应用环境
1、当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时,网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。当网络的布置很随意时,任何用户只要插上网线,在任何位置都能够上网,这虽然使正常情况下的大多数用户很满意,但一旦发生网络故障,网管人员却很难快速准确定位根源主机,就更谈不上将它隔离了。端口与地址绑定技术使主机必须与某一端口进行绑定,也就是说,特定主机只有在某个特定端口下发出数据帧,才能被交换机接收并传输到网络上,如果这台主机移动到其他位置,则无法实现正常的连网。这样做看起来似乎对用户苛刻了一些,而且对于有大量使用便携机的员工的园区网并不适用,但基于安全管理的角度考虑,它却起到了至关重要的作用。
2、为了安全和便于管理,需要将 MAC 地址与端口进行绑定,即,MAC 地址与端口绑定后,该MAC 地址的数据流只能从绑定端口进入,不能从其他端口进入。该端口可以允许其他MAC 地址的数据流通过。
实验结构
实验过程
两层交换机
(1)给主机设置IP
(2)查看安全端口:Switch#show port-security address
(3)动态绑定:
Switch(config)#interface f0/1 #绑定端口1Switch(config-if)#switchport mode access #启用模式Switch(config-if)#switchport port-security #启用安全端口Switch(config-if)#exitSwitch(config)#exitSwitch#show port-security address #查看安全端口
此时查看结果不显示MAC地址:
需要主机1 ping 主机2,结果通,再次查看,才显示MAC地址:
可看见Mac地址显示:0090.216C.2EA4
(4)静态绑定:给端口1做了静态绑定,再和别的机器相连就不能通
(解决:主机机/配置/端口1:双击打开)
Switch(config)#interface f0/1Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-security mac-address 0090.216C.2EA4Switch(config-if)#exitSwitch(config)#exitSwitch#show port-security address
(5)粘滞绑定
Switch(config)#interface f0/1Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-security mac-address stickySwitch(config-if)#exitSwitch(config)#exitSwitch#show port-security address
粘滞绑定完成,查看安全端口也不显示MAC地址,需要ping之后再查看,才显示
并且粘滞绑定之后,该端口粘着被绑定的机器,此时该端口再连别的机器则不能通,因为后者的MAC地址与粘滞绑定的地址不一样,所以不通
(6)清空:Switch#clear port-security all
