配置黑洞MAC表项(从而禁止mac设备上网)

最新推荐文章于 2024-03-20 09:15:37 发布
最新推荐文章于 2024-03-20 09:15:37 发布
阅读量3.3k 收藏 7
点赞数 1
分类专栏: 华为网络 网络 文章标签: 网络 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44657888/article/details/129542351
版权

背景信息

为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址,过滤掉非法MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令mac-address blackhole mac-address [ vlan vlan-id ],添加黑洞MAC表项。

检查配置结果

使用命令display mac-address blackhole,查看配置的黑洞MAC表项。

命令如下:

[Huawei] mac-address blackhole MAC地址

也可以通过加入VLAN限制来设备在某些区域不能上网,如:

[Huawei] mac-address blackhole MAC地址 VLAN1

这样从来源为VLAN1的数据中接收到源或目的为该MAC地址的帧时会自动丢弃。借此可以实现在部分网络禁止该MAC地址的设备上网。

一个懒鬼
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
高圈Schwarzschild黑洞熵的对数项。
03-20
预计Bekenstein-Hawking(BH)熵将通过量子环路扩展中的某些校正项进行修改。 众所周知,黑洞熵的对数项表现为经典BH熵的一环加法。 在本说明中,我们研究了由于更高的量子环而导致的Schwarzschild黑洞熵中对数项的进一步修改:在规范场,标量和费米子的一般可归一化理论中,多达三个环和两个l
由于错误配置黑洞路由而导致下挂业务中断
10-22
路由故障之由于错误配置黑洞路由而导致下挂业务中断的故障解决办法如下由于错误配置黑洞路由而导致下挂业务中断
HCIE总结第三天
xixisir的博客
07-11 280
HCIE总结第三天 MAC地址表 1.MAC地址表定义 用于记录交换机转发二层数据帧的表项MAC 地址与接口的对应关系,接口所属 VLAN,来源等)——属于控制层 由MAC表同步下去的CAM表—属于数据层平面 单播转发:MAC表能查询到目前的MAC 洪泛转发:MAC表中不能查询到目的MAC 2.MAC地址表的类型 ①.动态表项 由接口通过报文中的源 MAC 地址 学习获得 ,表项 可老化,默认老化时间 300 秒。 配置动态 MAC 表项 的老化时间 : (缺省 情况下老化时间为 300s ) mac-
MAC地址(静态、黑洞、优先级)
最新发布
SSR_ZZ的博客
03-20 841
配置动作为discard时,会对报文的源MAC地址进行匹配,当报文的源MAC地址与MAC地址表项匹配时,则对该报文进行转发。为防止非法用户伪造服务器MAC地址入侵交换机,可以提高服务器侧接口的MAC地址学习优先级,接口配置不同优先级之后,如果不同接口学到相同的MAC地址表项,为了防止黑客通过MAC地址攻击用户设备网络,可将非信任用户的MAC地址配置黑洞MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。关闭MAC地址学习功能后,设备将不会再从该接口学习新的MAC地址。
Unity 黑洞Shader
05-26
Unity 黑洞 Shader
mac地址表项拓扑.zip
02-22
我的博客(网络MAC地址表学习)对应实验拓扑,针对动态MAC地址、静态MAC地址以及黑洞MAC表项进行了相应实验
[H3C]配置命令之MAC地址表项应用:封禁MAC地址
热门推荐
CINOCT的博客
01-02 1万+
H3C配置命令之MAC地址黑洞:用于封禁MAC地址
LAN 技术 之 mac地址表
weixin_42463871的博客
08-31 1471
以太网是当今现有局域网LAN(Local Area Network)采用的最通用的通信协议标准。该标准定义了在局域网中采用的电缆类型和信号处理方法。以太网作为一种原理简单,便于实现同时又价格低廉的局域网技术已经成为业界的主流。而更高性能的千兆以太网和万兆以太网的出现更使其成为最有前途的网络技术。 本次博客主要介绍LAN网络中的MAC地址表。 MAC地址表的组成 (1) 动态表项(默认情况下,交换机上有的表项) 由接口通过报文中的源MAC地址学习获得,表项可老化,默认老化时间300秒。 在系统...
华为交换机根据MAC地址禁止设备上网
吴四方的博客
12-07 8975
此命令使用了黑洞表项,即将MAC地址加入到黑洞表项中,这样当交换机接收到目的或源为此MAC地址的帧时会将自动丢弃掉。借此实现禁止MAC地址设备上网的功能。
华为交换机如何配置静态MAC黑洞MAC
weixin_44713929的博客
10-23 9266
