来源:蜘蛛抓取(WebSpider)
时间:2018-08-18 01:37
标签:
二层交换机端口mac
原文地址:
一、针对于目前ARP病毒肆虐,利用ARP协议进行欺骗的网络问题也日渐严重。在防范过程中除了VLAN的划分来抑制问题的扩散,如果将MAC地址与端口绑定配合起来会达到最佳的防范效果。
下面在Cisco交换机上实现简单的端口绑定,举Cisco 3550为例:
3550#config terminal
//进入通用配置模式
3550(config)# Interface fastethernet 0/1
//进入需要配置的具体端口配置模式
3550(config-if)#switchport mode access
//设置交换机的端口模式为access模式,注意缺省是dynamic
//dynamic模式下是不能使用Port-security功能的
3550(config-if)#switchport port-secruity
//启用端口安全模式
3550(config-if )switchport port-security mac-address &后面写上主机的MAC地址&
//配置该端口要绑定的主机的MAC地址
switch(config-if)#switchport port-security maximum 1
//其实缺省就是1个
switch(config-if)#switchport port-security violation shutdown
//设置违反端口安全规则,缺省是shutdown
这个配置只可以一个端口绑定一个MAC地址,那么要绑定多个IP地址与MAC地址应该如何处理呢?
看看下面的配置:
1.先建立两个访问控制列表,一个是关于MAC地址的,一个是关于IP地址的。
3550(config)#mac access-list extended mac-n
//配置一个命名的MAC地址访问控制列表,命名为mac-n
3550(config-ext-macl)#permit host 0001.a1db.f987 any
//源MAC地址为0001.a1db.f987的主机可以访问任意主机
3550(config-ext-macl)#permit any host 0001.a1db.f987
//所有主机可以访问目的MAC地址为0001.a1db.f987的主机
3550(config)#ip access-list extended ip-n
//配置命名的IP地址访问控制列表,命名为ip-n
3550(config-ext-nacl)#permit
172.0.0.1 0.0.0.0 any
//允许172.0.0.1地址在网内工作
2.将建立好的访问控制列表加入需要配置的端口
3550(config-if )#interface fa0/1
//进入配置具体端口的模式
3550(config-if )#mac access-group mac-n
3550(config-if )#ip access-group ip-n in
PS:上面的配置是静态可靠的MAC地址和端口的绑定,命令格式:Switch(config-if)#switchport port-security mac-address Mac地址
企业中如何快速将MAC地址与交换机端口绑定呢?在实际的运用中常用黏性可靠的MAC地址绑定:举CISCO 2950为例
2950 (config)#int rang fa0/1 - 48
2950 (config-if-range)#switchport mode Access
2950 (config-if-range)#switchport port-security
2950 (config-if-range)#switchport port-security mac-address violation restrict
2950 (config-if-range)#switchport port-security mac-address sticky
这样交换机的48个端口都绑定了,注意:在实际运用中要求把连在交换机上的PC机都打开,这样才能学到MAC地址,并且要在学到MAC地址后保存配置文件,这样下次就不用再学习MAC地址了,然后用show port-security address查看绑定的端口,确认配置正确。
二、在cisco交换机中为了防止ip被盗用或员工乱改ip,可以做以下措施,既ip与mac地址的绑定,和ip与交换机端口的绑定。
ip与mac地址的绑定,这种绑定可以简单有效的防止ip被盗用,别人将ip改成了你绑定了mac地址的ip后,其网络不通,(tcp/udp协议不通,但netbios网络共项可以访问),具体做法:
cisco(config)#arp 10.138.208.81 80 ARPA
这样就将10.138.208.81 与mac:80 ARPA绑定在一起了。
ip与交换机端口的绑定,此种方法绑定后的端口只有此ip能用,改为别的ip后立即断网。有效的防止了乱改ip。
cisco(config)#
interface FastEthernet0/17
cisco(config-if)# ip access-group 6 in
cisco(config)#access-list 6 permit 10.138.208.81
这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。
补:我们也可以通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。
3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。
上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量。
此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。
原文地址:
Switch通过Arp泛红来进行MAC地址的学习,并汇聚成一张"MAC
address tables",一个端口下可以有多个MAC地址的学习,因为MAC地址表的本身是有限制的,如果超过了最大定义的MAC数量,那么以后发来的MAC寻址在网络中都会进行以arp泛红的形式进行通话,这样就可以在任意的主机上抓取通信的内容,安全性得不到最大的保障。另外端口安全与arp绑定有类似的功能,灵活运用可以限制主机上网数量,总结一下端口安全配置及简单应用。
1.首先进入需要绑定的端口,比如一个端口上接一个HUB,HUB下挂了几台主机,但是只允许其中一个主
机通过该交换机的这个端口。
2.开启端口安全绑定策略
3.设置端口上允许通过的MAC地址的数量。
4.选择绑定的模式,是静态绑定(指定MAC地址,在MAC地址表中也会自动添加绑定)还是动态绑定(即
先访问此端口的MAC地址)。
5.设置端口上的安全策略,对没有被绑定的MAC地址流量想要通过此端口的处理方法,分为报警且不放行
