企業(yè)網(wǎng)的安全接入-----端口綁定

簡(jiǎn)介：

    交換機(jī)的端口幫定,就是把交換機(jī)的某一個(gè)端口和下面所連接的電腦的MAC地址或交換機(jī)的端口經(jīng)

行綁定,這樣即使有別的電腦偷偷的連接到這個(gè)端口上也是不能使用的.交換機(jī)的端口綁定的好處是，可以限制某個(gè)端口可以訪問(wèn)那個(gè)端口,不可以訪問(wèn)哪個(gè)端口,增加了安全性.

相關(guān)案例

一、端口綁定

1.Mac+port綁定（二、三層設(shè)備）

作用：可以使連接在該端口的pc，不能連接到其他接口

[Quidway]mac-address static 000c-2937-1fecinterface Ethernet 0/2 vla 1

2.Arp (IP+mac) （二、三層設(shè)備）

作用：可使該mac的主機(jī)，始終獲得所綁定的IP地址。用戶(hù)也只能使用該IP。

[Quidway]acl number 2000
[Quidway-acl-basic-2000]rule 10 permitsource 192.168.102.11 0
[Quidway-acl-basic-2000]rule 20 deny sourceany
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]acl 2000 inbound               **只允許2000表可遠(yuǎn)程
[Quidway]ip http acl 2000                        **只允許2000表可web訪問(wèn)
[Quidway]arp static 192.168.102.1124b6-fd45-c8c6    **IP和 mac綁定

3.Port+IP綁定（在三層設(shè)備啟用）

作用：接入該端口的設(shè)備或主機(jī)，只能使用所綁定的IP地址。

[Quidway]am enable
[Quidway-Ethernet0/1]am ip-pool192.168.102.1

二、端口隔離：

1.在二層交換

[Quidway]interface eth0/2
[Quidway-Ethernet0/2]isolate Ethernet 0/4   **二層上只有一個(gè)隔離組，兩兩之間不通

2.在三層交換機(jī)上實(shí)施

[Quidway]am enable
[Quidway]interface eth0/2
[Quidway-Ethernet0/2]am isolate Ethernet0/4      **指明隔離端口，同樣被隔
                                                         **離端口也隔離此接口
 
[Quidway-Ethernet0/2]int eth 0/7
[Quidway-Ethernet0/7]am isolate Ethernet0/5      **建立另一個(gè)隔離組，隔離組內(nèi)
                                              **之間兩兩不通，隔離組與隔離組之間可通