华为数通---配置端口安全案例

端口安全简介

端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。

组网需求

如下图所示,用户PC1、PC2、PC3通过接入设备连接公司网络。为了提高用户接入的安全性,将接入设备Switch的接口使能端口安全功能,并且设置接口学习MAC地址数的上限为接入用户数,这样其他外来人员使用自己带来的PC无法访问公司的网络。

配置思路

采用如下的思路配置端口安全:

  1. 配置VLAN,实现二层转发功能。

  2. 配置端口安全功能,实现学习到的MAC地址表项不老化。

操作步骤

  • 在Switch上创建VLAN,并把接口加入VLAN

#创建VLAN。

cpp 复制代码
<Huawei>system-view 
[Huawei]sysname Switch
[Switch]vlan 10
[Switch-vlan10]quit

#接口GE0/0/1加入VLAN10。接口GE0/0/2和GE0/0/3的配置与接口GE0/0/1相同,不再赘述。

cpp 复制代码
[Switch]interface GigabitEthernet 0/0/1	
[Switch-GigabitEthernet0/0/1]port link-type access 
[Switch-GigabitEthernet0/0/1]port default vlan 10
[Switch-GigabitEthernet0/0/1]quit
  • 配置GE0/0/1接口的端口安全功能。

使能接口Sticky MAC功能,同时配置MAC地址限制数。接口GE0/0/2和GE0/0/3的配置与接口GE0/0/1相同,不再赘述。

cpp 复制代码
[Switch]interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1]port-security enable 
[Switch-GigabitEthernet0/0/1]port-security mac-address sticky 
[Switch-GigabitEthernet0/0/1]port-security max-mac-num 1
[Switch-GigabitEthernet0/0/1]quit
  • 验证配置结果

将PC1、PC2、PC3换成其他设备,无法访问公司网络。

配置文件

Switch的配置文件

cpp 复制代码
#
sysname Switch
#
vlan batch 10
#
interface GigabitEthernet0/0/1
 port link-type access                                                          
 port default vlan 10 
 port-security enable
 port-security mac-address sticky
#
interface GigabitEthernet0/0/2
 port link-type access                                                          
 port default vlan 10 
 port-security enable
 port-security mac-address sticky
#
interface GigabitEthernet0/0/3
 port link-type access                                                          
 port default vlan 10 
 port-security enable
 port-security mac-address sticky
#
return
相关推荐
大熊背20 分钟前
双目拼接中色差消除优化
网络
Sagittarius_A*25 分钟前
Command Injection 命令注入漏洞:系统命令拼接缺陷与执行利用技术
网络·安全·web安全·dvwa·命令注入漏洞
CodingPioneer28 分钟前
03零刻Pro-LS2K3000-Loongnix 20.7.rc1硬盘分区、格式化、挂载与卸载
linux·运维·服务器·硬盘挂载
出门吃三碗饭31 分钟前
如何从0到1构建自动化的咖啡和冰激凌机器人?
运维·机器人·自动化
曙光_deeplove1 小时前
海康機器人工業相機(丢失帧、空帧和残帧/不完整帧)
网络
武子康1 小时前
Hugging Face AI 驱动入侵真正暴露的是 Dataset Processing 信任边界(攻击链 + 三层隔离 + 行动清单)
人工智能·安全·llm
Android洋芋2 小时前
漏洞挖掘与赏金攻略
网络·安全·web安全
王燕龙(大卫)2 小时前
fastdds笔记
网络·c++·笔记
meilindehuzi_a2 小时前
浏览器端 HTTP 流式通信详解:从 SSE 到 EventSource、fetch 与 ReadableStream
网络·网络协议·http
MMendex2 小时前
Nginx_day4——uWSGI,灰度发布,网站限流限速,Nginx跨域
运维·nginx