目录
基于端口安全的 Jan16 公司网络组建
Jan16 公司开发部为重要部门,所有员工使用指定的计算机工作,为防止员工或访客使 用个人电脑接入网络,将使用基于端口安全策略组建开发部网络。项目拓扑如图 1 所示,具 体要求如下:
(1) 开发部采用了华为可网管交换机作为接入设备;
(2) 出于安全的考虑,需在交换机的端口上绑定指定计算机的 MAC 地址,防止非法 计算机的接入;
(3) 计算机的 IP、MAC 和接入交换机的端口信息如拓扑所示。
图一:实验环境
MAC 地址是计算机的唯一物理标识,可以通过在交换机对应的端口上进行绑定,非绑定的 MAC 将无法接入到网络中。查看 MAC 地址的方法有几种:
1、在计算机中执行 ipconfig 命令即可查看本机的 MAC 地址;
2、在计算机中执行 ARP -a 可以查看邻近计算机的 MAC 地址和 IP 地址;
3、在交换机上执行 display mac-address 命令可以查看对应的端口上的 MAC 地址。
在进行端口绑定时,需要查看两个信息,一个是计算机的 MAC 地址,另一个是计算机接入的端口。因此,可以先从计算机查看本机的 MAC 地址,然后从交换机上查看 MAC 地址对应的端口,最后进行 MAC 地址和端口的绑定。
配置步骤如下:
(1)查看计算机本地 MAC 地址
(2)查看 MAC 所在的交换机端口
(3)开启该交换机端口的端口安全,并绑定对应的 MAC 地址
项目规划如图1所示
(1)配置并查看计算机本地 MAC 地址与IP :ipconfig,查看 PC机详情。
(2)交换机SW1配置:
(3)查看 MAC 所在的交换机端口
当你敲了这个不显示什么(表示:PC机需要ping一下对方,这样交换机才能学习)
(3)开启该交换机端口的端口安全,并绑定对应的 MAC 地址
- interface g0/0/1
-
- port-security enable
-
- port-security mac-address sticky
-
- port-security mac-address sticky 5489-98ca-0358 vlan 1
-
- interface g0/0/2
-
- port-security enable
-
- port-security mac-address sticky
-
- port-security mac-address sticky 5489-986F-0A10 vlan 1
-
- interface g0/0/3
-
- port-security enable
-
- port-security mac-address sticky
-
- port-security mac-address sticky 5489-98AE-4688 vlan 1
-
- interface g0/0/4
-
- port-security enable
-
- port-security mac-address sticky
-
- port-security mac-address sticky 5489-98AE-4699 vlan 1
(1)在交换机上查看配置是否生效(需要ping一下)
(2)测试计算机的互通性
(3)更换计算机(PC5与交换机的指定MAC不同、测试互通性)
基于G0/0/4 PC4的接口配置参考
- PC5
-
- PC>ipconfig
-
- Link local IPv6 address...........: fe80::5689:98ff:feb9:261
-
- IPv6 address......................: :: / 128
-
- IPv6 gateway......................: ::
-
- IPv4 address......................: 192.168.10.5
-
- Subnet mask.......................: 255.255.255.0
-
- Gateway...........................: 0.0.0.0
-
- Physical address..................: 54-89-98-B9-02-61
-
- DNS server........................:
-
- PC>
总结:可以看出,更换计算机后,MAC 地址不同,计算机不能通