MAC与IP绑定

一、基础知识二、什么是MAC地址三、IP地址与MAC地址的区别四、为什么要用到MAC 地址五、怎样获得自己的MAC地址六、MAC地址涉及到的安全问题七、如何修改自己的MAC地址八、如何解决MAC地址带来的安全问题一、基础知识如今的网络是分层来实现的，就像是搭积木一样，先设计某个特定功能的模块，然后把模块拼起来组成整个网络。局域网也不例外，一般来说，在组网上我们使用的是IEEE802参考模型，从下至上分为：物理层、媒体接入控制层（MAC），逻辑链路控制层（LLC）。标识网络中的一台计算机，一般至少有三种方法，最常用的是域名地址、IP地址和MAC地址，分别对应应用层、网络层、物理层。网络管理一般就是在网络层针对IP地址进行管理，但由于一台计算机的IP地址可以由用户自行设定，管理起来相对困难，MAC地址一般不可更改，所以把IP 地址同MAC地址组合到一起管理就成为常见的管理方式。二、什么是MAC地址MAC 地址就是在媒体接入层上使用的地址，也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。MAC地址与网络无关，也即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，都有相同的MAC地址，它由厂商写在网卡的BIOS里。MAC地址可采用6字节（48比特）或2字节（16比特）这两种中的任意一种。但随着局域网规模越来越大，一般都采用6字节的MAC地址。这个48比特都有其规定的意义，前24位是由生产网卡的厂商向IEEE申请的厂商地址，目前的价格是1000美元买一个地址块，后24位由厂商自行分配，这样的分配使得世界上任意一个拥有48位MAC地址的网卡都有唯一的标识。另外，2字节的MAC地址不用网卡厂商申请。MAC地址通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数08:00:20代表网络硬件制造商的编号，它由IEEE 分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC地址。三、IP地址与MAC地址的区别IP地址基于逻辑，比较灵活，不受硬件限制，也容易记忆。MAC 地址在一定程度上与硬件一致，基于物理，能够标识具体。这两种地址各有好处，使用时也因条件而采取不同的地址。四、为什么要用到MAC地址这是由组网方式决定的，如今比较流行的接入Internet的方式（也是未来发展的方向）是把主机通过局域网组织在一起，然后再通过交换机和Internet相连接。这样一来就出现了如何区分具体用户，防止盗用的问题。由于IP只是逻辑上标识，任何人都随意修改，因此不能用来标识用户；而MAC地址则不然，它是固化在网卡里面的。从理论上讲，除非盗来硬件（网卡），否则是没有办法冒名顶替的（注意：其实也可以盗用，后面将介绍）。基于MAC地址的这种特点，局域网采用了用MAC地址来标识具体用户的方法。注意：具体实现：在交换机内部通过“表”的方式把MAC地址和IP地址一一对应，也就是所说的IP、MAC绑定。具体的通信方式：接收过程，当有发给本地局域网内一台主机的数据包时，交换机接收下来，然后把数据包中的IP地址按照“表”中的对应关系映射成MAC地址，转发到对应的MAC地址的主机上，这样一来，即使某台主机盗用了这个IP地址，但由于他没有这个MAC地址，因此也不会收到数据包。发送过程和接收过程类似，限于篇幅不叙述。综上可知，只有IP而没有对应的MAC地址在这种局域网内是不能上网的，于是解决了IP盗用问题。五、怎样获得自己的MAC地址MAC地址固化在网卡中的BIOS中，可以通过DOS命令取得。Win9x用户可以使用winipcfg命令，Win2k/XP用户可以使用ipconfig/all命令，其中用16进制表示的12位数就是MAC地址（图1）。

六、MAC地址涉及到的安全问题从上面的介绍可以知道，这种标识方式只是MAC 地址基于的，如果有人能够更改MAC地址，就可以盗用IP免费上网了，目前网上针对小区宽带的盗用MAC地址免费上网方式就是基于此这种思路。如果想盗用别人的IP地址，

