部门计算机特定端口通信技术

任务引言

部门计算机特定端口通信可通过端口与MAC地址绑定实现。端口与MAC地址绑定是指在设备中记录主机的物理地址与端口信息，使被绑定的主机只能在特定的端口连接才能发出数据帧。如果主机连接到非绑定端口，则无法实现正常联网。

学习目标

了解交换机MAC与端口绑定原理；

熟练掌握MAC与端口绑定的静态、动态方式。

知识引入

MAC（Media Access Control）地址，或称为物理地址，用来定义网络设备的位置。在OSI参考模型中，第三层网络层负责IP地址，第二层数据链路层则负责MAC地址。每块网卡都有其固定不变的MAC地址。MAC地址共有48位，可用6个十六进制数进行表示。

MAC地址和交换机端口绑定是交换机端口安全功能之一，通过设置一个端口只允许一台或几台确定的设备访问。

【工作任务】——部门计算机特定端口通信

1．工作任务背景

千山公司深圳总公司网络管理员发现公司网络出现乱搭乱接现象，如有些员工将自己的笔记本电脑接入公司网络，造成重要数据流失。为保证公司网络稳定，共享数据安全，需将员工工作计算机与交换机端口进行绑定，如图2-3-1所示。

图2-3-1　端口与MAC地址绑定

2．工作任务分析

PC信息如表2-3-1所示。

表2-3-1　PC信息

PC1在不同端口ping交换机VLAN10的IP，当接入端口0/0/2时能通，接入其他端口不通，则说明绑定成功。为了体现对比效果，PC2接入不同端口ping交换机的IP地址。

【任务实现】

1．通过ipconfig/all获取PC1主机的MAC地址

C：\Windows\system32>ipconfig /all

以太网适配器 本地连接：

媒体状态 ............： 媒体已断开

连接特定的 DNS 后缀 .......：

描述...............： Realtek PCIe GBE Family Controller

物理地址.............： A0-D3-C1-44-0D-B9

DHCP 已启用 ...........： 是

自动配置已启用..........： 是

2．配置交换机VLAN

s2（Config-Vlan10）#vlan 10

s2（Config-Vlan10）#switchport access 0/0/1-4

s2（Config）#interface vlan 10

s2（Config-If-Vlan10）# ip address 192.168.10.1 255.255.255.0

s2（Config-If-Vlan10）#exit

3．开启MAC地址绑定功能

s2（Config）#interface Ethernet 0/0/2

s2（Config-If-Ethernet0/0/2）#switchport port-security

4．添加端口静态安全MAC地址，并配置最大安全MAC地址数为1

s2（Config-If-Ethernet0/0/2）#switchport port-security maximum 1(www.xing528.com)

s2（Config-If-Ethernet0/0/2）#switchport port-security mac-address 10-C3-7B-BA-58-88

s2（Config-If-Ethernet0/0/2）#exit

5．验证配置

利用命令查看效果，如图2-3-2和图2-3-3所示。

图2-3-2　查看端口安全情况

图2-3-3　查看端口与MAC地址绑定

利用PC的ping命令进行验证，如图2-3-4所示。PC测试效果如表2-3-2所示。

图2-3-4　PC连通性测试

表2-3-2　PC测试效果

【问题探究】

（1）如果不知道MAC地址，如何进行端口与MAC地址绑定？

（2）如何清空端口与MAC地址绑定？

【知识拓展】

1．在一个以太口上静态捆绑多个MAC地址

switch（Config）#interface Ethernet 0/0/1

switch（Config-If-Ethernet0/0/1）#switchport port-security maximum 4

switch（Config-If-Ethernet0/0/1）#switchport port-security mac-address 10-C3-7BBA-58-88

switch（Config-If-Ethernet0/0/1）#switchport port-security mac-address 10-C3-7BBA-58-66

switch（Config-If-Ethernet0/0/1）#switchport port-security mac-address 10-C3-7BBA-58-77

2．清空端口与MAC地址绑定

switch（Config）#interface Ethernet 0/0/1

switch（Config-If-Ethernet0/0/1）#no switchport port-security

switch（Config-If-Ethernet0/0/1）#exit

3．通过学习MAC地址实现动态MAC地址绑定

switch（Config）#interface Ethernet 0/0/1

switch（Config-If-Ethernet0/0/1）#switchport port-security

switch（Config-If-Ethernet0/0/1）#switchport port-security maximum 1

switch（Config-If-Ethernet0/0/1）#switchport port-security lock

switch（Config-If-Ethernet0/0/1）#switchport port-security convert

switch（Config-If-Ethernet0/0/1）#exit

【任务拓展】

根据所学端口与MAC地址绑定技术完成千山公司深圳总公司其他部门（财务部、技术研发部、人事部、行政部）和珠海分公司部门（财务部、销售部、市场调研部、行政部）的MAC地址绑定，要求如下：

（1）要求MAC绑定方式为自动学习。

（2）每个端口的最大绑定数为1。

（3）安全违例方式为关闭。