A. 思科2800路由器如何配置MAC地址綁定,未綁定的不可以上網詳細一些,謝謝了!
1、IE地址欄輸入192.168.1.1(有的可能是192.168.0.1),用戶名密碼默認都是admin,如果進不去,就找到密碼進去,實在找不到reset路由。方法看路由說明書,不是簡單拔電源就叫重啟。
2、路由左邊有無線設置,進入以後選擇MAC地豎彎嘩址過濾,添加新條目,輸入你要允許的余行MAC地鬧穗址,然後過濾規則選擇允許添加的MAC上網,還是添加的不能上網。
3、保存。
PS:如果是要綁定有線上網的,在進入路由界面的時候選擇ip與mac綁定,之後步驟和上面相同。
B. 思科2950交換機綁定IP和MAC怎麼實現
2950(config)#mac access-list extended mac1 //配置一個命名的MAC地址訪問控制列表稿知猜,命名為ipmac
2950(config)#permit host 0017.31db.f666 any //源MAC地址為0017.31db.f666的猛念主機可以訪問任意主機
2950(config)#permit any host 0017.31db.f666 //所有主機可以訪問目的MAC地址為0017.31db.f666的主機
2950(config)#ip access-list extended ip1 //配置命名的IP地址訪問控制列表,命名為ip1
2950(config)#permit ip 10.0.0.1 0.0.0.0 any //允許10.0.0.1地址在網內工作
將建立好的訪問控制列鍵型表加入需要配置的埠
2950(config-if )#interface Fa0/1
2950(config-if )#mac access-group mac-vfast in
2950(config-if )#Ip access-group ip-vfast in
C. 思科交換機怎麼配置
1、首先將一台PC和一台交換機用線纜連接起來。
(3)思科交換機如何配置mac認證擴展閱讀
交換機的主要功能包括物理編址、網路拓撲結構、錯誤校驗、幀序列以及流控。交換機還具備了一些新的功能,如對VLAN(虛擬區域網)的支持、對鏈路匯聚的支持,甚至有的還具有防火牆的功能。
學習:乙太網交換機了解每一埠相連設備的MAC地址,並將地址同相應的埠映射起來存放在交換機緩存中的MAC地址表中。
轉發/過濾:當一個數據幀的目的地址在MAC地址表中有映射時,它被轉發到連接目的節點的埠而不是所有埠(如該數據幀為廣播/組播幀則轉發至所有埠)。
消除迴路:當交換機包括一個冗餘迴路時,乙太網交換機通過生成樹協議避免迴路的產生,同時允許存在後備路徑。
交換機除了能夠連接同種類型的網路之外,還可以在不同類型的網路(如乙太網和快速乙太網)之間起到互連作用。如今許多交換機都能夠提供支持快速乙太網或FDDI等的高速連接埠,用於連接網路中的其它交換機或者為帶寬佔用量大的關鍵伺服器提供附加帶寬。
一般來說,交換機的每個埠都用來連接一個獨立的網段,但是有時為了提供更快的接入速度,我們可以把一些重要的網路計算機直接連接到交換機的埠上。這樣,網路的關鍵伺服器和重要用戶就擁有更快的接入速度,支持更大的信息流量。
最後簡略的概括一下交換機的基本功能:
1. 像集線器一樣,交換機提供了大量可供線纜連接的埠,這樣可以採用星型拓撲布線。
2. 像中繼器、集線器和網橋那樣,當它轉發幀時,交換機會重新產生一個不失真的方形電信號。
3. 像網橋那樣,交換機在每個埠上都使用相同的轉發或過濾邏輯。
4. 像網橋那樣,交換機將區域網分為多個沖突域,每個沖突域都是有獨立的寬頻,因此大大提高了區域網的帶寬。
5. 除了具有網橋、集線器和中繼器的功能以外,交換機還提供了更先進的功能,如虛擬區域網(VLAN)和更高的性能。
D. cisco的3650無線控制器在交換機下怎麼做mac認證上網
你的埠因為port security的規則被violation了,所以處於err-disable或者說shutdown狀態。
而err-disable或者說shutdown的埠是不能用的啊。
你的show interface看看是不是簡旅薯這樣。鎮銀
port security有一個命令
switchport port-security violation {protect | restrict | shutdown }
protect模式下直接丟包
restrict模式下不僅丟包,而且在console上發log警告。
shutdown模式直接把介面變成err-disable。
建議你在介面上配置 switchport port-security violation protect 這條命令
這樣就是只丟包,不關埠了。
同時你最好也用 switchport port-security maximum定義一下埠下邊最多的攔者mac地址數量
並手工的用switchport port-security mac-address 手工定義一下合法的MAC地址
………………………………………………
後話:
既然大家都來回換座位,為啥還要用埠安全呢?
