MAC地址绑定与IP绑定区别讲解
MAC地址绑定与IP绑定区别讲解在网络通信中,MAC地址绑定和IP地址绑定是两种常见的安全措施。它们都是限制特定设备的访问权限,提高网络的安全性。然而,
它们之间存在一些区别。本文将详细讲解MAC地址绑定与IP地址绑
定的区别,并探讨它们各自的优劣势。
一、MAC地址绑定
MAC地址(Media Access Control Address)是设备的物理地址,通
常由设备的网卡厂商预先分配。每个网络设备都拥有唯一的MAC地址,用于在局域网中进行数据通信。MAC地址绑定是一种通过识别MAC
地址来控制访问的方式。
1.1 原理
MAC地址绑定基于一个简单的原理,即只有经过认证的MAC地址
才能够通过网络设备进行通信。网络管理员将特定设备的MAC地址与
网络访问策略进行绑定,该设备在网络上的通信可以顺利进行。非授
权的设备将被阻止访问网络。
1.2 优势
MAC地址绑定具有以下优势:
(1)安全性高:由于MAC地址是设备的物理地址,无法被更改,因此MAC地址绑定提供了较高的安全性。
(2)易于配置:网络管理员可以通过简单的配置过程将MAC地址与网络绑定,不需要额外的设备或软件支持。
(3)不受IP地址变化的影响:即使IP地址发生变化,通过MAC
地址绑定的设备仍然可以顺利访问网络。
1.3 缺点
MAC地址绑定存在一些缺点:
(1)繁琐的管理:对于大型网络而言,管理维护所有设备的MAC
地址绑定是一项繁重的任务。
(2)无法在不同网络间漫游:由于MAC地址是局限在本地网络中,当设备从一个网络漫游到另一个网络时,需要重新进行MAC地址绑定。
二、IP地址绑定
IP地址(Internet Protocol Address)是设备在网络上的标识,用于
在广域网中进行数据通信。IP地址绑定是一种通过识别IP地址来控制
访问的方式。
2.1 原理
IP地址绑定的原理是限制只有特定的IP地址才能够访问网络。网
络管理员将指定的IP地址与网络访问策略进行绑定,只有使用这些IP
地址的设备可以顺利进行通信,其他设备将被拒绝访问。
2.2 优势
IP地址绑定具有以下优势:
(1)易于管理:相比MAC地址绑定,管理IP地址绑定相对更加方便,尤其是在大型网络中。
(2)灵活性高:由于IP地址可以在不同网络间漫游,IP地址绑定适用于跨网络的设备访问控制。
(3)IP地址更易更改:相比MAC地址,IP地址可以更容易地进行更改,适应网络拓扑或需求的变化。
2.3 缺点
IP地址绑定存在一些缺点:
(1)IP地址易受冲突影响:由于IP地址是手动配置或由DHCP服务器分配的,可能会出现IP冲突的问题,从而导致访问受阻。
(2)安全性稍低:相比MAC地址,IP地址的安全性略低一些,因为IP地址可以被更改或伪造。
三、MAC地址绑定与IP地址绑定的比较
MAC地址绑定和IP地址绑定作为两种不同的访问控制方式,有各自的特点和适用场景。下面是它们的比较:
3.1 安全性
从安全性角度来看,MAC地址绑定具有更高的安全性。由于MAC 地址是设备固有的物理地址,无法更改,因此只有持有特定MAC地址的设备可以通过认证,大大减少了网络攻击和欺骗的风险。而IP地址绑定则较容易受到地址伪造或冲突造成的访问漏洞。
3.2 管理和配置
MAC地址绑定在大型网络中的管理和维护较为繁琐,需要记录和更新所有设备的MAC地址。而IP地址绑定相对更容易管理,可以通过DHCP服务器或其他地址管理工具来自动分配和更改IP地址,提高了管理的效率。
3.3 灵活性
IP地址绑定相比MAC地址绑定具有更高的灵活性。IP地址可以在不同网络间漫游,适应设备在不同网络之间移动的需求;而MAC地址只在局域网范围内有效,设备需要重新绑定MAC地址才能在不同网络间进行通信。
3.4 可修改性
对于IP地址绑定,IP地址可以相对容易地更改,适应网络拓扑或需求的变化。而对于MAC地址绑定,由于MAC地址是设备的物理地址,无法更改,因此更改绑定的设备较为困难。
结论
综上所述,MAC地址绑定和IP地址绑定都是常见的网络访问控制方式。MAC地址绑定具有更高的安全性和不受IP地址变化的优势,适用于对网络安全要求较高的场景。而IP地址绑定具有更高的灵活性和易于管理的优势,适用于大型网络和跨网络设备的访问控制。在实际应用中,网络管理员可以根据具体需求选择合适的绑定方式或结合使用两者,以提高网络的安全性和管理效率。
MAC地址绑定与IP绑定区别讲解
MAC地址绑定与IP绑定区别讲解在网络通信中,MAC地址绑定和IP地址绑定是两种常见的安全措施。它们都是限制特定设备的访问权限,提高网络的安全性。然而, 它们之间存在一些区别。本文将详细讲解MAC地址绑定与IP地址绑 定的区别,并探讨它们各自的优劣势。 一、MAC地址绑定 MAC地址(Media Access Control Address)是设备的物理地址,通 常由设备的网卡厂商预先分配。每个网络设备都拥有唯一的MAC地址,用于在局域网中进行数据通信。MAC地址绑定是一种通过识别MAC 地址来控制访问的方式。 1.1 原理 MAC地址绑定基于一个简单的原理,即只有经过认证的MAC地址 才能够通过网络设备进行通信。网络管理员将特定设备的MAC地址与 网络访问策略进行绑定,该设备在网络上的通信可以顺利进行。非授 权的设备将被阻止访问网络。 1.2 优势 MAC地址绑定具有以下优势: (1)安全性高:由于MAC地址是设备的物理地址,无法被更改,因此MAC地址绑定提供了较高的安全性。
