关于IP-MAC地址绑定的交换机设置

1.方案1——基于端口的MAC地址绑定
  
  思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
  Switch#config terminal
  #进入配置模式
  Switch(config)# Interface fastethernet 0/1
  #进入具体端口配置模式
  Switch(config-if)#Switchport port-secruity
  #配置端口安全模式
  Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
  #配置该端口要绑定的主机的MAC地址
  Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
  #删除绑定主机的MAC地址
  
  注意:
  
  以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
  
  注意:
  
  以上功能适用于思科2950、3550、4500、6500系列交换机
  
  2.方案2——基于MAC地址的扩展访问列表
  
  Switch(config)Mac access-list extended MAC10
  #定义一个MAC地址访问控制列表并且命名该列表名为MAC10
  Switch(config)permit host 0009.6bc4.d4bf any
  #定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
  Switch(config)permit any host 0009.6bc4.d4bf
  #定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
  Switch(config-if )interface Fa0/20
  #进入配置具体端口的模式
  Switch(config-if )mac access-group MAC10 in
  #在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
  Switch(config)no mac access-list extended MAC10
  #清除名为MAC10的访问列表
  
  此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
  
  注意:
  
  以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。
  
  3.方案3——IP地址的MAC地址绑定
  
  只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
  Switch(config)Mac access-list extended MAC10
  #定义一个MAC地址访问控制列表并且命名该列表名为MAC10
  Switch(config)permit host 0009.6bc4.d4bf any
  #定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
  Switch(config)permit any host 0009.6bc4.d4bf
  #定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
  Switch(config)Ip access-list extended IP10
  #定义一个IP地址访问控制列表并且命名该列表名为IP10
  Switch(config)Permit 192.168.0.1 0.0.0.0 any
  #定义IP地址为192.168.0.1的主机可以访问任意主机
  Permit any 192.168.0.1 0.0.0.0
  #定义所有主机可以访问IP地址为192.168.0.1的主机
  Switch(config-if )interface Fa0/20
  #进入配置具体端口的模式
  Switch(config-if )mac access-group MAC10 in
  #在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
  Switch(config-if )Ip access-group IP10 in
  #在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
  Switch(config)no mac access-list extended MAC10
  #清除名为MAC10的访问列表
  Switch(config)no Ip access-group IP10 in
  #清除名为IP10的访问列表
  
  上述所提到的应用1是基于主机MAC地址与交换机端口的绑定,方案2是基于MAC地址的访问控制列表,前两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现,可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。
  
  注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。
  
  后注:从表面上看来,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址与IP地址的绑定存在很大的缺陷,并不能真正防止内部IP地址被盗用。 文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 关于IP-MAC地址绑定的交换机设置

    1.方案1--基于端口的MAC地址绑定 思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令: Switch#config terminal #进入配置模式 Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式 Switch(config-if)#Switchport port-secruity #配置端口安全模式 Switch(config-if )switchport port-security mac-addre

  • linux中mac地址绑定方法

    一台linux服务器受到ARP攻击,在使用arp -s绑定网关地址时发现命令不能正常使用.绑后网络会断.后经前辈指点在/etc下创建ethers文件.在文件添加,例如192.168.1.25 00:17:31:C3:A3:C4内容.然后执行arp -f即可,完成绑定.如要开机自动绑定,则在/etc/rc.local中加入arp -f即可

  • MAC地址与IP地址绑定策略的破解

    一引言 对"IP地址盗用"的解决方案绝大多数都是采取MAC与IP地址绑定策略,这种做法是十分危险的,本文将就这个问题进行探讨.在这里需要声明的是,本文是处于对对MAC与IP地址绑定策略安全的忧虑,不带有任何黑客性质. 1.1 为什么要绑定MAC与IP 地址 影响网络安全的因素很多,IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素.现实中,许多网络应用是基于IP的,比如流量统计.账号控制等都将IP地址作为标志用户的一个重要的参数.如果有人盗用了合法地址并伪装成合法用户,网络上传输的

