下载文档原格式
H3C交换机1、system-view 进入系统视图模式2、sysname 为设备命名3、display current-configuration 当前配置情况4、language-mode Chinese|English 中英文切换5、interface Ethernet 1/0/1 进入以太网端口视图6、port link-type Access|Trunk|Hybrid 设置端口访问模式7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan通过H3C路由器############################################################################### #######1、system-view 进入系统视图模式2、sysname R1 为设备命名为R13、display ip routing-table 显示当前路由表4、language-mode Chinese|English 中英文切换5、interface Ethernet 0/0 进入以太网端口视图6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由11、ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router############################################################################### ###########1、调整超级终端的显示字号;2、捕获超级终端操作命令行,以备日后查对;3、language-mode Chinese|English 中英文切换;4、复制命令到超级终端命令行,粘贴到主机;5、交换机清除配置:<H3C>reset save ;<H3C>reboot ;6、路由器、交换机配置时不能掉电,连通测试前一定要检查网络的连通性,不要犯最低级的错误。
MAC地址与端口绑定详解在网络安全越来越重要的今天,高校和企业对于局域网的安全控制也越来越严格,普遍采用的做法之一就是IP地址、网卡的MAC 地址与交换机端口绑定,但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。
我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。
端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机;能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既可以手工配置,也可以从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候,交换机会挂起或者禁用该端口等等。
一、首先必须明白两个概念:可靠的MAC地址。
配置时候有三种类型:静态可靠的MAC地址:在交换机接口模式下手动配置,这个配置会被保存在交换机MAC地址表和运行配置文件中,交换机重新启动后不丢失(当然是在保存配置完成后),具体命令如下:Switch(config-if)#switchport port-security mac-address Mac 地址动态可靠的MAC地址:这种类型是交换机默认的类型。
在这种类型下,交换机会动态学习MAC地址,但是这个配置只会保存在MAC 地址表中,不会保存在运行配置文件中,并且交换机重新启动后,这些MAC地址表中的MAC地址自动会被清除。
黏性可靠的MAC地址:这种类型下,可以手动配置MAC地址和端口的绑定,也可以让交换机自动学习来绑定,这个配置会被保存在MAC地址中和运行配置文件中,如果保存配置,交换机重起动后不用再自动重新学习MAC地址,虽然黏性的可靠的MAC地址可以手动配置,但是CISCO官方不推荐这样做。
具体命令如下:Switch(config-if)#switchport port-security mac-address sticky其实在上面这条命令配置后并且该端口得到MAC地址后,会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address stickyMac地址这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。
欢迎共阅H3C交换机1、system-view 进入系统视图模式2、sysname 为设备命名3、display current-configuration 当前配置情况4、language-mode Chinese|English 中英文切换5、interface Ethernet 1/0/1 进入以太网端口视图6、port link-type Access|Trunk|Hybrid 设置端口访问模式7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan通过H3C路由器##################################################################### #################1、system-view 进入系统视图模式2、sysname R1 为设备命名为R13、display ip routing-table 显示当前路由表4、language-mode Chinese|English 中英文切换5、interface Ethernet 0/0 