网络 走深信服跨三层mac识别后 目的mac 会跟着变么
点击联系发帖人
时间:2015-09-15 03:58
> 详细内容
同一汇聚交换机下ma5680t三层接口mac地址冲突
摘要:现象描述: 陕西榆林某县局申告其所在乡镇下一台GPON设备丢包,市公司支撑人员在处理过程中发现该乡镇一共有两台MA5680T,一台EPON承载FTTX业务,一台GPON承载FTTH业务,两台设备管理均丢包,设备版本为MAC00。两台设备组网情况为OLT1(EPON)有....
现象描述:&&& 陕西榆林某县局申告其所在乡镇下一台GPON设备丢包,市公司支撑人员在处理过程中发现该乡镇一共有两台MA5680T,一台EPON承载FTTX业务,一台GPON承载FTTH业务,两台设备管理均丢包,设备版本为MAC00。两台设备组网情况为OLT1(EPON)有两条GE链路分别上行至华为S9312和中兴T160G汇聚交换机,到S9312的链路上走PPPOE、VOIP、IPTV和ITMS业务流,到T160G的链路走专线业务;OLT2(GPON)单上行至S9312,两台设备的管理都走华为S9312至NE40E业务路由器这条GE中继。
告警信息:故障发生时,MA5680T和上行汇聚交换机无任何告警。
原因分析:&& 根据通常情况分析,设备丢包一般是因为光路衰减过大引起,当时即通知现场维护人员检查光路情况、光模块发光情况经检查确定收光都在-18dbm以内,属正常范围。因一台设备中断时另一台设备正常,怀疑光路存在交叉情况,经县局人员解释,两台设备的光纤是在两条光缆上,排除了鸳鸯纤的可能,根据县局维护人员描述, 此故障是近期出现,由于上层数据最近未做改动,排除了上层数据配置的原因。
处理过程:&& 在S9312上shutdown掉OLT2的上行GE口,ping OLT1管理地址1000次没丢一个包,同样shutdown掉OLT1的上行ping OLT2设备管理也没有丢包,无法确定原因,只好根据以往的经验,在OLT1T上用display interface vlanif 199查看管理三层接口的MAC地址,然后再到S9312上看MAC地址从哪一个口上上来,第一次这个MAC地址是从OLT1对应的上行口上来,过了1分钟再到S9312上查看时,管理MAC地址又从OLT2对应的上行口上来,至此故障原因基本明确,两个同一网段内管理地址MAC地址存在冲突,再到OLT2上查看管理三层接口的MAC地址,结果与OLT1的完全一致都是4cb1-6c42-4f92,后联系西安办事处协助修改MAC地址以解决此问题。
建议与总结:& 两台设备MAC地址完全一致的现象以前没有遇到过,处理过程中一时难以找到原因,但是根据MAC地址向上逐层查找可以作为解决设备不通问题的基本方法。
系统教程推荐
系统教程排行
操作系统推荐
软件下载推荐
版权所有 粤ICP备号-3QQ在线支持
商务支持电话
技术支持电话
■&软件产品版本介绍
■&部分典型功能介绍
■&技术服务快速通道
■&商务服务快速通道
■&应用拓展
■&界面视图
->局域网监控-& 怎样设置网络核心交换机实现对局域网所有电脑的IP-MAC地址绑定
&&&&摘要:怎样设置网络核心交换机实现对局域网所有电脑的IP-MAC地址绑定,IP-MAC地址绑定,交换机设置,三层交换机设置,绑定IP-MAC,绑定ARP,绑定MAC地址,绑定IP地址
怎样设置网络核心交换机实现对局域网所有电脑的IP-MAC地址绑定
&&&&&&& IP地址与MAC地址的关系: IP地址是根据现在的IPv4标准指定的,不受硬件限制比较容易记忆的地址,长度4个字节。而 MAC地址却是用网卡的物理地址,保存在网卡的EPROM里面,与硬件有关系,比较难于记忆,长度为6个字节。
虽然在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。
ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的 ARJ缓存中包含一个或多个表,用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后,在ARP缓存中会保留相应的MAC地址。所以,下次和同一个IP地址的计算机通讯,将不再查询MAC地址,而是直接引用缓存中的MAC地址。
在交换式网络中,交换机也维护一张MAC地址表,并根据MAC地址,将数据发送至目的计算机。
为什么要绑定MAC与IP 地址:IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用 (例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。
目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。
在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。
1.方案1――基于端口的MAC地址绑定
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal
#进入配置模式
Switch(config)# Interface fastethernet 0/1
