网件交换机绑定防御Pubwin后台掉包
前面我们谈到Pubwin官方服务器有点树大招风,感染了一些不和谐的元素,导致我们的一些使用Pubwin收费系统的网吧在某些特定条件会有Pubwin控制台ping到Pubwin后台服务器会丢包的情况,具体的内容不再重复叙述,前面给过一些我个人肤浅的见解。
之前一篇博文说到以锐捷交换机(2724)为例,绑定Pubwin后台服务器的IP和MAC地址到对应端口来做一些防御,这篇以“网件”品牌交换机为例,再分享一下在网件GS724TV3版本的交换机上如何设置绑定Pubwin后台服务器的MAC地址到指定端口来防御Ping掉包,和如果设置绑定对应的GS724TV3上的端口只允许走一条IP和MAC的记录信息。
不是我叙述的太重复,而是网件设置起来真不是那么方便,毕竟外国人的东西,外国人的思维模式,和我们平时用的还是有点差别的。下面简单说明一下我的环境:网件GS724Tv3交换机作为网吧主干交换,Pubwin后台服务器接入网件GS724T的第24号端口(g24),各位有需要的童鞋注意看一下图中画圈的位置,本文中也会做一些简单的描述。
首先请先熟悉一下下图,在进入GS724Tv3交换机后您所设置更改了一些东西,请注意您的浏览器的最右下角,这款设置的确认、添加等按钮都是放在最角落,本文之后的内容里就不再描述了。
那么,现在开始了。先介绍一下在网件GS724Tv3上的端口和MAC绑定(本文开始的时候说过,这款设置的设置习惯和我们平时用的不太一样,所以……)
进入Security – > Traffic Control – > Port Security – > Port Security Configuration,将Port Security Mode设置为Enable,点击右下角的APPLY。
在Interface Configuration项设置端口启用此功能。
说明:启用Port Security(端口安全)的端口受到限制,不启用此功能的端口将仅受到Switching – > Address Table – > Advanced – > Static Addresses下MAC地址列表的限制。如:
我这次的Pubwin后台服务器接在24号端口那么在g24端口前打勾,将Port Security设置为Enable;
Max Allowed Dynamically Learned MAC(允许动态学习的最大MAC地址数量),默认值为600,这里设置为0(即不允许动态学习MAC地址);
Max Allowed Statically Locked MAC(允许手动添加静态MAC地址的最大数量),默认值为20,可根据需要设置0-20的值,我设置的是1,毕竟,只是接一台机器而已。
设置修改完成之后,点击右下角的APPLY。
此时,我们看到Port Security Configuration项的Port Security Violations列表显示了已连接的MAC地址的对应关系。
接着我们需要再到Switching – > Address Table – > Advanced – > Static Addresses,在VLAN ID下拉列表中选择VLAN号如1(我没划分VLAN,就一个默认的所以就1个,具体环境具体分析),在MAC Address下输入Pubwin后台服务器的MAC地址,在Interface下选择端口g24(上面说了,我的后台是接在24端口)。
到这里,我们就完成了端口和MAC的绑定,也就是你添加的MAC只可以从这个端口走,插出去别的口或者别的线接进来都不管用,但还涉及到一步如果是改了IP也不想让他通过呢?那么请继续向下看,下面会介绍如果实现端口、IP、MAC三方面绑定。
GS724Tv3的IP ACL有两种:标准IP ACL,序号从1-99,仅能对源地址进行过滤;扩展IP ACL,序号从100-199,其设置规则的参数更多,如可对源地址/目标地址/协议类型等进行过滤。简单介绍一下我设置的步骤如下:
进入Security – > ACL – > Advanced – > IP ACL,新建一个IP ACL,序号从1开始,点ADD添加。
进入IP Rules,建立一条新的规则,即允许你的Pubwin后台服务器的IP访问所有服务。 Rule ID:每条ACL对应的规则数量为10条,序号为1-10; Action:选择Permit(允许)或Deny(禁止)的行为; Match Every:选择True说明这是最后一条匹配的规则,否则请选择False; Source IP Address/Source IP Mask:匹配源IP地址/反掩码,如单个IP地址的掩码为255.255.255.255,其反掩码为0.0.0.0。
设置完成之后,点ADD添加。
注:由于ACL默认都是禁止所有访问的,因此没有必要添加禁止其他IP访问的规则了。
将这条ACL绑定到端口。
进入IP Binding Configuration,在ACL ID处选“1”,在Port Selection Table下的黄条上点一下,即可出现所有端口。选择端口24(根据你实际情况),点击右下角的APPLY将这条ACL应用到此端口。
此时端口g24就只允许Pubwin后台服务器的这个IP在上述你填入的MAC的情况下接入了。效果就和博文开始的时候说到绑定锐捷设置的效果一样了,知识步骤好象多了点……
4条评论▼