在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。
1.方案1——基于端口的MAC地址绑定
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#configterminal
#进入配置模式
Switch(config)#Interfacefastethernet0/1
#进入具体端口配置模式
Switch(config-if)#Switchportport-secruity
#配置端口安全模式
Switch(config-if)switchportport-securitymac-addressMAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if)noswitchportport-securitymac-addressMAC(主机的MAC地址)
#删除绑定主机的MAC地址
注意:
以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
注意:
以上功能适用于思科2950、3550、4500、6500系列交换机
2.方案2——基于MAC地址的扩展访问列表
Switch(config)Macaccess-listextendedMAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permithost0009.6bc4.d4bfany
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permitanyhost0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config-if)interfaceFa0/20
#进入配置具体端口的模式
Switch(config-if)macaccess-groupMAC10in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config)nomacaccess-listextendedMAC10
#清除名为MAC10的访问列表
此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
注意:
以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(EnhancedImage)。
3.方案3——IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC绑定功能。
Switch(config)Macaccess-listextendedMAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permithost0009.6bc4.d4bfany
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permitanyhost0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config)Ipaccess-listextendedIP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)Permit192.168.0.10.0.0.0any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Permitany192.168.0.10.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机
Switch(config-if)interfaceFa0/20
#进入配置具体端口的模式
Switch(config-if)macaccess-groupMAC10in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if)Ipaccess-groupIP10in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
Switch(config)nomacaccess-listextendedMAC10
#清除名为MAC10的访问列表
Switch(config)noIpaccess-groupIP10in
#清除名为IP10的访问列表
上述所提到的应用1是基于主机MAC地址与交换机端口的绑定,方案2是基于MAC地址的访问控制列表,前两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现,可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。
注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(EnhancedImage)。
后注:从表面上看来,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址与IP地址的绑定存在很大的缺陷,并不能真正防止内部IP地址被盗用。
交换机通过源地址学习建立自己的mac地址表。
交换机技术在转发数据前必须知道它的每一个端口所连接的主机的MAC地址,构建出一个MAC地址表。当交换机从某个端口收到数据帧后,读取数据帧中封装的目的地MAC地址信息,然后查阅事先构建的MAC地址表,找出和目的地地址相对应的端口,从该端口把数据转发出去,其他端口则不受影响,这样避免了与其它端口上的数据发生碰撞。
假设主机A向主机C发送一个数据帧,当该数据帧从E0端口进入交换机后,交换机通过检查数据帧中的源MAC地址字段,将该字段的值,放入MAC地址表中,并把它与E0端口对应起来,表示E0端口所连接的主机是A。此时,由于在MAC地址表中没有关于目的地MAC地址的条目,交换机技术将此帧向除了E0端口以外的所有端口转发,从而保证主机C能收到该帧。
交换机根据地址表转发数据
当交换机建立起完整的MAC地址表之后,对数据帧的转发是通过查找MAC地址表得到对应的端口,从而将数据帧通过特定的端口发送出去的。对于从一个端口进入的广播数据及在地址表中找不到地址条目的数据,交换机会把该数据帧从除了进入端口之外的所有端口转发出去。从这个角度来说,交换机互连的设备处于同一个广播域内,但它们处于不同的碰撞域内。
