AI赋能,重塑校园服务新范式,锐捷AI校园百事通应用发布会
预约直播
锐捷睿易 锐捷官方商城

中文

产品
< 返回主菜单
产品中心
产品

交换机

交换机所有产品
< 返回产品
交换机主页
交换机

园区网交换机

园区网交换机所有产品

数据中心与云计算交换机

数据中心与云计算交换机所有产品

行业精选交换系列

行业精选交换系列所有产品

工业交换机

工业交换机所有产品

意图网络指挥官

意图网络指挥官所有产品

SDN

SDN所有产品

配件

配件所有产品

所有技术解决方案

路由器

路由器所有产品
< 返回产品
路由器主页
路由器

核心路由器

核心路由器所有产品

汇聚路由器

汇聚路由器所有产品

接入路由器

接入路由器所有产品

移动路由器

移动路由器所有产品

行业精选路由器系列

行业精选路由器系列所有产品

所有技术解决方案

无线

无线所有产品
< 返回产品
无线主页
无线

放装型无线接入点

放装型无线接入点所有产品

墙面型无线接入点

墙面型无线接入点所有产品

智分无线接入点

智分无线接入点所有产品

室外无线接入点

室外无线接入点所有产品

场景化无线

场景化无线所有产品

无线控制器

无线控制器所有产品

行业精选无线系列

行业精选无线系列所有产品

无线管理与应用

无线管理与应用所有产品

所有技术解决方案

云桌面

云桌面产品方案中心
< 返回产品
云桌面主页
云桌面

云终端系列

云终端系列所有产品
查看云终端选型指导

云主机系列

云主机系列所有产品

云桌面软件系列

云桌面软件系列所有产品

配件系列

配件系列所有产品

所有技术解决方案

安全

安全所有产品
< 返回产品
安全主页
安全

大数据安全平台

大数据安全平台所有产品

下一代防火墙

下一代防火墙所有产品

安全网关

安全网关所有产品

检测管理安全

检测管理安全所有产品

安全服务

安全服务所有产品

安全云

安全云所有产品

所有技术解决方案

软件

软件所有产品
< 返回产品
软件主页
软件

网络管控产品

网络管控产品所有产品

IT运维产品

IT运维产品所有产品

所有技术解决方案

身份管理

身份管理所有产品
< 返回产品
身份管理主页
身份管理

安全管理系列

安全管理系列所有产品

运营管理系列

运营管理系列所有产品

身份中台

身份中台所有产品

服务产品

服务产品所有产品
< 返回产品
服务产品主页
服务产品

基础实施服务

基础实施服务 所有产品

基础维护服务

基础维护服务所有产品

运维管理服务

运维管理服务所有产品

整网服务

整网服务所有产品

安全服务

安全服务所有产品

备件与扩容服务

备件与扩容服务所有产品

培训与认证服务

培训与认证服务所有产品

官方商城

锐捷睿易

体验中心

布尔实验室

网络研讨会
服务支持
< 返回主菜单
服务与支持中心
服务与支持
服务工具
服务平台
技术支持
服务产品
产品服务
教学服务
合作伙伴
< 返回主菜单
合作伙伴中心
合作伙伴
成为锐捷伙伴
售前营销
销售与订单
售后及服务
用户中心
关于锐捷
< 返回主菜单
关于锐捷首页
关于锐捷
公司介绍
公司动态
加入我们
联系我们
营销资料平台
投资者关系
个人中心 个人中心 锐捷商城 锐捷商城 区域/语言 区域/语言
返回主菜单
选择区域/语言
  • Global / English
  • Japan / 日本語
  • Türkiye / Türkçe
  • Vietnam / Việt Nam
  • Indonesia / Indonesian
  • Thailand / ภาษาไทย
  • Spain / Español (España)
  • Portugal / Português
  • France / Français
  • Poland / Polski
  • Kazakhstan / Pусский
  • Germany / Deutsch
  • Italy / Italiano
  • Brazil / Português(Brazil)
  • LATAM / Español (América Latina))

    首页 >服务与支持 >常见问题 >【RSR】RSR如何配置端口安全

    【RSR】RSR如何配置端口安全

    发布时间:2013-09-11
    点击量:3154

    功能介绍

    端口安全功能通过报文的源MAC地址来限定报文是否可以进入交换机的端口,可以通过静态设置特定的MAC地址或者动态学习限定个数的MAC地址来控制报文是否可以进入端口。使能端口安全功能的端口称为安全端口。

