能否让一个物理端口绑定ip和mac，然后被绑定的mac连接到这个端口后自动获取ip地址？
最新回复： 09:03:06
能否让一个物理端口绑定ip和mac，然后被绑定的mac连接到这个端口后自动获取ip地址？
已经配置好dhcp，其他的都没操作，要怎样配置？？能否给我一个完整的例子，谢谢哦！！
下面是我现有的配置，设备是s5700 si
sysname&SwitchM
vlan&batch 100
dhcp&enable
ip&pool&100
&gateway-list&192.168.100.1
&network&192.168.100.0&mask&255.255.255.0
&dns-list&202.100.243.67
interface&Vlanif100
&ip&address&192.168.100.1&255.255.255.0
&dhcp&select&global
interface&GigabitEthernet0/0/7
&port&link-type&access
&port&default&vlan&100
&stp&edged-port&enable
绑定7号端口
系统问题，发重复了
绑定后自动获取ip吗 & ？？那你只能绑定mac &自动获取ip & &
绑定后自动获取ip吗 & ？？那你只能绑定mac &自动获取ip & &
yanze521521 发表于
就是说我执行端口绑定mac和ip后，还要执行mac绑定ip是吗？
必须user-bind static加bind-static叠加用对吗？
不需要的 &
不需要的 &
yanze521521 发表于
能否麻烦告知如何处理，能给一个完整得代码吗？
不需要的 &
yanze521521 发表于
能否麻烦告知如何处理，能给一个完整得代码吗？
[S2016-E1-Ethernet0/1]mac-address max-mac-count 0;
&&&&&&& 进入到端口，用命令mac max-mac-count 0(端口mac学习数设为0)
&&&&&&& [S2016-E1]mac static 88 int e0/1 vlan 10;
&&&&&& 将88绑定到e0/1端口上，此时只有绑定mac的pc可以通过此口上网,同时E0/1属于/q/2910 & 去这个帖子看看
[S2016-E1-Ethernet0/1]mac-address max-mac-count 0;
&&&&&&& 进入到端口，用命令mac max-mac-count 0(端口mac学习数设为0)
&&&&&&& [S2016-E1]mac static 88 int e0/1 vlan 10;
&&&&&& 将88绑定到e0/1端口上，此时只有绑定mac的pc可以通过此口上网,同时E0/1属于/q/2910 & 去这个帖子看看
yanze521521 发表于
你好，你发的网站打不开啊
* 是否包含第三方商业秘密:
第三方商业秘密是指第三方不为公众所知悉、具有商业价值并经权利人采取保密措施的技术信息和经营信息，包括但不限于：产品的价格信息、路标规划、商务授权、核心算法和源代码等。如有疑问，请联系:e.（各社区公共邮箱）。
如果附件按钮无法使用，请将Adobe Flash Player 更新到最新版本！
`@trans`drinking_poetry`~trans`
`@trans`drinking_poetry_des`~trans`匿名用户不能发表回复！|
每天回帖即可获得10分可用分！小技巧：
你还可以输入10000个字符
(Ctrl+Enter)
请遵守CSDN，不得违反国家法律法规。
转载文章请注明出自“CSDN（www.csdn.net）”。如是商业用途请联系原作者。用户名：zhaisj
文章数：159
评论数：1319
访问量：1119764
注册日期：
阅读量：1297
阅读量：3317
阅读量：582019
阅读量：466623
51CTO推荐博文
谈谈IP、MAC与交换机端口绑定的方法
信息安全管理者都希望在发生安全事件时，不仅可以定位到计算机，而且定位到使用者的实际位置，利用MAC与IP的绑定是常用的方式，IP地址是计算机的“姓名”，网络连接时都使用这个名字；MAC地址则是计算机网卡的“身份证号”，不会有相同的，因为在厂家生产时就确定了它的编号。IP地址的修改是方便的，也有很多工具软件，可以方便地修改MAC地址，“身份冒充”相对容易，网络就不安全了。
遵从“花瓶模型”信任体系的思路，对用户进行身份鉴别，大多数人采用基于802.1x协议的身份认证技术(还可以基于应用的身份认证、也可以是基于Cisco的EOU技术的身份认证)，目的就是实现用户账号、IP、MAC的绑定，从计算机的确认到人的确认。
身份认证模式是通过计算机内安全客户端软件，完成登录网络的身份鉴别过程，MAC地址也是通过客户端软件送给认证服务器的，具体的过程这里就不多说了。
一、问题的提出与要求
有了802.1x的身份认证，解决的MAC绑定的问题，但还是不能定位用户计算机的物理位置，因为计算机接入在哪台交换机的第几个端口上，还是不知道，用户计算机改变了物理位置，管理者只能通过其他网管系统逐层排查。那么，能否可以把交换机端口与IP、MAC一起绑定呢？这样计算机的物理位置就确定了。
首先这是有关安全标准的要求：
