请教CISCO3750绑定IP和MAC 的问题

shitoryu

公司买了一台CISCO 3750,一个熟悉CICSO技术的同事配置IP和MAC地址绑定。但非绑定的用户，私自接入，还是可以获得IP地址并上网。\r\n同事说，要把所有需要绑定的MAC都绑定到制定端口，就可以解决。\r\n我想问问是这样的吗。\r\n以前我用LINUX做DHCP服务器的时候，非绑定用户是根本就不能获得IP地址的。\r\nCICSO这样的专业设备，我想也应该很容易做到吧。\r\n\r\n谢谢

seven007

用802.1x认证吧，mac地址绑定也不安全，因为mac地址可以改。

shitoryu

谢谢你的回答，我想公司内绝大多数人还没有修改MAC的能力，呵呵。先来个简单的。\r\n想请问，CISCO到你能不能做到不绑定的用户就不能获得IP地址呢？\r\n\r\n谢谢

seven007

你地址池里面不分地址客户就不能获取，只有手工绑定的才能获取。

seven007

还有一种\r\nDHCP Snooping技术DHCP Snooping是一种通过建立DHCP Snooping Binding数据库，过滤非信任的DHCP消息，从而保证网络安全的特性。DHCP Snooping就像是非信任的主机和DHCP服务器之间的防火墙。通过DHCP Snooping来区分连接到末端客户的非信任接口和连接到DHCP服务器或者其他交换机的受信任接口。\r\n\r\n    DHCP Snooping Binding数据库包括如下信息：MAC地址、IP地址、租约时间、binding类型、VLAN ID以及来自本地非信任端口的接口信息，但不包含通过受信任端口互相连接的接口信息。在启用了DHCP Snooping的VLAN中，如果交换机收到来自非信任端口的DHCP包，交换机将对目的MAC地址和DHCP客户端的地址进行对比，如果符合则该包可以通过，否则将被丢弃掉。\r\n\r\n    在下述情况中，DHCP包将同样被丢弃：\r\n\r\n    l 来自外网或者防火墙的DHCP服务器，包括DHCPOFFER、DHCPACK、DHCPNAK、DHCPLEASEQUERY.\r\n\r\n    l 来自非信任端口，且目的MAC地址和DHCP客户端的硬件地址不匹配。\r\n\r\n    l 交换机收到DHCPRELEASE或者DHCPDECLINE的广播信息，其MAC地址包含在DHCP snooping binding 数据库中，但与数据库中的接口信息不匹配

ssffzz1

你地址池里面不分地址客户就不能获取，只有手工绑定的才能获取。\r\n\r\n正解。