部门计算机特定端口通信的优化方法

学习目标

·了解交换机MAC与端口绑定原理

·熟练掌握MAC与端口绑定的静态、动态方式

任务引言

部门计算机特定端口通信可通过端口与MAC地址绑定实现。端口与MAC地址绑定是指在设备中记录主机的物理地址与端口信息，使被绑定的主机只能在特定的端口连接才能发出数据帧。如果主机连接到非绑定端口，则无法实现正常连网。

知识引入

MAC(Media Access Control)地址，是物理地址，用来定义网络设备的位置。在OSI模型中，第三层网络层负责IP地址，第二层数据链路则负责MAC地址。每一块网卡都有其固定不变的MAC地址。MAC地址共有48位，可用6个十六进制数进行表示。

MAC地址和交换机端口绑定是交换机端口的安全功能之一，通过设置，使一个端口只允许一台或几台确定的设备访问。

工作任务——部门计算机特定端口通信

【工作任务背景】

企业A广州总公司的网络管理员发现公司网络出现乱搭乱接现象，例如有些员工将自己的笔记本接入公司网络，造成重要数据流失。为保证公司网络稳定，共享数据安全，需将员工工作计算机与交换机端口进行绑定。拓扑图如图2－3－1所示。

图2－3－1　端口与MAC地址绑定

【工作任务分析】

不同主机在Fa0/1端口ping交换机VLAN10的IP，当接入主机为PC1时能通，其他主机时不通，则说明绑定成功。为了体现对比效果，PC2设置不同IP地址，接入Fa0/1，ping交换机的IP地址，进行测试。测试主机配置信息，见表2－3－1。

表2－3－1　PC信息

【任务实现】

1.在PC1上执行“ipconfig(物理地址)/all”，获取PC1主机的MAC地址。如图2－3－2所示，PC1的MAC地址为00－03－E4－0A－D8－22。

表2－3－2　PC1物理地址

2.在AccessSw1上将指定的接口划分到VLAN10，为VLAN10创建相应的SVI接口，并设置其地址为192.168.10.1。

3.在AccessSw1的Fa0/1接口上开启端口安全特性。(www.xing528.com)

4.在AccessSw1上通过手动的方式，为接口绑定静态的MAC地址，并配置最大安全MAC地址数为1(默认情况下，最大安全地址数也是1)。请注意，由于Windows和Cisco的MAC地址表示方式不一样，所以在这里需要将地址改为Cisco能够识别的格式。

5.在AccessSw1上使用指令验证配置是否生效。如图2－3－3所示，当前端口安全功能已启用，端口状态为“Secure－up”，违规处理方式为“Shutdown”，允许通信的最大地址数为“1”，当前接口记录地址数为“1”，上一次通信的MAC地址为“0003.E40A.D822:10”(其中此处MAC后面的“:10”代表的是当前地址所处的VLAN ID)。

图2－3－3　端口安全启用情况

6.当AccessSw1的Fa0/1接口替换为PC2时，实验结果见表2－3－2。

表2－3－2　测试结果

问题探究

1.如果不知道MAC地址，如何进行端口与MAC地址的绑定?

2.如何清空端口与MAC地址的绑定?

知识拓展

1.在一个以太口上静态捆绑多个MAC地址。

2.清空端口与MAC地址的绑定。

3.接口启用Port Security功能，最多允许4个MAC地址通行，接口学习MAC地址时，使用Sticky方式动态绑定到接口。

项目拓展

根据所学端口与MAC地址绑定技术完成企业A广州总公司其他部门(销售部、财务部、技术研发部、人事部、行政部)和上海分公司部门(财务部、销售部、市场调研部、行政部)的MAC地址绑定，要求如下:

(1)MAC绑定方式为自动学习。

(2)每个端口的最大绑定数为2。

(3)安全违例方式为丢弃非法MAC的流量，合法MAC的流量不受影响。