在cisco中有以下三種方案可供選擇,方案1和方案2實現的功能是一樣的,即在具體的交換機埠上繫結特定的主機的mac位址(網絡卡硬體位址),方案3是在具體的交換機埠上同時繫結特定的主機的mac位址(網絡卡硬體位址)和ip位址。
1.方案1——基於埠的mac位址繫結
思科2950交換機為例,登入進入交換機,輸入管理口令進入配置模式,敲入命令:
switch#config terminal #進入配置模式
switch(config)# inte***ce fastethernet 0/1 #進入具體埠配置模式
switch(config-if)#switchport port-secruity #配置埠安全模式
switch(config-if )switchport port-security mac-address mac(主機的mac位址)
#配置該埠要繫結的主機的mac位址
switch(config-if )no switchport port-security mac-address mac(主機的mac位址)
#刪除繫結主機的mac位址
注意: 以上命令設定交換機上某個埠繫結乙個具體的mac位址,這樣只有這個主機可以使用網路,如果對該主機的網絡卡進行了更換或者其他pc機想通過這個埠使用網路都不可用,除非刪除或修改該埠上繫結的mac位址,才能正常使用。
注意:以上功能適用於思科2950、3550、4500、6500系列交換機
2.方案2——基於mac位址的擴充套件訪問列表
switch(config)mac access-list extended mac10
#定義乙個mac位址訪問控制列表並且命名該列表名為mac10
switch(config)permit host 0009.6bc4.d4bf any
#定義mac位址為0009.6bc4.d4bf的主機可以訪問任意主機
switch(config)permit any host 0009.6bc4.d4bf
#定義所有主機可以訪問mac位址為0009.6bc4.d4bf的主機
switch(config-if )inte***ce fa0/20 #進入配置具體埠的模式
switch(config-if )mac access-group mac10 in
#在該埠上應用名為mac10的訪問列表(即前面我們定義的訪問策略)
switch(config)no mac access-list extended mac10
#清除名為mac10的訪問列表
此功能與應用一大體相同,但它是基於埠做的mac位址訪問控制列表限制,可以限定特定源mac位址與目的位址範圍。
注意:以上功能在思科2950、3550、4500、6500系列交換機上可以實現,但是需要注意的是2950、3550需要交換機執行增強的軟體映象(enhanced image)。
3.方案3——ip位址的mac位址繫結
只能將應用1或2與基於ip的訪問控制列表組合來使用才能達到ip-mac 繫結功能。
switch(config)mac access-list extended mac10
#定義乙個mac位址訪問控制列表並且命名該列表名為mac10
switch(config)permit host 0009.6bc4.d4bf any
#定義mac位址為0009.6bc4.d4bf的主機可以訪問任意主機
switch(config)permit any host 0009.6bc4.d4bf
#定義所有主機可以訪問mac位址為0009.6bc4.d4bf的主機
switch(config)ip access-list extended ip10
#定義乙個ip位址訪問控制列表並且命名該列表名為ip10
switch(config)permit 192.168.0.1 0.0.0.0 any
#定義ip位址為192.168.0.1的主機可以訪問任意主機
switch(config)permit any 192.168.0.1 0.0.0.0
#定義所有主機可以訪問ip位址為192.168.0.1的主機
switch(config-if )inte***ce fa0/20
#進入配置具體埠的模式
switch(config-if )mac access-group mac10 in
#在該埠上應用名為mac10的訪問列表(即前面我們定義的訪問策略)
switch(config-if )ip access-group ip10 in
#在該埠上應用名為ip10的訪問列表(即前面我們定義的訪問策略)
switch(config)no mac access-list extended mac10
#清除名為mac10的訪問列表
switch(config)no ip access-group ip10 in
#清除名為ip10的訪問列表
上述所提到的應用1是基於主機mac位址與交換機埠的繫結,方案2是基於mac位址的訪問控制列表,前兩種方案所能實現的功能大體一樣。如果要做到ip與mac位址的繫結只能按照方案3來實現,可根據需求將方案1或方案2與ip訪問控制列表結合起來使用以達到自己想要的效果。
注意:以上功能在思科2950、3550、4500、6500系列交換機上可以實現,但是需要注意的是2950、3550需要交換機執行增強的軟體映象(enhanced image)。
MAC位址與IP位址
為 訪問控制,或稱為實體地址 硬體位址 用於識別資料鏈路中互連的節點。mac 位址與ip 位址,兩者之間分工合作,完成通訊。mac 位址長 48 位元,在使用網絡卡的情況下,mac位址一般會被燒入到 rom,因此任何一 個網絡卡的 mac位址都是唯一的,在全世界都不會有重複。每個nic 廠商識別碼,...
MAC位址與IP位址
計算機的ip位址有兩大部分組成,一部分為網路位址,一部分為主機位址,同一網段的計算機網路位址相同,路由器連線不同網段,負責不同網段之間的資料 交換機連線的是同一網段的計算機。計算機在和其他計算機通訊之前,首先要判斷目標ip位址和自己的ip位址是否在乙個網段,這決定了資料鏈層的目標mac位址是目標計算...
MAC位址與IP位址的區別
介紹一下mac位址的知識,mac位址和ip位址的區別以及mac位址在實際應用中所涉及到的安全問題。一 基礎知識 如今的網路是分層來實現的,就像是搭積木一樣,先設計某個特定功能的模組,然後把模組拼起來組成整個網路。區域網也不例外,一般來說,在組網上我們使用的是ieee802參考模型,從下至上分為 物理...