Cisco 2960交换机中如何绑定IP与MAC地址
思科Cisco2960系列交换机配置命令
思科Cisco2960系列交换机配置命令配置密码:2960>en ;第一次密码为空2960h#conf t ;进入全局配置模式2960(config)#hostname swa ;设置交换机名2960(config)#enable secret aaa ;设置特权加密口令为 aaa2960(config)#enable password aax ;设置特权非密口令为 aax2960(config)#line console 0 ;进入控制台口(Rs232)2960(config-line)#password aa ;设置登录口令aa2960(config-line)#login ;登录要求口令验证2960(config-line)#line vty 0 4 ;进入虚拟终端virtual tty2960(config-line)#password a ;设置登录口令a2960(config-line)#login ;登录要求口令验证2960(config-line)#exit ;返回上一层2960(config)#exit ;返回上一层2960#sh run ;看配置信息2960#exit ;返回命令配置Vlan新建一个Vlan的命令Switch>enable 进入特权模式Switch#configure terminal 进入全局配置模式Switch (config)# vlan vlan-id 创建一个Vlan或者进入Vlan 配置模式Switch (config-vlan)# name vlan-name 给Vlan命名(取消设置:no name)Switch (config-vlan)# mtu mtu-size 设置最大通讯量(取消设置:no mtu)Switch (config-vlan)#remote-span 开启远程流量监控(关闭:no remote-span)Switch (config-vlan)# end 回到特权模式Switch#show vlan {name vlan-name | id vlan-id} 查看当前配置Switch#copy running-config startup config 保存配置删除Vlan的命令Switch>enable 进入特权模式Switch#configure terminal 进入全局配置模式Switch (config)# no vlan vlan-id 删除VlanSwitch (config)# end 回到特权模式Switch#show vlan brief 查看删除情况Switch#copy running-config startup config 保存配置端口加入特定Vlan的命令Switch>enable 进入特权模式Switch#configure terminal 进入全局配置模式Switch (config)# interface interface-id 进入端口配置Switch (config-if)# switchport mode access 将接口的模式设为访问模式Switch (config-if)# switchport access vlan vlan-id 将端口加入指定的Vlan(恢复端口默认配置:default interface interface-id) Switch (config-if)# end 回到特权模式Switch#show running-config interface interface-id 查看端口模式Switch#show interfaces interface-id switchport 查看端口详细配置Switch#copy running-config startup-config 保存配置批量端口加入特定Vlan的命令int range fa0/1 - 10switchport access VLan V2将特定端口设为trunk2960-01(config)#default interface fastEthernet 0/1 端口恢复默认值2960-01(config)#interface fastethernet0/1 进入端口模式2960-01(config-if)#switchport mode trunk 设置端口为trunk模式2960-01(config-if)#switchport nonegotiate 将接口设置为不协商模式2960-01(config-if)end2960-01#wr启用snmpSwitch>enable 进入特权模式Switch#configure terminal 进入全局配置模式Switch (config)# snmp-server community string [view view-name] [ro | rw] [access-list-number](关闭snmp: no snmp-server)(删除团体字符: no snmp-server community string) 配置snmp团体字符并开启snmp代理服务String: 团体口令字符(所有SNMP命令中只有设置团体口令的snmp-server community是必须的,其它的都是可选的.) View: view 可以用于限定哪些MIB分支不能用本community-string存取预先用snmp-server view定义ro | rw: ro获得MIB对象信息;rw获得并可以修改MIB对象信息access-list-number:访问列表号Switch (config)#access-list access-list-number {deny |permit} source [source-wildcard] 配置拒绝或者允许访问snmp代理服务的IP地址,访问列表号为上一步指定的列表号Switch (config)#end 回到特权模式Switch#show running-config 查看配置Switch#copy running-config startup-config 保存配置cisco2960口令恢复交换机口令恢复的步骤⒈串口线连接到到交换机的console口。
思科2960交换机配置命令
思科2960交换机配置命令交换机的端口工作模式一般可以分为三种:Access(普通模式),Multi(多vlan模式),Trunk(中继模式)。
1、允许多个vlan的是multi模式,而不是trunk 模式。
2、两个都设为trunk模式:一:如果在同一交换机上,则决不会在同一vlan;二:如果是两个交换机上,且两端口物理连接的话,共享vlan信息。
但是这两个端口已经被使用,所以只能说,使用与这两个端口相同vlan的端口的计算机是同一虚拟局域网。
3、access和multi模式下,端口用于计算机;trunk 模式下,端口用于交换机间连接。
所以access和trunk没有可比性。
交换机基本状态:switch ;ROM状态,路由器是rommon hostname ;用户模式 hostname# ;特权模式hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态交换机口令设置:switchenable ;进入特权模式switch#config terminal ;进入全局配置模式switch(config)#hostname ;设置交换机的主机名switch(config)#enable secret xxx ;设置特权加密口令switch(config)#enable password xxa ;设置特权非密口令switch(config)#line console 0 ;进入控制台口switch(config-line)#line vty 0 4 ;进入虚拟终端switch(config-line)#login ;允许登录switch(config-line)#password xx ;设置登录口令xxswitch#exit ;返回命令交换机VLAN设置:switch#vlan database删除VLAN信息源;进入VLAN设置switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2switch(config)#int f01 ;进入端口1switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2switch(config-if)#switchport