Cisco系統(tǒng)交換機(jī)mac地址綁定配置：

注：IP地址與MAC地址的關(guān)系：IP地址是按照目前的IPv4標(biāo)準(zhǔn)規(guī)定的，不受硬件限制mac系統(tǒng)綁定mac地址，容易記憶，長度為4個字節(jié)；而MAC地址是網(wǎng)卡的物理地址，存儲在網(wǎng)卡的EPROM中，與硬件相關(guān)，不易記憶，長度為6個字節(jié)。

雖然在 TCP/IP 網(wǎng)絡(luò)中，計算機(jī)之間往往需要設(shè)置 IP 地址才能進(jìn)行通訊mac系統(tǒng)綁定mac地址，但實際上計算機(jī)之間的通訊并不是通過 IP 地址，而是借助網(wǎng)卡的 MAC 地址，IP 地址只是用來查詢要通訊的目的計算機(jī)的 MAC 地址。

ARP協(xié)議用于將自己IP地址對應(yīng)的MAC地址通知給對方的計算機(jī)或網(wǎng)絡(luò)設(shè)備。計算機(jī)的ARP緩存中包含一個或多個用于存儲IP地址及其解析后的以太網(wǎng)MAC地址的表。當(dāng)一臺計算機(jī)與另一臺IP地址的計算機(jī)通信后，對應(yīng)的MAC地址會保留在ARP緩存中。因此，下次與同一IP地址的計算機(jī)通信時，就不再查詢MAC地址，而是直接引用緩存中的MAC地址。

在交換網(wǎng)絡(luò)中，交換機(jī)還維護(hù)一張MAC地址表，并根據(jù)MAC地址將數(shù)據(jù)發(fā)送到目標(biāo)計算機(jī)。

為什么要綁定MAC和IP地址呢？IP地址非常容易修改，而MAC地址是保存在網(wǎng)卡中的，網(wǎng)卡的MAC地址是唯一的。因此，為了防止內(nèi)部人員非法盜用IP（例如盜用更高權(quán)限的人的IP地址，獲取超越權(quán)限的信息），可以將內(nèi)網(wǎng)的IP地址和MAC地址進(jìn)行綁定。這樣，即使盜用者更換了IP地址，也會因為MAC地址不匹配而導(dǎo)致盜用失敗。而且由于網(wǎng)卡的MAC地址是唯一的，因此可以根據(jù)MAC地址找到使用該MAC地址的網(wǎng)卡，進(jìn)而找到非法盜用者。

目前很多單位的內(nèi)部網(wǎng)絡(luò)都采用了MAC地址與IP地址的綁定技術(shù)，下面我們就來介紹一下思科交換機(jī)IP與MAC綁定的設(shè)置方案。

在Cisco中有三種方案，方案一和方案二功能相同，就是將特定主機(jī)的MAC地址（網(wǎng)卡硬件地址）綁定到特定的交換機(jī)端口上，方案三是將特定主機(jī)的MAC地址（網(wǎng)卡硬件地址）和IP地址同時綁定到特定的交換機(jī)端口上。

1. 方案一-基于端口的MAC地址綁定

以思科2950交換機(jī)為例，登錄交換機(jī)，輸入管理密碼進(jìn)入配置模式，輸入命令：

#

#進(jìn)入配置模式

（）# 0/1

#進(jìn)入特定端口配置模式

（-if）# 端口-

#配置端口安全模式

（-if）port-mac-MAC（主機(jī)的 MAC 地址）

#配置端口綁定的主機(jī)的MAC地址

（-if）沒有端口-mac-MAC（主機(jī)的MAC地址）

#刪除綁定主機(jī)的MAC地址

注意：

上述命令設(shè)置交換機(jī)上的某個端口與特定的MAC地址綁定，這樣只有這臺主機(jī)才能使用網(wǎng)絡(luò)。如果更換了主機(jī)的網(wǎng)卡或者其他PC想通過這個端口使用網(wǎng)絡(luò)，那么就無法使用，除非刪除或者修改綁定在該端口上的MAC地址。