#进入具体端口配置模式
Switch(config-if)#Switchport port-secruity
#配置端口安全模式
Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
#删除绑定主机的MAC地址
注意:
以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
注意:
以上功能适用于思科、系列交换机
2.方案2――基于MAC地址的扩展访问列表
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host .d4bf any
#定义MAC地址为.d4bf的主机可以访问任意主机
Switch(config)permit any host .d4bf
#定义所有主机可以访问MAC地址为.d4bf的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
注意:
以上功能在思科、系列交换机上可以实现,但是需要注意的是需要交换机运行增强的软件镜像(Enhanced Image)。
3.方案3――IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host .d4bf any
#定义MAC地址为.d4bf的主机可以访问任意主机
Switch(config)permit any host .d4bf
#定义所有主机可以访问MAC地址为.d4bf的主机
Switch(config)Ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)Permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Permit any 192.168.0.1 0.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机 Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if )Ip access-group IP10 in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
Switch(config)no Ip access-group IP10 in
#清除名为IP10的访问列表
上述所提到的应用1是基于主机MAC地址与交换机端口的绑定,方案2是基于MAC地址的访问控制列表,前两种方案所能实现的功能大体一样。如果要做到 IP与MAC地址的绑定只能按照方案3来实现,可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。
注意:以上功能在思科、系列交换机上可以实现,但是需要注意的是需要交换机运行增强的软件镜像(Enhanced Image)。
后注:从表面上看来,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址与IP地址的绑定存在很大的缺陷,并不能真正防止内部IP地址被盗用。
&&&&&&& 虽然在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。
&&&&&&& ARP 协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的ARP缓存中包含一个或多个表,用于存储IP地址及其经过解析的以太网 MAC地址。一台计算机与另一台IP地址的计算机通讯后,在ARP缓存中会保留相应的MAC地址。所以,下次和同一个IP地址的计算机通讯,将不再查询 MAC地址,而是直接引用缓存中的MAC地址。
&&&&&&& IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。
&&作者: anyview(网络警) &&点击:
&&&&相关资讯:
[] [] [] []
■&AnyView(网络警)网络监控软件--功能检索
■&联系我们获得支持和服务
Copyright © 2000- 厦门天锐科技股份有限公司 版权所有 E-MAIL:深信服跨三层扫描MAC-1
SANGFOR AC SNMP 实现跨三层绑定 IP/MAC SNMP 实现跨三层 IP/MAC 绑定的前提条件: 三层交换机开启了 SNMP 功能,AC 设备进行 SNMP 设置(填入三层交换机的 IP/...
snmp跨三层绑定mac功能用工具取交换机oid的方法_计算机硬件及网络_IT/计算机_...SANGFOR AC SNMP实现跨三... 5页 2下载券
关于IP-MAC绑定的交换机... 17...
深信服WAC多SSID跨VLAN二层部署_计算机硬件及网络_IT/计算机_专业资料。深信服WAC控制器二层多SSID多VLAN二层部署 做最具服务能力的集成商 SANGFOR WAC 多 SSID ...
深信服SG3200教程_计算机硬件及网络_IT/计算机_专业资料。深信服SG3200教程 徐州华恒深信服上网管理系统操作手册 1、 查找上网电脑的 IP 和 MAC 信息 A、XP 系统...
