0
点赞
收藏
分享

微信扫一扫

配置交换机端口安全

配置交换机端口安全

如图1所示,在LSW2交换机上设置端口安全,端口Ethernet 0/0/1只允许连接PC1,端口Ethernet 0/0/2只允许连接PC2,端口Ethernet 0/0/3只允许连接PC3,端口Ethernet 0/0/4最多只允许连接两台计算机且只能是PC4和PC5,违反安全规则,端口关闭(shutdown)。

以下操作将设置交换机LSW2,为Ethernet 0/0/1~Ethernet 0/0/3启用端口安全,每个端口只允许连接一个MAC地址(计算机),端口和MAC地址的绑定通过Sticky的方式实现。为Ehternet 0/0/4启用端口安全,设置最多允许两个MAC地址,并且人工绑定PC4和PC5两个MAC地址。

LSW2上的配置如下。

配置交换机端口安全_html


图1 配置交换机端口安全

[Huawei]sysname LSW2 --改名为LSW2


在PC1上ping PC2、PC3、PC4、PC5,LSW2完成MAC地址表的构建。


[LSW2]display mac-address --显示MAC地址表

MAC address table of slot 0:

-------------------------------------------------------------------------------

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID

VSI/SI MAC-Tunnel

-------------------------------------------------------------------------------

5489-9854-3d93 1 - - Eth0/0/1 dynamic 0/-

5489-9813-531a 1 - - Eth0/0/2 dynamic 0/-

5489-9889-60df 1 - - Eth0/0/3 dynamic 0/-

5489-9809-119b 1 - - Eth0/0/4 dynamic 0/-

5489-98bd-0b2c 1 - - Eth0/0/4 dynamic 0/-

-------------------------------------------------------------------------------

Total matching items on slot 0 displayed = 5

可以看到MAC地址表中列出了每个MAC地址所属的VLAN、对应的接口和类型。

设置Ethernet 0/0/1~Ethernet 0/0/3端口安全,将现有计算机的MAC地址和端口绑定,可以逐个端口进行设置,也可以定义一个端口组,添加端口成员,进行批量安全设置。


[LSW2]port-group 1to3 --定义端口组1to3

[LSW2-port-group-1to3]group-member Ethernet 0/0/1 to Ethernet 0/0/3 --添加成员

[LSW2-port-group-1to3]display this --显示端口组设置

#

port-group 1to3

group-member Ethernet 0/0/1

group-member Ethernet 0/0/2

group-member Ethernet 0/0/3

#

Return


对于以下操作,步骤不能少,且顺序不能颠倒。


[LSW2-port-group-1to3]port-security enable --启用端口安全

[LSW2-port-group-1to3]port-security protect-action shutdown --违反安全规定,关闭端口

[LSW2-port-group-1to3]port-security mac-address sticky --将现有端口与对应的MAC地址绑定

[LSW2-port-group-1to3]quit


交换机的MAC地表中的条目有老化时间,默认为300秒,如果某条目没有被刷新,300秒后就会从MAC地址表中清除。再次在PC1上ping PC2、PC3、PC4、PC5,交换机会自动重新构建MAC地址表。

查看MAC地址表,可以看到端口Ethernet 0/0/1Eth0/0/3的Type为sticky,端口Ethernet 0/0/4的Type依然是dynamic。


[LSW2]display mac-address vlan 1 --只显示VLAN 1的MAC地址表

MAC address table of slot 0:

-------------------------------------------------------------------------------

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID

VSI/SI MAC-Tunnel

-------------------------------------------------------------------------------

5489-9854-3d93 1 - - Eth0/0/1 sticky -

5489-9889-60df 1 - - Eth0/0/3 sticky -

5489-9813-531a 1 - - Eth0/0/2 sticky -

-------------------------------------------------------------------------------

Total matching items on slot 0 displayed = 3


MAC address table of slot 0:

-------------------------------------------------------------------------------

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID

VSI/SI MAC-Tunnel

-------------------------------------------------------------------------------

5489-9809-119b 1 - - Eth0/0/4 dynamic 0/-

5489-98bd-0b2c 1 - - Eth0/0/4 dynamic 0/-

-------------------------------------------------------------------------------

Total matching items on slot 0 displayed = 2


设置交换机的Eth0/0/4端口安全,只允许连接两台计算机。


[LSW2]interface Ethernet 0/0/4 --接入接口视图

[LSW2-Ethernet0/0/4]port-security enable

[LSW2-Ethernet0/0/4]port-security protect-action shutdown

[LSW2-Ethernet0/0/4]port-security max-mac-num 2 --设置最大数量


再次查看MAC地址表,可以看到端口Ethernet 0/0/4的Type为Security,说明启用了端口安全。


[LSW2]display mac-address

MAC address table of slot 0:

-------------------------------------------------------------------------------

MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID

VSI/SI MAC-Tunnel

-------------------------------------------------------------------------------

5489-9813-531a 1 - - Eth0/0/2 sticky -

5489-9809-119b 1 - - Eth0/0/4 security -

5489-98bd-0b2c 1 - - Eth0/0/4 security -

5489-9889-60df 1 - - Eth0/0/3 sticky -

5489-9854-3d93 1 - - Eth0/0/1 sticky -

-------------------------------------------------------------------------------

Total matching items on slot 0 displayed = 5


上面的设置只是指定了Ethernet 0/0/4端口的MAC地址数量。如果进一步打算将Ethernet 0/0/4 端口和指定的两个MAC地址绑定,就需要在端口视图中启用sticky,绑定MAC地址。

因为前面设置Ethernet 0/0/4端口对应的MAC地址的最大数量为2,所以这里可以设置两个MAC地址。默认只允许1个端口绑定1个MAC地址。


[LSW2]interface Ethernet 0/0/4 --接入接口视图

[LSW2-Ethernet0/0/4]port-security mac-address sticky --启用sticky

[LSW2-Ethernet0/0/4]port-security mac-address sticky 5489-9809-119b vlan 1 --绑定MAC地址

[LSW2-Ethernet0/0/4]port-security mac-address sticky 5489-98bd-0b2c vlan 1 --绑定MAC地址


以上操作设置了交换机端口安全,违反安全规则的话,端口将处于关闭状态,需要运行undo shutdown启用端口。

运行以下命令,清除端口的全部配置,清除配置后,端口将处于关闭状态,需要执行undo shutdown重新启用端口。

[LSW2]clear configuration interface Ethernet 0/0/4

此文章来自于《华为认证(2021新版HCIA教材)

京东购买本书

​​https://item.jd.com/13706744.html​​

学习计算机网络华为网络工程师 华三网络工程师课程中有问题联系韩老师

韩立刚老师wx hanligangdongqing​

华为认证(2021新版HCIA教材)课程链接 ​​https://edu.51cto.com/course/28956.html​​

配置交换机端口安全_mac地址_02


韩老师招收正式学生、门徒级套餐

​​https://edu.51cto.com/topic/819.html​​

举报

相关推荐

0 条评论