配置端口安全示例
组网需求
如图1所示,用户PC1、PC2、PC3通过接入设备连接公司网络。为了提高用户接入的安全性,将接入设备Switch的接口使能端口安全功能,并且设置接口学习MAC地址数的上限为接入用户数,这样其他外来人员使用自己带来的PC无法访问公司的网络。
配置思路
采用如下的思路配置端口安全:
-
配置VLAN,实现二层转发功能。
-
配置端口安全功能,实现学习到的MAC地址表项不老化
操作步骤
- 在Switch上创建VLAN,并把接口加入VLAN
#创建VLAN
[zhongwanzhi]vlan 10#接口GE0/0/1加入VLAN10。接口GE0/0/2和GE0/0/3的配置与接口GE0/0/1相同
[zhongwanzhi]interface GigabitEthernet 0/0/1
[zhongwanzhi-GigabitEthernet0/0/1]port link-type access
[zhongwanzhi-GigabitEthernet0/0/1]port default vlan 10
[zhongwanzhi-GigabitEthernet0/0/1]quit
[zhongwanzhi]interface GigabitEthernet 0/0/2
[zhongwanzhi-GigabitEthernet0/0/2]port link-type access
[zhongwanzhi-GigabitEthernet0/0/2]port default vlan 10
[zhongwanzhi-GigabitEthernet0/0/2]quit
[zhongwanzhi]interface GigabitEthernet 0/0/3
[zhongwanzhi-GigabitEthernet0/0/3]port link-type access
[zhongwanzhi-GigabitEthernet0/0/3]port default vlan 10
[zhongwanzhi-GigabitEthernet0/0/3]quit配置GE0/0/1接口的端口安全功能。
# 使能接口Sticky MAC功能,同时配置MAC地址限制数。接口GE0/0/2和GE0/0/3的配置与接口GE0/0/1相同
[zhongwanzhi]interface GigabitEthernet 0/0/1
[zhongwanzhi-GigabitEthernet0/0/1]port-security enable
[zhongwanzhi-GigabitEthernet0/0/1]port-security mac-address sticky
[zhongwanzhi-GigabitEthernet0/0/1]port-security max-mac-num 1
[zhongwanzhi-GigabitEthernet0/0/1]quit
[zhongwanzhi]interface GigabitEthernet 0/0/2
[zhongwanzhi-GigabitEthernet0/0/2]port-security enable
[zhongwanzhi-GigabitEthernet0/0/2]port-security mac-address sticky
[zhongwanzhi-GigabitEthernet0/0/2]port-security max-mac-num 1
[zhongwanzhi-GigabitEthernet0/0/2]quit
[zhongwanzhi]interface GigabitEthernet 0/0/3
[zhongwanzhi-GigabitEthernet0/0/3]port-security enable
[zhongwanzhi-GigabitEthernet0/0/3]port-security mac-address sticky
[zhongwanzhi-GigabitEthernet0/0/3]port-security max-mac-num 1
[zhongwanzhi-GigabitEthernet0/0/3]quit验证配置结果
将PC1、PC2、PC3换成其他设备,无法访问公司网络。