华为 IP源防攻击和MAC认证
我是艺博东 ,一个正在努力学IT的码农;好了,话不多说,我们直接进入正文。
文章目录
- 一、拓扑
- 二、IPSG
- 三、MAC认证
一、拓扑
eNSP模拟器可以正常配置,但是没出效果。
二、IPSG
1、简介
IP Source Guard:IP源防攻击:
(1)基于二层接口的源IP地址过滤技术,它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机;
(2)确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
2、原理
IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。
3、分类
(1)静态绑定表
手动配置合法源地址和mac地址和vlan 接口等对应关系,适用于主机数量较少且合法主机地址固定的情景;
(2)DHCP Snooping动态绑定表
配置DHCP Snooping功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP回复的ACK报文动态生成。适用于主机数较多且主机从DHCP服务器获取IP地址的场景。
4、部署
(1)静态绑定 接口视图
接口视图下的IPSG只针对进入此接口的数据起到过滤的作用;
[AR-1]user-bind static ip-address 10.1.1.1 mac-address aaaa-bbbb-cccc vlan 1 //针对源IP10.1.1.1绑定MAC地址为aaaa-bbbb-cccc 合法vlan 为vlan1[AR-1]int G0/0/1
[AR-1-GigabitEthernet0/0/1]ip source check user-bind enable //接口开启IPSG
[AR-1-GigabitEthernet0/0/1]ip source check user-bind check-item ip-address mac-address vlan //对进入此接口的数据进行IPSG过滤,匹配数据的源地址,mac地址和所属的vlan标签
[AR-1-GigabitEthernet0/0/1]quit
(2)静态绑定 Vlan视图
Vlan 视图下针对此vlan下的所有接口进入的数据起到过滤的作用;
[SW-1]user-bind static ip-address 172.168.1.1 mac-address a5aa-B9bb-cc4c interface GigabitEthernet 0/0/10 vlan 1
[SW-1]vlan 1
[SW-1-vlan1]ip source check user-bind enable //针对此vlan下所有进口进入的数据进行IPSG过滤
[SW-1-vlan1]ip source check user-bind check-item interface ip-address mac-address
//IPSG检测绑定的源地址,接口,mac地址信息
[SW-1-vlan1]quit
(3)动态绑定 Vlan视图
[SW-1]dhcp enable //开启此SW的dhcp功能
[SW-1]dhcp snooping enable //全局视图开启DHCP Snooping功能
[SW-1]vlan 10 //进入vlan 10
[SW-1-vlan10]dhcp snooping enable //开启此vlan的 DHCP Snooping功能
[SW-1]-vlan10]ip source check user-bind enable //开启此vlan下的IPSG功能
[SW-1]-vlan10]quit
[SW-1]display dhcp snooping user-bind all //查看Host的动态绑定表信息
三、MAC认证
1、MAC认证简介
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件,用户名和密码都是用户设备的MAC地址。网络接入设备在首次检测到用户的MAC地址以后,即启动对该用户的认证。
2、MAC认证方式
(1)采用MAC地址形式:使用用户的MAC地址作为认证时的用户名和密码;
(2)采用固定用户名形式:不论用户的MAC地址为何值,所有用户均使用设备上管理员指定的一个固定用户名和密码替代用户的MAC地址作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC认证用户均使用同一个固定用户名进行认证,服务器端仅需要配置一个用户帐户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
[Huawei]mac-authen usernamefixed //使用用户名密码认证macaddress //采用MAC地址认证
3、MAC认证数量
接口下通过MAC认证接入的用户数量进行限制的时候,允许接入的MAC认证最大用户数量。用户到达配置的最大数时,后续MAC认证用户将不能够通过该接口接入网络。
[Huawei]mac-authen max-user X //一接口允许接入的MAC认证最大用户数量X(范围1--255)
4、MAC认证计时器
(1)Guest-Vlan用户重认证定时器(guest-vlan reauthenticate-period):在用户被加入Guest Vlan之后,设备将以此定时器设置的时间间隔为周期向Guest Vlan中的用户发起重认证。若重认证成功,则用户退出Guest Vlan;
(2)用于下线探测定时器(offline-detect):为确保用户的正常在线,设备会向在线用户发送探测报文,如果用户在探测周期(探测周期由该定时器设置)内没有回应,则设备认为该用户已下线;
(3)静默定时器(quiet-period):在用户认证失败后,设备需要静默一段时间(该时间即由静默定时器设置)。在静默期间,设备不处理该用户的认证请求;
(4)周期性重认证定时器(reauthenticate-period):如果接口下开启了周期性重认证功能,设备将以此定时器设置的时间间隔为周期对该接口的在线用户发起重认证;
(5)认证服务器超时定时器(server-timeout):当设备向认证服务器发送RADIUS Access-Request请求报文后,设备启动此定时器。若在该定时器设置的时长内,设备未收到认证服务器的响应,则将重发认证请求报文。
[Huawei]mac-authen timer timer guest-vlan X //默认60Stimer offline-detect X //默认300S timer quiet-period X //默认60S timer reauthenticate-period X //默认1800Stimer server-timeout X //默认30S
5、MAC认证Guest VLAN
设备接口上配置Guest VLAN,用户在未进行认证之前将被加入Guest VLAN进而能够访问Guest VLAN中的资源。但用户若需访问Guest VLAN之外的网络资源时仍需要进行认证。
[Huawei]authentication guest-vlan 100 interface GigabitEthernet 0/0/5 //未认证的用户加入到vlan 100[Huawei]mac-authen //开启本SW的MAC认证功能
[Huawei]int G0/0/2
[Huawei-GigabitEthernet0/0/2]mac-authen //接口下开启MAC认证
人之所以能,是相信能。
好了这期就到这里了,如果你喜欢这篇文章的话,请点赞评论分享收藏,如果你还能点击关注,那真的是对我最大的鼓励。谢谢大家,下期见!
