01 IP & MAC绑定

1、非10.x与10.x交换机上配置address-bind功能的区别说明

1）非10.x交换机

配置

Switch#conf

Switch(config)#address-bind 1.1.1.1 001a.a9aa.bbbb

Switch(config)#end

Switch#sh run

hostname Switch

vlan 1

address-bind 1.1.1.1 001a.a9aa.bbbb

end

Switch#

MAC地址表项

Switch#sh address-bind

IP Address Binding MAC Addr Type

--------------- ---------------- ------

1.1.1.1 001a.a9aa.bbbb static //手工绑定地址

Switch#sh mac-address-table

Vlan MAC Address Type Interface

---------- -------------------- ---------- -------------------

1 001f.1612.ce46 DYNAMIC Fa0/4 //动态学习地址

数据转发情况

交换机只对绑定表项中的IP地址做检查，检查发现MAC地址对应时放行，不一致时丢弃。对于不在绑定表项中IP，不做任何检查。例如：当用户IP为1.1.1.1时，只有当用户MAC为001a.a9aa.bbbb 时数据被处理，MAC地址为其他值时直接丢弃；当IP为2.2.2.2时，交换机不做安全检查，直接按mac-address-table处理数据

2）10.x交换机（不包括S2000系列）

配置

S2328G(config)#address-bind 1.1.1.1 001a.a111.1111

S2328G(config)#address-bind uplink FastEthernet 0/24 // 切记设置上联口为uplink口，否则回来的数据会被丢弃

S2328G(config)# address-bind install

S2328G#sh run | begin address

ip address 192.168.33.179 255.255.255.0

no shutdown

address-bind uplink FastEthernet 0/24

address-bind 1.1.1.1 001a.a111.1111

address-bind install

MAC地址表项

S2328G#sh address-bind

IP Address Binding MAC Addr

--------------- ----------------

1.1.1.1 001a.a111.1111

S2328G#sh mac-address-table

Vlan MAC Address Type Interface

---------- -------------------- -------- -------------------

1 001f.1612.ce46 DYNAMIC FastEthernet 0/1

S2328G#

数据转发情况

交换机只转发IP和MAC与绑定表项一致的数据。例如：当用户IP为1.1.1.1时，MAC为001a.a111.1111则转发，否则丢弃；当用户IP为非1.1.1.1时，如1.1.1.2，在表项中找不到的，直接丢弃。

2、非10.x交换机配置端口安全（Port-security）的功能说明

端口安全是一种基于二层地址或三层地址对网络接入进行控制的安全机制，因此安全地址可以是仅MAC的，仅IP的，也可以是IP+MAC的。

配置

Switch#sh run

vlan 1

interface fastEthernet 0/1

switchport port-security mac-address 001a.a111.1111

interface fastEthernet 0/2

switchport port-security ip-address 1.1.1.1

interface fastEthernet 0/3

switchport port-security mac-address 001a.a222.2222 ip-address 2.2.2.2

end

MAC地址表项

Switch#sh port-security address

Vlan Mac Address IP Address Type Port Remaining Age(mins)

---- --------------- --------------- ---------- -------- -------------------

1 - 1.1.1.1 Configured Fa0/2 -

1 001a.a111.1111 Configured Fa0/1 -

1 001a.a222.2222 2.2.2.2 Configured Fa0/3 -

Switch#sh mac-address-table

Vlan MAC Address Type Interface

---------- -------------------- ---------- -------------------

1 001f.1612.ce46 DYNAMIC Fa0/1 //启用任何一种形式绑定功能后，接口仍然能学习MAC地址，并在mac-address-table中生成

数据转发情况

只绑定MAC地址时，交换机不限制其他MAC的用户数据，只对端口学习MAC地址总数做限制（默认学习128个）；只绑定IP的情况，交换机只转发绑定表项中IP的数据；绑定IP和MAC的情况，交换机只转发绑定表项中IP和MAC对应一致

3、S21端口配置端口安全，绑定IP+MAC，提示错误：% Error: Attribute conflict

S21端口安全功能不能与ACL共用。

4、S21希望端口开启dot1x认证同时端口安全绑定IP或者mac

两者功能冲突，后续无新版本更新，建议只采用其中一种方式来做安全控制。

5、端口安全、全局IP+MAC绑定是否可以防arp欺骗

不能，如果需要防arp欺骗，需要在接口上手动敲arp-check，可以用如下命令来查看是否生成arp-check的表项。

Ruijie#show interfaces arp-check list

Interface Sender MAC Sender IP Policy Source

------------------------ ---------------- ---------------- --------------------

Gi 0/1 00D0.F800.0003 192.168.1.3 address-bind

Gi 0/1 00D0.F800.0001 192.168.1.1 port-security

6、交换机做端口安全如何查看用户MAC信息

在交换机上端口上配置了switchport port-security后，用户MAC地址属性转变，不再显示到show mac-addrees table里，必须通过：show port-security address 进行查看。

7、交换机配置端口安全时提示not eligible for secure port

交换机在接口下配置switchport port-security，提示 not eligible for secure port

原因是因为如果这个端口已经设置了成了端口镜像的目的口，那么该端口就不能配置端口安全，也不能配置dot1x认证。