MAC 地址与交换机端口绑定 文/ 黄陈 在网络安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍采用的做法之一就是IP 地址、 网卡的 MAC 地址与交换机端口绑定，但是 MAC 与交换机端口快速绑定的具体实现的原理和步骤却少有文章。 我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC 地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC 地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。 首先必须明白两个概念， 一：可靠的MAC 地址。配置时候有三种类型， 1：静态可靠的MAC 地址：在交换机接口模式下手动配置，这个配置会被保存在交换机MAC 地址表和运行配置文件中，交换机重新启动后不丢失（当然是在保存配置完成后），具体命令如下： Switch(config-if)#switchport port-security mac-address Mac地址 2 ：动态可靠的MAC地址：这种类型是交换机默认的类型。在这种类型下，交换机会动态学习MAC地址，但是这个配置只会保存在MAC地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC 地址表中的MAC 地址自动会被清除，当然交换机mac存在一个超时的概念，超过这个超时时间， mac 地址会自动被交换机清除，这个mac超时时间是300 秒。 3：黏性可靠的MAC 地址：这种类型下，可以手动配置MAC 地址和端口的绑定，也可以让交换机自动学习来绑定，这个配置会被保存在MAC地址中和运行配置文件中，如果保存配置，交换机重起动后不用再自动重新学习MAC 地址，虽然黏性的可靠的MAC 地址可以手动配置，但是CISCO官方不推荐这样做。具体命令如下： Switch(config-if)#switchport port-security mac-address sticky 其实在上面这条命令配置后并且该端口学到MAC 地址后，会自动生成一条配置命令 Switch(config-if)#switchport port-security mac-address sticky Mac地址 这也是为何在这种类型下 CISCO 不推荐手动配置 MAC 地址可以， 注意这个配置的具体步骤，先关闭要配置的这个端口，再清除掉动态学习来的mac 地址，再配置上面这个命令，最后才启用这个端口，这个才能学习过来，否则可能有一些学习不过来。 二：违反 MAC 安全采取的措施 当超过设定MAC 地址数量的最大值，或访问该端口的设备MAC 地址不是这个MAC 地址表中该端口的 MAC 地址，或同一个VLAN中一个 MAC 地址被配置在几个端口上时，就会引发违反MAC 地址安全，这个时候采取的措施有三种： 1保护模式（ protect ）：丢弃数据包，不发警告, 2限制模式 （restrict）：丢弃数据包， 发警告， 发出 SNMP trap ，同时被记录在syslog日志里，3关闭模式 （shutdown）：这是交换机默认模式，在这种情况下端口立即变为err-disable状态，并且关掉端口灯，发出SNMP trap ，同时被记录在syslog日志里，除非管理员手工激活，否则该端口失效 ， 注意，在实际工作中可能端口在这个状态，用no shut或 default interface都不能成功启用这个端口，就需要在全局模式下用errdisable recovery cause all来启用 。 具体命令如下： Switch(config-if)#switchport port-security violation protect | restrict | shutdown 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 4 页 - - - - - - - - - 下面这个表一就是具体的对比 Violation Mode Traffic is forwarded Sends SNMP trap Sends syslog message Displays error message Shuts down port protect No No No No No restrict No Yes Yes No No shutdown No Yes Yes No Yes 表一 配置端口安全时还要注意以下几个问题： 端口安全仅仅配置在静态access 端口；在trunk端口、 SPAN端口、快速以太通道、吉比特以太通道端口组或者被动态划给一个VLAN的端口上不能配置端口安全功能；不能基于每VLAN设置端口安全；交换机不支持黏性可靠的MAC 地址老化时间； protect和 restrict模式不能同时设置在同一端口上。 下面把上面的知识点连接起来谈谈实现配置步骤的全部命令。 1：静态可靠的MAC 地址的命令步骤： Switch#config terminal Switch(config)#interface interface-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation protect | restrict | shutdown 上面这一条命令是可选的，也就是可以不用配置，默认的是shutdown 模式，但是在实际配置中推荐用 restrict。 Switch(config-if)#switchport port-security maximum value上面这一条命令也是可选的，也就是可以不用配置，默认的 maximum 是一个 MAC 地址， 2950和3550交换机的这个最大值是 132。 其实上面这几条命令在静态、黏性下都是一样的， Switch(config-if)#switchport port-security mac-address MAC地址 上面这一条命令就说明是配置为静态可靠的MAC 地址 2：动态可靠的MAC 地址配置，因为是交换机默认的设置，不需要设置 。 3：黏性可靠的MAC 地址配置的命令步骤： Switch#config terminal Switch(config)#interface interface-id Switch(config-if)#switchport mode access Switch(config-if)#shutdown -关闭端口Switch(config-if)#do clear mac address-table dynamic -清除存在的mac地址Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation protect | restrict | shutdown Switch(config-if)#switchport port-security maximum value Switch(config-if)#no shutdown -启用该端口上面这几天命令解释和前面静态讲到原因一样，不再说明。 Switch(config-if)#switchport port-security mac-address sticky 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 4 页 - - - - - - - - - 上面这一条命令就说明是配置为黏性可靠的MAC 地址。 最后，说说企业中如何快速MAC地址与交换机端口绑定。在实际的运用中常用黏性可靠的MAC 地址绑定，现在我们在一台2950EMI上绑定， 方法 1：在 CLI 方式下配置 2950 (config)#int rang fa0/1 - 48 2950 (config-if-range)#switchport mode access 2950 (config-if-range)#switchport access vlan 12 2950 (config-if-range)#shutdown 2950 (config-if-range)#clear mac address-table dynamic 2950 (config-if-range)#switchport port-security 2950 (config-if-range)#switchport port-security mac-address violation restrict 2950 (config-if-range)#switchport port-security mac-address sticky 2950 (config-if-range)#no shutdown 这样交换机的48 个端口都绑定了，注意：在实际运用中要求把连在交换机上的PC机都打开，这样才能学到MAC 地址， 并且要在学到MAC 地址后保存配置文件，这样下次就不用再学习MAC 地址了，然后用 show port-security address 查看绑定的端口，确认配置正确如图一： 图一 方法 2：在 WEB 界面下配置，也就是CMS （集群管理单元） 我们通过在IE 浏览器中输入交换机IP 地址，就可以进入，然后在port port security下可以选定交换机端口，在Status和 Sticky MAC Address中选 Enable 或 Disabled ，Violation Action可以选Shutdown、Restrict、Protect中的一种， Maximum Address Count（1-132）可以填写这个范围的数值。 如图二： 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 4 页 - - - - - - - - - 图二 当然还有要求绑定IP 地址和 MAC 地址的， 这个就需要三层或以上的交换了，因为我们知道普通的交换机都是工作在第二层，也就是使数据链路层，是不可能绑定IP 的。 假如企业是星型的网络，中心交换机是带三层或以上功能的。我们就可以在上绑定， Switch(config)#arp Ip地址 Mac 地址 arpa 如图三： 图三 通过以上的讲解我想大家对于MAC 地址和交换机端口的绑定应该清楚，如果还有什么不明白的地方请email: gloomice163.com 黄陈 发表在黑客防线 2005年第八期 红色的字体是我修改过的，修改于2006-3-5 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 4 页 - - - - - - - - -