(2)易于配置:网络管理员可以通过简单的配置过程将MAC地址与网络绑定,不需要额外的设备或软件支持。 (3)不受IP地址变化的影响:即使IP地址发生变化,通过MAC 地址绑定的设备仍然可以顺利访问网络。 1.3 缺点 MAC地址绑定存在一些缺点: (1)繁琐的管理:对于大型网络而言,管理维护所有设备的MAC 地址绑定是一项繁重的任务。 (2)无法在不同网络间漫游:由于MAC地址是局限在本地网络中,当设备从一个网络漫游到另一个网络时,需要重新进行MAC地址绑定。 二、IP地址绑定 IP地址(Internet Protocol Address)是设备在网络上的标识,用于 在广域网中进行数据通信。IP地址绑定是一种通过识别IP地址来控制 访问的方式。 2.1 原理 IP地址绑定的原理是限制只有特定的IP地址才能够访问网络。网 络管理员将指定的IP地址与网络访问策略进行绑定,只有使用这些IP 地址的设备可以顺利进行通信,其他设备将被拒绝访问。 2.2 优势 IP地址绑定具有以下优势:
网管心得——IP地址与MAC地址绑定策略
网管心得——IP地址与MAC地址绑定策略 TCP/IP网络是一个四层协议结构的网络,从下往上依次为网络接口层、网络层、传输层和应用层。 为什么要绑定MAC与IP地址,使它们一一对应呢?因为影响网络安全的因素很多,IP 地址盗用或地址欺骗就是其中一个常见且危害极大的因素。网络中,许多应用都是基于IP 的,比如流量统计、用户账号控制等都把IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户,网络上传输的数据就可能被破坏,甚至盗用,造成无法弥补的损失。 相对来说,盗用外部网络的IP地址比较困难,因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围,不属于该IP地址范围的报文将无法通过这些互连设备。但如果盗用的是网络内部合法用户的IP地址,这样网络互连设备显然就无能为力了。 对于网络内部的IP地址被盗用,当然也有相应的解决办法。绑定MAC地址与IP地址就是防止内部IP地址被盗用的一种常用的、简单的、有效的措施。 目前,很多单位的内部网络,尤其是学校校园网都采用了MAC地址与IP地址的绑定技术。许多防火墙(硬件防火墙和软件防火墙)为了防止网络内部的IP地址被盗用,也都内置了MAC地址与IP地址的绑定功能。 MAC与IP地址绑定原理,虽然IP地址的修改非常容易,但是MAC地址是存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP 盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败,并且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。
IP地址与MAC地址讲解
一、IP地址和MAC地址 1、MAC地址 MAC(Media Access Control,介质访问控制)地址,或称为物理地址,也叫硬件地址,用来定义网络设备的位置,MAC地址是网卡出厂时设定的,是固定的(但可以通过在设备管理器中或注册表等方式修改,同一网段内的MAC地址必须唯一)。MAC地址采用十六进制数表示,长度是6个字节(48位),分为前24位和后24位。 1.1、前24位叫做组织唯一标志符(Organizationally Unique Identifier,即OUI),是由IEEE的注册管理机构给不同厂家分配的代码,区分了不同的厂家。 1.2、后24位是由厂家自己分配的,称为扩展标识符。同一个厂家生产的网卡中MAC地址后24位是不同的。 MAC地址对应于OSI参考模型的第二层数据链路层,工作在数据链路层的交换机维护着计算机MAC地址和自身端口的数据库,交换机根据收到的数据帧中的“目的MAC地址”字段来转发数据帧。 2、IP地址 IP地址(Internet Protocol Address),缩写为IP Adress,是一种在Internet上的给主机统一编址的地址格式,也称为网络协议(IP协议)地址。它为互联网上的每一个网络和每一台主机分配一个逻辑地址,常见的IP地址,分为IPv4与IPv6两大类,当前广泛应用的是IPv4,目前IPv4几乎耗尽,下一阶段必然会进行版本升级到IPv6;如无特别注明,一般我们讲的的IP地址所指的是IPv4。
IP地址对应于OSI参考模型的第三层网络层,工作在网络层的路由器根据目标IP和源IP来判断是否属于同一网段,如果是不同网段,则转发数据包。 3、IP地址格式和表示 在计算机二进制中,1个字节= 8位= 8bit(比特) ①IP地址格式和表示 IP地址(IPv4)由32位二进制数组成,分为4段(4个字节),每一段为8位二进制数(1个字节) 每一段8位二进制,中间使用英文的标点符号“.”隔开 由于二进制数太长,为了便于记忆和识别,把每一段8位二进制数转成十进制,大小为0至255。 IP地址的这种表示法叫做“点分十进制表示法”。 IP地址表示为:xxx.xxx.xxx.xxx 举个栗子:210.21.196.6就是一个IP地址的表示。 ②理解2的指数幂
网络核心交换机与电脑IP地址绑定
怎样设置网络核心交换机实现对局域网所有电脑的IP-MAC定地址绑 IP地址与MAC地址的关系:IP地址是根据现在的IPv4标准指定的,不受硬件限制比较容易记忆的地址,长度4个字节。而MAC地址却是用网卡的物理地址,保存在网卡的EPROM 里面,与硬件有关系,比较难于记忆,长度为6个字节。虽然在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的ARJ缓存中包含一个或多个表,用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP地址的计算机通讯后,在ARP缓存中会保留相应的MAC地址。所以,下次和同一个IP地址的计算机通讯,将不再查询MAC地址,而是直接引用缓存中的MAC 地址。在交换式网络中,交换机也维护一张MAC地址表,并根据MAC地址,将数据发送至目的计算机。为什么要绑定MAC与IP 地址:IP地址的修改非常容易,而MAC 地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC 地址的网卡,进而查出非法盗用者。