  • 命令行实现MAC与IP地址绑定 ip mac绑定 如何绑定mac地址

    为什么要绑定IP呢?你指定的IP能上外网不就可以了吗?之所以要绑定IP,是因为他会会改IP.比如我本机上的IP是192.168.1.11此IP已经在防火墙上面做了设定不可以上网,但我要是知道有一个IP是192.168.1.30的IP能上网,那我不会改把192.168.1.11换成192.168.1.30就可以上网了吗?所以绑定IP就是为了防止他改IP. 因为网卡的MAC地址是全球唯一的跟我们的身份证一样,他一但改了,就不认了.那如何绑定呢? 例如我的IP是192.168.1.11,网卡的MAC地

  • 如何修改 mac地址的方法

    各个不同品牌的网卡有专用的刷新程序,需要针对芯片型号下载相应的刷新程序 轻松修改网卡MAC地址   网卡的MAC地址是固化在网卡EPROM中的物理地址,是一块网卡的"身份证",通常为48位.在平常的应用中,有很多方面与MAC地址相关,如有些软件是和MAC地址绑定的,没有允许的MAC地址,软件就无法运行:或者在局域网里,管理人员常常将IP与客户机的MAC地址绑定,以方便管理,万一用户的网卡坏掉了,自行更改网卡后必须向管理人员申请更改绑定的MAC地址,这样就比较麻烦.在这种时候,如果我们能

  • linux手动、自动更改网卡MAC地址的方法

    前言 一块网卡的mac地址在出厂时已经写入,有时候是写入可以擦写的rom中,但是要有相当的专业技术或专业的设备. 对于一些绑定了mac地址,更换了设备后又不想更换mac的,就需要修改mac地址了. 查看网卡MAC地址 使用ip命令就能查看MAC地址了: ip link show ${interface} 2: enp0s25: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN mode DEFAULT

  • VMware克隆虚拟机后修改UUID、MAC地址、IP和主机名 静态ip设置方法

    1.首先选中需要克隆的虚拟机,右键点击管理-->克隆,注意关闭虚拟机 2.修改MAC地址,一般克隆完成后,虚拟机的网卡MAC地址会自动改变的,如果没有自动改变,可以手动修改. 选中虚拟机,选择编辑虚拟机设置(或者右键设置),选择网络适配器,然后点击右边的高级: 点击生成,就可以重新生成网卡MAC地址 在将生成的MAC地址写入/etc/sysconfig/network-scripts/ifcfg-ens33文件 3.修改UUID,UUID克隆虚拟机后一般是一样的,需要进行修改 输入命令uuidg

  • 捆绑MAC地址和IP地址实例

    在网络管理中,IP地址盗用现象经常发生,不仅对网络的正常使用造成影响,同时由于被盗用的地址往往具有较高的权限,因而也对用户造成了大量的经济上的损失和潜在的安全隐患.有没有什么措施能最大限度地避免此类现象的发生呢?为了防止IP地址被盗用,可以在代理服务器端分配IP地址时,把IP地址与网卡地址进行捆绑. 对于动态分配IP,做一个DHCP服务器来绑定用户网卡MAC地址和IP地址,然后再根据不同IP设定权限.对于静态IP,如果用三层交换机的话,你可以在交换机的每个端口上做IP地址的限定,如果有人改了自己

  • IP地址与MAC地址的区别?

    IP地址是指Internet协议使用的地址,而MAC地址是Ethernet协议使用的地址. IP地址与MAC地址之间并没有什么必然的联系,MAC地址是Ethernet NIC(网卡)上带的地址,为48位长.每个Ethernet NIC厂家必须向IEEE组织申请一组MAC地址,在生产NIC时编程于NIC卡上的串行EEPROM中.因此每个Ethernet NIC生产厂家必须申请一组MAC地址.任何两个NIC的MAC地址,不管是哪一个厂家生产的都不应相同.Ethernet芯片厂家不必负责MAC地址的申

  • Java 获取本机的IP与MAC地址实现详解

     Java 获取本机的IP与MAC地址 有些机器有许多虚拟的网卡,获取IP地址时会出现一些意外,所以需要一些验证: // 获取mac地址 public static String getMacAddress() { try { Enumeration<NetworkInterface> allNetInterfaces = NetworkInterface.getNetworkInterfaces(); byte[] mac = null; while (allNetInterfaces.ha

随机推荐