实验 二层交换机端口与MAC地址的绑定(教师用)
MAC地址与端口绑定详解
MAC地址与端口绑定详解在网络安全越来越重要的今天,高校和企业对于局域网的安全控制也越来越严格,普遍采用的做法之一就是IP地址、网卡的MAC 地址与交换机端口绑定,但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。
我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。
端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机;能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既可以手工配置,也可以从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候,交换机会挂起或者禁用该端口等等。
一、首先必须明白两个概念:可靠的MAC地址。
配置时候有三种类型:静态可靠的MAC地址:在交换机接口模式下手动配置,这个配置会被保存在交换机MAC地址表和运行配置文件中,交换机重新启动后不丢失(当然是在保存配置完成后),具体命令如下:Switch(config-if)#switchport port-security mac-address Mac 地址动态可靠的MAC地址:这种类型是交换机默认的类型。
在这种类型下,交换机会动态学习MAC地址,但是这个配置只会保存在MAC 地址表中,不会保存在运行配置文件中,并且交换机重新启动后,这些MAC地址表中的MAC地址自动会被清除。
黏性可靠的MAC地址:这种类型下,可以手动配置MAC地址和端口的绑定,也可以让交换机自动学习来绑定,这个配置会被保存在MAC地址中和运行配置文件中,如果保存配置,交换机重起动后不用再自动重新学习MAC地址,虽然黏性的可靠的MAC地址可以手动配置,但是CISCO官方不推荐这样做。
具体命令如下:Switch(config-if)#switchport port-security mac-address sticky其实在上面这条命令配置后并且该端口得到MAC地址后,会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address stickyMac地址这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。
交换机端口绑定ip和mac地址
交换机端口绑定ip和mac地址IP地址绑定『配置环境参数』用户的IP地址10.1.1.2,MAC地址0000-0000-0001『组网需求』对合法的用户进行ip+mac+端口的绑定,防止恶意用户通过更换自己的地址上网的行为。
2数据配置步骤『IP+MAC+端口绑定流程』三层交换机中目前只有S3526系列支持使用AM命令来进行IP地址和端口的绑定。
并且如果S3526系列交换机要采用AM命令来实现绑定功能,则交换机必须是做三层转发(即用户的网关应该在该交换机上)。
【采用DHCP-SECURITY来实现】1.配置端口的静态MAC地址[SwitchA]mac-address static 0000-0000-0001 interface e0/1 vlan 12.配置IP和MAC对应表[SwitchA]dhcp-security 10.1.1.2 0000-0000-0001 static3.配置dhcp-server组号(否则不允许执行下一步,此dhcp-server组不用在交换机上创建也可) [SwitchA-Vlan-interface1]dhcp-server 14.使能三层地址检测[SwitchA-Vlan-interface1]address-check enable【采用AM命令来实现】1.使能AM功能[SwitchA]am enable2.进入端口视图[SwitchA]vlan 103.将E0/1加入到vlan10[SwitchA-vlan10]port Ethernet 0/14.创建(进入)vlan10的虚接口[SwitchA]interface Vlan-interface 105.给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.06.进入E0/1端口[SwitchA]interface Ethernet 0/17.该端口只允许起始IP地址为10.1.1.2的10个IP地址上网[SwitchA-Ethernet0/1]am ip-pool 10.1.1.2 10通过ACL实现的各种绑定的配置1功能需求及组网说明各种绑定的配置『配置环境参数』1.三层交换机SwitchA有两个端口ethetnet 0/1、ethernet 0/2分别属于vlan 1、vlan 22.vlan 1、vlan 2的三层接口地址分别是1.0.0.1/8、2.0.0.1/8,上行口G 1/1是trunk端口,并允许vlan 3 通过『组网需求』1.静态mac、端口捆绑:端口ethetnet 0/1仅仅允许pc1(mac:0.0.1)接入。
关于二层交换MAC与端口绑定的方法
关于二层交换MAC与端口绑定的方法利用交换机的Port-Security功能实现以下是一个配置实例:switch#config tswitch(config)#int f0/1switch(config-if)#switchport mode access//设置交换机的端口模式为access模式,注意缺省是dynamic//dynamic模式下是不能使用Port-security功能switch(config-if)#switchport port-security//打开port-security功能switch(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx//xxxx.xxxx.xxxx就是你要关联的mac地址switch(config-if)#switchport port-security maximum 1//其实缺省就是1switch(config-if)#switchport