神州数码DCS-3950交换机进行端口绑定

以神州数码DCS-3950进行端口绑定

端口绑定的重要性就不再多说了,避免电脑随意接入交换机

一、仅MAC与端口绑定(通过Port-Security)

DCS-3950-26C#conf
DCS-3950-26C(config)#int e0/0/1                          --端口绑定需要进入到接口内部,仅对当前口生效
DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security        --开启端口安全模式
DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security mac-address aa-22-33-44-55-66  --对aa-22-33-44-55-66与端口1进行绑定
DCS-3950-26C(config-if-ethernet0/0/1)#

测试现象,当aa-22-33-44-55-66这台电脑连接到端口1时,可以正常工作,连接到其他端口时,交换机不为其转发数据帧,网络不通;当其他MAC地址连入交换机时,插入到包括1在内的任意端口,都可以正常工作,交换机都为其转发。

端口安全缺省一个端口只能配置一个条目,如需配置多个条目,需要进行如下设置

DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security maximum ?
  <1-128>  Maximum addrs <1-128>

输入所需的数目即可。

另外,port-security还可以动态学习,然后锁定,再转化,动态绑定

DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security lock
DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security convert

锁定之后,交换机不再学习从这个端口新接入的MAC

 

结论:被绑定的MAC地址只能工作在绑定的端口上;没有绑定的MAC地址可以工作在任意端口上。

 二、仅MAC与端口绑定(通过mac-address-table)

接下来利用不同的命令实现与刚才相同的实验结果。这次利用交换机的MAC地址表,将需绑定的地址静态的配置到某个端口上,不让其他端口学习这个MAC地址,实现绑定的功能。

DCS-3950-26C(config)#mac-address-table static address aa-22-33-44-55-66 vlan 1 interface e0/0/2

DCS-3950-26C(config)#mac-add sta add aa-22-33-55-66-77 vl 1 int e0/0/2

在第二个端口上同时做了两个地址的绑定,实验现象与第一个完全相同。

三、MAC、IP端口三者绑定(通过am命令)

上述的两个例子中,都只是对MAC地址作了限制,没有对IP进行绑定,实际操作中,很多情况都会对IP地址也进行绑定,避免出现IP冲突的现象。

DCS-3950-26C(config)#am enable     --开启交换机am功能

DCS-3950-26C(config-if-ethernet0/0/14)#am port    --开启端口am功能,将端口设置为am后,没有添加条目的情况下,连入该端口的都为不通。

此时测试处于14端口下的电脑ping其他端口的电脑,不通;其他端口电脑间互ping,都通

DCS-3950-26C(config-if-ethernet0/0/14)#am mac-ip-pool 00-e0-42-04-0f-4a 172.16.0.1
DCS-3950-26C(config-if-ethernet0/0/14)#

此时14端口下的00-e0-42-04-0f-4a 172.16.0.1这台电脑与其他电脑能够ping通,其他14端口下的仍然不能

DCS-3950-26C(config-if-ethernet0/0/14)#am mac-ip-pool 00-e0-81-08-16-ac 172.16.0.2
DCS-3950-26C(config-if-ethernet0/0/14)#

此时14端口下的00-e0-42-04-0f-4a 172.16.0.1与00-e0-81-08-16-ac 172.16.0.2这两台电脑
与其他电脑能够ping通,其他14端口下的仍然不能

拔下插在14口的网线插到15口,测试效果,结果是通

拔下其他口的网线,插入到14口,测试效果,结果是不通

关闭am功能
可以在端口关闭 no am port
也可以全局关闭 no am enable

结论:am可以实现端口与MAC、IP的绑定,但是将网线插入到其他端口后,am就无能为力了。

 

四、真正意义的绑定

结合使用port-security与am或mac-address-table与am
实现真正意义的绑定。

时间: 2024-09-27 07:44:08

神州数码DCS-3950交换机进行端口绑定的相关文章

神州数码交换机利用mac-ip访问控制列表功能实现单端口下多条MAC-IP的绑定

神州数码交换机利用mac-ip访问控制列表功能实现单端口下多条MAC-IP的绑定 1.描述: 某集团公司办公网,核心交换机为神州数码DCRS-5950-28T,根据办公楼层划分若干个VLAN,为每个楼层分别划分不同的IP段并设定网关.接口ethernet 1/18-20为ACCESS口,18口所属VlanID1021,端口下分别连接各楼层的非网管交换机做为办公PC的接入交换机. 2.需求: 客户要求从核心交换机ethernet 1/18口上做MAC-IP绑定,避免集团PC私自更改IP地址,同时也

