cisco交换机ip和mac地址绑定
cisco交换机ip和mac地址绑定
虽然在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的
目的计算机的MAC地址。
ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的 ARJ 缓存中包含一个或多个表,用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后,在ARP缓存中会保留相应的MAC地址。所以,下次和同一个IP地址的计算机通讯,将不再查询MAC地址,而是直接引用缓存中的MAC地址。
在交换式网络中,交换机也维护一张MAC地址表,并根据MAC地址,将数据发送至目的计算
机。
为什么要绑定MAC与IP 地址:IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM 中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。
目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco 的交换机介绍一下IP和MAC绑定的设置方案。
在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。
1.方案1——基于端口的MAC地址绑定
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal
#进入配置模式
Switch(config)# Interface fastethernet 0/1
#进入具体端口配置模式
Switch(config-if)#Switchport port-secruity
#配置端口安全模式
Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
#删除绑定主机的MAC地址
注意:
以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
注意:
以上功能适用于思科2950、3550、4500、6500系列交换机
2.方案2——基于MAC地址的扩展访问列表
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定
源MAC地址与目的地址范围。
注意:
以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。
3.方案3——IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permit any host 0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config)Ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)Permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Permit any 192.168.0.1 0.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if )Ip access-group IP10 in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
Switch(config)no Ip access-group IP10 in
#清除名为IP10的访问列表
上述所提到的应用1是基于主机MAC地址与交换机端口的绑定,方案2是基于MAC地址的访问控制列表,前两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现,可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到
自己想要的效果。
注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。
后注:从表面上看来,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址与IP地址的绑定存在很大的缺陷,并不能真
正防止内部IP地址被盗用。
网络的飞速发展,使得大量的高端设备进入到局域网用户中,如何发挥这些设备的应有功能,节约重复投资,也是当前网络建设中的问题之一。本文通过对联想三层交换机(3508GF)的ACL功能开发应用,来探讨信息网络安全中利用交换机的访问控制列表(ACL)来构建计算机
网络安全体系的一种方法。
在通常的网络管理中,我们都希望允许一些连接的访问,而禁止另一些连接的访问,但许多安全工具缺乏网络管理所需的基本通信流量过滤的灵活性和特定的控制手段。三层交换机功能强大,有多种管理网络的手段,它有内置的ACL(访问控制列表),因此我们可利用ACL(访问控制列表)控制Internet的通信流量。以下是我们利用联想的三层交换机3508GF
来实现ACL功能的过程。
利用标准ACL控制网络访问
当我们要想阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查数据包的源地址,从而允许或拒绝基于网络、子网或主机IP
地址的所有通信流量通过交换机的出口。
标准ACL的配置语句为:
Switch#access-list access-list-number(1~99)
{permit|deny}{anyA|source[source-wildcard-mask]}{any|destination[destination-ma
sk]}
例1:允许192.168.3.0网络上的主机进行访问:
Switch#access-list 1 permit 192.168.3.0 0.0.0.255
例2:禁止172.10.0.0网络上的主机访问:
Switch#access-list 2 deny 172.10.0.0 0.0.255.255
例3:允许所有IP的访问:
Switch#access-list 1 permit 0.0.0.0 255.255.255.255
例4:禁止192.168.1.33主机的通信:
Switch#access-list 3 deny 192.168.1.33 0.0.0.0 上面的0.0.0.255和0.0.255.255等为32位的反掩码,0表示“检查相应的位”,1表示“不检查相应的位”。如表示33.0.0.0这个网段,使用通配符掩码应为0.255.255.255。
