交换机端口与MAC绑定

1、交换机端口与MAC绑定一、实验目的1、了解什么是交换机的MAC绑定功能；2、熟练掌握MAC与端口绑定的静态、动态方式。二、应用环境1、当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机，就更谈不上将它隔离了。端口与地址绑定技术使主机必须与某一端口进行绑定，也就是说，特定主机只有在某个特定端口下发出数据帧，才能被交换机接收并传输到网络上，如果这台主机移动到其他位

2、置，则无法实现正常的连网。这样做看起来似乎对用户苛刻了一些，而且对于有大量使用便携机的员工的园区网并不适用，但基于安全管理的角度考虑，它却起到了至关重要的作用。2、为了安全和便于管理，需要将MAC地址与端口进行绑定，即，MAC地址与端口绑定后，该MAC地址的数据流只能从绑定端口进入，不能从其他端口进入。该端口可以允许其他MAC地址的数据流通过。但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭，因此在取消lock之前，其他MAC的主机也不能从这个端口进入。三、实验设备1、DCS-3926S交换机1台2、PC机2台3、Console线1根4、直通网线2根四、实验拓扑五、实验要求1

3、、交换机IP地址为1/24，PC1的地址为01/24；PC2的地址为02/24。2、在交换机上作MAC与端口绑定；3、PC1在不同的端口上ping交换机的IP，检验理论是否和实验一致。4、PC2在不同的端口上ping交换机的IP，检验理论是否和实验一致。六、实验步骤第一步：得到PC1主机的mac地址Microsoft Windows XP 版本5.1.2600(C)版权所有1985-2001 Microsoft Corp.C:ipconfig/allWindows IP ConfigurationHost Name . . .

4、. . . . . . . . . : xuxpPrimary Dns Suffix. . . . . . . : Node Type . . . . . . . . . . . . : BroadcastIP Routing Enabled. . . . . . . . : NoWINS Proxy Enabled. . . . . . . . : NoEthernet adapter本地连接:Connection-specific DNS Suffix. :Description . . . . . . . . . . . : Intel(R) PRO/10

5、0 VE Network ConnectionPhysical Address. . . . . . . . . :00-A0-D1-D1-07-FFDhcp Enabled. . . . . . . . . . . : YesAutoconfiguration Enabled . . . . : YesAutoconfiguration IP Address. . . : 32Subnet Mask . . . . . . . . . . . : Default Gateway . . . . . . . . . :C:我们得到了PC1主机的ma

6、c地址为：00-A0-D1-D1-07-FF。第二步：交换机全部恢复出厂设置，配置交换机的IP地址switch(Config)#interface vlan 1switch(Config-If-Vlan1)#ip address 1 switch(Config-If-Vlan1)#no shutswitch(Config-If-Vlan1)#exitswitch(Config)#第三步：使能端口的MAC地址绑定功能switch(Config)#interface ethernet 0/0/1switch(Config-Ethernet0/0/1)

7、#switchport port-securityswitch(Config-Ethernet0/0/1)#第四步：添加端口静态安全MAC地址，缺省端口最大安全MAC地址数为1switch(Config-Ethernet0/0/1)#switchport port-security mac-address 00-a0-d1-d1-07-ff验证配置：switch#show port-securitySecurityPortMaxSecurityAddrCurrentAddrSecurity Action(count)(count)-Ethernet0/0/111Protect-Max Addr

8、esses limit per port :128Total Addresses in System :1switch#switch#show port-security addressSecurity Mac Address Table-VlanMac AddressTypePorts100-a0-d1-d1-07-ffSecurityConfiguredEthernet0/0/1-Total Addresses in System :1Max Addresses limit in System :128switch#第五步：使用ping命令验证PC端口Ping结果原因PC10/0/1192

9、.168.1.11通PC10/0/71不通PC20/0/11通PC20/0/71通第六步：在一个以太口上静态捆绑多个MACSwitch(Config-Ethernet0/0/1)#switchport port-security maximum 4Switch(Config-Ethernet0/0/1)#switchport port-security mac-address aa-aa-aa-aa-aa-aaSwitch(Config-Ethernet0/0/1)#switchport port-security mac-ad

10、dress aa-aa-aa-bb-bb-bbSwitch(Config-Ethernet0/0/1)#switchport port-security mac-address aa-aa-aa-cc-cc-cc验证配置：switch#show port-securitySecurityPortMaxSecurityAddrCurrentAddrSecurity Action(count)(count)-Ethernet0/0/144Protect-Max Addresses limit per port :128Total Addresses in System :4switch#show

