• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

华三非法设备限制

  • 0关注
  • 0收藏,58浏览
粉丝:0人 关注:0人

问题描述:

1.只有白名单MAC能拿到IP 
2.只有合法设备能进内网 
3.非法设备:不给IP + 不能通信 
这个要怎么做呢,华三交换机的架构有核心 汇聚 接入

2 个回答
粉丝:0人 关注:0人

1、增加准入功能
2、关闭接口arp学习,每台设备挨个手动绑定

暂无评论

粉丝:18人 关注:2人

华三交换机 白名单 MAC 管控方案(接入 + 汇聚 + 核心三层架构,非法设备不分配 IP、无法内网通信)
方案选型结论
接入层部署 端口安全 + 静态 MAC 白名单 + DHCP Snooping+IP Source Guard 组合,完美实现需求:
白名单 MAC 正常获取 DHCP、正常访问内网;
陌生非法 MAC:DHCP 拒绝分配 IP、无法转发任何流量,隔离在接入端口。
一、整体原理分层分工
接入交换机(必配,管控终端入口)
端口安全:仅允许白名单 MAC 上送流量,非法 MAC 直接丢弃报文;
DHCP Snooping:拦截非法终端 DHCP 请求,不给分配 IP;
IPSG:绑定合法 MAC+IP,防止私设静态 IP 非法上网。
汇聚 / 核心交换机(辅助加固,阻断跨网段非法流量)
全局 DHCP Snooping 信任口;
可选 ACL 黑名单兜底,拦截非白网段非法 IP。
二、接入交换机完整配置(核心实现需求)
1. 全局基础开启
bash
运行
system-view
# 1. 开启DHCP Snooping,拒绝非法终端DHCP申请
dhcp snooping enable
dhcp snooping check mac-address enable
# 上联汇聚口设为信任端口(仅上联允许DHCP服务器报文)
interface GigabitEthernet 1/0/24
dhcp snooping trust
quit

# 2. 全局开启端口安全
port-security enable
# 非法MAC动作:shutdown端口 / discard丢弃(推荐discard,不直接关端口)
port-security intrusion-mode discard
2. 接入用户端口配置(以 G1/0/1 为例)
bash
运行
interface GigabitEthernet 1/0/1
port link-type access
port access vlan 10
# 开启端口安全
port-security
# 端口仅学习静态白名单,禁止动态学习陌生MAC
port-security mac-address static 00xx-xxxx-xxxx vlan 10
# 限制端口最大MAC数量=白名单个数,杜绝多设备接入
port-security max-mac-count 1
# 绑定IP+MAC(IP Source Guard,防止手动配静态IP绕开管控)
ip source binding static 00xx-xxxx-xxxx ip-address 192.168.10.10 vlan 10
quit
多条白名单:重复 port-security mac-address static 添加多台合法设备 MAC;
port-security max-mac-count 修改为白名单总数。
3. 效果说明
非法设备发 DHCP 请求:DHCP Snooping 校验 MAC 不在白名单,直接丢弃 DHCP Discover,拿不到 IP;
非法设备手动填静态 IP:IP Source Guard 无对应绑定条目,单播 / 广播流量全部丢弃,无法和内网任何设备通信;
非法 MAC 所有二层报文:端口安全 intrusion-mode discard,交换机直接丢弃,不转发至内网。
三、汇聚 / 核心交换机配套配置(兜底加固)
汇聚上联核心、下联接入端口配置 DHCP 信任,无需额外端口安全;
可选三层 ACL 兜底(核心 VLANIF 接口调用),拦截非白名单 IP 段:
bash
运行
acl number 4000
rule permit source 192.168.10.0 0.0.0.255 # 合法白名单网段
rule deny
interface Vlan-interface 10
packet-filter 4000 inbound
四、两种扩展模式(按需选用)
模式 1:终端数量少,纯静态 MAC 白名单(上面基础配置,稳定无依赖)
适合固定办公 PC、打印机,MAC 长期不变,无需服务器。
模式 2:终端多、人员流动大 → 结合 iMC EIA 802.1X(企业推荐)
iMC 录入员工设备 MAC 白名单;
接入开启 dot1x 认证,只有登记 MAC + 账号才能获取 IP、接入内网;
未录入非法设备:认证失败,DHCP 拒绝、流量阻断,适合大量移动终端场景。
五、关键功能作用拆解(对应你的 3 条需求)
只有白名单能拿到 IP:DHCP Snooping + 端口安全,非法 MAC 的 DHCP 报文直接丢弃,DHCP 服务器不会下发地址;
只有合法设备进内网:端口安全丢弃非法 MAC 二层流量,无法转发至汇聚 / 核心;
非法设备无 IP、不能通信:
自动获取 IP:DHCP 请求被拦截,无地址;
手动静态 IP:IP Source Guard 无绑定,三层转发直接阻断;
二层广播 / 互通:端口安全丢弃报文,完全隔离。
六、排错校验命令
bash
运行
# 查看端口安全静态白名单
display port-security mac-address static
# 查看IP+MAC绑定条目
display ip source binding
# 查看DHCP Snooping丢弃的非法DHCP报文
display dhcp snooping statistics
# 查看端口非法入侵记录
display port-security intrusion-record
七、补充优化建议
不要用intrusion-mode shutdown:非法设备一插直接关闭端口,运维麻烦;discard仅丢流量,端口保持 UP;
打印机、IP 电话固定静态 MAC,全部写入端口 static 白名单;
跨楼层多接入交换机,统一模板批量下发配置,简化维护;
若有无线 AP,AP 上联口同样配置端口安全,仅放行 AP 自身 MAC,杜绝私接无线路由。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明