IP和MAC地址綁定

在cisco交換機中爲了防止ip被盜用或員工亂改ip，可以做以下措施，既ip與mac地址的綁定，和ip與交換機端口的綁定。
一、通過IP查端口
　　先查ＭＡＣ地址，再根據ＭＡＣ地址查端口：
　　bangonglou3#show arp | include 208.41   或者show mac-address-table   來查看整個端口的ip-mac表

　　nternet   10.138.208.41            4    0006.1bde.3de9   ARPA    Vlan10
　　bangonglou3#show mac-add | in 0006.1bde
　　10     0006.1bde.3de9     DYNAMIC      Fa0/17
　　bangonglou3#exit

 

 

 

二、ip與mac地址的綁定，這種綁定可以簡單有效的防止ip被盜用，別人將ip改成了你綁定了mac地址的ip後，其網絡不同，（tcp/udp協議不同，但netbios網絡共項可以訪問），具體做法：
     cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA
這樣就將10.138.208.81 與mac:0000.e268.9980 ARPA綁定在一起了

三、ip與交換機端口的綁定，此種方法綁定後的端口只有此ip能用，改爲別的ip後立即斷網。有效的防止了亂改ip。

 

     cisco(config)#   interface FastEthernet0/17

 

     cisco(config-if)# ip access-group 6 in        

 

     cisco(config)#access-list 6 permit 10.138.208.81

 

這樣就將交換機的FastEthernet0/17端口與ip:10.138.208.81綁定了。

 

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

 

    最常用的對端口安全的理解就是可根據MAC地址來做對網絡流量的控制和管理，比如MAC地址與具體的端口綁定，限制具體端口通過的MAC地址的數量，或者在具體的端口不允許某些MAC地址的幀流量通過。

 

 

 

1.MAC地址與端口綁定，當發現主機的MAC地址與交換機上指定的MAC地址不同時，交換機相應的端口將down掉。當給端口指定MAC地址時，端口模式必須爲access或者Trunk狀態。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport mode access /指定端口模式。

3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。

3550-1(config-if)#switchport port-security maximum 1 /限制此端口允許通過的MAC地址數爲1。

3550-1(config-if)#switchport port-security violation shutdown /當發現與上述配置不符時，端口down掉。

2.通過MAC地址來限制端口流量，此配置允許一TRUNK口最多通過100個MAC地址，超過100時，但來自新的主機的數據幀將丟失。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport trunk encapsulation dot1q

3550-1(config-if)#switchport mode trunk /配置端口模式爲TRUNK。

3550-1(config-if)#switchport port-security maximum 100 /允許此端口通過的最大MAC地址數目爲100。

3550-1(config-if)#switchport port-security violation protect /當主機MAC地址數目超過100時，交換機繼續工作，但來自新的主機的數據幀將丟失。

上面的配置根據MAC地址來允許流量，下面的配置則是根據MAC地址來拒絕流量。

1.此配置在Catalyst交換機中只能對單播流量進行過濾，對於多播流量則無效。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應的Vlan丟棄流量。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應的接口丟棄流量。

 

 

 

 

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

 

 

    在網絡安全越來越重要的今天，高校和企業對於局域網的安全控制也越來越嚴格，普遍採用的做法之一就是IP地址、網卡的MAC地址與交換機端口綁定，但是MAC與交換機端口快速綁定的具體實現的原理和步驟卻少有文章。
   

 

    我們通常說的MAC地址與交換機端口綁定其實就是交換機端口安全功能。端口安全功能能讓您配置一個端口只允許一臺或者幾臺確定的設備訪問那個交換機；能根據MAC地址確定允許訪問的設備；允許訪問的設備的MAC地址既可以手工配置，也可以從交換機“學到”；當一個未批准的MAC地址試圖訪問端口的時候，交換機會掛起或者禁用該端口等等。

 

 

 

一、首先必須明白兩個概念：
可靠的MAC地址。配置時候有三種類型。
靜態可靠的MAC地址：在交換機接口模式下手動配置，這個配置會被保存在交換機MAC地址表和運行配置文件中，交換機重新啓動後不丟失（當然是在保存配置完成後），具體命令如下：
Switch(config-if)#switchport port-security mac-address Mac地址
動態可靠的MAC地址：這種類型是交換機默認的類型。在這種類型下，交換機會動態學習MAC地址，但是這個配置只會保存在MAC地址表中，不會保存在運行配置文件中，並且交換機重新啓動後，這些MAC地址表中的MAC地址自動會被清除。
黏性可靠的MAC地址：這種類型下，可以手動配置MAC地址和端口的綁定，也可以讓交換機自動學習來綁定，這個配置會被保存在MAC地址中和運行配置文件中，如果保存配置，交換機重起動後不用再自動重新學習MAC地址，雖然黏性的可靠的MAC地址可以手動配置，但是CISCO官方不推薦這樣做。具體命令如下：
Switch(config-if)#switchport port-security mac-address sticky
其實在上面這條命令配置後並且該端口得到MAC地址後，會自動生成一條配置命令
Switch(config-if)#switchport port-security mac-address sticky Mac地址
這也是爲何在這種類型下CISCO不推薦手動配置MAC地址的原因。

