交换机端口MAC地址绑定

fhqmqjqq

交换机端口MAC地址绑定
基于网络管理的需要，很多时候需要限制交换机每个端口上接入的机器数量，这就需要用到交换机端口的MAC地址绑定功能。对于交换机的每一个以太网端口，采用MAC地址表（MAC-address-table）的方式对端口进行锁定。只有网络管理员在MAC地址表中指定的网卡的MAC地址才能通过该端口与网络连接，其他的网卡地址不能通过该端口访问网络。
下面以CISCO CATALYST 2950为例，介绍端口MAC地址绑定的实现：
cisco2950#conf t
cisco2950(config)#interface FastEthernet0/1
cisco2950(config-if)#switchport access vlan 2
cisco2950(config-if)#switchport mode access                              //定义二层端口
cisco2950(config-if)#switchport port-security                           
cisco2950(config-if)#switchport port-security maximum 4                  //表示该端口允许学习到的最大MAC地址
cisco2950(config-if)#switchport port-security violation [protect|restrict|shutdown ]  //定义对非法数据包的处理
cisco2950(config-if)#switchport port-security mac-address 0010.DC53.F968 //配置第1个静态MAC地址
cisco2950(config-if)#switchport port-security mac-address 0010.DC53.F967 //配置第2个静态MAC地址,交换机在该端口动
                                                                         //态学习到的前两个MAC地址将成为安全地址
.....
cisco2950(config-if)#no switchport port-security                         //去除
配置完成后成功启用，其中:
switchport port-security violation [protect | restrict | shutdown ]
protect   :丢弃来自非法源地址的包，不告警
restrict  :丢弃来自非法源地址的包，发送syslog告警
shutdown  :默认,关闭端口
将Cisco 2950交换机变成小区宽带交换机
大家知道小区宽带交换机的特点是每个端口都是独立的VLAN，每端口均可以与网关相连接，但是端口之间不能互相访问。
为了做到这一点，其实我们只需要在Cisco交换机上加上下面的一条就可以做到了
Switch(config)#int rang f0/1 - 24                //指定配置的端口，这里指的是范围 从端口1 到


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u1/47604/showart_380926.html