思科交换机端口绑定

基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch＃configterminal进入配置模式Switch（config）#Interfacefastethernet0/1＃进入具体端口配置模式Switch（config-if）#Switchportport-secruity＃配置端口安全模式Switch（config-if）switchportport-securitymac-addressMAC（主机的MAC地址）＃配置该端口要绑定的主机的MAC地址Switch（config-if）noswitchportport-securitymac-addressMAC（主机的MAC地址）＃删除绑定主机的MAC地址一、基于MAC地址的扩展访问列表Switch（config）Macaccess-listextendedMAC＃定义一个MAC地址访问控制列表并且命名该列表名为MACSwitch（config）permithost0009.6bc4.d4bfany＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch（config）permitanyhost0009.6bc4.d4bf＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch（config-if）interfaceFa0/20#进入配置具体端口的模式Switch（config-if）macaccess-groupMACin＃在该端口上应用名为MAC的访问列表（即前面我们定义的访问策略）Switch（config）nomacaccess-listextendedMAC＃清除名为MAC的访问列表二、IP地址的MAC地址绑定只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC绑定功能。Switch（config）Macaccess-listextendedMAC＃定义一个MAC地址访问控制列表并且命名该列表名为MACSwitch（config）permithost0009.6bc4.d4bfany＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch（config）permitanyhost0009.6bc4.d4bf＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch（config）Ipaccess-listextendedIP＃定义一个IP地址访问控制列表并且命名该列表名为IPSwitch（config）Permit192.168.0.10.0.0.0any＃定义IP地址为192.168.0.1的主机可以访问任意主机Permitany192.168.0.10.0.0.0＃定义所有主机可以访问IP地址为192.168.0.1的主机Switch（config-if）interfaceFa0/20#进入配置具体端口的模式Switch（config-if）macaccess-groupMAC1in＃在该端口上应用名为MAC的访问列表（即前面我们定义的访问策略）Switch（config-if）Ipaccess-groupIPin＃在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略）Switch（config）nomacaccess-listextendedMAC＃清除名为MAC的访问列表Switch（config）noIpaccess-groupIPin＃清除名为IP的访问列表在cisco交换机中为了防止ip被盗用或员工乱改ip，可以做以下措施，即ip与mac地址的绑定和ip与交换机端口的绑定。一、通过IP查端口先查Mac地址，再根据Mac地址查端口：bangonglou3#showarp|include208.41或者showmac-address-table来查看整个端口的ip-mac表Internet10.138.208.4140006.1bde.3de9ARPAVlan10bangonglou3#showmac-add|in0006.1bde100006.1bde.3de9DYNAMICFa0/17bangonglou3#exit二、ip与mac地址的绑定。这种绑定可以简单有效的防止ip被盗用，别人将ip改成了你绑定了mac地址的ip后，其网络不同，（tcp/udp协议不同，但netbios网络共项可以访问），具体做法：cisco（config）#arp10.138.208.810000.e268.9980ARPA这样就将10.138.208.81与mac：0000.e268.9980ARPA绑定在一起了三、ip与交换机端口的绑定。此种方法绑定后的端口只有此ip能用，改为别的ip后立即断网。有效的防止了乱改ip.cisco（config）#interfaceFastEthernet0/17cisco（config-if）#ipaccess-group6incisco（config）#access-list6permit10.138.208.81这样就将交换机的FastEthernet0/17端口与ip：10.138.208.81绑定了。