交換機(jī)與端口的綁定方法_第1頁
交換機(jī)與端口的綁定方法_第2頁
交換機(jī)與端口的綁定方法_第3頁
交換機(jī)與端口的綁定方法_第4頁
交換機(jī)與端口的綁定方法_第5頁
已閱讀5頁,還剩3頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、. 一、原理 1、首先必須明白兩個概念: 可靠的MAC地址。設(shè)置時候有三種類型。 靜態(tài)可靠的MAC地址:在交換機(jī)接口模式下手動設(shè)置,這個設(shè)置會被保存在交換機(jī)MAC地址表和運行設(shè)置文件中,交換機(jī)重新啟動后不丟失(當(dāng)然是在保存設(shè)置完成后),具體命令如下: Switch(config-if)#switchport port-security mac-address Mac地址 動態(tài)可靠的MAC地址:這種類型是交換機(jī)默認(rèn)的類型。在這種類型下,交換機(jī)會動態(tài)學(xué)習(xí)MAC地址,不過這個設(shè)置只會保存在MAC地址表中,不會保存在運行設(shè)置文件中,并且交換機(jī)重新啟動后,這些MAC地址表中的MAC地址自動會被清除。 黏

2、性可靠的MAC地址:這種類型下,能手動設(shè)置MAC地址和端口的綁定,也能讓交換機(jī)自動學(xué)習(xí)來綁定,這個設(shè)置會被保存在MAC地址中和運行設(shè)置文件中,如果保存設(shè)置,交換機(jī)重起動后不用再自動重新學(xué)習(xí)MAC地址,雖然黏性的可靠的MAC地址能手動設(shè)置,不過CISCO官方不推薦這樣做。具體命令如下: Switch(config-if)#switchport port-security mac-address sticky 其實在上面這條命令設(shè)置后并且該端口得到MAC地址后,會自動生成一條設(shè)置命令 Switch(config-if)#switchport port-security mac-address st

3、icky Mac地址 這也是為何在這種類型下CISCO不推薦手動設(shè)置MAC地址的原因。 2、違反MAC安全采取的措施: 當(dāng)超過設(shè)定MAC地址數(shù)量的最大值,或訪問該端口的備MAC地址不是這個MAC地址表中該端口的MAC地址,或同一個VLAN中一個MA地址被設(shè)置在幾個端口上時,就會引發(fā)違反MAC地址安全,這個時候采取的措施有三種: 保護(hù)模式(protect):丟棄數(shù)據(jù)包,不發(fā)警告。 限制模式(restrict):丟棄數(shù)據(jù)包發(fā)警告,發(fā)出SNMP trap,同時被記錄在syslog日志里。 關(guān)閉模式(shutdown):這交換機(jī) 默認(rèn)模式,在這種情況下端口即時變?yōu)閑rr-disable狀態(tài),并且關(guān)掉端

4、口燈,發(fā)出SNMPtrap,同時被記錄在syslog日志里,除非管理員手工激活,否則該端口失效。具體命令下: Switch(config-if)#switchport port-security violation protect | restrict | shutdown 下面這個表一就是具體的對比 Violation Mode Traffic is forwarded Sends SNMP trap Sends syslog message Displays error message Shuts down port protect No No No No No restrict No Y

5、es Yes No No shutdown No Yes Yes No Yes 表一 設(shè)置端口安全時還要注意以下幾個問題: 端口安全僅僅設(shè)置在靜態(tài)Access端口;在trunk端口、SPAN端口、快速以太通道、吉比特以太通道端口組或被動態(tài)劃給一個VLAN的端口上不能設(shè)置端口安全功能;不能基于每VLAN設(shè)置端口安全;交換機(jī)不支持黏性可靠的MAC地址老化時間。protect和restrict模式不能同時設(shè)置在同一端口上。 下面尋修網(wǎng)把上面的知識點連接起來談?wù)剬崿F(xiàn)設(shè)置步驟的全部命令。 1 靜態(tài)可靠的MAC地址的命令步驟: Switch#config terminal Switch(config)#i

6、nterface interface-id 進(jìn)入需要設(shè)置的端口 Switch(config-if)#switchport mode Access 設(shè)置為交換模式 Switch(config-if)#switchport port-security 打開端口安全模式 Switch(config-if)#switchport port-security violation protect | restrict | shutdown 上面這一條命令是可選的,也就是能不用設(shè)置,默認(rèn)的是shutdown模式,不過在實際設(shè)置中尋修網(wǎng)推薦用restrict。 Switch(config-if)#switch

