A. 思科2800路由器如何配置MAC地址绑定,未绑定的不可以上网详细一些,谢谢了!
1、IE地址栏输入192.168.1.1(有的可能是192.168.0.1),用户名密码默认都是admin,如果进不去,就找到密码进去,实在找不到reset路由。方法看路由说明书,不是简单拔电源就叫重启。
2、路由左边有无线设置,进入以后选择MAC地竖弯哗址过滤,添加新条目,输入你要允许的余行MAC地闹穗址,然后过滤规则选择允许添加的MAC上网,还是添加的不能上网。
3、保存。
PS:如果是要绑定有线上网的,在进入路由界面的时候选择ip与mac绑定,之后步骤和上面相同。
B. 思科2950交换机绑定IP和MAC怎么实现
2950(config)#mac access-list extended mac1 //配置一个命名的MAC地址访问控制列表稿知猜,命名为ipmac
2950(config)#permit host 0017.31db.f666 any //源MAC地址为0017.31db.f666的猛念主机可以访问任意主机
2950(config)#permit any host 0017.31db.f666 //所有主机可以访问目的MAC地址为0017.31db.f666的主机
2950(config)#ip access-list extended ip1 //配置命名的IP地址访问控制列表,命名为ip1
2950(config)#permit ip 10.0.0.1 0.0.0.0 any //允许10.0.0.1地址在网内工作
将建立好的访问控制列键型表加入需要配置的端口
2950(config-if )#interface Fa0/1
2950(config-if )#mac access-group mac-vfast in
2950(config-if )#Ip access-group ip-vfast in
C. 思科交换机怎么配置
1、首先将一台PC和一台交换机用线缆连接起来。
(3)思科交换机如何配置mac认证扩展阅读
交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
学习:以太网交换机了解每一端口相连设备的MAC地址,并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。
转发/过滤:当一个数据帧的目的地址在MAC地址表中有映射时,它被转发到连接目的节点的端口而不是所有端口(如该数据帧为广播/组播帧则转发至所有端口)。
消除回路:当交换机包括一个冗余回路时,以太网交换机通过生成树协议避免回路的产生,同时允许存在后备路径。
交换机除了能够连接同种类型的网络之外,还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。如今许多交换机都能够提供支持快速以太网或FDDI等的高速连接端口,用于连接网络中的其它交换机或者为带宽占用量大的关键服务器提供附加带宽。
一般来说,交换机的每个端口都用来连接一个独立的网段,但是有时为了提供更快的接入速度,我们可以把一些重要的网络计算机直接连接到交换机的端口上。这样,网络的关键服务器和重要用户就拥有更快的接入速度,支持更大的信息流量。
最后简略的概括一下交换机的基本功能:
1. 像集线器一样,交换机提供了大量可供线缆连接的端口,这样可以采用星型拓扑布线。
2. 像中继器、集线器和网桥那样,当它转发帧时,交换机会重新产生一个不失真的方形电信号。
3. 像网桥那样,交换机在每个端口上都使用相同的转发或过滤逻辑。
4. 像网桥那样,交换机将局域网分为多个冲突域,每个冲突域都是有独立的宽带,因此大大提高了局域网的带宽。
5. 除了具有网桥、集线器和中继器的功能以外,交换机还提供了更先进的功能,如虚拟局域网(VLAN)和更高的性能。
D. cisco的3650无线控制器在交换机下怎么做mac认证上网
你的端口因为port security的规则被violation了,所以处于err-disable或者说shutdown状态。
而err-disable或者说shutdown的端口是不能用的啊。
你的show interface看看是不是简旅薯这样。镇银
port security有一个命令
switchport port-security violation {protect | restrict | shutdown }
protect模式下直接丢包
restrict模式下不仅丢包,而且在console上发log警告。
shutdown模式直接把接口变成err-disable。
建议你在接口上配置 switchport port-security violation protect 这条命令
这样就是只丢包,不关端口了。
同时你最好也用 switchport port-security maximum定义一下端口下边最多的拦者mac地址数量
并手工的用switchport port-security mac-address 手工定义一下合法的MAC地址
………………………………………………
后话:
既然大家都来回换座位,为啥还要用端口安全呢?
