如何在Cisco Switch上配置IP和MAC
2020-10-24 15:55:20
供稿:網(wǎng)友
如何在Cisco Switch上配置IP Address和MAC Address的binding
說(shuō)明:
目前,很多公司的內(nèi)部網(wǎng)絡(luò)����,都采用了MAC地址與IP地址的綁定技術(shù)。下面我們就針對(duì)Cisco的交換機(jī)介紹一下IP地址和MAC地址綁定的配置方案�����。
IP地址與MAC地址的關(guān)系: IP地址是根據(jù)現(xiàn)在的IPv4標(biāo)準(zhǔn)指定的��,不受硬件限制長(zhǎng)度4個(gè)字節(jié)����。而 MAC地址卻是用網(wǎng)卡的物理地址,保存在網(wǎng)卡的EPROM里面��,與硬件有關(guān)系�,長(zhǎng)度為6個(gè)字節(jié)。
在交換式網(wǎng)絡(luò)中�����,交換機(jī)維護(hù)一張MAC地址表��,并根據(jù)MAC地址��,將數(shù)據(jù)發(fā)送至目的計(jì)算機(jī)���。 為什么要綁定MAC與IP 地址:IP地址的修改非常容易��,而MAC地址存儲(chǔ)在網(wǎng)卡的EEPROM中�����,而且網(wǎng)卡的MAC地址是唯一確定的�����。因此,為了防止內(nèi)部人員進(jìn)行非法IP盜用 (例如盜用權(quán)限更高人員的IP地址��,以獲得權(quán)限外的信息),可以將內(nèi)部網(wǎng)絡(luò)的IP地址與MAC地址綁定���,盜用者即使修改了IP地址�����,也因MAC地址不匹配而盜用失敗:而且由于網(wǎng)卡MAC地址的唯一確定性��,可以根據(jù)MAC地址查出使用該MAC地址的網(wǎng)卡�,進(jìn)而查出非法盜用者。
在Cisco中有以下三種方案可供選擇�����,方案1和方案2實(shí)現(xiàn)的功能是一樣的��,即在具體的交換機(jī)端口上綁定特定的主機(jī)的MAC地址(網(wǎng)卡硬件地址)�,方案3是在具體的交換機(jī)端口上同時(shí)綁定特定的主機(jī)的MAC地址(網(wǎng)卡硬件地址)和IP地址。
1.方案1——基于端口的MAC地址綁定
思科2950交換機(jī)為例�����,登錄進(jìn)入交換機(jī)�,輸入管理口令進(jìn)入配置模式�,敲入命令:
Switch#config terminal
#進(jìn)入配置模式
Switch(config)# Interface fastethernet 0/1
#進(jìn)入具體端口配置模式
Switch(config-if)#Switchport port-secruity
#配置端口安全模式
Switch(config-if )switchport port-security mac-address MAC(主機(jī)的MAC地址)
#配置該端口要綁定的主機(jī)的MAC地址
Switch(config-if )no switchport port-security mac-address MAC(主機(jī)的MAC地址)
#刪除綁定主機(jī)的MAC地址
注意:
以上命令設(shè)置交換機(jī)上某個(gè)端口綁定一個(gè)具體的MAC地址,這樣只有這個(gè)主機(jī)可以使用網(wǎng)絡(luò)���,如果對(duì)該主機(jī)的網(wǎng)卡進(jìn)行了更換或者其他PC機(jī)想通過(guò)這個(gè)端口使用網(wǎng)絡(luò)都不可用�����,除非刪除或修改該端口上綁定的MAC地址���,才能正常使用����。
注意:
以上功能適用于思科2950�、3550、4500����、6500系列交換機(jī)
2.方案2——基于MAC地址的擴(kuò)展訪問(wèn)列表
Switch(config)Mac access-list extended MAC10
#定義一個(gè)MAC地址訪問(wèn)控制列表并且命名該列表名為MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定義MAC地址為0009.6bc4.d4bf的主機(jī)可以訪問(wèn)任意主機(jī)
Switch(config)permit any host 0009.6bc4.d4bf
