Jump to content
Калькуляторы

HUAWEI Quidway S2300 mac spoofing

Кто как борется с mac spoofing на Huawei S2300?

 

Никак не могу найти работающий способ чтобы защититься от перезвата mac адреса со стороны клиента.

 

есть такой конфиг

acl name forbidden_mac 4001
rule 20 permit source-mac 000c-42a4-26ae
#
traffic classifier forbidden_traffic operator or
if-match acl forbiden_mac
#
traffic behavior deny
deny
#
traffic policy user-side
classifier forbiden_traffic behavior deny
#
dhcp enable
dhcp snooping enable
dhcp server detect
#
vlan 912
dhcp snooping trusted interface GigabitEthernet0/0/1
#
interface Ethernet0/0/5
description Home-dhcp-user
port hybrid pvid vlan 912
port hybrid untagged vlan 912 999
mac-limit maximum 3
stp edged-port enable
stp point-to-point force-false
traffic-policy user-side inbound
dhcp snooping enable
dhcp snooping check dhcp-request enable alarm dhcp-request enable threshold 120
dhcp snooping check dhcp-chaddr enable alarm dhcp-chaddr enable threshold 120
dhcp snooping alarm dhcp-reply enable threshold 120
dhcp snooping check dhcp-rate enable 50 alarm dhcp-rate enable threshold 50
arp anti-attack check user-bind enable
arp anti-attack check user-bind alarm enable
arp anti-attack check user-bind alarm threshold 200
arp anti-attack check user-bind check-item ip-address
ip source check user-bind enable
ip source check user-bind alarm enable
ip source check user-bind alarm threshold 200
unicast-suppression packets 32
multicast-suppression packets 8
broadcast-suppression packets 8

 

Все замечательно работает, есть защита от подмены ip, arp, даже с

поддельным маком коммутатор пакеты не форвардит, но вот одна беда,

мак этот коммутатор записывает в таблицу коммутации.

 

<ChangeMe>display mac-address Ethernet 0/0/5

-------------------------------------------------------------------------------

MAC Address VLAN/VSI Learned-From Type

-------------------------------------------------------------------------------

000c-42a4-26ae 912/- Eth0/0/5 dynamic

 

Может есть еще какой нибудь способ за исключением статической привязки мака и влан на клиента?

Share this post


Link to post
Share on other sites

На софте V100R006C03SPC100 так:

в режиме глобального конфигурирования:

mac-limit illegal-mac мак-префиксы_точки_терминирования

на абонентских интерфейсах:

mac-limit maximum 10(или другое число, которое вам больше нравится), с помощью этой команды свитч понимает где нужно не изучать illegal-маки

Share this post


Link to post
Share on other sites

подскажите пожалуйста где взять прошивку на Quidway S2403TP-EA, так как на интерфейсе коммутатора доступны команды

[Quidway-Ethernet1/0/1]arp ?
 detection   Detect ARP spoofing
 rate-limit  ARP packet rate limit
 static      Static ARP entry
[Quidway-Ethernet1/0/1]arp

и все...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.