关于IP-MAC绑定的交换机设置

首页>> Cisco技术>> 典型配置>>

关于IP-MAC绑定的交换机设置

https://www.sodocs.net/doc/a89809051.html,/日期：2005-9-2 浏览次数：

作者：陈升出处：本站原创

注：IP地址与MAC地址的关系： IP地址是根据现在的IPv4标准指定的，不受硬件限制比较容易记忆的地址，长度4个字节。而 MAC地址却是用网卡的物理地址，保存在网卡的EPROM里面，与硬件有关系，比较难于记忆，长度为6个字节。

&nbs p; 虽然在TCP／IP网络中，计算机往往需要设置IP地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC 地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。

ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的 ARJ缓存中包含一个或多个表，用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后，在ARP缓存中会保留相应的MAC地址。所以，下次和同一个IP地址的计算机通讯，将不再查询MAC地址，而是直接引用缓存中的MAC地址。

在交换式网络中，交换机也维护一张MAC地址表，并根据MAC地址，将数据发送至目的计算机。

为什么要绑定MAC与IP 地址：IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC 地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

目前，很多单位的内部网络，都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。

在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。

1.方案1——基于端口的MAC地址绑定

思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：

Switch#config terminal

＃进入配置模式

Switch(config)# Interface fastethernet 0/1

＃进入具体端口配置模式

Switch(config-if)#Switchport port-secruity

＃配置端口安全模式

Switch(config-if )switchport port-security mac-address MAC(主机的MAC 地址)

＃配置该端口要绑定的主机的MAC地址

Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)

＃删除绑定主机的MAC地址

注意：

以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

注意：

以上功能适用于思科2950、3550、4500、6500系列交换机

2.方案2——基于MAC地址的扩展访问列表

Switch(config)Mac access-list extended MAC10

＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10

Switch(config)permit host 0009.6bc4.d4bf any

＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机

Switch(config)permit any host 0009.6bc4.d4bf

＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机

Switch(config-if )interface Fa0/20

#进入配置具体端口的模式

Switch(config-if )mac access-group MAC10 in

＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）Switch(config)no mac access-list extended MAC10

＃清除名为MAC10的访问列表

此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

注意：

以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像（Enhanced Image）。

3.方案3——IP地址的MAC地址绑定

只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。

Switch(config)Mac access-list extended MAC10

＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10

Switch(config)permit host 0009.6bc4.d4bf any

＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机

Switch(config)permit any host 0009.6bc4.d4bf

＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机

Switch(config)Ip access-list extended IP10

＃定义一个IP地址访问控制列表并且命名该列表名为IP10

Switch(config)Permit 192.168.0.1 0.0.0.0 any

＃定义IP地址为192.168.0.1的主机可以访问任意主机

Permit any 192.168.0.1 0.0.0.0

＃定义所有主机可以访问IP地址为192.168.0.1的主机

Switch(config-if )interface Fa0/20

#进入配置具体端口的模式

Switch(config-if )mac access-group MAC10 in

＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）Switch(config-if )Ip access-group IP10 in

＃在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略）

Switch(config)no mac access-list extended MAC10

＃清除名为MAC10的访问列表

Switch(config)no Ip access-group IP10 in

＃清除名为IP10的访问列表

上述所提到的应用1是基于主机MAC地址与交换机端口的绑定，方案2是基于MAC地址的访问控制列表，前两种方案所能实现的功能大体一样。如果要做到IP 与MAC地址的绑定只能按照方案3来实现，可根据需求将方案1或方案2与IP 访问控制列表结合起来使用以达到自己想要的效果。

注意：以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像（Enhanced Image）。

后注：从表面上看来，绑定MAC地址和IP地址可以防止内部IP地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，MAC地址与IP地址的绑定存在很大的缺陷，并不能真正防止内部IP地址被盗用。

首页>> Cisco技术>> 综合>>

端口重定向(端口映射)

我相信大家都预见过这样的问题吧?就是当你在自己局域网(lan)内部架设一台Web Server的时候，别人从Internet(Wan)没法正常访问Lan的Web Server

你是不是很痛苦?或者你局域网(Lan)一台计算机没有打开80（Web Server Port)端口，但是你又想别人访问你的Web Server Port的时候能够与你局域网(Lan)内部一台已经打开的Web Server Por t的计算机自动连接?那么这时候你就需要用到端口重定向功能(网络地址转换Nat).

