端口地址绑定与端口镜像[神州数码实现]

由低因9775 分享时间：2023-09-17 02:16:40 收藏本文

【简介】感谢网友“低因9775”参与投稿，下面小编为大家带来端口地址绑定与端口镜像[神州数码实现]（共10篇），希望大家能够受用!

篇1：端口地址绑定与端口镜像[神州数码实现]

端口地址绑定：【基于端口的MAC地址绑定】

在网络设备上，MAC地址绑定主要有两种方式：基于端口的MAC地址绑定和基于IP地址的MAC地址绑定（其实还有一种，就是端口、MAC地址和IP地址三者同时绑定），前者主要是在交换机上进行配置，后者既可以在交换机上配置，也可以在路由器和防火墙上进行配置。基于交换机端口绑定MAC地址后，就只有该MAC地址主机才能访问所绑定的交换机端口，防止其他主机访问该端口上的主机；基于IP地址的MAC地址绑定，则只有具有正确的MAC地址与IP地址绑定关系的数据包才允许进行正常的网络通信，防止其他IP地址用户仿冒合法用户的MAC地址。如果同时进行了端口、MAC地址和IP地址绑定，则只有符合三者绑定关系的数据包才能访问相应端口。

实验线路连接图:

DCRS-5526S配置背景：

如果需要将PC1仅在其连接交换机的端口e0/0/1时可以通信，就需要配置端口绑定，将PC1的MAC地址绑定到需要设置的端口。

switch#config

switch(Config)#hostname SwitchA

SwitchA(Config)#vlan 10

SwitchA(Config-Vlan10)#switchport interface ethernet 0/0/1-24

SwitchA(Config-Vlan10)#exit

SwitchA(Config)#mac-address-table static address 00-30-18-A0-0B-C8 vlan 10 interface ethernet 0/0/1

//在这里我们要使用的是MAC地址表设置

测试：

当PC1接交换机1口时，测试和PC2的连通情况，此时可通；若PC1换上其它端口，则不通，

端口镜像：是（port Mirroring)把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。由于部署 IDS 产品需要监听网络流量（网络分析仪同样也需要），但是在目前广泛采用的交换网络中监听所有流量有相当大的困难，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。

实验线路连接图: 略。

DCRS-5526S配置背景：

-将交换机的1和3口镜像到20口

monitor--配置端口镜像; session--配置一个端口镜像;镜像事号码<1-100> source--镜像源端口;destination--镜像目的端口;both--管理发送和接收的流量; rx--只管理接收的流量;tx--只管理发送的流量

配置：

SwitchA(Config)#monitor session 1 source interface ethernet 0/0/1

SwitchA(Config)#monitor session 1 source interface ethernet 0/0/3

SwitchA(Config)#monitor session 1 destination interface ethernet 0/0/20

作者“天匆云汇”

篇2：cisco端口镜像设置

cisco 3550要做端口镜像，用来流量分析，记录命令备查，

moniter sess 1 source inter f 0/1 both

//f0/1是被监视的端口

moniter sess 1 dest int f 0/3

//f0/3是镜像报文输出端口，此端口可接一个计算机装

用wirshark等软件分析流量

篇3：交换机MAC地址与端口的绑定

实验一：交换机MAC地址与端口的绑定

1 实验目的

（1）理解二层交换机MAC地址绑定技术的意义及作用，

（2）掌握配置交换机MAC地址绑定的方法

2 实验设备

计算机(>1台)；交换机(1台), Console电缆（1根），直连双绞线（>1根）

3 实验内容

通常交换机支持动态学习 MAC 地址的功能，每个端口可以动态学习多个 MAC地址，从而实现端口之间已知MAC地址数据流的转发。当 MAC地址老化后，则进行广播处理。也就是说，交换机某接口上学习到某 MAC地址后可以进行转发，如果将连线切换到另外一个接口上交换机将重新学习该 MAC地址，从而在新切换的接口上实现数据转发。