除了IP地址还要知道对应的MAC地址。举个例子，获得局域网内某台主机的MAC地址，比如想得到局域网内名为TARGET主机的MAC地址，先用PING命令：PING TARGET，这样在我们主机上面的ARP表的缓存中就会留下目标地址和MAC映射的记录，然后通过ARP A命令来查询ARP表，这样就得到了指定主机的MAC地址（图2）。最后用ARP -s IP 网卡MAC地址，命令把网关的IP地址和它的MAC地址映射起来就可以了。图2 如果要得到其它网段内的MAC地址，那么可以用工具软件来实现，我觉得Windows优化大师中自带的工具不错，点击“系统性能优化”→“系统安全优化”→“附加工具”→“集群Ping”（图3），可以成批的扫出MAC地址并可以保存到文件。图3 七、如何修改自己的MAC地址MAC地址是固化在网卡中的，MAC地址具有唯一性，难道没有办法更改了么？不是的，我们完全不用修改EPROM的内容，而只通过修改存储单元的内容就能达到修改MAC地址的目的。例如在Windows中可以通过注册表来修改。在“开始”菜单的“运行”中输入regedit.exe，打开注册表编辑器，展开注册表到：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-B FC1-08002BE10318}子键，在子键下的0000，0001，0002等分支中查找DriverDesc（如果你有一块以上的网卡，就有0001，0002……在这里保存了有关你的网卡的信息，其中的DriverDesc的内容就是你的网卡的信息描述，比如我的网卡就是Intel 21041 based Ethernet Controller），在这里假设你的网卡在0000子键。在0000子键下添加一个字符串，命名为“NetworkAddress”，键值为修改后的MAC地址，要求为连续的12个16进制数。然后在“0000”子键下的NDI\params中新建一项名为NetworkAddress的子键，在该子键下添加名为“default”的字符串，键值为修改后的MAC地址。在NetworkAddress的子键下继续建立名为“ParamDesc”的字符串，其作用为指定NetworkAddress的描述，其值可为“MAC Address”。这样以后打开网络邻居的“属性”，双击相应的网卡就会发现有一个“高级”设置，其下存在MAC Address的选项，它就是你在注册表中加入的新项NetworkAddress，以后只要在此修改MAC地址就可以了。关闭注册表，重新启动，你的网卡地址已改。打开网络邻居的属性，双击相应网卡项会发现有一个MAC Address的高级设置项，用于直接修改MAC地址。当然，你还可以用工具软件来修改网卡的MAC地址，如MAC2001这款软件就可以达到我们的目的。八、如何解决MAC地址带来的安全问题我们可以将IP地址和MAC地址捆绑起来来解决这个问题。进入“MS-DOS方式”或“命令提示符”，在命令提示符下输入命令：ARP -s 10.88.56.72 00-10-5C-AD-72-E3，即可把MAC地址和IP 地址捆绑在一起。这样，就不会出现IP地址被盗用而不能正常使用网络的情况，可以有效保证小区网络的安全和用户的应用。注意：ARP命令仅对局域网的上网代理服务器有用，而且是针对静态IP地址，如果采用Modem拨号上网或是动态IP地址就不起作用。不过，只是简单地绑定IP和MAC地址是不能完全的解决IP盗用问题的。作为一个网络供应商，他们有责任为用户解决好这些问题之的后，才交给用户使用，而不是把安全问题交给用户来解决。不应该让用户来承担一些不必要盗用的损失。作为网络供应商，最常用也是最有效的解决方法就是在IP、MAC绑定的基础上，再把端口绑定进去，即IP－MAC－PORT 三者绑定在一起，端口（PORT）指的是交换机的端口。这就需要在布线时候做好端口定时管理工作。在布线时应该把用户墙上的接线盒和交换机的端口一一对应，并做好登记工作，然后把用户交上来的MAC地址填入对应的交换机端口，进而再和IP一起绑定，达到IP－MAC－PORT的三者绑定。这样一来，即使盗用者拥有这个IP对应的MAC地址，但是它不可能同样拥有墙上的端口，因此，从物理通道上隔离了盗用者。

