交换机ip与mac绑定技术

      ip与mac绑定技术现在越来越流行，在许多企业中实行ip与mac绑定有利于企业的网络管理,对于网络管理员来说省去了很多麻烦,同时,对数据的安全起到了很好的作用。真正实现了部门与部门之间相对隔离,彼此到对方部门都不能正常的上网,这就是ip与mac绑定所实现需要达到的效果。

    具体来说有三种情况,下面对ip-mac绑定技术的三种情况进行介绍:

   情况一：基于端口的MAC地址绑定

   下面以cisco 2950为例加以说明

   switch#config  t 进入配置模式

   switch(config)#interface fastethernet 0/1 进入端口配置模式

   switch(config-if)#switchport port-secruity 配置端口安全模式

   switch(config-if)#switchport port-secruity mac-address MAC(主机的MAC地址)配置端口  要绑定的主机mac地址

    说明:对于交换机上具体某个端口绑定一个具体的mac地址,如此一来,只有这台主机才能上网,若该主机网卡更换或其他主机想通过这个端口进行上网都是不可行的,只有删除或修改该端口上绑定的mac才可以正常使用．以上功能适用于思科2950　3550　4500　6500系列交换机

　情况二：基于MAC地址的扩展访问列表

　switch(config)#mac access-list extended mac-100

     定义一个mac地址控制访问列表并命名为mac-100

      switch(config)#permit host 0000.4c56.dd77 any

     定义mac地址为0000.4c56.dd77的主机可以访问任何主机

 　switch(config)#permit any host 0000.4c56.dd77 

      定义所有主机可以访问mac地址为00.4c56.dd77 的主机

　　switch(config)#interface fa0/1

　　进入具体端口配置模式

       witch(config-if)#mac access-group mac-100 in

     在端口上应用名为mac-100的列表

　　witch(config-if)#no mac access-group mac-100 in

      清除名为mac-100的列表

　　说明：以上功能适用于思科2950　3550　4500　6500系列交换机，但2950　3550需要交换机运行增强的软件镜像

 

　情况三：ip的mac地址绑定

　将上面的情况一或二与基于ip的访问控制列表组合才能达到ip-mac绑定

    switch(config)#mac access-list extended mac-100

 　switch(config)#IP access-list extended IP100

     定义一个ip地址访问控制列表并命名为IP100

      switch(config)#permit 192.168.1.1 0.0.0.0 any

      定义ip地址为192.168.1.1的主机可以访问任意主机

　　switch(config)#permit any　192.168.1.1 0.0.0.0

　　定义任意主机可以访问ip地址为192.168.1.1的主机

　　switch(config－if)#interface fa0/1

      switch(config－if)#mac access-group mac-100 in

      switch(config－if)#IP access-group IP100 in注意这两行

 

 

 

　　

     定义一个mac地址控制访问列表并命名为mac-100

      switch(config)#permit host 0000.4c56.dd77 any

     定义mac地址为0000.4c56.dd77的主机可以访问任何主机

 　switch(config)#permit any host 0000.4c56.dd77 

      定义所有主机可以访问mac地址为00.4c56.dd77 的主机

本文出自 “不为技术而学技术” 博客，转载请与作者联系！