Ⅰ 浜ゆ崲鏈哄拰鐢佃剳IP涓巑ac鍦板潃鐨勭粦瀹氭柟寮忥紵
鐩鍓嶏紝寰堝氬崟浣嶇殑鍐呴儴緗戠粶錛岄兘閲囩敤浜哅AC鍦板潃涓嶪P鍦板潃鐨勭粦瀹氭妧鏈銆備笅闈㈡垜浠灝遍拡瀵笴isco鐨勪氦鎹㈡満浠嬬粛涓涓婭P鍜孧AC緇戝畾鐨勮劇疆鏂規堛
鍦–isco涓鏈変互涓嬩笁縐嶆柟妗堝彲渚涢夋嫨錛屾柟妗1鍜屾柟妗2瀹炵幇鐨勫姛鑳芥槸涓鏍風殑錛屽嵆鍦ㄥ叿浣撶殑浜ゆ崲鏈虹鍙d笂緇戝畾鐗瑰畾鐨勪富鏈虹殑MAC鍦板潃錛堢綉鍗$‖浠跺湴鍧錛夛紝鏂規3鏄鍦ㄥ叿浣撶殑浜ゆ崲鏈虹鍙d笂鍚屾椂緇戝畾鐗瑰畾鐨勪富鏈虹殑MAC鍦板潃錛堢綉鍗$‖浠跺湴鍧錛夊拰IP鍦板潃銆
1.鏂規1鈥斺斿熀浜庣鍙g殑MAC鍦板潃緇戝畾
鎬濈2950浜ゆ崲鏈轟負渚嬶紝鐧誨綍榪涘叆浜ゆ崲鏈猴紝杈撳叆綆$悊鍙d護榪涘叆閰嶇疆妯″紡錛屾暡鍏ュ懡浠わ細
Switch#configterminal
錛冭繘鍏ラ厤緗妯″紡
Switch(config)#Interfacefastethernet0/1
錛冭繘鍏ュ叿浣撶鍙i厤緗妯″紡
Switch(config-if)#Switchportport-secruity
錛冮厤緗絝鍙e畨鍏ㄦā寮
Switch(config-if)switchportport-securitymac-addressMAC(涓繪満鐨凪AC鍦板潃)
錛冮厤緗璇ョ鍙h佺粦瀹氱殑涓繪満鐨凪AC鍦板潃
Switch(config-if)noswitchportport-securitymac-addressMAC(涓繪満鐨凪AC鍦板潃)
錛冨垹闄ょ粦瀹氫富鏈虹殑MAC鍦板潃
娉ㄦ剰錛
浠ヤ笂鍛戒護璁劇疆浜ゆ崲鏈轟笂鏌愪釜絝鍙g粦瀹氫竴涓鍏蜂綋鐨凪AC鍦板潃錛岃繖鏍峰彧鏈夎繖涓涓繪満鍙浠ヤ嬌鐢ㄧ綉緇滐紝濡傛灉瀵硅ヤ富鏈虹殑緗戝崱榪涜屼簡鏇存崲鎴栬呭叾浠朠C鏈烘兂閫氳繃榪欎釜絝鍙d嬌鐢ㄧ綉緇滈兘涓嶅彲鐢錛岄櫎闈炲垹闄ゆ垨淇鏀硅ョ鍙d笂緇戝畾鐨凪AC鍦板潃錛屾墠鑳芥e父浣跨敤銆
娉ㄦ剰錛
浠ヤ笂鍔熻兘閫傜敤浜庢濈2950銆3550銆4500銆6500緋誨垪浜ゆ崲鏈
2.鏂規2鈥斺斿熀浜嶮AC鍦板潃鐨勬墿灞曡塊棶鍒楄〃
Switch(config)Macaccess-listextendedMAC10
錛冨畾涔変竴涓狹AC鍦板潃璁塊棶鎺у埗鍒楄〃騫朵笖鍛藉悕璇ュ垪琛ㄥ悕涓篗AC10
Switch(config)permithost0009.6bc4.d4bfany
錛冨畾涔塎AC鍦板潃涓0009.6bc4.d4bf鐨勪富鏈哄彲浠ヨ塊棶浠繪剰涓繪満
Switch(config)permitanyhost0009.6bc4.d4bf
錛冨畾涔夋墍鏈変富鏈哄彲浠ヨ塊棶MAC鍦板潃涓0009.6bc4.d4bf鐨勪富鏈
Switch(config-if)interfaceFa0/20
#榪涘叆閰嶇疆鍏蜂綋絝鍙g殑妯″紡
Switch(config-if)macaccess-groupMAC10in
錛冨湪璇ョ鍙d笂搴旂敤鍚嶄負MAC10鐨勮塊棶鍒楄〃錛堝嵆鍓嶉潰鎴戜滑瀹氫箟鐨勮塊棶絳栫暐錛
Switch(config)nomacaccess-listextendedMAC10
