江蘇 孫秀洪

Q 眾所周知，在Windows 操作系統(tǒng)中，用戶可以通過修改系統(tǒng)注冊表的方法，調(diào)整telnet 功能默認(rèn)的端口號碼，請問在cisco路由器后臺系統(tǒng)中，有沒有辦法調(diào)整telnet 功能缺省的端口號碼？

答：答案是肯定的！用戶可以先以系統(tǒng)管理員權(quán)限登錄進(jìn)入cisco 路由器后臺系統(tǒng)，再將其切換到線路配置模式狀態(tài)，在該狀態(tài)下通過路由器后臺系統(tǒng)自帶的rotary 命令，就能隨意修改telnet 功能的端口號碼。例如，要將默認(rèn)的21 端口號碼修改成2222時(shí)，只要執(zhí)行“rotary 2222”命令就可以了；當(dāng)然，要想成功使用新的端口號碼，用戶還需要將路由器切換到全局配置模式狀態(tài)，在該狀態(tài)下通過ACL 禁止先前的缺省21 號端口，只要執(zhí)行“access-list 101 deny tcp any any eq 21”字符串命令即可。

Q Quidway S8500 路由交換機(jī)支持回路監(jiān)測功能，借助該功能可以快速定位網(wǎng)絡(luò)中的回路位置，可該功能有時(shí)不能隨意使用，不知是什么原因？

答：要是隨意使用這項(xiàng)功能，可能會對其他網(wǎng)段工作狀態(tài)造成影響。例如，要是交換機(jī)某端口工作在Trunk 模式，那么該端口下面要是包含了多個(gè)網(wǎng)段，此時(shí)如果隨意啟用回路監(jiān)測受控功能，那么只要一個(gè)網(wǎng)段中存在回路，那么其他網(wǎng)段的工作狀態(tài)都會受到影響。一般來說，匯聚層交換機(jī)某端口下面連接的交換機(jī)支持并啟用回路監(jiān)測功能時(shí)，那么就能將該端口設(shè)置成Trunk 模式，并且啟用回路監(jiān)測功能，不過要關(guān)閉回路監(jiān)測受控功能。如果下掛的交換機(jī)不支持回路監(jiān)測功能，可以啟用端口回路監(jiān)測功能，回路監(jiān)測受控功能也能同時(shí)運(yùn)行。

Q 為了便于管理寬帶路由器，不少管理員會啟用該設(shè)備的遠(yuǎn)程管理功能，但該功能缺省會用到80 端口，該端口很容易被黑客非法利用，不利于網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行。請問如何避免這種現(xiàn)象發(fā)生？

答：要想保護(hù)寬帶路由器遠(yuǎn)程管理安全，不妨將缺省的遠(yuǎn)程管理端口調(diào)整為陌生號碼，日后只有知道新端口的人，才能對路由器進(jìn)行遠(yuǎn)程管理。

比方說，要將TP-Link 無線路由器Web 管理端口調(diào)整為“3456”時(shí)，只要先進(jìn)入路由器后臺系統(tǒng)管理界面，依次展開“安全設(shè)置”、“遠(yuǎn)端Web管理”節(jié)點(diǎn)，在對應(yīng)節(jié)點(diǎn)下面，將“Web 管理端口”參數(shù)設(shè)置為“3456”。之后在“遠(yuǎn)端Web管理IP 地址”位置處，輸入可以對寬帶路由器進(jìn)行遠(yuǎn)程管理的計(jì)算機(jī)公網(wǎng)IP 地址，單擊“保存”按鈕執(zhí)行設(shè)置保存操作，最后重啟寬帶路由器設(shè)備，這樣日后只有在特定計(jì)算機(jī)上，并輸入新的端口號碼，才能對寬帶路由器進(jìn)行遠(yuǎn)程管理。

