交換機端口與MAC綁定

1、交換機端口與綁定實驗?zāi)康牧私馐裁词墙粨Q機的綁定功能；熟練掌握與端口綁定的靜態(tài)、動態(tài)方式。應(yīng)用環(huán)境、當網(wǎng)絡(luò)中某機器由于中毒進而引發(fā)大量的廣播數(shù)據(jù)包在網(wǎng)絡(luò)中洪泛時，網(wǎng)絡(luò)管理員的唯一想法就是盡快地找到根源主機并把它從網(wǎng)絡(luò)中暫時隔離開。當網(wǎng)絡(luò)的布置很隨意時，任何用戶只要插上網(wǎng)線，在任何位置都能夠上網(wǎng)，這雖然使正常情況下的大多數(shù)用戶很滿意，但一旦發(fā)生網(wǎng)絡(luò)故障，網(wǎng)管人員卻很難快速準確定位根源主機，就更談不上將它隔離了。端口與地址綁定技術(shù)使主機必須與某一端口進行綁定，也就是說，特定主機只有在某個特定端口下發(fā)出數(shù)據(jù)幀，才能被交換機接收并傳輸?shù)骄W(wǎng)絡(luò)上，如果這臺主機移動到其他位置，則無法實現(xiàn)正常的連網(wǎng)。這樣做看起

2、來似乎對用戶苛刻了一些，而且對于有大量使用便攜機的員工的園區(qū)網(wǎng)并不適用，但基于安全管理的角度考慮，它卻起到了至關(guān)重要的作用。為了安全和便于管理，需要將地址與端口進行綁定，即，地址與端口綁定后，該地址的數(shù)據(jù)流只能從綁定端口進入，不能從其他端口進入。該端口可以允許其他地址的數(shù)據(jù)流通過。但是如果綁定方式采用動態(tài)的方式會使該端口的地址學(xué)習(xí)功能關(guān)閉，因此在取消之前，其他的主機也不能從這個端口進入。實驗設(shè)備交換機臺機臺線根、直通網(wǎng)線2根實驗拓撲五、實驗要求1交換機地址為五、實驗要求1交換機地址為的11地/址2為的20地1址/為2在交換機上作與端口綁定；在不同的端口上交換機的，檢驗理論是否和實驗一致。在不同

3、的端口上交換機的，檢驗理論是否和實驗一致。實驗步驟第一步：得到主機的地址版本)版權(quán)所有)版權(quán)所有本地連接我們得到了主機的地址為：-第二步：交換機全部恢復(fù)出廠設(shè)置，配置交換機的地址第三步：使能端口的地址綁定功能switch(Config)#interfaceswitch(Config-Ethernet0/0switch(Config-Ethernet0/0地址數(shù)為第四步：添加端口靜態(tài)安全地址，缺省端口最大安全地址數(shù)為驗證配置：第五步：使用命令驗證端口結(jié)果原因通不通通通第六步：在一個以太口上靜態(tài)捆綁多個驗證配置：上面使用的都是靜態(tài)捆綁的方法，下面介紹動態(tài)地址綁定的基本方法，首先清空剛才做過的捆綁。

4、第七步：清空端口與綁定驗證配置：第八步：使能端口的地址綁定功能，動態(tài)學(xué)習(xí)并轉(zhuǎn)換驗證配置：第九步：使用命令驗證端口結(jié)果原因通不通不通注意事項和排錯如果出現(xiàn)端口無法配置地址綁定功能的情況，請檢查交換機的端口是否運行了nr端口匯聚或者端口已經(jīng)配置為端口。綁定在端口上與這些配置是互斥的，如果該端口要打開地址綁定功能，就必須首先確認端口下的上述功能已經(jīng)被關(guān)閉。當動態(tài)學(xué)習(xí)時，無法執(zhí)行”命令時，請檢查機網(wǎng)卡是否和該端口正確連接。端口之后，該端口地址學(xué)習(xí)功能被關(guān)閉，不允許其他的進入該端口。配置序列略課后練習(xí)使用三臺測試端口與綁定功能。、實現(xiàn)多個端口統(tǒng)一綁定。十、相關(guān)配置命令詳解命令：功能：使能端口地址綁定功能

5、；本命令的操作為關(guān)閉端口地址綁定功能。命令模式：端口配置模式缺省情況：交換機端口不打開地址綁定功能。使用指南：地址綁定功能與、端口匯聚功能存在互斥關(guān)系，因此如果要打開端口的地地址綁定功能，就必須關(guān)閉端口上的口匯聚功能，且打開舉例：使能端口1此如果要打開端口的地地址綁定功能，就必須關(guān)閉端口上的口匯聚功能，且打開舉例：使能端口1的地地址綁定功能的端口不能是地地址綁定功能。口。命令：功能：將端口學(xué)習(xí)到的動態(tài)地址轉(zhuǎn)化為靜態(tài)安全地址。命令模式：端口配置模式使用指南:必須在安全端口鎖定之后才能執(zhí)行端口動態(tài)地址轉(zhuǎn)化命令。執(zhí)行此命令之后，端口學(xué)習(xí)到的動態(tài)地址將轉(zhuǎn)化為靜態(tài)安全地址。該命令沒有配置保留。舉例：將端