IP、MAC如何与交换机端口绑定

信息安全管理者都希望在发生安全事件时,不仅可以定位到计算机,而且定位到使用者的实际位置,利用MAC与IP的绑定是常用的方式,IP地址是计算机的"姓名",网络连接时都使用这个名字:MAC地址则是计算机网卡的"身份证号",不会有相同的,因为在厂家生产时就确定了它的编号.IP地址的修改是方便的,也有很多工具软件,可以方便地修改MAC地址,"身份冒充"相对容易,网络就不安全了. 遵从"花瓶模型"信任体系的思路,对用户进行身份鉴别,大多

华为S6502交换机端口绑定acl 总是提示资源不足

问题描述 华为S6502交换机端口绑定acl 总是提示资源不足 华为S6502交换机端口绑定acl 最后一条acl 为rule deny ip 端口绑定时总是提示资源不足,![图片说明](http://img.ask.csdn.net/upload/201507/07/1436236121_159537.jpg) 有看到说可能是mask满了的原因,![图片说明](http://img.ask.csdn.net/upload/201507/07/1436236146_774743.png)![图片

神州数码DCRS-5750-28T交换机(跨VLAN不通)手动开启三层转发命令

神州数码DCRS-5750-28T三层交换机,实现跨VLAN路有时,必须手动开启三层硬件转发,否则跨VLAN不通! 命令如下: DCRS-5750-28T(config)#ipv4 hardware forwarding enable 回车 然后保存.重启. PS:如果不重启,交换机为L3软件转发模式,性能比较差:重启后才是L3硬件转发模式.切记!!! 下面是命令截图:

神州数码宽带接入服务器解决方案

神州数码BAS设备DCRS-6608可以提供PPPOE.WEB PORTAL+DHCP.802.1x等多种认证计费模式,可构建低成本.高性能.基于IP内核的可运营宽带城域网. 1. 以太 网接入 可以在部分居民小区提供LAN接入方式,用户通过PPPoE方式拨号上网或采用WEB认证方式上网,可以采用包月制.按时长.按流量等的多种收费方式: 2. ADSL接入 利用现有的电话线资源在所有的覆盖范围包括居民小区.商业写字楼.高校以及企业等提供ADSL宽带接入,用户通过PPPoE方式拨号上网,提供两种收

如何加速交换机的端口初始化进程

当把电脑连到一台交换机上时,可能需要30秒甚至更多的时间,电脑才可以使用网络进行通讯.如果你正着急等着要用,30秒的等待足以让你感觉无比漫长.让我们来看看如何才能加速交换机的端口初始化进程. 了解交换机端口初始化的过程 当把设备连上已经启 动的交换机的端口,交换机端口一般会经历4各步骤.我们来仔细看一下. 生成树协议(STP)初始化 STP是IEEE 802.1d协议,它阻止一个局域网里形成环路.测试此交换机端口是必要的:启动STP时会在局域网内形成一次循环.如果连上来的是一台集线器.交换机或者

juniper ssg140 物理端口绑定网段的问题

问题描述 juniper ssg140 物理端口绑定网段的问题 juniper ssg140防火墙现采用了3个物理端口,ethernet0/0的IP地址分配了192.168.3.1/32对应3(192.168.3.0/24)网段,ethernet0/1的IP地址分配了192.168.0.1/32对应0(192.168.0.0/24)网段,ethernet0/2的IP地址对应外网固定IP.ethernet0/0.ethernet0/1分别连接独立的二层交换机,内网主机采用手动分配IP.并建立了对应

神州数码获思科包销 独家包销UCS-C系服务器

近日,http://www.aliyun.com/zixun/aggregation/14760.html">神州数码集团思科业务本部宣布与思科签署协议,其将在3721.html">2014年独家包销思科UCS C220M3及UCS C240M3两路共四款机架式服务器.这是继2012-2013年连续获得思科S系列CVR328W(少林).MS200X(淘宝)及500/500X系列交换机之后,神州数码第三次获得思科产品在中国市场的独家包销权. "独家包销"形

神州数码发电企业EAM整体解决方案

一.管理思想 神州数码发电企业EAM解决方案是站在发电企业战略资产管理的角度上,基于全面资产维护的思路,充分借鉴TPM(全员维修).RCM(可靠性维护)和状态维修.PM(项目管理)等先进的资产管理思想,结合中国发电企业资产设备管理的特性,以提高资产利用率.降低企业运行维护成本为目标,以优化企业维修资源为核心,整合资源和优化流程,合理安排维修计划及相关资源与活动,全面构建安全.可靠.统一而开放的发电企业资产管理信息化的平台,实现维修规划.维修处理和维修分析三个层次闭环优化和动态改进,最终实现发电企