在一些特殊情况,有些单位或部门不希望非法用户的计算机设备接入内部局域网。这个时候作为网络管理员就可以通过对交换机进行端口和mac绑定技术来限制外来计算机设备接入内部网络。
我们知道每台计算机的网卡都有一个具有唯一性且不可更改的mac地址,这个地址可以作为计算机的有效识别标识。我们只要把这个mac地址和部门交换机对应的端口绑定了,那么其它计算机设备就无法在这个端口上使用了。
下面我们通过一个小实例来讲解交换机端口和mac如何绑定。
一、拓扑图
二、配置思路
将mac地址为0003.E404.A5C0的pc机绑定在交换机f0/1口上,将mac地址为0040.0BBD.9196的PC机绑定在f0/2口上。这样配置之后交换机1、2接口就只能接入这两台PC机,其他PC机连接上去是无法使用的。一定要注意是交换机这两个绑定接口只能使用绑定的PC机,而PC机还可以在其他端口使用。
三、配置命令
1、获取PC机Mac地址。
对于思科模拟器我们是直接点击config选项卡中的fastethernet,然后就可以看到Mac地址。
真实环境我们获取Mac地址的方法是,在开始菜单下"运行",输入cmd命令,调用虚拟dos窗口,
输入ipconfig/all命令查看本地连接(本机网卡)中的Mac地址。
2、交换机配置
Switch>enable
Switch#config
Switch(config)#
Switch(config)#interface f0/1
Switch(config-if)#switchport mode access (将端口模式设置为access模式,默认是dynamic port,不能配置Mac绑定)
Switch(config-if)#switchport port-security (开启端口绑定)
Switch(config-if)#switchport port-security mac-address 0003.e404.a5c0(绑定pc0的Mac地址,必须写对,否则绑定就没用了)
Switch(config-if)#interface f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0040.0bbd.9196
Switch(config-if)#exit
配置完成后两台PC机可以在这两个接口上正常使用。
接下来我们再接入一台其他PC机,如图所示。
这台PC机的Mac地址与绑定在端口上的Mac地址不同,所以交换机关闭端口,图中现在端口为红色,表示不能使用。
我们查看端口信息,端口为down状态,PC机在这个接口不能使用。
查看命令:在enable模式输入show interface f0/1
总结:这样配置完后,交换机1口只能使用pc0,2口只能使用pc1,其他PC机连接上去是无法使用的。但pc0和pc1连接到其他端口是可以正常使用的。
由于思科模拟器只能使用绑定Mac,我今天就讲解了端口和mac的绑定技术,端口还可以绑定其他信息我在后边还会陆续讲解。