1)重要安全网络中，要求终端安全要实现MAC\IP\交换机端口的绑定
2)有关专用网络中，要求未使用的交换机端口要处于关闭状态(未授权前不打开)
其次，实现交换机端口绑定的目标是：
&O防止外来的、未授权的计算机接入网络(访问网络资源)
&O当有计算机接入网络时，安全监控系统能够立即发现该计算机的MAC与IP，以及接入的交换机端口信息，并做出身份验证，属于未授权的能够报警或终止计算机的继续接入，或者禁止它访问到网络的任何资源
&O当有安全事件时，可以根据用户绑定的信息，定位到机器(MAC与IP)、定位到物理位置(交换机端口)、定位到人(用户账号、姓名、电话…)
二、实现交换机端口信息绑定的策略
根据接入交换机的安全策略，可以把端口信息绑定分为两种方式：静态方式与动态方式
1、静态方式：固定计算机的位置，只能在预先配置好的交换机端口接入，未配置(授权申请)的不能接入网络。
静态的意思就是关闭交换机的MAC地址学习功能，计算机只能从网络唯一允许的位置接入网络，否则交换机不给予数据转发，所以只要该计算机登录，必然是固定的位置。
2、动态方式：计算机可以随机接入交换机的不同端口，在网络准入身份认证的同时，从交换机中动态提取计算机所在的交换机端口信息，动态地与MAC、IP等信息一起绑定。
动态的意思是安全系统在计算机接入网络时，自动搜索到交换机的端口信息，当然这个信息只能来自于交换机，不可能来自于客户端软件。
三、交换机端口绑定方案一：协议改造
标准的802.1x协议中，交换机负责控制端口与数据端口的管理，但没有把端口信息加载在认证数据包中，一些交换机厂家扩展了802.1x协议(私有协议)，增加了端口信息，显然这种方案属于动态绑定方式。
650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/505921.jpg" border="0" />
方案的要点：
&O所有接入层的交换机要支持该私有扩展协议(交换机必须是同一厂家的)
&O终端安全系统的服务器要支持扩展的认证协议(增加交换机端口)
方案的优缺点：
&O优点是绑定协议实现完整
&O缺点是网络交换机都需要是一个厂家的，因为私有协议是难以互通的，同时终端安全系统也需要是定制的
四、交换机端口绑定方案二：主动查询
修改交换机上的协议是困难的，但我们可以主动探测端口信息，交换机支持网管功能，通过查询交换机内的FDB表(交换机内用来维护转发的信息表，内容包括对应端口、MAC、Vlan)，就可以获得端口信息，显然这种方案也是动态绑定方式。
650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/531593.jpg" border="0" />
实现步骤：
1)用户通过客户端软件进行身份认证
2)交换机把认证请求发送给服务器
3)服务器通过SNMP协议查询交换机的FDB表，确认此时该PC所在的交换机端口号信息
4)认证服务器确认账号/MAC/IP/端口号，给出认证通过信息
5)用户认证通过，开始访问业务
方案的要点：
&O交换机支持网管功能(snmp协议)，支持FDB表的查询
&O终端安全系统的服务器要定制支持FDB查询功能
方案的优缺点：
&O优点是可以采用不同厂家的交换机，只要支持网管snmp协议即可
五、交换机端口绑定方案三：静态绑定
安全性要求比较高的网络，交换机端口的分配是确定的，未分配的端口默认是关闭的，因此，需要动态查询的“机会”应该说是没有的，既然是确定的，就直接“写入”到交换机内，不轻易改动，所以叫静态方式。
650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="/attachment/552640.jpg" border="0" />
实现步骤：
1)关闭交换机的端口MAC学习功能，把计算机的MAC配置在交换机端口上，并把计算机的MAC与交换机端口信息，输入到终端安全服务器的资源管理中
2)用户通过客户端软件进行身份认证
3)交换机把认证请求发送给服务器 (由于交换机端口中有该计算机的MAC，所以转发认证数据包)
4)认证服务器确认账号/MAC/IP，并从资源库中提取交换机端口号信息，一同绑定，给出认证通过信息
5)用户认证通过，进行正常访问业务
方案的要点：
&O关闭交换机自学习功能，人工静态配置MAC信息
&O终端安全系统的服务器进行资源管理，记录MAC与交换机端口信息
方案的优缺点：
&O优点是计算机接入端口信息固定，网络准入层次提高，避免计算机身份冒充行为，从交换机底层控制未知的计算机是不能接入网络的
&O缺点是人工配置MAC，安全管理工作多
六、三种方案的比较
方案1：协议改造
协议实现完整，要求交换机是同厂家的，网络改造投入大
适合新建网络，或者是小型网络系统安全改造
方案2：主动查询
方案相对完美，不要求交换机同厂家，但要求支持网管功能
适合大型网络或网络改造的安全管理
方案3：静态绑定
方案相对简单，对交换机没有要求，方案的安全性又较高，尤其在未授权计算机的接入控制上
适合于涉密要求高的网络，适合于专用网络的安全管理
&本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)
14:32:34 15:11:38 18:03:33 02:08:18 11:19:05 &&1&
&&页数 ( 1/3 ) &