华为防火墙跨三层mac识别配置

已于 2022-01-29 21:44:30 修改
阅读量6.7k 收藏 5
点赞数 1
分类专栏: 路由交换配置 安全 文章标签: macos 华为 网络
于 2020-09-08 17:04:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WannaHaha/article/details/108471304
版权

防火墙配置安全策略后,一些应用从网络禁用,但是个别人需要访问这些被禁用的应用程序,该怎么办?

做允许策略,配置允许地址,将IP加到允许地址中,此IP就可以访问被禁用的应用程序。

但是,局域网如果是开启了DHCP,动态地址,哪该怎么办呢?

在允许地址中添加设备的mac地址,用mac地址代替ip

但是局域网一般都是三层,尤其是开启了DHCP的局域网,大家都知道二层是mac地址,三层是IP,显然三层交换机发给上层设备防火墙的是IP,并非mac;但是三层交换下接二层交换机,二层交换机将mac地址告诉了三层交换机,哪问题就在三层交换机怎么将mac地址告诉到防火墙呢?

跨三层mac识别

概念参考:USG6000 配置跨三层mac识别(web,命令行)

具体步骤:

一、三层交换配置snmp-agent

      

snmp-
了解本专栏 订阅专栏 解锁全文 超级会员免费看
刘林锋blog
关注
专栏目录
订阅专栏
华为防火墙做单臂路由_华为-VLAN间路由:VLANIF+单臂路由(子接口)-释然
weixin_39898380的博客
12-19 1178
华为-VLAN间路由:VLANIF+单臂路由(子接口)前言之前已经讲解过了思科交换机的VLAN间路由以及路由器与二层交换机组网的单播路由形式【子接口】,这次主要讲解华为上面的VLAN间路由的配置,以及单臂路由的组网方式。华为三层VLAN接口,就叫做VLANIF接口,思科的叫SVI。实验1-SVI拓扑这种拓扑比较主流的应用,就是用三层交换机来做VLAN间的路由,客户端在VLAN 10,而服务器在V...
华为USG夸三层交换机识别客户端MAC地址的配置方法
zjc801的专栏
01-25 6496
防火墙配置: system-view  [NGFW] snmp-server arp-syn enable  [NGFW] snmp-server target-host arp-sync address 10.10.90.7 community Public@123 v2c  [NGFW] snmp-server arp-sync interval 10 timeout 5
网络安全知识和华为防火墙
网安小菜鸡的博客
01-29 2983
一开始,我们FW1将 两个VRRP组都拉入VGMP_ACTIVE组中,因为ACTIVE组的状态时active,所以,里面 两个vrrp组的状态也是active(VGMP组的状态决定了VRRP组的状态),FW2同理。原主设备在接受到对方的应答报文之 后,因为将其VGMP组状态切换,所以,同时将其内部的VRRP组状态由原来的active状 态切换为standby状态(注意,故障接口依旧保持init的状态。“透明网线”--- 可以将两个接口绑定成接口对,流量从一个接口进,一定从另一个出去,不看MAC表。
三层MAC-SNMP AGENT模拟
06-27
1. 仿真交换机的SNMP AGENT,提供ARP的MIB查询; 2. 可对接网管/网安审计设备的三层获取MAC,如深信服AC11; 3. 该工具只是简单模拟SNMP交互,监控UDP端口161,最大节点数为10000; 4. 不排除某些UDP报文会触发异常;
避坑之:深信服AC三层MAC(核心交换机是锐捷S7808C_RGOS 11.0(4)B2P1)
最新发布
Qiq922的博客
08-29 1423
排障、避坑
snmp 工具_爱快路由对接三层交换机SNMP技术配置网络三层识别终端电脑MAC
weixin_39959482的博客
12-08 2269
爱快路由三层网络应用一、名词解释在三层设备的环境下,路由获取三层设备下的MAC地址一般为三层设备wan口的MAC地址。这种特性下,管理起来会很不方便。针对MAC的特性,推出的此功能,实现原理是通过SNMP服务,获取下面三层设备的内网信息(IP和MAC的对应关系)。通过snmp服务技术, 爱快路由就出了三层应用功能,来解决获取三层下的MAC地址及web认证问题。什么是SNMP技术?简介简单网络...
深信服AC三层mac的两种方法
qq_55707182的博客
03-09 5372
默认情况下,深信服上网行为管理不会获取到终端的mac地址,只会获取到IP地址,如下图。注意:其他厂商设备都可以先使用这两组OID尝试通过snmp获取arp表信息。通过端口镜像,在核心交换机和AC之间重新跳根线(找空闲接口即可)MAC OID对应的是交换机里面,MAC地址列表的OID值信息。IP OID对应的是交换机里面,IP地址列表的OID值信息。需要在核心交换机上配置以下命令开启SNMP。交换机配置端口镜像到和AC相连接的接口。有两种方式可以获取到终端mac地址。