深信服公司概况: 1、网络安全 网络优化 虚拟化 2、市场表现 硬件 VPN 上网行为...5、 (用户、与应用识别) IP/MAC 绑定(支持跨三层绑定) 用户名/密码 第三方...
深信服AF学习笔记_计算机硬件及网络_IT/计算机_专业...4、部署环境选择,如果是二层必须选二层环境,三层选...ARP 欺骗“网关 MAC 广播”只会广播设备非 WAN ...
2014深信服试题 (1)_计算机软件及应用_IT/计算机_专业资料。考试时间 120 分钟...只需要填 MAC1 即可) PC1 访问 202.96.137.75 进入三层交换机时: 进入...
深信服M5100配置方法_计算机硬件及网络_IT/计算机_专业资料。1) 在 vpn 中应该...MAC 邦定设置 IP MAC 邦定设置 IPMAC 设置是用来设置 IP 地址与 MAC 地址的...
深信服科技版权所有 .cn 6 深信服上网行为管理解决方案 文档密级:公开 3.1.2跨三层绑定 IP/MAC 对于三层网络环境的用户,AC 可跨三层绑定 IP/MAC...
深信服科技 2012 招聘 技术支持笔试题(A 卷) C、 若使用的是三层交换机,则...看网关的 IP 和 MAC 对应关系是否正确 50、一般架设一个 WEB 服务器可以使用...目的MAC与源MAC地址相同,交换机会怎么处理? - Cisco网络技术论坛
协议原理综合区 网络协议、网络基础原理等
注册日期: Feb 2005
住址: 济南
现金:105金币
资产:105金币
声望力: 0 声望: 10
目的MAC与源MAC地址相同,交换机会怎么处理?
在思科的三层交换机中,端口可以每隔1秒发送一个检测自环的包,目的MAC地址和源MAC地址相同,我想知道与此端口相连的另一台交换机收到一个这样的包会怎么处理?怎样处理有没有标准?
注册日期: Feb 2004
住址: 菲律宾
现金:788金币
资产:788金币
声望力: 13 声望: 10
声望力: 13
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
有的交换机会把这个报文丢弃(discard),有的交换机会透传。取决于交换芯片的特性和软件的实现
路是自己走出来的,相信自己永不妥协!
注册日期: Jun 2006
住址: 上海
现金:66金币
资产:66金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
一般会丢弃处理。
注册日期: Jun 2009
住址: 河北
现金:535金币
资产:535金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
既然是检查环路的,没有环路的话应该是将包丢弃吧,如果是有环路包最终还会转发到源MAC端口的。。
注册日期: Jun 2009
住址: 河南
现金:560金币
资产:560金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
楼上说的好
注册日期: Jul 2009
住址: 河北石家庄
现金:517金币
资产:517金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
丢弃,因为从同一个端口发出的数据不可能被存储转发,如果存储转发那就形成了环路!
注册日期: Mar 2010
住址: 大连
现金:503金币
资产:503金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
我觉得应该传这个包,既然是检查环路的,如果把这个包丢了,即使有了环路也检查不出来了。
注册日期: Nov 2010
现金:25金币
资产:25金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
如果是有环路包最终还会转发到源MAC端口的。
注册日期: Nov 2010
现金:92金币
资产:92金币
声望力: 7 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
我的理解是:
如果有环路,那么在另外一端的交换机的MAC-ADDRESS-TABLE 中会发现目的MAC地址会从本端口和另外端口学习上来.
如果无环 则交换机会发现报文的目的MAC地址应从本端口再转发回去,因此会丢弃该报文
如果有环 则交换机将报文送往另外一个学习到目的MAC的端口转发出去.最终回到原交换机,原交换机受到该报文即会认为存在环路.