MAC地址表项是交换机通过报文的源MAC地址学习过程而自动生成的,而通过用户手动配置也可以生成静态的MAC地址表项。手动配置静态MAC,一般是为了防止假冒身份的非法用户骗取数据。配置黑洞MAC地址表可以有效的防止非法用户的登录。
MAC地址表+端口安全+MAC地址漂移
里晓山的博客
05-05 5400
目录 一、MAC地址表的组成 二、端口安全(Port Security) 三、MAC地址漂移 1、配置接口mac地址学习优先级(MAC地址表就不会被抢占覆盖了) 2、配置不允许相同优先级接口mac地址漂移(不要轻易配置) 四、关于MAC地址知识的总结与思考? 一、MAC地址表的组成 MAC: 48bit 16进制 前 24bit(OUI,组织(厂商)唯一标识符) 第8bit =0(单播) =1(组播/广播mac) 1、动态表项: 由接口通过报文中的源MAC地址学习获得,表..
MPLS解决路由黑洞配置文件.rar
11-02
此文件为博主博文利用MPLS解决路由黑洞问题的实验配置文件。供大家下载参考。
华为 NE20E-S V800R010C10SPC500 配置指南 - MAC配置
04-21
设备的以太类型接口所连的各个工作站或服务器都有自己唯一的MAC(Medium AccessControl)地址。设备上的MAC地址表包含与该设备连接的所有其他设备MAC地址信息。MAC地址表用于指导数据转发。 1 MAC概述 2 MAC支持的License和配置注意事项 3 配置静态MAC表项 4 配置静态黑洞MAC表项 5 配置广播域的MAC Accounting功能 6 配置动态MAC地址表参数 7 配置禁止MAC地址学习功能 8 配置子接口MAC地址 9 配置物理口MAC地址立即同步功能 10 配置全局MAC-Hopping环路检测告警功能 11 维护MAC
网络设备安全配置规范.docx
06-10
网络设备安全配置规范全文共19页,当前为第1页。网络设备安全配置规范全文共19页,当前为第1页。 网络设备安全配置规范全文共19页,当前为第1页。 网络设备安全配置规范全文共19页,当前为第1页。 网络设备安全配置规范 CISCO路由器及基于CISCO IOS 的三层交换模块部分 网络设备安全配置规范全文共19页,当前为第2页。网络设备安全配置规范全文共19页,当前为第2页。目录 网络设备安全配置规范全文共19页,当前为第2页。 网络设备安全配置规范全文共19页,当前为第2页。 第一部分 设备的安全机制 8 1 访问控制 8 2 数据加密 8 3 日志问题 8 4 防攻击能力 9 第二部分 设备安全配置建议 10 1 访问控制列表及其管理 10 1.1 访问控制列表特性 10 1.2 访问控制列表应用 10 1.3 实施原则 12 3 网管及认证问题 22 3.1 远程登录 22 3.1.1 远程登录的原则 22 3.1.2 启用SSH服务 22 3.1.3 登录空闲时间 23 3.1.4 登录尝试次数 24 3.1.5 并发登录个数 24 3.1.6 采用访问列表严格控制访问的地址 24 3.2 帐号和密码管理 25 3.3 帐号认证和授权 26 3.3.1 本机认证和授权 26 3.3.2 AAA认证 26 3.3.3 RADIUS认证方式 26 3.3.4 TACACS+认证方式 27 网络设备安全配置规范全文共19页,当前为第3页。网络设备安全配置规范全文共19页,当前为第3页。第一部分 设备的安全机制 网络设备安全配置规范全文共19页,当前为第3页。 网络设备安全配置规范全文共19页,当前为第3页。 该部分内容对Cisco路由器和基于Cisco IOS的交换机及其三层处理模块自身的安全机制进行简单描述,对每种安全机制可以解决什么问题进行阐述。 访问控制 Cisco设备具有强大的访问控制能力,具体如下: 可以实现对远程登录并发个数和空闲时长的限制; 支持使用SSH代替Telnet,并提供ACL对用户登陆进行严格控制; 支持AAA认证和授权; 支持snmp管理认证、限制TRAP主机,修改TRAP端口等; 路由协议的认证支持RIP、OSPF和BGP MD5认证,同时也支持密码明文认证; 数据加密 CISCO设备的数据加密能力主要有: 支持SSH替代Telnet,可以在网络中传递加密的用户名和密码; 对于enable密码,使用加密的enable secret,并且密码可以通过service password-encryption命令,进行密码加密; 提供Cisco加密技术(CET); IPSec技术实现数据传输的加密技术。 网络设备安全配置规范全文共19页,当前为第4页。网络设备安全配置规范全文共19页,当前为第4页。日志问题 网络设备安全配置规范全文共19页,当前为第4页。 网络设备安全配置规范全文共19页,当前为第4页。 Cisco设备将LOG信息分成八个级别,由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。可以设置将一定级别的LOG消息通过SYSLOG、SNMP TRAP传递给SERVER长期保存,对SERVER的地址可以进行严格控制。 防攻击能力 Cisco设备的防攻击能力主要体现如下: 可以通过对Q0S技术的配置,起到自身的防护的能力,它支持排队技术、CAR和GTS等; 结合强大的ACL命令,用于自身以及网络的防攻击,支持标准访问控制列表、扩展的访问控制列表、动态访问列表、自反访问列表、基于时间的访问控制列表、基于上下文的访问控制列表,从而保证了强大的防攻击能力; 支持黑洞路由; 支持源路由检查。 