7.动态实现MAC地址与端口绑定
CISCO交换机上实现MAC和端口、IP和端口、IP和MAC的绑定
看看下面的配置:
1.先建立两个访问控制列表,一个是关于MAC地址的,一个是关于IP地址的。
3550(config)#mac access-list extended mac-n
//配置一个命名的MAC地址访问控制列表,命名为mac-n
补:我们也可以通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
2950 (config-if-range)#switchport port-security mac-address violation restrict
2950 (config-if-range)#switchport port-security mac-address sticky
这样交换机的48个端口都绑定了,注意:在实际运用中要求把连在交换机上的PC机都打开,这样才能学到MAC地址,并且要在学到MAC地址后保存配置文件,这样下次就不用再学习MAC地址了,然后用show port-security address查看绑定的端口,确认配置正确。
3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。
关于服务器端口绑定错误,mac地址绑定的问题
Physical Address. . . . . . . . .后面就是 : 00-50-8D-7E-BF-32
2,解除他的绑定,其实后来证明了这一步是没有说明用的,因为IP-MAC绑定是学校搞的,自己解除了没有用.不过就当作知识学学吧。进入“MS-DOS方式”或“命令提示符”,开始-运行-CMD
查看文章
关于服务器端口绑定错误,mac地址绑定的问题2007年06月12日 星期二 16:55昨天从电信网换接学校的教育网,却连不上,锐捷认证提示说服务器端口绑定错误!其他的认证软件也都这么提示。回头一想,我的帐号给同学小杰登录过,IP绑定在他的MAC地址上了。
解决步骤:
1,查看小杰的mac地址 开始-运行-CMD-ipconfig /all 里面有ip等各种信息
在命令提示符下输入命令:ARP -d 218.197.193.110 00-50-8D-7E-BF-32,即可把MAC地址和IP地址解除捆绑。 但是我还是连不上
3,修改我的mac地址,改成和他一样的,有3个方法
(1)修改注册表
运行Windows的注册表编辑器,展开“HKEY_LOCAL_MACHINE\System\Current ControlSet\Services\Class\Net”,会看到类似“0000”、“0001”、“0002”的子键。从“0000”子键开始点击,依次查找子键下的“DriverDesc”键的内容,直到找到与我们查找的目标完全相同的网卡注册表信息为止。
当找到正确的网卡后,点击下拉式菜单“编辑/新建/字符串”,串的名称为“Networkaddress”,在新建的“Networkaddress”串名称上双击鼠标就可以输入数值了。输入你想指定的新的MAC地址值。新的MAC地址应该是一个12位的十六进制数字或字母,其间没有“-”,类似“000000000000”的这样的数值(注意,在Windows 98和Windows 2000/XP中具体键值的位置稍有不同,大家可通过查找功能来寻找)。
实验18端口和MAC地址绑定实验
实验十八、交换机端口与MAC绑定一、 实验目的1、了解什么是交换机的MAC绑定功能;2、熟练掌握MAC与端口绑定的静态、动态方式。
二、 应用环境1、当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时,网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。
当网络的布置很随意时,任何用户只要插上网线,在任何位置都能够上网,这虽然使正常情况下的大多数用户很满意,但一旦发生网络故障,网管人员却很难快速准确定位根源主机,就更谈不上将它隔离了。
端口与地址绑定技术使主机必须与某一端口进行绑定,也就是说,特定主机只有在某个特定端口下发出数据帧,才能被交换机接收并传输到网络上,如果这台主机移动到其他位置,则无法实现正常的连网。
这样做看起来似乎对用户苛刻了一些,而且对于有大量使用便携机的员工的园区网并不适用,但基于安全管理的角度考虑,它却起到了至关重要的作用。
2、为了安全和便于管理,需要将MAC地址与端口进行绑定,即,MAC地址与端口绑定后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入。
该端口可以允许其他MAC地址的数据流通过。
但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭,因此在取消lock之前,其他MAC的主机也不能从这个端口进入。
三、 实验设备1、DCS-3926S交换机1台2、PC机2台3、Console线1根4、直通网线2根四、 实验拓扑五、 实验要求1、交换机IP地址为192.168.1.11/24,PC1的地址为192.168.1.101/24;PC2的地址为192.168.1.102/24。
2、在交换机上作MAC与端口绑定;3、PC1在不同的端口上ping 交换机的IP,检验理论是否和实验一致。
4、PC2在不同的端口上ping 交换机的IP,检验理论是否和实验一致。
六、 实验步骤第一步:得到PC1主机的mac地址Microsoft Windows XP [版本 5.1.2600](C) 版权所有 1985-2001 Microsoft Corp.C:\>ipconfig/allWindows IP ConfigurationHost Name . . . . . . . . . . . . : xuxpPrimary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : BroadcastIP Routing Enabled. . . . . . . . : NoWINS Proxy Enabled. . . . . . . . : NoEthernet adapter 本地连接:Connection-specific DNS Suffix . :Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti onPhysical Address. . . . . . . . . : 00-A0-D1-D1-07-FFDhcp Enabled. . . . . . . . . . . : YesAutoconfiguration Enabled . . . . : YesAutoconfiguration IP Address. . . : 169.254.27.232Subnet Mask . . . . . . . . . . . : 255.255.0.0Default Gateway . . . . . . . . . :C:\>我们得到了PC1主机的mac地址为:00-A0-D1-D1-07-FF。