port-security violationshutdown//如果违反规则,就shutdown端口//这个时候你show int f0/1的时候就会看到接口是err-disable 的附:switchport port-security命令语法Switch(config-if)#switchport port-security ?aging Port-security aging commandsmac-address Secure mac address//设置安全MAC地址maximum Max secure addresses//设置最大的安全MAC地址的数量,缺省是1violation Security violation mode//设置违反端口安全规则后的工作,缺省是shutdownc2950#configure terminalc2950(config)#mac access-list extended mac10c2950(config-ext-nacl)#permit host 0012.2713.3f2d anyc2950(config-ext-nacl)#permit any host 0012.2713.3f2d这时出现错误:%Error: The field sets of all the ACEs in an ACL on Ethernet interface should match.Please refer to the Software Configuration Guide to understand one mask restriction for ACLs on Ethernet interfaceswitch#mac-address-table static 1234.5678.9012 vlan 10 fa0/1,表示将静态MAC地址与VLAN 10中的端口1绑定。
交换机MAC与IP地址的绑定
实验二十:交换机MAC与IP地址的绑定DCRS-5526S>enDCRS-5526S#conf tDCRS-5526S(Config)#hostname switch1switch1(Config)#enable password level adminCurrent password:New password:***Confirm new password:***switch1(Config)#interface vlan 1switch1(Config-If-Vlan1)#ip address 10.7.11.11 255.255.0.0switch1(Config-If-Vlan1)#no shutswitch1(Config-If-Vlan1)#exitswitch1(Config)#switch1(Config)#interface ethernet 0/0/1switch1(Config-Ethernet0/0/1)#am mac-ip-pool 00-09-73-8C-19-91 10.7.11.10 switch1(Config-Ethernet0/0/1)#exitswitch1(Config)#show am> Unrecognized command or illegal parameter!switch1(Config)#exitswitch1#show amGlobal AM is enabledInterface Ethernet0/0/1am mac-ip-pool 00-09-73-8C-19-91 10.7.11.10 USER_CONFIGswitch1#conf tswitch1(Config)#interface ethernet 0/0/2switch1(Config-Ethernet0/0/2)#no am portswitch1(Config-Ethernet0/0/2)#interface ethernet 0/0/3 - 20> Unrecognized command or illegal parameter!switch1(Config-Ethernet0/0/2)#exitswitch1(Config)#interface ethernet 0/0/3 - 20> Unrecognized command or illegal parameter!switch1(Config)#interface ethernet 0/0/3 -20> Unrecognized command or illegal parameter!switch1(Config)#interface ethernet 0/0/3-20switch1(Config-Port-Range)#no am portswitch1(Config-Port-Range)#show am> Unrecognized command or illegal paramswitch1(Config-Port-Range)#exitswitch1(Config)#exitswitch1#show amGlobal AM is enabledInterface Ethernet0/0/20 am is disableInterface Ethernet0/0/19 am is disableInterface Ethernet0/0/18 am is disableInterface Ethernet0/0/17 am is disableInterface Ethernet0/0/16 am is disableInterface Ethernet0/0/15 am is disableInterface Ethernet0/0/14 am is disableInterface Ethernet0/0/13 am is disableInterface Ethernet0/0/12 am is disableInterface Ethernet0/0/11 am is disableInterface Ethernet0/0/10 am is disableInterface Ethernet0/0/9 am is disableInterface Ethernet0/0/8 am is disableInterface Ethernet0/0/7 am is disableInterface Ethernet0/0/6 am is disableInterface Ethernet0/0/5 am is disableInterface Ethernet0/0/4 am is disableInterface Ethernet0/0/3 am is disableInterface Ethernet0/0/2 am is disableInterface Ethernet0/0/1am mac-ip-pool 00-09-73-8C-19-91 10.7.11.10 USER_CONFIG switch1#。