注册日期: Nov 2010
现金:66金币
资产:66金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
注册日期: Jul 2010
住址: 合肥
现金:38金币
资产:38金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
我就看看,我不说话
注册日期: Dec 2010
住址: 湖北省武汉市
现金:86金币
资产:86金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
目的MAC与源MAC地址相同,是怎么检测环路的,可不可以说的详细点,这个我不是很懂,想学习下,谢谢!
人的一生就是在不断的跌倒,不断的站起···
注册日期: Dec 2010
住址: 湖北省武汉市
现金:86金币
资产:86金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
交换机A从1端口发送一个源地址和目的地址相同的数据帧给交换机B,如果交换机又从端口1回收到交换机B发回来这个数据帧,则认为无环,如果是从其他端口收到这个数据帧,则认为有环!所以,我觉得交换机B收到一个源地址和目的地址相同的数据帧应该分两种情况讨论,第一种,可以从除了收到这个数据帧之外的端口把这个数据包发出去,然后经过若干交换机,再从交换机A的除1端口之外的端口接收到这个数据帧,这种就是有环;第二种,只能从收到这个数据帧的端口发回去,这种就是无环!
不知道对不对,如果错了,还请帮忙指正,谢谢!
您不可以发表新主题
您不可以发表回复
您不可以上传附件
您不可以编辑自己的帖子
论坛禁用 HTML 代码
用户控制面板
会员在线状态
网络技术图书评论专区
Cisco技术高级讨论区
Cisco网络协议分析、故障诊断【泰克实验室】
CCNA/CCDA认证
CCNP/CCDP认证
CCIE/CCIP/CCSP等认证
Cisco认证综合区
网络技术区
网络基础知识
网络规划和案例
协议原理综合区
网络产品区
Nortel-北电
Alcatel-Lucent
其它网络产品
HP网络产品
Foundry(网捷)
ATI 安奈特
其他技术区
Linux/Unix技术
存储与备份
计算机科学(试运行)
资料共享专区
工程与销售 职场生涯
其他计算机类认证考试
论坛兄弟交流区
English Club
所有时间均为北京时间。现在的时间是 。
Powered by vBulletin& 版本 3.8.3
版权所有 &2000 - 2017,Jelsoft Enterprises Ltd.
增强包&[3.4]&制作: &&
官方中文站:
Copyright & 2003 - , All Rights Reserved
备案号:皖ICP备号}
同一汇聚交换机下ma5680t三层接口mac地址冲突
摘要:现象描述: 陕西榆林某县局申告其所在乡镇下一台GPON设备丢包,市公司支撑人员在处理过程中发现该乡镇一共有两台MA5680T,一台EPON承载FTTX业务,一台GPON承载FTTH业务,两台设备管理均丢包,设备版本为MAC00。两台设备组网情况为OLT1(EPON)有....
现象描述:&&& 陕西榆林某县局申告其所在乡镇下一台GPON设备丢包,市公司支撑人员在处理过程中发现该乡镇一共有两台MA5680T,一台EPON承载FTTX业务,一台GPON承载FTTH业务,两台设备管理均丢包,设备版本为MAC00。两台设备组网情况为OLT1(EPON)有两条GE链路分别上行至华为S9312和中兴T160G汇聚交换机,到S9312的链路上走PPPOE、VOIP、IPTV和ITMS业务流,到T160G的链路走专线业务;OLT2(GPON)单上行至S9312,两台设备的管理都走华为S9312至NE40E业务路由器这条GE中继。
告警信息:故障发生时,MA5680T和上行汇聚交换机无任何告警。
原因分析:&& 根据通常情况分析,设备丢包一般是因为光路衰减过大引起,当时即通知现场维护人员检查光路情况、光模块发光情况经检查确定收光都在-18dbm以内,属正常范围。因一台设备中断时另一台设备正常,怀疑光路存在交叉情况,经县局人员解释,两台设备的光纤是在两条光缆上,排除了鸳鸯纤的可能,根据县局维护人员描述, 此故障是近期出现,由于上层数据最近未做改动,排除了上层数据配置的原因。
处理过程:&& 在S9312上shutdown掉OLT2的上行GE口,ping OLT1管理地址1000次没丢一个包,同样shutdown掉OLT1的上行ping OLT2设备管理也没有丢包,无法确定原因,只好根据以往的经验,在OLT1T上用display interface vlanif 199查看管理三层接口的MAC地址,然后再到S9312上看MAC地址从哪一个口上上来,第一次这个MAC地址是从OLT1对应的上行口上来,过了1分钟再到S9312上查看时,管理MAC地址又从OLT2对应的上行口上来,至此故障原因基本明确,两个同一网段内管理地址MAC地址存在冲突,再到OLT2上查看管理三层接口的MAC地址,结果与OLT1的完全一致都是4cb1-6c42-4f92,后联系西安办事处协助修改MAC地址以解决此问题。
