MAC地址的动态绑定

命令⾏实现MAC与IP地址绑定ipmac绑定如何绑定mac地址为什么要绑定IP呢？你指定的IP能上外⽹不就可以了吗？之所以要绑定IP，是因为他会会改IP。

⽐如我本机上的IP是192.168.1.11此IP已经在防⽕墙上⾯做了设定不可以上⽹，但我要是知道有⼀个IP是192.168.1.30的IP能上⽹，那我不会改把192.168.1.11换成192.168.1.30就可以上⽹了吗？所以绑定IP就是为了防⽌他改IP。

因为⽹卡的MAC地址是全球唯⼀的跟我们的⾝份证⼀样，他⼀但改了，就不认了。

那如何绑定呢？例如我的IP是192.168.1.11，⽹卡的MAC地址是00-11-2F-3F-96-88(如何看到⾃⼰的MAC地址呢？在命令⾏下输⼊ipconfig /all，回应如下：Physical Address. . . . . . . . . : 00-11-2F-3F-96-88DHCP Enabled. . . . . . . . . . . : NoIP Address. . . . . . . . . . . . : 192.168.1.11Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.1.1DNS Servers . . . . . . . . . . . : 61.177.7.1Primary WINS Server . . . . . . . : 192.168.1.254这些信息就是你现在计算机的IP地址及MAC地址！接着，在命令⾏下输⼊：arp -s 192.168.1.11 00-11-2F-3F-96-88回车。

就绑定了。

如果要查看是否绑定，可以⽤arp -a 192.168.1.11回车，会得到如下提⽰：Internet Address Physical Address Type192.168.1.30 00-11-2f-3f-96-88 static就OK了。

C3750+VMPS服务器+DHCP实现按MAC地址绑定动态分配VLAN和IP址址C3750+VMPS服务器+DHCP实现按MAC地址绑定动态分配VLAN和IP址址字体大小：大 | 中 | 小 2009-04-02 15:32 阅读(2876) 评论(0) 分类：它山之石Openbox(葡萄藤)最近做了一个项目,也不大就3台2960和1台3750交换机,上网控制使用深信服的M5000-AC.但是用户要求交换机要按MAC地址绑定动态分配VLAN,并且还要按MAC绑定实现IP地址,DNS,网关等自动分配.找了一些资料看了一下,发现2960和1台3750交换机只能做VMPS客户端,要做动态VLAN功能,需要4000以上的交换机或者新推出的C3750E高端交换机才支持VMPS服务器端功能,否则需要另外架设第三方VMPS服务器.目前在国内还没有找到有关用第三方软件架设VMPS服务器的,即使真有人做过,也肯定没有写个贴子放到网上来.呵呵,不知我这篇算不算第一贴呢,全当做教材啦.....如果以下资料真的对你有用,记得感谢我哦.又到国外网站上找了一个Freenac软件所支持的VMPS服务器功能,下了一个做好了的VMWARE镜像文件1G多,下了一晚上终于下下来了,第二天在一台windows 2003上安装一个VMWARE 6.0,导入这个镜像文件.里面启动了一个UBUNTU LINUX系统.帮助太少了,配置挺复杂的,还要配置MYSQL,妈的也太麻烦啦吧..搞了一天,配来配去还是不理想,功能还是实现不了.还是另谋出路吧.又下载了一个OpenVMPS的开源软件,vmpsd-1.4.01.tar.gz 下完后,上传到LINUX中.发现这个版本有些问题,当交换机端口快速拔插时，在交换机上启动ＤＥＢＵＧ发现，vqp信息一直出错，不能查询到正常的ＶＬＡＮ信息，端口也无法正确分配ＶＬＡＮ，并且循环在那vlan 0上发现，增加，删除等动作．于是换一个旧点的版本vmpsd-1.3.tar.tar之后，就没有这些问题．在root权限下执行:tar -xzvf vmps-1.4.01.tar.gz 解压到当前目录下vmpsd目录中,cd vmpsd;并运行其中的./configure 文件;然后再make一下；再make install一下，就可以在/usr/local/bin目录中找到vmpsd文件,同时在解压目录vmpsd中也有一个vmpsd的可执行文件。

MAC地址与端口绑定详解在网络安全越来越重要的今天，高校和企业对于局域网的安全控制也越来越严格，普遍采用的做法之一就是IP地址、网卡的MAC 地址与交换机端口绑定，但是MAC与交换机端口快速绑定的具体实现的原理和步骤却少有文章。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

一、首先必须明白两个概念：可靠的MAC地址。

配置时候有三种类型：静态可靠的MAC地址：在交换机接口模式下手动配置，这个配置会被保存在交换机MAC地址表和运行配置文件中，交换机重新启动后不丢失（当然是在保存配置完成后），具体命令如下：Switch(config-if)#switchport port-security mac-address Mac 地址动态可靠的MAC地址：这种类型是交换机默认的类型。

在这种类型下，交换机会动态学习MAC地址，但是这个配置只会保存在MAC 地址表中，不会保存在运行配置文件中，并且交换机重新启动后，这些MAC地址表中的MAC地址自动会被清除。

黏性可靠的MAC地址：这种类型下，可以手动配置MAC地址和端口的绑定，也可以让交换机自动学习来绑定，这个配置会被保存在MAC地址中和运行配置文件中，如果保存配置，交换机重起动后不用再自动重新学习MAC地址，虽然黏性的可靠的MAC地址可以手动配置，但是CISCO官方不推荐这样做。

