交换机基于mac地址的认证

交换机基于mac地址的认证

交换机基于802.1x的认证，可以依托两种方式：1.交换机本身的认证数据库；2.基于外部radius服务器的数据库；

radius服务器，选用了Cisco的ACS4.2 trail 版本，此软件只能安装在windows2000/windows2003/windows2008;安装后，在本地登录方式为http://127.0.0.1:2002；也可以在局域网内远程登录配置，比如192.168.1.13:2002；注意无论是在本地还是在远端，登录ACS的前提是安装JAVA插件，推荐jre-6u4-windows-i586-p;

在802.1x认证中，ACS作为AAA Server，交换机作为AAA Client，两者通过key，以及authentication port/authorized port建立认证信息通道，所以两边设置一定要匹配；两者要在路由层可达；

交换机连接Radius服务器的接口，不能开启802.1x认证功能，作为acces接口即可；

常见的802.1x认证: 1.是基于用户名和密码的方式，客户端PC安装802.1x认证客户端，如xp下的自带客户端，注意：XP系统，要到服务中，开启wired autoconfig项；2.是基于设备mac地址的认证，以下主要涉及mac地址认证的一些个人认识，欢迎大家批评补充ACS支持对接入设备的mac地址认证。接入设备，如PC、PDA、打印机、查询机等不需要进行802.1x客户端的用户名/密码认证时，可以使用mac地址认证；

Cisco含有基于mac地址的802.1x免认证功能，接口配置下，dot1x mac-auth-pass eap; Huawei叫做mac旁路认证方式，接口配置下，dot1x mac-bypass;

含有此功能的交换机，请查阅相关设备型号；含有以上功能的，比如cisco的3560/huawei 的S7700；不具有此功能的，huawei的S2000；

测试中，S2000交换机802.1x配置中，对于接口，有port-based和mac-based两种认证方式，区别是：mac-based(默认)此接口下的多个终端设备都要一一进行802.1x认证，不

论是用户名、密码，还是mac地址，一旦其中一个终端退出网络，其他终端不受任何影响；port-based此接口下的多个终端设备，一旦有一台设备通过802.1x认证，所有其他终端不需要进行认证，一旦其中一台退出网络，其他终端亦被拒绝；

补充：对于cisco的WLC5508等无线系统，可以使用ACS对Light AP下的接入终端设备，进行基于mac地址的认证；WLC5508等设备也可以直接创建mac地址库，但是较为复杂也费事；

mac地址厂商分配表

MAC地址厂商分配表 Index MAC Address Vendor-Name 100-00-0C-**-**-**Cisco Systems Inc 200-00-0E-**-**-**Fujitsu 300-00-75-**-**-**Nortel Networks 400-00-95-**-**-**Sony Corp 500-00-F0-**-**-**Samsung Electronics 600-01-02-**-**-**3Com 700-01-03-**-**-**3Com 800-01-30-**-**-**Extreme Networks 900-01-42-**-**-**Cisco Systems Inc 1000-01-43-**-**-**Cisco Systems Inc 1100-01-4A-**-**-**Sony Corp 1200-01-63-**-**-**Cisco Systems Inc 1300-01-64-**-**-**Cisco Systems Inc 1400-01-81-**-**-**Nortel Networks 1500-01-96-**-**-**Cisco Systems Inc 1600-01-97-**-**-**Cisco Systems Inc 1700-01-C7-**-**-**Cisco Systems Inc 1800-01-C9-**-**-**Cisco Systems Inc 1900-01-E6-**-**-**Hewlett Packard 2000-01-E7-**-**-**Hewlett Packard 2100-02-16-**-**-**Cisco Systems Inc 2200-02-17-**-**-**Cisco Systems Inc 2300-02-4A-**-**-**Cisco Systems Inc 2400-02-4B-**-**-**Cisco Systems Inc 2500-02-5F-**-**-**Nortel Networks 2600-02-78-**-**-**Samsung Electronics 2700-02-7D-**-**-**Cisco Systems Inc 2800-02-7E-**-**-**Cisco Systems Inc 2900-02-A5-**-**-**Hewlett Packard 3000-02-B3-**-**-**Intel Corporation 3100-02-B9-**-**-**Cisco Systems Inc 3200-02-BA-**-**-**Cisco Systems Inc 3300-02-DC-**-**-**Fujitsu 3400-02-EE-**-**-**Nokia 3500-02-FC-**-**-**Cisco Systems Inc 3600-02-FD-**-**-**Cisco Systems Inc 3700-03-31-**-**-**Cisco Systems Inc 3800-03-32-**-**-**Cisco Systems Inc 3900-03-42-**-**-**Nortel Networks 4000-03-47-**-**-**Intel Corporation 4100-03-4B-**-**-**Nortel Networks 4200-03-6B-**-**-**Cisco Systems Inc 4300-03-6C-**-**-**Cisco Systems Inc 4400-03-7F-**-**-**Atheros Communications 4500-03-93-**-**-**Apple Computer 4600-03-9F-**-**-**Cisco Systems Inc 4700-03-A0-**-**-**Cisco Systems Inc 4800-03-E3-**-**-**Cisco Systems Inc