建议与总结:& 两台设备MAC地址完全一致的现象以前没有遇到过,处理过程中一时难以找到原因,但是根据MAC地址向上逐层查找可以作为解决设备不通问题的基本方法。
系统教程推荐
系统教程排行
操作系统推荐
软件下载推荐
版权所有 粤ICP备号-3QQ在线支持
商务支持电话
技术支持电话
■&软件产品版本介绍
■&部分典型功能介绍
■&技术服务快速通道
■&商务服务快速通道
■&应用拓展
■&界面视图
->局域网监控-& 怎样设置网络核心交换机实现对局域网所有电脑的IP-MAC地址绑定
&&&&摘要:怎样设置网络核心交换机实现对局域网所有电脑的IP-MAC地址绑定,IP-MAC地址绑定,交换机设置,三层交换机设置,绑定IP-MAC,绑定ARP,绑定MAC地址,绑定IP地址
怎样设置网络核心交换机实现对局域网所有电脑的IP-MAC地址绑定
&&&&&&& IP地址与MAC地址的关系: IP地址是根据现在的IPv4标准指定的,不受硬件限制比较容易记忆的地址,长度4个字节。而 MAC地址却是用网卡的物理地址,保存在网卡的EPROM里面,与硬件有关系,比较难于记忆,长度为6个字节。
虽然在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。
ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的 ARJ缓存中包含一个或多个表,用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后,在ARP缓存中会保留相应的MAC地址。所以,下次和同一个IP地址的计算机通讯,将不再查询MAC地址,而是直接引用缓存中的MAC地址。
在交换式网络中,交换机也维护一张MAC地址表,并根据MAC地址,将数据发送至目的计算机。
为什么要绑定MAC与IP 地址:IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用 (例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。
目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。
在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。
1.方案1――基于端口的MAC地址绑定
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#config terminal
#进入配置模式
Switch(config)# Interface fastethernet 0/1
#进入具体端口配置模式
Switch(config-if)#Switchport port-secruity
#配置端口安全模式
Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)
#删除绑定主机的MAC地址
注意:
以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
注意:
以上功能适用于思科、系列交换机
2.方案2――基于MAC地址的扩展访问列表
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host .d4bf any
#定义MAC地址为.d4bf的主机可以访问任意主机
Switch(config)permit any host .d4bf
#定义所有主机可以访问MAC地址为.d4bf的主机
Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
注意:
以上功能在思科、系列交换机上可以实现,但是需要注意的是需要交换机运行增强的软件镜像(Enhanced Image)。
3.方案3――IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。
Switch(config)Mac access-list extended MAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permit host .d4bf any
#定义MAC地址为.d4bf的主机可以访问任意主机
Switch(config)permit any host .d4bf
#定义所有主机可以访问MAC地址为.d4bf的主机
Switch(config)Ip access-list extended IP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)Permit 192.168.0.1 0.0.0.0 any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Permit any 192.168.0.1 0.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机 Switch(config-if )interface Fa0/20
