收藏
下载资源

交换机与端口的绑定方法

上传人:人*** 文档编号:519728803 上传时间:2023-08-18 格式:DOC 页数:8 大小:37.50KB
返回 下载 相关 举报
交换机与端口的绑定方法_第1页
第1页 / 共8页
交换机与端口的绑定方法_第2页
第2页 / 共8页
交换机与端口的绑定方法_第3页
第3页 / 共8页
交换机与端口的绑定方法_第4页
第4页 / 共8页
交换机与端口的绑定方法_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《交换机与端口的绑定方法》由会员分享,可在线阅读,更多相关《交换机与端口的绑定方法(8页珍藏版)》请在金锄头文库上搜索。

1、、原理1、首先必须明白两个概念:可靠的MAC地址。设置时候有三种类型。静态可靠的MAC地址:在交换机接口模式下手动设置,这个设 置会被保存在交换机MAC地址表和运行设置文件中,交换机重新启动 后不丢失(当然是在保存设置完成后),具体命令如下:Switch(c on fig-if)#switchport port-security mac-address M地址动态可靠的MAC地址:这种类型是交换机默认的类型。在这种 类型下,交换机会动态学习MAC地址,不过这个设置只会保存在MAC 地址表中,不会保存在运行设置文件中,并且交换机重新启动后,这 些MAC地址表中的MAC地址自动会被清除。黏性可靠的

2、MAC地址:这种类型下,能手动设置MAC地址和端 口的绑定,也能让交换机自动学习来绑定,这个设置会被保存在MAC 地址中和运行设置文件中,如果保存设置,交换机重起动后不用再自 动重新学习MAC地址,虽然黏性的可靠的MAC地址能手动设置,不 过CISCC官方不推荐这样做。具体命令如下:Switch(c on fig-if)#switchport port-security mac-address stick其 实在上 面这条命令设置后并且该端口得到MAC地址后,会自动生成一条设置 命令 Switch(config-if)#switchport port-security mac-address

3、sticky Mac 地址 这也是为何在这种类型下CISC(不推荐手动设置MAC地址的原 因。2、违反MAC安全采取的措施:当超过设定MAC地址数量的最大值,或访问该端口的备MAC地址不是这个MAC地址表中该端口的MAC地址,或同一个VLAN中一个 MA地址被设置在几个端口上时,就会引发违反MAC地址安全,这个时候采取的措施有三种:保护模式(protect):丢弃数据包,不发警告。 限制模式(restrict):丢弃数据包发警告,发出SNMP trap同时 被记录在syslog日志里。关闭模式(shutdown):这交换机默认模式,在这种情况下端口 即时变为err-disable状态,并且关掉

4、端口灯,发出SNMPtrap 同时被记录在syslog日志里,除非管理员手工激活,否则该端口 失效。具体命令下:Switch(config-if)#switchport port-security violation protect | restrict | shutdown 面这个表一就是具体的对比 Violation Mode Traffic is forwarded down port protect No No No No No restrict No Yes Yes No No shutdownSends SNMP trap Sends syslog message Displays

5、 emrreosrsage ShutsNo Yes Yes No Y表一 设置端口安全时还要注意以下几个问题:端口安全仅仅设置在静态Access端口;在trunk端口、SPAN端口、快速以太通道、吉比特以太通道端口组或被动态划给一个VLAN的端口上不能设置端口安全功能;不能基于每VLAN设置端口安全;交换机不 支持黏性可靠的MAC地址老化时间。protect和restrict模式不能同时 设置在同一端口上。下面寻修网把上面的知识点连接起来谈谈实现设置步骤的全部 命令。1. 静态可靠的MAC地址的命令步骤:Switch#config terminalSwitch(c on fig)# in te

6、rface in terface-i进入需要设置的端口 Switch(c on fig-if)#switchport mode AcceSS 置为交换模式 Switch(c on fig-if)#switchport port-securit打开端口安全模式 Switch(config-if)#switchport port-security violation protect | restrict | shutdown 上面这一条命令是可选的,也就是能不用 设置,默认的是shutdown模式,不过在实际设置中寻修网推荐 用 restrict。Switch(config-if)#switchp

7、ort port-security maximumvalue 上面这一条命令也是可选的,也就是能不用设置,默认的maximum是个MAC地址,2950和3550交换机的这个最大值 是 132。其实上面这几条命令在静态、黏性下都是相同的,Switch(c on fig-if)#switchport port-security mac-address M地址 上面这一条命令就说明是设置为静态可靠的MAC地址2. 动态可靠的MAC地址设置,因为是交换机默认的设置。3. 黏性可靠的MAC地址设置的命令步骤:Switch#config terminalSwitch(config)#interface i