錛冩竻闄ゅ悕涓篗AC10鐨勮塊棶鍒楄〃
姝ゅ姛鑳戒笌搴旂敤涓澶т綋鐩稿悓錛屼絾瀹冩槸鍩轟簬絝鍙e仛鐨凪AC鍦板潃璁塊棶鎺у埗鍒楄〃闄愬埗錛屽彲浠ラ檺瀹氱壒瀹氭簮MAC鍦板潃涓庣洰鐨勫湴鍧鑼冨洿銆
娉ㄦ剰錛
浠ヤ笂鍔熻兘鍦ㄦ濈2950銆3550銆4500銆6500緋誨垪浜ゆ崲鏈轟笂鍙浠ュ疄鐜幫紝浣嗘槸闇瑕佹敞鎰忕殑鏄2950銆3550闇瑕佷氦鎹㈡満榪愯屽炲己鐨勮蔣浠墮暅鍍忥紙EnhancedImage錛夈
3.鏂規3鈥斺擨P鍦板潃鐨凪AC鍦板潃緇戝畾
鍙鑳藉皢搴旂敤1鎴2涓庡熀浜嶪P鐨勮塊棶鎺у埗鍒楄〃緇勫悎鏉ヤ嬌鐢ㄦ墠鑳借揪鍒癐P-MAC緇戝畾鍔熻兘銆
Switch(config)Macaccess-listextendedMAC10
錛冨畾涔変竴涓狹AC鍦板潃璁塊棶鎺у埗鍒楄〃騫朵笖鍛藉悕璇ュ垪琛ㄥ悕涓篗AC10
Switch(config)permithost0009.6bc4.d4bfany
錛冨畾涔塎AC鍦板潃涓0009.6bc4.d4bf鐨勪富鏈哄彲浠ヨ塊棶浠繪剰涓繪満
Switch(config)permitanyhost0009.6bc4.d4bf
錛冨畾涔夋墍鏈変富鏈哄彲浠ヨ塊棶MAC鍦板潃涓0009.6bc4.d4bf鐨勪富鏈
Switch(config)Ipaccess-listextendedIP10
錛冨畾涔変竴涓狪P鍦板潃璁塊棶鎺у埗鍒楄〃騫朵笖鍛藉悕璇ュ垪琛ㄥ悕涓篒P10
Switch(config)Permit192.168.0.10.0.0.0any
錛冨畾涔塈P鍦板潃涓192.168.0.1鐨勪富鏈哄彲浠ヨ塊棶浠繪剰涓繪満
Permitany192.168.0.10.0.0.0
錛冨畾涔夋墍鏈変富鏈哄彲浠ヨ塊棶IP鍦板潃涓192.168.0.1鐨勪富鏈
Switch(config-if)interfaceFa0/20
#榪涘叆閰嶇疆鍏蜂綋絝鍙g殑妯″紡
Switch(config-if)macaccess-groupMAC10in
錛冨湪璇ョ鍙d笂搴旂敤鍚嶄負MAC10鐨勮塊棶鍒楄〃錛堝嵆鍓嶉潰鎴戜滑瀹氫箟鐨勮塊棶絳栫暐錛
Switch(config-if)Ipaccess-groupIP10in
錛冨湪璇ョ鍙d笂搴旂敤鍚嶄負IP10鐨勮塊棶鍒楄〃錛堝嵆鍓嶉潰鎴戜滑瀹氫箟鐨勮塊棶絳栫暐錛
Switch(config)nomacaccess-listextendedMAC10
錛冩竻闄ゅ悕涓篗AC10鐨勮塊棶鍒楄〃
Switch(config)noIpaccess-groupIP10in
錛冩竻闄ゅ悕涓篒P10鐨勮塊棶鍒楄〃
涓婅堪鎵鎻愬埌鐨勫簲鐢1鏄鍩轟簬涓繪満MAC鍦板潃涓庝氦鎹㈡満絝鍙g殑緇戝畾錛屾柟妗2鏄鍩轟簬MAC鍦板潃鐨勮塊棶鎺у埗鍒楄〃錛屽墠涓ょ嶆柟妗堟墍鑳藉疄鐜扮殑鍔熻兘澶т綋涓鏍楓傚傛灉瑕佸仛鍒癐P涓嶮AC鍦板潃鐨勭粦瀹氬彧鑳芥寜鐓ф柟妗3鏉ュ疄鐜幫紝鍙鏍規嵁闇奼傚皢鏂規1鎴栨柟妗2涓嶪P璁塊棶鎺у埗鍒楄〃緇撳悎璧鋒潵浣跨敤浠ヨ揪鍒拌嚜宸辨兂瑕佺殑鏁堟灉銆
娉ㄦ剰錛氫互涓婂姛鑳藉湪鎬濈2950銆3550銆4500銆6500緋誨垪浜ゆ崲鏈轟笂鍙浠ュ疄鐜幫紝浣嗘槸闇瑕佹敞鎰忕殑鏄2950銆3550闇瑕佷氦鎹㈡満榪愯屽炲己鐨勮蔣浠墮暅鍍忥紙EnhancedImage錛夈