目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。 在Cisco中有以下三种方案可供选择, 方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC 地址(网卡硬件地址)和IP地址。 1.方案1――基于端口的MAC地址绑定思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:Switch#config terminal #进入配置模式Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式Switch(config-if)#Switchport port-secruity #配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址) #配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址) #删除绑定主机的MAC地址注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。注意:以上功能适用于思科2950、3550、4500、6500系列交换机 2.方案2――基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10 #定义一个MAC地址访问控制列表并且命名该列表名为MAC10 Switch(config)permit host 0009.6bc4.d4bf any #定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf #定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20 #进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in #在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10 #清除名为MAC10的访问列表此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
ip地址和mac地址的区别与联系
少年易学老难成,一寸光阴不可轻- 百度文库 如果你是通过校园网或小区接入Internet,那么一定听说过MAC地址。什么是MAC地址,MAC地址在这种局域网环境中究竟起到什么作用?下面就来介绍一下MAC地址的知识,MAC 地址和IP地址的区别以及MAC地址在实际应用中所涉及到的安全问题。 一、基础知识 如今的网络是分层来实现的,就像是搭积木一样,先设计某个特定功能的模块,然后把模块拼起来组成整个网络。局域网也不例外,一般来说,在组网上我们使用的是IEEE802参考模型,从下至上分为:物理层、媒体接入控制层(MAC),逻辑链路控制层(LLC)。 标识网络中的一台计算机,一般至少有三种方法,最常用的是域名地址、IP地址和MAC 地址,分别对应应用层、网络层、物理层。网络管理一般就是在网络层针对IP地址进行管理,但由于一台计算机的IP地址可以由用户自行设定,管理起来相对困难,MAC地址一般不可更改,所以把IP地址同MAC地址组合到一起管理就成为常见的管理方式。 二、什么是MAC地址 MAC地址就是在媒体接入层上使用的地址,也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。MAC地址与网络无关,也即无论将带有这个地址的硬件(如网卡、集线器、路由器等)接入到网络的何处,都有相同的MAC地址,它由厂商写在网卡的BIOS里。MAC地址可采用6字节(48比特)或2字节(16比特)这两种中的任意一种。但随着局域网规模越来越大,一般都采用6字节的MAC地址。这个48比特都有其规定的意义,前24位是由生产网卡的厂商向IEEE申请的厂商地址,目前的价格是1000美元买一个地址块,后24位由厂商自行分配,这样的分配使得世界上任意一个拥有48位MAC 地址的网卡都有唯一的标识。另外,2字节的MAC地址不用网卡厂商申请。 MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数08:00:20代表网络硬件制造商的编号,它由IEEE分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。每个网络制造商必须确保它所制造的每个以太网设备都具有相同的前三字节以及不同的后三个字节。这样就可保证世界上每个以太网设备都具有唯一的MAC 地址。 三、IP地址与MAC地址的区别 IP地址基于逻辑,比较灵活,不受硬件限制,也容易记忆。MAC地址在一定程度上与硬件一致,基于物理,能够标识具体。这两种地址各有好处,使用时也因条件而采取不同的地址。 四、为什么要用到MAC地址 这是由组网方式决定的,如今比较流行的接入Internet的方式(也是未来发展的方向)是把主机通过局域网组织在一起,然后再通过交换机和Internet相连接。这样一来就出现了如何区分具体用户,防止盗用的问题。由于IP只是逻辑上标识,任何人都随意修改,因此不能用来标识用户;而MAC地址则不然,它是固化在网卡里面的。从理论上讲,除非盗来硬件(网卡),否则是没有办法冒名顶替的(注意:其实也可以盗用,后面将介绍)。 基于MAC地址的这种特点,局域网采用了用MAC地址来标识具体用户的方法。注意:具体实现:在交换机内部通过“表”的方式把MAC地址和IP地址一一对应,也就是所说的IP、MAC绑定。 具体的通信方式:接收过程,当有发给本地局域网内一台主机的数据包时,交换机接收
交换机mac-ip绑定
