交换机端口之间禁止互访(配置交换机端口安全示例)
交换机端口之间禁止互访(配置交换机端口安全示例)● 接口上配置了mac-limit后,将无法再配置端口安全功能。 配置注意事项端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC)阻止非法用户通过本接口和交换机通信,一般使用在接入层设备,实现用户和接口的绑定,同时控制接口的用户接入数。相比通过静态MAC地址和user-bind手动配置用户静态绑定,端口安全可以实现用户和接口的动态绑定。相比通过DHCP snooping实现的用户和接口的动态绑定,端口安全的配置比较简单。另外端口安全还可以提供限制用户接入数量的功能。
组网要求:用户PC1、PC2、PC3通过ACC接入交换机连接公司网络。为了提高用户接入的安全性,将接入设备ACC的接口使能端口安全功能,并且设置接口学习MAC地址数的上限为接入用户数,这样其他外来人员使用自己带来的PC无法访问公司的网络。
一、主要知识点:
端口安全简介
端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC)阻止非法用户通过本接口和交换机通信,一般使用在接入层设备,实现用户和接口的绑定,同时控制接口的用户接入数。
相比通过静态MAC地址和user-bind手动配置用户静态绑定,端口安全可以实现用户和接口的动态绑定。
相比通过DHCP snooping实现的用户和接口的动态绑定,端口安全的配置比较简单。另外端口安全还可以提供限制用户接入数量的功能。
配置注意事项
● 接口上配置了mac-limit后,将无法再配置端口安全功能。
二、配置思路:
1. 配置VLAN,实现二层转发功能。
2. 配置端口安全功能,并使能Sticky MAC功能,实现保存配置重启设备MAC地址表项不丢失。
三、IP设置:
1、PC1:192.168.10.1/24 vlan10
PC1:192.168.10.2/24 vlan10
PC1:192.168.10.3/24 vlan10
2、ACC:Vlanif10:192.168.10.254/24
四、ACC交换机的主要配置文件:
#
sysname ACC
#
vlan batch 10
#
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
#
return
五、验证配置结果:
1、pc1、PC2、PC3上线后,端口学习到这三台pc机的mac地址作为安全mac地址,允许访问网络。下面以PC1为例。
PC>ping 192.168.10.254
Ping 192.168.10.254: 32 data bytes Press Ctrl_C to break
From 192.168.10.254: bytes=32 seq=1 ttl=255 time=15 ms
From 192.168.10.254: bytes=32 seq=2 ttl=255 time=16 ms
From 192.168.10.254: bytes=32 seq=3 ttl=255 time<1 ms
From 192.168.10.254: bytes=32 seq=4 ttl=255 time=16 ms
From 192.168.10.254: bytes=32 seq=5 ttl=255 time=15 ms
--- 192.168.10.254 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 0/12/16 ms
2、把pc3去掉,换一台新的pc4连接acc的GigabitEthernet0/0/3端口上,是不通的。
PC>ping 192.168.10.254
Ping 192.168.10.254: 32 data bytes Press Ctrl_C to break
From 192.168.10.4: Destination host unreachable
From 192.168.10.4: Destination host unreachable
From 192.168.10.4: Destination host unreachable
From 192.168.10.4: Destination host unreachable
From 192.168.10.4: Destination host unreachable
--- 192.168.10.254 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
本实验是通过华为模拟器eNSP1.3.00.100版(最新版)完成。该软件还包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的设备IOS,可完成复杂网络测试,需要该模拟器的朋友,可以转发此文关注小编,私信小编【666】即可获得。