精华内容
下载资源
问答
  • 思科,华为,ipmac绑定

    千次阅读 2012-01-09 15:09:29
    思科,华为,ipmac绑定 Cisco中有以下三种方案可供选择,方案1方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定...
     
    
    思科,华为,ip与mac绑定

    Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。

    方法1——基于端口的MAC地址绑定

    思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式:
    Switch#config terminal
    #进入配置模式
    Switch(config)# Interface fastethernet 0/1
    #进入具体端口配置模式
    Switch(config-if)#Switchport port-secruity
    #配置端口安全模式
    Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
    #配置该端口要绑定的主机的MAC地址
    Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
    #删除绑定主机的MAC地址

    注意:
    以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
    以上功能适用于思科2950、3550、4500、6500系列交换机


    方法2——基于MAC地址的扩展访问列表

    Switch(config)Mac access-list extended MAC10
    #定义一个MAC地址访问控制列表并且命名该列表名为MAC10    
    Switch(config)permit host 0009.6bc4.d4bf any
    #定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
    Switch(config)permit any host 0009.6bc4.d4bf
    #定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
    Switch(config-if )interface Fa0/20
    #进入配置具体端口的模式
    Switch(config-if )mac access-group MAC10 in
    #在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
    Switch(config)no mac access-list extended MAC10
    #清除名为MAC10的访问列表

    此功能与应用与第一种方法相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。

    以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。

    方案3——IP地址的MAC地址绑定

    只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。   
    Switch(config)Mac access-list extended MAC10
    #定义一个MAC地址访问控制列表并且命名该列表名为MAC10
    Switch(config)permit host 0009.6bc4.d4bf any
    #定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
    Switch(config)permit any host 0009.6bc4.d4bf
    #定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
    Switch(config)Ip access-list extended IP10
    #定义一个IP地址访问控制列表并且命名该列表名为IP10
    Switch(config)Permit 192.168.0.1 0.0.0.0 any
    #定义IP地址为192.168.0.1的主机可以访问任意主机
    Permit any 192.168.0.1 0.0.0.0
    #定义所有主机可以访问IP地址为192.168.0.1的主机
    Switch(config-if )interface Fa0/20
    #进入配置具体端口的模式
    Switch(config-if )mac access-group MAC10 in
    #在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
    Switch(config-if )Ip access-group IP10 in
    #在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
    Switch(config)no mac access-list extended MAC10
    #清除名为MAC10的访问列表
    Switch(config)no Ip access-group IP10 in
    #清除名为IP10的访问列表

    上述所提到的应用1是基于主机MAC地址与交换机端口的绑定,方案2是基于MAC地址的访问控制列表,前两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现,可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。
    注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。

    华为交换机的配置:


    假设IP地址10.1.1.2,MAC地址0000-0000-0001


    1、IP+MAC+端口绑定流程

    三层交换机中目前只有S3526系列支持使用AM命令来进行IP地址和端口的绑定。并且如果S3526系列交换机要采用AM命令来实现绑定功能,则交换机必须是做三层转发(即用户的网关应该在该交换机上)。

    2、采用DHCP-SECURITY来实现

    1.配置端口的静态MAC地址

    [SwitchA]mac-address static 0000-0000-0001 interface e0/1 vlan 1

    2.配置IP和MAC对应表

    [SwitchA]dhcp-security 10.1.1.2 0000-0000-0001 static

    3.配置dhcp-server组号(否则不允许执行下一步,此dhcp-server组不用在交换机上创建也可)

    [SwitchA-Vlan-interface1]dhcp-server 1

    4. 使能三层地址检测

    [SwitchA-Vlan-interface1]address-check enable

    3、采用AM命令来实现

    1.使能AM功能

    [SwitchA]am enable

    2.进入端口视图

    [SwitchA]vlan 10

    3. 将E0/1加入到vlan10

    [SwitchA-vlan10]port Ethernet 0/1

    4.创建(进入)vlan10的虚接口

    [SwitchA]interface Vlan-interface 10

    5.给vlan10的虚接口配置IP地址

    [SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.0

    6.进入E0/1端口

    [SwitchA]interface Ethernet 0/1

    7. 该端口只允许起始IP地址为10.1.1.2的10个IP地址上网

    [SwitchA-Ethernet0/1]am ip-pool 10.1.1.2 10

    展开全文
  • 计算机都提供了修改IP地址的方法,所以用户可以随意更改自己的IP地址,IP地址的随意修改势必影响其他用户的正常上网,所以推行IP地址和MAC地址绑定,每一个分配的IP地址都要绑定到用户自己的注册的MAC地址上,保证了...

