Cisco系统交换机mac地址绑定配置：

注：IP地址与MAC地址的关系：IP地址是按照目前的IPv4标准规定的，不受硬件限制mac系统绑定mac地址，容易记忆，长度为4个字节；而MAC地址是网卡的物理地址，存储在网卡的EPROM中，与硬件相关，不易记忆，长度为6个字节。

虽然在 TCP/IP 网络中，计算机之间往往需要设置 IP 地址才能进行通讯mac系统绑定mac地址，但实际上计算机之间的通讯并不是通过 IP 地址，而是借助网卡的 MAC 地址，IP 地址只是用来查询要通讯的目的计算机的 MAC 地址。

ARP协议用于将自己IP地址对应的MAC地址通知给对方的计算机或网络设备。计算机的ARP缓存中包含一个或多个用于存储IP地址及其解析后的以太网MAC地址的表。当一台计算机与另一台IP地址的计算机通信后，对应的MAC地址会保留在ARP缓存中。因此，下次与同一IP地址的计算机通信时，就不再查询MAC地址，而是直接引用缓存中的MAC地址。

在交换网络中，交换机还维护一张MAC地址表，并根据MAC地址将数据发送到目标计算机。

为什么要绑定MAC和IP地址呢？IP地址非常容易修改，而MAC地址是保存在网卡中的，网卡的MAC地址是唯一的。因此，为了防止内部人员非法盗用IP（例如盗用更高权限的人的IP地址，获取超越权限的信息），可以将内网的IP地址和MAC地址进行绑定。这样，即使盗用者更换了IP地址，也会因为MAC地址不匹配而导致盗用失败。而且由于网卡的MAC地址是唯一的，因此可以根据MAC地址找到使用该MAC地址的网卡，进而找到非法盗用者。

目前很多单位的内部网络都采用了MAC地址与IP地址的绑定技术，下面我们就来介绍一下思科交换机IP与MAC绑定的设置方案。

在Cisco中有三种方案，方案一和方案二功能相同，就是将特定主机的MAC地址（网卡硬件地址）绑定到特定的交换机端口上，方案三是将特定主机的MAC地址（网卡硬件地址）和IP地址同时绑定到特定的交换机端口上。

1. 方案一-基于端口的MAC地址绑定

以思科2950交换机为例，登录交换机，输入管理密码进入配置模式，输入命令：

#

#进入配置模式

（）# 0/1

#进入特定端口配置模式

（-if）# 端口-

#配置端口安全模式

（-if）port-mac-MAC（主机的 MAC 地址）

#配置端口绑定的主机的MAC地址

（-if）没有端口-mac-MAC（主机的MAC地址）

#删除绑定主机的MAC地址

注意：

上述命令设置交换机上的某个端口与特定的MAC地址绑定，这样只有这台主机才能使用网络。如果更换了主机的网卡或者其他PC想通过这个端口使用网络，那么就无法使用，除非删除或者修改绑定在该端口上的MAC地址。

注意：

以上功能适用于Cisco 2950、3550、4500、6500系列交换机。

2. 解决方案 2 - 基于 MAC 地址的扩展访问列表

()Mac-列表 MAC10

＃定义一个MAC地址访问控制列表，并将该列表命名为MAC10

（）主机 0009.6bc4.d4bf 任何

＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机

（）任何主机 0009.6bc4.d4bf

＃定义所有主机都能访问MAC地址为0009.6bc4.d4bf的主机

（-如果）Fa0/20

#进入配置特定端口的模式

（-if）mac -group MAC10 在

#在这个端口上应用名为MAC10的访问列表（也就是我们前面定义的访问策略）

（）无 mac -列出 MAC10

#清除名为MAC10的访问列表

该功能与应用程序基本相同，但它是基于端口的MAC地址访问控制列表限制，可以限制特定的源MAC地址和目标地址范围。

注意：

上述功能均可在Cisco 2950、3550、4500和6500系列交换机上实现，但需要注意的是，2950和3550需要交换机运行增强的软件映像。

3. 解决方案 3 - 将 MAC 地址绑定到 IP 地址

IP-MAC绑定功能需要应用1或者应用2与基于IP的访问控制列表相结合才能实现。

()Mac-列表 MAC10

＃定义一个MAC地址访问控制列表，并将该列表命名为MAC10

（）主机 0009.6bc4.d4bf 任何

＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机

（）任何主机 0009.6bc4.d4bf

＃定义所有主机都能访问MAC地址为0009.6bc4.d4bf的主机

（）IP-列表IP10

#定义一个IP地址访问控制列表，并将该列表命名为IP10

（）192.168.0.1 0.0.0.0 任意

#定义IP地址为192.168.0.1的主机可以访问任意主机

任意 192.168.0.1 0.0.0.0

#定义所有主机都可以访问IP地址为192.168.0.1的主机

（-如果）Fa0/20

#进入配置特定端口的模式

（-if）mac -group MAC10 在

#在这个端口上应用名为MAC10的访问列表（也就是我们前面定义的访问策略）

（-if）IP -组 IP10 在

#在这个端口上应用名为IP10的访问列表（也就是我们前面定义的访问策略）

（）无 mac -列出 MAC10

#清除名为MAC10的访问列表

（）没有 IP 组 IP10

#清除名为IP10的访问列表

上述方案一是基于主机MAC地址与交换机端口的绑定，方案二是基于MAC地址的访问控制列表。前两种方案能实现的功能大致相同。如果要绑定IP与MAC地址，则只能使用方案三。您可以根据需要将方案一或方案二与IP访问控制列表结合起来，以达到想要的效果。

注：以上功​​能均可在Cisco 2950、3550、4500、6500系列交换机上实现，但需要注意的是2950和3550要求交换机运行增强的软件映像。

后记：从表面上看，绑定MAC地址与IP地址可以防止内部IP地址被盗用。但实际上，由于各层协议、网卡驱动等实现技术的原因，绑定MAC地址与IP地址存在很大缺陷mac系统绑定mac地址，不能真正防止内部IP地址被盗用。

本系统及软件只用于个人封装技术研究交流使用，不得用于商业用途，且本站不承担任何技术及版权问题，请在试用后24小时内删除!