实验 二层交换机端口与MAC地址的绑定(教师用)

MAC地址与端口绑定详解在网络安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍采用的做法之一就是IP地址、网卡的MAC 地址与交换机端口绑定，但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

一、首先必须明白两个概念：可靠的MAC地址。

配置时候有三种类型：静态可靠的MAC地址：在交换机接口模式下手动配置，这个配置会被保存在交换机MAC地址表和运行配置文件中，交换机重新启动后不丢失（当然是在保存配置完成后），具体命令如下：Switch(config-if)#switchport port-security mac-address Mac 地址动态可靠的MAC地址：这种类型是交换机默认的类型。

在这种类型下，交换机会动态学习MAC地址，但是这个配置只会保存在MAC 地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，可以手动配置MAC地址和端口的绑定，也可以让交换机自动学习来绑定，这个配置会被保存在MAC地址中和运行配置文件中，如果保存配置，交换机重起动后不用再自动重新学习MAC地址，虽然黏性的可靠的MAC地址可以手动配置，但是CISCO官方不推荐这样做。

具体命令如下：Switch(config-if)#switchport port-security mac-address sticky其实在上面这条命令配置后并且该端口得到MAC地址后，会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address stickyMac地址这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。

交换机端口绑定ip和mac地址IP地址绑定『配置环境参数』用户的IP地址10.1.1.2，MAC地址0000-0000-0001『组网需求』对合法的用户进行ip＋mac＋端口的绑定，防止恶意用户通过更换自己的地址上网的行为。

2数据配置步骤『IP+MAC+端口绑定流程』三层交换机中目前只有S3526系列支持使用AM命令来进行IP地址和端口的绑定。

并且如果S3526系列交换机要采用AM命令来实现绑定功能，则交换机必须是做三层转发（即用户的网关应该在该交换机上）。

【采用DHCP-SECURITY来实现】1.配置端口的静态MAC地址[SwitchA]mac-address static 0000-0000-0001 interface e0/1 vlan 12.配置IP和MAC对应表[SwitchA]dhcp-security 10.1.1.2 0000-0000-0001 static3.配置dhcp-server组号(否则不允许执行下一步，此dhcp-server组不用在交换机上创建也可) [SwitchA-Vlan-interface1]dhcp-server 14.使能三层地址检测[SwitchA-Vlan-interface1]address-check enable【采用AM命令来实现】1.使能AM功能[SwitchA]am enable2.进入端口视图[SwitchA]vlan 103.将E0/1加入到vlan10[SwitchA-vlan10]port Ethernet 0/14.创建（进入）vlan10的虚接口[SwitchA]interface Vlan-interface 105.给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.06.进入E0/1端口[SwitchA]interface Ethernet 0/17.该端口只允许起始IP地址为10.1.1.2的10个IP地址上网[SwitchA-Ethernet0/1]am ip-pool 10.1.1.2 10通过ACL实现的各种绑定的配置1功能需求及组网说明各种绑定的配置『配置环境参数』1.三层交换机SwitchA有两个端口ethetnet 0/1、ethernet 0/2分别属于vlan 1、vlan 22.vlan 1、vlan 2的三层接口地址分别是1.0.0.1/8、2.0.0.1/8，上行口G 1/1是trunk端口，并允许vlan 3 通过『组网需求』1.静态mac、端口捆绑：端口ethetnet 0/1仅仅允许pc1（mac：0.0.1）接入。

关于二层交换MAC与端口绑定的方法利用交换机的Port-Security功能实现以下是一个配置实例：switch#config tswitch（config）#int f0/1switch（config-if）#switchport mode access//设置交换机的端口模式为access模式，注意缺省是dynamic//dynamic模式下是不能使用Port-security功能switch（config-if）#switchport port-security//打开port-security功能switch（config-if）#switchport port-security mac-address xxxx.xxxx.xxxx//xxxx.xxxx.xxxx就是你要关联的mac地址switch（config-if）#switchport port-security maximum 1//其实缺省就是1switch（config-if）#switchport port-security violationshutdown//如果违反规则，就shutdown端口//这个时候你show int f0/1的时候就会看到接口是err-disable 的附：switchport port-security命令语法Switch（config-if）#switchport port-security ？aging Port-security aging commandsmac-address Secure mac address//设置安全MAC地址maximum Max secure addresses//设置最大的安全MAC地址的数量，缺省是1violation Security violation mode//设置违反端口安全规则后的工作，缺省是shutdownc2950#configure terminalc2950(config)#mac access-list extended mac10c2950(config-ext-nacl)#permit host 0012.2713.3f2d anyc2950(config-ext-nacl)#permit any host 0012.2713.3f2d这时出现错误：%Error: The field sets of all the ACEs in an ACL on Ethernet interface should match.Please refer to the Software Configuration Guide to understand one mask restriction for ACLs on Ethernet interfaceswitch#mac-address-table static 1234.5678.9012 vlan 10 fa0/1，表示将静态MAC地址与VLAN 10中的端口1绑定。

