交换机静态地址绑定功能对比
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 1页, 共 13页
文件类型: 配置类 版本号:V1.0(2010/10/22)
交换机静态地址绑定功能对比交换机静态地址绑定功能对比交换机静态地址绑定功能对比交换机静态地址绑定功能对比
2010-09-18
福建星网锐捷网络有限公司
版权所有 侵权必究
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 2页, 共 13页
修 订 记 录
日期 修订说明...
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 1页, 共 13页
文件类型: 配置类 版本号:V1.0(2010/10/22)
交换机静态地址绑定功能对比交换机静态地址绑定功能对比交换机静态地址绑定功能对比交换机静态地址绑定功能对比
2010-09-18
福建星网锐捷网络有限公司
版权所有 侵权必究
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 2页, 共 13页
修 订 记 录
日期 修订说明
2010-9-18 第一次发布
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 3页, 共 13页
前 言
介绍全局 address-bind与端口 port-security的功能实现与相关逻辑关系,以及这两个功能在非 10.X
平台与 10.X平台的区别。
非 10.X平台:S2100
10.X(10.4 之前版本)平台:1、S2000
2、S2300、S2600、S2900、S3250 等除 S2000 外的。
关键词
Address-bind(全局地址绑定) port-security(端口安全)
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 1页, 共 13页
1111 AAAAddress-bindddress-bindddress-bindddress-bind
全局地址绑定功能:全局 IP+MAC绑定,以实现对接入的控制。
1.11.11.11.1 非非非非 10.x10.x10.x10.x交换机交换机交换机交换机
1.1.11.1.11.1.11.1.1 配置配置配置配置
Switch#conf
Switch(config)#address-bind 1.1.1.1 001a.a9aa.bbbb
Switch(config)#end
Switch#sh run
!
hostname Switch
vlan 1
!
address-bind 1.1.1.1 001a.a9aa.bbbb
end
Switch#
1.1.21.1.21.1.21.1.2 MACMACMACMAC地址表项地址表项地址表项地址表项
Switch#sh address-bind
IP Address Binding MAC Addr Type
--------------- ---------------- ------
1.1.1.1 001a.a9aa.bbbb static //手工绑定地址
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 2页, 共 13页
Switch#sh mac-address-table
Vlan MAC Address Type Interface
---------- -------------------- ---------- -------------------
1 001f.1612.ce46 DYNAMIC Fa0/4 //动态学习地址
Switch#
1.1.31.1.31.1.31.1.3 数据转发情况数据转发情况数据转发情况数据转发情况
交换机只对绑定表项中的 IP地址做检查,检查发现 MAC 地址对应时放行,不一致时丢弃。对于不在绑定
表项中 IP,不做任何检查。例如:当用户 IP为 1.1.1.1 时,只有当用户 MAC 为 001a.a9aa.bbbb 时数据被处
理,MAC 地址为其他值时直接丢弃;当 IP为 2.2.2.2 时,交换机不做安全检查,直接按 mac-address-table 处
理数据。
1.21.21.21.2 10.x10.x10.x10.x交换机(不包括交换机(不包括交换机(不包括交换机(不包括 S2000S2000S2000S2000))))
1.2.11.2.11.2.11.2.1 配置配置配置配置
S2328G(config)#address-bind 1.1.1.1 001a.a111.1111
S2328G(config)#address-bind uplink FastEthernet 0/24 // 切记设置上联口为 uplink口,否则回
来的数据会被丢弃
S2328G(config)# address-bind install
S2328G#sh run | begin address
ip address 192.168.33.179 255.255.255.0
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 3页, 共 13页
no shutdown
!
address-bind uplink FastEthernet 0/24
address-bind 1.1.1.1 001a.a111.1111
address-bind install
!
snmp-server community ruijie rw
line con 0
line vty 0 4
login
password 7 050a1337092610
line vty 5 35
login
password 7 1235101b400424
!
