关于Cisco交换机对端口作MAC地址绑定与解除

1、 精华版 关于 cisco 交换机对端口作mac 地址绑定与解除关于 cisco 交换机对端口作 mac 地址绑定与解除关于 cisco 交换机对端口作 mac 地址绑定与解除虽然在 tcp,ip 网络中，计算机往往需要设置ip 地址后才能通讯，然而，实际上计算机之间的通讯并不是通过ip 地址，而是借助于网卡的mac 地址。 ip 地址只是被用于查询欲通讯的目的计算机的 mac 地址。arp协议是用来向对方的计算机、网络设备通知自己ip 对应的 mac 地址的。在计算机的 arj缓存中包含一个或多个表，用于存储ip 地址及其经过解析的以太网mac 地址。一台计算机与另一台ip 地址的计算机通讯

2、后，在arp 缓存中会保留相应的 mac 地址。所以，下次和同一个ip 地址的计算机通讯，将不再查询mac 地址，而是直接引用缓存中的mac 地址。在交换式网络中，交换机也维护一张mac 地址表，并根据 mac 地址，将数据发送至目的计算机。为什么要绑定 mac 与 ip 地址:ip 地址的修改非常容易，而mac 地址存储在网卡的eeprom中，而且网卡的 mac 地址是唯一确定的。因此，为了防止内部人员进行非法ip 盗用( 例如盗用权限更高人员的 ip 地址，以获得权限外的信息) ，可以将内部网络的ip 地址与 mac地址绑定，盗用者即使修改了ip 地址，也因 mac 地址不匹配而盗用失败

3、: 而且由于网卡 mac 地址的唯一确定性，可以根据 mac 地址查出使用该 mac 地址的网卡，进而查出非法盗用者。目前，很多单位的内部网络，都采用了mac 地址与 ip 地址的绑定技术。下面我们就针对 cisco 的交换机介绍一下ip 和 mac 绑定的设置方案。在 cisco 中有以下三种方案可供选择，方案1 和方案 2 实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的mac 地址( 网卡硬件地址 ) ，方案 3 是在具体的交换机端口上同时绑定特定的主机的mac 地址( 网卡硬件地址 ) 和 ip 地址。1. 方案 1基于端口的mac 地址绑定思科 2950 交换机为例，登录进

4、入交换机，输入管理口令进入配置模式，敲入命令: switch#config terminal , 进入配置模式switch(config)# interface fastethernet 0/1 , 进入具体端口配置模式switch(config-if)#switchport port-secruity , 配置端口安全模式switch(config-if )switchport port-security mac-address mac(主机的 mac地址) , 配置该端口要绑定的主机的mac 地址switch(config-if )no switchport port-security m

5、ac-address mac(主机的mac 地址) , 删除绑定主机的 mac 地址注意: 以上命令设置交换机上某个端口绑定一个具体的mac 地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他pc机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的mac 地址，才能正常使用。注意: 以上功能适用于思科2950、3550、4500、6500 系列交换机2. 方案 2基于 mac 地址的扩展访问列表switch(config)mac access-list extended mac10 , 定义一个 mac 地址访问控制列表并且命名该列表名为mac10 (转载注明出

6、处 n et130) switch(config)permit host 0009.6bc4.d4bf any , 定义 mac 地址为 0009.6bc4.d4bf的主机可以访问任意主机switch(config)permit any host 0009.6bc4.d4bf , 定义所有主机可以访问mac 地址为 0009.6bc4.d4bf的主机switch(config-if )interface fa0/20 #进入配置具体端口的模式switch(config-if )mac access-group mac10 in , 在该端口上应用名为mac10 的访问列表 ( 即前面我们定义的

7、访问策略) switch(config)no mac access-list extended mac10 , 清除名为 mac10 的访问列表此功能与应用一大体相同，但它是基于端口做的mac 地址访问控制列表限制，可以限定特定源 mac 地址与目的地址范围。注意: 以上功能在思科 2950、3550、4500、6500 系列交换机上可以实现，但是需要注意的是 2950、3550 需要交换机运行增强的软件镜像(enhanced image)。3. 方案 3ip 地址的 mac 地址绑定只能将应用 1 或 2 与基于 ip 的访问控制列表组合来使用才能达到ip-mac 绑定功能。 ( 转载注明出

8、处 n et130) switch(config)mac access-list extended mac10 , 定义一个 mac 地址访问控制列表并且命名该列表名为mac10 switch(config)permit host 0009.6bc4.d4bf any , 定义 mac 地址为 0009.6bc4.d4bf的主机可以访问任意主机switch(config)permit any host 0009.6bc4.d4bf , 定义所有主机可以访问mac 地址为 0009.6bc4.d4bf的主机switch(config)ip access-list extended ip10 ,

9、定义一个 ip 地址访问控制列表并且命名该列表名为ip10 switch(config)permit 192.168.0.1 0.0.0.0 any , 定义 ip 地址为 192.168.0.1的主机可以访问任意主机permit any 192.168.0.1 0.0.0.0 , 定义所有主机可以访问ip 地址为 192.168.0.1的主机switch(config-if )interface fa0/20 #进入配置具体端口的模式switch(config-if )mac access-group mac10 in , 在该端口上应用名为mac10 的访问列表 ( 即前面我们定义的访问策

10、略) switch(config-if )ip access-group ip10 in , 在该端口上应用名为ip10 的访问列表 (即前面我们定义的访问策略) switch(config)no mac access-list extended mac10 , 清除名为 mac10 的访问列表switch(config)no ip access-group ip10 in , 清除名为 ip10 的访问列表上述所提到的应用1 是基于主机 mac 地址与交换机端口的绑定，方案2 是基于mac 地址的访问控制列表，前两种方案所能实现的功能大体一样。如果要做到ip与 mac 地址的绑定只能按照方案3 来实现，可根据需求将方案1 或方案 2 与 ip 访问控制列表结合起来使用以达到自己想要的效果。注意: 以上功能在思科 2950、3550、4500、6500 系列交