端口重定向（端口映射） :如果ISP提供的IP地址比较多可以使用NAT 为每一个服务器映射一个外部地址。但如果不是的时候(如就两个时),内网有四台服务器需要团对外提供服务，一个用于内网地址转换,另一个用于对外网提供服务.

Interface fastethernet0/0

Ip address 192.168.1.1 255.255.255.0

Duplex auto

Speed auto

Ip nat inside

No shutdown

Interface fastethernet0/1

Ip address 211.82.220.129 255.255.255.248

Duplex auto

Speed auto

Ip nat outside

No shutdown

Access-list 1 permit 192.168.1.0 0.0.0.255

Ip nat inside source list1 interface fastethernet0/1 overload

Ip nat inside source static tcp 192.168.1.2 80 202.99.220.130 80

Ip nat inside source static tcp 192.168.1.3 21 202.99.220.130 21

Ip nat inside source static tcp 192.168.1.4 25 202.99.220.130 25

Ip nat inside source static tcp 192.168.1.5 110 202.99.220.130 110

首页>> 网络知识>> 网络管理>>

巧用端口映射不通过网关开放任意内网

今天给大家说说如何巧用端口映射，不通过网关开放内网的方法。

一:使用前提

需要有一台公网的IP。假如现在我们有一台公网的P :210.210.21.21

二:用到的工具

1.lcx.exe

2.vdic

三:方法讲解

方法一:用lcx.exe进行映射。

(1)我们将lcx.ex e传到公网IP上，在公网IP上DOS环境下执行 lcx

–listen 端口1 端口2

如lcx –listen 3030 3166

此命令的意思是监听3030端口和3166端口，以便和外部进行连接。

(2)将lcx.exe下载到要开放的内网的计算机上，然后在DOS环境下执行 lcx –slave 公网IP 端口内网IP 端口

如lcx -slave 211.211.21.21 3030 172.16.32.153 80

解释一下，这句话的意思是说将内网计算机IP为 172.16.32.153 的80端口(也就是WEB 服务端口)

映射到公网IP为210.210.21.21的3030端口上,这样，内网和公网的计算机就建立起了连接。如果你

内网计算机提供WEB服务，现在，只要通过外网IP 210.210.21.21和端口3166 可以访问内网的网站了。

开放IP前，访问地址 http://172.16.32.153/index.htm

开放IP后，访问地址 http://210.210.21.21:3166/index.htm

方法二:用VIDC

我们将vidcs.exe传到公网IP上，在公网计算机上运行vidcs –p端口，如vdics –p5205

这句话的意思是在公网计算机上监听端口 5205 然后回到内网计算机上，直接点击运行vIDCc.exe

解释一下上面的设置: VIDC服务IP，指运行了vidcs.exe进行监听了端口的IP 地址，端口指是在公网上监听的端口，上面我监听的是5205端口，bindip指你要开放出去的内网的IP， Bind端口指你内网计算机需要开放的端口(FTP服务器端口为21， WEB 服务端口为80， mail服务端口25)你想开放哪个就填哪个吧。

映射端口指你想通过公网哪个端口提供服务。端口由你定,填好之后,我们点”连接”,马上就到收到提示Success to Connect(210.210.21.21:5205,ver:1.2), 说明连接成功。继续点”bind”，同样会收到成功的提示。

这样，你的机子的80端口就开放出去了。访问方法 http://公网ip:映射端口。如 http://210.210.210.210:8080

上面就是两种不通过网关开放内网的方法。

首页>> 网络知识>> 网络安全>>

TCP端口的作用、漏洞和操作详细解析

https://www.sodocs.net/doc/a89809051.html,/日期：2006-7-21 浏览次数：

出处：赛迪网

在上网的时候，我们经常会看到“端口”这个词，也会经常用到端口号，比如在FTP地址后面增加的“21”，21就表示端口号。那么端口到底是什么意思呢？怎样查看端口号呢？一个端口是否成为网络恶意攻击的大门呢？，我们应该如何面对形形色色的端口呢？下面就将介绍这方面的内容,以供大家参考。

21端口：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务。

端口说明：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务，FTP服务主要是为了在两台计算机之间实现文件的上传与下载，一台计算机作为FTP客户端，另一台计算机作为FTP服务器，可以采用匿名（anonymous）登录和授权用户名与密码登录两种方式登录FTP服务器。目前，通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外，还有一个20端口是用于FTP数据传输的默认端口号。

在Windows中可以通过Internet信息服务（IIS）来提供FTP连接和管理，也可以单独安装FTP服务器软件来实现FTP功能，比如常见的FTP Serv-U。

操作建议：因为有的FTP服务器可以通过匿名登录，所以常常会被黑客利用。另外，21端口还会被一些木马利用，比如Blade Runner、FTP Trojan、

Doly Trojan、WebEx等等。如果不架设FTP服务器，建议关闭21端口。23端口：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。

端口说明：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端，开启Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。登录之后，允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中，键入“Telnet”命令来使用Telnet远程登录。

操作建议：利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。Telnet服务的23端口也是TTS（Tiny Telnet Server）木马的缺省端口。所以，建议关闭23端口。

25端口：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。

端口说明：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候，在创建账户时会要求输入SMTP服务器地址，该服务器地址默认情况下使用的就是25端口。

端口漏洞：

1. 利用25端口，黑客可以寻找SMTP服务器，用来转发垃圾邮件。

2. 25端口被很多木马程序所开放，比如Ajan、Antigen、

Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说，通过开放25端口，可以监视计算机正在运行的所有窗口和模块。

操作建议：如果不是要架设SMTP邮件服务器，可以将该端口关闭。

53端口：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。

端口说明：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换，只要记住域名就可以快速访问网站。

端口漏洞：如果开放DNS服务，黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址，再利用53端口突破某些不稳定的防火墙，从而实施攻击。近日，美国一家公司也公布了10个最易遭黑客攻击的漏洞，其中第一位的就是DNS服务器的BIND漏洞。

操作建议：如果当前的计算机不是用于提供域名解析服务，建议关闭该端口。

67、68端口：67、68端口分别是为Bootp服务的Bootstrap Protocol Server （引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。

端口说明：67、68端口分别是为Bootp服务的Bootstrap Protocol Server （引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议，我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址，而不需要每个用户去设置静态IP地址。

端口漏洞：如果开放Bootp服务，常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”（man-in-middle）方式进行攻击。

操作建议：建议关闭该端口。

69端口：TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。

端口说明：69端口是为TFTP（Trival File Tranfer Protocol，次要文件传输协议）服务开放的，TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。不过与FTP相比，TFTP不具有复杂的交互存取接口和认证控制，该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。

端口漏洞：很多服务器和Bootp服务一起提供TFTP服务，主要用于从系统下载启动代码。可是，因为TFTP服务可以在系统中写入文件，而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。

操作建议：建议关闭该端口。

79端口：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。

端口说明：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机https://www.sodocs.net/doc/a89809051.html,上的user01用户的信息，可以在命令行中键入

“finger user01@https://www.sodocs.net/doc/a89809051.html,”即可。

端口漏洞：一般黑客要攻击对方的计算机，都是通过相应的端口扫描工具来获得相关信息，比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本，获得用户信息，还能探测已知的缓冲区溢出错误。这样，就容易遭遇到黑客的攻击。而且，79端口还被Firehotcker木马作为默认的端口。

操作建议：建议关闭该端口。

80端口：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW

（World Wide Web，万维网）服务上传输信息的协议。

端口说明：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW

（World Wide Web，万维网）服务上传输信息的协议。我们可以通过HTTP地址加“:80”（即常说的“网址”）来访问网站的，比如

https://www.sodocs.net/doc/a89809051.html,:80，因为浏览网页服务默认的端口号是80，所以只要输入网址，不用输入“:80”。

端口漏洞：有些木马程序可以利用80端口来攻击计算机的，比如Executor、RingZero等。

操作建议：为了能正常上网冲浪，我们必须开启80端口。

99端口：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。

端口说明：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。

端口漏洞：虽然“Metagram Relay”服务不常用，可是Hidden Port、NCx99等木马程序会利用该端口，比如在Windows 2000中，NCx99可以把cmd．exe程序绑定到99端口，这样用Telnet就可以连接到服务器，随意添加用户、更改权限。

操作建议：建议关闭该端口。

109、110端口：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的。

端口说明：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的，目前POP3使用的比较多，许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务，如今ISP 的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候，会要求输入POP3服务器地址，默认情况下使用的就是110端口。

端口漏洞：POP2、POP3在提供邮件接收服务的同时，也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个，比如WebEasyMail POP3 Server合法用户名信息泄露漏洞，通过该漏洞远程攻击者可以验证用户账户的存在。另外，110端口也被ProMail trojan等木马程序所利用，通过110端口可以窃取POP账号用户名和密码。

操作建议：如果是执行邮件服务器，可以打开该端口。

111端口：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。

端口说明：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。常见的RPC服务有rpc．mountd、NFS、rpc．statd、rpc．csmd、rpc．ttybd、amd等等。在Microsoft的Windows中，同样也有RPC服务。

端口漏洞：SUN RPC有一个比较大漏洞，就是在多个RPC服务时xdr＿array 函数存在远程缓冲溢出漏洞，通过该漏洞允许攻击者传递超。

113端口：113端口主要用于Windows的“Authentication Service”（验证服务）。

端口说明：113端口主要用于Windows的“Authentication Service”（验证服务），一般与网络连接的计算机都运行该服务，主要用于验证TCP连接的用户，通过该服务可以获得连接计算机的信息。在Windows 2000/2003 Server 中，还有专门的IAS组件，通过该组件可以方便远程访问中进行身份验证以及策略管理。

端口漏洞：113端口虽然可以方便身份验证，但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器，这样会被相应的木马程序所利用，比如基于IRC聊天室控制的木马。另外，113端口还是

Invisible Identd Deamon、Kazimas等木马默认开放的端口。

操作建议：建议关闭该端口。

119端口：119端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的。

端口说明：119端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的，主要用于新闻组的传输，当查找USENET 服务器的时候会使用该端口。

端口漏洞：著名的Happy99蠕虫病毒默认开放的就是119端口，如果中了该病毒会不断发送电子邮件进行传播，并造成网络的堵塞。

操作建议：如果是经常使用USENET新闻组，就要注意不定期关闭该端口。135端口：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。

端口说明：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。

端口漏洞：相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒，该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP 的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口，该接口侦听的端口就是135。

操作建议：为了避免“冲击波”病毒的攻击，建议关闭该端口。

137端口：137端口主要用于“NetB IOS Name Service”（NetBIOS名称服务）。

端口说明：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务），属于UDP端口，使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求，就可以获取该计算机的名称、注册用户名，以及是否安装主域控制器、IIS是否正在运行等信息。

端口漏洞：因为是UDP端口，对于攻击者来说，通过发送请求很容易就获取目标计算机的相关信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS 服务。另外，通过捕获正在利用137端口进行通信的信息包，还可能得到目标计算机的启动和关闭的时间，这样就可以利用专门的工具来攻击。

操作建议：建议关闭该端口。

139端口：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。

端口说明：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享，必须使用该服务。比如在Windows 98中，可以打开“控制面板”，双击“网络”图标，在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务；在Windows 2000/XP中，可以打开“控制面板”，双击“网络连接”图标，打开本地连接属性；接着，在属性窗口的“常规”选项卡中选择“Internet协议（TCP/IP）”，单击“属性”按钮；然后在打开的窗口中，单击“高级”按钮；在“高级TCP/IP设置”窗口中选择“WINS”选项卡，在“NetBIOS设置”区域中启用TCP/IP上的NetBIOS。