进入以太网端口视图7、undo shutdown 打开以太网端口8、shutdown 关闭以太网端口9、quit 退出当前视图模式H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router#################################################################### ######################1、调整超级终端的显示字号;2、捕获超级终端操作命令行,以备日后查对;3、language-mode Chinese|English 中英文切换;4、复制命令到超级终端命令行,粘贴到主机;5、交换机清除配置:<H3C>reset save ;<H3C>reboot ;6、路由器、交换机配置时不能掉电,连通测试前一定要检查网络的连通性,不要犯最低级的错误。
华为交换机怎么绑定绑定i p地址和m a c地址交换机除了能够连接同种类型的网络之外,还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。
华为交换机怎么绑定绑定i p地址/M A C地址?主要是预防I P地址被盗用等网络安全威胁的问题,该怎么设置绑定呢?下面我们就来看看详细的设置教程,需要的朋友可以参考下具体步骤1、打开模拟器,创建一台交换机和两台P C、开机,配置好I P地址,一台P C备用。
2、交换机配置V l a n,把端口模式改为A c c e s s模式,把端口加入到V l a n100里,测试P C到交换机网通信是否正常。
当前没有路由器网管配置或不配置没有关系。
能p i n g通交换机。
3、接下来做绑定配置,在G i g a b i t E t h e r n e t0/0/1端口上绑定当前P C的I P和M A C地址,V l a n。
命令格式:在配置模式下,[H u a w e i] u s e r-b i n d s t a t i c i p a d d r e s s x.x.x.x m a c a d d r e s s x x x x-x x x x-x x x x i n t e r f a c eG i g a b i t E t h e r n e t0/0/1v l a n I D。
4、下一步绑定完了之后,我们再连接另一台备用的P C到交换机 i n t e r f a c e G i g a b i t E t h e r n e t0/0/1端口上。
5、换了另一台P C会不会p i n g通交换机。
很显然已经p i n g不同。
怎么样?是不是很简单呢?相关阅读:交换机工作原理过程交换机工作于O S I参考模型的第二层,即数据链路层。
交换机内部的C P U会在每个端口成功连接时,通过将M A C地址和端口对应,形成一张M A C表。
在今后的通讯中,发往该M A C地址的数据包将仅送往其对应的端口,而不是所有的端口。
如何有效的防止ARP攻击但问题是,现在真正摆脱ARP问题困扰了吗?从用户那里熟悉到,尽管尝试过各类方法,但这个问题并没有根本解决。
原因就在于,目前很多种ARP防范措施,一是解决措施的防范能力有限,并不是最根本的办法。
二是对网络管理约束很大,不方便不有用,不具备可操作性。
三是某些措施对网络传输的效能有缺失,网速变慢,带宽浪费,也不可取。
本文通过具体分析一下普遍流行的四种防范ARP措施,去熟悉为什么ARP问题始终不能根治。
上篇:四种常见防范ARP措施的分析一、双绑措施双绑是在路由器与终端上都进行IP-MAC绑定的措施,它能够对ARP欺骗的两边,伪造网关与截获数据,都具有约束的作用。
这是从ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。
它应付最普通的ARP欺骗是有效的。
但双绑的缺陷在于3点:1、在终端上进行的静态绑定,很容易被升级的ARP攻击所捣毁,病毒的一个ARP –d命令,就能够使静态绑定完全失效。
2、在路由器上做IP-MAC表的绑定工作,费时费力,是一项繁琐的保护工作。
换个网卡或者更换IP,都需要重新配置路由。
关于流淌性电脑,这个需要随时进行的绑定工作,是网络保护的巨大负担,网管员几乎无法完成。
3、双绑只是让网络的两端电脑与路由不接收有关ARP信息,但是大量的ARP攻击数据还是能发出,还要在内网传输,大幅降低内网传输效率,依然会出现问题。
因此,尽管双绑曾经是ARP防范的基础措施,但由于防范能力有限,管理太烦恼,现在它的效果越来越有限了。
二、ARP个人防火墙在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。
ARP防火墙使用范围很广,有很多人以为有了防火墙,ARP攻击就不构成威胁了,事实上完全不是那么回事。
ARP个人防火墙也有很大缺陷:1、它不能保证绑定的网关一定是正确的。
假如一个网络中已经发生了ARP欺骗,有人在伪造网关,那么,ARP个人防火墙上来就会绑定这个错误的网关,这是具有极大风险的。
华为交换机怎么绑定绑定ip地址/MAC地址交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。
交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
有时为了预防IP地址被盗用等网络安全威胁的问题,需要设置绑定呢,具体怎么设置呢?下面我们就来看看详细的设置教程,需要的朋友可以参考下方法步骤1、打开模拟器,创建一台交换机和两台PC、开机,配置好IP地址,一台PC备用。
