實驗 二層交換機端口與MAC地址的綁定(教師用)_第1頁
實驗 二層交換機端口與MAC地址的綁定(教師用)_第2頁
實驗 二層交換機端口與MAC地址的綁定(教師用)_第3頁
實驗 二層交換機端口與MAC地址的綁定(教師用)_第4頁
實驗 二層交換機端口與MAC地址的綁定(教師用)_第5頁
已閱讀5頁,還剩3頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、 模塊六 二層交換機端口與MAC地址綁定【場景構(gòu)建】在日常工作中,經(jīng)常會發(fā)生用戶隨意插拔交換機上的網(wǎng)線,給網(wǎng)管員在網(wǎng)絡(luò)管理上帶來一定的不便。同時也會出現(xiàn)在一個交換機端口下連接另一個Hub或交換機,導(dǎo)致網(wǎng)絡(luò)線路的擁堵。當網(wǎng)絡(luò)中某機器由于中毒進而引發(fā)大量的廣播數(shù)據(jù)包在網(wǎng)絡(luò)中洪泛時,網(wǎng)絡(luò)管理員的唯一想法就是盡快地找到根源主機并把它從網(wǎng)絡(luò)中暫時隔離開。當網(wǎng)絡(luò)的布置很隨意時,任何用戶只要插上網(wǎng)線,在任何位置都能夠上網(wǎng),這雖然使正常情況下的大多數(shù)用戶很滿意,但一旦發(fā)生網(wǎng)絡(luò)故障,網(wǎng)管人員卻很難快速準確定位根源主機。 希望通過一定的方法,固定每臺計算機連接的交換機端口,方便網(wǎng)管員日常的維護與更新。實驗?zāi)康?、

2、 了解什么是交換機的MAC綁定功能; 2、 熟練掌握MAC與端口綁定的靜態(tài)、動態(tài)方式。 【知識準備】通過端口綁定特性,網(wǎng)絡(luò)管理員可以將用戶的MAC 地址和IP 地址綁定到指定的端口上。進行綁定操作后,交換機只對從該端口收到的指定MAC 地址和IP 地址的用戶發(fā)出的報文進行轉(zhuǎn)發(fā),提高了系統(tǒng)的安全性,增強了對網(wǎng)絡(luò)安全的監(jiān)控。我們通常說的MAC地址與交換機端口綁定其實就是交換機端口安全功能。端口安全功能能讓您配置一個端口只允許一臺或者幾臺確定的設(shè)備訪問那個交換機;能根據(jù)MAC地址確定允許訪問的設(shè)備;允許訪問的設(shè)備的MAC地址既可以手工配置,也可以從交換機“學(xué)到”;當一個未批準的MAC地址試圖訪問端口

3、的時候,交換機會掛起或者禁用該端口等等?!緦嶒炓弧?二層交換機端口靜態(tài)綁定MAC地址1.1 實驗設(shè)備1、2950-24交換機1臺 2、PC機2臺 3、交叉線1根 4、直通網(wǎng)線2根 1.2 組網(wǎng)圖1.3 實驗設(shè)備IP地址及要求設(shè)備名IP地址子網(wǎng)掩碼VLAN 1192.168.1.11 255.255.255.0PC1192.168.1.1255.255.255.0PC2 192.168.1.2255.255.255.0PC1連接F0/1端口,并且在F0/1上將PC1的MAC地址綁定,PC1能PING通交換機。PC2連接F0/2端口,并且在F0/2上將PC2的MAC地址綁定,PC2能PING通交換

4、機。若將PC1更換到F0/2上,則不能PING通交換機。同理PC2更換到F0/1上,也不能PING通交換機。1.4配置過程和解釋PC機上的IP地址請自行設(shè)置完成。第一步:得到PC1主機的mac地址 PCipconfig /allPhysical Address.: 00E0.A323.5CE1IP Address.: 192.168.1.1Subnet Mask.: 255.255.255.0Default Gateway.: 0.0.0.0DNS Servers.: 0.0.0.0我們得到了PC1主機的mac地址為:00E0.A323.5CE1第二步:配置交換機的IP地址 Switch(co

5、nfig)#int vlan 1Switch(config-if)#ip add 192.168.1.11 255.255.255.0Switch(config-if)#no shutdownSwitch(config-if)#exit第三步:使能F0/1端口的MAC地址綁定功能 Switch(Config)#interface F0/1 Switch(config-if)#switchport mode access 將端口模式設(shè)置為access模式Switch(config-if)#switchport port-security命令:switchport port-security no

6、 switchport port-security 功能:使能端口MAC地址綁定功能;本命令的no操作為關(guān)閉端口MAC地址綁定功能。 命令模式:端口配置模式 缺省情況:交換機端口不打開MAC地址綁定功能。 使用指南:MAC地址綁定功能與802.1x、Spanning Tree、端口匯聚功能存在互斥關(guān)系,因此如果要打開端口的MAC地址綁定功能,就必須關(guān)閉端口上的802.1x、Spanning Tree、端口匯聚功能,且打開MAC地址綁定功能的端口不能是Trunk口。 Switch(config-if)#第四步:添加端口靜態(tài)安全MAC地址,缺省端口最大安全MAC地址數(shù)為1 Switch(confi

