华三交换机 白名单 MAC 管控方案(接入 + 汇聚 + 核心三层架构,非法设备不分配 IP、无法内网通信)
方案选型结论
接入层部署 端口安全 + 静态 MAC 白名单 + DHCP Snooping+IP Source Guard 组合,完美实现需求:
白名单 MAC 正常获取 DHCP、正常访问内网;
陌生非法 MAC:DHCP 拒绝分配 IP、无法转发任何流量,隔离在接入端口。
一、整体原理分层分工
接入交换机(必配,管控终端入口)
端口安全:仅允许白名单 MAC 上送流量,非法 MAC 直接丢弃报文;
DHCP Snooping:拦截非法终端 DHCP 请求,不给分配 IP;
IPSG:绑定合法 MAC+IP,防止私设静态 IP 非法上网。
汇聚 / 核心交换机(辅助加固,阻断跨网段非法流量)
全局 DHCP Snooping 信任口;
可选 ACL 黑名单兜底,拦截非白网段非法 IP。
二、接入交换机完整配置(核心实现需求)
1. 全局基础开启
bash
运行
system-view
# 1. 开启DHCP Snooping,拒绝非法终端DHCP申请
dhcp snooping enable
dhcp snooping check mac-address enable
# 上联汇聚口设为信任端口(仅上联允许DHCP服务器报文)
interface GigabitEthernet 1/0/24
dhcp snooping trust
quit
# 2. 全局开启端口安全
port-security enable
# 非法MAC动作:shutdown端口 / discard丢弃(推荐discard,不直接关端口)
port-security intrusion-mode discard
2. 接入用户端口配置(以 G1/0/1 为例)
bash
运行
interface GigabitEthernet 1/0/1
port link-type access
port access vlan 10
# 开启端口安全
port-security
# 端口仅学习静态白名单,禁止动态学习陌生MAC
port-security mac-address static 00xx-xxxx-xxxx vlan 10
# 限制端口最大MAC数量=白名单个数,杜绝多设备接入
port-security max-mac-count 1
# 绑定IP+MAC(IP Source Guard,防止手动配静态IP绕开管控)
ip source binding static 00xx-xxxx-xxxx ip-address 192.168.10.10 vlan 10
quit
多条白名单:重复 port-security mac-address static 添加多台合法设备 MAC;
port-security max-mac-count 修改为白名单总数。
3. 效果说明
非法设备发 DHCP 请求:DHCP Snooping 校验 MAC 不在白名单,直接丢弃 DHCP Discover,拿不到 IP;
非法设备手动填静态 IP:IP Source Guard 无对应绑定条目,单播 / 广播流量全部丢弃,无法和内网任何设备通信;
非法 MAC 所有二层报文:端口安全 intrusion-mode discard,交换机直接丢弃,不转发至内网。
三、汇聚 / 核心交换机配套配置(兜底加固)
汇聚上联核心、下联接入端口配置 DHCP 信任,无需额外端口安全;
可选三层 ACL 兜底(核心 VLANIF 接口调用),拦截非白名单 IP 段:
bash
运行
acl number 4000
rule permit source 192.168.10.0 0.0.0.255 # 合法白名单网段
rule deny
interface Vlan-interface 10
packet-filter 4000 inbound
四、两种扩展模式(按需选用)
模式 1:终端数量少,纯静态 MAC 白名单(上面基础配置,稳定无依赖)
适合固定办公 PC、打印机,MAC 长期不变,无需服务器。
模式 2:终端多、人员流动大 → 结合 iMC EIA 802.1X(企业推荐)
iMC 录入员工设备 MAC 白名单;
接入开启 dot1x 认证,只有登记 MAC + 账号才能获取 IP、接入内网;
未录入非法设备:认证失败,DHCP 拒绝、流量阻断,适合大量移动终端场景。
五、关键功能作用拆解(对应你的 3 条需求)
只有白名单能拿到 IP:DHCP Snooping + 端口安全,非法 MAC 的 DHCP 报文直接丢弃,DHCP 服务器不会下发地址;
只有合法设备进内网:端口安全丢弃非法 MAC 二层流量,无法转发至汇聚 / 核心;
非法设备无 IP、不能通信:
自动获取 IP:DHCP 请求被拦截,无地址;
手动静态 IP:IP Source Guard 无绑定,三层转发直接阻断;
二层广播 / 互通:端口安全丢弃报文,完全隔离。
六、排错校验命令
bash
运行
# 查看端口安全静态白名单
display port-security mac-address static
# 查看IP+MAC绑定条目
display ip source binding
# 查看DHCP Snooping丢弃的非法DHCP报文
display dhcp snooping statistics
# 查看端口非法入侵记录
display port-security intrusion-record
七、补充优化建议
不要用intrusion-mode shutdown:非法设备一插直接关闭端口,运维麻烦;discard仅丢流量,端口保持 UP;
打印机、IP 电话固定静态 MAC,全部写入端口 static 白名单;
跨楼层多接入交换机,统一模板批量下发配置,简化维护;
若有无线 AP,AP 上联口同样配置端口安全,仅放行 AP 自身 MAC,杜绝私接无线路由。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论