MAC地址的动态绑定
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter本地连接:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti
switch(Config-Ethernet0/0/1)#switchport port-security lock
switch(Config-Ethernet0/0/1)#switchport port-security convert
switch(Config-Ethernet0/0/1)#exit
成绩教师签名年月日
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :
2.交换机全部恢复出厂设置,配置交换机的IP地址
switch(Config)#interface vlan 1
switch(Config-If-Vlan1)#ip address 192.168.1.11 255.255. . . . . . . . . : 00-A0-D1-D1-07-FF
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Autoconfiguration IP Address. . . : 169.254.27.232
MAC地址与端口绑定详解
MAC地址与端口绑定详解在网络安全越来越重要的今天,高校和企业对于局域网的安全控制也越来越严格,普遍采用的做法之一就是IP地址、网卡的MAC 地址与交换机端口绑定,但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。
我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。
端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机;能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既可以手工配置,也可以从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候,交换机会挂起或者禁用该端口等等。
一、首先必须明白两个概念:可靠的MAC地址。
配置时候有三种类型:静态可靠的MAC地址:在交换机接口模式下手动配置,这个配置会被保存在交换机MAC地址表和运行配置文件中,交换机重新启动后不丢失(当然是在保存配置完成后),具体命令如下:Switch(config-if)#switchport port-security mac-address Mac 地址动态可靠的MAC地址:这种类型是交换机默认的类型。
在这种类型下,交换机会动态学习MAC地址,但是这个配置只会保存在MAC 地址表中,不会保存在运行配置文件中,并且交换机重新启动后,这些MAC地址表中的MAC地址自动会被清除。
黏性可靠的MAC地址:这种类型下,可以手动配置MAC地址和端口的绑定,也可以让交换机自动学习来绑定,这个配置会被保存在MAC地址中和运行配置文件中,如果保存配置,交换机重起动后不用再自动重新学习MAC地址,虽然黏性的可靠的MAC地址可以手动配置,但是CISCO官方不推荐这样做。
具体命令如下:Switch(config-if)#switchport port-security mac-address sticky其实在上面这条命令配置后并且该端口得到MAC地址后,会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address stickyMac地址这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。
实验十一 二层交换机端口与MAC地址的动态绑定(学生用)
实验十一二层交换机端口与MAC地址动态绑定【场景构建】在日常工作中,经常会发生用户随意插拔交换机上的网线,给网管员在网络管理上带来一定的不便。
同时也会出现在一个交换机端口下连接另一个Hub或交换机,导致网络线路的拥堵。
当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时,网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。
当网络的布置很随意时,任何用户只要插上网线,在任何位置都能够上网,这虽然使正常情况下的大多数用户很满意,但一旦发生网络故障,网管人员却很难快速准确定位根源主机。
希望通过一定的方法,固定每台计算机连接的交换机端口,方便网管员日常的维护与更新。
[实验目的]1、了解什么是交换机的MAC绑定功能;2、熟练掌握MAC与端口绑定的静态、动态方式。
【知识准备】通过端口绑定特性,网络管理员可以将用户的MAC 地址和IP 地址绑定到指定的端口上。
进行绑定操作后,交换机只对从该端口收到的指定MAC 地址和IP 地址的用户发出的报文进行转发,提高了系统的安全性,增强了对网络安全的监控。
我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。
端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机;能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既可以手工配置,也可以从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候,交换机会挂起或者禁用该端口等等。
【实验】二层交换机端口动态绑定MAC地址1.1实验设备1、2950-24交换机1台2、PC机4台3、交叉线1根4、直通网线4根1.2组网图PC1PC2PC3PC4SW01.3实验设备IP在F0/1通VLAN的IP地址。
当学习数超过设定学习的最大值,端口将不再学习新的MAC地址,并触发安全规则,关闭端口。
1.4 配置步骤第一步:得到PC1主机的mac地址第二步:配置交换机的IP地址第三步:使能F0/1端口的MAC地址绑定功能第四步:动态添加端口安全MAC地址,端口最大安全MAC地址数为3第五步:配置违反MAC安全采取的措施(关闭端口)1.5实验验证1、交换机上端口绑定的信息。
MAC地址和端口的绑定
MAC地址与交换机端口的绑定
12网络3班
MAC地址与交换机端口的绑定
12网络3班
动态绑定
1
2
3
连接拓扑
完成绑定
特点分析 1.绑定命令 2.查看方法 3.验证方法 4.删除绑定
MAC地址与交换机端口的绑定
12网络3班
你准备让韩老师怎么做?