实验二十：交换机MAC与IP地址的绑定DCRS-5526S>enDCRS-5526S#conf tDCRS-5526S(Config)#hostname switch1switch1(Config)#enable password level adminCurrent password:New password:***Confirm new password:***switch1(Config)#interface vlan 1switch1(Config-If-Vlan1)#ip address 10.7.11.11 255.255.0.0switch1(Config-If-Vlan1)#no shutswitch1(Config-If-Vlan1)#exitswitch1(Config)#switch1(Config)#interface ethernet 0/0/1switch1(Config-Ethernet0/0/1)#am mac-ip-pool 00-09-73-8C-19-91 10.7.11.10 switch1(Config-Ethernet0/0/1)#exitswitch1(Config)#show am> Unrecognized command or illegal parameter!switch1(Config)#exitswitch1#show amGlobal AM is enabledInterface Ethernet0/0/1am mac-ip-pool 00-09-73-8C-19-91 10.7.11.10 USER_CONFIGswitch1#conf tswitch1(Config)#interface ethernet 0/0/2switch1(Config-Ethernet0/0/2)#no am portswitch1(Config-Ethernet0/0/2)#interface ethernet 0/0/3 - 20> Unrecognized command or illegal parameter!switch1(Config-Ethernet0/0/2)#exitswitch1(Config)#interface ethernet 0/0/3 - 20> Unrecognized command or illegal parameter!switch1(Config)#interface ethernet 0/0/3 -20> Unrecognized command or illegal parameter!switch1(Config)#interface ethernet 0/0/3-20switch1(Config-Port-Range)#no am portswitch1(Config-Port-Range)#show am> Unrecognized command or illegal paramswitch1(Config-Port-Range)#exitswitch1(Config)#exitswitch1#show amGlobal AM is enabledInterface Ethernet0/0/20 am is disableInterface Ethernet0/0/19 am is disableInterface Ethernet0/0/18 am is disableInterface Ethernet0/0/17 am is disableInterface Ethernet0/0/16 am is disableInterface Ethernet0/0/15 am is disableInterface Ethernet0/0/14 am is disableInterface Ethernet0/0/13 am is disableInterface Ethernet0/0/12 am is disableInterface Ethernet0/0/11 am is disableInterface Ethernet0/0/10 am is disableInterface Ethernet0/0/9 am is disableInterface Ethernet0/0/8 am is disableInterface Ethernet0/0/7 am is disableInterface Ethernet0/0/6 am is disableInterface Ethernet0/0/5 am is disableInterface Ethernet0/0/4 am is disableInterface Ethernet0/0/3 am is disableInterface Ethernet0/0/2 am is disableInterface Ethernet0/0/1am mac-ip-pool 00-09-73-8C-19-91 10.7.11.10 USER_CONFIG switch1#。

说明：二层IP/MAC绑定可以防止IP被人盗用，从而不会出现没有上网权限的人盗用有上网权限的IP，进行冒充他人身份上网的情况。

1、首先扫描网络中的IP和MAC地址，并导入到用户列表中。

用户管理—用户导入—IP：
勾选“开机设备”，点击扫描。

这样会出现IP地址和MAC地址：
再手工输入用户名，点击导入，就可以导入到设备的组织管理下。

注意：（1）如果网络中的电脑没有开机，将不会被扫描到。

漏掉的少量电脑可以直接到组织管理进行手工建立用户；（2）导入完毕后，请到用户管理—组织管理中将“IP临时用户”组下面的用户全部删除。

2、进行二层IP/MAC绑定
用户管理—组织管理：
点击ROOT，右边出现我们建立的用户列表
将所有用户选中，点击操作下面的“二层IP/MAC绑定”
3、对已经建立的用户组织进行应用控制策略设定
根据常规的应用控制策略方式来进行设定即可。

