华三交换机mac绑定
- 0关注
- 0收藏,125浏览
最佳答案
一、告警产生根因
网安接收两类上报:
Syslog 日志:端口安全 / 非法 MAC 触发日志,通过 info-center 发送给网安日志主机;
SNMP Trap:端口安全入侵、MAC 地址超限告警,通过 SNMP 上送网安。
需求:仅指定端口关闭该类告警,其余端口保持原有安全告警策略。
方案一:端口安全改造(最优,端口视图配置,仅本端口生效)
适用场景:告警由port-security端口安全触发(未绑定静态 MAC、动态 MAC 超限)
plaintext
system-view
# 进入目标端口 GigabitEthernet 1/0/1
interface GigabitEthernet 1/0/1
# 开启端口安全
port-security enable
# 放开MAC数量限制,允许任意动态MAC接入,不会触发超限告警
port-security max-mac-count unlimited
# 入侵行为仅本地记录,不上送Trap/日志给网安
port-security violation alarm-only
# 关闭本端口安全相关Trap(端口视图不支持,需系统视图单独抑制,搭配日志过滤)
quit
# 全局关闭端口安全入侵类Trap(若只单端口屏蔽,优先用方案二日志过滤)
undo snmp-agent trap enable port-security intrusion
缺陷:关闭全局 intrusion trap 会所有端口生效,无法精准单端口隔离,优先用方案二。
方案二:信息中心日志过滤(精准单端口屏蔽,推荐)
仅过滤目标端口的 MAC / 端口安全日志,其他端口正常上送,完全满足 “只限此端口、不改动全局” 需求。
完整配置
plaintext
system-view
# 1. 确认信息中心开启
info-center enable
# 2. 定义ACL匹配目标端口(过滤该端口输出的日志)
acl number 4000
rule permit interface GigabitEthernet 1/0/1
# 3. 创建日志过滤策略,匹配端口安全、MAC模块日志,拒绝发送到日志主机(网安)
info-center filter 1 deny source port-security mac-address interface acl 4000
# 4. 放行其他所有端口日志(不影响全局)
info-center filter 2 permit
# 5. 原有日志主机配置保留不变,网安IP不变
info-center loghost 网安IP facility local7
效果说明
仅GigabitEthernet 1/0/1产生的 MAC 未绑定、非法 MAC、端口安全告警日志,不会发送给网安;
交换机本地 logbuffer 仍可查看该端口日志,方便排障;
其余所有端口日志、Trap 完全正常上送网安,无全局影响。
方案三:端口关闭 MAC 地址学习(彻底不产生 MAC 日志,极简)
若该端口不需要学习任何 MAC,直接关闭端口 MAC 学习,无 MAC 条目自然无告警:
plaintext
system-view
interface GigabitEthernet 1/0/1
undo mac-address learning enable
⚠️ 适用限制:端口无终端接入、不需要二层转发,接入终端会断网,办公业务端口不推荐。
方案四:SNMP Trap 单端口抑制(补充,Trap 告警屏蔽)
若网安通过 SNMP Trap 接收告警,日志过滤后仍需屏蔽 Trap:
端口配置无限 MAC,不触发入侵 Trap
plaintext
interface GigabitEthernet 1/0/1
port-security enable
port-security max-mac-count unlimited
port-security violation alarm-only
若仍有 Trap,只能全局关闭 MAC / 端口安全 Trap(会影响所有端口,不推荐)
plaintext
undo snmp-agent trap enable mac-address
undo snmp-agent trap enable port-security intrusion
最终推荐落地步骤(无全局影响,精准单端口)
使用信息中心日志过滤(方案二),只屏蔽目标端口 MAC / 端口安全日志;
端口配置port-security max-mac-count unlimited alarm-only,避免触发入侵告警;
验证:接入终端,查看网安是否不再收到该端口未绑定 MAC 告警;
查看过滤策略:display info-center filter、display logbuffer | include GigabitEthernet 1/0/1。
排查步骤与配置命令:
1. 确认端口安全默认行为
华三交换机端口默认开启MAC地址学习,未绑定MAC时若触发非法MAC接入会上送告警。需通过端口安全策略抑制告警。
2. 配置端口安全为“不限制MAC”
bash
[Switch] interface GigabitEthernet 0/0/1 # 进入目标端口
[Switch-GigabitEthernet0/0/1] port-security enable # 启用端口安全
[Switch-GigabitEthernet0/0/1] port-security max-mac-count unlimited # 允许无限MAC地址
[Switch-GigabitEthernet0/0/1] port-security violation alarm-only # 仅告警不限制(需网安设备支持)
3. 隔离网安告警源
若网安设备通过SNMP或RMON采集告警,需在交换机上关闭端口安全相关告警:
bash
[Switch] undo info-center logport # 关闭端口日志上送(需确认网安设备对接方式)
[Switch] snmp-agent trap enable port-security # 若必须保留trap,需配置过滤规则
关键说明:
端口安全策略优先级:max-mac-count unlimited 允许动态学习任意MAC,violation alarm-only 仅记录不阻断,避免端口down。
网安设备兼容性:需确认网安设备是否支持“仅告警不阻断”的端口安全策略,否则需在网安侧配置告警过滤规则。
全局 vs 端口级:仅对目标端口生效,其他端口仍保留原安全策略。
补充建议:
若上述配置无效,需确认网安设备告警触发源(如端口流量监控、MAC地址表动态变化),可临时关闭端口日志或流量统计功能。
暂无评论
1. 核心配置思路
2. 配置命令参考
default(实际配置时请替换为触发告警的具体模块名称,如 port-security 等),且向网安发送日志的方向为 loghost(日志主机方向):# 1. 确保信息中心功能已开启
<Device> system-view
[Device] info-center enable
# 2. 针对特定模块,配置日志过滤规则
# 语法:info-center source <模块名> <输出方向> <动作>
# 例如:拒绝将 default 模块的日志发送到 loghost 方向
[Device] info-center source default loghost deny
# 3. (可选)如果您只想屏蔽特定级别(如 warning 级别以下)的告警
# [Device] info-center source default loghost level warning3. 排查与确认建议
- 确认模块名称:在配置过滤前,建议您先通过
display logbuffer或查看网安收到的原始日志,确认产生“端口未绑定MAC地址”这条告警的确切模块名称(Module)。 - 确认输出方向:确认您的交换机是通过什么方式将日志上送给网安设备的。如果是通过 Syslog 发送,方向通常是
loghost;如果是通过 SNMP Trap 发送,则方向是trap。 - 验证配置:配置完成后,您可以拔插网线触发一次告警,观察网安设备是否还会收到该条日志。
info-center source 的详细说明。暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论