实验19配置Mac地址表实现绑定和过滤

实验十九、配置MAC地址表实现绑定和过滤

一、 实验目的

1、 了解MAC地址表在交换机中的作用；

2、 熟练掌握如何配置MAC地址表实现MAC与端口绑定功能。

二、 应用环境

1、 通常交换机支持动态学习MAC地址的功能，每个端口可以动态学习多个MAC地址，

从而实现端口之间已知MAC地址数据流的转发。当MAC地址老化后，则进行广播处理。也就是说，交换机某接口上学习到某MAC地址后可以进行转发，如果将连线切换到另外一个接口上交换机将重新学习该MAC地址，从而在新切换的接口上实现数据转发。

2、 为了安全和便于管理，需要将MAC地址与端口进行绑定，通过配置MAC地址表的方

式进行绑定。即，MAC地址与端口绑定后，该MAC地址的数据流只能从绑定端口进入，不能从其他端口进入。但是不影响其他MAC的数据流从该端口进入。

三、 实验设备

1、 DCS-3926S交换机1台 2、 PC机2台

3、 Console线1根 4、 直通网线2根

四、 实验拓扑

五、 实验要求

1、 交换机IP地址为192.168.1.11/24，PC1的地址为192.168.1.101/24；PC1的地址

为192.168.1.102/24；

2、 在交换机上作MAC与端口绑定；

3、 PC1在不同的端口上ping 交换机的IP，检验理论是否和实验一致； 4、 PC1在不同的端口上ping 交换机的IP，检验理论是否和实验一致。

六、 实验步骤

第一步：得到PC1机的MAC地址

Microsoft Windows XP [版本 5.1.2600] (C) 版权所有 1985-2001 Microsoft Corp. C:\\>ipconfig/all

Windows IP Configuration

Host Name . . . . . . . . . . . . : xuxp

Primary Dns Suffix . . . . . . . : digitalchina.com Node Type . . . . . . . . . . . . : Broadcast IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No Ethernet adapter 本地连接:

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connecti on

Physical Address. . . . . . . . . : 00-A0-D1-D1-07-FF Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes

Autoconfiguration IP Address. . . : 169.2.27.232 Subnet Mask . . . . . . . . . . . : 255.255.0.0 Default Gateway . . . . . . . . . : C:\\>

我们得到了PC机的mac地址为：00-A0-D1-D1-07-FF。 第二步：交换机全部恢复出厂设置，给交换机设置地址

switch(Config)#int v 1

switch(Config-If-Vlan1)#ip address 192.168.1.11 255.255.255.0 switch(Config-If-Vlan1)#no shut switch(Config-If-Vlan1)#exit switch(Config)#

第三步：使用mac地址表配置来绑定。

switch(Config)#mac-address-table static address 00-a0-d1-d1-07-ff vlan 1 interface ethernet 0/0/1 switch(Config)# 验证测试：

switch#show mac-address-table Read mac address table....

Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------ 1 00-03-0f-01-7d-b1 STATIC System CPU

1 00-a0-d1-d1-07-ff STATIC User Ethernet0/0/1 switch#

第四步：ping命令测试

PC

端口 0/0/1 0/0/7 0/0/1 0/0/7

Ping 192.168.1.11 192.168.1.11 192.168.1.11 192.168.1.11

结果 通 不通 通 通

原因

PC1 PC1 PC2 PC2

第四步：将PC2网线连接在0/0/1上显示

switch#show mac-address-table Read mac address table....

Vlan Mac Address Type Creator Ports ---- --------------------------- ------- --------------- 1 00-03-0f-01-7d-b1 STATIC System CPU

1 00-14-38-1d-ba-01 DYNAMIC Hardware Ethernet0/0/1 1 00-a0-d1-d1-07-ff STATIC User Ethernet0/0/1 switch#

第五步：配置MAC地址过滤

switch(Config)#mac-address-table blackhole address 00-a0-d1-d1-07-ff vlan 1 验证配置：

switch#show mac-address-table Read mac address table....

