« »

网件交换机绑定防御Pubwin后台掉包

前面我们谈到Pubwin官方服务器有点树大招风,感染了一些不和谐的元素,导致我们的一些使用Pubwin收费系统的网吧在某些特定条件会有Pubwin控制台ping到Pubwin后台服务器会丢包的情况,具体的内容不再重复叙述,前面给过一些我个人肤浅的见解。

之前一篇博文说到以锐捷交换机(2724)为例,绑定Pubwin后台服务器的IP和MAC地址到对应端口来做一些防御,这篇以“网件”品牌交换机为例,再分享一下在网件GS724TV3版本的交换机上如何设置绑定Pubwin后台服务器的MAC地址到指定端口来防御Ping掉包,和如果设置绑定对应的GS724TV3上的端口只允许走一条IP和MAC的记录信息。

不是我叙述的太重复,而是网件设置起来真不是那么方便,毕竟外国人的东西,外国人的思维模式,和我们平时用的还是有点差别的。下面简单说明一下我的环境:网件GS724Tv3交换机作为网吧主干交换,Pubwin后台服务器接入网件GS724T的第24号端口(g24),各位有需要的童鞋注意看一下图中画圈的位置,本文中也会做一些简单的描述。

首先请先熟悉一下下图,在进入GS724Tv3交换机后您所设置更改了一些东西,请注意您的浏览器的最右下角,这款设置的确认、添加等按钮都是放在最角落,本文之后的内容里就不再描述了。

那么,现在开始了。先介绍一下在网件GS724Tv3上的端口和MAC绑定(本文开始的时候说过,这款设置的设置习惯和我们平时用的不太一样,所以……)

进入Security – > Traffic Control – > Port Security – > Port Security Configuration,将Port Security Mode设置为Enable,点击右下角的APPLY。

在Interface Configuration项设置端口启用此功能。

说明:启用Port Security(端口安全)的端口受到限制,不启用此功能的端口将仅受到Switching – > Address Table – > Advanced – > Static Addresses下MAC地址列表的限制。如:
我这次的Pubwin后台服务器接在24号端口那么在g24端口前打勾,将Port Security设置为Enable;
Max Allowed Dynamically Learned MAC(允许动态学习的最大MAC地址数量),默认值为600,这里设置为0(即不允许动态学习MAC地址);
Max Allowed Statically Locked MAC(允许手动添加静态MAC地址的最大数量),默认值为20,可根据需要设置0-20的值,我设置的是1,毕竟,只是接一台机器而已。

设置修改完成之后,点击右下角的APPLY。

此时,我们看到Port Security Configuration项的Port Security Violations列表显示了已连接的MAC地址的对应关系。

接着我们需要再到Switching – > Address Table – > Advanced – > Static Addresses,在VLAN ID下拉列表中选择VLAN号如1(我没划分VLAN,就一个默认的所以就1个,具体环境具体分析),在MAC Address下输入Pubwin后台服务器的MAC地址,在Interface下选择端口g24(上面说了,我的后台是接在24端口)。

到这里,我们就完成了端口和MAC的绑定,也就是你添加的MAC只可以从这个端口走,插出去别的口或者别的线接进来都不管用,但还涉及到一步如果是改了IP也不想让他通过呢?那么请继续向下看,下面会介绍如果实现端口、IP、MAC三方面绑定。

GS724Tv3的IP ACL有两种:标准IP ACL,序号从1-99,仅能对源地址进行过滤;扩展IP ACL,序号从100-199,其设置规则的参数更多,如可对源地址/目标地址/协议类型等进行过滤。简单介绍一下我设置的步骤如下:

进入Security – > ACL – > Advanced – > IP ACL,新建一个IP ACL,序号从1开始,点ADD添加。

进入IP Rules,建立一条新的规则,即允许你的Pubwin后台服务器的IP访问所有服务。 Rule ID:每条ACL对应的规则数量为10条,序号为1-10; Action:选择Permit(允许)或Deny(禁止)的行为; Match Every:选择True说明这是最后一条匹配的规则,否则请选择False; Source IP Address/Source IP Mask:匹配源IP地址/反掩码,如单个IP地址的掩码为255.255.255.255,其反掩码为0.0.0.0。

设置完成之后,点ADD添加。

注:由于ACL默认都是禁止所有访问的,因此没有必要添加禁止其他IP访问的规则了。

将这条ACL绑定到端口。

进入IP Binding Configuration,在ACL ID处选“1”,在Port Selection Table下的黄条上点一下,即可出现所有端口。选择端口24(根据你实际情况),点击右下角的APPLY将这条ACL应用到此端口。

此时端口g24就只允许Pubwin后台服务器的这个IP在上述你填入的MAC的情况下接入了。效果就和博文开始的时候说到绑定锐捷设置的效果一样了,知识步骤好象多了点……

日志信息 »

该日志于2011-05-02 00:26由 ctusky 发表在 网吧 分类下, 通告目前不可用,你可以至底部留下评论。
如需转载烦请添加以下信息: 本文转自www.ctusky.com
如喜欢这篇文章或者本站,建议您RSS订阅本站,以及时地获取更多精彩内容!

相关日志 »

看过本文的人还看过 »

4条评论

  1. 问题请教 说:

    [config]
    VirtualDiskIp1=192.168.1.240
    VirtualDiskIp2=192.168.1.242

    VirtualDiskPort1=3260
    VirtualDiskPort2=3260

    iqn1=iqn.2005-09.com.istorage.iscsi:0
    iqn2=iqn.2005-09.com.istorage.iscsi:0

    ;客户机出盘盘符为 例如 (注意 在指定此处之前请确保您已经能够正常出过虚拟盘)
    ClientiSCSIPar=

    CheckVDiskFile=O:\vdisk.ctusky

    VirtualGameMenu=O:\Tools\GameMenu\GameMenu.exe

    LocalGameMenu=E:\tools\wpmenu\wpmenu.exe

    UseCacheSoft=C:\WINDOWS\DOLCACHE\Project1.exe

    UseCacheSoftIni=C:\WINDOWS\DOLCACHE\Safe.ini

    装了360安全浏览器后。打开游戏菜单后,会跳出,用的OK虚拟盘软件

    2个网址,请问是什么问题呢 ,用IE浏览器时就没这2个网页跳出来,是你的 软件绑定的吗?

  2. ctusky 说:

    当时考虑的自动升级的功能……后来看软件也没必要升级了就没再弄,基本上软件用用就是了,没什么好升的……

  3. LICB 博客 说:

    不懂!

  4. ctusky 说:

    不同的行业嘛

发表评论 »

返回顶部