如果你是为了防止外来的设备接入交换机的话,为啥不用mac列表过滤或者是dot1x认证呢?
E. 思科ISE对有线接入用户进行MAC认证
随着信息化的快速发展,对国家、组织、公司或个人来说至关重要的信息或旦巧越来越多的通过网络来进行存储、传输和处理,为获取这些关键信息的各种网络犯罪也相应急剧上升。当前,网络安全在某种意义上已经成为一个事关国家安全,社会经济稳定的重大问题,得到越来越多的重视。
在网络安全中,身份认证技术作为第一道,甚至是最重要的一道防线,有着重要地位,可靠的身份认证技术可以确保信息只被正确的“人”所访问。衫键身份认证技术提供了关于某个人或某个事物身份的保证,这意味着当某人(或某事)声称具有一个特别的身份时,认证技术将提供某种方法来证实这一声明是正确的。
【图1-1】
常见的网络接入身份认证技术主要有三种:
通过前期给分享的文章《思科ISE对公司访客进行Portal认证(基于HTTPS协议)》,大家应该对WebAuth认证很熟悉了。今天跟大家聊聊如何利用MAC认证方式为网络设备做接入认证。下一期文章将为迟肆大家分享,如何使用802.1x认证方式做网络接入认证。
MAC认证是网络接入控制方案(NAC)中的一种,它是基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,并且不需要用户安装任何客户端软件。通过MAC认证能够实现保护企业内网的安全性的目的。MAC认证无需用户终端安装客户端,但是却需要在服务器上登记MAC地址,如果为每台终端设备做接入MAC地址记录。工作量非常大。所以通常,MAC认证一般适用于打印机、传真机等哑终端接入认证的场景。
1. 使用不同用户名格式的MAC地址认证
目前设备支持两种方式的MAC地址认证,通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证和在接入设备上进行本地认证。
根据设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC地址认证使用的用户帐户格式分为两种类型:
2. MAC地址两种认证类型介绍
2.1 RADIUS服务器认证方式进行MAC地址认证(本文将以RADIUS服务器方式为例为大家介绍)
当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
2.2 本地认证方式进行MAC地址认证
当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:
Part 2 - 实验配置
一. 实验拓扑
【图2-1】
二. 实验需求
三. 配置逻辑
【图2-2】 华为交换机的配置逻辑
【表1】 思科ISE的配置逻辑
四. 实验设备及注意事项
五. 数据规划
【表2】交换机接口和VLAN规划
【表3】 网络设备IP地址规划
【表4】交换机业务数据规划
六. 实验步骤
Step 1 - 交换机VLAN配置。
2. 按照VLAN规划,将接口加入对应的VLAN。
Step 2 - Cisco ISE,业务服务器,终端IP地址配置略。
Step 3 - 交换机侧配置。
Step 4 - 配置ISE。
打开Internet Explorer浏览器,在地址栏输入ISE的访问地址,单击“Enter”。输入ISE管理员账号和密码登录ISE。
F. 交换机和电脑IP与mac地址的绑定方式
目前,很多单位的内部网络,都采用了MAC地址与IP地址的绑定技术。下面我们就针对Cisco的交换机介绍一下IP和MAC绑定的设置方案。
在Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。
1.方案1——基于端口的MAC地址绑定
思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式,敲入命令:
Switch#configterminal
#进入配置模式
Switch(config)#Interfacefastethernet0/1
#进入具体端口配置模式
Switch(config-if)#Switchportport-secruity
#配置端口安全模式
Switch(config-if)switchportport-securitymac-addressMAC(主机的MAC地址)
#配置该端口要绑定的主机的MAC地址
Switch(config-if)noswitchportport-securitymac-addressMAC(主机的MAC地址)
#删除绑定主机的MAC地址
注意:
以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定橘乱好的MAC地址,才能正常使用。
注意:
以上功能适用于思科2950、3550、4500、6500系列交换机
2.方案2——基于MAC地址的扩展访问列表
Switch(config)Macaccess-listextendedMAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permithost0009.6bc4.d4bfany
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permitanyhost0009.6bc4.d4bf
#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机
Switch(config-if)interfaceFa0/20
#进入配置具体端口的模式
Switch(config-if)macaccess-groupMAC10in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config)nomacaccess-listextendedMAC10
