交换机端口与MAC绑定

一、       实验目的

1、  了解什么是交换机的MAC绑定功能;

2、  熟练掌握MAC与端口绑定的静态、动态方式。

二、       应用环境

1、  当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时,网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。当网络的布置很随意时,任何用户只要插上网线,在任何位置都能够上网,这虽然使正常情况下的大多数用户很满意,但一旦发生网络故障,网管人员却很难快速准确定位根源主机,就更谈不上将它隔离了。端口与地址绑定技术使主机必须与某一端口进行绑定,也就是说,特定主机只有在某个特定端口下发出数据帧,才能被交换机接收并传输到网络上,如果这台主机移动到其他位置,则无法实现正常的连网。这样做看起来似乎对用户苛刻了一些,而且对于有大量使用便携机的员工的园区网并不适用,但基于安全管理的角度考虑,它却起到了至关重要的作用。

2、  为了安全和便于管理,需要将MAC地址与端口进行绑定,即,MAC地址与端口绑定后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入。该端口可以允许其他MAC地址的数据流通过。但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭,因此在取消lock之前,其他MAC的主机也不能从这个端口进入。

三、       实验设备

1、  DCS-3926S交换机1台

2、  PC机2台

3、  Console线1根

4、  直通网线2根

四、       实验拓扑

五、       实验要求

1、  交换机IP地址为192.168.1.11/24,PC1的地址为192.168.1.101/24;PC2的地址为192.168.1.102/24。

2、  在交换机上作MAC与端口绑定;

3、  PC1在不同的端口上ping 交换机的IP,检验理论是否和实验一致。

4、  PC2在不同的端口上ping 交换机的IP,检验理论是否和实验一致。

六、       实验步骤

第一步:得到PC1主机的mac地址

Microsoft Windows XP [版本 5.1.2600]

(C) 版权所有 1985-2001 Microsoft Corp.

C:\>ipconfig/all

Windows IP Configuration

Host Name . . . . . . . . . . . . : xuxp

Primary Dns Suffix  . . . . . . . : digitalchina.com

Node Type . . . . . . . . . . . . : Broadcast

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter 本地连接:

Connection-specific DNS Suffix  . :

Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti

on

Physical Address. . . . . . . . . : 00-A0-D1-D1-07-FF

Dhcp Enabled. . . . . . . . . . . : Yes

Autoconfiguration Enabled . . . . : Yes

Autoconfiguration IP Address. . . : 169.254.27.232

Subnet Mask . . . . . . . . . . . : 255.255.0.0

Default Gateway . . . . . . . . . :

C:\>

我们得到了PC1主机的mac地址为:00-A0-D1-D1-07-FF。

 

第二步:交换机全部恢复出厂设置,配置交换机的IP地址

switch(Config)#interface vlan 1

switch(Config-If-Vlan1)#ip address 192.168.1.11 255.255.255.0

switch(Config-If-Vlan1)#no shut

switch(Config-If-Vlan1)#exit

switch(Config)#

第三步:使能端口的MAC地址绑定功能

switch(Config)#interface ethernet 0/0/1

switch(Config-Ethernet0/0/1)#switchport port-security

switch(Config-Ethernet0/0/1)#

 

第四步:添加端口静态安全MAC地址,缺省端口最大安全MAC地址数为1

switch(Config-Ethernet0/0/1)#switchport port-security mac-address 00-a0-d1-d1-07-ff

验证配置:

switch#show port-security

Security Port    MaxSecurityAddr     CurrentAddr       Security Action

(count)               (count)

---------------------------------------------------------------------------

Ethernet0/0/1             1                  1                  Protect

---------------------------------------------------------------------------

Max Addresses limit per port :128

Total Addresses in System :1

switch#

switch#show port-security address

Security Mac Address Table

---------------------------------------------------------------------------

Vlan    Mac Address                     Type                    Ports

1    00-a0-d1-d1-07-ff               SecurityConfigured      Ethernet0/0/1

---------------------------------------------------------------------------

Total Addresses in System :1

Max Addresses limit in System :128

switch#

第五步:使用ping命令验证

    PC

端口

Ping

结果

原因

PC1

0/0/1

192.168.1.11

PC1

0/0/7

192.168.1.11

不通

PC2

0/0/1

192.168.1.11

PC2

0/0/7

192.168.1.11

 

