位置的不同,可以将观察端口分为三类。
本地观察端口:与监控设备直连的端口被称为本地观察端口。此时的镜像被称为本地镜像。
二层远程观察端口:通过二层网络与监控设备相连的端口被称为二层远程观察端口。此时的镜像被称为二层远程镜像。
三层远程观察端口:通过三层网络与监控设备相连的端口被称为三层远程观察端口。此时的镜像被称为三层远程镜像。仅S系列框式交换机支持三层远程镜像,更多信息可参见如何获取三层远程镜像(ERSPAN)插件和相关资料。
观察端口专门用于镜像报文的转发,因此不要在上面配置其他业务,防止镜像报文与其他业务的数据报文在观察端口上同时转发会互相影响。
在设备上应用镜像功能时,如果镜像过多,会占用较多的设备内部转发带宽,影响其他业务转发。另外,如果镜像端口的带宽大于观察端口的带宽,比如,镜像端口的带宽是1000Mbit/s,观察端口的带宽是100Mbit/s,会导致观察端口因带宽不足而不能及时转发全部的镜像报文,发生丢包。
镜像源
镜像源可以是:
端口:将指定端口接收或发送的报文复制到观察端口,此时的镜像被称为端口镜像。VLAN:将指定VLAN内所有活动接口接收的报文复制到观察端口,此时的镜像被称为VLAN镜像。
MAC地址:将指定VLAN内源MAC地址或目的MAC地址为指定MAC地址的报文复制到观察端口,此时的镜像被称为MAC镜像。
报文流:将符合指定规则的报文流复制到观察端口,此时的镜像被称为流镜像。
镜像方向
镜像方向是指将镜像端口指定方向的报文复制到观察端口,包括:
入方向:将镜像端口接收的报文复制到观察端口上。此时的镜像被称为入方向镜像。
出方向:将镜像端口发送的报文复制到观察端口上。此时的镜像被称为出方向镜像。
双向:将镜像端口接收和发送的报文都复制到观察端口上。
镜像原理描述
端口镜像
端口镜像是指将指定端口接收或发送的报文复制到观察端口。根据观察端口的不同,端口镜像分为本地端口镜像和二层远程端口镜像。
本地端口镜像
观察端口为本地观察端口的端口镜像,被称为本地端口镜像。如图所示,本地观察端口将镜像端口复制来的报文转发到与其直连的监控设备。
二层远程端口镜像
观察端口为二层远程观察端口的端口镜像,被称为二层远程端口镜像。如图所示,二层远程端口镜像中镜像报文的具体转发过程如下。
镜像端口将流经的原始报文复制到二层远程观察端口。
二层远程观察端口收到镜像端口复制过来的镜像报文,在原始报文VLAN标签(VLAN 10)外层再添加一层VLAN标签(VLAN 20),以便将镜像报文向中间二层网络转发。值得注意的是,这一步不需要通过端口加入VLAN来完成,是直接通过配置二层远程观察端口来实现的。
SwitchC在接收到二层远程观察端口发来的镜像报文后,就将镜像报文向监控设备转发。为了实现这一步,需要将中间二层设备(SwitchC)与二层远程观察端口、监控设备相连的端口加入VLAN 20,保证SwitchB、SwitchC与监控设备间能够二层通信。
二层远程镜像中,在二层远程观察端口与监控设备之间的二层网络中,需要预留一个VLAN专门用于转发镜像流量,如图1-3中的VLAN 20,该VLAN被称为二层远程镜像传输VLAN。
配置镜像的交换机与监控设备之间的二层网络中的所有中间设备必须创建并配置相应接口加入该VLAN,以保证镜像报文能够通过该VLAN被泛洪到监控设备。
必须在所有中间设备上关闭该VLAN的MAC地址学习功能。
该VLAN不能和原始报文所属VLAN相同。
VLAN镜像
VLAN镜像是指将指定VLAN接收的报文复制到观察端口。如图所示,通过VLAN镜像,交换机仅将来自VLAN 10的报文镜像到监控设备。同端口镜像类似,根据观察端口的不同,VLAN镜像也可以分为本地VLAN镜像和二层远程VLAN镜像。
交换机仅支持入方向VLAN镜像,即仅支持将指定VLAN接收的报文复制到观察端口。
二层远程VLAN镜像中,原始报文所属VLAN和中间二层网络用于转发镜像报文的二层远程镜像VLAN不能相同。
MAC镜像
