华为模拟器 MAC 地址认证实战：从配置到故障排查全攻略

一、实验背景与环境准备

1.1 MAC 地址认证原理简述

MAC 地址认证是通过交换机对接入设备的 MAC 地址进行绑定验证，实现网络接入控制的安全机制。适用于需要限制非授权设备接入的场景，如企业办公网络、校园网等。

1.2 实验环境搭建

硬件需求：

华为 S5700 交换机 1 台

PC 机 3 台（PC1、PC2、PC3）

网络规划：

网段：192.168.1.0/24

PC1 IP：192.168.1.1

PC2 IP：192.168.1.2

PC3 IP：192.168.1.3

二、拓扑结构与连通性预验证

2.1 网络拓扑示意图

2.2 预验证 PC1 与 PC2 连通性

操作步骤：

1.配置 PC1 和 PC2 的 IP 地址

2.在 PC1 命令行执行ping 192.168.1.2

预期结果：连通性正常，丢包率为 0

三、交换机 MAC 认证配置实战

3.1 启动端口安全模式

# 进入GE0/0/1端口并启用安全模式 

[Huawei] interface GigabitEthernet 0/0/1 

[Huawei-GigabitEthernet0/0/1] port-security enable 


# 开启MAC地址自动学习（粘滞模式） 

[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky 

[Huawei-GigabitEthernet0/0/1] quit 


# 对GE0/0/2端口执行相同配置 

[Huawei] interface GigabitEthernet 0/0/2 

[Huawei-GigabitEthernet0/0/2] port-security enable 

[Huawei-GigabitEthernet0/0/2] port-security mac-address sticky 

[Huawei-GigabitEthernet0/0/2] quit

配置说明：

port-security enable：启用端口安全功能，默认关闭

port-security mac-address sticky：使能粘滞 MAC 学习，自动绑定首次接入设备的 MAC 地址por

3.2 静态绑定 IP 与 MAC 地址

# 绑定PC1的IP与MAC到GE0/0/1端口 

[Huawei] user-bind static ip-address 192.168.1.1 mac-address 5489-986C-4E6B interface GigabitEthernet 0/0/1

# 绑定PC3的IP与MAC到GE0/0/2端口 

[Huawei] user-bind static ip-address 192.168.1.3 mac-address 5489-9895-10D6 interface GigabitEthernet 0/0/2

四、认证效果测试与故障分析

4.1 测试场景 1：PC1 与 PC3 连通性验证

操作步骤：

1.将 PC3 接入 GE0/0/2 端口

2.在 PC1 执行ping 192.168.1.3

发现是可以连通的，前面出现了追踪不到的情况，原因分析：首次接入时交换机需学习 MAC 地址，建议等待 20-30 秒后再测试

4.2 测试场景 2：未认证设备接入（PC2 接入 GE0/0/2）

1.操作步骤：

1.断开 PC3，接入 PC2 到 GE0/0/2

2.在 PC2 执行ping 192.168.1.3

测试结果：

结论：
未绑定 MAC 地址的 PC2 无法通过认证，网络接入被阻断。

五、MAC 认证进阶技巧与注意事项

5.1 常用故障排查命令

display port-security interface    #查看端口安全配置与绑定状态

display user-bind      # 查看 IP-MAC 绑定列表

undo user-bind         # 解除静态绑定

5.2 优化建议

1.动态 MAC 学习限制：

[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 1  # 限制单端口仅1个MAC接入

2.老化时间配置：

[Huawei-GigabitEthernet0/0/1] port-security aging-time 300  # MAC地址老化时间5分钟