第六步:在一个以太口上静态捆绑多个MAC

Switch(Config-Ethernet0/0/1)#switchport port-security maximum 4

Switch(Config-Ethernet0/0/1)#switchport port-security mac-address aa-aa-aa-aa-aa-aa

Switch(Config-Ethernet0/0/1)#switchport port-security mac-address aa-aa-aa-bb-bb-bb

Switch(Config-Ethernet0/0/1)#switchport port-security mac-address aa-aa-aa-cc-cc-cc

验证配置:

switch#show port-security

Security Port    MaxSecurityAddr     CurrentAddr       Security Action

(count)               (count)

---------------------------------------------------------------------------

Ethernet0/0/1             4                  4                  Protect

---------------------------------------------------------------------------

Max Addresses limit per port :128

Total Addresses in System :4

switch#show port-security address

Security Mac Address Table

---------------------------------------------------------------------------

Vlan    Mac Address                     Type                    Ports

1    00-a0-d1-d1-07-ff               SecurityConfigured      Ethernet0/0/1

1    aa-aa-aa-aa-aa-aa               SecurityConfigured      Ethernet0/0/1

1    aa-aa-aa-bb-bb-bb               SecurityConfigured      Ethernet0/0/1

1    aa-aa-aa-cc-cc-cc               SecurityConfigured      Ethernet0/0/1

---------------------------------------------------------------------------

Total Addresses in System :4

Max Addresses limit in System :128

switch#

上面使用的都是静态捆绑MAC的方法,下面介绍动态mac地址绑定的基本方法,首先清空刚才做过的捆绑。

第七步:清空端口与MAC绑定

switch(Config)#

switch(Config)#int ethernet 0/0/1

switch(Config-Ethernet0/0/1)#no switchport port-security

switch(Config-Ethernet0/0/1)#exit

switch(Config)#exit

验证配置:

switch#show port-security

Security Port    MaxSecurityAddr     CurrentAddr       Security Action

(count)               (count)

---------------------------------------------------------------------------

---------------------------------------------------------------------------

Max Addresses limit per port :128

Total Addresses in System :0

第八步:使能端口的MAC地址绑定功能,动态学习MAC并转换

switch(Config)#interface ethernet 0/0/1

switch(Config-Ethernet0/0/1)#switchport port-security

switch(Config-Ethernet0/0/1)#switchport port-security lock

switch(Config-Ethernet0/0/1)#switchport port-security convert

switch(Config-Ethernet0/0/1)#exit

验证配置:

switch#show port-security address

Security Mac Address Table

---------------------------------------------------------------------------

Vlan    Mac Address                     Type                    Ports

1    00-a0-d1-d1-07-ff               SecurityConfigured      Ethernet0/0/1

---------------------------------------------------------------------------

Total Addresses in System :1

Max Addresses limit in System :128

switch#

第九步:使用ping命令验证

    PC

端口

Ping

结果

原因

PC1

0/0/1

192.168.1.11

PC1

0/0/7

192.168.1.11

不通

PC2

0/0/1

192.168.1.11

不通

PC2

0/0/7

192.168.1.11

七、       注意事项和排错

1、  如果出现端口无法配置MAC地址绑定功能的情况,请检查交换机的端口是否运行了Spanning-tree,802.1x,端口汇聚或者端口已经配置为Trunk端口。MAC绑定在端口上与这些配置是互斥的,如果该端口要打开MAC地址绑定功能,就必须首先确认端口下的上述功能已经被关闭。

2、  当动态学习MAC时,无法执行“convert”命令时,请检查PC机网卡是否和该端口正确连接。

3、  端口Lock之后,该端口MAC地址学习功能被关闭,不允许其他的MAC进入该端口。

八、       配置序列

九、       课后练习

1、  使用三台PC测试端口与MAC绑定功能。

2、  实现多个端口统一绑定。

十、       相关配置命令详解

switchport port-security

命令:switchport port-security

no switchport port-security

功能:使能端口MAC地址绑定功能;本命令的no操作为关闭端口MAC地址绑定功能。

命令模式:端口配置模式

缺省情况:交换机端口不打开MAC地址绑定功能。

使用指南:MAC地址绑定功能与802.1x、Spanning Tree、端口汇聚功能存在互斥关系,因此如果要打开端口的MAC地址绑定功能,就必须关闭端口上的802.1x、Spanning Tree、端口汇聚功能,且打开MAC地址绑定功能的端口不能是Trunk口。

