一、针对于目前ARP病毒肆虐,利用ARP协议进行欺骗的网络问题也日渐严重。在防范过程中除了VLAN的划分来抑制问题的扩散,如果将MAC地址与端口绑定配合起来会达到最佳的防范效果。
下面在Cisco交换机上实现简单的端口绑定,举Cisco 3550为例:
3550#config terminal
//进入通用配置模式
3550(config)# Interface fastethernet 0/1
//进入需要配置的具体端口配置模式
3550(config-if)#switchport mode access
//设置交换机的端口模式为access模式,注意缺省是dynamic
//dynamic模式下是不能使用Port-security功能的
3550(config-if)#switchport port-secruity
//启用端口安全模式
3550(config-if )switchport port-security mac-address <后面写上主机的MAC地址>
//配置该端口要绑定的主机的MAC地址
switch(config-if)#switchport port-security maximum 1
//其实缺省就是1个
switch(config-if)#switchport port-security violation shutdown
//设置违反端口安全规则,缺省是shutdown
这个配置只可以一个端口绑定一个MAC地址,那么要绑定多个IP地址与MAC地址应该如何处理呢?
看看下面的配置:
1.先建立两个访问控制列表,一个是关于MAC地址的,一个是关于IP地址的。
3550(config)#mac access-list extended mac-n
//配置一个命名的MAC地址访问控制列表,命名为mac-n
3550(config-ext-macl)#permit host 0001.a1db.f987 any
//源MAC地址为0001.a1db.f987的主机可以访问任意主机
3550(config-ext-macl)#permit any host 0001.a1db.f987
//所有主机可以访问目的MAC地址为0001.a1db.f987的主机
3550(config)#ip access-list extended ip-n
//配置命名的IP地址访问控制列表,命名为ip-n
3550(config-ext-nacl)#permit  ip  172.0.0.1 0.0.0.0 any
//允许172.0.0.1地址在网内工作
2.将建立好的访问控制列表加入需要配置的端口
3550(config-if )#interface fa0/1
//进入配置具体端口的模式
3550(config-if )#mac access-group mac-n  in
3550(config-if )#ip access-group ip-n in
PS:上面的配置是静态可靠的MAC地址和端口的绑定,命令格式:Switch(config-if)#switchport port-security mac-address Mac地址
企业中如何快速将MAC地址与交换机端口绑定呢?在实际的运用中常用黏性可靠的MAC地址绑定:举CISCO 2950为例
2950 (config)#int rang fa0/1 - 48
2950 (config-if-range)#switchport mode Access
2950 (config-if-range)#switchport port-security
2950 (config-if-range)#switchport port-security mac-address violation restrict
2950 (config-if-range)#switchport port-security mac-address sticky
这样交换机的48个端口都绑定了,注意:在实际运用中要求把连在交换机上的PC机都打开,这样才能学到MAC地址,并且要在学到MAC地址后保存配置文件,这样下次就不用再学习MAC地址了,然后用show port-security address查看绑定的端口,确认配置正确。
二、在cisco交换机中为了防止ip被盗用或员工乱改ip,可以做以下措施,既ip与mac地址的绑定,和ip与交换机端口的绑定。
ip与mac地址的绑定,这种绑定可以简单有效的防止ip被盗用,别人将ip改成了你绑定了mac地址的ip后,其网络不通,(tcp/udp协议不通,但netbios网络共项可以访问),具体做法:
 
cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA
这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了。
ip与交换机端口的绑定,此种方法绑定后的端口只有此ip能用,改为别的ip后立即断网。有效的防止了乱改ip。
cisco(config)#   interface FastEthernet0/17
cisco(config-if)# ip access-group 6 in       
cisco(config)#access-list 6 permit 10.138.208.81
这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。
补:我们也可以通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。
3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。
上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量。
此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。

转载于:https://blog.51cto.com/chezw/134572

CISCO交换机上实现MAC和端口、IP和端口、IP和MAC的绑定相关推荐

  1. Cisco交换机上的链路聚合

    cisco交换机上的链路聚合<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" ...

  2. 在Cisco交换机上实现隔离访问

     现在网络安全要求也越来越高了,一个局域网有时候也希望能够做到互相不能访问.我主要是给大家介绍一下在cisco的交换机上面如何来实现大家的需求. 在cisco 低端交换机中的实现方法: 1.通过端口保 ...

