rainbow

1.方案1——基于端口的MAC地址绑定
* I+ t$ l) G# y+ O, S9 F, Rwww.520diannao.com　　 我爱电脑技术论坛6 B9 P# R1 }* C! [9 y0 x1 C
　　 思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：
( e0 M+ x  ]8 e0 P- Hwww.520diannao.com　　 Switch#config terminal打造最好的电脑自学交流论坛, S4 M/ W; c+ {
　　 ＃进入配置模式
) ~6 _% ^% F+ D5 G! d( Cwww.520diannao.com　　 Switch(config)# Interface fastethernet 0/1电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站6 V" {) N! @" o
　　 ＃进入具体端口配置模式电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站: E& p- |: `( l6 ]$ V' G$ a1 r# Z
　　 Switch(config-if )#Switchport port-secruitywww.520diannao.com! u; N% c# w; g$ ]0 ~* [
　　 ＃配置端口安全模式
6 X7 [% x. b/ J5 Z* D3 P　　 Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)0 u/ [/ J* ?8 a5 v" E& m
　　 ＃配置该端口要绑定的主机的MAC地址打造最好的电脑自学交流论坛5 ^' K/ `! y  x2 I  S
　　 Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站1 F+ s. V! T3 p$ N
　　 ＃删除绑定主机的MAC地址www.520diannao.com- w7 s4 j) X# t" l6 ]$ W
　　
/ D/ d0 q$ ]: _; lwww.520diannao.com　　 注意：打造最好的电脑自学交流论坛: x, G$ p4 @- Y/ F" @
　　
8 R8 u5 C) G( ^$ m4 O$ j3 k- t　　 以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。" n- o1 @3 \) s' D5 ?
　　 打造最好的电脑自学交流论坛! A/ V* {) n- a" X/ f4 l
　　 注意：
! A) {, ^: F/ M  ^电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站　　
& V2 z+ Y: G6 F　　 以上功能适用于思科2950、3550、4500、6500系列交换机打造最好的电脑自学交流论坛4 e0 [# K6 r7 s3 G2 u) o2 y$ C
　　 我爱电脑技术论坛3 v/ b& ~; ]& B0 ?7 t2 V
2.方案2——基于MAC地址的扩展访问列表
; D) U7 `/ d) P8 g. x我爱电脑技术论坛　　 打造最好的电脑自学交流论坛9 f% _1 _2 m; N* L; y& H% g5 ^) |$ ]
　　 Switch(config)Mac access-list extended MAC10
9 g, e6 @  N& f8 ^) q8 Qwww.520diannao.com　　 ＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10我爱电脑技术社区--打造最好的电脑技术自学交流平台* D6 A3 }; Q+ }5 Y3 \  r7 K- n0 H
　　 Switch(config)permit host 0009.6bc4.d4bf any我爱电脑技术社区--打造最好的电脑技术自学交流平台. z8 Q+ u  D4 O
　　 ＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
. k' ]' h$ [- m$ j6 I2 ^# E　　 Switch(config)permit any host 0009.6bc4.d4bfwww.520diannao.com1 z3 @2 t. \0 c
　　 ＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机4 H3 _' r0 s- l. P& g
　　 Switch(config-if )interface Fa0/20
6 }5 r/ x* U, @2 D我爱电脑技术社区--打造最好的电脑技术自学交流平台　　 #进入配置具体端口的模式我爱电脑技术论坛# y4 r2 P# n) O# n
　　 Switch(config-if )mac access-group MAC10 in电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站5 b( t: S4 z( C8 p" Q* U
　　 ＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）' ^% I, O5 K' ]* b8 i0 @+ ]! I
　　 Switch(config)no mac access-list extended MAC10
6 O$ M/ {' _% M2 P电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站　　 ＃清除名为MAC10的访问列表
" G0 G8 H- T, J& S3 U, E( w电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站　　
7 F- c8 d5 \% m  Z" n; q8 {我爱电脑技术社区--打造最好的电脑技术自学交流平台　　 此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。
" u) K, x# {- c# p' Lwww.520diannao.com　　 & Q( s$ R; {7 r3 a0 V/ t
　　 注意：
7 }% D* x8 K; [　　 www.520diannao.com. G+ _5 y, \/ e" Q( H
