思科交换机为了防止IP被盗用或者员工随意更改IP，可以采取以下措施，即IP与MAC地址绑定、IP与交换机端口绑定。

1. 通过IP查看端口

先检查MAC地址，然后根据MAC地址检查端口：

#show arp | 208.41或者show mac--table查看整个端口的ip-mac表

10.138.208.41 4 0006.1bde.3de9 ARPA

#显示 mac-add | 在 0006.1bde

10 0006.1bde.3de9 Fa0/17

＃出口

2、IP与MAC地址绑定。这种绑定可以简单有效的防止IP被盗用。当别人把IP改成你MAC地址绑定的IP后，网络就不一样了（TCP/UDP协议不一样，但是网络可以访问）。具体步骤：

cisco()#arp 10.138.208.81 0000.e268.9980 ARPA

这会将 10.138.208.81 和 mac:0000.e268.9980 ARPA 绑定在一起。

3、IP与交换机端口绑定。这样绑定后就只能用这个IP，如果换成其他IP，会立刻断开连接。这样可以有效防止随意换IP。

思科()# /17

cisco(-if)# ip -group 6 in

cisco()#-列表 6 10.138.208.81

这会将交换机的 /17 端口绑定到 ip:10.138.208.81。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

对于端口安全最常见的理解就是基于MAC地址对网络流量进行控制和管理，比如将MAC地址绑定到特定端口、限制通过特定端口的MAC地址数量、或者不允许来自某些MAC地址的帧流量通过特定端口。

1、MAC地址与端口绑定，当主机的MAC地址与交换机上指定的MAC地址不同时，交换机相应端口会down掉，为端口指定MAC地址时，端口模式必须为Trunk状态。

3550-1#配置

3550-1()#int f0/1

3550-1(-if)# mode /指定端口模式。

3550-1(-if)# port-mac-00-90-F5-10-79-C1 /配置MAC地址。

3550-1(-if)# port- 1 /限制允许通过此端口的 MAC 地址数量为 1。

3550-1(-if)# port- /当发现不满足上述配置时，端口被关闭。

2. 按 MAC 地址限制端口流量。此配置允许 TRUNK 端口最多传递 100 个 MAC 地址。如果数量超过 100，来自新主机的数据帧将会丢失。

3550-1#配置

3550-1()#int f0/1

3550-1(-if)# 中继 dot1q

3550-1(-if)# mode trunk /配置端口模式为TRUNK。

3550-1(-if)# port- 100 /允许通过此端口的最大MAC地址数为100。

3550-1(-if)#port-/当主机MAC地址数量超过100时，交换机继续工作，但来自新主机的数据帧将会丢失。

上述配置允许基于 MAC 地址的流量，而以下配置则拒绝基于 MAC 地址的流量。

1、该配置只能过滤交换机中的单播流量，对于组播流量无效。

3550-1#配置

3550-1()#mac--table 00-90-F5-10-79-C1 vlan 2 drop / 丢弃相应Vlan中的流量。

3550-1#配置

3550-1()#mac--table 00-90-F5-10-79-C1 vlan 2 int f0/1 /丢弃相应接口上的流量。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

随着网络安全越来越重要，高校、企业对局域网的安全管控也越来越严格，常用的做法之一就是将网卡的IP地址、MAC地址和交换机端口进行绑定，但关于MAC和交换机端口快速绑定的具体原理和步骤的文章却很少。

我们通常所说的MAC地址与交换机端口绑定mac系统绑定mac地址，其实就是交换机端口安全功能。端口安全功能可以配置某个端口只允许某一个或某几个特定的​​设备接入交换机；根据MAC地址确定允许接入的设备；允许接入的设备的MAC地址可以手动配置mac系统绑定mac地址，也可以从交换机上“学习”到；当一个未经授权的MAC地址试图访问端口时，交换机将暂停或禁用该端口等。

首先我们要明白两个概念：

可靠的MAC地址。配置时有三种类型。

静态可靠MAC地址：在交换机接口模式下手动配置，此配置会保存在交换机MAC地址表和运行配置文件中，交换机重启后不会丢失（当然，配置保存后也会丢失），具体命令如下：

