华为交换仅允许指定的MAC地址能获取IP(无线篇)易上手

原创 已于 2025-11-03 15:13:48 修改 · 407 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#macos

于 2025-11-03 15:12:11 首次发布

在华为AC+AP无线网络中,可以通过配置STA白名单功能来实现只允许指定设备访问指定WIFI的需求。以下是详细的配置步骤:

配置思路

配置STA白名单的核心思路是:

  1. 创建白名单模板:定义允许接入的MAC地址列表
  2. 配置VAP模板:在无线服务模板中引用白名单模板
  3. 应用配置:将配置下发到AP组或特定AP

详细配置步骤

1. 创建STA白名单模板

# 进入系统视图
<HUAWEI> system-view
[HUAWEI] sysname AC
[AC] wlan

# 创建STA白名单模板
[AC-wlan-view] sta-whitelist-profile name office-whitelist

# 添加允许接入的MAC地址
[AC-wlan-whitelist-prof-office-whitelist] sta-mac 5489-98F1-5454
[AC-wlan-whitelist-prof-office-whitelist] sta-mac 00E0-FC20-746B
[AC-wlan-whitelist-prof-office-whitelist] sta-mac 0463-653E-B5A7
[AC-wlan-whitelist-prof-office-whitelist] quit

2. 配置VAP模板引用白名单

# 创建或进入VAP模板
[AC-wlan-view] vap-profile name office-vap

# 启用白名单功能并引用模板
[AC-wlan-vap-prof-office-vap] sta-access-mode whitelist office-whitelist
[AC-wlan-vap-prof-office-vap] quit

3. 应用配置到AP组

# 进入AP组视图
[AC-wlan-view] ap-group name office-group

# 将VAP模板应用到AP组的射频
[AC-wlan-ap-group-office-group] vap-profile office-vap wlan 1 radio all
[AC-wlan-ap-group-office-group] quit
[AC-wlan-view] quit

配置说明

白名单工作原理

  • 白名单机制:只有白名单列表中的MAC地址才能接入无线网络,其他设备将被拒绝
  • 生效范围:配置在VAP模板中,只对引用该模板的SSID生效,不影响其他无线网络
  • 生效时机:对已经上线的用户不立即生效,需要断开重连后才会应用新的接入控制策略

配置注意事项

  1. MAC地址格式:建议使用大写字母,格式为XXXX-XXXX-XXXX
  2. 容量限制:不同型号的AC设备支持的白名单条目数不同,AC6805最多支持65536个MAC地址
  3. 批量导入:支持通过模板批量导入MAC地址,提高配置效率
  4. 与黑名单的关系:如果同时配置了白名单和黑名单,设备会先检查黑名单,再检查白名单

验证配置

查看白名单配置

[AC] display sta-whitelist-profile name office-whitelist

查看客户端接入状态

[AC] display station all

应用场景

这种配置方式特别适用于以下场景:

  • 企业办公网络:只允许公司员工设备接入
  • 访客网络:只允许授权的访客设备接入
  • 高安全环境:如财务部门、研发部门等需要严格控制接入的设备

通过以上配置,只有白名单中的设备才能连接到指定的WIFI网络,其他设备将被拒绝接入,从而实现了严格的接入控制。

double_fish90
关注
第2章:交换实验环境与工具实战
老韩的Linux云计算架构师进阶之路
12-09 20
MAC地址的前24位(OUI,Organizationally Unique Identifier)由IEEE分配给设备厂商,通过MAC地址查询工具可快速定位设备厂商,辅助故障排查(如识别未知MAC是否为合法设备)、网络安全审计(如排查非法接入设备)和资产管理(如统计各厂商设备数量)。EVE-NG是开源多厂商模拟器,支持华为、华三、Cisco、Juniper等主流厂商的交换设备仿真,通过加载真实设备镜像(如华为VRP、华三Comware、Cisco IOS)实现高保真度仿真,适合多厂商混合交换拓扑实验。
华为ensp模拟器实验:端口安全绑定MAC地址ip地址
热门推荐
weixin_57704002的博客
08-17 1万+
交换机端口绑定MAC地址IP地址
华为交换机上IPMAC绑定,建立访问控制列表,实现只有经批准的PC才能接入网络。
sustwct的专栏
12-02 7113
1、  问题描述 华为交换机上IPMAC绑定,建立访问控制列表,实现只有经批准的PC才能接入网络。   2、  解决方案 建立访问控制列表 >system-view            进入系统模式 ]acl number 6000        建立访问控制列表 ]rule 0 deny ip         首先禁止任何IP ]rule 1 permit ip sourc
由浅入深玩转华为WLAN—-9 安全认证配置(2)基于无线MAC地址认证
网络之路Blog(其他平台同名)
03-09 3035
简介 之前已经介绍过无线的认证了,包括open以及WPA的方式,这次介绍一个在企业网络中比较特殊的方式,基于客户的MAC地址认证,它必须实现知道客户端的MAC地址,然后在本地或者基于radius外部数据库的方式。 掌握目标 一、AC的基本配置 二、测试是否正常拨入 三、基于本地MAC地址的方式 四、基于radius 拓扑说明(省略) 这里拓扑很简单,具体配置都在AC上面,所以参考之前的拓扑即可。 一、AC的基本配置 Dhcp enable [Huawei-AC6605]int vlan 1
华为交换机配置mac地址白名单接入
zhaoxinga的博客
10-27 7243
华为交换机配置mac地址白名单接入
sx:快速强大于使用的现代化网络扫描器
m0_59598029的博客
08-02 994
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
华为交换允许指定MAC地址获取IP(通用
最新发布
double_fish90的博客
11-03 476
华为交换机可通过配置DHCP静态绑定与IP/MAC过滤机制,实现允许指定MAC地址获取IP地址。主要步骤:1)启用DHCP服务并创建VLAN接口;2)配置接口地址池模式,为指定MAC地址静态绑定IP;3)通过不配置动态分配范围或缩小地址池限制未授权访问;4)可选配置端口安全或IP Source Guard增强安全。验证使用display命令查看地址分配情况。该方法有效提升网络接入安全,适用于有线无线场景。
华为交换机根据MAC地址禁止设备上网
吴四方的博客
12-07 1万+
此命令使用了黑洞表项,即将MAC地址加入到黑洞表项中,这样当交换机接收到目的或源为此MAC地址的帧时会将自动丢弃掉。借此实现禁止该MAC地址设备上网的功能。
华为交换机 端口绑定MAC地址
fonaix的博客
11-09 1万+
华为S2352P二层交换机绑定MAC与端口绑定最近有这个需求:如何配置MAC与端口绑定,使其他设备在此端口不能上网?#1.在端口中关闭MAC学习 [huawei]interface Ethernet0/0/1 [huawei-Ethernet0/0/1]mac-address learning disable [huawei-Ethernet0/0/1]qu #2.将MAC绑定到端口0/0/1上...
三层交换机怎样设置MAC白名单?只允许指定MAC地址上网
08-15 5375
在三层交换机环境下,由于三层交换机屏蔽了终端的实际mac地址,上层的上网行为管理在不开启“MAC地址收集器”的情况下,是检测不到终端的实际mac地址的。这样也就不能实现mac地址黑白名单的功能。网络结构如下图:1. 开启mac地址收集器不开启mac地址收集器时,WSG的实时流量图中显示的mac地址都是一样的。需要开启WSG模块-其他里面的“mac地址收集器”。 这样才可以获取...
(云计算HCIP)HCIP全笔记(七)本介绍网络技术基础,包含:网关、交换机、路由的介绍,OSI网络参考模型、TCP/IP协议栈、TCP和UDP协议、SSH协议
拔高、提升、创新!
04-27 990
IP地址是指在网络中用于标识发送或接收数据报文设备的唯一的逻辑地址。标识主机或网络设备(标识其网络接口,提供其在网络中的位置)网络寻址通信:是指人与人、人与物、物与物之间通过某种媒介和行为进行的信息传递与交流。网络通信:是指终端设备之间通过计算机网络进行的通信。虚拟的信息传递与真实的物品传递过程有许多相似之处TCP/IP协议栈定义了一些列的标准协议。
二层交换MAC地址过滤
01-08
二层交换MAC地址过滤,讲解了华为交换地址配置
(云计算HCIP)HCIP全笔记(十五)本介绍网络虚拟化,内容包含:网桥、虚拟交换模型、网络安全策略、安全组、Trunk口、流量走向、端口组...
拔高、提升、创新!
06-05 1102
