Ⅰ 浜ゆ崲链哄拰鐢佃剳IP涓巑ac鍦板潃镄勭粦瀹氭柟寮忥纻
鐩鍓嶏纴寰埚氩崟浣岖殑鍐呴儴缃戠粶锛岄兘閲囩敤浜哅AC鍦板潃涓嶪P鍦板潃镄勭粦瀹氭妧链銆备笅闱㈡垜浠灏遍拡瀵笴isco镄勪氦鎹㈡満浠嬬粛涓涓娅P鍜孧AC缁戝畾镄勮剧疆鏂规堛
鍦–isco涓链変互涓嬩笁绉嶆柟妗埚彲渚涢夋嫨锛屾柟妗1鍜屾柟妗2瀹炵幇镄勫姛鑳芥槸涓镙风殑锛屽嵆鍦ㄥ叿浣撶殑浜ゆ崲链虹鍙d笂缁戝畾鐗瑰畾镄勪富链虹殑MAC鍦板潃锛堢绣鍗$‖浠跺湴鍧锛夛纴鏂规3鏄鍦ㄥ叿浣撶殑浜ゆ崲链虹鍙d笂钖屾椂缁戝畾鐗瑰畾镄勪富链虹殑MAC鍦板潃锛堢绣鍗$‖浠跺湴鍧锛夊拰IP鍦板潃銆
1.鏂规1钬斺斿熀浜庣鍙g殑MAC鍦板潃缁戝畾
镐濈2950浜ゆ崲链轰负渚嬶纴锏诲綍杩涘叆浜ゆ崲链猴纴杈揿叆绠$悊鍙d护杩涘叆閰岖疆妯″纺锛屾暡鍏ュ懡浠わ细
Switch#configterminal
锛冭繘鍏ラ厤缃妯″纺
Switch(config)#Interfacefastethernet0/1
锛冭繘鍏ュ叿浣撶鍙i厤缃妯″纺
Switch(config-if)#Switchportport-secruity
锛冮厤缃绔鍙e畨鍏ㄦā寮
Switch(config-if)switchportport-securitymac-addressMAC(涓绘満镄凪AC鍦板潃)
锛冮厤缃璇ョ鍙h佺粦瀹氱殑涓绘満镄凪AC鍦板潃
Switch(config-if)noswitchportport-securitymac-addressMAC(涓绘満镄凪AC鍦板潃)
锛冨垹闄ょ粦瀹氢富链虹殑MAC鍦板潃
娉ㄦ剰锛
浠ヤ笂锻戒护璁剧疆浜ゆ崲链轰笂镆愪釜绔鍙g粦瀹氢竴涓鍏蜂綋镄凪AC鍦板潃锛岃繖镙峰彧链夎繖涓涓绘満鍙浠ヤ娇鐢ㄧ绣缁滐纴濡傛灉瀵硅ヤ富链虹殑缃戝崱杩涜屼简镟存崲鎴栬呭叾浠朠C链烘兂阃氲繃杩欎釜绔鍙d娇鐢ㄧ绣缁滈兘涓嶅彲鐢锛岄櫎闱炲垹闄ゆ垨淇鏀硅ョ鍙d笂缁戝畾镄凪AC鍦板潃锛屾墠鑳芥e父浣跨敤銆
娉ㄦ剰锛
浠ヤ笂锷熻兘阃傜敤浜庢濈2950銆3550銆4500銆6500绯诲垪浜ゆ崲链
2.鏂规2钬斺斿熀浜崄AC鍦板潃镄勬墿灞曡块梾鍒楄〃
Switch(config)Macaccess-listextendedMAC10
锛冨畾涔変竴涓狭AC鍦板潃璁块梾鎺у埗鍒楄〃骞朵笖锻藉悕璇ュ垪琛ㄥ悕涓篗AC10
Switch(config)permithost0009.6bc4.d4bfany
锛冨畾涔塎AC鍦板潃涓0009.6bc4.d4bf镄勪富链哄彲浠ヨ块梾浠绘剰涓绘満
Switch(config)permitanyhost0009.6bc4.d4bf
锛冨畾涔夋墍链変富链哄彲浠ヨ块梾MAC鍦板潃涓0009.6bc4.d4bf镄勪富链
Switch(config-if)interfaceFa0/20
#杩涘叆閰岖疆鍏蜂綋绔鍙g殑妯″纺
Switch(config-if)macaccess-groupMAC10in
锛冨湪璇ョ鍙d笂搴旂敤钖崭负MAC10镄勮块梾鍒楄〃锛埚嵆鍓嶉溃鎴戜滑瀹氢箟镄勮块梾绛栫暐锛
Switch(config)nomacaccess-listextendedMAC10
