2022年2022年关于Cisco交换机对端口作MAC地址绑定与解 .pdf

关于 Cisco 交换机对端口作 MAC 地址绑定与解除关于 Cisco 交换机对端口作MAC 地址绑定与解除虽然在 TCP IP 网络中，计算机往往需要设置IP 地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP 地址，而是借助于网卡的MAC 地址。 IP 地址只是被用于查询欲通讯的目的计算机的MAC地址。 ARP协议是用来向对方的计算机、网络设备通知自己IP 对应的 MAC 地址的。在计算机的 ARJ 缓存中包含一个或多个表，用于存储IP 地址及其经过解析的以太网MAC 地址。一台计算机与另一台IP 地址的计算机通讯后，在ARP缓存中会保留相应的MAC 地址。所以，下次和同一个IP 地址的计算机通讯，将不再查询MAC 地址，而是直接引用缓存中的MAC 地址。在交换式网络中，交换机也维护一张MAC 地址表， 并根据 MAC 地址， 将数据发送至目的计算机。为什么要绑定MAC 与 IP 地址：IP 地址的修改非常容易，而 MAC地址存储在网卡的EEPROM 中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP 盗用 ( 例如盗用权限更高人员的IP 地址，以获得权限外的信息) ，可以将内部网络的IP 地址与 MAC 地址绑定，盗用者即使修改了 IP 地址，也因 MAC 地址不匹配而盗用失败: 而且由于网卡MAC 地址的唯一确定性，可以根据 MAC 地址查出使用该MAC 地址的网卡，进而查出非法盗用者。目前， 很多单位的内部网络，都采用了MAC 地址与 IP 地址的绑定技术。下面我们就针对 Cisco 的交换机介绍一下IP 和 MAC 绑定的设置方案。在 Cisco 中有以下三种方案可供选择，方案1 和方案 2 实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC 地址（网卡硬件地址），方案 3 是在具体的交换机端口上同时绑定特定的主机的MAC 地址（网卡硬件地址）和IP 地址。 1.方案 1基于端口的MAC 地址绑定思科 2950 交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令： Switch#config terminal 进入配置模式 Switch(config)# Interface fastethernet 0/1 进入具体端口配置模式 Switch(config-if)#Switchport port-secruity 配置端口安全模式 Switch(config-if )switchport port-security mac-address MAC( 主机的 MAC 地址 ) 配置该端口要绑定的主机的MAC 地址 Switch(config-if )no switchport port-security mac-address MAC(主机的 MAC地址 ) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 3 页 - - - - - - - - - 删除绑定主机的MAC 地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC 地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC 地址，才能正常使用。注意：以上功能适用于思科2950、3550、 4500、6500 系列交换机 2.方案 2基于MAC 地址的扩展访问列表 Switch(config)Mac access-list extended MAC10 定义一个MAC地址访问控制列表并且命名该列表名为MAC10 （转载注明出处n et130 ） Switch(config)permit host 0009.6bc4.d4bf any 定义 MAC 地址为 0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)permit any host 0009.6bc4.d4bf 定义所有主机可以访问MAC 地址为 0009.6bc4.d4bf的主机 Switch(config-if )interface Fa0/20 #进入配置具体端口的模式 Switch(config-if )mac access-group MAC10 in 在该端口上应用名为MAC10 的访问列表（即前面我们定义的访问策略） Switch(config)no mac access-list extended MAC10 清除名为MAC10 的访问列表此功能与应用一大体相同，但它是基于端口做的MAC 地址访问控制列表限制，可以限定特定源MAC 地址与目的地址范围。注意：以上功能在思科2950、 3550、4500、6500 系列交换机上可以实现，但是需要注意的是 2950、3550 需要交换机运行增强的软件镜像（Enhanced Image）。 3.方案 3 IP 地址的 MAC 地址绑定只能将应用1 或 2 与基于 IP 的访问控制列表组合来使用才能达到IP-MAC 绑定功能。（转载注明出处n et130 ） Switch(config)Mac access-list extended MAC10 定义一个MAC 地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host 0009.6bc4.d4bf any 定义 MAC 地址为 0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)permit any host 0009.6bc4.d4bf 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 3 页 - - - - - - - - - 定义所有主机可以访问MAC 地址为 0009.6bc4.d4bf的主机 Switch(config)Ip access-list extended IP10 定义一个IP 地址访问控制列表并且命名该列表名为IP10 Switch(config)Permit 192.168.0.1 0.0.0.0 any 定义 IP 地址为 192.168.0.1的主机可以访问任意主机 Permit any 192.168.0.1 0.0.0.0 定义所有主机可以访问IP 地址为 192.168.0.1的主机 Switch(config-if )interface Fa0/20 #进入配置具体端口的模式 Switch(config-if )mac access-group MAC10 in 在该端口上应用名为MAC10 的访问列表（即前面我们定义的访问策略） Switch(config-if )Ip access-group IP10 in 在该端口上应用名为IP10 的访问列表（即前面我们定义的访问策略） Switch(config)no mac access-list extended MAC10 清除名为MAC10 的访问列表 Switch(config)no Ip access-group IP10 in 清除名为IP10 的访问列表上述所提到的应用1 是基于主机MAC 地址与交换机端口的绑定，方案2 是基于 MAC地址的访问控制列表，前两种方案所能实现的功能大体一样。如果要做到IP 与 MAC 地址的绑定只能按照方案3 来实现，可根据需求将方案1 或方案 2 与 IP 访问控制列表结合起来使用以达到自己想要的效果。注意：以上功能在思科2950、3550、4500、6500 系列交换机上可以实现，但是需要注意的是2950、3550 需要交换机运行增强的软件镜像（Enhanced Image）。后注： 从表面上看来， 绑定 MAC 地址和 IP 地址可以防止内部IP 地址被盗用， 但实际上由于各层协议以及网卡驱动等实现技术，MAC 地址与 IP 地址的绑定存在很大的缺陷，并不能真正防止内部IP 地址被盗用名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 3 页 - - - - - - - - -