静态绑定
动态绑定
MAC地址与交换机端口的绑定
12网络3班
作业:
1. 如何手动设置 IP 地址?手动设置 IP 地址有何弊端? 2. 如何自动获取 IP 地址? 3. 如何释放已有的 IP 地址获取新的IP地址? 4. 完成实训报告的填写。
12网络3班
MAC地址与交换机端口的绑定
中小型网站建设与网络搭建——任务7
学习目标
1 2
理解MAC地址与端口进行绑定的意义 熟练掌握MAC地址与端口的静态绑定
3
熟练掌握MAC地址和端口的动态绑定
MAC地址与交换机端口的绑定
12网络3班
静态绑定
1
2
3
连接拓扑
完成绑定
特点分析 1.绑定命令 2.查看方法 3.验证方法 4.删除绑定
韩老ቤተ መጻሕፍቲ ባይዱ的特别求助:
由于学校老师都使用笔记本移动办公,同 时学校里经常有外来人员携带笔记本进入学校。 为安全和便于管理起见,学校领导要求网管员 韩老师改造目前网络,使教师机只能在自己的 固定工位才可以上网,而其他外来电脑在学校 任何地方都无法上网。如何解决这一问题,韩 老师向我们进行求助。
MAC地址与交换机端口的绑定
端口安全实验报告总结(3篇)
第1篇一、实验背景随着信息技术的飞速发展,网络安全问题日益突出。
端口作为网络通信的通道,其安全性直接关系到整个网络的安全。
为了提高网络安全性,防止未授权访问和攻击,本次实验旨在通过华为eNSP平台,学习并掌握端口安全配置的方法,提高网络安全防护能力。
二、实验目的1. 理解端口安全的基本概念和作用。
2. 掌握华为eNSP平台中端口安全的配置方法。
3. 熟悉端口安全策略的设置和应用。
4. 提高网络安全防护能力。
三、实验环境1. 实验平台:华为eNSP2. 网络设备:华为S5700交换机3. 实验拓扑:实验拓扑图4. 实验设备:计算机、路由器等四、实验内容1. 端口安全基本概念端口安全(Port Security)是一种防止未授权访问和攻击的安全策略,通过对端口进行MAC地址绑定,限制端口接入的设备数量,从而保障网络的安全。
2. 端口安全配置方法(1)静态MAC地址绑定静态MAC地址绑定是指将端口的MAC地址与指定的MAC地址进行绑定,只有绑定的MAC地址才能通过该端口进行通信。
(2)动态MAC地址绑定动态MAC地址绑定是指系统自动学习端口接入设备的MAC地址,并将其绑定到端口上,实现动态管理。
(3)粘滞MAC地址绑定粘滞MAC地址绑定是指将动态学到的MAC地址转换为静态MAC地址,确保MAC地址的稳定性。
3. 端口安全策略设置(1)设置最大MAC地址数量限制端口接入的设备数量,防止未授权设备接入。
(2)设置MAC地址学习时间设置MAC地址学习时间,超过该时间未更新的MAC地址将被移除。
(3)设置违规行为处理方式设置违规行为处理方式,如关闭端口、报警等。
五、实验步骤1. 搭建实验拓扑,配置网络设备。
2. 在交换机端口上配置端口安全,设置最大MAC地址数量、MAC地址学习时间等。
3. 分别测试静态MAC地址绑定、动态MAC地址绑定和粘滞MAC地址绑定,观察效果。
4. 模拟违规行为,验证端口安全策略是否生效。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在模拟器中将设备如下图中连接起来并配置IP:
PC0----→ fa0/1 (192.168.10.10/24)PC1----→ fa0/11 (192.168.10.11/24)PC1----→(备用) (192.168.10.12/24)
下面我们用PC1pingPC0如下图:
可以看到是通的,我们使用show mac-address-tablel来看看:
Switch#show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 000a.416e.5768 DYNAMIC Fa0/11
1 0010.11a0.421a DYNAMIC Fa0/1
可以看到两个端口所对应的两台PC的MAC类型是动态的
下面我们来配置交换机:
Switch#config
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport port-security mac-address sticky (自动绑定MAC与端口)Switch(config-if)#exit
Switch(config)#exit
Switch#write
Building configuration...
[OK]
我们用show命令来看下:
Switch#show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
1 000a.416e.5768 DYNAMIC Fa0/11
1 0010.11a0.421a STATIC Fa0/1
可以看到fa0/1的端口已经被学习到了这样fa0/1端口将只能让MAC为0010.11a0.421a的PC通过,其他PC连接这个端口将不会连通,同时PC0可以在其他端口使用。
如下图:
可以看到PC2现在在fa0/1端口上但是却连不通。