、不报警也不放行、报警并关闭端口。
6.查看端口安全设置及,安全MAC表的设置是否正确
端口安全配置命令如下:
1.interface f0/1
2.switchport mode access
3.switchport port-security
4.switchport port-security maximun 1
5.switchport port-security mac-address [01\sticky]
6.switchport port-security violation
[protect\restrict\shutdown]
7.show port-security interface f0/1
8.show port-security address完成安全端口的配置
(例如)exp1:为f0/1端口指定一个MAC地址通过,其他MAC地址想要通过时拒绝并报警,但不关闭端口
1.interface f0/1
2.switchport mode access
3.switchport port-security
4.switchport port-security maximun 1
5.switchport port-security mac-address 01
6.switchport port-security violation
7.show port-security interface f0/1
Port Security
端口安全开启
Port Status
: Secure-up
Violation Mode
: Restrict
类型:拒绝并报警
Aging Time
Aging Type
: Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses
最大通过MAC地址数量
Total MAC Addresses
Configured MAC Addresses
Sticky MAC Addresses
Last Source Address:Vlan
这里显示的是最后一次通过端口的MAC及该MAC所(用192.168.1.2ping192.168.1.3得要的)
属的vlan,本例中是02
vlan1,因为策略中绑定的是01这个MAC,所以显然02这个MAC没有被放行通过。
Security Violation Count
8.show port-security address
Secure Mac Address Table
-------------------------------------------------------------------------------
Vlan Mac Address Type (类型报警) Ports
Remaining Age
---- ----------- ----
-------------
1 01 SecureConfigured FastEthernet0/1
------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)
Max Addresses limit in System (excluding one mac per port) : 1024以上信息也可以看出绑定的是01MAC
(例如)exp2:让f0/1端口只允许一个MAC地址通过(通常是第一个访问端口的主机MAC地址),其他的一
律拒绝,如果有其他MAC企图通过时,关闭端口
1.interface f0/1
2.switchport mode access
3.switchport port-security
4.switchport port-security maximun 1
5.switchport port-security mac-address sticky
6.switchport port-security violation shutdown
7.show port-security interface f0/1
Switch#show port-security interface f0/1
Port Security
端口安全开启
Port Status
: Secure-up
Violation Mode
: Shutdown
类型:拒绝并关闭端口
Aging Time
Aging Type
: Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses
最大允许MAC地址数量
Total MAC Addresses
Configured MAC Addresses
Sticky MAC Addresses
Last Source Address:Vlan
Security Violation Count
8.show port-security address
Secure Mac Address Table
-------------------------------------------------------------------------------
Vlan Mac Address Type (类型shutdown) Ports
---- ----------- ----
-------------
1 02 SecureSticky
FastEthernet0/1
------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)
Max Addresses limit in System (excluding one mac per port) : 1024
这样如果有不是MAC为02的MAC要通过f0/1端口的时候,端口就会自动shutdown。查看端口状态如下
Switch#show interfaces f0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
显示因为错误而关闭(用192.168.1.1ping192.168.1.3得到的)
Hardware is Lance, address is e.b601 (bia e.b601)
BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Half-duplex, 100Mb/s
input flow-control is off, output flow-control is off
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:08, output 00:00:05, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
956 packets input, 193351 bytes, 0 no buffer
