实验18端口和MAC地址绑定实验

实验十八、交换机端口与MAC绑定一、 实验目的1、了解什么是交换机的MAC绑定功能；2、熟练掌握MAC与端口绑定的静态、动态方式。

二、 应用环境1、当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。

当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机，就更谈不上将它隔离了。

端口与地址绑定技术使主机必须与某一端口进行绑定，也就是说，特定主机只有在某个特定端口下发出数据帧，才能被交换机接收并传输到网络上，如果这台主机移动到其他位置，则无法实现正常的连网。

这样做看起来似乎对用户苛刻了一些，而且对于有大量使用便携机的员工的园区网并不适用，但基于安全管理的角度考虑，它却起到了至关重要的作用。

2、为了安全和便于管理，需要将MAC地址与端口进行绑定，即，MAC地址与端口绑定后，该MAC地址的数据流只能从绑定端口进入，不能从其他端口进入。

该端口可以允许其他MAC地址的数据流通过。

但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭，因此在取消lock之前，其他MAC的主机也不能从这个端口进入。

三、 实验设备1、DCS-3926S交换机1台2、PC机2台3、Console线1根4、直通网线2根四、 实验拓扑五、 实验要求1、交换机IP地址为192.168.1.11/24，PC1的地址为192.168.1.101/24；PC2的地址为192.168.1.102/24。

2、在交换机上作MAC与端口绑定；3、PC1在不同的端口上ping 交换机的IP，检验理论是否和实验一致。

4、PC2在不同的端口上ping 交换机的IP，检验理论是否和实验一致。

六、 实验步骤第一步：得到PC1主机的mac地址Microsoft Windows XP [版本 5.1.2600](C) 版权所有 1985-2001 Microsoft Corp.C:\>ipconfig/allWindows IP ConfigurationHost Name . . . . . . . . . . . . : xuxpPrimary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : BroadcastIP Routing Enabled. . . . . . . . : NoWINS Proxy Enabled. . . . . . . . : NoEthernet adapter 本地连接:Connection-specific DNS Suffix . :Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti onPhysical Address. . . . . . . . . : 00-A0-D1-D1-07-FFDhcp Enabled. . . . . . . . . . . : YesAutoconfiguration Enabled . . . . : YesAutoconfiguration IP Address. . . : 169.254.27.232Subnet Mask . . . . . . . . . . . : 255.255.0.0Default Gateway . . . . . . . . . :C:\>我们得到了PC1主机的mac地址为：00-A0-D1-D1-07-FF。

实验交换机安全配置一、实验目的●理解MAC地址绑定原理●理解交换机端口镜像原理●熟悉掌握交换机MAC地址绑定的基本配置命令；●熟悉掌握交换机端口镜像的基本配置命令；二、实验设备●计算机2台●交换机1台●Console线1条●网线若干三、实验拓朴图四、实验要求通过交换机的安全功能的设置，包括：MAC地址绑定、交换机端口镜像，利用这些功能提高网络的安全性。

五、实验步骤1．根据网络拓扑图，利用UTP双绞线将2台PC机连接到1台交换机上。

并按照图中所示配置相应的IP地址和网关地址。

在PC1上利用RS-232控制线连接到Switch交换机，通过超级终端进入交换机配置管理界面。

2．配置交换机默认vlan的IP地址为192.168.1.1/24Switch#config vlan default ipaddress 192.168.1.1 255.255.255.0MAC地址绑定3．配置PC1的网络接口卡的MAC地址与交换机的某个端口进行绑定。

Switch#create fdbentry 00:10:5c:00:00:01 vlan default ports1:1// 1:1为端口号00:10:5c:00:00:01为pc的mac地址注意：当mac地址为00:10:5c:00:00:01绑定在vlan default的端口1:1，那么就不能将此mac地址绑定到其它端口。

在上述的实例中，端口1绑定了00:10:5c:00:00:01，那么端口1就只能允许mac地址为00:10:5c:00:00:01通过该端口，而且mac地址00:10:5c:00:00:01是不能通过其它端口进入网络的。

4．查看MAC地址绑定相关配置信息。

Switch# show fdb端口镜像5．配置交换机上的1:1个端口为镜像目标端口（即监控端口）6．配置交换机上的一组端口（1:2-1:4）为镜像源端口（即被监控端口）Switch#enable mirroring to port 1:1 //监控者的端口Switch#configure mirroring add ports 1:2-1:4 //被监控者端口7．将PC1接入被监控接口，模拟发送一定量的数据报文。