但是，有些情况下为了安全和便于管理，需要将 MAC地址与端口进行绑定，端口只允许已绑定 MAC的数据流的转发。即，MAC地址与端口绑定后，该 MAC地址的数据流只能从绑定端口进入，其他没有与端口绑定的 MAC地址的数据流不可以从该端口进入。

MAC地址与端口的绑定可以有效防止陌生计算机的接入，也可以有效防止人为随意调换交换机端口。

配置命令：

1. 使能端口的 MAC地址绑定功能

格式（端口配置模式）：switchport port-security

2. 端口 MAC地址的锁定

a)格式（端口配置模式）：switchport port-security lock

解释：锁定端口。当端口锁定之后，端口的 MAC地址学习功能将被关闭；

b)格式（端口配置模式）：switchport port-security convert

解释：将端口学习到的动态安全 MAC 地址转化为静态安全 MAC地址。

c)格式（端口配置模式）：switchport port-security timeout

解释：打开端口锁定定时器功能

d) 格式（端口配置模式）:switchport port-security mac-address

解释：添加静态安全 MAC地址

3. MAC地址绑定的属性配置

a)格式（端口配置模式）：switchport port-security maximum

解释：设置交换机端口最大安全 MAC 地址数

b)格式（端口配置模式）：switchport port-security violation {protect | shutdown}

解释：设置当违反了端口的绑定规则时，对端口的处理方式，

protect方式当违反规则后，对数据帧作简单抛弃处理；shutdown方式则会使得端口进shutdown掉。

实验步骤：

图1：MAC地址绑定拓扑图

1、实验前测试即准备：配置PC0 IP为192.168.0.1；PC1 ip为192.168.0.2。PC0连接交换机FastEthernet 0/1口；PC1连接交换机FastEthernet 0/2口。

在PC0上使用ipconfig /all命令得出其MAC地址为00E0.A360.C454

同理得PC1的MAC地址为：000D.BDAD.DACD

在PC0上ping PC1的结果为:

2、配置MAC地址绑定

Switch>enable

Switch#configure t

Switch(config)#interface f0/1

Switch(config-if)#switchport mode access 将f0/1端口配置为接入模式

Switch(config-if)#switchport port-security 打开MAC地址绑定功能

Switch(config-if)#switchport port-security mac-address 00E0.A360.C454 在f0/1端口上绑定静态安全MAC地址为00E0.A360.C454

Switch(config-if)#switchport port-security violation protect 配置端口绑定违反处理为protect方式

