实验20交换机MAC与IP的绑定

实验二十、交换机 MAC 与 IP 的绑定 一、 实验目的 1、 了解什么情况下需要 MAC 与 IP 绑定； 2、 了解如何在接入交换机上配置 MAC 与 IP 的绑定； 二、 应用环境 学校机房或者网吧等需要固定 IP 地址上网的场所，为了防止用户任意修改 IP 地址，造 成 IP 地址冲突，可以使用 MAC 与 IP 绑定技术。将 MAC、IP 和端口绑定在一起，使用户 不能随便修改 IP 地址，不能随便更改接入端口，从而使内部网络从管理上更加完善。 使用交换机的 AM 功能可以做到 MAC 和 IP 的绑定，AM 全称为 access management，访 问管理，它利用收到数据报文的信息，譬如源 IP 地址和源 MAC，与配置硬件地址池相比较， 如果找到则转发，否则丢弃。 三、 实验设备 1、 DCS-3926S 交换机 1 台 2、 PC 机 2 台 3、 Console 线 1-2 根 4、 直通网线若干 四、 实验拓扑 五、 实验要求 1、 交换机 IP 地址为 192.168.1.11/24，PC1 的地址为 192.168.1.101/24；PC2 的地址 为 192.168.1.102/24。 2、 在交换机 0/0/1 端口上作 PC1 的 IP、MAC 与端口绑定； 3、 PC1 在 0/0/1 上 ping 交换机的 IP，检验理论是否和实验一致。 4、 PC2 在 0/0/1 上 ping 交换机的 IP，检验理论是否和实验一致。 5、 PC1 和 PC2 在其他端口上 ping 交换机的 IP，检验理论是否和实验一致。 六、 实验步骤 第一步：得到PC1主机的mac地址 Microsoft Windows XP [版本 5.1.2600] (C) 版权所有 1985-2001 Microsoft Corp. C:\>ipconfig/all Windows IP Configuration Host Name . . . . . . . . . . . . : xuxp Primary Dns Suffix . . . . . . . : digitalchina.com Node Type . . . . . . . . . . . . : Broadcast IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No Ethernet adapter 本地连接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti on Physical Address. . . . . . . . . : 00-A0-D1-D1-07-FF Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes Autoconfiguration IP Address. . . : 169.254.27.232 Subnet Mask . . . . . . . . . . . : 255.255.0.0 Default Gateway . . . . . . . . . : C:\> 我们得到了PC1主机的mac地址为：00-A0-D1-D1-07-FF。 第二步：交换机全部恢复出厂设置，配置交换机的IP地址 switch(Config)#interface vlan 1 switch(Config-If-Vlan1)#ip address 192.168.1.11 255.255.255.0 switch(Config-If-Vlan1)#no shut switch(Config-If-Vlan1)#exit switch(Config)# 第三步：使能am功能 switch(Config)#am enable switch(Config)#interface ethernet 0/0/1 switch(Config-Ethernet0/0/1)#am mac-ip-pool 00-A0-D1-D1-07-FF 192.168.1.101 switch(Config-Ethernet0/0/1)#exit 验证配置： switch#show am Am is enabled Interface Ethernet0/0/1 am mac-ip-pool 00-A0-D1-D1-07-FF 192.168.1.101 USER_CONFIG 第四步：解锁其他端口 Switch(Config)#interface ethernet 0/0/2 Switch(Config-Ethernet0/0/2)#no am port Switch(Config)#interface ethernet 0/0/3-20 Switch(Config-Ethernet0/0/3-20)#no am port 第五步：使用ping命令验证 PC 端口 Ping 结果 原因 PC1 0/0/1 192.168.1.11 通 PC1 0/0/7 192.168.1.11 通 PC2 0/0/1 192.168.1.11 不通 PC2 0/0/7 192.168.1.11 通 PC1 0/0/21 192.168.1.11 不通 PC2 0/0/21 192.168.1.11 不通 七、 注意事项和排错 1、 AM 的默认动作是：拒绝通过(deny) ，当 AM 使能的时候， AM 模块会拒绝所有的 IP 报文通过（只允许 IP 地址池内的成员源地址通过）， AM 禁止的时候，AM 会删除所 有的地址池。 2、 对 AM，由于其硬件资源有限，每个 block（8 个端口）最多只能配置 256 条 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 项 3、 AM 资源要求用户配置的 IP 地址和 MAC 地址不能冲突，也就是说，同一个交换机上 不同用户不允许出现相同的 IP 或 MAC 配置。 