交换机端口安全Port-Security超级详解

H3C交换机配置命令大全1、system-view 进入系统视图模式2、sysname 为设备命名3、display current-configuration 当前配置情况4、 language-mode Chinese|English 中英文切换5、interface Ethernet 1/0/1 进入以太网端口视图6、 port link-type Access|Trunk|Hybrid 设置端口访问模式7、 undo shutdown 打开以太网端口8、 shutdown 关闭以太网端口9、 quit 退出当前视图模式10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan通过H3C路由器1、system-view 进入系统视图模式2、sysname R1 为设备命名为R13、display ip routing-table 显示当前路由表4、 language-mode Chinese|English 中英文切换5、interface Ethernet 0/0 进入以太网端口视图6、配置IP地址和子网掩码7、 undo shutdown 打开以太网端口8、 shutdown 关闭以太网端口9、 quit 退出当前视图模式10、配置静态路由11、配置默认的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router1、调整超级终端的显示字号；2、捕获超级终端操作命令行，以备日后查对；3、 language-mode Chinese|English 中英文切换；4、复制命令到超级终端命令行，粘贴到主机；5、交换机清除配置 :reset save ；reboot ；6、路由器、交换机配置时不能掉电，连通测试前一定要检查网络的连通性，不要犯最低级的错误。

华为3COM交换机配置命令详解1、配置文件相关命令[Quidway]display current-configuration ;显示当前生效的配置[Quidway]display saved-configuration ；显示flash中配置文件，即下次上电启动时所用的配置文件<Quidway>reset saved-configuration ；檫除旧的配置文件<Quidway>reboot ；交换机重启<Quidway>display version ；显示系统版本信息2、基本配置[Quidway]super password ；修改特权用户密码[Quidway]sysname ；交换机命名[Quidway]interface ethernet 0/1 ；进入接口视图[Quidway]interface vlan x ；进入接口视图[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 ；配置VLAN的IP地址[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 ；静态路由＝网关3、telnet配置[Quidway]user-interface vty 0 4 ；进入虚拟终端[S3026-ui-vty0-4]authentication-mode password ；设置口令模式[S3026-ui-vty0-4]set authentication-mode password simple 222 ；设置口令[S3026-ui-vty0-4]user privilege level 3 ；用户级别4、端口配置[Quidway-Ethernet0/1]duplex {half|full|auto} ；配置端口工作状态[Quidway-Ethernet0/1]speed {10|100|auto} ；配置端口工作速率[Quidway-Ethernet0/1]flow-control ；配置端口流控[Quidway-Ethernet0/1]mdi {across|auto|normal} ；配置端口平接扭接[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} ；设置端口工作模式[Quidway-Ethernet0/1]undo shutdown ；激活端口[Quidway-Ethernet0/2]quit ；退出系统视图5、链路聚合配置[DeviceA] link-aggregation group 1 mode manual ；创建手工聚合组1 [DeviceA] interface ethernet 1/0/1 ；将以太网端口Ethernet1/0/1加入聚合组1[DeviceA-Ethernet1/0/1] port link-aggregation group 1[DeviceA-Ethernet1/0/1] interface ethernet 1/0/2 ；将以太网端口Ethernet1/0/1加入聚合组1[DeviceA-Ethernet1/0/2] port link-aggregation group 1[DeviceA] link-aggregation group 1 service-type tunnel # 在手工聚合组的基础上创建Tunnel业务环回组。

华为 S3600 产品利用安全端口实现mac地址与端口绑定的配置
时间:2010-04-29 10:57
一、组网需求：在终端较多的情况下，要求动态实现 mac地址跟端口的绑定，不用手工配置。

在交换机配置正确的情况下，只有第一次连接到该端口上的mac地址会被绑定到这个端口上。

二、组网图：三、配置步骤： S3900配置 1．进入系统视图。

H3C system-v
一、组网需求：
在终端较多的情况下，要求动态实现mac地址跟端口的绑定，不用手工配置。

在交换机配置正确的情况下，只有第一次连接到该端口上的mac地址会被绑定到这个端口上。

二、组网图：
三、配置步骤：
S3900配置
1．进入系统视图。

<H3C> system-view
2．使能端口安全机制。

[H3C] port-security enable
3．进入以太网e1/0/1端口视图。

[H3C] interface Ethernet1/0/1
4．设置端口允许接入的最大mac地址数为1
[H3C-Ethernet1/0/1] port-security max-mac-count 1
5．配置端口的安全模式为autolearn
[H3C-Ethernet1/0/1] port-security port-mode autolearn
四、配置关键点：
设置端口允许接入的最大mac地址数为1，即port-security max-mac-count 1。