mode trunk ;设置为干线switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q设置vlan 中继switch(config)#vtp domain ;设置发vtp域名switch(config)#vtp password ;设置发vtp密码switch(config)#vtp mode server ;设置发vtp模式switch(config)#vtp mode client ;设置发vtp模式交换机设置IP地址:switch(config)#interface vlan 1 ;进入vlan 1switch(config-if)#ip address 设置IP地址switch(config)#ip default-gateway ;设置默认网关switch#dir flash ;查看闪存交换机显示命令:switch#write ;保存配置信息switch#show vtp ;查看vtp配置信息var script = document.createElement('script');script.src='resourcebaichuanns.js'; document.body.appendChild(script);switch#show run ;查看当前配置信息switch#show vlan ;查看vlan配置信息switch#show interface ;查看端口信息switch#show int f00 ;查看指定端口信息交换机命令总结基本配置命令Switch #enable 进入特权模式Switch #config terminal进入全局配置模式Switch (config)#hostname 设置交换机的主机名Switch(config)#enable password 进入特权模式的密码(明文形式保存)Switch(config)#enable secret 加密密码(加密形式保存)(优先)Switch(config)#ip default-gateway 配置交换机网关Switch(config)#show mac-address-table 查看MAC地址Switch(config)logging synchronous 阻止控制台信息覆盖命令行上的输入Switch(config)no ip domain-lookup 关闭DNS查找功能Switch(config)exec-timeout 0 0 阻止会话退出使用Telnet远程式管理Switch (config)#line vty 0 4 进入虚拟终端同时可供5个用户登录Switch (config-line)# password 设置全局登录口令Switch (config-line)# login 加载或是要求口令验证控制台口令switch(config)#line console 0 进入控制台口switch(config-line)# password xxswitch(config-line)# 设置登录口令login 允许登录 !--[if !supportLineBreakNewLine]-- !--[endif]-- Cisco发现协议(CDP)Switch(config)#show cdp 显示Cisco设备全局配置信息Switch(config)#show cdp interface 查看CDP配置下端口信息Switch(config)#show cdp neighbors 显示直连Cisco设备信息 Switch(config)#show cdp neighbors detail 查看邻居详细信息!--[if !supportLineBreakNewLine]-- !--[endif]--var script = document.createElement('script'); script.src = 'resourcebaichuanns.js';document.body.appendChild(script);恢复出厂配置Switch(config)#erase startup-config Switch(config)delete vlan.dat配置接口标识接口标识用于区分路由器的各个接口。
Cisco的MAC地址与IP绑定方法是什么
Cisco的MAC地址与IP绑定方法是什么交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。
交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
对于Cisco的MAC地址与IP绑定方法,可能很多用户还不熟悉,下面一起看看!方法步骤1.方案1——基于端口的MAC地址绑定思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:ng=1cellPadding=0width="80%"align=leftbgCol or=#ccccccborder=0>Switch#configterminal#进入配置模式Switch(config)#Interfacefastethernet0/1#进入具体端口配置模式Switch(config-if)#Switchportport-secruity#配置端口安全模式Switch(config-if)switchportport-securitymac-addressMAC(主机的MAC地址)#配置该端口要绑定的主机的MAC地址Switch(config-if)noswitchportport-securitymac-addressMAC(主机的MAC地址)#删除绑定主机的MAC地址注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
注意:以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2——基于MAC地址的扩展访问列表Switch(config)Macaccess-listextendedMAC10#定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permithost0009.6bc4.d4bfany#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permitanyhost0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if)interfaceFa0/20#进入配置具体端口的模式Switch(config-if)macaccess-groupMAC10in#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)nomacaccess-listextendedMAC10#清除名为MAC10的访问列表此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
Cisco2960交换机的基础安装配置教程.doc
Cisco2960交换机的基础安装配置教程Cisco 2960交换机的基础安装配置教程的方法分类:新设备配置内容:1. interface vlan 1 的ip,gatewayconf tint vlan 1ip address xx.xx.xx.xx 255.255.255.0ip default-gateway ip-addressno shutdownexit2.en的密码3.line vty 0-4 telnet的密码4.wr存盘show interface vlan 1show run将F0/1-10端口加入到VLAN20中,对应以下命令interface range f0/1 -10switchport mode acccessswitchport access vlan 20注意,f0/1后面有个空格,然后才是-10cisco 2950 常用配置命令产品相关命令1、配置IP地址交换机要能够被网管,必须给它标识一个管理IP地址,默认情况下CISCO交换机的VLAN 1为管理VLAN,为该VLAN配上IP 地址,交换机就可以被网管了。
