H3C 端口隔离与MAC-ip绑定技技术配置

H3C 端口隔离与MAC-ip绑定技技术配置

端口隔离技术部署

[boss]port-group 1
[boss-port-group-1]port-isolate enable
说明:这里有几个地方不需要部署,就是需要访问的,比如打印机,上行链路不需要定义,因为该功能是2个接口都部署了端口隔离的时候,该2个接口就不能互访,这样的话就算一个接口下面的PC干扰了病毒,或者ARP攻击,也不会影响其他设备。

MAC地址认证

说明:有时候我们希望对内网的PC的MAC进行验证,来更明确确定身份,只有MAC地址正确,就可以接入网络,对于用户,对于客户来说是透明的。当然这个部署需要在网络部署的时候对MAC地址做登记。

(1)开启MAC认证
[boss]mac-authen
[boss]int e0/0/3【必须单独开启】
[boss-Ethernet0/0/3]mac-authen
[boss-Ethernet0/0/3]mac-authen reauthenticate

批量开启
[boss]mac-authen interface Ethernet 0/0/1 to 0/0/7
(2)定义用户名

[boss]aaa
[boss-aaa]local-user 000c29c4fe05 password cipher 000c29c4fe05

说明:用户名密码就是MAC地址,中间不需要-,这是默认格式是这个,注意是小写。

(3)查看状态

如果MAC地址的用户名不对的话 那么这个就认证不通过的。

(4)改变MAC地址格式
默认情况下是跟平时的不一样的, 如果希望跟平时一样的话,可以修改[boss]mac-authen username macaddress format with-hyphen,默认为without-hyphen

(5)是否需要部署MAC地址认证功能
说明:该功能在如果在部署前已经登记了对应的MAC地址,这样的话部署起来比较方便,如果是后续需要实施该功能,需要通过一些工具批量查看MAC地址,继续记录了。它的好处就是对于客户来说是透明的,客户完全感觉不到,当不是内部用户进入网络,则进入不了。

*********************************************

H3C交换机IP+mac+端口绑定

系统视图下:

user-bind mac-addrmac-address ip-addr ip-address interface interface-list

以太网端口视图下:

user-bind mac-addrmac-address ip-addr ip-address

如何通过交换机查询MAC、IP及端口

dis  arp

端口+MAC

1)AM命令

使用特殊的AM User-bind命令,来完成MAC地址与端口之间的绑定。例如:

[SwitchA]am user-bindmac-address 00e0-fc22-f8d3 interface Ethernet 0/1

说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。

2)mac-address命令

使用mac-address static命令,来完成MAC地址与端口之间的绑定。例如:

[SwitchA]mac-addressstatic 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1

[SwitchA]mac-addressmax-mac-count 0

说明:由于使用了端口学习功能,故静态绑定mac后,需再设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习。

H3C交换机IP+MAC地址+端口绑定配置

组网需求:

???交换机对PC1进行IP+MAC+端口绑定,使交换机的端口E1/0/1下,只允许PC1上网,而PC1在其他端口上还可以上网。

配置步骤:

1.进入系统模式

<H3C>system-view

2.配置IP、MAC及端口的绑定

配置关键点:

1.同一IP地址或MAC地址,不能被绑定两次;

2.经过以上配置后,可以完成将PC1的IP地址、MAC地址与端口E1/0/1之间的绑定功能。此时端口E1/0/1只允许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网;

3.h3c交换机上有些产品只支持IP+MAC+端口三者同时绑定,有些可以绑定三者中任意二者,即IP+端口、MAC+端口、IP+MAC这三种绑定。H3C 3600/H3C S5600/S3900/S5600/S5100EI系列产品只支持三者同时绑定;S3000系列中S3026EFGTC/S3026C-PWR/S3050C支持三者同时绑定或任意两者的绑定;S3500系列设备除了S3526EC外都不支持上述三者或任意两者绑定;S5000系列设备支持三者或任意两者绑定;H3C S5500-SI、S2000C/S2000-EI、S3100SI系列设备不支持三者或任意两者的绑定。

H3C S5100 交换机端口绑定

首先登录交换机,进入管理状态System-View

第一种情况:1个端口只有一台电脑如何绑定

操作如下:

interface GigabitEthernet 1/0/24 首先进入24端口

就2步就成功了!(如果命令打错了,要撤销,请在命令前加undo)

