端口地址绑定与端口镜像[神州数码实现]

端口地址绑定：【基于端口的MAC地址绑定】

在网络设备上，MAC地址绑定主要有两种方式：基于端口的MAC地址绑定和基于IP地址的MAC地址绑定（其实还有一种，就是端口、MAC地址和IP地址三者同时绑定）。前者主要是在交换机上进行配置，后者既可以在交换机上配置，也可以在路由器和防火墙上进行配置。基于交换机端口绑定MAC地址后，就只有该MAC地址主机才能访问所绑定的交换机端口，防止其他主机访问该端口上的主机；基于IP地址的MAC地址绑定，则只有具有正确的MAC地址与IP地址绑定关系的数据包才允许进行正常的网络通信，防止其他IP地址用户仿冒合法用户的MAC地址。如果同时进行了端口、MAC地址和IP地址绑定，则只有符合三者绑定关系的数据包才能访问相应端口。

实验线路连接图:




DCRS-5526S配置背景：
如果需要将PC1[/b]仅在其连接交换机的端口[/b]e0/0/1[/b]时可以通信[/b]，就需要配置端口绑定，将PC1的MAC地址绑定到需要设置的端口。

switch#config switch(Config)#hostname SwitchA SwitchA(Config)#vlan 10 SwitchA(Config-Vlan10)#switchport interface ethernet 0/0/1-24 SwitchA(Config-Vlan10)#exit SwitchA(Config)#mac-address-table static address 00-30-18-A0-0B-C8 vlan 10 interface ethernet 0/0/1[/b] //在这里我们要使用的是MAC地址表设置

测试：
当PC1接交换机1口时，测试和PC2的连通情况，此时可通；若PC1换上其它端口，则不通。
端口镜像：是（port Mirroring)把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。由于部署 IDS 产品需要监听网络流量（网络分析仪同样也需要），但是在目前广泛采用的交换网络中监听所有流量有相当大的困难，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。

实验线路连接图: 略。

DCRS-5526S配置背景：
-将交换机的1和3口镜像到20口
monitor--配置端口镜像; session--配置一个端口镜像;镜像事号码<1-100> source--镜像源端口;destination--镜像目的端口;both--管理发送和接收的流量; rx--只管理接收的流量;tx--只管理发送的流量
配置：

SwitchA(Config)#monitor session 1 source interface ethernet 0/0/1 SwitchA(Config)#monitor session 1 source interface ethernet 0/0/3 SwitchA(Config)#monitor session 1 destination interface ethernet 0/0/20

本文出自 “天匆云汇” 博客，请务必保留此出处http://tiancong.blog.51cto.com/783138/664564