7.动态实现MAC地址与端口绑定

CISCO交换机上实现MAC和端口、IP和端口、IP和MAC的绑定

这个配置只可以一个端口绑定一个MAC地址，那么要绑定多个IP地址与MAC地址应该如何处理呢?
看看下面的配置：
1.先建立两个访问控制列表，一个是关于MAC地址的，一个是关于IP地址的。
3550(config)#mac access-list extended mac-n
//配置一个命名的MAC地址访问控制列表,命名为mac-n
补：我们也可以通过MAC地址来限制端口流量，此配置允许一TRUNK口最多通过100个MAC地址，超过100时，但来自新的主机的数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
2950 (config-if-range)#switchport port-security mac-address violation restrict
2950 (config-if-range)#switchport port-security mac-address sticky
这样交换机的48个端口都绑定了，注意：在实际运用中要求把连在交换机上的PC机都打开，这样才能学到MAC地址，并且要在学到MAC地址后保存配置文件，这样下次就不用再学习MAC地址了，然后用show port-security address查看绑定的端口，确认配置正确。
3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。

关于服务器端口绑定错误,mac地址绑定的问题

Physical Address. . . . . . . . .后面就是 : 00-50-8D-7E-BF-32
2，解除他的绑定，其实后来证明了这一步是没有说明用的，因为IP-MAC绑定是学校搞的，自己解除了没有用．不过就当作知识学学吧。进入“MS-DOS方式”或“命令提示符”，开始-运行-CMD
查看文章
关于服务器端口绑定错误，mac地址绑定的问题2007年06月12日星期二 16:55昨天从电信网换接学校的教育网，却连不上，锐捷认证提示说服务器端口绑定错误！其他的认证软件也都这么提示。回头一想，我的帐号给同学小杰登录过，IP绑定在他的MAC地址上了。
解决步骤：
1，查看小杰的mac地址开始-运行-CMD-ipconfig /all 里面有ip等各种信息
在命令提示符下输入命令：ARP -d 218.197.193.110 00-50-8D-7E-BF-32，即可把MAC地址和IP地址解除捆绑。但是我还是连不上

3，修改我的mac地址，改成和他一样的，有3个方法
（1）修改注册表
运行Windows的注册表编辑器，展开“HKEY_LOCAL_MACHINE＼System＼Current ControlSet＼Services＼Class＼Net”，会看到类似“0000”、“0001”、“0002”的子键。从“0000”子键开始点击，依次查找子键下的“DriverDesc”键的内容，直到找到与我们查找的目标完全相同的网卡注册表信息为止。
当找到正确的网卡后，点击下拉式菜单“编辑/新建/字符串”，串的名称为“Networkaddress”，在新建的“Networkaddress”串名称上双击鼠标就可以输入数值了。输入你想指定的新的MAC地址值。新的MAC地址应该是一个12位的十六进制数字或字母，其间没有“-”，类似“000000000000”的这样的数值（注意，在Windows 98和Windows 2000/XP中具体键值的位置稍有不同，大家可通过查找功能来寻找）。

实验18端口和MAC地址绑定实验

实验十八、交换机端口与MAC绑定一、实验目的1、了解什么是交换机的MAC绑定功能；2、熟练掌握MAC与端口绑定的静态、动态方式。

二、应用环境1、当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。

当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机，就更谈不上将它隔离了。

端口与地址绑定技术使主机必须与某一端口进行绑定，也就是说，特定主机只有在某个特定端口下发出数据帧，才能被交换机接收并传输到网络上，如果这台主机移动到其他位置，则无法实现正常的连网。

这样做看起来似乎对用户苛刻了一些，而且对于有大量使用便携机的员工的园区网并不适用，但基于安全管理的角度考虑，它却起到了至关重要的作用。

2、为了安全和便于管理，需要将MAC地址与端口进行绑定，即，MAC地址与端口绑定后，该MAC地址的数据流只能从绑定端口进入，不能从其他端口进入。

该端口可以允许其他MAC地址的数据流通过。

但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭，因此在取消lock之前，其他MAC的主机也不能从这个端口进入。

三、实验设备1、DCS-3926S交换机1台2、PC机2台3、Console线1根4、直通网线2根四、实验拓扑五、实验要求1、交换机IP地址为192.168.1.11/24，PC1的地址为192.168.1.101/24；PC2的地址为192.168.1.102/24。

