教案——二层交换机端口与MAC地址的绑定

二层交换机每个端口有没有MAC地址[转]2012-06-04 16:08:16分类：今天在一个思科学习群里面看到一个朋友问交换机的每个端口有没有MAC地址我都第一反应是没有MAC，交换机的MAC是学来的，有一张MAC表来维护但是有朋友反问，那STP等选举用哪个MAC来选举呢？好吧，无言以对了，开始google搜了一篇文章以后明白了，二层交换机有一个基本MAC，该MAC可以show version看到Switch#show versionCisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)FX, RELEASE SOFTWARE (fc1)Copyright (c) 1986-2005 by Cisco Systems, Inc.Compiled Wed 12-Oct-05 22:05 by pt_teamROM: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25r)FX, RELEASE SOFTWARE (fc4)System returned to ROM by power-onCisco WS-C2960-24TT (RC32300) processor (revision C0) with 21039K bytes of memory.24 FastEthernet/IEEE 802.3 interface(s)2 Gigabit Ethernet/IEEE 802.3 interface(s)64K bytes of flash-simulated non-volatile configuration memory.Base ethernet MAC Address : 00E0.B0E7.349CMotherboard assembly number : 73-9832-06Power supply part number : 341-0097-02Motherboard serial number : FOC103248MJPower supply serial number : DCA102133JAModel revision number : B0Motherboard revision number : C0Model number : WS-C2960-24TTSystem serial number : FOC1033Z1EYTop Assembly Part Number : 800-26671-02Top Assembly Revision Number : B0Version ID : V02CLEI Code Number : COM3K00BRAHardware Board Revision Number : 0×01Switch Ports Model SW Version SW Image———–—–———- ———-* 1 26 WS-C2960-24TT 12.2C2960-LANBASE-MConfiguration register is 0xF图中可以看到，有个基本MAC，这个MAC用于STP选举，而且这个MAC一般会在交换机的标签上说明，可以找找看有木有这个MAC地址至于每个端口的MAC，可以用show int来查看创建VLAN路由以后，VLAN的虚拟接口会创建另一个地址，所有VLAN的虚拟接口都使用这个地址。

说明：二层IP/MAC绑定可以防止IP被人盗用，从而不会出现没有上网权限的人盗用有上网权限的IP，进行冒充他人身份上网的情况。

1、首先扫描网络中的IP和MAC地址，并导入到用户列表中。

用户管理—用户导入—IP：
勾选“开机设备”，点击扫描。

这样会出现IP地址和MAC地址：
再手工输入用户名，点击导入，就可以导入到设备的组织管理下。

注意：（1）如果网络中的电脑没有开机，将不会被扫描到。

漏掉的少量电脑可以直接到组织管理进行手工建立用户；（2）导入完毕后，请到用户管理—组织管理中将“IP临时用户”组下面的用户全部删除。

2、进行二层IP/MAC绑定
用户管理—组织管理：
点击ROOT，右边出现我们建立的用户列表
将所有用户选中，点击操作下面的“二层IP/MAC绑定”
3、对已经建立的用户组织进行应用控制策略设定
根据常规的应用控制策略方式来进行设定即可。

比如阻塞这部分用户上QQ等。

注意设备隐含的一条最低优先级的规则是：允许任何用户上任何应用/网页。

所以一般我们所作的策略，是要阻塞XX用户使用XX应用/网页。

4、对未分配的IP，禁止使用任何应用
在我们手工建立用户列表并绑定后，属于已绑定范围内的IP别人无法盗用，但是未绑定的IP可能还会被人盗用。

有的用户可能自己会乱改IP，所以要设定一条应用控制策略，禁止未分配IP上任何用户。

未分配IP会出现在系统内置的“IP临时用户”中，所有做一条策略阻塞“IP临时用户”上网：。

实验2 MAC地址表与地址端口绑定2.1 实验内容●MAC地址表操作●MAC地址和端口的绑定2.2 MAC地址表操作2.2.1 实验目的●掌握S3026E交换机中MAC地址表的查看方法，了解MAC地址表中各表项的意义；●了解MAC地址的学习和老化过程；●了解MAC地址表的维护和管理方法：如何添加和删除表项；●掌握地址端口绑定的基本方法。