    为什么mac地址和IP地址要绑定?

    提高局域网安全,防止arp攻击和欺骗
    计算机都提供了修改IP地址的方法,所以用户可以随意更改自己的IP地址,IP地址的随意修改势必影响其他用户的正常上网,所以推行IP地址和MAC地址绑定,每一个分配的IP地址都要绑定到用户自己的注册的MAC地址上,保证了用户的合法IP不被盗用和滥用,有效地保证了网络的安全和通信质量。

    绑定的方式有很多种,可以在电脑上绑定,也可以在交换机上绑定

    思科交换机绑定配置
    INTERNAL-CORE-1> enable                       进入特权模式
    INTERNAL-CORE-1# configure terminal            进入配置模式
    INTERNAL-CORE-1(config)# arp 10.65.165.11 f8-b1-56-d1-b2-67 arpa       配置IP地址与mac地址绑定
    INTERNAL-CORE-1(config)# no arp 10.65.165.11 f8-b1-56-d1-b2-67 arpa    删除IP地址和mac地址绑定
    INTERNAL-CORE-1# show running-config           查看交换机当前配置
    
    华为交换机配置
    <internal-CBSYD-core-switch>sys   用户模式进入配置模式
    [internal-CBSYD-core-switch] arp static 10.66.164.21 0009-6bdd-6f4a   配置IP地址与MAC地址绑定
    [internal-CBSYD-core-switch] undo arp static 10.66.164.21 0009-6bdd-6f4a 删除IP地址和mac地址绑定
    <internal-CBSYD-core-switch> save  保存配置
    [internal-CBSYD-core-switch] dis cu         查看当前配置
    
    注意:绑定了电脑就不能随便更改IP地址,不然会引起电脑无法上网。
    
    
    展开全文
  • 思科交换机中为了防止ip被盗用或员工乱改ip,可以做以下措施,既ipmac地址的绑定和ip与交换机端口的绑定。一、通过IP查端口 先查MAC地址,再根据MAC地址查端口: bangonglou3#show arp | include 208.41...

    在思科交换机中为了防止ip被盗用或员工乱改ip,可以做以下措施,既ip与mac地址的绑定,和ip与交换机端口的绑定。

    一、通过IP查端口

    先查MAC地址,再根据MAC地址查端口:

    bangonglou3#show arp | include 208.41 或者show mac-address-table 来查看整个端口的ip-mac表

    Internet 10.138.208.41 4 0006.1bde.3de9 ARPA Vlan10

    bangonglou3#show mac-add | in 0006.1bde

    10 0006.1bde.3de9 DYNAMIC Fa0/17

    bangonglou3#exit

    二、ip与mac地址的绑定,这种绑定可以简单有效的防止ip被盗用,别人将ip改成了你绑定了mac地址的ip后,其网络不同,(tcp/udp协议不同,但netbios网络共项可以访问),具体做法:

    cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA

    这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了

    三、ip与cisco交换机端口的绑定,此种方法绑定后的端口只有此ip能用,改为别的ip后立即断网。有效的防止了乱改ip。

    cisco(config)# interface FastEthernet0/17

    cisco(config-if)# ip access-group 6 in

    cisco(config)#access-list 6 permit 10.138.208.81

    这样就将cisco交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。

    08114d96ff334720d5c1479179e9e120.png

    思科交换机交换机中ip、mac地址绑定

    最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。

    1.MAC地址与端口绑定,当发现主机的MAC地址与思科交换机上指定的MAC地址不同时,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。

    3550-1#conf t

    3550-1(config)#int f0/1

    3550-1(config-if)#switchport mode access /指定端口模式。

    3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。

    3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。

    3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。

    2.通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。

    3550-1#conf t

    3550-1(config)#int f0/1

    3550-1(config-if)#switchport trunk encapsulation dot1q

    3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。

    3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。

    3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。

    上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量。

    1.此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。

    3550-1#conf t

    3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。

    3550-1#conf t

    3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。

    展开全文
  • 思科交换机中为了防止ip被盗用或员工乱改ip,可以做以下措施,既ipmac地址的绑定和ip与交换机端口的绑定。一、通过IP查端口 先查MAC地址,再根据MAC地址查端口: bangonglou3#show arp | include 208.41...