 

 

 

二、違反MAC安全採取的措施：
當超過設定MAC地址數量的最大值，或訪問該端口的設備MAC地址不是這個MAC地址表中該端口的MAC地址，或同一個VLAN中一個MAC地址被配置在幾個端口上時，就會引發違反MAC地址安全，這個時候採取的措施有三種：
1．保護模式（protect）：丟棄數據包，不發警告。
2．限制模式（restrict）：丟棄數據包，發警告，發出SNMP trap，同時被記錄在syslog日誌裏。
3．關閉模式（shutdown）：這是交換機默認模式，在這種情況下端口立即變爲err-disable狀態，並且關掉端口燈，發出SNMP trap，同時被記錄在syslog日誌裏，除非管理員手工激活，否則該端口失效。
具體命令如下：
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
下面這個表一就是具體的對比
Violation Mode Traffic is forwarded Sends SNMP trap Sends syslog message Displays error
message Shuts down port
protect No No No No No
restrict No Yes Yes No No
shutdown No Yes Yes No Yes
表一
配置端口安全時還要注意以下幾個問題：
端口安全僅僅配置在靜態Access端口；在trunk端口、SPAN端口、快速以太通道、吉比特以太通道端口組或者被動態劃給一個VLAN的端口上不能配置端口安全功能；不能基於每VLAN設置端口安全；交換機不支持黏性可靠的MAC地址老化時間。protect和restrict模式不能同時設置在同一端口上。

 

下面把上面的知識點連接起來談談實現配置步驟的全部命令。

 

1．靜態可靠的MAC地址的命令步驟：
Switch#config terminal
　Switch(config)#interface interface-id 進入需要配置的端口
　Switch(config-if)#switchport mode Access 設置爲交換模式
　Switch(config-if)#switchport port-security 打開端口安全模式

 

   Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
上面這一條命令是可選的，也就是可以不用配置，默認的是shutdown模式，但是在實際配置中推薦用restrict。
Switch(config-if)#switchport port-security maximum value
上面這一條命令也是可選的，也就是可以不用配置，默認的maximum是一個MAC地址，2950和3550交換機的這個最大值是132。
其實上面這幾條命令在靜態、黏性下都是一樣的，
Switch(config-if)#switchport port-security mac-address MAC地址
上面這一條命令就說明是配置爲靜態可靠的MAC地址
2．動態可靠的MAC地址配置，因爲是交換機默認的設置。
3．黏性可靠的MAC地址配置的命令步驟：
Switch#config terminal
　　Switch(config)#interface interface-id
　　Switch(config-if)#switchport mode Access
　　Switch(config-if)#switchport port-security
　　Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
Switch(config-if)#switchport port-security maximum value

 

上面這幾天命令解釋和前面靜態講到原因一樣，不再說明。
Switch(config-if)#switchport port-security mac-address sticky
上面這一條命令就說明是配置爲黏性可靠的MAC地址。
最後，說說企業中如何快速MAC地址與交換機端口綁定。在實際的運用中常用黏性可靠的MAC地址綁定，現在我們在一臺2950EMI上綁定。

方法1：在CLI方式下配置
2950 (config)#int rang fa0/1 - 48
2950 (config-if-range)#switchport mode Access
2950 (config-if-range)#switchport port-security
2950 (config-if-range)#switchport port-security mac-address violation restrict
2950 (config-if-range)#switchport port-security mac-address sticky
這樣交換機的48個端口都綁定了，注意：在實際運用中要求把連在交換機上的PC機都打開，這樣才能學到MAC地址，並且要在學到MAC地址後保存配置文件，這樣下次就不用再學習MAC地址了，然後用show port-security address查看綁定的端口，確認配置正確。

方法2：在WEB界面下配置，也就是CMS（集羣管理單元）
我們通過在IE瀏覽器中輸入交換機IP地址，就可以進入，然後在port—port security下可以選定交換機端口，在Status和Sticky MAC Address中選Enable或Disabled，Violation Action可以選Shutdown、Restrict、Protect中的一種，Maximum Address Count（1-132）可以填寫這個範圍的數值。
   

    當然還有要求綁定IP地址和MAC地址的，這個就需要三層或以上的交換了，因爲我們知道普通的交換機都是工作在第二層，也就是使數據鏈路層，是不可能綁定IP的。假如企業是星型的網絡，中心交換機是帶三層或以上功能的。我們就可以在上綁定，
Switch(config)#arp Ip地址 Mac地址 arpa

本文出自 51CTO.COM技術博客