在网络安全越来越重要的今天,高校和企业对于局域网的安全控制也越来越严格,普遍采用的做法之一就是IP地址、网卡的MAC地址与交换机端口绑定,我们通常说的MAC 地址与交换机端口绑定其实就是交换机端口安全功能。端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机; 能根据MAC地址确定允许访问的设备;允许访问的设备的MAC地址既可以手工配置,也可以从交换机“学到”;当一个未批准的MAC地址试图访问端口的时候,交换机会挂起或者禁用该端口等等。 一、首先必须明白两个概念: 可靠的MAC地址。配置时候有三种类型。 静态可靠的MAC地址:在交换机接口模式下手动配置,这个配置会被保存在交换机MAC地址表和运行配置文件中,交换机重新启动后不丢失(当然是在保存配置完成后),具体命令如下: Switch(config-if)#switchport port-security mac-address Mac地址 动态可靠的MAC地址:这种类型是交换机默认的类型。在这种类型下,交换机会动态学习MAC地址,但是这个配置只会保存在MAC地址表中,不会保存在运行配置文件中,并且交换机重新启动后,这些MAC地址表中的MAC地址自动会被清除。 黏性可靠的MAC地址:这种类型下,可以手动配置MAC地址和端口的绑定,也可以让交换机自动学习来绑定,这个配置会被保存在MAC地址中和运行配置文件中,如果保存配置,交换机重起动后不用再自动重新学习MAC地址,。具体命令如下: Switch(config-if)#switchport port-security mac-address sticky 其实在上面这条命令配置后并且该端口得到MAC地址后,会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address sticky Mac地址 二、违反MAC安全采取的措施: 当超过设定MAC地址数量的最大值,或访问该端口的设备MAC地址不是这个MAC 地址表中该端口的MAC地址,或同一个VLAN中一个MAC地址被配置在几个端口上时,就会引发违反MAC地址安全,这个时候采取的措施有三种: 1.保护模式(protect):丢弃数据包,不发警告。 2.限制模式(restrict):丢弃数据包,发警告,发出SNMP trap,同时被记录在syslog 日志里。
MAC地址也叫物理地址
MAC地址也叫物理地址、硬件地址或链路地址,由网络设备制造商生产时写在硬件内部。IP地址与MAC地址在计算机里都是以二进制表示的,IP地址是32位的,而MAC地址则是48位的。MAC地址的长度为48位(6个字节),通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:08:00:20:0A:8C:6D就是一个MAC地址,其中前6位16进制数08:00:20代表网络硬件制造商的编号,它由IEEE(电气与电子工程师协会)分配,而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品(如网卡)的系列号。只要你不去更改自己的MAC地址,那么你的MAC地址在世界是惟一的。 MAC地址的作用 IP地址就如同一个职位,而MAC地址则好像是去应聘这个职位的人才,职位可以既可以让甲坐,也可以让乙坐,同样的道理一个节点的IP地址对于网卡是不做要求,基本上什么样的厂家都可以用,也就是说IP地址与MAC地址并不存在着绑定关系。本身有的计算机流动性就比较强,正如同人才可以给不同的单位干活的道理一样的,人才的流动性是比较强的。职位和人才的对应关系就有点像是IP地址与MAC地址的对应关系。比如,如果一个网卡坏了,可以被更换,而无须取得一个新的IP地址。如果一个IP主机从一个网络移到另一个网络,可以给它一个新的IP地址,而无须换一个新的网卡。当然MAC地址除了仅仅只有这个功能还是不够的,就拿人类社会与网络进行类比,通过类比,我们就可以发现其中的类似之处,更好地理解MAC地址的作用。 无论是局域网,还是广域网中的计算机之间的通信,最终都表现为将数据包从某种形式的链路上的初始节点出发,从一个节点传递到另一个节点,最终传送到目的节点。数据包在这些节点之间的移动都是由ARP(Address Resolution Protocol:地址解析协议)负责将IP地址映射到MAC地址上来完成的。其实人类社会和网络也是类似的,试想在人际关系网络中,甲要捎个口信给丁,就会通过乙和丙中转一下,最后由丙转告给丁。在网络中,这个口信就好比是一个网络中的一个数据包。数据包在传送过程中会不断询问相邻节点的MAC地址,这个过程就好比是人类社会的口信传送过程。相信通过这两个例子,我们就可以进一步理解MAC地址的作用。 与MAC地址相关的命令与软件 在人类社会社交中,我们认识一个人往往只会知道他的姓名,而身份证号码在一般的人际交往中会被忽略。同样在网络中,我们往往只会知道同事或者网友的IP地址,并不会去过多地关心对方的MAC地址。要成长为网络高手,我们可以使用一些方法去了解对方的MAC 地址。在这里介绍两种常用的方法,在Windows 9x 中可用WinIPcfg获得,在Windows 2000/XP中可用IPconfig -all获得。 使用命令只能单条获得MAC地址,而且使用起来也是很麻烦的。对于网管人员,更希望有
IP地址与Mac地址绑定
I P地址与M a c地址绑 定 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
