H3C 接入交换机接口限制终端接入数量完整方案
一、需求拆解
限制单接口最大学习 MAC 数量,仅允许 1 台设备接入;
拔掉原有电脑、更换新 PC 插同接口时,新设备无法上网,旧设备断开后占用名额。
二、两种实现方案(推荐 MAC 地址学习限制 + 安全特性)
方案 1:端口 MAC 地址学习限制(最贴合你的需求)
核心原理
通过port-security端口安全,限定接口最大 MAC 学习数为 1;
老化模式配置为sticky静态绑定 MAC,原有 PC 下线后 MAC 永久保留,新设备 MAC 无法学习,直接阻断流量。
完整配置示例
plaintext
interface GigabitEthernet 1/0/1
port link-mode bridge
# 开启端口安全
port-security
# 限制接口最多学习1个MAC地址
port-security max-mac-count 1
# 自动粘滞学习接入设备MAC,断电拔线不删除
port-security mac-address sticky
# 非法设备接入处理动作:shutdown接口(可选trap仅告警)
port-security violation shutdown
效果说明
首次插 PC,自动学习该 PC MAC 并固化;
拔掉该 PC,更换其他电脑接入,交换机无法学习新 MAC,接口直接 Down,新设备无法通信;
如需更换设备:接口下执行undo port-security mac-address sticky all清除固化 MAC。
方案 2:仅动态限制 MAC 数量(不固化,不符合你的需求)
仅限制最大 MAC 数 1,设备下线后 MAC 表项老化,新设备可重新接入,不推荐:
plaintext
interface GigabitEthernet 1/0/1
port-security
port-security max-mac-count 1
port-security violation shutdown
方案 3:静态绑定指定 MAC(固定只能某一台设备接入)
提前录入 PC MAC,其他设备插此接口直接阻断,适合固定办公电脑:
plaintext
interface GigabitEthernet 1/0/1
port-security
port-security max-mac-count 1
port-security mac-address static 0011-2233-4455
port-security violation shutdown
三、补充关键配置说明
违规动作可选
shutdown:接口直接关闭,必须管理员手动undo shutdown恢复;
protect:丢弃非法设备流量,接口保持 UP,仅阻断新终端;
restrict:丢弃流量 + 上报告警日志。
清除固化 MAC(更换设备必备命令)
plaintext
interface GigabitEthernet 1/0/1
undo port-security mac-address sticky all
全局验证命令
plaintext
# 查看端口安全配置
display port-security interface GigabitEthernet 1/0/1
# 查看固化MAC地址
display port-security mac-address sticky
四、补充拓展:802.1X 认证方案(企业机房多人场景)
如果终端带账号认证,可搭配 802.1X,单接口仅允许 1 个在线账号,换设备无账号无法上网,适合员工轮换场景。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论