要求

　　1、 外来电脑未经允许禁止访问内网

　　2、 内网用户随意变动位置不能访问内网

　　实验拓扑如下：

　　操作步骤

　　LSW1详细配置如下：

　　//更改设备名称

　　[Huawei]sysname LSW1

　　//开启dhcp功能

　　[LSW1]dhcp enable

　　//划分内网vlan10

　　[LSW1]vlan 10

　　[LSW1-vlan10]quit

　　//配置虚拟接口地址

　　[LSW1]inter vlan 10

　　[LSW1-Vlanif10]ip add 192.168.10.254 24

　　[LSW1-Vlanif10]dhcp select global //设置全局地址池

　　[LSW1-Vlanif10]quit

　　//配置dhcp地址池

　　[LSW1]ip pool vlan10

　　[LSW1-ip-pool-vlan10]gateway-list 192.168.10.254

　　[LSW1-ip-pool-vlan10]network 192.168.10.0 mask 24

　　[LSW1-ip-pool-vlan10]excluded-ip-address 192.168.10.1 192.168.10.100

　　[LSW1-ip-pool-vlan10]excluded-ip-address 192.168.10.200 192.168.10.253

　　[LSW1-ip-pool-vlan10]lease day 0 hour 8

　　[LSW1-ip-pool-vlan10]dns-list 61.139.2.69

　　[LSW1-ip-pool-vlan10]quit

　　//配置用户接口

　　[LSW1-Ethernet0/0/1]port link-type access

　　[LSW1-Ethernet0/0/1]port default vlan 10

　　[LSW1-Ethernet0/0/1]port-security enable // 打开端口安全功能

　　[LSW1-Ethernet0/0/1]port-security mac-address sticky //打开安全粘贴MAC功能

　　[LSW1-Ethernet0/0/1]port-security max-mac-num 1 //限制安全MAC地址最大数量为1个

　　[LSW1-Ethernet0/0/1]port-security protect-action restrict // 阻止其他非安全mac地址并发出警告

　　//配置设备间接口

　　[LSW1-Ethernet0/0/1]inter g0/0/1

　　[LSW1-GigabitEthernet0/0/1]port link-type trunk

　　[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10

　　[LSW1-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1

　　[LSW1-GigabitEthernet0/0/1]inter g0/0/2

　　[LSW1-GigabitEthernet0/0/2]port link-type trunk

　　[LSW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 10

　　[LSW1-GigabitEthernet0/0/2]undo port trunk allow-pass vlan 1

　　LSW2配置如下：

　　#

　　sysname LSW2

　　#

　　vlan batch 10

　　#

　　interface Ethernet0/0/1

　　port link-type access

　　port default vlan 10

　　port-security enable

　　port-security mac-address sticky

　　#

　　interface GigabitEthernet0/0/2

　　port link-type trunk

　　undo port trunk allow-pass vlan 1

　　port trunk allow-pass vlan 10

　　#

　　LSW3配置如下：

　　#

　　sysname LSW3

　　#

　　vlan batch 10

　　#

　　interface Ethernet0/0/1

　　port link-type access

　　port default vlan 10

　　port-security enable

　　port-security mac-address sticky

　　#

　　interface GigabitEthernet0/0/1

　　port link-type trunk

　　undo port trunk allow-pass vlan 1

　　port trunk allow-pass vlan 10

　　#

　　测试结果如下：

　　内网用户正常获取ip，并能互访

　　将外网用户接入内网用户1接口，不能获取ip地址，交换机产生警告信息

　　将内网用户2接入内网用户1接口，也不能获取ip地址，交换机产生警告信息

　　如果内用用户2经过允许连接LSW3，只需在LSW3 接口interface Ethernet0/0/1关闭粘贴功能，再打开即可

　　配置如下：

　　[LSW3]inter e0/0/1

　　[LSW3-Ethernet0/0/1]undo port-security mac-address sticky

　　[LSW3-Ethernet0/0/1]port-security mac-address sticky

　　正确获取ip并入内网用户3正常通信