举例:使能端口1的MAC地址绑定功能。

Switch(Config)#interface Ethernet 0/0/1

Switch(Config-Ethernet0/0/1)#switchport port-security

switchport port-security convert

命令:switchport port-security convert

功能:将端口学习到的动态MAC地址转化为静态安全MAC地址。

命令模式:端口配置模式

使用指南:必须在安全端口锁定之后才能执行端口动态MAC地址转化命令。执行此命令之后,端口学习到的动态MAC地址将转化为静态安全MAC地址。该命令没有配置保留。

举例:将端口1的MAC地址转化为静态安全MAC地址。

Switch(Config)#interface Ethernet 0/0/1

Switch(Config-Ethernet0/0/1)#switchport port-security convert

switchport port-security lock

命令:switchport port-security lock

no switchport port-security lock

功能:锁定端口。端口被锁定之后,端口的MAC地址学习功能将被关闭;本命令的no操作为恢复端口的MAC地址学习功能。

命令模式:端口配置模式

缺省情况:端口未锁定

使用指南:端口必须使能MAC地址绑定功能之后才能执行端口锁定命令。执行端口锁定命令之后,端口将关闭动态MAC学习功能。

举例:锁定端口1。

Switch(Config)#interface Ethernet 0/0/1

Switch(Config-Ethernet0/0/1)#switchport port-security lock

switchport port-security timeout

命令:switchport port-security timeout <value>

no switchport port-security timeout

功能:设置端口锁定的定时器;本命令的no操作为恢复缺省值。

参数:<value> 锁定时器时间间隔,取值范围为0~300s。

命令模式:端口配置模式

缺省情况:端口未打开端口锁定的定时器。

使用指南:端口锁定定时器功能是一种动态MAC地址锁定功能,锁定定时器超时就执行MAC地址锁定操作及将动态MAC转换为安全MAC地址的操作。端口必须先开启MAC地址绑定功能后才能使用此命令。

举例:设置端口1的锁定时器为30秒。

Switch(Config)#interface Ethernet 0/0/1

Switch(Config-Ethernet0/0/1)# switchport port-security timeout 30

switchport port-security mac-address

命令:switchport port-security mac-address <mac-address>

no switchport port-security mac-address <mac-address>

功能:添加静态安全MAC地址;本命令的no操作为删除静态安全MAC地址。

命令模式:端口配置模式

参数:<mac-address>为添加/删除的MAC地址。

使用指南:端口必须使能MAC地址绑定功能之后才能添加端口静态安全MAC地址。

举例:添加MAC 00-03-0F-FE-2E-D3到端口1。

Switch(Config)#interface Ethernet 0/0/1

Switch(Config-Ethernet0/0/1)#switchport port-security mac-address 00-03-0F-FE-2E-D3

clear port-security dynamic

命令:clear port-security dynamic [address <mac-addr> | interface <interface-id> ]

功能:清除指定端口的动态MAC地址。

命令模式:特权配置模式

参数:<mac-addr>为MAC地址;<interface-id>为指定的端口号。

使用指南:必须在安全端口锁定之后之后才能执行指定端口的动态MAC清除操作。如果不指定端口、MAC地址,则清除所有锁定的安全端口的动态MAC;如果仅指定端口,不指定MAC地址,则清除指定端口的所有动态MAC地址。

举例:删除端口1动态MAC。

Switch#clear port-security dynamic interface Ethernet 0/0/1

switchport port-security maximum

命令:switchport port-security maximum <value>

no switchport port-security maximum

功能:设置端口最大安全MAC地址数;本命令的no操作为恢复最大安全地址数为1。

命令模式:端口配置模式

参数:<value> 端口静态安全MAC地址上限,取值范围1~128。

缺省情况:端口最大安全MAC地址数为1。

使用指南:端口必须使能MAC地址绑定功能之后才能设置端口安全MAC地址上限。如果端口静态安全MAC地址数大于设置的最大安全MAC地址数,则设置失败;必须删除端口的静态安全MAC地址,直到端口静态安全MAC地址数不大于设置的最大安全MAC地址数,设置才会成功。