八、 相关配置命令详解 am enable 命令： am enable no am enable 功能：使能访问控制功能，在 am enable 时， AM 模块会拒绝所有的 IP 报文通过；no 命 令禁止访问管理功能，并清空 IP 地址池和 MAC-IP 地址池。 参数： 命令模式：全局配置模式 缺省情况：am 访问控制不使能 使用指南：在 AM 使能后，交换机禁止的所有的 IP 报文，需要用户手动在各个接口上配置 IP 地址或 MAC-IP 地址才能使用户间互通；AM 禁止时，删除所有用户配置的地 址。 举例：使能 AM。 Switch(Config)#am enable am ip_pool 命令： am ip-pool [ ] no am ip-pool [] 功能：创建一个 IP 地址段，放到地址池中。NO 命令删除一个在地址池中已经配置的 IP 地 址段 参数：start_ip_address 是 IP 地址中某段地址范围的起始地址。 num 是从 start_ip_address 开始的连续的地址数量，默认值是 1。 命令模式：物理接口配置模式 缺省情况：IP pool 为空 使用指南：用户调用此命令，自己配置 IP 地址池内容，允许相应的接口上相应的源 IP 通过。 举例：使能 AM 并允许接口 4 上源 IP 为 192.1.1.2～192.1.1.10 的 9 个用户通过。 Switch(Config)#am enable Switch(Config)#interface Ethernet 0/0/4 Switch(Config-Ethernet0/0/4)#ip pool 192.1.1.2 9 am mac_ip_pool 命令： am mac-ip-pool no am mac-ip-pool < ip_address> 功能：创建一个 MAC+IP 地址绑定，放到地址池中，或者删除一个在地址池中已经配置的 MAC+IP 地址绑定，MAC 和 IP 地址一 一对应。 参数： mac_address 源 MAC 地址 格式为 HH-HH-HH-HH-HH-HH。 ip_address 源 IP 地址。32 位二进制数，用四个隔开的十进制数表示。 命令模式：物理接口配置模式 缺省配置：MAC+IP pool 为空 使用指南：用户调用此命令，配置 MAC-IP 地址池内容，允许相应的接口上相应的源 MAC- IP 通过。 举例：使能 AM 并允许接口 4 上源 IP 为 192.1.1.2 源 MAC 是 00-01-10-22-33-10 的用户通过： Switch(Config)#am enable Switch(Config)#interface Ethernet 0/0/4 Switch(Config-Ethernet0/0/4)#mac-ip pool 00-01-10-22-33-10 192.1.1.2 am port 命令： am port no am port 功能：打开或关闭物理接口上的 AM 功能 参数： 命令模式：物理接口配置模式 缺省情况：AM 功能打开 使用指南：用户可以关闭端口的 AM 功能，一般应用于上联口 举例：关闭 0/1/1 端口的 AM 功能 Switch(Config)#am enable Switch(Config)#interface Ethernet 0/1/1 Switch(Config-Ethernet0/1/1)#no am port no am all 命令： no am all {ip-pool|mac-ip-pool} 功能：删除全部用户配置的 MAC-IP 地址池或者 IP 地址池。 参数： ip-pool：IP 地址池 mac-ip-pool：MAC-IP 地址池 all：所有 IP 地址池或者 MAC 地址池 命令模式：全局配置模式 缺省配置：无 使用指南：用户调用此命令，清空 MAC-IP 地址池或者 IP 地址池内全部用户配置的地址。 举例：清空全部用户配置 MAC-IP 地址 Switch(Config)#no am enable all mac-ip-pool show am 命令： show am [interface ] 功能：显示当前交换机配置的地址项。 参数： interfaceName :物理接口名 命令模式：全局配置模式 缺省配置：无 使用指南：不指定访问接口的名字时，会显示所有的访问控制列表； 举例： Switch#show am am is enabled Interface Ethernet0/0/10 am mac-ip-pool 00-00-00-00-00-13 100.1.1.2 USER_CONFIG am mac-ip-pool 00-00-00-00-01-12 100.1.1.1 USER_CONFIG Interface Ethernet0/0/1 am ip-pool 10.1.1.1 8 USER_CONFIG 显示内容 解释 am is enabled AM 是使能的 am mac-ip-pool 00-00-00-00-00-13 100.1.1.2 USER_CONFIG 用户源 MAC＝ 00-00-00-00-00-13，且同时源 IP=100.1.1.2 的用户才能通过，该项由用户配置。 am mac-ip-pool 00-00-00-00-01-12 100.1.1.1 USER_CONFIG 用户源 MAC＝ 00-00-00-00-01-12，且同时源 IP=100.1.1.1 的用户才能通过，该项由用户配置。 am ip-pool 10.1.1.1 8 USER_CONFIG 用户源 IP=10.1.1.1～10.1.1.8 的用户才能通过，该 项由用户配置。 实验二十、交换机MAC与IP的绑定 一、 实验目的 二、 应用环境 三、 实验设备 四、 实验拓扑 五、 实验要求 六、 实验步骤 七、 注意事项和排错 八、 相关配置命令详解 am enable am ip_pool am mac_ip_pool am port no am all show am