2、在交换机上作MAC与端口绑定；3、PC1在不同的端口上ping 交换机的IP，检验理论是否和实验一致。

4、PC2在不同的端口上ping 交换机的IP，检验理论是否和实验一致。

六、实验步骤第一步：得到PC1主机的mac地址Microsoft Windows XP [版本 5.1.2600](C) 版权所有 1985-2001 Microsoft Corp.C:\>ipconfig/allWindows IP ConfigurationHost Name . . . . . . . . . . . . : xuxpPrimary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : BroadcastIP Routing Enabled. . . . . . . . : NoWINS Proxy Enabled. . . . . . . . : NoEthernet adapter 本地连接:Connection-specific DNS Suffix . :Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti onPhysical Address. . . . . . . . . : 00-A0-D1-D1-07-FFDhcp Enabled. . . . . . . . . . . : YesAutoconfiguration Enabled . . . . : YesAutoconfiguration IP Address. . . : 169.254.27.232Subnet Mask . . . . . . . . . . . : 255.255.0.0Default Gateway . . . . . . . . . :C:\>我们得到了PC1主机的mac地址为：00-A0-D1-D1-07-FF。

MAC地址的动态绑定

IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter本地连接:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti
switch(Config-Ethernet0/0/1)#switchport port-security lock
switch(Config-Ethernet0/0/1)#switchport port-security convert
switch(Config-Ethernet0/0/1)#exit
成绩教师签名年月日
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :
2.交换机全部恢复出厂设置，配置交换机的IP地址
switch(Config)#interface vlan 1
switch(Config-If-Vlan1)#ip address 192.168.1.11 255.255. . . . . . . . . : 00-A0-D1-D1-07-FF
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Autoconfiguration IP Address. . . : 169.254.27.232

MAC地址与端口绑定详解

MAC地址与端口绑定详解在网络安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍采用的做法之一就是IP地址、网卡的MAC 地址与交换机端口绑定，但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

一、首先必须明白两个概念：可靠的MAC地址。

配置时候有三种类型：静态可靠的MAC地址：在交换机接口模式下手动配置，这个配置会被保存在交换机MAC地址表和运行配置文件中，交换机重新启动后不丢失（当然是在保存配置完成后），具体命令如下：Switch(config-if)#switchport port-security mac-address Mac 地址动态可靠的MAC地址：这种类型是交换机默认的类型。

在这种类型下，交换机会动态学习MAC地址，但是这个配置只会保存在MAC 地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，可以手动配置MAC地址和端口的绑定，也可以让交换机自动学习来绑定，这个配置会被保存在MAC地址中和运行配置文件中，如果保存配置，交换机重起动后不用再自动重新学习MAC地址，虽然黏性的可靠的MAC地址可以手动配置，但是CISCO官方不推荐这样做。

具体命令如下：Switch(config-if)#switchport port-security mac-address sticky其实在上面这条命令配置后并且该端口得到MAC地址后，会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address stickyMac地址这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。

实验十一二层交换机端口与MAC地址的动态绑定(学生用)

实验十一二层交换机端口与MAC地址动态绑定【场景构建】在日常工作中，经常会发生用户随意插拔交换机上的网线，给网管员在网络管理上带来一定的不便。

同时也会出现在一个交换机端口下连接另一个Hub或交换机，导致网络线路的拥堵。

当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。

当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机。

希望通过一定的方法，固定每台计算机连接的交换机端口，方便网管员日常的维护与更新。

[实验目的]1、了解什么是交换机的MAC绑定功能；2、熟练掌握MAC与端口绑定的静态、动态方式。

【知识准备】通过端口绑定特性，网络管理员可以将用户的MAC 地址和IP 地址绑定到指定的端口上。

进行绑定操作后，交换机只对从该端口收到的指定MAC 地址和IP 地址的用户发出的报文进行转发，提高了系统的安全性，增强了对网络安全的监控。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

【实验】二层交换机端口动态绑定MAC地址1.1实验设备1、2950-24交换机1台2、PC机4台3、交叉线1根4、直通网线4根1.2组网图PC1PC2PC3PC4SW01.3实验设备IP在F0/1通VLAN的IP地址。