第二种情况:1个端口下接了一个小交换机如何绑定

如:1号端口下接了一个8口的小交换机,交换机接有3台电脑,3台电脑的IP和MAC如下

要把此电脑绑定到交换机的1号端口

操作如下:

interface GigabitEthernet 1/0/1 首先进入1端口

(如果命令打错了,要撤销,请在命令前加undo)

第三种情况:端口下没接任何设备额

如:2号端口没有接任何设备

interface GigabitEthernet 1/0/2 首先进入2端口

mac-address max-mac-count 0 关掉此端口的学习MAC功能

---------------------------------------------------------------

常用命令

1、查看所有配置 dis cu

2、配置好必须要保存 sa

3、查看绑定情况dis am user-bind

(0)

相关推荐

  • 一个48口的交换机,每个端口都连接了一台计算机,这48台计算机分别属于三个部门,为防止各个部门间相互...

    感谢邀请!这个问题可以简单也可以复杂,简单点使用Vlan来搞定,复杂点增加使用VPN来搞定这个事情,一个是二层隔离技术一个是三层隔离技术.但是首先,你得熟悉一下二层网络和三层网络的转发机制. 首先,建 ...

  • vlan进行端口隔离配置及不同IP段互访

    对于大型网络来说,vlan是一种不错的解决办法,但对于有些项目,项目本身不需要不同vlan之间进行互访,比如有些监控项目就只需要内网访问,那么就没有必要创建vlan了,用户如果还将不同的端口划入不同的 ...

  • H3C交换机和Linux服务器网卡绑定bond对接经典配置

    交换机与Linux服务器多网卡bond模式对接 交换机多端口和服务器对接时,需要确定是否需要配置聚合或者不配置聚合,并且配置聚合的时候还需要确认是静态聚合还是动态聚合,当然这和当前服务器网卡的bond ...

  • 韩寒背后果麦文化成功IPO,明星IP绑定出版行业资本局?

    同样是IP内容的源头,相比网文市场已经由阅文集团坐定江山,最近的出版内容行业显得尤为热闹. 近日,深交所披露,中国证券监督管理委员会同意果麦文化传媒股份有限公司(以下简称"果麦文化" ...

  • VLAN划分与端口隔离有什么区别?有什么功能?

    前言 大家好,我是薛哥.对于交换,我们常常对于ip的规划比较烦恼,它的ip规划我们常常的做法是划分vlan,因为划分vlan有诸多好处,方便管理以及提升了整个网络的安全性. 当然除了划分vlan有其它 ...

  • 基于SVA的AFDX网络MAC IP核功能验证

    摘要: 近年来,机载SoC设计复杂度的不断提升使得集成IP核的应用越来越广泛,如何高效和准确地对IP核进行功能验证成为目前航空领域的实际需求.采用SVA对AFDX网络MAC IP核搭建层次化验证平台, ...

  • 滑动轴承和滚动轴承的装配方法及技技术要求

    一.滑动轴承的装配 滑动轴承是一种滑动摩擦性质的轴承,特点是工作平稳.可靠噪声小.能承受重载荷和较大的冲击载荷,根据结构形式不同可分为整体式.剖分式和瓦块式等. (1)整体式滑动轴承的装配 整体式滑动 ...

  • 【干货】IP路由技术——配置OSPF

    配置 OSPF 对OSPF进行基础配置并不像配置RIP.IGRP及EIGRP那样简单,一旦旦将OSPF中的许多选项考虑进来,它实际上可能非常复杂.但是还好,你只需掌握基本的单区域中的OSPF配置即可. ...

  • IP路由原理——技术详解

    一. 路由工作原理: https://m.toutiao.com/is/Jp9ffnF/ 路由转发数据过程其实很简单,简单的总结就是: 路由接收数据包→查看目的地址→与路由表进行匹配找到转发端口→转发 ...

  • 集中隔离观察点设置标准及管理技术指引(第五版)

    一.各方职责 (一)区防控领导小组 1.指定相关工作机构统筹设置本区集中隔离观察点,按照隔离观察点规模和流程设置配备足够的工作人员. 2.建立区级层面人员.物资等协调机制和工作流程,明确各部门职能. ...