使用show port-secutity address命令显示绑定结果：

测试连接：

1、在PC0上ping PC1的结果为：

测试结果表明：PC0可以访问PC1

2、在交换机的f0/1端口上更换主机为PC2，其MAC地址为：0060.3E4D.02A2。IP地址配置成为与PC0相同的ip地址：192.168.0.1。

连接图为：

在PC2上PING PC1的结果为：

www.dnzg.cn

表明PC2不能接入交换机。

小节：1.通过手动端口绑定MAC应用的安全协议。

2.通过自学习。

篇4：华为交换机端口镜像配置

1，配置镜像（观测）端口

monitor-port e0/8

2。配置被镜像端口

port mirror Ethernet 0/1 to Ethernet 0/2

篇5：华为交换机端口镜像配置

1。可以一次性定义镜像和被镜像端口

port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

【8016交换机端口镜像配置】

1。假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

port monitor ethernet 1/0/15

2。设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

port mirroring ethernet 1/0/0 both ethernet 1/0/15

也可以通过两个不同的端口，对输入和输出的数据分别镜像

1。设置E1/0/15和E2/0/0为镜像（观测）端口

port monitor ethernet 1/0/15

2。设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像。

port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15

port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0

『基于流镜像的数据流程』

基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。

【3500/3026E/3026F/3050】

〖基于三层流的镜像〗

1。定义一条扩展访问控制列表

acl num 101

2。定义一条规则报文源地址为1，

1。1。1/32去往所有目的地址

rule 0 permit ip source 1。1。1。1 0 destination any

3。定义一条规则报文源地址为所有源地址目的地址为1。1。1。1/32

rule 1 permit ip source any destination 1。1。1。1 0

4。将符合上述ACL规则的报文镜像到E0/8端口

mirrored-to ip-group 101 interface e0/8

〖基于二层流的镜像〗

1。定义一个ACL

acl num 200

2。定义一个规则从E0/1发送至其它所有端口的数据包

rule 0 permit ingress interface Ethernet0/1 (egress interface any)

3。定义一个规则从其它所有端口到E0/1端口的数据包

rule 1 permit (ingress interface any) egress interface Ethernet0/1

4。将符合上述ACL的数据包镜像到E0/8

mirrored-to link-group 200 interface e0/8

【5516】

支持对入端口流量进行镜像

配置端口Ethernet 3/0/1为监测端口，对Ethernet 3/0/2端口的入流量镜像。

mirror Ethernet 3/0/2 ingress-to Ethernet 3/0/1

【6506/6503/6506R】

目前该三款产品只支持对入端口流量进行镜像，虽然有outbount参数，但是无法配置。

镜像组名为1，监测端口为Ethernet4/0/2，端口Ethernet4/0/1的入流量被镜像。

mirroring-group 1 inbound Ethernet4/0/1 mirrored-to Ethernet4/0/2

【补充说明】

1。镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现

2。 8016支持跨单板端口镜像

【相关文章】

华为8016交换机DHCP配置

局域网交换机的配置及性能比较

配置Cisco交换机启动及基本设置

篇6：Silverlight数据绑定：怎样实现数据绑定

一个数据绑定可以通过 Binding 对象来描述，其中包含数据源，要绑定的属性路径(Path)，目标，目标属性等，

其中目标属性必须是依赖属性(DependencyProperty)。

为了说明方便，首先定义一个数据类：

public class Person

{

public int Age { get; set; }

public string Name { get; set; }

}

例子1：

public partial class Page : UserControl

{

public Page

{

InitializeComponent();

var persons = new List

();

for(var i=0; i< 5; i++)

{

persons.Add(new Person {Name = “Person ” + i.ToString(), Age = 20 + i});

}

list1.DataContext = persons;

}

这里仅指定了 list1 的 DataContext 属性，运行后发现页面没有显示。

如果在页面里改一改：

会发现绑定成功。但是数据项显示为默认的 Person 对象 ToString() 后的表示，不太友好。如下图：

或者，也可以将后台代码改成：

list1.ItemsSource = persons;

而页面 markup 仍然是：

这样也能绑定成功。

这里的原因在于：ListBox 通过 ItemsSource 里的数据去填充数据项，所以直接给这个属性赋值是可以的。

或者，通过空绑定语法 {Binding}，指定 ItemsSource 属性绑定为数据源的对象本身（未指定绑定路径）。而数据源就是通过 DataContext 获得的，并且这个属性的数据可以从父对象继承下来。

下面给 ListBox 指定列表项的数据模板，让它显示的好看一点：

显示如下：

还可以将 DataTemplate 定义到 App 的 Resource 里去，以便于重用，

App.xaml:

xmlns:x=“schemas.microsoft.com/winfx//xaml”

x:Class=“SilverlightTestApp.App”

>

Page.xaml:

xmlns=“schemas.microsoft.com/winfx/2006/xaml/presentation”

xmlns:x=“schemas.microsoft.com/winfx/2006/xaml”