如何绑定自己的IP地址和Mac地址

如何绑定自己的IP地址和Mac地址，如何解除绑定 分享| 2006-07-06 16:16Iguo_1225|浏览92187 次 我说的是用自己的PC绑定，我记得只需要几条命令。 还有如何解除绑定。 因为班级里只有我一台计算机可以上网，网管在服务器上记录了我的MAC地址和IP地址，可是学生只要把自己的MAC地址改成和我的一样，他们就可以上网了。 我想把我的MAC绑定在网卡上，使别人无法使用。如何实现？ 2006-07-20 19:07 提问者采纳 MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。I P地址与MAC地址在计算机里都是以二进制表示的，IP地址是32位的，而MAC地址则是48位的。MAC地址的长度为48位（6个字节），通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数08:00:20代表网络硬件制造商的编号，它由IEEE（电气与电子工程师协会）分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。只要你不去更改自己的MAC地址，那么你的MAC地址在世界是惟一的。 MAC地址的作用 IP地址就如同一个职位，而MAC地址则好像是去应聘这个职位的人才，职位可以既可以让甲坐，也可以让乙坐，同样的道理一个节点的IP地址对于网卡是不做要求，基本上什么样的厂家都可以用，也就是说IP地址与MAC地址并不存在着绑定关系。本身有的计算机流动性就比较强，正如同人才可以给不同的单位干活的道理一样的，人才的流动性是比较强的。职位和人才的对应关系就有点像是IP地址与MAC地址的对应关系。比如，如果一个网卡坏了，可以被更换，而无须取得一个新的IP地址。如果一个IP主机从一个网络移到另一个网络，可以给它一个新的IP地址，而无须换一个新的网卡。当然MAC地址除了仅仅只有这个功能还是不够的，就拿人类社会与网络进行类比，通过类比，我们就可以发现其中的类浦?Γ??玫乩斫釳AC地址的作用。 无论是局域网，还是广域网中的计算机之间的通信，最终都表现为将数据包从某种形式的链路上的初始节点出发，从一个节点传递到另一个节点，最终传送到目的节点。数据包在这些节点之间的移动都是由ARP（Address Resolution Protocol：地址解析协议）负责将IP地址映射到MAC地址上来完成的。其实人类社会和网络也是类似的，试想在人际关系网络中，甲要捎个口信给丁，就会通过乙和丙中转一下，最后由丙转告给丁。在网络中，这个口信就好比是一个网络中的一个数据包。数据包在传送过程中会不断询问相邻节点的MAC地址，这个过程就好比是人类社会的口信传送过程。相信通过这两个例子，我们就可以进一步理解

IP与Mac绑定的方法

绑定： 1.进入超级终端。 2.输入sys，回车（从监控模式< >进入配置模式[ ]）。 3.输入user-bind static ip-address IP地址mac-address Mac地址interface g0/0/接口地址（交换机端口号），回车。注：这里可以将要绑定的项目一次性全部逐条输入，输入结束后可以用dis cur（此命令只能在监控模式和配置模式下使用）命令进行查询，检查是否有漏掉的项目。 4.输入interface g0/0/接口地址（交换机端口号），回车（进入接口模式）。 注：此时可以用dis this（此命令只能在接口模式使用）命令进行查询，若ip source check user-bind enable和ip source check user-bind check-item ip-address命令已存在的话则可以不用输入。

