【信息网络学习day7 H3C设备配置端口绑定】

思科设备上配置端口绑定，使用 sticky 粘性绑定（也有叫端口粘滞的）。它可以把第一次从该端口学习到的MAC记录下来并做绑定，当另一台电脑接到这个端口上时，将不被允许通过。

H3C设备也有类似功能，配置命令略有不同。

在H3C模拟器上进行端口绑定的配置，系统版本v7。

思科设备配置

思科设备上在端口中启用port-security功能后，配置三种违规类型：

1. protect：当违规时，只丢弃违规的数据流量，不违规的正常转发，而且不会通知有流量违规，也就是不会发送SNMP trap ；
2. restrict：当违规时，只丢弃违规的流量，不违规的正常转发，但它会产生流量违规通知，发送SNMP trap，并且会记录日志；
3. shutdown（默认）：当违规时，将接口变成error-disabled并shut down，并且接口LED灯会关闭，也会发SNMP trap，并会记录syslog。

之后开启sticky 粘性绑定，即可把第一次从该端口学习到的MAC记录下来并做绑定。

配置命令如下：

Cicso (config-if)#switchport mode access
Cicso (config-if)#switchport port-security
Cicso (config-if)#switchport port-security mac-address violation restrict
Cisco (config-if)#switchport port-security mac-address sticky

H3C设备配置

h3c设备也可做类似的自动端口绑定，配置如下：

[H3C]port-security enable
[H3C-GigabitEthernet1/0/1]port-security max-mac-count 1
[H3C-GigabitEthernet1/0/1]port-security port-mode autolearn //自动学习模式，必须先设置端口允许接入的最大MAC数量

[H3C-GigabitEthernet1/0/1]dis this
#
interface GigabitEthernet1/0/1
 port link-mode bridge
 combo enable fiber
 port-security max-mac-count 1
 port-security port-mode autolearn
#
return

//ping一下，交换机学到了mac地址

[H3C-GigabitEthernet1/0/1]dis this
#
interface GigabitEthernet1/0/1
 port link-mode bridge
 combo enable fiber
 port-security max-mac-count 1
 port-security port-mode autolearn
 port-security mac-address security sticky b238-902a-0206 vlan 1
#
return

如果明确知道所需绑定mac地址及vlan，也可直接配置，命令如下：

[H3C-GigabitEthernet1/0/1]port-security mac-address security b238-902a-0206 vlan 1

解除绑定的命令如下（注意顺序）：

[H3C-GigabitEthernet1/0/1]undo port-security port-mode
[H3C-GigabitEthernet1/0/1]undo port-security max-mac-count

参考

1. 谈谈 H3C 的端口 MAC 地址粘性（sticky）绑定.(https://www.hack520.com/583.html )