Width=“400” Height=“300”>

运行后效果一样。

篇7：linux 普通账户绑定1024以下端口

一、昨天收到一个开放需求：

能不能在这台机器单独开启一个普通的账户，需要的权限是可以绑定udp 53端口

这个帐号是给开发人员使用的

乍看这个需求，貌似很简单，但其实里面涉及一些技术问题（在Linux上普通用户无法绑定1024以下的端口），

当时为了不耽误开放工作，给了一台测试机的root，现在回过头来解决改问题，

二、google得知，基本有两种解决方法：

1、常用的就是使用sudo给予普通用户一定的权限，不过这跟给root有什么区别，还得维护sudo。

2、debian系统下有一个小程序authbind，允许程序不使用root权限来绑定系统1024以下的特权端口，

在程序启动时必须调用authbind，authbind会调用一些环境变量，来允许你的程序绑定在特权端口。

Ubuntu 12.04安装authbind

apt-get install authbind

怎样使用authbind呢？通过配置文件区域来使用了，默认的配置文件区域在/etc/authbind目录下，里面有三个目录：byport、byaddr、byuid。

假如我们有个test账号，想运行一个程序绑定80端口

在byport目录下建立80文件：/etc/authbind/byport/80，设置test账户有80文件的使用权限，如果80文件可以被test访问，则绑定就是成功的，否则绑定就是失败的。

具体操作：

chmod 755 /etc/authbind/port/80

chown test.test /etc/authbind/port/80

在你要启动的命令前加上authbind --deep命令即可。

我们也可以直接在地址上绑定端口，在byaddr下建立ip:port文件，测试方法如上。

也可以在byuid目录下建立uid文件，只要你的test账号可以访问，否则绑定失败。

三、centos实现

由于authbind是基于debian的，所以在yum上找不到源，google也没有找到对应的rpm；

从github中发现：github.com/tootedom/authbind-centos-rpm

down下来，按照指示rpmbuild -v -bb --clean SPECS/authbind.spec出现两个问题:

1、路径错误

[root@stat authbind]# rpmbuild -v -bb --clean SPECS/authbind.spec

error: File /root/authbind/SOURCES/authbind_2.1.1.tar.gz: No such file or directory

2、没能生成build目录

[root@stat authbind]# rpmbuild -v -bb --clean SPECS/authbind.spec

Executing(%prep): /bin/sh -e /var/tmp/rpm-tmp.6tbsn7

+ umask 022

+ cd /root/authbind/authbind/BUILD

/var/tmp/rpm-tmp.6tbsn7: line 26: cd: /root/authbind/authbind/BUILD: No such file or directory

error: Bad exit status from /var/tmp/rpm-tmp.6tbsn7 (%prep)

RPM build errors:

Bad exit status from /var/tmp/rpm-tmp.6tbsn7 (%prep)

对rpmbuild不熟，但发现SOURCES/authbind_2.1.1.tar.gz，解压后发现Makefile，直接安装成功！

[root@stat authbind-2.1.1]# make

cc -g -O2 -Wall -Wwrite-strings -Wpointer-arith -Wimplicit -Wnested-externs -Wmissing-prototypes -Wstrict-prototypes -DMAJOR_VER='“1”' -DMINOR_VER='“0”' -DLIBAUTHBIND='“/usr/local/lib/authbind/libauthbind.so.1”' -DHELPER='“/usr/local/lib/authbind/helper”' -DCONFIGDIR='“/etc/authbind”' -D_GNU_SOURCE -c -o authbind.o authbind.c

cc -g authbind.o -o authbind

cc -g helper.o -o helper

cc -D_REENTRANT -g -O2 -Wall -Wwrite-strings -Wpointer-arith -Wimplicit -Wnested-externs -Wmissing-prototypes -Wstrict-prototypes -DMAJOR_VER='“1”' -DMINOR_VER='“0”' -DLIBAUTHBIND='“/usr/local/lib/authbind/libauthbind.so.1”' -DHELPER='“/usr/local/lib/authbind/helper”' -DCONFIGDIR='“/etc/authbind”' -D_GNU_SOURCE -c -o libauthbind.o -fPIC libauthbind.c

ld -shared -soname libauthbind.so.1 -o libauthbind.so.1.0 libauthbind.o -ldl -lc

[root@stat authbind-2.1.1]#

[root@stat authbind-2.1.1]# make install

install -o root -g root -m 755 -d /usr/local/lib/authbind /usr/local/share/man/man1 /usr/local/share/man/man8

install -o root -g root -m 755 -s authbind /usr/local/bin/.