Received 956 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 watchdog, 0 multicast, 0 pause input
0 input packets with dribble condition detected
2357 packets output, 263570 bytes, 0 underruns
0 output errors, 0 collisions, 10 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
Switch#show port-security interface f0/1
Port Security
Port Status
: Secure-shutdown
Violation Mode
: Shutdown
Aging Time
Aging Type
: Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses
Total MAC Addresses
Configured MAC Addresses
Sticky MAC Addresses
Last Source Address:Vlan
最后一次访问的MAC地址
Security Violation Count
以上可以看到,通过show
interface f0/1 和 show port-security interface f0/1两条命令可以看到
MAC地址为01的MAC地址企图通过端口f0/1,而导致了f0/1端口关闭。在show
f0/1中可以看到提示信息FastEthernet0/1
is down, line protocol is down (err-disabled)。现在用普通的方法进行端口的启用:进入f0/1执行no
shutdown命令
Switch(config)#interface f0/1
Switch(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to down无法进行端口的启用,正确的启用方法为:先进性shutdown关闭,再no shutdown启用。
Switch(config)#interface f0/1
Switch(config-if)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
Switch(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
Switch(config-if)#do show interface f0/1
FastEthernet0/1 is up, line protocol is up (connected)链路及协议都up,启用成功。
方法二可以使用策略关闭的端口自动恢复,详细见端口广播风暴抑制。
L5(config)#errdisable recovery cause security-violation
为security-violation启用自动恢复
L5(config)#errdisable recovery interval 1800
恢复时间为1800s后
L5#show errdisable recovery
查看哪些策略开启了自动恢复及恢复时间
交换机端口与MAC绑定
交换机端口与MAC绑定一、
实验目的1、
了解什么是交换机的MAC绑定功能;2、
熟练掌握MAC与端口绑定的静态、动态方式。二、
应用环境1、
当网络中某机器由于中毒进而...
华为交换机端口-MAC绑定AND解除绑定
用户视图,
作用:查看交换机的简单运行状态和统计信息
查看交换机的全部运行状态和统计信息,进行文件管理和系统管理
进入方式:与交换机建立连接即进入
IP和MAC地址绑定的好处和作用
IP和MAC地址绑定的好处和作用:可以实现静态IP,也可以防止ARP攻击。
IP和MAC地址知识:
如果你是通过校园网或小区接入Internet,那么一定听说过MAC地址。什么是M...
限制篇(5.2) 01. MAC 地址绑定 - 命令模式 ? 飞塔 (Fortinet) 防火墙
将MAC地址与IP地址进行绑定,可以防止IP地址欺骗的网络攻击,IP欺骗攻击试图从不同的电脑使用一个可信计算机的IP地址连接并通过防火墙,IP地址可以很方便的改动,但MAC地址是在工厂生产时就添加到以...
Windows 7 下IP和MAC地址的绑定
Windows 7 下IP和MAC地址的绑定
最近要和机房AIX主机进行远程(telnet)连接,但经常出现客户端ip和机房主机ip冲突,因此在client(windows 7)下执行ip(AI...
实验一:交换机MAC地址与端口的绑定
1 实验目的
(1)理解二层交换机MAC地址绑定技术的意义及作用。
(2)掌握配置交换机MAC地址绑定的方法
2 实验设备
对于配置动态&em&MAC&/em&学习有一点需要注意,在#sw port-security lock 之前你必须保证你所配置的&em&端口&/em&,已经学习到了某个&em&mac&/em&地址,否则的话客户端的网络连接永远是打叉的。...
*版权证明: 只允许上传png/jpeg/jpg/gif格式的图片,且小于3M
*详细原因:
交 交换机&em&端口MAC&/em&地址&em&绑定&/em&命令 3积分 立即下载 ...
Mac OS X 绑定80端口
Mac 使用 80 端口
没有更多推荐了,怎么获取交换机接口里的mac地址吗
按时间排序
这种情况通常是要用路由器,将你做了绑定的mac克隆到路由器上,由路由器带多台电脑.这样不需要网管做什么;如果网管同意你多接一台电脑,就可以用交换机,将你新电脑的mac告诉网管,让其给你的新电脑分配一个新IP,增加新IP与新电脑的mac绑定.
你让网管在与你互联的交换机上查一下ARP列表,就能知道你与他互联的端口的MAC地址。
我感觉楼上这几位回答的都不算错,我从事网络方面工作也有一段时间了,我首先怀疑小区的网管是不是像你说的,每个端口做了mac地址绑定(因为思科或者其他牌子的交换机口子那么多,网管真是蛋疼的无聊,花时间一个口子一个口子地去绑定mac很浪费的),如果网管真的这么做了,那么解决办法有2个:1.买一个路由器,把wan口的mac地址克隆成被管理员绑定用的mac地址,具体操作就是电脑接路由器的lan口,打开网页,输入192.168.1.1,进去你就懂了。2.叫管理员把你家端口的mac绑定取消了。
理解题意终究还是艺术 你说MAC地址没在交换机允许列表里,意思就是说交换机有访问控制列表,而且是依据MAC地址的,那能不能上网和IP地址一点关系都没有啊,无论IP地址是什么MAC地址始终被禁,肯定是上不了网的。 如果改不了交换机控制列表,只有一种方法,就是把自己的MAC改成允许策略里的MAC,而且是在这个允许的MAC地址所用的终端不在线的情况下,才可行。
感谢您为社区的和谐贡献力量请选择举报类型
经过核实后将会做出处理感谢您为社区和谐做出贡献
确定要取消此次报名,退出该活动?