Open vSwitch(OVS)是一款基于软件实现的开源虚拟以太网交换机。OVS能够支持多种标准的管理接口和协议,还可以支持跨多个物理服务器的分布式环境。OVS提供了对OpenFlow协议的支持,并且能够与众多开源的虚拟化平台相整合。传递虚拟机VM之间的流量实现VM和外界网络的通信开源的一款软件状态可移植适应动态网络支持逻辑标签的维护支持硬件集成与物理交换机功能相同VLAN、QoS(服务质量保障/虚拟机限速)、支持协议:Netflow\sFlow、SPAN、RSPAN…
华为Quidway S3100交换机配置操作手册
华为”则确认制造商背景,提示读者可结合华为其他产品线(如AR路由器、AC无线控制器)进行统一组网设计;“交换机”和“Ethernet Switch”定义设备类型,属于数据链路层核心转发设备;“配置手册”和“操作手册”...
华为网络基础教程:全面解析网络核心技术
包括物理层的传输介质(如同轴电缆、双绞线、光纤等)与连接设备,数据链路层的MAC地址交换机的工作原理,网络层的IP地址划分、子网划分与路由选择,传输层的TCP与UDP协议特性,以及应用层常见协议如HTTP、FTP、...
华为AP设置白名单
Wwwwwwhyyyy的博客
12-27 2015
黑名单众所周知就是限制某些设备、IP等等不能加入,我们设置了某些条件,来限制;那白名单肯定就恰恰相反了,只允许这些设备、IP能加入。sta-mac XXXX-XXXX-XXXX #要加入白名单的MAC,如过要加描述直接在后面description。我觉得还是敲命令来事快一点,使用可视化界面不是很效率的感觉。最主要还是看个人爱好吧。sta-whitelist-profile name XXX #白名单表名。在设置白名单之前,我们需要知道设备的MAC地址
华为交换机安全端口实验
tushanpeipei的博客
12-13 5420
模拟器:eNSP 安全端口: 将设备端口学习到的MAC地址变为安全MAC地址(分为两类:安全动态MAC地址和Sticky安全地址,这两类地址是设备信任的地址),以阻止除了安全动态MAC和静态MAC之外的主机通过本接口和交换机通信。 安全MAC地址类型: 1.安全动态MAC地址: 当接口上学习到了MAC地址地址会转换为动态MAC地址,如果当接口上学习的最大MAC地址数量达到上限以后不会再学习新的安全动态MAC地址,并且只允许原来学习到的地址的设备进行入交换机进行通信。开启端口后,默认学习到的最大地址数为1,
华为添加终端白名单
姜亚轲的博客
09-06 8583
本文档为方便德邦的小同志们将自己的设备添加到华为设备的白名单里面,MAC认证有几种方法,其中添加白名单算是比较简单的,直接登录AC的Web界面添加就行。 一、获取设备MAC地址 1、PDA 右下角无线图标 &gt;&gt; 无线状态 &gt;&gt; IPv4状态 &gt;&gt; MAC地址 2、电脑 按开始进入cmd界面 &gt;&gt; 敲入ipconfig /all ...
华为交换机配置dhcp只让固定mac地址获取ip
05-15
<think>好的,用户想配置华为交换机的DHCP功能,只允许固定MAC地址获取IP。首先,我需要回忆华为交换机的相关配置命令和步骤。用户之前提到了IPMAC绑定,所以应该使用静态绑定功能。 根据引用[2]中的命令示例,应该是在DHCP地址池中使用static-bind命令。我需要确认是否需要先创建地址池并关联到对应的VLAN,然后在该地址池下绑定IPMAC地址。另外,用户可能还需要全局开启DHCP服务,并配置接口为DHCP模式。 接下来,可能需要检查配置的顺序是否正确:先进入系统视图,然后创建或进入IP地址池,再执行静态绑定。还要注意退出配置视图。此外,是否需要排除其他动态分配的可能性,比如确保地址池中除了静态绑定外没有其他可分配的IP范围,或者通过ACL限制只允许特定MAC地址获取IP。 用户的需求是限制固定MAC可以获取IP,所以可能需要结合DHCP Snooping或者端口安全功能,但根据引用中的示例,使用静态绑定应该足够。但需要确认这样做后,其他未绑定的MAC是否无法获取IP。可能需要测试验证,如果其他设备请求IP时,是否会拒绝分配。 另外,用户可能需要保存配置,避免重启后丢失。最后,生成相关问题时要考虑用户可能的后续疑问,比如如何验证配置是否生效,如何处理多个MAC地址的情况,或者如何修改已绑定的条目。</think>### 华为交换机配置DHCP静态绑定MAC地址方法 通过DHCP地址池的IP/MAC静态绑定功能,可实现允许授权设备获取指定IP地址。以下是具体操作步骤: 1. **启用DHCP服务** ```shell sysname Switch dhcp enable # 全局开启DHCP服务[^2] ``` 2. **创建地址池并绑定MAC** ```shell ip pool vlan10 # 创建地址池(以VLAN10为例) static-bind ip-address 192.168.1.100 mac-address 00e0-fc12-3456 # 绑定第一个MAC static-bind ip-address 192.168.1.101 mac-address 00e0-fc12-789a # 绑定第二个MAC gateway-list 192.168.1.1 # 配置网关 network 192.168.1.0 mask 255.255.255.0 # 声明地址池范围 excluded-ip-address 192.168.1.1 # 排除网关地址 ``` 3. **接口配置** ```shell interface Vlanif10 ip address 192.168.1.1 255.255.255.0 dhcp select global # 关联全局地址池 ``` 4. **(可选)增强安全** ```shell interface GigabitEthernet0/0/1 port-security enable # 开启端口安全 port-security mac-address sticky # 启用粘滞MAC ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值