在cisco中有以下三種方案可供選擇,方案1和方案2實現的功能是一樣的,即在具體的交換機埠上繫結特定的主機的mac位址(網絡卡硬體位址),方案3是在具體的交換機埠上同時繫結特定的主機的mac位址(網絡卡硬體位址)和ip位址。
1.方案1——基於埠的mac位址繫結
思科2950交換機為例,登入進入交換機,輸入管理口令進入配置模式,敲入命令:
ng=1 cellpadding=0 width="80%" align=left bgcolor=#cccccc border=0> switch#config terminal #進入配置模式
switch(config)# inte***ce fastethernet 0/1 #進入具體埠配置模式
switch(config-if)#switchport port-secruity #配置埠安全模式
switch(config-if )switchport port-security mac-address mac(主機的mac位址)
#配置該埠要繫結的主機的mac位址
switch(config-if )no switchport port-security mac-address mac(主機的mac位址)
#刪除繫結主機的mac位址
注意: 以上命令設定交換機上某個埠繫結乙個具體的mac位址,這樣只有這個主機可以使用網路,如果對該主機的網絡卡進行了更換或者其他pc機想通過這個埠使用網路都不可用,除非刪除或修改該埠上繫結的mac位址,才能正常使用。
注意:以上功能適用於思科2950、3550、4500、6500系列交換機
2.方案2——基於mac位址的擴充套件訪問列表
switch(config)mac access-list extended mac10
#定義乙個mac位址訪問控制列表並且命名該列表名為mac10
switch(config)permit host 0009.6bc4.d4bf any
#定義mac位址為0009.6bc4.d4bf的主機可以訪問任意主機
switch(config)permit any host 0009.6bc4.d4bf
#定義所有主機可以訪問mac位址為0009.6bc4.d4bf的主機
switch(config-if )inte***ce fa0/20 #進入配置具體埠的模式
switch(config-if )mac access-group mac10 in
#在該埠上應用名為mac10的訪問列表(即前面我們定義的訪問策略)
switch(config)no mac access-list extended mac10
#清除名為mac10的訪問列表
此功能與應用一大體相同,但它是基於埠做的mac位址訪問控制列表限制,可以限定特定源mac位址與目的位址範圍。
注意:以上功能在思科2950、3550、4500、6500系列交換機上可以實現,但是需要注意的是2950、3550需要交換機執行增強的軟體映象(enhanced image)。
3.方案3——ip位址的mac位址繫結
只能將應用1或2與基於ip的訪問控制列表組合來使用才能達到ip-mac 繫結功能。
switch(config)mac access-list extended mac10
#定義乙個mac位址訪問控制列表並且命名該列表名為mac10
switch(config)permit host 0009.6bc4.d4bf any
#定義mac位址為0009.6bc4.d4bf的主機可以訪問任意主機
switch(config)permit any host 0009.6bc4.d4bf
#定義所有主機可以訪問mac位址為0009.6bc4.d4bf的主機
switch(config)ip access-list extended ip10
#定義乙個ip位址訪問控制列表並且命名該列表名為ip10
switch(config)permit 192.168.0.1 0.0.0.0 any
#定義ip位址為192.168.0.1的主機可以訪問任意主機
switch(config)permit any 192.168.0.1 0.0.0.0
#定義所有主機可以訪問ip位址為192.168.0.1的主機
switch(config-if )inte***ce fa0/20
#進入配置具體埠的模式
switch(config-if )mac access-group mac10 in
#在該埠上應用名為mac10的訪問列表(即前面我們定義的訪問策略)
switch(config-if )ip access-group ip10 in
#在該埠上應用名為ip10的訪問列表(即前面我們定義的訪問策略)
switch(config)no mac access-list extended mac10
#清除名為mac10的訪問列表
switch(config)no ip access-group ip10 in
#清除名為ip10的訪問列表
上述所提到的應用1是基於主機mac位址與交換機埠的繫結,方案2是基於mac位址的訪問控制列表,前兩種方案所能實現的功能大體一樣。如果要做到ip與mac位址的繫結只能按照方案3來實現,可根據需求將方案1或方案2與ip訪問控制列表結合起來使用以達到自己想要的效果。
注意:以上功能在思科2950、3550、4500、6500系列交換機上可以實現,但是需要注意的是2950、3550需要交換機執行增強的軟體映象(enhanced image)。
2層安全:
a、設定一埠只接受第一次連線該埠的計算機mac位址,當該埠第一次獲得某計算機mac位址後,其他計算機接入到此埠所傳送的資料報則認為非法,做丟棄處理。
b、設定一埠只接受某一特定計算機mac位址,其他計算機均無法接入到此埠。
實現方法:
switch#config terminal
switch(config)#inte***ce inte***ce-id 進入需要配置的埠
switch(config-if)#switchport mode access 設定為交換模式
switch(config-if)#switchport port-security 開啟埠安全模式
switch(config-if)#switchport port-security violation //針對非法接入計算機,埠處理模式
//以上步驟與a同
switch(config-if)#switchport port-security mac-address sticky
switch(config-if)#switchport port-security aging static //開啟靜態對映
switch(config-if)#switchport port-security mac-address sticky ***x.***x.***x //為埠輸入特定的允許通過的mac位址
三層安全:
在交換機內建立mac位址和ip位址對應的對映表。埠獲得的ip和mac位址將匹配該錶,不符合則丟棄該埠傳送的資料報。
實現方法:
switch#config terminal
switch(config)#arp 1.1.1.1 0001.0001.1111 arpa
Cisco路由器故障診斷技術
首先我們討論特權模式下的ping的各種可用屬性。每種屬性的預設值在括號中顯示。protocol 需要測試的協議。target address 測試的目標位址。repeat count 如果出現間歇性的失敗或者響應時間過慢,ping重複的次數。datagram size 如果懷疑報文由於延遲過長或者分...
介紹Cisco路由器
多數cisco路由器產品執行cisco ios作業系統,它是專有作業系統,與linux無關。它的命令集相當大,全部文獻加起來會佔4.5英呎長的書架。我們肯定不會在此詳細介紹cisco ios,但知道一點基本知識還是有好處的。telnet acme gw.acme.com connected to a...
cisco路由器配置
cisco路由器配置的幾個常用命令 router enable 進入特權模式 router conf t 進入配置模式 router config int fa0 0 進入fa0 0介面 router config if ip add 192.168.1.1 255.255.255.0 給fa0 0...