QQ在线支持
商务支持电话
技术支持电话
■&软件产品版本介绍
■&部分典型功能介绍
■&技术服务快速通道
■&商务服务快速通道
■&应用拓展
■&界面视图
->局域网监控-& 怎样设置网络核心交换机实现对局域网所有电脑的IP-MAC地址绑定
&&&&摘要:怎样设置网络核心交换机实现对局域网所有电脑的IP-MAC地址绑定,IP-MAC地址绑定,交换机设置,三层交换机设置,绑定IP-MAC,绑定ARP,绑定MAC地址,绑定IP地址
怎样设置网络核心交换机实现对局域网所有电脑的IP-MAC地址绑定
&&&&&&& IP地址与MAC地址的关系： IP地址是根据现在的IPv4标准指定的，不受硬件限制比较容易记忆的地址，长度4个字节。而 MAC地址却是用网卡的物理地址，保存在网卡的EPROM里面，与硬件有关系，比较难于记忆，长度为6个字节。
　　虽然在TCP／IP网络中，计算机往往需要设置IP地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。
　　ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的　ARJ缓存中包含一个或多个表，用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后，在ARP缓存中会保留相应的MAC地址。所以，下次和同一个IP地址的计算机通讯，将不再查询MAC地址，而是直接引用缓存中的MAC地址。
　　在交换式网络中，交换机也维护一张MAC地址表，并根据MAC地址，将数据发送至目的计算机。　
　　为什么要绑定MAC与IP 地址：IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用 (例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。
　　目前，很多单位的内部网络，都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。
　　在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。
　　1.方案1――基于端口的MAC地址绑定
　　思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：
　　Switch#config terminal
　　＃进入配置模式
　　Switch(config)# Interface fastethernet 0/1
　　＃进入具体端口配置模式
　　Switch(config-if)#Switchport port-secruity
　　＃配置端口安全模式
　　Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
　　＃配置该端口要绑定的主机的MAC地址
　　Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
　＃删除绑定主机的MAC地址
　　注意：
　　以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。
　　注意：
　　以上功能适用于思科、系列交换机
　　2.方案2――基于MAC地址的扩展访问列表
　　Switch(config)Mac access-list extended MAC10
　　＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10
　　Switch(config)permit host .d4bf any
　　＃定义MAC地址为.d4bf的主机可以访问任意主机
　　Switch(config)permit any host .d4bf
　　＃定义所有主机可以访问MAC地址为.d4bf的主机
　　Switch(config-if )interface Fa0/20
　　#进入配置具体端口的模式
　　Switch(config-if )mac access-group MAC10 in
　　＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）
　　Switch(config)no mac access-list extended MAC10
　　＃清除名为MAC10的访问列表
　　此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。
　　注意：
　　以上功能在思科、系列交换机上可以实现，但是需要注意的是需要交换机运行增强的软件镜像（Enhanced Image）。
　　3.方案3――IP地址的MAC地址绑定
　　只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
　　Switch(config)Mac access-list extended MAC10
　　＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10
　　Switch(config)permit host .d4bf any
　　＃定义MAC地址为.d4bf的主机可以访问任意主机
　　Switch(config)permit any host .d4bf
　　＃定义所有主机可以访问MAC地址为.d4bf的主机
　　Switch(config)Ip access-list extended IP10
　　＃定义一个IP地址访问控制列表并且命名该列表名为IP10
　　Switch(config)Permit 192.168.0.1 0.0.0.0 any
　　＃定义IP地址为192.168.0.1的主机可以访问任意主机
　　Permit any 192.168.0.1 0.0.0.0
　　＃定义所有主机可以访问IP地址为192.168.0.1的主机　Switch(config-if )interface Fa0/20
　　#进入配置具体端口的模式
　　Switch(config-if )mac access-group MAC10 in
　　＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）
　　Switch(config-if )Ip access-group IP10 in
　　＃在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略）
　　Switch(config)no mac access-list extended MAC10
　　＃清除名为MAC10的访问列表
　　Switch(config)no Ip access-group IP10 in
　　＃清除名为IP10的访问列表