举例:设置端口1安全MAC地址上限为4。

Switch(Config)#interface Ethernet 0/0/1

Switch(Config-Ethernet0/0/1)#switchport port-security maximum 4

switchport port-security violation

命令:switchport port-security violation {protect | shutdown}

no switchport port-security violation

功能:设置端口违背模式;本命令的no操作为恢复违背模式为protect。

命令模式:端口配置模式

参数:protect为保护模式;shutdown为关闭模式。

缺省情况:端口违背模式为缺省为protect

使用指南:端口必须使能MAC地址绑定功能之后才能设置端口违背模式。如果端口违背模式设置为protect,那么当端口安全MAC地址超过设置的端口安全MAC上限的时候,端口仅仅关闭动态MAC地址学习功能;如果端口违背模式设置为shutdown,那么当端口安全MAC地址超过设置的端口安全MAC上限的时候,端口将被关闭,用户可以通过no shutdown命令手工打开该端口。

举例:设置端口1的违背模式为shutdown。

Switch(Config)#interface Ethernet 0/0/1

Switch(Config-Ethernet0/0/1)#switchport port-security violation shutdown

show port-security

命令:show port-security

功能:显示全局安全端口配置情况。

命令模式:特权配置模式

缺省情况:交换机不显示安全端口配置情况。

使用指南:本命令显示交换机当前已经配置为安全端口的端口信息 。

举例:

Switch#show port-security

Security Port     MaxSecurityAddr   CurrentAddr     Security Action

(count)         (count)

-----------------------------------------------------------------

Ethernet0/0/3            1               1               Protect

Ethernet0/0/4            10              1               Protect

Ethernet0/0/5            1               0               Protect

-----------------------------------------------------------------

Total Addresses in System :2

Max Addresses limit in System :128

显示信息

解释

Security Port

配置为安全端口的端口名

MaxSecurityAddr

安全端口设置的最大安全MAC地址数

CurrentAddr

安全端口当前安全MAC地址数

Security Action

端口设置的违背模式

Total Addresses in System

系统中当前安全MAC地址数

Max Addresses limit in System

系统中最大安全MAC地址数

show port-security interface

命令:show port-security interface <interface-id>

功能:显示安全端口配置情况。

命令模式:特权配置模式

参数:<interface-id> 指定的显示端口。

缺省情况:交换机不显示安全端口配置情况。

使用指南:本命令显示交换机安全端口的详细配置信息。

举例:

Switch#show port-security interface ethernet 0/0/1

Port Security :Enabled

Port status :Security Up

Violation mode :Protect

Maximum MAC Addresses :1

Total MAC Addresses :1

Configured MAC Addresses :1

Lock Timer is ShutDown

Mac-Learning function is : Opened

显示信息

解释

Port Security :

端口是否使能为安全端口

Port status :

端口安全状态

Violation mode :

端口设置的违背模式

Maximum MAC Addresses :

端口设置的安全MAC地址上限

Total MAC Addresses :

端口当前安全MAC地址数

Configured MAC Addresses :

端口静态配置的安全MAC地址数

Lock Timer

端口是否开启锁定的定时器(定时器时间)

Mac-Learning function

端口MAC地址学习功能是否打开

show port-security address

命令:show port-security address [interface <interface-id>]

功能:显示端口安全MAC地址。

命令模式:特权配置模式

参数:<interface-id> 指定的显示端口。

使用指南:本命令显示端口安全MAC地址信息,如果不指定端口则显示所有端口安全MAC地址。显示内容举例如下:

Switch#show port-security address interface ethernet 0/0/1

Security Mac Address Table

------------------------------------------------------------------------

Vlan    Mac Address             Type                    Ports

1      0000.0000.1111          SecureConfigured        Ethernet0/0/3

------------------------------------------------------------------------

Total Addresses :1

显示信息

解释

Vlan

安全MAC地址的VLAN ID

Mac Address

安全MAC地址

Type

安全MAC地址类型

Ports

安全MAC地址所属端口

Total Addresses

系统中当前安全MAC地址数

交换机端口与MAC绑定相关推荐

  1. 限制计算机通讯端口mac绑定,h3c交换机ip和mac绑定配置教程

    h3c交换机ip和mac绑定配置教程 首先登录交换机,进入管理状态System-View 第一种情况:1个端口只有一台电脑如何绑定 如:某台电脑的IP:10.119.100.1 MAC:00-1A-4 ...

  2. Cisco交换机IP和MAC绑定设置方案

    目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术.下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案. 在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是 ...

