实验18端口和MAC地址绑定实验
实验18端口和MAC地址绑定实验
实验十八、交换机端口与MAC绑定一、 实验目的1、了解什么是交换机的MAC绑定功能;2、熟练掌握MAC与端口绑定的静态、动态方式。
二、 应用环境1、当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时,网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。
当网络的布置很随意时,任何用户只要插上网线,在任何位置都能够上网,这虽然使正常情况下的大多数用户很满意,但一旦发生网络故障,网管人员却很难快速准确定位根源主机,就更谈不上将它隔离了。
端口与地址绑定技术使主机必须与某一端口进行绑定,也就是说,特定主机只有在某个特定端口下发出数据帧,才能被交换机接收并传输到网络上,如果这台主机移动到其他位置,则无法实现正常的连网。
这样做看起来似乎对用户苛刻了一些,而且对于有大量使用便携机的员工的园区网并不适用,但基于安全管理的角度考虑,它却起到了至关重要的作用。
2、为了安全和便于管理,需要将MAC地址与端口进行绑定,即,MAC地址与端口绑定后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入。
该端口可以允许其他MAC地址的数据流通过。
但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭,因此在取消lock之前,其他MAC的主机也不能从这个端口进入。
三、 实验设备1、DCS-3926S交换机1台2、PC机2台3、Console线1根4、直通网线2根四、 实验拓扑五、 实验要求1、交换机IP地址为192.168.1.11/24,PC1的地址为192.168.1.101/24;PC2的地址为192.168.1.102/24。
2、在交换机上作MAC与端口绑定;3、PC1在不同的端口上ping 交换机的IP,检验理论是否和实验一致。
4、PC2在不同的端口上ping 交换机的IP,检验理论是否和实验一致。
六、 实验步骤第一步:得到PC1主机的mac地址Microsoft Windows XP [版本 5.1.2600](C) 版权所有 1985-2001 Microsoft Corp.C:\>ipconfig/allWindows IP ConfigurationHost Name . . . . . . . . . . . . : xuxpPrimary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : BroadcastIP Routing Enabled. . . . . . . . : NoWINS Proxy Enabled. . . . . . . . : NoEthernet adapter 本地连接:Connection-specific DNS Suffix . :Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti onPhysical Address. . . . . . . . . : 00-A0-D1-D1-07-FFDhcp Enabled. . . . . . . . . . . : YesAutoconfiguration Enabled . . . . : YesAutoconfiguration IP Address. . . : 169.254.27.232Subnet Mask . . . . . . . . . . . : 255.255.0.0Default Gateway . . . . . . . . . :C:\>我们得到了PC1主机的mac地址为:00-A0-D1-D1-07-FF。
MAC地址的动态绑定
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter本地连接:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti
switch(Config-Ethernet0/0/1)#switchport port-security lock
switch(Config-Ethernet0/0/1)#switchport port-security convert
switch(Config-Ethernet0/0/1)#exit
成绩教师签名年月日
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :
2.交换机全部恢复出厂设置,配置交换机的IP地址
switch(Config)#interface vlan 1
switch(Config-If-Vlan1)#ip address 192.168.1.11 255.255. . . . . . . . . : 00-A0-D1-D1-07-FF
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Autoconfiguration IP Address. . . : 169.254.27.232
extrem试验指导-交换机安全配置-Extreme
实验交换机安全配置一、实验目的●理解MAC地址绑定原理●理解交换机端口镜像原理●熟悉掌握交换机MAC地址绑定的基本配置命令;●熟悉掌握交换机端口镜像的基本配置命令;二、实验设备●计算机2台●交换机1台●Console线1条●网线若干三、实验拓朴图四、实验要求通过交换机的安全功能的设置,包括:MAC地址绑定、交换机端口镜像,利用这些功能提高网络的安全性。
五、实验步骤1.根据网络拓扑图,利用UTP双绞线将2台PC机连接到1台交换机上。
并按照图中所示配置相应的IP地址和网关地址。
在PC1上利用RS-232控制线连接到Switch交换机,通过超级终端进入交换机配置管理界面。
2.配置交换机默认vlan的IP地址为192.168.1.1/24Switch#config vlan default ipaddress 192.168.1.1 255.255.255.0MAC地址绑定3.配置PC1的网络接口卡的MAC地址与交换机的某个端口进行绑定。