端口漏洞：开启139端口虽然可以提供共享服务，但是常常被攻击者所利用进行攻击，比如使用流光、SuperScan等端口扫描工具，可以扫描目标计算机的139端口，如果发现有漏洞，可以试图获取用户名和密码，这是非常危险的。

操作建议：如果不需要提供文件和打印机共享，建议关闭该端口。

143端口：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息访问协议，简称IMAP）。

端口说明：143端口主要是用于

“Internet Message Access Protocol”v2（Internet消息访问协议，简称IMAP），和POP3一样，是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接收邮件的情况下，知道信件的内容，方便管理服务器中的电子邮件。不过，相对于POP3协议要负责一些。如今，大部分主流的电子邮件客户端软件都支持该协议。

端口漏洞：同POP3协议的110端口一样，IMAP使用的143端口也存在缓冲区溢出漏洞，通过该漏洞可以获取用户名和密码。另外，还有一种名为

“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。

操作建议：如果不是使用IMAP服务器操作，应该将该端口关闭。

161端口：161端口是用于“Simple Network Management Protocol”（简单网络管理协议，简称SNMP）。

端口说明：161端口是用于“Simple Network Management Protocol”（简单网络管理协议，简称SNMP），该协议主要用于管理TCP/IP网络中的网络协议，在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前，几乎所有的网络设备厂商都实现对SNMP的支持。

在Windows 2000/XP中要安装SNMP服务，我们首先可以打开“Windows组件向导”，在“组件”中选择“管理和监视工具”，单击“详细信息”按钮就可以看到“简单网络管理协议（SNMP）”，选中该组件；然后，单击“下一步”就可以进行安装。

端口漏洞：因为通过SNMP可以获得网络中各种设备的状态信息，还能用于对网络设备的控制，所以黑客可以通过SNMP漏洞来完全控制网络。

操作建议：建议关闭该端口443端口：443端口即网页浏览端口，主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。

端口说明：443端口即网页浏览端口，主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站，比如银行、证券、购物等，都采用HTTPS服务，这样在这些网站上的交换信息其他人都无法看到，保证了交易的安全性。网页的地址以https://开始，而不是常见的http://。

端口漏洞：HTTPS服务一般是通过SSL（安全套接字层）来保证安全性的，但是SSL漏洞可能会受到黑客的攻击，比如可以黑掉在线银行系统，盗取信用卡账号等。

操作建议：建议开启该端口，用于安全性网页的访问。另外，为了防止黑客的攻击，应该及时安装微软针对SSL漏洞发布的最新安全补丁。

554端口：554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP）。

端口说明：554端口默认情况下用于

“Real Time Streaming Protocol”（实时流协议，简称RTSP），该协议是由RealNetworks和Netscape共同提出的，通过RTSP协议可以借助于Internet 将流媒体文件传送到RealPlayer中播放，并能有效地、最大限度地利用有限的网络带宽，传输的流媒体文件一般是Real服务器发布的，包括有.rm、.ram。如今，很多的下载软件都支持RTSP协议，比如FlashGet、影音传送带等等。

端口漏洞：目前，RTSP协议所发现的漏洞主要就是RealNetworks早期发布的Helix Universal Server存在缓冲区溢出漏洞，相对来说，使用的554端口是安全的。

操作建议：为了能欣赏并下载到RTSP协议的流媒体文件，建议开启554端口。

1024端口：1024端口一般不固定分配给某个服务，在英文中的解释是“Reserved”（保留）。

端口说明：1024端口一般不固定分配给某个服务，在英文中的解释是“Reserved”（保留）。之前，我们曾经提到过动态端口的范围是从1024～65535，而1024正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务，在关闭服务的时候，就会释放1024端口，等待其他服务的调用。