当学习数超过设定学习的最大值，端口将不再学习新的MAC地址，并触发安全规则，关闭端口。

1.4 配置步骤第一步：得到PC1主机的mac地址第二步：配置交换机的IP地址第三步：使能F0/1端口的MAC地址绑定功能第四步：动态添加端口安全MAC地址，端口最大安全MAC地址数为3第五步：配置违反MAC安全采取的措施（关闭端口）1.5实验验证1、交换机上端口绑定的信息。

MAC地址和端口的绑定

MAC地址与交换机端口的绑定
12网络3班
MAC地址与交换机端口的绑定
12网络3班
动态绑定
1
2
3
连接拓扑
完成绑定
特点分析 1.绑定命令 2.查看方法 3.验证方法 4.删除绑定
MAC地址与交换机端口的绑定
12网络3班
你准备让韩老师怎么做？
静态绑定
动态绑定
MAC地址与交换机端口的绑定
12网络3班
作业：
1. 如何手动设置 IP 地址？手动设置 IP 地址有何弊端？ 2. 如何自动获取 IP 地址？ 3. 如何释放已有的 IP 地址获取新的IP地址？ 4. 完成实训报告的填写。
12网络3班
MAC地址与交换机端口的绑定
中小型网站建设与网络搭建——任务7
学习目标
1 2
理解MAC地址与端口进行绑定的意义熟练掌握MAC地址与端口的静态绑定
3
熟练掌握MAC地址和端口的动态绑定
MAC地址与交换机端口的绑定
12网络3班
静态绑定
1
2
3
连接拓扑
完成绑定
特点分析 1.绑定命令 2.查看方法 3.验证方法 4.删除绑定
韩老ቤተ መጻሕፍቲ ባይዱ的特别求助：
由于学校老师都使用笔记本移动办公，同时学校里经常有外来人员携带笔记本进入学校。为安全和便于管理起见，学校领导要求网管员韩老师改造目前网络，使教师机只能在自己的固定工位才可以上网，而其他外来电脑在学校任何地方都无法上网。如何解决这一问题，韩老师向我们进行求助。
MAC地址与交换机端口的绑定

端口安全实验报告总结(3篇)

第1篇一、实验背景随着信息技术的飞速发展，网络安全问题日益突出。

端口作为网络通信的通道，其安全性直接关系到整个网络的安全。

为了提高网络安全性，防止未授权访问和攻击，本次实验旨在通过华为eNSP平台，学习并掌握端口安全配置的方法，提高网络安全防护能力。

二、实验目的1. 理解端口安全的基本概念和作用。

2. 掌握华为eNSP平台中端口安全的配置方法。

3. 熟悉端口安全策略的设置和应用。

4. 提高网络安全防护能力。

三、实验环境1. 实验平台：华为eNSP2. 网络设备：华为S5700交换机3. 实验拓扑：实验拓扑图4. 实验设备：计算机、路由器等四、实验内容1. 端口安全基本概念端口安全（Port Security）是一种防止未授权访问和攻击的安全策略，通过对端口进行MAC地址绑定，限制端口接入的设备数量，从而保障网络的安全。

