CISCO交换机绑定MAC-IP地址

CISCO交换机绑定MAC_IP地址在cisco交换机中为了防止ip被盗用或员工乱改ip，可以做以下措施，既ip与mac地址的绑定，和ip与交换机端口的绑定。

一、通过IP查端口

先查ＭＡＣ地址，再根据ＭＡＣ地址查端口：

bangonglou3#showarp|include208.41

或者showmac-address-table

来查看整个端口的ip-mac表nternet

1

4

0006.1bde.3de9

ARPA

Vlan10

bangonglou3#showmac-add|in0006.1bde

10

0006.1bde.3de9

DYNAMIC

Fa0/17

bangonglou3#exit二、ip与mac地址的绑定，这种绑定可以简单有效的防止ip被盗用，别人将ip改成了你绑定了mac地址的ip后，其网络不同，（tcp/udp协议不同，但netbios网络共项可以访问），具体做法：

cisco(config)#arp10000.e268.9980ARPA

这样就将1与mac:0000.e268.9980ARPA绑定在一起了

三、ip与交换机端口的绑定，此种方法绑定后的端口只有此ip能用，改为别的ip后立即断网。有效的防止了乱改ip。

cisco(config)#

interfaceFastEthernet0/17

cisco(config-if)#ipaccess-group6in

cisco(config)#access-list6permit1这样就将交换机的FastEthernet0/17端口与ip:1绑定了。＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。1.MAC地址与端口绑定，当发现主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应的端口将down掉。当给端口指定MAC地址时，端口模式必须为access或者Trunk状态。

3550-1#conft

3550-1(config)#intf0/1

3550-1(config-if)#switchportmodeaccess/指定端口模式。

3550-1(config-if)#switchportport-securitymac-address00-90-F5-10-79-C1/配置MAC地址。

3550-1(config-if)#switchportport-securitymaximum1/限制此端口允许通过的MAC地址数为1。

3550-1(config-if)#switchportport-securityviolationshutdown/当发现与上述配置不符时，端口down掉。

2.通过MAC地址来限制端口流量，此配置允许一TRUNK口最多通过100个MAC地址，超过100时，但来自新的主机的数据帧将丢失。

3550-1#conft

3550-1(config)#intf0/1

3550-1(config-if)#switchporttrunkencapsulationdot1q

3550-1(config-if)#switchportmodetrunk/配置端口模式为TRUNK。

3550-1(config-if)#switchportport-securitymaximum100/允许此端口通过的最大MAC地址数目为100。

3550-1(config-if)#switchportport-securityviolationprotect/当主机MAC地址数目超过100时，交换机继续工作，但来自新的主机的数据帧将丢失。

上面的配置根据MAC地址来允许流量，下面的配置则是根据MAC地址来拒绝流量。

1.此配置在Catalyst交换机中只能对单播流量进行过滤，对于多播流量则无效。

3550-1#conft

3550-1(config)#mac-address-tablestatic00-90-F5-10-79-C1vlan2drop/在相应的Vlan丢弃流量。

3550-1#conft

3550-1(config)#mac-address-tablestatic00-90-F5-10-79-C1vlan2intf0/1/在相应的接口丢弃流量。＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

在网络安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍采用的做法之一就是IP地址、网卡的MAC地址与交换机端口绑定，但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。一、首先必须明白两个概念：

可靠的MAC地址。配置时候有三种类型。

静态可靠的MAC地址：在交换机接口模式下手动配置，这个配置会被保存在交换机MAC地址表和运行配置文件中，交换机重新启动后不丢失（当然是在保存配置完成后），具体命令如下：

Switch(config-if)#switchportport-securitymac-addressMac地址

动态可靠的MAC地址：这种类型是交换机默认的类型。在这种类型下，交换机会动态学习MAC地址，但是这个配置只会保存在MAC地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，可以手动配置MAC地址和端口的绑定，也可以让交换机自动学习来绑定，这个配置会被保存在MAC地址中和运行配置文件中，如果保存配置，交换机重起动后不用再自动重新学习MAC地址，虽然黏性的可靠的MAC地址可以手动配置，但是CISCO官方不推荐这样做。具体命令如下：

Switch(config-if)#switchportport-securitymac-addresssticky

其实在上面这条命令配置后并且该端口得到MAC地址后，会自动生成一条配置命令

Switch(config-if)#switchportport-securitymac-addressstickyMac地址

这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。二、违反MAC安全采取的措施：

当超过设定MAC地址数量的最大值，或访问该端口的设备MAC地址不是这个MAC地址表中该端口的MAC地址，或同一个VLAN中一个MAC地址被配置在几个端口上时，就会引发违反MAC地址安全，这个时候采取的措施有三种：

1．保护模式（protect）：丢弃数据包，不发警告。

2．限制模式（restrict）：丢弃数据包，发警告，发出SNMPtrap，同时被记录在syslog日志里。

3．关闭模式（shutdown）：这是交换机默认模式，在这种情况下端口立即变为err-disable状态，并且关掉端口灯，发出SNMPtrap，同时被记录在syslog日志里，除非管理员手工激活，否则该端口失效。

具体命令如下：

Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}

下面这个表一就是具体的对比

ViolationModeTrafficisforwardedSendsSNMPtrapSendssyslogmessageDisplayserror

messageShutsdownport

protectNoNoNoNoNo

restrictNoYesYesNoNo

shutdownNoYesYesNoYes

表一

配置端口安全时还要注意以下几个问题：

端口安全仅仅配置在静态Access端口；在trunk端口、SPAN端口、快速以太通道、吉比特以太通道端口组或者被动态划给一个VLAN的端口上不能配置端口安全功能；不能基于每VLAN设置端口安全；交换机不支持黏性可靠的MAC地址老化时间。protect和restrict模式不能同时设置在同一端口上。

