在一些特殊情況,有些單位或部門不希望非法使用者的計算機裝置接入內部區域網。這個時候作為網路管理員就可以透過對交換機進行埠和mac繫結技術來限制外來計算機裝置接入內部網路。
我們知道每臺計算機的網絡卡都有一個具有唯一性且不可更改的mac地址,這個地址可以作為計算機的有效識別標識。我們只要把這個mac地址和部門交換機對應的埠綁定了,那麼其它計算機裝置就無法在這個埠上使用了。
下面我們透過一個小例項來講解交換機埠和mac如何繫結。
一、拓撲圖
二、配置思路
將mac地址為0003。E404。A5C0的pc機繫結在交換機f0/1口上,將mac地址為0040。0BBD。9196的PC機繫結在f0/2口上。這樣配置之後交換機1、2介面就只能接入這兩臺PC機,其他PC機連線上去是無法使用的。一定要注意是交換機這兩個繫結介面只能使用繫結的PC機,而PC機還可以在其他埠使用。
三、配置命令
1、獲取PC機Mac地址。
對於思科模擬器我們是直接點選config選項卡中的fastethernet,然後就可以看到Mac地址。
真實環境我們獲取Mac地址的方法是,在開始選單下“執行”,輸入cmd命令,呼叫虛擬dos視窗,
輸入ipconfig/all命令檢視本地連線(本機網絡卡)中的Mac地址。
2、交換機配置
Switch>enable
Switch#config
Switch(config)#
Switch(config)#interface f0/1
Switch(config-if)#switchport mode access (將埠模式設定為access模式,預設是dynamic port,不能配置Mac繫結)
Switch(config-if)#switchport port-security (開啟埠繫結)
Switch(config-if)#switchport port-security mac-address 0003。e404。a5c0(繫結pc0的Mac地址,必須寫對,否則繫結就沒用了)
Switch(config-if)#interface f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0040。0bbd。9196
Switch(config-if)#exit
配置完成後兩臺PC機可以在這兩個介面上正常使用。
接下來我們再接入一臺其他PC機,如圖所示。
這臺PC機的Mac地址與繫結在埠上的Mac地址不同,所以交換機關閉埠,圖中現在埠為紅色,表示不能使用。
我們檢視埠資訊,埠為down狀態,PC機在這個介面不能使用。
檢視命令:在enable模式輸入show interface f0/1
總結:這樣配置完後,交換機1口只能使用pc0,2口只能使用pc1,其他PC機連線上去是無法使用的。但pc0和pc1連線到其他埠是可以正常使用的。
由於思科模擬器只能使用繫結Mac,我今天就講解了埠和mac的繫結技術,埠還可以繫結其他資訊我在後邊還會陸續講解。
