端口安全简介
端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
组网需求
如下图所示,用户PC1、PC2、PC3通过接入设备连接公司网络。为了提高用户接入的安全性,将接入设备Switch的接口使能端口安全功能,并且设置接口学习MAC地址数的上限为接入用户数,这样其他外来人员使用自己带来的PC无法访问公司的网络。
配置思路
采用如下的思路配置端口安全:
-
配置VLAN,实现二层转发功能。
-
配置端口安全功能,实现学习到的MAC地址表项不老化。
操作步骤
- 在Switch上创建VLAN,并把接口加入VLAN
#创建VLAN。
<Huawei>system-view
[Huawei]sysname Switch
[Switch]vlan 10
[Switch-vlan10]quit#接口GE0/0/1加入VLAN10。接口GE0/0/2和GE0/0/3的配置与接口GE0/0/1相同,不再赘述。
[Switch]interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1]port link-type access
[Switch-GigabitEthernet0/0/1]port default vlan 10
[Switch-GigabitEthernet0/0/1]quit- 配置GE0/0/1接口的端口安全功能。
# 使能接口Sticky MAC功能,同时配置MAC地址限制数。接口GE0/0/2和GE0/0/3的配置与接口GE0/0/1相同,不再赘述。
[Switch]interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1]port-security enable
[Switch-GigabitEthernet0/0/1]port-security mac-address sticky
[Switch-GigabitEthernet0/0/1]port-security max-mac-num 1
[Switch-GigabitEthernet0/0/1]quit- 验证配置结果
将PC1、PC2、PC3换成其他设备,无法访问公司网络。
配置文件
Switch的配置文件
#
sysname Switch
#
vlan batch 10
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
#
return