注意：

以上功能適用于Cisco 2950、3550、4500、6500系列交換機(jī)。

2. 解決方案 2 - 基于 MAC 地址的擴(kuò)展訪問列表

()Mac-列表 MAC10

＃定義一個MAC地址訪問控制列表，并將該列表命名為MAC10

（）主機(jī) 0009.6bc4.d4bf 任何

＃定義MAC地址為0009.6bc4.d4bf的主機(jī)可以訪問任意主機(jī)

（）任何主機(jī) 0009.6bc4.d4bf

＃定義所有主機(jī)都能訪問MAC地址為0009.6bc4.d4bf的主機(jī)

（-如果）Fa0/20

#進(jìn)入配置特定端口的模式

（-if）mac -group MAC10 在

#在這個端口上應(yīng)用名為MAC10的訪問列表（也就是我們前面定義的訪問策略）

（）無 mac -列出 MAC10

#清除名為MAC10的訪問列表

該功能與應(yīng)用程序基本相同，但它是基于端口的MAC地址訪問控制列表限制，可以限制特定的源MAC地址和目標(biāo)地址范圍。

注意：

上述功能均可在Cisco 2950、3550、4500和6500系列交換機(jī)上實現(xiàn)，但需要注意的是，2950和3550需要交換機(jī)運行增強(qiáng)的軟件映像。

3. 解決方案 3 - 將 MAC 地址綁定到 IP 地址

IP-MAC綁定功能需要應(yīng)用1或者應(yīng)用2與基于IP的訪問控制列表相結(jié)合才能實現(xiàn)。

()Mac-列表 MAC10

＃定義一個MAC地址訪問控制列表，并將該列表命名為MAC10

（）主機(jī) 0009.6bc4.d4bf 任何

＃定義MAC地址為0009.6bc4.d4bf的主機(jī)可以訪問任意主機(jī)

（）任何主機(jī) 0009.6bc4.d4bf

＃定義所有主機(jī)都能訪問MAC地址為0009.6bc4.d4bf的主機(jī)

（）IP-列表IP10

#定義一個IP地址訪問控制列表，并將該列表命名為IP10

（）192.168.0.1 0.0.0.0 任意

#定義IP地址為192.168.0.1的主機(jī)可以訪問任意主機(jī)

任意 192.168.0.1 0.0.0.0

#定義所有主機(jī)都可以訪問IP地址為192.168.0.1的主機(jī)

（-如果）Fa0/20

#進(jìn)入配置特定端口的模式

（-if）mac -group MAC10 在

#在這個端口上應(yīng)用名為MAC10的訪問列表（也就是我們前面定義的訪問策略）

（-if）IP -組 IP10 在

#在這個端口上應(yīng)用名為IP10的訪問列表（也就是我們前面定義的訪問策略）

（）無 mac -列出 MAC10

#清除名為MAC10的訪問列表

（）沒有 IP 組 IP10

#清除名為IP10的訪問列表

上述方案一是基于主機(jī)MAC地址與交換機(jī)端口的綁定，方案二是基于MAC地址的訪問控制列表。前兩種方案能實現(xiàn)的功能大致相同。如果要綁定IP與MAC地址，則只能使用方案三。您可以根據(jù)需要將方案一或方案二與IP訪問控制列表結(jié)合起來，以達(dá)到想要的效果。

注：以上功??能均可在Cisco 2950、3550、4500、6500系列交換機(jī)上實現(xiàn)，但需要注意的是2950和3550要求交換機(jī)運行增強(qiáng)的軟件映像。

后記：從表面上看，綁定MAC地址與IP地址可以防止內(nèi)部IP地址被盜用。但實際上，由于各層協(xié)議、網(wǎng)卡驅(qū)動等實現(xiàn)技術(shù)的原因，綁定MAC地址與IP地址存在很大缺陷mac系統(tǒng)綁定mac地址，不能真正防止內(nèi)部IP地址被盜用。

本系統(tǒng)及軟件只用于個人封裝技術(shù)研究交流使用，不得用于商業(yè)用途，且本站不承擔(dān)任何技術(shù)及版權(quán)問題，請在試用后24小時內(nèi)刪除!