    某端口开启端口安全功能后,只有源MAC地址为端口安全地址表中配置或者学习到的MAC地址的报文才可以进入交换机通信,其它报文将被丢弃。您还可以设定端口安全地址绑定IP+MAC,或者仅绑定IP,用来限制必须符合绑定的以端口安全地址为源MAC地址的报文才能进入交换机通信。

    注意:仅RSR10-02E、RSR20-04E、RSR20-14E/F 10.4(3b12)及以上版本支持端口安全功能。RSR10-02/01G、RSR20-04/14/18/24系列不支持该功能。

    应用场景

    企业对网络的安全性要求比较高,只允许特定MAC地址(IP地址可以任意配置)的电脑接入网络上网,那么可以在路由器上启用端口安全功能。

    一、组网需求:

    要求PC1(IP: 192.168.1.1,MAC: 0021.CCCF.6F70)只能接在F1/0交换端口,并且做IP+MAC地址绑定,其他电脑接入该端口将不能通信;

    要求F1/1端口只能接入MAC地址为aaaa.aaaa.aaaa,IP地址不受限制的PC,其他MAC地址的PC都不能从该端口接入。

    二、组网拓扑:

        

    三、配置要点:

    1、在路由器上创建用户网关的地址

    2、配置F1/0端口上的端口安全参数

    3、配置F1/1端口上的端口安全参数

    注意:10.4(3b12)、10.4(3b12)p1版本的" switchport port-security maximum“功能对于ip+mac绑定条目中的MAC数不计入maximum中。比如在配置了1条静态IP+MAC绑定和maximum 1的情况下,该端口仍然可以再学习到1个动态的mac。如果要实现端口下只能接入1个固定IP+MAC绑定的用户,可以通过全局的IP+MAC绑定和端口下的MAC绑定+maximum来实现:

    address-bind x.x.x.x H.H.H

    interface fastethernet 0/0

       switchport port-security mac-address H.H.H

       switchport port-security maximum 1

       switchport port-security

    10.4(3b12)p1之后的版本无此限制。

    四、配置步骤

    1、在路由器上创建用户网关的地址

    Ruijie(config)#interface vlan 1

    Ruijie(config-if-VLAN 1)#ip address 192.168.1.254 255.255.255.0

    2、配置F1/0端口上的端口安全参数

    Ruijie(config)#interface fastEthernet 1/0                                   

    Ruijie(config-if-FastEthernet 1/0)#switchport port-security binding 0021.CCCF.6F70 vlan 1 192.168.1.1   //把属于vlan1 ,且mac地址是0021.CCCF.6F70 ,ip地址192.168.1.1的PC绑定在F1/0接口上

    Ruijie(config-if-FastEthernet 1/0)#switchport port-security maximum 1  //指定该端口下只能学习1个MAC条目

    Ruijie(config-if-FastEthernet 1/0)#switchport port-security       //开启该端口的端口安全功能

    3、配置F1/1端口上的端口安全参数

    Ruijie(config)#interfac fastEthernet 1/1

    Ruijie(config-if-FastEthernet 1/1)#switchport port-security mac-address aaaa.aaaa.aaaa    //把mac地址是aaaa.aaaa.aaaa的终端定在F1/1接口上

    Ruijie(config-if-FastEthernet 1/0)#switchport port-security maximum 1  //指定该端口下只能学习1个MAC条目

    Ruijie(config-if-FastEthernet 0/2)#switchport port-security       //开启端口安全功能

     

    五、配置验证

    在路由器上通过show port-security address命令可以看到已经绑定生效的地址表项

     

    六、附录

    1、路由器端口安全分为IP+MAC绑定和仅MAC绑定

    通过如下命令来实现:

    Ruijie(config-if-FastEthernet 0/1)#switchport port-security binding ?