利用扩展ACL控制网络访问
扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其它协议的流量通过,可灵活多变的设计ACL
的测试条件。
扩展ACL的完全命令格式如下:
Switch#access-list access-list-number(100~199) {permit|deny} protocol{any|source[source-mask]}{any|destination[destination-mask]}[port-numbe
r]
例1:拒绝交换机所连的子网192.168.3.0 ping通另一子网192.168.4.0:Switch#access-list 100 deny icmp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 例2:阻止子网192.168.5.0 访问Internet(www服务)而允许其它子网访问:Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any www 或写为:Switch#access-list 101 deny tcp 192.168.5.0 0.0.0.255 any 80 例3:允许从192.168.6.0通过交换机发送E-mail,而拒绝所有其它来源的通信:Switch#access-list 101 permit tcp 192.168.6.0 0.0.0.255 any smtp
基于端口和VLAN的ACL访问控制
标准访问控制列表和扩展访问控制列表的访问控制规则都是基于交换机的,如果仅对交换机的某一端口进行控制,则可把这个端口加入到上述规则中。
配置语句为:
Switch# acess-list port
例:对交换机的端口4,拒绝来自192.168.3.0网段上的信息,配置如下:
Switch# acess-list 1 deny 192.168.3.0 0.0.0.255
Switch# acess-list port 4 1 // 把端口4 加入到规则1中。
基于VLAN的访问控制列表是基于VLAN设置简单的访问规则,也设置流量控制,来允许(permit)或拒绝(deny)交换机转发一个VLAN的数据包。
配置语句:
Switch#acess-list vlan [deny|permit]
例:拒绝转发vlan2中的数据:
Switch# access-list vlan2 deny
另外,我们也可通过显示命令来检查已建立的访问控制列表,即
Switch# show access-list
例:
Switch# show access-list //显示ACL列表;
ACL Status:Enable // ACL状态允许;
Standard IP access list: //IP 访问列表;
GroupId 1 deny srcIp 192.168.3.0 any Active //禁止192.168.3.0 的网络访问;
GroupId 2 permit any any Active //允许其它网络访问。
若要取消已建立的访问控制列表,可用如下命令格式:
Switch# no access-list access-list-number
例:取消访问列表1:
Switch# no access-list 1
基于以上的ACL多种不同的设置方法,我们实现了对网络安全的一般控制方法,使三层交换机作为网络通信出入口的重要控制点,发挥其应有的作用。而正确地配置ACL访问控制列表实质将部分起到防火墙的作用,特别对于来自内部网络的攻击防范上有着外部专用防火墙所无法实现的功能,可大大提升局域网的安全性能。
新手入门
ACL是应用到交换机接口的指令列表,这些指令列表用来告诉交换机哪些数据包可以接收,哪些数据包要拒绝。接收或拒绝的条件可以是源地址、目的地址、端口号等指示条件来
决定。它主要有三个方面的功能:
◆ 限制网络流量、提高网络性能。例如:ACL可以根据数据包的协议,指定这种类型
的数据包的优先级,同等情况下可与先被交换机处理。
◆ 提供网络访问的基本安全手段。例如,ACL允许某一主机访问您的资源,而禁止另
一主机访问同样的资源。
◆ 在交换机接口处,决定那种类型的通信流量被转发,那种通信类型的流量被阻塞。
例如,允许网络的E-mail被通过,而阻止FTP通信。
建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,
这也是对网络访问的基本安全手段。ACL的访问规则主要用三种:
◆ 标准访问控制列表,可限制某些IP的访问流量。
◆ 扩展访问控制列表,可控制某方面应用的访问。
◆ 基于端口和VLAN的访问控制列表,可对交换机的具体对应端口或整个VLAN进行访问
控制
使用步骤中兴3950交换机IP端口MAC绑定命令
交换机ip和mac绑定与解绑操作步骤 第一步:把客户端电脑设置Ip与交换机接口网关地址同网段。 第二步:打开SecureCRT软件的主程序“SecureCRT”,复制注册说明里面的许可密钥。即可击活软件。 第三步:打开软件后,左上角,文件----快速连接---协议:SSH2,主机名:交换机的管理ip,端口:22,防火墙:无,用户名:交接机的管理用户名,连接---接受并保存。 命令代码:查看当前全部配置 ZXR10#show running 命令代码一:绑定端口和ip过程 ZXR10#configure terminal
ZXR10(config)# ip dhcp snooping binding 3c97.0e71.4fba vlan 100 10.145.136.7 fei_1/4 ZXR10(config)# ip dhcp snooping binding 3c97.0e71.4fbb vlan 100 10.145.136.8 fei_1/5 ZXR10(config)# ip dhcp snooping binding 3c97.0e71.4fbc vlan 100 10.145.136.8 fei_1/6 (有多个端口,ip批量输入绑定,红色部分是可变的,MAC地址,IP地址,端口号) ZXR10(config)#ip dhcp database write ZXR10(config)#exit ZXR10#write (保存) 命令代码二:解除端口和ip过程 ZXR10#configure terminal ZXR10(config)#show ip dhcp snooping database ZXR10(config)#no ip dhcp snooping binding 60a4.4cc9.228e vlan 100 fei_1/4 (红色部分是可变的,MAC地址,端口号,注意解绑是不用输入IP的) ZXR10(config)#exit ZXR10#write (保存) 命令代码三:查看绑定的mac 端口ip 情况 ZXR10#show ip dhcp snooping database 命令代码四:例如打开交换机端口10 ZXR10#configure terminal ZXR10(config)#interface fei_1/10 ZXR10(config-fei_1/10)#no shutdown ZXR10(config)#exit ZXR10#write (保存) 命令代码五:关闭交换机端口10 ZXR10#configure terminal ZXR10(config)#interface fei_1/10 ZXR10(config-fei_1/10)#shutdown ZXR10(config)#exit ZXR10#write (保存) 命令代码七:查看交换机端口10接的终端设备的mac地址 ZXR10#show mac interface fei1/10 命令代码八:查看交换机每个端口接的终端设备的mac地址 ZXR10#show mac vlan 100 (注:24口是公共口,学习到所有的mac表,其它的是对应的各个接口终端mac地址)
如何绑定自己的IP地址和Mac地址
如何绑定自己的IP地址和Mac地址,如何解除绑定 分享| 2006-07-06 16:16Iguo_1225|浏览92187 次 我说的是用自己的PC绑定,我记得只需要几条命令。 还有如何解除绑定。 因为班级里只有我一台计算机可以上网,网管在服务器上记录了我的MAC地址和IP地址,可是学生只要把自己的MAC地址改成和我的一样,他们就可以上网了。 我想把我的MAC绑定在网卡上,使别人无法使用。如何实现? 2006-07-20 19:07 提问者采纳 MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。I P地址与MAC地址在计算机里都是以二进制表示的,IP地址是32位的,而MAC地址则是48位的。MAC地址的长度为48位(6个字节),通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数08:00:20代表网络硬件制造商的编号,它由IEEE(电气与电子工程师协会)分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。只要你不去更改自己的MAC地址,那么你的MAC地址在世界是惟一的。 MAC地址的作用 IP地址就如同一个职位,而MAC地址则好像是去应聘这个职位的人才,职位可以既可以让甲坐,也可以让乙坐,同样的道理一个节点的IP地址对于网卡是不做要求,基本上什么样的厂家都可以用,也就是说IP地址与MAC地址并不存在着绑定关系。本身有的计算机流动性就比较强,正如同人才可以给不同的单位干活的道理一样的,人才的流动性是比较强的。职位和人才的对应关系就有点像是IP地址与MAC地址的对应关系。比如,如果一个网卡坏了,可以被更换,而无须取得一个新的IP地址。如果一个IP主机从一个网络移到另一个网络,可以给它一个新的IP地址,而无须换一个新的网卡。当然MAC地址除了仅仅只有这个功能还是不够的,就拿人类社会与网络进行类比,通过类比,我们就可以发现其中的类浦?Γ??玫乩斫釳AC地址的作用。 无论是局域网,还是广域网中的计算机之间的通信,最终都表现为将数据包从某种形式的链路上的初始节点出发,从一个节点传递到另一个节点,最终传送到目的节点。数据包在这些节点之间的移动都是由ARP(Address Resolution Protocol:地址解析协议)负责将IP地址映射到MAC地址上来完成的。其实人类社会和网络也是类似的,试想在人际关系网络中,甲要捎个口信给丁,就会通过乙和丙中转一下,最后由丙转告给丁。在网络中,这个口信就好比是一个网络中的一个数据包。数据包在传送过程中会不断询问相邻节点的MAC地址,这个过程就好比是人类社会的口信传送过程。相信通过这两个例子,我们就可以进一步理解
IP与Mac绑定的方法
绑定: 1.进入超级终端。 2.输入sys,回车(从监控模式< >进入配置模式[ ])。 3.输入user-bind static ip-address IP地址mac-address Mac地址interface g0/0/接口地址(交换机端口号),回车。注:这里可以将要绑定的项目一次性全部逐条输入,输入结束后可以用dis cur(此命令只能在监控模式和配置模式下使用)命令进行查询,检查是否有漏掉的项目。 4.输入interface g0/0/接口地址(交换机端口号),回车(进入接口模式)。 注:此时可以用dis this(此命令只能在接口模式使用)命令进行查询,若ip source check user-bind enable和ip source check user-bind check-item ip-address命令已存在的话则可以不用输入。
5.输入ip source check user-bind enable,回车。 6.输入ip source check user-bind check-item ip-address,回车。 7.输入quit,回车(回到配置模式)。 8.输入quit,回车(回到监控模式)。 9.输入save,回车(保存),完成绑定。 注:此时可以用dis cur命令进行查询,检查是否有漏掉的项目。 删除: 1.输入sys,回车(从监控模式进入配置模式)。 2.输入undo user-bind static IP地址,回车。 注:此处一定要加上需要删除绑定的IP地址,否则将会把之前输入的全部IP绑定信息全部删除。 3.输入undo ip source check user-bind enable,回车。 4.输入undo ip source check user-bind check-item ip-address,回车,完成删除。
TP-link路由器ip与mac绑定