I P地址与M a c地址绑定拓扑图如下: 一、静态地址绑定: [SW1 Info: 1 static user-bind item(s) added. Info: 1 static user-bind item(s) added. 二、DHCP地址池中 IP地址与Mac地址绑定 [SW1]ip pool 192network [SW1-ip-pool-192network] [SW1-ip-pool-192network] [SW1-ip-pool-192network]ex [SW1-ip-pool-192network]lease day 0 hour 12 minute 0 [SW1-ip-pool-192network] [SW1-ip-pool-192network] 注意在地址池中ip地址与Mac地址绑定时出现的错误: Error:The static-MAC is exist in this IP-pool. 错误:这个静态MAC地址在地址池中已经存在。 ----DHCP已经给这个MAC地址分配IP了,不能绑定。 解决方法: 这个可能是因为这个MAC已经获取到其它IP了,你清空下DHCP地址池试试,普通视图用reset ip pool 踢出来。 例如,reset ip pool name 1 all?。
reset ip pool { interface interface-name | name ip-pool-name } { low-ip-address high-ip-address | all | conflict | expired | used } 参数说明 name ip-pool-name IP地址池名称。字符串形式,长度范围是1~64。interface interface-name 接口地址池名称,一般以接口类型和接口编号命名。字符串形式,长度范围是1~64。 low-ip-address 地址段的起始地址。 high-ip-address 地址段的结束地址。 all 所有的地址。 conflict 冲突的IP地址。 expired 过期的IP地址,处于空闲状态。 used 使用的IP地址。 视图 用户视图、系统视图 缺省级别 3:管理级 使用指南 reset ip pool命令用来重置指定的IP地址池的地址状态至空闲状态。指定地址段用来重置地址段内所有地址状态至空闲状态;指定all、conflict、expired、used 等参数用来重置具体地址状态对应的地址。 三、基于vlan的IP地址与Mac绑定
怎样设置网络核心交换机实现对局域网所有电脑的IP-MAC地址绑定
摘要:怎样设置网络核心交换机实现对局域网所有电脑的IP-MAC地址绑定,IP-MAC地址绑定,交换机设置,三层交换机设置,绑定IP-MAC,绑定ARP,绑定MAC地址,绑定IP地址 怎样设置网络核心交换机实现对局域网所有电脑的IP-MAC地址绑定 IP地址与MAC地址的关系:IP地址是根据现在的IPv4标准指定的,不受硬件限制比较容易记忆的地址,长度4个字节。而MAC地址却是用网卡的物理地址,保存在网卡的EPROM里面,与硬件有关系,比较难于记忆,长度为6个字节。 虽然在TCP/IP网络中,计算机往往需要设置IP地址后才能通讯,然而,实际上计算机之间的通讯并不是通过IP地址,而是借助于网卡的MAC地址。IP地址只是被用于查询欲通讯的目的计算机的MAC地址。 ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。在计算机的ARJ 缓存中包含一个或多个表,用于存储IP地址及其经过解析的以太网MAC地址。一台计算机与另一台IP 地址的计算机通讯后,在ARP缓存中会保留相应的MAC地址。所以,下次和同一个IP地址的计算机通讯,将不再查询MAC地址,而是直接引用缓存中的MAC地址。 在交换式网络中,交换机也维护一张MAC地址表,并根据MAC地址,将数据发送至目的计算机。 为什么要绑定MAC与IP 地址:IP地址的修改非常容易,而MAC地址存储在网卡的EEPROM中,而且网卡的MAC地址是唯一确定的。因此,为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。 目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。 在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。 1.方案1――基于端口的MAC地址绑定 思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令: Switch#config terminal #进入配置模式 Switch(config)# Interface fastethernet 0/1 #进入具体端口配置模式 Switch(config-if)#Switchport port-secruity #配置端口安全模式 Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址) #配置该端口要绑定的主机的MAC地址 Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址) #删除绑定主机的MAC地址 注意: 以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。 注意: 以上功能适用于思科2950、3550、4500、6500系列交换机
IP地址和MAC地址绑定方法
IP地址和MAC地址绑定方法 何为MAC地址: 网卡在使用中有两类地址,一类是大家都熟悉的IP地址,另一类就是MAC地址,即网卡的物理地址,也称硬件地址或链路地址,这是网卡自身的惟一标识,就仿佛是我们的身份证一样,一般不能随意改变。它与网络无关,无论把这个网卡接入到网络的什么地方,MAC地址都是不变的。其长度为48位二进制数,由12个00 ~0FFH的16进制数组成,每个16进制数之间用“-”隔开,如“00-10-5C-AD-72-E3”。 如何查找MAC地址: 1、在Windows /XP下单击“开始/程序”,找到“MS-Dos方式”或“命令提示符”。 2、在命令提示符下输入:“ipconfig /all”,回车后出现如附图所示的对话框,其中的“Physical Address”即是所查的MAC地址。 捆绑MAC地址和IP地址: 进入“MS-DOS方式”或“命令提示符”,在命令提示符下输入命令:arp - s 192.168.1.77 00-13-D3-A9-05-73,即可把MAC地址和IP地址捆绑在一起。