5.输入ip source check user-bind enable,回车。 6.输入ip source check user-bind check-item ip-address,回车。 7.输入quit，回车（回到配置模式）。 8.输入quit，回车（回到监控模式）。 9.输入save，回车（保存），完成绑定。 注：此时可以用dis cur命令进行查询，检查是否有漏掉的项目。 删除： 1.输入sys，回车（从监控模式进入配置模式）。 2.输入undo user-bind static IP地址,回车。 注：此处一定要加上需要删除绑定的IP地址，否则将会把之前输入的全部IP绑定信息全部删除。 3.输入undo ip source check user-bind enable,回车。 4.输入undo ip source check user-bind check-item ip-address,回车，完成删除。

TP-link路由器ip与mac绑定

路由器通过设置MAC地址绑定用户电脑进行IP过滤 现在很多家庭用户都通过电信的ADSL或其他公司提供的类似类型的宽带上网。由于宽带的费用并低廉，而对于大多数没有大量数据下载的家庭用户来说，一户人或一台电脑独占一条ADSL有点浪费资源的感觉。于是现在很多人都用共享一条宽带上网。 这种共享上网的方法一般如下：电话线——语音分离器——ADSL猫——宽带路由器——交换机集线器——电脑 在这种情况下，我经过思考与试验，我发现可以通过对宽带路由器进行适当设置就可以对上网进行限制。 这里以TP-LINKTL-R402M为例（因为我发现最多人用这种……）说说限制上网的步骤。 1.取得局域网内所有使用者的IP与MAC地址。 取得IP的方法很多，推荐用"局域网查看工具"，网上随便搜索一下就有了。 取得MAC地址的方法：WIN+R，输入CMD，用"NBTSTAT-AIP地址"查看 取得自己电脑IP与MAC的方法：WIN+R，输入CMD，用"IPCONFIG/ALL"查看 2.登陆宽带路由器 打开IE，输入192.168.1.1（一般都是这个……），就会出现登陆窗口 账号：ADMIN 密码：ADMIN（默认是这个，一般不更改滴……如果被更改了，稍候我研究下怎样破解，有进展再发帖） 登陆后会出现宽带路由器的设置页面 3.只允许自己的电脑上网的设置 1，设置页面——DHCP服务器——静态地址分配——将自己的IP地址与MAC地址绑定（输入并保存即可）

2，设置页面——安全设置——防火墙设置——选择开启防火墙，开启IP地址过滤，开启MAC地址过滤三项——选择"凡是不符合已设IP地址过滤规则的数据包，禁止通过本路由器"和"仅允许已设MAC地址列表中已启用的MAC地址访问Internet". 3，设置页面——安全设置——IP地址过滤——添加新条目——把你的IP地址填进去，并选择使所有条目生效。 4，设置页面——安全设置——MAC地址过滤——添加新条目——把你的MAC地址填

mac地址认证配置举例

1.14 MAC地址认证典型配置举例 1.14.1 本地MAC地址认证 1. 组网需求 如图1-2所示，某子网的用户主机与设备的端口GigabitEthernet2/0/1相连接。 ?设备的管理者希望在端口GigabitEthernet2/0/1上对用户接入进行MAC地址认证，以控制它们对Internet的访问。 ?要求设备每隔180秒就对用户是否下线进行检测；并且当用户认证失败时，需等待180秒后才能对用户再次发起认证。 ?所有用户都属于ISP域bbb，认证时使用本地认证的方式。 ?使用用户的MAC地址作用户名和密码，其中MAC地址带连字符、字母小写。 2. 组网图 图1-2 启动MAC地址认证对接入用户进行本地认证 3. 配置步骤 # 添加网络接入类本地接入用户。本例中添加Host A的本地用户，用户名和密码均为Host A的MAC地址00-e0-fc-12-34-56，服务类型为lan-access。 system-view [Device] local-user 00-e0-fc-12-34-56 class network [Device-luser-network-00-e0-fc-12-34-56] password simple 00-e0-fc-12-34-56 [Device-luser-network-00-e0-fc-12-34-56] service-type lan-access [Device-luser-network-00-e0-fc-12-34-56] quit # 配置ISP域，使用本地认证方法。 [Device] domain bbb [Device-isp-bbb] authentication lan-access local