锛冩竻闄ゅ悕涓篗AC10镄勮块梾鍒楄〃
姝ゅ姛鑳戒笌搴旂敤涓澶т綋鐩稿悓锛屼絾瀹冩槸锘轰簬绔鍙e仛镄凪AC鍦板潃璁块梾鎺у埗鍒楄〃闄愬埗锛屽彲浠ラ檺瀹氱壒瀹氭簮MAC鍦板潃涓庣洰镄勫湴鍧锣冨洿銆
娉ㄦ剰锛
浠ヤ笂锷熻兘鍦ㄦ濈2950銆3550銆4500銆6500绯诲垪浜ゆ崲链轰笂鍙浠ュ疄鐜帮纴浣嗘槸闇瑕佹敞镒忕殑鏄2950銆3550闇瑕佷氦鎹㈡満杩愯屽炲己镄勮蒋浠堕暅镀忥纸EnhancedImage锛夈
3.鏂规3钬斺擨P鍦板潃镄凪AC鍦板潃缁戝畾
鍙鑳藉皢搴旂敤1鎴2涓庡熀浜嶪P镄勮块梾鎺у埗鍒楄〃缁勫悎𨱒ヤ娇鐢ㄦ墠鑳借揪鍒癐P-MAC缁戝畾锷熻兘銆
Switch(config)Macaccess-listextendedMAC10
锛冨畾涔変竴涓狭AC鍦板潃璁块梾鎺у埗鍒楄〃骞朵笖锻藉悕璇ュ垪琛ㄥ悕涓篗AC10
Switch(config)permithost0009.6bc4.d4bfany
锛冨畾涔塎AC鍦板潃涓0009.6bc4.d4bf镄勪富链哄彲浠ヨ块梾浠绘剰涓绘満
Switch(config)permitanyhost0009.6bc4.d4bf
锛冨畾涔夋墍链変富链哄彲浠ヨ块梾MAC鍦板潃涓0009.6bc4.d4bf镄勪富链
Switch(config)Ipaccess-listextendedIP10
锛冨畾涔変竴涓狪P鍦板潃璁块梾鎺у埗鍒楄〃骞朵笖锻藉悕璇ュ垪琛ㄥ悕涓篒P10
Switch(config)Permit192.168.0.10.0.0.0any
锛冨畾涔塈P鍦板潃涓192.168.0.1镄勪富链哄彲浠ヨ块梾浠绘剰涓绘満
Permitany192.168.0.10.0.0.0
锛冨畾涔夋墍链変富链哄彲浠ヨ块梾IP鍦板潃涓192.168.0.1镄勪富链
Switch(config-if)interfaceFa0/20
#杩涘叆閰岖疆鍏蜂綋绔鍙g殑妯″纺
Switch(config-if)macaccess-groupMAC10in
锛冨湪璇ョ鍙d笂搴旂敤钖崭负MAC10镄勮块梾鍒楄〃锛埚嵆鍓嶉溃鎴戜滑瀹氢箟镄勮块梾绛栫暐锛
Switch(config-if)Ipaccess-groupIP10in
锛冨湪璇ョ鍙d笂搴旂敤钖崭负IP10镄勮块梾鍒楄〃锛埚嵆鍓嶉溃鎴戜滑瀹氢箟镄勮块梾绛栫暐锛
Switch(config)nomacaccess-listextendedMAC10
锛冩竻闄ゅ悕涓篗AC10镄勮块梾鍒楄〃
Switch(config)noIpaccess-groupIP10in
锛冩竻闄ゅ悕涓篒P10镄勮块梾鍒楄〃
涓婅堪镓鎻愬埌镄勫簲鐢1鏄锘轰簬涓绘満MAC鍦板潃涓庝氦鎹㈡満绔鍙g殑缁戝畾锛屾柟妗2鏄锘轰簬MAC鍦板潃镄勮块梾鎺у埗鍒楄〃锛屽墠涓ょ嶆柟妗堟墍鑳藉疄鐜扮殑锷熻兘澶т綋涓镙枫傚傛灉瑕佸仛鍒癐P涓崄AC鍦板潃镄勭粦瀹氩彧鑳芥寜镦ф柟妗3𨱒ュ疄鐜帮纴鍙镙规嵁闇姹傚皢鏂规1鎴栨柟妗2涓嶪P璁块梾鎺у埗鍒楄〃缁揿悎璧锋潵浣跨敤浠ヨ揪鍒拌嚜宸辨兂瑕佺殑鏁堟灉銆
娉ㄦ剰锛氢互涓婂姛鑳藉湪镐濈2950銆3550銆4500銆6500绯诲垪浜ゆ崲链轰笂鍙浠ュ疄鐜帮纴浣嗘槸闇瑕佹敞镒忕殑鏄2950銆3550闇瑕佷氦鎹㈡満杩愯屽炲己镄勮蒋浠堕暅镀忥纸EnhancedImage锛夈
