1、我们先看一下拓扑图,这里的测试机是替换pc0和pc5的mac地址。
2、pc0连接的是交换机SW1的fa0/1端口,先将它模式设为access模式
SW1(config-line)#int fa0/1
SW1(config-if)#swi mod acc
3、配置fa0/1端口的安全,
SW1(config-if)#swi port-security
该命令会默认配置很多设置
4、小编这里主要介绍MAC 地址静态绑定,我们想fa0/1端口只有pc0能使用,就需要绑定pc0的mac地址。查看pc0的mac地址。这里可以看到mac地址是0060.4736.0A87
5、指定mac地址只能是pc0的mac地址
SW1(config-if)#swi port-security mac-address 0060.4736.0A87
因为是绑定成功,我们测试下pc0通信,发现可以正常通信。
6、我们在将测试机pc1连接到端口fa0/1下,相当于更换了mac地址,即mac地址违规了。然后测试是否通信,发现不能通信!
7、检查端口安全
SW1#sh port-security
查看具体端口安全配置
SW1#sh port-security int fa0/1
可以看到端口安全已经打开
8、下面我们来配置端口MAC 地址粘滞,如果我们有很多终端计算机,一台一台绑定mac地址的话,工作量就会很大。这时候就需要交换机的动态mac地址粘滞。
下面我们用pc5来演示
9、配置交换机SW1的fa0/3端口安全
SW1(config)#int fa0/3
SW1(config-if)#swi mod acc
SW1(config-if)#swi port-security
10、动态mac地址粘滞
SW1(config-if)#switchport port-security mac-address sticky
这样就完成了,当终端第一次接入时,绑定mac地址。
11、更改端口安全默认参数,从拓扑图里,我们可以看到交换机SW2下面也有两个终端,就需要我们更改安全参数。
12、SW1(config)#int fa0/2
SW1(config-if)#swi mod acc
SW1(config-if)#swi port
注意这里连接的是3个。
SW1(config-if)#swi port-security maximum 3
13、配置mac绑定
SW1(config-if)#swi port-security mac-address 00E0.F937.3980
SW1(config-if)#swi port-security mac-address 00E0.F74B.AC77
两个以上流量通过,使用violation restrict
SW1(config-if)#swi port-security violation restrict
14、用 SW2的fa0/3连接测试机PC4(相当于更换MAC地址):
PC4 测试PC0,可以看到不能通信。