#清除名为MAC10的访问列表
此功能与应用一大体相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
注意:
以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(EnhancedImage)。
3.方案3——IP地址的MAC地址绑定
只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC绑定功能。
Switch(config)Macaccess-listextendedMAC10
#定义一个MAC地址访问控制列表并且命名该列表名为MAC10
Switch(config)permithost0009.6bc4.d4bfany
#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机
Switch(config)permitanyhost0009.6bc4.d4bf
#定义所有主机可以访问MAC地陪厅址为0009.6bc4.d4bf的主机
Switch(config)Ipaccess-listextendedIP10
#定义一个IP地址访问控制列表并且命名该列表名为IP10
Switch(config)Permit192.168.0.10.0.0.0any
#定义IP地址为192.168.0.1的主机可以访问任意主机
Permitany192.168.0.10.0.0.0
#定义所有主机可以访问IP地址为192.168.0.1的主机
Switch(config-if)interfaceFa0/20
#进入配置具体端口的模圆铅式
Switch(config-if)macaccess-groupMAC10in
#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)
Switch(config-if)Ipaccess-groupIP10in
#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)
Switch(config)nomacaccess-listextendedMAC10
#清除名为MAC10的访问列表
Switch(config)noIpaccess-groupIP10in
#清除名为IP10的访问列表
上述所提到的应用1是基于主机MAC地址与交换机端口的绑定,方案2是基于MAC地址的访问控制列表,前两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现,可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。
注意:以上功能在思科2950、3550、4500、6500系列交换机上可以实现,但是需要注意的是2950、3550需要交换机运行增强的软件镜像(EnhancedImage)。
后注:从表面上看来,绑定MAC地址和IP地址可以防止内部IP地址被盗用,但实际上由于各层协议以及网卡驱动等实现技术,MAC地址与IP地址的绑定存在很大的缺陷,并不能真正防止内部IP地址被盗用。
G. Cisco交换机配置802.1x & mac,验证域账号,动态分配VLAN
#全局配置
switch#config terminal
switch(config)#aaa new-model #启用aaa认证
switch(config)#dot1x system-auth-control #全局启用dot1x认证
#配置radius-server模板
switch(config)#radius server XXX_rd
Switch(config-radius-server)#address ipv4 10.0.24.18 auth-port 2812 acct-port 2813
Switch(config-radius-server)#key wkGKXGbZHjYhYmRzH #指定主Radius服务器地址、通信密钥和端口
Switch(config-radius-server)#exit
#配置 aaa group
switch(config)#aaa group server radius XXX_rg
Switch(config-sg-radius)#server name XXX_rd
Switch(config-sg-radius)#exit
#配置aaa认证方案
switch(config)#aaa authentication dot1x default group XXX_rg #配置802.1x认证使用radius服务器数据库
switch(config)#aaa authorization network default group XXX_rg #配置802.1x网络授权使用radius服务器。
switch(config)#aaa accounting update periodic 6 #配置启用计费更新报文发送
#配置启用 radius 计费
switch(config)#aaa accounting dot1x default start-stop group XXX_rg
switch(config)#aaa accounting network default start-stop group XXX_rg
switch(config)#radius-server attribute 8 include-in-access-req #配置交换机携带终端 IP 地址