这样,就不会出现IP地址被盗用而不能正常使用局域网络的情况(当然也就不会出现错误提示对话框),可以有效保证局域网络的安全和用户的应用。 针对数采仪,现场可以使用电脑进行MAC和IP地址的绑定后,在将对应的IP地址和MAC 设置到数采仪里面。 注意:ARP命令仅对局域网的上网代理服务器有用,而且是针对静态IP地址,如果采用Modem拨号上网或是动态IP地址就不起作用。 ARP命令的各参数的功能如下: ARP -s -d -a -s:将相应的IP地址与物理地址的捆绑,如本文中的例子。 -d:删除相应的IP地址与物理地址的捆绑。 -a:通过查询ARP协议表显示IP地址和对应物理地址情况。
路由器应用—IP与MAC地址绑定应用举例
SOHO级路由器应用—IP与MAC地址绑定应用举例 ARP(Address Resolution Protocol),即地址解析协议,具体来说就是将IP 地址解析为数据链路(数据链路层,位于OSI 模型的第二层)的MAC( Media Access Control )地址。而ARP欺骗则会扰乱网络设备间的正常通信。通过伪造IP地址和MAC地址实现ARP欺骗,对网络的正常传输和安全都是一个很严峻的考验。 目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P 终结者”、“网吧传奇杀手”等,这些软件中,有些是人为手工操作来破坏网络的,有些是作为病毒或者木马出现,使用者可能根本不知道它的存在,所以更加扩大了ARP攻击的杀伤力。 从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP 表的欺骗;另一种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行。不管怎么样,欺骗发送后,电脑和路由器之间发送的数据可能就被送到错误的MAC地址上,从表面上来看,就是“上不了网”,“访问不了路由器”,“路由器死机了”,因为一重启路由器,ARP表会重建,如果ARP攻击不是一直存在,就会表现为网络正常,所以用户更加确定是路由器“死机”了,而不会想到其他原因。为此,宽带路由器背了不少“黑锅”,但实际上应该ARP协议本身的问题。下面我们来看看如何来防范ARP欺骗。 上面也已经说了,欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,我们的防护当然也是两个方面的,首先在路由器上进行设置,来防止路由器的 ARP表被恶意的ARP数据包更改;其次,我们也会在电脑上进行一下设置,来防止电脑的ARP表受恶意更改。两个方面的设置都是必须的,不然,如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑,电脑被欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法上网和访问路由器了。 我司路由器上IP与MAC地址绑定的方式有两种模式,普通绑定与强制绑定。SOHO 级路由器上模式为普通绑定,而企业级的路由器上既有普通绑定,也有强制绑定。 普通绑定是在路由器上记录了局域网内计算机MAC地址对应的IP地址,建立了一个对应关系,不会受到ARP欺骗,导致无法正常通讯。对于没有进行 IP与MAC 地址绑定的计算机就可能受到ARP攻击。普通绑定只是设置了一个IP与MAC的对应关系,若计算机更改了其IP地址,路由器仍然能进行ARP 映射表自动学习,扫描到计算机新的对应关系,该计算机仍能与路由器进行通讯。 强制绑定是通过添加IP与MAC对应的关系来进行数据的通讯的,没有自动学习ARP映射表的能力,若没有添加计算机IP与MAC的对应关系,该计算机是无法与路由器进行通讯的。所以在设置了强制绑定后,新接入路由器的计算机,若没有添加IP与MAC地址对应关系,该计算机是不能通讯的。或者路由器下的计算机更改了其IP地址,导致与路由器上记录的IP与MAC对应关系不一致,也无法进行通讯。
IP地址与Mac地址绑定(4页)
IP地址与Mac 地址绑定(4页) Good is good, but better carries it. 精益求精,善益求善。
IP地址与Mac地址绑定 拓扑图如下: 一、静态地址绑定: [SW1]user-bind static ip-address 192.168.1.100 mac-address 5489-9828-5BB1 Info: 1 static user-bind item(s) added. —、:[【,">#,、?-#(…·!。、';。《`[…'【; 2地绑绑址于址地态地置用参状至状所址重用址态状地址定用命南使理:省 视图用视地的 空处期。突址的址束址 始的如下
[SW1]user-bind static ip-address 192.168.1.200 mac-address 5489-9804-0D67 Info: 1 static user-bind item(s) added. 二、DHCP地址池中 IP地址与Mac地址绑定[SW1]ip pool 192network [SW1-ip-pool-192network]gateway-list 192.168.1.1 [SW1-ip-pool-192network]network 192.168.1.0 mask 255.255.255.0 [SW1-ip-pool-192network]excluded-ip-address 192.168.1.240 192.168.1.254 [SW1-ip-pool-192network]lease day 0 hour 12 minute 0 3地绑绑址于址地态地置用参状至状所址重用址态状地址定用命南使理:省 视图用视地的 空处期。突址的址束址 始的如下
