一、針對於目前ARP病毒肆虐,利用ARP協議進行欺騙的網絡問題也日漸嚴重。在防範過程中除了VLAN的劃分來抑制問題的擴散,如果將MAC地址與端口綁定配合起來會達到最佳的防範效果。
下面在Cisco交換機上實現簡單的端口綁定,舉Cisco 3550爲例:
下面在Cisco交換機上實現簡單的端口綁定,舉Cisco 3550爲例:
3550#config terminal
//進入通用配置模式
3550(config)# Interface fastethernet 0/1
//進入需要配置的具體端口配置模式
3550(config-if)#switchport mode access
//設置交換機的端口模式爲access模式,注意缺省是dynamic
//dynamic模式下是不能使用Port-security功能的
3550(config-if)#switchport port-secruity
//啓用端口安全模式
3550(config-if )switchport port-security mac-address <後面寫上主機的MAC地址>
//配置該端口要綁定的主機的MAC地址
switch(config-if)#switchport port-security maximum 1
//其實缺省就是1個
switch(config-if)#switchport port-security violation shutdown
//設置違反端口安全規則,缺省是shutdown
//進入通用配置模式
3550(config)# Interface fastethernet 0/1
//進入需要配置的具體端口配置模式
3550(config-if)#switchport mode access
//設置交換機的端口模式爲access模式,注意缺省是dynamic
//dynamic模式下是不能使用Port-security功能的
3550(config-if)#switchport port-secruity
//啓用端口安全模式
3550(config-if )switchport port-security mac-address <後面寫上主機的MAC地址>
//配置該端口要綁定的主機的MAC地址
switch(config-if)#switchport port-security maximum 1
//其實缺省就是1個
switch(config-if)#switchport port-security violation shutdown
//設置違反端口安全規則,缺省是shutdown
這個配置只可以一個端口綁定一個MAC地址,那麼要綁定多個IP地址與MAC地址應該如何處理呢?
看看下面的配置:
看看下面的配置:
1.先建立兩個訪問控制列表,一個是關於MAC地址的,一個是關於IP地址的。
3550(config)#mac access-list extended mac-n
//配置一個命名的MAC地址訪問控制列表,命名爲mac-n
3550(config-ext-macl)#permit host 0001.a1db.f987 any
//源MAC地址爲0001.a1db.f987的主機可以訪問任意主機
3550(config-ext-macl)#permit any host 0001.a1db.f987
//所有主機可以訪問目的MAC地址爲0001.a1db.f987的主機
3550(config)#ip access-list extended ip-n
//配置命名的IP地址訪問控制列表,命名爲ip-n
3550(config-ext-nacl)#permit ip 172.0.0.1 0.0.0.0 any
//允許172.0.0.1地址在網內工作
3550(config)#mac access-list extended mac-n
//配置一個命名的MAC地址訪問控制列表,命名爲mac-n
3550(config-ext-macl)#permit host 0001.a1db.f987 any
//源MAC地址爲0001.a1db.f987的主機可以訪問任意主機
3550(config-ext-macl)#permit any host 0001.a1db.f987
//所有主機可以訪問目的MAC地址爲0001.a1db.f987的主機
3550(config)#ip access-list extended ip-n
//配置命名的IP地址訪問控制列表,命名爲ip-n
3550(config-ext-nacl)#permit ip 172.0.0.1 0.0.0.0 any
//允許172.0.0.1地址在網內工作
2.將建立好的訪問控制列表加入需要配置的端口
3550(config-if )#interface fa0/1
//進入配置具體端口的模式
3550(config-if )#mac access-group mac-n in
3550(config-if )#ip access-group ip-n in
3550(config-if )#interface fa0/1
//進入配置具體端口的模式
3550(config-if )#mac access-group mac-n in
3550(config-if )#ip access-group ip-n in
PS:上面的配置是靜態可靠的MAC地址和端口的綁定,命令格式:Switch(config-if)#switchport port-security mac-address Mac地址
企業中如何快速將MAC地址與交換機端口綁定呢?在實際的運用中常用黏性可靠的MAC地址綁定:舉CISCO 2950爲例
2950 (config)#int rang fa0/1 - 48
2950 (config-if-range)#switchport mode Access
2950 (config-if-range)#switchport port-security
2950 (config-if-range)#switchport port-security mac-address violation restrict
2950 (config-if-range)#switchport port-security mac-address sticky
2950 (config-if-range)#switchport mode Access
2950 (config-if-range)#switchport port-security
2950 (config-if-range)#switchport port-security mac-address violation restrict
2950 (config-if-range)#switchport port-security mac-address sticky
這樣交換機的48個端口都綁定了,注意:在實際運用中要求把連在交換機上的PC機都打開,這樣才能學到MAC地址,並且要在學到MAC地址後保存配置文件,這樣下次就不用再學習MAC地址了,然後用show port-security address查看綁定的端口,確認配置正確。
二、在cisco交換機中爲了防止ip被盜用或員工亂改ip,可以做以下措施,既ip與mac地址的綁定,和ip與交換機端口的綁定。
ip與mac地址的綁定,這種綁定可以簡單有效的防止ip被盜用,別人將ip改成了你綁定了mac地址的ip後,其網絡不通,(tcp/udp協議不通,但netbios網絡共項可以訪問),具體做法:
cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA
cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA
這樣就將10.138.208.81 與mac:0000.e268.9980 ARPA綁定在一起了。
ip與交換機端口的綁定,此種方法綁定後的端口只有此ip能用,改爲別的ip後立即斷網。有效的防止了亂改ip。
cisco(config)# interface FastEthernet0/17
cisco(config-if)# ip access-group 6 in
cisco(config)#access-list 6 permit 10.138.208.81
這樣就將交換機的FastEthernet0/17端口與ip:10.138.208.81綁定了。
補:我們也可以通過MAC地址來限制端口流量,此配置允許一TRUNK口最多通過100個MAC地址,超過100時,但來自新的主機的數據幀將丟失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式爲TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允許此端口通過的最大MAC地址數目爲100。
3550-1(config-if)#switchport port-security violation protect /當主機MAC地址數目超過100時,交換機繼續工作,但來自新的主機的數據幀將丟失。
上面的配置根據MAC地址來允許流量,下面的配置則是根據MAC地址來拒絕流量。
此配置在Catalyst交換機中只能對單播流量進行過濾,對於多播流量則無效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相應的Vlan丟棄流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相應的接口丟棄流量。