H3C 端口隔离与MAC-ip绑定技技术配置
H3C 端口隔离与MAC-ip绑定技技术配置
端口隔离技术部署
[boss]port-group 1
[boss-port-group-1]port-isolate enable
说明:这里有几个地方不需要部署,就是需要访问的,比如打印机,上行链路不需要定义,因为该功能是2个接口都部署了端口隔离的时候,该2个接口就不能互访,这样的话就算一个接口下面的PC干扰了病毒,或者ARP攻击,也不会影响其他设备。
MAC地址认证
说明:有时候我们希望对内网的PC的MAC进行验证,来更明确确定身份,只有MAC地址正确,就可以接入网络,对于用户,对于客户来说是透明的。当然这个部署需要在网络部署的时候对MAC地址做登记。
(1)开启MAC认证
[boss]mac-authen
[boss]int e0/0/3【必须单独开启】
[boss-Ethernet0/0/3]mac-authen
[boss-Ethernet0/0/3]mac-authen reauthenticate
批量开启
[boss]mac-authen interface Ethernet 0/0/1 to 0/0/7
(2)定义用户名
[boss]aaa
[boss-aaa]local-user 000c29c4fe05 password cipher 000c29c4fe05
说明:用户名密码就是MAC地址,中间不需要-,这是默认格式是这个,注意是小写。
(3)查看状态
如果MAC地址的用户名不对的话 那么这个就认证不通过的。
(4)改变MAC地址格式
默认情况下是跟平时的不一样的, 如果希望跟平时一样的话,可以修改[boss]mac-authen username macaddress format with-hyphen,默认为without-hyphen
(5)是否需要部署MAC地址认证功能
说明:该功能在如果在部署前已经登记了对应的MAC地址,这样的话部署起来比较方便,如果是后续需要实施该功能,需要通过一些工具批量查看MAC地址,继续记录了。它的好处就是对于客户来说是透明的,客户完全感觉不到,当不是内部用户进入网络,则进入不了。
*********************************************
H3C交换机IP+mac+端口绑定
系统视图下:
user-bind mac-addrmac-address ip-addr ip-address interface interface-list
以太网端口视图下:
user-bind mac-addrmac-address ip-addr ip-address
如何通过交换机查询MAC、IP及端口
dis arp
端口+MAC
1)AM命令
使用特殊的AM User-bind命令,来完成MAC地址与端口之间的绑定。例如:
[SwitchA]am user-bindmac-address 00e0-fc22-f8d3 interface Ethernet 0/1
说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。
2)mac-address命令
使用mac-address static命令,来完成MAC地址与端口之间的绑定。例如:
[SwitchA]mac-addressstatic 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1
[SwitchA]mac-addressmax-mac-count 0
说明:由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习。
H3C交换机IP+MAC地址+端口绑定配置
组网需求:
???交换机对PC1进行IP+MAC+端口绑定,使交换机的端口E1/0/1下,只允许PC1上网,而PC1在其他端口上还可以上网。
配置步骤:
1.进入系统模式
<H3C>system-view
2.配置IP、MAC及端口的绑定
配置关键点:
1.同一IP地址或MAC地址,不能被绑定两次;
2.经过以上配置后,可以完成将PC1的IP地址、MAC地址与端口E1/0/1之间的绑定功能。此时端口E1/0/1只允许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网;
3.h3c交换机上有些产品只支持IP+MAC+端口三者同时绑定,有些可以绑定三者中任意二者,即IP+端口、MAC+端口、IP+MAC这三种绑定。H3C 3600/H3C S5600/S3900/S5600/S5100EI系列产品只支持三者同时绑定;S3000系列中S3026EFGTC/S3026C-PWR/S3050C支持三者同时绑定或任意两者的绑定;S3500系列设备除了S3526EC外都不支持上述三者或任意两者绑定;S5000系列设备支持三者或任意两者绑定;H3C S5500-SI、S2000C/S2000-EI、S3100SI系列设备不支持三者或任意两者的绑定。
H3C S5100 交换机端口绑定
首先登录交换机,进入管理状态System-View
第一种情况:1个端口只有一台电脑如何绑定
操作如下:
interface GigabitEthernet 1/0/24 首先进入24端口
就2步就成功了!(如果命令打错了,要撤销,请在命令前加undo)
第二种情况:1个端口下接了一个小交换机如何绑定
如:1号端口下接了一个8口的小交换机,交换机接有3台电脑,3台电脑的IP和MAC如下
要把此电脑绑定到交换机的1号端口
操作如下:
interface GigabitEthernet 1/0/1 首先进入1端口
(如果命令打错了,要撤销,请在命令前加undo)
第三种情况:端口下没接任何设备额
如:2号端口没有接任何设备
interface GigabitEthernet 1/0/2 首先进入2端口
mac-address max-mac-count 0 关掉此端口的学习MAC功能
---------------------------------------------------------------
常用命令
1、查看所有配置 dis cu
2、配置好必须要保存 sa
3、查看绑定情况dis am user-bind