      A.B.C.D     IP address

      H.H.H       48-bit hardware address

    例如绑定IP+MAC,可以使用如下命令:

    Ruijie(config-if-FastEthernet 0/1)#switchport port-security binding 0021.CCCF.6F70 vlan 1 192.168.1.1  

    如果仅做MAC绑定,那么需要使用如下命令来实现:

    Ruijie(config-if-FastEthernet 0/1)#switchport port-security mac-address 0021.CCCF.6F70

    2、如果设置了IP+MAC绑定或仅IP绑定,交换机还是会动态学习下联用户的MAC地址

    例如交换机端口上做了如下命令绑定:

    Ruijie(config-if-FastEthernet 0/1)#switchport port-security binding 1414.4b19.ecc1 vlan 1 192.168.1.1

    Ruijie(config-if-FastEthernet 0/1)#switchport port-security

    此时,查看配置如下:

    Ruijie#show port-security address

    Vlan Mac Address     IP Address                               Type       Port     Remaining Age (mins)

    ---- --------------- ---------------------------------------- ---------- -------- -------------

    1     1414.4b19.ecc1 192.168.1.1                              Configured Fa0/1            -

    当用户接入后,交换机依然还会动态学习用户的MAC

    Ruijie#show port-security address

    Vlan Mac Address     IP Address                               Type       Port     Remaining Age (mins)

    ---- --------------- ---------------------------------------- ---------- -------- -------------

    1     1414.4b19.ecc1                                               Dynamic     Fa0/1            -        

    1     1414.4b19.ecc1 192.168.1.1                            Configured Fa0/1              -

    如果要让IP+MAC绑定或仅MAC绑定的的用户生效,必须要先要让端口安全学习到用户的MAC地址。例如做如下设置,那么192.168.1.2的用户就无法上网:

    interface GigabitEthernet 0/1

        switchport port-security mac-address 1414.4b19.0000 vlan 1

        switchport port-security binding 1414.4b19.ecc1 vlan 1 192.168.1.2

        switchport port-security maximum 1

        switchport port-security

    原因是MAC地址最大允许数是1,而且已经绑定了一个1414.4b19.0000 的地址,所以端口安全不能再学习MAC地址了,而端口安全IP+MAC(或IP)绑定生效必须要先学习到端口安全MAC地址,所以192.168.1.2的用户无法被放通。如果要让该用户上网,可以通过多绑定该用户的MAC来实现:

    interface GigabitEthernet 0/1

        switchport port-security mac-address 1414.4b19.ecc1 vlan 1

        switchport port-security mac-address 1414.4b19.0000 vlan 1

        switchport port-security binding 1414.4b19.ecc1 vlan 1 192.168.1.2

        switchport port-security maximum 2

        switchport port-security

    总结:如果配置了MAC或IP+MAC绑定,那么也要同时满足端口安全MAC绑定的条件。

    3、如果某些端口设置了端口安全(端口MAC绑定),但是某些端口没有设置端口安全,例如1口设置了端口安全绑定的用户为PC1,其余端口没有设置端口安全。那么PC1插到1号口可以上网,但是插到其他端口是不能上网的

    4、交换机如果某些端口设置了端口安全(端口IP+MAC或IP绑定),但是某些端口没有设置端口安全,例如1口设置了端口安全绑定的用户为PC1,其余端口没有设置端口安全。那么PC1插到1号口可以上网,插到其他端口也可以上网,也就是说端口安全MAC地址绑定才是决定用户放通的关键因素。

     

     