华为 IP源防攻击和MAC认证相关推荐
- 华为设备无线环境中的MAC认证
1.基本IP地址和网络连通性配置 [LSW1]vlan batch 12 15 [LSW1-Vlanif12]ip address 10.1.12.1 24 [LSW1-Vlanif15]ip add ...
- BGP高防IP如何防DDos和cc攻击?原理是什么?
高防服务器又称为BGP高防ip,无论你的业务在哪里,都可以使用DDos及cc防护.如果业务不在,只需把需要防护的设备绑定高防即可防护,无需任何配置. 一.DDoS攻击原理 是目前互联网中最常见的网络攻 ...
- 高防IP是什么,怎么防攻击
经常有听到高防IP,但是很多人都不知道高防IP是什么,需要怎么配置?那些业务才能使用?到底能不能防的住攻击?如果感兴趣的话就继续往下看吧~ 高防IP,顾名思义是提供一个带防御的IP,就像一个引流器,将 ...
- 华为 配置 MAC认证优先 Portal认证 Mac无感知快速认证 Radius认证计费 对接 外部 Portal认证计费系统 案例
华为 配置 MAC认证优先 Portal认证 Mac无感知快速认证 Radius认证计费 对接 外部 Portal认证计费系统 案例 介绍: OpenPortal网络准入认证计费系统,支持用户名密码认 ...
- 源IP源MAC目的IP目的MAC,在整个网络中的变化
源IP源MAC目的IP目的MAC,在整个网络中的变化. 本地网: 1.vlan+mac的寻址方式,不用过网关.此时源IP源MAC和目的IP目的MAC没有变化 2.过网关,有IP路由表决定.此时只是目的 ...
- 华为S系列交换机配置802.1x+MAC认证,python简洁配置版
复制到python中,实际测试正常使用. radius_ip = input(print('radius服务器IP地址:')) authen_port = input(print('radius服务器 ...
- 云服务器被攻击了怎么办,接入高防服务器好还是高防IP好,攻击如何才能防的住,防御DDOS攻击哪个效果好
现在互联网发展的越来越好,导致很多不法分子想要从中牟利,对站长和很多游戏从业者的程序发动DDOS攻击使相关程序奔溃无法运转以此来达到勒索的目的. 那么,我们又该如何防范呢? 可以考虑接入高防IP或者直 ...
- 华为ENSP AP上线失败-MAC认证 巨坑系列
ap通过mac认证的方式上线,配置完成后状态一直是idle 原因可能是通过命令display mac-address查看到的并不是真实mac 正确的mac要在AP背板查看 这边把三个MAC地址都添加进 ...
- IPv6解决方案ND防攻击技术白皮书
[转自]http://www.h3c.com/cn/d_200907/642189_30004_0.htm IPv6解决方案ND防攻击技术白皮书 关键词:ND,ARP,ND攻击,ARP攻击,交换机,I ...
- 华为交换机ARP防网关冲突
如果有攻击者仿冒网关,在局域网内部发送源IP地址是网关IP地址的ARP报文,会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系.这样其他用户主机就会把发往网关的流量均发送给了攻击者,攻击者 ...
最新文章
- WPF窗口继承实现统一风格的自定义窗口
- Aptana Studio 3 汉化简体中文版
- Angular Effects.ofType的工作原理
- MSP430F5529 DriverLib 库函数学习笔记(十二)I2C实战
- ER图( 实体联系图)
- java exif 语言编码_Java读取图片EXIF信息的代码
- 解决80端口被占用的情况
- 用tbody解决div在table标签里无法隐藏某些行
- Oracle数据库中文乱码问题解决
- 读书笔记_打开量化投资的黑箱05
- scala安装与配置
- 用matlab求解分支定界法,matlab分支定界法程序
- PowerShell中使用WMI或CIM
- 【设计】资料合集(1-121)副业学习会
- “红蓝眼人”问题中旅行者说的话的作用
- 单机100万连接,每秒10万次请求服务端的设计与实现(三) - 变量共享、超线程与高性能队列
- Html和Xml中注释符
- 网络协议-语义、语法和时序
- Zotero安装和使用
- react + antd pro 项目搭建及发布流程
热门文章
- Monkey log 分析
- 您未被授权查看该页 您不具备查看该目录或页面的权限,因为访问控制列表 (ACL) 对 Web 服务器上的该资源进行了配置
- WinCap数据包显示
- css 标点符号换行,字母汉字可以换行 标点符号不能换行_html/css_WEB-ITnose
- Redis集群之脑裂:一次奇怪的数据丢失
- Mongodb数据丢失解决办法
- Web排行榜相关排序算法总结
- Akka学习笔记:Actors介绍
- R语言length()和lengths()的区别
- 百度扩容软件V.2.3版,第四代扩容带自助修复功能