端口-mac綁定

《端口-mac綁定》由會員上傳分享，免費在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

1、最近，要求做Cisco交換機端口安全的情形越來越多。這里的端口安全主要是指通過綁定客戶端MAC地址來限制端口接入的訪問，不包括vlan間的ACL。您在這方面有什么好的經(jīng)驗嗎？　　借鑒了前輩的經(jīng)驗，同時總結(jié)自己的調(diào)試心得，總結(jié)如下：　　1、Cisco29系列交換機可以做基于2層的端口安全，即mac地址與端口進行綁定?！　?、Cisco3550以上交換機均可做基于2層和3層的端口安全，即mac地址與端口綁定以及mac地址與ip地址綁定。　　3、以cisco3550交換機為例　　做mac地址與端口綁定的

2、可以實現(xiàn)兩種應(yīng)用：　　a、設(shè)定一端口只接受第一次連接該端口的計算機mac地址，當(dāng)該端口第一次獲得某計算機mac地址后，其他計算機接入到此端口所發(fā)送的數(shù)據(jù)包則認(rèn)為非法，做丟棄處理。　　b、設(shè)定一端口只接受某一特定計算機mac地址，其他計算機均無法接入到此端口?！　?、破解方法：網(wǎng)上前輩所講的破解方法有很多，主要是通過更改新接入計算機網(wǎng)卡的mac地址來實現(xiàn)，但本人認(rèn)為，此方法實際應(yīng)用中基本沒有什么作用，原因很簡單，如果不是網(wǎng)管，其他一般人員平時根本不可能去注意合法計算機的mac地址，一般情況也無法進入

3、合法計算機去獲得mac地址，除非其本身就是該局域網(wǎng)的用戶?！　?、實現(xiàn)方法：　　針對第3條的兩種應(yīng)用，分別不同的實現(xiàn)方法　　a、接受第一次接入該端口計算機的mac地址：　　Switch#configterminal　　Switch(config)#interfaceinterface-id進入需要配置的端口　　Switch(config-if)#switchportmodeaccess設(shè)置為交換模式　　Switch(config-if)#switchportport-security打開端口安全模

4、式　　Switch(config-if)#switchportport-securityviolation{protect

5、restrict

6、shutdown}//針對非法接入計算機，端口處理模式{丟棄數(shù)據(jù)包，不發(fā)警告

7、丟棄數(shù)據(jù)包，在console發(fā)警告

8、關(guān)閉端口為err-disable狀態(tài)，除非管理員手工激活，否則該端口失效?！　、接受某特定計算機mac地址：　　Switch#configterminal　　Switch(config)#interfaceinterface-id　　Switc

9、h(config-if)#switchportmodeaccess　　Switch(config-if)#switchportport-security　　Switch(config-if)#switchportport-securityviolation{protect

10、restrict

11、shutdown}　　//以上步驟與a同　　Switch(config-if)#switchportport-securitymac-addresssticky　　Switch(config-if)#switc

12、hportport-securityagingstatic//打開靜態(tài)映射　　Switch(config-if)#switchportport-securitymac-addressstickyXXXX.XXXX.XXXX//為端口輸入特定的允許通過的mac地址　　mac地址與ip地址綁定基本原理：　　在交換機內(nèi)建立mac地址和ip地址對應(yīng)的映射表。端口獲得的ip和mac地址將匹配該表，不符合則丟棄該端口發(fā)送的數(shù)據(jù)包?！　崿F(xiàn)方法：　　Switch#configterminal　　Switch(c

13、onfig)#arp1.1.1.10001.0001.1111arpa　　該配置的主要注意事項：需要將網(wǎng)段內(nèi)所有IP都建立MAC地址映射，沒有使用的IP地址可以與0000.0000.0000建立映射。否則該綁定對于網(wǎng)段內(nèi)沒有建立映射的IP地址無效。