网络管理员：IP-MAC绑定的交换机设置方法详解

　　#进入配置具体端口的模式

　　Switch(config-if )mac access-group MAC10 in

　　#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)

　　Switch(config)no mac access-list extended MAC10

　　#清除名为MAC10的访问列表

　　此功能与应用一陆体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

　　注意：

　　以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。

　　3.方案3——IP地址的MAC地址绑定

　　只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。

　　Switch(config)Mac access-list extended MAC10

　　#定义一个MAC地址访问控制列表并且命名该列表名为MAC10

　　Switch(config)permit host 0009.6bc4.d4bf any

　　#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机

　　Switch(config)permit any host 0009.6bc4.d4bf

　　#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机

　　Switch(config)Ip access-list extended IP10

　　#定义一个IP地址访问控制列表并且命名该列表名为IP10

　　Switch(config)Permit 192.168.0.1 0.0.0.0 any

　　#定义IP地址为192.168.0.1的主机可以访问任意主机

　　Permit any 192.168.0.1 0.0.0.0

　　#定义所有主机可以访问IP地址为192.168.0.1的主机

　　Switch(config-if )interface Fa0/20

　　#进入配置具体端口的模式

　　Switch(config-if )mac access-group MAC10 in

　　#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)

　　Switch(config-if )Ip access-group IP10 in

　　#在该端口上应用名为IP10的访问列表(即前面我们定义的访问策略)

　　Switch(config)no mac access-list extended MAC10

　　#清除名为MAC10的访问列表

　　Switch(config)no Ip access-group IP10 in

　　#清除名为IP10的访问列表

　　上述所提到的应用1是基于主机MAC地址与交换机端口的绑定，方案2是基于MAC地址的访问控制列表，前两种方案所能实现的功能大体一样。如果要做到IP与MAC地址的绑定只能按照方案3来实现，可根据需求将方案1或方案2与IP访问控制列表结合起来使用以达到自己想要的效果。

　　注意：以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像(Enhanced Image)。

　　后注：从表面上看来，绑定MAC地址和IP地址可以防止内部IP地址被盗用，但实际上由于各层协议以及网卡驱动等实现技术，MAC地址与IP地址的绑定存在很大的缺陷，并不能真正防止内部IP地址被盗用。