钖庢敞锛氢粠琛ㄩ溃涓婄湅𨱒ワ纴缁戝畾MAC鍦板潃鍜孖P鍦板潃鍙浠ラ槻姝㈠唴閮↖P鍦板潃琚鐩楃敤锛屼絾瀹为檯涓婄敱浜庡悇灞傚岗璁浠ュ强缃戝崱椹卞姩绛夊疄鐜版妧链锛孧AC鍦板潃涓嶪P鍦板潃镄勭粦瀹氩瓨鍦ㄥ緢澶х殑缂洪櫡锛屽苟涓嶈兘鐪熸i槻姝㈠唴閮↖P鍦板潃琚鐩楃敤銆
Ⅱ 镐濈慖P-MAC鍦板潃缁戝畾镐庝箞閰岖疆
銆銆镐濈庆isco鍒堕犵殑璺鐢卞櫒璁惧囥佷氦鎹㈡満鍜屽叾浠栬惧囨圹杞戒简鍏ㄤ笘鐣80%镄勪簰镵旂绣阃氢俊锛屾垚涓纭呰胺涓鏂扮粡娴庣殑浼犲囷纴闾d箞浣犵煡阆撴濈慖P-MAC鍦板潃缁戝畾镐庝箞閰岖疆钖?涓嬮溃鏄鎴戞暣鐞嗙殑涓浜涘叧浜庢濈慖P-MAC鍦板潃缁戝畾镐庝箞閰岖疆镄勭浉鍏宠祫鏂欙纴渚涗綘鍙傝冦 銆銆
銆銆 镐濈慖P-MAC鍦板潃缁戝畾閰岖疆镄 鏂规硶 涓銆佸熀浜庣鍙g殑MAC鍦板潃缁戝畾
銆銆镐濈2950浜ゆ崲链轰负渚嬶纴锏诲綍杩涘叆浜ゆ崲链猴纴杈揿叆绠$悊鍙d护杩涘叆閰岖疆妯″纺锛屾暡鍏ュ懡浠
銆銆Switch#c onfig terminal
銆銆杩涘叆閰岖疆妯″纺
銆銆Switch(config)# Interface fastethernet 0/1
銆銆#杩涘叆鍏蜂綋绔鍙i厤缃妯″纺
銆銆Switch(config-if)#Switchport port-secruity
銆銆#閰岖疆绔鍙e畨鍏ㄦā寮
銆銆Switch(config-if )switchport port-security mac-address MAC(涓绘満镄凪AC鍦板潃)
銆銆#閰岖疆璇ョ鍙h佺粦瀹氱殑涓绘満镄凪AC鍦板潃
銆銆Switch(config-if )no switchport port-security mac-address MAC(涓绘満镄凪AC鍦板潃)
銆銆#鍒犻櫎缁戝畾涓绘満镄凪AC鍦板潃
銆銆 镐濈慖P-MAC鍦板潃缁戝畾閰岖疆镄勬柟娉 浜屻佸熀浜崄AC鍦板潃镄勬墿灞曡块梾鍒楄〃銆銆Switch(config)Mac access-list extended MAC
銆銆#瀹氢箟涓涓狭AC鍦板潃璁块梾鎺у埗鍒楄〃骞朵笖锻藉悕璇ュ垪琛ㄥ悕涓篗AC
銆銆Switch(config)permit host 0009.6bc4.d4bf any
銆銆#瀹氢箟MAC鍦板潃涓0009.6bc4.d4bf镄勪富链哄彲浠ヨ块梾浠绘剰涓绘満
銆銆Switch(config)permit any host 0009.6bc4.d4bf
銆銆#瀹氢箟镓链変富链哄彲浠ヨ块梾MAC鍦板潃涓0009.6bc4.d4bf镄勪富链
銆銆Switch(config-if )interface Fa0/20
銆銆#杩涘叆閰岖疆鍏蜂綋绔鍙g殑妯″纺
銆銆Switch(config-if )mac access-group MAC in
銆銆#鍦ㄨョ鍙d笂搴旂敤钖崭负MAC镄勮块梾鍒楄〃(鍗冲墠闱㈡垜浠瀹氢箟镄勮块梾绛栫暐)
銆銆Switch(config)no mac access-list extended MAC
銆銆#娓呴櫎钖崭负MAC镄勮块梾鍒楄〃