在模拟器中将设备如下图中连接起来并配置IP:PC0----→ fa0/1 （192.168.10.10/24）PC1----→ fa0/11 （192.168.10.11/24）PC1----→(备用) （192.168.10.12/24）下面我们用PC1pingPC0如下图：可以看到是通的，我们使用show mac-address-tablel来看看：Switch#show mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 000a.416e.5768 DYNAMIC Fa0/111 0010.11a0.421a DYNAMIC Fa0/1可以看到两个端口所对应的两台PC的MAC类型是动态的下面我们来配置交换机：Switch#configConfiguring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#interface fastEthernet 0/1Switch(config-if)#switchport port-security mac-address sticky （自动绑定MAC与端口）Switch(config-if)#exitSwitch(config)#exitSwitch#writeBuilding configuration...[OK]我们用show命令来看下：Switch#show mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 000a.416e.5768 DYNAMIC Fa0/111 0010.11a0.421a STATIC Fa0/1可以看到fa0/1的端口已经被学习到了这样fa0/1端口将只能让MAC为0010.11a0.421a的PC通过，其他PC连接这个端口将不会连通，同时PC0可以在其他端口使用。

交换机的端口配置与管理实验步骤
1. 嘿，咱开始搞交换机端口配置这事儿啦，就像要去驯服一群调皮的小怪兽。

2. 首先，找到那交换机，就像在一堆宝藏里找最神秘的那个盒子。

3. 瞅准端口啦，那端口就像一个个小嘴巴，等着我们去指挥呢。

4. 登录交换机，这密码输入就像开魔法门的咒语，错了可就进不去啦，超紧张。

5. 进入配置模式，感觉自己像个超级魔法师，要施展神奇魔法啦。

6. 咱先看看端口状态，那状态信息就像小怪兽的健康报告一样。

7. 要设置端口速度啦，这就好比给小嘴巴规定吃东西的速度，快了慢了都不行。

8. 把端口速度设成100Mbps，就像给小嘴巴规定每秒吃100颗魔法豆。

9. 再看看双工模式，全双工就像小嘴巴既能吃又能吐，超厉害。

10. 把端口设成全双工模式，这就像给小嘴巴开启了超级功能，双向猛吃猛吐。

11. 给端口绑定个VLAN，这就像把小嘴巴划分到不同的小团队里。

12. VLAN ID就像小团队的编号，可不能搞混咯，不然小嘴巴们要打架啦。

13. 开启端口安全功能，这就像给小嘴巴装上防盗门，防止坏家伙进来。

14. 规定端口连接的MAC地址数量，就像规定小嘴巴能接待的客人数量，多了就不让进。

15. 要是MAC地址违规，就像来了个不速之客，直接把它赶出去，哼。

16. 测试端口连通性，这就像试试小嘴巴能不能和其他小嘴巴正常聊天。

17. 要是不通，就像小嘴巴突然哑巴了，得赶紧排查问题，像医生看病一样。

18. 最后保存配置，这就像把我们的魔法成果封印起来，可不能让它跑掉啦。

H3C交换机端口绑定IP+MAC的思路及配置客户的一个新项目，最近需要在H3C的交换机上做端口+IP+MAC绑定，最终目的是为了实现上网控制，大家都知道这是一件很繁琐的工作，前期要收集好MAC+IP+端口还有使用人的信息，客户终端有500台左右，所以前期收集资料的工作量蛮大，本来告诉客户在上网行为管理设备上做用户名密码认证+ARP绑定的方式，但客户说之前在核心交换机上做过ARP绑定，但有些人把本地的IP和MAC修改为与能上网的电脑IP和MAC一模一样，这样两台机器相当于同一台机器一样，都能同时在线上网了，也不会报IP地址冲突，只是上网速度会有一定的影响（会有丢包），若其中一台电脑不在线，另一台修改过得电脑上网完全没有影响。