Q 大家知道，如果用戶在網(wǎng)絡(luò)中傳輸下載大容量信息時(shí)，那么網(wǎng)絡(luò)傳輸通道就很容易被堵塞。為避免網(wǎng)絡(luò)堵塞現(xiàn)象不斷發(fā)生，很多網(wǎng)管員都對H3C 路由交換機(jī)配置了流量控制功能，利用該功能及時(shí)將本地堵塞狀態(tài)報(bào)告給對方交換端口，希望對方暫時(shí)不要繼續(xù)向它發(fā)送數(shù)據(jù)信息，以防止堵塞現(xiàn)象更加嚴(yán)重。那么，流量控制功能該如何啟用呢？

答：流量控制功能只能在路由交換機(jī)的端口視圖模式下進(jìn)行，為此我們先要在交換機(jī)后臺系統(tǒng)，通過“systemview”命令進(jìn)入全局視圖模式，并執(zhí)行“interface g2/1/2”之類的命令進(jìn)入指定端口視圖狀態(tài)，在命令行狀態(tài)下輸入“flow-control”命令，端口流量控制功能就立即生效了。在默認(rèn)狀態(tài)下，H3C 路由交換機(jī)的所有交換端口并沒有開啟流量控制功能，我們必須依照實(shí)際需要來開啟該功能。日后要想暫時(shí)取消某個(gè)交換端口的流量控制功能時(shí)，只要在指定端口視圖狀態(tài)下，輸入“undo flow-control”命令即可。

Q 為了讓路由器按需工作，系統(tǒng)管理員一般都要對其進(jìn)行合適設(shè)置。可是在設(shè)置路由器后臺系統(tǒng)參數(shù)時(shí)，經(jīng)常會遇到無法登錄路由器后臺系統(tǒng)管理頁面的故障，遇到這種故障時(shí)該如何來進(jìn)行排查？

答：在初次登錄路由器后臺系統(tǒng)時(shí)，需要檢查客戶機(jī)與路由器之間的物理連接是否正常，客戶機(jī)的IP 地址是否和路由器LAN 口處于相同的一個(gè)網(wǎng)段。如果上述操作仍不能登錄路由器后臺系統(tǒng)，可以嘗試將路由器恢復(fù)為出廠設(shè)置。

要是用戶自行調(diào)整過路由器的管理端口，那么需要在IE 瀏覽器窗口的地址欄中輸入“http://路由器管理端口IP:具體號碼”，比方說輸入“http://192.168.1.1:8080”，才能登錄路由器后臺系統(tǒng)。倘若之前能成功登錄路由器后臺系統(tǒng)，現(xiàn)在不能登錄路由器，那很可能是他人調(diào)整過路由器的配置或缺省的80 端口遭遇攻擊，這時(shí)不妨重啟或復(fù)位路由器，調(diào)整路由器后臺系統(tǒng)的管理端口，換用別的登錄賬號和密碼。

在復(fù)位都無法解決問題的情況下，多半是路由器遭受了ARP 欺騙攻擊，建議認(rèn)真找出欺騙源、查殺病毒或?qū)⑵涓綦x。當(dāng)然，也有可能是IE 瀏覽器自身問題，例如瀏覽器啟用了代理功能后，就可能無法登錄路由器，這時(shí)不妨打開IE 瀏覽器窗口，依次點(diǎn)擊“工具”、“Internet 選項(xiàng)”命令，彈出Internet 選項(xiàng)設(shè)置對話框，點(diǎn)擊“連接”標(biāo)簽，在對應(yīng)標(biāo)簽頁面的“局域網(wǎng)設(shè)置”位置處，點(diǎn)擊“設(shè)置”按鈕，在其后界面中請確定“代理服務(wù)器”的“為LAN 使用代理服務(wù)器”選項(xiàng)處于取消選中狀態(tài)，如果已經(jīng)被勾選時(shí)，應(yīng)該立即取消。

Q 某網(wǎng)絡(luò)管理員嘗試從路由器后臺系統(tǒng)，使用ping 命令測試局域網(wǎng)中目標(biāo)主機(jī)的連通性時(shí)，發(fā)現(xiàn)該主機(jī)的IP 地址始終無法ping 通，不知道為何？

