IP和MAC地址綁定

在cisco交換機中爲了防止ip被盜用或員工亂改ip，能夠作如下措施，既ip與mac地址的綁定，和ip與交換機端口的綁定。
1、經過IP查端口
　　先查ＭＡＣ地址，再根據ＭＡＣ地址查端口：
　　bangonglou3#show arp | include 208.41   或者show mac-address-table   來查看整個端口的ip-mac表

　　nternet   10.138.208.41            4    0006.1bde.3de9   ARPA    Vlan10
　　bangonglou3#show mac-add | in 0006.1bde
　　10     0006.1bde.3de9     DYNAMIC      Fa0/17
　　bangonglou3#exit

 

 

 

2、ip與mac地址的綁定，這種綁定能夠簡單有效的防止ip被盜用，別人將ip改爲了你綁定了mac地址的ip後，其網絡不一樣，（tcp/udp協議不一樣，但netbios網絡共項能夠訪問），具體作法：
      cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA
這樣就將10.138.208.81 與mac:0000.e268.9980 ARPA綁定在一塊兒了

3、ip與交換機端口的綁定，此種方法綁定後的端口只有此ip能用，改成別的ip後當即斷網。有效的防止了亂改ip。

 

     cisco(config)#   interface FastEthernet0/17

 

     cisco(config-if)# ip access-group 6 in        

 

     cisco(config)#access-list 6 permit 10.138.208.81

 

這樣就將交換機的FastEthernet0/17端口與ip:10.138.208.81綁定了。

 

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

 

    最經常使用的對端口安全的理解就是可根據MAC地址來作對網絡流量的控制和管理，好比MAC地址與具體的端口綁定，限制具體端口經過的MAC地址的數量，或者在具體的端口不容許某些MAC地址的幀流量經過。

 

 

 

1.MAC地址與端口綁定，當發現主機的MAC地址與交換機上指定的MAC地址不一樣時，交換機相應的端口將down掉。當給端口指定MAC地址時，端口模式必須爲access或者Trunk狀態。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport mode access /指定端口模式。

3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。

3550-1(config-if)#switchport port-security maximum 1 /限制此端口容許經過的MAC地址數爲1。

3550-1(config-if)#switchport port-security violation shutdown /當發現與上述配置不符時，端口down掉。

2.經過MAC地址來限制端口流量，此配置容許一TRUNK口最多經過100個MAC地址，超過100時，但來自新的主機的數據幀將丟失。

3550-1#conf t

3550-1(config)#int f0/1

3550-1(config-if)#switchport trunk encapsulation dot1q

3550-1(config-if)#switchport mode trunk /配置端口模式爲TRUNK。

3550-1(config-if)#switchport port-security maximum 100 /容許此端口經過的最大MAC地址數目爲100。

3550-1(config-if)#switchport port-security violation protect /當主機MAC地址數目超過100時，交換機繼續工做，但來自新的主機的數據幀將丟失。

上面的配置根據MAC地址來容許流量，下面的配置則是根據MAC地址來拒絕流量。

1.此配置在Catalyst交換機中只能對單播流量進行過濾，對於多播流量則無效。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應的Vlan丟棄流量。

3550-1#conf t

3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應的接口丟棄流量。

 

 

 

 

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

 

 

    在 網絡安全愈來愈重要的今天，高校和企業對於局域網的安全控制也愈來愈嚴格，廣泛採用的作法之一就是IP地址、網卡的MAC地址與交換機端口綁定，可是MAC與交換機端口快速綁定的具體實現的原理和步驟卻少有文章。
   

 

    咱們一般說的MAC地址與交換機端口綁定其實就是交換機端口安全功能。端口安全功能能讓您配置一個端口只容許一臺或者幾臺肯定的設備訪問那個交換機；能根據MAC地址肯定容許訪問的設備；容許訪問的設備的MAC地址既能夠手工配置，也能夠從交換機「學到」；當一個未批准的MAC地址試圖訪問端口的時候，交換機會掛起或者禁用該端口等等。

 

 

 

1、首先必須明白兩個概念：
可靠的MAC地址。配置時候有三種類型。
靜態可靠的MAC地址：在交換機接口模式下手動配置，這個配置會被保存在交換機MAC地址表和運行配置文件中，交換機從新啓動後不丟失（固然是在保存配置完成後），具體命令以下：
Switch(config-if)#switchport port-security mac-address Mac地址
動態可靠的MAC地址：這種類型是交換機默認的類型。在這種類型下，交換機會動態學習MAC地址，可是這個配置只會保存在MAC地址表中，不會保存在運行配置文件中，而且交換機從新啓動後，這些MAC地址表中的MAC地址 自動會被清除。
黏性可靠的MAC地址：這種類型下，能夠手動配置MAC地址和端口的綁定，也可讓交換機 自動學習來綁定，這個配置會被保存在MAC地址中和運行配置文件中，若是保存配置，交換機重起動後不用再 自動從新學習MAC地址，雖然黏性的可靠的MAC地址能夠手動配置，可是CISCO官方不推薦這樣作。具體命令以下：
Switch(config-if)#switchport port-security mac-address sticky
其實在上面這條命令配置後而且該端口獲得MAC地址後，會 自動生成一條配置命令
Switch(config-if)#switchport port-security mac-address sticky Mac地址
這也是爲什麼在這種類型下CISCO不推薦手動配置MAC地址的緣由。

