交換機埠安全的認識理解與特性，MAC綁定與限制等

大家好，今天我們來學習交流一下交換機埠安全的認識理解與特性，MAC綁定與限制等。

通過本文實驗，主要了解為以下幾點

1、理解交換機的 MAC 表；

2、理解交換機的埠安全；

3、配置交換機的埠安全特性。

實驗參考配置命令

交換機埠安全特性，可以讓配置交換機埠，使得非法的MAC 地址的設備接入時，交換機自動關閉介面或者拒絕非法設備接入，也可以限制某個埠上最大的 MAC 地址數。這裡限制 f0/1 介面只允許R1 接入。如圖所示：

(1) 步驟1：檢查R1 的g0/0 介面的MAC 地址

R1(config)#int g0/0

R1(config-if)#no shutdown

R1(config-if)#ip address 172.16.0.101 255.255.0.0

R1#show int g0/0

GigabitEthernet0/0 is up, line protocol is up

Hardware is MV96340 Ethernet, address is 0019.5535.b828 (bia 0019.5535.b828)

//這裡可以看到g0/0 介面的MAC 地址，記下它

Internet address is 172.16.0.101/16

MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,

（此處省略）

(2) 步驟2：配置交換機埠安全

S1(config)#int f0/1

S1(config-if)#shutdown

S1(config-if)#switch mode access

//以上命令把埠改為訪問模式，即用來接入計算機，在下一章詳細介紹該命令的含義。

S1(config-if)#switch port-securitiy

//以上命令是打開交換機的埠安全功能。

S1(config-if)#switch port-securitiy maximum 1

//以上命令只允許該埠下的MAC 條目最大數量為1，即只允許一個設備接入

S1(config-if)#switch port-securitiy violation { protect | shutdown | restrict }

protect:當新的計算機接入時，如果該介面的MAC 條目超過最大數量，則這個新的計算機將無法接入，而原有的計算機不受影響。

shutdown:當新的計算機接入時，如果該介面的MAC 條目超過最大數量，則該介面將會被關閉，則這個新的計算機和原有的計算機都無法接入，需要管理員使用"no shutdown"命令重新打開。

restrict:當新的計算機接入時，如果該介面的MAC 條目超過最大數量，則這個新的計算機可以接入，然而交換機將向發送警告信息。

S1(config-if)#switchport port-security mac-address 0019.5535.b828

//允許R1 路由器從f0/1 介面接入

S1(config-if)#no shutdown

S1(config)#int vlan1

S1(config-if)#no shutdown

S1(config-if)#ip address 172.16.0.1 255.255.0.0

//以上配置交換機的管理地址

(3) 步驟3：檢查MAC 地址表

S1#show mac-address-table

Mac Address Table

-------------------------------------------

（此處省略）

Vlan Mac Address Type Ports

---- ----------- -------- -----

All 0100.0ccc.cccc STATIC CPU

1 0018.ba11.eb91 DYNAMIC Fa0/15

1 0019.5535.b828 STATIC Fa0/1

Total Mac Addresses for this criterion: 24

//R1 的MAC 已經被登記在f0/1 介面，並且表明是靜態加入的

(4) 步驟4：模擬非法接入

這時從R1 ping 交換機的管理地址，可以ping 通,如下：

R1#ping 172.16.0.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

在R1 上修改g0/0 的MAC 地址為另一個地址， 模擬是另外一台設備接入。 如下：

R1(config)#int g0/0

R1(config-if)#mac-address 12.12.12

幾秒鐘後，則在S1 上，出現：

01:09:39: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting

Fa0/1 inerr-disable state

S1#show port-security

Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action

(Count) (Count) (Count)

---------------------------------------------------------------------------

Fa0/1 1 1 0 Shutdown

---------------------------------------------------------------------------

Total Addresses in System (excluding one mac per port) : 0

Max Addresses limit in System (excluding one mac per port) : 6272 //以上可以查看埠安全的設置情況。

實驗環境

1、Cisco3560 交換機 2台；

2、計算機2 台；

3、Console 電纜 1 條、直通線 3條。

實驗拓撲

實驗內容

1、設置置交換機埠安全特性，限制交換機Switch A的Fa0/1介面只允許最多2個MAC地址PC機接入,違約模式：shutdown。

2、設置置交換機埠安全特性，限制交換機Switch A的Fa0/2介面只允許最多2個MAC地址PC機接入,違約模式：Protect。

3、設置置交換機埠安全特性，限制交換機Switch A的Fa0/3介面只允許最多2個MAC地址PC機接入,違約模式：Restrcit。

4、將Switch B分別接入以上三個介面進行測試，比較測試結果有何不同。

5、 在埠Fa0/1上手工綁定PC2的MAC地址， Fa0/2和Fa0/3上自動綁定PC2的MAC

地址。

6、將Switch B分別接入以上三個介面進行測試，比較測試結果有何不同。

以上為本文全部內容，如有學習需要可使用Cisco Packet Tracer或者其它模擬軟體進行模擬實驗。有問題也可留言提問。感謝大家的觀看。如果大家對網路技術有興趣，歡迎大家關注。

轉載請註明

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！