2. 程式人生 > >H3C S3110-26TP-SI埠MAC繫結和HDCP Snooping

H3C S3110-26TP-SI埠MAC繫結和HDCP Snooping

阿新 發佈:2018-12-27

一、組網需求

1、要求接入交換機埠限制MAC地址學習數量,超過設定數量就會觸發入侵檢測,然後執行入侵檢測的安全動作。

2、要求接入交換機的埠不接受非信任的DHCP伺服器下發的IP。

二、配置MAC

1、埠最多隻能接入一臺裝置,如果超過兩個MAC自動關閉埠,需要手動刪除學習記錄並開啟埠

[SW36]display  version 
H3C S3110-26TP-SI

[SW36]port-security  enable
[SW36]interface  Ethernet 1/0/1
[SW36-Ethernet1/0/1]port-security max-mac-count 1
[SW36-Ethernet1/0/1]port-security port-mode autolearn
[SW36-Ethernet1/0/1]port-security intrusion-mode disableport
[SW36-Ethernet1/0/1]quit

說明:

操作 命令 說明
使能埠安全功能 port-security enable 預設情況下,埠安全功能處於關閉狀態
配置埠安全允許的最大MAC地址數 port-security max-mac-count count-value

預設情況下,最大MAC地址數不受限制
配置入侵檢測特性 port-security intrusion-mode { blockmac | disableport
 | disableport-temporarily }		 預設情況下,不進行入侵檢測處理

控制autoLearn模式下埠能夠新增的最大安全MAC地址數

入侵檢測特性:

當裝置檢測到一個非法的使用者通過埠試圖訪問網路時,該特性用於配置裝置可能對其採取的安全措施,包括以下三種方式:
blockmac:表示將非法報文的源MAC地址加入阻塞MAC地址列表中,源MAC地址為阻塞MAC地址的報文將被丟棄。此MAC地址在被阻塞3分鐘(系統預設,不可配)後恢復正常。
disableport:表示將收到非法報文的埠永久關閉。
disableport-temporarily:表示將收到非法報文的埠暫時關閉一段時間。關閉時長可通過port-security timer disableport命令配置。

2、檢視確認,會看到埠記錄一條MAC與埠繫結資訊

[SW36-Ethernet1/0/1]dis this
#
interface Ethernet1/0/1
 port access vlan 3
 port-security max-mac-count 1
 port-security port-mode autolearn
 port-security intrusion-mode disableport
 port-security mac-address security sticky 9829-a60a-76df vlan 3

3、接入新裝置觸發入侵檢測,埠down

[SW36]display  logbuffer
SW36 PORTSEC/5/PORTSEC_VIOLATION: -IfName=Ethernet1/0/1-MACAddr=98:29:A6:0A:76:FD-VlanId=-3-IfStatus=Down; Intrusion detected.

[SW36]display  interface  brief  down 
The brief information of interface(s) under bridge mode:
Link: ADM - administratively down; Stby - standby
Interface            Link Cause
Eth1/0/1             DOWN  Port Security Disabled
Eth1/0/2             DOWN Not connected

三、配置DHCP Snooping

1、開啟dhcp-snooping

[SW36]dhcp-snooping
[SW36-GigabitEthernet1/0/25]dhcp-snooping trust

說明:

操作 命令 說明
使能DHCP Snooping功能 dhcp-snooping 預設情況下,DHCP Snooping功能處於關閉狀態
配置埠為信任埠,並記錄客戶端IP地址和MAC地址的繫結關係 dhcp-snooping trust 預設情況下,在使能DHCP Snooping功能後,裝置的所有埠均為不信任埠

2、檢視

[SW36]display  dhcp-snooping 
 DHCP Snooping is enabled.
 The client binding table for all untrusted ports.
 Type : D--Dynamic , S--Static , R--Recovering
 Type IP Address      MAC Address    Lease        VLAN SVLAN Interface
 ==== =============== ============== ============ ==== ===== =================
 D    192.168.3.69    9829-a60a-76df 171725       3    N/A   Eth1/0/1

 

 

相關推薦

H3C S3110-26TP-SIMACHDCP Snooping

一、組網需求 1、要求接入交換機埠限制MAC地址學習數量,超過設定數量就會觸發入侵檢測,然後執行入侵檢測的安全動作。 2、要求接入交換機的埠不接受非信任的DHCP伺服器下發的IP。 二、配置MAC 1、埠最多隻能接入一臺裝置,如果超過兩個MAC自動關閉埠,需要手動刪除學習記錄並開

樹莓派裝置

project做到最近,遇到了一個尷尬的問題:一臺樹莓派接了多個裝置,例如多個arduino、串列埠轉USB和無線鍵鼠等等。物理上USB不夠,直接將一個USB hub就可以了。  不過這就出現了問題:Linux是按照插入順序對裝置進行編號的,例如ttyUSB0,ttyUSB1或者ttyAC

網站搭建——修改Tomcat的預設域名

這篇文章是在之前一篇文章的基礎之上進行的:網站搭建——阿里雲ECS配置Ubuntu伺服器。 上一篇文章主要介紹瞭如何在阿里雲伺服器上面配置Ubuntu伺服器。伺服器配置完成之後,需要使用8080埠進行訪問,這樣不是很方便,不能滿足我們的需求。 今天就介紹如何修