鍚庢敞錛氫粠琛ㄩ潰涓婄湅鏉ワ紝緇戝畾MAC鍦板潃鍜孖P鍦板潃鍙浠ラ槻姝㈠唴閮↖P鍦板潃琚鐩楃敤錛屼絾瀹為檯涓婄敱浜庡悇灞傚崗璁浠ュ強緗戝崱椹卞姩絳夊疄鐜版妧鏈錛孧AC鍦板潃涓嶪P鍦板潃鐨勭粦瀹氬瓨鍦ㄥ緢澶х殑緙洪櫡錛屽苟涓嶈兘鐪熸i槻姝㈠唴閮↖P鍦板潃琚鐩楃敤銆
Ⅱ 鎬濈慖P-MAC鍦板潃緇戝畾鎬庝箞閰嶇疆
銆銆鎬濈慶isco鍒墮犵殑璺鐢卞櫒璁懼囥佷氦鎹㈡満鍜屽叾浠栬懼囨壙杞戒簡鍏ㄤ笘鐣80%鐨勪簰鑱旂綉閫氫俊錛屾垚涓紜呰胺涓鏂扮粡嫻庣殑浼犲囷紝閭d箞浣犵煡閬撴濈慖P-MAC鍦板潃緇戝畾鎬庝箞閰嶇疆鍚?涓嬮潰鏄鎴戞暣鐞嗙殑涓浜涘叧浜庢濈慖P-MAC鍦板潃緇戝畾鎬庝箞閰嶇疆鐨勭浉鍏寵祫鏂欙紝渚涗綘鍙傝冦 銆銆
銆銆 鎬濈慖P-MAC鍦板潃緇戝畾閰嶇疆鐨 鏂規硶 涓銆佸熀浜庣鍙g殑MAC鍦板潃緇戝畾
銆銆鎬濈2950浜ゆ崲鏈轟負渚嬶紝鐧誨綍榪涘叆浜ゆ崲鏈猴紝杈撳叆綆$悊鍙d護榪涘叆閰嶇疆妯″紡錛屾暡鍏ュ懡浠
銆銆Switch#c onfig terminal
銆銆榪涘叆閰嶇疆妯″紡
銆銆Switch(config)# Interface fastethernet 0/1
銆銆#榪涘叆鍏蜂綋絝鍙i厤緗妯″紡
銆銆Switch(config-if)#Switchport port-secruity
銆銆#閰嶇疆絝鍙e畨鍏ㄦā寮
銆銆Switch(config-if )switchport port-security mac-address MAC(涓繪満鐨凪AC鍦板潃)
銆銆#閰嶇疆璇ョ鍙h佺粦瀹氱殑涓繪満鐨凪AC鍦板潃
銆銆Switch(config-if )no switchport port-security mac-address MAC(涓繪満鐨凪AC鍦板潃)
銆銆#鍒犻櫎緇戝畾涓繪満鐨凪AC鍦板潃
銆銆 鎬濈慖P-MAC鍦板潃緇戝畾閰嶇疆鐨勬柟娉 浜屻佸熀浜嶮AC鍦板潃鐨勬墿灞曡塊棶鍒楄〃銆銆Switch(config)Mac access-list extended MAC
銆銆#瀹氫箟涓涓狹AC鍦板潃璁塊棶鎺у埗鍒楄〃騫朵笖鍛藉悕璇ュ垪琛ㄥ悕涓篗AC
銆銆Switch(config)permit host 0009.6bc4.d4bf any
銆銆#瀹氫箟MAC鍦板潃涓0009.6bc4.d4bf鐨勪富鏈哄彲浠ヨ塊棶浠繪剰涓繪満
銆銆Switch(config)permit any host 0009.6bc4.d4bf
銆銆#瀹氫箟鎵鏈変富鏈哄彲浠ヨ塊棶MAC鍦板潃涓0009.6bc4.d4bf鐨勪富鏈
銆銆Switch(config-if )interface Fa0/20
銆銆#榪涘叆閰嶇疆鍏蜂綋絝鍙g殑妯″紡
銆銆Switch(config-if )mac access-group MAC in
銆銆#鍦ㄨョ鍙d笂搴旂敤鍚嶄負MAC鐨勮塊棶鍒楄〃(鍗沖墠闈㈡垜浠瀹氫箟鐨勮塊棶絳栫暐)
銆銆Switch(config)no mac access-list extended MAC
銆銆#娓呴櫎鍚嶄負MAC鐨勮塊棶鍒楄〃