7、port port-security maximum value 上面這一條命令也是可選的,也就是能不用設(shè)置,默認(rèn)的maximum是個MAC地址,2950和3550交換機(jī)的這個最大值是132。 其實上面這幾條命令在靜態(tài)、黏性下都是相同的, Switch(config-if)#switchport port-security mac-address MAC地址 上面這一條命令就說明是設(shè)置為靜態(tài)可靠的MAC地址 2動態(tài)可靠的MAC地址設(shè)置,因為是交換機(jī)默認(rèn)的設(shè)置。 3黏性可靠的MAC地址設(shè)置的命令步驟: Switch#config terminal Switch(config)#interface

8、 interface-id Switch(config-if)#switchport mode Access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation protect | restrict | shutdown Switch(config-if)#switchport port-security maximum value 上面這幾天命令解釋和前面靜態(tài)講到原因相同,不再說明。 Switch(config-if)#switchport port-s

9、ecurity mac-address sticky 上面這一條命令就說明是設(shè)置為黏性可靠的MAC地址。 最后,說說企業(yè)中怎么快速MAC地址和交換機(jī)端口綁定。在實際的運用中常用黏性可靠的MAC地址綁定,目前我們在一臺2950EMI上綁定。 方法1:在CLI方式下設(shè)置 2950 (config)#int rang fa0/1 - 48 2950 (config-if-range)#switchport mode Access 2950 (config-if-range)#switchport port-security 2950 (config-if-range)#switchport port

10、-security mac-address violation restrict 2950 (config-if-range)#switchport port-security mac-address sticky 這樣交換機(jī)的48個端口都綁定了,尋修網(wǎng)提示大家注意:在實際運用中需求把連在交換機(jī)上的PC機(jī)都打開,這樣才能學(xué)到MAC地址,并且要在學(xué)到MAC地址后保存設(shè)置文件,這樣下次就不用再學(xué)習(xí)MAC地址了,然后用show port-security address查看綁定的端口,確認(rèn)設(shè)置正確。 方法2:在WEB界面下設(shè)置,也就是CMS(集群管理單元) 我們通過在IE瀏覽器中輸入交換機(jī)IP地址,

11、就能進(jìn)入,然后在port?port security下能選定交換機(jī)端口,在Status和Sticky MAC Address中選Enable或Disabled,Violation Action能選Shutdown、Restrict、Protect中的一種,Maximum Address Count(1-132)能填寫這個范圍的數(shù)值。 當(dāng)然更有需求綁定IP地址和MAC地址的,這個就需要三層或以上的交換了,因為我們知道普通的交換機(jī)都是工作在第二層,也就是使數(shù)據(jù)鏈路層,是不可能綁定IP的。如果企業(yè)是星型的網(wǎng)絡(luò),中心交換機(jī)是帶三層或以上功能的。我們就能在上綁定, Switch(config)#arp

12、Ip地址 Mac地址 arpa 二 交換機(jī)與端口進(jìn)行綁定的方法1、端口+MACa)AM命令使用特殊的AM User-bind命令,來完成MAC地址與端口之間的綁定。例如:SwitchAam user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置說明:由于使用了端口參數(shù),則會以端口為參照物,即此時端口E0/1只允許PC1上網(wǎng),而使用其他未綁定的MAC地址的PC機(jī)則無法上網(wǎng)。但是PC1使用該MAC地址可以在其他端口上網(wǎng)。b)mac-address命令使用mac-address static命令,來完成MAC地址與端口之間的綁定。例

13、如:SwitchAmac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1SwitchAmac-address max-mac-count 0配置說明:由于使用了端口學(xué)習(xí)功能,故靜態(tài)綁定mac后,需再設(shè)置該端口mac學(xué)習(xí)數(shù)為0,使其他PC接入此端口后其mac地址無法被學(xué)習(xí)。2、IP+MACa)AM命令使用特殊的AM User-bind命令,來完成IP地址與MAC地址之間的綁定。例如:SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 配置說明:

14、以上配置完成對PC機(jī)的IP地址和MAC地址的全局綁定,即與綁定的IP地址或者M(jìn)AC地址不同的PC機(jī),在任何端口都無法上網(wǎng)。支持型號:S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb)arp命令使用特殊的arp static命令,來完成IP地址與MAC地址之間的綁定。例如:SwitchAarp static 10.1.1.2 00e0-fc22-f8d3 配置說明:以上配置完成對PC機(jī)的IP地址和MAC地址的全局綁定。3、端口+IP+MAC使用特殊的AM User-bind命令,來完成IP、MAC地址與端口之間的綁定。例如:SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置說明:可以完成將PC1的IP地址、MAC地址與端口E0/1之間的綁定

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論