H3C S3110-26TP-SI端口MAC绑定和HDCP Snooping

最新推荐文章于 2023-11-22 10:29:39 发布
最新推荐文章于 2023-11-22 10:29:39 发布
阅读量1.9k 收藏 5
点赞数
分类专栏: 网络运维 文章标签: H3C S3100 dhcp snooping mac
本文为博主原创文章,未经博主允许不得转载。如有疑问,请在该文章中留言联系博主,谢谢!!
本文链接:https://blog.csdn.net/tladagio/article/details/85260755
版权

一、组网需求

1、要求接入交换机端口限制MAC地址学习数量,超过设置数量就会触发入侵检测,然后执行入侵检测的安全动作。

2、要求接入交换机的端口不接受非信任的DHCP服务器下发的IP。

二、配置MAC

1、端口最多只能接入一台设备,如果超过两个MAC自动关闭端口,需要手动删除学习记录并开启端口

[SW36]display  version 
H3C S3110-26TP-SI

[SW36]port-security  enable
[SW36]interface  Ethernet 1/0/1
[SW36-Ethernet1/0/1]port-security max-mac-count 1
[SW36-Ethernet1/0/1]port-security port-mode autolearn
[SW36-Ethernet1/0/1]port-security intrusion-mode disableport
[SW36-Ethernet1/0/1]quit

说明:

操作命令说明
使能端口安全功能port-security enable缺省情况下,端口安全功能处于关闭状态
配置端口安全允许的最大MAC地址数port-security max-mac-count count-value

缺省情况下,最大MAC地址数不受限制

配置入侵检测特性port-security intrusion-mode { blockmac | disableport | disableport-temporarily }缺省情况下,不进行入侵检测处理

控制autoLearn模式下端口能够添加的最大安全MAC地址数

入侵检测特性:

当设备检测到一个非法的用户通过端口试图访问网络时,该特性用于配置设备可能对其采取的安全措施,包括以下三种方式:
blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常。
disableport:表示将收到非法报文的端口永久关闭。
disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport命令配置。

2、查看确认,会看到端口记录一条MAC与端口绑定信息

[SW36-Ethernet1/0/1]dis this
#
interface Ethernet1/0/1
 port access vlan 3
 port-security max-mac-count 1
 port-security port-mode autolearn
 port-security intrusion-mode disableport
 port-security mac-address security sticky 9829-a60a-76df vlan 3

3、接入新设备触发入侵检测,端口down

[SW36]display  logbuffer
SW36 PORTSEC/5/PORTSEC_VIOLATION: -IfName=Ethernet1/0/1-MACAddr=98:29:A6:0A:76:FD-VlanId=-3-IfStatus=Down; Intrusion detected.

[SW36]display  interface  brief  down 
The brief information of interface(s) under bridge mode:
Link: ADM - administratively down; Stby - standby
Interface            Link Cause
Eth1/0/1             DOWN  Port Security Disabled
Eth1/0/2             DOWN Not connected

三、配置DHCP Snooping

1、开启dhcp-snooping

[SW36]dhcp-snooping
[SW36-GigabitEthernet1/0/25]dhcp-snooping trust

说明:

操作命令说明
使能DHCP Snooping功能dhcp-snooping缺省情况下,DHCP Snooping功能处于关闭状态
配置端口为信任端口,并记录客户端IP地址和MAC地址的绑定关系dhcp-snooping trust缺省情况下,在使能DHCP Snooping功能后,设备的所有端口均为不信任端口

2、查看

[SW36]display  dhcp-snooping 
 DHCP Snooping is enabled.
 The client binding table for all untrusted ports.
 Type : D--Dynamic , S--Static , R--Recovering
 Type IP Address      MAC Address    Lease        VLAN SVLAN Interface
 ==== =============== ============== ============ ==== ===== =================
 D    192.168.3.69    9829-a60a-76df 171725       3    N/A   Eth1/0/1

 

 

