|
实验一:交换机MAC地址与端口的绑定
1 实验目的 (1)理解二层交换机MAC地址绑定技术的意义及作用。 (2)掌握配置交换机MAC地址绑定的方法
2 实验设备 计算机(>1台);交换机(1台), Console电缆(1根),直连双绞线(>1根)
3 实验内容
通常交换机支持动态学习 MAC 地址的功能,每个端口可以动态学习多个 MAC地址,从而实现端口之间已知 MAC地址数据流的转发。当 MAC地址老化后,则进行广播处理。也就是说,交换机某接口上学习到某 MAC地址后可以进行转发,如果将连线切换到另外一个接口上交换机将重新学习该 MAC地址,从而在新切换的接口上实现数据转发。 但是,有些情况下为了安全和便于管理,需要将 MAC地址与端口进行绑定,端口只允许已绑定 MAC的数据流的转发。即,MAC地址与端口绑定后,该 MAC地址的数据流只能从绑定端口进入,其他没有与端口绑定的 MAC地址的数据流不可以从该端口进入。 MAC地址与端口的绑定可以有效防止陌生计算机的接入,也可以有效防止人为随意调换交换机端口。
配置命令: 1. 使能端口的 MAC地址绑定功能 格式(端口配置模式):switchport port-security 2. 端口 MAC地址的锁定 a)格式(端口配置模式):switchport port-security lock 解释:锁定端口。当端口锁定之后,端口的 MAC地址学习功能将被关闭; b)格式(端口配置模式):switchport port-security convert 解释:将端口学习到的动态安全 MAC 地址转化为静态安全 MAC地址。 c)格式(端口配置模式):switchport port-security timeout <value> 解释:打开端口锁定定时器功能 d) 格式(端口配置模式):switchport port-security mac-address <mac-address> 解释:添加静态安全 MAC地址
3. MAC地址绑定的属性配置 a)格式(端口配置模式):switchport port-security maximum <value> 解释:设置交换机端口最大安全 MAC 地址数 b)格式(端口配置模式):switchport port-security violation {protect | shutdown} 解释:设置当违反了端口的绑定规则时,对端口的处理方式。protect方式当违反规则后,对数据帧作简单抛弃处理;shutdown方式则会使得端口进shutdown掉。
实验步骤: 图1:MAC地址绑定拓扑图 1、实验前测试即准备:配置PC0 IP为192.168.0.1;PC1 ip为192.168.0.2。PC0连接交换机FastEthernet 0/1口;PC1连接交换机FastEthernet 0/2口。
在PC0上使用ipconfig /all命令得出其MAC地址为00E0.A360.C454 同理得PC1的MAC地址为:000D.BDAD.DACD
在PC0上ping PC1的结果为:
2、配置MAC地址绑定 Switch>enable Switch#configure t Switch(config)#interface f0/1 Switch(config-if)#switchport mode access 将f0/1端口配置为接入模式 Switch(config-if)#switchport port-security 打开MAC地址绑定功能 Switch(config-if)#switchport port-security mac-address 00E0.A360.C454 在f0/1端口上绑定静态安全MAC地址为00E0.A360.C454 Switch(config-if)#switchport port-security violation protect 配置端口绑定违反处理为protect方式
使用show port-secutity address命令显示绑定结果: 测试连接: 1、在PC0上ping PC1的结果为: 测试结果表明:PC0可以访问PC1 2、在交换机的f0/1端口上更换主机为PC2,其MAC地址为:0060.3E4D.02A2。IP地址配置成为与PC0相同的ip地址:192.168.0.1。 连接图为:
在PC2上PING PC1的结果为: 表明PC2不能接入交换机。
小节:1.通过手动端口绑定MAC应用的安全协议。 2.通过自学习。 |
|
|
来自: 小竹子lbamboo > 《路由交换》
