關于IP-MAC地址綁定的交換機設置

2019-11-05 01:38:50

字體：大中小

來源：轉載

供稿：網友

　　注：ip地址與MAC地址的關系： IP地址是根據現在的IPv4標準指定的，不受硬件限制比較輕易記憶的地址，長度4個字節。而 MAC地址卻是用網卡的物理地址，保存在網卡的EPROM里面，與硬件有關系，比較難于記憶，長度為6個字節。
　　
　　雖然在TCP／IP網絡中，計算機往往需要設置IP地址后才能通訊，然而，實際上計算機之間的通訊并不是通過IP地址，而是借助于網卡的MAC地址。IP地址只是被用于查詢欲通訊的目的計算機的MAC地址。
　　
　　ARP協議是用來向對方的計算機、網絡設備通知自己IP對應的MAC地址的。在計算機的　ARJ緩存中包含一個或多個表，用于存儲IP地址及其經過解析的以太網MAC地址。一臺計算機與另一臺IP地址的計算機通訊后，在ARP緩存中會保留相應的MAC地址。所以，下次和同一個IP地址的計算機通訊，將不再查詢MAC地址，而是直接引用緩存中的MAC地址。
　　
　　在交換式網絡中，交換機也維護一張MAC地址表，并根據MAC地址，將數據發送至目的計算機?！　。ㄞD載注明出處n et130）
　　
　　為什么要綁定MAC與IP 地址：IP地址的修改非常輕易，而MAC地址存儲在網卡的EEPROM中，而且網卡的MAC地址是唯一確定的。因此，為了防止內部人員進行非法IP盜用(例如盜用權限更高人員的IP地址，以獲得權限外的信息)，可以將內部網絡的IP地址與MAC地址綁定，盜用者即使修改了IP地址，也因MAC地址不匹配而盜用失敗:而且由于網卡MAC地址的唯一確定性，可以根據MAC地址查出使用該MAC地址的網卡，進而查出非法盜用者。
　　
　　目前，很多單位的內部網絡，都采用了MAC地址與IP地址的綁定技術。下面我們就針對Cisco的交換機介紹一下IP和MAC綁定的設置方案。
　　
　　在Cisco中有以下三種方案可供選擇，方案1和方案2實現的功能是一樣的，即在具體的交換機端口上綁定特定的主機的MAC地址（網卡硬件地址），方案3是在具體的交換機端口上同時綁定特定的主機的MAC地址（網卡硬件地址）和IP地址。
　　
　　1.方案1——基于端口的MAC地址綁定
　　
　　思科2950交換機為例，登錄進入交換機，輸入治理口令進入配置模式，敲入命令：
　　Switch#config terminal
　?。＿M入配置模式
　　Switch(config)# Interface fastethernet 0/1
　　＃進入具體端口配置模式
　　Switch(config-if)#Switchport port-secruity
　?。Ｅ渲枚丝诎踩Ｊ?br />　　Switch(config-if )switchport port-security mac-address MAC(主機的MAC地址)
　?。Ｅ渲迷摱丝谝壎ǖ闹鳈C的MAC地址
　　Switch(config-if )no switchport port-security mac-address MAC(主機的MAC地址)
　?。h除綁定主機的MAC地址
　　
　　注重：
　　
　　以上命令設置交換機上某個端口綁定一個具體的MAC地址，這樣只有這個主機可以使用網絡，假如對該主機的網卡進行了更換或者其他PC機想通過這個端口使用網絡都不可用，除非刪除或修改該端口上綁定的MAC地址，才能正常使用。
　　
　　注重：
　　
　　以上功能適用于思科2950、3550、4500、6500系列交換機
　　
　　2.方案2——基于MAC地址的擴展訪問列表
　　
　　Switch(config)Mac access-list extended MAC10
　?。６x一個MAC地址訪問控制列表并且命名該列表名為MAC10
　　Switch(config)permit host 0009.6bc4.d4bf any
　?。６xMAC地址為0009.6bc4.d4bf的主機可以訪問任意主機
　　Switch(config)permit any host 0009.6bc4.d4bf
　　＃定義所有主機可以訪問MAC地址為0009.6bc4.d4bf的主機
　　Switch(config-if )interface Fa0/20
　　#進入配置具體端口的模式
　　Switch(config-if )mac access-group MAC10 in
　?。Ｔ谠摱丝谏蠎妹麨镸AC10的訪問列表（即前面我們定義的訪問策略）
　　Switch(config)no mac access-list extended MAC10
　?。Ｇ宄麨镸AC10的訪問列表
　　
　　此功能與應用一大體相同，但它是基于端口做的MAC地址訪問控制列表限制，可以限定特定源MAC地址與目的地址范圍。
　　
　　注重：
　　
　　以上功能在思科2950、3550、4500、6500系列交換機上可以實現，但是需要注重的是2950、3550需要交換機運行增強的軟件鏡像（Enhanced Image）。
　　
　　3.方案3——IP地址的MAC地址綁定
　　
　　只能將應用1或2與基于IP的訪問控制列表組合來使用才能達到IP-MAC 綁定功能。
　　Switch(config)Mac access-list extended MAC10
　?。６x一個MAC地址訪問控制列表并且命名該列表名為MAC10
　　Switch(config)permit host 0009.6bc4.d4bf any
　　＃定義MAC地址為0009.6bc4.d4bf的主機可以訪問任意主機
　　Switch(config)permit any host 0009.6bc4.d4bf
　?。６x所有主機可以訪問MAC地址為0009.6bc4.d4bf的主機
　　Switch(config)Ip access-list extended IP10
　?。６x一個IP地址訪問控制列表并且命名該列表名為IP10
　　Switch(config)Permit 192.168.0.1 0.0.0.0 any
　　＃定義IP地址為192.168.0.1的主機可以訪問任意主機
　　Permit any 192.168.0.1 0.0.0.0
　?。６x所有主機可以訪問IP地址為192.168.0.1的主機
　　Switch(config-if )interface Fa0/20
　　#進入配置具體端口的模式
　　Switch(config-if )mac access-group MAC10 in
　　＃在該端口上應用名為MAC10的訪問列表（即前面我們定義的訪問策略）
　　Switch(config-if )Ip access-group IP10 in
　?。Ｔ谠摱丝谏蠎妹麨镮P10的訪問列表（即前面我們定義的訪問策略）
　　Switch(config)no mac access-list extended MAC10
　?。Ｇ宄麨镸AC10的訪問列表
　　Switch(config)no Ip access-group IP10 in
　?。Ｇ宄麨镮P10的訪問列表
　　
　　上述所提到的應用1是基于主機MAC地址與交換機端口的綁定，方案2是基于MAC地址的訪問控制列表，前兩種方案所能實現的功能大體一樣。假如要做到IP與MAC地址的綁定只能按照方案3來實現，可根據需求將方案1或方案2與IP訪問控制列表結合起來使用以達到自己想要的效果。
　　
　　注重：以上功能在思科2950、3550、4500、6500系列交換機上可以實現，但是需要注重的是2950、3550需要交換機運行增強的軟件鏡像（Enhanced Image）。
　　
　　后注：從表面上看來，綁定MAC地址和IP地址可以防止內部IP地址被盜用，但實際上由于各層協議以及網卡驅動等實現技術，MAC地址與IP地址的綁定存在很大的缺陷，并不能真正防止內部IP地址被盜用。

上一篇：展望新一代交換機

下一篇：可堆疊交換機選擇全攻略