Пример настройки безопасности порта

Последний ответ дек 16, 2019 10:35:50 117 1 1 1

Обзор безопасности портов

Безопасность порта изменяет динамические MAC-адреса, распознанные на интерфейсе, на безопасные MAC-адреса (включая динамические и статические защищенные MAC- адреса и липкие MAC-адреса). Эта функция не позволяет неавторизованным пользователям обмениваться данными с коммутатором через этот интерфейс. Как правило, безопасность портов настраивается на устройствах доступа для привязки пользователей к интерфейсам и контроля доступа пользователей на интерфейсах.

По сравнению со статическими MAC-адресами и user-bind, используемым для статической привязки пользователей, безопасность порта динамически привязывает пользователей к интерфейсам.

По сравнению с DHCP snooping, который также динамически привязывает пользователей к интерфейсу, безопасность портов проще настроить. Кроме того, безопасность портов может ограничить количество пользователей получающих доступ.

Примечания по конфигурированию

- После того, как ограничение MAC-адресов настроено на интерфейсе, безопасность порта нельзя включить на интерфейсе.

- Этот пример применим ко всем версиям всех коммутаторов серии

Требования к сети

Как показано на схеме, PC1, PC2 и PC3 подключаются к сети компании через коммутатор. Для повышения безопасности доступа пользователей на интерфейсе

коммутатора включена защита порта, чтобы внешние пользователи не могли использовать свои ПК для доступа к сети компании.

1

Схема настройки

Схема настройки выглядит следующим образом:

1. Создайте VLAN для реализации пересылки второго уровня.

2. Настройте защиту порта и включите функцию sticky MAC, чтобы записи MAC-адреса не потерялись после сохранения конфигурации устройства и перезагрузки устройства.

Процедура

Шаг 1 Создайте VLAN на коммутаторе и добавьте интерфейсы к VLAN. Настройки GE1/0/2 и GE1/0/3 аналогичны настройкам 1/0/1 (здесь не упоминаются).

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan 10 //Создайте VLAN 10.
[Switch-vlan10] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access //Тип работы интерфейса с vlan, подключенного к ПК, должен быть access.
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit

 

Шаг 2 Настройте защиту порта на GE1/0/1. Настройки GE1/0/2 и GE1/0/3 аналогичны настройкам GE1/0/1, и здесь не упоминаются.

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port-security enable //Включите защиту портов.
[Switch-GigabitEthernet1/0/1] port-security mac-address sticky //Функция sticky MAC может быть включена только после включения защиты портов.
[Switch-GigabitEthernet1/0/1] port-security max-mac-num 1 //После включения защиты порта интерфейс по умолчанию может создать только одну безопасную MAC-запись. Если только один пользователь должен быть ограничен, данную строку можно пропустить.

ПРИМЕЧАНИЕ

- По умолчанию интерфейс может распознать только одну защищенную MAC-запись.

Если несколько компьютеров подключаются к сети компании с использованием одного интерфейса, используйте команду port-security max-mac-num, чтобы изменить максимальное количество защищенных MAC-адресов.

- Если ПК подключается к коммутатору через IP-телефон, установите максимального количества защищенных MAC-адресов = 3, поскольку IP-телефон занимает две МАС-записи, а ПК занимает одну МАС-запись. Идентификаторы VLAN в двух МАС-записях, используемых IP-телефоном, различны. Две VLAN используются для передачи голосовых пакетов и пакетов данных соответственно.

 

Шаг 3 Проверьте конфигурацию.

Если PC1, PC2 и PC3 заменяются другими ПК, ПК не могут получить доступ к сети

компании.


  • x

user_2909167
Модератор Опубликовано 2019-12-16 10:35:50 Полезно(0) Полезно(0)

Файл конфигурации коммутатора

#
sysname Switch
#
vlan batch 10
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 10
port-security enable
port-security mac-address sticky
#
return


  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход