交换机端口与Mac地址绑定（基于Cisco模拟器）

实验设备：

二层交换机一台，主机三台

实验步骤：

1、进入相应的接口

（以端口1设置Mac地址绑定，PC0接1端口举例）

Switch>enable
Switch#config
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#
Switch(config)#interface fastEthernet 0/1　

2、接口设为access模式

Switch(config-if)#switchport mode access　　

3、启用安全端口

Switch(config-if)#switchport port-security

　（查看mac-address绑定的几种方式，分别为静态绑定和粘滞绑定）

Switch(config-if)#switchport port-security mac-address ?
  H.H.H   48 bit mac address
  sticky  Configure dynamic secure addresses as sticky　

第一种：动态配置

第二种：静态配置

（其中代码的最后一列为主机的Mac地址。寻找方法：单击主机→配置→fastEthernet→mac地址。）

Switch(config-if)#switchport port-security mac-address 0001.C94E.1321　　

设置完成后，用主机pc0 ping pc2，然后可以在特权模式下通过以下命令查看以下(ctrl+z,快速回到特权模式下)

Switch#show port-security address

若将pc0与端口1的连线断掉，改用pc3接端口1。在进行 pc3 ping pc2 不通（图示如下）

第三种：粘滞绑定（效果与静态绑定效果一样）

Switch(config-if)#switchport port-security mac-address sticky 　

若要开启锁定的安全端口

单击交换机→配置→fastEthernet0/1→点击开启

补充：

1、查看安全端口的地址（在特权模式下）

Switch#show port-security address

2、清除所有锁定的安全端口的Mac地址（在特权模式下）

Switch#clear port-security all

3、适用环境

当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。
当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却
很难快速准确定位根源主机，就更谈不上将它隔离了。端口与地址绑定技术使主机必须与某一端口进行绑定，也就是说，特定主机只有在某个特定端口下发出数据帧，
才能被交换机接收并传输到网络上，如果这台主机移动到其他位置，则无法实现正常的连网。这样做看起来似乎对用户苛刻了一些，而且对于有大量使用便携机的员工的园区网并不适用，但基于安全管理的角度考虑，它却起到了至关重要的作用。

4、设置Mac的作用。

为了安全和便于管理，需要将 MAC 地址与端口进行绑定，即，MAC 地址与端口绑定后，该MAC 地址的数据流只能从绑定端口进入，不能从其他端口进入。该端口可以允许其他MAC 地址的数据流通过。