8、nterface-idSwitch(config-if)#switchportmode Access Switch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security violation protect | restrict| shutdown Switch(config-if)#switchport port-security maximum value 上面这几天命令解释和前面静态讲到原因相同,不再说明。 Switch(c on fig-if)#switchport port-secur

9、ity mac-address sticky面 一条命令就说明是设置为黏性可靠的MAC地址。最后,说说企业中怎么快速MAC地址和交换机端口绑定。在实际的运用中常用 黏性可靠的MAC地址绑定,目前我们在一台2950EMI上绑定。方 法 1:在 CLI方式下设置 2950 (config)#int rang faO/1 - 482950 (config-if-range)#switchport mode Access 2950 (config-if-range)#switchport port-security2950 (config-if-range)#switchport port-secur

10、ity mac-address violation restrict 2950 (config-if-range)#switchport port-security mac-address sticky 这样交换机的48个端口都绑定了,寻修网提示大家注意:在 实际运用中需求把连在交换机上的PC机都打开,这样才能学到 MAC地址,并且要在学到MAC地址后保存设置文件,这样下次就 不用再学习MAC地址了,然后用show port-security addres查看绑 定的端口,确认设置正确。方法2:在WEB界面下设置,也就是CMS(集群管理单元)我们通过在IE浏览器中输入交换机IP地址,就能进入,

11、然后在portportsecurity下能选定交换机端口,在Status和Sticky MAC Addres中选 Enable或 Disabled Violation Action能选 Shutdown Restrict Protect 中的一种,Maximum Address Count 1-132)能填写这个范围的数 值。当然更有需求绑定IP地址和MAC地址的,这个就需要三层或以上的交换了,因为我们知道普通的交换机都是工作在第二层, 也就是使数据链路层,是不可能绑定IP的。如果企业是星型的网络, 中心交换机是带三层或以上功能的。我们就能在上绑定,Switch(config)#arp I地址

12、 Mac地址 arpa二 交换机与端口进行绑定的方法1、端口+MACa)AM命令使用特殊的AM User-bind命令,来完成MAC地址与端口之间的绑定。例如:SwitchAam user-b ind mac-address 00e0-fc22-f8d3 in terface Ethernet 0/1配置说明:由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网b)mac-addres命令使用mac-address stat命令,来完成MAC地址与端口之间的绑定。例如:Switc

13、hAmac-address static 00e0-fc22-f8d3 in terface Ethernet 0/1 via n 1SwitchAmac-address max-mac-co unt 0配置说明:由于使用了端口学习功能,故静态绑定mac后,需再设置 该端口 mac学习数为0,使其他PC接入此端口后其mac地址无法被学2、IP+MACa)AM命令使用特殊的AM User-bind命令,来完成IP地址与MAC地址之间的绑定。例如:SwitchAam user-b ind ip-addressmac-address 00e0-fc22-f8d3配置说明:以上配置完成对PC机的IP地

14、址和MAC地址的全局绑定, 即与绑定的IP地址或者MAC地址不同的PC机,在任何端口都无法上 网。支持型号:S3026E/EF/C/G/TS3026C-PWRE026E026T S3O5OCEO50S3526E/C/EFS5012T/G S5024Gb)arp命令使用特殊的arp static命令,来完成IP地址与MAC地址之间的绑定。例如:SwitchAarp static 00e0-fc22-f8d3配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定。3、端口+IP+MAC使用特殊的AM User-binc命令,来完成IP、MAC地址与端口之间的绑 定。例如:SwitchAam

15、 user-b ind ip-addressmac-address 00e0-fc22-f8d3 in terfaceEthernet 0/1配置说明:可以完成将PC1的IP地址、MAC地址与端口 E0/1之间的绑定功能。由于使用了端口参数,则会以端口为参照物,即此时端口E0/1只允许PC1上网,而使用其他未绑定的IP地址、MAC地址的PC 机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上 网。支持型号: S3026E/S3026E-FM/S3026;-SFS3026G;S3026C;S3026C-PW;R E3026;E050;S3526E/C;S3526E-FM/FS; S501、2ST5/G024G、S3900、S5600、 S6500(3弋引擎)

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 活动策划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号