实验一:MAC地址绑定,端口汇聚
2020/5/13
实验一:MAC地址绑定,端口汇聚,端口 镜像
一、交换机端口聚合配置 二、交换机MAC地址绑定 三、交换机端口镜像
2020/5/13
一、交换机端口聚合配置
• 【实验目的】 1、理解链路聚合的配置及原理; 2、掌握增加交换机之间的传输带宽并实现链
路冗余备份的方法。
fastethernet 0/23-24 switchA(config-if)#Port-group 1 验证:验证接口fastethernet 0/23和0/24属于
AG1
2020/5/13
一、交换机端口聚合配置
• 步骤3:交换机B的基本配置 同交换机A的配置步骤
• 步骤4:验证当交换机之间的一条链路断开时,PC1与 PC2仍能互相通信。 C:\>ping 192.168.10.30 –t
• 【实验拓扑】
F0/3
172.16.1.55
2020/5/13
二、交换机端口安全配置
• 步骤1.配置交换机端口的最大连接数限制
Switch#configure terminal
switch(config)#interface range fastethernet 0/123 进入一组端口配置模式
10 验证:验证已创建了Vlan10,并将0/5端口划
分到了Vlan10中。
2020/5/13
一、交换机端口聚合配置
• 步骤2:在交换机SwitchA上配置聚合端口 switchA(config)#interface aggregateport 1 switchA(config-if)#Switchport mode trunk switchA(config-if)# Exit switchA(config)#Interface range
2019年实验一:MAC地址绑定,端口汇聚.ppt
➢ Restrict 当违例产生时,将发送一个Trap通知。 ➢ Shutdown 当违例产生时,将关闭端口并发送一个Trap
通知。 当端口因违例而被关闭后,在全局配置模式下使用命令 errdisable recovery来将接口从错误状态恢复过来。
了Vlan10中。 switchA#Show vlan id 10
一、交换机端口聚合配置
步骤2:在交换机SwitchA上配置聚合端口 switchA(config)#interface aggregateport 1 switchA(config-if)#Switchport mode trunk switchA(config-if)# Exit switchA(config)#Interface range fastethernet
【背景描述】
➢ 假设企业采用两台交换机组成一个局域网,由于很多 数据流量是跨过交换机进行转发的,为了提高带宽, 你在两台交换机之间连接了两条网线,希望能够提高 链路带宽,提供冗余链路。
【实验设备】
➢ S2126G(2台),PC(2台)、直连线(4条)
一、交换机端口聚合配置
技术原理
➢ 端口聚合(Aggregate-port)又称链路聚合,是指两台交 换机之间在物理上将多个端口连接起来,将多条链路聚 合成一条逻辑链路。从而增大链路带宽,解决交换网络 中因带宽引起的网络瓶颈问题。多条物理链路之间能够 相互冗余备份,其中任意一条链路断开,不会影响其他 链路的正常转发数据。
0/23-24 switchA(config-if)#Port-group 1 验证:验证接口fastethernet 0/23和0/24属于AG1 switchA#Show aggregateport 1 summary
2019年实验一:MAC地址绑定,端口汇聚.ppt
➢ S2126(1台)、直连线(1条)、PC(1台)
二、交换机端口安全配置
技术原理
交换机端口安全功能,是指针对交换机的端口进行安全 属性的配置,从而控制用户的安全接入。交换机端口安 全主要有两种类型:一是限制交换机端口的最大连接数, 二是针对交换机端口进行MAC地址、IP地址的绑定。
验证测试:查看交换机安全绑定配置
switch#show port-security address
二、交换机端口安全配置
注意事项 1. 交换机端口安全功能只能在ACCESS接口进行配
置 2. 交换机最大连接数限制取值范围是1~128,默认
是128. 3. 交换机最大连接数限制默认的处理方式是
protect。
注意事项: 1、只有同类型端口才能聚合为一个AG端口。 2、所有物理端口必须属于同一个VLAN。 3、在锐捷交换机上最多支持8个物理端口聚合为一个AG。 4、在锐捷交换机上最多支持6组聚合端口。
实验一:交换机端口聚合及端口安全配置
一、交换机端口聚合配置 二、交换机端口安全配置
二、交换机端口安全配置
0/23-24 switchA(config-if)#Port-group 1 验证:验证接口fastethernet 0/23和0/24属于AG1 switchA#Show aggregateport 1 summary
一、交换机端口聚合配置
步骤3:交换机B的基本配置 同交换机A的配置步骤
步骤4:验证当交换机之间的一条链路断开时,PC1与 PC2仍能互相通信。 C:\>ping 192.168.10.30 –t
➢ 端口聚合遵循IEEE802.3ad协议的标准。
实现功能
➢ 增加交换机之间的传输带宽,并实现链路冗余备份。
2-2 二层IP-MAC绑定操作说明
