[~pavel~]

Кто как борется с mac spoofing на Huawei S2300?

 

Никак не могу найти работающий способ чтобы защититься от перезвата mac адреса со стороны клиента.

 

есть такой конфиг

acl name forbidden_mac 4001
rule 20 permit source-mac 000c-42a4-26ae
#
traffic classifier forbidden_traffic operator or
if-match acl forbiden_mac
#
traffic behavior deny
deny
#
traffic policy user-side
classifier forbiden_traffic behavior deny
#
dhcp enable
dhcp snooping enable
dhcp server detect
#
vlan 912
dhcp snooping trusted interface GigabitEthernet0/0/1
#
interface Ethernet0/0/5
description Home-dhcp-user
port hybrid pvid vlan 912
port hybrid untagged vlan 912 999
mac-limit maximum 3
stp edged-port enable
stp point-to-point force-false
traffic-policy user-side inbound
dhcp snooping enable
dhcp snooping check dhcp-request enable alarm dhcp-request enable threshold 120
dhcp snooping check dhcp-chaddr enable alarm dhcp-chaddr enable threshold 120
dhcp snooping alarm dhcp-reply enable threshold 120
dhcp snooping check dhcp-rate enable 50 alarm dhcp-rate enable threshold 50
arp anti-attack check user-bind enable
arp anti-attack check user-bind alarm enable
arp anti-attack check user-bind alarm threshold 200
arp anti-attack check user-bind check-item ip-address
ip source check user-bind enable
ip source check user-bind alarm enable
ip source check user-bind alarm threshold 200
unicast-suppression packets 32
multicast-suppression packets 8
broadcast-suppression packets 8

 

Все замечательно работает, есть защита от подмены ip, arp, даже с

поддельным маком коммутатор пакеты не форвардит, но вот одна беда,

мак этот коммутатор записывает в таблицу коммутации.

 

<ChangeMe>display mac-address Ethernet 0/0/5

-------------------------------------------------------------------------------

MAC Address VLAN/VSI Learned-From Type

-------------------------------------------------------------------------------

000c-42a4-26ae 912/- Eth0/0/5 dynamic

 

Может есть еще какой нибудь способ за исключением статической привязки мака и влан на клиента?

[srg555]

На софте V100R006C03SPC100 так:

в режиме глобального конфигурирования:

mac-limit illegal-mac мак-префиксы_точки_терминирования

на абонентских интерфейсах:

mac-limit maximum 10(или другое число, которое вам больше нравится), с помощью этой команды свитч понимает где нужно не изучать illegal-маки

[~pavel~]

К сожалению на V100R006SPH013 такой команды нет,

 

[host]mac?

mac-address mac-authen

mac-forced-forwarding mac-spoofing-defend

[srg555]

вы указываете версию патча, а не софта. Вам нужен софт V100R006C03SPC100 или выше

[~pavel~]

стоит V100R006C03,

он получается старее чем V100R006C03SPC100?

[srg555]

Да, SPC100 новее

[savio]

подскажите пожалуйста где взять прошивку на Quidway S2403TP-EA, так как на интерфейсе коммутатора доступны команды

[Quidway-Ethernet1/0/1]arp ?
 detection   Detect ARP spoofing
 rate-limit  ARP packet rate limit
 static      Static ARP entry
[Quidway-Ethernet1/0/1]arp

и все...