对QOS属性的说明如下:Cisco设备通过配置QOS属性具有一定的自动攻击检测和防范机制。如排队技术、CAR、GTS,都通过对网络流量控制,在一定程度上实现对攻击的防护。排队技术允许用户按照报文优先级的顺序,定义报文从接口发送的顺序,从而控制路由器接口的拥塞。这样我们可以对已经明确的安网络设备安全配置规范全文共19页,当前为第5页。网络设备安全配置规范全文共19页,当前为第5页。全流量设置高优先级,让这些流量优先通过,而丢弃低优先级流量,在一定程度上丢弃了一些攻击包;CAR是Committed Access Rate的简写,意思是:承诺访问速率,允许某一设备严格地限制流入或流出某一接口流量数量的一种技术。CAR软件确保只有指定数量的流量被发送或接收,而其他的流量会被丢弃。流量整形技术GTS,与CAR技术相似,都是通过定义参数来对流量分类,并按这些分类来管理流量。区别在于整形试图缓冲流量,并尽
HCIE学习笔记
weixin_45457085的博客
12-07 795
LAN技术 MAC地址表 MAC表(由MAC地址+接口号组成) 动态MAC表(设备缺省下此状态):自动学习,可老化,老化时间300秒。 老化时间命令:mac-address aging-time 200 静态MAC表:手动指定,不老化。 静态命令:mac-address static 0000-005e-0002 G1/0/2 vlan10 黑洞MAC表:手动指定,不老化,报文头部源、目MAC地址匹配表项的都丢弃。 黑洞命令:mac-address blackhole 0000-005e-0
21张图详解交换机MAC地址表的五大要素:MAC地址、VLAN、出接口等
以爱护甲,爱满枫林。
04-06 3662
前言 什么是MAC地址表?MAC地址表有什么作用?MAC地址表里面包含了哪些要素?今天带你好好唠唠。 我们以一个案例为例: 如上图:PC1和PC2通过交换机SW1直连,此时PC1想要和PC2通信。 1、根据TCP/IP参考模型,PC1想要和PC2通信,除了需要知道PC2的IP地址,还需要知道PC2的MAC地址,这个我们在之前章节已经讲了,可以通过ARP广播获取PC2的目的IP地址。(PC1的ARP表项如下图) 2、PC1将报文封装好发送给交换机SW1,交换机SW1会查找MA
以太网交换安全(二)----MAC地址表安全&MAC地址漂移防止与检测
BJH23的博客
09-05 2605
MAC地址漂移是指:在同一个VLAN内,一个MAC地址有两个出接口,并且后学习到的出接口覆盖原出接口的现象。这是官方定义,通俗的讲,MAC地址漂移指的是MAC地址表项的出接口发生了变更图文转自:知乎----作者:网工Fox,原链接:MAC地址漂移是指交换机上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。同一个mac地址在不同地方学到了当一个MAC地址在两个端口之间频繁发生迁移时,即会产生MAC地址漂移现象。
MAC地址典型配置及实验
萌新的学习日志
09-07 2001
基于华为模拟器的一些关于MAC地址部分的典型配置及实验
端口隔离、MAC地址表项MAC地址漂移防止与检测
weixin_45059947的博客
05-16 1592
接口和MAC地址静态绑定后,其他接口收到源MAC是该MAC地址的报文将会被丢弃。配置黑洞MAC地址后,源MAC地址或目的MAC地址是该MAC的报文将会被丢弃。由接口通过报文中的源MAC地址学习获得,表项可老化。指定的VLAN必须以及创建并且已经加入绑定的端口,指定的MAC地址必须是单播MAC地址,不能是组播或广播地址。在接口A上配置与接口B之间的单向隔离后,接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。配置完成后,当Switch的接口GE0/0/1的MAC地址漂移到GE0/0/2后。
写一个静态转发项和配置黑洞MAC地址在现实生活中的案例
06-06
静态转发项和配置黑洞MAC地址是网络管理中非常基础但又非常重要的两个操作,在现实生活中也有很多应用案例。 一个经典的案例是企业内部网络管理。在企业内部网络中,通常存在着不同的网段和子网,通过静态转发项可以实现不同网段之间的通信,提高数据传输效率。另外,在企业内部网络中,可能会遇到一些恶意攻击或者错误配置所导致的网络泛洪,通过配置黑洞MAC地址,可以有效地防止这些问题的发生,保障企业内部网络的安全性。 另一个案例是公共场所的Wi-Fi网络管理。在公共场所,Wi-Fi网络可能会遇到大量的用户连接和数据传输,通过静态转发项,可以优化网络流量,提高网络传输效率,保障用户的网络使用体验。另外,为了避免一些用户通过恶意攻击或者错误配置所导致的网络泛洪,公共场所的Wi-Fi网络也可以配置黑洞MAC地址,保障网络的安全性和稳定性。 总的来说,静态转发项和配置黑洞MAC地址在现实生活中有着广泛的应用,能够为网络管理提供有效的帮助和保障。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值