ROS中USB裝置(感測器)的問題

1.方法1----通過idVendor 和 idProduct 設定udev rule lsusb 檢視 echo 'KERNEL=="ttyUSB*", ATTRS{idVendor}=="1a86", ATTRS{idProduct}=="7523",

鏈路聚合、Trunk、捆綁簡析

       關於鏈路聚合(Link Aggregation)、Trunk和埠繫結/捆綁這三種概念很容易混淆,主旨都是利用鏈路冗餘提供伺服器、交換機和儲存間的可靠性,或利用冗餘埠實現負載均衡等;

DotNet Core5000無法解決方案(Unable to bind to http://localhost:5000 on the IPv6 loopback interface)

    解釋:5000埠不能夠繫結,所以繫結到其他埠進行Nginx反向代理   解決方案 第一步 新增host.json {   "server.urls": "http://*:8010" } 第二步 &nb

socket無法的10048錯誤

1,遇到一個問題,客戶端軟體連線伺服器端一次斷開以後,很長一段時間以內不能連線第二次。後來發現,客戶端(windows)同一個socket埠close以後的兩分鐘內windows是沒有釋放這個handle的,所以才會出現BIND失敗。getlasterror返回10048錯誤

Netty服務

呼叫netty的bootstrap的bind()方法會開始netty對本地埠的繫結與監聽。 在serverBootstrap的超類abstractBootstrap的bind()方法開始繫結的全過程。 public ChannelFuture bind() { va

Apache 同一個IP:多個域名的注意事項

Aapche 如果需要繫結多個域名到一個IP上,是支援的。需要注意以下2點: 1 必須要開啟 NameVirtualHost開關選項, 如:NameVirtualHost 220.231.220.231:80 2 NameVirtualHost 需要指定具體的埠

RMI IP固定

這裡描述的是RMI服務端怎麼繫結到IP和固定埠。 當機器有多個IP,並且防火牆要求固定服務埠時就有用了 這個過程包括了RMI的基本典型應用,既有服務端的遠端物件匯出也有客戶端的遠端物件匯出.完整地固定了兩段的IP和埠. 原理是在建立遠端物件登錄檔和匯出遠端物件時使用自己寫的SocketFactory來

ubuntu11.04 virtualbox mac情形下 橋接設定

本文參閱諸多網頁,不能一一註明,敬請見諒。 主機:ubuntu11.04 客戶機:xp 虛擬軟體:virtualbox 1.安裝必要工具 $sudo apt-get install uml-utilities bridge-utils 2. $sudo gpasswd

java 的前期後期

           java的前期繫結在程式執行前根據編譯時型別繫結,呼叫開銷較小,如C語言只有前期繫結這種方法呼叫 後期繫結,是指在執行時根據物件的型別進行繫結,又叫動態繫結或

JS的事件事件流模型

一、JS事件 (一)JS事件分類 1.滑鼠事件: click/dbclick/mouseover/mouseout 2.HTML事件: onload/onunload/onsubmit/onresize/onchange/onfoucs/onscroll 3.鍵盤事件

EJB Remote/Local JNDI Lookup

從同事那裡學到一種方便的註解SessionBean的方式。程式碼我放到github去了 https://github.com/EdisonXu/Test/commit/703d49123dca9e666269771b08cc45dea6bff616 或者直接看路徑 https://github.com/Edi

spring5-驗證、資料型別轉換

5.1 介紹 {#toc_1} JSR-303/JSR-349 Bean Validation 在設定支援方面,Spring Framework 4.0支援Bean Validation 1.0(JSR-303)和Bean Validation 1.1(JSR-349),也將其改寫成了Spr

記錄 - mybatis @Param引數批量插入

需求:要在同一個groupId下批量插入單品。 資料庫如下: CREATE TABLE `goods` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '單品id', `url` varchar(300) NOT NULL

Vue(一) 資料第一個Vue應用

學習 Vue.js 最有效的方法是檢視官網文件 資料繫結和第一個Vue應用 先從一段簡單的 HTML 程式碼開始,感受 Vue.js 最核心的功能。 <!DOCTYPE html> <html lang="en"> <head> <meta c

Vue.js單向雙向例項

1、單向繫結 單向資料繫結的實現思路: ① 所有資料只有一份 ② 一旦資料變化,就去更新頁面(只有data–>DOM,沒有DOM–>data) ③ 若使用者在頁面上做了更新,就手動收集(雙向繫結是自動收集),合併到原有的資料中。 <!DOCTYPE html&

Spring MVC 資料表單標籤庫

資料繫結是將使用者輸入繫結到領域模型的一種特性。 資料繫結的好處: 1. 型別總是為 String 的 HTTP 請求引數,可用於填充不同型別的物件屬性。 2. 當輸入驗證失敗時,會重新生成一個 HTML 表單。 為了高效的使用資料繫結,還需要 Spring 的表單標籤庫。表單標籤庫中包含了可以用在

Vue學習(三)——屬性雙向資料

<!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <title>屬性繫結和雙向資料繫結</title> <script src="./v