华为交换机查看MAC地址和配置交换机端口的安全

交换机是基于mac地址表转发数据，并且也可以学到mac地址表，只要PC机在通信的情况下，交换机就可以学到PC机的mac地址，下面测试：

打开ensp拉入两个PC机和一个交换机，用线连接完成后，并且给PC配置IP地址

我们可以先查看一下交换机里面有没有PC机的mac地址

在系统视图下执行命令：display mac-address vlan 1

这里面执行后发现没有mac地址，因为交换机学习mac地址是动态的，如果PC机长时间不通信交换机是没有这个PC的mac地址的，vlan1是交换机默认自带的，他的所有接口都在默认在vlan1内

 查看vlan1

输入：display vlan 1 ,可以看到所有接口都在vlan1里面

 下面我们让交换机学到mac地址，下面用PC1去访问PC2

 这点就证明他们处于活动状态，下面查看交换机有没有学到PC机的mac地址

执行：display mac-address vlan 1 

这里面可以看到学习到了两个mac地址，并且可以看到这个mac地址是属于哪个接口的

 以上就是交换机查看MAC地址

下面我们设置交换机端口的安全

1、限制交换机可以接入PC机的数量

2.指定交换机绑定PC机的固定MAC地址

一个公司，他们有一台交换机，然后从这个交换机拉一根线到另一个办公室，只能一台电脑使用，但是工人又买了一台hub，又接了2台设备在上面，这样第一台交换机就又两个设别在使用，这样情况下可能会存在网络安全，下面我们就限制交换机端口接入的客户端的数量

打开ensp，拉入2台交换机、4台PC机1、个集线器，并且为他们配置好IP地址，如下图：

下面开始配置接口安全

限制Ethernet 0/0/3端口只能接一台设备

打开交换机在系统试图下输入：interface Ethernet 0/0/3进入接口试图

 在接口视图下输入：port-security enable 启用接口安全

 设置出现问题处理方式：为关闭端口

在接口试图下输入：port-security protect-action shutdown ，意思是出现问题时关闭端口

创建限制策略：port-security max-mac-num 1

设置限制最大接入数量为1，点击回车

设置完成后测试

测试前：

下面我们使用PC4去访问hub下的PC6和PC7

PC4访问PC6

可以看到正常访问

PC4访问PC7

这里面可以看到找不到主机，因为设置的策略是，最大只能有一台通信，现在超过策略后可以看到交换机与HUB之间的连接也被断开了

 这里面限制端口数量就设置完成了

 2、配置交换机固定端口只能是特定的客户端使用，其他设备不能使用绑定MAC地址

以PC5为例测试

我们进入PC5所在的交换机的端口

进入接口后

开启安全：port-security enable 

设置违规后的状态：port-security protect-action shutdown 

创建策略：port-security mac-address sticky

绑定mac地址：port-security mac-address sticky 5489-9893-56D1 vlan 1

 完成后我们可以测试用PC5去访问其他PC端

PC5访问PC4

可以看到是通的

 把PC5换成其他的PC机然后测试

这里面我们可以看到同一个端口不同设备访问是不行的

这个就是特定端口绑定特定的PC机MAC地址

这里面我们可以看到端口红了，这里端口安全就完成了