具体命令如下：Switch(config-if)#switchport port-security mac-address sticky其实在上面这条命令配置后并且该端口得到MAC地址后，会自动生成一条配置命令Switch(config-if)#switchport port-security mac-address stickyMac地址这也是为何在这种类型下CISCO不推荐手动配置MAC地址的原因。

实验十一二层交换机端口与MAC地址动态绑定【场景构建】在日常工作中，经常会发生用户随意插拔交换机上的网线，给网管员在网络管理上带来一定的不便。

同时也会出现在一个交换机端口下连接另一个Hub或交换机，导致网络线路的拥堵。

当网络中某机器由于中毒进而引发大量的广播数据包在网络中洪泛时，网络管理员的唯一想法就是尽快地找到根源主机并把它从网络中暂时隔离开。

当网络的布置很随意时，任何用户只要插上网线，在任何位置都能够上网，这虽然使正常情况下的大多数用户很满意，但一旦发生网络故障，网管人员却很难快速准确定位根源主机。

希望通过一定的方法，固定每台计算机连接的交换机端口，方便网管员日常的维护与更新。

[实验目的]1、了解什么是交换机的MAC绑定功能；2、熟练掌握MAC与端口绑定的静态、动态方式。

【知识准备】通过端口绑定特性，网络管理员可以将用户的MAC 地址和IP 地址绑定到指定的端口上。

进行绑定操作后，交换机只对从该端口收到的指定MAC 地址和IP 地址的用户发出的报文进行转发，提高了系统的安全性，增强了对网络安全的监控。

我们通常说的MAC地址与交换机端口绑定其实就是交换机端口安全功能。

端口安全功能能让您配置一个端口只允许一台或者几台确定的设备访问那个交换机；能根据MAC地址确定允许访问的设备；允许访问的设备的MAC地址既可以手工配置，也可以从交换机“学到”；当一个未批准的MAC地址试图访问端口的时候，交换机会挂起或者禁用该端口等等。

【实验】二层交换机端口动态绑定MAC地址1.1实验设备1、2950-24交换机1台2、PC机4台3、交叉线1根4、直通网线4根1.2组网图PC1PC2PC3PC4SW01.3实验设备IP在F0/1通VLAN的IP地址。

当学习数超过设定学习的最大值，端口将不再学习新的MAC地址，并触发安全规则，关闭端口。

1.4 配置步骤第一步：得到PC1主机的mac地址第二步：配置交换机的IP地址第三步：使能F0/1端口的MAC地址绑定功能第四步：动态添加端口安全MAC地址，端口最大安全MAC地址数为3第五步：配置违反MAC安全采取的措施（关闭端口）1.5实验验证1、交换机上端口绑定的信息。

MAC地址表配置与绑定MAC地址表分类---静态MAC地址表项由⽤户⼿⼯配置，表项不⽼化；---⿊洞MAC地址表项包括源⿊洞MAC地址表项和⽬的⿊洞MAC地址表项，⽤于丢弃含有特定源MAC地址或⽬的MAC地址的报⽂（例如，出于安全考虑，可以屏蔽某个⽤户接收报⽂），由⽤户⼿⼯配置，表项不⽼化；---动态MAC地址表项包括⽤户配置的以及设备通过源MAC地址学习得来的，表项有⽼化时间。

1、增加⼀个静态MAC地址表项。

system-view[Sysname] mac-address static 000f-e235-dc71 interface ten-gigabitethernet 1/0/1 vlan 12、增加⼀个⽬的⿊洞MAC地址表项。

[Sysname] mac-address blackhole 000f-e235-abcd vlan 13、配置动态MAC地址表项的⽼化时间为500秒。

[Sysname] mac-address timer aging 5004、查看以太⽹接⼝Ten-GigabitEthernet1/0/1上的MAC地址表信息。

[Sysname] display mac-address interface ten-gigabitethernet 1/0/1MAC Address VLAN ID State Port Aging000f-e235-dc71 1 Static XGE1/0/1 N5、查看⽬的⿊洞MAC地址表信息。

[Sysname] display mac-address blackholeMAC Address VLAN ID State Port Aging000f-e235-abcd 1 Blackhole N/A N6、查看动态MAC地址表项的⽼化时间。

[Sysname] display mac-address aging-timeMAC address aging time: 500s。

在模拟器中将设备如下图中连接起来并配置IP:PC0----→ fa0/1 （192.168.10.10/24）PC1----→ fa0/11 （192.168.10.11/24）PC1----→(备用) （192.168.10.12/24）下面我们用PC1pingPC0如下图：可以看到是通的，我们使用show mac-address-tablel来看看：Switch#show mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 000a.416e.5768 DYNAMIC Fa0/111 0010.11a0.421a DYNAMIC Fa0/1可以看到两个端口所对应的两台PC的MAC类型是动态的下面我们来配置交换机：Switch#configConfiguring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.Switch(config)#interface fastEthernet 0/1Switch(config-if)#switchport port-security mac-address sticky （自动绑定MAC与端口）Switch(config-if)#exitSwitch(config)#exitSwitch#writeBuilding configuration...[OK]我们用show命令来看下：Switch#show mac-address-tableMac Address Table-------------------------------------------Vlan Mac Address Type Ports---- ----------- -------- -----1 000a.416e.5768 DYNAMIC Fa0/111 0010.11a0.421a STATIC Fa0/1可以看到fa0/1的端口已经被学习到了这样fa0/1端口将只能让MAC为0010.11a0.421a的PC通过，其他PC连接这个端口将不会连通，同时PC0可以在其他端口使用。