#配置端口
switch(config)#int g1/0/6 #进入需要开启802.1x认证的端口,如果需要进入多个端口,可以用指令:int range g1/0/1 - 3,表示进入端口1-3
switch(config-if)#switchport mode access #设置端口模式为访问模式
switch(config-if)#authentication port-control auto #部分思科ios没有该命令,用dot1x pae authenticator代替
switch(config-if)#dot1x port-control auto #端口开启dot1x认证
switch(config-if)#authentication host-mode multi-auth #设置端口接入模式为多认证模式绝拿州,此敏纤时允许多个用户分别接入认证
switch(config-if)#exit
#开启MAB认证
switch(config)#int g1/并蔽0/6
switch(config-if)#mab #开启MAB认证
switch(config-if)#dot1x timeout tx-period 10 #配置超时进行mab认证的时间 注意:这里如果配置10秒则进行mab认证时间为 10 * 3
switch(config-if)#dot1x max-reauth-req 2
switch(config-if)#exit
#开启逃生vlan
switch(config)#int g1/0/6
switch(config-if)#authentication event server dead action reinitialize vlan 101
switch(config-if)#exit
#开启 guest-vlan
switch(config)# dot1x guest-vlan supplicant #开启允许 802.1x 客户端进入 guest-vlan
#端口下配置 guest-vlan
switch(config)#int g1/0/6
switch(config-if)#authentication event no-response action authorize vlan 101
switch(config-if)#exit
#开启 coa
switch(config)#aaa server radius dynamic-author
switch(config-locsvr-da-radius)#client 10.0.24.18 server-key wkGKXGbZHjYhYmRzH
switch(config-locsvr-da-radius)#exit
H. 思科交换机的MAC配置
cisco的交芦慎历孝祥换机的mac地址格陪搜式都是这样的。
f0/3表示的是交换机的对应端口。
I. 思科3550交换机,是否支持可以配置基于802.1x的mac认证 如何配置
思科802.1x认证那是基轿凳于认证服务器如ACS认证的公认标准,而mac认证我不知道阁下是不是想说基于mac的端坦拆口绑定,就是在某写端口下只允许使用认证(绑定的)mac,dot1x与802.1x是不同的两种认证安全机制,二者择一的,而且802.1x的优于mac绑定的认让帆枣证。
J. 思科3550怎么将IP与MAC绑定arp ip mac rarp这条命令怎么用的啊
思科交换机上实现MAC地址与IP地址绑定针对于目前arp病毒肆虐,利用arp协议进行欺骗的网络问题也日渐严重。在防范过程中除了VLAN的划分来抑制问题的扩散,还需要将IP地址与MAC地址绑定来配合达到最佳的防范结果。在思科的交换机上简单实现是使用端口来帮定MAC地址。实现如下:3550#config terminal//进入通用配置模式3550(config)# Interface fastethernet 0/1//进入需要配置的具体端口配置模式3550(config-if)#3550port port-secruity//启用端口安全模式3550(config-if )3550port port-security mac-address //配置该端口要绑定的主机的MAC地址这个配置只可以一个端口绑定一个MAC地址,呵呵,我想没有人会用3550这样的交换机一个口只接一台主机吧。那么要绑定多个IP地址与MAC地址应该如何处理呢?我们可以看看下面的配置:1.敏伍先建立两个访问控制列表,一个是关于MAC地址的,一个是关于IP地址的。3550(config)#mac access-list extended mac-vfast//配置一个命名的MAC地址尺腊访问控制列表,命名为mac-vfast3550(config)#permit host 0017.31db.f666 any//源MAC地址为0017.31db.f666的主机陵拿滑可以访问任意主机3550(config)#permit any host 0017.31db.f666//所有主机可以访问目的MAC地址为0017.31db.f666的主机3550(config)#ip access-list extended ip-vfast//配置命名的IP地址访问控制列表,命名为ip-vfast3550(config)#permitip10.0.0.1 0.0.0.0 any#允许10.0.0.1地址在网内工作2.将建立好的访问控制列表加入需要配置的端口3550(config-if )#interface Fa0/1//进入配置具体端口的模式3550(config-if )#mac access-group mac-vfastin3550(config-if )#Ip access-group ip-vfast in