關于IP-MAC綁定的交換機設定

注：IP位址與MAC位址的關系： IP位址是根據現在的IPv4标準指定的，不受硬體限制比較容易記憶的位址，長度4個位元組。而 MAC位址卻是用網卡的實體位址，儲存在網卡的EPROM裡面，與硬體有關系，比較難于記憶，長度為6個位元組。 　　  雖然在TCP/IP網絡中，計算機往往需要設定IP位址後才能通訊，然而，實際上計算機之間的通訊并不是通過IP位址，而是借助于網卡的MAC位址。IP位址隻是被用于查詢欲通訊的目的計算機的MAC位址。 　　ARP協定是用來向對方的計算機、網絡裝置通知自己IP對應的MAC位址的。在計算機的 ARJ緩存中包含一個或多個表，用于存儲IP位址及其經過解析的以太網MAC位址。一台計算機與另一台IP位址的計算機通訊後，在ARP緩存中會保留相應的MAC位址。是以，下次和同一個IP位址的計算機通訊，将不再查詢MAC位址，而是直接引用緩存中的MAC位址。 　　在交換式網絡中，交換機也維護一張MAC位址表，并根據MAC位址，将資料發送至目的計算機。 　　為什麼要綁定MAC與IP 位址：IP位址的修改非常容易，而MAC位址存儲在網卡的EEPROM中，而且網卡的MAC位址是唯一确定的。是以，為了防止内部人員進行非法IP盜用(例如盜用權限更高人員的IP位址，以獲得權限外的資訊)，可以将内部網絡的IP位址與MAC位址綁定，盜用者即使修改了IP位址，也因MAC位址不比對而盜用失敗:而且由于網卡MAC位址的唯一确定性，可以根據MAC位址查出使用該MAC位址的網卡，進而查出非法盜用者。 　　目前，很多機關的内部網絡，都采用了MAC位址與IP位址的綁定技術。下面我們就針對Cisco的交換機介紹一下IP和MAC綁定的設定方案。 　　在Cisco中有以下三種方案可供選擇，方案1和方案2實作的功能是一樣的，即在具體的交換機端口上綁定特定的主機的MAC位址(網卡硬體位址)，方案3是在具體的交換機端口上同時綁定特定的主機的MAC位址(網卡硬體位址)和IP位址。 　　1.方案1——基于端口的MAC位址綁定 　　思科2950交換機為例，登入進入交換機，輸入管理密碼進入配置模式，敲入指令： 　　Switch#config terminal 　　#進入配置模式 　　Switch(config)# Interface fastethernet 0/1 　　#進入具體端口配置模式 　　Switch(config-if)#Switchport port-secruity 　　#配置端口安全模式 　　Switch(config-if )switchport port-security mac-address MAC(主機的MAC位址) 　　#配置該端口要綁定的主機的MAC位址 　　Switch(config-if )no switchport port-security mac-address MAC(主機的MAC位址) 　　#删除綁定主機的MAC位址 　　注意： 　　以上指令設定交換機上某個端口綁定一個具體的MAC位址，這樣隻有這個主機可以使用網絡，如果對該主機的網卡進行了更換或者其他PC機想通過這個端口使用網絡都不可用，除非删除或修改該端口上綁定的MAC位址，才能正常使用。 　　注意： 　　以上功能适用于思科2950、3550、4500、6500系列交換機 　　2.方案2——基于MAC位址的擴充通路清單 　　Switch(config)Mac access-list extended MAC10 　　#定義一個MAC位址通路控制清單并且命名該清單名為MAC10 (轉載注明出處n et130) 　　Switch(config)permit host 0009.6bc4.d4bf any 　　#定義MAC位址為0009.6bc4.d4bf的主機可以通路任意主機 　　Switch(config)permit any host 0009.6bc4.d4bf 　　#定義所有主機可以通路MAC位址為0009.6bc4.d4bf的主機 　　Switch(config-if )interface Fa0/20 　　#進入配置具體端口的模式 　　Switch(config-if )mac access-group MAC10 in 　　#在該端口上應用名為MAC10的通路清單(即前面我們定義的通路政策) 　　Switch(config)no mac access-list extended MAC10 　　#清除名為MAC10的通路清單 　　此功能與應用一大體相同，但它是基于端口做的MAC位址通路控制清單限制，可以限定特定源MAC位址與目的位址範圍。 　　注意： 　　以上功能在思科2950、3550、4500、6500系列交換機上可以實作，但是需要注意的是2950、3550需要交換機運作增強的軟體鏡像(Enhanced Image)。 　　3.方案3——IP位址的MAC位址綁定 　　隻能将應用1或2與基于IP的通路控制清單組合來使用才能達到IP-MAC 綁定功能。 (轉載注明出處n et130) 　　Switch(config)Mac access-list extended MAC10 　　#定義一個MAC位址通路控制清單并且命名該清單名為MAC10 　　Switch(config)permit host 0009.6bc4.d4bf any 　　#定義MAC位址為0009.6bc4.d4bf的主機可以通路任意主機 　　Switch(config)permit any host 0009.6bc4.d4bf 　　#定義所有主機可以通路MAC位址為0009.6bc4.d4bf的主機 　　Switch(config)Ip access-list extended IP10 　　#定義一個IP位址通路控制清單并且命名該清單名為IP10 　　Switch(config)Permit 192.168.0.1 0.0.0.0 any 　　#定義IP位址為192.168.0.1的主機可以通路任意主機 　　Permit any 192.168.0.1 0.0.0.0 　　#定義所有主機可以通路IP位址為192.168.0.1的主機 　　Switch(config-if )interface Fa0/20 　　#進入配置具體端口的模式 　　Switch(config-if )mac access-group MAC10 in 　　#在該端口上應用名為MAC10的通路清單(即前面我們定義的通路政策) 　　Switch(config-if )Ip access-group IP10 in 　　#在該端口上應用名為IP10的通路清單(即前面我們定義的通路政策) 　　Switch(config)no mac access-list extended MAC10 　　#清除名為MAC10的通路清單 　　Switch(config)no Ip access-group IP10 in 　　#清除名為IP10的通路清單 　　上述所提到的應用1是基于主機MAC位址與交換機端口的綁定，方案2是基于MAC位址的通路控制清單，前兩種方案所能實作的功能大體一樣。如果要做到IP與MAC位址的綁定隻能按照方案3來實作，可根據需求将方案1或方案2與IP通路控制清單結合起來使用以達到自己想要的效果。 　　注意：以上功能在思科2950、3550、4500、6500系列交換機上可以實作，但是需要注意的是2950、3550需要交換機運作增強的軟體鏡像(Enhanced Image)。 　　後注：從表面上看來，綁定MAC位址和IP位址可以防止内部IP位址被盜用，但實際上由于各層協定以及網卡驅動等實作技術，MAC位址與IP位址的綁定存在很大的缺陷，并不能真正防止内部IP位址被盜用。

轉載于:https://blog.51cto.com/ubuntu/190137