结合上网行为管理设备做用户名和密码认证，用户又说怕能上网的那些人把自己的用户名和密码告诉别人，没办法彻底控制！晕现在基本上只能按照他们的要求去在接入层交换机上做端口+IP+MAC绑定了，接入层交换机有两种型号：S5120-52C-EI和S3100V2-16TP-EI，看了一下两种交换机都支持这种端口+IP+MAC的绑定方式，那就根据客户的需求来干吧~ 以下是总体思路和方法:首先，收集各终端的IP+MAC+端口信息以及使用人信息（估计3个工作日的时间），并做好记录；然后，在各台接入层交换机上根据前面收集到的信息就行配置（2个工作日左右），下面我们看一下配置：（1）1个端口下只有一台电脑的绑定方法如IP地址为10.100.10.2 ，MAC地址为00-1A-4D-1E-39-2D 的电脑接在交换机的G1/0/2端口，那么可以进行如下配置：interface GigabitEthernet 1/0/2 首先进入2号端口user-bind ip-addr 10.100.10.2 mac-addr 001A-4D1E-392D 绑定IP和MAC（2）1个端口下接了一个小交换机的绑定方式如：1号端口下接了一个8口的小交换机，交换机接有3台电脑，3台电脑的IP和MAC如下1电脑的IP：10.100.11.2 MAC：00-1A-4D-1E-39-812电脑的IP：10.100.11.3 MAC：00-1A-4D-1E-39-8E3电脑的IP：10.100.11.4 MAC：00-1A-4D-1E-39-8F那么这三台电脑都需要进行捆绑，可以进行如下配置：interface GigabitEthernet 1/0/1 首先进入1端口user-bind mac-addr 001a-4d1e-3981 ip-addr 10.100.11.2user-bind mac-addr 001a-4d1e-398e ip-addr 10.100.11.3user-bind mac-addr 001a-4d1e-398f ip-addr 10.100.11.4（3）若端口下没有接任何设备，那么当新接入一台终端后，就没有IP+MAC地址的限制了，就有可能会正常上网，因此还需要在这些空闲端口上关掉MAC地址自动学习的功能，命令如下：interface GigabitEthernet 1/0/20 首先进入空闲的20号端口mac-address mac-learning disable 关掉此端口的MAC地址学习功能最后，抽几台电脑进行测试，更改IP或MAC或端口，看看是否满足客户需求，但这里有一点要说明的是对于上面第二种情况，若端口接了一个小交换机或HUB，其中一台不能上网的电脑把IP和MAC修改为同接在一台小交换机上的可以上网的电脑的IP和MAC，也是可以上网的，现象就是同时在线会网速慢丢包，不同时在线是没有影响的。

实验六交换机的VLAN配置-MAC地址绑定端口实验目的：1、了解什么是交换机的MAC绑定功能；2、熟练掌握MAC与端口绑定的静态方式。

实验环境：Packet tracer软件实验内容：1、把PC机的MAC地址绑定到交换机某个端口上基本原理：考虑到交换机使用的安全性，可以使用端口绑定技术，防止陌生计算机接入，避免了人为随意调换交换机端口。

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。

这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。

而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。

另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样, VLAN就必须不停地配置。

实验步骤：一、把MAC地址绑定到交换机的端口PC-PT PC-PTPCI PC2实验拓扑如上图。

PC1: IP : 192.168.3.3 MAC 地址：000C.7611.8157PC2 IP : 192.16832 MAC 地址：000C.7611.817F注：添加主机时，默认有一个MA地址，在config选项卡中能看到，或者在运行里输入命令ipconfig /all 查看。

建议用默认的MA（地址。

1 •启动交换机，并进入到特权模式Switch〉enableSwitch#2 •恢复到厂商设置Switch# erase startup-config 擦除配置Switch# reloadSwitch> enswitch# show vlan-ini *1郦⑥saw21-1刊畐劇VUJ 3 Of ntStatus.FortsIIrFujLi■scti ver-aO/Z. r^/3P F 虫IEFd 碣 rjrb. MI /'< K <I /H MF FJI /LC F 讪门1上 FWl? Fdi/14. fW 占3 LT F1D/J4, F 曲许FS 吃1W 讪空.切ML,IWIII 3 ■.- vil iHC b ijn: TIJf^LcI i I E IH 1 ■ il« I adJ L■L - bi ・ i-ihi/dj.1D3ac t^1mxz'qfVIM Type IUDfl TV FtfK&EEti 您 ftptri^A匸 TrwicL InniZ1血戈1UJLU1 JSoQ -■■ ■U 0IDT fdd. inirn^-* - ■- D Q tU J3 5101C03 1500 -- - --0 0 10C4 Edfivt 101LU4 】划-- - 1 MH « ■0 a 1005 trn«t 101DD5IEEE -— —iLi—Dn庁撐：■； 95 -3创HP :a:APSrjuN3. pc1插入交换机第5 口，pc2插入交换机第2口。

