• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

H3C S5024PV6-EI 交换机怎样做端口绑定MAC

  • 0关注
  • 0收藏,135浏览
粉丝:0人 关注:0人

问题描述:

公司的2台S5024PV6-EI交换机,一共接了35台电脑,搭建的无盘系统,现在需要给每台电脑做端口绑定,禁止其它设备接入,并且要将交换机日志上传到无盘服务器上,请问如何操作,我之前没接触过交换机配置,我该准备些什么工作。

组网及组网描述:

局域网、电脑35台、交换机2台、服务器一台、搭建的无盘。

最佳答案

粉丝:23人 关注:2人

一、配置前必须准备的工作(新手优先做完)
1. 登录交换机工具
两种登录方式任选其一:
1)Console 本地调试(推荐新手,不怕配错断网)
配件:USB 转 Console 线、驱动程序;
软件:SecureCRT/Xshell,波特率 9600,8N1;
2)网线 Web / 远程 Telnet
S5024PV6-EI 默认管理 IP:192.168.0.233/24,账号 admin、密码 admin;
电脑 IP 改成同网段(如 192.168.0.100),浏览器输入 IP 登录图形界面。
2. 收集终端信息(核心)
给 35 台无盘电脑做表格,记录三列:
表格
交换机编号 端口号(GE1/0/1~24) 电脑 MAC 物理地址
SW1 1/0/1 00xx-xxxx-xxxx
查看电脑 MAC 方法:Win+R 输入cmd,执行ipconfig /all,「物理地址」就是 MAC。
3. 日志服务器前置确认
1)记录无盘服务器 IP(Syslog 接收地址,默认 UDP514 端口);
2)服务器放行 514 端口,开启 syslog 接收服务;
3)交换机和服务器三层互通,能 ping 通。
4. 组网额外准备(两台交换机级联)
两台交换机互联的级联口不能绑定端口安全,否则两台交换机通信中断,级联口单独放开。
二、功能说明:端口安全 MAC 绑定原理
使用port-security端口安全实现一端口仅允许一台固定电脑接入:
端口最多学习 1 个 MAC;
非法设备插上来直接 shutdown 关闭端口;
永久绑定,交换机重启配置不丢失。
三、完整配置命令(分 2 台交换机,复制即可改参数)
通用前置(每台交换机第一步执行)
plaintext
<H3C>system-view
# 全局开启端口安全功能
[H3C]port-security enable
# 开启端口安全违规日志(非法设备接入会上传日志到服务器)
[H3C]port-security access-user log enable violation
# 开启信息中心,用于上传日志到无盘服务器
[H3C]info-center enable
# 配置日志服务器IP(替换为你的无盘服务器IP)
[H3C]info-center loghost 192.168.1.50
# 日志级别:记录警告、故障、非法接入日志
[H3C]info-center source default loghost level warnings
单端口 MAC 绑定模板(以 GE1/0/1 举例,每台电脑端口重复配置)
plaintext
# 进入对应电脑端口
[H3C]interface GigabitEthernet 1/0/1
# 端口设为接入模式(无盘电脑都是access)
[H3C-GigabitEthernet1/0/1]port link-type access
[H3C-GigabitEthernet1/0/1]port access vlan 1
# 开启端口安全
[H3C-GigabitEthernet1/0/1]port-security enable
# 限制端口只允许1台设备
[H3C-GigabitEthernet1/0/1]port-security max-mac-count 1
# 静态绑定电脑MAC(替换成你表格里的MAC地址)
[H3C-GigabitEthernet1/0/1]port-security mac-address sticky 0011-2233-4455
# 非法设备接入处理:直接关闭端口(restrict仅告警不关闭,按需替换)
[H3C-GigabitEthernet1/0/1]port-security violation shutdown
[H3C-GigabitEthernet1/0/1]quit
级联口特殊配置(两台交换机互联端口,不能加端口安全)
plaintext
interface GigabitEthernet 1/0/24
port link-type trunk
port trunk permit vlan all
# 不配置port-security相关命令,保证两台交换机互通
配置完成保存(必须执行,重启不丢失)
plaintext
[H3C]save
# 输入Y确认保存
四、Web 图形界面简易操作(新手不用敲命令)
浏览器登录192.168.0.233;
MAC 端口绑定:安全→端口安全,选中端口,设置最大 MAC=1,手动填入电脑 MAC,违规动作选关闭端口;
日志服务器配置:系统→信息中心→日志主机,添加无盘服务器 IP,保存;
右上角导出配置 / 保存配置。
五、常用验证 & 排错命令
1. 查看端口绑定 MAC 是否生效
plaintext
display port-security all
display mac-address static
2. 查看日志服务器配置
plaintext
display info-center loghost
3. 查看非法接入、端口关闭记录
plaintext
display logbuffer
4. 端口被非法设备关闭后,恢复端口
plaintext
interface GigabitEthernet 1/0/1
undo shutdown
六、关键注意事项(无盘环境重点)
不要给服务器端口加严格 shutdown 策略
无盘服务器接交换机端口,建议违规动作改为restrict(仅告警不关机),避免误断无盘启动;
plaintext
port-security violation restrict
两台交换机都要完整配置绑定 + 日志上传,缺一不可;
若后续更换电脑,先进入端口删除旧 MAC 再绑定新 MAC:
plaintext
undo port-security mac-address sticky 0011-2233-4455
日志服务器需开启 syslog 接收,默认端口 UDP514,防火墙不要拦截;
所有端口默认 VLAN1,如果无盘划分了业务 VLAN,把port access vlan 1改成对应 VLAN ID。
七、两种违规模式区别(按需选择)
shutdown(推荐员工电脑):插陌生设备直接断网,安全严格;
restrict(推荐服务器 / 级联口):仅产生告警日志,不关闭端口,保障无盘业务不中断。

