h3c의 스위치 V7 버전에서 MAC 주소 바인딩 및 포트 격리를 위한 구성 명령
포트 격리 기술 배포
[boss]port-group 1
[boss-port-group-1]port-isolate 활성화
참고: 여기에는 프린터와 같이 배포할 필요는 없지만 액세스해야 하는 여러 위치가 있습니다. 업링크는 정의할 필요가 없습니다. 왜냐하면 이 기능은 두 인터페이스가 모두 포트 격리와 함께 배포될 때이기 때문입니다. 이렇게 하면 한 인터페이스 아래의 PC가 바이러스나 ARP 공격을 방해하더라도 다른 장치에는 영향을 미치지 않습니다.
MAC 주소 인증
참고: 경우에 따라 MAC 주소가 정확하다면 신원을 보다 명확하게 확인하기 위해 인트라넷에서 PC의 MAC를 확인하고 싶을 때가 있습니다. 네트워크에 액세스하는 것은 사용자와 고객에게 투명합니다. 물론 이 배포에서는 네트워크 배포 중에 MAC 주소를 등록해야 합니다.
(1) MAC 인증 켜기
[boss]mac-authen
[boss]int e0/0/3은 별도로 켜야 합니다.
p>
[boss-Ethernet0/0/3]mac-authen
[boss-Ethernet0/0/3]mac-authen 재인증
일괄 활성화
[boss]mac-authen 인터페이스 이더넷 0/0/1 ~ 0/0/7
(2) 사용자 이름 정의
[boss]aaa
[boss-aaa]local-user 000c29c4fe05 비밀번호 cipher 000c29c4fe05
설명: 사용자 이름과 비밀번호는 중간에 -가 필요하지 않습니다. 참고 소문자라는 것입니다.
(3) 상태 확인
MAC 주소의 사용자 이름이 올바르지 않으면 인증이 실패합니다.
(4) MAC 주소 형식 변경
기본값은 일반적인 것과 다릅니다. 평소와 동일하게 하려면 [boss]mac-를 수정하면 됩니다. 인증 사용자 이름 macaddress 형식(하이픈 포함), 기본값은 하이픈 없음입니다.
(5) MAC 주소 인증 기능을 배포해야 하는지 여부
참고: 해당 MAC 주소가 배포된 경우 이 기능은 배포 전에 등록해 두는 것이 좋습니다. 이 경우 나중에 이 기능을 구현해야 할 경우 일부 도구를 사용하여 일괄적으로 MAC 주소를 확인하고 녹음을 계속해야 합니다. 고객에게 투명하고, 고객이 전혀 느낄 수 없다는 것이 장점입니다. 네트워크에 진입하는 내부 사용자가 아니면 진입할 수 없습니다.
********************************************* *** **
H3C 스위치 IP+mac+포트 바인딩
시스템 보기에서:
user-bind mac-addrmac-address ip-addr ip -address 인터페이스 인터페이스 목록 이더넷 포트 보기에서:
user-bind mac-addrmac-address ip-addr ip-address
스위치를 통해 MAC, IP 및 포트를 쿼리하는 방법
dis? arp
포트 + MAC
1) AM 명령
특수 AM User-bind 명령을 사용하여 연결을 완료하세요. MAC 주소와 포트 바인딩 사이. 예:
[SwitchA]am user-bindmac-address 00e0-fc22-f8d3 인터페이스 이더넷 0/1
참고: 포트 매개변수가 사용되므로 포트가 사용됩니다. 참고로, 포트 E0/1은 현재 PC1이 인터넷에 액세스할 수 있도록 허용하며, 바인딩되지 않은 다른 MAC 주소를 사용하는 PC는 인터넷에 액세스할 수 없습니다. 그러나 PC1은 이 MAC 주소를 사용하여 다른 포트에서 인터넷에 액세스할 수 있습니다.
2) mac-address 명령
mac-address 정적 명령을 사용하여 MAC 주소와 포트 간의 바인딩을 완료하세요.
