~pavel~ Опубликовано 12 сентября, 2013 · Жалоба Кто как борется с mac spoofing на Huawei S2300? Никак не могу найти работающий способ чтобы защититься от перезвата mac адреса со стороны клиента. есть такой конфиг acl name forbidden_mac 4001 rule 20 permit source-mac 000c-42a4-26ae # traffic classifier forbidden_traffic operator or if-match acl forbiden_mac # traffic behavior deny deny # traffic policy user-side classifier forbiden_traffic behavior deny # dhcp enable dhcp snooping enable dhcp server detect # vlan 912 dhcp snooping trusted interface GigabitEthernet0/0/1 # interface Ethernet0/0/5 description Home-dhcp-user port hybrid pvid vlan 912 port hybrid untagged vlan 912 999 mac-limit maximum 3 stp edged-port enable stp point-to-point force-false traffic-policy user-side inbound dhcp snooping enable dhcp snooping check dhcp-request enable alarm dhcp-request enable threshold 120 dhcp snooping check dhcp-chaddr enable alarm dhcp-chaddr enable threshold 120 dhcp snooping alarm dhcp-reply enable threshold 120 dhcp snooping check dhcp-rate enable 50 alarm dhcp-rate enable threshold 50 arp anti-attack check user-bind enable arp anti-attack check user-bind alarm enable arp anti-attack check user-bind alarm threshold 200 arp anti-attack check user-bind check-item ip-address ip source check user-bind enable ip source check user-bind alarm enable ip source check user-bind alarm threshold 200 unicast-suppression packets 32 multicast-suppression packets 8 broadcast-suppression packets 8 Все замечательно работает, есть защита от подмены ip, arp, даже с поддельным маком коммутатор пакеты не форвардит, но вот одна беда, мак этот коммутатор записывает в таблицу коммутации. <ChangeMe>display mac-address Ethernet 0/0/5 ------------------------------------------------------------------------------- MAC Address VLAN/VSI Learned-From Type ------------------------------------------------------------------------------- 000c-42a4-26ae 912/- Eth0/0/5 dynamic Может есть еще какой нибудь способ за исключением статической привязки мака и влан на клиента? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 12 сентября, 2013 · Жалоба На софте V100R006C03SPC100 так: в режиме глобального конфигурирования: mac-limit illegal-mac мак-префиксы_точки_терминирования на абонентских интерфейсах: mac-limit maximum 10(или другое число, которое вам больше нравится), с помощью этой команды свитч понимает где нужно не изучать illegal-маки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
~pavel~ Опубликовано 12 сентября, 2013 · Жалоба К сожалению на V100R006SPH013 такой команды нет, [host]mac? mac-address mac-authen mac-forced-forwarding mac-spoofing-defend Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 12 сентября, 2013 · Жалоба вы указываете версию патча, а не софта. Вам нужен софт V100R006C03SPC100 или выше Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
~pavel~ Опубликовано 12 сентября, 2013 · Жалоба стоит V100R006C03, он получается старее чем V100R006C03SPC100? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 12 сентября, 2013 · Жалоба Да, SPC100 новее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
savio Опубликовано 22 июля, 2015 · Жалоба подскажите пожалуйста где взять прошивку на Quidway S2403TP-EA, так как на интерфейсе коммутатора доступны команды [Quidway-Ethernet1/0/1]arp ? detection Detect ARP spoofing rate-limit ARP packet rate limit static Static ARP entry [Quidway-Ethernet1/0/1]arp и все... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...