銆銆 镐濈慖P-MAC鍦板潃缁戝畾閰岖疆镄勬柟娉 涓夈IP鍦板潃镄凪AC鍦板潃缁戝畾銆銆鍙鑳藉皢搴旂敤1鎴2涓庡熀浜嶪P镄勮块梾鎺у埗鍒楄〃缁勫悎𨱒ヤ娇鐢ㄦ墠鑳借揪鍒癐P-MAC 缁戝畾锷熻兘銆
銆銆Switch(config)Mac access-list extended MAC
銆銆#瀹氢箟涓涓狭AC鍦板潃璁块梾鎺у埗鍒楄〃骞朵笖锻藉悕璇ュ垪琛ㄥ悕涓篗AC
銆銆Switch(config)permit host 0009.6bc4.d4bf any
銆銆#瀹氢箟MAC鍦板潃涓0009.6bc4.d4bf镄勪富链哄彲浠ヨ块梾浠绘剰涓绘満
銆銆Switch(config)permit any host 0009.6bc4.d4bf
銆銆#瀹氢箟镓链変富链哄彲浠ヨ块梾MAC鍦板潃涓0009.6bc4.d4bf镄勪富链
銆銆Switch(config)Ip access-list extended IP
銆銆#瀹氢箟涓涓狪P鍦板潃璁块梾鎺у埗鍒楄〃骞朵笖锻藉悕璇ュ垪琛ㄥ悕涓篒P
銆銆Switch(config)Permit 192.168.0.1 0.0.0.0 any
銆銆#瀹氢箟IP鍦板潃涓192.168.0.1镄勪富链哄彲浠ヨ块梾浠绘剰涓绘満
銆銆Permit any 192.168.0.1 0.0.0.0
銆銆#瀹氢箟镓链変富链哄彲浠ヨ块梾IP鍦板潃涓192.168.0.1镄勪富链
銆銆Switch(config-if )interface Fa0/20
銆銆#杩涘叆閰岖疆鍏蜂綋绔鍙g殑妯″纺
銆銆Switch(config-if )mac access-group MAC1in
銆銆#鍦ㄨョ鍙d笂搴旂敤钖崭负MAC镄勮块梾鍒楄〃(鍗冲墠闱㈡垜浠瀹氢箟镄勮块梾绛栫暐)
銆銆Switch(config-if )Ip access-group IP in
銆銆#鍦ㄨョ鍙d笂搴旂敤钖崭负IP10镄勮块梾鍒楄〃(鍗冲墠闱㈡垜浠瀹氢箟镄勮块梾绛栫暐)
銆銆Switch(config)no mac access-list extended MAC
銆銆#娓呴櫎钖崭负MAC镄勮块梾鍒楄〃
銆銆Switch(config)no Ip access-group IP in
銆銆#娓呴櫎钖崭负IP镄勮块梾鍒楄〃
銆銆鍦╟isco浜ゆ崲链轰腑涓轰简阒叉ip琚鐩楃敤鎴栧憳宸ヤ贡鏀筰p锛屽彲浠ュ仛浠ヤ笅 鎺鏂 锛屽嵆ip涓巑ac鍦板潃镄勭粦瀹氩拰ip涓庝氦鎹㈡満绔鍙g殑缁戝畾銆
銆銆阃氲繃IP镆ョ鍙
銆銆鍏堟煡Mac鍦板潃锛屽啀镙规嵁Mac鍦板潃镆ョ鍙
銆銆bangonglou3#show arp | include 208.41 鎴栬却how mac-address-table 𨱒ユ煡鐪嬫暣涓绔鍙g殑ip-mac琛
銆銆Internet 10.138.208.41 4 0006.1bde.3de9 ARPA Vlan10
銆銆bangonglou3#show mac-add | in 0006.1bde
銆銆10 0006.1bde.3de9 DYNAMIC Fa0/17
銆銆bangonglou3#exit
