端口地址绑定:【基于端口的MAC地址绑定】
在网络设备上,MAC地址绑定主要有两种方式:基于端口的MAC地址绑定和基于IP地址的MAC地址绑定(其实还有一种,就是端口、MAC地址和IP地址三者同时绑定)。前者主要是在交换机上进行配置,后者既可以在交换机上配置,也可以在路由器和防火墙上进行配置。基于交换机端口绑定MAC地址后,就只有该MAC地址主机才能访问所绑定的交换机端口,防止其他主机访问该端口上的主机;基于IP地址的MAC地址绑定,则只有具有正确的MAC地址与IP地址绑定关系的数据包才允许进行正常的网络通信,防止其他IP地址用户仿冒合法用户的MAC地址。如果同时进行了端口、MAC地址和IP地址绑定,则只有符合三者绑定关系的数据包才能访问相应端口。
实验线路连接图:
DCRS-5526S配置背景:
如果需要将PC1仅在其连接交换机的端口e0/0/1时可以通信,就需要配置端口绑定,将PC1的MAC地址绑定到需要设置的端口。
| switch#config switch(Config)#hostname SwitchA SwitchA(Config)#vlan 10 SwitchA(Config-Vlan10)#switchport interface ethernet 0/0/1-24 SwitchA(Config-Vlan10)#exit SwitchA(Config)#mac-address-table static address 00-30-18-A0-0B-C8 vlan 10 interface ethernet 0/0/1 //在这里我们要使用的是MAC地址表设置 |
测试:
当PC1接交换机1口时,测试和PC2的连通情况,此时可通;若PC1换上其它端口,则不通。
端口镜像:是(port Mirroring)把交换机一个或多个端口(VLAN)的数据镜像到一个或多个端口的方法。由于部署 IDS 产品需要监听网络流量(网络分析仪同样也需要),但是在目前广泛采用的交换网络中监听所有流量有相当大的困难,因此需要通过配置交换机来把一个或多个端口(VLAN)的数据转发到某一个端口来实现对网络的监听。
实验线路连接图: 略。
DCRS-5526S配置背景:
-将交换机的1和3口镜像到20口
monitor--配置端口镜像; session--配置一个端口镜像;镜像事号码<1-100> source--镜像源端口;destination--镜像目的端口;both--管理发送和接收的流量; rx--只管理接收的流量;tx--只管理发送的流量
配置:
| SwitchA(Config)#monitor session 1 source interface ethernet 0/0/1 SwitchA(Config)#monitor session 1 source interface ethernet 0/0/3 SwitchA(Config)#monitor session 1 destination interface ethernet 0/0/20 |