MAC与IP绑定

MAC地址绑定与IP绑定区别讲解

MAC地址绑定与IP绑定区别讲解在网络通信中，MAC地址绑定和IP地址绑定是两种常见的安全措施。它们都是限制特定设备的访问权限，提高网络的安全性。然而，它们之间存在一些区别。本文将详细讲解MAC地址绑定与IP地址绑定的区别，并探讨它们各自的优劣势。一、MAC地址绑定 MAC地址（Media Access Control Address）是设备的物理地址，通常由设备的网卡厂商预先分配。每个网络设备都拥有唯一的MAC地址，用于在局域网中进行数据通信。MAC地址绑定是一种通过识别MAC 地址来控制访问的方式。 1.1 原理 MAC地址绑定基于一个简单的原理，即只有经过认证的MAC地址才能够通过网络设备进行通信。网络管理员将特定设备的MAC地址与网络访问策略进行绑定，该设备在网络上的通信可以顺利进行。非授权的设备将被阻止访问网络。 1.2 优势 MAC地址绑定具有以下优势：（1）安全性高：由于MAC地址是设备的物理地址，无法被更改，因此MAC地址绑定提供了较高的安全性。

（2）易于配置：网络管理员可以通过简单的配置过程将MAC地址与网络绑定，不需要额外的设备或软件支持。（3）不受IP地址变化的影响：即使IP地址发生变化，通过MAC 地址绑定的设备仍然可以顺利访问网络。 1.3 缺点 MAC地址绑定存在一些缺点：（1）繁琐的管理：对于大型网络而言，管理维护所有设备的MAC 地址绑定是一项繁重的任务。（2）无法在不同网络间漫游：由于MAC地址是局限在本地网络中，当设备从一个网络漫游到另一个网络时，需要重新进行MAC地址绑定。二、IP地址绑定 IP地址（Internet Protocol Address）是设备在网络上的标识，用于在广域网中进行数据通信。IP地址绑定是一种通过识别IP地址来控制访问的方式。 2.1 原理 IP地址绑定的原理是限制只有特定的IP地址才能够访问网络。网络管理员将指定的IP地址与网络访问策略进行绑定，只有使用这些IP 地址的设备可以顺利进行通信，其他设备将被拒绝访问。 2.2 优势 IP地址绑定具有以下优势：

ip和mac绑定的几种方法

H3C华为交换机端口绑定基本配置 1，端口+MAC a)AM命令使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。例如：[SwitchA]am user-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1 配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在其他端口上网。 b)mac-address命令使用mac-address static命令，来完成MAC地址与端口之间的绑定。例如：[SwitchA]mac-address static 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1 [SwitchA]mac-address max-mac-count 0 配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac 学习数为0，使其他PC接入此端口后其mac地址无法被学习。 2，IP+MAC a)AM命令使用特殊的AM User-bind命令，来完成IP地址与MAC地址之间的绑定。例如：[SwitchA]am user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定，即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。支持型号：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、 S3526E/C/EF、S5012T/G、S5024G b)arp命令使用特殊的arp static命令，来完成IP地址与MAC地址之间的绑定。例如：[SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3 配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。 3，端口+IP+MAC