　　上述所提到的应用1是基于主机MAC地址与交换机端口的绑定，方案2是基于MAC地址的访问控制列表，前两种方案所能实现的功能大体一样。如果要做到 IP与MAC地址的绑定只能按照方案3来实现，可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。
　　注意：以上功能在思科、系列交换机上可以实现，但是需要注意的是需要交换机运行增强的软件镜像（Enhanced Image）。
　　后注：从表面上看来，绑定MAC地址和IP地址可以防止内部IP地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，MAC地址与IP地址的绑定存在很大的缺陷，并不能真正防止内部IP地址被盗用。
&&&&&&& 虽然在TCP／IP网络中，计算机往往需要设置IP地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。
&&&&&&& ARP 协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的ARP缓存中包含一个或多个表，用于存储IP地址及其经过解析的以太网 MAC地址。一台计算机与另一台IP地址的计算机通讯后，在ARP缓存中会保留相应的MAC地址。所以，下次和同一个IP地址的计算机通讯，将不再查询 MAC地址，而是直接引用缓存中的MAC地址。
&&&&&&& IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。
&&作者: anyview（网络警） &&点击:
&&&&相关资讯:
[] [] [] []
■&AnyView(网络警)网络监控软件--功能检索
■&联系我们获得支持和服务
Copyright © 2000- 厦门天锐科技股份有限公司 版权所有 E-MAIL:网络准入认证系统分析
准入系统意义
华为的网络准入认证系统Agile
Controller，包含终端桌面管理功能，对于大规模的园区网络，这套系统将夯实基础运维网络基础，运维人员将从大量工作繁杂、技术含量低的工作中解放出来，将精力放到更有意义工作上。网络运维也将迎来一个新的局面。
不安装准入客户端的情况下：
无线网络规划：无线AP发射两个SSID，一个供内部员工使用，一个供外部访客使用。
网络认证阶段
网络授权阶段
采用802.1X认证。
连接无线SSID时，需要进行用户名和密码验证。
终端可以记住密码，以后就可以自动认证，用户无感知。
准入认证系统按照预先定义的认证规则进行检验，包括用户是否从绑定设备接入，是否达到允许用户接入设备数量上限等。
认证通过后，准入认证系统按照预先定义的授权规则，授予用户相应网络访问权限。
采用Portal认证。
连接无线SSID时，在弹出的WEB认证页面中上进行认证。
支持访客自助认证、审批认证、微信认证等。
认证通过后，准入认证系统按照预先定义的授权规则，授予用户相应网络访问权限。
采用802.1X认证方式。只需用户启用Wired
AutoConfig系统服务（默认为禁用）。用户接入网络时，像宽带连接一样，系统提示输入用户名和密码。
终端可以记住密码，以方便下次自动认证，用户无感知。
与无线相同
MAC旁路认证不是一种专门的认证方式。一般是设备自动将终端的MAC作为参数进行802.1x认证或Portal认证。
无线802.1x认证方式不能进行MAC旁路认证，Portal认证是可以支持MAC旁路的。
1、有线802.1x接入
在启用了802.1X认证设备上配置MAC旁路认证功能后，终端首先会进行802.1x认证，一旦认证失败，则设备会将用户的MAC地址作为用户名和密码上送至认证服务器进行认证。
2、有线和无线Portal接入
过程与802.1x接入类似。
如果需要MAC快速通过认证，则可开启旁路认证过程中优先进行MAC认证功能。之后，端口将优先使用终端的MAC地址进行认证，在认证失败后再触发802.1x认证。
如果采用的的IP与准入系统品牌一致（思科或华为），IP电话可以被自动被识别，划到Voice语音Vlan，用户可以即插即用。
2. 如果是其它品牌IP电话，需要管理员事先统计IP电话的MAC地址，在后台将其手动划到Voice
Vlan中，IP电话经MAC旁路认证后，才可使用。
打印机等哑端，需要管理员事先统计哑终端的MAC地址，将其手动划到相应Vlan中，终端设备经MAC旁路认证后才可使用。
802.1X认证协议属于二层协议，对二层接入交换机要求较高，不同品牌交换机不能混用。这就涉及到目前公司现存的各种型号的二层交换机更换问题。
思科准入方案
华为准入方案
1、将非思科交换机全部更换。
2、将思科LanLite系列交换机替换
公司存在的以下思科交换机不支持准入系统：
思科2918交换机能实现802.1x认证，但是不支持对802.1x的eap认证报文进行透传，所以不能把报文转发到上层交换机上做认证。也不支持RADIUS下发的标准VLAN和ACL号属性，无法做到根据VLAN或ACL动态地进行权限控制。
思科2918交换机的802.1x认证仅能做到基于端口，做不到基于MAC。因此当准入交换机与终端间存在傻瓜交换机时，只要有一个终端认证通过，其他接入的终端均获得网络访问权。
思科2960系列Lan Lite版本交换机,不支持ACL动态权限控制。
共需替换二层交换机数量约XX台，成本约XX。
将所有二层交换机更换为华为。此方法需替换二层交换机数量巨大，同时考虑到上海方案已确定为思科，故此方案不可行。
不采用802.1X认证方式，全部采用Portal认证。
由于Portal与二层设备关系不大，所以无须更换二层交换机。由于Portal认证默认需要用户在Web网页上进行认证，为做到用户无感知认证体验，华为建议用户安装华为准入客户端进行自动认证。
802.1X认证
802.1X认证协议属于二层协议，对二层接入交换机要求较高，由于交换机型号不一致，终端的802.1X
EAP认证报文无法透传到认证服务器，所以不同品牌交换机不能混用。
开启了802.1X认证的接入交换机，每个物理端口分为受控端口和非受控端口：
用户终端接到受控端口下，在认证通过前，只允许EAPoL认证报文通过，认证通过后，正常的数据（如DHCP）才可以通过,用户才可以获得IP地址正常上网。
非受控端口始终处于双向连通状态，主要用来传递EAPoL协议帧，接收用户终端发出的EAPoL请求认证报文。
Portal认证
Portal认证也叫Web认证，一般是通过HTTP页面接受用户输入的用户名和密码，对用户进行认证，Portal认证为三层协议，与二层设备关系不大，因此使用较为方便。但在安全上来说，与802.1X认证相比，IP地址分配在认证通过之前，且无论是否通过认证，本网段的终端是可以相互通信的（可以采取其它手段进行终端隔离，如交换机端口隔离，无线的话
，AP用户隔离）。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。你正在使用的浏览器版本过低，将不能正常浏览和使用知乎。推荐这篇日记的豆列
······}