Switch#create fdbentry 00:10:5c:00:00:01 vlan default ports1:1// 1:1为端口号00:10:5c:00:00:01为pc的mac地址注意:当mac地址为00:10:5c:00:00:01绑定在vlan default的端口1:1,那么就不能将此mac地址绑定到其它端口。
在上述的实例中,端口1绑定了00:10:5c:00:00:01,那么端口1就只能允许mac地址为00:10:5c:00:00:01通过该端口,而且mac地址00:10:5c:00:00:01是不能通过其它端口进入网络的。
4.查看MAC地址绑定相关配置信息。
Switch# show fdb端口镜像5.配置交换机上的1:1个端口为镜像目标端口(即监控端口)6.配置交换机上的一组端口(1:2-1:4)为镜像源端口(即被监控端口)Switch#enable mirroring to port 1:1 //监控者的端口Switch#configure mirroring add ports 1:2-1:4 //被监控者端口7.将PC1接入被监控接口,模拟发送一定量的数据报文。
7.动态实现MAC地址与端口绑定
在模拟器中将设备如下图中连接起来并配置IP:PC0----→ fa0/1 (192.168.10.10/24)PC1----→ fa0/11 (192.168.10.11/24)PC1----→(备用) (192.168.10.12/24)下面我们用PC1pingPC0如下图:可以看到是通的,我们使用show mac-address-tablel来看看:Switch#show mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 000a.416e.5768 DYNAMIC Fa0/111 0010.11a0.421a DYNAMIC Fa0/1可以看到两个端口所对应的两台PC的MAC类型是动态的下面我们来配置交换机:Switch#configConfiguring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#interface fastEthernet 0/1Switch(config-if)#switchport port-security mac-address sticky (自动绑定MAC与端口)Switch(config-if)#exitSwitch(config)#exitSwitch#writeBuilding configuration...[OK]我们用show命令来看下:Switch#show mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 000a.416e.5768 DYNAMIC Fa0/111 0010.11a0.421a STATIC Fa0/1可以看到fa0/1的端口已经被学习到了这样fa0/1端口将只能让MAC为0010.11a0.421a的PC通过,其他PC连接这个端口将不会连通,同时PC0可以在其他端口使用。
交换机的端口配置与管理实验步骤
交换机的端口配置与管理实验步骤
1. 嘿,咱开始搞交换机端口配置这事儿啦,就像要去驯服一群调皮的小怪兽。
2. 首先,找到那交换机,就像在一堆宝藏里找最神秘的那个盒子。
3. 瞅准端口啦,那端口就像一个个小嘴巴,等着我们去指挥呢。
4. 登录交换机,这密码输入就像开魔法门的咒语,错了可就进不去啦,超紧张。
5. 进入配置模式,感觉自己像个超级魔法师,要施展神奇魔法啦。
6. 咱先看看端口状态,那状态信息就像小怪兽的健康报告一样。
7. 要设置端口速度啦,这就好比给小嘴巴规定吃东西的速度,快了慢了都不行。
8. 把端口速度设成100Mbps,就像给小嘴巴规定每秒吃100颗魔法豆。
9. 再看看双工模式,全双工就像小嘴巴既能吃又能吐,超厉害。
10. 把端口设成全双工模式,这就像给小嘴巴开启了超级功能,双向猛吃猛吐。
11. 给端口绑定个VLAN,这就像把小嘴巴划分到不同的小团队里。
12. VLAN ID就像小团队的编号,可不能搞混咯,不然小嘴巴们要打架啦。
13. 开启端口安全功能,这就像给小嘴巴装上防盗门,防止坏家伙进来。
14. 规定端口连接的MAC地址数量,就像规定小嘴巴能接待的客人数量,多了就不让进。
15. 要是MAC地址违规,就像来了个不速之客,直接把它赶出去,哼。
16. 测试端口连通性,这就像试试小嘴巴能不能和其他小嘴巴正常聊天。
17. 要是不通,就像小嘴巴突然哑巴了,得赶紧排查问题,像医生看病一样。
18. 最后保存配置,这就像把我们的魔法成果封印起来,可不能让它跑掉啦。
华三交换机端口IP-MAC地址绑定
H3C交换机端口绑定IP+MAC的思路及配置客户的一个新项目,最近需要在H3C的交换机上做端口+IP+MAC绑定,最终目的是为了实现上网控制,大家都知道这是一件很繁琐的工作,前期要收集好MAC+IP+端口还有使用人的信息,客户终端有500台左右,所以前期收集资料的工作量蛮大,本来告诉客户在上网行为管理设备上做用户名密码认证+ARP绑定的方式,但客户说之前在核心交换机上做过ARP绑定,但有些人把本地的IP和MAC修改为与能上网的电脑IP和MAC一模一样,这样两台机器相当于同一台机器一样,都能同时在线上网了,也不会报IP地址冲突,只是上网速度会有一定的影响(会有丢包),若其中一台电脑不在线,另一台修改过得电脑上网完全没有影响。
结合上网行为管理设备做用户名和密码认证,用户又说怕能上网的那些人把自己的用户名和密码告诉别人,没办法彻底控制!