路由器通过设置MAC地址绑定用户电脑进行IP过滤 现在很多家庭用户都通过电信的ADSL或其他公司提供的类似类型的宽带上网。由于宽带的费用并低廉,而对于大多数没有大量数据下载的家庭用户来说,一户人或一台电脑独占一条ADSL有点浪费资源的感觉。于是现在很多人都用共享一条宽带上网。 这种共享上网的方法一般如下:电话线——语音分离器——ADSL猫——宽带路由器——交换机集线器——电脑 在这种情况下,我经过思考与试验,我发现可以通过对宽带路由器进行适当设置就可以对上网进行限制。 这里以TP-LINKTL-R402M为例(因为我发现最多人用这种……)说说限制上网的步骤。 1.取得局域网内所有使用者的IP与MAC地址。 取得IP的方法很多,推荐用"局域网查看工具",网上随便搜索一下就有了。 取得MAC地址的方法:WIN+R,输入CMD,用"NBTSTAT-AIP地址"查看 取得自己电脑IP与MAC的方法:WIN+R,输入CMD,用"IPCONFIG/ALL"查看 2.登陆宽带路由器 打开IE,输入192.168.1.1(一般都是这个……),就会出现登陆窗口 账号:ADMIN 密码:ADMIN(默认是这个,一般不更改滴……如果被更改了,稍候我研究下怎样破解,有进展再发帖) 登陆后会出现宽带路由器的设置页面 3.只允许自己的电脑上网的设置 1,设置页面——DHCP服务器——静态地址分配——将自己的IP地址与MAC地址绑定(输入并保存即可)
2,设置页面——安全设置——防火墙设置——选择开启防火墙,开启IP地址过滤,开启MAC地址过滤三项——选择"凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器"和"仅允许已设MAC地址列表中已启用的MAC地址访问Internet". 3,设置页面——安全设置——IP地址过滤——添加新条目——把你的IP地址填进去,并选择使所有条目生效。 4,设置页面——安全设置——MAC地址过滤——添加新条目——把你的MAC地址填
mac与ip绑定问题
MAC地址与IP地址绑定策略的破解 对IP地址盗用的解决方案绝大多数都是采取MAC与IP地址绑定策略,这种做法是十分危险的,本文将就这个问题进行探讨。在这里需要声明的是,本文是处于对对MAC与IP地址绑定策略安全的忧虑,不带有任何黑客性质。 1.1为什么要绑定MAC与IP 地址 影响网络安全的因素很多,IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素。现实中,许多网络应用是基于IP的,比如流量统计、账号控制等都将IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户,网络上传输的数据就可能被破坏、窃听,甚至盗用,造成无法弥补的损失。 盗用外部网络的IP地址比较困难,因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围,不属于该IP地址范围的报文将无法通过这些互连设备。但如果盗用的是Ethernet内部合法用户的IP地址,这种网络互连设备显然无能为力了。道高一尺,魔高一丈,对于Ethernet内部的IP地址被盗用,当然也有相应的解决办法。绑定MAC地址与IP地址就是防止内部IP盗用的一个常用的、简单的、有效的措施。 1.2 MAC与IP 地址绑定原理 IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC
地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。 目前,很多单位的内部网络,尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。许多防火墙(硬件防火墙和软件防火墙)为了防止网络内部的IP地址被盗用,也都内置了MAC地址与IP地址的绑定功能。 从表面上看来,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址与IP地址的绑定存在很大的缺陷,并不能真正防止内部IP地址被盗用。 2 破解MAC与IP地址绑定策略 2.1 IP地址和MAC地址简介 现行的TCP/IP网络是一个四层协议结构,从下往上依次为链路层、网络层、传输层和应用层。 Ethernet协议是链路层协议,使用的地址是MAC地址。MAC地址是Ethernet 网卡在Ethernet中的硬件标志,网卡生产时将其存于网卡的EEPROM中。网卡的MAC地址各不相同,MAC地址可以唯一标志一块网卡。在Ethernet上传输的每个报文都含有发送该报文的网卡的MAC地址。Ethernet根据Ethernet报文头中的源MAC地址和目的MAC来识别报文的发送端和接收端。IP协议应用于网络层,使用的地址为IP地址。使用IP协议进行通讯,每个IP报文头中必须含有源IP和目的IP地址,用以标志该IP报文的发送端和接收端。在Ethernet上
网管心得——IP地址与MAC地址绑定策略
网管心得——IP地址与MAC地址绑定策略 TCP/IP网络是一个四层协议结构的网络,从下往上依次为网络接口层、网络层、传输层和应用层。 为什么要绑定MAC与IP地址,使它们一一对应呢?因为影响网络安全的因素很多,IP 地址盗用或地址欺骗就是其中一个常见且危害极大的因素。网络中,许多应用都是基于IP 的,比如流量统计、用户账号控制等都把IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户,网络上传输的数据就可能被破坏,甚至盗用,造成无法弥补的损失。 相对来说,盗用外部网络的IP地址比较困难,因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围,不属于该IP地址范围的报文将无法通过这些互连设备。但如果盗用的是网络内部合法用户的IP地址,这样网络互连设备显然就无能为力了。 对于网络内部的IP地址被盗用,当然也有相应的解决办法。绑定MAC地址与IP地址就是防止内部IP地址被盗用的一种常用的、简单的、有效的措施。 目前,很多单位的内部网络,尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。许多防火墙(硬件防火墙和软件防火墙)为了防止网络内部的IP地址被盗用,也都内置了MAC地址与IP地址的绑定功能。 MAC与IP地址绑定原理,虽然IP地址的修改非常容易,但是MAC地址是存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP 盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败,并且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。
TP-Link路由器中IP与MAC地址绑定怎么设置
