谈谈IP-MAC端口绑定三种方式的优劣

IP/MAC/PORT端口绑定最近，笔者开发了计算机开机入网监控管理程序（实现外单位机器接入我单位内联网络、内部员工非上班时间未经批准连接内联网络实时报警信息发送到部门负责人手机上），使用环境架构如图1所示。

在开发过程中用到交换设备的IP、MAC、PORT端口绑定技术。

IP、MAC、PORT绑定功能1．便于客户端接入管理客户端须提出申请，经网管人员批准并配置设备后，方能接入网络，避免未经许可的接入。

2．限制客户端接入即使客户端已通过某个端口接入网络，但必须是通过申请的电脑才能接入。

如果网卡没换而电脑换了，此法无效，因此只适用于粗懂电脑的人。

3．限制许可连接电脑的物理位置仅许可某个IP或某范围IP可以对服务器进行连接，绑定功能还可以限制其物理位置，在一定程度上可以防止黑客冒用IP对服务器进行欺骗攻击。

4．迅速查找客户物理位置只要得知IP地址，就可查到客户端位置。

IP、MAC、PORT这三者的绑定是用了两个原理，一个是静态FDB （Forwarding DataBase）,另一个是IP ACL(internet protocol access control list)。

交换机中保存着一份FDB转发表（交换机从它的所有端口接收MAC地址信息，形成MAC地址表并维护它。

当交换机收到一帧数据时，它将根据自己的MAC地址表来决定是将这帧数据进行过滤还是转发。

此时，维护的这张MAC表就是FDB地址表。

如果收到数据帧的目的MAC地址不在FDB地址表中，那么该数据将被发送给除源端口外该数据包所属 VLAN的其他所有端口）。

这个FDB表为交换机如何处理一个收到的数据报文提供依据，默认情况FDB是动态的，当某条FDB表项存在超过老化时间Aging time（不同交换设备时间不等）后就会老化，从FDB表中删除，以防FDB过于庞大。

如果老化时间（Aging time）被设为0，FDB是静态的，不允许交换机随意的、自动的更改FDB，这就实现了某些端口与某些MAC地址的固定对应，而不在此对应范围内的客户机无法收到从交换机来的数据包。

MAC地址绑定与IP绑定区别讲解在网络通信中，MAC地址绑定和IP地址绑定是两种常见的安全措施。

它们都是限制特定设备的访问权限，提高网络的安全性。

然而，它们之间存在一些区别。

本文将详细讲解MAC地址绑定与IP地址绑定的区别，并探讨它们各自的优劣势。

一、MAC地址绑定MAC地址（Media Access Control Address）是设备的物理地址，通常由设备的网卡厂商预先分配。

每个网络设备都拥有唯一的MAC地址，用于在局域网中进行数据通信。

MAC地址绑定是一种通过识别MAC地址来控制访问的方式。

1.1 原理MAC地址绑定基于一个简单的原理，即只有经过认证的MAC地址才能够通过网络设备进行通信。

网络管理员将特定设备的MAC地址与网络访问策略进行绑定，该设备在网络上的通信可以顺利进行。

非授权的设备将被阻止访问网络。

1.2 优势MAC地址绑定具有以下优势：（1）安全性高：由于MAC地址是设备的物理地址，无法被更改，因此MAC地址绑定提供了较高的安全性。

（2）易于配置：网络管理员可以通过简单的配置过程将MAC地址与网络绑定，不需要额外的设备或软件支持。

（3）不受IP地址变化的影响：即使IP地址发生变化，通过MAC地址绑定的设备仍然可以顺利访问网络。

1.3 缺点MAC地址绑定存在一些缺点：（1）繁琐的管理：对于大型网络而言，管理维护所有设备的MAC地址绑定是一项繁重的任务。

（2）无法在不同网络间漫游：由于MAC地址是局限在本地网络中，当设备从一个网络漫游到另一个网络时，需要重新进行MAC地址绑定。

二、IP地址绑定IP地址（Internet Protocol Address）是设备在网络上的标识，用于在广域网中进行数据通信。

IP地址绑定是一种通过识别IP地址来控制访问的方式。

2.1 原理IP地址绑定的原理是限制只有特定的IP地址才能够访问网络。

网络管理员将指定的IP地址与网络访问策略进行绑定，只有使用这些IP地址的设备可以顺利进行通信，其他设备将被拒绝访问。

防止恶意软件控制为了给大家带来良好的网络环境，阻止P2P终结者等恶意控制软件破坏局域网网络环境，并且市面上的arp防火墙，如：彩影arp，金山arp等对P2P终结者并无多大防御作用。

