网络系统建设与运维(中级) 2.1.2-基于端口安全的Jan16公司网络组建v1.2.docxVIP

基于端口安全的Jan16公司网络组建

1.项目背景

Jan16公司开发部为重要部门，所有员工使用指定的计算机工作，为防止员工或访客使用个人电脑接入网络，将使用基于端口安全策略组建开发部网络。项目拓扑如图1所示，具体要求如下：

（1）开发部采用了华为可网管交换机作为接入设备；

（2）出于安全的考虑，需在交换机的端口上绑定指定计算机的MAC地址，防止非法计算机的接入；

（3）计算机的IP、MAC和接入交换机的端口信息如拓扑所示。

图1网络拓扑图

2.项目规划设计

MAC地址是计算机的唯一物理标识，可以通过在交换机对应的端口上进行绑定，非绑定的MAC将无法接入到网络中。查看MAC地址的方法有几种：

1、在计算机中执行ipconfig命令即可查看本机的MAC地址；

2、在计算机中执行ARP-a可以查看邻近计算机的MAC地址和IP地址；

3、在交换机上执行displaymac-address命令可以查看对应的端口上的MAC地址。

在进行端口绑定时，需要查看两个信息，一个是计算机的MAC地址，另一个是计算机接入的端口。因此，可以先从计算机查看本机的MAC地址，然后从交换机上查看MAC地址对应的端口，最后进行MAC地址和端口的绑定。

配置步骤如下：

（1）查看计算机本地MAC地址

（2）查看MAC所在的交换机端口

（3）开启该交换机端口的端口安全，并绑定对应的MAC地址项目规划如下：

表1端口规划表

本端设备

端口号

对端设备

SW1

E0/0/1

PC1

SW1

E0/0/2

PC2

SW1

E0/0/3

PC3

表2IP地址规划表

计算机

IP地址

MAC地址

PC1

192.168.10.1/24

54-89-98-CA-03-58

PC2

192.168.10.2/24

54-89-98-6F-0A-10

PC3

192.168.10.3/24

54-89-98-AE-46-88

3.项目实施

（1）查看计算机本地MAC地址

配置好计算机IP地址，在计算机命令行下输入ipconfig，查看MAC地址。

PC1的配置

PCipconfig

LinklocalIPv6address :fe80::5689:98ff:feca:358

IPv6address :::/128

IPv6gateway :::

IPv4address :192.168.10.1

Subnetmask :255.255.255.0

Gateway :0.0.0.0

Physicaladdress :54-89-98-CA-03-58

DNSserver :

PC2的配置

PCipconfig

LinklocalIPv6address :fe80::5689:98ff:fe6f:a10

IPv6address :::/128

IPv6gateway :::

IPv4address :192.168.10.2

Subnetmask :255.255.255.0

Gateway :0.0.0.0

Physicaladdress :54-89-98-6F-0A-10

DNSserver :

PC3的配置

PCipconfig

LinklocalIPv6address :fe80::5689:98ff:feae:4688

IPv6address :::/128

IPv6gateway :::

IPv4address :192.168.10.3

Subnetmask :255.255.255.0

Gateway :0.0.0.0

Physicaladdress :54-89-98-AE-46-88

DNSserver :

（2）查看MAC所在的交换机端口

在交换机上使用命令displaymac-address，查看交换机与计算机之间连接的端口，对应MAC地址。

Huaweisystem-view[Huawei]sysnameSW1[SW1]

[SW1]displaymac-address

MACaddresstableofslot0:

MACAddress

VLAN/VSI/SI

PEVLAN

CEVLAN

Port

Type

LSP/LSR-IDMAC-Tunnel

5489-98ca-0358

1

-

-

Eth0/0/