晕现在基本上只能按照他们的要求去在接入层交换机上做端口+IP+MAC绑定了,接入层交换机有两种型号:S5120-52C-EI和S3100V2-16TP-EI,看了一下两种交换机都支持这种端口+IP+MAC的绑定方式,那就根据客户的需求来干吧~ 以下是总体思路和方法:首先,收集各终端的IP+MAC+端口信息以及使用人信息(估计3个工作日的时间),并做好记录;然后,在各台接入层交换机上根据前面收集到的信息就行配置(2个工作日左右),下面我们看一下配置:(1)1个端口下只有一台电脑的绑定方法如IP地址为10.100.10.2 ,MAC地址为00-1A-4D-1E-39-2D 的电脑接在交换机的G1/0/2端口,那么可以进行如下配置:interface GigabitEthernet 1/0/2 首先进入2号端口user-bind ip-addr 10.100.10.2 mac-addr 001A-4D1E-392D 绑定IP和MAC(2)1个端口下接了一个小交换机的绑定方式如:1号端口下接了一个8口的小交换机,交换机接有3台电脑,3台电脑的IP和MAC如下1电脑的IP:10.100.11.2 MAC:00-1A-4D-1E-39-812电脑的IP:10.100.11.3 MAC:00-1A-4D-1E-39-8E3电脑的IP:10.100.11.4 MAC:00-1A-4D-1E-39-8F那么这三台电脑都需要进行捆绑,可以进行如下配置:interface GigabitEthernet 1/0/1 首先进入1端口user-bind mac-addr 001a-4d1e-3981 ip-addr 10.100.11.2user-bind mac-addr 001a-4d1e-398e ip-addr 10.100.11.3user-bind mac-addr 001a-4d1e-398f ip-addr 10.100.11.4(3)若端口下没有接任何设备,那么当新接入一台终端后,就没有IP+MAC地址的限制了,就有可能会正常上网,因此还需要在这些空闲端口上关掉MAC地址自动学习的功能,命令如下:interface GigabitEthernet 1/0/20 首先进入空闲的20号端口mac-address mac-learning disable 关掉此端口的MAC地址学习功能最后,抽几台电脑进行测试,更改IP或MAC或端口,看看是否满足客户需求,但这里有一点要说明的是对于上面第二种情况,若端口接了一个小交换机或HUB,其中一台不能上网的电脑把IP和MAC修改为同接在一台小交换机上的可以上网的电脑的IP和MAC,也是可以上网的,现象就是同时在线会网速慢丢包,不同时在线是没有影响的。
MAC地址实验
3,MAC 地址漂移 MAC 地址漂移是指设备上一个 VLAN 内有两个端口学习到同一个 MAC 地址,后学习
MAC 地址表中的表项分为:动态表项、静态表项、黑洞表项。 动态表项:
由接口通过报文中的源 MAC 地址学习获得,默认老化时间 300 秒。 动态表项被老化的三种情况:
在系统复位、接口板热插拔或接口板复位后或 STP 的拓朴变化时,表项丢失。 动态表项的二个作用:
通过查看动态表项,来判断两台设备之间是否有过通信。 查看动态表项的个数,知道接口下有多少个用户数 ------------------------PC 之间通信-----------------------------------------Pc1>ping 10.1.1.3 Pc1>ping 10.1.1.4
安全静态 MAC 地址: 指使能端口安全时用手工配置的。永不老化。 缺点:查看不到配置的安全静态 MAC 地址,只能 undo sticky 功能
-------------------------配置安全静态 MAC-------------------------------[Huawei-GigabitEthernet0/0/1]port-security mac-address sticky /*要先开启 sticky*/ [Huawei-GigabitEthernet0/0/1]port-security mac-address sticky 5488-8855-6645 vlan 1 ---------------------------------查看安全静态 MAC-----------------------------
实验六交换机的VLAN配置-MAC地址绑定端口
实验六交换机的VLAN配置-MAC地址绑定端口实验目的:1、了解什么是交换机的MAC绑定功能;2、熟练掌握MAC与端口绑定的静态方式。
实验环境:Packet tracer软件实验内容:1、把PC机的MAC地址绑定到交换机某个端口上基本原理:考虑到交换机使用的安全性,可以使用端口绑定技术,防止陌生计算机接入,避免了人为随意调换交换机端口。
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。
这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。
而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。
另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样, VLAN就必须不停地配置。
实验步骤:一、把MAC地址绑定到交换机的端口PC-PT PC-PTPCI PC2实验拓扑如上图。
PC1: IP : 192.168.3.3 MAC 地址:000C.7611.8157PC2 IP : 192.16832 MAC 地址:000C.7611.817F注:添加主机时,默认有一个MA地址,在config选项卡中能看到,或者在运行里输入命令ipconfig /all 查看。
建议用默认的MA(地址。
1 •启动交换机,并进入到特权模式Switch〉enableSwitch#2 •恢复到厂商设置Switch# erase startup-config 擦除配置Switch# reloadSwitch> enswitch# show vlan-ini *1郦⑥saw21-1刊畐劇VUJ 3 Of ntStatus.FortsIIrFujLi■scti ver-aO/Z. r^/3P F 虫IEFd 碣 rjrb. MI /'< K <I /H MF FJI /LC F 讪门1上 FWl? Fdi/14. fW 占3 LT F1D/J4, F 曲许FS 吃1W 讪空.切ML,IWIII 3 ■.- vil iHC b ijn: TIJf^LcI i I E IH 1 ■ il« I adJ L■L - bi ・ i-ihi/dj.1D3ac t^1mxz'qfVIM Type IUDfl TV FtfK&EEti 您 ftptri^A匸 TrwicL InniZ1血戈1UJLU1 JSoQ -■■ ■U 0IDT fdd. inirn^-* - ■- D Q tU J3 5101C03 1500 -- - --0 0 10C4 Edfivt 101LU4 】划-- - 1 MH « ■0 a 1005 trn«t 101DD5IEEE -— —iLi—Dn庁撐:■; 95 -3创HP :a:APSrjuN3. pc1插入交换机第5 口,pc2插入交换机第2口。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验十八、交换机端口与MAC绑定一、 实验目的1、了解什么是交换机的MAC绑定功能;2、熟练掌握MAC与端口绑定的静态、动态方式。