    在思科交换机中为了防止ip被盗用或员工乱改ip,可以做以下措施,既ip与mac地址的绑定,和ip与交换机端口的绑定。

    一、通过IP查端口

    先查MAC地址,再根据MAC地址查端口:

    bangonglou3#show arp | include 208.41 或者show mac-address-table 来查看整个端口的ip-mac表

    Internet 10.138.208.41 4 0006.1bde.3de9 ARPA Vlan10

    bangonglou3#show mac-add | in 0006.1bde

    10 0006.1bde.3de9 DYNAMIC Fa0/17

    bangonglou3#exit

    二、ip与mac地址的绑定,这种绑定可以简单有效的防止ip被盗用,别人将ip改成了你绑定了mac地址的ip后,其网络不同,(tcp/udp协议不同,但netbios网络共项可以访问),具体做法:

    cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA

    这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了

    三、ip与cisco交换机端口的绑定,此种方法绑定后的端口只有此ip能用,改为别的ip后立即断网。有效的防止了乱改ip。

    cisco(config)# interface FastEthernet0/17

    cisco(config-if)# ip access-group 6 in

    cisco(config)#access-list 6 permit 10.138.208.81

    这样就将cisco交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。

    248d85fec809359bd649e064097ffd13.png

    思科交换机交换机中ip、mac地址绑定

    最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。

    1.MAC地址与端口绑定,当发现主机的MAC地址与思科交换机上指定的MAC地址不同时,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。

    3550-1#conf t

    3550-1(config)#int f0/1

    3550-1(config-if)#switchport mode access /指定端口模式。

    3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。

    3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。

    3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。

    2.通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。

    3550-1#conf t

    3550-1(config)#int f0/1

    3550-1(config-if)#switchport trunk encapsulation dot1q

    3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。

    3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。

    3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。

    上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量。

    1.此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。

    3550-1#conf t

    3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。

    3550-1#conf t

    3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。

    展开全文
  • 另一 个 主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发 送帧前将目标IP 地址转换 成目标MAC地址的...
  • 客户的一个新项目,最近需要在H3C的交换机上做...本来告诉客户在上网行为管理设备上做用户名密码认证+ARP绑定的方式,但客户说之前在核心交换机上做过ARP绑定,但有些人把本地的IP和MAC修改为与能上网的电脑IP和MA...
  • IP-MAC绑定的交换机设置详解

    千次阅读 2008-07-04 19:12:00
    Cisco中有以下三种方案可供选择,方案1方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)...
  • Cisco中有以下三种方案可供选择,方案1方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)...
  • CiscoMAC地址与IP绑定

    2013-11-14 18:04:55
    Cisco中有以下三种方案可供选择,方案1方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)...
  • Cisco中有以下三种方案可供选择,方案1方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)...
  • 绑定IP,网卡,接口 ip source binding 网卡地址 vlan vlan号 ip地址 inter fa0/1 (接口) 然后在接口下应用: inter fa0/1等 ip verify source [port-security] 默认情况下只检查源IP,要同时检查MAC,...
  • Cisco 绑定mac地址

    2015-03-20 17:22:00
    Cisco中有以下三种方案可供选择,方案1方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)...
  • 思科交换机安全 案例

    2011-05-16 10:36:51
    802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN 端口和MAC绑定:port-security 基于DHCP的端口和IP,MAC绑定:ip source guard 基于DHCP的防止ARP***:DAI 防止DHCP***:DHCP Snooping cisco所有局域网...
  • 网络管理员:现在用户真是不省心,自己改个IP地址;私接AP、忘关DHCP,还有的下个小***程序,就想在你... 思科的Catalyst 3560交换机支持DHCPSnooping功能,交换机会监听DHCP的过程,交换机会生成一个IP和MAC地址...
  • 网络管理员:现在用户真是不省心,自己改个IP地址;私接AP、忘关DHCP,还有的下... 思科的Catalyst 3560交换机支持DHCP Snooping功能,交换机会监听DHCP的过程,交换机会生成一个IP和MAC地址对应表。思科的交换机更进一
  • 网络管理员:现在用户真是不省心,自己改个IP地址;私接AP、忘关DHCP,还有的下个小***程序,... 思科的Catalyst 3560交换机支持DHCP Snooping功能,交换机会监听DHCP的过程,交换机会生成一个IP和MAC地址对应表。...
  • 网络管理员:现在用户真是不省心,自己改个IP地址;私接AP、忘关DHCP,还有... 测试实况: IP与MAC绑定 思科的Catalyst 3560交换机支持DHCP Snooping功能,交换机会监听DHCP的过程,交换机会生成一个IP和MAC地址对应...

空空如也

空空如也

1 2
收藏数 39
精华内容 15
关键字:

思科ip和mac绑定