如何在Cisco Switch上配置IP和MAC
2020-10-24 15:55:20
供稿:網友
如何在Cisco Switch上配置IP Address和MAC Address的binding
說明:
目前���,很多公司的內部網絡,都采用了MAC地址與IP地址的綁定技術����。下面我們就針對Cisco的交換機介紹一下IP地址和MAC地址綁定的配置方案。
IP地址與MAC地址的關系: IP地址是根據現在的IPv4標準指定的���,不受硬件限制長度4個字節����。而 MAC地址卻是用網卡的物理地址����,保存在網卡的EPROM里面���,與硬件有關系���,長度為6個字節�。
在交換式網絡中�,交換機維護一張MAC地址表,并根據MAC地址���,將數據發送至目的計算機�。 為什么要綁定MAC與IP 地址:IP地址的修改非常容易���,而MAC地址存儲在網卡的EEPROM中����,而且網卡的MAC地址是唯一確定的�。因此,為了防止內部人員進行非法IP盜用 (例如盜用權限更高人員的IP地址�,以獲得權限外的信息),可以將內部網絡的IP地址與MAC地址綁定�,盜用者即使修改了IP地址,也因MAC地址不匹配而盜用失敗:而且由于網卡MAC地址的唯一確定性�,可以根據MAC地址查出使用該MAC地址的網卡,進而查出非法盜用者����。
在Cisco中有以下三種方案可供選擇����,方案1和方案2實現的功能是一樣的���,即在具體的交換機端口上綁定特定的主機的MAC地址(網卡硬件地址)���,方案3是在具體的交換機端口上同時綁定特定的主機的MAC地址(網卡硬件地址)和IP地址。
1.方案1——基于端口的MAC地址綁定
思科2950交換機為例���,登錄進入交換機����,輸入管理口令進入配置模式�,敲入命令:
Switch#config terminal
#進入配置模式
Switch(config)# Interface fastethernet 0/1
#進入具體端口配置模式
Switch(config-if)#Switchport port-secruity
#配置端口安全模式
Switch(config-if )switchport port-security mac-address MAC(主機的MAC地址)
#配置該端口要綁定的主機的MAC地址
Switch(config-if )no switchport port-security mac-address MAC(主機的MAC地址)
#刪除綁定主機的MAC地址
注意:
以上命令設置交換機上某個端口綁定一個具體的MAC地址,這樣只有這個主機可以使用網絡���,如果對該主機的網卡進行了更換或者其他PC機想通過這個端口使用網絡都不可用���,除非刪除或修改該端口上綁定的MAC地址,才能正常使用�。
注意:
以上功能適用于思科2950、3550���、4500�、6500系列交換機
2.方案2——基于MAC地址的擴展訪問列表
Switch(config)Mac access-list extended MAC10
#定義一個MAC地址訪問控制列表并且命名該列表名為MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定義MAC地址為0009.6bc4.d4bf的主機可以訪問任意主機
Switch(config)permit any host 0009.6bc4.d4bf
#定義所有主機可以訪問MAC地址為0009.6bc4.d4bf的主機
Switch(config-if )interface Fa0/20
#進入配置具體端口的模式
Switch(config-if )mac access-group MAC10 in
#在該端口上應用名為MAC10的訪問列表(即前面我們定義的訪問策略)
Switch(config)no mac access-list extended MAC10
#清除名為MAC10的訪問列表
此功能與應用一大體相同�,但它是基于端口做的MAC地址訪問控制列表限制,可以限定特定源MAC地址與目的地址范圍����。
注意:
以上功能在思科2950、3550����、4500、6500系列交換機上可以實現���,但是需要注意的是2950�、3550需要交換機運行增強的軟件鏡像(Enhanced Image)�。
3.方案3——IP地址的MAC地址綁定
只能將應用1或2與基于IP的訪問控制列表組合來使用才能達到IP-MAC 綁定功能。
Switch(config)Mac access-list extended MAC10
#定義一個MAC地址訪問控制列表并且命名該列表名為MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定義MAC地址為0009.6bc4.d4bf的主機可以訪問任意主機
Switch(config)permit any host 0009.6bc4.d4bf
#定義所有主機可以訪問MAC地址為0009.6bc4.d4bf的主機
Switch(config)Ip access-list extended IP10
#定義一個IP地址訪問控制列表并且命名該列表名為IP10
Switch(config)Permit 192.168.0.1 0.0.0.0 any
#定義IP地址為192.168.0.1的主機可以訪問任意主機
Permit any 192.168.0.1 0.0.0.0
#定義所有主機可以訪問IP地址為192.168.0.1的主機
Switch(config-if )interface Fa0/20
#進入配置具體端口的模式
Switch(config-if )mac access-group MAC10 in
#在該端口上應用名為MAC10的訪問列表(即前面我們定義的訪問策略)
Switch(config-if )Ip access-group IP10 in
#在該端口上應用名為IP10的訪問列表(即前面我們定義的訪問策略)
Switch(config)no mac access-list extended MAC10
#清除名為MAC10的訪問列表
Switch(config)no Ip access-group IP10 in
#清除名為IP10的訪問列表
上述所提到的應用1是基于主機MAC地址與交換機端口的綁定����,方案2是基于MAC地址的訪問控制列表,前兩種方案所能實現的功能大體一樣����。如果要做到IP與MAC地址的綁定只能按照方案3來實現�,可根據需求將方案1或方案2與IP訪問控制列表結合起來使用以達到自己想要的效果���。
注意:以上功能在思科2950����、3550���、4500����、6500系列交換機上可以實現����,但是需要注意的是2950、3550需要交換機運行增強的軟件鏡像(Enhanced Image)�。
后注:從表面上看來,綁定MAC地址和IP地址可以防止內部IP地址被盜用���,但實際上由于各層協議以及網卡驅動等實現技術�,MAC地址與IP地址的綁定存在很大的缺陷,并不能真正防止內部IP地址被盜用�。