(-if)# port- mac- Mac 地址

动态可靠MAC地址：此类型为交换机的默认类型，此类型下交换机会动态学习MAC地址，但此配置只会保存在MAC地址表中，而不会保存在运行配置文件中，并且交换机重启后，MAC地址表中的MAC地址会被自动清除。

粘性可靠 MAC 地址：在此类型中，可以手动配置 MAC 地址与端口的绑定，也可以让交换机自动学习绑定。此配置会保存在 MAC 地址和运行配置文件中。如果保存配置，交换机重启后就不需要自动重新学习 MAC 地址了。虽然粘性可靠 MAC 地址可以手动配置，但 CISCO 不建议这样做。具体命令如下：

(-if)# port- mac-

其实上面的命令配置完成后，当端口获取到MAC地址后，会自动生成一条配置命令。

(-if)# port- mac- Mac 地址

这就是为什么 CISCO 不建议在这种情况下手动配置 MAC 地址。

II. 发生MAC安全违规时采取的措施：

当超出最大 MAC 地址数，或者接入端口的设备的 MAC 地址不是 MAC 地址表中该端口的 MAC 地址，或者在几个端口上配置了同一个 VLAN 内的 MAC 地址时，都会引起 MAC 地址安全性被侵犯的情况。此时可以采取三种措施：

1.保护模式（）：不发出警告而丢弃数据包。

2.限制模式（）：丢弃数据包、发出警告、发送SNMP陷阱并记录在日志中。

3. 关闭模式（）：这是交换机的默认模式。这种情况下，端口立即变为错误状态，关闭端口灯，发出 SNMP trap，并记录在日志中。除非管理员手动激活，否则端口将被禁用。

具体命令如下：

（-if）# 端口- { | | }

下表是具体比较

模式为发送 SNMP 陷阱发送错误

关闭端口

否否否否否否

否 是 是 否 否

否 是 是 否 是

表 1

配置端口安全时，需要注意以下问题：

端口安全只能在静态端口上配置；不能在中继端口、SPAN 端口、快速以太网通道、千兆以太网通道端口组或动态分配给 VLAN 的端口上配置端口安全；不能基于每个 VLAN 设置端口安全；交换机不支持粘性可靠 MAC 地址老化时间。和模式不能同时在同一端口上设置。

我们把上面的知识点串联起来，说一下实现配置步骤的所有命令。

1、静态可靠MAC地址的命令步骤：

#

()# -id 输入需要配置的端口

(-if)#模式设置为交换模式

(-if)# port-启用端口安全模式

（-if）# 端口- { | | }

以上命令是可选的，也就是不需要配置，默认是mode，但实际配置时建议这样配置。

(-if)# 端口- 值

上述命令也是可选的，也就是说不需要配置。默认是MAC地址。2950和3550交换机的最大值为132。

事实上，上述命令在静态和粘性模式下是相同的。

(-if)# port- mac- MAC 地址

上述命令表示配置为静态可靠的MAC地址。

2、动态可靠的MAC地址配置，因为它是交换机的默认设置。

3、配置粘性可靠MAC地址的命令步骤：

#

（）＃ -ID

（-if）# 模式

（-if）# 端口-

（-if）# 端口- { | | }

(-if)# 端口- 值

以上命令的解释和上面说的原因是一样的，所以就不再解释。

(-if)# port- mac-

上述命令表示将MAC地址配置为粘性且可靠。

最后我们来说说企业内如何快速绑定MAC地址到交换机端口，实际应用中经常会用到粘性可靠的MAC地址绑定，下面我们就在一台机器上进行绑定。

方法一：通过命令行配置

2950（）#int 范围 fa0/1 - 48

2950 (-if-range)# 模式

2950 (-if-range)# 端口-

2950 (-if-range)# 端口- mac-

2950 (-if-range)# 端口- mac-

这样交换机的48个端口就全部绑定了。注意：实际使用时需要把交换机连接的所有PC都打开，这样才能学习到MAC地址。学习到MAC地址后一定要保存配置文件，这样下次就不用再学习MAC地址了。然后用show port-查看绑定的端口，确认配置正确。

