华为交换机端口安全配置学习笔记
1、查看交换机中所记录的MAC表 每个MAC与端口都是对应的,是个映射关系。在上图中,PC1机器ping服务器server时,PC1发送的ping数据帧时,首先由经过HUB(hub其实就是个傻瓜交接机,会把数据帧向所有端口转发),然后由交换机的gi0/0/2端口进入交换机,这时交换机就会把数据帧中的源MAC地址与gi0/0/2端口写入MAC表中。就是这么产生的。 ping完服务器server1后,再在交换机上查看MAC表。 [sw1]dis mac-address MAC地址与对应的端口,还有VLAN,都会列出。其中Type有两种: 为sticky时:表示此MAC地址为固定的,也就是手动配置的,如果不更改的话,MAC地址会与端口一直绑定,再接入新的设备就无法通信了,因为MAC与配置的不同。 为dynamic时,表示获取的MAC地址是动态的,当接入新设备时再通信时,会变成新设备的MAC地址。 交换机中所记录的mac表是有时间限制的,就是当到一定时间后(不会太长时间,以秒单位),如果没有通信的话,就会消失。再用dis mac-address时是空的。 有个注意的地方,交换机的端口,如果接了HUB,如上图拓扑图,HUB上又接了很多台PC机,这时交换机上的MAC表中会存储HUB所连接的所有PC机的MAC地址并对应端口gi0/0/2。这是因为HUB就相当于透明的,一条直线,HUB会把数据转发到所有端口上。 2、端口安全配置(交换机) 2.1只能允许一台PC通信。 将交换机端口gi0/0/2打开端口安全后,那么gi0/0/2端口只允许一个MAC地址通信。如果你通过HUB方式连接了gi0/0/2端口上,那么在多台PC机中,也只能允许一台PC机通信。多台PC中允许哪台呢?谁先第一次通信就先允许谁通信,这时其它的PC机就能通信了。就是众多PC机中,第一个通信的PC机的MAC地址会被记录在交换机的MAC地址表,所以其他PC机就无法通信了。这就是动态获取。 [sw1-GigabitEthernet0/0/2]port-security enable //开启端口安全 我们先让pc2去ping服务器server1,然后再让pc1去ping服务器server1。发现pc2能通信,而pc1却无法通信了。 2.2允许多台PC通信。 [sw1-GigabitEthernet0/0/2]port-security max-mac-num 2 //允许最大2台PC通信 这时PC1和PC2可以同时与服务器server1通信了。 2.3端口绑定固定MAC地址。 将端口绑定上指定MAC地址,这样配置后,除了绑定的MAC地址允许通信后,其他的都不允许通信。 [sw1-GigabitEthernet0/0/2]port-security mac-address sticky //启用sticky,sticky为粘贴的意思 [sw1-GigabitEthernet0/0/2]port-security mac-address sticky 5489-9857-6c71 //把MAC地址粘贴(绑定)到gi0/0/2端口上 查看交换机上的mac表: **注意:这块可能和我们想的不一样,通过配置命令port-security mac-address sticky XXXX把MAC地址绑定到gi0/0/2端口时,要注意MAC的格式:54-89-98-57-6C-71这个是PC机中的MAC地址格式,但在配置命令中是不能用的。要采用5489-9857-6C71这种格式。就可以配置成功。**如下图报错和成功对比。而且在端口下无法查看到绑定的mac地址,只能用dis mac-addresss查看。 2.4端口安全保护动作。 就是当端口配置完安全后,如果有非受信的设备访问时,端口所做的响应! 保护动作用三种: protect 只把数据丢弃 restrict 丢充数据并给出提示,//一般都会配置这个动作。 shutdown 直接关掉端口 如果配置了shutdown,以后要恢复时,需要登陆交换机上手动undo shutdown来恢复端口。