还剩10页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
教案课程名称网络设备授课年级高一学校电子职校教师姓名李萱章节名称二层交换机上的端口与MAC绑定计划学时2课时教学目标
1、了解什么是交换机的MAC绑定功能;
2、熟练掌握MAC与端口绑定的静态、动态方式设计思路通过模拟构建的工作场景,使学生能够以工作过程的形式进行学习教学环节教学内容、所用时间、教师活动、学生活动引入新课在日常工作中,经常会发生用户随意插拔交换机上的网线,给网管员在网络管理上带来一定的不便同时也会出现在一个交换机端口下连接另一个Hub或交换机,导致网络线路的拥堵当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时,网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开当网络的布置很随意时,任何用户只要插上网线,在任何位置都能够上网,这虽然使正常情况下的大多数用户很满意,但一旦发生网络故障,网管人员却很难快速准确定位根源主机希望通过一定的方法,固定每台计算机连接的交换机端口,方便网管员日常的维护与更新新课教学通过端口绑定特性,网络管理员可以将用户的MAC地址和IP地址绑定到指定的端口上进行绑定操作后,交换机只对从该端口收到的指定MAC地址和IP地址的用户发出的报文进行转发,提高了系统的安全性,增强了对网络安全的监控我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机;能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既可以手工配置,也可以从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候,交换机会挂起或者禁用该端口等等【实验一】二层交换机端口静态绑定MAC地址实验设备
1、2950-24交换机1台
2、PC机2台
3、交叉线1根
4、直通网线2根组网图PC1PC2SW0F0/1F0/2F0/3
1.3实验设备IP地址及要求设备名IP地址子网掩码VLAN
1192.
168.
1.
11255.
255.
255.0PC
1192.
168.
1.
1255.
255.
255.0PC
2192.
168.
1.
2255.
255.
255.0PC1连接F0/1端口,并且在F0/1上将PC1的MAC地址绑定,PC1能PING通交换机PC2连接F0/2端口,并且在F0/2上将PC2的MAC地址绑定,PC2能PING通交换机若将PC1更换到F0/2上,则不能PING通交换机同理PC2更换到F0/1上,也不能PING通交换机
0.A
192.
168.
255.
255.
0.
0.
0.
0.
0.0我们得到了PC1主机的mac地址为00E
0.A
323.5CE1第二步配置交换机的IP地址Switchconfig#intvlan1Switchconfig-if#ipadd
192.
168.
1.
11255.
255.
255.0Switchconfig-if#noshutdownSwitchconfig-if#exit第三步使能F0/1端口的MAC地址绑定功能SwitchConfig#interfaceF0/1Switchconfig-if#switchportmodeaccess将端口模式设置为access模式Switchconfig-if#switchportport-security命令switchportport-securitynoswitchportport-security功能使能端口MAC地址绑定功能;本命令的no操作为关闭端口MAC地址绑定功能命令模式端口配置模式缺省情况交换机端口不打开MAC地址绑定功能使用指南MAC地址绑定功能与
802.1x、SpanningTree、端口汇聚功能存在互斥关系,因此如果要打开端口的MAC地址绑定功能,就必须关闭端口上的
802.1x、SpanningTree、端口汇聚功能,且打开MAC地址绑定功能的端口不能是Trunk口Switchconfig-if#第四步添加端口静态安全MAC地址,缺省端口最大安全MAC地址数为1Switchconfig-if#switchportport-securitymac-address00E
0.A
323.5CE1命令switchportport-securitymac-addressmac-addressnoswitchportport-securitymac-addressmac-address功能添加静态安全MAC地址;本命令的no操作为删除静态安全MAC地址命令模式端口配置模式参数mac-address为添加/删除的MAC地址使用指南端口必须使能MAC地址绑定功能之后才能添加端口静态安全MAC地址第五步配置违反MAC安全采取的措施Switchconfig-if#switchportport-securityviolationrestrict命令switchportport-securityviolation{protect|restrict|shutdown}noswitchportport-securityviolation功能:当超过设定MAC地址数量的最大值,或访问该端口的设备MAC地址不是这个MAC地址表中该端口的MAC地址,或同一个VLAN中一个MAC地址被配置在几个端口上时,就会引发违反MAC地址安全命令模式端口配置模式参数protect(保护模式)丢弃数据包,不发警告 restrict(限制模式)丢弃数据包,发警告,发出SNMPtrap,同时被记录在syslog日志里 shutdown(关闭模式)这是交换机默认模式,在这种情况下端口立即变为err-disable状态,并且关掉端口灯,发出SNMPtrap,同时被记录在syslog日志里,除非管理员手工激活,否则该端口失效查看配置Switch#showport-securityaddress命令showport-securityaddress[interfaceinterface-id]功能显示端口安全MAC地址命令模式特权配置模式参数interface-id指定的显示端口使用指南本命令显示端口安全MAC地址信息,如果不指定端口则显示所有端口安全MAC地址显SecureMacAddressTable-----------------------------------------------------------------VlanMacAddressTypePortsRemaininggemins-------------------------------------100E
0.A
323.5CE1DynamicConfiguredFastEthernet0/1------------------------------------------------------------------验证配置PC1连接在F0/1上,使能F0/1端口Switchconfig#intf0/1Switchconfig-if#shutdownSwitchconfig-if#noshutdownPC1与交换机的PING命令测试结果PCping
192.
