ENSP端口绑定,MAC转发表以及学习限制

原创 已于 2023-01-13 20:56:05 修改 · 4.6k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #服务器 #运维

于 2022-08-29 19:01:08 首次发布
本文介绍如何在华为网络设备上配置端口绑定、MAC转发表及MAC学习限制等安全措施,包括详细步骤与命令示例。

目录

端口绑定

MAC转发表

MAC学习限制

接口限制:

VLAN限制:

端口绑定

        首先进入端口中启动安全端口模式,默认是关闭的

[Huawei]interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1]port-security enable
[Huawei-GigabitEthernet0/0/1]port-security mac-address sticky
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2]port-security enable
[Huawei-GigabitEthernet0/0/2]port-security mac-address sticky
[Huawei-GigabitEthernet0/0/2]quit

        然后再全局模式下做端口绑定

[Huawei]user-bind static ip-address 192.168.1.10 mac-address 5489-98E3-765E interface GigabitEthernet 0/0/1
[Huawei]user-bind static ip-address 192.168.1.20 mac-address 5489-9861-65ED interface GigabitEthernet 0/0/2

        以下就是我归纳的端口绑定所需要的代码

port-security enable
port-security mac-address sticky开启安全端口模式
user-bind static ip-address IP地址 mac-address mac地址 interface 接口名称
IP地址,mac地址和接口绑定

他的mac地址

 可以更换pc与交换机之间的线,在这不做测试了

MAC转发表

配置指令mac-address static
例如:mac-address static MAC地址 接口 vlan号

查看命令dis mac-address

修改命令:mac-address aging-time 可以修改MAC地址的老化时间(默认三百秒)
查看命令:display mac-address aging-time

MAC学习限制

有两种操作步骤,第一种基于接口限制MAC地址学习数量、第二种基于VLAN限制MAC地址学习数量,大同小异。

接口限制:

进入系统视图(system-view)后

进入接口视图(interface 接口类别 接口

执行mac-limit maximum 最大数量(缺省状态下,不限制MAC学习数量)

执行命令mac-limit alarm { disable | enable },配置当MAC地址数量达到限制后是否进行告警。

(缺省状态下,对超过MAC地址学习数量限制的报文进行告警。)

VLAN限制:

进入系统视图(system-view)后

进入VLAN视图(vlan vlan编号

执行mac-limit maximum 最大数量(缺省状态下,不限制MAC学习数量)

执行命令mac-limit alarm { disable | enable },配置当MAC地址数量达到限制后是否进行告警。

(缺省状态下,对超过MAC地址学习数量限制的报文进行告警。)

