外来设备禁止接入网络的配置方法

最新推荐文章于 2025-05-13 18:05:56 发布
最新推荐文章于 2025-05-13 18:05:56 发布
阅读量770 收藏 11
点赞数 4
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_57121953/article/details/141351263
版权

有些单位的网络管控很严格,无论是有线还是无线,凡是未经允许的设备,都是禁止联网的。

一、先来说有线网络的配置方法:在交换机上做接口限制,所有电脑从固定的接口上线;并且,外来人员的电脑无法接入网络。

IPSG是针对基于源IP的攻击提供的一种防御机制,可以有效的防止基于源地址欺骗的网络攻击行为,正适用于上述配置要求。

IPSG配置方法:

2ad73462613f05de54bb972c60a7e62e.jpeg

1、配置要求如下:只允许PC1上外网,擅自修改IP将无法接入网络;未经允许的电脑,无法接入网络。

2、配置过程:    

(1)核交换机的配置:

[Core]vlan 10    //创建vlan10

[Core-vlan10]int g0/0/1

[Core-GigabitEthernet0/0/1]p l t    //1口配置为trunk模式

[Core-GigabitEthernet0/0/1]p t a v 10    //允许vlan10通过

[Core-GigabitEthernet0/0/1]int vlan 10

[Core-Vlanif10]ip add 192.168.10.254 24    //配置vlan的IP地址

[Core-Vlanif10]q

[Core]acl 3001    //配置只允许PC1上网的ACL

[Core-acl-adv-3001]rule permit ip source 192.168.10.1 0

[Core-acl-adv-3001]rule deny ip source 192.168.10.0 0.0.0.255

[Core-acl-adv-3001]q

[Core]traffic classifier c1    //配置基于ACL的流分类

[Core-classifier-c1]if-match acl 3001

[Core-classifier-c1]q

[Core]traffic behavior b1    //配置流行为

[Core-behavior-b1]permit

[Core-behavior-b1]q

[Core]traffic policy p1    //配置流策略

[Core-trafficpolicy-p1]classifier c1 behavior b1

[Core-trafficpolicy-p1]q

[Core]int g0/0/2

[Core-GigabitEthernet0/0/2]traffic-policy p1 outbound     //在2口应用流策略

[Core-GigabitEthernet0/0/2]return    //返回

         save    //保存配置

(2)接入换机的配置:    

         sys

Enter system view, return user view with Ctrl+Z.

[Huawei]sys Sw1

[Sw1]vlan 10

[Sw1-vlan10]ip source check user-bind enable    //在VLAN10启用IPSG功能

[Sw1-vlan10]q

[Sw1]int g0/0/3

[Sw1-GigabitEthernet0/0/3]p l t

[Sw1-GigabitEthernet0/0/3]p t a v 10

[Sw1-GigabitEthernet0/0/3]int g0/0/1

[Sw1-GigabitEthernet0/0/1]p l a

[Sw1-GigabitEthernet0/0/1]p d v 10

[Sw1-GigabitEthernet0/0/1]int g0/0/2

[Sw1-GigabitEthernet0/0/2]p l a

[Sw1-GigabitEthernet0/0/2]p d v 10

[Sw1-GigabitEthernet0/0/2]q

[Sw1]user-bind static ip-address 192.168.10.1 mac-address 5489-986A-4E77 interfa

ce g0/0/1    //绑定IP、Mac及端口

[Sw1]user-bind static ip-address 192.168.10.2 mac-address 5489-9876-206F interfa

ce g0/0/2

[Sw1]p g g0/0/1 to g0/0/2

[Sw1-port-group]ip source check user-bind en          //在1-2端口启用IPSG功能

[Sw1-port-group]q

配置完成,查看静态绑定表信息是否正确:display dhcp static user-bind all

49b6690ae1bb9c6d9a10fd986d376169.jpeg

再确认一下,1-2接口是否已经启用IP绑定;

