‘壹’ 华为光猫如何设置mac地址过滤
通过设置mac地址过滤,可以实现只允许自家的设备接入网络(白名单),或者不允许蹭网设备接入网络(黑名单),有效防止蹭网。
1、首先保证光猫已连通网络,可以正常上网。
2、登陆光猫WEB界面,选择“安全>MAC过滤>无线网络MAC过滤”。勾选“使能WLAN MAC过滤”,启用无线mac地址过滤功能。
黑名单——禁止该名单中的设备接入网络;
白名单——只允许该名单中的设备接入网络。
3、配置进行MAC地址过滤的WLAN的SSID索引号。设置“源MAC地址”对应过滤模式下设备的MAC地址。点击“应用”按钮,完成配置。
说明:a、部分ONT设置mac地址过滤的入口为:“高级配置>安全设置>WLAN MAC过滤”。
b、黑名单和白名单不能同时使用。
详细信息参考FAQ:http://support.huawei.com/onlinetoolsweb/ptmngsys/Web/ONT_Basics/faq.html
‘贰’ MAC地址表的老化时间
这个不一定要看交换机设置的
华为你可以试试看display mac-address aging-time 这个命令看看老化时间
用mac-address aging-time 60 设定老化时间为60秒
只有达到老化时间才删除该条目,如果老化时间是0就不会删除。
‘叁’ 华为三层交换机mac地址绑定
1.mac地址与ip地址一一绑定。 V100r002版本: 直接在物理接口上: Interface Ethernet 0/0/1 User-bind static ip-address 1.1.1.1 mac-...
2.这是命令格式 全局视图下:user-bindstatic{ {ip-addressip-address|ipv6-addressipv6-address} |mac-addressmac-address}*...
‘肆’ MAC地址老化,该怎么处理
右键点本地连接,属性,点开常规选项里的配制,在弹出的窗口 选高级选项。下拉列表中选择network address,点不存在上面的值,输出你要修改的MAC,地址就好了。
‘伍’ 怎么设置华为路由器Mac地址过滤,让别人用不了我的网络,下面是我连接的所有设备
参考你的无线路由器说明书操作。另外二点建议:
查看所有准许连接终端设备的无线网卡MAC地址,然后一一填在路由上;
不光用过滤的方法,还可以指定分配IP;
还可以限制连接网速(比如,设置为0,)
‘陆’ 华为ONT如何设置mac地址过滤
通过设置mac地址过滤,可以实现只允许自家的设备接入网络(白名单),或者不允许蹭网设备接入网络(黑名单),有效防止蹭网。
1、首先保证ONT已连通网络,可以正常上网。
2、登陆ONT WEB界面,选择“安全>MAC过滤>无线网络MAC过滤”。勾选“使能WLAN MAC过滤”,启用无线mac地址过滤功能。
黑名单——禁止该名单中的设备接入网络;
白名单——只允许该名单中的设备接入网络。
3、配置进行MAC地址过滤的WLAN的SSID索引号。设置“源MAC地址”对应过滤模式下设备的MAC地址。点击“应用”按钮,完成配置。
说明:a、部分ONT设置mac地址过滤的入口为:“高级配置>安全设置>WLAN MAC过滤”。
b、黑名单和白名单不能同时使用。
上述方法适用于HS8545M5、HS8546V5、HS8346R5、HS8346V5、HS8145C5、HS8145V5、HS8125T、LS8025T、WA8011Y、HN8145V、HN8145Q、HN8245Qs、HN8341R、HN8346Q、HN8546Ws、HN8546Q、HS8545M、HG8546M、HG8010H、HG8120C、HG8310M、HG8321R、HG8340M、HG8347R、HG8540M、HG8541M、HN8541M、HS8546V、HS8546V2等华为ONT。
详细信息参考FAQ:http://support.huawei.com/onlinetoolsweb/ptmngsys/Web/ONT_Basics/faq.html
‘柒’ MAC地址老化
老化时间是一个影响交换机学习进程的参数。在老化时间内,如果地址未被使用,那么,这些地址将从动态转发地址表(由源mac 地址、目的mac 地址和它们相对应的交换机的端口号)中被删除。
老化时间的数值范围从10 秒~1,000,000 秒,缺省值为300 秒。过长的老化时间会导致交换机内的mac 地址表超期,从而使交换机做出一些不正确的过滤/转发决定。但是,如果老化时间过短,会造成地址表刷新太快,大量接收到的数据包的目的地址在mac 地址表中找不到,致使交换机只能将这些数据包广播给所有端口,这样大大地削弱了交换机的优点。
静态转发地址表(static forwarding entries)不受老化时间的影响。 若设定老化时间为300秒则在300秒后,交换机会删除最早学习到的MAC地址条目.例子:
switch(config)#mac-address-table aging-time <10-1000000>
‘捌’ 如何避免MAC地址表被填充满
MAC地址表的泛洪攻击
黑客在PC上利用工具伪造大量的无效源MAC地址向交换机泛洪,交换机进行不断的学习,从而交换机MAC地址列表(也叫做CAM列表)被填满
当交换机的MAC地址表被填满后,这样正常的主机的MAC地址在经过老化之后,就无法再添加到MAC地址表中,导致之后的数据都变成了广播
交换机此时就像一个集线器,收到的流量数据帧会被泛洪到所有端口
此时黑客就能监听PC泛洪的流量,达到收集流量样本或者为了发起DOS(拒绝服务)攻击。
Port-Security:在交换机的Access接口开启
设置白名单地址:在一个接入接口上限制学习到的MAC地址数量的上限,同时接口也会缓存之前学习到PC的MAC地址并加入白名单;当该接口学习到的MAC地址超过上限时,交换机就会将该地址加入黑名单并开启惩罚机制,主要有三种:
1、shutdown:是默认处理方式;将接口置为error-disable状态,相当于关闭端口,同时交换机会提示日志。
若端口进入error-disable状态时,默认情况下不会自动恢复,恢复的方法有:
手动恢复,进入该端口,先shutdown端口,然后再no shutdown端口,即可恢复为正常状态。
自动恢复,设置error-disable计时器,端口进入error-disable状态时开始计时,计时器超出后端口状态自动恢复。
2、restrict:将违规的MAC地址的分组丢弃,但端口处于UP状态,交换机记录违规分组(相当于计入征信);同时交换机会提示日志。
3、protect:将违规的MAC地址的分组丢弃,但端口处于UP状态,交换机不记录违规分组,交换机也不会提示日志。
如果有非管理员使用电脑连接到交换机的接入接口,然后通过老化MAC地址表项连接上网,登录到交换机修改或者删除某些配置;为提高交换机的管理安全:
配置静态绑定的MAC地址:手工在接口配置静态的MAC地址并加入白名单。
如果所在企业的网络规模非常的大,我们手动去绑定地址的办法就有点不太现实了,所以说,这个时候我们需要用到端口安全的sticky(粘连)特性,sticky特性能动态的将交换机接口学习到的MAC加入到运行配置中,形成绑定关系。