2024年8月9日发(作者:)

认证与培训

实验 DGS-3627实现IP-MAC PORT 绑定功能

一、 产品简介

DGS-3600系列堆叠交换机作为下一代三层千兆交换机,其处理能力、灵活性、

安全性、多层QoS、访问控制和冗余电源支持等特性对中小型企业都是极佳的选

择。DGS-3600系列堆叠交换机具有高密度的千兆端口、支持SFP、可选配的10G

上连,和先进的软件功能。这些交换机能够应用在部门级接入层设备或核心层,

在高速骨干网和集中式服务网络里,形成一个多层的结构体系。 各类电信运营

商也能利用这种高SFP端口密度的交换机,作为FTTB网络的核心以开拓更多用

户。

二、 实验目的:

1. 了解IP-MAC PORT绑定的原理

2. 了解IP-MAC PORT绑定的设置

三、 试验设备:

1. DGS-3627 1台

2. PC 2台

3. 直通双绞线 2条

4. 配置线缆 1条

四、 实验环境

1

认证与培训

有绑定PC1地址的端口上不能与PC2正常通信,在没有进行地址绑定前

PC2 连接到启用端口绑定功能的端口上不能正常通信。 

 

六、设置步骤

①  

把交换机的控制口和PC的串口相连,通过超级终端进入交换机的配置界

面,如下图:

通过PC的“开始→程序→附件→通讯→超级终端”,进入超级终端界面。

 

② 

设置超级终端的端口属性,进入交换机配置界面 。 

 

2

认证与培训

 

我们将每秒位数设置为:115200 , 数据位:8  ,奇偶校验:无,停止位:1, 

数据流控制:硬件。注意:不同的交换机端口属性不尽相同,请参阅说明书。 

 

 

 

点击确定,进入交换机配置界面,提示输入用户名和密码,如果没有用户名

和密码,则按两下回车,进入可配置模式。

 

在此模式下,我们可以对交换机进行各种配置,由于是命令行模式,需要掌握一

些常用命令,输入“?”,敲回车键,能看到交换机所有的命令:

 

 

3

认证与培训

 

 

给计算机分配IP地址如下: 

 

 

 

 

 

 

 

 

 

4

 

认证与培训

 

 

为PC1分配的IP地址为:192.168.1.1,PC2 的IP地址为:192.168.1.2。 

 

 

 

给交换机分配IP地址为192.168.1.11。 

 

 

 

 

 

查询计算机的MAC 地址,开始→运行,输入CMD,然后出现如下画面。 

5

认证与培训

     在提示符后输入ipconfig/all ,获得PC 1 的MAC 地址为:

00-16-D3-B8-70-08。  

  

在DGS-3627上面进行IP-MAC PORT 绑定  ACL模式的设置。 

 

 

   首先启用DGS-3627上面的地址绑定的ACL模式,默认的情况下是关闭的。 

 

 

   创建一条IP-MAC PORT的绑定。将PC1的IP地址与MAC地址进行绑定,并将

6

认证与培训

这条绑定条目绑定到交换机的第1-8端口,选择绑定的模式是ACL模式。 

启用端口1-12的端口绑定功能。 

 

 

七、验证结果 

 

     我们将PC1连接到交换机的第一个端口,PC2 连接到交换机的第13端口。

注意:交换机的第1-12 端口为启用地址绑定功能的端口,而其中1-8 端口绑定

了PC1的IP-MAC地址。第13-24 端口是交换机未启用绑定功能的端口。 

 

     下面看一下PC1和PC2 之间的通信情况。 

现在它们之间的通信是正常的。然后我们将PC1 轮流连接到交换机的第2-10端

口,再次查看PC1 和PC2 的通信情况。 

 

7

认证与培训

没有问题,通信正常。因为我们把PC1的IP-MAC地址绑定到了1-8 端口,PC1

连接到1-8 端口之中的任何一个端口与PC2 之间的通信都是正常的。然后把PC1

连接到交换机的第9-12 端口,再次查看通信情况。 

 

这个时候PC1与PC2之间的通信中断。这是因为虽然9-12 端口开启了端口绑定

的功能,但是由于没有把PC1的地址绑定到9-12 端口,交换机就会自动阻止PC1

的通信。PC1 由于更改了端口而不能正常通信,更改PC1 的IP地址看看PC1 与

PC2 之间是否可以正常通信。我们将PC1的IP由192.168.1.1改为192.168.1.10。 

 

8

认证与培训

 

 

在更改了PC1 的IP地址后,PC1 与PC2 之间的通信中断,在启用了IP-MAC  PORT 

绑定之后,只要更改这三元素中的任何一个,都会造成通信中断。 

 

PC2 连接到没有启用端口绑定的13-24端口中的任何一个,与交换机之间的通信

都是正常的。 

9

认证与培训

 

   将PC2连接到启用地址绑定功能的端口1-12 ,看看与交换机之间的通信情

况如何。 

 

 

 

PC 2 与交换机之间的通信出现中断,因为1-12端口启用了地址绑定功能,交换

机在绑定条目中没有发现与PC2相匹配的信息,于是就阻止PC2 进行通信。 

 

 

八、实验总结 

 

    交换机的IP-MAC PORT绑定功能在网络中是十分有用的。在网络中ARP欺骗

猖獗的今天,地址绑定功能可以很好的用来杜绝ARP的欺骗攻击。只要我们将网

络中主机的IP-MAC 和交换机端口绑定在一起,任何随意改变主机的IP地址、

MAC地址、主机所连端口号都会被交换机视为非法接入而拒绝其接入到网络中,

而没有在交换机的绑定列表中的机器如果连接到启用绑定功能的端口,也会被交

换机自动阻止。这无疑大大增加了网络的安全性。 

10