    相关产品
    RG-MF2920系列,2口千兆电,千兆上行,一机双网

    RG-MF2920系列,2口千兆电,千兆上行,一机双网
    RG-S5310-E系列,24口千兆电,万兆上行,接入层

    RG-S5310-E系列,24口千兆电,万兆上行,接入层
    RG-S5310-E系列,24口千兆光,万兆上行,接入层

    RG-S5310-E系列,24口千兆光,万兆上行,接入层
    RG-S5310-E系列,48口千兆电,万兆上行,接入层

    RG-S5310-E系列,48口千兆电,万兆上行,接入层
    RG-S5310-E系列,48口千兆光,万兆上行,接入层

    RG-S5310-E系列,48口千兆光,万兆上行,接入层
    RG-S5310-E系列新一代千兆交换机

    RG-S5310-E系列新一代千兆交换机
    RG-S5310-E系列,PoE+,48口千兆电,万兆上行,接入层

    RG-S5310-E系列,PoE+,48口千兆电,万兆上行,接入层
    RG-S7800C系列融合核心交换机

    RG-S7800C系列融合核心交换机
    RG-S7800C-X系列新一代融合核心交换机

    RG-S7800C-X系列新一代融合核心交换机
    RG-N18006-X,6槽机箱,核心层,零背板

    RG-N18006-X,6槽机箱,核心层,零背板
    RG-S6120系列,24口万兆光,25G上行,汇聚层

    RG-S6120系列,24口万兆光,25G上行,汇聚层
    RG-S6120系列,48口万兆光,100G上行,汇聚层

    RG-S6120系列,48口万兆光,100G上行,汇聚层
    RG-S6120系列融合万兆交换机

    RG-S6120系列融合万兆交换机
    RG-EG3250新一代多业务安全网关

    RG-EG3250新一代多业务安全网关
    RG-EG3230新一代多业务安全网关

    RG-EG3230新一代多业务安全网关
    RG-EG3220新一代多业务安全网关

    RG-EG3220新一代多业务安全网关
    RG-EG3210 V2新一代多业务安全网关

    RG-EG3210 V2新一代多业务安全网关
    RG-EG3210新一代多业务安全网关

    RG-EG3210新一代多业务安全网关
    RG-AP820-L(V3)双射频Wi-Fi 6无线AP

    RG-AP820-L(V3)双射频Wi-Fi 6无线AP
    RG-WS7005-A多业务无线AC

    RG-WS7005-A多业务无线AC
    RG-ESS 1000易安全系统

    RG-ESS 1000易安全系统
    RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

    RG-AP850-AR(V2)四射频Wi-Fi 6无线AP
    RG-AP180-L双射频Wi-Fi 6无线AP

    RG-AP180-L双射频Wi-Fi 6无线AP
    RG-AP880(TR)三射频Wi-Fi 6无线AP

    RG-AP880(TR)三射频Wi-Fi 6无线AP
    RG-WS7208-A多业务无线AC

    RG-WS7208-A多业务无线AC
    RG-AP880-I双射频Wi-Fi 6无线AP

    RG-AP880-I双射频Wi-Fi 6无线AP
    RG-WS7880高性能无线AC

    RG-WS7880高性能无线AC
    RG-EG2100-P V2全能PoE网关

    RG-EG2100-P V2全能PoE网关
    RG-N18000-X系列

    RG-N18000-X系列
    RG-N18010-X,10槽机箱,核心层,零背板

    RG-N18010-X,10槽机箱,核心层,零背板
    RG-EG3000XE新一代高性能综合网关

    RG-EG3000XE新一代高性能综合网关
    RG-EG3000UE新一代高性能综合网关

    RG-EG3000UE新一代高性能综合网关
    RG-WS6816高性能无线AC

    RG-WS6816高性能无线AC
    RG-WS6108高性能无线AC

    RG-WS6108高性能无线AC
    RG-EG3000GE新一代高性能综合网关

    RG-EG3000GE新一代高性能综合网关
    RG-EG3000ME新一代高性能综合网关

    RG-EG3000ME新一代高性能综合网关
    RG-EG3000SE新一代高性能综合网关

    RG-EG3000SE新一代高性能综合网关
    RG-EG3000CE新一代高性能综合网关

    RG-EG3000CE新一代高性能综合网关
    RG-EG2000F

    RG-EG2000F
    RG-S2900G-E V3系列千兆交换机

    RG-S2900G-E V3系列千兆交换机
    RG-S2952G-E V3,48口千兆电,千兆上行,接入层

    RG-S2952G-E V3,48口千兆电,千兆上行,接入层
    RG-SMP安全管理平台

    RG-SMP安全管理平台
    RG-SMP+安全管理平台

    RG-SMP+安全管理平台
    您可能还关注的问题

    返回顶部

    收起
    请选择服务项目
    关闭咨询页
    售前咨询 售前咨询
    售前咨询
    售后服务 售后服务
    售后服务
    意见反馈 意见反馈
    意见反馈
    更多联系方式
    是否找到您想要的内容?
    您遇到了什么问题?
    找不到想要的信息
    筛选功能不好用
    加载速度太慢
    页面体验差
    提交
    您是否找到了与产品相关的文档
    筛选功能是否帮助您更快找到所需的文档?
    有帮助
    一般
    没有帮助
    没用过
    请问您遇到了什么问题?
    需要填写的内容太多
    有些信息不懂怎么填
    页面有问题/错误
    其他
    确定
    这些客户案例是否对您有帮助?
    非常有帮助
    比较有帮助
    没有帮助
    请您对这个客户案例进行评价
    兴趣度
    相关性
    可信度
    确定
    感谢您的反馈!
    感谢您的反馈!