交换机建立MAC地址表就是假设A向C发了一个数据帧,实际情况并非如此,并不是主机间必须进行通信交换机才能学习到MAC地址。实际上是当网卡驱动加载之后交换机就学习到了主机的MAC地址,如果仔细观察就会发现,Windows系统启动过程还没完成,交换机技术就学习到了主机的MAC地址。
cisco交换机配置清除、启动及基本配置 CISCO交换机基本配置\x0d\x0a\x0d\x0a switch>ena 进入特权模式\x0d\x0a switch#erase nvram 全部清除交换机的所有配置\x0d\x0a switch#reload 重新启动交换机(初始提示符为switch>)\x0d\x0a------------------------------------------------------------------------------------\x0d\x0aCISCO交换机基本配置:Console端口连接\x0d\x0a用户模式hostname>;\x0d\x0a特权模式hostname(config)# ;\x0d\x0a全局配置模式hostname(config-if)# ;\x0d\x0a\x0d\x0a交换机口令设置:\x0d\x0aswitch>enable ;进入特权模式\x0d\x0aswitch#config;进入全局配置模式\x0d\x0aswitch(config)#hostname csico ;设置交换机的主机名\x0d\x0aswitch(config)#enable secret csico1 ;设置特权加密口令\x0d\x0aswitch(config)#enable password csico8 ;设置特权非密口令\x0d\x0aswitch(config)#line console 0 ;进入控制台口\x0d\x0aswitch(config-line)#line vty 0 4 ;进入虚拟终端\x0d\x0aswitch(config-line)#login ;虚拟终端允许登录\x0d\x0aswitch(config-line)#password csico6 ;设置虚拟终端登录口令csico6\x0d\x0aswitch#write 保存配置设置\x0d\x0aswitch#copy running-config startup-config 保存配置设置,与write一样\x0d\x0aswitch#exit ;返回命令\x0d\x0a配置终端过一会时间就会由全局配置模式自动改为用户模式,将超时设置为永不超时\x0d\x0aswitch#conf t\x0d\x0aswitch(config)#line con 0\x0d\x0aswitch(config-line)#exec-timeout 0\x0d\x0a---------------------------------------------------------------------------------\x0d\x0a交换机显示命令:\x0d\x0aswitch#write ;保存配置信息\x0d\x0aswitch#show vtp ;查看vtp配置信息\x0d\x0aswitch#show run ;查看当前配置信息\x0d\x0aswitch#show vlan ;查看vlan配置信息\x0d\x0aswitch#show vlan name vlan2\x0d\x0aswitch#show interface ;查看端口信息\x0d\x0aswitch#show int f0/0 ;查看指定端口信息\x0d\x0aswitch#show int f0/0 status;查看指定端口状态\x0d\x0aswitch#show interface status\x0d\x0aswitch#dir flash: ;查看闪存\x0d\x0aswitch#show running-config \x0d\x0aswitch(config)#do show running-config 显示存储在内存中的当前正确配置文件。\x0d\x0ashow startup-configuration:显示存储在非易失性存储器(NVRAM)的配置文件。 \x0d\x0ashow users:显示所有连接到路由器的用户。 \x0d\x0ashow hosts:显示主机名和地址信息。 \x0d\x0aswitch(config)#do show interface\x0d\x0aswitch(config-if)#do show int f0/21 \x0d\x0aswitch#show arp\x0d\x0aswitch#show mac-address-table\x0d\x0a------------------------------------------------------------------------------\x0d\x0a 2960交换机上配置,配置IP及网关\x0d\x0a switch#conf t\x0d\x0a switch(config)#interface vlan1 进入vlan 1特殊接口配置模式\x0d\x0a switch(config-if)#ip address 192.168.1.1 255.255.255.0 设置交换机的管理IP地址\x0d\x0a switch(config)#ip default-gateway 192.168.1.1 设置交换机的网关地址\x0d\x0a switch(config)#ip domain-name pctc.com.cn 设置交换机所连域的域名\x0d\x0a switch(config)#no ip domain-name \x0d\x0a switch#ip name-server 218.87.18.230 设置交换机所连域的域名服务器IP\x0d\x0a switch#show int vlan 1 查看交换机的VLAN 1特殊接口配置信息\x0d\x0a switch#show run 查看交换机的当前运行配置等全部信息\x0d\x0a--------------------------------------------------------------------------------\x0d\x0a交换机VLAN创建,删除,端口属性的设置,配置trunk端口,将某端口加入vlan中,配置VTP:\x0d\x0aswitch(config)#vlan 2\x0d\x0aswitch#vlan database ;进入VLAN设置\x0d\x0aswitch(vlan)#vlan 2 ;建VLAN 2\x0d\x0aswitch(vlan)#vlan 3 name vlan3 ;建VLAN 3并命名为vlan3\x0d\x0aswitch(vlan)#no vlan 2 ;删vlan 2\x0d\x0aswitch(config)#int f0/1 ;进入端口1\x0d\x0aswitch(config)#speed ? 