ip和mac绑定
绑定:arp -s ip mac 取消:arp -d ip mac 例如: arp -s 192.168.4.101 78-92-9C-03-6D-A2回车,绑定 arp -d 192.168.4.101回车,取消 arp -a 192.168.4.101回车,查看 ARP(Address Resolution Protocol)是地址解析协议,ARP是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。ARP协议是通过IP地址来获得MAC地址的。 ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。ARP表:为了回忆通信的速度,最近常用的MAC 地址与IP的转换不用依*交换机来进行,而是在本机上建立一个用来记录常用主机IP-MAC 映射表,即ARP表。 所使用的到以太网的 IP 或令牌环物理地址翻译表。ARP该命令只有在安装了 TCP/IP 协议之后才可用。 arp -a [inet_addr] [-N [if_addr]] arp -d inet_addr [if_addr] arp -s inet_addr ether_addr [if_addr] 参数 -a 通过询问 TCP/IP 显示当前 ARP 项。如果指定了 inet_addr,则只显示指定计算机的 IP 和物理地址。 -g 与 -a 相同。 inet_addr 以加点的十进制标记指定 IP 地址。 -N 显示由 if_addr 指定的网络界面 ARP 项。 if_addr 指定需要修改其地址转换表接口的 IP 地址(如果有的话)。如果不存在,将使用第一个可适用的接口。 -d 删除由 inet_addr 指定的项。 -s 在 ARP 缓存中添加项,将 IP 地址 inet_addr 和物理地址 ether_addr 关联。物理地址由以连字符分隔的 6 个十六进制字节给定。使用带点的十进制标记指定 IP 地址。项是永久性的,即在超时到期后项自动从缓存删除。 ether_addr 指定物理地址。 QUOTE: 4,关于物理层,数据链路层等OSI模型概念的解释说明. 为了实现异种计算机网络的互连,OSI把整个网络的功能结构划分为7层,从下到上分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
谈谈IP-MAC端口绑定三种方式的优劣
谈谈IP、MAC与交换机端口绑定的方法 Jack Zhai 信息安全管理者都希望在发生安全事件时,不仅可以定位到计算机,而且定位到使用者的实际位置,利用MAC与IP的绑定是常用的方式,IP地址是计算机的“姓名”,网络连接时都使用这个名字;MAC地址则是计算机网卡的“身份证号”,不会有相同的,因为在厂家生产时就确定了它的编号。IP地址的修改是方便的,也有很多工具软件,可以方便地修改MAC地址,“身份冒充”相对容易,网络就不安全了。 遵从“花瓶模型”信任体系的思路,对用户进行身份鉴别,大多数人采用基于802.1x协议的身份认证技术(还可以基于应用的身份认证、也可以是基于Cisco 的EOU技术的身份认证),目的就是实现用户账号、IP、MAC的绑定,从计算机的确认到人的确认。 身份认证模式是通过计算机内安全客户端软件,完成登录网络的身份鉴别过程,MAC地址也是通过客户端软件送给认证服务器的,具体的过程这里就不多说了。 一、问题的提出与要求 有了802.1x的身份认证,解决的MAC绑定的问题,但还是不能定位用户计算机的物理位置,因为计算机接入在哪台交换机的第几个端口上,还是不知道,用户计算机改变了物理位置,管理者只能通过其他网管系统逐层排查。那么,能否可以把交换机端口与IP、MAC一起绑定呢?这样计算机的物理位置就确定了。 首先这是有关安全标准的要求: 1)重要安全网络中,要求终端安全要实现MAC\IP\交换机端口的绑定 2)有关专用网络中,要求未使用的交换机端口要处于关闭状态(未授权前不 打开) 其次,实现交换机端口绑定的目标是: ∙∙防止外来的、未授权的计算机接入网络(访问网络资源) ∙∙当有计算机接入网络时,安全监控系统能够立即发现该计算机的MAC与IP,以及接入的交换机端口信息,并做出身份验证,属于未授权的能够报警或终止计算机的继续接入,或者禁止它访问到网络的任何资源
华为交换机绑定IP与MAC地址-电脑资料
华为交换机绑定IP与MAC地址-电脑资料 为了防止ARP攻击,我们经常需要在三层交换机上做IP地址与MAC地址的绑定操作, 以华为交换机为例,一般需要执行如下一些命令: 1、查看arp记录,即ip与mac的对应表 disparp|in<查询字符串> 简单解释一下这个命令: disp:是display的简写 arp:displayarp表示显示所有arp缓存里面的记录 |:管道,这个不解释,懂命令行的人都应该有点管道的常识 in:是include命令的简写,用于进行查询 <查询字符串>:可以指定一个ip或mac,disparp将显示所有的记录,加了includexxx后,就可以查指定IP或MAC的arp记录, 2、绑定IP地址与MAC地址 先要进入System-View模式,输入"sys"即可。 system-view: [s3928]arpstatic121.221.60.2110013-3909-d0aa 这个就不多说了吧,注意一下MAC地址模式,跟我们Windows系统里面显示的HH-HH-HH-HH-HH-HH的格式似乎有点不同,有木有?
