交换机和路由路的每个端口是否也有一个mac地址?
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了交换机和路由路的每个端口是否也有一个mac地址?相关的知识,希望对你有一定的参考价值。
对!交换机和路由器分别是网络中的二层设备和三层设备,每台交换机和路由器的每个接口都具有一个独一无二的MAC地址,用来标识,从而实现数据转发。 参考技术A 家用路由器只有一个MAC地址,但是复杂的高级路由一般一个WAN端口一个MAC地址。普通的交换机没有MAC地址,三层交换机才具有一个MAC地址。交换机或者路由器的端口是不同的,交换机只有LAN口,路由器还具有WAN端口。希望能够帮助到你。追问
谢谢 三层交换机是不是每个端口都有mac 还有LAN口和WAN口有啥区别
追答LAN口用于局域网通讯,位于LAN口下的所有终端一般可以直接通讯。WAN口是广域网通讯接口,每个WAN口都具有一个IP地址。三层交换机准确的说不是每个LAN口都有MAC地址,而是可以根据实际需要对所有端口进行分组,如果作为WAN口,则具有MAC地址以及IP地址,如果作为LAN口则没有,三层交换机的每个端口不是固定作为LAN或者WAN使用,可以根据实际需要变换。希望能够帮助到你。
参考技术B 不是 你可以把路由的所有端口和交换的所有端口 认为是一个MAC 就是网关追问谢谢 还能再详细些吗
追答路由所有LAN口都是同样的MAC IP 就是我们平时说的网关
路由的WAN口IP MAC不一样 IP也不能再同一网段
交换机是路由端口的扩展
你接了交换机 那么MAC可以认为同样是路由的MAC
当然 一交换可以接多路由 不能就这么认为
路由交换·端口安全
原理篇 :局域网安全的实现
Port security 端口安全、
端口安全是对接入行为的一中控制,一般情况下,一个交换机的端口连接一台主机,即一个端口就应该对一个mac地址,如果一个端口上出现了2个mac地址,我们可以通过端口安全来限制一个接口上最大容纳多少mac地址以及声明哪个主机的mac可以连接这个接口。
交换机可以对非法接入端口的处理方式有三种:
protect:当已经超过所允许学习的最大mac地址数时,交换机将继续工作,但是会把来自新主机的数据帧丢弃,不发任何警告信息。
restrict :当发生安全违规时,交换机将继续工作,非法的数据通信仍然可以继续,但是回向控制台发告警信息。
shutdown:是指关闭端口为err-disable状态,除非管理员可以再全局配置模式下使用errdisable recovery将接口从错误状态中恢复过来,也可以直接进入接口重新激活接口。
注意:因为安全违规造成端口被关闭后,管理员可以再全局配置模式下使用errdisable recovery 将接口从错误状态中恢复过来,也可以直接进入接口重新激活接口。
静态学习Mac:静态方式,通过命令配置,存储在mac地址表中,增加到交换机的running config中。
动态学习Mac:动态学习Mac地址,这些地址仅存放在Mac地址表中,交换机重启或接口shutdown时会被移除。
sticky方式学习Mac:可以动态或者是手动配置,存储在mac地址表中,同时会增加到running config中,交换机重启时接口不需要动态的重新配置。
交换机的某个接口连接了一台电脑,这台电脑的主人是一个attacker,它可以用某些软件
发了好多的帧,里面包含了10000个mac地址,而交换机的mac地址表是有限的,可以通过show sdm prefer 可以查看交换机的可接收的单播mac地址才5000个,此时mac地址表满了之后,不能再有新的帧进来了,其实mac地址表空间满了和空的mac地址表没什么区别,空的时候来一个帧就会范洪,网络带宽都被占用了,此时你的交换机的CPU利用率会很高<通过show process cpu查看>。此时你交换机就变成了hub了,那这种情况怎么阻止呢?
命令:
interface f0/1
switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
switchport port-security violation shutdown
交换机的端口安全属于数据链路层安全策略,也是企业网络接入控制方案中的一种,他可以有效的限制非法桌面计算机的接入,也可以有效的防御mac地址泛洪攻击。主要的功能是:限制一个交换机物理端口的最大mac数据,设定合法的接入主机的mac地址,制定违反端口安全策略后的行为。需要注意的是在配置交换机的端口安全之前必须声明端口的模式,比如:switchport mode access,端口安全不能被应用到动态协商的端口模式中。
看一下拓扑:
测试连通性
2950交换机的端口安全配置情况
interface f0/1
switchport mode access
switchport port-security
switchport port-security maximum 4
switchport port-security mac-address 0060.5cc6.aab4
switchport port-security violation shutdown
intface f0/2
switchpport mode access
switchport port-security maximum 4
switchport port-security mac-address sticky
switchport port-security violation restrict
查看show run 信息 ,发现没有f0/1的违规策略,只有f0/2的违规策略
因为f0/1的违规策略是shutdwon,是默认的策略,所以在show run信息中没有体现,可以查看show Port-security
这样就可以查看到了。
也可以通过以下方式查看端口的安全配置
更改PC7的mac地址,查看交换机f0/1的情况,接口进入down状态,
提示f0/1接口已经down了,违规记录为:1
在HUB上再连接一台pc ,配置iP地址,会发现PC8与其他主机的通信是没有问题的,会向控制台发送违规记录。
本文出自 “李世龙” 博客,谢绝转载!
以上是关于交换机和路由路的每个端口是否也有一个mac地址?的主要内容,如果未能解决你的问题,请参考以下文章