❶ 华为S3700交换机如何实现端口IP地址过滤
一、IP及MAC地址的采集
1.运行IP修改器,可以设定计算机的IP地址及用户名(直接可以改成使用者姓名);
2.运行“IP_MACSM-v1.037”MAC地址监视器,获取每个计算机的IP及MAC地址(导出EXCEL文件);
3.编辑:将IP和MAC地址分别复制到“批量命令”表格中,获取MAC地址的三段式及arp绑定命令、端口过滤命令。复制到记事本中,MAC地址与IP地址间应有空格。
二、进行绑定及过滤
1.连接三层交换机与电脑,三层交换机端口为:console,电脑连接9针接口;
2.安装HAP_SecureCRT_5.1.2软件,输入名字:Windows;公司:IC;序列号:03-50-006248
许可密钥:ADPUSB W3DQ5B ZC35EJ 99AG3T ACM47V SAK5W68CD1YZ GJU7JK;发布日期:27-06-2006进行注册;
3.运行该软件进行第一次设置:配置文件-快速连接-协议“Serial”-端口“com1”-波特率“9600”-数据位“8”-奇偶校验“无”-停止位“1”-数据项控制去掉“√”,保存会话。
4.进入软件按回车键,出现<Qidway> 输入sy尖括号变为方括号
(1)查看绑定命令 dispplay arp 显示S 为静态(绑定),D为动态;(发现一个问题,如果电脑没有开机,显示的ARP列表中就没有相应的端口号显示)
(2)绑定命令 art static *.*.*.* H-H-H (说明,*.*.*.* 是IP地址,H-H-H是三段式MAC地址);
(3)过滤命令,S3700不需要进端口,而是直接在命令中输入端口号及VLAN号。1、过滤命令:user-bind static mac-addr H-H-H IP-addr *.*.*.* interface Eth0/0/15 vlan 5(*.*.*.* 是IP地址,H-H-H是三段式MAC地址,此命令允许该端口下,命令中的IP、MAC的地址通过,Eth0/0/15为端口号,需要按实际填写,vlan 5为该IP地址所处的VLAN号,需要按实际填写);
(4)按S3900的操作,至此应该可以完成过滤,但实际情况发现换用其它的IP地址后,过滤过的这台电脑仍然可以上网,需要进端口配置相关的设置。
输入命令:interface Eth0/0/15,进入15号端口。
继续输入命令:arp anti-attack check user-bind enable //检查MAC地址
arp anti-attack check user-bind alarm enable
ip source check user-bind enable //检查MAC和IP的对应关系
ip source check user-bind alarm enable
ip source check user-bind alarm threshold 200
(5)如何查看过滤情况,未找到对应的命令,请知道的朋友帮忙补充哦。
(6)如果绑定或是过滤错误,按以下方式修改,一、某个IP错误绑定 执行 undo arp *.*.*.* 即可(*.*.*.*为绑错的IP地址) 二、过滤错误 1、undo user-bind static mac-addr H-H-H ip-addr *.*.*.* (H-H-H 为MAC地址,*.*.*.* 为IP地址)
(6)注意绑定、过滤后输入quit退出,再输入save保存(Y/N)Y.