2、交换机配置Vlan,把端口模式改为Access模式,把端口加入到Vlan100里,测试PC到交换机网通信是否正常。
当前没有路由器网管配置或不配置没有关系。
能ping通交换机。
3、接下来做绑定配置,在GigabitEthernet0/0/1端口上绑定当前PC的IP和MAC地址,Vlan。
命令格式:在配置模式下,[Huawei]user-bindstaticipaddressx.x.x.xmacaddressxxxx-xxxx-xxxxinterfaceGigabitEthernet0/0/1vlanID。
4、下一步绑定完了之后,我们再连接另一台备用的PC到交换机interfaceGigabitEthernet0/0/1端口上。
5、换了另一台PC会不会ping通交换机。
很显然已经ping 不同。
怎么样?是不是很简单呢?补充:交换机基本使用方法作为基本核心交换机使用,连接多个有线设备使用:网络结构如下图,基本连接参考上面的【方法/步骤1:基本连接方式】作为网络隔离使用:对于一些功能好的交换机,可以通过模式选择开关选择网络隔离模式,实现网络隔离的作用,可以只允许普通端口和UPlink端口通讯,普通端口之间是相互隔离不可以通讯的除了作为核心交换机(中心交换机)使用,还可以作为扩展交换机(接入交换机)来扩展网络放在路由器上方,扩展网络供应商的网络线路(用于一条线路多个IP的网络),连接之后不同的路由器用不同的IP连接至公网相关阅读:交换机硬件故障常见问题电源故障:由于外部供电不稳定,或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止,从而不能正常工作。
华为交换机怎么绑定绑定ip地址和mac地址具体步骤1、打开模拟器,创建一台交换机和两台PC、开机,配置好IP地址,一台PC备用。
2、交换机配置Vlan,把端口模式改为Access模式,把端口加入到Vlan100里,测试PC到交换机网通信是否正常。
当前没有路由器网管配置或不配置没有关系。
能ping通交换机。
3、接下来做绑定配置,在GigabitEthernet0/0/1端口上绑定当前PC的IP和MAC地址,Vlan。
命令格式:在配置模式下,[Huawei] user-bind static ip address x.x.x.x mac address xxxx-xxxx-xxxx interface GigabitEthernet 0/0/1 vlan ID 。
4、下一步绑定完了之后,我们再连接另一台备用的PC 到交换机interface GigabitEthernet 0/0/1 端口上。
5、换了另一台PC会不会ping通交换机。
很显然已经ping 不同。
怎么样?是不是很简单呢?相关阅读:交换机工作原理过程交换机工作于OSI参考模型的第二层,即数据链路层。
交换机内部的CPU会在每个端口成功连接时,通过将MAC 地址和端口对应,形成一张MAC表。
在今后的通讯中,发往该MAC地址的数据包将仅送往其对应的端口,而不是所有的端口。
因此,交换机可用于划分数据链路层广播,即冲突域;但它不能划分网络层广播,即广播域。
交换机拥有一条很高带宽的背部总线和内部交换矩阵。
交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC若不存在,广播到所有的端口,接收端口回应后交换机会学习新的MAC地址,并把它添加入内部MAC地址表中。
使用交换机也可以把网络分段,通过对照IP地址表,交换机只允许必要的网络流量通过交换机。
目录第1章VLAN配置 (3)1.1 VLAN配置 (3)1.1.1 VLAN介绍 (3)1.1.2 VLAN的配置任务序列 (4)1.1.3 VLAN典型应用 (7)1.2 GVRP配置 (9)1.2.1 GVRP介绍 (9)1.2.2 GVRP配置任务序列 (9)1.2.3 GVRP典型应用 (10)1.2.4 VLAN排错帮助 (12)1.3 D OT1Q-TUNNEL配置 (12)1.3.1 Dot1q-tunnel介绍 (12)1.3.2 Dot1q-tunnel配置 (13)1.3.3 Dot1q-tunnel典型应用 (14)1.3.4 Dot1q-tunnel排错帮助 (16)1.4 动态VLAN配置 (16)1.4.1 动态VLAN介绍 (16)1.4.2 动态VLAN配置 (17)1.4.3 Protocol VLAN排错帮助 (17)第2章MAC地址表配置 (18)2.1 MAC地址表介绍 (18)2.1.1 MAC地址表的获取 (18)2.1.2 转发或过滤 (2)2.2MAC地址表配置 (3)2.3 典型配置举例 (4)2.4 排错帮助 (5)2.5 MAC地址功能扩展 (5)2.5.1 2.5.1 MAC地址绑定 (5)2.5.1.1MAC地址绑定介绍 (5)2.5.1.2MAC地址绑定配置任务序列 (6)2.5.1.3MAC地址绑定排错帮助 (8)第1章VLAN配置1.1VLAN配置1.1.1VLAN介绍VLAN(Virtual Local Area Network)即虚拟局域网,这项技术可以根据功能、应用或者管理的需要将局域网内部的设备逻辑地划分为一个个网段,从而形成一个个虚拟的工作组,并且不需要考虑设备的实际物理位置。
IEEE颁布了IEEE802.1Q协议以规定标准化VLAN的实现方案,交换机的VLAN 功能即按照802.1Q的标准实现。
VLAN技术的特点在于可以动态的根据需要将一个大的局域网划分成许多不同的广播域:图1-1 按照逻辑定义的VLAN网络每个广播域即一个VLAN,VLAN和物理上的局域网有相同的属性,不同之处只在于VLAN是逻辑的而不是物理的划分,所以VLAN的划分不必根据实际的物理位置,而每个VLAN内部的广播、组播和单播流量都是与其它VLAN隔绝的。
