~pavel~ Posted September 12, 2013 Posted September 12, 2013 Кто как борется с mac spoofing на Huawei S2300? Никак не могу найти работающий способ чтобы защититься от перезвата mac адреса со стороны клиента. есть такой конфиг acl name forbidden_mac 4001 rule 20 permit source-mac 000c-42a4-26ae # traffic classifier forbidden_traffic operator or if-match acl forbiden_mac # traffic behavior deny deny # traffic policy user-side classifier forbiden_traffic behavior deny # dhcp enable dhcp snooping enable dhcp server detect # vlan 912 dhcp snooping trusted interface GigabitEthernet0/0/1 # interface Ethernet0/0/5 description Home-dhcp-user port hybrid pvid vlan 912 port hybrid untagged vlan 912 999 mac-limit maximum 3 stp edged-port enable stp point-to-point force-false traffic-policy user-side inbound dhcp snooping enable dhcp snooping check dhcp-request enable alarm dhcp-request enable threshold 120 dhcp snooping check dhcp-chaddr enable alarm dhcp-chaddr enable threshold 120 dhcp snooping alarm dhcp-reply enable threshold 120 dhcp snooping check dhcp-rate enable 50 alarm dhcp-rate enable threshold 50 arp anti-attack check user-bind enable arp anti-attack check user-bind alarm enable arp anti-attack check user-bind alarm threshold 200 arp anti-attack check user-bind check-item ip-address ip source check user-bind enable ip source check user-bind alarm enable ip source check user-bind alarm threshold 200 unicast-suppression packets 32 multicast-suppression packets 8 broadcast-suppression packets 8 Все замечательно работает, есть защита от подмены ip, arp, даже с поддельным маком коммутатор пакеты не форвардит, но вот одна беда, мак этот коммутатор записывает в таблицу коммутации. <ChangeMe>display mac-address Ethernet 0/0/5 ------------------------------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------------------- 000c-42a4-26ae 912/- Eth0/0/5 dynamic Может есть еще какой нибудь способ за исключением статической привязки мака и влан на клиента? Вставить ник Quote
srg555 Posted September 12, 2013 Posted September 12, 2013 На софте V100R006C03SPC100 так: в режиме глобального конфигурирования: mac-limit illegal-mac мак-префиксы_точки_терминирования на абонентских интерфейсах: mac-limit maximum 10(или другое число, которое вам больше нравится), с помощью этой команды свитч понимает где нужно не изучать illegal-маки Вставить ник Quote
~pavel~ Posted September 12, 2013 Author Posted September 12, 2013 К сожалению на V100R006SPH013 такой команды нет, [host]mac? mac-address mac-authen mac-forced-forwarding mac-spoofing-defend Вставить ник Quote
srg555 Posted September 12, 2013 Posted September 12, 2013 вы указываете версию патча, а не софта. Вам нужен софт V100R006C03SPC100 или выше Вставить ник Quote
~pavel~ Posted September 12, 2013 Author Posted September 12, 2013 стоит V100R006C03, он получается старее чем V100R006C03SPC100? Вставить ник Quote
savio Posted July 22, 2015 Posted July 22, 2015 подскажите пожалуйста где взять прошивку на Quidway S2403TP-EA, так как на интерфейсе коммутатора доступны команды [Quidway-Ethernet1/0/1]arp ? detection Detect ARP spoofing rate-limit ARP packet rate limit static Static ARP entry [Quidway-Ethernet1/0/1]arp и все... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.