答：首先檢查目標(biāo)主機(jī)系統(tǒng)是否禁用了ping 命令測試功能，一旦該系統(tǒng)啟用了防火墻或者進(jìn)行了包過濾，那么路由器就可能無法ping 通該主機(jī)的IP 地址。在排除主機(jī)系統(tǒng)因素后，再檢查交換機(jī)的網(wǎng)絡(luò)配置是否正確；在確認(rèn)網(wǎng)絡(luò)配置正確的情況下，查看目標(biāo)主機(jī)與交換機(jī)相連端口究竟位于哪個(gè)VLAN，該VLAN 有沒有配置VLAN 接口參數(shù)，VLAN接口的IP 地址與目標(biāo)主機(jī)的IP 地址是否處于相同的工作子網(wǎng)。

在上述配置都正確的情況下，不妨打開交換機(jī)的ARP 調(diào)試開關(guān)，檢查交換機(jī)能不能正常發(fā)送或接收ARP 數(shù)據(jù)報(bào)文，要是發(fā)現(xiàn)交換機(jī)只能發(fā)送而無法接收ARP 數(shù)據(jù)報(bào)文時(shí)，那問題可能出在以太網(wǎng)物理層上。最后檢查路由器與交換機(jī)之間的連通性是否正常，如果不正常，那問題可能就出在交換機(jī)和路由器之間的鏈路中。

Q 某局域網(wǎng)共有80 多臺計(jì)算機(jī)，這些計(jì)算機(jī)分別連接到各個(gè)樓層交換機(jī)，再通過H3C S8500 系列路由交換機(jī)上網(wǎng)訪問。最近幾天，總有用戶在抱怨，說他們的計(jì)算機(jī)上網(wǎng)速度很慢，有時(shí)連簡單網(wǎng)頁都打不開，網(wǎng)管員懷疑有人悄悄在進(jìn)行BT 下載，請問如何準(zhǔn)確知道誰在悄悄下載，或者能有效控制用戶的下載操作？

答：只要在局域網(wǎng)中部署sniffer 這樣的監(jiān)控工具，通過這些監(jiān)控工具的數(shù)據(jù)流量視圖，就可以十分輕松地看到局域網(wǎng)中究竟哪臺計(jì)算機(jī)的數(shù)據(jù)流量比較大了，這些流量不正常的計(jì)算機(jī)，自然是有人在偷偷進(jìn)行BT 下載操作了。

當(dāng)然，由于這里的H3C S8500 系列路由交換機(jī)支持流量查看功能，我們可以在交換機(jī)后臺系統(tǒng)命令行狀態(tài)執(zhí)行“display dia”命令，查看核心交換機(jī)所有交換端口的流量變化狀態(tài)，這樣也能找到悄悄進(jìn)行BT 下載操作的計(jì)算機(jī)系統(tǒng)。如果想有效控制用戶的惡意下載行為，不妨利用聚生網(wǎng)管、超級網(wǎng)管、網(wǎng)路崗之類的專業(yè)工具，來對下載操作進(jìn)行嚴(yán)格控制。

Q 最近，筆者發(fā)現(xiàn)單位局域網(wǎng)核心路由交換機(jī)的VRRP 狀態(tài)頻繁轉(zhuǎn)換，不知道為什么會出現(xiàn)這種現(xiàn)象？

答：這種問題多半是備份組的定時(shí)器間隔時(shí)間設(shè)置比較短引起的，此時(shí)只要嘗試延長這個(gè)時(shí)間間隔，或者啟用搶占延遲，說不定就能避免VRRP 狀態(tài)頻繁轉(zhuǎn)換。

