新闻资讯

News Information

首页 > IT新闻 > 交换机端口安全之安全粘贴MAC地址

交换机端口安全之安全粘贴MAC地址

发布:中百供应商查询系统 来源:金兰企划网 日期:2019年11月07日 阅读:0

  要求

  1、 外来电脑未经同意制止拜候内乱网

  2、 内乱网用户随意变更 地位不克不及 拜候内乱网

  尝试拓扑如下:

  操作步调

  LSW1具体设置装备摆设如下:

  //更改设备称号

  [Huawei]sysname LSW1

  //开启dhcp功用

  [LSW1]dhcp enable

  //划分外网vlan10

  [LSW1]vlan 10

  [LSW1-vlan10]quit

  //设置装备摆设虚拟接口地址

  [LSW1]inter vlan 10

  [LSW1-Vlanif10]ip add 192.168.10.254 24

  [LSW1-Vlanif10]dhcp select global //设置全局地址池

  [LSW1-Vlanif10]quit

  //设置装备摆设dhcp地址池

  [LSW1]ip pool vlan10

  [LSW1-ip-pool-vlan10]gateway-list 192.168.10.254

  [LSW1-ip-pool-vlan10]network 192.168.10.0 mask 24

  [LSW1-ip-pool-vlan10]excluded-ip-address 192.168.10.1 192.168.10.100

  [LSW1-ip-pool-vlan10]excluded-ip-address 192.168.10.200 192.168.10.253

  [LSW1-ip-pool-vlan10]lease day 0 hour 8

  [LSW1-ip-pool-vlan10]dns-list 61.139.2.69

  [LSW1-ip-pool-vlan10]quit

  //设置装备摆设用户接口

  [LSW1-Ethernet0/0/1]port link-type access

  [LSW1-Ethernet0/0/1]port default vlan 10

  [LSW1-Ethernet0/0/1]port-security enable // 翻开端口平安 功用

  [LSW1-Ethernet0/0/1]port-security mac-address sticky //翻开平安 粘贴MAC功用

  [LSW1-Ethernet0/0/1]port-security max-mac-num 1 //限制平安 MAC地址最年夜数目为1个

  [LSW1-Ethernet0/0/1]port-security protect-action restrict // 阻止其他非平安 mac地址并收回正告

  //设置装备摆设设备直接口

  [LSW1-Ethernet0/0/1]inter g0/0/1

  [LSW1-GigabitEthernet0/0/1]port link-type trunk

  [LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10

  [LSW1-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

  [LSW1-GigabitEthernet0/0/1]inter g0/0/2

  [LSW1-GigabitEthernet0/0/2]port link-type trunk

  [LSW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 10

  [LSW1-GigabitEthernet0/0/2]undo port trunk allow-pass vlan 1

  LSW2设置装备摆设如下:

  #

  sysname LSW2

  #

  vlan batch 10

  #

  interface Ethernet0/0/1

  port link-type access

  port default vlan 10

  port-security enable

  port-security mac-address sticky

  #

  interface GigabitEthernet0/0/2

  port link-type trunk

  undo port trunk allow-pass vlan 1

  port trunk allow-pass vlan 10

  #

  LSW3设置装备摆设如下:

  #

  sysname LSW3

  #

  vlan batch 10

  #

  interface Ethernet0/0/1

  port link-type access

  port default vlan 10

  port-security enable

  port-security mac-address sticky

  #

  interface GigabitEthernet0/0/1

  port link-type trunk

  undo port trunk allow-pass vlan 1

  port trunk allow-pass vlan 10

  #

  测试成果如下:

  内乱网用户正常猎取ip,并能互访

  将外网用户接入内乱网用户1接口,不克不及 猎取ip地址,互换机发生 正告信息

  将内乱网用户2接入内乱网用户1接口,也不克不及 猎取ip地址,互换机发生 正告信息

  假如内乱用用户2颠末同意毗连LSW3,只需在LSW3 接口interface Ethernet0/0/1封闭粘贴功用,再翻开即可

  设置装备摆设如下:

  [LSW3]inter e0/0/1

  [LSW3-Ethernet0/0/1]undo port-security mac-address sticky

  [LSW3-Ethernet0/0/1]port-security mac-address sticky

  

准确猎取ip并入内乱网用户3正常通信