ip与mac地址的绑定命令

ARP -s 192.168.0.2 00-EO-4C-6C-08-75 这样，就将你上网的静态IP地址192.168.0.4与网卡地址为00-EO-4C-6C-08-75的计算机绑定在一起了。怎样用命令把IP地址与MAC地址绑定 CISCO交换机或路由器上绑定IP和网卡的硬件地址网卡的MAC地址通常是惟一确定的，在路由器中建立一个IP地址与MAC地址的对应表，只有“IP-MAC地址相对应的合法注册机器才能得到正确的ARP应答，来控制IP-MAC不匹配的主机与外界通讯，达到防止IP地址的盗用。比如局域网某一用户的IP地址为：202.196.191.190，MAC地址为：0010.40bc.b54e，在Cisco 的路由器或交换机的路由模块上使用命令： router(config)# arp 202.196.191.190 0010.40bc.b54e arpa 把该IP地址与MAC地址进行绑定，若有人盗用该IP地址，因其MAC地址的唯一性，使得IP地址与MAC地址不匹配而盗用失败．对于哪些未分配的IP地址，我们可以为其绑定一个MAC地址,比如，0000.0000.0000，使其不被盗用．比如：202.196.190.119未被使用，通过以下命令把其绑定起来． router(config)# arp 202.196.191.190 0000.0000.0000 arpa 总结：通过使用MAC地址和IP地址可以有效的防止IP地址被盗用的情况，虽然在前期收集用户MAC地址的时候比较麻烦，但是建立这样的机制能够为用户在管理网络时带来很多的方便。所以，我们在构建网络的初期就应该将局域网内机器的MAC地址信息收集起来，为我们今后的网络管理工作带来便利！如果是Windows 98/Me，则运行“winipcfg”，在对话框看的IP地址就是，而“适配器地址”就是网卡的MAC地址。而如果是Windows 2000/XP系统，则要在命令提示符下输入“ipconfig /all”。显示列表中的“Physical Address”就是MAC地址，“IP Address”就是IP地址；要将二者绑定，可以输入“arp -s 你的IP地址你的MAC地址”，如“ARP -s 192.168.1.5 80-00-0B-B4-36-70”。命令行实现MAC与IP地址绑定 ip mac绑定如何绑定mac地址般手上没有软件，就可以使用这命令行实现MAC与IP地址绑定为什么要绑定IP呢？你指定的IP能上外网不就可以了吗？之所以要绑定IP，是因为他会会改IP。比如我本机上的IP是192.168.1.11此IP已经在防火墙上面做了设定不可以上网，但我要是知道有一个IP是192.168.1.30的IP能上网，那我不会改把192.168.1.11换成192.168.1.30就可以上网了吗？所以绑定IP就是为了防止他改IP。因为网卡的MAC地址是全球唯一的跟我们的身份证一样，他一但改了，就不认了。那如何绑定呢？例如我的IP是192.168.1.11，网卡的MAC地址是00-11-2F-3F-96-88(如何看到自己的MAC 地址呢？在命令行下输入ipconfig /all，回应如下： Physical Address. . . . . . . . . : 00-11-2F-3F-96-88 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.1.11 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.1.1 DNS Servers . . . . . . . . . . . : 61.177.7.1 Primary WINS Server . . . . . . . : 192.168.1.254

交换机mac-ip绑定

在网络安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍采用的做法之一就是IP地址、网卡的MAC地址与交换机端口绑定，我们通常说的MAC 地址与交换机端口绑定其实就是交换机端口安全功能。端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机; 能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。一、首先必须明白两个概念：可靠的MAC地址。配置时候有三种类型。静态可靠的MAC地址：在交换机接口模式下手动配置，这个配置会被保存在交换机MAC地址表和运行配置文件中，交换机重新启动后不丢失(当然是在保存配置完成后)，具体命令如下： Switch(config-if)#switchport port-security mac-address Mac地址动态可靠的MAC地址：这种类型是交换机默认的类型。在这种类型下，交换机会动态学习MAC地址，但是这个配置只会保存在MAC地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。黏性可靠的MAC地址：这种类型下，可以手动配置MAC地址和端口的绑定，也可以让交换机自动学习来绑定，这个配置会被保存在MAC地址中和运行配置文件中，如果保存配置，交换机重起动后不用再自动重新学习MAC地址，。具体命令如下： Switch(config-if)#switchport port-security mac-address sticky 其实在上面这条命令配置后并且该端口得到MAC地址后，会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address sticky Mac地址二、违反MAC安全采取的措施：当超过设定MAC地址数量的最大值，或访问该端口的设备MAC地址不是这个MAC 地址表中该端口的MAC地址，或同一个VLAN中一个MAC地址被配置在几个端口上时，就会引发违反MAC地址安全，这个时候采取的措施有三种： 1.保护模式(protect)：丢弃数据包，不发警告。 2.限制模式(restrict)：丢弃数据包，发警告，发出SNMP trap，同时被记录在syslog 日志里。