Q 為了保護(hù)思科路由器登錄安全，請問如何為不同登錄方式啟用復(fù)雜登錄密碼？

答：思科路由器同時(shí)支持多種設(shè)備登錄方式，比方說VTY（Telnet）、Console、AUX 等，只有為這些登錄方式啟用復(fù)雜登錄密碼，才能保證設(shè)備的安全穩(wěn)定運(yùn)行。VTY（Telnet）、Console、AUX 等登錄方式，都屬于行模式的接口，要為這些登錄方式設(shè)置密碼，需要先以特權(quán)身份登錄路由器后臺系統(tǒng)，在特權(quán)模式狀態(tài)下使用“service passwordencryption”命令，強(qiáng)制對明文密碼內(nèi)容執(zhí)行加密操作。之后使用“l(fā)ine console 0”命令，進(jìn)入Console 登錄方式的行模式狀態(tài)，開始進(jìn)行登錄認(rèn)證配置，再依次執(zhí)行“Password)(*&po541276”、“l(fā)ogin”命令，將Console 登錄認(rèn)證密碼設(shè)置為十分復(fù)雜的“)(*&po541276”內(nèi)容。最后輸入“exit”命令，退出Console 登錄方式的行模式狀態(tài)，結(jié)束該方式的認(rèn)證密碼設(shè)置操作。

要配置VTY（Telnet）登錄方式的認(rèn)證密碼時(shí)，也是在特權(quán)模式狀態(tài)下，使用“Line vty 0 10”命令，進(jìn)入Telnet遠(yuǎn)程登錄方式的行模式狀態(tài)，開始進(jìn)行登錄認(rèn)證配置，這里的“10”表示同時(shí)啟用10 個(gè)虛擬登錄接口，說明同時(shí)允許有10 個(gè)用戶通過Telnet 方式登錄到這臺路由器。之后依次執(zhí)行“Password)(*&po541276”、“l(fā)ogin”、“exit”命 令，將Telnet 方式登錄密碼設(shè)置為“)(*&po541276”，同時(shí)退出Telnet 登錄方式的行模式狀態(tài)。再按照同樣方法，為AUX方式設(shè)置好合適的登錄認(rèn)證密碼。

Q 在嘗試建立Quidway S8500 路由交換機(jī)BGP 鄰居關(guān)系時(shí)，有時(shí)無法切換到Established 狀態(tài)，這樣就不能成功建立鄰居關(guān)系，這是什么原因呢？

答：一般來說，要成功建立BGP 鄰居關(guān)系，需要路由交換機(jī)能正確交換open 數(shù)據(jù)報(bào)文，以及開通179 端口創(chuàng)建TCP 會話。為此，需要進(jìn)行下面幾項(xiàng)排查操作：一是借助ping 命令測試tcp 連接狀態(tài)是否正常，考慮到一臺路由器可能有若干接口可以達(dá)到對端，可以通過拓展的“ping -a ip 地址”命令指定發(fā)送ping 測試包的源IP 地址；二是檢查peer ebgpmax-hop 功能是否配置啟用，確認(rèn)物理連接上是否有直接連接的EBGP 鄰居；三是通過display ip routing-table命令判斷本地路由表中有沒有到鄰居的可用路由；四是檢查鄰居的IP 地址、AS 號等參數(shù)配置是否正確；五是檢查ACL中有沒有對TCP179 端口進(jìn)行限制，如果限制存在的話，必須及時(shí)予以解除。

Q Quidway S8500 路由交換機(jī)可以同時(shí)插入若干塊板卡，每塊板卡可以負(fù)載24 個(gè)光端口，每個(gè)端口的狀態(tài)都會影響板卡工作狀態(tài)，如果光端口輸入、輸出請求比較多，板卡就要耗費(fèi)更多CPU 資源應(yīng)付這些請求，如果CPU 資源消耗嚴(yán)重時(shí)，整塊板卡都可能無法工作。請問，如何判斷板卡的工作狀態(tài)是否正常？