#进入配置具体端口的模式
Switch(config-if )mac access-group MAC10 in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if )Ip access-group IP10 in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
Switch(config)no mac access-list extended MAC10
#清除名为MAC10的访问列表
Switch(config)no Ip access-group IP10 in
#清除名为IP10的访问列表
上述所提到的应用1是基于主机MAC地址与交换机端口的绑定,方案2是基于MAC地址的访问控制列表,前两种方案所能实现的功能大体一样。如果要做到 IP与MAC地址的绑定只能按照方案3来实现,可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。
注意:以上功能在思科、系列交换机上可以实现,但是需要注意的是需要交换机运行增强的软件镜像(Enhanced Image)。
后注:从表面上看来,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址与IP地址的绑定存在很大的缺陷,并不能真正防止内部IP地址被盗用。
&&&&&&& 虽然在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。
&&&&&&& ARP 协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的ARP缓存中包含一个或多个表,用于存储IP地址及其经过解析的以太网 MAC地址。一台计算机与另一台IP地址的计算机通讯后,在ARP缓存中会保留相应的MAC地址。所以,下次和同一个IP地址的计算机通讯,将不再查询 MAC地址,而是直接引用缓存中的MAC地址。
&&&&&&& IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。
&&作者: anyview(网络警) &&点击:
&&&&相关资讯:
[] [] [] []
■&AnyView(网络警)网络监控软件--功能检索
■&联系我们获得支持和服务
Copyright © 2000- 厦门天锐科技股份有限公司 版权所有 E-MAIL:深信服跨三层扫描MAC-1
SANGFOR AC SNMP 实现跨三层绑定 IP/MAC SNMP 实现跨三层 IP/MAC 绑定的前提条件: 三层交换机开启了 SNMP 功能,AC 设备进行 SNMP 设置(填入三层交换机的 IP/...
snmp跨三层绑定mac功能用工具取交换机oid的方法_计算机硬件及网络_IT/计算机_...SANGFOR AC SNMP实现跨三... 5页 2下载券
关于IP-MAC绑定的交换机... 17...
深信服WAC多SSID跨VLAN二层部署_计算机硬件及网络_IT/计算机_专业资料。深信服WAC控制器二层多SSID多VLAN二层部署 做最具服务能力的集成商 SANGFOR WAC 多 SSID ...
深信服SG3200教程_计算机硬件及网络_IT/计算机_专业资料。深信服SG3200教程 徐州华恒深信服上网管理系统操作手册 1、 查找上网电脑的 IP 和 MAC 信息 A、XP 系统...
深信服公司概况: 1、网络安全 网络优化 虚拟化 2、市场表现 硬件 VPN 上网行为...5、 (用户、与应用识别) IP/MAC 绑定(支持跨三层绑定) 用户名/密码 第三方...
深信服AF学习笔记_计算机硬件及网络_IT/计算机_专业...4、部署环境选择,如果是二层必须选二层环境,三层选...ARP 欺骗“网关 MAC 广播”只会广播设备非 WAN ...
2014深信服试题 (1)_计算机软件及应用_IT/计算机_专业资料。考试时间 120 分钟...只需要填 MAC1 即可) PC1 访问 202.96.137.75 进入三层交换机时: 进入...
深信服M5100配置方法_计算机硬件及网络_IT/计算机_专业资料。1) 在 vpn 中应该...MAC 邦定设置 IP MAC 邦定设置 IPMAC 设置是用来设置 IP 地址与 MAC 地址的...
深信服科技版权所有 .cn 6 深信服上网行为管理解决方案 文档密级:公开 3.1.2跨三层绑定 IP/MAC 对于三层网络环境的用户,AC 可跨三层绑定 IP/MAC...
深信服科技 2012 招聘 技术支持笔试题(A 卷) C、 若使用的是三层交换机,则...看网关的 IP 和 MAC 对应关系是否正确 50、一般架设一个 WEB 服务器可以使用...目的MAC与源MAC地址相同,交换机会怎么处理? - Cisco网络技术论坛
协议原理综合区 网络协议、网络基础原理等
注册日期: Feb 2005
住址: 济南
现金:105金币
资产:105金币
声望力: 0 声望: 10
目的MAC与源MAC地址相同,交换机会怎么处理?