MAC镜像是指将指定VLAN接收的源MAC地址或目的MAC地址为指定MAC地址的报文复制到观察端口。MAC镜像提供了一种更加精确的镜像方式,用户可以对网络中特定设备的报文进行监控。如图所示,通过MAC镜像,交换机仅将来自HostA的报文镜像到监控设备。同端口镜像类似,根据观察端口的不同,MAC镜像也可以分为本地MAC镜像和二层远程MAC镜像。
交换机仅支持将入方向MAC镜像,即仅支持将指定VLAN接收的源MAC地址或目的MAC地址为指定MAC地址的报文复制到观察端口。
二层远程MAC镜像中,原始报文所属VLAN和中间二层网络用于转发镜像报文的二层远程镜像VLAN不能相同。
流镜像
原理描述
流镜像是指将符合指定规则的报文流复制到观察端口。如图所示,镜像端口将匹配规则的业务流2复制到观察端口,然后观察端口再将复制的业务流2转发到监控设备。同端口镜像类似,根据观察端口的不同,流镜像也可以分为本地流镜像和二层远程流镜像。
流镜像中的规则
流镜像属于流行为的一种,在设备上应用时,实际是在全局、VLAN或者端口上应用了包含流镜像行为的流策略。流镜像中的规则有两种配置方式:基于MQC和基于ACL。
基于MQC方式:配置复杂,但是支持匹配的规则比基于ACL方式多,而且基于MQC方式的流镜像既支持入方向流镜像,也支持出方向流镜像。
基于ACL方式:配置简单,但是支持匹配的规则比基于MQC方式少,而且基于ACL方式的流镜像仅支持入方向流镜像。
值得注意的是,二层远程流镜像中,如果包含流镜像行为的流策略应用在VLAN上,该VLAN和中间二层网络用于转发镜像报文的二层远程镜像VLAN不能相同。
配置镜像
配置观察端口
背景信息
观察端口专门用于镜像报文的转发,因此不要在上面配置其他业务,防止镜像报文与其他业务的数据报文在观察端口上同时转发会互相影响。根据配置方式的不同,可以将观察端口分为两类:
单个观察端口
观察端口组:一般用于1:N镜像,既可以简化配置,还可以节约观察端口索引(一个观察端口组无论包含多少个端口,仅占用一个观察端口索引)。
操作步骤
以华为交换机为例
配置本地观察端口
配置二层远程观察端口
检查配置结果
# 执行命令display observe-port,查看观察端口的配置信息(以下显示信息仅为示例)。
配置镜像方式
操作步骤
检查配置结果
执行命令display port-mirroring,查看镜像的配置信息(以下显示信息仅为示例)。
删除镜像配置
背景信息
在使用完镜像功能之后,如果希望删除镜像配置,将观察端口恢复成正常的业务口,可以按照如下步骤进行操作。
删除镜像配置前,可以执行display port-mirroring命令和display current-configuration命令查看设备上的镜像配置,后续操作步骤仅提供具体的删除示例作为参考。
交换机的连接方式
交换机的连接主要有三种方式,级联方式、堆叠方式和集群方式。级联方式实现简单,只需一根普通的双绞线即可,节约成本而且基本不受距离的限制。而堆叠方式投资相对较大,且只能在很短的距离内连接,实现起来比较困难。集群连接方式,就是将多台互相连接(级联或堆叠)的交换机作为一台逻辑设备进行管理。
堆叠方式比级联方式具有更好的性能,信号不易衰竭,且通过堆叠方式,可以集中管理多台交换机,大大减化了管理工作量;如果实在需要采用级联,也最好选用Uplink端口的连接方式。因为这可以在最大程度上保证信号强度,如果是普通端口之间的连接,必定会使网络信号严重受损。
一、交换机级联
这是最常用的一种多台交换机连接方式,它通过交换机上的级联口(UpLink)进行连接。需要注意的是交换机不能无限制级联,超过一定数量的交换机进行级联,最终会引起广播风暴,导致网络性能严重下降。级联又分为使用普通端口级联和使用Uplink端口级联。
使用普通端口级联
所谓普通端口就是通过交换机的某一个常用端口(如RJ-45端口)进行连接。这时所用的连接双绞线要用反线,即是说双绞线的两端要跳线(第1-3与2-6线脚对调)。
使用Uplink端口级联