二、 应用环境1、当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时,网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。
当网络的布置很随意时,任何用户只要插上网线,在任何位置都能够上网,这虽然使正常情况下的大多数用户很满意,但一旦发生网络故障,网管人员却很难快速准确定位根源主机,就更谈不上将它隔离了。
端口与地址绑定技术使主机必须与某一端口进行绑定,也就是说,特定主机只有在某个特定端口下发出数据帧,才能被交换机接收并传输到网络上,如果这台主机移动到其他位置,则无法实现正常的连网。
这样做看起来似乎对用户苛刻了一些,而且对于有大量使用便携机的员工的园区网并不适用,但基于安全管理的角度考虑,它却起到了至关重要的作用。
2、为了安全和便于管理,需要将MAC地址与端口进行绑定,即,MAC地址与端口绑定后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入。
该端口可以允许其他MAC地址的数据流通过。
但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭,因此在取消lock之前,其他MAC的主机也不能从这个端口进入。
三、 实验设备1、DCS-3926S交换机1台2、PC机2台3、Console线1根4、直通网线2根四、 实验拓扑五、 实验要求1、交换机IP地址为192.168.1.11/24,PC1的地址为192.168.1.101/24;PC2的地址为192.168.1.102/24。
2、在交换机上作MAC与端口绑定;3、PC1在不同的端口上ping 交换机的IP,检验理论是否和实验一致。
4、PC2在不同的端口上ping 交换机的IP,检验理论是否和实验一致。
六、 实验步骤第一步:得到PC1主机的mac地址Microsoft Windows XP [版本 5.1.2600](C) 版权所有 1985-2001 Microsoft Corp.C:\>ipconfig/allWindows IP ConfigurationHost Name . . . . . . . . . . . . : xuxpPrimary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : BroadcastIP Routing Enabled. . . . . . . . : NoWINS Proxy Enabled. . . . . . . . : NoEthernet adapter 本地连接:Connection-specific DNS Suffix . :Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti onPhysical Address. . . . . . . . . : 00-A0-D1-D1-07-FFDhcp Enabled. . . . . . . . . . . : YesAutoconfiguration Enabled . . . . : YesAutoconfiguration IP Address. . . : 169.254.27.232Subnet Mask . . . . . . . . . . . : 255.255.0.0Default Gateway . . . . . . . . . :C:\>我们得到了PC1主机的mac地址为:00-A0-D1-D1-07-FF。
第二步:交换机全部恢复出厂设置,配置交换机的IP地址switch(Config)#interface vlan 1switch(Config-If-Vlan1)#ip address 192.168.1.11 255.255.255.0switch(Config-If-Vlan1)#no shutswitch(Config-If-Vlan1)#exitswitch(Config)#第三步:使能端口的MAC地址绑定功能switch(Config)#interface ethernet 0/0/1switch(Config-Ethernet0/0/1)#switchport port-securityswitch(Config-Ethernet0/0/1)#第四步:添加端口静态安全MAC地址,缺省端口最大安全MAC地址数为1switch(Config-Ethernet0/0/1)#switchport port-security mac-address 00-a0-d1-d1-07-ff验证配置:switch#show port-securitySecurity Port MaxSecurityAddr CurrentAddr Security Action(count) (count)--------------------------------------------------------------------------- Ethernet0/0/1 1 1 Protect --------------------------------------------------------------------------- Max Addresses limit per port :128Total Addresses in System :1switch#switch#show port-security addressSecurity Mac Address Table--------------------------------------------------------------------------- Vlan Mac Address Type Ports1 00-a0-d1-d1-07-ff SecurityConfigured Ethernet0/0/1--------------------------------------------------------------------------- Total Addresses