30+技术大牛,横跨5大技术领域 推出避坑干货专栏,让升职加薪不秃头 >>>
0

我的帖子

个人中心

设置

  发新话题
公司使用华三的三层和二层交换机,划了vlan。可以上外网的电脑在深信服行为管理器(ac6.1)上绑定的ip和mac地址,但是不能上外网的电脑,全部是自动获取的内网ip,所以也就不知道对应的mac地址以及具体使用人。
    现在问题是,不能上外网的一台电脑,中毒,一直***该vlan内其他电脑,如何通过华三交换机或者深信服,禁止该ip访问其他电脑?
   感谢大神



对了,该电脑连接的是24口傻瓜交换机,所以没办法shutdown对应的华三交换机端口。请不要说单个电脑去找,谢谢。



引用:
原帖由 qq59c31b7de7d5a 于 2018-12-31 11:03 发表
公司使用华三的三层和二层交换机,划了vlan。可以上外网的电脑在深信服行为管理器(ac6.1)上绑定的ip和mac地址,但是不能上外网的电脑,全部是自动获取的内网ip,所以也就不知道对应的mac地址以及具体使用人。
    现在问题是,不 ...
开启端口的安全选项。比如开启arp snooping ,开启禁ping的acl。或者把这个mac或ip写入黑洞。都可以解决。



"大师,什么是快乐的秘诀?"
"不要和愚者争论."
"大师,我完全不同意这就是秘诀."
"是的,你是对的。"
引用:
原帖由 qq59c31b7de7d5a 于 2018-12-31 12:51 发表
对了,该电脑连接的是24口傻瓜交换机,所以没办法shutdown对应的华三交换机端口。请不要说单个电脑去找,谢谢。
既然该电脑连接的是24口傻瓜交换机

那么没法解决这个傻瓜交换机下的互访。



家用小路由器的WAN口是固化NAT转换的,单向,只向上转,无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。
建议拿胶布封闭小路由器WAN口,网线改插小路由器LAN口,关闭小路由器的DHCP服务,当交换机用。坚决使用WAN口的话,就只能那样了。

关于DMZ打印机,请看这里“点击进入”6楼看看。
24口啊 拔网线啊 12条一拔, 6条一拔 3条一拔 拔个几次就找到了



傻瓜交换机你想怎么解决,解决不了
就好像墨水滴到白开水里怎么阻止墨水扩散一样



你知道IP地址就肯定能查看mac地址(核心或汇聚上 dis arp | include xxx.xxx.xxx.xxx x是IP地址),然后用dis lldp nei 找到具体的设备。公司内的用傻瓜交接机,要IT来干啥的,把他配置成可管控的,dis arp 除上链和下链口,哪个口还在给其他口大量发数据的就禁用这个口OK。坚持用傻瓜交换机,只能一个一个去拔



顺便说下 深信服行为管理器只是针对终端访问外网做限制无法管控内网互访,深信服的mac地址限制也是针对访问外网做限制。



我记得原来有一个大白鲨软件就是查看哪些电脑在***




用科来,抓包




引用:
原帖由 mb5c0ceefa7c7d0 于 2019-01-02 16:00 发表
我记得原来有一个大白鲨软件就是查看哪些电脑在***
该软件貌似是***




‹‹ 上一贴:怎么修改思科AP系统的型号!!!   |   下一贴:AD域控下DNS获取问题 ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2019 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com