在思科的三层交换机中,端口可以每隔1秒发送一个检测自环的包,目的MAC地址和源MAC地址相同,我想知道与此端口相连的另一台交换机收到一个这样的包会怎么处理?怎样处理有没有标准?
注册日期: Feb 2004
住址: 菲律宾
现金:788金币
资产:788金币
声望力: 13 声望: 10
声望力: 13
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
有的交换机会把这个报文丢弃(discard),有的交换机会透传。取决于交换芯片的特性和软件的实现
路是自己走出来的,相信自己永不妥协!
注册日期: Jun 2006
住址: 上海
现金:66金币
资产:66金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
一般会丢弃处理。
注册日期: Jun 2009
住址: 河北
现金:535金币
资产:535金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
既然是检查环路的,没有环路的话应该是将包丢弃吧,如果是有环路包最终还会转发到源MAC端口的。。
注册日期: Jun 2009
住址: 河南
现金:560金币
资产:560金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
楼上说的好
注册日期: Jul 2009
住址: 河北石家庄
现金:517金币
资产:517金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
丢弃,因为从同一个端口发出的数据不可能被存储转发,如果存储转发那就形成了环路!
注册日期: Mar 2010
住址: 大连
现金:503金币
资产:503金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
我觉得应该传这个包,既然是检查环路的,如果把这个包丢了,即使有了环路也检查不出来了。
注册日期: Nov 2010
现金:25金币
资产:25金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
如果是有环路包最终还会转发到源MAC端口的。
注册日期: Nov 2010
现金:92金币
资产:92金币
声望力: 7 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
我的理解是:
如果有环路,那么在另外一端的交换机的MAC-ADDRESS-TABLE 中会发现目的MAC地址会从本端口和另外端口学习上来.
如果无环 则交换机会发现报文的目的MAC地址应从本端口再转发回去,因此会丢弃该报文
如果有环 则交换机将报文送往另外一个学习到目的MAC的端口转发出去.最终回到原交换机,原交换机受到该报文即会认为存在环路.
注册日期: Nov 2010
现金:66金币
资产:66金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
注册日期: Jul 2010
住址: 合肥
现金:38金币
资产:38金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
我就看看,我不说话
注册日期: Dec 2010
住址: 湖北省武汉市
现金:86金币
资产:86金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
目的MAC与源MAC地址相同,是怎么检测环路的,可不可以说的详细点,这个我不是很懂,想学习下,谢谢!
人的一生就是在不断的跌倒,不断的站起···
注册日期: Dec 2010
住址: 湖北省武汉市
现金:86金币
资产:86金币
声望力: 0 声望: 10
回复: 目的MAC与源MAC地址相同,交换机会怎么处理?
交换机A从1端口发送一个源地址和目的地址相同的数据帧给交换机B,如果交换机又从端口1回收到交换机B发回来这个数据帧,则认为无环,如果是从其他端口收到这个数据帧,则认为有环!所以,我觉得交换机B收到一个源地址和目的地址相同的数据帧应该分两种情况讨论,第一种,可以从除了收到这个数据帧之外的端口把这个数据包发出去,然后经过若干交换机,再从交换机A的除1端口之外的端口接收到这个数据帧,这种就是有环;第二种,只能从收到这个数据帧的端口发回去,这种就是无环!
不知道对不对,如果错了,还请帮忙指正,谢谢!