168.
1.11Pinging
192.
168.
1.11with32bytesofdata:Replyfrom
192.
168.
1.11:bytes=32time=31msTTL=255Replyfrom
192.
168.
1.11:bytes=32time=31msTTL=255Replyfrom
192.
168.
1.11:bytes=32time=31msTTL=255Replyfrom
192.
168.
1.11:bytes=32time=31msTTL=255Pingstatisticsfor
192.
168.
1.11:Packets:Sent=4Received=4Lost=00%lossApproximateroundtriptimesinmilli-seconds:Minimum=31msMaximum=31msAverage=31ms第六步将PC2的MAC地址绑定在F0/2端口上配置命令与F0/1端口绑定PC1的MAC地址相同PC1连接在F0/2上,使能F0/2端口Switchconfig#intf0/2Switchconfig-if#shutdownSwitchconfig-if#noshutdownPCping
192.
168.
1.11Pinging
192.
168.
1.11with32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Replyfrom
192.
168.
1.11:bytes=32time=32msTTL=255Pingstatisticsfor
192.
168.
1.11:Packets:Sent=4Received=1Lost=375%lossApproximateroundtriptimesinmilli-seconds:Minimum=32msMaximum=32msAverage=32ms
1.5完整的配置文档Switch#shorunBuildingconfiguration...…………!interfaceFastEthernet0/1switchportmodeaccessswitchportport-securityswitchportport-securitymac-address00E
0.A
323.5CE1!interfaceFastEthernet0/2switchportmodeaccessswitchportport-securityswitchportport-securitymac-address00D
0.FFA
4.BEB3!interfaceFastEthernet0/3!…………interfaceFastEthernet0/24!interfaceVlan1ipaddress
192.
168.
1.
11255.
255.
255.0!End
1.6实验验证PC连接的端口PING结果原因PC1F0/
1192.
168.
1.11PC1F0/
2192.
168.
1.11PC2F0/
1192.
168.
1.11PC2F0/
2192.
168.
1.11【实验二】在一个端口上静态绑定多个MAC地址
2.1实验设备
1、2950-24交换机1台
2、PC机4台
3、交叉线1根
4、直通网线4根
2.2组网图PC1PC2PC3PC4SW0F0/1
2.3实验设备IP地址及要求设备名IP地址子网掩码VLAN
1192.
168.
1.
11255.
255.
255.0PC
1192.
168.
1.
1255.
255.
255.0PC
2192.
168.
1.
2255.
255.
255.0PC
3192.
168.
1.
3255.
255.
255.0PC
4192.
168.
1.
4255.
255.
255.0将PC
1、PC
2、PC3的MAC地址都绑定在F0/1端口上,并且分别将三台计算机连接在F0/1端口上都能PING通交换机,但更换为PC4后则不能PING通交换机
2.4配置过程和解释第一步得到PC1主机的mac地址PCipconfig/all第二步配置交换机的IP地址Switchconfig#intvlan1Switchconfig-if#ipadd
192.
168.
1.
11255.
255.