❷ 思科(CISCO) 5500核心交换机过滤MAC地址命令
你的00-3E-A3-04-F3-E0在交换机里是用003E.A304.F3E0来表示的
你这个MAC地址有问题,标准的是48位的16进制表示。下面的XX是你漏写的地址符号 你按我下面配置打啊
确定你处于全局配置模式下
switchcisco>en
switchcisco#conf t
switchcisco(config)#mac access-list extended 111
switchcisco(config-ext-macl)#deny host 003E.A304.F3E0 any
switchcisco(config-ext-macl)#per any any
然后再端口上配置
switchcisco(config)#int f0/1 这里就是你要应用到策略的端口,连接INTERNET的端口
switchcisco(config-if)#mac access-group 111 out
事实上只要做个基于IP地址的ACL就可以了,5500可是3层设备
❸ h3c 三层交换机,如何过滤掉某ip段求代码。先谢谢了
R1(config)#access-list 1 deny {源ip地址} {ip地址通配符}
在靠近目地址的端口上输入以下代码进行端回口调用:
R1(config-if)#ip access-group 1 in/out (该端口若流入数据使用答in,流出数据使用out)
http://wenku..com/link?url=hiqsdCATnNaQOKoXUmL-X5F6FFlJRSM7OTLPS
❹ 交换机管理问题(过滤mac地址)
你就是在交换机上设置mac安全,一个交换机端口只允许连接的pc的网卡mac。这样专接上其他电脑时由属于mac不同,交换机不会让其与其他电脑通信的。当然,如果将其他电脑mac改成与原来接的电脑一样,也就可以连接了。
❺ 思科3560交换机 如何设置IP过滤功能
看你的描述,你应该通过抓包,看到了一些数据包的信息。如果单纯是 控制广播的话可以通过以下方式进行控制
storm-control action
shutdown或trap //当检测到风暴之后对端口处理的方式是err-disable 关闭端口还是产生一条日志
storm-control broadcast level [开始抑制的百分比] [重新使用的百分比] //当广播数据流量达到该端口百分多少时认为是storm
storm-control
broadcast level bps [开始抑制的带宽值] [重新使用的带宽值] //
当广播数据流量达到多少bps(即达到多少带宽)时认为是storm
storm-control
broadcast level pps [开始抑制的每秒报文数] [重新使用的每秒报文数] //
当广播数据流量达到多少pps(即每秒多少个数据包)时认为是storm
重新使用的参数值可以不配置,如果不配置两个的值一致。 三个控制选项使用其中一个就可以。
配置示例:
interface GigabitEthernet0/1
storm-control broadcast level 20.00 10.00 //当广播流量达到端口流量的20%关闭端口,10%开启端口
storm-controlaction shutdown
通过show storm-control broadcast查看接口广播控制状态
SW#show storm-control broadcast
Interface FilterState Upper Lower Current
--------- ------------- ----------- ----------- ----------
Gi0/1 Forwarding 20.00% 10.00% 0.00%
还有一种方式是通过acl进行过滤,根据抓到的数据包分析其特性,比如源和目的IP地址端口等等,编写acl或者mac acl 然后在相应的接口in方向绑定列表,禁止相应ip或者端口发送数据。
例如禁止10.1.1.1 的 4000端口对外访问
access-list 101 deny tcp 10.1.1.1 4000 any
access-list 101 permit ip 10.1.1.1 any
然后将列表绑定在相应的接口上面接口。
通过广播控制可以有效的控制交换机接收到的广播包,但一般来说,出现大量广播你应该查看一下相应ip或者主机是否存在问题。解决主机的问题才是根本。
❻ 简述交换机的学习地址功能和数据转发过滤功能。
学习地址主要如下:最初,交换机从某一个端口接受到帧数据,然后广播,专正确的用属户接受到数据以后会告诉交换机,然后交换机就可以学习到这个用户的mac。。数据转发过滤如下:转发就是指交换机的存储转发功能,过滤主要是指交换机的vlan功能,vlan可以阻止局域网内的广播扩散,从而减少系统被影响的程度
❼ 二层交换机下接了一交换机mac地址过虑有用么
比如有两台交换机A和B。
你在交换机A上启用了mac地址过滤,那么就会对通过交换机A的所有专报文生效。
如果该交换机A下面属又接了一台交换机B,导致有些报文不走交换机A了,那就没效果了。
但只要是经过交换机A的报文,就会有效。
❽ 设置无线MAC地址过滤对交换机有影响吗
不同的路由器不一样
不过无需担心一个问题,一般情况下,无线和有线的MAC地址不可能相同,除非是刻意制造。
❾ H3C交换机MAC地址过滤的问题
如果你只是要做IP与MAC绑定实现mac过滤的话,没必要那么复杂吧,直接在交换机上回配置MAC绑定就行啊,答如果你还要简单点的限制上网行为利用ACL列表也能实现
去掉mac学习功能mac-address max-mac-count 0
ip source static binding ip-address 192.168.X.X mac-address xxxx-xxxx-xxxx
这就实现了MAC地址绑定
同样利用ACL也可以实现对访问简单的控制如只允许通过源地址是192.168.0.X的访问
acl number 3000
rule 1 permit ip source 192.168.0.0 0.0.0.255
rule 2 deny ip
❿ 华为三层交换机端口模式下地址过滤入境命令
如果过滤IP就写ACL筛选 IP,然后应用在接口,
如果过滤筛选MAC地址就ACL中添加IP匹配MAC地址。然后应用在接口。