예:
[SwitchA]mac-addressstatic 00e0-fc22-f8d3 인터페이스 이더넷 0/1 vlan 1
[SwitchA]mac-addressmax-mac-count?0
참고: 포트 학습 기능을 사용하므로 mac을 정적으로 바인딩한 후 해당 포트의 mac 학습 번호를 0으로 설정해야 이 포트에 접속한 후 다른 PC가 자신의 mac 주소를 학습할 수 없습니다.
H3C 스위치 IP + MAC 주소 + 포트 바인딩 구성
네트워크 요구 사항:
스위치는 PC1에서 IP + MAC + 포트 바인딩을 수행하여 스위치의 포트가 E1/0 /1, PC1만 인터넷에 접속할 수 있으며, PC1은 다른 포트에서도 인터넷에 접속할 수 있습니다.
구성 단계:
1. 시스템 모드로 들어갑니다
2. IP, MAC 및 포트 바인딩 구성
구성 핵심 사항:
1. 동일한 IP 주소 또는 MAC 주소는 두 번 바인딩될 수 없습니다.
2. 위의 구성 후에 PC1의 IP 주소와 MAC 주소 및 포트 E1/0/1 간의 바인딩 기능이 완료될 수 있습니다. 이때 포트 E1/0/1은 PC1만이 인터넷에 접속할 수 있도록 허용하며, 바인딩되지 않은 다른 IP 주소와 MAC 주소를 사용하는 PC는 인터넷에 접속할 수 없습니다. 하지만 PC1은 이 IP 주소와 MAC 주소를 사용하여 다른 포트의 인터넷에 액세스할 수 있습니다.
3. h3c 스위치의 일부 제품은 동시에 IP + MAC + 포트 바인딩만 지원하고 일부 제품은 IP + 포트, MAC + 포트, IP + MAC 세 가지 중 두 가지를 바인딩할 수 있습니다. H3C 3600/H3C S5600/S3900/S5600/S5100EI 시리즈 제품은 동시에 3개 바인딩을 지원합니다. S3000 시리즈의 S3026EFGTC/S3026C-PWR/S3050C는 동시에 3개 바인딩을 지원합니다. S3526EC를 제외한 S3500 시리즈 장치 중 어느 것도 위의 세 가지 또는 두 가지의 바인딩을 지원하지 않습니다. S5000 시리즈 장치는 H3C S5500-SI, S2000C/S2000-EI의 바인딩을 지원합니다. 및 S3100SI 시리즈 장치는 3개 또는 2개의 바인딩을 지원하지 않습니다.
H3C S5100? 스위치 포트 바인딩
먼저 스위치에 로그인하고 관리 상태로 들어갑니다. 시스템 보기
첫 번째 상황: 컴퓨터가 한 대뿐입니다. 1 포트 바인딩 방법
작업은 다음과 같습니다.
interface GigabitEthernet 1/0/24? 먼저 포트 24를 입력하세요.
단 2단계만에 성공 ! (명령어를 잘못 입력하여 취소하고 싶다면 명령 앞에 undo를 추가해 주세요)
두 번째 경우: 1포트에 연결된 소형 스위치를 바인딩하는 방법
예를 들어 : 작은 8포트 스위치가 포트 1에 연결되어 있습니다. 스위치에 3대의 컴퓨터가 연결되어 있습니다. 3대의 컴퓨터의 IP와 MAC은 다음과 같습니다
이 컴퓨터를 포트 1에 바인딩해야 합니다. 스위치
작업은 다음과 같습니다:
interface GigabitEthernet 1/0/1? 먼저 포트 1을 입력하십시오.
(명령을 잘못 입력하여 취소하려면 명령 앞에 실행 취소를 추가하세요.)
세 번째 상황: 포트에 연결된 장치가 없습니다
예: 포트 2에 연결된 장치가 없습니다
인터페이스 GigabitEthernet 1/0/2? 먼저 포트 2를 입력하세요.
mac-address max-mac-count 0 이 포트의 MAC 학습 기능을 끄시겠습니까? ------------ ------------------------- ------------
일반 명령
1. 모든 구성 보기?dis cu
2. sa
3. 바인딩 보기 특정 상황에서는 사용자 바인딩이 불가능합니다