您不可以发表新主题
您不可以发表回复
您不可以上传附件
您不可以编辑自己的帖子
论坛禁用 HTML 代码
用户控制面板
会员在线状态
网络技术图书评论专区
Cisco技术高级讨论区
Cisco网络协议分析、故障诊断【泰克实验室】
CCNA/CCDA认证
CCNP/CCDP认证
CCIE/CCIP/CCSP等认证
Cisco认证综合区
网络技术区
网络基础知识
网络规划和案例
协议原理综合区
网络产品区
Nortel-北电
Alcatel-Lucent
其它网络产品
HP网络产品
Foundry(网捷)
ATI 安奈特
其他技术区
Linux/Unix技术
存储与备份
计算机科学(试运行)
资料共享专区
工程与销售 职场生涯
其他计算机类认证考试
论坛兄弟交流区
English Club
所有时间均为北京时间。现在的时间是 。
Powered by vBulletin& 版本 3.8.3
版权所有 &2000 - 2017,Jelsoft Enterprises Ltd.
增强包&[3.4]&制作: &&
官方中文站:
Copyright & 2003 - , All Rights Reserved
备案号:皖ICP备号}
我要回帖
更多关于 深信服跨三层mac识别 的文章
更多推荐
- ·少林武当易筋经的起源来历
- ·风云手机版下载密支那电视歌曲
- ·新疆的音乐学院女歌手有哪些
- ·叙述宫闱秘史澄清历史真相:纪连海说甄嬛传的内容简介图书目录
- ·倚天屠龙记苏有朋版免费观看高清百度百科
- ·下载软件支付宝然后注册然后就可以购买东西了?
- ·刚买了房子装修房子和买车好,在网上问了个叫非木牌子的液晶电视想下手买还是有点不放心
- ·微信红包过期退款后对方普通红包能看到别人的金额吗红包金额吗
- ·一个qq一天加500好友了3-4个好友就加不了,是什么原因?
- ·苹果6系统怎么更新不了下载8.2系统的固件能否通过itunes降级8.4.1系统
- ·看到别人提问违规,这个问题也违规?百度知道也太乱来了吧
- ·我想找出2年前的qq聊天记录能备份吗吗?手机换过了
- ·搜狗浏览器同步失败显示代理服务器连接失败是怎么回事
- ·三极管sn btn01btn是什么么管子
- ·QQ群里的QQ群管理员员可以随便删成员吗???不设QQ群管理员。就一群主可以吗?
- ·电脑用万能钥匙下载链接上了wifi怎么说无法识别网络是什么意思
- ·l财富中心商城什么时间刷新
- ·金立e3t官方刷机包报价原装摄像头多少钱
- ·选取生活中的几种音响展开联想笔记本jbl音响然后写下来的这种作文怎么写
- ·网络 走深信服跨三层mac识别后 目的mac 会跟着变么
- ·多加300块 从GTX860m 960m变成GTX960M 合适么
- ·我的qx10录像时长长有点长,想上传至百度云,怎么样传送?
- ·5一公斤黄金有多大重线包充电机要用多大的二极管
- ·苹果手机天气预报为什么不能添加到qq说说里
- ·手机百度网页无法自打开,域名在服务器打开网页无响应
- ·开学了想买个玩游戏笔记本电脑推荐玩游戏用,要能带的起大型游戏,求推荐现在性价比高的电脑
- ·技嘉ga h61m ds2-h61m-s2ph 1155主板 支持u盘启动吗?
- ·modelk-ip-dc是什么号
- ·克隆装扮怎么用U盘装XP
- ·我家电脑的光迁无法连接或是连上了依旧无法上网光信号那一个灯显示台风红色预警信号该怎么解决啊急急急!!!!
- ·中老年健身操,节奏感强一点又不是特别快的歌,男的
- ·太极发劲威力视频打好了真的可以发挥威力吗?
- ·刎颈之交欧亨利卡尔多 希克斯改进太太为什么要打他
- ·nba07至08赛季,骑士与绿军的抢七,詹姆斯抢七最后一扣后面一分钟的一个上篮不是走步吗
- ·我想开一个三个北京台球桌销售的店,一般桌就可以。需要多钱。大概能挣多少,没有房租。在村里面