现在我们就来做一下网关与客户机的双向IP&MAC绑定来搞定它。

在操作过程中，请关掉arp防火墙（暂时），因为它对我们的操作有一定的影响。

等操作完成之后再打开。

若安装有彩影arp的用户，请不要让它在开机自动运行（方法下面有），可以开机后手动运行。

首先声明一点，绑定IP和MAC是为了防止arp欺骗，防御P2P终结者控制自己的电脑（网速），对自己的电脑没有一点负面影响。

不想绑定的同学可以不绑定，以自愿为原则。

但是若被控制网速，自己躲在屋里哭吧！（开玩笑）。

好了废话不多说，开始我们的客户机IP与MAC绑定教程吧！一.首先将路由即网关的IP和MAC查看下（路由IP一般都是192.168.1.1）：开始→运行→cmd（回车）→arp/a就会出现如下图信息：其中第一个192.168.1.1即为路由IP，后面就是路由的MAC二.查看自己的IP和MAC有以下两种方法：①右键网上邻居→属性→右键本地连接→状态→支持→详细信息里面的实际地址即为自己的MAC地址，IP地址即为自己的IP地址。

②开始→运行→cmd(回车)→ipconfig/all(回车)会出来信息，如图：其中本地连接（以太网连接）里面的physical Address即为自己的MAC ,IPAddress即为自己的IP地址。

三.不让彩影arp防火墙开机运行的方法（后面用到）：开始→运行→msconfig(回车)→启动→将Antiarp.exe（彩影arp程序）前面的勾去掉→确定→退出而不重新启动→OK！启动里面的启动项目就是你安的软件的名称，命令就是你安在了哪里。

这样开机就不会自动运行它了，要想运行，手动打开桌面上它的程序就行。

若要恢复开机自动运行彩影arp，在启动中，将勾重新勾上就行了（不推荐）！若是不想让其他程序开机运行，和本操作一样！四．以管理员身份运行CMD（一般都是管理员身份，不是的很少，这个基本用不到）在命令界面（即进入CMD以后）直接按ctral+shift+（回车）就行了。

实施IP—MAC—PORT三重绑定的重要性作者：韩瑛来源：《中国管理信息化》2015年第08期[摘要]随着计算机技术和Internet应用的发展，政府部门开始大规模的建立信息网络，推动电子政务的发展。

如果网络系统失效或运行状态不佳、网络设备出现故障、应用服务中断，数据流就会受到阻塞，关键数据就不能得到有效共享，导致内部办公效率下降，从而影响政府部门的政策执行效果，给政府部门形象带来巨大损失。

网络业务和应用的日渐丰富，计算机网络的管理与维护工作也变得至关重要。

[关键词]电子政务；IP-MAC-PORT；三重绑定doi：10.3969/j.issn.1673 - 0194.2015.08.058[中图分类号]D63；TP393 [文献标识码]A [文章编号]1673-0194（2015）08-0076-02目前，大多数网络管理人员面临着网络规模越来越大、复杂度越来越高、管理越来越困难的难题，同时还受到单位领导要求提高网络运维效率的压力。

面对网络中病毒、木马泛滥，IP 地址被随意篡改，设置IP地址时总是出现IP地址冲突的警告，网络带宽被其他用户和恶意软件肆意占用而导致网络堵塞、运行效率下降等种种问题，作为一项基础的网络管理工作，实施IP-MAC-PORT三重绑定的重要性就凸显出来。

1 实施IP-MAC-PORT三重绑定的重要性IP地址的分配方式有两种：一种是IP地址动态分配方式，一种是IP地址静态分配方式。

局域网刚刚兴起时，网络管理人员常常将IP地址的分配方式设定为IP地址动态分配方式。

这样做的好处是网络设置高效、快捷、方便，在服务器端设置好IP地址动态分配服务、定义IP 地址分配池的起始和终止段就万事大吉；PC机的IP地址默认设置就是自动获得IP地址，所以客户端几乎不用进行任何设置，只要将电脑接入到网络，就能借助网络实现与外部信息和资源的交互。

这种IP地址分配方式在一个小型局域网络中，比如十几个人的小部门，或者单位上网人数不多的情况下，是非常合理的网络管理方案。

MAC地址与IP地址绑定1引言大多数解决“IP地址盗窃”的方案都采用MAC和IP地址之间的绑定策略，这是非常危险的。

本文将讨论这个问题。

这里需要注意的是，本文关注的是MAC和IP地址绑定策略的安全性，不具有任何黑客性质。

1.1为什么要绑定mac与ip地址影响网络安全的因素很多。

IP地址盗窃或地址欺骗是常见且有害的因素之一。

在现实中，许多网络应用都是基于IP的，比如流量统计、账户控制等，都将IP地址作为标记用户的重要参数。

如果有人窃取了合法地址并假装是合法用户，网络上传输的数据可能会被破坏、窃听，甚至被盗用，造成无法弥补的损失。

盗用外部网络的ip地址比较困难，因为路由器等网络互连设备一般都会设置通过各个端口的ip地址范围，不属于该ip地址范围的报文将无法通过这些互连设备。

但如果盗用的是ethernet内部合法用户的ip地址，这种网络互连设备显然无能为力了。

“道高一尺，魔高一丈”，对于ethernet内部的ip地址被盗用，当然也有相应的解决办法。

绑定mac地址与ip地址就是防止内部ip盗用的一个常用的、简单的、有效的措施。

1.2mac与IP地址的绑定原则ip地址的修改非常容易，而mac地址存储在网卡的eeprom中，而且网卡的mac地址是唯一确定的。

因此，为了防止内部人员进行非法ip盗用(例如盗用权限更高人员的ip地址，以获得权限外的信息)，可以将内部网络的ip地址与mac地址绑定，盗用者即使修改了ip地址，也因mac地址不匹配而盗用失败：而且由于网卡mac地址的唯一确定性，可以根据mac地址查出使用该mac地址的网卡，进而查出非法盗用者。