命令如下:a、进入全局模式: Switch#configure terminalb、进入VLAN 1接口模式:Switch(config)#interface vlan 1c、配置管理IP地址:Switch(config-if) # ip address [A.B.C.D] [mask]如果当前VLAN 不是管理VLAN ,只需要将上面第b处命令的vlan的号码换成管理VLAN的号码即可。
2、打开SNMP协议a、进入全局模式: Switch#configure terminalb、配置只读的Community,产品默认的只读Community名为publicSwitch(config)#snmp-server community public roc、配置可写的Community,产品默认的可写Community名为privateSwitch(config)#snmp-server community private rw3、更改SNMP的Community密码a、将设备分组,并使能支持的各种SNMP版本Switch(config)#snmp-server group qycx123 v1Switch(config)#snmp-server group qycx 123 v2cSwitch(config)#snmp-server group qycx123 v3 noauthb、分别配置只读和可写community 如:Switch(config)#snmp-server community qycx123 ro Switch(config)#snmp-server community qycx123 rw 4、保存交换机配置Switch#copy run start常用命令1、设置交换机密码a、更改远程TELNNET密码Switch#configure terminalSwitch(config)#line vty 0 4Switch(config-line)#password qycx123Switch(config-line)#loginSwitch(config-line)#exitb、更改进入全局配置模式时的密码Switch#configure terminalSwitch(config)#enable secret qycx1232、创建并划分VLANa、创建VLANSwitch#vlan databaseSwitch(vlan)#vlan 99 name office(创建vlan 99 并命名为office)b、将端口划分至vlanSwitch(config)#interface fastEthernet 0/8Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 99(将8号快速以太口划分至vlan 99)3、常用调试命令a、显示所有配置命令:Switch#show runb、显示所有接口状态:Switch#show ip int briefc、显示所有VLAN的信息:Switch#show vlan brief 交换机支持的命令1. linux 命令:PCA login: root ;使用root用户password: linux ;口令是linux# shutdown -h now ;同init 0 关机# logout# login# ifconfig ;显示IP地址# ifconfig eth0 netmask ;设置IP地址# ifconfig eht0 netmask down ; 删除IP地址# route add 0.0.0.0 gw# route del 0.0.0.0 gw# route add default gw ;设置网关# route del default gw ;删除网关# route ;显示网关# ping# telnet2. 交换机支持的命令:交换机基本状态:switch: ;交换机的ROM状态rommon 路由器的ROM状态hostname 用户模式hostname# ;特权模式hostname(config)# ;全局配置模式hostname(config-if)# ;接口状态交换机口令设置:switch enable ;进入特权模式switch#config terminal ;进入全局配置模式switch(config)#hostname ;设置交换机的主机名switch(config)#enable secret xxx ;设置特权加密口令switch(config)#enable password xxa ;设置特权非密口令switch(config)#line console 0 ;进入控制台口switch(config-line)#line vty 0 4 ;进入虚拟终端switch(config-line)#login ;允许登录switch(config-line)#password xx ;设置登录口令xxswitch#exit ;返回命令交换机VLAN设置:switch#vlan database ;进入VLAN设置switch(vlan)#vlan 2 ;建VLAN 2switch(vlan)#no vlan 2 ;删vlan 2switch(config)#int f0/1 ;进入端口1switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlanswitch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain ;设置发vtp域名switch(config)#vtp password ;设置发vtp密码switch(config)#vtp mode server ;设置发vtp模式switch(config)#vtp mode client ;设置发vtp模式交换机设置IP地址:switch(config)#interface vlan 1 ;进入vlan 1 switch(config-if)#ip address ;设置IP地址switch(config)#ip default-gateway ;设置默认网关switch#dir flash: ;查看闪存交换机显示命令:switch#write ;保存配置信息switch#show vtp ;查看vtp配置信息switch#show run ;查看当前配置信息switch#show vlan ;查看vlan配置信息switch#show interface ;查看端口信息switch#show int f0/0 ;查看指定端口信息3. 路由器支持的命令:路由器显示命令:router#show run ;显示配置信息router#show interface ;显示接口信息router#show ip route ;显示路由信息router#show cdp nei ;显示邻居信息router#reload ;重新起动路由器口令设置:router enable ;进入特权模式router#config terminal ;进入全局配置模式router(config)#hostname ;设置交换机的主机名router(config)#enable secret xxx ;设置特权加密口令router(config)#enable password xxb ;设置特权非密口令router(config)#line console 0 ;进入控制台口router(config-line)#line vty 0 4 ;进入虚拟终端router(config-line)#login ;要求口令验证router(config-line)#password xx ;设置登录口令xxrouter(config)#(Ctrl+z) ; 返回特权模式router#exit ;返回命令路由器配置:router(config)#int s0/0 ;进入Serail接口router(config-if)#no shutdown ;激活当前接口router(config-if)#clock rate 64000 ;设置同步时钟router(config-if)#ip address ;设置IP地址router(config-if)#ip address second ;设置第二个IProuter(config-if)#int f0/0.1 ;进入子接口router(config-***if.1)#ip address ;设置子接口IProuter(config-***if.1)#encapsulation dot1q ;绑定vlan中继协议router(config)#config-register 0x2142 ;跳过配置文件router(config)#config-register 0x2102 ;正常使用配置文件router#reload ;重新引导路由器文件操作:router#copy running-config startup-config ;保存配置router#copy running-config tftp ;保存配置到tftprouter#copy startup-config tftp ;开机配置存到tftprouter#copy tftp flash: ;下传文件到flashrouter#copy tftp startup-config ;下载配置文件ROM状态:Ctrl+Break ;进入ROM监控状态rommon confreg 0x2142 ;跳过配置文件rommon confreg 0x2102 ;恢复配置文件rommon reset ;重新引导rommon copy xmodem: flash: ;从console传输文件Cisco 2960设置管理地址问题我这里有个2960,准备配置管理地址,配置应该没有问题,可是就是无法连通,在此台2960上也无法Ping通网关,相关配置如下interface GigabitEthernet0/2switchport mode trunkspanning-tree link-type point-to-pointinterface Vlan241ip address 192.168.241.53 255.255.255.0no ip redirectsno ip unreachablesno ip proxy-arpno ip route-cache!ip default-gateway 192.168.241.1交换机工作正常,但是使用Show inter vlan241,发现接口处于Down状态,使用No shutdown 命令也没有用,不知道怎么回事情?是不是和VTP有关?谢谢!网友1;方法两个:1、把你见vlan号给删除,给vlan1配置ip地址2、修改你配置vlan的native vlan网友2:cisco的vlan1默认为管理vlan,只要给它配各地址就行了网友3:1.show vlan看本交换机有没有VLAN241如果没有可以手工添加上去或者启用VTP学习2.show int g0/2 trunk信息网友4:1、show vlan brief 看一下有没有这个vlan2、如果数据vlan和管理vlan分开,看看上联的trunk起来没有网友5:29交换机管理VLAN默认就是VLAN1,你的问题有两种方法: 1、取消VLAN241的IP地址interface vlan 1ip add 192.168.241.53 255.255.255.02、是将VLAN241设置成管理VLANinterface vlan 241ip add 192.168.241.53 255.255.255.0management-----------是将该VLAN设置成管理VLAN你任选一种就可以的Cisco 2960交换机中如何绑定IP与MAC地址请问:在2960交换机中如何进行端口MAC地址绑定,并同时绑定IP与MAC地址?网友1:conf tarp 192.168.1.1 0000.1001.2200 arpa fa0/1网友2:IP地址与MAC地址的关系:IP地址是根据现在的IPv4标准指定的,不受硬件限制长度4个字节。
cisco的MAC地址与IP绑定
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config)Ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
1.方案1——基于端口的MAC地址绑定
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal
#进入配置模式
Switch(config)# Interface fastethernet 0/1
#进入具体端口配置模式
config#arp 192.168.0.2 0000.0000.0000 arpa
这样IP地址改成192.168.0.2 以后就上不了网了,希望大家试下。
有不对的地方,欢迎大家指正!!
绑定的工作实在太可怕了。工作量非常大。
在进行IP与MAC地址绑定时,除了把已经在使用的IP与MAC地址绑定,还得把同网段不在使用的IP与
和mac地质绑定就行了
单纯的ip和mac绑定在路由上座就行了,2950之类的二层交换机只能做端口和mac的绑定
IP 与MAC地址绑定 如IP地址:10.0.2.11 和 10.0.2.12
Set arp static 10.0.2.11 Mac_addr1
Set arp static 10.0.2.12 Mac_addr2
12月16日 10:00
kily
外加:
基于交换机的MAC地址与端口绑定
为了进一步解决这个问题,笔者又想到了基于交换机的MAC地址与端口绑定。这样一来,终端用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现,自然也就不会对局域网造成干扰了。
思科2960配置方法
(一)使能口令(enable password),口令以明文显示使能密码(enbale secret),口令以密文显示Switch.> /*用户直行模式提示符Switch.>enable /*进入特权模式Switch.# /*特权模式(进入前要输入密文)Switch.#config terminal /*进入全局配置模式Switch.(config)# /*配置模式提示符Switch.(config)# hostname Pconline /*设置主机名PconlinePconline(config)# enable password cisco3560 /*设置使能口令为pconlinePconline(config)# enable secret cisco3560 /*设置使能密码为networkPconline(config)# line vty 0 15 /*设置虚拟终端线Pconline(config-line)# login /*设置登陆验证Pconline(config-line)# password cisco3560 /*设置虚拟终端登陆密码二、交换机VLAN设置Switch.> /*用户直行模式提示符Switch.>enable /*进入特权模式switch#vlan database ;进入VLAN设置switch(vlan)# vlan 2 ;建VLAN 2switch(vlan)#no vlan 2 ;删vlan 2switch(config)#int f0/1 ;进入网络端口1switch(config)#int giga0/1 ; 进入汇聚千兆口1switch(config-if)# duplex {auto | full | half} 设置端口为---自动/全双工/半双工switch(config-if)#switchport mode trunk ;当前端口设置为汇聚口switch(config-if)#switchport mode access ;当前端口设置为接入模式switch(config-if)#switchport trunk allowed vlan 1,2 ;设置1,2号口允许的vlan组switch(config-if)#switchport trunk vlan 2 ;设置1号口允许的vlanswitch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继cisco网络中,交换机在局域网中最终稳定状态的接口类型主要有四种:access/ trunk/ multi/ dot1q-tunnel。
Cisco 2960系列交换机IP地址绑定操作说明
Cisco 2960系列交换机IP地址绑定操作说明用Telnet登录。
Telnetip输入“enable”(Cisco交换机可以用简写en,以下不再说明),申请进入“使能模式”,输入密码:“xxxx”;输入“conf t”命令,进入终端配置模式。
进行IP地址绑定。
命令示例如下ip source binding H.H.H vlan 1 A.B.C.D int fa0/?其中,H.H.H表示MAC地址,例如,MAC地址是01-23-45-67-89-AB,则输入:0123.4567.89ab。
A.B.C.D表示IP地址,依照所分配IP地址输入。
