快捷搜索:  汽车  科技

交换机端口之间禁止互访(配置交换机端口安全示例)

交换机端口之间禁止互访(配置交换机端口安全示例)● 接口上配置了mac-limit后,将无法再配置端口安全功能。 配置注意事项端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC)阻止非法用户通过本接口和交换机通信,一般使用在接入层设备,实现用户和接口的绑定,同时控制接口的用户接入数。相比通过静态MAC地址和user-bind手动配置用户静态绑定,端口安全可以实现用户和接口的动态绑定。相比通过DHCP snooping实现的用户和接口的动态绑定,端口安全的配置比较简单。另外端口安全还可以提供限制用户接入数量的功能。

交换机端口之间禁止互访(配置交换机端口安全示例)(1)

组网要求:用户PC1、PC2、PC3通过ACC接入交换机连接公司网络。为了提高用户接入的安全性,将接入设备ACC的接口使能端口安全功能,并且设置接口学习MAC地址数的上限为接入用户数,这样其他外来人员使用自己带来的PC无法访问公司的网络。

一、主要知识点:

端口安全简介

端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC)阻止非法用户通过本接口和交换机通信,一般使用在接入层设备,实现用户和接口的绑定,同时控制接口的用户接入数。

相比通过静态MAC地址和user-bind手动配置用户静态绑定,端口安全可以实现用户和接口的动态绑定。

相比通过DHCP snooping实现的用户和接口的动态绑定,端口安全的配置比较简单。另外端口安全还可以提供限制用户接入数量的功能。

配置注意事项

● 接口上配置了mac-limit后,将无法再配置端口安全功能。

二、配置思路:

1. 配置VLAN,实现二层转发功能。

2. 配置端口安全功能,并使能Sticky MAC功能,实现保存配置重启设备MAC地址表项不丢失。

三、IP设置:

1、PC1:192.168.10.1/24 vlan10

PC1:192.168.10.2/24 vlan10

PC1:192.168.10.3/24 vlan10

2、ACC:Vlanif10:192.168.10.254/24

四、ACC交换机的主要配置文件:

#

sysname ACC

#

vlan batch 10

#

interface Vlanif10

ip address 192.168.10.254 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

port-security enable

port-security mac-address sticky

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 10

port-security enable

port-security mac-address sticky

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 10

port-security enable

port-security mac-address sticky

#

return

五、验证配置结果:

1、pc1、PC2、PC3上线后,端口学习到这三台pc机的mac地址作为安全mac地址,允许访问网络。下面以PC1为例。

PC>ping 192.168.10.254

Ping 192.168.10.254: 32 data bytes Press Ctrl_C to break

From 192.168.10.254: bytes=32 seq=1 ttl=255 time=15 ms

From 192.168.10.254: bytes=32 seq=2 ttl=255 time=16 ms

From 192.168.10.254: bytes=32 seq=3 ttl=255 time<1 ms

From 192.168.10.254: bytes=32 seq=4 ttl=255 time=16 ms

From 192.168.10.254: bytes=32 seq=5 ttl=255 time=15 ms

--- 192.168.10.254 ping statistics ---

5 packet(s) transmitted

5 packet(s) received

0.00% packet loss

round-trip min/avg/max = 0/12/16 ms

2、把pc3去掉,换一台新的pc4连接acc的GigabitEthernet0/0/3端口上,是不通的。

PC>ping 192.168.10.254

Ping 192.168.10.254: 32 data bytes Press Ctrl_C to break

From 192.168.10.4: Destination host unreachable

From 192.168.10.4: Destination host unreachable

From 192.168.10.4: Destination host unreachable

From 192.168.10.4: Destination host unreachable

From 192.168.10.4: Destination host unreachable

--- 192.168.10.254 ping statistics ---

5 packet(s) transmitted

0 packet(s) received

100.00% packet loss

本实验是通过华为模拟器eNSP1.3.00.100版(最新版)完成。该软件还包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的设备IOS,可完成复杂网络测试,需要该模拟器的朋友,可以转发此文关注小编,私信小编【666】即可获得。

猜您喜欢: