请教关于IP地址和MAC地址绑定的问题

gxf_sy

我的网络结构是,外网光纤入户,接入三星防火墙,从防火墙出来接入cisco2600路由器,路由器下接cisco3550交换机,3550下接了几台傻瓜交换机和20几台终端pc,傻瓜交换机下接用户终端pc。整个网络划分为5个vlan,共有200台pc吧。我现在遇到的问题是，想要将ip地址和mac做一下绑定，以免非法用户对网络的访问。我在交换机上做过如下的试验，在config(#)模式下进行绑定，arp 192.168.3.3 0019.f290.4540 arpa ，然后我将原192.168.3.3的pc的ip 地址改成192.168.3.4 ，发现该机仍然可以访问网络。

关于ip与mac绑定，我在网上看了好多资料，有的说要用ACL,有的说用ARP IP mac arpa，但是因为对交换和路由不是很懂，所以一直没有试验，恳请各位高手帮我指点一下应该如何配置才能真正做到禁止非法IP访问网络呢？

我将路由的配置和交换机的配置粘贴如下。
router

Current configuration : 1165 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SY
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$qUVc$3zw64ERTXBMEWS$#@.Povh/
enable password ********(说明：为了安全，本人将部分内容用*号代替，下同)
!
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
ip subnet-zero
ip cef
!
!
!
no ftp-server write-enable
!
!
!
!
interface FastEthernet0/0
ip address 219.*.*.17 255.255.255.123
ip nat outside
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.1.253 255.255.255.0
ip nat inside
duplex auto
speed auto
!
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source static 192.168.4.2 219.*.*.18
ip nat inside source static 192.168.4.3 219.*.*.19
ip nat inside source static 192.168.4.4 219.*.*.20
ip classless
ip route 0.0.0.0 0.0.0.0 219.*.*.90
ip route 192.168.0.0 255.255.0.0 192.168.1.1
ip http server
!
access-list 1 permit 192.168.0.0 0.0.255.255
arp 192.168.3.3 0015.f209.5450 ARPA(此条为本人试验时所加，验证后不好用）
!
line con 0
line aux 0
line vty 0 4
password ********
login
line vty 5 181
password ********
login
!
!
!
end


------------------------------------------------------------------------------
switch

Current configuration : 4685 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname SYswitch
!
enable secret 5 $1$GBLV$P49ewrfdsfdsiwfds@#23.TzX/]$1$GBLV$P49ewrfdsfdsiwfds#23.TzX/
enable password ********
!
ip subnet-zero
ip routing
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
!
!
interface FastEthernet0/1
switchport mode access
!
interface FastEthernet0/2
switchport mode access
!
interface FastEthernet0/3
switchport access vlan 4
switchport mode access
!
interface FastEthernet0/4
switchport access vlan 4
switchport mode access
!
interface FastEthernet0/5
switchport access vlan 4
switchport mode access
!
interface FastEthernet0/6
switchport access vlan 4
switchport mode access
!
interface FastEthernet0/7
switchport access vlan 4
switchport mode access
!
interface FastEthernet0/8
switchport access vlan 4
switchport mode access
!
interface FastEthernet0/9
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/10
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/11
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/12
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/13
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/14
switchport access vlan 5
switchport mode access
!
interface FastEthernet0/15
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/16
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/17
switchport access vlan 5
switchport mode access
!
interface FastEthernet0/18
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/19
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/20
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/21
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/22
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/23
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/24
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/25
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/26
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/27
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/28
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/29
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/30
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/31
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/32
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/33
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/34
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/35
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/36
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/37
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/38
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/39
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/40
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/41
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/42
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/43
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/44
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/45
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/46
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/47
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/48
switchport access vlan 3
switchport mode access
!
interface GigabitEthernet0/1
switchport mode dynamic desirable
!
interface GigabitEthernet0/2
switchport mode dynamic desirable
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
ip address 192.168.2.1 255.255.255.0
!
interface Vlan3
ip address 192.168.3.1 255.255.255.0
!
interface Vlan4
ip address 192.168.4.1 255.255.255.0
!
interface Vlan5
ip address 192.168.5.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.253
ip http server
!
arp 192.168.3.3 0015.f209.5450 ARPA alias(本条为本人测试用后加）
!
line con 0
line vty 0 4
password *********
login
line vty 5 15
password ********
login
!
!
end

ssffzz1

你要吧没有使用过的IP，绑到一个错误的不存在的MAC即可解决用户私自改IP的问题。

gxf_sy

原帖由 ssffzz1 于 2008-9-1 19:07 发表
你要吧没有使用过的IP，绑到一个错误的不存在的MAC即可解决用户私自改IP的问题。

经过测试,楼上所说的可以实现没用的IP不被非法盗用的问题,但是如果说,我每个网段都有40台合法IP,余下的214个未用IP都需要绑定非法MAC,那我5个网段不是要改214*5次?好像不是很简单的做法啊?有更简单的方法吗?


欢迎各位成功做过相关配置的大侠给指条明路吧!

[ 本帖最后由 gxf_sy 于 2008-9-2 09:07 编辑 ]

flb_2001

你用acl吧
ip与交换机端口的绑定，此种方法绑定后的端口只有此ip能用，改为别的ip后立即断网。有效的防止了乱改ip。

cisco(config)# interface FastEthernet */*

cisco(config-if)# ip access-group 6 in

cisco(config)#access-list 6 permit IP

这样就将交换机的FastEthernet */*端口与IP绑定了。

flb_2001

原帖由 gxf_sy 于 2008-9-2 08:55 发表

经过测试,楼上所说的可以实现没用的IP不被非法盗用的问题,但是如果说,我每个网段都有40台合法IP,余下的214个未用IP都需要绑定非法MAC,那我5个网段不是要改214*5次?好像不是很简单的做法啊?有更简单的方法吗?
...

你可以用IP+MAC+PORT来绑定吧

ssffzz1

LS的方法也可以试试。不过要交换机支持。

另外你可以考虑DHCP SNOOPING  不过也要交换机支持。

但是我认为你帮静态MAC比较简单。你可以用个脚本来做。譬如EXCEL来弄。

gxf_sy

原帖由 flb_2001 于 2008-9-2 09:15 发表
你用acl吧
ip与交换机端口的绑定，此种方法绑定后的端口只有此ip能用，改为别的ip后立即断网。有效的防止了乱改ip。

cisco(config)# interface FastEthernet */*

cisco(config-if)# ip access-group 6 i ...

请问此种方式的绑定方法是不是要求每台终端pc占用一个交换机的端口?

gxf_sy

原帖由 ssffzz1 于 2008-9-2 10:24 发表
LS的方法也可以试试。不过要交换机支持。

另外你可以考虑DHCP SNOOPING  不过也要交换机支持。

但是我认为你帮静态MAC比较简单。你可以用个脚本来做。譬如EXCEL来弄。

这位朋友,我的交换机是cisco3550的,我不知是不是支持你所说的dhcp snooping,如果可能的话，能将此种方式的配置方法详细的介绍一下吗？


还有您所说的用脚本，具体如何操作呢？还有一个问题追问，如果我用脚本将所以禁止的IP与不存在的mac绑定到一起，这样势必使交换机的脚本变得雍肿，这样会不会影响交换机的速度呢？我是新手，不是很理解这些，疯狂的学习中啊

[ 本帖最后由 gxf_sy 于 2008-9-2 10:34 编辑 ]

ssffzz1

3550的应该支持。就几条命令，你搜一下即可。对于脚本的方法，你就是你用记事本之类的东西先写好，然后黏贴到系统里面（一次不要黏贴太多，几十条即可）。
我建议你用EXCEL是因为这个东西容易生成连续的数字。然后也要转成记事本的。

具体的方法你揣摩一下。办公软件方面的技巧而已。

gxf_sy

感谢ssffzz1的耐心解释.还有一个问题追问，如果我用脚本将所以禁止的IP与不存在的mac绑定到一起，这样势必使交换机的脚本变得雍肿，这样会不会影响交换机的速度呢？我是新手，不是很理解这些，疯狂的学习中啊

[ 本帖最后由 gxf_sy 于 2008-9-2 10:43 编辑 ]