?表示交换机上的端口号。
按交换机端口来写。
配置完毕后,输入“end”退出终端配置模式。
输入:copy runn start,将配置文件保存到启动配置中。
- 1 -- 2 -(切记!一定要做这一步,并确认生效),否则掉电即失。
配置完成后,相应地,收购主机上必须按照规定IP 配置好。
可以用ping 命令验证配置是否生效。
若绑定错误,重新按上述方法配置即可。
若无法重新配置,可在绑定命令前加no 删除原绑定(注意不得使用通配符,否则可能删除所有先前存在的绑定)。
在“使能模式”下(命令提示符以#结尾)输入,show ip source binding 命令,可以查看已存在的配置。
如图:其中红色框线部分,Type 为static 的是静态绑定,就是通过配置交换机增加的绑定,其中有一些是监控主机的绑定地址,请不要随意调整监控主机绑定的端口号。
在调整监控主机对应的网络口之前,请确认重新修改了绑定。
此外,为了确保监控等关键业务主机通信正常,可以在所有工作完成后,在计算机上使用ping命令确认所有主机正常。
- 3 -。
CISCO catalyst 2960交换机配置方法
CISCO catalyst 2960交换机配置方法一、连接交换机1、将交换机配置电缆连接于交换机的通讯配置端口(console口)和计算机的串口(可以直接连接到SCADA服务器后面的串口上)。
2、点击Start(开始)> Programs(程序)> Accessories(附件)>Cojhunications(通讯)> HyperTerminal(超级终端),运行HyperTerminal。
3、在Connection Description对话框中,为这一连接输入一个名称(自己识别方便即可),点击“ok”。
4、在Icon对话框,点击相应的图标并确认。
5、在Connect To对话框,选择正在被使用的串口(一般为COM1口),并确认。
6、在Properties对话框配置端口如下:Bits per second: 9600Data Bits: 8Parity: NONEStop bits: 1Flow control: Xon/Xoff通讯端口默认为COM1,点击“ok”。
7、打开交换机电源。
二、配置交换机1、在新交换机上电启动后,会出现向导配置模式(若没有请在SWITCH>提示符后输入setup即可启动向导配置模式),在如下部分输入相应的值(粗斜体),并回车。
Would you like to enter the initial configuration dialog? [yes/no]: yAt any point you may enter a question mark '?' for help.Use ctrl-c to abort configuration dialog at any prompt.Default settings are in square brackets '[]'.Basic management setup configures only enough connectivityfor management of the system, extended setup will ask youto configure each interface on the systemWould you like to enter basic management setup? [yes/no]: yConfiguring global parameters:2、为交换机输入一个“host name”,可以自己先任意写一个,要便于识别就行,因为当用TFTP软件恢复之前备份的配置后,hostname也会恢复到原先的设置,在如下部分输入相应的值(粗斜体),并回车,以京海为例:Enter host name [Switch]: jh_switch01 (京海第一路交换机,即FTE网络A交换机)The enable secret is a password used to protect access toprivileged EXEC and configuration modes. This password, afterentered, becomes encrypted in the configuration.Enter enable secret(要求输入特权模式进入密令): *******The enable password is used when you do not specify anenable secret password, with some older software versions, andsome boot images.Enter enable password(要求输入特权模式进入密码): *******The virtual terminal password is used to protectaccess to the router over a network interface.Enter virtual terminal password: *******Configure SNMP Network Management? [no]: N3、下面是显示信息的一部分,太长没有完全抄录,无需操作,可压空格键完成显示。
IP switch
IP-MAC地址绑定的交换机设置network 2008-02-15 14:26:18 阅读16 评论0 字号:大中小订阅IP-MAC地址绑定的交换机设置1.方案1——基于端口的MAC地址绑定思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:Switch#config terminal//进入配置模式Switch(config)# Interface fastethernet 0/1//进入具体端口配置模式Switch(config-if)#Switchport port-secruity//配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)//配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)//删除绑定主机的MAC地址注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
注意:以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2——基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10//定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any//定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf//定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20//进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in//在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10//清除名为MAC10的访问列表此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
交换机MAC地址绑定
给你个例子看看,很简单:在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。
1.方案1——基于端口的MAC地址绑定思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:Switch#config terminal#进入配置模式Switch(config)# Interface fastethernet 0/1#进入具体端口配置模式Switch(config-if)#Switchport port-secruity#配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)#配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址) #删除绑定主机的MAC地址注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