目前，许多单位的内部网络，尤其是校园网，都采用了MAC地址和IP地址的绑定技术。

许多防火墙（硬件防火墙和软件防火墙）也在MAC地址和IP地址之间内置绑定功能，以防止网络内的IP地址被盗。

从表面上看来，绑定mac地址和ip地址可以防止内部ip地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，mac地址与ip地址的绑定存在很大的缺陷，并不能真正防止内部ip地址被盗用。

cisco交换机ip和mac地址绑定虽然在TCP/IP网络中，计算机往往需要设置IP地址后才能通讯，然而，实际上计算机之间的通讯并不是通过IP地址，而是借助于网卡的MAC地址。

IP地址只是被用于查询欲通讯的目的计算机的MAC地址。

ARP协议是用来向对方的计算机、网络设备通知自己IP对应的MAC地址的。

在计算机的 ARJ 缓存中包含一个或多个表，用于存储IP地址及其经过解析的以太网MAC地址。

一台计算机与另一台IP地址的计算机通讯后，在ARP缓存中会保留相应的MAC地址。

所以，下次和同一个IP地址的计算机通讯，将不再查询MAC地址，而是直接引用缓存中的MAC地址。

在交换式网络中，交换机也维护一张MAC地址表，并根据MAC地址，将数据发送至目的计算机。

为什么要绑定MAC与IP 地址：IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM 中，而且网卡的MAC地址是唯一确定的。

因此，为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

目前，很多单位的内部网络，都采用了MAC地址与IP地址的绑定技术。

下面我们就针对Cisco 的交换机介绍一下IP和MAC绑定的设置方案。

在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。

1.方案1——基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch#config terminal＃进入配置模式Switch(config)# Interface fastethernet 0/1＃进入具体端口配置模式Switch(config-if)#Switchport port-secruity＃配置端口安全模式Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址)＃配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)＃删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

谈谈IP、MAC与交换机端口绑定的方法Jack Zhai 信息安全管理者都希望在发生安全事件时，不仅可以定位到计算机，而且定位到使用者的实际位置，利用MAC与IP的绑定是常用的方式，IP地址是计算机的“姓名”，网络连接时都使用这个名字；MAC地址则是计算机网卡的“身份证号”，不会有相同的，因为在厂家生产时就确定了它的编号。

IP地址的修改是方便的，也有很多工具软件，可以方便地修改MAC地址，“身份冒充”相对容易，网络就不安全了。

遵从“花瓶模型”信任体系的思路，对用户进行身份鉴别，大多数人采用基于802.1x协议的身份认证技术(还可以基于应用的身份认证、也可以是基于Cisco 的EOU技术的身份认证)，目的就是实现用户账号、IP、MAC的绑定，从计算机的确认到人的确认。

身份认证模式是通过计算机内安全客户端软件，完成登录网络的身份鉴别过程，MAC地址也是通过客户端软件送给认证服务器的，具体的过程这里就不多说了。

一、问题的提出与要求有了802.1x的身份认证，解决的MAC绑定的问题，但还是不能定位用户计算机的物理位置，因为计算机接入在哪台交换机的第几个端口上，还是不知道，用户计算机改变了物理位置，管理者只能通过其他网管系统逐层排查。

那么，能否可以把交换机端口与IP、MAC一起绑定呢？这样计算机的物理位置就确定了。

首先这是有关安全标准的要求：1)重要安全网络中，要求终端安全要实现MAC\IP\交换机端口的绑定2)有关专用网络中，要求未使用的交换机端口要处于关闭状态(未授权前不打开)其次，实现交换机端口绑定的目标是：∙∙防止外来的、未授权的计算机接入网络(访问网络资源)∙∙当有计算机接入网络时，安全监控系统能够立即发现该计算机的MAC与IP，以及接入的交换机端口信息，并做出身份验证，属于未授权的能够报警或终止计算机的继续接入，或者禁止它访问到网络的任何资源∙∙当有安全事件时，可以根据用户绑定的信息，定位到机器(MAC与IP)、定位到物理位置(交换机端口)、定位到人(用户账号、姓名、电话…)二、实现交换机端口信息绑定的策略根据接入交换机的安全策略，可以把端口信息绑定分为两种方式：静态方式与动态方式1、静态方式：固定计算机的位置，只能在预先配置好的交换机端口接入，未配置(授权申请)的不能接入网络。