实验要求:在交换机上将终端MAC与端口绑定。
原理描述:端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备或主机对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。因此可以通过端口安全来控制终端接入,从而保障接入安全。
实验准备:H3C模拟器,三台S6850交换机,四台终端。
网络拓扑描述:终端接入二层交换机往上通过汇聚交换机到达总部。使用默认VLAN1,网段为10.1.1.0/24.终端IP分别为10.1.1.PC编号/24,例如PC_4IP:10.1.1.4/24.
配置步骤:
配置模式下
[H3C] port-security enable //使能端口安全
接口模式下
[H3C-GigabitEthernet1/0/1] port-security max-mac-count 2 //最大学习数量
[H3C-GigabitEthernet1/0/1]port-security port-mode autolearn //配置安全端口模式为自动学习
[H3C-GigabitEthernet1/0/1] port-security mac-address security 66a6-e17e-0406 vlan 1 //绑定mac,根据需要修改MAC地址和VLANID
[H3C-GigabitEthernet1/0/1] port-security mac-address security 66a6-e34f-0506 vlan 1
实验验证:
通过查看安全MAC地址表,已添加两个MAC地址。
在PC4上通过ping命令均可ping通PC6、PC7
添加一个未绑定安全MAC地址的PC8后:
注意事项:
1.添加MAC地址需要在 autolearn模式下添加
2.需要使能才可以添加MAC地址
3.当MAC地址达到最大学习数量后autolearn端口模式会自动转为secure模式
4.需要修改端口模式必须先使用命令undo port-security port-mode 才能修改
5.默认情况下,收到非法MAC地址(即不是安全MAC表重的MAC地址),丢包处理
6.默认情况下,所有的安全MAC地址均不老化,除非被管理员通过命令行手工删除,或因为配置的改变(端口的安全模式被改变,或端口安全功能被关闭)而被系统自动删除
版权归原作者 在学数通网络 所有, 如有侵权,请联系我们删除。