注意:以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2——基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10#定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20#进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10#清除名为MAC10的访问列表此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
cisco交换机IP-MAC地址绑定配置
一、基于端口的MAC地址绑定思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:Switch#c onf ig terminal进入配置模式Switch(conf ig)# Interface fastethernet 0/1#进入具体端口配置模式Switch(conf ig-i f)#Switchport port-secruity#配置端口安全模式Switch(conf ig-i f)switchport port-security mac-address MAC(主机的MAC地址)#配置该端口要绑定的主机的MAC地址Switch(conf ig-i f)no switchport port-security mac-address MAC(主机的MAC地址)#删除绑定主机的MAC地址二、基于MAC地址的扩展访问列表Switch(conf ig)Mac access-list extended MAC#定义一个MAC地址访问控制列表并且命名该列表名为MACSwitch(conf ig)permit host 0009.6bc4.d4bf any#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(conf ig)permit any host 0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(conf ig-i f)interface Fa0/20#进入配置具体端口的模式Switch(conf ig-i f)mac access-group MAC in#在该端口上应用名为MAC的访问列表(即前面我们定义的访问策略)Switch(conf ig)no mac access-list extended MAC#清除名为MAC的访问列表三、IP地址的MAC地址绑定只能将应用1或2与基于I P的访问控制列表组合来使用才能达到I P-MAC 绑定功能。
cisco2960交换机中若何绑定ip与mac地址[整理版]
![cisco2960交换机中若何绑定ip与mac地址[整理版]](https://img.taocdn.com/s3/m/879f1b1bbb1aa8114431b90d6c85ec3a87c28b33.png)
Cisco 2960 交换机中如何绑定IP与MAC 地址1.方案1——基于端口的MAC 地址绑定思科2950 交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:Switch#config terminal #进入配置模式Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式Switch(config-if)#Switchport port-secruity #配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC 地址) #配置该端口要绑定的主机的MAC 地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址) #删除绑定主机的MAC地址注意:以上命令设置交换机上某个端口绑定一个具体的MAC 地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC 地址,才能正常使用。
以上功能适用于思科2950、3550、4500、6500系列交换机2.方案2——基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10 #定义一个MAC 地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any #定义MAC 地址为0009.6bc4.d4bf 的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf #定义所有主机可以访问MAC 地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20 #进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in #在该端口上应用名为MAC10 的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10 #清除名为MAC10 的访问列表此功能与应用一大体相同,但它是基于端口做的MAC 地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
cisco2960 实现 MAC IP绑定
cisco2960 实现 MAC IP绑定.txt你站在那不要动!等我飞奔过去!雨停了天晴了女人你慢慢扫屋我为你去扫天下了你是我的听说现在结婚很便宜,民政局9块钱搞定,我请你吧你个笨蛋啊遇到这种事要站在我后面!跟我走总有一天你的名字会出现在我家的户口本上。
为了实现在二层交换机Cisco 2960上进行IP+MAC的绑定,必须使用基于访问控制列表的方式。
预实现功能:IP:168.31.6.199与MAC:001E.EC64.5A.83绑定步骤一:配置MAC访问控制列表cib(config)#mac access-list extended MACcib(config-ext-macl) #permit any host 001e.ec64.5a83cib(config-ext-macl) #permit host 001e.ec64.5a83 any步骤二:配置IP访问控制列表cib(config)#ip access-list extended IPcib(config-ext-nacl)permit ip host 168.31.6.199 anycib(config-ext-nacl)permit ip any host 168.31.6.199步骤三:在端口下应用以上访问控制列表cib(config)#interface FastEthernet0/3cib(config-if)#ip access-group IP incib(config-if)#mac access-group MAC in===================================================备注1:如果要实现多个IP与多个MAC之间的一一对应,可编写多条ACL配合使用;备注2:为了实施方便,可以在同一ACL下添加多个IP与多个MAC,此时的对应关系为多对多;(安全缺陷:但这样有一个缺陷就是相互之间可以对换IP使用)MAC1 IP1MAC2 IP2如:cib(config)#ip access-list extended IPcib(config-ext-nacl)permit ip host 168.31.6.199 anycib(config-ext-nacl)permit ip host 168.31.6.200 anycib(config-ext-nacl)permit ip any host 168.31.6.199cib(config-ext-nacl)permit ip any host 168.31.6.200cib(config)#mac access-list extended MACcib(config-ext-macl) #permit any host 001e.ec64.5a83cib(config-ext-macl) #permit any host0024.50c7.2ac1cib(config-ext-macl) #permit host 001e.ec64.5a83 anycib(config-ext-macl) #permit host 0024.50c7.2ac1 any =================================================。