2. 端口安全配置方法（1）静态MAC地址绑定静态MAC地址绑定是指将端口的MAC地址与指定的MAC地址进行绑定，只有绑定的MAC地址才能通过该端口进行通信。

（2）动态MAC地址绑定动态MAC地址绑定是指系统自动学习端口接入设备的MAC地址，并将其绑定到端口上，实现动态管理。

（3）粘滞MAC地址绑定粘滞MAC地址绑定是指将动态学到的MAC地址转换为静态MAC地址，确保MAC地址的稳定性。

3. 端口安全策略设置（1）设置最大MAC地址数量限制端口接入的设备数量，防止未授权设备接入。

（2）设置MAC地址学习时间设置MAC地址学习时间，超过该时间未更新的MAC地址将被移除。

（3）设置违规行为处理方式设置违规行为处理方式，如关闭端口、报警等。

五、实验步骤1. 搭建实验拓扑，配置网络设备。

2. 在交换机端口上配置端口安全，设置最大MAC地址数量、MAC地址学习时间等。

3. 分别测试静态MAC地址绑定、动态MAC地址绑定和粘滞MAC地址绑定，观察效果。

4. 模拟违规行为，验证端口安全策略是否生效。

神州数码各实验配置注意文档

//重点：两个三层交换机之间可以通过Vlan 1 进行路由退出的命令的运用在神州数码的视图下是没有quit的命令的，但并不代表不能用quit，在大多数的视图下，都可以用quit命令退回上一级视图，当然用exit也可以，看个人喜好，但有视图也是例外的，例如：# spanning-tree mst configuration视图下就要用它专用的退出命令：abrotNAT配置：1、配置acl允许通过的网段；//一般用标准acl2、配置地址池；ip nat pool+名字+起始IP+终止IP+子网掩码3、配置nat转换那个网段；Ip nat inside source list +acl名字pool +地址池名字4、配置int接口和out接口；【接口试图】ip nat inside【接口试图】ip nat insideNAT server：# ip nat inside source static tcp + 服务的IP地址+ 服务端口+ 要转换成公网的IP地址+ 端口号在发布FTP的时候最好把21和20的都发布出去DNS一定要使用UDP服务路由器enable用户密码和时间配置：1、enable password 0/7（不验证和验证）+密码level+权限（默认不配置的时候是15）2、date（接下来按照指示配置就OK了）配置语言：1、路由器Chinese2、交换机language ChineseOSPF路由协议的配置：1、router id的配置，可以选择配置，配置的时候，要指向路由器接入的端口上的IP地址2、router ospf +数字（可以随意）network +使能的网段+子网掩码+area +区域号（ospf 分单区域和多区域两种,单区域的配置要注意每一个使能的网段后面的区域号都要一致，多区域配置两个区域相交的那路由器使能网段的时候要配置和对端相对应的区域号）3、ospf的虚连接配置（ospf的虚连接是只多个不能直接相连接的区域通过建立逻辑的上虚拟连接，建立邻居关系）：area +本网段的区域号+ virtual-link + 相同区域对端的路由器的router id（虚连接链路的配置是运用在至少3个不同区域的ospf上，而且其中两个区域，分别和第三个区域连接）4、可以使用neighbor + 邻接路由的IP地址Ping命令有趣使用：问题：ping 1.0.0.1 可以学成ping 1.001 ，写成1.1也能ping通因为ping 的协议的编写时采用了IPV6的机制的，中间是出现连续两个0的情况的话，可以合并，可以可以不写。

谈谈IP-MAC端口绑定三种方式的优劣

谈谈IP、MAC与交换机端口绑定的方法Jack Zhai 信息安全管理者都希望在发生安全事件时，不仅可以定位到计算机，而且定位到使用者的实际位置，利用MAC与IP的绑定是常用的方式，IP地址是计算机的“姓名”，网络连接时都使用这个名字；MAC地址则是计算机网卡的“身份证号”，不会有相同的，因为在厂家生产时就确定了它的编号。

IP地址的修改是方便的，也有很多工具软件，可以方便地修改MAC地址，“身份冒充”相对容易，网络就不安全了。

遵从“花瓶模型”信任体系的思路，对用户进行身份鉴别，大多数人采用基于802.1x协议的身份认证技术(还可以基于应用的身份认证、也可以是基于Cisco 的EOU技术的身份认证)，目的就是实现用户账号、IP、MAC的绑定，从计算机的确认到人的确认。

身份认证模式是通过计算机内安全客户端软件，完成登录网络的身份鉴别过程，MAC地址也是通过客户端软件送给认证服务器的，具体的过程这里就不多说了。

一、问题的提出与要求有了802.1x的身份认证，解决的MAC绑定的问题，但还是不能定位用户计算机的物理位置，因为计算机接入在哪台交换机的第几个端口上，还是不知道，用户计算机改变了物理位置，管理者只能通过其他网管系统逐层排查。

那么，能否可以把交换机端口与IP、MAC一起绑定呢？这样计算机的物理位置就确定了。

首先这是有关安全标准的要求：1)重要安全网络中，要求终端安全要实现MAC\IP\交换机端口的绑定2)有关专用网络中，要求未使用的交换机端口要处于关闭状态(未授权前不打开)其次，实现交换机端口绑定的目标是：∙∙防止外来的、未授权的计算机接入网络(访问网络资源)∙∙当有计算机接入网络时，安全监控系统能够立即发现该计算机的MAC与IP，以及接入的交换机端口信息，并做出身份验证，属于未授权的能够报警或终止计算机的继续接入，或者禁止它访问到网络的任何资源∙∙当有安全事件时，可以根据用户绑定的信息，定位到机器(MAC与IP)、定位到物理位置(交换机端口)、定位到人(用户账号、姓名、电话…)二、实现交换机端口信息绑定的策略根据接入交换机的安全策略，可以把端口信息绑定分为两种方式：静态方式与动态方式1、静态方式：固定计算机的位置，只能在预先配置好的交换机端口接入，未配置(授权申请)的不能接入网络。

