实验二十、交换机MAC与IP的绑定一、实验目的1、了解什么情况下需要MAC与IP绑定;2、了解如何在接入交换机上配置MAC与IP的绑定;二、应用环境学校机房或者网吧等需要固定IP地址上网的场所,为了防止用户任意修改IP地址,造成IP地址冲突,可以使用MAC与IP绑定技术。将MAC、IP和端口绑定在一起,使用户不能随便修改IP地址,不能随便更改接入端口,从而使内部网络从管理上更加完善。使用交换机的AM功能可以做到MAC和IP的绑定,AM全称为accessmanagement,访问管理,它利用收到数据报文的信息,譬如源IP地址和源MAC,与配置硬件地址池相比较,如果找到则转发,否则丢弃。三、实验设备1、DCS-3926S交换机1台2、PC机2台3、Console线1-2根4、直通网线若干四、实验拓扑五、实验要求1、交换机IP地址为192.168.1.11/24,PC1的地址为192.168.1.101/24;PC2的地址为192.168.1.102/24。2、在交换机0/0/1端口上作PC1的IP、MAC与端口绑定;3、PC1在0/0/1上ping交换机的IP,检验理论是否和实验一致。4、PC2在0/0/1上ping交换机的IP,检验理论是否和实验一致。5、PC1和PC2在其他端口上ping交换机的IP,检验理论是否和实验一致。六、实验步骤第一步:得到PC1主机的mac地址MicrosoftWindowsXP[版本5.1.2600](C)版权所有1985-2001MicrosoftCorp.C:\>ipconfig/allWindowsIPConfigurationHostName............:xuxpPrimaryDnsSuffix.......:digitalchina.comNodeType............:BroadcastIPRoutingEnabled........:NoWINSProxyEnabled........:NoEthernetadapter本地连接:Connection-specificDNSSuffix.:Description...........:Intel(R)PRO/100VENetworkConnectionPhysicalAddress.........:00-A0-D1-D1-07-FFDhcpEnabled...........:YesAutoconfigurationEnabled....:YesAutoconfigurationIPAddress...:169.254.27.232SubnetMask...........:255.255.0.0DefaultGateway.........:C:\>我们得到了PC1主机的mac地址为:00-A0-D1-D1-07-FF。第二步:交换机全部恢复出厂设置,配置交换机的IP地址switch(Config)#interfacevlan1switch(Config-If-Vlan1)#ipaddress192.168.1.11255.255.255.0switch(Config-If-Vlan1)#noshutswitch(Config-If-Vlan1)#exitswitch(Config)#第三步:使能am功能switch(Config)#amenableswitch(Config)#interfaceethernet0/0/1switch(Config-Ethernet0/0/1)#ammac-ip-pool00-A0-D1-D1-07-FF192.168.1.101switch(Config-Ethernet0/0/1)#exit验证配置:switch#showamAmisenabledInterfaceEthernet0/0/1ammac-ip-pool00-A0-D1-D1-07-FF192.168.1.101USER_CONFIG第四步:解锁其他端口Switch(Config)#interfaceethernet0/0/2Switch(Config-Ethernet0/0/2)#noamportSwitch(Config)#interfaceethernet0/0/3-20Switch(Config-Ethernet0/0/3-20)#noamport第五步:使用ping命令验证PC端口Ping结果原因PC10/0/1192.168.1.11通PC10/0/7192.168.1.11通PC20/0/1192.168.1.11不通PC20/0/7192.168.1.11通PC10/0/21192.168.1.11不通PC20/0/21192.168.1.11不通七、注意事项和排错1、AM的默认动作是:拒绝通过(deny),当AM使能的时候,AM模块会拒绝所有的IP报文通过(只允许IP地址池内的成员源地址通过),AM禁止的时候,AM会删除所有的地址池。2、对AM,由于其硬件资源有限,每个block(8个端口)最多只能配置256条表项3、AM资源要求用户配置的IP地址和MAC地址不能冲突,也就是说,同一个交换机上不同用户不允许出现相同的IP或MAC配置。