cisco交换机IP-MAC地址绑定配置

本文涉及的产品
访问控制,不限时长
简介:
一、基于端口的MAC地址绑定 
 
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令: 
Switch#c onfig terminal 
进入配置模式 
Switch(config)# Interface fastethernet 0/1 
#进入具体端口配置模式 
Switch(config-if)#Switchport port-secruity 
#配置端口安全模式 
Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址) 
#配置该端口要绑定的主机的MAC地址 
Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址) 
#删除绑定主机的MAC地址 
二、基于MAC地址的扩展访问列表 
               Switch(config)Mac access-list extended MAC 
#定义一个MAC地址访问控制列表并且命名该列表名为MAC 
Switch(config)permit host 0009.6bc4.d4bf any 
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 
Switch(config)permit any host 0009.6bc4.d4bf 
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 
Switch(config-if )interface Fa0/20 
#进入配置具体端口的模式 
Switch(config-if )mac access-group MAC in 
#在该端口上应用名为MAC的访问列表(即前面我们定义的访问策略) 
Switch(config)no mac access-list extended MAC 
#清除名为MAC的访问列表
三、IP地址的MAC地址绑定 
        只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。 
Switch(config)Mac access-list extended MAC 
#定义一个MAC地址访问控制列表并且命名该列表名为MAC 
Switch(config)permit host 0009.6bc4.d4bf any 
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 
Switch(config)permit any host 0009.6bc4.d4bf 
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 
Switch(config)Ip access-list extended IP 
#定义一个IP地址访问控制列表并且命名该列表名为IP 
Switch(config)Permit 192.168.0.1 0.0.0.0 any 
#定义IP地址为192.168.0.1的主机可以访问任意主机 
Permit any 192.168.0.1 0.0.0.0 
#定义所有主机可以访问IP地址为192.168.0.1的主机 
Switch(config-if )interface Fa0/20 
#进入配置具体端口的模式 
Switch(config-if )mac access-group MAC1in 
#在该端口上应用名为MAC的访问列表(即前面我们定义的访问策略) 
Switch(config-if )Ip access-group IP in 
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略) 
Switch(config)no mac access-list extended MAC 
#清除名为MAC的访问列表 
Switch(config)no Ip access-group IP in 
#清除名为IP的访问列表

    在cisco交换机中为了防止ip被盗用或员工乱改ip,可以做以下措施,即ip与mac地址的绑定和ip与交换机端口的绑定。
    一、通过IP查端口 
先查Mac地址,再根据Mac地址查端口:
bangonglou3#show arp | include 208.41 或者show mac-address-table 来查看整个端口的ip-mac表
    Internet 10.138.208.41           4   0006.1bde.3de9 ARPA   Vlan10
bangonglou3#show mac-add | in 0006.1bde
    10    0006.1bde.3de9    DYNAMIC     Fa0/17
bangonglou3#exit
     二、ip与mac地址的绑定,这种绑定可以简单有效的防止ip被盗用,别人将ip改成了你绑定了mac地址的ip后,其网络不同,
(tcp/udp协议不同,但netbios网络共项可以访问),具体做法: 
    cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA
    这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了

    三、ip与交换机端口的绑定,此种方法绑定后的端口只有此ip能用,改为别的ip后立即断网。有效的防止了乱改ip。
    cisco(config)# interface FastEthernet0/17
    cisco(config-if)# ip access-group 6 in        
    cisco(config)#access-list 6 permit 10.138.208.81
    这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。




本文转自 tiger506 51CTO博客,原文链接:http://blog.51cto.com/tiger506/168924,如需转载请自行联系原作者

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
目录
相关文章
|
1月前
配置MAC地址表
配置MAC地址表
配置MAC地址表
|
1月前
|
运维 监控 数据挖掘
|
1月前
|
运维 监控 安全
|
17天前
|
开发工具 git 开发者
「Mac畅玩鸿蒙与硬件3」鸿蒙开发环境配置篇3 - DevEco Studio 插件安装与配置
本篇将专注于如何在 DevEco Studio 中安装和配置必要的插件,以增强开发功能和提升效率。通过正确配置插件,开发流程能够得到简化,开发体验也会更加顺畅。
60 1
「Mac畅玩鸿蒙与硬件3」鸿蒙开发环境配置篇3 - DevEco Studio 插件安装与配置
|
9天前
|
网络协议 安全 网络虚拟化
思科交换机配置命令归纳
【11月更文挑战第8天】本文总结了思科交换机的常见配置命令,包括模式转换、基本配置、查看命令、VLAN 配置、Trunk 配置、以太网通道配置、VTP 配置、三层交换机配置、生成树配置以及其他常用命令,适用于网络管理和维护。
|
1月前
|
Java Shell 应用服务中间件
Mac系统下配置环境变量:Javajdk、maven、tomcat 环境变量配置及对应配置文件
这篇文章介绍了如何在Mac系统下配置Java JDK、Maven和Tomcat的环境变量,包括配置文件的选择、解决环境变量在zsh shell中无效的问题、查看和设置系统环境变量的方法,以及JDK和Maven的下载、配置和测试步骤。
1402 1
Mac系统下配置环境变量:Javajdk、maven、tomcat 环境变量配置及对应配置文件
|
1月前
交换机中创建MAC地址表
【10月更文挑战第1天】
56 2
|
1月前
|
安全 网络安全 数据安全/隐私保护
Cisco-交换机配置聚合端口
Cisco-交换机配置聚合端口
|
2月前
|
Oracle Java 关系型数据库
Mac电脑上安装和配置Flutter开发环境
Mac电脑上安装和配置Flutter开发环境
51 3
|
2月前
|
Web App开发 开发工具 Android开发
【Flutter】Flutter安装和配置(mac)
【Flutter】Flutter安装和配置(mac)