cisco交换机IP MAC地址绑定配置
Cisco交换机IP - MAC地址绑定配置
一、基于端口的MAC地址绑定(以思科2950交换机为例)
- 登录进入交换机,输入管理口令进入配置模式:
- 命令:
Switch#config terminal - 进入具体端口配置模式:
- 例如进入
fastethernet0/1端口,命令:Switch(config)#Interface fastethernet0/1 - 配置端口安全模式并绑定主机MAC地址:
- 命令:
Switch(config - if)switchport port - security mac - address MAC(主机的MAC地址),这里的MAC(主机的MAC地址)需要替换为实际要绑定的主机MAC地址 - 删除绑定主机的MAC地址:
- 命令:
Switch(config - if)no switchport port - security mac - address MAC(主机的MAC地址)
二、基于MAC地址的扩展访问列表
- 定义一个MAC地址访问控制列表并且命名:
- 命令:
Switch(config)Mac access - list extended MAC,这里MAC为自定义的列表名 - 定义MAC地址的访问权限:
- 例如定义MAC地址为
0009.6bc4.d4bf的主机可以访问任意主机,命令:Switch(config)permit host 0009.6bc4.d4bf any;定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机,命令:Switch(config)permit any host 0009.6bc4.d4bf - 进入配置具体端口的模式并应用访问列表:
- 例如进入
Fa0/20端口,命令:Switch(config - if)interface Fa0/20;然后在该端口上应用名为MAC的访问列表,命令:Switch(config)mac access - group MAC1 in - 清除MAC地址访问控制列表:
- 命令:
Switch(config)no Mac access - list extended MAC
三、IP地址的MAC地址绑定(需要将应用1或2与基于IP的访问控制列表组合来使用)
- 定义一个IP地址访问控制列表并且命名:
- 命令:
Switch(config)Ip access - list extended IP,这里IP为自定义的列表名 - 定义IP地址的访问权限:
- 例如定义IP地址为
192.168.0.1的主机可以访问任意主机,命令:Switch(config)Permit 192.168.0.1 0.0.0.0 any;同时定义所有主机可以访问IP地址为192.168.0.1的主机,命令:Permit any 192.168.0.1 0.0.0.0 - 在端口上应用IP和MAC的访问列表:
- 例如在端口上应用名为
IP的访问列表,命令:Switch(config - if)Ip access - group IP in;应用名为MAC的访问列表,命令:Switch(config - if)mac access - group MAC1 in - 清除IP地址访问控制列表:
- 命令:
Switch(config)no Ip access - group IP in
另外,在Cisco交换机中为了防止IP被盗用或员工乱改IP,可以做IP与mac地址的绑定和IP与交换机端口的绑定:
一、通过IP查端口
- 先查Mac地址,再根据Mac地址查端口:
- 例如查询到
Internet 10.138.208.41 4 0006.1bde.3de9 ARPA Vlan10 100006.1bde.3de9 DYNAMIC Fa0/17这样的结果,其中包含了IP、MAC地址和对应的端口信息等
二、ip与mac地址的绑定
- 具体绑定示例:
- 例如将
10.138.208.81与mac:0000.e268.9980 ARPA绑定在一起,这样可以简单有效的防止IP被盗用,当别人将IP改成了绑定了MAC地址的IP后,其网络不同(tcp/udp协议不同,但netbios网络共项可以访问)
三、ip与cisco交换机端口的绑定
- 具体绑定示例:
- 进入要绑定的端口,如
FastEthernet0/17,命令:cisco(config)#interface FastEthernet0/17,然后在端口上应用访问控制列表,如定义access - list6 permit 10.138.208.81,并在端口上应用这个访问控制列表,命令:cisco(config - if)#ip access - group6 in,这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了,绑定后的端口只有此IP能用,改为别的IP后立即断网
本篇文章所含信息均从网络公开资源搜集整理,旨在为读者提供参考。尽管我们在编辑过程中力求信息的准确性和完整性,但无法对所有内容的时效性、真实性及全面性做出绝对保证。读者在阅读和使用这些信息时,应自行评估其适用性,并承担可能由此产生的风险。本网站/作者不对因信息使用不当或误解而造成的任何损失或损害承担责任。