华为交换机IP+MAC+端口绑定

孙工：
你好，下面是华为交换机绑定的做法，你可以按照下面的做下。
IP+MAC+端口绑定：
通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能，先在VLAN下配置的静态绑定表，静态绑定表的IP和MAC为待绑定PC的IP和MAC。然后再与PC相连的交换机接口上配置IP和ARP报文检查功能。
[Quidway-Ethernet0/0/24] port default vlan 1
[Quidway-Ethernet0/0/24] dhcp snooping cEthernet0/0/24] dhcp snooping check ip enable
[Quidway-Ethernet0/0/24] quit
[Quidway] vlan 1
[Quidway-vlan1] dhcp snooping enable
[Quidway-vlan1] dhcp snooping bind-table static ip-address 192.168.0.2 mac-address 1-1-1 interface Ethernet0/0/24
华为的2300系列、3300系列、5300系列都支持。
华三的我查了下，他们有几种绑定方式，我也不确定到底哪种可用，和华为的差不多。
假设你在vlan 1上将IP地址192.168.0.2 MAC地址1-1-1的电脑和接口Ethernet0/0/24绑定<Quidway>
<Quidway>system-view
[Quidway] dhcp snooping enable
[Quidway] interface Ethernet 0/0/24

利用安全端口实现mac地址与端口绑定的配置

华为 S3600 产品利用安全端口实现mac地址与端口绑定的配置
时间:2010-04-29 10:57
一、组网需求：在终端较多的情况下，要求动态实现 mac地址跟端口的绑定，不用手工配置。

在交换机配置正确的情况下，只有第一次连接到该端口上的mac地址会被绑定到这个端口上。

二、组网图：三、配置步骤： S3900配置 1．进入系统视图。

H3C system-v
一、组网需求：
在终端较多的情况下，要求动态实现mac地址跟端口的绑定，不用手工配置。

在交换机配置正确的情况下，只有第一次连接到该端口上的mac地址会被绑定到这个端口上。

二、组网图：
三、配置步骤：
S3900配置
1．进入系统视图。

<H3C> system-view
2．使能端口安全机制。

[H3C] port-security enable
3．进入以太网e1/0/1端口视图。

[H3C] interface Ethernet1/0/1
4．设置端口允许接入的最大mac地址数为1
[H3C-Ethernet1/0/1] port-security max-mac-count 1
5．配置端口的安全模式为autolearn
[H3C-Ethernet1/0/1] port-security port-mode autolearn
四、配置关键点：
设置端口允许接入的最大mac地址数为1，即port-security max-mac-count 1。

配置端口的安全模式为autolearn，即port-security port-mode autolearn。

《网络设备互联》习题及答案

《网络设备互联》习题及答案《网络设备互联》作业一一、名词解释1、RJ-45端口2、交换机的初如化3、TFTP备份方法4、广播域5、VTP二、填空题1、在局域网中，应用最为广泛的是（）o2、（）用于网络搭建，而网络的搭建和（）的概念密不可分，（）是网络设备在网络中一个重要的身份证明。

3、所有的IP地址都由（）负责统一分配，目前全世界共有三个这样的网络信息中心：（）（）（）o4、交换机担负着（）的重要工作，一旦（）被人篡改，将造成网络无法正常工作，带来安全隐患。