网管心得——IP地址与MAC地址绑定策略

网管心得——IP地址与MAC地址绑定策略 TCP/IP网络是一个四层协议结构的网络，从下往上依次为网络接口层、网络层、传输层和应用层。 为什么要绑定MAC与IP地址，使它们一一对应呢？因为影响网络安全的因素很多，IP 地址盗用或地址欺骗就是其中一个常见且危害极大的因素。网络中，许多应用都是基于IP 的，比如流量统计、用户账号控制等都把IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户，网络上传输的数据就可能被破坏，甚至盗用，造成无法弥补的损失。 相对来说，盗用外部网络的IP地址比较困难，因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围，不属于该IP地址范围的报文将无法通过这些互连设备。但如果盗用的是网络内部合法用户的IP地址，这样网络互连设备显然就无能为力了。 对于网络内部的IP地址被盗用，当然也有相应的解决办法。绑定MAC地址与IP地址就是防止内部IP地址被盗用的一种常用的、简单的、有效的措施。 目前，很多单位的内部网络，尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。许多防火墙(硬件防火墙和软件防火墙)为了防止网络内部的IP地址被盗用，也都内置了MAC地址与IP地址的绑定功能。 MAC与IP地址绑定原理，虽然IP地址的修改非常容易，但是MAC地址是存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP 盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败，并且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

局域网IP与MAC双向绑定,防止arp攻击,铲除p2p终结者,无需任何软件,自动运行。

局域网IP与mac双向绑定——防止恶意 软件控制 为了给大家带来良好的网络环境，阻止P2P终结者等恶意控制软件破坏局域网网络环境，并且市面上的arp防火墙，如：彩影arp，金山arp等对P2P终结者并无多大防御作用。现在我们就来做一下网关与客户机的双向IP&MAC绑定来搞定它。 在操作过程中，请关掉arp防火墙（暂时），因为它对我们的操作有一定的影响。等操作完成之后再打开。若安装有彩影arp的用户，请不要让它在开机自动运行（方法下面有），可以开机后手动运行。 首先声明一点，绑定IP和MAC是为了防止arp欺骗，防御P2P终结者控制自己的电脑（网速），对自己的电脑没有一点负面影响。不想绑定的同学可以不绑定，以自愿为原则。但是若被控制网速，自己躲在屋里哭吧！（开玩笑）。 好了废话不多说，开始我们的客户机IP与MAC绑定教程吧！ 一.首先将路由即网关的IP和MAC查看下（路由IP一般都是192.168.1.1）： 开始→运行→cmd（回车）→arp/a 就会出现如下图信息： 其中第一个192.168.1.1即为路由IP，后面就是路由的MAC 二.查看自己的IP和MAC有以下两种方法： ①右键网上邻居→属性→右键本地连接→状态→支持→详细信息 里面的实际地址即为自己的MAC地址，IP地址即为自己的IP地址。 ②开始→运行→cmd(回车)→ipconfig/all(回车) 会出来信息，如图：

其中本地连接（以太网连接）里面的physical Address即为自己的MAC ,IP Address即为自己的IP地址。 三.不让彩影arp防火墙开机运行的方法（后面用到）： 开始→运行→msconfig(回车)→启动→将Antiarp.exe（彩影arp程序）前面的勾去掉→确定→退出而不重新启动→OK！ 启动里面的启动项目就是你安的软件的名称，命令就是你安在了哪里。 这样开机就不会自动运行它了，要想运行，手动打开桌面上它的程序就行。若要恢复开机自动运行彩影arp，在启动中，将勾重新勾上就行了（不推荐）！若是不想让其他程序开机运行，和本操作一样！ 四．以管理员身份运行CMD（一般都是管理员身份，不是的很少，这个基本用不到）在命令界面（即进入CMD以后）直接按ctral+shift+（回车）就行了。或是进入c:\windows\system32里面有个CMD，右键单击它，然后点以管理员身份运行。 通过以上方法，我们就知道了自己的IP和MAC以及路由的IP和MAC。请先记下这些信息，因为后面我们要多次用到。 现在我们用的系统类型比较混杂，有XP,VISTA，WIN7……不同的系统我们的操作也不同，但基本上有两个版本，XP系统是一类，VISTA和WIN7系统是一类。下面我将XP系统、VISTA 和WIN7系统分别做详细的介绍。 注：1.以下的文章中，其中的“_”都是空格，不是下划线，别都写成了下划线了。写成下划线你就悲剧了。2.以下在CMD中的操作都是已管理员的身份操作的，不是管理员的用上面的方法四改成管理员身份运行。什么？是不是管理员身份你也不知道，只要你在以下CMD 中运行的命令都管用那么就证明你是管理员身份，反之依然！笨蛋!其实基本上全部都是管理员身份的，方法四只是给特别少数人看的！

11-MAC地址表特性配置

目录 配置MAC地址表特性 目录 第1章配置MAC地址表特性 (1) 1.1 MAC地址配置任务列表 (1) 1.2 MAC地址配置任务 (1) 1.2.1 配置静态MAC地址 (1) 1.2.2 配置MAC地址老化时间 (1) 1.2.3 配置VLAN共享MAC地址 (2) 1.2.4 显示MAC地址表 (2) 1.2.5 清除动态MAC地址 (2)

第1章配置MAC地址表特性 1.1 MAC地址配置任务列表 配置静态MAC地址 配置MAC地址老化时间 配置VLAN共享MAC地址 显示MAC地址表 清除动态MAC地址 1.2 MAC地址配置任务 1.2.1 配置静态MAC地址 静态MAC地址表项指的是那些不能够被交换机老化掉的MAC地址表项，它只能被人工 的删除掉。根据交换机使用过程中的实际需要，可以添加和删除静态MAC地址。进入 特权模式下按下列步骤来添加和删除一个静态MAC地址。 命令目的 configure 进入全局配置模式 [no] mac address-table static mac-addr vlan vlan-id interface interface-id 添加/删除一个静态MAC地址表项。mac-addr为MAC地址； vlan-id为VLAN号，有效范围1~4094 ；interface-id为端口名称。 exit 退回到管理模式。 write 保存配置。 1.2.2 配置MAC地址老化时间 当一个动态的MAC地址在指定的老化时间内没有被使用时，交换机将把该MAC地址从 MAC地址表中删除。交换机MAC地址的老化时间可以根据需要进行配置，默认的老化 时间为300秒。 进入特权模式下按下列步骤来配置MAC地址的老化时间 命令目的

交换机上IP与mac绑定方法

关于IP地址与MAC地址绑定方法的简单介绍 地市各位网管： 现将IP地址与MAC地址绑定命令简单介绍如下： 1、请在IP地址网关所在三层设备上进行IP地址与MAC地址绑定 2、请对vlan内的所有地址都进行绑定，这样效果比较好。 3、CISCO设备绑定方法如下： 配置模式下： 对已用的地址进行绑定： arp 10.34.2.47 047d.7b30.84fe arpa 对没用的地址也要绑定一个空MAC地址 arp 10.34.2.48 0000.0000.0000 arpa 4、华为设备绑定方法有两种，方法如下： （1）配置模式下： user-bind static ip-address 10.34.7.196 mac-address 047d-7b30-865d vlan 424 需在接口下调用，示例如下： interface Ethernet0/0/4 description 25F-4C port link-type access port default vlan 424 ntdp enable ndp enable

bpdu enable ip source check user-bind enable 注意：如果在此端口上调用user-bind后，接入此端口的IP地址如不进行绑定，则接不了办公网络。 （2）与思科设备一样（但某些华为设备VRP版本需要升级,升级步骤请见附件） 配置模式下： 已用的地址进行绑定： arp static 10.34.2.47 047D-7B30-84FE vid 950 如配置错误，删除命令是undo arp static 10.34.2.47 由于版本不同，如此策略不生效，可用arp static 10.34.2.47 047D-7B30-84FE 不加vid试一试。 如再不行，则需要VRP版本升级，请大家注意。 对没用的地址也要绑定一个空MAC地址 arp static 10.34.2.48 0000-0000-0000 vid 950 华为400电话：400-8302118 也可以电话咨询。 信息化事业部 2013.8.9

H3C--MAC地址表故障处理手册

MAC地址表故障处理手册

目录 1-1 1 MAC地址表故障处理·························································································································· 1-1 1.1 源MAC地址攻击导致端口流量瞬断故障处理····················································································· ··· 1-1 1.1.1 故障描述 ······························································································································ 1.1.2 故障处理步骤·························································································································· 1-1 ······ 1-3 1.2 故障诊断命令·······························································································································

H3C AC+Fit AP本地MAC地址认证功能

实验7 AC ＋Fit AP 本地MAC 地址认证功能 7.1 实验内容与目标 完成本实验，您应该能够： l 了解“瘦”AP 解决方案中MAC 地址认证的原理 l 掌握 AC ＋FIT AP 本地MAC 地址认证的配置 7.2 实验组网图 图1 实验组网图 该组网图说明如下：配置终端笔记本通过串口线连接到AC 的CONSOLE 口上，用于相关配置以及查看AP 注册信息，无线客户端采用无线网卡搜索无线信号，接入指定SSID “h3c-mac ”，进行MAC 认证。 AC VLAN1接口地址192.168.1.9 Switch VLAN1接口地址192.168.1.254，VLAN4接口地址192.168.4.254 AC 与Switch 之间通过Trunk 链路连接，通过VLAN1、4 FIT AP 属于VLAN1，无线客户端属于VLAN4 7.3背景需求 认证是保障无线接入安全的手段之一，有多种实现方式。基于MAC 地址的认证方式配置简单，实现方式对客户端透明，且安全性较高，是一种可选的无线认证方式。 7.4 实验设备与版本 主机：一台带有串口PC ，配有无线网卡 H 3C

线缆：CONSOLE 线缆一根 无线接入点FIT AP ：WA 系列无线接入点 无线交换机AC ：WX 系列无线交换机 版本：Comware Software, Version 5.20 7.5实验过程 按上述组网图部署AP 和无线交换机，确保FIT AP 成功注册到控制器AC 上。 实验任务一：配置DHCP 动态地址分配 步骤一：在AC 上配置无线客户端地址池 系统视图下，使能DHCP 功能，配置向无线客户端分配的地址池： [H3C] dhcp enable [H3C] dhcp server ip-pool pool4 [H3C-dhcp-pool-pool4] network 192.168.4.0 mask 255.255.255.0 配置向无线客户端下发的网关： [H3C-dhcp-pool-pool4] gateway-list 192.168.4.254 配置禁止分配IP ： [H3C] dhcp server forbidden-ip 192.168.4.9 可通过以下命令查看IP 地址分配情况： [H3C] display dhcp server ip-in-use all 步骤二：在AC 上配置无线客户端接口地址 创建无线客户端所属VLAN （vlan 4）并配置接口地址： [H3C] vlan 4 [H3C] interface vlan-interface 4 [H3C-Vlan-interface4] ip address 192.168.4.9 24 实验任务二：配置MAC 认证方式的无线接入服务 步骤一：配置无线接口的MAC 地址认证功能 [H3C] port-security enable [H3C] interface WLAN-ESS 4 [H3C-WLAN-ESS4] port-security port-mode mac-authentication 步骤二：配置无线接口所属VLAN （vlan 4） [H3C-WLAN-ESS4] port access vlan 4 步骤三：配置无线服务模板 [H3C] wlan service-template 4 clear [H3C-wlan-st-4] ssid h3c-mac [H3C-wlan-st-4] bind WLAN-ESS 4 [H3C-wlan-st-4] authentication-method open-system [H3C-wlan-st-4] service-template enable H 3C

cisco交换机ip和mac地址绑定

cisco交换机ip和mac地址绑定 虽然在TCP/IP网络中，计算机往往需要设置IP地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的 目的计算机的MAC地址。 ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的 ARJ 缓存中包含一个或多个表，用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后，在ARP缓存中会保留相应的MAC地址。所以，下次和同一个IP地址的计算机通讯，将不再查询MAC地址，而是直接引用缓存中的MAC地址。 在交换式网络中，交换机也维护一张MAC地址表，并根据MAC地址，将数据发送至目的计算 机。 为什么要绑定MAC与IP 地址：IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM 中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。 目前，很多单位的内部网络，都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco 的交换机介绍一下IP和MAC绑定的设置方案。 在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。 1.方案1——基于端口的MAC地址绑定 思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令： Switch#config terminal ＃进入配置模式 Switch(config)# Interface fastethernet 0/1 ＃进入具体端口配置模式 Switch(config-if)#Switchport port-secruity ＃配置端口安全模式 Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址) ＃配置该端口要绑定的主机的MAC地址 Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址) ＃删除绑定主机的MAC地址

MAC地址认证实施方案

MAC地址认证实施方案

目录 1MAC地址认证概述 .................................................................................................................. - 1 -2实施规划..................................................................................................................................... - 3 - 2.1准备阶段 (3) 2.1.1MAC地址统计........................................................................................................... - 3 - 2.1.2服务器准备................................................................................................................ - 3 - 2.1.3接入交换机准备 ........................................................................................................ - 4 - 2.1.4备份准备.................................................................................................................... - 4 -2.2测试阶段 .. (4) 2.3实施阶段 (5) 2.4应急回退方法 (6)

IP地址与Mac地址绑定

IP地址与Mac地址绑定 拓扑图如下： 一、静态地址绑定： [SW1]user-bind static ip-address 192.168.1.100 mac-address 5489-9828-5BB1 Info: 1 static user-bind item(s) added. [SW1]user-bind static ip-address 192.168.1.200 mac-address 5489-9804-0D67 Info: 1 static user-bind item(s) added. 二、DHCP地址池中IP地址与Mac地址绑定 [SW1]ip pool 192network [SW1-ip-pool-192network]gateway-list 192.168.1.1 [SW1-ip-pool-192network]network 192.168.1.0 mask 255.255.255.0 [SW1-ip-pool-192network]excluded-ip-address 192.168.1.240192.168.1.254 [SW1-ip-pool-192network]lease day 0 hour 12 minute 0 [SW1-ip-pool-192network]dns-list 202.106.0.20 8.8.8.8 [SW1-ip-pool-192network] [SW1-ip-pool-192network]static-bind ip-address 192.168.1.120 mac-address 5489-986B-7896 注意在地址池中ip地址与Mac地址绑定时出现的错误： [SW1-ip-pool-192network]static-bind ip-address 192.168.1.20 mac-address 5489-983E-384D Error:The static-MAC is exist in this IP-pool. 错误：这个静态MAC地址在地址池中已经存在。 －－－－DHCP已经给这个MAC地址分配IP了，不能绑定。

项目案例15 无线控制器MAC地址认证 Guest VLAN解析

项目案例 计算机网络系统集成项目（工程项目案例及实践） 所在系别：计算机技术系 所属专业：计算机网络技术 指导教师：张海峰 专业负责人：孙志成

H3C无线控制器MAC地址认证+Guest VLAN典型配置 举例（V7） 一、功能需求 本文档介绍当用户MAC地址认证失败时只能访问某一特定的VLAN，即Guest VLAN 内的网络资源的典型配置举例。 本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解AAA、MAC地址认证、WLAN用户接入认证和WLAN接入特性。 二、组网信息及描述 如图1所示，集中式转发架构下，AP和Client通过DHCP server获取IP地址，设备管理员希望对Client进行MAC地址认证，以控制其对网络资源的访问，具体要求如下： ?配置VLAN 200为Client的接入VLAN，Client通过VLAN 200 上线并在RADIUS server上进行MAC地址认证。 ?配置VLAN 300为Guest VLAN，当Client的MAC地址认证失败 时进入Guest VLAN，此时Client只能访问VLAN 300内的网络资源。 三、配置步骤 1.1 配置思路 为了实现用户MAC地址认证失败后仅允许访问Guest VLAN内的资源，需要在无线服务模板下配置Guest VLAN功能，则认证失败的用户会被加入该Guest VLAN，且

27-Mac地址认证 MyPower S4330 V1.0 系列交换机配置手册

MAC地址认证配置

本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。 侵权必究。 策划：研究院资料服务处 * * * 迈普通信技术有限公司 地址：成都市高新区九兴大道16号迈普大厦 技术支持热线：400-886-8669 传真：（+8628）85148948 E-mail：support@https://www.sodocs.net/doc/c07095486.html, 网址：https://www.sodocs.net/doc/c07095486.html, 邮编：610041 版本：2011年 8月v1.0版

目录 第1章配置Mac地址认证 (1) 1.1 Mac地址认证简介 (1) 1.2 Mac地址认证配置 (1) 1.2.1 AAA相关配置 (1) 1.2.2 功能开启配置 (2) 1.2.3 下线检测配置 (3) 1.2.4 静默定时器配置 (3) 1.2.5 Mac-vlan功能配置 (3) 1.2.6 Guest-vlan功能配置 (4) 1.2.7 用户特性配置 (4) 1.2.8 配置实例 (5)