TP-Link路由器中IP与MAC地址绑定怎 么设置 不同型号(同一型号不同版本)的TP-Link路由器中,IP与MAC 地址绑定的设置方法有些不同,本文主要介绍了TP-Link路由器中IP与MAC地址绑定的设置方法! TP-Link路由器中IP与MAC地址绑定的设置方法温馨提示: (1)、在TP-Link路由器中设置IP与MAC地址绑定之前,你自己需要先规划好,需要把哪个IP地址绑定到哪个MAC地址上。实际上是在路由器中把某个IP地址与某台电脑(手机)绑定起来,确保电脑(手机)每次都能从路由器中获取到同一个IP地址。 (2)、另外,你还需要知道电脑、手机的MAC地址是多少? 一、老款TP-Link路由器IP与MAC绑定设置 1、打开TP-Link路由器设置页面 在浏览器中输入192.168.1.1;;>在“用户名”、“密码”中输入:admin;;>点击“确定”。 旧TP-Link路由器登录界面 2、IP与MAC绑定设置 点击“DHCP服务器”;;>“静态地址分配”;;>“添加新条目” 在“MAC地址”填写:电脑或者手机的MAC地址(本例中是:
00-13-8F-A9-6C-CB);;>“IP地址”填写:需要绑定的一个IP地址(本例中是:192.168.1.101);;>然后点击“保存” 旧TP-Link路由器IP与MAC地址绑定设置 二、新款TP-Link路由器IP与MAC地址绑定设置 1、进入设置页面 打开浏览器,输入https://www.sodocs.net/doc/4e5852675.html, ,输入密码进入路由器管理页面。 新TP-Link路由器登录界面 2、IP与MAC地址绑定设置 点击“应用管理” 点击“应用管理” 找到“IP与MAC绑定”的选项,点击“进入” 点击“进入” 在列表中查看未绑定条目,找到需要绑定的主机,点击添加到绑定设置中,如下: 新TP-Link路由器IP与MAC地址绑定设置 温馨提示: (1)、根据界面提示可编辑主机信息。 (2)、若在IP与MAC映射表中未找到您需要绑定的主机信息,可点击添加手动填入主机信息添加。 (3)、若想了解更多,请点击页面的问号获取更多信息。
01-07 MAC和IP绑定故障处理
错误!未知的文档属性名称 错误!未知的文档属性名称目录文档版本错误!未知的文档属性 名称(错误!未知的文档属性名称) 错误!未知的文档属性名称i 目录 7 MAC和IP绑定故障处理........................................................................................................... 7-1 7.1 简介.............................................................................................................................................................. 7-2 7.2 故障处理过程.............................................................................................................................................. 7-2 7.2.1 典型组网环境..................................................................................................................................... 7-2 7.2.2 配置注意事项..................................................................................................................................... 7-2 7.2.3 故障诊断流程..................................................................................................................................... 7-3 7.2.4 故障处理步骤..................................................................................................................................... 7-4 7.3 FAQ ............................................................................................................................................................... 7-4 7.4 故障诊断工具.............................................................................................................................................. 7-5
局域网IP与MAC双向绑定,防止arp攻击,铲除p2p终结者,无需任何软件,自动运行。
局域网IP与mac双向绑定——防止恶意 软件控制 为了给大家带来良好的网络环境,阻止P2P终结者等恶意控制软件破坏局域网网络环境,并且市面上的arp防火墙,如:彩影arp,金山arp等对P2P终结者并无多大防御作用。现在我们就来做一下网关与客户机的双向IP&MAC绑定来搞定它。 在操作过程中,请关掉arp防火墙(暂时),因为它对我们的操作有一定的影响。等操作完成之后再打开。若安装有彩影arp的用户,请不要让它在开机自动运行(方法下面有),可以开机后手动运行。 首先声明一点,绑定IP和MAC是为了防止arp欺骗,防御P2P终结者控制自己的电脑(网速),对自己的电脑没有一点负面影响。不想绑定的同学可以不绑定,以自愿为原则。但是若被控制网速,自己躲在屋里哭吧!(开玩笑)。 好了废话不多说,开始我们的客户机IP与MAC绑定教程吧! 一.首先将路由即网关的IP和MAC查看下(路由IP一般都是192.168.1.1): 开始→运行→cmd(回车)→arp/a 就会出现如下图信息: 其中第一个192.168.1.1即为路由IP,后面就是路由的MAC 二.查看自己的IP和MAC有以下两种方法: ①右键网上邻居→属性→右键本地连接→状态→支持→详细信息 里面的实际地址即为自己的MAC地址,IP地址即为自己的IP地址。 ②开始→运行→cmd(回车)→ipconfig/all(回车) 会出来信息,如图:
其中本地连接(以太网连接)里面的physical Address即为自己的MAC ,IP Address即为自己的IP地址。 三.不让彩影arp防火墙开机运行的方法(后面用到): 开始→运行→msconfig(回车)→启动→将Antiarp.exe(彩影arp程序)前面的勾去掉→确定→退出而不重新启动→OK! 启动里面的启动项目就是你安的软件的名称,命令就是你安在了哪里。 这样开机就不会自动运行它了,要想运行,手动打开桌面上它的程序就行。若要恢复开机自动运行彩影arp,在启动中,将勾重新勾上就行了(不推荐)!若是不想让其他程序开机运行,和本操作一样! 四.以管理员身份运行CMD(一般都是管理员身份,不是的很少,这个基本用不到)在命令界面(即进入CMD以后)直接按ctral+shift+(回车)就行了。或是进入c:\windows\system32里面有个CMD,右键单击它,然后点以管理员身份运行。 通过以上方法,我们就知道了自己的IP和MAC以及路由的IP和MAC。请先记下这些信息,因为后面我们要多次用到。 现在我们用的系统类型比较混杂,有XP,VISTA,WIN7……不同的系统我们的操作也不同,但基本上有两个版本,XP系统是一类,VISTA和WIN7系统是一类。下面我将XP系统、VISTA 和WIN7系统分别做详细的介绍。 注:1.以下的文章中,其中的“_”都是空格,不是下划线,别都写成了下划线了。写成下划线你就悲剧了。2.以下在CMD中的操作都是已管理员的身份操作的,不是管理员的用上面的方法四改成管理员身份运行。什么?是不是管理员身份你也不知道,只要你在以下CMD 中运行的命令都管用那么就证明你是管理员身份,反之依然!笨蛋!其实基本上全部都是管理员身份的,方法四只是给特别少数人看的!
H3C路由MAC绑定
H3C路由MAC绑定 2008-11-17 10:09 5.2.23 dhcp server static-bind 【命令】 dhcp server static-bind ip-address ip-address { mac-address mac-address | client-identifier client-identifier } undo dhcp server static-bind { ip-address ip-address | mac-address mac-address | client-identifier client-identifier } 【视图】 接口视图 【参数】 ip-address:静态绑定的IP 地址。必须是当前接口地址池中的合法IP 地址。mac-address:静态绑定的MAC 地址。 client-identifier:待绑定的主机ID。 【描述】 dhcp server static-bind 命令用来配置当前接口的DHCP 地址池中地址的静态绑 定,undo dhcp server static-bind 命令用来删除配置。 缺省情况下,接口地址池中没有配置静态地址捆绑。 在一个接口的所有静态绑定中,IP 地址和MAC 地址/identifier 必须是唯一的。 【举例】 # 将MAC 地址为0000-e03f-0305 与IP 地址10.1.1.1 进行静态绑定。 [H3C-GigabitEthernet1/0] dhcp server static-bind ip-address 10.1.1.1 mac-address 0000-e03f-0305 详见H3C AR 18-63-1路由器命令手册(V1.01)第391页 2.1.2 arp fixed (要先进入系统模式SYS) 【命令】 arp fixed ip-address mac-address (4位一组) undo arp ip-address (清除已绑的IP) dis arp (查看所以IP情况) arp fixup (绑定所有的IP,一次性) 【视图】 系统视图 【参数】 ip-address:为ARP 映射项的IP 地址,为点分十进制格式。 mac-address:ARP 映射项的以太网MAC 地址,格式为H-H-H。 【描述】 arp fixed 命令用来配置ARP 映射表。undo arp 命令用来取消ARP 映射表中对
IP地址与Mac地址绑定修订稿
I P地址与M a c地址绑 定 公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]
IP地址与Mac地址绑定 拓扑图如下: 一、静态地址绑定: [SW1]user-bind static ip-address mac-address 5489-9828-5BB1 Info: 1 static user-bind item(s) added. [SW1]user-bind static ip-address mac-address 5489-9804-0D67 Info: 1 static user-bind item(s) added. 二、DHCP地址池中 IP地址与Mac地址绑定 [SW1]ip pool 192network [SW1-ip-pool-192network]gateway-list [SW1-ip-pool-192network]network mask [SW1-ip-pool-192network]excluded-ip-address [SW1-ip-pool-192network]lease day 0 hour 12 minute 0 [SW1-ip-pool-192network]dns-list [SW1-ip-pool-192network] [SW1-ip-pool-192network]static-bind ip-address mac-address 5489-986B-7896注意在地址池中ip地址与Mac地址绑定时出现的错误: [SW1-ip-pool-192network]static-bind ip-address mac-address 5489-983E-384D Error:The static-MAC is exist in this IP-pool. 错误:这个静态MAC地址在地址池中已经存在。 ----DHCP已经给这个MAC地址分配IP了,不能绑定。 解决方法:
交换机上IP与mac绑定方法
关于IP地址与MAC地址绑定方法的简单介绍 地市各位网管: 现将IP地址与MAC地址绑定命令简单介绍如下: 1、请在IP地址网关所在三层设备上进行IP地址与MAC地址绑定 2、请对vlan内的所有地址都进行绑定,这样效果比较好。 3、CISCO设备绑定方法如下: 配置模式下: 对已用的地址进行绑定: arp 10.34.2.47 047d.7b30.84fe arpa 对没用的地址也要绑定一个空MAC地址 arp 10.34.2.48 0000.0000.0000 arpa 4、华为设备绑定方法有两种,方法如下: (1)配置模式下: user-bind static ip-address 10.34.7.196 mac-address 047d-7b30-865d vlan 424 需在接口下调用,示例如下: interface Ethernet0/0/4 description 25F-4C port link-type access port default vlan 424 ntdp enable ndp enable
bpdu enable ip source check user-bind enable 注意:如果在此端口上调用user-bind后,接入此端口的IP地址如不进行绑定,则接不了办公网络。 (2)与思科设备一样(但某些华为设备VRP版本需要升级,升级步骤请见附件) 配置模式下: 已用的地址进行绑定: arp static 10.34.2.47 047D-7B30-84FE vid 950 如配置错误,删除命令是undo arp static 10.34.2.47 由于版本不同,如此策略不生效,可用arp static 10.34.2.47 047D-7B30-84FE 不加vid试一试。 如再不行,则需要VRP版本升级,请大家注意。 对没用的地址也要绑定一个空MAC地址 arp static 10.34.2.48 0000-0000-0000 vid 950 华为400电话:400-8302118 也可以电话咨询。 信息化事业部 2013.8.9
cisco交换机ip和mac地址绑定
cisco交换机ip和mac地址绑定 虽然在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的 目的计算机的MAC地址。 ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的 ARJ 缓存中包含一个或多个表,用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后,在ARP缓存中会保留相应的MAC地址。所以,下次和同一个IP地址的计算机通讯,将不再查询MAC地址,而是直接引用缓存中的MAC地址。 在交换式网络中,交换机也维护一张MAC地址表,并根据MAC地址,将数据发送至目的计算 机。 为什么要绑定MAC与IP 地址:IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM 中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。 目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco 的交换机介绍一下IP和MAC绑定的设置方案。 在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。 1.方案1——基于端口的MAC地址绑定 思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令: Switch#config terminal #进入配置模式 Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式 Switch(config-if)#Switchport port-secruity #配置端口安全模式 Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址) #配置该端口要绑定的主机的MAC地址 Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址) #删除绑定主机的MAC地址
最新整理华为交换机怎么绑定绑定ip地址和mac地址
华为交换机怎么绑定绑定i p地址和m a c地址 交换机除了能够连接同种类型的网络之外,还可以在不同类型的网络(如以太网和快速以太网)之间起到 互连作用。华为交换机怎么绑定绑定i p地址/M A C地址?主要是预防I P地址被盗用等网络安全威胁的问题,该 怎么设置绑定呢?下面我们就来看看详细的设置教程, 需要的朋友可以参考下 具体步骤 1、打开模拟器,创建一台交换机和两台P C、开机,配置好I P地址,一台P C备用。 2、交换机配置V l a n,把端口模式改为A c c e s s模式,把端口加入到V l a n100里,测试P C到交换机网通信是 否正常。当前没有路由器网管配置或不配置没有关系。能p i n g通交换机。 3、接下来做绑定配置,在G i g a b i t E t h e r n e t0/0/1端口上绑定当前P C的I P和M A C地址,V l a n。命令格式:在配置模式下,[H u a w e i] u s e r-b i n d s t a t i c i p a d d r e s s x.x.x.x m a c a d d r e s s x x x x-x x x x-x x x x i n t e r f a c e G i g a b i t E t h e r n e t0/0/1v l a n I D。 4、下一步绑定完了之后,我们再连接另一台备用的