答：為了及時(shí)了解板卡工作狀態(tài)，只要對它們的CPU 資源使用情況進(jìn)行監(jiān)控，要是發(fā)現(xiàn)CPU 消耗率在50%以上時(shí)，就要排查板卡上每個(gè)光端口的流量狀態(tài)是否正常了，直到找出不正常的端口，同時(shí)執(zhí)行“shutdown”命令關(guān)閉端口工作狀態(tài)。在查看板卡CPU 資源消耗情況時(shí)，可以先將交換機(jī)系統(tǒng)切換到全局視圖模式狀態(tài)，通過“display cpu”命令，就能發(fā)現(xiàn)板卡最近五秒鐘、最近一分鐘、最近五分鐘的CPU 資源消耗情況了。除了CPU 消耗情況會影響板卡狀態(tài)，板卡溫度也會對其工作狀態(tài)產(chǎn)生影響，要是交換機(jī)散熱不良的話，那么板卡溫度將會持續(xù)上升，同時(shí)溫度的不斷攀升，會影響路由交換機(jī)的響應(yīng)能力，嚴(yán)重時(shí)能造成交換機(jī)發(fā)生死機(jī)現(xiàn)象。所以，通過“display en”命令查看板卡溫度，也能判斷網(wǎng)卡的工作狀態(tài)是否正常。

Q 在規(guī)模大一些的局域網(wǎng)中，不少網(wǎng)管員會將Quidway S8500 核心路由交換機(jī)的DHCP中繼代理功能配置啟用起來，同時(shí)結(jié)合DHCP 服務(wù)器，為客戶機(jī)提供IP 地址分配服務(wù)。然而，核心路由交換機(jī)的DHCP 中繼代理狀態(tài)，會對客戶機(jī)的網(wǎng)絡(luò)連接狀態(tài)造成影響；不少客戶機(jī)不能獲取動(dòng)態(tài)IP 地址，都是因?yàn)镈HCP 中繼代理狀態(tài)不正常造成的。那么日后當(dāng)再次遇到客戶機(jī)無法上網(wǎng)現(xiàn)象時(shí)，該怎樣來判斷核心交換機(jī)的中繼狀態(tài)正常呢？

答：先進(jìn)入Quidway S8500核心路由交換機(jī)后臺系統(tǒng)全局視圖模式狀態(tài)，輸入字符串命 令“display dhcp-server GroupNo”，檢查指定的DHCP 服務(wù)器是否有效，也就是說，這里指向的DHCP 服務(wù)器地址與局域網(wǎng)中真實(shí)有效的DHCP 服務(wù)器地址是否相同，要是不相同的話，一定要重新修改過來。而且，從該命令返回的結(jié)果中，我們還能識別交換端口接收報(bào)文的狀態(tài)；一旦看到交換機(jī)只能接收discover 報(bào)文，而無法接收響應(yīng)報(bào)文，那就說明局域網(wǎng)中的指定DHCP 服務(wù)器不能正常向交換機(jī)發(fā)送報(bào)文，此時(shí)應(yīng)該認(rèn)真檢查DHCP 服務(wù)器的工作狀態(tài)是否正常。在DHCP服務(wù)器狀態(tài)正常時(shí)，嘗試在其中通過ping 命令測試無法上網(wǎng)客戶機(jī)所在Vlan 的IP 地址，以便識別DHCP 服務(wù)器能否找到指定客戶機(jī)所在網(wǎng)段的路由，要是無法找到的話，那可能是DHCP 服務(wù)器的網(wǎng)關(guān)地址沒有配置好，此時(shí)只要將該網(wǎng)關(guān)地址配置為客戶機(jī)所在Vlan接口的IP 地址就能解決問題了。

Q 在H3C 路由交換機(jī)開啟了DHCP 中繼功能的情況下，局域網(wǎng)的DHCP 服務(wù)器與普通客戶端系統(tǒng)位于相同的工作網(wǎng)段，但是普通客戶端系統(tǒng)始終不能獲取有效的上網(wǎng)地址，不知道該怎么解決？