3 个回答
粉丝:12人 关注:9人

准备工作:
1. 准备一台笔记本电脑,通过Console线连接交换机(需USB转Console线及驱动),或通过网线直连交换机默认管理口(默认IP:192.168.0.233/24,默认用户名/密码:admin/admin)。
2. 记录每台电脑的MAC地址(可通过电脑命令行输入ipconfig /all查看“物理地址”)及对应的交换机端口号。
3. 确认无盘服务器的IP地址,用于接收日志。
端口MAC绑定配置(以端口GigabitEthernet1/0/1绑定MAC为例):
1. 进入交换机全局配置模式:

system-view

2. 进入目标端口:

interface GigabitEthernet 1/0/1

3. 开启端口安全并设置最大允许MAC数为1(仅允许绑定的MAC接入):

port-security enable
port-security max-mac-count 1

4. 绑定指定MAC地址(替换为实际电脑MAC):

port-security mac-address sticky 0011-2233-4455

5. 设置违规处理方式(如关闭端口):

port-security violation shutdown

6. 保存配置:

save

(每台电脑对应端口重复步骤2-5)
日志上传配置:
1. 全局模式下配置日志服务器(替换为无盘服务器IP):

info-center loghost ip 192.168.1.100

2. 开启信息中心:

info-center enable

3. 保存配置:

save

注意事项:
若交换机之间有级联,级联端口需关闭端口安全(避免级联端口被误关)。
配置前确保电脑与交换机通信正常,建议先备份交换机默认配置。

回复Chaimree:

打不开,console配置

zhiliao_Gixe 发表时间:4天前 更多>>

请问我没有Console线,网口直连可以直接打开192.168.0.233配置页吗,需要插到特定网口吗?

Chaimree 发表时间:5天前
回复Chaimree:

打不开,console配置

zhiliao_Gixe 发表时间:4天前
粉丝:133人 关注:11人

IP+MAC方法一:

在全局模式使用arp static方式进行绑定,命令如下:

arp static 1.1.1.1 0023-24a1-0605

 

 

IP+MAC方法二:

进入接口使用arp filter方式进行绑定,命令如下:

interface Smartrate-Ethernet 1/1/1

arp filter binding 1.1.1.1 0023-24a1-0605

 

粉丝:25人 关注:1人

针对你提到的需求(端口绑定MAC和日志上传),以下是完整的操作指南。我理解你是第一次接触交换机配置,所以我会尽量用通俗的语言来解释,并说明每一步该怎么做。

🛠️ 第一步:准备工作

在开始配置前,请先准备好以下事项:

  1. 连接交换机:准备一台笔记本电脑,通过Console线连接交换机。如果没有Console线,也可以尝试通过网线连接交换机默认的管理口(通常是 GigabitEthernet0/0/0 口),其默认IP地址为 192.168.0.233,用户名和密码均为 admin

  2. 记录信息

    • 记录MAC地址:在每台电脑上,打开命令行(CMD),输入 ipconfig /all,找到“物理地址”并记录下来

    • 对应端口:记录下每台电脑的网线插在了交换机的哪个端口上(例如 GigabitEthernet1/0/1)。

    • 服务器IP:确认无盘服务器的IP地址

  3. 备份配置:在进行任何修改前,建议先备份交换机的当前配置,以防操作失误可以恢复


🔒 第二步:配置端口与MAC地址绑定(核心)

此配置将确保每个交换机端口只允许一台指定的电脑接入,其他设备插入该端口将被立即阻断

操作步骤如下(以绑定端口 GigabitEthernet1/0/1 和MAC地址 0011-2233-4455 为例)

  1. 进入系统视图

    text
    <H3C> system-view
  2. 全局开启端口安全功能

    text
    [H3C] port-security enable
  3. 进入需要配置的端口

    text
    [H3C] interface GigabitEthernet 1/0/1
  4. 开启端口安全并限制MAC数量

    text
    [H3C-GigabitEthernet1/0/1] port-security enable [H3C-GigabitEthernet1/0/1] port-security max-mac-count 1

    这两条命令的作用是开启该端口的安全功能,并限制它最多只能学习(绑定)1个MAC地址

  5. 绑定指定的MAC地址

    text
    [H3C-GigabitEthernet1/0/1] port-security mac-address sticky 0011-2233-4455

    注意:请将命令中的 0011-2233-4455 替换为你记录的实际电脑MAC地址sticky 关键字表示该绑定会保存到配置中,交换机重启后也不会丢失

  6. 设置违规处理方式(可选但推荐)

    text
    [H3C-GigabitEthernet1/0/1] port-security violation shutdown

    这条命令的作用是,当有未绑定的设备接入时,自动关闭(shutdown)该端口。这能有效阻止非法接入。

  7. 退出端口视图

    text
    [H3C-GigabitEthernet1/0/1] quit
  8. 重复操作:为其他34台电脑重复步骤3到步骤7,将端口号和MAC地址替换为对应的信息。


📤 第三步:配置交换机日志上传到服务器

此配置将交换机的运行日志通过 syslog 协议发送到你的无盘服务器,方便日后排查问题。

操作步骤如下

  1. 确保在系统视图下(如果上一步已退出,重新进入):

    text
    <H3C> system-view
  2. 开启信息中心功能(通常默认已开启):

    text
    [H3C] info-center enable
  3. 指定日志服务器的IP地址

    text
    [H3C] info-center loghost 192.168.1.100

    注意:请将 192.168.1.100 替换为你的无盘服务器的实际IP地址。

  4. (可选)设置日志级别
    你可以根据需要限制发送的日志级别,例如只发送警告级别及以上的日志:

    text
    [H3C] info-center source default loghost level warning

    如果不进行此设置,交换机将发送所有级别的日志。


✅ 第四步:保存配置与验证

  1. 保存配置:这是非常重要的一步,确保配置在交换机重启后不会丢失。

    text
    [H3C] save

    系统会提示确认,输入 Y 即可

  2. 验证端口绑定:可以使用以下命令查看端口的绑定状态:

    text
    [H3C] display port-security interface GigabitEthernet 1/0/1

    此命令会显示该端口的详细安全信息

  3. 验证日志上传:在无盘服务器上检查是否能收到来自交换机的日志。


⚠️ 重要注意事项

  • 级联端口:如果两台交换机之间有互联的级联端口(Trunk口),切记不要在该端口上配置MAC地址绑定,否则会导致交换机之间的通信中断

  • 无盘系统:由于是无盘系统,请确保在配置绑定前,所有电脑都已正常启动并获取了正确的IP地址。

  • 保存配置:每次修改配置后,都记得执行 save 命令,这是很多新手容易遗漏的步骤。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明