6、口的地址轉(zhuǎn)化為靜態(tài)安全地址。命令：功能：鎖定端口。端口被鎖定之后，端口的為恢復(fù)端口的地址學(xué)習(xí)功能。功能：鎖定端口。端口被鎖定之后，端口的為恢復(fù)端口的地址學(xué)習(xí)功能。地址學(xué)習(xí)功能將被關(guān)閉；本命令的操作命令模式：端口配置模式缺省情況：端口未鎖定使用指南：端口必須使能地址綁定功能之后才能執(zhí)行端口鎖定命令。執(zhí)行端口鎖定命令之后，端口將關(guān)閉動態(tài)學(xué)習(xí)功能。舉例：鎖定端口1。命令：noswitchportport-securitytimeout功能：設(shè)置端口鎖定的定時器；本命令的操作為恢復(fù)缺省值。參數(shù)：鎖定時器時間間隔，取值范圍為。命令模式：端口配置模式缺省情況：端口未打開端口鎖定的定時器。使用指南：端口鎖定

7、定時器功能是一種動態(tài)地址鎖定功能，鎖定定時器超時就執(zhí)行地址鎖定操作及將動態(tài)轉(zhuǎn)換為安全地址的操作。端口必須先開啟地址綁定功能后才能使用此命令。舉例：設(shè)置端口1的鎖定時器為30秒。命令：noswitchportport-securitymac-addr功能：添加靜態(tài)安全地址；本命令的操作為刪除靜態(tài)安全地址。命令模式：端口配置模式參數(shù)：為添加刪除的地址。使用指南：端口必須使能地址綁定功能之后才能添加端口靜態(tài)安全地址。舉例：添加到端口E命令：功能：清除指定端口的動態(tài)地址。命令模式：特權(quán)配置模式參數(shù)：為地址；為指定的端口號。使用指南：必須在安全端口鎖定之后之后才能執(zhí)行指定端口的動態(tài)清除操作。如果不指定端

8、口、地址，則清除所有鎖定的安全端口的動態(tài)A如果僅指定端口，不指定地址，則清除指定端口的所有動態(tài)地址。舉例：刪除端口動態(tài)。命令：功能：設(shè)置端口最大安全地址數(shù)；本命令的操作為恢復(fù)最大安全地址數(shù)為1命令模式：端口配置模式參數(shù)：端口靜態(tài)安全地址上限，取值范圍1缺省情況：端口最大安全地址數(shù)為1使用指南：端口必須使能地址綁定功能之后才能設(shè)置端口安全地址上限。如果端口靜態(tài)安全地址數(shù)大于設(shè)置的最大安全地址數(shù)，則設(shè)置失敗；必須刪除端口的靜態(tài)安全地址，直到端口靜態(tài)安全地址數(shù)不大于設(shè)置的最大安全地址數(shù)，設(shè)置才會成功。舉例：設(shè)置端口安全地址上限為4命令：TOC o 1-5 h z功能：設(shè)置端口違背模式；本命令的操作為

9、恢復(fù)違背模式為命令模式：端口配置模式參數(shù)：為保護模式；為關(guān)閉模式。缺省情況：端口違背模式為缺省為使用指南：端口必須使能地址綁定功能之后才能設(shè)置端口違背模式。如果端口違背模式設(shè)置為，那么當端口安全地址超過設(shè)置的端口安全上限的時候，端口僅僅關(guān)閉動態(tài)地址學(xué)習(xí)功能；如果端口違背模式設(shè)置為，那么當端口安全地址超過設(shè)置的端口安全上限的時候，端口將被關(guān)閉，用戶可以通過命令手工打開該端口。舉例：設(shè)置端口的違背模式為。命令：功能：顯示全局安全端口配置情況。命令模式：特權(quán)配置模式缺省情況：交換機不顯示安全端口配置情況。使用指南：本命令顯示交換機當前已經(jīng)配置為安全端口的端口信息。舉例：顯示信息解釋配置為安全端口的端口名安全端口設(shè)置的最大安全地址數(shù)安全端口當前安全地址數(shù)端口設(shè)置的違背模式系統(tǒng)中當前安全地址數(shù)系統(tǒng)中最大安全地址數(shù)命令：功能：顯示安全端口配置情況。命令模式：特權(quán)配置模式參數(shù)：指定的顯示端口。缺省情況：交換機不顯示安全端口配置情況。使用指南：本命令顯示交換機安全端口的詳細配置信息。舉例：顯示信息解釋端口是否使能為安全端口端口安全狀態(tài)端口設(shè)置的違背模式端口設(shè)置的安全地址上限端口當前安全地址數(shù)端口靜態(tài)配置的安全地址數(shù)端