如果你是為了防止外來的設備接入交換機的話,為啥不用mac列表過濾或者是dot1x認證呢?
E. 思科ISE對有線接入用戶進行MAC認證
隨著信息化的快速發展,對國家、組織、公司或個人來說至關重要的信息或旦巧越來越多的通過網路來進行存儲、傳輸和處理,為獲取這些關鍵信息的各種網路犯罪也相應急劇上升。當前,網路安全在某種意義上已經成為一個事關國家安全,社會經濟穩定的重大問題,得到越來越多的重視。
在網路安全中,身份認證技術作為第一道,甚至是最重要的一道防線,有著重要地位,可靠的身份認證技術可以確保信息只被正確的「人」所訪問。衫鍵身份認證技術提供了關於某個人或某個事物身份的保證,這意味著當某人(或某事)聲稱具有一個特別的身份時,認證技術將提供某種方法來證實這一聲明是正確的。
【圖1-1】
常見的網路接入身份認證技術主要有三種:
通過前期給分享的文章《思科ISE對公司訪客進行Portal認證(基於HTTPS協議)》,大家應該對WebAuth認證很熟悉了。今天跟大家聊聊如何利用MAC認證方式為網路設備做接入認證。下一期文章將為遲肆大家分享,如何使用802.1x認證方式做網路接入認證。
MAC認證是網路接入控制方案(NAC)中的一種,它是基於介面和MAC地址對用戶的網路訪問許可權進行控制的認證方法,並且不需要用戶安裝任何客戶端軟體。通過MAC認證能夠實現保護企業內網的安全性的目的。MAC認證無需用戶終端安裝客戶端,但是卻需要在伺服器上登記MAC地址,如果為每台終端設備做接入MAC地址記錄。工作量非常大。所以通常,MAC認證一般適用於列印機、傳真機等啞終端接入認證的場景。
1. 使用不同用戶名格式的MAC地址認證
目前設備支持兩種方式的MAC地址認證,通過RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)伺服器進行遠程認證和在接入設備上進行本地認證。
根據設備最終用於驗證用戶身份的用戶名格式和內容的不同,可以將MAC地址認證使用的用戶帳戶格式分為兩種類型:
2. MAC地址兩種認證類型介紹
2.1 RADIUS伺服器認證方式進行MAC地址認證(本文將以RADIUS伺服器方式為例為大家介紹)
當選用RADIUS伺服器認證方式進行MAC地址認證時,設備作為RADIUS客戶端,與RADIUS伺服器配合完成MAC地址認證操作:
2.2 本地認證方式進行MAC地址認證
當選用本地認證方式進行MAC地址認證時,直接在設備上完成對用戶的認證。需要在設備上配置本地用戶名和密碼:
Part 2 - 實驗配置
一. 實驗拓撲
【圖2-1】
二. 實驗需求
三. 配置邏輯
【圖2-2】 華為交換機的配置邏輯
【表1】 思科ISE的配置邏輯
四. 實驗設備及注意事項
五. 數據規劃
【表2】交換機介面和VLAN規劃
【表3】 網路設備IP地址規劃
【表4】交換機業務數據規劃
六. 實驗步驟
Step 1 - 交換機VLAN配置。
2. 按照VLAN規劃,將介面加入對應的VLAN。
Step 2 - Cisco ISE,業務伺服器,終端IP地址配置略。
Step 3 - 交換機側配置。
Step 4 - 配置ISE。
打開Internet Explorer瀏覽器,在地址欄輸入ISE的訪問地址,單擊「Enter」。輸入ISE管理員賬號和密碼登錄ISE。
F. 交換機和電腦IP與mac地址的綁定方式
目前,很多單位的內部網路,都採用了MAC地址與IP地址的綁定技術。下面我們就針對Cisco的交換機介紹一下IP和MAC綁定的設置方案。
在Cisco中有以下三種方案可供選擇,方案1和方案2實現的功能是一樣的,即在具體的交換機埠上綁定特定的主機的MAC地址(網卡硬體地址),方案3是在具體的交換機埠上同時綁定特定的主機的MAC地址(網卡硬體地址)和IP地址。
1.方案1——基於埠的MAC地址綁定
思科2950交換機為例,登錄進入交換機,輸入管理口令進入配置模式,敲入命令:
Switch#configterminal
#進入配置模式
Switch(config)#Interfacefastethernet0/1
#進入具體埠配置模式
Switch(config-if)#Switchportport-secruity
#配置埠安全模式
Switch(config-if)switchportport-securitymac-addressMAC(主機的MAC地址)
#配置該埠要綁定的主機的MAC地址
Switch(config-if)noswitchportport-securitymac-addressMAC(主機的MAC地址)
#刪除綁定主機的MAC地址
注意:
以上命令設置交換機上某個埠綁定一個具體的MAC地址,這樣只有這個主機可以使用網路,如果對該主機的網卡進行了更換或者其他PC機想通過這個埠使用網路都不可用,除非刪除或修改該埠上綁定橘亂好的MAC地址,才能正常使用。
注意:
以上功能適用於思科2950、3550、4500、6500系列交換機
2.方案2——基於MAC地址的擴展訪問列表
Switch(config)Macaccess-listextendedMAC10
#定義一個MAC地址訪問控制列表並且命名該列表名為MAC10
Switch(config)permithost0009.6bc4.d4bfany
#定義MAC地址為0009.6bc4.d4bf的主機可以訪問任意主機
Switch(config)permitanyhost0009.6bc4.d4bf
#定義所有主機可以訪問MAC地址為0009.6bc4.d4bf的主機
Switch(config-if)interfaceFa0/20
#進入配置具體埠的模式