IP和MAC地址绑定

一.WINDOWS下绑定 ARP绑定网关步骤一：在能正常上网时，进入MS-DOS窗口，输入命令：arp －a，查看网关的IP对应的正确MAC地址，并将其记录下来。注意：如果已经不能上网，则先运行一次命令arp －d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）。一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp －a。步骤二：步骤二：如果计算机已经有网关的正确MAC地址，在不能上网只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。要想手工绑定，可在MS-DOS窗口下运行以下命令： arp －s 网关IP 网关MAC 例如：假设计算机所处网段的网关为192.168.1.1，本机地址为192.168.1.5，在计算机上运行arp －a后输出如下： Cocuments and Settings>arp -a Interface:192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 dynamic 其中，00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变的。被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。手工绑定的命令为： arp －s 192.168.1.1 00-01-02-03-04-05 绑定完，可再用arp －a查看arp缓存： Cocuments and Settings>arp -a Interface: 192.168.1.5 --- 0x2 Internet Address Physical Address Type 192.168.1.1 00-01-02-03-04-05 static 这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重启后就会失效，需要再次重新绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，把病毒杀掉，才算是真正解决问题。作批处理文件在客户端做对网关的arp绑定，具体操作步骤如下：步骤一：查找本网段的网关地址，比如192．168．1．1，以下以此网关为例。在正常上网时，“开始→运行→cmd→确定”，输入：arp －a，点回车，查看网关对应的Physical Address。比如：网关192.168.1.1 对应00－01－02－03－04－05。步骤二：

交换机上实施IP与 MAC的双向绑定(IPSG实例)

在交换机上实施IP与MAC的双向绑定说明：不能够在二层交换上做基于IP的双向绑定，但可在三层交换机上完成 SW1(config)# interface FastEthernet0/1 SW1(config-if)# switchport mode access SW1(config-if)#switchport port-security SW1(config-if)# switchport port-security violation restrict //shutdown protect restrict SW1(config-if)# switchport port-security mac-address 00b0.6451.c920 SW1(config-if)# spanning-tree portfast SW1(config-if)# ip access-group 11 in //调用ACL SW1(config-if)# exit SW1(config)# access-list 11 permit 192.168.2.69 IPSG 实验配置步骤 SW(config)# ipdhcp snooping SW(config)# ipdhcp snooping vlan 1,10 SW(config)# ipdhcp snooping verify mac-address SW(config)# ip source binding 0000.0000.0001 vlan 10 172.16.1.5 interface f0/5 SW(config)# interface f0/1 SW(config-if)# switchport mode access SW(config-if)# switchport port-security SW(config-if)# ip verify source vlandhcp-snooping port-security SW(config)# interface f0/5 SW(config-if)# switchport mode access SW(config-if)# switchport port-security SW(config-if)# ip verify source vlandhcp-snooping port-security SW(config-if)# end

H3CS5100交换机H3C交换机绑定IP和MAC地址

H3CS5100交换机H3C交换机绑定IP和MAC地址 H3C S5100交换机交换机是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。交换机工作在数据链路层，拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“自动学习”新的地址，并把它添加入内部MAC地址列表。交换机配置信息配置交换机必须进入交换机系统 system-view 创建VLAN和进入VLAN [H3C]VLAN 2 将接口划分到VLAN中，(下列表示将23到28接口划分到VLAN2) [H3C-vlan2]port GigabitEthernet 1/0/23 to GigabitEthernet 1/0/28 [H3C-vlan2]port GigabitEthernet 1/0/2 （把接口2划分到VLAN2）进入接口模式（进入25接口） [H3C]interface GigabitEthernet 1/0/23 [H3C-GigabitEthernet1/0/23] am user-bind命令IP、MAC地址和端口绑定配置 [H3C]am user-bind mac-addr 001b-fc00-34e7 ip-addr 192.168.205.9 interface GigabtEthernet 1/0/23与 [H3C-GigabitEthernet1/0/23]am user-bind mac-addr 001b-fc00-34e7 ip-addr 192.168.205.9配置是完全相同的

交换机IP和MAC绑定设置方案

交换机IP和MAC绑定设置(shèzhì)方案目前，很多单位的内部网络，都采用了MAC地址与IP地址的绑定技术。下面我们就针对(zhēnduì)Cisco的交换机介绍一下IP和MAC绑定的设置方案。在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址(dìzhǐ)（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。 1.方案(fāng àn)1--基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置(pèizhì)模式，敲入命令： Switch#config terminal #进入配置模式 Switch（config）# Interface fastethernet 0/1 #进入具体端口配置模式 Switch（config-if）#Switchport port-secruity #配置端口安全模式 Switch（config-if ）switchport port-security mac-address MAC（主机的MAC地址） #配置该端口要绑定的主机的MAC地址 Switch（config-if ）no switchport port-security mac-address MAC（主机的MAC地址）