  3. 在CISCO交换机上配置SSH

    在Cisco路由器产品系列中只有7200系列.7500系列和12000系列(GSR)等高端产品的IOS支持SSH.一般支持SSH的IOS版本文件名中都带有K3或者K4字样,K3 代表56bit SSH ...

  4. 2022-09-07 网工进阶(三十)以太网交换安全-端口隔离、MAC地址表安全、端口安全、MAC地址漂移防止与检测、链路层安全、流量抑制、风暴控制、IPSG(IP Source Guard)

    概述 目前网络中以太网技术的应用非常广泛.然而,各种网络攻击的存在,不仅造成了网络合法用户无法正常访问网络资源,而且对网络信息安全构成严重威胁,因此以太网交换的安全性越来越重要. 端口隔离 大型网络中 ...

  5. 如何在交换机上查找计算机,通过交换机在局域网中查找病毒攻击的方法

    如何检查和杀死局域网中的攻击病毒?将对以下两种类型进行详细说明: ARP地址攻击搜索过程1.如果客户端PC和网关无法通信,请先在客户端上ping网关地址,然后在dos窗口中运行arp–a以查看mac网 ...

  6. 根据IP查找在交换机上的端口

    根据IP查找在交换机上的端口 show arp | in ip找到MAC地址, 然后show mac-address-table address MAC找到对应交换机端口, vlan1 必须管理DOW ...

  7. 通过mac地址查找PC位于那个接入层交换机上

    工作需求:通过mac地址查找PC3位于那个接入层交换机上 拓扑图如下: #在核心交换机上查找该mac地址对应的IP地址,属于那个VLAN,从哪个接口学习到的MAC地址信息. <COREA> ...

  8. 交换机上STP端口角色选举规则

    8.2.1 生成树初始化阶段的角色选举    网络中所有的桥设备在使能STP协议后,每一个桥设备都认为自己是根桥.此时每台设备仅仅收发配置BPDU,而不转发用户流量,所有的端口都处于Listening ...

  9. 华三设备组网中,知道终端的IP,求该IP直连在哪台交换机上?

    知道终端的IP,求该IP直连在哪台交换机上? 欢迎使用Markdown编辑器 原因:去到公司,肯定是不会向如上图那么简单,往往是在核心一步步往下查的.核心-汇聚-接入-接入. PS:学习网络应该在脑海 ...

  10. 交换机上的三种端口模式

    补充知识 PVID和VID区别 PVID英文解释为Port-base VLAN ID,是基于端口的VLAN ID,一个端口可以属于多个vlan(本质意思是该端口采用 hybrid或者trunk模式下, ...

最新文章

  1. 4- vue django restful framework 打造生鲜超市 -restful api 与前端源码介绍
  2. mysql 中有什么命令_常用mysql命令大全
  3. wps表格粗线和细线区别_详解论文中的表格技术
  4. Qt 设置应用程序开机自启动
  5. 科技计划项目数据管理过程模型
  6. VB.Command()的参数
  7. Redis概念与架构
  8. html是非结构数据吗,Python处理非结构数据
  9. Ubuntu如何查看端口已经开放
  10. Qt_IOS环境搭建 Qt for ios Projector ERROR:This mkspec requires Xcode 4.3 or later
  11. j2me 移植 android,J2me移植Android初步探索
  12. 学习Python的几个优质平台
  13. quartz定时任务cron表达式详解
  14. Q1净亏损同比扩大222% 四通一达业绩垫底百世还能逆袭吗?
  15. 学会这几个.你就能成为bat脚本小子了...(转来看看的)
  16. 费马小定理及MR素数判断
  17. 测试理论-代码的检查,走查(三)
  18. CSS线性渐变和径向渐变详解
  19. 5G ---SSB与preamble occasion
  20. 联想ghost重装系统_一步一步教你手动ghost重装win7 64位系统

热门文章

  1. 配置nginx负载均衡
  2. springmvc环境的搭建
  3. 用微软的压力测试工具进行拒绝服务攻击
  4. [C/C++][经典探讨]类继承中,通过基类指针delete释放,是否会造成内存泄漏
  5. Nginx 安装与运行
  6. SqlServer 跨库访问
  7. Ubuntu配置 PPTP 服务器端
  8. android studio或者IntelliJ代码样式的设置
  9. JDK问题--linux下java unrecognized class file version错误的解决
  10. SoundMorph Dust for Mac(双耳环绕音频颗粒合成仪)