华为防火墙相关知识
you_ranxi的博客
11-25 583
一、概念 1.安全区域:防火墙的不同接口划入不同区域,实现区域级别的隔离,每个区域是一个或者多个接口的集合,最后通过设置策略进行区域间的访问控制。 安全区域 Trust:85 非安全区域 UnTrust:5 非安全区域 DMZ:50 本身接口 Local:100 安全级别:数字越大,级别越高 2.按照工作模式划分: (1)路由模式:设备接口具有IP地址通过三层与外连接,需要改变网络拓扑 (2)透明...
snmp 获取防火墙mac_H3C SecPath F1000-C8102 防火墙 典型配置举例(E6471)-5W100
weixin_35662417的博客
12-31 1556
本文档介绍F1000-C8102设备三层MAC地址学习功能配置举例,设备通过SNMP读取三层交换机上的ARP表,获得内网所有PC的IP和MAC对应条目。本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。在配置前,需要做如下准备:·交换机上已开启SNMP代理功...
sx:快速强大易于使用的现代化网络扫描器
m0_59598029的博客
08-02 261
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
iptables限制MACIP绑定上网+Squid 透明代理How to
kepa520的博客
07-23 1097
实现功能: 1.iptables 防火墙 对外只打开指定端口 2.启用NAT带局域网上网功能 3.开启NAT 端口转发将80端口转发到内网机器 3.设定只允许可指定IP的和对应的MAC才可以上网 4.启用透明代理 将用户端的访问Web(80)转发到squid的8080 5.禁止用户在线听歌和看电影(通过游览器方式) 透过在squid中限制文件即可 系统及网络环境 1.系统为Re
s5700 用ensp 模拟 配置snmp v3 网管通信
tc_frank的专栏
04-03 2383
一、设备系统 网管linux(基本上用snmp协议都是为了做监控,一般都搭建在linux上,这里用的linux)如:192.168.1.8 s5700:192.168.1.189 二、配置s5700 1、snmp-agent #snmp-agent local-engineid 800007DB034C1FCCE98037 //缺省系统自动生成 缺省的意思默认不配 配置acl(可选,后面trap配置就不要写acl 2000) 下面可以不操作:acl number 2000 rule 1 per..
MAC地址找不到解决方案
weixin_40486955的博客
05-22 7893
打开网络图标,点击网络和共享中心 点击更改配适器选项 选择自己要 连接的网络右击打开属性 点击客户端配置后点击右上角配置 点击高级 找到网络连接地址 点击不存在后在按上诉步骤重新在不存在上边的值中输入自己的MAC 地址 ...
上网行为管理获取不到三层MAC问题,无法上网认证
weixin_42483249的博客
10-27 2407
1.故障背景 客户上网行为管理透明部署,客户需求采用WEB上网认证,网络拓扑如下 2.问题描述 在开启完WEB认证上网以后,发现有些人不用认证直接可以上网,经过排查发现所以用户IP地址对应了同一MAC地址,如下图 因为设备开启了无感知功能(可以根据已认证过的MAC,则后续无需认证直接上网),由于上网行为管理是二层透明部署,所以无法抓取三层核心交换机的MAC地址。 3.解决办法 通过核心三层交换机配置SNMP协议,把本...
【eNSP 华为模拟器】三层交换技术及操作步骤【图文】
qq_42327944的博客
01-17 8305
三层交换技术三层交换技术 三层交换技术 当三层设备接收到一个数据帧,会拆除原数据帧,重新封装新的源MAC地址和目标MAC地址,并且因为帧头部的信息发生变化,最后的帧校验CRC也应当随之改变。 在这个流中的多个数据包,其中只有第一个数据包是由三层交换机的三层引擎来处理的,处理的方式是软件方式,与路由器相同,三层引擎获取了新的2层封装信息后,路由这个数据包。 在第一个数据包转发完成后,在硬件中创建一个MLS条目用于后续的数据包由硬件执行的重新封装和快速转发。2层数据帧会被重新封装为需要转发的下一个网段的帧格式。
行为管理(全)
weixin_66781330的博客
07-10 1050
行为管理全笔记
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刘林锋blog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值