企业网的安全接入-----端口绑定

简介：

交换机的端口帮定,就是把交换机的某一个端口和下面所连接的电脑的MAC地址或交换机的端口经

行绑定,这样即使有别的电脑偷偷的连接到这个端口上也是不能使用的.交换机的端口绑定的好处是，可以限制某个端口可以访问那个端口,不可以访问哪个端口,增加了安全性.

相关案例

一、端口绑定

1.Mac+port绑定（二、三层设备）

作用：可以使连接在该端口的pc，不能连接到其他接口

[Quidway]mac-address static 000c-2937-1fecinterface Ethernet 0/2 vla 1

2.Arp (IP+mac) （二、三层设备）

作用：可使该mac的主机，始终获得所绑定的IP地址。用户也只能使用该IP。

[Quidway]acl number 2000[Quidway-acl-basic-2000]rule 10 permitsource 192.168.102.11 0[Quidway-acl-basic-2000]rule 20 deny sourceany[Quidway]user-interface vty 0 4[Quidway-ui-vty0-4]acl 2000 inbound               **只允许2000表可远程[Quidway]ip http acl 2000                        **只允许2000表可web访问[Quidway]arp static 192.168.102.1124b6-fd45-c8c6    **IP和 mac绑定

3.Port+IP绑定（在三层设备启用）

作用：接入该端口的设备或主机，只能使用所绑定的IP地址。

[Quidway]am enable[Quidway-Ethernet0/1]am ip-pool192.168.102.1

二、端口隔离：

1.在二层交换

[Quidway]interface eth0/2[Quidway-Ethernet0/2]isolate Ethernet 0/4   **二层上只有一个隔离组，两两之间不通

2.在三层交换机上实施

[Quidway]am enable[Quidway]interface eth0/2[Quidway-Ethernet0/2]am isolate Ethernet0/4      **指明隔离端口，同样被隔                                                         **离端口也隔离此接口 [Quidway-Ethernet0/2]int eth 0/7[Quidway-Ethernet0/7]am isolate Ethernet0/5      **建立另一个隔离组，隔离组内                                              **之间两两不通，隔离组与隔离组之间可通