交换机端口安全之安全粘贴MAC地址

2019-01-10

  要求

  1、 外来电脑未经允许禁止访问内网

  2、 内网用户随意变动位置不能访问内网

  实验拓扑如下:

交换机端口安全

  操作步骤

  LSW1详细配置如下:

  //更改设备名称

  [Huawei]sysname LSW1

  //开启dhcp功能

  [LSW1]dhcp enable

  //划分内网vlan10

  [LSW1]vlan 10

  [LSW1-vlan10]quit

  //配置虚拟接口地址

  [LSW1]inter vlan 10

  [LSW1-Vlanif10]ip add 192.168.10.254 24

  [LSW1-Vlanif10]dhcp select global //设置全局地址池

  [LSW1-Vlanif10]quit

  //配置dhcp地址池

  [LSW1]ip pool vlan10

  [LSW1-ip-pool-vlan10]gateway-list 192.168.10.254

  [LSW1-ip-pool-vlan10]network 192.168.10.0 mask 24

  [LSW1-ip-pool-vlan10]excluded-ip-address 192.168.10.1 192.168.10.100

  [LSW1-ip-pool-vlan10]excluded-ip-address 192.168.10.200 192.168.10.253

  [LSW1-ip-pool-vlan10]lease day 0 hour 8

  [LSW1-ip-pool-vlan10]dns-list 61.139.2.69

  [LSW1-ip-pool-vlan10]quit

  //配置用户接口

  [LSW1-Ethernet0/0/1]port link-type access

  [LSW1-Ethernet0/0/1]port default vlan 10

  [LSW1-Ethernet0/0/1]port-security enable // 打开端口安全功能

  [LSW1-Ethernet0/0/1]port-security mac-address sticky //打开安全粘贴MAC功能

  [LSW1-Ethernet0/0/1]port-security max-mac-num 1 //限制安全MAC地址最大数量为1个

  [LSW1-Ethernet0/0/1]port-security protect-action restrict // 阻止其他非安全mac地址并发出警告

  //配置设备间接口

  [LSW1-Ethernet0/0/1]inter g0/0/1

  [LSW1-GigabitEthernet0/0/1]port link-type trunk

  [LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10

  [LSW1-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

  [LSW1-GigabitEthernet0/0/1]inter g0/0/2

  [LSW1-GigabitEthernet0/0/2]port link-type trunk

  [LSW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 10

  [LSW1-GigabitEthernet0/0/2]undo port trunk allow-pass vlan 1

  LSW2配置如下:

  #

  sysname LSW2

  #

  vlan batch 10

  #

  interface Ethernet0/0/1

  port link-type access

  port default vlan 10

  port-security enable

  port-security mac-address sticky

  #

  interface GigabitEthernet0/0/2

  port link-type trunk

  undo port trunk allow-pass vlan 1

  port trunk allow-pass vlan 10

  #

  LSW3配置如下:

  #

  sysname LSW3

  #

  vlan batch 10

  #

  interface Ethernet0/0/1

  port link-type access

  port default vlan 10

  port-security enable

  port-security mac-address sticky

  #

  interface GigabitEthernet0/0/1

  port link-type trunk

  undo port trunk allow-pass vlan 1

  port trunk allow-pass vlan 10

  #

  测试结果如下:

  内网用户正常获取ip,并能互访

交换机端口安全

  将外网用户接入内网用户1接口,不能获取ip地址,交换机产生警告信息

交换机端口安全

交换机端口安全

交换机端口安全

  将内网用户2接入内网用户1接口,也不能获取ip地址,交换机产生警告信息

交换机端口安全

交换机端口安全

  如果内用用户2经过允许连接LSW3,只需在LSW3 接口interface Ethernet0/0/1关闭粘贴功能,再打开即可

  配置如下:

  [LSW3]inter e0/0/1

  [LSW3-Ethernet0/0/1]undo port-security mac-address sticky

  [LSW3-Ethernet0/0/1]port-security mac-address sticky

  正确获取ip并入内网用户3正常通信

交换机端口安全


最新新闻The latest news

分享到

CHINA'S LEADING IT SERVICE BRANDS

中国领先IT服务品牌企业

销售热线:400-017-5181
故障处理:400-617-5181
同创双子(北京)信息技术股份有限公司(英文简称“Gemini”)是一家IT服务公司。2016年新三板正式挂牌上市(股票代码:837868)。 联系我们 法律声明

微信客服

IT外包就扫我

Copyright© 同创双子(北京)信息技术股份有限公司 , 京ICP备16037308

网站地图

法律声明

未经本公司书面许可,任何单位及个人不得以任何方式或理由对上述产品、服务、信息、材料的任何部分进行使用、复制、修改、抄录、传播或与其它产品捆绑使用、销售。
凡侵犯本公司版权等知识产权的,本公司必依法追究其法律责任。
本公司法律事务部受本公司指示,特此郑重法律声明!