关于IP-MAC地址绑定的交换机设置
[color=Blue][b]关于IP-MAC地址绑定的交换机设置[/b][/color][b]1.方案1——基于端口的MAC地址绑定[/b]
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal
#进入配置模式
Switch(config)# Interface fastethernet 0/1
#进入具体端口配置模式
Switch(config-if )#Switchport port-secruity
#配置端口安全模式
Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
#删除绑定主机的MAC地址
注意:
以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
注意:
以上功能适用于思科2950、3550、4500、6500系列交换机
[b]2.方案2——基于MAC地址的扩展访问列表[/b]
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
注意:
以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。
[b]3.方案3——IP地址的MAC地址绑定[/b]
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config)Ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)Permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Permit any 192.168.0.1 0.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if )Ip access-group IP10 in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
Switch(config)no Ip access-group IP10 in
#清除名为IP10的访问列表
上述所提到的应用1是基于主机MAC地址与交换机端口的绑定,方案2是基于MAC地址的访问控制列表,前两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现,可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。
注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。
后注:从表面上看来,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址与IP地址的绑定存在很大的缺陷,并不能真正防止内部IP地址被盗用。
[[i] 本帖最后由 孤云野鹤 于 2005-12-8 10:10 AM 编辑 [/i]] 很好的贴子,为什么没人顶呀
ding
ding ding 谢谢搂主共享~ 顶了 对普通的交换机有什么方法可以做呢? 因为MAC地址是可以随意改的,更别说IP了,所以...... 不错地东西 恩,不错的方法,支持 寫的很好,不過不懂梆定ip和mac有什麼好處。相當不容易管理啊? ding 很好呀,谢谢了回复 #1 孤云野鹤 的帖子
多好 期待已久!!!!顶了!!!
谢谢版主 好啊 真实不错的帖子,支持! 多谢啦 支持 没看明白,还得学啊 虽然MAC和IP都可以修改,但是对于局域网管理还是有用的,并不是每个人对修改MAC很熟悉的~~,当然为了提高安全,还需要采用其他手段和加强管理制度! 没什么用处,普通交换机不行. 正好用到这个
dddddd
很好呀,谢谢了 ddddddddddddd 顶了很好的贴子,为什么没人顶呀
很好的贴子,为什么没人顶呀 认真看过,很受启发,谢谢!!回复 #1 孤云野鹤 的帖子
很好的贴子,为什么没人顶呀 用思科的有多少? 好谢谢 谢谢搂主共享~ hao don xi ? ding 不错噢 很有用 真的很有用,大家一起进步 ip和mac的绑定存在很大的问题,好像现在也没有很好的解决办法。 好东西,顶一下! 好方法,支持分享,,ding页:
[1]
2