在所有交换机端口中,都会在旁边包含一个Uplink端口。此端口是专门为上行连接提供的,只需通过直通双绞线将该端口连接至其他交换机上除“Uplink端口”外的任意端口即可(注意,并不是Uplink端口的相互连接)。
二、交换机堆叠
此种连接方式主要应用在大型网络中对端口需求比较大的情况下。交换机的堆叠是扩展端口最快捷、最便利的方式,同时堆叠后的带宽是单一交换机端口速率的几十倍。但并不是所有的交换机都支持堆叠的,这取决于交换机的品牌、型号是否支持堆叠。它主要通过厂家提供的一条专用连接电缆,从一台交换机的“UP”堆叠端口直接连接到另一台交换机的“DOWN”堆叠端口。堆叠中的所有交换机可视为一个整体的交换机来进行管理。
采用堆叠方式的交换机要受到种类和相互距离的限制。首先实现堆叠的交换机必须是支持堆叠的;另外由于厂家提供的堆叠连接电缆一般都在1M左右,故只能在很近的距离内使用堆叠功能。
三、集群
所谓集群,就是将多台互相连接(级联或堆叠)的交换机作为一台逻辑设备进行管理。集群中,一般只有一台起管理作用的交换机,称为命令交换机,它可以管理若干台其它交换机。在网络中,这些交换机只需要占用一个IP地址(仅命令交换机需要)。在命令交换机统一管理下,集群中多台交换机协同工作,大大降低管理强度。
应当注意的是,不同厂家对集群有不同的实现方案,一般厂家都是采用专有协议实现集群的。这就决定了集群技术有其局限性。不同厂家的交换机可以级联,但不能集群。
交换机的级联、堆叠、集群这3种技术既有区别又有联系。级联和堆叠是实现集群的前提,集群是级联和堆叠的目的;级联和堆叠是基于硬件实现的;集群是基于软件实现的;级联和堆叠有时很相似(尤其是级联和虚拟堆叠),有时则差别很大(级联和真正的堆叠)。随着局域网和城域网的发展,上述三种技术必将得到越来越广泛的应用。
交换机层数和适用工作环境
按照OSI的七层网络模型,交换机可以分为二层交换机、三层交换机。根据交换机支持的协议,还有不常见的四层交换机和七层交换机。基于MAC地址工作的第二层交换机最为普遍,用于网络接入层和汇聚层。基于IP地址和协议进行交换的第三层交换机普遍应用于网络的核心层,也少量应用于汇聚层。部分第三层交换机也同时具有第四层交换功能,可以根据数据帧的协议端口信息进行目标端口判断。第四层以上的交换机称之为内容型交换机,主要用于互联网数据中心。
二层交换机
二层交换机工作在OSI模型的第2层(数据链路层),识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。因此,二层交换机需要强大的数据识别和转发能力。
三层交换机
三层交换机实质就是一种特殊的路由器,是一种在性能上侧重于交换而价格低廉的路由器。传统交换技术是在OSI网络标准模型第二层——数据链路层进行操作,而三层交换机是为IP设计的,接口类型简单,拥有很强二层包处理能力,它既可以工作在协议第三层替代或部分完成传统路由器的功能,同时又具有几乎第二层交换的速度,且价格相对便宜。
三层交换机最重要的目的是加快大型局域网内部的数据交换,做到一次路由,多次转发。当一个大型局域网按照功能或地域等因素划成一个个小局域网时,VLAN(Virtual Local Area Network虚拟局域网)技术在网络中得以大量应用,而各个不同VLAN间的通信都要经过路由器来完成转发。单纯使用路由器来实现不仅端口数量有限,而且路由速度较慢,从而限制了网络的规模和访问速度。
面向安全、高效和节能的设计理念,锐捷推出RG-S2910XS-E系列高效节能交换机 。作为二层交换机代表,它比同档产品节省功耗40%,拥有丰富多样的端口形态选择,全面支持SDN特性,实现全千兆接入和灵活扩展的万兆上行数据交互。RG-S2910XS-E系列的二层交换机同时配备数量不等的扩展槽位,可根据用户需要灵活扩展不同数量的万兆光口和电口,完全根据用户的使用场景量身定制专属的配置。
四层交换机