查看speed命令的子命令\x0d\x0aswitch(config)#speed 100 设置该端口速率为100mb/s (10/auto)\x0d\x0aswitch(config-if)#do show int f0/21 显示21口配置信息\x0d\x0aswitch(config-if)#shut ;shutdown 关闭当前端口\x0d\x0aswitch(config-if)#no shut ;no shutdown 开启当前端口\x0d\x0aswitch(config)#duplex ?查看duplex的子命令\x0d\x0aswitch(config)#duplex full 设置该端口为全双工(auto/half)\x0d\x0aswitch(config)#description TO_PC1 这是该端口描述为TO_PC1\x0d\x0aswitch(config)#interface f0/21\x0d\x0aswitch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2\x0d\x0aswitch(config-if)#switchport mode trunk ;设置为trunk模式(access模式)\x0d\x0aswitch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan\x0d\x0aswitch(config-if)#switchport trunk encap dot1q ;设置vlan 中继\x0d\x0aswitch(config)#vtp domain vtpserver ;设置vtp域名相同\x0d\x0aswitch(config)#vtp password ;设置发vtp密码\x0d\x0aswitch(config)#vtp server ;设置vtp服务器模式\x0d\x0aswitch(config)#vtp client ;设置vtp客户机模式\x0d\x0a---------------------------------------------------------------------------------------\x0d\x0a交换机设置IP地址,默认网关,域名,域名服务器,配置和查看MAC地址表:\x0d\x0aswitch(config)#interface vlan 1 ;进入vlan 1\x0d\x0aswitch(config-if)#ip address 192.168.1.1 255.255.255.0 ;设置IP地址\x0d\x0aswitch(config)#ip default-gateway 192.168.1.6 ;设置默认网关\x0d\x0aswitch(config)#ip domain-name cisco.com 设置域名\x0d\x0aswitch(config)#ip name-server 192.168.1.18 设置域名服务器\x0d\x0aswitch(config)#mac-address-table? 查看mac-address-table的子命令\x0d\x0aswitch(config)#mac-address-table aging-time 100设置超时时间为100ms\x0d\x0aswitch(config)#mac-address-table permanent 0000.0c01.bbcc f0/3 加入永久地址在f0/3端口\x0d\x0aswitch(config)#mac-address-table restricted static 0000.0c02.bbcc f0/6 f0/7 加入静态地址目标端口f0/6源端口f0/7\x0d\x0aswitch(config)#end\x0d\x0aswitch#show mac-address-table 查看整个MAC地址表\x0d\x0aswitch#clear mac-address-table restricted static 清除限制性静态地址\x0d\x0a-----------------------------------------------------------------------------------\x0d\x0a交换机端口加入vlan\x0d\x0a将多个端口加入到VLAN2\x0d\x0aswitch(config)#interface range fa 0/17-24\x0d\x0aswitch(config-if-range)#switchport access vlan 2\x0d\x0a单个端口加入VLAN\x0d\x0aswitch(config)#interface f0/1\x0d\x0aswitch(config-if-range)#switchport access vlan 2\x0d\x0a--------------------------------------------------------------------------------\x0d\x0a交换机的端口和MAC地址表的设置\x0d\x0a2960交换机配置端口属性\x0d\x0a switch#conf t\x0d\x0a switch#interface ethernet 0/1\x0d\x0a 进入第1个端口\x0d\x0a switch#description switch-e0/1-pc1\x0d\x0a 给端口写入注释信息\x0d\x0a switch#duplex auto/full/full-flow-control/half\x0d\x0a 设置端口的工作模式\x0d\x0a switch#port secure\x0d\x0a 启用端口安全性\x0d\x0a switch#port secure max-mac-count 1\x0d\x0a 设置该端口允许对应的MAC地址数(默认132个)\x0d\x0a switch#sh mac-address-table security\x0d\x0a 查看端口安全性\x0d\x0a\x0d\x0a2912交换机配置端口属性\x0d\x0a\x0d\x0a