第1章配置Mac地址认证 1.1 Mac地址认证简介 mac地址认证功能是基于端口和mac地址对用户进行访问网络权限进行控制的功能模块。刚开始时，交换机的mac地址表不存在用户的mac地址表项，用户的报文首次到达交换机会触发mac地址认证，在认证过程中，不需要用户的参与（比如输入相关用户名和密码），认证通过后用户的mac地址会加进交换机的mac地址表，以后该用户的流量就可以直接根据mac地址表项内容进行转发。 认证时支持两种认证方式，在配置AAA域的时候选择方案配置： 通过radius服务器进行认证； 通过本地用户数据库进行认证； 1.2 Mac地址认证配置 1.2.1 AAA相关配置 mac认证需要配置使用哪个AAA认证域进行认证。而进行radius服务器认证或者本地用户数据库认证的选择在AAA认证域进行。 如果没有配置，则使用系统配置的默认认证域进行。 当两者都没有配置，则无法进行认证。 由于没有用户参与，mac地址认证在认证时需要构造相关的用户名称和密码，现在存在两种方法： a)mac地址方式，在此种方式下，使用mac地址作为认证的用户名称和密码，固定为12字符长度的字符串，比如mac地址为00:0a:5a:00:03:02，则用户名称和密码为“000a5a000302”；

查看交换机MAC地址表

查看交换机的MAC地址表 1 实验目的： 进一步了解交换机的MAC地址和端口的对应。 2 网络拓扑 3 试验环境： 交换机和HUB相连，在一个网段192.168.0.0/24，计算机的Ip地址由DHCP分配。 4 试验要求 查看交换机的MAC地址表。 5 基本配置步骤 5.1在Switch0上 Switch#show mac-address-table Mac Address Table

------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- Switch#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- Switch#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- Switch#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 发现MAC地址表是空的。最初交换机并不知道那那个接口对应着那个MAC地址。 5.2在计算机PC2上 PC>ping 192.168.0.11 Pinging 192.168.0.11 with 32 bytes of data: Reply from 192.168.0.11: bytes=32 time=8ms TTL=128 Reply from 192.168.0.11: bytes=32 time=9ms TTL=128 Reply from 192.168.0.11: bytes=32 time=9ms TTL=128 Reply from 192.168.0.11: bytes=32 time=8ms TTL=128 Ping statistics for 192.168.0.11: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:

基于MAC认证的Portal无感知认证

基于MAC认证的Portal无感知认证：基于portal在 线用户的MAC认证 一、组网需求： WX系列AC、FIT AP、便携机（安装有无线网卡）、Radius/Portal Server 二、实现原理： 中国移动主推的Portal无感知认证是基于流量触发的mac-trigger，要求支持移动的mac-trigger协议，并且新增MAC绑定服务器以存储MAC的绑定关系。对于第三方的Radius/Portal server厂商来说开发较繁琐，有些厂商是不支持的。如果不支持mac-trigger协议，可以以下方案实现Portal的无感知认证，实现原理如下： （1）用户的业务VLAN开启MAC认证和guest vlan功能； （2）用户第一次上线时进行MAC认证，AC根据用户MAC查找在线Portal 用户，如果有该MAC地址的Portal用户，则MAC认证成功。因为用户第一次认证，AC没有该MAC地址的Portal在线用户，用户MAC认证失败，进入guest v lan； （3）guest vlan开启Portal认证； （4）用户在guest vlan进行Portal认证，Portal认证成功后，AC立即将该用户去关联，触发用户重关联，此时由于设置idle-cut时间还未生效，AC上有该Portal用户在线； （5）用户重关联时进行MAC认证，此时AC上已有该MAC地址的Portal 用户，MAC认证通过。 （6）用户后续都是无感知的MAC认证，MAC认证通过的前提是对应MAC 地址的Portal用户在线，因为后续用户流量属于业务VLAN，Portal用户的流量为0，因此设置idle-cut时间为Portal用户的在线时间，即用户能够MAC认证通过的时间。 备注： 该方案中，第三方Radius/Portal server只需具有Radius服务器和Portal服务器的功能，没有特殊要求，基于portal用户的MAC认证功能在AC自身实现。 三、组网图：