2.2.2 实验环境●●PC2.2.3consoleE0/1com1PC实验组网图2.2.4 实验步骤1. 查看MAC地址表我们可以用如下命令查看和连接在接口E0/1上（E0/1表示交换机的第0个模块的第1个接口，在这个例子中，PC1连在交换机的E0/1接口上）的主机的MAC地址：[H3C]display mac-addressMAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)0003-47b7-c378 1 Learned Ethernet0/1 AGING 表格中MAC ADDR列表示E0/1接口所连接的以太网中的主机的MAC地址，VLAN ID列指出这个端口所在的VLAN， VLAN概念我们将在下一章讨论。

STATE列指出这个MAC地址表项的属性：Learned表示MAC地址为动态学习到的。

Aging Time是该表项的老化时间，表示这个表项还会被保存多长时间（以秒为单位）。

在S3026E交换机中，正是由于MAC地址表的存在，才使得交换机可以根据数据包的MAC地址查出端口号，来实现基于二层的快速转发。

当一台PC被连接到交换机的端口，交换机会从该端口动态学习到PC的MAC地址，并将其添加到MAC地址表中。

在二层交换机S3026E上，交换机是通过ARP机制学习到MAC地址的。

在交换机上我们可以利用debugging信息来观察学习MAC地址的过程：<H3C>debugging arp packet<H3C>terminal debugging% Current terminal debugging is on*0.4338546 H3C ARP/8/arp_send:Send an ARP Packet, operation : 1,sender_eth_addr : 00e0-fc57-461b,sender_ip_addr : 10.110.34.126,target_eth_addr : 0000-0000-0000,target_ip_addr : 10.110.34.125*0.4338797 H3C ARP/8/arp_rcv:Receive an ARP Packet, operation : 2,sender_eth_addr : 0011-433d-54e2,sender_ip_addr : 10.110.34.125,target_eth_addr : 00e0-fc57-461b,target_ip_addr : 10.110.34.126我们可以用“display arp”命令查看ARP表如下：<H3C>display arpIP Address MAC Address VLAN ID Port Name Aging Type10.110.34.125 0011-433d-54e2 1 Ethernet0/2 20 Dynamic对于动态学习到的MAC地址，有一个老化时间Aging Time的概念，来表示这个表项还会被保存多长时间。

