交换机端口与MAC绑定

陕西师范大学　网络工程　实验报告 年级： 姓名： 学号： 实验日期：　　　 实验名称：　　　 交换机端口与MAC绑定　 实验目的 了解什么是交换机的MAC绑定功能； 熟练掌握MAC与端口绑定的静态、动态方式。 应用环境 当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机，就更谈不上将它隔离了。端口与地址绑定技术使主机必须与某一端口进行绑定，也就是说，特定主机只有在某个特定端口下发出数据帧，才能被交换机接收并传输到网络上，如果这台主机移动到其他位置，则无法实现正常的连网。这样做看起来似乎对用户苛刻了一些，而且对于有大量使用便携机的员工的园区网并不适用，但基于安全管理的角度考虑，它却起到了至关重要的作用。 为了安全和便于管理，需要将MAC地址与端口进行绑定，即，MAC地址与端口绑定后，该MAC地址的数据流只能从绑定端口进入，不能从其他端口进入。该端口可以允许其他MAC地址的数据流通过。但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭，因此在取消lock之前，其他MAC的主机也不能从这个端口进入。 实验设备 DCS-3926S交换机1台 PC机2台 Console线1根 直通网线2根 实验拓扑 实验要求 交换机IP地址为192.168.1.11/24，PC1的地址为192.168.1.101/24；PC2的地址为192.168.1.102/24。 在交换机上作MAC与端口绑定； PC1在不同的端口上ping 交换机的IP，检验理论是否和实验一致。 PC2在不同的端口上ping 交换机的IP，检验理论是否和实验一致。 实验步骤 第一步：得到PC1主机的mac地址 我们得到了PC1主机的mac地址为：00-24-7E-05-20-2E。 第二步：交换机全部恢复出厂设置，配置交换机的IP地址 第三步：使能端口的MAC地址绑定功能 第四步：添加端口静态安全MAC地址，缺省端口最大安全MAC地址数为1 验证配置： switch#show port-security switch#showport-securityaaddress 第五步：使用ping命令验证 PC 端口 Ping 结果 原因 PC1 0/0/1 192.168.1.11 通 PC1 0/0/7 192.168.1.11 不通 PC2 0/0/1 192.168.1.11 通 PC2 0/0/7 192.168.1.11 通 第六步：在一个以太口上静态捆绑多个MAC 验证配置： switch#show port-security switch#show port-security address 上面使用的都是静态捆绑MAC的方法，下面介绍动态mac地址绑定的基本方法，首先清空刚才做过的捆绑。 第七步：清空端口与MAC绑定 验证配置： switch#show port-security 第八步：使能端口的MAC地址绑定功能，动态学习MAC并转换 验证配置： switch#show port-security address 第九步：使用ping命令验证 PC 端口 Ping 结果 原因 PC1 0/0/1 192.168.1.11 通 PC1 0/0/7 192.168.1.11 不通 PC2 0/0/1 192.168.1.11 不通 PC2 0/0/7 192.168.1.11 通 注意事项和排错 如果出现端口无法配置MAC地址绑定功能的情况，请检查交换机的端口是否运行了Spanning-tree，802.1x，端口汇聚或者端口已经配置为Trunk端口。MAC绑定在端口上与这些配置是互斥的，如果该端口要打开MAC地址绑定功能，就必须首先确认端口下的上述功能已经被关闭。 当动态学习MAC时，无法执行“convert”命令时，请检查PC机网卡是否和该端口正确连接。 端口Lock之后，该端口MAC地址学习功能被关闭，不允许其他的MAC进入该端口。