實驗設備:
二層交換機一台,主機三台
實驗步驟:
1、進入相應的接口
(以端口1設置Mac地址綁定,PC0接1端口舉例)
Switch>enable Switch#config Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#
Switch(config)#interface fastEthernet 0/1
2、接口設為access模式
Switch(config-if)#switchport mode access
3、啟用安全端口
Switch(config-if)#switchport port-security
(查看mac-address綁定的幾種方式,分別為靜態綁定和粘滯綁定)
Switch(config-if)#switchport port-security mac-address ? H.H.H 48 bit mac address sticky Configure dynamic secure addresses as sticky
第一種:動態配置
第二種:靜態配置
(其中代碼的最后一列為主機的Mac地址。尋找方法:單擊主機→配置→fastEthernet→mac地址。)
Switch(config-if)#switchport port-security mac-address 0001.C94E.1321
設置完成后,用主機pc0 ping pc2,然后可以在特權模式下通過以下命令查看以下(ctrl+z,快速回到特權模式下)
Switch#show port-security address
若將pc0與端口1的連線斷掉,改用pc3接端口1。在進行 pc3 ping pc2 不通(圖示如下)
第三種:粘滯綁定(效果與靜態綁定效果一樣)
Switch(config-if)#switchport port-security mac-address sticky
若要開啟鎖定的安全端口
單擊交換機→配置→fastEthernet0/1→點擊開啟
補充:
1、查看安全端口的地址(在特權模式下)
Switch#show port-security address
2、清除所有鎖定的安全端口的Mac地址(在特權模式下)
Switch#clear port-security all
3、適用環境
當網絡中某機器由於中毒進而引發大量的廣播數據包在網絡中洪泛時,網絡管理員的唯一想法就是盡快地找到根源主機並把它從網絡中暫時隔離開。
當網絡的布置很隨意時,任何用戶只要插上網線,在任何位置都能夠上網,這雖然使正常情況下的大多數用戶很滿意,但一旦發生網絡故障,網管人員卻
很難快速准確定位根源主機,就更談不上將它隔離了。端口與地址綁定技術使主機必須與某一端口進行綁定,也就是說,特定主機只有在某個特定端口下發出數據幀,
才能被交換機接收並傳輸到網絡上,如果這台主機移動到其他位置,則無法實現正常的連網。這樣做看起來似乎對用戶苛刻了一些,而且對於有大量使用便攜機的員工的園區網並不適用,但基於安全管理的角度考慮,它卻起到了至關重要的作用。
4、設置Mac的作用。
為了安全和便於管理,需要將 MAC 地址與端口進行綁定,即,MAC 地址與端口綁定后,該MAC 地址的數據流只能從綁定端口進入,不能從其他端口進入。該端口可以允許其他MAC 地址的數據流通過。