八、相关配置命令详解amenable命令:amenablenoamenable功能:使能访问控制功能,在amenable时,AM模块会拒绝所有的IP报文通过;no命令禁止访问管理功能,并清空IP地址池和MAC-IP地址池。参数:命令模式:全局配置模式缺省情况:am访问控制不使能使用指南:在AM使能后,交换机禁止的所有的IP报文,需要用户手动在各个接口上配置IP地址或MAC-IP地址才能使用户间互通;AM禁止时,删除所有用户配置的地址。举例:使能AM。Switch(Config)#amenableamip_pool命令:amip-pool[]noamip-pool[]功能:创建一个IP地址段,放到地址池中。NO命令删除一个在地址池中已经配置的IP地址段参数:start_ip_address是IP地址中某段地址范围的起始地址。num是从start_ip_address开始的连续的地址数量,默认值是1。命令模式:物理接口配置模式缺省情况:IPpool为空使用指南:用户调用此命令,自己配置IP地址池内容,允许相应的接口上相应的源IP通过。举例:使能AM并允许接口4上源IP为192.1.1.2~192.1.1.10的9个用户通过。Switch(Config)#amenableSwitch(Config)#interfaceEthernet0/0/4Switch(Config-Ethernet0/0/4)#ippool192.1.1.29ammac_ip_pool命令:ammac-ip-poolnoammac-ip-pool功能:创建一个MAC+IP地址绑定,放到地址池中,或者删除一个在地址池中已经配置的MAC+IP地址绑定,MAC和IP地址一一对应。参数:mac_address源MAC地址格式为HH-HH-HH-HH-HH-HH。ip_address源IP地址。32位二进制数,用四个隔开的十进制数表示。命令模式:物理接口配置模式缺省配置:MAC+IPpool为空使用指南:用户调用此命令,配置MAC-IP地址池内容,允许相应的接口上相应的源MAC-IP通过。举例:使能AM并允许接口4上源IP为192.1.1.2源MAC是00-01-10-22-33-10的用户通过:Switch(Config)#amenableSwitch(Config)#interfaceEthernet0/0/4Switch(Config-Ethernet0/0/4)#mac-ippool00-01-10-22-33-10192.1.1.2amport命令:amportnoamport功能:打开或关闭物理接口上的AM功能参数:命令模式:物理接口配置模式缺省情况:AM功能打开使用指南:用户可以关闭端口的AM功能,一般应用于上联口举例:关闭0/1/1端口的AM功能Switch(Config)#amenableSwitch(Config)#interfaceEthernet0/1/1Switch(Config-Ethernet0/1/1)#noamportnoamall命令:noamall{ip-pool|mac-ip-pool}功能:删除全部用户配置的MAC-IP地址池或者IP地址池。参数:ip-pool:IP地址池mac-ip-pool:MAC-IP地址池all:所有IP地址池或者MAC地址池命令模式:全局配置模式缺省配置:无使用指南:用户调用此命令,清空MAC-IP地址池或者IP地址池内全部用户配置的地址。举例:清空全部用户配置MAC-IP地址Switch(Config)#noamenableallmac-ip-poolshowam命令:showam[interface]功能:显示当前交换机配置的地址项。参数:interfaceName:物理接口名命令模式:全局配置模式缺省配置:无使用指南:不指定访问接口的名字时,会显示所有的访问控制列表;举例:Switch#showamamisenabledInterfaceEthernet0/0/10ammac-ip-pool00-00-00-00-00-13100.1.1.2USER_CONFIGammac-ip-pool00-00-00-00-01-12100.1.1.1USER_CONFIGInterfaceEthernet0/0/1amip-pool10.1.1.18USER_CONFIG显示内容解释amisenabledAM是使能的ammac-ip-pool00-00-00-00-00-13100.1.1.2用户源MAC=00-00-00-00-00-13,且同时源USER_CONFIGIP=100.1.1.2的用户才能通过,该项由用户配置。ammac-ip-pool00-00-00-00-01-12100.1.1.1用户源MAC=00-00-00-00-01-12,且同时源USER_CONFIGIP=100.1.1.1的用户才能通过,该项由用户配置。amip-pool10.1.1.18USER_CONFIG用户源IP=10.1.1.1~10.1.1.8的用户才能通过,该项由用户配置。
本文档为【神州数码交换机MAC与IP的绑定】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
浙公网安备 33021202002483