比如阻塞这部分用户上QQ等。

注意设备隐含的一条最低优先级的规则是：允许任何用户上任何应用/网页。

所以一般我们所作的策略，是要阻塞XX用户使用XX应用/网页。

4、对未分配的IP，禁止使用任何应用
在我们手工建立用户列表并绑定后，属于已绑定范围内的IP别人无法盗用，但是未绑定的IP可能还会被人盗用。

有的用户可能自己会乱改IP，所以要设定一条应用控制策略，禁止未分配IP上任何用户。

未分配IP会出现在系统内置的“IP临时用户”中，所有做一条策略阻塞“IP临时用户”上网：。

实验2 MAC地址表与地址端口绑定2.1 实验内容●MAC地址表操作●MAC地址和端口的绑定2.2 MAC地址表操作2.2.1 实验目的●掌握S3026E交换机中MAC地址表的查看方法，了解MAC地址表中各表项的意义；●了解MAC地址的学习和老化过程；●了解MAC地址表的维护和管理方法：如何添加和删除表项；●掌握地址端口绑定的基本方法。

2.2.2 实验环境●●PC2.2.3consoleE0/1com1PC实验组网图2.2.4 实验步骤1. 查看MAC地址表我们可以用如下命令查看和连接在接口E0/1上（E0/1表示交换机的第0个模块的第1个接口，在这个例子中，PC1连在交换机的E0/1接口上）的主机的MAC地址：[H3C]display mac-addressMAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)0003-47b7-c378 1 Learned Ethernet0/1 AGING 表格中MAC ADDR列表示E0/1接口所连接的以太网中的主机的MAC地址，VLAN ID列指出这个端口所在的VLAN， VLAN概念我们将在下一章讨论。

STATE列指出这个MAC地址表项的属性：Learned表示MAC地址为动态学习到的。

Aging Time是该表项的老化时间，表示这个表项还会被保存多长时间（以秒为单位）。

在S3026E交换机中，正是由于MAC地址表的存在，才使得交换机可以根据数据包的MAC地址查出端口号，来实现基于二层的快速转发。

当一台PC被连接到交换机的端口，交换机会从该端口动态学习到PC的MAC地址，并将其添加到MAC地址表中。

在二层交换机S3026E上，交换机是通过ARP机制学习到MAC地址的。

在交换机上我们可以利用debugging信息来观察学习MAC地址的过程：<H3C>debugging arp packet<H3C>terminal debugging% Current terminal debugging is on*0.4338546 H3C ARP/8/arp_send:Send an ARP Packet, operation : 1,sender_eth_addr : 00e0-fc57-461b,sender_ip_addr : 10.110.34.126,target_eth_addr : 0000-0000-0000,target_ip_addr : 10.110.34.125*0.4338797 H3C ARP/8/arp_rcv:Receive an ARP Packet, operation : 2,sender_eth_addr : 0011-433d-54e2,sender_ip_addr : 10.110.34.125,target_eth_addr : 00e0-fc57-461b,target_ip_addr : 10.110.34.126我们可以用“display arp”命令查看ARP表如下：<H3C>display arpIP Address MAC Address VLAN ID Port Name Aging Type10.110.34.125 0011-433d-54e2 1 Ethernet0/2 20 Dynamic对于动态学习到的MAC地址，有一个老化时间Aging Time的概念，来表示这个表项还会被保存多长时间。

模块六 二层交换机端口与MAC 地址绑定【场景构建】在日常工作中，经常会发生用户随意插拔交换机上的网线，给网管员在网络管理上带来一定的不便。

同时也会出现在一个交换机端口下连接另一个Hub 或交换机，导致网络线路的拥堵。

当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。

当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机。

希望通过一定的方法，固定每台计算机连接的交换机端口，方便网管员日常的维护与更新。

[实验目的]1、 了解什么是交换机的MAC 绑定功能；2、 熟练掌握MAC 与端口绑定的静态、动态方式。

【知识准备】通过端口绑定特性，网络管理员可以将用户的MAC 地址和IP 地址绑定到指定的端口上。

进行绑定操作后，交换机只对从该端口收到的指定MAC 地址和IP 地址的用户发出的报文进行转发，提高了系统的安全性，增强了对网络安全的监控。

我们通常说的MAC 地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC 地址确定允许访问的设备；允许访问的设备的MAC 地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC 地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

