交换机与端口的绑定方法.doc

一、原理 1、首先必须明白两个概念： 可靠的MAC地址。设置时候有三种类型。 静态可靠的MAC地址：在交换机接口模式下手动设置，这个设置会被保存在交换机MAC地址表和运行设置文件中，交换机重新启动后不丢失（当然是在保存设置完成后），具体命令如下： Switch(config-if)#switchport port-security mac-address Mac地址 动态可靠的MAC地址：这种类型是交换机默认的类型。在这种类型下，交换机会动态学习MAC地址，不过这个设置只会保存在MAC地址表中，不会保存在运行设置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。 黏性可靠的MAC地址：这种类型下，能手动设置MAC地址和端口的绑定，也能让交换机自动学习来绑定，这个设置会被保存在MAC地址中和运行设置文件中，如果保存设置，交换机重起动后不用再自动重新学习MAC地址，虽然黏性的可靠的MAC地址能手动设置，不过CISCO官方不推荐这样做。具体命令如下： Switch(config-if)#switchport port-security mac-address sticky 其实在上面这条命令设置后并且该端口得到MAC地址后，会自动生成一条设置命令 Switch(config-if)#switchport port-security mac-address sticky Mac地址 这也是为何在这种类型下CISCO不推荐手动设置MAC地址的原因。 2、违反MAC安全采取的措施： 当超过设定MAC地址数量的最大值，或访问该端口的备MAC地址不是这个MAC地址表中该端口的MAC地址，或同一个VLAN中一个MA地址被设置在几个端口上时，就会引发违反MAC地址安全，这个时候采取的措施有三种： 保护模式（protect）：丢弃数据包，不发警告。 限制模式（restrict）：丢弃数据包发警告，发出SNMP trap，同时被记录在syslog日志里。 关闭模式（shutdown）：这交换机 默认模式，在这种情况下端口即时变为err-disable状态，并且关掉端口灯，发出SNMPtrap，同时被记录在syslog日志里，除非管理员手工激活，否则该端口失效。具体命令下： Switch(config-if)#switchport port-security violation protect | restrict | shutdown 下面这个表一就是具体的对比 Violation Mode Traffic is forwarded Sends SNMP trap Sends syslog message Displays error message Shuts down port protect No No No No No restrict No Yes Yes No No shutdown No Yes Yes No Yes 表一 设置端口安全时还要注意以下几个问题： 端口安全仅仅设置在静态Access端口；在trunk端口、SPAN端口、快速以太通道、吉比特以太通道端口组或被动态划给一个VLAN的端口上不能设置端口安全功能；不能基于每VLAN设置端口安全；交换机不支持黏性可靠的MAC地址老化时间。protect和restrict模式不能同时设置在同一端口上。 下面寻修网把上面的知识点连接起来谈谈实现设置步骤的全部命令。 1 静态可靠的MAC地址的命令步骤： Switch#config terminal Switch(config)#interface interface-id 进入需要设置的端口 Switch(config-if)#switchport mode Access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation protect | restrict | shutdown 上面这一条命令是可选的，也就是能不用设置，默认的是shutdown模式，不过在实际设置中寻修网推荐用restrict。 Switch(config-if)#switchport port-security maximum value 上面这一条命令也是可选的，也就是能不用设置，默认的maximum是个MAC地址，2950和3550交换机的这个最大值是132。 其实上面这几条命令在静态、黏性下都是相同的， Switch(config-if)#switchport port-security mac-address MAC地址 上面这一条命令就说明是设置为静态可靠的MAC地址 2动态可靠的MAC地址设置，因为是交换机默认的设置。 3黏性可靠的MAC地址设置的命令步骤： Switch#config terminal Switch(config)#interface interface-id Switch(config-if)#switchport mode Access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation protect | restrict | shutdown Switch(config-if)#switchport port-security maximum value 上面这几天命令解释和前面静态讲到原因相同，不再说明。 Switch(config-if)#switchport port-security mac-address sticky 上面这一条命令就说明是设置为黏性可靠的MAC地址。 最后，说说企业中怎么快速MAC地址和交换机端口绑定。在实际的运用中常用黏性可靠的MAC地址绑定，目前我们在一台2950EMI上绑定。 方法1：在CLI方式下设置 2950 (config)#int rang fa0/1 - 48 2950 (config-if-range)#switchport mode Access 2950 (config-if-range)#switchport port-security 2950 (config-if-range)#switchport port-security mac-address violation restrict 2950 (config-if-range)#switchport port-security mac-address sticky 这样交换机的48个端口都绑定了，寻修网提示大家注意：在实际运用中需求把连在交换机上的PC机都打开，这样才能学到MAC地址，并且要在学到MAC地址后保存设置文件，这样下次就不用再学习MAC地址了，然后用show port-security address查看绑定的端口，确认设置正确。 方法2：在WEB界面下设置，也就是CMS（集群管理单元） 我们通过在IE浏览器中输入交换机IP地址，就能进入，然后在port?port security下能选定交换机端口，在Status和Sticky MAC Address中选Enable或Disabled，Violation Action能选Shutdown、Restrict、Protect中的一种，Maximum Address Count（1-132）能填写这个范围的数值。 当然更有需求绑定IP地址和MAC地址的，这个就需要三层或以上的交换了，因为我们知道普通的交换机都是工作在第二层，也就是使数据链路层，是不可能绑定IP的。如果企业是星型的网络，中心交换机是带三层或以上功能的。我们就能在上绑定， Switch(config)#arp Ip地址 Mac地址 arpa 二 交换机与端口进行绑定的方法1、端口+MACa)AM命令使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。例如：SwitchAam user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。b)mac-address命令使用mac-address static命令，来完成MAC地址与端口之间的绑定。例如：SwitchAmac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1SwitchAmac-address max-mac-count 0配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习。2、IP+MACa)AM命令使用特殊的AM User-bind命令，来完成IP地址与MAC地址之间的绑定。例如：SwitchAam user-bind ip-address mac-address 00e0-fc22-f8d3 配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定，即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。支持型号：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024Gb)arp命令使用特殊的arp static命令，来完成IP地址与MAC地址之间的绑定。例如：SwitchAarp static 00e0-fc22-f8d3 配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。3、端口+IP+MAC使用特殊的AM User-bind命令，来完成IP、MAC地址与端口之间的绑定。例如：SwitchAam user-bind ip-address mac-address 00e0-fc22-f8d3 interface Ethernet 0/1配置说明：可以完成将PC1的IP地址、MAC地址与端口E0/1之