255.0Switchconfig-if#noshutdownSwitchconfig-if#exit第三步使能F0/1端口的MAC地址绑定功能SwitchConfig#interfaceF0/1Switchconfig-if#switchportmodeaccessSwitchconfig-if#switchportport-security第四步添加端口静态安全MAC地址,端口最大安全MAC地址数为3Switchconfig-if#switchportport-securitymaximum3命令switchportport-securitymaximumvaluenoswitchportport-securitymaximum功能设置端口最大安全MAC地址数;本命令的no操作为恢复最大安全地址数为1命令模式端口配置模式参数value端口静态安全MAC地址上限,取值范围1~132缺省情况端口最大安全MAC地址数为1使用指南端口必须使能MAC地址绑定功能之后才能设置端口安全MAC地址上限如果端口静态安全MAC地址数大于设置的最大安全MAC地址数,则设置失败;必须删除端口的静态安全MAC地址,直到端口静态安全MAC地址数不大于设置的最大安全MAC地址数,设置才会成功Switchconfig-if#switchportport-securitymac-addressaaaa.aaaa.aaaaSwitchconfig-if#switchportport-securitymac-addressaaaa.aaaa.bbbbSwitchconfig-if#switchportport-securitymac-addressaaaa.aaaa.cccc当添加第四个MAC地址时,会显示如下信息Totalsecuremac-addressesoninterfaceFastEthernet0/1hasreachedmaximumlimit.第五步配置违反MAC安全采取的措施Switchconfig-if#switchportport-securityviolationrestrict查看配置Switch#showport-securityaddressSecureMacAddressTable-------------------------------------------------------------VlanMacAddressTypePortsRemainingAgemins---------------------------------1AAAA.AAAA.AAAASecureConfiguredFastEthernet0/1-1AAAA.AAAA.BBBBSecureConfiguredFastEthernet0/1-1AAAA.AAAA.CCCCSecureConfiguredFastEthernet0/1------------------------------------------------------------TotalAddressesinSystemexcludingonemacperport:3MaxAddresseslimitinSystemexcludingonemacperport:
10242.5完整的配置文档Switch#shorunBuildingconfiguration...…………!interfaceFastEthernet0/1switchportmodeaccessswitchportport-securityswitchportport-securitymaximum3switchportport-securitymac-addressAAAA.AAAA.AAAAswitchportport-securitymac-addressAAAA.AAAA.BBBBswitchportport-securitymac-addressAAAA.AAAA.CCCC!interfaceFastEthernet0/2!…………interfaceFastEthernet0/24!interfaceVlan1ipaddress
192.
168.
1.
11255.
255.
255.0!End
2.6实验验证PC连接的端口PING结果原因PC1F0/
1192.
168.
1.11PC2F0/
1192.
168.
1.11PC3F0/
1192.
168.
1.11PC4F0/
1192.
168.
1.11【实验三】二层交换机端口动态绑定MAC地址
3.1实验设备
1、2950-24交换机1台
2、PC机4台
3、交叉线1根
4、直通网线4根
3.2组网图PC1PC2PC3PC4SW0F0/1
3.3实验设备IP地址及要求设备名IP地址子网掩码VLAN
1192.
168.
1.
11255.
255.
255.0PC
1192.
168.
1.
1255.
255.
255.0PC
2192.
168.
1.
2255.
255.
255.0PC
3192.
168.
1.
3255.
255.
255.0PC
4192.
168.
1.
4255.
255.
255.0在F0/1端口使用动态绑定功能,使端口能动态学习3个MAC地址,当学习数超过设定学习的最大值,端口将停止学习
3.4配置过程和解释第一步得到PC1主机的mac地址PCipconfig/all第二步配置交换机的IP地址Switchconfig#intvlan1Switchconfig-if#ipadd
192.
168.
1.
11255.
255.
255.0Switchconfig-if#noshutdownSwitchconfig-if#exit第三步使能F0/1端口的MAC地址绑定功能SwitchConfig#interfaceF0/1Switchconfig-if#switchportmodeaccessSwitchconfig-if#switchportport-security第四步动态添加端口安全MAC地址,端口最大安全MAC地址数为3Switchconfig-if#switchportport-securitymaximum3Switchconfig-if#switchportport-securitymac-addresssticky命令switchportport-securitymac-addressstickynoswitchportport-securitymac-addresssticky功能设置端口动态学习MAC地址功能命令模式端口配置模式
3.5完整的配置文档Switch#shorunBuildingconfiguration...Currentconfiguration:1259bytes……!interfaceFastEthernet0/1switchportmodeaccessswitchportport-securityswitchportport-securitymaximum2switchportport-securitymac-addressstickyswitchportport-securityviolationrestrictswitchportport-securitymac-addressstickyAAAA.AAAA.AAAAswitchportport-securitymac-addressstickyAAAA.AAAA.BBBBswitchportport-securitymac-addressstickyAAAA.AAAA.CCCC!interfaceFastEthernet0/2…………interfaceFastEthernet0/24!interfaceVlan1ipaddress
192.
168.
1.
11255.
255.
255.0!End
3.6实验验证PC连接的端口PING结果原因PC1F0/
1192.
168.
1.11PC2F0/
1192.
168.
1.11PC3F0/
1192.
168.
1.11PC4F0/
1192.
168.
1.11课堂小结本次课主要是学习了计算机的MAC地址与交换机上的端口的相对关系,通过将MAC地址绑定在端口上,可以达到简单的安全防护课后作业课内完成教学反思学生对MAC地址的作用还能是能够比较好的理解,通过对端口与MAC的对应关系可以达到对计算机在网络中通讯的控制,这个是比较好应用的一个措施学生还能够感兴趣。