说明:二层IP/MAC绑定可以防止IP被人盗用,从而不会出现没有上网权限的人盗用有上网权限的IP,进行冒充他人身份上网的情况。
1、首先扫描网络中的IP和MAC地址,并导入到用户列表中。
用户管理—用户导入—IP:
勾选“开机设备”,点击扫描。
这样会出现IP地址和MAC地址:
再手工输入用户名,点击导入,就可以导入到设备的组织管理下。
注意:(1)如果网络中的电脑没有开机,将不会被扫描到。
漏掉的少量电脑可以直接到组织管理进行手工建立用户;(2)导入完毕后,请到用户管理—组织管理中将“IP临时用户”组下面的用户全部删除。
2、进行二层IP/MAC绑定
用户管理—组织管理:
点击ROOT,右边出现我们建立的用户列表
将所有用户选中,点击操作下面的“二层IP/MAC绑定”
3、对已经建立的用户组织进行应用控制策略设定
根据常规的应用控制策略方式来进行设定即可。
比如阻塞这部分用户上QQ等。
注意设备隐含的一条最低优先级的规则是:允许任何用户上任何应用/网页。
所以一般我们所作的策略,是要阻塞XX用户使用XX应用/网页。
4、对未分配的IP,禁止使用任何应用
在我们手工建立用户列表并绑定后,属于已绑定范围内的IP别人无法盗用,但是未绑定的IP可能还会被人盗用。
有的用户可能自己会乱改IP,所以要设定一条应用控制策略,禁止未分配IP上任何用户。
未分配IP会出现在系统内置的“IP临时用户”中,所有做一条策略阻塞“IP临时用户”上网:。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
模块六 二层交换机端口与MAC 地址绑定【场景构建】在日常工作中,经常会发生用户随意插拔交换机上的网线,给网管员在网络管理上带来一定的不便。
同时也会出现在一个交换机端口下连接另一个Hub 或交换机,导致网络线路的拥堵。
当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时,网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。
当网络的布置很随意时,任何用户只要插上网线,在任何位置都能够上网,这虽然使正常情况下的大多数用户很满意,但一旦发生网络故障,网管人员却很难快速准确定位根源主机。
希望通过一定的方法,固定每台计算机连接的交换机端口,方便网管员日常的维护与更新。
[实验目的]1、 了解什么是交换机的MAC 绑定功能;2、 熟练掌握MAC 与端口绑定的静态、动态方式。
【知识准备】通过端口绑定特性,网络管理员可以将用户的MAC 地址和IP 地址绑定到指定的端口上。
进行绑定操作后,交换机只对从该端口收到的指定MAC 地址和IP 地址的用户发出的报文进行转发,提高了系统的安全性,增强了对网络安全的监控。
我们通常说的MAC 地址与交换机端口绑定其实就是交换机端口安全功能。
端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机;能根据MAC 地址确定允许访问的设备;允许访问的设备的MAC 地址既可以手工配置,也可以从交换机“学到”;当一个未批准的MAC 地址试图访问端口的时候,交换机会挂起或者禁用该端口等等。
【实验一】 二层交换机端口静态绑定MAC 地址1.1 实验设备1、2950-24交换机1台2、PC 机2台3、交叉线1根4、直通网线2根1.2 组网图PC1PC2SW01.3 实验设备IP 地址及要求PC1连接F0/1PC2连接F0/2端口,并且在F0/2上将PC2的MAC地址绑定,PC2能PING通交换机。
若将PC1更换到F0/2上,则不能PING通交换机。
同理PC2更换到F0/1上,也不能PING通交换机。
1.4配置过程和解释PC机上的IP地址请自行设置完成。
第一步:得到PC1主机的mac地址PC>ipconfig /allPhysical Address................: 00E0.A323.5CE1IP Address......................: 192.168.1.1Subnet Mask.....................: 255.255.255.0Default Gateway.................: 0.0.0.0DNS Servers.....................: 0.0.0.0我们得到了PC1主机的mac地址为:00E0.A323.5CE1第二步:配置交换机的IP地址Switch(config)#int vlan 1Switch(config-if)#ip add 192.168.1.11 255.255.255.0Switch(config-if)#no shutdownSwitch(config-if)#exit第三步:使能F0/1端口的MAC地址绑定功能Switch(Config)#interface F0/1Switch(config-if)#switchport mode access将端口模式设置为access模式Switch(config-if)#switchport port-security命令:switchport port-securityno switchport port-security功能:使能端口MAC地址绑定功能;本命令的no操作为关闭端口MAC地址绑定功能。
命令模式:端口配置模式缺省情况:交换机端口不打开MAC地址绑定功能。
使用指南:MAC地址绑定功能与802.1x、Spanning Tree、端口汇聚功能存在互斥关系,因此如果要打开端口的MAC地址绑定功能,就必须关闭端口上的802.1x、Spanning Tree、端口汇聚功能,且打开MAC地址绑定功能的端口不能是Trunk口。
Switch(config-if)#第四步:添加端口静态安全MAC地址,缺省端口最大安全MAC地址数为1 Switch(config-if)#switchport port-security mac-address 00E0.A323.5CE1命令:switchport port-security mac-address <mac-address>no switchport port-security mac-address <mac-address>功能:添加静态安全MAC地址;本命令的no操作为删除静态安全MAC地址。