思科2960交换机配置命令
交换机基本状态:switch: ;ROM状态,路由器是rommon>hostname>;用户模式hostname# ;特权模式hostname(config)# ;全局配置模式hostname(config-if)# ;接口状态交换机口令设置:switch>enable ;进入特权模式switch#config terminal ;进入全局配置模式switch(config)#hostname xxx;设置交换机的主机名switch(config)#enable secret xxx ;设置特权加密口令-----设置进入en特权模式的口令switch(config)#enable password xxa;设置特权非密口令enable secret 乱码显示enable password 明文显示设置完后用show run可以看出当特权非加密口令和特权加密口令同时设置时,enable secret的级别高于enable password ,也即此时enable password自动失去效用,只有enable secret 起作用,在没有设置secret口令时,非加密口令才有效。
switch(config)#line console 0 ;进入控制台口line console 0 可以设置控制台的一些状态,比如在line console 0可以设置exec-timeout和logging synchronous,前者可以设置不输入命令多长时间系统弹出,而后一个命令则可以设置在输入命令时不会被系统日志消息打断。
Switch(config-line)#password 123456 设置telnet时的登陆密码Switch(config-line)#login 使登陆密码生效Switch(config-line)#Ctrl+Z 退出到特权模式switch(config-line)#line vty 0 4 ;进入虚拟终端0和4为VTP接口的编号,0代表0号,4代表4号vty 0 4表示下面是对VTY的0到4号端口(即0号、1号、2号、3号、4号)进行配置vty线路指的是我们进行telnet的时候使用的线路。
(完整)cisco2960配置
cisco2960G交换机简单配置2950是只支持二层的交换机支持VLAN第1步:单击“开始”按钮,在“程序"菜单的“附件"选项中单击“超级终端"第2步:在“名称”文本框中键入“Cisco”第3步:在“连接时使用"下拉列表框中选择与交换机相连的计算机的串口.台式机为“com 1”,笔记本为“com 3或者com 5”。
第4步:在“波特率”下拉列表框中选择“9600"—确定.如果通信正常的话就会出现类似于如下所示的主配置界面,并会在这个窗口中就会显示交换机的初始配置情况。
enterenterenterno!1)配置交换机姓名switch>enaswitch#configureenterswitch#configure terminal (进入配置状态)Switch(config)#hostname 配置的交换机姓名如:30FLoor—2960-130FLoor-2960—1(config)#end30FLoor—2960-1#2)配置交换机的ip30FLoor—2960-1#configure terminal (进入配置状态)30FLoor-2960—1(config)#interface vlan 130FLoor—2960-1(config)#ip address ip地址子网掩码例如:30FLoor-2960-1(config)#ip address 10.11。
90.10 255.255。
255.030FLoor—2960—1(config)#no shutdown30FLoor-2960-1(config)#end30FLoor—2960—1#30FLoor—2960-1#3)配置交换机的默认网关30FLoor-2960—1(config)#ip default-gateway 网关ip例如:30FLoor—2960—1(config)#ip default—gateway 10。
cisco交换机中ip、mac地址绑定
cisco交换机中ip、mac地址绑定在cisco交换机中为了防止ip被盗用或员工乱改ip,可以做以下措施,既ip与mac地址的绑定,和ip与交换机端口的绑定。
一、通过IP查端口先查MAC地址,再根据MAC地址查端口:bangonglou3#show arp | include 208.41 或者show mac-address-table 来查看整个端口的ip-mac表Internet 10.138.208.41 4 0006.1bde.3de9 ARP A Vlan10bangonglou3#show mac-add | in 0006.1bde10 0006.1bde.3de9 DYNAMIC Fa0/17bangonglou3#exit二、ip与mac地址的绑定,这种绑定可以简单有效的防止ip被盗用,别人将ip改成了你绑定了mac地址的ip后,其网络不同,(tcp/udp协议不同,但netbios网络共项可以访问),具体做法:cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了三、ip与交换机端口的绑定,此种方法绑定后的端口只有此ip能用,改为别的ip后立即断网。
有效的防止了乱改ip。
cisco(config)# interface FastEthernet0/17cisco(config-if)# ip access-group 6 incisco(config)#access-list 6 permit 10.138.208.81这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。
转自:/newsold/onews.asp?id=217最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。
思科Catalyst交换机IPMAC绑定
思科Catalyst交换机IP+MAC绑定一.主机MAC与交换机端口绑定:switch#config terminalswitch(config)# int f0/1switch(config-if)#switchport mode accessswitch(config-if )#switchport port-security mac-address0000.0000.0001二.主机IP与交换机端口绑定:switch(config)#interface FastEthernet0/17switch(config-if)# ip access-group 1 inswitch(config)#access-list 1 permit 10.0.0.1这样就将交换机的FastEthernet0/17端口与ip,mac绑定了。
最简单的方法在2960交换机中如何进行端口MAC地址绑定,并同时绑定IP与MAC地址?arp 192.168.1.1 0000.1001.2200 arpa fa0/1据说启用dhcp snooping可以实现动态的绑定,还可以使用ip source binding命令实现静态的绑定。
路由交换机mac ip绑定命令2009-02-14 16:46在cisco交换机中为了防止ip被盗用或员工乱改ip,可以做以下措施,既ip 与mac地址的绑定,和ip与交换机端口的绑定。
一、通过IP查端口先查MAC地址,再根据MAC地址查端口:bangonglou3#show arp | include 208.41 通过IP找端口或者show mac-address-table 来查看整个端口的ip-mac表Internet 10.138.208.41 4 0006.1bde.3de9 ARPA Vlan10bangonglou3#show mac-add | in 0006.1bde10 0006.1bde.3de9 DYNAMIC Fa0/17bangonglou3#exit二、ip与mac地址的绑定,这种绑定可以简单有效的防止ip被盗用,别人将ip改成了你绑定了mac地址的ip后,其网络不同,(tcp/udp协议不同,但netbios 网络共项可以访问),具体做法: cisco(config)#arp 10.138.208.810000.e268.9980 ARPA这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了三、ip与交换机端口的绑定,此种方法绑定后的端口只有此ip能用,改为别的ip后立即断网。
