配置交换机端口安全
如图1所示,在LSW2交换机上设置端口安全,端口Ethernet 0/0/1只允许连接PC1,端口Ethernet 0/0/2只允许连接PC2,端口Ethernet 0/0/3只允许连接PC3,端口Ethernet 0/0/4最多只允许连接两台计算机且只能是PC4和PC5,违反安全规则,端口关闭(shutdown)。
以下操作将设置交换机LSW2,为Ethernet 0/0/1~Ethernet 0/0/3启用端口安全,每个端口只允许连接一个MAC地址(计算机),端口和MAC地址的绑定通过Sticky的方式实现。为Ehternet 0/0/4启用端口安全,设置最多允许两个MAC地址,并且人工绑定PC4和PC5两个MAC地址。
LSW2上的配置如下。
图1 配置交换机端口安全
[Huawei]sysname LSW2 --改名为LSW2
在PC1上ping PC2、PC3、PC4、PC5,LSW2完成MAC地址表的构建。
[LSW2]display mac-address --显示MAC地址表
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-9854-3d93 1 - - Eth0/0/1 dynamic 0/-
5489-9813-531a 1 - - Eth0/0/2 dynamic 0/-
5489-9889-60df 1 - - Eth0/0/3 dynamic 0/-
5489-9809-119b 1 - - Eth0/0/4 dynamic 0/-
5489-98bd-0b2c 1 - - Eth0/0/4 dynamic 0/-
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 5
可以看到MAC地址表中列出了每个MAC地址所属的VLAN、对应的接口和类型。
设置Ethernet 0/0/1~Ethernet 0/0/3端口安全,将现有计算机的MAC地址和端口绑定,可以逐个端口进行设置,也可以定义一个端口组,添加端口成员,进行批量安全设置。
[LSW2]port-group 1to3 --定义端口组1to3
[LSW2-port-group-1to3]group-member Ethernet 0/0/1 to Ethernet 0/0/3 --添加成员
[LSW2-port-group-1to3]display this --显示端口组设置
#
port-group 1to3
group-member Ethernet 0/0/1
group-member Ethernet 0/0/2
group-member Ethernet 0/0/3
#
Return
对于以下操作,步骤不能少,且顺序不能颠倒。
[LSW2-port-group-1to3]port-security enable --启用端口安全
[LSW2-port-group-1to3]port-security protect-action shutdown --违反安全规定,关闭端口
[LSW2-port-group-1to3]port-security mac-address sticky --将现有端口与对应的MAC地址绑定
[LSW2-port-group-1to3]quit
交换机的MAC地址表中的条目有老化时间,默认为300秒,如果某条目没有被刷新,300秒后就会从MAC地址表中清除。再次在PC1上ping PC2、PC3、PC4、PC5,交换机会自动重新构建MAC地址表。
查看MAC地址表,可以看到端口Ethernet 0/0/1~Eth0/0/3的Type为sticky,端口Ethernet 0/0/4的Type依然是dynamic。
[LSW2]display mac-address vlan 1 --只显示VLAN 1的MAC地址表
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-9854-3d93 1 - - Eth0/0/1 sticky -
5489-9889-60df 1 - - Eth0/0/3 sticky -
5489-9813-531a 1 - - Eth0/0/2 sticky -
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-9809-119b 1 - - Eth0/0/4 dynamic 0/-
5489-98bd-0b2c 1 - - Eth0/0/4 dynamic 0/-
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 2
设置交换机的Eth0/0/4端口安全,只允许连接两台计算机。
[LSW2]interface Ethernet 0/0/4 --接入接口视图
[LSW2-Ethernet0/0/4]port-security enable
[LSW2-Ethernet0/0/4]port-security protect-action shutdown
[LSW2-Ethernet0/0/4]port-security max-mac-num 2 --设置最大数量
再次查看MAC地址表,可以看到端口Ethernet 0/0/4的Type为Security,说明启用了端口安全。
[LSW2]display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-9813-531a 1 - - Eth0/0/2 sticky -
5489-9809-119b 1 - - Eth0/0/4 security -
5489-98bd-0b2c 1 - - Eth0/0/4 security -
5489-9889-60df 1 - - Eth0/0/3 sticky -
5489-9854-3d93 1 - - Eth0/0/1 sticky -
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 5
上面的设置只是指定了Ethernet 0/0/4端口的MAC地址数量。如果进一步打算将Ethernet 0/0/4 端口和指定的两个MAC地址绑定,就需要在端口视图中启用sticky,绑定MAC地址。
因为前面设置Ethernet 0/0/4端口对应的MAC地址的最大数量为2,所以这里可以设置两个MAC地址。默认只允许1个端口绑定1个MAC地址。
[LSW2]interface Ethernet 0/0/4 --接入接口视图
[LSW2-Ethernet0/0/4]port-security mac-address sticky --启用sticky
[LSW2-Ethernet0/0/4]port-security mac-address sticky 5489-9809-119b vlan 1 --绑定MAC地址
[LSW2-Ethernet0/0/4]port-security mac-address sticky 5489-98bd-0b2c vlan 1 --绑定MAC地址
以上操作设置了交换机端口安全,违反安全规则的话,端口将处于关闭状态,需要运行undo shutdown启用端口。
运行以下命令,清除端口的全部配置,清除配置后,端口将处于关闭状态,需要执行undo shutdown重新启用端口。
[LSW2]clear configuration interface Ethernet 0/0/4
此文章来自于《华为认证(2021新版HCIA教材)》
京东购买本书
https://item.jd.com/13706744.html
学习计算机网络华为网络工程师 华三网络工程师课程中有问题联系韩老师
韩立刚老师wx hanligangdongqing
华为认证(2021新版HCIA教材)课程链接 https://edu.51cto.com/course/28956.html
韩老师招收正式学生、门徒级套餐
https://edu.51cto.com/topic/819.html