MAC地址与端口绑定详解

MAC 地址与端口绑定详解地址与端口绑定详解 在网络安全越来越重要的今天 高校和企业对于局域网的安全控 制也越来越严格 普遍采用的做法之一就是 IP 地址 网卡的 MAC 地址与交换机端口绑定 但是 MAC 与交换机端口快速绑定的具体 实现的原理和步骤却少有文章 我们通常说的 MAC 地址与交换机端口绑定其实就是交换机端口 安全功能 端口安全功能能让您配置一个端口只允许一台或者几台 确定的设备访问那个交换机 能根据 MAC 地址确定允许访问的设 备 允许访问的设备的 MAC 地址既可以手工配置 也可以从交换 机 学到 当一个未批准的 MAC 地址试图访问端口的时候 交换 机会挂起或者禁用该端口等等 一 首先必须明白两个概念 可靠的 MAC 地址 配置时候有三种类型 静态可靠的 MAC 地址 在交换机接口模式下手动配置 这个配置 会被保存在交换机 MAC 地址表和运行配置文件中 交换机重新启 动后不丢失 当然是在保存配置完成后 具体命令如下 Switch config if switchport port security mac address Mac 地址 动态可靠的 MAC 地址 这种类型是交换机默认的类型 在这种类 型下 交换机会动态学习 MAC 地址 但是这个配置只会保存在 MAC 地址表中 不会保存在运行配置文件中 并且交换机重新启动 后 这些 MAC 地址表中的 MAC 地址自动会被清除 黏性可靠的 MAC 地址 这种类型下 可以手动配置 MAC 地址和 端口的绑定 也可以让交换机自动学习来绑定 这个配置会被保存 在 MAC 地址中和运行配置文件中 如果保存配置 交换机重起动 后不用再自动重新学习 MAC 地址 虽然黏性的可靠的 MAC 地址 可以手动配置 但是 CISCO 官方不推荐这样做 具体命令如下 Switch config if switchport port security mac address sticky 其实在上面这条命令配置后并且该端口得到 MAC 地址后 会自动 生成一条配置命令 Switch config if switchport port security mac address sticky Mac 地址 这也是为何在这种类型下 CISCO 不推荐手动配置 MAC 地址的原因 二 违反 MAC 安全采取的措施 当超过设定 MAC 地址数量的最大值 或访问该端口的设备 MAC 地址不是这个 MAC 地址表中该端口的 MAC 地址 或同一个 VLAN 中一个 MAC 地址被配置在几个端口上时 就会引发违反 MAC 地址安全 这个时候采取的措施有三种 1 保护模式 protect 丢弃数据包 不发警告 2 限制模式 restrict 丢弃数据包 发警告 发出 SNMP trap 同时被记录在 syslog 日志里 3 关闭模式 shutdown 这是交换机默认模式 在这种情况下 端口立即变为 err disable 状态 并且关掉端口灯 发出 SNMP trap 同时被记录在 syslog 日志里 除非管理员手工激活 否则该 端口失效 具体命令如下 Switch config if switchport port security violation protect restrict shutdown 配置端口安全时还要注意以下几个问题 端口安全仅仅配置在静态 Access 端口 在 trunk 端口 SPAN 端口 快速以太通道 吉比特以太通道端口组或者被动态划给一个 VLAN 的端口上不能配置端口安全功能 不能基于每 VLAN 设置端 口安全 交换机不支持黏性可靠的 MAC 地址老化时间 protect 和 restrict 模式不能同时设置在同一端口上 下面把上面的知识点连接起来谈谈实现配置步骤的全部命令 1 静态可靠的 MAC 地址的命令步骤 Switch config terminal Switch config interface interface id 进入需要配置的端口 Switch config if switchport mode Access 设置为交换模式 Switch config if switchport port security 打开端口安全模式 Switch config if switchport port security violation protect restrict shutdown 上面这一条命令是可选的 也就是可以不用配置 默认的是 shutdown 模式 但是在实际配置中推荐用 restrict Switch config if switchport port security maximum value 上面这一条命令也是可选的 也就是可以不用配置 默认的 maximum 是一个 MAC 地址 2950 和 3550 交换机的这个最大值 是 132 其实上面这几条命令在静态 黏性下都是一样的 Switch config if switchport port security mac address MAC 地址 上面这一条命令就说明是配置为静态可靠的 MAC 地址 2 动态可靠的 MAC 地址配置 因为是交换机默认的设置 3 黏性可靠的 MAC 地址配置的命令步骤 Switch config terminal Switch config interface interface id Switch config if switchport mode Access Switch config if switchport port security Switch config if switchport port security violation protect restrict shutdown Switch config if switchport port security maximum value 上面这几天命令解释和前面静态讲到原因一样 不再说明 Switch config if switchport port security mac address sticky 上面这一条命令就说明是配置为黏性可靠的 MAC 地址 最后 说说企业中如何快速 MAC 地址与交换机端口绑定 在 实际的运用中常用黏性可靠的 MAC 地址绑定 现在我们在一台 2950EMI 上绑定 方法 1 在 CLI 方式下配置 2950 config int rang fa0 1 48 2950 config if range switchport mode Access 2950 config if range switchport port security 2950 config if range switchport port security mac address violation restrict 2950 config if range switchport port security mac address sticky 这样交换机的 48 个端口都绑定了 注意 在实际运用中要求 把连在交换机上的 PC 机都打开 这样才能学到 MAC 地址 并且要 在学到 MAC 地址后保存配置文件 这样下次就不用再学习 MAC 地址了 然后用 show port security address 查看绑定的端口 确 认配置正确 方法 2 在 WEB 界面下配置 也就是 CMS 集群管理单元 我们通过在 IE 浏览器中输入交换机 IP 地址 就可以进入 然 后在 port port security 下可以选定交换机端口 在 Status 和 Sticky MAC Address 中选 Enable 或 Disabled Violation Action 可以选 Shutdown Restrict Protect 中的一种 Maximum Address Count 1 132 可以填写这个范围的数值 当然还有要求绑定 IP 地址和