一、实验背景
xx公司开发部为重要部门,所有员工使用指定的计算机工作,为防止员工或访客使用个人电脑接入网络,将使用基于端口安全策略组建开发部网络。具体要求如下:
1、开发部采用了华为可网管交换机作为接入设备;
2、出于安全的考虑,需在交换机的端口上绑定指定计算机的MAC地址,防止非法计算机的接入;
3、计算机的IP、MAC和接入交换机的端口信息如拓扑所示。
PC1:IP地址 10.1.1.1/24 MAC地址 54-89-98-24-2F-4B
PC2:IP地址 10.1.1.2/24 MAC地址 54-89-98-19-11-F6
PC3:IP地址 10.1.1.3/24 MAC地址 54-89-98-46-32-2C
二、实验规划
MAC地址是计算机的唯一物理标识,可以通过在交换机对应的端口上进行绑定,非绑定的MAC将无法接入到网络中。查看MAC地址的方法有几种:
1、在计算机中执行ipconfig命令即可查看本机的MAC地址;
2、在计算机中执行ARP -a可以查看邻近计算机的MAC地址和IP地址;
3、在交换机上执行display mac-address命令可以查看对应的端口上的MAC地址。
在进行端口绑定时,需要查看两个信息,一个是计算机的MAC地址,另一个是计算机接入的端口。因此,可以先从计算机查看本机的MAC地址,然后行交换机上查看MAC地址对应的端口,最后进行MAC地址和端口的绑定。
配置步骤如下:
1、查看计算机本地MAC地址
2、查看MAC所在的交换机端口
3、开启交换机端口的端口安全,并绑定对应的MAC地址
三、实验操作
使用PC1先向PC2和PC3 ping连接测试,让交换机学习到计算机的MAC地址并存入arp缓存表
查看mac所在的交换机端口
开启交换机的端口安全,并绑定对应的MAC地址,查看交换机接口对应的MAC类型已变为sticky
[Huawei]interface e0/0/1
[Huawei-Ethernet0/0/1]port-security enable
[Huawei-Ethernet0/0/1]port-security mac-address sticky
[Huawei-Ethernet0/0/1]port-security mac-address sticky 5489-9824-2f4b vlan 1
[Huawei-Ethernet0/0/1]q
[Huawei]interface e0/0/2
[Huawei-Ethernet0/0/2]port-security enable
[Huawei-Ethernet0/0/2]port-security mac-address sticky
[Huawei-Ethernet0/0/2]port-security mac-address sticky 5489-9819-11f6 vlan 1
[Huawei-Ethernet0/0/2]int e0/0/3
[Huawei-Ethernet0/0/3]port-security enable
[Huawei-Ethernet0/0/3]port-security mac-address sticky
[Huawei-Ethernet0/0/3]port-security mac-address sticky 5489-9846-322c vlan 1
更换PC的MAC地址(相当于更换了客户端,常规下MAC地址是烧录于网卡,无法更改的)并与其余客户机连通性测试,测试结果为ping不通