交换机上实施IP与MAC的双向绑定(IPSG实例)部门： xxx时间： xxx整理范文，仅供参考，可下载自行编辑在交换机上实施IP与 MAC的双向绑定说明：不能够在二层交换上做基于 IP的双向绑定，但可在三层交换机上完成SW1(config># interface FastEthernet0/1SW1(config-if># switchport mode accessSW1(config-if>#switchport port-securitySW1(config-if># switchport port-security violation restrict //shutdown protect restrict SW1(config-if># switchport port-security mac-address 00b0.6451.c920SW1(config-if># spanning-tree portfastSW1(config-if># ip access-group 11 in //调用ACLSW1(config-if># exitSW1(config># access-list 11 permit 192.168.2.69IPSG 实验配置步骤QQ截图20180514042234.jpg (18.5 KB>2018-5-14 04:22 SW(config># ipdhcp snoopingSW(config># ipdhcp snooping vlan 1,10SW(config># ipdhcp snooping verify mac-addressSW(config># ip source binding 0000.0000.0001 vlan 10 172.16.1.5 interface f0/5SW(config># interface f0/1SW(config-if># switchport mode accessSW(config-if># switchport port-securitySW(config-if># ip verify source vlandhcp-snooping port-securitySW(config># interface f0/5SW(config-if># switchport mode accessSW(config-if># switchport port-securitySW(config-if># ip verify source vlandhcp-snooping port-securitySW(config-if># endb5E2RGbCAPQQ截图20180514042350.jpg (31.34 KB>2018-5-14 04:24一、配置 SW1的防护功能SW1(config># ipdhcp snooping //启用 DHCP Snooping SW1(config># ipdhcp snooping information option //启用82 选项SW1(config># ipdhcp snooping vlan 10,20 //DHCP监听作用的 VLANSW1(config># ipdhcp database flash:dhcp.db //将 DHCP绑定信息保存到dhcp.db中SW1(config># ipdhcp snooping verify mac-addressSW1(config># interface f0/21SW1(config-if># switchport mode accessSW1(config-if># switchport port-securitySW1(config-if># ip verify source port-securitySW1(config># interface f0/23SW1(config-if># switchport mode accessSW1(config-if># switchport port-securitySW1(config-if># ip verify source port-security可选配//SW1(config># ip source binding 0000.0000.0001 vlan 10 172.16.1.1 interface f0/2可选配//SW1(config># ip source binding 0000.0000.0002 vlan 20 172.16.2.1 interface f0/1SW1(config># iparp inspection vlan 10,20 //ARP检测基于VLAN10 VLAN20SW1(config># iparp inspection validate src-mac dst-macip //基于源 MAC 目标 MAC和 IP//DHCP服务器的配置DHCP-SERVER 使用路由器来完成Router(config># ipdhcp pool vlan10 定义地址池Router(config-vlan># network 172.16.1.0255.255.255.0 定义地址池做用的网段及地址范围Router(config-vlan># default-router 172.16.1.254 定义客户端的默认网关Router(config-vlan># dns-server 218.108.248.200 定义客户端的dnsRouter(config-vlan>#exitRouter(config># ipdhcp pool vlan20Router(config-vlan># network 172.16.2.0 255.255.255.0 Router(config-vlan># default-router 172.16.2.254Router(config-vlan># dns-server 218.108.248.200Router(config-vlan># exitRouter(config># ipdhcp excluded-address 172.16.1.100172.16.1.254 //配置保留地址段Router(config># ipdhcp excluded-address 172.16.2.100172.16.2.254Router(config># interface e0/0Router(config-if># ip address 172.16.3.1 255.255.255.0 Router(config-if># no shutdown交换机上的配置SW1(config># interface vlan 10SW1(config-if># ip address 172.16.1.254 255.255.255.0 SW1(config-if># ip helper-address 172.16.3.1 //以单播向DHCP-SERVER发送请求SW1(config-if># interface vlan20SW1(config-if># ip address 172.16.2.254 255.255.255.0 SW1(config-if># ip helper-address 172.16.3.1p1EanqFDPw申明：所有资料为本人收集整理，仅限个人学习使用，勿做商业用途。

实验八端口与MAC地址绑定配置实验目的1.理解端口与MAC地址绑定的意义2.熟练使用命令完成端口与MAC地址的绑定实验设备及材料一台交换机，两台PC机，两根网线，一根CONSOLE线。

实验内容1、规划PC与端口的对应关系，并填写下表MAC 端口PC1的MAC 1PC2的MAC 22、根据规划，交换机按下图所示拓扑连接设备3、进入交换机进行配置绑定4、PC配置相同网段IP地址后互相PING5、将PC的网线互换后观察PING现象实验步骤1．在有些场合，比如学校机房，为了防止有人无意地把网线插到交换机的别的端口上能修改信息，交换机的端口和终端的MAC地址绑定，网络管理员静态的指定每个交换机的端口所对应的终端，，把网线插在别的端口以后，其连接就会被拒绝。