switch#conf t\x0d\x0a 进入全局配置模式\x0d\x0a switch#interface fastethernet 0/1\x0d\x0a 进入第1个端口\x0d\x0a switch#description switch-f0/1-pc1\x0d\x0a 给端口写入注释信息\x0d\x0a switch#duplex auto/full/half\x0d\x0a 设置端口的工作模式\x0d\x0a switch#port security\x0d\x0a 启用端口安全性\x0d\x0a switch#port security max-mac-count 1\x0d\x0a 设置该端口允许对应的MAC地址数(默认132个)\x0d\x0a switch#end\x0d\x0a 返回特权模式\x0d\x0a switch#sh port security\x0d\x0a 查看端口安全性\x0d\x0a\x0d\x0a配置和查看MAC地址表\x0d\x0a1924交换机配置MAC地址表\x0d\x0a\x0d\x0a switch#mac-address-table aging-time 600\x0d\x0a 设置动态地址超时时间\x0d\x0a switch#mac-address-table permanent 0000.0cdd.5a4d e0/3\x0d\x0a 定义永久MAC地址(绑定MAC地址)\x0d\x0a switch#mac-address-table restricted static 0000.0cdd.aaed e0/6 e0/7\x0d\x0a 定义受限MAC地址\x0d\x0a switch#address-violation disable/ignore/suspend\x0d\x0a 定义地址安全违规\x0d\x0a switch#show mac-address-table\x0d\x0a 查看上述配置\x0d\x0a switch#clear mac-addr restric static\x0d\x0a 清除受限MAC地址表项\x0d\x0a\x0d\x0a2912交换机配置MAC地址表\x0d\x0a\x0d\x0a switch#mac-address-table aging-time 700\x0d\x0a 设置动态地址超时时间\x0d\x0a switch#mac-address-table static 0000.0cdd.5a4d e0/3\x0d\x0a 定义永久MAC地址(绑定MAC地址)\x0d\x0a switch#mac-address-table secure 00d0.f80d.3333 f0/3 vlan 1\x0d\x0a 定义受限MAC地址\x0d\x0a switch#port security action shutdown/trap\x0d\x0a 定义地址安全违规\x0d\x0a switch#show port security\x0d\x0a 查看上述配置\x0d\x0a\x0d\x0a 配置VTP、VLAN、VLAN Trunk和STP\x0d\x0a配置VTP\x0d\x0a\x0d\x0a switch#conf t\x0d\x0a switch#vtp server\x0d\x0a 定义VTP的工作模式\x0d\x0a switch#vtp domain cisco\x0d\x0a 定义VTP的域名\x0d\x0a switch#trunk on\x0d\x0a 启用干道\x0d\x0a switch#vtp domain cisco\x0d\x0a 加入VTP域\x0d\x0a switch#vtp client\x0d\x0a 定义VTP的工作模式\x0d\x0a switch#trunk on\x0d\x0a 启用干道\x0d\x0a switch#show trunk b\x0d\x0a switch#show trunk b allowed-vlans\x0d\x0a 查看干道信息\x0d\x0a\x0d\x0a配置VLAN\x0d\x0a\x0d\x0a switch#vlan 10 dept1\x0d\x0a switch#vlan 20 dept2\x0d\x0a switch#vlan 30 dept3\x0d\x0a switch#vlan 40 dept4\x0d\x0a 定义所需VLAN\x0d\x0a switch#show vlan\x0d\x0a 查看VLAN信息\x0d\x0a switch#show vlan\x0d\x0a switch#show vtp\x0d\x0a 查看VTP的信息\x0d\x0a switch#int e0/1\x0d\x0a switch#vlan-membership static 10\x0d\x0a switch#int e0/2\x0d\x0a switch#vlan-membership static 20\x0d\x0a switch#int e0/3\x0d\x0a switch#vlan-membership static 30\x0d\x0a switch#int e0/4\x0d\x0a switch#vlan-membership static 40\x0d\x0a 把接口划入各自VLAN\x0d\x0a\x0d\x0a配置spanning tree\x0d\x0a\x0d\x0a switch#spantree 1\x0d\x0a 启用生成树协议\x0d\x0a switch#sh spantree 1\x0d\x0a 查看生成树信息\x0d\x0a switch#no spantree 1\x0d\x0a 关闭生成树协议\x0d\x0a switch#sh spantree 1\x0d\x0a 查看生成树信息\x0d\x0a\x0d\x0a交换机上屏蔽个别MAC地址方法\x0d\x0a\x0d\x0aconfigure terminal\x0d\x0ainterface gigabitEthernet 0/20\x0d\x0aswitchport\x0d\x0asw mode acc\x0d\x0asw port-sec\x0d\x0asw port-sec mac-add [macaddress]\x0d\x0asw port-sec max 1\x0d\x0asw port-sec violation restrict欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)