端口漏洞：著名的YAI木马病毒默认使用的就是1024端口，通过该木马可以远程控制目标计算机，获取计算机的屏幕图像、记录键盘事件、获取密码等，后果是比较严重的。

操作建议：一般的杀毒软件都可以方便地进行YAI病毒的查杀，所以在确认无YAI病毒的情况下建议开启该端口。

首页>> Cisco技术>> 综合>>

MAC地址的访问控制

https://www.sodocs.net/doc/a89809051.html,/日期：2006-7-23 浏览次数：

出处：Cisco补习班

在网络管理工作中，常常会碰到这样的情况：某些用户违反管理规定，私自修改自已的IP地址，以达到访问受限资源的目的。这样的行为，不但破坏了信息安全规则，还可能因为地址冲突引起网络通讯故障。

网管管理员可能会试图使用如后文所述的各种技术手段来解决这一问题，但效果不一定很理想：首先技术手段无法完全阻止这种现象的发生，其次是增加了管理的复杂性和成本。所以遏制这种现象最有效的方法是行政手段，这是技术手段所无法替代的。

在介绍这些管理手段之前我们先来看一个模拟的环境：工作站PC和SERVER 连接到一台Cisco Catalyst 3550交换机上，它们分属不同的VLAN，借助3550的路由功能进行通讯(附交换机配置):

hostname Cisco3550

!

interface GigabitEthernet0/11 description Connect to PC

!

interface GigabitEthernet0/12 description Connect to SERVER switchport access vlan 2

!

interface Vlan1

ip address 1.1.1.254 255.255.255.0

!

interface Vlan2

ip address 2.1.1.254 255.255.255.0

如果不需要做权限限制，只是要防止IP地址冲突的话，最佳的方案可能是使用DHCP。DHCP 服务器可以为用户设置IP 地址、子网掩码、网关、DNS等参数，使用方便，还能节省IP地址。在Cisco设备上设置DPCP可以参

考:https://www.sodocs.net/doc/a89809051.html,/021011.html。静态的分配和设置需要较多管理开销，如果用户不捣乱的话，由于用户名和IP地址一一对应，维护起来比较方便，以下均假设采用的是静态的管理方法。

测试1.假设VLAN1内只允许IP 1.1.1.1 访问Server: 2.1.1.1，其它访问全部禁止。

限制方法：使用IP访问控制列表

interface Vlan1

ip address 1.1.1.254 255.255.255.0

ip access-group 100 in

!

access-list 100 permit ip host 1.1.1.1 host 2.1.1.1

突破方法：非法用户将IP地址自行改为1.1.1.1即可访问Server。非法用户抢占地址1.1.1.1将会引起IP地址冲突问题。如果用户将IP地址设成网关的IP，还会影响到整个VLAN的通讯。通过修改Windows 设置，可以防止用户修改“网络”属性，但这一方法也很容易被突破。

测试2.在测试1的基础上加上静态ARP绑定可以防止IP地址盗用。

实现方法：在测试1配置的基础上设置arp 1.1.1.1 0001.0001.1111 ARPA

注意以下的命令是错误的，因为ARP的端口参数是三层(路由)端口而非二层(交换)端口：

arp 1.1.1.1 0001.0001.1111 ARPA GigabitEthernet0/11

设置完成之后，如果非法用户把地址改为1.1.1.1，它发送到路由器的包正常，但是从目标服务器2.1.1.1返回的数据包在路由器上转发的时候，目标MAC地址将总是设为0001.0001.1111，非法用户不能接收。

类似办法：使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表

突破方法：修改MAC地址很容易，在Windows网络连接设置修改网卡的配置，在“高级”页面中找到Network Address设置为指定的值即可。

测试3.使用Port Secure

原理：如果限制了指定端口只能被特定MAC地址的机器，用户若更改了MAC地址端口将会进入不可用状态。

设置方法：

interface g 0/1

switchport mode access

switchport port-security

设置完成之后，交换机端口上首次连接的PC的MAC地址将会记录到交换机中，成为唯一能够使用该端口的MAC地址。如果该PC更换MAC地址，默认将会使用端口置于shutdown状态，无法与网络连通。