install -o root -g root -m 644 libauthbind.so.1.0 /usr/local/lib/authbind/.

strip --strip-unneeded /usr/local/lib/authbind/libauthbind.so.1.0

ln -sf libauthbind.so.1.0 /usr/local/lib/authbind/libauthbind.so.1

install -o root -g root -m 755 -s helper /usr/local/lib/authbind/.

chmod u+s /usr/local/lib/authbind/helper

install -o root -g root -m 755 -d /etc/authbind \

/etc/authbind/byport /etc/authbind/byaddr /etc/authbind/byuid

[root@stat authbind-2.1.1]# cd /etc/authbind/

[root@stat authbind]# ls

byaddr byport byuid

之后按照authbind --deep实现linux 普通账户绑定1024以下端口，

本文出自 “麦麦的运维之路” 博客，请务必保留此出处xiaomaimai.blog.51cto.com/1182965/1437027

篇8：华为交换机端口镜像配置的方法

1. 可以一次性定义镜像和被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

【8016交换机端口镜像配置】

1. 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

[SwitchA] port mirroring ethernet 1/0/0 both ethernet 1/0/15

也可以通过两个不同的端口，对输入和输出的数据分别镜像

1. 设置E1/0/15和E2/0/0为镜像（观测）端口

[SwitchA] port monitor ethernet 1/0/15

2. 设置端口1/0/0为被镜像端口，分别使用E1/0/15和E2/0/0对输入和输出数据进行镜像，

[SwitchA] port mirroring gigabitethernet 1/0/0 ingress ethernet 1/0/15

[SwitchA] port mirroring gigabitethernet 1/0/0 egress ethernet 2/0/0

『基于流镜像的数据流程』

基于流镜像的交换机针对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。

【3500/3026E/3026F/3050】

〖基于三层流的镜像〗

1. 定义一条扩展访问控制列表

[SwitchA]acl num 100

2. 定义一条规则报文源地址为1.1.1.1/32去往所有目的地址

[SwitchA-acl-adv-101]rule 0 permit ip source 1.1.1.1 0 destination any

3. 定义一条规则报文源地址为所有源地址目的地址为1.1.1.1/32

[SwitchA-acl-adv-101]rule 1 permit ip source any destination 1.1.1.1 0

4. 将符合上述ACL规则的报文镜像到E0/8端口

[SwitchA]mirrored-to ip-group 100 interface e0/8

〖基于二层流的镜像〗

1. 定义一个ACL

[SwitchA]acl num 200

2. 定义一个规则从E0/1发送至其它所有端口的数据包

[SwitchA]rule 0 permit ingress interface Ethernet0/1 egress interface Ethernet0/2

3. 定义一个规则从其它所有端口到E0/1端口的数据包

[SwitchA]rule 1 permit ingress interface Ethernet0/2 egress interface Ethernet0/1

4. 将符合上述ACL的数据包镜像到E0/8 www.hanwangtx.com

[SwitchA]mirrored-to link-group 200 interface e0/8

【5516/6506/6503/6506R】

目前该三款产品支持对入端口流量进行镜像

1. 定义镜像端口

[SwitchA]monitor-port Ethernet 3/0/2

2. 定义被镜像端口

[SwitchA]mirroring-port Ethernet 3/0/1 inbound

【补充说明】

1. 镜像一般都可以实现高速率端口镜像低速率端口，例如1000M端口可以镜像100M端口，反之则无法实现

2. 8016支持跨单板端口镜像端口镜像配置

本文来自于无忧网客联盟

篇9：思科路由器端口镜像的注意点

所谓的端口镜像是把交换机一个或多个端口的数据镜像到一个或多个端口的方法，它的作是将指定端口、VLAN的报文复制一份到其它端口，目的端口会与数据监测设备相连，为了方便对一个或多个网络接口的流量进行分析，可以通过配置交换机来把一个或多个端口的数据转发到某一个端口来实现对网络的监听，