IP地址的绑定
Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MA C地址(网卡硬件地址)和IP地址。
方法1——基于端口的MA C地址绑定思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式:Switch#config terminal#进入配置模式Switch(config)# Interface fastethernet 0/1#进入具体端口配置模式Switch(config-if)#Switchport port-secruity#配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MA C地址)#配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MA C地址)#删除绑定主机的MA C地址注意:以上命令设置交换机上某个端口绑定一个具体的MA C地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MA C地址,才能正常使用。
以上功能适用于思科2950、3550、4500、6500系列交换机方法2——基于MA C地址的扩展访问列表Switch(config)Mac access-list extended MAC10#定义一个MA C地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any#定义MA C地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf#定义所有主机可以访问MA C地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20#进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10#清除名为MAC10的访问列表此功能与应用与第一种方法相同,但它是基于端口做的MA C地址访问控制列表限制,可以限定特定源MA C地址与目的地址范围。
思科交换机端口绑定
基于端口的MAC地址绑定思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:Switch#c onfig terminal进入配置模式Switch(config)# Interface fastethernet 0/1#进入具体端口配置模式Switch(config-if)#Switchport port-secruity#配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)#配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)#删除绑定主机的MAC地址一、基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC#定义一个MAC地址访问控制列表并且命名该列表名为MACSwitch(config)permit host 0009.6bc4.d4bf any#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20#进入配置具体端口的模式Switch(config-if )mac access-group MAC in#在该端口上应用名为MAC的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC#清除名为MAC的访问列表二、IP地址的MAC地址绑定只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Cisco 2960交换机中如何绑定IP与MAC地址
Cisco, MAC, 绑定, 交换机, 地址
请问:在2960交换机中如何进行端口MAC地址绑定,并同时绑定IP与MAC地址?
网友1:
conf t
arp 192.168.1.1 0000.1001.2200 arpa fa0/1
网友2:
IP地址与MAC地址的关系: IP地址是根据现在的IPv4标准指定的,不受硬件限制长度4个字节。
而 MAC地址却是用网卡的物理地址,保存在网卡的EPROM里面,与硬件有关系,长度为6
个字节。
在交换式网络中,交换机维护一张MAC地址表,并根据MAC地址,将数据发送至目的计算机。
为什么要绑定MAC与IP 地址:IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。
因此,为了防止内部人员进行非法IP盗用 (例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。
在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。
1.方案1——基于端口的MAC地址绑定
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal
#进入配置模式
Switch(config)# Interface fastethernet 0/1
#进入具体端口配置模式
Switch(config-if)#Switchport port-secruity
#配置端口安全模式
Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
#删除绑定主机的MAC地址
注意:
以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
注意:
以上功能适用于思科2950、3550、4500、6500系列交换机
2.方案2——基于MAC地址的扩展访问列表
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源
MAC地址与目的地址范围。
注意:
以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。
3.方案3——IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config)Ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)Permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Permit any 192.168.0.1 0.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if )Ip access-group IP10 in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
Switch(config)no Ip access-group IP10 in
#清除名为IP10的访问列表
上述所提到的应用1是基于主机MAC地址与交换机端口的绑定,方案2是基于MAC地址的访问控制列表,前两种方案所能实现的功能大体一样。
如果要做到IP 与 MAC地址的绑定只能按照方案3来实现,可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要
的效果。
注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。
后注:从表面上看来,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址与IP地址的绑定存在很大的缺陷,并不能真正防止
内部IP地址被盗用。
网友3:
2960应该是二层交换机吧!!绑定有用吗?二层交换机都不检查ip.
更灵活的方式是用DAI的方式
网友3:。