cisco的MAC地址与IP绑定

cisco的MAC地址与IP绑定
cisco的MAC地址与IP绑定

在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定
特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址
（网卡硬件地址）和IP地址。
1.方案1——基于端口的MAC地址绑定
思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：
Switch#config terminal
＃进入配置模式
Switch(config)# Interface fastethernet 0/1
＃进入具体端口配置模式
Switch(config-if)#Switchport port-secruity
＃配置端口安全模式
Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
＃配置该端口要绑定的主机的MAC地址
Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
＃删除绑定主机的MAC地址
注意：
以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主
机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的
MAC地址，才能正常使用。
注意：
以上功能适用于思科2950、3550、4500、6500系列交换机
2.方案2——基于MAC地址的扩展访问列表
Switch(config)Mac access-list extended MAC10
＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）
Switch(config)no mac access-list extended MAC10
＃清除名为MAC10的访问列表
此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与
目的地址范围。
注意：
以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交
换机运行增强的软件镜像（Enhanced Image）。
3.方案3——IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)Mac access-list extended MAC10
＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config)Ip access-list ex

tended IP10
＃定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)Permit 192.168.0.1 0.0.0.0 any
＃定义IP地址为192.168.0.1的主机可以访问任意主机
Switch(config)Permit any 192.168.0.1 0.0.0.0
＃定义所有主机可以访问IP地址为192.168.0.1的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）
Switch(config-if )Ip access-group IP10 in
＃在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略）
Switch(config)no mac access-list extended MAC10
＃清除名为MAC10的访问列表
Switch(config)no Ip access-group IP10 in
＃清除名为IP10的访问列表
上述所提到的应用1是基于主机MAC地址与交换机端口的绑定，方案2是基于MAC地址的访问控制列表，前
两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现，可根据需求
将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。
注意：
以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交
换机运行增强的软件镜像（Enhanced Image）。22:17 | 添加评论 | 阅读评论 (3) | 发送消息 | 引用通告 (0) | 写入日志 | 计算机与 Internet
评论
（没有名称）
可以在三层设备上做arp x.x.x.x xxxx.xxxx.xxxx arpa，然后在写一条access-list 内容是permit ip x.x.x.x any;permit ip any x.x.x.x 。然后将这条access-list应用在相应vlan interface里，这样就不用把空闲的ip网段一一绑定到0000.0000.0000了。不知道说的对不对，不吝赐教。我的msn：rob.yang@
12月16日 10:00



kily
外加：


基于交换机的MAC地址与端口绑定

为了进一步解决这个问题，笔者又想到了基于交换机的MAC地址与端口绑定。这样一来，终端用户如果擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现，自然也就不会对局域网造成干扰了。

以思科3548交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：

(config)#mac_address_table permanent MAC地址 以太网端口号

这样逐一将每个端口与相应的计算机MAC地址绑定，保存并退出。其他品牌的交换机只要是可以网管的，大多可以仿此操作。
4月8日 22:23
(/kily7388/)


kily
附：



可以通過使用arp命令
arp -s xxxx(ip) xxx(mac) 绑定
arp -d 去掉綁定
arp -a 查詢綁定的情况
__________________
__________________

arp -p -s 那些好象是在win2000里的命令.
在路由器上是这

样实现的：
(config)#arp *.*.*.* *.*.*.* arpa
前者是ip,后者是MAC地址.
.Personal Viewpoint.



这个问题我做过
如果是ip和ｍａｃ地址以及端口的绑定，要在3550上做，先将端口和ｍａｃ地址绑定，再用ａｒｐ命令
和ｍａｃ地质绑定就行了
单纯的ip和ｍａｃ绑定在路由上座就行了，２９５０之类的二层交换机只能做端口和ｍａｃ的绑定

IP 与MAC地址绑定 如IP地址：10.0.2.11 和 10.0.2.12
Set arp static 10.0.2.11 Mac_addr1
Set arp static 10.0.2.12 Mac_addr2
show cam dynamic 3/23(验证)
注意！你多应该向我请教，这里的人的水平很茶！！！很差！
我很孤独！寂寞高手！

2950 中可以用的MAC地址绑定，我试过了，很好用的。
1.
int f0/1
swi mode access
swi port-security
swi port-security max 1
switchport violation protect
switchport port-security mac-address x.x.x
2.
mac-address static (mac) vlan (vlan id) int (端口号)



不是arp
--------------------------------------------------------------------------------
那是电脑里的命令,交换机里的绑定,必须把交换机做为DHCP服务器,定义一个地址池!
mac地址绑定例子,对00-02-3f-ae-29-9c分配ip 10.0.0.1
en
!
conf t
!
ip dhcp pool test
host 10.0.0.1 255.255.255.0
client-identifier 0100.023f.ae29.9c
exit
!
end
!
__________________


config#arp 192.168.0.1 0000.34fe.345f arpa
config#mac-address-table 0000.34fe.345f fastethernet 0/1 vlan 1
加上后立刻不通了,却掉后一条后立刻就通了,怎么回事呢?我的MAC和IP没绑错啊

很多人也试着做了 但后来发现IP改成192.168.0.2一样可以上网。
其实在做config#arp 192.168.0.1 0000.34fe.345f arpa 这条命令以后还要再加命令!
比如你想让192.168.0.1 绑定 0000.34fe.345f 这个MAC地址
除了用config#arp 192.168.0.1 0000.34fe.345f arpa 这条命令以外你还要加
config#arp 192.168.0.2 0000.0000.0000 arpa
这样IP地址改成192.168.0.2 以后就上不了网了，希望大家试下。