 

 

 

2、違反MAC安全採起的措施：
當超過設定MAC地址數量的最大值，或訪問該端口的設備MAC地址不是這個MAC地址表中該端口的MAC地址，或同一個VLAN中一個MAC地址被配置在幾個端口上時，就會引起違反MAC地址安全，這個時候採起的措施有三種：
1．保護模式（protect）：丟棄 數據包，不發警告。
2．限制模式（restrict）：丟棄 數據包，發警告，發出SNMP trap，同時被記錄在syslog日誌裏。
3．關閉模式（shutdown）：這是交換機默認模式，在這種狀況下端口當即變爲err-disable狀態，而且關掉端口燈，發出SNMP trap，同時被記錄在syslog日誌裏，除非管理員手工激活，不然該端口失效。
具體命令以下：
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
下面這個表一就是具體的對比
Violation Mode Traffic is forwarded Sends SNMP trap Sends syslog message Displays error
message Shuts down port
protect No No No No No
restrict No Yes Yes No No
shutdown No Yes Yes No Yes
表一
配置端口安全時還要注意如下幾個問題：
端口安全僅僅配置在靜態Access端口；在trunk端口、SPAN端口、快速以太通道、吉比特以太通道端口組或者被動態劃給一個VLAN的端口上不能配置端口安全功能；不能基於每VLAN設置端口安全；交換機不支持黏性可靠的MAC地址老化時間。protect和restrict模式不能同時設置在同一端口上。

 

下面把上面的知識點鏈接起來談談實現配置步驟的所有命令。

 

1．靜態可靠的MAC地址的命令步驟：
Switch#config terminal
　Switch(config)#interface interface-id 進入須要配置的端口
　Switch(config-if)#switchport mode Access 設置爲交換模式
　Switch(config-if)#switchport port-security 打開端口安全模式

 

   Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
上面這一條命令是可選的，也就是能夠不用配置，默認的是shutdown模式，可是在實際配置中推薦用restrict。
Switch(config-if)#switchport port-security maximum value
上面這一條命令也是可選的，也就是能夠不用配置，默認的maximum是一個MAC地址，2950和3550交換機的這個最大值是132。
其實上面這幾條命令在靜態、黏性下都是同樣的，
Switch(config-if)#switchport port-security mac-address MAC地址
上面這一條命令就說明是配置爲靜態可靠的MAC地址
2．動態可靠的MAC地址配置，由於是交換機默認的設置。
3．黏性可靠的MAC地址配置的命令步驟：
Switch#config terminal
　　Switch(config)#interface interface-id
　　Switch(config-if)#switchport mode Access
　　Switch(config-if)#switchport port-security
　　Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
Switch(config-if)#switchport port-security maximum value

 

上面這幾天命令解釋和前面靜態講到緣由同樣，再也不說明。
Switch(config-if)#switchport port-security mac-address sticky
上面這一條命令就說明是配置爲黏性可靠的MAC地址。
最後，說說企業中如何快速MAC地址與交換機端口綁定。在實際的運用中經常使用黏性可靠的MAC地址綁定，如今咱們在一臺2950EMI上綁定。

方法1：在CLI方式下配置
2950 (config)#int rang fa0/1 - 48
2950 (config-if-range)#switchport mode Access
2950 (config-if-range)#switchport port-security
2950 (config-if-range)#switchport port-security mac-address violation restrict
2950 (config-if-range)#switchport port-security mac-address sticky
這樣交換機的48個端口都綁定了，注意：在實際運用中要求把連在交換機上的PC機都打開，這樣才能學到MAC地址，而且要在學到MAC地址後保存配置文件，這樣下次就不用再學習MAC地址了，而後用show port-security address查看綁定的端口，確認配置正確。

方法2：在WEB界面下配置，也就是CMS（集羣管理單元）
咱們經過在IE瀏覽器中輸入交換機IP地址，就能夠進入，而後在port—port security下能夠選定交換機端口，在Status和Sticky MAC Address中選Enable或Disabled，Violation Action能夠選Shutdown、Restrict、Protect中的一種，Maximum Address Count（1-132）能夠填寫這個範圍的數值。
   

    固然還有要求綁定IP地址和MAC地址的，這個就須要三層或以上的交換了，由於咱們知道普通的交換機都是工做在第二層，也就是使數據鏈路層，是不可能綁定IP的。假如企業是星型的網絡，中心交換機是帶三層或以上功能的。咱們就能夠在上綁定，
Switch(config)#arp Ip地址 Mac地址 arpa