一、根据使用范围的不同，端口镜像可分为以下三种类型

1、本地端口镜像：可以将设备源端口/源VLAN/源CPU上的报文复制到本设备的目的端口，用于监控和分析这些报文。

2、跨二层远程端口镜像：可以将本设备源端口/源VLAN/源CPU上的报文跨越二层网络复制到另一台设备的目的端口，用于监控和分析这些报文。

3、跨三层远程端口镜像：可以将本设备源端口/源VLAN/源CPU上的报文跨越三层网络复制到另一台设备的目的端口，用于监控和分析源这些报文。

二、端口镜像通过镜像组的方式实现，镜像组可以分为本地镜像组、远程源镜像组和远程目的镜像组三类

1、本地端口镜像可以对所有报文进行镜像，它通过本地镜像组的方式实现，即源端口/源VLAN中的端口/源CPU和目的端口在同一个本地镜像组中，设备将源端口的报文复制一份并转发到目的端口。

源端口/源VLAN/源CPU的报文被镜像到目的端口，这样，连接在目的端口上的数据监测设备就可以对这些报文进行监控和分析，本地镜像组支持跨板镜像，即目的端口和源端口/源VLAN中的端口/源CPU可以在同一设备的不同单板上。

2、跨二层远程端口镜像可以对协议报文之外的所有报文进行镜像，它通过远程源镜像组和远程目的镜像组互相配合的方式实现，用户在源设备上创建远程源镜像组，在目的设备上创建远程目的镜像组，

源设备将源端口/源VLAN/源CPU的报文复制一份后，将其通过反射端口在远程镜像VLAN中广播，经由中间设备发送至目的设备。

目的设备收到该报文后，若其VLAN ID与远程目的镜像组的远程镜像VLAN的VLAN ID相同，就将其转发至目的端口，这样，连接在目的端口上的数据监测设备就可以对源设备上源端口/源VLAN/源CPU的报文进行监控和分析。

三、用户在源设备上创建远程源镜像组，在目的设备上创建远程目的镜像组。源设备将源端口/源VLAN/源CPU的报文复制一份后，将其通过出端口在远程镜像VLAN中广播，经由中间设备发送至目的设备，连接在目的端口上的数据监测设备就可以对源设备上源端口/源VLAN/源CPU的报文进行监控和分析。

1、用户需要确保远程镜像VLAN内源设备到目的设备间二层网络的互通性。

2、由于源端口/源VLAN/源CPU的报文将被在源设备的远程镜像VLAN中广播，因此可通过把源设备上的其它端口加入远程镜像VLAN的方式，实现本地端口镜像的功能，在镜像报文离开源设备到达远程目的设备过程中，用户应确保镜像报文中VLAN ID的正确性，如果该VLAN ID被修改或删除，跨二层远程镜像功能将失效。

3、跨三层远程端口镜像可以对协议报文之外的所有报文进行镜像，它通过远程源镜像组、远程目的镜像组和GRE隧道互相配合的方式实现，在源设备上，源端口/源VLAN/源CPU的报文被镜像到Tunnel接口，然后通过GRE隧道发送至目的设备，目的设备在通过Tunnel接口将报文转发至其目的端口。

最后给大家说一下，源端口是被监控的端口，用户可以对通过该端口的报文进行监控和分析，源VLAN是被监控的VLAN，用户可以对通过该VLAN所有端口的报文进行监控和分析，源CPU是被监控单板上的CPU，用户可以对通过该CPU的报文进行监控和分析。