chezw 的BLOG
用户名：chezw
文章数：21
访问量：81980
注册日期：
阅读量：5863
阅读量：12276
阅读量：417527
阅读量：1105207
51CTO推荐博文
一、针对于目前ARP病毒肆虐，利用ARP协议进行欺骗的网络问题也日渐严重。在防范过程中除了VLAN的划分来抑制问题的扩散，如果将MAC地址与端口绑定配合起来会达到最佳的防范效果。下面在Cisco交换机上实现简单的端口绑定，举Cisco 3550为例：
3550#config terminal //进入通用配置模式3550(config)# Interface fastethernet 0/1 //进入需要配置的具体端口配置模式3550（config-if）#switchport mode access //设置交换机的端口模式为access模式，注意缺省是dynamic //dynamic模式下是不能使用Port-security功能的3550(config-if)#switchport port-secruity //启用端口安全模式3550(config-if )switchport port-security mac-address &后面写上主机的MAC地址&//配置该端口要绑定的主机的MAC地址switch（config-if）#switchport port-security maximum 1//其实缺省就是1个 switch（config-if）#switchport port-security violation shutdown//设置违反端口安全规则，缺省是shutdown
这个配置只可以一个端口绑定一个MAC地址，那么要绑定多个IP地址与MAC地址应该如何处理呢?看看下面的配置：
1.先建立两个访问控制列表，一个是关于MAC地址的，一个是关于IP地址的。3550(config)#mac access-list extended mac-n//配置一个命名的MAC地址访问控制列表,命名为mac-n3550(config-ext-macl)#permit host 0001.a1db.f987 any//源MAC地址为0001.a1db.f987的主机可以访问任意主机3550(config-ext-macl)#permit any host 0001.a1db.f987//所有主机可以访问目的MAC地址为0001.a1db.f987的主机3550(config)#ip access-list extended ip-n//配置命名的IP地址访问控制列表,命名为ip-n3550(config-ext-nacl)#permit& ip& 172.0.0.1 0.0.0.0 any//允许172.0.0.1地址在网内工作
2.将建立好的访问控制列表加入需要配置的端口3550(config-if )#interface fa0/1//进入配置具体端口的模式3550(config-if )#mac access-group mac-n& in3550(config-if )#ip access-group ip-n in
PS:上面的配置是静态可靠的MAC地址和端口的绑定，命令格式：Switch(config-if)#switchport port-security mac-address Mac地址
企业中如何快速将MAC地址与交换机端口绑定呢？在实际的运用中常用黏性可靠的MAC地址绑定：举CISCO 2950为例
2950 (config)#int rang fa0/1 - 482950 (config-if-range)#switchport mode Access2950 (config-if-range)#switchport port-security 2950 (config-if-range)#switchport port-security mac-address violation restrict2950 (config-if-range)#switchport port-security mac-address sticky
这样交换机的48个端口都绑定了，注意：在实际运用中要求把连在交换机上的PC机都打开，这样才能学到MAC地址，并且要在学到MAC地址后保存配置文件，这样下次就不用再学习MAC地址了，然后用show port-security address查看绑定的端口，确认配置正确。
二、在cisco交换机中为了防止ip被盗用或员工乱改ip，可以做以下措施，既ip与mac地址的绑定，和ip与交换机端口的绑定。
ip与mac地址的绑定，这种绑定可以简单有效的防止ip被盗用，别人将ip改成了你绑定了mac地址的ip后，其网络不通，（tcp/udp协议不通，但netbios网络共项可以访问），具体做法：&cisco(config)#arp 10.138.208.81 80 ARPA