友人a笔记
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
H3C ISIS实验大集合(IPv4)
07-19 1102
实验目录: 1.实现多区域多level之间的通信 2.路由渗透 3.default-route-advertise 命令用来设置默认路由器 4.配置IS-IS链路度量值 5.配置isis路由的优先级 6.配置接口网络类型 7.配置IS-IS引入外部路由 8.配置IS-IS最大等价路由条数 9.配置IS-IS路由聚合(路由汇总) 10.禁止接口发送和接收IS-IS...
H3C_S3100_交换机配置步骤
08-13
H3C_S3100_交换机配置步骤,此信息仅供参考
如何通过DHCP Snooping配置来实现IP+MAC+端口绑定功能
weixin_34101784的博客
12-02 832
如何通过配置来实现IP+MAC+端口绑定功能通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能。 配置思想是先在VLAN下配置的静态绑定表,静态绑定表的IP和MAC为PC的IP和MAC。然后在与PC相连的S-swich接口上配置IP和ARP报文检查功能。 例如配置IP地址10.1.1.1,MAC地址0002-0002-0002和接口Ethernet...
华三交换机端口绑定
weixin_48243774的博客
02-27 4712
ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405(这里写需要绑定终端的ip+mac)interface gigabitethernet 1/0/2(这里写对应的端口)port access vlan 400(这里写对应的vlan)显示IPv4静态绑定表项,可以看出以上配置成功。手动设置端口绑定mac
路由器重温——DHCP/DNS服务配置管理-3
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
11-18 1660
DHCP Snooping基础 DHCP Snooping是一种DHCP安全技术,能够有效防止网络中仿冒DHCP服务器的攻击,保证客户端从合法的服务器获取IP地址,能够记录DHCP客户端IP地址与MAC地址等参数的对应关系进而生成绑定表。 一、DHCPSnooping概述 常见DHCP攻击:DHCP服务器仿冒者攻击、DHCP服务器拒绝服务攻击、仿冒DHCP报文攻击等。DHCPSnooping用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应.
H3C交换机在地址池下如何进行IP和MAC地址绑定
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
06-28 8662
MAC地址为0000-e03f-0305的PC机与IP地址10.1.1.1绑定,掩码为255.255.255.0。将MAC地址为0000-e03f-0305的PC机与IP地址10.1.1.1绑定,掩码为255.255.255.0。H3C交换机在地址池下如何进行IP和MAC地址绑定
CS5802 HDMI2.0b到Type-C转换器控制芯片规格书
最新发布
04-16
- **HDCP 支持**:支持HDCP 1.4和HDCP 2.3加密协议,并且芯片内部预置了密钥,确保内容的安全性。 - **色彩深度**:支持6/8/10位每颜色通道的RGB和YCbCr 4:4:4、4:2:2色彩格式。 - **AUX 通道与 I2C 接口**:内置AUX...
魔百盒CM201-2-CH-Hi3798MV300-300H-EMMC和NAND通刷
03-21
【魔百盒CM201-2-CH-Hi3798MV300-300H-EMMC和NAND通刷】是指针对魔百盒CM201-2型号,采用Hi3798MV300芯片的电视盒子进行固件更新,该过程可以适用于两种存储类型:EMMC(嵌入式多媒体卡)和NAND闪存。这个过程通常是...
HDCP_Specification-Rev1.3-for-HDMI.rar_HDCP specification_HDMI_H
09-23
标题中的“HDCP_Specification-Rev1.3-for-HDMI.rar”指的是高清数字内容保护(High-bandwidth Digital Content Protection, HDCP)的规格文档,版本为1.3,适用于高清晰度多媒体接口(High-Definition Multimedia ...
超高速接口全面支持8K与USB Type-C标准
01-20
基于VESA DisplayPort标准的SlimPort能够使智能手机和平板电脑将高清音视频从micro-USB端口输出到HDMI、VGA、DisplayPort或DVI电视、投影仪和监视器。这样,移动设备用户就可在任何尺寸的显示屏上欣赏影院品质的高清...
DHCP Snooping简介
m0_73258133的博客
11-22 691
DHCP SnoopingDHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
限制计算机通讯端口mac绑定,h3c交换机ip和mac绑定配置教程
weixin_36346970的博客
07-27 1万+
h3c交换机ip和mac绑定配置教程首先登录交换机,进入管理状态System-View第一种情况:1个端口只有一台电脑如何绑定如:某台电脑的IP:10.119.100.1 MAC:00-1A-4D-1E-39-8D 要把此电脑绑定到交换机的24号端口操作如下:interface GigabitEthernet 1/0/24 首先进入24端口am user-bind mac-addr 001...
H3C S3100V2端口安全配置
友人A的博客
06-03 5448
一、端口安全简介 端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。 端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络...
ENSP:DHCP全局+动态IP与MAC绑定
weixin_45921302的博客
11-20 4732
DHCP全局+动态IP与MAC绑定
dhcp snooping华为_华为交换机DHCP snooping
weixin_30781905的博客
02-15 2169
配置思路1.使能DHCP Snooping功能。2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址。3.使能ARP与DHCPSnooping的联动功能,保证DHCP用户在异常下线时实时更新绑定表。4.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能,以防止非DHCP用户攻击。5.使能对DHCP报文进行绑定表匹配检查的功能,防止仿冒DHCP报文攻击。6.配置DHCP报...
【HUAWEI&H3C】对比华为和华三的DHCP Relay和DHCP Snooping配置
u012468770的博客
01-09 1324
原理 DHCP 饿死攻击 DHCP饿死攻击是指攻击者伪造chaddr字段各不相同的DHCP请求报文,向DHCP服务器申请大量的IP地址,导致DHCP服务器地址池中的地址耗尽,无法为合法的DHCP客户端分配IP地址,或导致DHCP服务器消耗过多的系统资源,无法处理正常业务。 如果封装DHCP请求报文的数据帧的源MAC地址各不相同,则通过mac-address max-mac-count命令限制...
华为交换机基本配置命令详解
热门推荐
忘川的博客
12-01 2万+
文章目录华为交换机基本配置命令详解1、配置文件相关命令2、基本配置3、telnet配置4、端口配置5、链路聚合配置6、端口镜像7、VLAN配置8、STP配置9、MAC地址表的操作10、GVRP配置11、DLDP配置12、端口隔离配置13、端口安全配置14、端口绑定配置15、BFD配置16、QinQ配置 华为交换机基本配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-
H3C S3110的IP Source Grande与DHCP Snooping配合绑定
友人A的博客
02-18 2485
一、概述 通过在设备接入用户侧的端口上启用IP Source Guard功能,可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。 IP Source Guard在端口上用于过滤报文的特征项包括:源IP地址、源MAC地址。这些特征项可单独或组合起来与端口进行绑定,形成绑定表项,具体包括:IP、MAC、...
2、H3C交换机端口安全
bcgv58659的博客
08-13 2266
一、开启端口安全[switch] port-security enable 二、配置端口安全允许的最大安全MAC地址数[switch] interfaceinterface-typeinterface-number //进入端口[switch-interface] port-security max-mac-count count-value三、配置端口安全模式-自动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

友人a笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值