PC与端口的对应关系如下图：MAC 端口PC1的MAC 1PC2的MAC 22．使用一台交换机和两台PC机，还将其中PC2作为控制台终端，使用CONSOLE口配置方式；另外：使用两根网线分别将PC1和PC2连接到交换机的网络端口上，构成如下拓扑：2．进入交换机进行配置绑定；（1） VLAN端口成员和MAC地址静态绑定：Switch(config)#mac-address static address 00-08-0d-be-d8-d8 vlan 1 interface 0/0/1 （2） 使能端口的MAC地址绑定功能：Switch(config)#interface Ethernet 0/0/1Switch(config-ethernet0/0/1)#switchport port-security(2) 将端口学习到的动态MAC地址转化为静态MAC地址，并且关闭端口的MAC地址学习功能：Switch(config)#interface Ethernet 0/0/1Switch(config-ethernet0/0/1)#switchport port-security convert（3）端口MAC地址的锁定：Switch(config)#interface Ethernet 0/0/1Switch(config-ethernet0/0/1)#switchport port-security lock把PC1MAC地址绑定在交换机的1端口，PC2的MAC地址绑定在交换机的2端口。

MAC地址与端口绑定详解在网络安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍采用的做法之一就是IP地址、网卡的MAC 地址与交换机端口绑定，但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

一、首先必须明白两个概念：可靠的MAC地址。

配置时候有三种类型：静态可靠的MAC地址：在交换机接口模式下手动配置，这个配置会被保存在交换机MAC地址表和运行配置文件中，交换机重新启动后不丢失（当然是在保存配置完成后），具体命令如下：Switch(config-if)#switchport port-security mac-address Mac 地址动态可靠的MAC地址：这种类型是交换机默认的类型。

在这种类型下，交换机会动态学习MAC地址，但是这个配置只会保存在MAC 地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，可以手动配置MAC地址和端口的绑定，也可以让交换机自动学习来绑定，这个配置会被保存在MAC地址中和运行配置文件中，如果保存配置，交换机重起动后不用再自动重新学习MAC地址，虽然黏性的可靠的MAC地址可以手动配置，但是CISCO官方不推荐这样做。

具体命令如下：Switch(config-if)#switchport port-security mac-address sticky 其实在上面这条命令配置后并且该端口得到MAC地址后，会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address sticky Mac地址这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。

NETGEAR智能网管交换机如何实现IP与MAC地址绑定功能NETGEAR智能网管交换机可以通过配置绑定功能来实现IP与MAC地址的绑定。

IP与MAC地址绑定是一种网络安全功能，它限制特定MAC地址只能使用指定的IP地址，从而增强网络的安全性。

下面将详细介绍如何在NETGEAR智能网管交换机上实现IP与MAC地址绑定功能。

首先，通过浏览器登录到智能网管交换机的管理界面。

在浏览器中输入交换机的IP地址，并输入正确的登录用户名和密码，完成登录操作。

登录成功后，在交换机的管理界面中，找到并点击"IP Configuration"或"IP地址配置"菜单项。

在IP地址配置页面中可以进行IP与MAC地址绑定的设置。

进入IP地址配置页面后，可以看到有两个选项：IP-MAC绑定表和静态ARP表。

IP-MAC绑定表用于设置IP与MAC地址绑定规则，而静态ARP 表用于手动添加静态ARP表项。

要添加一条IP与MAC地址绑定规则，点击"Add"或"添加"按钮。

在弹出的对话框中，输入MAC地址和对应的IP地址，并选择该规则的生效端口。

点击"Apply"或"应用"按钮，保存设置。

除了IP-MAC绑定表，还可以通过设置静态ARP表来实现IP与MAC地址的绑定。

在静态ARP表页面中，可以手动添加或删除静态ARP表项。

添加ARP表项时，需要输入MAC地址、IP地址和生效端口，然后点击"Add"或"添加"按钮进行保存。

删除ARP表项时，只需点击对应条目的删除按钮即可。

通过上述步骤，可以在NETGEAR智能网管交换机上实现IP与MAC地址的绑定功能。

通过绑定IP与MAC地址，可以有效限制特定设备只能使用指定的IP地址，提升网络的安全性。