4650bf646b0a63dadf0d32a386799b94.jpeg

二、再来说无线网络的配置方法:配置VAP方式的STA白名单,只有白名单内的终端才能连接WIFI。

参考示意图如下    

1da650a5e5615afd54ffaa98fe5f4b67.png

防止私自接交换机_【s5700交换机】防止用户私设IP
weixin_42458128的博客
12-23 1563
设备类型:华为S5700系列交换机应用场景:在不靠vlan的情况下,实现端口IP隔离,防止接入用户私自使用未分配的IP以下方法是 IP+MAC+端口 的绑定,这样可以使未绑定(分配)的IP不被非法使用。此方法需要用到DHCP Snooping 功能。1、先开启全局DHCP Snooping[HUAWEI] dhcp snooping enable2、配置端口所属vlan[HUAWEI] vla...
h3c交换机限制端口访问_h3c交换机设置限制公司员工访问外网
weixin_39848953的博客
12-21 2705
h3c交换机设置限制公司员工访问外网使用的环境,把不能访问80端口跟qq服务器的用户划入vlan 50。acl number 3001设置访问控制列表rule 100 deny tcp destination-port eq www 设置规则关掉80端口rule 110 deny ip source 192.168.50.0 0.0.0.255 destination 112.90.0.0 0....
华为交换机-端口安全
weixin_46686336的博客
07-29 810
端口安全是指在网络设备中对物理端口和逻辑接口进行限制和保护,以防止未经授权的访问和攻击。
交换机:端口安全与访问控制指南
GZ_TOGOGO的博客
10-24 1851
在这个配置中,我们创建了一个编号为10的ACL,只允许来自192.168.1.0/24网络的流量通过端口,并将该ACL应用到fastEthernet 0/1接口的入方向(inbound)。应用ACL到端口或VLAN:一旦ACL创建完成,可以将其应用到特定的端口或VLAN上,以限制或允许通过的数据流量。通过绑定特定的MAC地址到交换机的某一端口上,防止其他设备通过该端口接入网络,从而提高网络的安全性。应用到端口:将过滤规则应用到特定的端口,确保只有在列表中的MAC地址才能通过端口发送或接收流量。
华为交换机使用高级ACL限制不同网段的用户互访案例
zqyqdn2021的博客
11-11 1863
限制不同网段互访,华为交换机配置,ACL访问控制列表配置,华为数通案例
单位严禁非授权设备接入网络,此方案高效防护,安心无忧!
mengmeng_921的博客
08-20 440
*动态绑定:**借助DHCP服务器,根据MAC地址动态分配IP,自动化程度高,适合动态网络环境,但需防范DHCP服务器被攻击的风险。**定义:**MAC地址是网络接口卡(NIC)在网络中的唯一硬件标识,由制造商在生产时分配,通常采用十六进制格式展现。**定义:**IP地址是设备在互联网或网络中的逻辑定位符,分为IPv4(32位)与IPv6(128位)两种版本。**静态绑定:**手动在网络设备(路由器、交换机)中配置,指定MAC与IP的对应关系,安全性高但管理繁琐。
大势至局域网文件防泄密系统如何隔离局域网电脑、阻止外来电脑接入局域网
10-01
大势至局域网文件防泄密系统是针对企业网络安全管理设计的一款专业软件,它能够有效地隔离非授权的计算机,防止外来电脑接入局域网,从而保护内部网络的安全。通过该系统的实施,企业可以避免外部设备对内部网络的...
实验32-PVLAN接入技术v3.6
06-23
### 实验32-PVLAN接入技术详解 #### 32.1 组网一:PVLAN应用 ##### 32.1.1 组网需求 在一个具体的应用场景中,一家公司希望实现其产品资料服务器能够被内部员工以及来访嘉宾(即外来业务人员)访问。其中,内部...
xxxx有限公司计算机及相关设备管理规定.docx
12-18
- 公司以外的设备接入局域网需经过信息管理员检查,以防止病毒传播。 - 员工不得访问不良网站,外来媒体需先杀毒后使用。 - 禁止服务器上存储非业务相关数据,数据保密是员工义务,不得擅自拷贝或删除公司数据...
信息系统和信息设备管理制度.docx
06-17
- 网络结构和设备配置需经网管批准才能修改,外部电脑未经许可不得接入公司网络。 - 设定了五级安全保护等级,限制网络访问权限,确保合规使用互联网。 6. **移动外设管理**: - 公司发放的移动设备仅限内部使用...
信息化软硬件设备 安全管理制度.docx
12-22
- **信息安全**:员工对信息的安全负责,保密文件不得上网共享,外来设备不得私自接入网络。 - **黑客软件**:禁止使用黑客工具攻击其他电脑或服务器。 - **网络犯罪**:不允许利用公司网络资源进行非法活动。 ...