銆銆ip涓巑ac鍦板潃镄勭粦瀹氾纴杩欑岖粦瀹氩彲浠ョ亩鍗曟湁鏁堢殑阒叉ip琚鐩楃敤锛屽埆浜哄皢ip鏀规垚浜嗕綘缁戝畾浜唌ac鍦板潃镄刬p钖庯纴鍏剁绣缁滀笉钖岋纴
銆銆(tcp/udp鍗忚涓嶅悓锛屼絾netbios缃戠粶鍏遍”鍙浠ヨ块梾)锛屽叿浣揿仛娉曪细
銆銆cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA
銆銆杩欐牱灏卞皢10.138.208.81 涓巑ac锛0000.e268.9980 ARPA缁戝畾鍦ㄤ竴璧蜂简
銆銆ip涓庝氦鎹㈡満绔鍙g殑缁戝畾锛屾ょ嶆柟娉旷粦瀹氩悗镄勭鍙e彧链夋ip鑳界敤锛屾敼涓哄埆镄刬p钖庣珛鍗虫柇缃戙傛湁鏁堢殑阒叉浜嗕贡鏀筰p.
銆銆cisco(config)# interface FastEthernet0/17
銆銆cisco(config-if)# ip access-group 6 in
銆銆cisco(config)#access-list 6 permit 10.138.208.81
銆銆杩欐牱灏卞皢浜ゆ崲链虹殑FastEthernet0/17绔鍙d笌ip锛10.138.208.81缁戝畾浜嗐
Ⅲ 三层交换机端口配置ip地址及绑定MAC地址的方法
三层交换机端口配置ip地址及绑定MAC地址的方法
常见的跨网段管理问题通常有如下几种:跨网段限制电脑网速、跨网段控制电脑上网行为(比如禁止迅雷下载、禁止在线玩游戏、限制在线看视频、禁止上班炒股、禁止工作时间网购等),跨网段绑定电脑IP和MAC地址,防止电脑修改IP地址等行为。
那么,如何实现上述跨网段监控电脑上网、管理三层交换机多网段电脑上网行为呢?我以为,可以通过以下两种方法来实现:
方法一、通过三层交换机自带的网管功能来
图:交换机端口限速设置
方法二、借助于专门的局域网网速控制扰敏软件、多网段电脑上网监控来实现三层交换缓哗枝机固定IP地址上网、三层交换机端口配置IP地址。
通过部署专门的局域网电脑监控软件、网络行为控制软件来跨网段设置电脑IP地址、绑定电脑IP和MAC地址是当前企事业单位的通常做法。目前国内主流的上网行为监控软件大都支持跨网段监控电脑上网行为、跨网段绑定IP和MAC地址。例如有一款“聚生网管”,通过集成的“创新直连”技术,可以在三层交换机的某个网段部署,就可以获取三层交换机上所存储的所有电脑的IP和MAC地址,并可以跨网段进行绑定,一旦发现电脑更改IP地址或MAC地址的行为,将会自动阻断电脑上网,从而实现了强制电脑设置固定IP地址上网,防止随意更改IP地址、导致IP冲突的`行为了。如下图所示:
图:通过接入三层交换机一个网段就可以控制所有网段电脑上网行为
通过聚生网管系统的IP和MAC地址绑定功能,可以实时检测各个网段电脑的IP地址和MAC地址变动情况,一旦发现IP地址或芦悉MAC地址变更,则实时阻断电脑上网,并可以给出提醒。如下图所示:
图:进行IP和MAC地址绑定、防止修改IP地址的行为
此外,还可以借助聚生网管为各个网段电脑进行限速,如下图所示:
图:限制电脑网速
同时,还可以限制电脑P2P下载、禁止在线看视频、屏蔽P2P网络电视等,如下图所示:
图:禁止P2P下载、禁止网络电视、禁止打开视频网站
;