P C到交换机 i n t e r f a c e G i g a b i t E t h e r n e t0/0/1端口上。 5、换了另一台P C会不会p i n g通交换机。很显然已经p i n g不同。怎么样?是不是很简单呢? 相关阅读:交换机工作原理过程 交换机工作于O S I参考模型的第二层,即数据链路层。交换机内部的C P U会在每个端口成功连接时,通过将M A C地址和端口对应,形成一张M A C表。在今后的通讯中,发往该M A C地址的数据包将仅送往其对应的端口,而不是所有的端口。因此,交换机可用于划分数据链路层广播,即冲突域;但它不能划分网络层广播,即广播域。 交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的M A C(网卡的硬件地址)的N I C(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的M A C若不存在,广播到所有的端口,接收端口回应后交换机会学习新的M A C地址,并把它添加入内部M A C地址表中。使用交换机也可以把网络分段,
Cisco的MAC地址与IP绑定方法是什么
Cisco的MAC地址与IP绑定方法是什么 交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。对于Cisco的MAC地址与IP绑定方法,可能很多用户还不熟悉,下面一起看看! 方法步骤 1.方案1——基于端口的MAC地址绑定 思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令: ng=1cellPadding=0width="80%"align=leftbgCol or=#ccccccborder=0>Switch#configterminal#进入配置模式Switch(config)#Interfacefastethernet0/1#进入具体端口配置模式 Switch(config-if)#Switchportport-secruity#配置端口安全模式 Switch(config-if)switchportport-securitymac-addressMAC(主机的MAC地址) #配置该端口要绑定的主机的MAC地址
Switch(config-if)noswitchportport-securitymac-addressMAC(主机的MAC地址) #删除绑定主机的MAC地址 注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。 注意:以上功能适用于思科2950、3550、4500、6500系列交换机 2.方案2——基于MAC地址的扩展访问列表 Switch(config)Macaccess-listextendedMAC10 #定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permithost0009.6bc4.d4bfany #定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch(config)permitanyhost0009.6bc4.d4bf #定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch(config-if)interfaceFa0/20#进入配置具体端口的模式
IP地址与Mac地址绑定
IP地址与Mac地址绑定 拓扑图如下: 一、静态地址绑定: [SW1]user-bind static ip-address 192.168.1.100 mac-address 5489-9828-5BB1 Info: 1 static user-bind item(s) added. [SW1]user-bind static ip-address 192.168.1.200 mac-address 5489-9804-0D67 Info: 1 static user-bind item(s) added. 二、DHCP地址池中IP地址与Mac地址绑定 [SW1]ip pool 192network [SW1-ip-pool-192network]gateway-list 192.168.1.1 [SW1-ip-pool-192network]network 192.168.1.0 mask 255.255.255.0 [SW1-ip-pool-192network]excluded-ip-address 192.168.1.240192.168.1.254 [SW1-ip-pool-192network]lease day 0 hour 12 minute 0 [SW1-ip-pool-192network]dns-list 202.106.0.20 8.8.8.8 [SW1-ip-pool-192network] [SW1-ip-pool-192network]static-bind ip-address 192.168.1.120 mac-address 5489-986B-7896 注意在地址池中ip地址与Mac地址绑定时出现的错误: [SW1-ip-pool-192network]static-bind ip-address 192.168.1.20 mac-address 5489-983E-384D Error:The static-MAC is exist in this IP-pool. 错误:这个静态MAC地址在地址池中已经存在。 ----DHCP已经给这个MAC地址分配IP了,不能绑定。
华为路由器ipmac地址绑定保存配置
1、登录学校路由器:Telnet 学校公网地址(不知道自己的互联网出口地址的可以看一下电脑的网关地址),然后 回车 如:telnet 回车或者Telnet 电脑ip的网关 2、提示你输入路由的用户名和密码,在输入密码的时候是看不到输入的字符的,因为密码设置的为cipher模式。然后敲回车。 3、输入dis arp,查看arp缓存信息 这里记录者目前电脑通过自动获取的IP地址信息。老师们可以将其复制到excel表格里,但是最好能确定mac地址所对应的是哪一台电脑。 4、然后执行system命令,敲回车,进入全局模式
相关文档
- mac与ip绑定方案
- 华三交换机端口IP-MAC地址绑定
- MAC地址与IP地址绑定
- MAC地址绑定与IP绑定区别讲解
- MAC与IP绑定
- ip和mac绑定的几种方法
- IP和MAC绑定交换机
- 超简单解决IP和MAC捆绑的破解
- IP地址和MAC地址绑定方法
- TP-link路由器ip与mac绑定
- IP地址与Mac地址绑定
- Cisco中IP地址与MAC地址绑定总结
- IP和MAC地址绑定
- CISCO交换机中的IP和MAC地址绑定
- 网管心得——IP地址与MAC地址绑定策略
- 华为S5700交换机绑定客户端IP、MAC和端口
- ip和mac绑定的几种方法
- IP与Mac绑定的方法
- 绑定IP地址和MAC地址操作手册
- cisco交换机ip和mac地址绑定