实验一:交换机MAC地址与端口的绑定
1 实验目的
(1)理解二层交换机MAC地址绑定技术的意义及作用。
(2)掌握配置交换机MAC地址绑定的方法
2 实验设备
计算机(>1台);交换机(1台), Console电缆(1根),直连双绞线(>1根)
3 实验内容
通常交换机支持动态学习 MAC 地址的功能,每个端口可以动态学习多个 MAC地址,从而实现端口之间已知 MAC地址数据流的转发。当 MAC地址老化后,则进行广播处理。也就是说,交换机某接口上学习到某 MAC地址后可以进行转发,如果将连线切换到另外一个接口上交换机将重新学习该 MAC地址,从而在新切换的接口上实现数据转发。
但是,有些情况下为了安全和便于管理,需要将 MAC地址与端口进行绑定,端口只允许已绑定 MAC的数据流的转发。即,MAC地址与端口绑定后,该 MAC地址的数据流只能从绑定端口进入,其他没有与端口绑定的 MAC地址的数据流不可以从该端口进入。
MAC地址与端口的绑定可以有效防止陌生计算机的接入,也可以有效防止人为随意调换交换机端口。
配置命令:
1. 使能端口的 MAC地址绑定功能
格式(端口配置模式):switchport port-security
2. 端口 MAC地址的锁定
a)格式(端口配置模式):switchport port-security lock
解释:锁定端口。当端口锁定之后,端口的 MAC地址学习功能将被关闭;
b)格式(端口配置模式):switchport port-security convert
解释:将端口学习到的动态安全 MAC 地址转化为静态安全 MAC地址。
c)格式(端口配置模式):switchport port-security timeout <value>
解释:打开端口锁定定时器功能
d) 格式(端口配置模式):switchport port-security mac-address <mac-address>
解释:添加静态安全 MAC地址
3. MAC地址绑定的属性配置
a)格式(端口配置模式):switchport port-security maximum <value>
解释:设置交换机端口最大安全 MAC 地址数
b)格式(端口配置模式):switchport port-security violation {protect | shutdown}
解释:设置当违反了端口的绑定规则时,对端口的处理方式。protect方式当违反规则后,对数据帧作简单抛弃处理;shutdown方式则会使得端口进shutdown掉。
实验步骤:
图1:MAC地址绑定拓扑图
1、实验前测试即准备:配置PC0 IP为192.168.0.1;PC1 ip为192.168.0.2。PC0连接交换机FastEthernet 0/1口;PC1连接交换机FastEthernet 0/2口。
在PC0上使用ipconfig /all命令得出其MAC地址为00E0.A360.C454
同理得PC1的MAC地址为:000D.BDAD.DACD
在PC0上ping PC1的结果为:
2、配置MAC地址绑定
Switch>enable
Switch#configure t
Switch(config)#interface f0/1
Switch(config-if)#switchport mode access 将f0/1端口配置为接入模式
Switch(config-if)#switchport port-security 打开MAC地址绑定功能
Switch(config-if)#switchport port-security mac-address 00E0.A360.C454 在f0/1端口上绑定静态安全MAC地址为00E0.A360.C454
Switch(config-if)#switchport port-security violation protect 配置端口绑定违反处理为protect方式
使用show port-secutity address命令显示绑定结果:
测试连接:
1、在PC0上ping PC1的结果为:
测试结果表明:PC0可以访问PC1
2、在交换机的f0/1端口上更换主机为PC2,其MAC地址为:0060.3E4D.02A2。IP地址配置成为与PC0相同的ip地址:192.168.0.1。
连接图为:
在PC2上PING PC1的结果为:
表明PC2不能接入交换机。
小节:1.通过手动端口绑定MAC应用的安全协议。
2.通过自学习。
6184
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