  3. 交换机配置计算机mac地址吗,局域网管理,设置网络核心交换机,局域网电脑IP-MAC地址绑定...

    IP地址与MAC地址的关系: IP地址是根据现在的IPv4标准指定的,不受硬件限制比较容易记忆的地址,长度4个字节.而 MAC地址却是用网卡的物理地址,保存在网卡的EPROM里面,与硬件有关系,比较难 ...

  4. H3C低端交换机MAC绑定

    1.MAC地址和端口的绑定 <h3c>system [h3c]interface e0/1 [h3c-interface]mac-address max-count 0 #关闭交换机端口的 ...

  5. Cisco交换机端口安全介绍

    Cisco交换机端口安全 通过端口设置,可以限制允许访问交换机上某个端口的MAC地址以及IP(可选)来实现严格控制对该端口的输入,最终确保网络接入安全. 配置网络安全时应该注意如下问题: 1.下面四种 ...

  6. Packet Tracer 思科模拟器入门教程 之十九 交换机端口安全

    实验目的         掌握交换机的端口安全功能,控制用户的安全接入.  背景描述         你是一个公司的网络管理员,公司要求对网络进行严格控制.为了防止公司内部用户的 IP 地址冲突,防止 ...

  7. 配置交换机端口安全实验

    实验名称 交换机的端口安全配置 实验目的 掌握交换机的端口安全功能,控制用户的安全接入 实验拓扑 实验原理 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入.交换机端 ...

  8. 思科模拟器 --- 交换机端口安全配置

    学习目标:掌握交换机的端口安全功能,控制用户的安全接入 1.实验环境:对公司网络严格控制,防止公司用户的IP地址冲突和公司内部的网络攻击和破坏行为,为每一个员工分配固定的IP地址,某公司员工分配的IP ...

  9. 华为交换机端口绑定mac防arp欺骗

    单位的宿舍网老是有人中arp,搞得头大,又不好意思把别个地网络给喀嚓了,只有用这种麻烦事情了.虽然在三层设备上可以做到ip+mac绑定,但数量大了那是牺牲设备性能做代价的.         废话少说, ...

  10. 谈谈IP、MAC与交换机端口绑定的方法

    谈谈 IP . MAC 与交换机端口绑定的方法  

最新文章

  1. 使用Repeater的Template
  2. UML类图新手入门级介绍
  3. 在Linux中打印函数调用堆栈【原创】
  4. vc 6.0的安装问题
  5. #if DEBUG 和 if (env.IsDevelopment()) 的用法区别
  6. DotNet软件开发框架
  7. 《ArcGIS Runtime SDK for Android开发笔记》——离在线一体化技术:离线矢量数据同步...
  8. 开公司的两个方向,要么把公司开成很赚钱,要么把公司做成很值钱
  9. qt designer 弹出输入框_Qt编写的项目作品3-输入法V2018
  10. i386和x86-64区别通俗易懂版本(转)
  11. 拓端tecdat|R语言时间序列:ARIMA / GARCH模型的交易策略在外汇市场预测应用
  12. Android音视频三-AndroidStudio整合FFmpeg项目+FFmpeg视频解码
  13. 你不知道流量宝的神操作就能免费增加20万网站PV浏览量
  14. 计算机视觉方向开题,机器视觉开题报告.doc
  15. 词法分析之LED文件批量生成
  16. View和ViewGroup中的mParent
  17. unity3d在UGUI中显示带表情的微信昵称
  18. 文件下载中文名乱码问题
  19. hdu4355(三分)
  20. 计算机管理用户没有怎么办,win10管理没有本地用户和组怎么办

热门文章

  1. Codeforces 950C Zebras ( 贪心 模拟 )
  2. 自动驾驶汽车是如何利用高精度地图和高精度定位来进行“导航”的
  3. 【2021最新版】《全网搜索 6.0》软件使用手册
  4. 蓝天热键驱动_创建快捷方式或热键以立即弹出特定的USB驱动器
  5. SQL Server manager studio(SSMS)安装教程
  6. 天气预报接口应该怎么开通?
  7. 白山搜索引擎优化收费_百度搜索引擎优化收费标准
  8. 在外部JS中使用validity进行表单验证出现未定义问题
  9. 90后迎来30岁,比升职更重要的是这8件事
  10. manjaro/arch chrome an application wants access to the keyring default keyring but it is locked 解决