交换机和路由路的每个端口是否也有一个mac地址？

Posted 2023-05-10

对！
交换机和路由器分别是网络中的二层设备和三层设备，每台交换机和路由器的每个接口都具有一个独一无二的MAC地址，用来标识，从而实现数据转发。 参考技术A 家用路由器只有一个MAC地址，但是复杂的高级路由一般一个WAN端口一个MAC地址。普通的交换机没有MAC地址，三层交换机才具有一个MAC地址。交换机或者路由器的端口是不同的，交换机只有LAN口，路由器还具有WAN端口。希望能够帮助到你。追问

谢谢 三层交换机是不是每个端口都有mac 还有LAN口和WAN口有啥区别

追答

LAN口用于局域网通讯，位于LAN口下的所有终端一般可以直接通讯。WAN口是广域网通讯接口，每个WAN口都具有一个IP地址。三层交换机准确的说不是每个LAN口都有MAC地址，而是可以根据实际需要对所有端口进行分组，如果作为WAN口，则具有MAC地址以及IP地址，如果作为LAN口则没有，三层交换机的每个端口不是固定作为LAN或者WAN使用，可以根据实际需要变换。希望能够帮助到你。

参考技术B 不是 你可以把路由的所有端口和交换的所有端口 认为是一个MAC 就是网关追问

谢谢 还能再详细些吗

追答

路由所有LAN口都是同样的MAC IP 就是我们平时说的网关
路由的WAN口IP MAC不一样 IP也不能再同一网段
交换机是路由端口的扩展
你接了交换机 那么MAC可以认为同样是路由的MAC

当然 一交换可以接多路由 不能就这么认为

参考技术C 交换机和路由路的每个端口不会有mac地址,只有一个的. 参考技术D 没有。

路由交换·端口安全

原理篇 ：局域网安全的实现

 

Port security 端口安全、

 

端口安全是对接入行为的一中控制，一般情况下，一个交换机的端口连接一台主机，即一个端口就应该对一个mac地址，如果一个端口上出现了2个mac地址，我们可以通过端口安全来限制一个接口上最大容纳多少mac地址以及声明哪个主机的mac可以连接这个接口。

交换机可以对非法接入端口的处理方式有三种：

protect：当已经超过所允许学习的最大mac地址数时，交换机将继续工作，但是会把来自新主机的数据帧丢弃，不发任何警告信息。

restrict ：当发生安全违规时，交换机将继续工作，非法的数据通信仍然可以继续，但是回向控制台发告警信息。

 

shutdown：是指关闭端口为err-disable状态，除非管理员可以再全局配置模式下使用errdisable recovery将接口从错误状态中恢复过来，也可以直接进入接口重新激活接口。

注意：因为安全违规造成端口被关闭后，管理员可以再全局配置模式下使用errdisable recovery 将接口从错误状态中恢复过来，也可以直接进入接口重新激活接口。

 

静态学习Mac：静态方式，通过命令配置，存储在mac地址表中，增加到交换机的running config中。

动态学习Mac：动态学习Mac地址，这些地址仅存放在Mac地址表中，交换机重启或接口shutdown时会被移除。

sticky方式学习Mac：可以动态或者是手动配置，存储在mac地址表中，同时会增加到running config中，交换机重启时接口不需要动态的重新配置。

 

交换机的某个接口连接了一台电脑，这台电脑的主人是一个attacker，它可以用某些软件

发了好多的帧，里面包含了10000个mac地址，而交换机的mac地址表是有限的，可以通过show sdm prefer 可以查看交换机的可接收的单播mac地址才5000个，此时mac地址表满了之后，不能再有新的帧进来了，其实mac地址表空间满了和空的mac地址表没什么区别，空的时候来一个帧就会范洪，网络带宽都被占用了，此时你的交换机的CPU利用率会很高<通过show process cpu查看>。此时你交换机就变成了hub了，那这种情况怎么阻止呢？

 

命令：

interface f0/1

switchport mode access

switchport port-security

switchport port-security maximum 1

switchport port-security mac-address sticky

switchport port-security violation shutdown

 

 

交换机的端口安全属于数据链路层安全策略，也是企业网络接入控制方案中的一种，他可以有效的限制非法桌面计算机的接入，也可以有效的防御mac地址泛洪攻击。主要的功能是：限制一个交换机物理端口的最大mac数据，设定合法的接入主机的mac地址，制定违反端口安全策略后的行为。需要注意的是在配置交换机的端口安全之前必须声明端口的模式，比如：switchport mode access，端口安全不能被应用到动态协商的端口模式中。

看一下拓扑：

 

 

测试连通性

 

 

2950交换机的端口安全配置情况

interface f0/1

switchport mode access

switchport port-security

switchport port-security maximum 4

switchport port-security mac-address 0060.5cc6.aab4

switchport port-security violation shutdown

 

intface f0/2

switchpport mode access

switchport port-security maximum 4

switchport port-security mac-address sticky

switchport port-security violation restrict

 

查看show run 信息 ，发现没有f0/1的违规策略，只有f0/2的违规策略

 

因为f0/1的违规策略是shutdwon,是默认的策略，所以在show run信息中没有体现，可以查看show Port-security

 

这样就可以查看到了。

 

也可以通过以下方式查看端口的安全配置

 

 

更改PC7的mac地址，查看交换机f0/1的情况，接口进入down状态，

 

提示f0/1接口已经down了，违规记录为：1

 

在HUB上再连接一台pc ,配置iP地址，会发现PC8与其他主机的通信是没有问题的，会向控制台发送违规记录。

 

 

本文出自 “李世龙” 博客，谢绝转载！