这样就将10.138.208.81 与mac:80 ARPA绑定在一起了。
ip与交换机端口的绑定，此种方法绑定后的端口只有此ip能用，改为别的ip后立即断网。有效的防止了乱改ip。
cisco(config)#&& interface FastEthernet0/17
cisco(config-if)# ip access-group 6 in&&&&&&&
cisco(config)#access-list 6 permit 10.138.208.81
&这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。
补：我们也可以通过MAC地址来限制端口流量，此配置允许一TRUNK口最多通过100个MAC地址，超过100时，但来自新的主机的数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。
3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时，交换机继续工作，但来自新的主机的数据帧将丢失。
上面的配置根据MAC地址来允许流量，下面的配置则是根据MAC地址来拒绝流量。
此配置在Catalyst交换机中只能对单播流量进行过滤，对于多播流量则无效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。
&本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)
17:42:27 14:47:462005年1月 硬件使用大版内专家分月排行榜第二2004年12月 硬件使用大版内专家分月排行榜第二
2004年4月 总版技术专家分月排行榜第二
2006年1月 Delphi大版内专家分月排行榜第一2005年12月 Delphi大版内专家分月排行榜第一2005年11月 Delphi大版内专家分月排行榜第一2005年10月 Delphi大版内专家分月排行榜第一2005年6月 Delphi大版内专家分月排行榜第一2004年10月 Delphi大版内专家分月排行榜第一2004年9月 Delphi大版内专家分月排行榜第一2004年8月 Delphi大版内专家分月排行榜第一2004年7月 Delphi大版内专家分月排行榜第一2004年6月 Delphi大版内专家分月排行榜第一2004年5月 Delphi大版内专家分月排行榜第一2004年4月 Delphi大版内专家分月排行榜第一2004年3月 Delphi大版内专家分月排行榜第一2003年12月 Delphi大版内专家分月排行榜第一2003年11月 Delphi大版内专家分月排行榜第一
2004年4月 总版技术专家分月排行榜第二
2006年1月 Delphi大版内专家分月排行榜第一2005年12月 Delphi大版内专家分月排行榜第一2005年11月 Delphi大版内专家分月排行榜第一2005年10月 Delphi大版内专家分月排行榜第一2005年6月 Delphi大版内专家分月排行榜第一2004年10月 Delphi大版内专家分月排行榜第一2004年9月 Delphi大版内专家分月排行榜第一2004年8月 Delphi大版内专家分月排行榜第一2004年7月 Delphi大版内专家分月排行榜第一2004年6月 Delphi大版内专家分月排行榜第一2004年5月 Delphi大版内专家分月排行榜第一2004年4月 Delphi大版内专家分月排行榜第一2004年3月 Delphi大版内专家分月排行榜第一2003年12月 Delphi大版内专家分月排行榜第一2003年11月 Delphi大版内专家分月排行榜第一
2004年4月 总版技术专家分月排行榜第二
2006年1月 Delphi大版内专家分月排行榜第一2005年12月 Delphi大版内专家分月排行榜第一2005年11月 Delphi大版内专家分月排行榜第一2005年10月 Delphi大版内专家分月排行榜第一2005年6月 Delphi大版内专家分月排行榜第一2004年10月 Delphi大版内专家分月排行榜第一2004年9月 Delphi大版内专家分月排行榜第一2004年8月 Delphi大版内专家分月排行榜第一2004年7月 Delphi大版内专家分月排行榜第一2004年6月 Delphi大版内专家分月排行榜第一2004年5月 Delphi大版内专家分月排行榜第一2004年4月 Delphi大版内专家分月排行榜第一2004年3月 Delphi大版内专家分月排行榜第一2003年12月 Delphi大版内专家分月排行榜第一2003年11月 Delphi大版内专家分月排行榜第一