7、g-if)#switchport port-security mac-address 00E0.A323.5CE1 命令:switchport port-security mac-address no switchport port-security mac-address 功能:添加靜態(tài)安全MAC地址;本命令的no操作為刪除靜態(tài)安全MAC地址。 命令模式:端口配置模式 參數(shù):為添加/刪除的MAC地址。 使用指南:端口必須使能MAC地址綁定功能之后才能添加端口靜態(tài)安全MAC地址。 第五步:配置違反MAC安全采取的措施Switch(config-if)#switchport port-secur

8、ity violation restrict 命令:switchport port-security violation protect | restrict | shutdown no switchport port-security violation 功能: 當超過設(shè)定MAC地址數(shù)量的最大值,或訪問該端口的設(shè)備MAC地址不是這個MAC地址表中該端口的MAC地址,或同一個VLAN中一個MAC地址被配置在幾個端口上時,就會引發(fā)違反MAC地址安全。命令模式:端口配置模式參數(shù):protect(保護模式):丟棄數(shù)據(jù)包,不發(fā)警告。 restrict(限制模式):丟棄數(shù)據(jù)包,發(fā)警告,發(fā)出SNMP tr

9、ap,同時被記錄在syslog日志里。 shutdown(關(guān)閉模式):這是交換機默認模式,在這種情況下端口立即變?yōu)閑rr-disable狀態(tài),并且關(guān)掉端口燈,發(fā)出SNMP trap,同時被記錄在syslog日志里,除非管理員手工激活,否則該端口失效。查看配置: Switch#show port-security address 命令:show port-security address interface 功能:顯示端口安全MAC地址。 命令模式:特權(quán)配置模式 參數(shù): 指定的顯示端口。 使用指南:本命令顯示端口安全MAC地址信息,如果不指定端口則顯示所有端口安全MAC地址。顯Secure Ma

10、c Address Table-Vlan Mac Address Type Ports Remaining ge(mins)- - - - -1 00E0.A323.5CE1 DynamicConfigured FastEthernet0/1- 驗證配置:PC1連接在F0/1上,使能F0/1端口Switch(config)#int f0/1Switch(config-if)#shutdown Switch(config-if)#no shutdown PC1與交換機的PING命令測試結(jié)果PCping 192.168.1.11Pinging 192.168.1.11 with 32 bytes

11、of data:Reply from 192.168.1.11: bytes=32 time=31ms TTL=255Reply from 192.168.1.11: bytes=32 time=31ms TTL=255Reply from 192.168.1.11: bytes=32 time=31ms TTL=255Reply from 192.168.1.11: bytes=32 time=31ms TTL=255Ping statistics for 192.168.1.11: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Ap

12、proximate round trip times in milli-seconds: Minimum = 31ms, Maximum = 31ms, Average = 31ms第六步:將PC2的MAC地址綁定在F0/2端口上配置命令與F0/1端口綁定PC1的MAC地址相同PC1連接在F0/2上,使能F0/2端口Switch(config)#int f0/2Switch(config-if)#shutdown Switch(config-if)#no shutdown PCping 192.168.1.11Pinging 192.168.1.11 with 32 bytes of data

13、:Request timed out.Request timed out.Request timed out.Reply from 192.168.1.11: bytes=32 time=32ms TTL=255Ping statistics for 192.168.1.11: Packets: Sent = 4, Received = 1, Lost = 3 (75% loss),Approximate round trip times in milli-seconds: Minimum = 32ms, Maximum = 32ms, Average = 32ms1.5完整的配置文檔Swit

14、ch#sho run Building configuration.!interface FastEthernet0/1 switchport mode access switchport port-security switchport port-security mac-address 00E0.A323.5CE1!interface FastEthernet0/2switchport mode access switchport port-security switchport port-security mac-address 00D0.FFA4.BEB3!interface Fast

15、Ethernet0/3!interface FastEthernet0/24!interface Vlan1 ip address 192.168.1.11 255.255.255.0!End1.6 實驗驗證PC連接的端口PING結(jié)果原因PC1F0/1192.168.1.11PC1F0/2192.168.1.11PC2F0/1192.168.1.11PC2F0/2192.168.1.11【實驗二】在一個端口上靜態(tài)綁定多個MAC地址2.1實驗設(shè)備1、2950-24交換機1臺 2、PC機4臺 3、交叉線1根 4、直通網(wǎng)線4根 2.2組網(wǎng)圖2.3實驗設(shè)備IP地址及要求設(shè)備名IP地址子網(wǎng)掩碼VLAN

