彼岸花小说:Cisco交换机端口安全介绍 - cisco - 51CTO技术博客
来源:百度文库 编辑:偶看新闻 时间:2024/04/29 21:44:47
Cisco交换机端口安全介绍 2008-03-20 12:56:06标签:Cisco 交换机 端口 安全 在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。
ip与mac地址的绑定,这种绑定可以简单有效的防止ip被盗用,别人将ip改成了你绑定了mac地址的ip后,其网络不同,(tcp/udp协议不同,但netbios网络共项可以访问),
具体做法:
cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了
三、ip与交换机端口的绑定,此种方法绑定后的端口只有此ip能用,改为别的ip后立即断网。有效的防止了乱改ip。
cisco(config)# interface FastEthernet0/17
cisco(config-if)# ip access-group 6 in
cisco(config)#access-list 6 permit 10.138.208.81这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。
方案1——基于端口的MAC地址绑定:
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal #进入配置模式
Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式
Switch(config-if)switchport port-security mac-address MAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if)no switchport port-security mac-address MAC(主机的MAC地址)
#删除绑定主机的MAC地址
注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。(以上功能适用于思科2950、3550、4500、6500系列交换机)
方案2——基于MAC地址的扩展访问列表
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)interface fa0/20
#进入配置具体端口模式
Switch(config)mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)
方案3——IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)mac access-list extended MAC10
#定义一个MAC地址访问控制列表并命名为MAC10
Switch(config)permit host 0009.6b4c.d4bf any
#定义MAC地址为0009.6b4c.d4bf 的主机可以访问任何主机
Switch(config)permit any host 0009.6b4c.d4bf
#定义任何主机可以访问MAC为0009.6b4c.d4bf的主机
Switch(config)ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名为IP10
Switch(config)permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任何主机
Switch(config)permit any 192.168.0.1 0.0.0.0
#定义任何主机都可以访问IP地址为192.168.0.1的主机
完成了这一步就可以进入端口配置模式去配置端口啦!
Switch(config)int fa0/20
#进入端口配置模式
Switch(config-if)
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if)ip access-group IP10 in
#在该端口上应用名为MAC10的访问列表(IP访问控制列表哟)
下面是清除端口上的访问控制列表
Switch(config-if)no mac access-group MAC10 in
Switch(config-if)no ip access-group IP10 in
#取消端口的访问控制列表应用
再清除访问控制列表
Switch(config)no mac access-list extended MAC10
Switch(config)no access-list extended IP10
#清除所定义的MAC10/IP10访问控制列表
述所提到的应用1是基于主机MAC地址与交换机端口的绑定,方案2是基于MAC地址的访问控制列表,前两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现,可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。(以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image))。
在企业实际应用中,我们还可以更灵活的使用,我们都知道访问控制(ACL)功能的强大,如果能够很好的结合交换加以运用,会有更好的效果。以上文章希望对大家有所帮助!
ip与mac地址的绑定,这种绑定可以简单有效的防止ip被盗用,别人将ip改成了你绑定了mac地址的ip后,其网络不同,(tcp/udp协议不同,但netbios网络共项可以访问),
具体做法:
cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了
三、ip与交换机端口的绑定,此种方法绑定后的端口只有此ip能用,改为别的ip后立即断网。有效的防止了乱改ip。
cisco(config)# interface FastEthernet0/17
cisco(config-if)# ip access-group 6 in
cisco(config)#access-list 6 permit 10.138.208.81这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。
方案1——基于端口的MAC地址绑定:
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal #进入配置模式
Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式
Switch(config-if)switchport port-security mac-address MAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if)no switchport port-security mac-address MAC(主机的MAC地址)
#删除绑定主机的MAC地址
注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。(以上功能适用于思科2950、3550、4500、6500系列交换机)
方案2——基于MAC地址的扩展访问列表
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host 0009.6bc4.d4bf any
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)interface fa0/20
#进入配置具体端口模式
Switch(config)mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)
方案3——IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)mac access-list extended MAC10
#定义一个MAC地址访问控制列表并命名为MAC10
Switch(config)permit host 0009.6b4c.d4bf any
#定义MAC地址为0009.6b4c.d4bf 的主机可以访问任何主机
Switch(config)permit any host 0009.6b4c.d4bf
#定义任何主机可以访问MAC为0009.6b4c.d4bf的主机
Switch(config)ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名为IP10
Switch(config)permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任何主机
Switch(config)permit any 192.168.0.1 0.0.0.0
#定义任何主机都可以访问IP地址为192.168.0.1的主机
完成了这一步就可以进入端口配置模式去配置端口啦!
Switch(config)int fa0/20
#进入端口配置模式
Switch(config-if)
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if)ip access-group IP10 in
#在该端口上应用名为MAC10的访问列表(IP访问控制列表哟)
下面是清除端口上的访问控制列表
Switch(config-if)no mac access-group MAC10 in
Switch(config-if)no ip access-group IP10 in
#取消端口的访问控制列表应用
再清除访问控制列表
Switch(config)no mac access-list extended MAC10
Switch(config)no access-list extended IP10
#清除所定义的MAC10/IP10访问控制列表
述所提到的应用1是基于主机MAC地址与交换机端口的绑定,方案2是基于MAC地址的访问控制列表,前两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现,可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。(以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image))。
在企业实际应用中,我们还可以更灵活的使用,我们都知道访问控制(ACL)功能的强大,如果能够很好的结合交换加以运用,会有更好的效果。以上文章希望对大家有所帮助!
求cisco交换机系列介绍
是什么CISCO交换机
cisco交换机命名规则
Cisco 6500系列交换机
cisco 6509交换机
cisco交换机相关问题
CISCO 1900交换机问题
CISCO 3500 端口聚合
请教CISCO交换机的问题
求Cisco交换机的命令
Cisco路由端口同步?异步?
cisco 2800介绍
Cisco路由器的安全配置
CISCO 2950 交换机启动不了,是什么原因呢?
哪些CISCO交换机具有三层路由功能?
CISCO的1900系列交换机问题
哪里有CISCO交换机的使用说明书下载
cisco交换机模拟器哪里有下载的,谢谢
CISCO 4000 ,5000,8000 系列交换机,写出其特点
cisco的交换机里边内存知识的咨询
关于Cisco交换机 划分VLAN 的操作问题
谁知道Cisco 500E交换机如何开启http访问??
思科交换机端口关闭原因
如何屏蔽交换机某一端口