【实验一】 二层交换机端口静态绑定MAC 地址1.1 实验设备1、2950-24交换机1台2、PC 机2台3、交叉线1根4、直通网线2根1.2 组网图PC1PC2SW01.3 实验设备IP 地址及要求PC1连接F0/1PC2连接F0/2端口，并且在F0/2上将PC2的MAC地址绑定，PC2能PING通交换机。

若将PC1更换到F0/2上，则不能PING通交换机。

同理PC2更换到F0/1上，也不能PING通交换机。

MAC地址与端口绑定设置MAC与端口绑定的步骤和注意事项：1．进入交换机后先要清除MAC地址表，命令如下：Switch#clear mac-address-table（注意，如果不清除MAC地址表项会导致绑定失败）然后查看MAC地址表，Switch#show mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----MAC地址表里这时没有任何内容。

2．进入需要绑定的接口：Switch#conf tSwitch(config)#interface fastEthernet 0/13．开始设置绑定前，需要先设置端口的模式，Switch(config-if)#switchport mode access如果不设置端口模式为access，则开启端口安全的时候会收到如下提示：Command rejected: FastEthernet0/1 is a dynamic port.4．设置端口绑定：Switch(config-if)#switchport port-security使能端口安全Switch(config-if)#switchport port-security mac-address 0000.0000.0001~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 端口绑定MAC地址此时再查看MAC地址表会发现0000.0000.0001(查看主机的MAC地址)被绑定在了fa 0/1端口上Switch#show mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 0000.0000.0001 STATIC Fa0/1到此端口绑定成功。

交换机端口与MAC绑定一、实验目的1、了解什么是交换机的MAC绑定功能；2、熟练掌握MAC与端口绑定的静态、动态方式。

二、应用环境1、当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。

当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机，就更谈不上将它隔离了。

端口与地址绑定技术使主机必须与某一端口进行绑定，也就是说，特定主机只有在某个特定端口下发出数据帧，才能被交换机接收并传输到网络上，如果这台主机移动到其他位置，则无法实现正常的连网。

这样做看起来似乎对用户苛刻了一些，而且对于有大量使用便携机的员工的园区网并不适用，但基于安全管理的角度考虑，它却起到了至关重要的作用。

2、为了安全和便于管理，需要将MAC地址与端口进行绑定，即，MAC地址与端口绑定后，该MAC地址的数据流只能从绑定端口进入，不能从其他端口进入。

该端口可以允许其他MAC地址的数据流通过。

但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭，因此在取消lock之前，其他MAC的主机也不能从这个端口进入。

三、实验设备1、DCS-3926S交换机1台2、PC机2台3、Console线1根4、直通网线2根四、实验拓扑五、实验要求1、交换机IP地址为192.168.1.11/24，PC1的地址为192.168.1.101/24；PC2的地址为192.168.1.102/24。

2、在交换机上作MAC与端口绑定；3、PC1在不同的端口上ping 交换机的IP，检验理论是否和实验一致。

4、PC2在不同的端口上ping 交换机的IP，检验理论是否和实验一致。

六、实验步骤第一步：得到PC1主机的mac地址Microsoft Windows XP [版本 5.1.2600](C) 版权所有 1985-2001 Microsoft Corp.C:\>ipconfig/allWindows IP ConfigurationHost Name . . . . . . . . . . . . : xuxpPrimary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : BroadcastIP Routing Enabled. . . . . . . . : NoWINS Proxy Enabled. . . . . . . . : NoEthernet adapter 本地连接:Connection-specific DNS Suffix . :Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti onPhysical Address. . . . . . . . . : 00-A0-D1-D1-07-FFDhcp Enabled. . . . . . . . . . . : YesAutoconfiguration Enabled . . . . : YesAutoconfiguration IP Address. . . : 169.254.27.232Subnet Mask . . . . . . . . . . . : 255.255.0.0Default Gateway . . . . . . . . . :C:\>我们得到了PC1主机的mac地址为：00-A0-D1-D1-07-FF。

给你个例子看看，很简单：在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。

1.方案1——基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch#config terminal＃进入配置模式Switch(config)# Interface fastethernet 0/1＃进入具体端口配置模式Switch(config-if)#Switchport port-secruity＃配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)＃配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址) ＃删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2——基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20#进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）Switch(config)no mac access-list extended MAC10＃清除名为MAC10的访问列表此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。