下面把上面的知识点连接起来谈谈实现配置步骤的全部命令。

1．静态可靠的MAC地址的命令步骤：

Switch#configterminal

Switch(config)#interfaceinterface-id进入需要配置的端口

Switch(config-if)#switchportmodeAccess设置为交换模式

Switch(config-if)#switchportport-security打开端口安全模式

Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}

上面这一条命令是可选的，也就是可以不用配置，默认的是shutdown模式，但是在实际配置中推荐用restrict。

Switch(config-if)#switchportport-securitymaximumvalue

上面这一条命令也是可选的，也就是可以不用配置，默认的maximum是一个MAC地址，2950和3550交换机的这个最大值是132。

其实上面这几条命令在静态、黏性下都是一样的，

Switch(config-if)#switchportport-securitymac-addressMAC地址

上面这一条命令就说明是配置为静态可靠的MAC地址

2．动态可靠的MAC地址配置，因为是交换机默认的设置。

3．黏性可靠的MAC地址配置的命令步骤：

Switch#configterminal

Switch(config)#interfaceinterface-id

Switch(config-if)#switchportmodeAccess

Switch(config-if)#switchportport-security

Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}

Switch(config-if)#switchportport-securitymaximumvalue上面这几天命令解释和前面静态讲到原因一样，不再说明。

Switch(config-if)#switchportport-securitymac-addresssticky

上面这一条命令就说明是配置为黏性可靠的MAC地址。

最后，说说企业中如何快速MAC地址与交换机端口绑定。在实际的运用中常用黏性可靠的MAC地址绑定，现在我们在一台2950EMI上绑定。

方法1：在CLI方式下配置

2950(config)#intrangfa0/1-48

2950(config-if-range)#switchportmodeAccess

2950(config-if-range)#switchportport-security

2950(config-if-range)#switchportport-securitymac-addressviolationrestrict

2950(config-if-range)#switchportport-securitymac-addresssticky

这样交换机的48个端口都绑定了，注意：在实际运用中要求把连在交换机上的PC机都打开，这样才能学到MAC地址，并且要在学到MAC地址后保存配置文件，这样下次就不用再学习MAC地址了，然后用showport-securityaddress查看绑定的端口，确认配置正确。方法2：在WEB界面下配置，也就是CMS（集群管理单元）

我们通过在IE浏览器中输入交换机IP地址，就可以进入，然后在port—portsecurity下可以选定交换机端口，在Status和StickyMACAddress中选Enable或Disabled，ViolationAction可以选Shutdown、Restrict、Protect中的一种，MaximumAddressCount（1-132）可以填写这个范围的数值。

当然还有要求绑定IP地址和MAC地址的，这个就需要三层或以上的交换了，因为我们知道普通的交换机都是工作在第二层，也就是使数据链路层，是不可能绑定IP的。假如企业是星型的网络，中心交换机是带三层或以上功能的。我们就可以在上绑定，

Switch(config)#arpIp地址Mac地址arpa配置局域网的安全特性，防止地址乱配，ARP攻击等弊病！

1、启用DHCPSNOOPING

全局命令：

ipdhcpsnoopingvlan10,20,30

noipdhcpsnoopinginformationoption

ipdhcpsnoopingdatabaseflash:dhcpsnooping.text//将snooping表保存到单独文档中，防止掉电后消失。

ipdhcpsnooping

接口命令:

ipdhcpsnoopingtrust//将连接DHCP服务器的端口设置为Trust，其余unTrust（默认）

2、启用DAI

防止ARP欺骗和中间人攻击！通过手工配置或者DHCP监听snooping，交换机将能够确定正确的端口。如果ARP应答和snooping不匹配，那么它将被丢弃，并且记录违规行为。违规端口将进入err-disabled状态，攻击者也就不能继续对网络进行进一步的破坏了！

全局命令

iparpinspectionvlan30

接口命令（交换机之间链路配置DAI信任端口，用户端口则在默认的非信任端口）：

iparpinspectiontrust

iparpinspectionlimitrate100

3、启用IPSG

前提是启用IPDHCPSNOOPING，能够获得有效的源端口信息。cisco认证网，加入收藏IPSG是一种类似于uRPF（单播反向路径检测）的二层接口特性，uRPF可以检测第三层或路由接口。

接口命令：

switchportmodeacc

switchportport-security

ipverifysourcevlandhcp-snoopingport-security

4、关于几个静态IP的解决办法

可通过ipdhcpsnoopingbinding1.1.1vlan1interfacegi0/8

通过arpaccess-list添加静态主机:

arpaccess-liststatic-arp

permitiphostmachost0000.0000.0003

iparpinspectionfilterstatic-arpvlan30

DHCP中绑定固定IP：

ipdhcppooltest

host8（分给用户的IP）

client-identifier0101.0bf5.395e.55（用户端mac）

client-nametest

开展及总结：

思科交换机在全局配置模式下开启IPDHCPSNOOPING后，所有端口默认处于DHCPSNOOPINGUNTRUSTED模式下，但DHCPSNOOPINGINFORMATIONOPTION功能默认是开启的，此时DHCP报文在到达一个SNOOPINGUNTRUSTED端口时将被丢弃。因此，必须在4506配置IPDHCPSNOOPINGINFORMATIONOPTIONAL