1、 摘要:怎样设置网络核心交换机实现对局域网所有电脑的 IP-MAC 地址绑定,IP-MAC 地址绑定,交换机设置,三层交换机设置, 绑定 IP-MAC,绑定 ARP,绑定 MAC 地址,绑定 IP 地址怎样设置网络核心交换机实现对局域网所有电脑的 IP-MAC 地址绑定IP 地址与 MAC 地址的关系: IP 地址是根据现在的 IPv4 标准指定的,不受硬件限制比较容易记忆的地址,长度 4 个字节。而 MAC 地址却是用网卡的物理地址,保存在网卡的 EPROM 里面,与硬件有关系,比较难于记忆,长度为 6 个字节。虽然在 TCPIP 网络中,计算机往往需要设置 IP 地址后才能通讯,然而,实际
2、上计算机之间的通讯并不是通过 IP 地址,而是借助于网卡的 MAC 地址。IP 地址只是被用于查询欲通讯的目的计算机的MAC 地址。ARP 协议是用来向对方的计算机、网络设备通知自己 IP 对应的 MAC 地址的。在计算机的 ARJ缓存中包含一个或多个表,用于存储 IP 地址及其经过解析的以太网 MAC 地址。一台计算机与另一台IP 地址的计算机通讯后,在 ARP 缓存中会保留相应的 MAC 地址。所以,下次和同一个 IP 地址的计算机通讯,将不再查询 MAC 地址,而是直接引用缓存中的 MAC 地址。在交换式网络中,交换机也维护一张 MAC 地址表,并根据 MAC 地址,将数据发送至目的计算
3、机。为什么要绑定 MAC 与 IP 地址:IP 地址的修改非常容易,而 MAC 地址存储在网卡的 EEPROM中,而且网卡的 MAC 地址是唯一确定的。因此,为了防止内部人员进行非法 IP 盗用 (例如盗用权限更高人员的 IP 地址,以获得权限外的信息),可以将内部网络的 IP 地址与 MAC 地址绑定,盗用者即使修改了 IP 地址,也因 MAC 地址不匹配而盗用失败:而且由于网卡 MAC 地址的唯一确定性,可以根据MAC 地址查出使用该 MAC 地址的网卡,进而查出非法盗用者。目前,很多单位的内部网络,都采用了 MAC 地址与 IP 地址的绑定技术。下面我们就针对 Cisco的交换机介绍一下
4、 IP 和 MAC 绑定的设置方案。在 Cisco 中有以下三种方案可供选择,方案 1 和方案 2 实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的 MAC 地址(网卡硬件地址),方案 3 是在具体的交换机端口上同时绑定特定的主机的 MAC 地址(网卡硬件地址)和 IP 地址。1.方案 1基于端口的 MAC 地址绑定思科 2950 交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:Switch#config terminal进入配置模式Switch(config)# Interface fastethernet 0/1进入具体端口配置模式Switch(config-if
5、)#Switchport port-secruity配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的 MAC 地址)配置该端口要绑定的主机的 MAC 地址Switch(config-if )no switchport port-security mac-address MAC(主机的 MAC 地址)删除绑定主机的 MAC 地址注意:以上命令设置交换机上某个端口绑定一个具体的 MAC 地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他 PC 机想通过这个端口使用网络都不可用,除非删除
6、或修改该端口上绑定的 MAC 地址,才能正常使用。注意:以上功能适用于思科 2950、3550 、4500、6500 系列交换机2.方案 2基于 MAC 地址的扩展访问列表Switch(config)Mac access-list extended MAC10定义一个 MAC 地址访问控制列表并且命名该列表名为 MAC10Switch(config)permit host 0009.6bc4.d4bf any定义 MAC 地址为 0009.6bc4.d4bf 的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf定义所有主机可以访问 MA