方法二：在Web界面配置，即CMS（ Unit）

我们在IE浏览器中输入交换机的IP地址就可以进入到界面，然后在port—port下选择交换机端口，在和MAC中选择或，其中，Count（1-132）可以填入这个范围内的一个值。

当然，也有要求绑定IP地址和MAC地址，这就需要三层或以上的交换机，因为我们知道普通交换机工作在第二层，也就是数据链路层，是不可能绑定IP的。如果企业是星型网络，中心交换机就有三层或以上的功能。我们可以在上面绑定，

()#arp IP地址 Mac地址 arpa

配置局域网的安全功能，防止地址不匹配、ARP攻击等问题！

1. 启用 DHCP

全局命令：

IP DHCP VLAN 10,20,30

没有 IP DHCP

ip dhcp flash:.text //将表格保存到单独的文档中，防止断电后消失。

DHCP 服务器

接口命令：

ip dhcp trust //设置连接DHCP服务器的端口为Trust，其余（默认）

2. 启用 DAI

防止 ARP 欺骗和中间人攻击！通过手动配置或 DHCP 监听，交换机将能够确定正确的端口。如果 ARP 答复不匹配，则会将其丢弃并记录违规行为。非法端口将进入错误状态，攻击者将无法继续对网络造成进一步的破坏！

全局命令

IP 地址解析协议 (ARP) VLAN 30

接口命令（交换机之间的链路配置DAI信任端口，用户端口为默认非信任端口）：

IP ARP 信任

ip arp 限制速率 100

3. 启用IPSG

前提是启用IP DHCP，并获取有效的源端口信息。 cisco认证网络,添加到收藏夹 IPSG是类似于uRPF（单播反向路径检测）的2层接口特性，可以检测3层或路由接口。

接口命令：

模式加速

港口-

ip vlan dhcp-端口-

4. 多个静态 IP 的解决方案

可以通过ip dhcp 1.1.1 vlan 1 1.1.1.1 gi0/8访问

通过 arp -list 添加静态主机：

arp-列表-arp

ip主机 192.168.1.1 mac主机 0000.0000.0003

IP ARP-ARP Vlan 30

在DHCP中绑定固定IP：

ip dhcp 池测试

主机 192.168.1.18 255.255.255.0（分配给用户的 IP）

- 0101.0bf5.395e.55（用户端mac）

-名称测试

发展与总结：

思科交换机在全局配置模式开启IP DHCP后，所有端口都默认为DH​​CP模式，但是DHCP功能是默认开启的，此时DHCP报文到达某个端口就会被丢弃。所以在4506上必须配置IP DHCP ALLOW-命令（默认关闭），允许4506从DHCP端口接收带82的DHCP报文。建议在交换机上关闭DHCPmac系统绑定mac地址，即全局配置模式中为NO IP DHCP。

1、对于允许手动配置IP地址等参数的客户端，可以手动向DHCP数据库中添加绑定表项。ip dhcp 00d0.2bd0.d80a vlan 100 222.25.77.100 gig1/1 600表示手动添加MAC地址为00d0.2bd0.d80a、IP地址为222.25.77.100、接入端口为GIG1/1、租用时间为600秒的绑定表项。

2.IPSG，即IP GUARD，是基于DHCP功能形成IP表，只作用于二层端口。开启IPSG的端口会检查所有收到的IP数据包，只转发与此绑定表条目匹配的IP数据包。IPSG默认只根据源IP地址过滤IP数据包。如果要添加基于源MAC地址的过滤，必须开启DHCP 82功能。

3、DAI，即ARP，同样基于DHCP，也分为信任端口和非信任端口。DAI只检测来自非信任端口的ARP包，可以拦截、记录和丢弃不符合IP地址到MAC地址映射条目的ARP包。如果不使用DHCP，则需要手动配置ARP ACL。来源：

本系统及软件只用于个人封装技术研究交流使用，不得用于商业用途，且本站不承担任何技术及版权问题，请在试用后24小时内删除!