还剩8页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
实验七交换机端口与MAC地址绑定(MAC地址与端口动态绑定)
一、实验目的
1.了解什么是交换机的MAC绑定功能;
2.熟练掌握MAC与端口绑定的静态、动态方式
二、应用环境
1.当网络中某机器由于中毒而引发大量的广播数据包在网络中洪泛时,网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开当网络的布置很随意时,任务用户只要插上网线,在任何位置都能够上网,这虽然使正常情况下的大多数用户很满意,但一旦发生网络故障,网管人员却很难快速准确定位根源主机,就更谈不上将它隔离了端口与地址绑定技术使主机必须与某一端口进行绑定,也就是说,特定主机只有在某个特定端口下发出数据帧,才能被交换机接收并传输到网络上,如果这台主机移动到其他位置,则无法实现正常的连网这样做看起来似乎对用户苛刻了一些,而且对于有大量使用便携机的员工的园区并不适用,但基于安全管理的角度考虑,它却起到了至关重要的作用
2.为了安全和便于管理,需要将MAC地址与端口进行绑定,即,MAC地址与端口绑定后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入该端口可以允许其他MAC地址的数据流通过但是如果绑定方式采用动态lock的方式会使该端口的地址学习功能关闭,因此在取消lock之前,其他MAC的主机也不能从这个端口进入
三、实验设备及材料
1.DCS-3926S交换机1台
2.PC机2台
3.Console线1根
4.直通网线2根
四、实验拓扑图
五、实验内容与要求
1、交换机IP地址为
192.
168.
10.1/24,PC1的地址为
192.
168.
10.201/24,PC2的地址为
192.
168.
10.202/24;网络设置如下表所示PCIP地址子网掩码交换机192.168.10.1255.255.255.0PC1192.168.10.201255.255.255.0PC2192.168.10.202255.255.255.
02、在交换机上作PC1的MAC与端口绑定;
3、PC1在不同端口上Ping交换机的IP,检验理论是否和实验一致;
4、PC2在不同端口上Ping交换机的IP,检验理论是否和实验一致;
六、实验步骤第一步使用[ipconfig/all]命令获得PC1的MAC地址图7-1PC1的MAC地址第二步交换机全部恢复出厂设置图7-2交换机恢复出厂默认值第三步配置交换机IP地址即管理IP图7-3配置交换机的IP地址第四步使能端口的MAC地址绑定功能图7-4使能交换机端口的MAC地址绑定功能第五步添加端口静态安全MAC地址(PC1),缺省端口安全MAC地址数为1图7-5查看交换机的静态MAC地址表(端口上绑定一个MAC地址时)第六步使用Ping命令验证结果PC1绑定PC机交换机端口Ping动作结果原因PC10/0/15通PC10/0/19Ping交换机IP不通PC20/0/
15192.
168.
10.1通PC20/0/19通第七步在一个端口上静态绑定多个MAC地址图7-6查看交换机的静态MAC地址表(端口上绑定多个MAC地址时)备注上面使用的都是静态捆绑MAC地址的方法,下面介绍动态MAC地址绑定的基本方法,首先清空刚才做过的捆绑第八步清空端口与MAC地址绑定
1.清空端口与MAC地址绑定图7-7清空交换机端口与MAC地址绑定
2.查看端口绑定结果图7-8清空之后的安全MAC地址数(空)第九步使能端口的MAC地址绑定功能,动态学习MAC并转换1.首先启用欲绑定端口的动态学习功能图7-9启用端口的动态学习功能2.从PC1PingPC2或交换,让交换机上面有数据包通过,这样才可以捕获MAC3.锁定端口的动态学习功能(关闭学习功能即端口lock)并转换图7-10动态学习并转换第十步使用Ping命令验证结果PC机交换机端口Ping动作结果原因PC10/0/15通PC10/0/19Ping交换机IP不通PC20/0/
15192.
168.
10.1不通PC20/0/19通
七、注意事项及排错
1、如果出现端口无法配置MAC地址绑定功能的情况,请检查交换机的端口是否运行了Spanning-tree,
802.1X,端口汇聚或者端口已经配置为Trunk端口MAC绑定在端口上与这些配置是互斥的,如果该端口要打开MAC地址绑定功能,就必须首先确认端口下的上述功能已经被关闭
2、当动态学习MAC时,无法执行“convert”命令时,请检查PC网卡是否和该正确连接
3、端口Lock之后,该端口MAC地址学习功能被关闭,不允许其他的MAC进入该端口
八、共同思考1.使用三台PC测试端口与MAC绑定功能2.实现多个端口统一绑定
九、本次实验总结
1.使能端口的MAC地址绑定功能SwitchConfig#Interfaceethernet0/0/15进入交换机的15端口SwitchConfig-Ethernet0/0/15#Switchportport-security使能端口的MAC地址绑定
2.添加静态安全MAC地址SwitchConfig-Ethernet0/0/15#Switchportport-securitymac-address10-e0-8c-50-0c-d
13.在一个以太网端口上静态捆绑多个MAC地址;SwitchConfig-Ethernet0/0/15#Switchportport-securitymaximum2设置捆绑的个数SwitchConfig-Ethernet0/0/15#Switchportport-securitymac-address10-e0-8c-50-0c-d1SwitchConfig-Ethernet0/0/15#Switchportport-securitymac-addressaa-aa-aa-aa-aa-aa
4.清空端口与MAC地址绑定SwitchConfig-Ethernet0/0/15#noswitchportport-security
5.使能端口的MAC地址绑定功能,动态学习MAC并转换SwitchConfig-Ethernet0/0/15#Switchportport-security使能端口SwitchConfig-Ethernet0/0/15#Switchportport-securitylock锁定端口学习功能SwitchConfig-Ethernet0/0/15#Switchportport-securityconvert转换为静态MAC
6.恢复出厂默认值Switch#setdefault设置默认值命令Switch#write保存Switch#reload重启交换机************************************************************注每次做完实验之后要把交换机恢复出厂默认值************************************************************备注说明该实验中相关知识点详解请参考《DCS-3926交换机用户使用手册V
3.2》中《第8章MAC地址表》中的相关介绍河南工业大学化学工业职业学院网络技术学院河南工业大学化学工业职业学院神州数码网络工程师认证培训网络技术学院―――网络实验室。