實驗一：交換機MAC地址與端口的綁定

1 實驗?zāi)康?/p>

  （1）理解二層交換機MAC地址綁定技術(shù)的意義及作用。

  （2）掌握配置交換機MAC地址綁定的方法

2 實驗設(shè)備

   計算機(>1臺)；交換機(1臺), Console電纜（1根），直連雙絞線（>1根）

3 實驗內(nèi)容

通常交換機支持動態(tài)學(xué)習(xí) MAC 地址的功能，每個端口可以動態(tài)學(xué)習(xí)多個 MAC地址，從而實現(xiàn)端口之間已知 MAC地址數(shù)據(jù)流的轉(zhuǎn)發(fā)。當(dāng) MAC地址老化后，則進行廣播處理。也就是說，交換機某接口上學(xué)習(xí)到某 MAC地址后可以進行轉(zhuǎn)發(fā)，如果將連線切換到另外一個接口上交換機將重新學(xué)習(xí)該 MAC地址，從而在新切換的接口上實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)。

但是，有些情況下為了安全和便于管理，需要將 MAC地址與端口進行綁定，端口只允許已綁定 MAC的數(shù)據(jù)流的轉(zhuǎn)發(fā)。即，MAC地址與端口綁定后，該 MAC地址的數(shù)據(jù)流只能從綁定端口進入，其他沒有與端口綁定的 MAC地址的數(shù)據(jù)流不可以從該端口進入。

  MAC地址與端口的綁定可以有效防止陌生計算機的接入，也可以有效防止人為隨意調(diào)換交換機端口。

   配置命令：

1.        使能端口的 MAC地址綁定功能

格式（端口配置模式）：switchport port-security

2.        端口 MAC地址的鎖定

a)格式（端口配置模式）：switchport port-security lock

解釋：鎖定端口。當(dāng)端口鎖定之后，端口的 MAC地址學(xué)習(xí)功能將被關(guān)閉；

    b)格式（端口配置模式）：switchport port-security convert

解釋：將端口學(xué)習(xí)到的動態(tài)安全 MAC 地址轉(zhuǎn)化為靜態(tài)安全 MAC地址。

c)格式（端口配置模式）：switchport port-security timeout  <value>

解釋：打開端口鎖定定時器功能

d) 格式（端口配置模式）:switchport port-security mac-address <mac-address>

解釋：添加靜態(tài)安全 MAC地址

3.        MAC地址綁定的屬性配置

a)格式（端口配置模式）：switchport port-security maximum  <value>

解釋：設(shè)置交換機端口最大安全 MAC 地址數(shù)

   b)格式（端口配置模式）：switchport port-security violation {protect | shutdown}

解釋：設(shè)置當(dāng)違反了端口的綁定規(guī)則時，對端口的處理方式。protect方式當(dāng)違反規(guī)則后，對數(shù)據(jù)幀作簡單拋棄處理；shutdown方式則會使得端口進shutdown掉。

實驗步驟：

                                                           圖1：MAC地址綁定拓?fù)鋱D

1、實驗前測試即準(zhǔn)備：配置PC0 IP為192.168.0.1；PC1 ip為192.168.0.2。PC0連接交換機FastEthernet 0/1口；PC1連接交換機FastEthernet 0/2口。

在PC0上使用ipconfig /all命令得出其MAC地址為00E0.A360.C454

同理得PC1的MAC地址為：000D.BDAD.DACD

在PC0上ping PC1的結(jié)果為:

2、配置MAC地址綁定

Switch>enable

Switch#configure t

Switch(config)#interface f0/1

Switch(config-if)#switchport mode access   將f0/1端口配置為接入模式

Switch(config-if)#switchport port-security  打開MAC地址綁定功能

Switch(config-if)#switchport port-security mac-address 00E0.A360.C454 在f0/1端口上綁定靜態(tài)安全MAC地址為00E0.A360.C454

Switch(config-if)#switchport port-security violation protect   配置端口綁定違反處理為protect方式

使用show port-secutity address命令顯示綁定結(jié)果：

測試連接：

1、在PC0上ping PC1的結(jié)果為：

測試結(jié)果表明：PC0可以訪問PC1

2、在交換機的f0/1端口上更換主機為PC2，其MAC地址為：0060.3E4D.02A2。IP地址配置成為與PC0相同的ip地址：192.168.0.1。

連接圖為：

在PC2上PING PC1的結(jié)果為：

表明PC2不能接入交換機。

小節(jié)：1.通過手動端口綁定MAC應(yīng)用的安全協(xié)議。

             2.通過自學(xué)習(xí)。