H3C 5120交换机配置端口隔离

互联网 2023-01-06

h3c中交换机V7版本下的 MAC地址绑定和端口隔离的配置命令

端口隔离技术部署

[boss]port-group 1
[boss-port-group-1]port-isolate enable
说明：这里有几个地方不需要部署，就是需要访问的，比如打印机，上行链路不需要定义，因为该功能是2个接口都部署了端口隔离的时候，该2个接口就不能互访，这样的话就算一个接口下面的PC干扰了病毒，或者ARP攻击，也不会影响其他设备。

MAC地址认证

说明：有时候我们希望对内网的PC的MAC进行验证，来更明确确定身份，只有MAC地址正确，就可以接入网络，对于用户，对于客户来说是透明的。当然这个部署需要在网络部署的时候对MAC地址做登记。

（1）开启MAC认证
[boss]mac-authen
[boss]int e0/0/3【必须单独开启】
[boss-Ethernet0/0/3]mac-authen
[boss-Ethernet0/0/3]mac-authen reauthenticate

批量开启
[boss]mac-authen interface Ethernet 0/0/1 to 0/0/7
（2）定义用户名

[boss]aaa
[boss-aaa]local-user 000c29c4fe05 password cipher 000c29c4fe05

说明：用户名密码就是MAC地址，中间不需要-，这是默认格式是这个，注意是小写。

（3）查看状态

如果MAC地址的用户名不对的话那么这个就认证不通过的。

（4）改变MAC地址格式
默认情况下是跟平时的不一样的，如果希望跟平时一样的话，可以修改[boss]mac-authen username macaddress format with-hyphen，默认为without-hyphen

（5）是否需要部署MAC地址认证功能
说明：该功能在如果在部署前已经登记了对应的MAC地址，这样的话部署起来比较方便，如果是后续需要实施该功能，需要通过一些工具批量查看MAC地址，继续记录了。它的好处就是对于客户来说是透明的，客户完全感觉不到，当不是内部用户进入网络，则进入不了。

*********************************************

H3C交换机IP+mac+端口绑定

系统视图下：

user-bind mac-addrmac-address ip-addr ip-address interface interface-list

以太网端口视图下：

user-bind mac-addrmac-address ip-addr ip-address

如何通过交换机查询MAC、IP及端口

dis arp

端口+MAC

1)AM命令

使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。例如：

[SwitchA]am user-bindmac-address 00e0-fc22-f8d3 interface Ethernet 0/1

说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。

2)mac-address命令

使用mac-address static命令，来完成MAC地址与端口之间的绑定。例如：

[SwitchA]mac-addressstatic 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1

[SwitchA]mac-addressmax-mac-count0

说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习。

H3C交换机IP＋MAC地址＋端口绑定配置

组网需求：

???交换机对PC1进行IP＋MAC＋端口绑定，使交换机的端口E1/0/1下，只允许PC1上网，而PC1在其他端口上还可以上网。

配置步骤：

1．进入系统模式

system-view

2．配置IP、MAC及端口的绑定

配置关键点：

1．同一IP地址或MAC地址，不能被绑定两次；

2．经过以上配置后，可以完成将PC1的IP地址、MAC地址与端口E1/0/1之间的绑定功能。此时端口E1/0/1只允许PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网；

3．h3c交换机上有些产品只支持IP＋MAC＋端口三者同时绑定，有些可以绑定三者中任意二者，即IP＋端口、MAC＋端口、IP＋MAC这三种绑定。H3C 3600/H3C S5600/S3900/S5600/S5100EI系列产品只支持三者同时绑定；S3000系列中S3026EFGTC/S3026C-PWR/S3050C支持三者同时绑定或任意两者的绑定；S3500系列设备除了S3526EC外都不支持上述三者或任意两者绑定；S5000系列设备支持三者或任意两者绑定；H3C S5500-SI、S2000C/S2000-EI、S3100SI系列设备不支持三者或任意两者的绑定。

H3C S5100交换机端口绑定

首先登录交换机，进入管理状态System-View

第一种情况：1个端口只有一台电脑如何绑定

操作如下：

interface GigabitEthernet 1/0/24首先进入24端口

就2步就成功了！（如果命令打错了，要撤销，请在命令前加undo）

第二种情况：1个端口下接了一个小交换机如何绑定

如：1号端口下接了一个8口的小交换机，交换机接有3台电脑，3台电脑的IP和MAC如下

要把此电脑绑定到交换机的1号端口

操作如下：

interface GigabitEthernet 1/0/1首先进入1端口

（如果命令打错了，要撤销，请在命令前加undo）

第三种情况：端口下没接任何设备额

如：2号端口没有接任何设备

interface GigabitEthernet 1/0/2首先进入2端口

mac-address max-mac-count 0关掉此端口的学习MAC功能

---------------------------------------------------------------

常用命令

1、查看所有配置dis cu

2、配置好必须要保存sa

3、查看绑定情况dis am user-bind

H3C交换机端口隔离不起作用

1、不知道这个模拟器是不是支持这些功能，这个模拟器还不是太完美，经常会出一些不可理解的问题。所以在这个上面做实验不可全信。把命令练一练还是比较实用的。我做实验时经常电脑就Ping不通路由器什么的。 2、有些时候也要看命令的版本，不同版本的命令功能也是有不同的。比如am user bind 这个绑定我原来理解就是绑在端口上了，别的端口上用不了，但是不对，机子换了端口正常使用的。 mac-add static 绑定后才是在别的端口上不能用呢。后面有培训的老师说高版本的可能又不一样了。