浅谈学校校园网络IP地址的管理及IP、MAC、端口的绑定毕业论文浅谈学校校园网络IP地址的管理及IP、MAC、端口的绑定毕业论文网络管理的目的就是确保一定范围内的网络及其网络设备能够稳定、可靠、高效地运行，使所有的网络资源处于良好的运行状态，到达用户预期的要求。

过去有一些简单的工具用来帮助网管人员管理网络资源，但随着网络规模的扩大和复杂度的增加，对强大易用的管理工具的需求也日益显得迫切，管理人员需要依赖强大的工具完成各种各样的网络管理任务，而网络管理系统就是能够实现上述目的系统。

1 WBM 技术介绍随着应用Intra的企业的增多，同时Inter技术逐渐向Intra的迁移，一些主要的网络厂商正试图以一种新的形式去应用M I S 。

因此就促使了W e b ( W e b - B a s e dManagement)网管技术的产生[2]。

它作为一种全新的网络管理模式—基于Web的网络管理模式，从出现伊始就表现出强大的生命力，以其特有的灵活性、易操作性等特点赢得了许多技术专家和用户的青睐，被誉为是“将改变用户网络管理方式的革命性网络管理解决方案”。

WBM融合了Web功能与网管技术，从而为网管人员提供了比传统工具更强有力的能力。

WBM可以允许网络管理人员使用任何一种Web浏览器，在网络任何节点上方便迅速地配置、控制以及存取网络和它的各个局部。

因此，他们不再只拘泥于网管工作站上了，并且由此能够解决很多由于多平台结构产生的互操作性问题。

WBM提供比传统的命令驱动的远程屏幕更直接、更易用的图形界面，浏览器操作和W e b页面对W W W用户来讲是非常熟悉的，所以WBM的结果必然是既降低了MIS全体培训的费用又促进了更多的用户去利用网络运行状态信息。

所以说，WBM是网络管理方案的一次革命。

2 基于WBM 技术的网管系统设计2.1 系统的设计目标在本系统设计阶段，就定下以开发基于园区网、Web模式的具有自主版权的中文网络管理系统软件为目标，采用先进的WBM技术和高效的算法，力求在性能上可以到达国外同类产品的水平。

实验八端口与MAC地址绑定配置实验目的1.理解端口与MAC地址绑定的意义2.熟练使用命令完成端口与MAC地址的绑定实验设备及材料一台交换机，两台PC机，两根网线，一根CONSOLE线。

实验内容1、规划PC与端口的对应关系，并填写下表MAC 端口PC1的MAC 1PC2的MAC 22、根据规划，交换机按下图所示拓扑连接设备3、进入交换机进行配置绑定4、PC配置相同网段IP地址后互相PING5、将PC的网线互换后观察PING现象实验步骤1．在有些场合，比如学校机房，为了防止有人无意地把网线插到交换机的别的端口上能修改信息，交换机的端口和终端的MAC地址绑定，网络管理员静态的指定每个交换机的端口所对应的终端，，把网线插在别的端口以后，其连接就会被拒绝。

PC与端口的对应关系如下图：MAC 端口PC1的MAC 1PC2的MAC 22．使用一台交换机和两台PC机，还将其中PC2作为控制台终端，使用CONSOLE口配置方式；另外：使用两根网线分别将PC1和PC2连接到交换机的网络端口上，构成如下拓扑：2．进入交换机进行配置绑定；（1） VLAN端口成员和MAC地址静态绑定：Switch(config)#mac-address static address 00-08-0d-be-d8-d8 vlan 1 interface 0/0/1 （2） 使能端口的MAC地址绑定功能：Switch(config)#interface Ethernet 0/0/1Switch(config-ethernet0/0/1)#switchport port-security(2) 将端口学习到的动态MAC地址转化为静态MAC地址，并且关闭端口的MAC地址学习功能：Switch(config)#interface Ethernet 0/0/1Switch(config-ethernet0/0/1)#switchport port-security convert（3）端口MAC地址的锁定：Switch(config)#interface Ethernet 0/0/1Switch(config-ethernet0/0/1)#switchport port-security lock把PC1MAC地址绑定在交换机的1端口，PC2的MAC地址绑定在交换机的2端口。

