1.项目背景
Jan16公司开发部为重要部分,所有员工使用指定的计算机工作,为防止员工或访客使用个人电脑接入网络,将使用基于端口安全计谋组建开发部网络。项目拓扑如图1所示,具体要求如下:
- 开发部采用了华为可网管互换机作为接入设备;
- 出于安全的思量,需在互换机的端口上绑定指定计算机的MAC地点,防止非法计算机的接入[A1] ;
- 计算机的IP、MAC和接入互换机的端口信息如拓扑所示[A2] 。
图1 网络拓扑图
2.项目规划设计
MAC地点是计算机的唯一物理标识,可以通过在互换机对应的端口上进行绑定,非绑定的MAC将无法接入到网络中。查看MAC地点的方法有几种:
1、在计算机中执行ipconfig命令即可查看本机的MAC地点;
2、在计算机中执行ARP -a可以查看相近计算机的MAC地点和IP地点;
3、在互换机上执行display[oa3] mac-address命令可以查看对应的端口上的MAC地点。
在进行端口绑定时,必要查看两个信息,一个是计算机的MAC地点,另一个是计算机接入的端口。因此,可以先从计算机查看本机的MAC地点,然后从互换机上查看MAC地点对应的端口,末了进行MAC地点和端口的绑定。
设置步骤如下:
(1)查看计算机本地MAC地点
(2)查看MAC所在的互换机端口
(3)开启该互换机端口的端口安全,并绑定对应的MAC地点
项目规划如下:
表1 端口规划表
| 本端设备
| 端口号
| 对端设备
| | SW1
| E0/0/1
| PC1
| | SW1
| E0/0/2
| PC2
| | SW1
| E0/0/3
| PC3
|
表2 IP地点规划表
| 计算机
| IP地点
| MAC地点
| | PC1
| 192.168.1.1/24 | 54-89-98-EB-55-B4 | | PC2
| 192.168.2.1/24
| 54-89-98-15-56-E2 | | PC3
| 192.168.3.1/24
| 54-89-98-0A-38-8E |
3.项目实行
(1)查看计算机本地MAC地点
设置好计算机IP地点,在计算机命令行下输入ipconfig,查看MAC地点。
(2)查看MAC所在的互换机端口
在互换机上使用命令display mac-address,查看互换机与计算机之间毗连的端口,对应MAC地点。[oa4]
<Huawei>system-view
[Huawei]sysname SW1
[SW1]
[SW1]display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-98ca-0358 1 - - Eth0/0/1 dynamic 0/-
5489-986f-0a10 1 - - Eth0/0/2 dynamic 0/-
5489-98ae-4688 1 - - Eth0/0/3 dynamic 0/-
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3
|
(3)开启该互换机端口的端口安全,并绑定对应的MAC地点
在互换机端口上打开端口安全功能,将MAC地点绑定到相对应接口中,并在vlan1上有效。
[SW1]interface Eth0/0/1
[SW1-Ethernet0/0/1]port-security enable
[SW1-Ethernet0/0/1]port-security mac-address sticky
[SW1-Ethernet0/0/1]port-security mac-address sticky 5489-98ca-0358 vlan 1
[SW1]interface Eth0/0/2
[SW1-Ethernet0/0/2]port-security enable
[SW1-Ethernet0/0/2]port-security mac-address sticky
[SW1-Ethernet0/0/2]port-security mac-address sticky 5489-986f-0a10 vlan 1
[SW1]interface Eth0/0/3
[SW1-Ethernet0/0/3]port-security enable
[SW1-Ethernet0/0/3]port-security mac-address sticky
[SW1-Ethernet0/0/3]port-security mac-address sticky 5489-98ae-4688 vlan 1
|
4.项目验证
(1)在互换机上查看设置是否生效
在互换机上使用display mac-address命令,查看互换机与计算机之间毗连的端口,类型是否变为sticky。[oa5]
[SW1]display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-98ae-4688 1 - - Eth0/0/3 sticky -
5489-98ca-0358 1 - - Eth0/0/1 sticky -
5489-986f-0a10 1 - - Eth0/0/2 sticky -
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 3
|
(2)测试计算机的互通性
通过Ping命令,测试内部通信息的环境。
使用PC1计算机Ping PC2计算机:
PC>ping 192.168.10.2
Ping 192.168.10.2: 32 data bytes, Press Ctrl_C to break
From 192.168.10.2: bytes=32 seq=1 ttl=128 time=32 ms
From 192.168.10.2: bytes=32 seq=2 ttl=128 time=46 ms
From 192.168.10.2: bytes=32 seq=3 ttl=128 time=47 ms
From 192.168.10.2: bytes=32 seq=4 ttl=128 time=31 ms
From 192.168.10.2: bytes=32 seq=5 ttl=128 time=31 ms
--- 192.168.10.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/37/47 ms
|
使用PC1计算机PingPC3计算机:
PC>ping 192.168.10.3
Ping 192.168.10.3: 32 data bytes, Press Ctrl_C to break
From 192.168.10.3: bytes=32 seq=1 ttl=128 time=47 ms
From 192.168.10.3: bytes=32 seq=2 ttl=128 time=31 ms
From 192.168.10.3: bytes=32 seq=3 ttl=128 time=47 ms
From 192.168.10.3: bytes=32 seq=4 ttl=128 time=31 ms
From 192.168.10.3: bytes=32 seq=5 ttl=128 time=47 ms
--- 192.168.10.3 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 31/40/47 ms
|
可以看出,计算机可以互相通信。
(3)更换计算机,测试互通性
把计算机PC3,更换为计算机PC4,IP地点相同,MAC地点不同,毗连到互换机Eth0/0/3接口上。
查看PC4的MAC地点:
PC>ipconfig
Link local IPv6 address...........: fe80::5689:98ff:fe87:617a
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 192.168.10.3
Subnet mask.......................: 255.255.255.0
Gateway...........................: 0.0.0.0
Physical address..................: 54-89-98-87-61-7A
DNS server........................:
|
使用PC1计算机Ping PC4计算机:
PC>ping 192.168.10.3
Ping 192.168.10.3: 32 data bytes, Press Ctrl_C to break
From 192.168.10.1: Destination host unreachable
From 192.168.10.1: Destination host unreachable
From 192.168.10.1: Destination host unreachable
From 192.168.10.1: Destination host unreachable
From 192.168.10.1: Destination host unreachable
|
可以看出,更换计算机后,MAC地点不同,计算机不能通信。
[A1]拓扑图应该把端口号放到互换机位置标注
在IP和MAC地点前加上:IP: 和“MAC:”
[A2]拓扑图要按如下图所示修改,每个接口都要标识IP地点。(否则IP规划表就有问题)
[oa3]命令增补完整
[oa4]修正错误:未设置端口安全时,type应为dynamic。
[oa5]增补查看设置是否生效的命令
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
