神州数码交换机端口绑定
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
以神州数码DCS-3950进行端口绑定
端口绑定的重要性就不再多说了,避免电脑随意接入交换机
一、仅MAC与端口绑定(通过Port-Security)
DCS-3950-26C#conf
DCS-3950-26C(config)#int e0/0/1 --端口绑定需要进入到接口内部,仅对当前口生效
DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security --开启端口安全模式
DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security mac-address aa-22-33-44-55-66 --对aa-22-33-44-55-66与端口1进行绑定
DCS-3950-26C(config-if-ethernet0/0/1)#
测试现象,当aa-22-33-44-55-66这台电脑连接到端口1时,可以正常工作,连接到其他端口时,交换机不为其转发数据帧,网络不通;当其他MAC地址连入交换机时,插入到包括1在内的任意端口,都可以正常工作,交换机都为其转发。
端口安全缺省一个端口只能配置一个条目,如需配置多个条目,需要进行如下设置
DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security maximum ?
<1-128> Maximum addrs <1-128>
输入所需的数目即可。
另外,port-security还可以动态学习,然后锁定,再转化,动态绑定
DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security lock
DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security convert
锁定之后,交换机不再学习从这个端口新接入的MAC
结论:被绑定的MAC地址只能工作在绑定的端口上;没有绑定的MAC地址可以工作在任意端口上。
二、仅MAC与端口绑定(通过mac-address-table)
接下来利用不同的命令实现与刚才相同的实验结果。这次利用交换机的MAC地址表,将需绑定的地址静态的配置到某个端口上,不让其他端口学习这个MAC地址,实现绑定的功能。
DCS-3950-26C(config)#mac-address-table static address aa-22-33-44-55-66 vlan 1 interface e0/0/2
DCS-3950-26C(config)#mac-add sta add aa-22-33-55-66-77 vl 1 int e0/0/2
在第二个端口上同时做了两个地址的绑定,实验现象与第一个完全相同。
三、MAC、IP端口三者绑定(通过am命令)
上述的两个例子中,都只是对MAC地址作了限制,没有对IP进行绑定,实际操作中,很多情况都会对IP地址也进行绑定,避免出现IP冲突的现象。
DCS-3950-26C(config)#am enable --开启交换机am功能
DCS-3950-26C(config-if-ethernet0/0/14)#am port --开启端口am功能,将端口设置为am后,没有添加条目的情况下,连入该端口的都为不通。
此时测试处于14端口下的电脑ping其他端口的电脑,不通;其他端口电脑间互ping,都通
DCS-3950-26C(config-if-ethernet0/0/14)#am mac-ip-pool 00-e0-42-04-0f-4a 172.16.0.1
DCS-3950-26C(config-if-ethernet0/0/14)#
此时14端口下的00-e0-42-04-0f-4a 172.16.0.1这台电脑与其他电脑能够ping通,其他14端口
下的仍然不能
DCS-3950-26C(config-if-ethernet0/0/14)#am mac-ip-pool 00-e0-81-08-16-ac 172.16.0.2
DCS-3950-26C(config-if-ethernet0/0/14)#
此时14端口下的00-e0-42-04-0f-4a 172.16.0.1与00-e0-81-08-16-ac 172.16.0.2这两台电脑
与其他电脑能够ping通,其他14端口下的仍然不能
拔下插在14口的网线插到15口,测试效果,结果是通
拔下其他口的网线,插入到14口,测试效果,结果是不通
关闭am功能
可以在端口关闭 no am port
也可以全局关闭 no am enable
结论:am可以实现端口与MAC、IP的绑定,但是将网线插入到其他端口后,am就无能为力了。
四、真正意义的绑定
结合使用port-security与am或mac-address-table与am
实现真正意义的绑定。