局域网内设备禁止上网,并且不影响实现远程控制,等其它设置
xsl6610的博客
07-03 1729
一台多人使用的服务器,现在需要它禁止上网,并且实现局域网内多人可以远程控制
配置基于接口的ARP表项限制和端口安全(限制用户私自接入傻瓜交换机或非法主机接入
m0_60444349的博客
06-28 2527
应用场景:为了防止未授权用户接入网络、用户私自接入交换机、路由器等设备,给公司网络管理带来安全隐患。通过相关技术手段给予禁止方法有如下二种:配置端口安全和配置基于接口的ARP表项限制分别介绍二种方法的操作原理及配置:一、端口安全:将设备端口学习到的动态MAC地址转换为安全MAC地址。在接口下使能此功能,并限制接口最大可学习的MAC表项数量,当超过设置值时,将丢弃后续用户的报文,从而确保接口的终端接入安全,增强设备安全性。1.1 安全MAC地址分为以下三类:(1)安全动态MAC地址(使能port-secur
Juniper防火墙--HTTP403禁止访问
网络工程技术小白
02-20 451
Juniper防火墙 SSG550M
锐捷交换机vlan隔离(wifi段仅能访问外网,和内网隔离)
09-15 3603
但连接在S3上的AP,和S2之间用trunk连接,通过管理vlan100段通信,走的三层默认路由,vlan80段的IP到了核心的网关上,但因为无法和管理段通信,所以无法回来了,就出现了无法获取IP地址的现象。然后增加了一条默认路由,让它走vlan80段网关172.16.80.1,然后测试,发现有的手机能获取到IP,但很慢,有的干脆无法获取IP,电脑端也获取到的是169网段的IP,不知道原因在哪里,后来看到vlan80段有个策略路由,看了没什么用,于是删掉,故障依旧。
交换机安全加固配置(H3C)
normanhere的博客
06-05 1998
开启该功能后,如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。在接口上开启此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。否则,认为此报文合法,继续进行后续处理。解释:ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。
锐捷debug记录:服务器禁止设置多个IP来提供代理服务XXX把下面的网卡禁用或断开连接。
热门推荐
qq_37335507的博客
10-20 1万+
学校使用锐捷来进行校园网网络连接,由于之前使用了虚拟机,导致出现问题。 一、报错详情 服务器禁止设置多个IP来提供代理服务,为了避免您出现该问题, 请打开网络连接,按下面的步骤修复后再进行认证。 把下面的网卡禁用或断开连接。 Hyper-V Virtual Ethernet Adapter 二、解决方法 Step 1:右键单击“此电脑”,选择“管理” Step 2:按如下步骤将Hyper-V Virtual Ethernet Adapter禁用。右键单击,选择禁用即可。 Step3:重新连接锐捷,down
禁止员工私接网络设备到公司网络
IT界的无名小卒
02-07 1815
禁止员工私接网络设备到公司网络中 背景: 相信每一个IT管理员都会时常碰到,员工私自把自己的无线路由器(AP模式)接入到公司网络使得自己的无线设备可以连接上网。或者私自级联交换机获得更多的网络端口。这种没有得到授权的操作,给IT带来了诸多的烦恼,例如 a.网络出口带宽被非业务流量长时间占用,导致正常业务用户网络缓慢。b. 无线频段与公司无线频段形成干扰,影响正常WiFi用户使用无线 解决方案: 这里介绍一种禁止私自级联交换机或路由器的解决方案,当然这里的交换机是需要网管型的交换机才可以。 使用PORTFAS
转发多台px4仿真UDP数据到地面站
最新发布
龙猫的博客
05-13 463
在上述代码中,UDP 在接收时是用不到此ip的,也就是 gcs_sock.bind(('', gcs_tx_port)),函数中的 ip 可以不填,只需要将端口号填对即可,但在发送时,需要指定 ip,而且在给飞控发送心跳时,需要绑定端口号为飞机的端口号。,因此,需要编写一个脚本在主机运行,接收 wsl 中仿真飞机的数据,通过主机的 ip 与端口发送给 app 的主机 ip 与端口(),并且,接收 app 的命令,转发给三台飞机(命令中会包含飞机id,因此脚本不需要做筛选,直接转发给三个即可)。
集团网络安全管理制度详解:保障网络运行与数据安全
网络安全管理方案是针对集团局域网和互联网接入服务的安全保障措施,旨在确保网络的稳定运行和信息安全。该制度由网络维护中心主导,强调了对网络设备的专管和维护规范,规定只有授权人员才能进行网络设备的安装和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT狂人日志

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值