5、特权模式的密码有（）（）两种。

6、（）是从硬件工作方式上隔离广播域，（）可以通过设置VLAN从逻辑上隔离广播域。

7、VLAN在交换机上的实现方法，常用的可以大致分为（）、（）两类。

8、（）能起到隔离广播域的作用，还能在不同网络单转发（）。

9、路由器的操作系统与（）相同，因此相关的操作命令和（）中的命令是相同的。

10、（）是一种特殊的静态路由，指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。

三、选择题1、（）指的是同一个物理网段上所有节点的集合或以太网竞争同一宽带的节点集合。

A、广播域B、VLANC、冲突域D、子网2、路由器IOS及配置文件的备份方法与交换机（）,路由器和交换机的IOS是（）的。

（）A、相同、不同B、相同、相同C、不同、不同D、不同、相同3、静态路由的工作特点不正确的是（）A、路由路径相对固定B、静态路由永久存在C、可通告性D、单向性4、IOS的特点正确的是（）A、IOS命令不区分大小写B、静态路由永久存在C、可通告性D、单向性5、与RIP路由协议相比，OSPF明显的优越性有（）A、支持小规模网络B、产生路由自环C、支持不可变子网掩码D、收敛速度快6、链路状态算法过程描述正确的是（）A、初始化阶段、收敛阶段、泛洪阶段、稳定阶段B、收敛阶段、稳定阶段、初始化阶段C、初始化阶段、泛洪阶段、收敛阶段、稳定阶段D、收敛速度快、稳定阶段、初始化阶段、泛洪阶段7、静态路由的缺点是（）A、不能动态反映网络拓扑B、安全性较高C、使用静态路由比较简捷D、路径相对固定8、VIP中Switch（config）#vtpdomainabc命令，表示（）A、创建名称为abc的VTP域名B、定义该交换机为VTP服务端C、定义VTP服务器的密码为abcD、定义该交换机为VTP客户端9、以下选项中是VTP模式的为（）A、同域Ik同密C、透明D、拥有中继10、IP地址根据网络H）的不同分为（）A、两类B、三类C、四类D、五类四、简答题1、以太网交换机通过几种途径进行管理，分别是哪几种？2、简述IOS的特点。

实验八端口与MAC地址绑定的配置和结果验证

实验八端口与MAC地址绑定配置实验目的1.理解端口与MAC地址绑定的意义2.熟练使用命令完成端口与MAC地址的绑定实验设备及材料一台交换机，两台PC机，两根网线，一根CONSOLE线。

实验内容1、规划PC与端口的对应关系，并填写下表MAC 端口PC1的MAC 1PC2的MAC 22、根据规划，交换机按下图所示拓扑连接设备3、进入交换机进行配置绑定4、PC配置相同网段IP地址后互相PING5、将PC的网线互换后观察PING现象实验步骤1．在有些场合，比如学校机房，为了防止有人无意地把网线插到交换机的别的端口上能修改信息，交换机的端口和终端的MAC地址绑定，网络管理员静态的指定每个交换机的端口所对应的终端，，把网线插在别的端口以后，其连接就会被拒绝。

PC与端口的对应关系如下图：MAC 端口PC1的MAC 1PC2的MAC 22．使用一台交换机和两台PC机，还将其中PC2作为控制台终端，使用CONSOLE口配置方式；另外：使用两根网线分别将PC1和PC2连接到交换机的网络端口上，构成如下拓扑：2．进入交换机进行配置绑定；（1） VLAN端口成员和MAC地址静态绑定：Switch(config)#mac-address static address 00-08-0d-be-d8-d8 vlan 1 interface 0/0/1 （2）使能端口的MAC地址绑定功能：Switch(config)#interface Ethernet 0/0/1Switch(config-ethernet0/0/1)#switchport port-security(2) 将端口学习到的动态MAC地址转化为静态MAC地址，并且关闭端口的MAC地址学习功能：Switch(config)#interface Ethernet 0/0/1Switch(config-ethernet0/0/1)#switchport port-security convert（3）端口MAC地址的锁定：Switch(config)#interface Ethernet 0/0/1Switch(config-ethernet0/0/1)#switchport port-security lock把PC1MAC地址绑定在交换机的1端口，PC2的MAC地址绑定在交换机的2端口。

网件7000系列交换机的端口MAC绑定和IP地址

在 NETGEAR 7000 系列交换机的端口上绑定 MAC 和 IP 地址1．基于端口的MAC地址绑定NETGEAR FSM7352S交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：(FSM7352S) #configure//进入配置模式(FSM7352S) (Config)#port-security//打开端口安全模式(FSM7352S) (Config)#interface 1/0/45//进入具体端口配置模式(FSM7352S) (Interface 1/0/45)#port-security//配置端口安全模式(FSM7352S) (Interface 1/0/45)#port-security mac-address 00:E0:4C:00:0C:2B 1//配置该端口要绑定的主机的MAC地址和所属VLAN(FSM7352S) (Interface 1/0/45)#port-security max-dynamic 0//配置该端口动态学习MAC地址数量为0，即不再学习动态MAC地址(FSM7352S) (Interface 1/0/45)#port-security max-static 1//配置该端口静态MAC地址数量为1，即不能再添加静态MAC地址以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以通过这个端口使用网络，并且该主机只能通过这个端口使用网络。