#定義所有主機(jī)可以訪問(wèn)MAC地址為0009.6bc4.d4bf的主機(jī)
Switch(config-if )interface Fa0/20
#進(jìn)入配置具體端口的模式
Switch(config-if )mac access-group MAC10 in
#在該端口上應(yīng)用名為MAC10的訪問(wèn)列表(即前面我們定義的訪問(wèn)策略)
Switch(config)no mac access-list extended MAC10
#清除名為MAC10的訪問(wèn)列表
此功能與應(yīng)用一大體相同�,但它是基于端口做的MAC地址訪問(wèn)控制列表限制,可以限定特定源MAC地址與目的地址范圍�。
注意:
以上功能在思科2950、3550��、4500��、6500系列交換機(jī)上可以實(shí)現(xiàn)���,但是需要注意的是2950�����、3550需要交換機(jī)運(yùn)行增強(qiáng)的軟件鏡像(Enhanced Image)。
3.方案3——IP地址的MAC地址綁定
只能將應(yīng)用1或2與基于IP的訪問(wèn)控制列表組合來(lái)使用才能達(dá)到IP-MAC 綁定功能��。
Switch(config)Mac access-list extended MAC10
#定義一個(gè)MAC地址訪問(wèn)控制列表并且命名該列表名為MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定義MAC地址為0009.6bc4.d4bf的主機(jī)可以訪問(wèn)任意主機(jī)
Switch(config)permit any host 0009.6bc4.d4bf
#定義所有主機(jī)可以訪問(wèn)MAC地址為0009.6bc4.d4bf的主機(jī)
Switch(config)Ip access-list extended IP10
#定義一個(gè)IP地址訪問(wèn)控制列表并且命名該列表名為IP10
Switch(config)Permit 192.168.0.1 0.0.0.0 any
#定義IP地址為192.168.0.1的主機(jī)可以訪問(wèn)任意主機(jī)
Permit any 192.168.0.1 0.0.0.0
#定義所有主機(jī)可以訪問(wèn)IP地址為192.168.0.1的主機(jī)
Switch(config-if )interface Fa0/20
#進(jìn)入配置具體端口的模式
Switch(config-if )mac access-group MAC10 in
#在該端口上應(yīng)用名為MAC10的訪問(wèn)列表(即前面我們定義的訪問(wèn)策略)
Switch(config-if )Ip access-group IP10 in
#在該端口上應(yīng)用名為IP10的訪問(wèn)列表(即前面我們定義的訪問(wèn)策略)
Switch(config)no mac access-list extended MAC10
#清除名為MAC10的訪問(wèn)列表
Switch(config)no Ip access-group IP10 in
#清除名為IP10的訪問(wèn)列表
上述所提到的應(yīng)用1是基于主機(jī)MAC地址與交換機(jī)端口的綁定�����,方案2是基于MAC地址的訪問(wèn)控制列表���,前兩種方案所能實(shí)現(xiàn)的功能大體一樣。如果要做到IP與MAC地址的綁定只能按照方案3來(lái)實(shí)現(xiàn)���,可根據(jù)需求將方案1或方案2與IP訪問(wèn)控制列表結(jié)合起來(lái)使用以達(dá)到自己想要的效果。
注意:以上功能在思科2950�、3550、4500��、6500系列交換機(jī)上可以實(shí)現(xiàn)�����,但是需要注意的是2950�����、3550需要交換機(jī)運(yùn)行增強(qiáng)的軟件鏡像(Enhanced Image)�。
后注:從表面上看來(lái),綁定MAC地址和IP地址可以防止內(nèi)部IP地址被盜用��,但實(shí)際上由于各層協(xié)議以及網(wǎng)卡驅(qū)動(dòng)等實(shí)現(xiàn)技術(shù)�����,MAC地址與IP地址的綁定存在很大的缺陷����,并不能真正防止內(nèi)部IP地址被盜用����。