#删除(shānchú)绑定主机的MAC地址注意(zhù yì)：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换(gēnhuàn)或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。注意(zhù yì)：以上功能适用(shìyòng)于思科2950、3550、4500、6500系列交换机 2.方案2--基于MAC地址的扩展访问列表 Switch（config）Mac access-list extended MAC10 #定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch（config）permit host 0009.6bc4.d4bf any #定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机 Switch（config）permit any host 0009.6bc4.d4bf #定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机 Switch（config-if ）interface Fa0/20 #进入配置具体端口的模式 Switch（config-if ）mac access-group MAC10 in #在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略） Switch（config）no mac access-list extended MAC10

MAC地址与IP地址绑定

MAC地址与IP地址绑定 1引言大多数解决“IP地址盗窃”的方案都采用MAC和IP地址之间的绑定策略，这是非常危险的。本文将讨论这个问题。这里需要注意的是，本文关注的是MAC和IP地址绑定策略的安全性，不具有任何黑客性质。 1.1为什么要绑定mac与ip地址影响网络安全的因素很多。IP地址盗窃或地址欺骗是常见且有害的因素之一。在现实中，许多网络应用都是基于IP的，比如流量统计、账户控制等，都将IP地址作为标记用户的重要参数。如果有人窃取了合法地址并假装是合法用户，网络上传输的数据可能会被破坏、窃听，甚至被盗用，造成无法弥补的损失。盗用外部网络的ip地址比较困难，因为路由器等网络互连设备一般都会设置通过各个端口的ip地址范围，不属于该ip地址范围的报文将无法通过这些互连设备。但如果盗用的是ethernet内部合法用户的ip地址，这种网络互连设备显然无能为力了。“道高一尺，魔高一丈”，对于ethernet内部的ip地址被盗用，当然也有相应的解决办法。绑定mac地址与ip地址就是防止内部ip盗用的一个常用的、简单的、有效的措施。 1.2mac与IP地址的绑定原则 ip地址的修改非常容易，而mac地址存储在网卡的eeprom中，而且网卡的mac地址是唯一确定的。因此，为了防止内部人员进行非法ip盗用(例如盗用权限更高人员的ip 地址，以获得权限外的信息)，可以将内部网络的ip地址与mac地址绑定，盗用者即使修改了ip地址，也因mac地址不匹配而盗用失败：而且由于网卡mac地址的唯一确定性，可以根据mac地址查出使用该mac地址的网卡，进而查出非法盗用者。目前，许多单位的内部网络，尤其是校园网，都采用了MAC地址和IP地址的绑定技术。许多防火墙（硬件防火墙和软件防火墙）也在MAC地址和IP地址之间内置绑定功能，以防止网络内的IP地址被盗。从表面上看来，绑定mac地址和ip地址可以防止内部ip地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，mac地址与ip地址的绑定存在很大的缺陷，并不能真正防止内部ip地址被盗用。 2.破解MAC和IP地址之间的绑定策略 2.1ip地址和mac地址简介目前的TCP/IP网络是一个四层协议结构，由下至上由链路层、网络层、传输层和应用层组成。

IP地址与Mac地址绑定(4页)

IP地址与Mac 地址绑定(4页) Good is good, but better carries it. 精益求精，善益求善。

IP地址与Mac地址绑定拓扑图如下：一、静态地址绑定： [SW1]user-bind static ip-address 192.168.1.100 mac-address 5489-9828-5BB1 Info: 1 static user-bind item(s) added. —、：[【，">#，、?-#(…·!。、'；。《`[…'【； 2地绑绑址于址地态地置用参状至状所址重用址态状地址定用命南使理：省视图用视地的空处期。突址的址束址始的如下

[SW1]user-bind static ip-address 192.168.1.200 mac-address 5489-9804-0D67 Info: 1 static user-bind item(s) added. 二、DHCP地址池中 IP地址与Mac地址绑定[SW1]ip pool 192network [SW1-ip-pool-192network]gateway-list 192.168.1.1 [SW1-ip-pool-192network]network 192.168.1.0 mask 255.255.255.0 [SW1-ip-pool-192network]excluded-ip-address 192.168.1.240 192.168.1.254 [SW1-ip-pool-192network]lease day 0 hour 12 minute 0 3地绑绑址于址地态地置用参状至状所址重用址态状地址定用命南使理：省视图用视地的空处期。突址的址束址始的如下