end
S2328G#
1.2.21.2.21.2.21.2.2 MACMACMACMAC地址表项地址表项地址表项地址表项
S2328G#sh address-bind
IP Address Binding MAC Addr
--------------- ----------------
1.1.1.1 001a.a111.1111
S2328G#
S2328G#sh mac-address-table
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 4页, 共 13页
Vlan MAC Address Type Interface
---------- -------------------- -------- -------------------
1 001f.1612.ce46 DYNAMIC FastEthernet 0/1
S2328G#
1.2.31.2.31.2.31.2.3 数据转发情况数据转发情况数据转发情况数据转发情况
交换机只转发 IP和 MAC 与绑定表项一致的数据。例如:当用户 IP为 1.1.1.1 时,MAC 为 001a.a111.1111
则转发,否则丢弃;当用户 IP为非 1.1.1.1 时,如 1.1.1.2,直接丢弃。
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 5页, 共 13页
2222 swithporswithporswithporswithpor port-securityport-securityport-securityport-security
端口安全是一种基于二层地址或三层地址对网络接入进行控制的安全机制,因此安全地址可以是仅 MAC
的,仅 IP的,也可以是 IP+MAC 的。
2.12.12.12.1 非非非非 10.x10.x10.x10.x交换机交换机交换机交换机
2.1.12.1.12.1.12.1.1配置配置配置配置
Switch#sh run
vlan 1
!
interface fastEthernet 0/1
switchport port-security mac-address 001a.a111.1111
!
interface fastEthernet 0/2
switchport port-security ip-address 1.1.1.1
!
interface fastEthernet 0/3
switchport port-security mac-address 001a.a222.2222 ip-address 2.2.2.2
!
end
Switch#
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 6页, 共 13页
2.1.22.1.22.1.22.1.2 MACMACMACMAC地址表项地址表项地址表项地址表项
Switch#sh port-security address
Vlan Mac Address IP Address Type Port Remaining Age(mins)
---- --------------- --------------- ---------- -------- -------------------
1 - 1.1.1.1 Configured Fa0/2 -
1 001a.a111.1111 Configured Fa0/1 -
1 001a.a222.2222 2.2.2.2 Configured Fa0/3 -
Switch#sh mac-address-table
Vlan MAC Address Type Interface
---------- -------------------- ---------- -------------------
1 001f.1612.ce46 DYNAMIC Fa0/1 //启用任何一种形式绑定功能后,接口仍然
能学习 MAC地址,并在
mac-address-table 中生成
2.1.32.1.32.1.32.1.3数据转发情况数据转发情况数据转发情况数据转发情况
只绑定 MAC 地址时,交换机不限制其他 MAC 的用户数据,只对端口学习 MAC 地址总数做限制(默认学
习 128个);只绑定 IP的情况,交换机只转发绑定表项中 IP的数据;绑定 IP和 MAC 的情况,交换机只转发
绑定表项中 IP和 MAC 对应一致辞
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 7页, 共 13页
2.22.22.22.2 10.x10.x10.x10.x交换机(不包括交换机(不包括交换机(不包括交换机(不包括 S2000S2000S2000S2000))))
2.2.12.2.12.2.12.2.1 配置配置配置配置
Switch#sh run
vlan 1
!
interface FastEthernet 0/4
switchport port-security ip-address 1.1.1.1
switchport port-security //必须配置,否则不会生成表项
!
interface FastEthernet 0/5
switchport port-security mac-address 001a.a222.2222 ip-address 2.2.2.2
switchport port-security
!
interface FastEthernet 0/6
switchport port-security mac-address 001a.a111.1111
switchport port-security end
Switch#
2.2.22.2.22.2.22.2.2 MACMACMACMAC地址表项地址表项地址表项地址表项
sh port-security address
Vlan Mac Address IP Address Type Port Remaining Age(mins)
---- --------------- --------------- ---------- ----------------------- -------------------
1 -- 1.1.1.1 Configured FastEthernet 0/4 -
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 8页, 共 13页
1 001a.a222.2222 2.2.2.2 Configured FastEthernet 0/5 -
1 001a.a111.1111 Configured FastEthernet 0/6 -
S2328G#sh mac-address-table interface fastEthernet 0/4 //启用绑定后不学动态 MAC
Vlan MAC Address Type Interface
---------- -------------------- -------- -------------------
S2328G#sh port-security address
Vlan Mac Address IP Address Type Port Remaining Age(mins)
---- --------------- --------------- ---------- ----------------------- -------------------
1 -- 1.1.1.1 Configured FastEthernet 0/4
1 001a.a222.2222 2.2.2.2 Configured FastEthernet 0/5 -
1 001a.a111.1111 Configured FastEthernet 0/6 -
S2328G#Aug 24 03:18:54 %LINK-5-CHANGED: Interface FastEthernet 0/4, changed state to down
Aug 24 03:18:54 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet 0/4, changed state
to DOWN
Aug 24 03:19:00 %LINK-5-CHANGED: Interface FastEthernet 0/5, changed state to up
Aug 24 03:19:00 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet 0/5, changed state
to UP
S2328G#sh port-security address
Vlan Mac Address IP Address Type Port Remaining Age(mins)
---- --------------- --------------- ---------- ----------------------- -------------------
1 -- 1.1.1.1 Configured FastEthernet 0/4 -
1 001a.a222.2222 2.2.2.2 Configured FastEthernet 0/5
1 001a.a111.1111 Configured FastEthernet 0/6 -
S2328G#sh mac-address-table interface fastEthernet 0/5 //启用绑定后不学动态 MAC
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 9页, 共 13页
Vlan MAC Address Type Interface
---------- -------------------- -------- -------------------
S2328G#
S2328G#Aug 24 03:19:50 %LINK-5-CHANGED: Interface FastEthernet 0/5, changed state to down
Aug 24 03:19:50 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet 0/5, changed state
to DOWN
S2328G#
S2328G#Aug 24 03:19:59 %LINK-5-CHANGED: Interface FastEthernet 0/6, changed state to up
Aug 24 03:19:59 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet 0/6, changed state
to UP
sh port-security address
Vlan Mac Address IP Address Type Port Remaining Age(mins)
---- --------------- --------------- ---------- ----------------------- -------------------
1 -- 1.1.1.1 Configured FastEthernet 0/4 -
1 001a.a222.2222 2.2.2.2 Configured FastEthernet 0/5 -
1 001a.a111.1111 Configured FastEthernet 0/6 -
1 001f.1612.ce46 Dynamic FastEthernet 0/6
//对于只绑定 MAC 的情况,端口会学习动态 MAC,并且表项会在 port-security address中产生,而在
mac-address-table 中为空 -
S2328G#sh mac-address-table interface fastEthernet 0/6
Vlan MAC Address Type Interface
---------- -------------------- -------- -------------------
S2328G#sh mac-address-table interface fastEthernet 0/6
Vlan MAC Address Type Interface
---------- -------------------- -------- -------------------
密级:受控 交换机静态地址绑定功能对比
记录保存期限:2年 锐捷网络机密,未经许可不得散 第 10页, 共 13页
2.2.32.2.32.2.32.2.3 数据转发情况数据转发情况数据转发情况数据转发情况
交换机只转发 IP和 MAC 与绑定表项一致的数据。例如:当用户 IP为 1.1.1.1 时,MAC 为 001a.a111.1111
则转发,否则丢弃;当用户 IP为非 1.1.1.1 时,如 1.1.1.2,直接丢弃。
address-bindaddress-bindaddress-bindaddress-bind与 port-securityport-securityport-securityport-security共用
address-bind 优先级高于 port-security。在非 10.X平台,不在 address-bind 表项中的 IP会进一步到
port-security 表项中匹配;而在 10.X平台,由 address-bind 确认转发或丢弃,不再进行下一步匹配。
Address-bind
非10.x交换机
配置
MAC地址表项
数据转发情况
10.x交换机(不包括S2000)
配置
MAC地址表项
数据转发情况
swithporport-security
非10.x交换机
2.1.1配置
2.1.2MAC地址表项
2.1.3数据转发情况
10.x交换机(不包括S2000)
2.2.1配置
2.2.2MAC地址表项
2.2.3数据转发情况
address-bind与port-security共用
本文档为【交换机静态地址绑定功能对比】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。