答：出現(xiàn)上述故障，多半是網(wǎng)絡(luò)連接不通暢、DHCP 服務(wù)未開啟、DHCP 服務(wù)器沒有對地址池參數(shù)進(jìn)行正確配置等因素引起的。此時(shí)，可以借助專業(yè)線纜測試工具判斷網(wǎng)絡(luò)線纜的連通性是否正常，在網(wǎng)絡(luò)通暢的情況下，進(jìn)入交換機(jī)后臺系統(tǒng)視圖界面，在該狀態(tài)下執(zhí)行“dhcp enable”命令，開啟DHCP 服務(wù)。之后，正確配置包含或與接收接口IP 地址在相同網(wǎng)段的地址池，以及正確配置與接口IP 地址網(wǎng)段相同的地址池網(wǎng)段。如果上述配置都正常的情況下，可以使用“display dhcp server expired all”命令判斷地址有沒有存在過期租約現(xiàn)象，要是存在的話，可以執(zhí)行“reset dhcp server ip-in-use”命令，將那些過期租約成功刪除掉。要是還無法解決問題時(shí)，可以嘗試擴(kuò)大配置的地址池網(wǎng)段，確保有足夠的地址可以分配利用。

Q ARP 病毒攻擊現(xiàn)象在網(wǎng)絡(luò)中經(jīng)常發(fā)生，每次發(fā)生病毒攻擊現(xiàn)象后，華三系列路由交換機(jī)幾乎都能將病毒造成的地址沖突記錄保存下來，那么日后依照沖突記錄，能快速定位具體染毒的客戶機(jī)嗎？

答：很簡單！先在后臺系統(tǒng)全局模式狀態(tài)下執(zhí)行“dis logbuff”命令，查看系統(tǒng)日志信息，找到地址沖突記錄，記下染毒的客戶機(jī)MAC 地址，以及它所處的VLAN；依照VLAN 內(nèi)容，查找局域網(wǎng)組網(wǎng)資料，得到客戶機(jī)所連交換機(jī)IP 地址；遠(yuǎn)程登錄接入交換機(jī)后臺系統(tǒng)，通過“disp mac-address”命令，來獲取對應(yīng)交換端口與MAC 地址映射記錄，依照病毒主機(jī)MAC 地址，找到病毒主機(jī)所連的交換端口；進(jìn)入特定交換端口視圖模式狀態(tài)，利用“shutdown”命令，斷開客戶機(jī)與局域網(wǎng)的連接，避免ARP 病毒繼續(xù)攻擊局域網(wǎng)；之后在交換端口查看線纜上的標(biāo)簽說明，或者順著線纜，找到染毒的客戶機(jī)；借助專業(yè)工具將ARP病毒查殺干凈，再將客戶機(jī)重新接入局域網(wǎng)即可。

Q 局域網(wǎng)中的客戶機(jī)無法上網(wǎng)訪問時(shí)，網(wǎng)管員利用“display vrrp”命令觀察H3C路由交換機(jī)VRRP 備份組中每個(gè)路由器工作狀態(tài)時(shí)，竟然看到有若干個(gè)VRRP 路由器同時(shí)工作于Master 狀態(tài)，不知道該如何解決？

答：出現(xiàn)這種問題時(shí)，可以按照下面的順序進(jìn)行逐一排查：首先查看每個(gè)路由器VRRP配置是否相同，重點(diǎn)檢查它們的認(rèn)證字內(nèi)容、認(rèn)證方式、VRRP報(bào)文廣播間隔時(shí)間、虛擬IP 地址等參數(shù)是否相同，如果發(fā)現(xiàn)不相同時(shí)，應(yīng)該及時(shí)將它們修改過來，因?yàn)閂RRP 要求組成備份組的所有路由器參數(shù)配置必須相同。

其次查看通信端口的互通性，看看每個(gè)路由器相互連接端口有沒有工作在up 狀態(tài)。在進(jìn)行檢查操作時(shí)，重點(diǎn)看看互連端口的配置參數(shù)，要是端口屬于trunk 或hybrid類型，要檢查它們的PVID 是否相同，有沒有對VRRP 備份組所在VLAN 放行，各個(gè)端口有沒有配置啟用802.1x 等協(xié)議，同時(shí)看看它們有沒有由于LACP、STP、Smart-link、RRPP 等協(xié)議而阻塞，再利用“display interface”命令觀察連接端口有沒有大量錯(cuò)誤的數(shù)據(jù)報(bào)文存在。