Switch(config-if)macaccess-groupMAC10in
#在該埠上應用名為MAC10的訪問列表(即前面我們定義的訪問策略)
Switch(config)nomacaccess-listextendedMAC10
#清除名為MAC10的訪問列表
此功能與應用一大體相同,但它是基於埠做的MAC地址訪問控制列表限制,可以限定特定源MAC地址與目的地址范圍。
注意:
以上功能在思科2950、3550、4500、6500系列交換機上可以實現,但是需要注意的是2950、3550需要交換機運行增強的軟體鏡像(EnhancedImage)。
3.方案3——IP地址的MAC地址綁定
只能將應用1或2與基於IP的訪問控制列表組合來使用才能達到IP-MAC綁定功能。
Switch(config)Macaccess-listextendedMAC10
#定義一個MAC地址訪問控制列表並且命名該列表名為MAC10
Switch(config)permithost0009.6bc4.d4bfany
#定義MAC地址為0009.6bc4.d4bf的主機可以訪問任意主機
Switch(config)permitanyhost0009.6bc4.d4bf
#定義所有主機可以訪問MAC地陪廳址為0009.6bc4.d4bf的主機
Switch(config)Ipaccess-listextendedIP10
#定義一個IP地址訪問控制列表並且命名該列表名為IP10
Switch(config)Permit192.168.0.10.0.0.0any
#定義IP地址為192.168.0.1的主機可以訪問任意主機
Permitany192.168.0.10.0.0.0
#定義所有主機可以訪問IP地址為192.168.0.1的主機
Switch(config-if)interfaceFa0/20
#進入配置具體埠的模圓鉛式
Switch(config-if)macaccess-groupMAC10in
#在該埠上應用名為MAC10的訪問列表(即前面我們定義的訪問策略)
Switch(config-if)Ipaccess-groupIP10in
#在該埠上應用名為IP10的訪問列表(即前面我們定義的訪問策略)
Switch(config)nomacaccess-listextendedMAC10
#清除名為MAC10的訪問列表
Switch(config)noIpaccess-groupIP10in
#清除名為IP10的訪問列表
上述所提到的應用1是基於主機MAC地址與交換機埠的綁定,方案2是基於MAC地址的訪問控制列表,前兩種方案所能實現的功能大體一樣。如果要做到IP與MAC地址的綁定只能按照方案3來實現,可根據需求將方案1或方案2與IP訪問控制列表結合起來使用以達到自己想要的效果。
注意:以上功能在思科2950、3550、4500、6500系列交換機上可以實現,但是需要注意的是2950、3550需要交換機運行增強的軟體鏡像(EnhancedImage)。
後註:從表面上看來,綁定MAC地址和IP地址可以防止內部IP地址被盜用,但實際上由於各層協議以及網卡驅動等實現技術,MAC地址與IP地址的綁定存在很大的缺陷,並不能真正防止內部IP地址被盜用。
G. Cisco交換機配置802.1x & mac,驗證域賬號,動態分配VLAN
#全局配置
switch#config terminal
switch(config)#aaa new-model #啟用aaa認證
switch(config)#dot1x system-auth-control #全局啟用dot1x認證
#配置radius-server模板
switch(config)#radius server XXX_rd
Switch(config-radius-server)#address ipv4 10.0.24.18 auth-port 2812 acct-port 2813
Switch(config-radius-server)#key wkGKXGbZHjYhYmRzH #指定主Radius伺服器地址、通信密鑰和埠
Switch(config-radius-server)#exit
#配置 aaa group
switch(config)#aaa group server radius XXX_rg
Switch(config-sg-radius)#server name XXX_rd
Switch(config-sg-radius)#exit
#配置aaa認證方案
switch(config)#aaa authentication dot1x default group XXX_rg #配置802.1x認證使用radius伺服器資料庫
switch(config)#aaa authorization network default group XXX_rg #配置802.1x網路授權使用radius伺服器。
switch(config)#aaa accounting update periodic 6 #配置啟用計費更新報文發送
#配置啟用 radius 計費
switch(config)#aaa accounting dot1x default start-stop group XXX_rg
switch(config)#aaa accounting network default start-stop group XXX_rg
switch(config)#radius-server attribute 8 include-in-access-req #配置交換機攜帶終端 IP 地址
#配置埠