命令模式:端口配置模式参数:<mac-address>为添加/删除的MAC地址。
使用指南:端口必须使能MAC地址绑定功能之后才能添加端口静态安全MAC地址。
第五步:配置违反MAC安全采取的措施Switch(config-if)#switchport port-security violation restrict命令:switchport port-security violation {protect | restrict | shutdown }no switchport port-security violation功能:当超过设定MAC地址数量的最大值,或访问该端口的设备MAC地址不是这个MAC地址表中该端口的MAC地址,或同一个VLAN中一个MAC地址被配置在几个端口上时,就会引发违反MAC地址安全。
命令模式:端口配置模式参数:protect(保护模式):丢弃数据包,不发警告。
restrict(限制模式):丢弃数据包,发警告,发出SNMP trap,同时被记录在syslog日志里。
shutdown(关闭模式):这是交换机默认模式,在这种情况下端口立即变为err-disable状态,并且关掉端口灯,发出SNMP trap,同时被记录在syslog日志里,除非管理员手工激活,否则该端口失效。
查看配置:Switch#show port-security address命令:show port-security address [interface <interface-id>]功能:显示端口安全MAC地址。
命令模式:特权配置模式参数:<interface-id> 指定的显示端口。
使用指南:本命令显示端口安全MAC地址信息,如果不指定端口则显示所有端口安全MAC地址。
显Secure Mac Address Table-------------------------------------------------------------------------------Vlan Mac Address Type Ports Remaining ge(mins)---- ----------- ---- ----- -------------1 00E0.A323.5CE1 DynamicConfigured FastEthernet0/1------------------------------------------------------------------------------验证配置:PC1连接在F0/1上,使能F0/1端口Switch(config)#int f0/1Switch(config-if)#shutdownSwitch(config-if)#no shutdownPC1与交换机的PING命令测试结果PC>ping 192.168.1.11Pinging 192.168.1.11 with 32 bytes of data:Reply from 192.168.1.11: bytes=32 time=31ms TTL=255Reply from 192.168.1.11: bytes=32 time=31ms TTL=255Reply from 192.168.1.11: bytes=32 time=31ms TTL=255Reply from 192.168.1.11: bytes=32 time=31ms TTL=255Ping statistics for 192.168.1.11:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 31ms, Maximum = 31ms, Average = 31ms第六步:将PC2的MAC地址绑定在F0/2端口上配置命令与F0/1端口绑定PC1的MAC地址相同PC1连接在F0/2上,使能F0/2端口Switch(config)#int f0/2Switch(config-if)#shutdownSwitch(config-if)#no shutdownPC>ping 192.168.1.11Pinging 192.168.1.11 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Reply from 192.168.1.11: bytes=32 time=32ms TTL=255Ping statistics for 192.168.1.11:Packets: Sent = 4, Received = 1, Lost = 3 (75% loss), Approximate round trip times in milli-seconds:Minimum = 32ms, Maximum = 32ms, Average = 32ms1.5完整的配置文档Switch#sho runBuilding configuration...…………!interface FastEthernet0/1switchport mode accessswitchport port-securityswitchport port-security mac-address 00E0.A323.5CE1!interface FastEthernet0/2switchport mode accessswitchport port-securityswitchport port-security mac-address 00D0.FFA4.BEB3!interface FastEthernet0/3!…………interface FastEthernet0/24!interface Vlan1ip address 192.168.1.11 255.255.255.0!End【实验二】在一个端口上静态绑定多个MAC地址2.1实验设备1、2950-24交换机1台2、PC机4台3、交叉线1根4、直通网线4根2.2组网图PC1PC2PC3PC4SW02.3实验设备IP地址及要求将PC1、PC2、PC3端口上都能PING 通交换机,但更换为PC4后则不能PING通交换机。