銆銆 鎬濈慖P-MAC鍦板潃緇戝畾閰嶇疆鐨勬柟娉 涓夈IP鍦板潃鐨凪AC鍦板潃緇戝畾銆銆鍙鑳藉皢搴旂敤1鎴2涓庡熀浜嶪P鐨勮塊棶鎺у埗鍒楄〃緇勫悎鏉ヤ嬌鐢ㄦ墠鑳借揪鍒癐P-MAC 緇戝畾鍔熻兘銆
銆銆Switch(config)Mac access-list extended MAC
銆銆#瀹氫箟涓涓狹AC鍦板潃璁塊棶鎺у埗鍒楄〃騫朵笖鍛藉悕璇ュ垪琛ㄥ悕涓篗AC
銆銆Switch(config)permit host 0009.6bc4.d4bf any
銆銆#瀹氫箟MAC鍦板潃涓0009.6bc4.d4bf鐨勪富鏈哄彲浠ヨ塊棶浠繪剰涓繪満
銆銆Switch(config)permit any host 0009.6bc4.d4bf
銆銆#瀹氫箟鎵鏈変富鏈哄彲浠ヨ塊棶MAC鍦板潃涓0009.6bc4.d4bf鐨勪富鏈
銆銆Switch(config)Ip access-list extended IP
銆銆#瀹氫箟涓涓狪P鍦板潃璁塊棶鎺у埗鍒楄〃騫朵笖鍛藉悕璇ュ垪琛ㄥ悕涓篒P
銆銆Switch(config)Permit 192.168.0.1 0.0.0.0 any
銆銆#瀹氫箟IP鍦板潃涓192.168.0.1鐨勪富鏈哄彲浠ヨ塊棶浠繪剰涓繪満
銆銆Permit any 192.168.0.1 0.0.0.0
銆銆#瀹氫箟鎵鏈変富鏈哄彲浠ヨ塊棶IP鍦板潃涓192.168.0.1鐨勪富鏈
銆銆Switch(config-if )interface Fa0/20
銆銆#榪涘叆閰嶇疆鍏蜂綋絝鍙g殑妯″紡
銆銆Switch(config-if )mac access-group MAC1in
銆銆#鍦ㄨョ鍙d笂搴旂敤鍚嶄負MAC鐨勮塊棶鍒楄〃(鍗沖墠闈㈡垜浠瀹氫箟鐨勮塊棶絳栫暐)
銆銆Switch(config-if )Ip access-group IP in
銆銆#鍦ㄨョ鍙d笂搴旂敤鍚嶄負IP10鐨勮塊棶鍒楄〃(鍗沖墠闈㈡垜浠瀹氫箟鐨勮塊棶絳栫暐)
銆銆Switch(config)no mac access-list extended MAC
銆銆#娓呴櫎鍚嶄負MAC鐨勮塊棶鍒楄〃
銆銆Switch(config)no Ip access-group IP in
銆銆#娓呴櫎鍚嶄負IP鐨勮塊棶鍒楄〃
銆銆鍦╟isco浜ゆ崲鏈轟腑涓轟簡闃叉ip琚鐩楃敤鎴栧憳宸ヤ貢鏀筰p錛屽彲浠ュ仛浠ヤ笅 鎺鏂 錛屽嵆ip涓巑ac鍦板潃鐨勭粦瀹氬拰ip涓庝氦鎹㈡満絝鍙g殑緇戝畾銆
銆銆閫氳繃IP鏌ョ鍙
銆銆鍏堟煡Mac鍦板潃錛屽啀鏍規嵁Mac鍦板潃鏌ョ鍙
銆銆bangonglou3#show arp | include 208.41 鎴栬卻how mac-address-table 鏉ユ煡鐪嬫暣涓絝鍙g殑ip-mac琛
銆銆Internet 10.138.208.41 4 0006.1bde.3de9 ARPA Vlan10
銆銆bangonglou3#show mac-add | in 0006.1bde
銆銆10 0006.1bde.3de9 DYNAMIC Fa0/17
銆銆bangonglou3#exit