如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：以上功能适用于FSM7328S，FSM7352S，FSM7352PS，GSM7324，GSM7312，GSM7212，GSM7224，GSM7248，FSM7326P系列交换机4.0以上软件版本。

2.基于MAC地址的扩展访问列表(FSM7352S) (Config)#mac access-list extended testmac01//定义一个MAC地址访问控制列表并且命名该列表名为testmac01(FSM7352S) (Config-mac-access-list)#permit 00:E0:4C:00:0C:2B any//定义MAC地址为00:E0:4C:00:0C:2B的主机可以访问任意主机(FSM7352S) (Config-mac-access-list)#permit any 00:E0:4C:00:0C:2B//定义所有主机可以访问MAC地址为00:E0:4C:00:0C:2B的主机(FSM7352S) (Config)#interface 1/0/45//进入具体端口的配置模式(FSM7352S) (Interface 1/0/45)#mac access-group testmac01 in//在该端口上应用名为testmac01的访问列表（即前面我们定义的访问策略）此功能与1大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

H3C交换机IP+MAC地址+端口绑定配置

组网需求：交换机对PC1进行IP＋MAC＋端口绑定，使交换机的端口E1/0/1下，只允许PC1上网，而PC1在其他端口上还可以上网。

配置步骤：1．进入系统模式<H3C>system-view2．配置IP、MAC及端口的绑定[H3C]am user-bind mac-addr 000f-e201-1112 ip-addr 1.1.1.1 interface e1/0/1配置关键点：1．同一IP地址或MAC地址，不能被绑定两次；2．经过以上配置后，可以完成将PC1的IP地址、MAC地址与端口E1/0/1之间的绑定功能。

此时端口E1/0/1只允许PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。

但是PC1使用该IP地址和MAC地址可以在其他端口上网；3．h3c交换机上有些产品只支持IP＋MAC＋端口三者同时绑定，有些可以绑定三者中任意二者，即IP＋端口、MAC＋端口、IP＋MAC这三种绑定。

H3C 3600/H3C S5600/S3900/S5600/S5100EI 系列产品只支持三者同时绑定；S3000系列中S3026EFGTC/S3026C-PWR/S3050C支持三者同时绑定或任意两者的绑定；S3500系列设备除了S3526EC外都不支持上述三者或任意两者绑定；S5000系列设备支持三者或任意两者绑定；H3C S5500-SI、S2000C/S2000-EI、S3100SI系列设备不支持三者或任意两者的绑定。

H3C S5100 交换机端口绑定首先登录交换机，进入管理状态System-View第一种情况：1个端口只有一台电脑如何绑定如：某台电脑的IP：10.119.100.1 MAC：00-1A-4D-1E-39-8D 要把此电脑绑定到交换机的24号端口操作如下：interface GigabitEthernet 1/0/24 首先进入24端口am user-bind mac-addr 001a-4d1e-398d ip-addr 10.119.100.1 绑定IP和MAC就2步就成功了！（如果命令打错了，要撤销，请在命令前加undo）第二种情况：1个端口下接了一个小交换机如何绑定如：1号端口下接了一个8口的小交换机，交换机接有3台电脑，3台电脑的IP和MAC如下1电脑的IP：10.119.100.2 MAC：00-1A-4D-1E-39-812电脑的IP：10.119.100.3 MAC：00-1A-4D-1E-39-8E3电脑的IP：10.119.100.4 MAC：00-1A-4D-1E-39-8F要把此电脑绑定到交换机的1号端口操作如下：interface GigabitEthernet 1/0/1 首先进入1端口am user-bind mac-addr 001a-4d1e-3981 ip-addr 10.119.100.2 需要都绑am user-bind mac-addr 001a-4d1e-398e ip-addr 10.119.100.3am user-bind mac-addr 001a-4d1e-398f ip-addr 10.119.100.4（如果命令打错了，要撤销，请在命令前加undo）第三种情况：端口下没接任何设备额如：2号端口没有接任何设备interface GigabitEthernet 1/0/2 首先进入2端口mac-address max-mac-count 0 关掉此端口的学习MAC功能--------------------------------------------------------------- 常用命令1、查看所有配置 dis cu2、配置好必须要保存 sa3、查看绑定情况dis am user-bind。