MAC地址与端口绑定详解在网络安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍采用的做法之一就是IP地址、网卡的MAC 地址与交换机端口绑定，但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

一、首先必须明白两个概念：可靠的MAC地址。

配置时候有三种类型：静态可靠的MAC地址：在交换机接口模式下手动配置，这个配置会被保存在交换机MAC地址表和运行配置文件中，交换机重新启动后不丢失（当然是在保存配置完成后），具体命令如下：Switch(config-if)#switchport port-security mac-address Mac 地址动态可靠的MAC地址：这种类型是交换机默认的类型。

在这种类型下，交换机会动态学习MAC地址，但是这个配置只会保存在MAC 地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，可以手动配置MAC地址和端口的绑定，也可以让交换机自动学习来绑定，这个配置会被保存在MAC地址中和运行配置文件中，如果保存配置，交换机重起动后不用再自动重新学习MAC地址，虽然黏性的可靠的MAC地址可以手动配置，但是CISCO官方不推荐这样做。

具体命令如下：Switch(config-if)#switchport port-security mac-address sticky 其实在上面这条命令配置后并且该端口得到MAC地址后，会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address sticky Mac地址这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。

第1篇一、实验背景随着信息技术的飞速发展，网络安全问题日益突出。

端口作为网络通信的通道，其安全性直接关系到整个网络的安全。

为了提高网络安全性，防止未授权访问和攻击，本次实验旨在通过华为eNSP平台，学习并掌握端口安全配置的方法，提高网络安全防护能力。

二、实验目的1. 理解端口安全的基本概念和作用。

2. 掌握华为eNSP平台中端口安全的配置方法。

3. 熟悉端口安全策略的设置和应用。

4. 提高网络安全防护能力。

三、实验环境1. 实验平台：华为eNSP2. 网络设备：华为S5700交换机3. 实验拓扑：实验拓扑图4. 实验设备：计算机、路由器等四、实验内容1. 端口安全基本概念端口安全（Port Security）是一种防止未授权访问和攻击的安全策略，通过对端口进行MAC地址绑定，限制端口接入的设备数量，从而保障网络的安全。

2. 端口安全配置方法（1）静态MAC地址绑定静态MAC地址绑定是指将端口的MAC地址与指定的MAC地址进行绑定，只有绑定的MAC地址才能通过该端口进行通信。

（2）动态MAC地址绑定动态MAC地址绑定是指系统自动学习端口接入设备的MAC地址，并将其绑定到端口上，实现动态管理。

（3）粘滞MAC地址绑定粘滞MAC地址绑定是指将动态学到的MAC地址转换为静态MAC地址，确保MAC地址的稳定性。

3. 端口安全策略设置（1）设置最大MAC地址数量限制端口接入的设备数量，防止未授权设备接入。

（2）设置MAC地址学习时间设置MAC地址学习时间，超过该时间未更新的MAC地址将被移除。

（3）设置违规行为处理方式设置违规行为处理方式，如关闭端口、报警等。

五、实验步骤1. 搭建实验拓扑，配置网络设备。

2. 在交换机端口上配置端口安全，设置最大MAC地址数量、MAC地址学习时间等。

3. 分别测试静态MAC地址绑定、动态MAC地址绑定和粘滞MAC地址绑定，观察效果。

4. 模拟违规行为，验证端口安全策略是否生效。

一：实验目的：1.学会使用cisco packet tracer思科网络软件2.学会交换机mac绑定3.了解交换机的工作过程和生成树协议二：实验过程：交换机mac地址绑定1.建立一个小型网络2.通过命令行的配置：Switch#config terminal ＃进入配置模式Switch(config)# Interface fastethernet 0/1 ＃进入具体端口配置模式Switch(config-if)#Switchport port-secruity ＃配置端口安全模式Switch(config-if )switchport port-security mac-address (mac地址)＃配置该端口要绑定的主机的MAC地址配置结果3.用pc1 ping pc0的结果：可以ping 通4将0/1端口换为pc2后，再用pc1 ping 端口0/1的主机，由于和mac地址绑定，无法连接指派端口根端口根端口指派端口非指派端口指派端口交换机生成树协议1.建立由三个交换机组成的小型网络2.由于三个交换机形成了回路，所以根据生成树算法，拓扑结构发生了变化。