Vlan Mac Address Type Creator Ports ---- --------------------------- ------- --------------- 1 00-03-0f-01-7d-b1 STATIC System CPU

1 00-a0-d1-d1-07-ff STATIC User (blackhole) switch#

第六步：用ping命令验证

无论PC1插在交换机的哪个RJ45口上，都ping不通192.168.1.11 而PC2则能ping通。

七、 注意事项和排错

输入show mac命令时，某端口没有学习到该端口连接的设备的MAC。可能的原因有：交换机启动SpanningTree，且端口处于discarding状态；或者端口刚连接上设备，Spanning Tree还在计算中，等Spanning Tree计算完毕，端口就可以学习MAC地址了；

八、 共同思考

实验18和实验19实现绑定的异同点。

九、 课后练习

自行设计一个实验，验证MAC和端口的绑定。

十、 相关配置命令详解 show mac-address-table

命令：show mac-address-table [static|aging-time|blackhole] [address ] [vlan ] [interface ]

功能：显示交换机当前的MAC地址表的内容。

参数：static 静态表项；aging-time 地址老化时间；blackhole 过滤表项； 要显示的表项包含的MAC地址； 要显示的表项包含的VLAN号； 要显示的表项包含的端口名称。 命令模式：特权用户配置模式

缺省情况：系统缺省不显示MAC地址表的内容。

使用指南：本命令可以分类显示各种MAC地址表项，也可以使用命令show mac-address-table显示当前交换机内所有的MAC地址表项。 举例：显示当前MAC地址表中的过滤表项。 Switch#show mac-address-table blackhole

mac-address-table aging-time

命令：mac-address-table aging-time {| 0} no mac-address-table aging-time

功能：设置MAC地址表中动态学习到的地址映射表项的老化时间；本命令的no操作为恢复系统的缺省老化时间300秒。

参数：为老化时间，单位为秒，取值范围为10～100000；0为不老化。 命令模式：全局配置模式

缺省情况：系统缺省老化时间为300秒。

使用指南：老化时间设置的过小，交换机中会增加很多不必要广播影响性能；老化时间设置的过大，又会使一些早已不用的表项长期存在于MAC地址表中。因此用户应该根据实际情况合理的设置老化时间。 当老化时间设置为0秒时，交换机动态学习到地址就不会随着时间而老化，动态学习到的地址将一直保存在MAC地址表中。

举例：设置MAC地址表动态学习到的MAC地址的老化时间为400秒。 Switch(Config)#mac-address-table aging-time 400

mac-address-table

命令：mac-address-table {static|blackhole} address vlan interface

no mac-address-table [static|blackhole|dynamic] [address ] [vlan

] [interface ]

功能：添加或修改静态地址表项、过滤地址表项，此命令的no操作为删除静态地址表项、过滤地址表项。

参数：static 静态表项；blackhole 过滤表项，配置过滤表项的目的是丢弃指定MAC地址

的帧，用于过滤不想让其通过的流量，可以过滤源地址和目标地址；dynamic动态地址表项； 要添加或删除的MAC地址； 转发MAC数据包的端口名称； 接收mac地址数据包的vlan号。 命令模式：全局配置模式

缺省情况：当配置VLAN接口后，系统会生成一个VLAN接口固有的MAC地址的静态地址映射表项。

使用指南：在某些特殊用途或者交换机不能动态的学习到MAC地址，用户可以使用本命令将MAC地址与端口及VLAN手工建立映射关系。

命令no mac-address-table为删除交换机MAC地址表中存在的所有动态、静态、过滤MAC地址表项，系统缺省保留的映射表项除外。

举例：端口0/0/16属于VLAN200，与MAC地址为00-03-0f-f0-00-18建立地址映射。

Switch(Config)#mac-address-table static address 00-03-0f-f0-00-18 vlan 200 interface ethernet 0/0/16