switch(config)#int g1/0/6 #進入需要開啟802.1x認證的埠,如果需要進入多個埠,可以用指令:int range g1/0/1 - 3,表示進入埠1-3
switch(config-if)#switchport mode access #設置埠模式為訪問模式
switch(config-if)#authentication port-control auto #部分思科ios沒有該命令,用dot1x pae authenticator代替
switch(config-if)#dot1x port-control auto #埠開啟dot1x認證
switch(config-if)#authentication host-mode multi-auth #設置埠接入模式為多認證模式絕拿州,此敏纖時允許多個用戶分別接入認證
switch(config-if)#exit
#開啟MAB認證
switch(config)#int g1/並蔽0/6
switch(config-if)#mab #開啟MAB認證
switch(config-if)#dot1x timeout tx-period 10 #配置超時進行mab認證的時間 注意:這里如果配置10秒則進行mab認證時間為 10 * 3
switch(config-if)#dot1x max-reauth-req 2
switch(config-if)#exit
#開啟逃生vlan
switch(config)#int g1/0/6
switch(config-if)#authentication event server dead action reinitialize vlan 101
switch(config-if)#exit
#開啟 guest-vlan
switch(config)# dot1x guest-vlan supplicant #開啟允許 802.1x 客戶端進入 guest-vlan
#埠下配置 guest-vlan
switch(config)#int g1/0/6
switch(config-if)#authentication event no-response action authorize vlan 101
switch(config-if)#exit
#開啟 coa
switch(config)#aaa server radius dynamic-author
switch(config-locsvr-da-radius)#client 10.0.24.18 server-key wkGKXGbZHjYhYmRzH
switch(config-locsvr-da-radius)#exit
H. 思科交換機的MAC配置
cisco的交蘆慎歷孝祥換機的mac地址格陪搜式都是這樣的。
f0/3表示的是交換機的對應埠。
I. 思科3550交換機,是否支持可以配置基於802.1x的mac認證 如何配置
思科802.1x認證那是基轎凳於認證伺服器如ACS認證的公認標准,而mac認證我不知道閣下是不是想說基於mac的端坦拆口綁定,就是在某寫埠下只允許使用認證(綁定的)mac,dot1x與802.1x是不同的兩種認證安全機制,二者擇一的,而且802.1x的優於mac綁定的認讓帆棗證。
J. 思科3550怎麼將IP與MAC綁定arp ip mac rarp這條命令怎麼用的啊
思科交換機上實現MAC地址與IP地址綁定針對於目前arp病毒肆虐,利用arp協議進行欺騙的網路問題也日漸嚴重。在防範過程中除了VLAN的劃分來抑制問題的擴散,還需要將IP地址與MAC地址綁定來配合達到最佳的防範結果。在思科的交換機上簡單實現是使用埠來幫定MAC地址。實現如下:3550#config terminal//進入通用配置模式3550(config)# Interface fastethernet 0/1//進入需要配置的具體埠配置模式3550(config-if)#3550port port-secruity//啟用埠安全模式3550(config-if )3550port port-security mac-address //配置該埠要綁定的主機的MAC地址這個配置只可以一個埠綁定一個MAC地址,呵呵,我想沒有人會用3550這樣的交換機一個口只接一台主機吧。那麼要綁定多個IP地址與MAC地址應該如何處理呢?我們可以看看下面的配置:1.敏伍先建立兩個訪問控制列表,一個是關於MAC地址的,一個是關於IP地址的。3550(config)#mac access-list extended mac-vfast//配置一個命名的MAC地址尺臘訪問控制列表,命名為mac-vfast3550(config)#permit host 0017.31db.f666 any//源MAC地址為0017.31db.f666的主機陵拿滑可以訪問任意主機3550(config)#permit any host 0017.31db.f666//所有主機可以訪問目的MAC地址為0017.31db.f666的主機3550(config)#ip access-list extended ip-vfast//配置命名的IP地址訪問控制列表,命名為ip-vfast3550(config)#permitip10.0.0.1 0.0.0.0 any#允許10.0.0.1地址在網內工作2.將建立好的訪問控制列表加入需要配置的埠3550(config-if )#interface Fa0/1//進入配置具體埠的模式3550(config-if )#mac access-group mac-vfastin3550(config-if )#Ip access-group ip-vfast in