16、1192.168.1.11 255.255.255.0PC1192.168.1.1255.255.255.0PC2 192.168.1.2255.255.255.0PC3192.168.1.3255.255.255.0PC4192.168.1.4255.255.255.0將PC1、PC2、PC3的MAC地址都綁定在F0/1端口上,并且分別將三臺計算機連接在F0/1端口上都能PING通交換機,但更換為PC4后則不能PING通交換機。2.4配置過程和解釋第一步:得到PC1主機的mac地址 PCipconfig /all第二步:配置交換機的IP地址 Switch(config)#int vlan 1

17、Switch(config-if)#ip add 192.168.1.11 255.255.255.0Switch(config-if)#no shutdownSwitch(config-if)#exit第三步:使能F0/1端口的MAC地址綁定功能 Switch(Config)#interface F0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security第四步:添加端口靜態(tài)安全MAC地址,端口最大安全MAC地址數(shù)為3Switch(config-if)#switchport p

18、ort-security maximum 3命令:switchport port-security maximum no switchport port-security maximum 功能:設(shè)置端口最大安全MAC地址數(shù);本命令的no操作為恢復(fù)最大安全地址數(shù)為1。 命令模式:端口配置模式 參數(shù): 端口靜態(tài)安全MAC地址上限,取值范圍1132。 缺省情況:端口最大安全MAC地址數(shù)為1。 使用指南:端口必須使能MAC地址綁定功能之后才能設(shè)置端口安全MAC地址上限。如果端口靜態(tài)安全MAC地址數(shù)大于設(shè)置的最大安全MAC地址數(shù),則設(shè)置失??;必須刪除端口的靜態(tài)安全MAC地址,直到端口靜態(tài)安全MAC地址數(shù)

19、不大于設(shè)置的最大安全MAC地址數(shù),設(shè)置才會成功。 Switch(config-if)#switchport port-security mac-address aaaa.aaaa.aaaaSwitch(config-if)#switchport port-security mac-address aaaa.aaaa.bbbbSwitch(config-if)#switchport port-security mac-address aaaa.aaaa.cccc當添加第四個MAC地址時,會顯示如下信息:Total secure mac-addresses on interface FastEth

20、ernet0/1 has reached maximum limit.第五步:配置違反MAC安全采取的措施Switch(config-if)#switchport port-security violation restrict 查看配置: Switch#show port-security address Secure Mac Address Table-VlanMac Address Type Ports Remaining Age(mins)- - - -1 AAAA.AAAA.AAAASecureConfiguredFastEthernet0/1-1 AAAA.AAAA.BBBBSec

21、ureConfiguredFastEthernet0/1-1 AAAA.AAAA.CCCCSecureConfiguredFastEthernet0/1-Total Addresses in System (excluding one mac per port) : 3Max Addresses limit in System (excluding one mac per port) : 10242.5完整的配置文檔Switch#sho run Building configuration.!interface FastEthernet0/1 switchport mode access sw

22、itchport port-security switchport port-security maximum 3 switchport port-security mac-address AAAA.AAAA.AAAA switchport port-security mac-address AAAA.AAAA.BBBBswitchport port-security mac-address AAAA.AAAA.CCCC!interface FastEthernet0/2!interface FastEthernet0/24!interface Vlan1 ip address 192.168

23、.1.11 255.255.255.0!End2.6實驗驗證PC連接的端口PING結(jié)果原因PC1F0/1192.168.1.11PC2F0/1192.168.1.11PC3F0/1192.168.1.11PC4F0/1192.168.1.11【實驗三】二層交換機端口動態(tài)綁定MAC地址3.1實驗設(shè)備1、2950-24交換機1臺 2、PC機4臺 3、交叉線1根 4、直通網(wǎng)線4根 3.2組網(wǎng)圖3.3實驗設(shè)備IP地址及要求設(shè)備名IP地址子網(wǎng)掩碼VLAN 1192.168.1.11 255.255.255.0PC1192.168.1.1255.255.255.0PC2 192.168.1.2255.25

24、5.255.0PC3192.168.1.3255.255.255.0PC4192.168.1.4255.255.255.0 在F0/1端口使用動態(tài)綁定功能,使端口能動態(tài)學(xué)習(xí)3個MAC地址,當學(xué)習(xí)數(shù)超過設(shè)定學(xué)習(xí)的最大值,端口將停止學(xué)習(xí)。3.4配置過程和解釋第一步:得到PC1主機的mac地址 PCipconfig /all第二步:配置交換機的IP地址 Switch(config)#int vlan 1Switch(config-if)#ip add 192.168.1.11 255.255.255.0Switch(config-if)#no shutdownSwitch(config-if)#exit第三步:使能F0/1端口的MAC地址綁定功能 Switch(Config)#interface F0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security第四步:動態(tài)添加端口安全MAC地址,端口最大安全MAC地址數(shù)為3Switch(config-if)#switchport port-security maximum 3Switch(config-if)#swi

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論