有不对的地方，欢迎大家指正！！



绑定的工作实在太可怕了。工作量非常大。
在进行IP与MAC地址绑定时，除了把已经在使用的IP与MAC地址绑定，还得把同网段不在使用的IP与
0000.0000.0000这种不存在的MAC地址绑定，才能成为真正的MAC与IP绑定！




最近也遇到这个问题。看了很多相关的帖子，基本都是那几个命令。好像基本上两个思路：1.arp绑定
，但是必须对整个网络段所有主机IP与MAC绑定。这显然不是人力所能及；2.在两层设备上将MAC地址与
port绑定，在三层设备上将IP与MAC绑定。实际上个人感觉这种方法就是间接的将IP和port绑定了，一个
port一台主机，改了IP自然就不能连接网络了。
但是，问题又来了：
1.如果说arp指令真的可以在29这样的二层设备上实现，那么方法2

中IP与MAC绑定，MAC与port绑定是不
是都可以在29上面做，不需要用到三层设备？？
2.如果下层接的不是CISCO的产品，方法2显然效力有限了。有种方法就是在一个port上绑定多个MAC地址
：3500A#conf t
3500A#mac-address-table secure 0001.0001.0001 f0/1 vlan1
3500A#mac-address-table secure 0002.0002.0002 f0/1 vlan1
3500A#int f0/1
3500A#port security max-mac-count 2
3500A#end





我也说点自己的看法：
mac地址是可以被修改伪装的，因此，如果有人修改mac，那绑定就是空话，因此，我们不讨论这种情况
。
现在需要讨论的是在用户不会修改 mac地址，而会改动 ip地址的情况下，我们能否进行有效的控制？

在cisco 2950交换机上具有arp 1.1.1.1 2222.222.2222 arpa alias的类型命令。记的要加alias才会防
止在2950同一vlan内乱改ip地址。举个例子
假设在2950 的两个属于同一个vlan到端口连接两个pc,pca 地址为1.1.1.1 mac为2222.2222.2222 pcb的
ip为1.1.1.2 mac为 3333.3333.3333
那么假如我们在2950上绑定arp 1.1.1.1 2222.2222.2222 arpa alias
arp 1.1.1.2 3333.3333.3333 arpa alias 后，即使1.1.1.1的主机关机了，1.1.1.2的主机如果试图修
改为1.1.1.1，不会生效的，因为一台pc要修改ip地址生效，必须要发一个arp包，主动去询问网上是否
已经有了这个ip，这时，交换机会根据配置的arp绑定关系主动回应该arp请求，导致主机修改地址无效
（提示冲突，）。这样，就可以防止修改ip地址，然后，为了安全，还可以进一步配置mac与端口的绑定
。这样，就可以确保只有那台pc连接到那个端口下，使用那个ip的时候，他的访问才是正常的。




在2层设备上，只能做mac和端口的帮定，即使命令arp 1.1.1.1 2222.2222.2222 arpa 没有报错，也不
能认为其已经发挥作用，这是个ios的bug，这条命令根本就没有发挥作用。
实现mac－端口－ip的帮定要同时在2层和3层做，在2层，首先要帮定mac和端口防止有人私改mac逃避检
查，然后在这个基础上，帮定mac和ip，防止有人私改ip上网，不但要帮定已经使用的ip，而且也要帮定
没有使用的ip，将这些ip全部帮定到000000。0000。00000（一个mac可以对应多个ip），这就是最终解
决方法。工作量很大，ip和mac帮定一定要在3层做，就是路由器，和3层交换机，在2层虽然有相关命令
，但是没有作用（bug）。


3548上的配置：
Vigor11#arp ?
% Unrecognized command
Vigor11#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
Vigor11(config)#arp ?
A.B.C.D IP address of ARP entry
Vigor11(config)#arp 192.168.1.144 ?
H.H.H 48-bit hardware address of ARP entry
Vigor11(config)#arp 192.168.1.144 000f.ea02.797f
% Incomplete command.
Vigor11(config)#arp 192.168.1.

144 000f.ea02.797f ?
arpa ARP type ARPA
sap ARP type SAP (HP's ARP type)
smds ARP type SMDS
snap ARP type SNAP (FDDI and TokenRing)
Vigor11(config)#arp 192.168.1.144 000f.ea02.797f arpa
Vigor11(config)#end
Vigor11#show ver
Cisco Internetwork Operating System Software
IOS (tm) C3500XL Software (C3500XL-C3H2S-M), Version 12.0(5)WC8, RELEASE SOFTWAR
E (fc1)
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Thu 19-Jun-03 12:37 by antonino
Image text-base: 0x00003000, data-base: 0x0034E2F4
ROM: Bootstrap program is C3500XL boot loader
Vigor11 uptime is 11 hours, 4 minutes
System returned to ROM by power-on
System image file is "flash:c3500xl-c3h2s-mz.120-5.WC8.bin"

cisco WS-C3548-XL (PowerPC403) processor (revision 0x01) with 16384K/1024K bytes
of memory.
Processor board ID FAB0531V0BB, with hardware revision 0x00
Last reset from power-on
Processor is running Enterprise Edition Software
Cluster command switch capable
Cluster member switch capable
48 FastEthernet/IEEE 802.3 interface(s)
2 Gigabit Ethernet/IEEE 802.3 interface(s)
32K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: 00:067:C3:33:00
Motherboard assembly number: 73-3903-08
Power supply part number: 34-0971-02
Motherboard serial number: FAB0531D2GD
Power supply serial number: PAC045105NA
Model revision number: C0
Motherboard revision number: B0
Model number: WS-C3548-XL-EN
System serial number: FAB0531V0BB
Configuration register is 0xF
Vigor11#