华为ensp模拟器实验:端口安全绑定MAC地址ip地址
weixin_57704002的博客
08-17 1万+
交换机端口绑定MAC地址IP地址
华为ENSP(3)------端口绑定技术
weixin_47403060的博客
07-25 3167
1、端口绑定技术的概念: 端口绑定技术:链路聚合是将一组物理接口捆绑在一起作为一个逻辑接口来增加带宽的一种方法,又称为多接口负载均衡组成链路聚合组,通过在两台设备之间建立链路聚合组,可以提供更高的通讯带宽和更高的可靠性,链路聚合不仅为设备间通信提供了冗余保护,而且不需要对硬件进行升级。 2、链路聚合/端口聚合/端口绑定实现的条件: (1)每个Eth-Trunk接口下最多可以包含8个成员接口; (2)成员接口不能配置任何业务和静态MAC地址; (3)成员接口加入Eth-Trunk时,必须为缺省的hy
sx:快速强大易于使用的现代化网络扫描器
m0_59598029的博客
08-02 967
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
enspmac地址绑定
wudongfang666的专栏
04-12 1710
第三步:user-bind static ip-address 192.168.1.20 mac-address 5489-98C9-3D64 interf。第二步:port-security mac-address sticky。区别:直接用mac-address static绑定接口。实验目的:通过绑定ip,mac,接口控制接入的电脑访问。第一二步在接口试图下输入,第三步在系统试图下输入。第一步:port-security enable。
绑定MAC地址
01-05
绑定MAC地址
eNSP中对NAT的配置(网络地址转换)
热门推荐
390的博客
06-01 3万+
地址转换是把局域网的私有地址转换为公有地址,如果想要上外网,而公有地址是有限的,则需要将私有地址转换成公有地址,用端口号进行区分。 一.基本原理 NAT是改变IP报文中的源或目的地址的一种处理方式;让局域网用户访问外网资源,也可以设定内部的应用对外提供的服务;隐藏内部局域网的IP主机,起到安全保护的作用;NAT功能通常被集成到路由器,防火墙,ISDN路由器或者单独的NAT设备中。 1.IANA为私有网络预留的IP地址空间: ①A类地址范围是10.0...
ensp配置静态MAC
04-03
另外值得注意的是还有一种特殊形式叫做“黑洞”MAC设置法(Hole-MAC),它可以用来阻止特定主机之间的通信联系而不必实际删除它们记录于转发表中的位置信息[^4]. 综上所述,合理运用上述技术手段不仅可以提升整体架构...
计算机网络实验一:交换机基本配置与MAC地址表管理
Chenqin1879的博客
11-08 1893
总结来说,Access接口在接收和转发数据帧时,不会处理VLAN标签,所有通过Access接口的数据帧都被认为属于该接口配置的VLAN。Access接口配置:选择一个接口并将其配置为Access模式,然后指定该接口的默认VLAN。PC1发出的第一个包为广播包 ---ARP请求 源MAC地址为PC1的MAC地址,目标MAC为FF:FF:FF:FF:FF:FF。PC4发出的第一个包为广播包 ---ARP请求 源MAC地址为PC4的MAC地址,目标MAC为FF:FF:FF:FF:FF:FF。
arp欺骗防御 ensp
03-23
上述脚本实现了对指定VLAN下成员实施基于硬件转发表的安全策略控制过程[^2]。 #### 原理分析 当启用了DAI之后,每当某个接入层交换机会收到来自下游终端发过来的一个新的ARP请求或应答消息时,它都会依据预设好的...
华为ENSP路由协议
下一个艺术家
07-22 1326
RSTP:快速生成数协议,缩短生成树端口由堵塞到转发状态的过渡时间。 开启快速生成树方法 stp enable stp mode rstp MSTP :一个VLAN一颗生成树,实现链路负载的均衡。 网络层的功能 定义了基于IP协议的逻辑地址 路由,不同网段 选路 ICMP ICMP是一个“错误侦测与回馈机制” 通过IP数据包封装的 用来发送错误和控制消息 Ping 3-1 -t参数会一直不停的执行ping -调试故障或需进行持续联通性测试时应用 Ctrl+C可以中断命令 Ping 3-2 -a参数可以显示
交换机端口MAC地址绑定命令
09-01
交换机端口MAC地址绑定命令
绑定网关Mac和IP
04-23
Windows xp/windowss7 /windows8绑定网关Mac和IP
华为交换机怎么绑定绑定ip地址/MAC地址?
10-01
华为交换机怎么绑定绑定ip地址/MAC地址?主要是预防IP地址被盗用等网络安全威胁的问题,该怎么设置绑定呢?下面我们就来看看详细的设置教程,需要的朋友可以参考下
(神码)实现mac端口绑定--3926s
04-24
对于配置动态MAC学习有一点需要注意,在#sw port-security lock 之前你必须保证你所配置的端口, 已经学习到了某个mac地址,否则的话客户端的网络连接永远是打叉的。你可以用客户端ping交换机的IP 来让端口实现学习功能。
交换机端口绑定MAC地址0基础教程
2302_77423584的博客
04-09 5623