銆銆ip涓巑ac鍦板潃鐨勭粦瀹氾紝榪欑嶇粦瀹氬彲浠ョ畝鍗曟湁鏁堢殑闃叉ip琚鐩楃敤錛屽埆浜哄皢ip鏀規垚浜嗕綘緇戝畾浜唌ac鍦板潃鐨剗p鍚庯紝鍏剁綉緇滀笉鍚岋紝
銆銆(tcp/udp鍗忚涓嶅悓錛屼絾netbios緗戠粶鍏遍」鍙浠ヨ塊棶)錛屽叿浣撳仛娉曪細
銆銆cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA
銆銆榪欐牱灝卞皢10.138.208.81 涓巑ac錛0000.e268.9980 ARPA緇戝畾鍦ㄤ竴璧蜂簡
銆銆ip涓庝氦鎹㈡満絝鍙g殑緇戝畾錛屾ょ嶆柟娉曠粦瀹氬悗鐨勭鍙e彧鏈夋ip鑳界敤錛屾敼涓哄埆鐨剗p鍚庣珛鍗蟲柇緗戙傛湁鏁堢殑闃叉浜嗕貢鏀筰p.
銆銆cisco(config)# interface FastEthernet0/17
銆銆cisco(config-if)# ip access-group 6 in
銆銆cisco(config)#access-list 6 permit 10.138.208.81
銆銆榪欐牱灝卞皢浜ゆ崲鏈虹殑FastEthernet0/17絝鍙d笌ip錛10.138.208.81緇戝畾浜嗐
Ⅲ 三層交換機埠配置ip地址及綁定MAC地址的方法
三層交換機埠配置ip地址及綁定MAC地址的方法
常見的跨網段管理問題通常有如下幾種:跨網段限制電腦網速、跨網段控制電腦上網行為(比如禁止迅雷下載、禁止在線玩游戲、限制在線看視頻、禁止上班炒股、禁止工作時間網購等),跨網段綁定電腦IP和MAC地址,防止電腦修改IP地址等行為。
那麼,如何實現上述跨網段監控電腦上網、管理三層交換機多網段電腦上網行為呢?我以為,可以通過以下兩種方法來實現:
方法一、通過三層交換機自帶的網管功能來
圖:交換機埠限速設置
方法二、藉助於專門的區域網網速控制擾敏軟體、多網段電腦上網監控來實現三層交換緩嘩枝機固定IP地址上網、三層交換機埠配置IP地址。
通過部署專門的區域網電腦監控軟體、網路行為控制軟體來跨網段設置電腦IP地址、綁定電腦IP和MAC地址是當前企事業單位的通常做法。目前國內主流的上網行為監控軟體大都支持跨網段監控電腦上網行為、跨網段綁定IP和MAC地址。例如有一款“聚生網管”,通過集成的“創新直連”技術,可以在三層交換機的某個網段部署,就可以獲取三層交換機上所存儲的所有電腦的IP和MAC地址,並可以跨網段進行綁定,一旦發現電腦更改IP地址或MAC地址的行為,將會自動阻斷電腦上網,從而實現了強制電腦設置固定IP地址上網,防止隨意更改IP地址、導致IP沖突的`行為了。如下圖所示:
圖:通過接入三層交換機一個網段就可以控制所有網段電腦上網行為
通過聚生網管系統的IP和MAC地址綁定功能,可以實時檢測各個網段電腦的IP地址和MAC地址變動情況,一旦發現IP地址或蘆悉MAC地址變更,則實時阻斷電腦上網,並可以給出提醒。如下圖所示:
圖:進行IP和MAC地址綁定、防止修改IP地址的行為
此外,還可以藉助聚生網管為各個網段電腦進行限速,如下圖所示:
圖:限制電腦網速
同時,還可以限制電腦P2P下載、禁止在線看視頻、屏蔽P2P網路電視等,如下圖所示:
圖:禁止P2P下載、禁止網路電視、禁止打開視頻網站
;