11、port-security addressSecurity Mac Address Table-VlanMac AddressTypePorts100-a0-d1-d1-07-ffSecurityConfiguredEthernet0/0/11aa-aa-aa-aa-aa-aaSecurityConfiguredEthernet0/0/11aa-aa-aa-bb-bb-bbSecurityConfiguredEthernet0/0/11aa-aa-aa-cc-cc-ccSecurityConfiguredEthernet0/0/1-Total Addresses in System :4Max

12、 Addresses limit in System :128switch#上面使用的都是静态捆绑MAC的方法，下面介绍动态mac地址绑定的基本方法，首先清空刚才做过的捆绑。第七步：清空端口与MAC绑定switch(Config)#switch(Config)#int ethernet 0/0/1switch(Config-Ethernet0/0/1)#no switchport port-securityswitch(Config-Ethernet0/0/1)#exitswitch(Config)#exit验证配置：switch#show port-securitySecurityPortM

13、axSecurityAddrCurrentAddrSecurity Action(count)(count)-Max Addresses limit per port :128Total Addresses in System :0第八步：使能端口的MAC地址绑定功能，动态学习MAC并转换switch(Config)#interface ethernet 0/0/1switch(Config-Ethernet0/0/1)#switchport port-securityswitch(Config-Ethernet0/0/1)#switchport port-security lockswitc

14、h(Config-Ethernet0/0/1)#switchport port-security convertswitch(Config-Ethernet0/0/1)#exit验证配置：switch#show port-security addressSecurity Mac Address Table-VlanMac AddressTypePorts100-a0-d1-d1-07-ffSecurityConfiguredEthernet0/0/1-Total Addresses in System :1Max Addresses limit in System :128switch#第九步

15、：使用ping命令验证PC端口Ping结果原因PC10/0/11通PC10/0/71不通PC20/0/11不通PC20/0/71通七、注意事项和排错1、如果出现端口无法配置MAC地址绑定功能的情况，请检查交换机的端口是否运行了Spanning-tree，802.1x，端口汇聚或者端口已经配置为Trunk端口。MAC绑定在端口上与这些配置是互斥的，如果该端口要打开MAC地址绑定功能，就必须首先确认端口下的上述功能已经被关闭。2、当动态学习MAC时，无法执行“convert”命令时，请检查PC机网卡是否和该端口

16、正确连接。3、端口Lock之后，该端口MAC地址学习功能被关闭，不允许其他的MAC进入该端口。八、配置序列略九、课后练习1、使用三台PC测试端口与MAC绑定功能。2、实现多个端口统一绑定。十、相关配置命令详解switchport port-security命令：switchport port-securityno switchport port-security功能：使能端口MAC地址绑定功能；本命令的no操作为关闭端口MAC地址绑定功能。命令模式：端口配置模式缺省情况：交换机端口不打开MAC地址绑定功能。使用指南：MAC地址绑定功能与802.1x、Spanning Tree、端口汇聚功能存在

17、互斥关系，因此如果要打开端口的MAC地址绑定功能，就必须关闭端口上的802.1x、Spanning Tree、端口汇聚功能，且打开MAC地址绑定功能的端口不能是Trunk口。举例：使能端口1的MAC地址绑定功能。Switch(Config)#interface Ethernet 0/0/1Switch(Config-Ethernet0/0/1)#switchport port-securityswitchport port-security convert命令：switchport port-security convert功能：将端口学习到的动态MAC地址转化为静态安全MAC地址。命令模式：

18、端口配置模式使用指南：必须在安全端口锁定之后才能执行端口动态MAC地址转化命令。执行此命令之后，端口学习到的动态MAC地址将转化为静态安全MAC地址。该命令没有配置保留。举例：将端口1的MAC地址转化为静态安全MAC地址。Switch(Config)#interface Ethernet 0/0/1Switch(Config-Ethernet0/0/1)#switchport port-security convertswitchport port-security lock命令：switchport port-security lockno switchport port-security

19、lock功能：锁定端口。端口被锁定之后，端口的MAC地址学习功能将被关闭；本命令的no操作为恢复端口的MAC地址学习功能。命令模式：端口配置模式缺省情况：端口未锁定使用指南：端口必须使能MAC地址绑定功能之后才能执行端口锁定命令。执行端口锁定命令之后，端口将关闭动态MAC学习功能。举例：锁定端口1。Switch(Config)#interface Ethernet 0/0/1Switch(Config-Ethernet0/0/1)#switchport port-security lockswitchport port-security timeout命令：switchport port-se