7、C 地址为 0009.6bc4.d4bf 的主机Switch(config-if )interface Fa0/20#进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in在该端口上应用名为 MAC10 的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10清除名为 MAC10 的访问列表此功能与应用一大体相同,但它是基于端口做的 MAC 地址访问控制列表限制,可以限定特定源MAC 地址与目的地址范围。注意:以上功能在思科 2950、3550、4500、6500
8、系列交换机上可以实现,但是需要注意的是2950、3550 需要交换机运行增强的软件镜像(Enhanced Image)。3.方案 3IP 地址的 MAC 地址绑定只能将应用 1 或 2 与基于 IP 的访问控制列表组合来使用才能达到 IP-MAC 绑定功能。Switch(config)Mac access-list extended MAC10定义一个 MAC 地址访问控制列表并且命名该列表名为 MAC10Switch(config)permit host 0009.6bc4.d4bf any定义 MAC 地址为 0009.6bc4.d4bf 的主机可以访问任意主机Switch(config)
9、permit any host 0009.6bc4.d4bf定义所有主机可以访问 MAC 地址为 0009.6bc4.d4bf 的主机Switch(config)Ip access-list extended IP10定义一个 IP 地址访问控制列表并且命名该列表名为 IP10Switch(config)Permit 192.168.0.1 0.0.0.0 any定义 IP 地址为 192.168.0.1 的主机可以访问任意主机Permit any 192.168.0.1 0.0.0.0定义所有主机可以访问 IP 地址为 192.168.0.1 的主机Switch(config-if )int
10、erface Fa0/20#进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in在该端口上应用名为 MAC10 的访问列表(即前面我们定义的访问策略)Switch(config-if )Ip access-group IP10 in在该端口上应用名为 IP10 的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10清除名为 MAC10 的访问列表Switch(config)no Ip access-group IP10 in清除名为 IP10 的访问列表上述所提
11、到的应用 1 是基于主机 MAC 地址与交换机端口的绑定,方案 2 是基于 MAC 地址的访问控制列表,前两种方案所能实现的功能大体一样。如果要做到 IP 与 MAC 地址的绑定只能按照方案 3来实现,可根据需求将方案 1 或方案 2 与 IP 访问控制列表结合起来使用以达到自己想要的效果。注意:以上功能在思科 2950、3550 、4500、6500 系列交换机上可以实现,但是需要注意的是2950、3550 需要交换机运行增强的软件镜像(Enhanced Image)。后注:从表面上看来,绑定 MAC 地址和 IP 地址可以防止内部 IP 地址被盗用,但实际上由于各层协议以及网卡驱动等实现技
12、术,MAC 地址与 IP 地址的绑定存在很大的缺陷,并不能真正防止内部 IP地址被盗用。虽然在 TCPIP 网络中,计算机往往需要设置 IP 地址后才能通讯,然而,实际上计算机之间的通讯并不是通过 IP 地址,而是借助于网卡的 MAC 地址。IP 地址只是被用于查询欲通讯的目的计算机的 MAC 地址。ARP 协议是用来向对方的计算机、网络设备通知自己 IP 对应的 MAC 地址的。在计算机的 ARP缓存中包含一个或多个表,用于存储 IP 地址及其经过解析的以太网 MAC 地址。一台计算机与另一台IP 地址的计算机通讯后,在 ARP 缓存中会保留相应的 MAC 地址。所以,下次和同一个 IP 地址的计算机通讯,将不再查询 MAC 地址,而是直接引用缓存中的 MAC 地址。IP 地址的修改非常容易,而 MAC 地址存储在网卡的 EEPROM 中,而且网卡的 MAC 地址是唯一确定的。因此,为了防止内部人员进行非法 IP 盗用(例如盗用权限更高人员的 IP 地址,以获得权限外的信息) ,可以将内部网络的 IP 地址与 MAC 地址绑定,盗用者即使修改了 IP 地址,也因 MAC 地址不匹配而盗用失败:而且由于网卡 MAC 地址的唯一确定性,可以根据 MAC 地址查出使用该 MAC 地址的网卡,进而查出非法盗用者。
