交换机端口之间禁止互访（配置交换机端口安全示例）

交换机端口之间禁止互访（配置交换机端口安全示例）● 接口上配置了mac-limit后，将无法再配置端口安全功能。 配置注意事项端口安全（Port Security）通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC、安全静态MAC和Sticky MAC）阻止非法用户通过本接口和交换机通信，一般使用在接入层设备，实现用户和接口的绑定，同时控制接口的用户接入数。相比通过静态MAC地址和user-bind手动配置用户静态绑定，端口安全可以实现用户和接口的动态绑定。相比通过DHCP snooping实现的用户和接口的动态绑定，端口安全的配置比较简单。另外端口安全还可以提供限制用户接入数量的功能。

组网要求：用户PC1、PC2、PC3通过ACC接入交换机连接公司网络。为了提高用户接入的安全性，将接入设备ACC的接口使能端口安全功能，并且设置接口学习MAC地址数的上限为接入用户数，这样其他外来人员使用自己带来的PC无法访问公司的网络。

一、主要知识点：

端口安全简介

端口安全（Port Security）通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC、安全静态MAC和Sticky MAC）阻止非法用户通过本接口和交换机通信，一般使用在接入层设备，实现用户和接口的绑定，同时控制接口的用户接入数。

相比通过静态MAC地址和user-bind手动配置用户静态绑定，端口安全可以实现用户和接口的动态绑定。

相比通过DHCP snooping实现的用户和接口的动态绑定，端口安全的配置比较简单。另外端口安全还可以提供限制用户接入数量的功能。

配置注意事项

● 接口上配置了mac-limit后，将无法再配置端口安全功能。

二、配置思路：

1. 配置VLAN，实现二层转发功能。

2. 配置端口安全功能，并使能Sticky MAC功能，实现保存配置重启设备MAC地址表项不丢失。

三、IP设置：

1、PC1：192.168.10.1/24 vlan10

PC1：192.168.10.2/24 vlan10

PC1：192.168.10.3/24 vlan10

2、ACC：Vlanif10:192.168.10.254/24

四、ACC交换机的主要配置文件：

#

sysname ACC

#

vlan batch 10

#

interface Vlanif10

ip address 192.168.10.254 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

port-security enable

port-security mac-address sticky

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 10

port-security enable

port-security mac-address sticky

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 10

port-security enable

port-security mac-address sticky

#

return

五、验证配置结果：

1、pc1、PC2、PC3上线后，端口学习到这三台pc机的mac地址作为安全mac地址，允许访问网络。下面以PC1为例。

PC>ping 192.168.10.254

Ping 192.168.10.254: 32 data bytes Press Ctrl_C to break

From 192.168.10.254: bytes=32 seq=1 ttl=255 time=15 ms

From 192.168.10.254: bytes=32 seq=2 ttl=255 time=16 ms

From 192.168.10.254: bytes=32 seq=3 ttl=255 time<1 ms

From 192.168.10.254: bytes=32 seq=4 ttl=255 time=16 ms

From 192.168.10.254: bytes=32 seq=5 ttl=255 time=15 ms

--- 192.168.10.254 ping statistics ---

5 packet(s) transmitted

5 packet(s) received

0.00% packet loss

round-trip min/avg/max = 0/12/16 ms

2、把pc3去掉，换一台新的pc4连接acc的GigabitEthernet0/0/3端口上，是不通的。

PC>ping 192.168.10.254

Ping 192.168.10.254: 32 data bytes Press Ctrl_C to break

From 192.168.10.4: Destination host unreachable

From 192.168.10.4: Destination host unreachable

From 192.168.10.4: Destination host unreachable

From 192.168.10.4: Destination host unreachable

From 192.168.10.4: Destination host unreachable

--- 192.168.10.254 ping statistics ---

5 packet(s) transmitted

0 packet(s) received

100.00% packet loss

本实验是通过华为模拟器eNSP1.3.00.100版（最新版）完成。该软件还包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的设备IOS，可完成复杂网络测试，需要该模拟器的朋友，可以转发此文关注小编，私信小编【666】即可获得。