　　 以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像（Enhanced Image）。
0 w3 Z9 V& F9 G& l" ~* }www.520diannao.com　　 www.520diannao.com: w( G2 Q6 \6 }2 r+ l
3.方案3——IP地址的MAC地址绑定
; a* `$ `+ x. K1 }4 X我爱电脑技术论坛　　 打造最好的电脑自学交流论坛9 ~& q: z& Y3 M  _/ {
　　 只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。我爱电脑技术论坛' D" z5 J* a* [$ z1 L
　　 Switch(config)Mac access-list extended MAC10www.520diannao.com( \- Y6 x" f! @+ @1 Y* ~& n' e
　　 ＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10
' l9 ?2 e7 O1 Y$ K+ |2 j+ U4 c+ c我爱电脑技术论坛　　 Switch(config)permit host 0009.6bc4.d4bf any我爱电脑技术社区--打造最好的电脑技术自学交流平台3 P0 S  Q$ G8 t. g, h8 _
　　 ＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
8 ^; X* Q5 N% C' k% Owww.520diannao.com　　 Switch(config)permit any host 0009.6bc4.d4bf电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站' t7 w$ r$ F& J! W+ u
　　 ＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机www.520diannao.com* A2 q+ y+ r2 {, z
　　 Switch(config)Ip access-list extended IP10
1 V; Z+ v# X! G; \我爱电脑技术社区--打造最好的电脑技术自学交流平台　　 ＃定义一个IP地址访问控制列表并且命名该列表名为IP10电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站" G8 V/ ~+ h9 m* X- x7 A
　　 Switch(config)Permit 192.168.0.1 0.0.0.0 any
3 P9 v0 X) G% C& c打造最好的电脑自学交流论坛　　 ＃定义IP地址为192.168.0.1的主机可以访问任意主机www.520diannao.com2 V9 e" s2 d/ G( j, c0 [, `
　　 Permit any 192.168.0.1 0.0.0.0  H. [5 {  @4 B( e( v7 ^
　　 ＃定义所有主机可以访问IP地址为192.168.0.1的主机打造最好的电脑自学交流论坛7 `4 X0 H& w- f5 t9 P2 ?, |+ n
　　 Switch(config-if )interface Fa0/20
( ^* b" H% S, Q% U/ S) R1 w我爱电脑技术社区--打造最好的电脑技术自学交流平台　　 #进入配置具体端口的模式
  e+ a( V* [  J6 @打造最好的电脑自学交流论坛　　 Switch(config-if )mac access-group MAC10 in我爱电脑技术社区--打造最好的电脑技术自学交流平台" D" g. ~9 x/ s% @$ q  k
　　 ＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）我爱电脑技术社区--打造最好的电脑技术自学交流平台* ~+ {- q8 ~) ?: d3 u% O' W
　　 Switch(config-if )Ip access-group IP10 in
+ z3 r  h5 p# v" J' a  e打造最好的电脑自学交流论坛　　 ＃在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略）我爱电脑技术社区--打造最好的电脑技术自学交流平台/ T* ^$ Z" v: e5 ~$ U
　　 Switch(config)no mac access-list extended MAC10
. v) ~8 Q! Q/ @1 c3 V　　 ＃清除名为MAC10的访问列表电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站0 ^, _+ d; s: @- z3 Z: }1 h( m
　　 Switch(config)no Ip access-group IP10 in我爱电脑技术社区--打造最好的电脑技术自学交流平台) W% w# w8 h; g1 d/ f
　　 ＃清除名为IP10的访问列表电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站- s" \# G$ S  J7 }' Y
　　 打造最好的电脑自学交流论坛2 U! [( X6 d, I' k* h
　　 上述所提到的应用1是基于主机MAC地址与交换机端口的绑定，方案2是基于MAC地址的访问控制列表，前两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现，可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。我爱电脑技术论坛) ?2 [! j& `  ?9 {7 y" g, l9 z/ _
　　 www.520diannao.com0 U: r* P3 X- u$ R+ N$ s# s! Z
　　 注意：以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像（Enhanced Image）。
- H/ p/ `5 C+ l- a2 u& B9 R　　 打造最好的电脑自学交流论坛/ ^8 L5 f" Q) Q4 H7 G/ I) D  a
　　 后注：从表面上看来，绑定MAC地址和IP地址可以防止内部IP地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，MAC地址与IP地址的绑定存在很大的缺陷，并不能真正防止内部IP地址被盗用。