在cisco交換 機中為了防止ip被盜用或員工亂改ip,可以做以下措施,既ip與mac地址的綁定,和ip與交換機端口的綁定。
一、通過IP查端口
二、ip與mac地址的綁定,這種綁定可以簡單有效的防止ip被 盜用,別人將ip改成了你綁定了mac地址的ip后,其網絡不同,(tcp/udp協(xié) 議不同,但netbios網絡共項可以訪問),具體做法:
cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA
(arp 1.1.1.1 0011.25bd.3065 arpa gigabitEthernet 2/10)
這樣就將10.138.208.81 與mac:0000.e268.9980 ARPA綁定在一起了
三、ip與交換機端口的綁定,此種方法綁定后 的端口只有此ip能用,改為別的ip后立即斷網。有效的防止了亂改ip。
cisco(config)# interface FastEthernet0/17
cisco(config-if)# ip access-group 6 in
cisco(config)#access-list 6 permit 10.138.208.81
這樣就將交換機的 FastEthernet0/17端口與ip:10.138.208.81綁定了。
最常用的對端口安全的理解就是可根據(jù)MAC地址來做對網絡流量的控制和管理,比如MAC地 址與具體的端口綁定,限制具體端口通過的MAC地址的數(shù)量,或者在具體的端口不允許某些MAC地址的幀流量通過。
1.MAC地址與端口綁定,當發(fā)現(xiàn)主機的MAC地址與交換 機上指定的MAC地址不同時,交換機相應的端口將down掉。當給 端口指定MAC地址時,端口模式必須為access或者 Trunk狀態(tài)。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1 /限制此端口允許通過的MAC地址數(shù)為1。
3550-1(config-if)#switchport port-security violation shutdown /當發(fā)現(xiàn)與上述配置不符時,端口down掉。
2.通過MAC地址來限制端口流量,此配置允許一TRUNK口最 多通過100個MAC地址,超過100時,但來自新的主機的數(shù)據(jù)幀將丟 失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式為TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允許此端口通過的最大MAC地 址數(shù)目為100。
3550-1(config-if)#switchport port-security violation protect /當主機MAC地 址數(shù)目超過100時,交換機繼續(xù)工作,但來自新的主機的數(shù)據(jù)幀將丟失。
上面的配 置根據(jù)MAC地址來允許流量,下面的配置則是根據(jù)MAC地址來拒絕流量。
1.此配置在Catalyst交換機中只能對單播流量進行過濾,對于多播流量則無效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應的Vlan丟棄流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應的接口丟棄流量。
在網絡安全越來越重要的今天,高校和企業(yè)對于局域網的安全控制也越來越嚴格,普遍采用的做法之一就是IP地址、網卡的MAC地址與交換機端口綁定,但是MAC與交換機端口快速綁定的 具體實現(xiàn)的原理和步驟卻少有文章。
我們通常說的MAC地址與交換機端口綁定其實就是交換機端口安全功能。端口安全功能能讓您配置一個端口只允許一臺或者幾臺確定的設備訪問那個交換機; 能根據(jù)MAC地址確定允許訪問的設備;允許訪問的設備的MAC地址既可以手工配置,也可以從交換機“學到”;當一個未批準的MAC地址試圖訪問端口的時候,交換機會掛起或者禁用該端口等等。
一、首先必須明白兩個概念:
可 靠的MAC地址。配置時候有三種類型。
靜態(tài)可靠的MAC地址:在交 換機接口模式下手動配置,這個配置會被保存在交換機MAC地址表和運行配置文件 中,交換機重新啟動后不丟失(當然是在保存配置完成后),具體命令如下:
Switch(config-if)#switchport port-security mac-address Mac地址
動態(tài)可靠的MAC地址:這種類型是交換機默認的類型。在這種類型下,交換機會動態(tài)學習MAC地址,但是這個配置只會保存在MAC地 址表中,不會保存在運行配置文件中,并且交換機重新啟動后,這些MAC地址表中的MAC地址自動會被清除。
黏性可靠的MAC地址:這種類型下,可以手動配置MAC地址和端口的綁定,也可以讓交換機自動學習來綁定,這個配置會被保存在MAC地址中和運 行配置文件中,如果保存配置,交換機重起動后不用再自動重新學習MAC地址,雖然 黏性的可靠的MAC地址可以手動配置,但是CISCO官方不推薦這樣做。具體命令如下:
Switch(config-if)#switchport port-security mac-address sticky
其實在上面這條命令配置后并且該端口得到MAC地 址后,會自動生成一條配置命令
Switch(config-if)#switchport port-security mac-address sticky Mac地址
這也是為何 在這種類型下CISCO不推薦手動配置MAC地址的原因。
二、違反MAC安全采取的措施:
當 超過設定MAC地址數(shù)量的最大值,或訪問該端口的設備MAC地址不是這個MAC地 址表中該端口的MAC地址,或同一個VLAN中一個MAC地址被配置在幾個端口上時,就會引發(fā)違反MAC地址安全,這個時候采取的措施有三種:
1.保 護模式(protect):丟棄數(shù)據(jù)包,不發(fā)警告。
2.限制模式 (restrict):丟棄數(shù)據(jù)包,發(fā)警告,發(fā)出SNMP trap,同時被記錄在syslog日志里。
3.關閉模式(shutdown):這是交換機默認模式,在這種情況下端口立即變?yōu)閑rr- disable狀態(tài),并且關掉端口燈,發(fā)出SNMP trap,同時被記錄在syslog日志里,除非管理員手工激活,否則該端口失效。
具體命令如下:
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
下面這個表一就是具體的對比BT無線網絡破解教程
Violation Mode Traffic is forwarded Sends SNMP trap Sends syslog message Displays error
message Shuts down port
protect No No No No No
restrict No Yes Yes No No
shutdown No Yes Yes No Yes
表一
配置端口安全時還要注 意以下幾個問題:
端口安全僅僅配置在靜態(tài)Access端口;在trunk端口、 SPAN端口、快速以太通道、吉比特以太通道端口組或者被動態(tài)劃給一個VLAN的端口上不能配置端口安全功能;不能基于每VLAN設置端口安全;交換機不 支持黏性可靠的MAC地址老化時間。protect和restrict 模式不能同時設置在同一端口上。
下面把上面的知識點連接起來談談實現(xiàn)配置步驟的全 部命令。
1.靜態(tài)可靠的MAC地 址的命令步驟:
Switch#config terminal
Switch(config)#interface interface-id 進入需要配置的端口BT4
Switch(config-if)#switchport mode Access 設置為交換模式
Switch(config-if)#switchport port-security 打開端口安全模式
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
上面這一條命令是可選的,也就是可以不用配置,默認的是shutdown模式,但是在實際配置中推薦用restrict。
Switch(config-if)#switchport port-security maximum value
上面這一條命令也是可選的,也就是可以不用配置,默認 的maximum是一個MAC地址,2950和3550交換機的這個最大值是 132。
其實上面這幾條命令在靜態(tài)、黏性下都是一樣的,
Switch(config-if)#switchport port-security mac-address MAC地 址
上面這一條命令就說明是配置為靜態(tài)可靠的MAC地址
2.動態(tài)可 靠的MAC地址配置,因為是交換機默認的設置。
3.黏性可靠的MAC地 址配置的命令步驟:
Switch#config terminal思科學習視頻資料下載中心
Switch(config)#interface interface-id
Switch(config-if)#switchport mode Access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }
Switch(config-if)#switchport port-security maximum value
上面這幾天命令解釋 和前面靜態(tài)講到原因一樣,不再說明。
Switch(config-if)#switchport port-security mac-address sticky
上面這一條命令就說明是配置為黏性可靠的MAC地 址。
最后,說說企業(yè)中如何快速MAC地址與交換機端口綁定。 在實際的運用中常用黏性可靠的MAC地址綁定,現(xiàn)在我們在一臺2950EMI上綁定。思科路由器配置
方法1:在CLI方式下配置
2950 (config)#int rang fa0/1 - 48
2950 (config-if-range)#switchport mode Access
2950 (config-if-range)#switchport port-security
2950 (config-if-range)#switchport port-security mac-address violation restrict
2950 (config-if-range)#switchport port-security mac-address sticky
這樣交換機的48個端口都綁定了,注意:在實際運用中要求把連在交換機上的PC機 都打開,這樣才能學到MAC地址,并且要在學到MAC地址后保存配置文件,這樣下次就不用再學習MAC地址了,然后用show port-security address查看綁定的端口,確認配置正確。
方法2:在WEB界面下配置,也就是CMS(集群管理單元)
我們通過在IE瀏覽器中輸入交換機IP地 址,就可以進入,然后在port—port security下可以選定交換機端口,在Status和Sticky MAC Address中選Enable或Disabled,Violation Action可以選Shutdown、Restrict、Protect中的一種,Maximum Address Count(1-132)可以填寫這個范圍的數(shù)值。
當然還有要求綁定IP地址和MAC地址的,這個就需要三層或以上的交換 了,因為我們知道普通的交換機都是工作在第二層,也就是使數(shù)據(jù)鏈路層,是不可能綁定IP的。假如企業(yè)是星型的網 絡,中心交換機是帶三層或以上功能的。我們就可以在上綁定,思科路由器交換機
Switch(config)#arp Ip地址 Mac地址 arpa
使用以下命令將3550的20號端口綁定了IP(141.88.16.228) 和MAC(0009.6bc4.d4bf)地址:
mac access-list extended mac20
permit host 0009.6bc4.d4bf any
permit any host 0009.6bc4.d4bf
ip access-list extended ip20
permit ip host 141.88.16.228 any
permit ip any host 141.88.16.228
interface Fa0/20
no ip address
ip access-group ip20 in
mac access-group mac20 in
思科路由器交換機模擬軟件
針對vlan的ip與 mac綁定
arp access-list static-arp
permit ip host 192.168.0.0 mac host 0000.0000.0000
ip arp inspection filter static-arp vlan 201