port-security mac-address sticky 5489-98AD-5A5B vlan 1 //绑定PC2的MAC地址 (注意MAC地址格式)此时可以看到显示为[Huawei-Ethernet0/0/1],这表示已经进入了名为Ethernet0/0/1的接口,该接口是交换机LSW2连接PC2的接口。若将PC2的MAC地址修改,54-89-98-AD-5A-5B修改为54-89-98-AD-5A-5A。等设备变亮,线上的红点变成绿色,说明设备启动成功。
ENSP 中的Cloud端口绑定信息只有UDP
Shen19981110的博客
03-28 4185
** ENSP Cloud端口绑定信息只有UDP 问题点: 解决方案: 重新安装Wincap 如果安装失败 提示这个的话 删除这个应用程序,在重新安装可以了 最后 成功解决:
ENSP之交换机与以太网实验(交换机限制学习mac地址,与关闭端口实验)
2301_81713278的博客
03-22 1625
如果关闭交换机端口5学习MAC地址的功能,如果关闭交换机端口5学习MAC地址的功能,在完成集线器2连接的3个终端与其他终端之间的通信过程后,交换机MAC表中没有与端口5绑定MAC地址的转发项。因为我们刚刚限制了0/0/1的端口学习上限为2,所以记录到的0/0/1的端口只有两个,而0/0/5的端口却有三个。同时这两个端口分别经过了路由器的端口1也就是0/0/1也经过了端口5,也就是0/0/5就被交换机记录了下来。因为我们之前把0/0/1的mac地址学习上限设为了2个,之后又将0/0/5的端口给关闭了。
基于 ensp 深入了解 MAC 地址及交换机相关知识001
老韩的Linux云计算架构师进阶之路
06-25 882
MAC地址格式:XX-XX-XX-XX-XX-XX 或 XXXXXX.XXXXXX示例:00-E0-4C-68-01-7B字段长度说明OUI前24位厂商代码(由IEEE分配)NIC后24位设备序列号(厂商分配)字节顺序传输时为小端序fill:#333;color:#333;color:#333;fill:none;MAC地址物理地址广播地址组播地址以太网帧目的MACMAC类型字段数据载荷交换原理学习机制转发决策泛洪条件eNSP配置端口配置VLAN划分。
端口绑定 MAC
weixin_34080571的博客
06-03 299
端口MAC,IP一起绑定啊,怎么安全要求这么高啊!!但是呢你也不要急我们来配置一下:Switch#config terminal  #进入配置模式  Switch(config)# Interface fastethernet 0/1  #进入具体端口配置模式  Switch(config-if)#Switchport port-secruity  #配置端口安全模式  S...
ensp端口绑定,将pc1的mac地址与2-5口进行绑定
最新发布
11-27
<think> 我们正在使用华为eNSP模拟器进行配置。根据引用内容,我们知道在配置VLAN时需要先配置接口类型(如access),然后再将接口划分到VLAN。 但是,用户现在的问题是关于MAC地址端口绑定,这通常涉及端口安全(Port Security)或者MAC地址绑定MAC address binding)的配置。 在华为设备中,我们可以通过以下步骤实现MAC地址端口绑定: 1. 进入需要绑定的接口(可以是多个接口,这里需要依次配置2-5端口) 2. 配置端口为hybrid或access模式(根据实际情况,如果只是连接PC,通常用access) 3. 启用端口安全功能(port-security enable) 4. 设置安全MAC地址,并指定绑定方式(例如,将PC1的MAC地址绑定到这些端口) 注意:在绑定MAC地址时,通常有两种方式: - 静态绑定:手动配置MAC地址端口绑定 - 动态绑定:通过动态学习,然后转换为静态(或者设置最大学习数量为1,并开启安全保护) 用户要求将PC1的MAC地址与2-5端口绑定,我们可以选择静态绑定。 具体步骤(以2号端口为例,3-5端口重复同样步骤): [SW] interface Ethernet 0/0/2 // 进入2号端口 [SW-Ethernet0/0/2] port-security enable // 使能端口安全 [SW-Ethernet0/0/2] port-security mac-address sticky // 启用sticky MAC功能(可选,这里我们不用,我们用静态配置) [SW-Ethernet0/0/2] port-security mac-address sticky <PC1的MAC地址> vlan <VLAN ID> // 使用sticky方式绑定,但这里我们更倾向于静态配置 或者,我们使用静态配置的方式: [SW-Ethernet0/0/2] port-security mac-address static <PC1的MAC地址> vlan <VLAN ID> 注意:这里需要指定VLAN ID,因为端口安全需要知道MAC地址属于哪个VLAN。如果端口是access模式,那么VLAN ID就是该端口所属的VLAN。 但是,用户没有提到VLAN,所以我们假设这些端口处于同一个VLAN(比如VLAN10),并且PC1属于这个VLAN。 