通过查看，三个交换机的优先级一样32769，所以选择了mac地址最小的switch1作为根桥。

Switch1的address为0001.9733.e852Switch2的address为0007.9733.e852Switch3的address为0002.167b.e852所以形成的拓扑结构为：(switch2的0/2端口被阻塞了）Switch1（根）Switch2 Switch3指派端口根端口根端口指派端口非指派端口指派端口3.通过show spanning-tree查看交换机端口依次经历了LSN LRN FWD三个状态其中switch2的0/2端口最后状态为BLK3.通过改变优先级指定switch2为根桥#spanning-tree vlan 1 root primary 0Switch2(根）Switch1 Switch3。

教案课程名称网络设备授课年级高一学校电子职校教师姓名李萱章节名称二层交换机上的端口与MAC绑定计划学时2课时教学目标1、了解什么是交换机的、了解什么是交换机的MACMACMAC绑定功能；绑定功能；2、熟练掌握MAC与端口绑定的静态、动态方式。

设计思路通过模拟构建的工作场景，使学生能够以工作过程的形式进行学习。

教学环节教学内容、所用时间、教师活动、学生活动引入新课在日常工作中，经常会发生用户随意插拔交换机上的网线，给网管员在网络管理上带来一定的不便。

同时也会出现在一个交换机端口下连接另一个络管理上带来一定的不便。

同时也会出现在一个交换机端口下连接另一个HubHubHub或或交换机，导致网络线路的拥堵。

当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。

当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机。

希望通过一定的方法，固定每台计算机连接的交换机端口，方便网管员日常的维护与更新。

新课教学通过端口绑定特性，网络管理员可以将用户的MAC 地址和IP 地址绑定到指定的端口上。

进行绑定操作后，交换机只对从该端口收到的指定MAC 地址和IP 地址的用户发出的报文进行转发，提高了系统的安全性，增强了对网络安全的监控。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

【实验一】二层交换机端口静态绑定【实验一】二层交换机端口静态绑定MAC MAC MAC地址地址地址1.11.1 实验设备实验设备1、2950-242950-24交换机交换机交换机11台2、PC PC机机2台3、交叉线、交叉线11根4、直通网线、直通网线22根1.21.2 组网图组网图PC1PC2SW0F0/1F0/2F0/31.3 1.3 实验设备实验设备实验设备IP IP IP地址及要求地址及要求地址及要求 设备名设备名 IP IP地址地址地址 子网掩码子网掩码 VLAN 1 192.168.1.11 255.255.255.0 PC1 192.168.1.1 255.255.255.0 PC2192.168.1.2255.255.255.0PC1PC1连接连接连接F0/1F0/1F0/1端口，并且在端口，并且在端口，并且在F0/1F0/1F0/1上将上将上将PC1PC1PC1的的MAC MAC地址绑定，地址绑定，地址绑定，PC1PC1PC1能能PING PING通交换通交换机。

组网需求：
交换机对PC1进行IP＋MAC＋端口绑定，使交换机的端口E1/0/1下，只允许PC1上网，而PC1在其他端口上还可以上网。

配置步骤：
1．进入系统模式
<H3C>system-view
2．配置IP、MAC及端口的绑定
[H3C]am user-bind mac-addr 000f-e201-1112 ip-addr 1.1.1.1 interface e1/0/1
四配置关键点：
1．同一IP地址或MAC地址，不能被绑定两次；
2．经过以上配置后，可以完成将PC1的IP地址、MAC地址与端口E1/0/1之间的绑定功能。

此时端口E1/0/1只允许PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。

但是PC1使用该IP地址和MAC地址可以在其他端口上网；
3．在我司交换机上有些产品只支持IP＋MAC＋端口三者同时绑定，有些可以绑定三者中任意二者，即IP＋端口、MAC＋端口、IP＋MAC这三种绑定。

H3C 3600/H3C S5600/S3900/S5600/S5100EI系列产品只支持三者同时绑定；S3000系列中S3026EFGTC/S3026C-PWR/S3050C支持三者同时绑定或任意两者的绑定；S3500系列设备除了S3526EC外都不支持上述三者或任意两者绑定；S5000系列设备支持三者或任意两者绑定；H3C S5500-SI、S2000C/S2000-EI、S3100SI系列设备不支持三者或任意两者的绑定。