2005年1月 硬件使用大版内专家分月排行榜第二2004年12月 硬件使用大版内专家分月排行榜第二
2005年1月 硬件使用大版内专家分月排行榜第二2004年12月 硬件使用大版内专家分月排行榜第二
2004年4月 总版技术专家分月排行榜第二
2006年1月 Delphi大版内专家分月排行榜第一2005年12月 Delphi大版内专家分月排行榜第一2005年11月 Delphi大版内专家分月排行榜第一2005年10月 Delphi大版内专家分月排行榜第一2005年6月 Delphi大版内专家分月排行榜第一2004年10月 Delphi大版内专家分月排行榜第一2004年9月 Delphi大版内专家分月排行榜第一2004年8月 Delphi大版内专家分月排行榜第一2004年7月 Delphi大版内专家分月排行榜第一2004年6月 Delphi大版内专家分月排行榜第一2004年5月 Delphi大版内专家分月排行榜第一2004年4月 Delphi大版内专家分月排行榜第一2004年3月 Delphi大版内专家分月排行榜第一2003年12月 Delphi大版内专家分月排行榜第一2003年11月 Delphi大版内专家分月排行榜第一
2005年1月 硬件使用大版内专家分月排行榜第二2004年12月 硬件使用大版内专家分月排行榜第二
2004年4月 总版技术专家分月排行榜第二
2006年1月 Delphi大版内专家分月排行榜第一2005年12月 Delphi大版内专家分月排行榜第一2005年11月 Delphi大版内专家分月排行榜第一2005年10月 Delphi大版内专家分月排行榜第一2005年6月 Delphi大版内专家分月排行榜第一2004年10月 Delphi大版内专家分月排行榜第一2004年9月 Delphi大版内专家分月排行榜第一2004年8月 Delphi大版内专家分月排行榜第一2004年7月 Delphi大版内专家分月排行榜第一2004年6月 Delphi大版内专家分月排行榜第一2004年5月 Delphi大版内专家分月排行榜第一2004年4月 Delphi大版内专家分月排行榜第一2004年3月 Delphi大版内专家分月排行榜第一2003年12月 Delphi大版内专家分月排行榜第一2003年11月 Delphi大版内专家分月排行榜第一
2004年4月 总版技术专家分月排行榜第二
2006年1月 Delphi大版内专家分月排行榜第一2005年12月 Delphi大版内专家分月排行榜第一2005年11月 Delphi大版内专家分月排行榜第一2005年10月 Delphi大版内专家分月排行榜第一2005年6月 Delphi大版内专家分月排行榜第一2004年10月 Delphi大版内专家分月排行榜第一2004年9月 Delphi大版内专家分月排行榜第一2004年8月 Delphi大版内专家分月排行榜第一2004年7月 Delphi大版内专家分月排行榜第一2004年6月 Delphi大版内专家分月排行榜第一2004年5月 Delphi大版内专家分月排行榜第一2004年4月 Delphi大版内专家分月排行榜第一2004年3月 Delphi大版内专家分月排行榜第一2003年12月 Delphi大版内专家分月排行榜第一2003年11月 Delphi大版内专家分月排行榜第一
本帖子已过去太久远了，不再提供回复功能。2004年4月 硬件使用大版内专家分月排行榜第二
2009年8月 .NET技术大版内专家分月排行榜第三
本帖子已过去太久远了，不再提供回复功能。博客访问： 1699192
博文数量： 289
博客积分： 6659
博客等级： 准将
技术积分： 3190
注册时间：
IT168企业级官微
微信号：IT168qiye
系统架构师大会
微信号：SACC2013
Switch-4#show mac address-tablecisco交换机查看端口所连pc的MAC地址#列出连接的所有机器的MAC地址Switch-4#show mac address-table#列出单个接口所边机器的MAC地址Switch-4#show mac address-table &interface f0/1获取到结果后再通过WIN/LINUX 相关命令获取网络内的MAC与对应IPLINUX 获取本局域网IP 192.168.166.202 - >替换为执行机器IPnmap -sP &192.168.166.1/24 &| sed -n '1,2d;$d;/192.168.166.202/d;N;s/\n//;s/\(192.168.166.[0-9]\{1,3\}\) .*\(MAC.*:..\).*/\1 &\2/p' &| column -t
阅读(10310) | 评论(0) | 转发(0) |
相关热门文章
给主人留下些什么吧！~~
请登录后评论。