另外,我们还需要设置端口的安全模式(比如,当有非法MAC接入时采取什么动作): [SW-Ethernet0/0/2] port-security protect action restrict // 可以设置为restrict(限制)或shutdown(关闭端口)等 然而,我们也可以使用另一种方法:MAC地址绑定(不通过端口安全),而是使用: [SW] interface Ethernet 0/0/2 [SW-Ethernet0/0/2] mac-address static <PC1的MAC地址> vlan <VLAN ID> 但是,这种方法只是添加了MAC地址表项的静态条目,并不能完全实现端口安全(即一个端口只允许一个MAC地址)。所以,我们通常结合端口安全来实现。 因此,完整的配置步骤如下(以端口2为例): 1. 配置接口类型(access或hybrid,这里假设为access并划分到VLAN10): [SW] interface Ethernet 0/0/2 [SW-Ethernet0/0/2] port link-type access [SW-Ethernet0/0/2] port default vlan 10 2. 使能端口安全: [SW-Ethernet0/0/2] port-security enable [SW-Ethernet0/0/2] port-security max-mac-num 1 // 设置最大MAC地址数为1 [SW-Ethernet0/0/2] port-security mac-address sticky // 可选,如果我们静态配置,可以不用sticky 3. 静态绑定PC1的MAC地址: [SW-Ethernet0/0/2] port-security mac-address static <PC1的MAC地址> vlan 10 4. 设置违规动作(可选,默认是restrict,即丢弃非法帧并告警): [SW-Ethernet0/0/2] port-security protect action ? // 可以选择restrict或shutdown等 但是,注意:如果使用静态绑定,我们也可以不设置sticky。另外,设置最大MAC地址数为1,这样该端口就只能允许一个MAC地址(即PC1的MAC地址)通过。 对于3-5端口,同样配置。但是请注意,这样配置后,每个端口都只允许PC1的MAC地址接入,也就是说PC1只能接在其中一个端口上,其他端口如果接PC1则正常,但接其他设备则会被限制(因为每个端口都只绑定了PC1的MAC地址)。这显然不符合用户的要求:将PC1的MAC地址与2-5端口绑定。 这里可能有两种理解: 1. 用户希望PC1的MAC地址可以在2-5端口中的任意一个端口上使用(即PC1可以接在2-5中的任意一个端口),而其他MAC地址不能使用这些端口。 这种情况下,我们需要在2-5端口都允许PC1的MAC地址,并且每个端口都只允许这个MAC地址(即每个端口绑定PC1的MAC地址)。这样,当PC1接到其中任意一个端口时,该端口允许其通信,而其他MAC地址接入这些端口则被拒绝。 2. 用户希望2-5端口作为一个组,只允许PC1的MAC地址接入(即这4个端口共同绑定同一个MAC地址,但PC1只能接在一个端口,其他端口空闲时也不允许其他MAC接入)。这种情况与上述配置一致。 但是,在端口安全中,每个端口MAC地址绑定是独立的。所以,我们可以在2-5端口都做相同的配置:绑定PC1的MAC地址,并且每个端口最大MAC数量为1。 因此,我们按照上述步骤配置2-5端口。 但是,还有一种情况:用户可能希望2-5端口都可以被PC1使用(比如冗余),即PC1可以同时连接到多个端口?这通常需要聚合链路,但PC1一般只有一个网卡,所以不可能同时连接多个端口。所以,我们按照第一种理解:PC1可以接在2-5中的任意一个端口,每个端口都只允许PC1的MAC地址。 因此,配置步骤总结如下(假设PC1的MAC地址为0001-0001-0001,VLAN10): 1. 进入2-5端口,配置接口类型为access,划分到VLAN10。 2. 在2-5端口使能端口安全,设置最大MAC数为1。 3. 在2-5端口静态绑定PC1的MAC地址(0001-0001-0001)到VLAN10。 4. 设置违规动作(可选,默认是restrict)。 注意:在配置端口安全前,需要先在系统视图下开启全局端口安全(如果设备支持的话)。在eNSP中,一般只需要在接口下使能即可。 另外,如果PC1需要同时连接到多个端口,则无法通过端口安全实现(因为一个MAC地址不能同时在多个端口出现,除非是聚合链路,但PC1不支持聚合)。所以,我们按照单端口绑定。 配置示例(以端口2为例,端口3、4、5同样配置): ``` [SW] interface Ethernet 0/0/2 [SW-Ethernet0/0/2] port link-type access [SW-Ethernet0/0/2] port default vlan 10 [SW-Ethernet0/0/2] port-security enable [SW-Ethernet0/0/2] port-security max-mac-num 1 [SW-Ethernet0/0/2] port-security mac-address static 0001-0001-0001 vlan 10 [SW-Ethernet0/0/2] port-security protect action restrict // 如果不想用默认,可以设置成shutdown(违规后关闭端口) ``` 注意:在配置时,需要确保PC1的MAC地址正确。