可以使用命令设置安全冲突的处理方法：

sw port-security violation [protect | restrict | shutdown ] protect 丢弃来自非法源地址的包，不告警

restrict 丢弃来自非法源地址的包，发送syslog告警

shutdown(默认) 关闭端口，发送SNMP trap、Syslog 告警，除非管理员执行命令shut/no shut,否则端口一直处理down状态。

突破方法：代理服务器。用户在同一VLAN内能够对外访问的主机上安装代理服务器，通过代理访问。

测试4.使用VLAN，PVLAN隔离用户

原理：将授权用户和非授权用户划分到不同的VLAN中，并使用访问控制列表限制VLAN间的通讯。也可以使用PVLAN隔离使同一VLAN间某些主机之间不能直接通讯。。

interface range g 0/10

description Connect to PC1

switchport access vlan 7

interface range g 0/11

description Connect to PC2

switchport access vlan 8

特殊办法：交换机Cisco 3550交换机还能支持在二层(交换)端口上设置mac/ip 访问控制列表，以下设置将使f0/1端口上的PC只能使用ip地址1.1.1.1及mac 地址0000.0c31.ba9b，否则网络通讯不正常。

mac access-list extended macacl

permit host 0000.0c31.ba9b any

permit any host 0000.0c31.ba9b

interface FastEthernet0/1

no ip address

ip access-group ipacl in

mac access-group macacl in

ip access-list extended ipacl

permit ip any host 1.1.1.1

permit ip host 1.1.1.1 any

突破方法：该用户跑到授权用户的机器上访问

这是非典型的突破方法，目前还没有很好的解决方法。

其他可能的限制方法：

1.认证代理：用户访问特定资源前必须在某个网页上输入用户名和密码，否则不通

2.802.1x：用户通过802.1x认证同时由DHCP服务器分配IP地址，否则不通

3.PPPoE：用户需安装PPPoE客户端软件，使用用户名和密码登录网络才能使用

讨论更新：一位叫Maying的朋友看了本文之后到BBS发帖子询问：“如何在路由器上设置过滤掉某个特定mac地址的流量？不希望使用这个mac地址的主机通过路由器！”。

这个要求比较新鲜。当你针对一个MAC地址进行过滤的时候，这一动作发生在第二层。而路由器一般执行的是第三层路由的任务，只有很少情况下做桥接的时候才对进入的MAC地址进行过滤，所以这样的过滤最好设置在二层交换设备上。

但这个要求对路由器来说也不是不可能的任务，麦子使用以下配置达到了要求的效果：

ip cef //Rate-limit 需要cef的支持，路由器可能默认未启用cef

interface Ethernet0/0

ip address 192.168.1.254 255.255.255.0

rate-limit input access-group rate-limit 100 8000 1500 2000 conform-action drop exceed-action drop

//如果源MAC地址为指定值则丢弃（其他的都允许）

access-list rate-limit 100 0001.0001.abcd //要限制的MAC地址

这时候要注意，目标工作站到达该路由器之前不能经过其他三层设备，否则MAC地址会被改掉。

讨论更新：Maying朋友再问：“我的路由器是Cisco 1720, 不支持CEF,怎么办？”

Cisco 1720路由器能够支持CEF, 但要求是12.0(3)T以上IP PLUS版本的软件，12.2(11)YV 起标准IP版软件也可以支持CEF。如果路由器目前IOS软件版本不够，需要升级。

也可以使用桥接(IRB)的方法来解决，这种方法只需要12.0(2)T 以上标准IP版软件即可。配置如下：

bridge irb //启用IRB支持

interface Ethernet0/0

no ip address //路由做到逻辑端口BVI 1上

bridge-group 1 //加入桥接组1 !

interface BVI1

ip address 192.168.1.254 255.255.255.0 //为桥接组1提供路由

!

bridge 1 protocol ieee //运行生成树协议防止环路

bridge 1 route ip //路由IP流量 bridge 1 address 0001.0001.abcd discard //丢弃来着于MAC地址0001.0001.abcd的数据包