針對於目前arp病毒肆虐,利用arp協議進行欺騙的網絡問題也日漸嚴重。在防範過程中除了VLAN的劃分來抑制問題的擴散,還需要將IP地址與MAC地址綁定來配合達到最佳的防範結果。
在思科的交換機上簡單實現是使用端口來幫定MAC地址。
實現如下:
3550#config terminal
//進入通用配置模式
3550(config)# Interface fastethernet 0/1
//進入需要配置的具體端口配置模式
3550(config-if)#3550port port-secruity
//啓用端口安全模式
3550(config-if )3550port port-security mac-address <主機的MAC地址>
//配置該端口要綁定的主機的MAC地址
這個配置只可以一個端口綁定一個MAC地址,呵呵,我想沒有人會用3550這樣的交換機一個口只接一臺主機吧。那麼要綁定多個IP地址與MAC地址應該如何處理呢?
我們可以看看下面的配置:
1. 先建立兩個訪問控制列表,一個是關於MAC地址的,一個是關於IP地址的。
3550(config)#mac access-list extended mac-vfast
//配置一個命名的MAC地址訪問控制列表,命名爲mac-vfast
3550(config)#permit host 0017.31db.f666 any
//源MAC地址爲0017.31db.f666的主機可以訪問任意主機
3550(config)#permit any host 0017.31db.f666
//所有主機可以訪問目的MAC地址爲0017.31db.f666的主機
3550(config)#ip access-list extended ip-vfast
//配置命名的IP地址訪問控制列表,命名爲ip-vfast
3550(config)#permit ip 10.0.0.1 0.0.0.0 any
#允許10.0.0.1地址在網內工作
2. 將建立好的訪問控制列表加入需要配置的端口
3550(config-if )#interface Fa0/1
//進入配置具體端口的模式
3550(config-if )#mac access-group mac-vfast in
3550(config-if )#Ip access-group ip-vfast in