病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 2020年回顾:这回病毒是真的Excel自带的条形码控件 »

华三交换机启用端口安全

  由于不可公开的原因,交换机接入一个外单位网络,但该网络中有一段的IP与自己网络冲突,就是说要把冲突的IP挡在外面,不让进来,但不能阻止正常的网络联系。这台交换机是H3C 5110,因为要与外单位网络通讯的是自己内网的几台特定电脑,它们同时也要用自己的内网,虽然设置VLAN比较好,这台电脑设置混合端口模式就行了,不过考虑到位置变动以及冲突IP段的干扰,因此仅设置VLAN与混合端口是不够的,当然我这次没有设置VLAN,只是启用了端口安全与访问控制列表。

  先用命令port-security enable启用端口安全,再进入要设置安全的端口,使用命令port-security port-mode secure,将端口安全应只用到该端口并设置端口安全的模式为secure,即不自动学习MAC,只有安全MAC与手工配置的MAC能通过,既然不自动学习,就要指定MAC,在该端口上绑定一个固定MAC:mac-address static mac vlan vlan-id,这是绑一个静态MAC地址,是该交换机连接的一台路由器的MAC地址,我只想知道它的MAC,其他的一律不进来。另,安全MAC有另外的命令:port-security mac-address security...,具体的就不多说了。

  然后就是设置ACL,只允许进来的流量与指定的几台电脑联系,设置permit目标地址就行,其余的统统deny。H3C的ACL,默认在最后没有deny all,只能手动加,否则不符合规则的最后都会被默认放行。最后是将ACL应用到指定端口上。5110不支持outbound方向,只能放在inound进入交换机方向。

  这样做完就行了,冲突网段的IP与MAC不会从设置的端口广播进来。如果仅设置ACL,虽然不能通讯,但冲突IP与MAC还是会广播进来,占据ARP表。另外,如果只设置端口学习MAC的最大数量为0和超过最大学习数量就禁止转发(mac-address max-mac-count 0和mac-address max-mac-count disable-forwarding),至少在5110上没有用,非法MAC与IP还是会广播进来,占据交换机的ARP表,前面这个最大学习数与端口安全的学习数是无关,当然我前面没有设置端口安全自动学习,而用secure模式限制。

  另外,黑洞MAC,这型号的交换机也是支持的,只是黑洞MAC也是丢弃目的地址是列表中的MAC,仍然会学习到黑洞列表中的MAC,所以也不合适。


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/2184.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog.

闽公网安备 35010202000133号