请输入私信内容:实验 二层交换机端口与MAC地址的绑定(教师用)_百度文库
您的浏览器Javascript被禁用,需开启后体验完整功能,
享专业文档下载特权
&赠共享文档下载特权
&100W篇文档免费专享
&每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
实验 二层交换机端口与MAC地址的绑定(教师用)
阅读已结束,下载本文需要
定制HR最喜欢的简历
下载文档到电脑,同时保存到云知识,更方便管理
加入VIP
还剩5页未读,
定制HR最喜欢的简历
你可能喜欢思科交换机如何实现ip与mac地址绑定?绑定以后有什么效果?_百度知道
思科交换机如何实现ip与mac地址绑定?绑定以后有什么效果?
答题抽奖
首次认真答题后
即可获得3次抽奖机会,100%中奖。
来自知道合伙人认证行家
互联网类行家
采纳数:113
获赞数:726
从事计算机网络相关工作6年,可以熟练排除网络故障,精通交换路由设置。
用命令在绑定,具体方法如下:一、基于端口的MAC地址绑定
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#c onfig terminal
进入配置模式
Switch(config)# Interface fastethernet 0/1
#进入具体端口配置模式
Switch(config-if)#Switchport port-secruity
#配置端口安全模式
Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
#删除绑定主机的MAC地址
二、基于MAC地址的扩展访问列表
Switch(config)Mac access-list extended MAC
#定义一个MAC地址访问控制列表并且命名该列表名为MAC
Switch(config)permit host .d4bf any
#定义MAC地址为.d4bf的主机可以访问任意主机
Switch(config)permit any host .d4bf
#定义所有主机可以访问MAC地址为.d4bf的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC in
#在该端口上应用名为MAC的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC
#清除名为MAC的访问列表
三、IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)Mac access-list extended MAC
#定义一个MAC地址访问控制列表并且命名该列表名为MAC
Switch(config)permit host .d4bf any
#定义MAC地址为.d4bf的主机可以访问任意主机
Switch(config)permit any host .d4bf
#定义所有主机可以访问MAC地址为.d4bf的主机
Switch(config)Ip access-list extended IP
#定义一个IP地址访问控制列表并且命名该列表名为IP
Switch(config)Permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Permit any 192.168.0.1 0.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC1in
#在该端口上应用名为MAC的访问列表(即前面我们定义的访问策略)
Switch(config-if )Ip access-group IP in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC
#清除名为MAC的访问列表
Switch(config)no Ip access-group IP in
#清除名为IP的访问列表
在cisco交换机中为了防止ip被盗用或员工乱改ip,可以做以下措施,即ip与mac地址的绑定和ip与交换机端口的绑定。
一、通过IP查端口
先查Mac地址,再根据Mac地址查端口:
bangonglou3#show arp | include 208.41 或者show mac-address-table 来查看整个端口的ip-mac表
Internet 10.138.208.41
0006.1bde.3de9 ARPA
bangonglou3#show mac-add | in 0006.1bde
0006.1bde.3de9
bangonglou3#exit
二、ip与mac地址的绑定,这种绑定可以简单有效的防止ip被盗用,别人将ip改成了你绑定了mac地址的ip后,其网络不同,
(tcp/udp协议不同,但netbios网络共项可以访问),具体做法:
cisco(config)#arp 10.138.208.81 80 ARPA
这样就将10.138.208.81 与mac:80 ARPA绑定在一起了
三、ip与交换机端口的绑定,此种方法绑定后的端口只有此ip能用,改为别的ip后立即断网。有效的防止了乱改ip.
cisco(config)# interface FastEthernet0/17
cisco(config-if)# ip access-group 6 in
cisco(config)#access-list 6 permit 10.138.208.81
这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。绑定以后可以提高安全,可以防止ARP欺骗~
为你推荐:
其他类似问题
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