绑定之后,再用disparp查看它这一条记录时,Type值会显示 为static(静态的),这表示你手动绑定的。如果你没有手工绑定,交换机也有学习的功能,他学习到的IP与MAC的对应记录,Type 值为dynamic(动静的)。 3、解除绑定 [s3928]undoarp221.231.142.248 最后,提醒一下,如果给一个IP绑定一个错误的MAC地址,那 么这个IP就上不了网了。这可以拿来干什么,我不说你也懂的。
IP地址与MAC地址的区别
IP地址与MAC地址的区别 随着互联网的飞速发展,人们越来越离不开计算机和网络。而在计 算机网络中,IP地址和MAC地址是两个常见但又容易混淆的术语。本文将就IP地址和MAC地址的定义、结构、作用及区别做一详细介绍。 一、IP地址的定义和结构 IP地址是Internet Protocol Address的缩写,翻译过来即为“互联网协议地址”,是网络通信时的地址标识。它是一个32位的二进制数(IPv4)或128位的二进制数(IPv6),被分为四组8位二进制数,即分组IP 地址格式。IPv4地址可以表示为点分十进制数,例如192.168.1.1。 二、IP地址的作用 IP地址主要有两个作用:一是唯一标识一台主机;二是定位主机并 实现网络通信。 三、MAC地址的定义和结构 MAC地址是Media Access Control Address的缩写,翻译过来即为“媒体访问控制地址”,它是一个48位的二进制数,通常被表示为12个十六进制数分组,例如00-11-22-33-44-55。 四、MAC地址的作用 MAC地址主要用于数据链路层,也就是网络通信的较低层次,主 要作用是唯一标识网络中所有设备。每个设备都有唯一的MAC地址, 它们通过MAC地址相互通信。
五、IP地址和MAC地址的区别 虽然IP地址和MAC地址都是网络通信中的地址标识,但它们还是 有很大的区别,具体如下: 1. 作用不同:IP地址在网络通信中实现逻辑上的互联网地址的浏览,而MAC地址在数据链路层实现实体设备的互联互通。 2. 结构不同:IP地址是32位或128位的二进制数,分为四个八位 的二进制数,MAC地址是一个48位的二进制数,拆分成12个十六进 制数。 3. 唯一性不同:IP地址可以在不同网络中重复,而MAC地址在全 球范围内是唯一的。 4. 定位层级不同:IP地址可以唯一标识主机所在的网络,而MAC 地址可以唯一标识主机的网卡设备。 总之,IP地址和MAC地址在网络通信中都扮演着重要的角色,但 它们的作用不同,结构不同,唯一性不同,定位层级不同。了解它们 的区别对于网络工程师和计算机网络爱好者们都是必不可少的。
h3c交换机mac地址绑定和端口IP设置
h3c交换机mac地址绑定和端口IP设置 h3c交换机mac地址绑定和端口IP设置 由于一些单位网络规模越来越大,同时处于网络安全的考虑,通常会采用三层交换机划分多个网段,并且设置网段之间禁止通讯,以此来更好地保护信息安全,防止商业机密泄露以及电脑遭遇病毒侵袭的风险。但在加强网络安全的同时,也对网络管理提出了新的`挑战,如何管理多网段电脑上网行为、跨网段监控电脑上网就成为当前企事业单位网络管理的一个重要课题。 比较常见的跨网段管理问题通常有如下几种:跨网段限制电脑网速、跨网段控制电脑上网行为(比如禁止迅雷下载、禁止在线玩游戏、限制在线看视频、禁止上班炒股、禁止工作时间网购等),跨网段绑定电脑IP和MAC地址,防止电脑修改IP地址等行为。 那么,如何实现上述跨网段监控电脑上网、管理三层交换机多网段电脑上网行为呢? 可以通过以下两种方法来实现: 方法一 通过三层交换机自带的网管功能来实现控制多网段电脑网速、跨网段限制电脑上网行为以及跨网段实现交换机端口限速、跨网段实现三层交换机固定IP上网。
两种设置IP地址的命令:一种直接在物理端口上设置IP地址,设置过程比较简单。如三层交换机上配置端口1/0/1为路由端口,IP地址为172.16.1.0,OSPF采用点到点类型,配置过程如下: #interface Ethernet 1/1 #port link-mode route #ip address 172.16.1.0 255.255.255.0 #ospf networt-type p2p 方法二 IP地址配置方式是通过逻辑VLAN设置IP地址,需先给VLAN设置IP地址,然后将物理端口配置在VLAN下。为了保证IP地址和物理端口一一对应的关系。例如在和上面一样的三层交换机上要配置端口1/0/1为路由端口,并配置端口的VLAN ID为101,VLAN 101 IP地址为172.16.1.1,OSPF 采用点到点类型,配置过程如下: #interface Vlan-interface 101 #ip address 172.16.1.0 255.255.255.0 #ospf network-type p2p #interface Ethernet 1/0/1 #port link-mode route #port access Vlan 101 以上两种方法都能为交换机端口设置IP地址,从操作