第三查看VRRP 數(shù)據(jù)報(bào)文的收發(fā)狀態(tài)，開啟VRRP 調(diào)試開關(guān)功能，判斷VRRP 數(shù)據(jù)報(bào)文的收發(fā)狀態(tài)是否正常，要是無法看到VRRP 數(shù)據(jù)報(bào)文調(diào)試信息時(shí)，不妨開啟IP 數(shù)據(jù)報(bào)文調(diào)試功能進(jìn)行查看。

第四查看路由交換機(jī)后臺系統(tǒng)CPU 的占用情況，在命令行狀態(tài)執(zhí)行命令“display cpu-usage”，看看VRRP 數(shù)據(jù)報(bào)文互通的板卡和主板卡CPU消耗率是否超過90%，執(zhí)行命令“display interface”看看端口數(shù)據(jù)流量是否正常，以判斷網(wǎng)絡(luò)中有沒有廣播風(fēng)暴現(xiàn)象存在。一旦發(fā)現(xiàn)網(wǎng)絡(luò)風(fēng)暴現(xiàn)象存在，那么VRRP 數(shù)據(jù)報(bào)文將不能正常傳輸給系統(tǒng)CPU 處理，VRRP 狀態(tài)自然就不正常了。

Q 不少黑客往往會向局域網(wǎng)中發(fā)送虛假的TC-BPDU 報(bào)文，對核心路由交換機(jī)實(shí)施欺騙攻擊，要是核心路由交換機(jī)在短時(shí)間內(nèi)接受到太多的TC-BPDU報(bào)文，那么系統(tǒng)就會頻繁刪除MAC 地址列表或ARP 列表操作，這樣的操作很容易造成交換機(jī)反應(yīng)遲鈍現(xiàn)象，請問如何預(yù)防這種欺騙攻擊？

答：可以配置啟用核心路由交換機(jī)自帶的預(yù)防TC-BPDU報(bào)文攻擊保護(hù)功能，當(dāng)配置了這項(xiàng)功能后，交換機(jī)日后接受到TC-BPDU 報(bào)文，缺省每隔10秒鐘刪除一次MAC 地址列表或ARP 列表，避免了頻繁刪除操作消耗太多的系統(tǒng)資源，同時(shí)在這段時(shí)間內(nèi)，預(yù)防TC-BPDU報(bào)文攻擊保護(hù)功能還會同時(shí)監(jiān)控交換機(jī)是否接受到其他TCBPDU 報(bào)文，要是接受到的話，就會強(qiáng)制后臺系統(tǒng)在指定時(shí)間段后，再刪除一次ARP 列表記錄和MAC 地址列表記錄，確保刪除操作不會太頻繁。在配置這項(xiàng)功能時(shí)，可以在系統(tǒng)全局模式狀態(tài)下，輸入“stp tcprotection enable”命令即可。

Q 有時(shí)候，無法查看到Quidway S8500 路由交換機(jī)ospf 的鄰接狀態(tài)，不知道是什么原因？

答：要是命令的輸出中看不到鄰接狀態(tài)，那么就證明連接有問題或ACL 配置不當(dāng)。此時(shí)，可以使用display interface 命令，確認(rèn)交換端口是否up，line protocol 是否up，如果不正確的話，那就證明網(wǎng)絡(luò)鏈路有問題。

使用ping 命令檢查能否ping 通鄰居路由交換機(jī)的接口；要是能ping 通的話，需要使用display ospf interface命令檢查是否所有的鄰居路由器對應(yīng)接口上的ospf 功能是否都啟用了，檢查端口有沒有被設(shè)置成passive 接口，因?yàn)樵趏spf passive 接口上不會發(fā)送hello 包。當(dāng)然，還要對路由交換機(jī)的ACL 配置進(jìn)行檢查。