第四层交换的一个简单定义是:它是一种功能,它决定传输不仅仅依据MAC地址(第二层网桥)或源/目标IP地址(第三层路由),而且依据TCP/UDP(第四层) 应用端口号。第四层交换功能就象是虚IP,指向物理服务器。它所传输的业务服从各种各样的协议,有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上,需要复杂的载量平衡算法。
当某用户申请应用时,一个带有目标服务器组的VIP连接请求(例如一个TCP SYN包)发给服务器交换机。服务器交换机在组中选取最好的服务器,将终端地址中的VIP用实际服务器的IP取代,并将连接请求传给服务器。这样,同一区间所有的包由服务器交换机进行映射,在用户和同一服务器间进行传输。
ARP攻击防御基础
ARP协议本身存在缺陷,攻击者可以轻易地利用ARP协议的缺陷对其进行攻击。目前,网络中常见的ARP攻击方式包括ARP泛洪攻击,仿冒用户、仿冒网关攻击。
一、防御报文泛洪类攻击
1、攻击现象
攻击者向局域网发送大量目的IP地址无法解析的IP报文,导致网关需要反复解析这类目的IP地址,增加了CPU负担。攻击者向局域网发送大量ARP报文,导致网关的ARP表项被占满,无法学习合法的ARP表项。
2、防御措施
ARP源抑制
统计5秒内设备收到的源IP地址相同但目的IP地址不能解析的IP报文数目,超过指定阈值后,停止处理。本功能适用于源IP地址固定的攻击环境。
ARP黑洞路由
收到目的IP地址不能解析的IP报文,设备立即产生一条黑洞路由,并同时发起ARP主动探测。如果黑洞路由老化前,ARP解析成功,则删除黑洞路由,转发IP报文。
源MAC地址固定的ARP攻击检测
5秒内设备收到的同一源MAC地址的ARP报文的数目超过一定阈值时,则认为存在攻击。检测到攻击后,设备可以根据需要进行多种方式的处理,如打印日志信息、过滤攻击报文等。
ARP报文限速
对上送CPU的ARP报文进行限速,可以防止大量ARP报文对CPU进行冲击。
二、防御仿冒用户、仿冒网关攻击
1、仿冒网关攻击现象
攻击者发送错误的网关IP地址和MAC地址对应关系给合法客户端,导致合法客户端不能正常访问网关。
2、仿冒用户欺骗网关攻击现象
攻击者发送伪造的合法客户端的IP地址+MAC地址的对应关系给网关,导致网关无法与合法客户端正常通信。
3、仿冒用户欺骗用户攻击现象
攻击者发送伪造的合法客户端的IP地址+MAC地址的对应关系给其他合法客户端,导致两个客户端之间无法正常通信。
4、防御措施
ARP报文源MAC地址一致性检查
设备学习ARP表项时,如果发现ARP报文的以太网数据帧的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃。
ARP主动确认
设备在新建或更新ARP表项前,需要向ARP请求报文中的源IP地址发送ARP主动确认,防止学到错误的ARP表项。
授权ARP
设备只能学习与DHCP服务器或DHCP中继记录的用户表项一致的ARP报文。
ARP报文发送端IP地址检查
如果指定VLAN内的ARP报文的源IP地址不在指定源IP地址范围内,则认为是攻击报文,将其丢弃。
ARP自动扫描、固化
对局域网内的用户进行自动扫描,并将生成的动态ARP表项固化为静态ARP表项。建议环境稳定的小型网络(如网吧)中配置本功能。
ARP 双向分离
设备通过如下机制确保不会学到非法的ARP表项:收到ARP请求后,不会生成对应的ARP表项;发送ARP请求并收到ARP应答后,才会生成ARP表项;收到非本机的ARP请求对应的应答后,丢弃应答报文。
ARP网关保护
在设备上不与网关相连的接口上配置本功能,当ARP报文的源IP地址与配置的网关IP地址相同时,丢弃报文。
ARP过滤保护
本功能用来限制接口下允许通过的ARP报文。当ARP报文的源IP地址和源MAC地址与允许通过的IP地址和MAC地址不同时,丢弃报文。
ARP Detection
检查用户的合法性,ARP报文的有效性,丢弃非法的ARP报文。
配置策略
不同的ARP攻击防御功能需要部署在不同的网络节点上。