配置端口的安全模式为autolearn，即port-security port-mode autolearn。

端口安全配置`本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策划：研究院资料服务处* * *迈普通信技术有限公司地址：成都市高新区九兴大道16号迈普大厦技术支持热线：400-886-8669传真：（+8628）85148948E-mail：support@网址：邮编：610041版本：2011年 8月v1.0版目录第1章端口安全 (2)1.1端口安全简介 (2)1.2端口安全配置 (3)1.3配置举例 (5)第1章端口安全1.1 端口安全简介端口安全一般应用在接入层。

它能够对通过设备访问网络的主机进行限制，允许某些特定的主机访问网络，而其他主机均不能访问网络。

端口安全功能将用户的MAC地址、IP地址、VLAN ID 以及PORT号四个元素灵活绑定，杜绝非法用户接入网络，从而保证网络数据的安全性，并保证合法用户能够得到足够的带宽。

用户可以通过三种规则来限制可以访问网络的主机，这三种规则分别是MAC规则，IP 规则和MAX规则，MAC规则又分为三种绑定方式：MAC绑定，MAC+IP绑定，MAC+VID 绑定；IP规则可以针对某一IP 也可以针对一系列IP；MAX 规则用以限定端口可以学习到的（按顺序）最多MAC 地址数目，这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。

在MAX规则下，又有sticky规则。

如果端口仅配置了拒绝规则，没有配置MAX 规则，其他报文均不能转发（通过允许规则检查的例外）。

Sticky规则的MAC地址，能够自动地学习，也能够手工地配置，并保存于运行的配置文件中。

如果设备重启前保存运行的配置文件，设备重启后，不需再去配置，这些MAC地址自动生效。

当端口下开启sticky功能，会将MAX规则学到的动态MAC地址添加成sticky 规则，并保存到运行的配置的文件中。

在MAX规则未学满的情况下，能允许继续学习新的MAC地址，形成sticky规则，直至sticky规则数达到MAX所配置的最大值。

思科Cisco交换机配置——端⼝安全配置实验案例图⽂详解本⽂讲述了思科Cisco交换机端⼝安全配置实验。

分享给⼤家供⼤家参考，具体如下：⼀、实验⽬的：在交换机f0/1端⼝上设置安全配置，使PC1和PC2两台机中只有⼀台机器能够正常通信，另⼀台通信时端⼝则会⾃动关闭⼆、拓扑图如下三、实验步骤：1、先给各台主机配置IP地址（PC1、PC2、PC3）记录PC1或PC2的其中⼀台主机的mac地址2、配置交换机S1enable --进⼊特权模式config terminal --进⼊全局配置模式hostname S2 --修改交换机名为S1interface f0/1 --进⼊到f0/1端⼝shutdown --关闭f0/1端⼝switchport mode access --修改端⼝模式switchport port-security --修改端⼝为安全模式switchport port-security maximum 1 --配置mac地址最⼤数量为1switchport port-security violation shutdown --配置违反安全设置后的处理动作为关闭端⼝switchport port-security mac-address 0009.7C2D.DC67 --将PC1或PC2其中⼀台的mac地址与端⼝绑定no shutdown --激活端⼝end --返回特权模式copy running-config startup-config　--保存配置3、分别测试PC1和PC2主机PingPC3主机PC1：正常PIng通PC2：不能正常Ping通违反端⼝安全导致端⼝关闭（如下图，），若想再次启动需要进⼊到f0/1端⼝先shutdown再no shutdown启动：S1：enable --进⼊特权模式config terminal --进⼊全局配置模式interface f0/1 --进⼊f0/1端⼝shutdown --关闭f0/1端⼝no shutdown --激活f0/1端⼝。