20、curity timeoutno switchport port-security timeout功能：设置端口锁定的定时器；本命令的no操作为恢复缺省值。参数：锁定时器时间间隔，取值范围为0300s。命令模式：端口配置模式缺省情况：端口未打开端口锁定的定时器。使用指南：端口锁定定时器功能是一种动态MAC地址锁定功能，锁定定时器超时就执行MAC地址锁定操作及将动态MAC转换为安全MAC地址的操作。端口必须先开启MAC地址绑定功能后才能使用此命令。举例：设置端口1的锁定时器为30秒。Switch(Config)#interface Ethernet 0/0/1Switch(Config-Ethe

21、rnet0/0/1)# switchport port-security timeout 30switchport port-security mac-address命令：switchport port-security mac-address no switchport port-security mac-address 功能：添加静态安全MAC地址；本命令的no操作为删除静态安全MAC地址。命令模式：端口配置模式参数：为添加/删除的MAC地址。使用指南：端口必须使能MAC地址绑定功能之后才能添加端口静态安全MAC地址。举例：添加MAC 00-03-0F-FE-2E-D3到端口1。Switc

22、h(Config)#interface Ethernet 0/0/1Switch(Config-Ethernet0/0/1)#switchport port-security mac-address 00-03-0F-FE-2E-D3clear port-security dynamic命令：clear port-security dynamic address | interface 功能：清除指定端口的动态MAC地址。命令模式：特权配置模式参数：为MAC地址；为指定的端口号。使用指南：必须在安全端口锁定之后之后才能执行指定端口的动态MAC清除操作。如果不指定端口、MAC地址，则清除所有锁定

23、的安全端口的动态MAC；如果仅指定端口，不指定MAC地址，则清除指定端口的所有动态MAC地址。举例：删除端口1动态MAC。Switch#clear port-security dynamic interface Ethernet 0/0/1switchport port-security maximum命令：switchport port-security maximum no switchport port-security maximum功能：设置端口最大安全MAC地址数；本命令的no操作为恢复最大安全地址数为1。命令模式：端口配置模式参数：端口静态安全MAC地址上限，取值范围1128。缺

24、省情况：端口最大安全MAC地址数为1。使用指南：端口必须使能MAC地址绑定功能之后才能设置端口安全MAC地址上限。如果端口静态安全MAC地址数大于设置的最大安全MAC地址数，则设置失败；必须删除端口的静态安全MAC地址，直到端口静态安全MAC地址数不大于设置的最大安全MAC地址数，设置才会成功。举例：设置端口1安全MAC地址上限为4。Switch(Config)#interface Ethernet 0/0/1Switch(Config-Ethernet0/0/1)#switchport port-security maximum 4switchport port-security viola

25、tion命令：switchport port-security violation protect | shutdownno switchport port-security violation功能：设置端口违背模式；本命令的no操作为恢复违背模式为protect。命令模式：端口配置模式参数：protect为保护模式；shutdown为关闭模式。缺省情况：端口违背模式为缺省为protect。使用指南：端口必须使能MAC地址绑定功能之后才能设置端口违背模式。如果端口违背模式设置为protect，那么当端口安全MAC地址超过设置的端口安全MAC上限的时候，端口仅仅关闭动态MAC地址学习功能；如果端

26、口违背模式设置为shutdown，那么当端口安全MAC地址超过设置的端口安全MAC上限的时候，端口将被关闭，用户可以通过no shutdown命令手工打开该端口。举例：设置端口1的违背模式为shutdown。Switch(Config)#interface Ethernet 0/0/1Switch(Config-Ethernet0/0/1)#switchport port-security violation shutdownshow port-security命令：show port-security功能：显示全局安全端口配置情况。命令模式：特权配置模式缺省情况：交换机不显示安全端口配置情况

27、。使用指南：本命令显示交换机当前已经配置为安全端口的端口信息。举例：Switch#show port-securitySecurityPortMaxSecurityAddrCurrentAddrSecurity Action(count)(count)-Ethernet0/0/311ProtectEthernet0/0/4101ProtectEthernet0/0/510Protect-Total Addresses in System :2Max Addresses limit in System :128显示信息解释SecurityPort配置为安全端口的端口名MaxSecurityAddr安全端口设置的最大安全MAC地址数CurrentAddr安全端口当前安全MAC地址数Security Action端口设置的违背模式Total Addresses in System系统中当前安全MAC地址数Max Addresses limit in System系统中最大安全MAC地址数show port-security interface命令：show port-security interface功能：显示安全端口配置情况。命令模式：特权配置模式参数：指定的显示端口。缺省情况：交换机不显示安全端口配置情况。使用指南：本命令显示交换机安全端口的详细配置信