可以通过在PC1上使用ipconfig/all(Windows)或ifconfig(Linux)查看。 另外,如果2-5端口已经连接了其他设备,绑定后可能会立即触发违规(因为之前有其他MAC),所以在绑定前最好先清除端口下的其他MAC地址,或者将端口关闭再开启(重置)。 最后,保存配置。 因此,回答用户: 在eNSP中,可以通过配置端口安全,将PC1的MAC地址静态绑定到2-5端口。每个端口都需要单独配置,并且设置最大MAC地址数为1,这样每个端口只允许PC1的MAC地址接入。配置步骤如上所示。 注意:用户需要将示例中的MAC地址替换为PC1的实际MAC地址,并确保VLAN正确。 另外,如果用户希望这些端口可以同时允许多个已知的MAC地址(比如PC1、PC2等),那么需要调整最大MAC数量并绑定多个MAC地址。但这里用户只要求PC1的MAC地址绑定到2-5端口,所以每个端口绑定一个MAC地址(即PC1的MAC地址)。 引用说明:我们在配置VLAN时,引用了先配置接口类型再划分VLAN的顺序,这里同样适用,因为我们在绑定MAC地址前已经配置了端口的VLAN。 生成相关问题: 1. 如何查看eNSP中PC的MAC地址? 2. 端口安全中的违规动作有哪些?有什么区别? 3. 如果绑定的PC1更换了网卡(MAC地址改变),该如何更新配置? 4. 如何验证MAC地址绑定是否生效? 请用户参考以上步骤进行配置。 </think>在eNSP中将PC1的MAC地址与2-5端口绑定,需通过**端口安全(Port Security)** 功能实现。以下是详细步骤: ### 配置步骤 1. **查看PC1的MAC地址** 打开PC1命令行,输入 `ipconfig /all` 查看物理地址(如:`00-E0-FC-12-34-56`)。 2. **进入交换机配置视图** ```shell <Huawei> system-view [Huawei] sysname SW # 可选,命名交换机 ``` 3. **批量配置端口2-5** ```shell [SW] interface range ethernet 0/0/2 to 0/0/5 # 进入2-5端口 [SW-port-group] port link-type access # 设置为access模式 [SW-port-group] port-security enable # 启用端口安全 [SW-port-group] port-security max-mac-num 1 # 限制每个端口仅允许1个MAC地址 [SW-port-group] port-security mac-address sticky # 启用Sticky MAC功能 [SW-port-group] quit ``` 4. **静态绑定PC1的MAC地址** ```shell [SW] interface ethernet 0/0/2 [SW-Ethernet0/0/2] port-security mac-address sticky 00-E0-FC-12-34-56 vlan 1 # 绑定MAC到VLAN1 # 重复以上命令,依次为端口3、4、5绑定相同MAC地址 ``` 5. **设置违规处理方式(可选)** ```shell [SW-port-group] port-security protect-action restrict # 违规时丢弃帧并告警 # 或 port-security protect-action shutdown # 违规时关闭端口 ``` 6. **保存配置** ```shell [SW] save ``` ### 关键命令说明 | 命令 | 作用 | |------|------| | `port-security enable` | 启用端口安全功能 | | `port-security max-mac-num 1` | 限制端口学习1个MAC地址 | | `port-security mac-address sticky` | 将动态学习MAC转为静态绑定 | | `port-security mac-address sticky xxxx vlan y` | 手动静态绑定MAC到指定VLAN | ### 验证配置 ```shell [SW] display port-security interface ethernet 0/0/2 # 输出应显示: # Security MAC Address: 00-E0-FC-12-34-56 # Status: Security configured ``` > **注意**: > - 需先配置端口为`access`模式,再开启端口安全[^1] > - 绑定后,非PC1的设备连接端口将触发安全策略(丢弃帧或关闭端口) > - 若PC1更换网卡,需重新绑定MAC地址
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值