in System :1Max Addresses limit in System :128switch#第五步:使用ping命令验证PC 端口 Ping 结果 原因PC1 0/0/1 192.168.1.11 通PC1 0/0/7 192.168.1.11 不通PC2 0/0/1 192.168.1.11 通PC2 0/0/7 192.168.1.11 通第六步:在一个以太口上静态捆绑多个MACSwitch(Config-Ethernet0/0/1)#switchport port-security maximum 4Switch(Config-Ethernet0/0/1)#switchport port-security mac-address aa-aa-aa-aa-aa-aaSwitch(Config-Ethernet0/0/1)#switchport port-security mac-address aa-aa-aa-bb-bb-bbSwitch(Config-Ethernet0/0/1)#switchport port-security mac-address aa-aa-aa-cc-cc-cc验证配置:switch#show port-securitySecurity Port MaxSecurityAddr CurrentAddr Security Action(count) (count)--------------------------------------------------------------------------- Ethernet0/0/1 4 4 Protect ---------------------------------------------------------------------------Max Addresses limit per port :128Total Addresses in System :4switch#show port-security addressSecurity Mac Address Table--------------------------------------------------------------------------- Vlan Mac Address Type Ports1 00-a0-d1-d1-07-ff SecurityConfigured Ethernet0/0/11 aa-aa-aa-aa-aa-aa SecurityConfigured Ethernet0/0/11 aa-aa-aa-bb-bb-bb SecurityConfigured Ethernet0/0/11 aa-aa-aa-cc-cc-cc SecurityConfigured Ethernet0/0/1--------------------------------------------------------------------------- Total Addresses in System :4Max Addresses limit in System :128switch#上面使用的都是静态捆绑MAC的方法,下面介绍动态mac地址绑定的基本方法,首先清空刚才做过的捆绑。
第七步:清空端口与MAC绑定switch(Config)#switch(Config)#int ethernet 0/0/1switch(Config-Ethernet0/0/1)#no switchport port-securityswitch(Config-Ethernet0/0/1)#exitswitch(Config)#exit验证配置:switch#show port-securitySecurity Port MaxSecurityAddr CurrentAddr Security Action(count) (count)--------------------------------------------------------------------------- --------------------------------------------------------------------------- Max Addresses limit per port :128Total Addresses in System :0第八步:使能端口的MAC地址绑定功能,动态学习MAC并转换switch(Config)#interface ethernet 0/0/1switch(Config-Ethernet0/0/1)#switchport port-securityswitch(Config-Ethernet0/0/1)#switchport port-security lockswitch(Config-Ethernet0/0/1)#switchport port-security convertswitch(Config-Ethernet0/0/1)#exit验证配置:switch#show port-security addressSecurity Mac Address Table--------------------------------------------------------------------------- Vlan Mac Address Type Ports1 00-a0-d1-d1-07-ff SecurityConfigured Ethernet0/0/1--------------------------------------------------------------------------- Total Addresses in System :1Max Addresses limit in System :128switch#第九步:使用ping命令验证PC 端口 Ping 结果 原因PC1 0/0/1 192.168.1.11 通PC1 0/0/7 192.168.1.11 不通PC2 0/0/1 192.168.1.11 不通PC2 0/0/7 192.168.1.11 通七、 注意事项和排错1、如果出现端口无法配置MAC地址绑定功能的情况,请检查交换机的端口是否运行了Spanning-tree,802.1x,端口汇聚或者端口已经配置为Trunk端口。