ip与mac绑定技术现在越来越流行,在许多企业中实行ip与mac绑定有利于企业的网络管理,对于网络管理员来说省去了很多麻烦,同时,对数据的安全起到了很好的作用。真正实现了部门与部门之间相对隔离,彼此到对方部门都不能正常的上网,这就是ip与mac绑定所实现需要达到的效果。
具体来说有三种情况,下面对ip-mac绑定技术的三种情况进行介绍:
情况一:基于端口的MAC地址绑定
switch#config t 进入配置模式
fastethernet 0/1
port-secruity 配置端口安全模式
mac-address MAC(主机的MAC地址)配置端口 要绑定的主机mac地址
说明:对于交换机上具体某个端口绑定一个具体的mac地址,如此一来,只有这台主机才能上网,若该主机网卡更换或其他主机想通过这个端口进行上网都是不可行的,只有删除或修改该端口上绑定的mac才可以正常使用.以上功能适用于思科2950 3550 4500 6500系列交换机
情况二:基于MAC地址的扩展访问列表
switch(config)#mac access-list extended
定义一个mac地址控制访问列表并命名为mac-100
switch(config)#permit host 0000.4c56.dd77 any
定义mac地址为0000.4c56.dd77的主机可以访问任何主机
switch(config)#permit any host 0000.4c56.dd77
定义所有主机可以访问mac地址为00.4c56.dd77 的主机
switch(config)#interface fa0/1
进入具体端口配置模式
witch(config-if)#mac access-group mac-100 in
在端口上应用名为mac-100的列表
witch(config-if)#no mac access-group mac-100 in
清除名为mac-100的列表
说明:以上功能适用于思科2950 3550 4500 6500系列交换机,但2950 3550需要交换机运行增强的软件镜像
情况三:ip的mac地址绑定
将上面的情况一或二与基于ip的访问控制列表组合才能达到ip-mac绑定
extended
switch(config)#IP access-list extended IP100
定义一个ip地址访问控制列表并命名为IP100
switch(config)#permit 192.168.1.1 0.0.0.0 any
定义ip地址为192.168.1.1的主机可以访问任意主机
switch(config)#permit any 192.168.1.1 0.0.0.0
定义任意主机可以访问ip地址为192.168.1.1的主机
switch(config-if)#interface fa0/1
switch(config-if)#mac access-group mac-100 in
switch(config-if)#IP access-group IP100 in注意这两行
定义一个mac地址控制访问列表并命名为mac-100
switch(config)#permit host 0000.4c56.dd77 any
定义mac地址为0000.4c56.dd77的主机可以访问任何主机
switch(config)#permit any host 0000.4c56.dd77
定义所有主机可以访问mac地址为00.4c56.dd77 的主机
https://blog.51cto.com/denverf/911198
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
