端口安全配置示例

组网需求

如图所示,用户PC1、PC2、PC3通过接入设备连接公司网络。为了提高用户接入的安全性,将接入设备Router的接口使能端口安全功能,并且设置接口学习MAC地址数的上限为接入用户数,这样其他外来人员使用自己带来的PC无法访问公司的网络。

配置思路

采用如下的思路配置端口安全:

1.配置VLAN,实现二层转发功能。

2.配置端口安全功能,实现学习到的MAC地址表项不老化。

操作步骤

创建VLAN,配置接口的链路类型,并配置IP

LSW2
plain 复制代码
<Huawei>sys
[Huawei]sys LSW2
[LSW2]vlan batch 10
[LSW2]interface GigabitEthernet0/0/1
[LSW2-GigabitEthernet0/0/1]port link-type access
[LSW2-GigabitEthernet0/0/1]port default vlan 10
[LSW2-GigabitEthernet0/0/1]quit
[LSW2]interface GigabitEthernet0/0/2
[LSW2-GigabitEthernet0/0/2]port link-type access
[LSW2-GigabitEthernet0/0/2]port default vlan 10
[LSW2-GigabitEthernet0/0/2]quit
[LSW2]interface GigabitEthernet0/0/3
[LSW2-GigabitEthernet0/0/3]port link-type access
[LSW2-GigabitEthernet0/0/3]port default vlan 10
[LSW2-GigabitEthernet0/0/3]quit
[LSW2]interface GigabitEthernet0/0/4
[LSW2-GigabitEthernet0/0/4]port link-type trunk 
[LSW2-GigabitEthernet0/0/4]port trunk allow-pass vlan 10
[LSW2-GigabitEthernet0/0/4]quit
LSW1
plain 复制代码
<Huawei>sys
[Huawei]sys LSW1
[LSW1]vlan batch 10
[LSW1]interface GigabitEthernet0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk 
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10
[LSW1-GigabitEthernet0/0/1]quit
[LSW1]interface Vlanif 10
[LSW1-Vlanif10]ip add 192.168.10.1 24
[LSW1-Vlanif10]quit
PC1
PC2
PC3

配置端口安全功能

LSW1
plain 复制代码
[LSW1]interface GigabitEthernet0/0/1
[LSW1-GigabitEthernet0/0/1]port-security enable
[LSW1-GigabitEthernet0/0/1]port-security max-mac-num 3
[LSW1-GigabitEthernet0/0/1]port-security mac-address sticky
[LSW1-GigabitEthernet0/0/1]quit
[LSW1]display mac-address sticky vlan 10
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
               VSI/SI                                              MAC-Tunnel  
-------------------------------------------------------------------------------
5489-98f6-76f9 10          -      -      GE0/0/1         sticky    -           
5489-984d-0e9d 10          -      -      GE0/0/1         sticky    -           
5489-9889-2c6c 10          -      -      GE0/0/1         sticky    -           
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3 

测试把PC1替换后的PC是否可以连接到网络

新拓扑图
替换PC配置IP,配置的IP和PC1一致
验证

新增PC ping Vlanif接口,无法ping通

plain 复制代码
PC>ping 192.168.10.1

Ping 192.168.10.1: 32 data bytes, Press Ctrl_C to break
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable
From 192.168.10.10: Destination host unreachable

--- 192.168.10.1 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

PC2、PC3 ping Vlanif接口,可以ping通

plain 复制代码
PC2 ping结果
PC>ping 192.168.10.1

Ping 192.168.10.1: 32 data bytes, Press Ctrl_C to break
From 192.168.10.1: bytes=32 seq=1 ttl=255 time=32 ms
From 192.168.10.1: bytes=32 seq=2 ttl=255 time=63 ms
From 192.168.10.1: bytes=32 seq=3 ttl=255 time=47 ms
From 192.168.10.1: bytes=32 seq=4 ttl=255 time=47 ms
From 192.168.10.1: bytes=32 seq=5 ttl=255 time=62 ms

--- 192.168.10.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 32/50/63 ms

PC3 ping结果
PC>ping 192.168.10.1

Ping 192.168.10.1: 32 data bytes, Press Ctrl_C to break
From 192.168.10.1: bytes=32 seq=1 ttl=255 time=47 ms
From 192.168.10.1: bytes=32 seq=2 ttl=255 time=62 ms
From 192.168.10.1: bytes=32 seq=3 ttl=255 time=47 ms
From 192.168.10.1: bytes=32 seq=4 ttl=255 time=31 ms
From 192.168.10.1: bytes=32 seq=5 ttl=255 time=62 ms

--- 192.168.10.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 31/49/62 ms
验证结果:PC1换成其他PC,无法访问公司网络。
相关推荐
AORO202513 分钟前
什么是三防平板电脑?三防平板有什么作用?
网络·5g·电脑·制造·信息与通信
鹧鸪云光伏20 分钟前
光伏运维数据透明化,发电量提高45%
运维·光伏·光伏设计·光伏模拟·光伏配储
DS小龙哥30 分钟前
基于单片机汽车少儿安全预警系统
单片机·安全·汽车
菲路普科技1 小时前
国产芯+单北斗防爆终端:W5-D防爆智能手机,助力工业安全通信升级
安全·智能手机
zfoo-framework1 小时前
线上redis的使用
数据库·redis·缓存
典孝赢麻崩乐急1 小时前
Redis学习-----Redis的基本数据类型
数据库·redis·学习
养海绵宝宝的小蜗1 小时前
OSPF综合实验报告册
网络
AI视觉网奇1 小时前
whisper tokenizer
linux·运维·服务器
止水编程 water_proof2 小时前
MySQL——事务详解
数据库·mysql
MX_93592 小时前
使用Nginx部署前端项目
运维·前端·nginx