华为交换机怎么绑定绑定ip地址/MAC地址方法步骤1、打开模拟器,创建一台交换机和两台PC、开机,配置好IP地址,一台PC备用。
2、交换机配置Vlan,把端口模式改为Access模式,把端口加入到Vlan100里,测试PC到交换机网通信是否正常。
当前没有路由器网管配置或不配置没有关系。
能ping通交换机。
3、接下来做绑定配置,在GigabitEthernet0/0/1端口上绑定当前PC的IP和MAC地址,Vlan。
命令格式:在配置模式下,[Huawei] user-bind static ip address x.x.x.x mac address xxxx-xxxx-xxxx interface GigabitEthernet 0/0/1 vlan ID 。
4、下一步绑定完了之后,我们再连接另一台备用的PC 到交换机interface GigabitEthernet 0/0/1 端口上。
5、换了另一台PC会不会ping通交换机。
很显然已经ping 不同。
怎么样?是不是很简单呢?补充:交换机基本使用方法作为基本核心交换机使用,连接多个有线设备使用:网络结构如下图,基本连接参考上面的【方法/步骤1:基本连接方式】作为网络隔离使用:对于一些功能好的交换机,可以通过模式选择开关选择网络隔离模式,实现网络隔离的作用,可以只允许普通端口和UPlink端口通讯,普通端口之间是相互隔离不可以通讯的除了作为核心交换机(中心交换机)使用,还可以作为扩展交换机(接入交换机)来扩展网络放在路由器上方,扩展网络供应商的网络线路(用于一条线路多个IP的网络),连接之后不同的路由器用不同的IP连接至公网相关阅读:交换机硬件故障常见问题电源故障:由于外部供电不稳定,或者电源线路老化或者雷击等原因导致电源损坏或者风扇停止,从而不能正常工作。
由于电源缘故而导致机内其他部件损坏的事情也经常发生。
如果面板上的POWER指示灯是绿色的,就表示是正常的;如果该指示灯灭了,则说明交换机没有正常供电。
VLAN端口的MAC地址绑定
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。
这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。
而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。
另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停地配置。
一、实验目的
1.掌握cisco-3550基于VLAN端口的MAC地址绑定
二、实验内容
1.把PC2的MAC地址帮定在交换机指定端口上
五、实验步骤
方案:基于端口的mac地址绑定
1.启动交换机,并进入到特权模式
Switch>enable
Switch#
2.恢复到厂商设置
Switch#erase startup-config 擦除配置
Switch#reload
Switch>en
Switch#conf t
switch#show vlan
3.pc1 插入交换机第5口,pc2插入交换机第9口.
4.把pc1 MAC地址与vlan 1 的第5口进行绑定。
Switch#conf t
Switch(config)#mac-address-table static 000C.7611.817F vlan 1 interface f0/5 Switch(config)#exit
Switch#show mac-address-table //显示mac-address-table状态
5. 把pc2 MAC地址与vlan 1 的第9口进行绑定。
操作同上大家练习一下
6.配置vlan1的ip地址,操作参照上节课内容
Switch#config termainl
Switch(config)#int vlan 1 (进入VLAN 1)
Switch(config-vlan)#ip address 192.168.3.1 255.255.255.0 (设置Vlan1的IP)
Switch(config-vlan)#no shutdown 激活该vlan
Switch(config-vlan)#exit
Switch#show running-config (查看正在起作用的命令)
7.验证结果:
pc1 ip为192.168.3.3 网关为:192.168.3.1
pc2 ip为192.168.3.2 网关为:192.168.3.1
pc1 与 pc2可以互通,如果把pc1插入交换机其它端口,则不能互通。
六、思考题
1.修改pc1的MAC后pc1 与 pc2可以互通吗?
第四步也可以如下配置:
Switch#config terminal 进入配置模式
Switch(config)# Interface fastethernet 0/1 进入具体端口配置模式
Switch(config-if)#Switchport port-secruity 配置端口安全模式
Switch(config-if ) #switchport port-security mac-address 000C.7611.817F 配置该端口要绑定的主机的MAC地址
Switch(config-if ) #no switchport port-security mac-address MAC(主机的MAC地址) #删除绑定主机的MAC地址
注意:
以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
