ip地址绑定Mac地址

1 引言

对“IP地址盗用”的解决方案绝大多数都是采取MAC与IP地址绑定策略，这种做法是十分危险的，本文将就这个问题进行探讨。在这里需要声明的是，本文是处于对对MAC与IP地址绑定策略安全的忧虑，不带有任何黑客性质。

1.1 为什么要绑定MAC与IP 地址

影响网络安全的因素很多，IP地址盗用或地址欺骗就是其中一个常见且危害极大的因素。现实中，许多网络应用是基于IP的，比如流量统计、账号控制等都将IP地址作为标志用户的一个重要的参数。如果有人盗用了合法地址并伪装成合法用户，网络上传输的数据就可能被破坏、窃听，甚至盗用，造成无法弥补的损失。

盗用外部网络的IP地址比较困难，因为路由器等网络互连设备一般都会设置通过各个端口的IP地址范围，不属于该IP地址范围的报文将无法通过这些互连设备。但如果盗用的是Ethernet内部合法用户的IP地址，这种网络互连设备显然无能为力了。“道高一尺，魔高一丈”，对于Ethernet内部的IP地址被盗用，当然也有相应的解决办法。绑定MAC地址与IP地址就是防止内部IP盗用的一个常用的、简单的、有效的措施。

1.2 MAC与IP 地址绑定原理

IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM

IP地址与Mac地址绑定

拓扑图如下：

一、静态地址绑定：

[SW1]user-bind static ip-address 192.168.1.100 mac-address 5489-9828-5BB1 Info: 1 static user-bind item(s) added.

[SW1]user-bind static ip-address 192.168.1.200 mac-address 5489-9804-0D67 Info: 1 static user-bind item(s) added.

二、DHCP地址池中 IP地址与Mac地址绑定

[SW1]ip pool 192network

[SW1-ip-pool-192network]gateway-list 192.168.1.1

[SW1-ip-pool-192network]network 192.168.1.0 mask 255.255.255.0

[SW1-ip-pool-192network]excluded-ip-address 192.168.1.240192.168.1.254

[SW1-ip-pool-192network]lease day 0

通过IP地址和MAC地址的绑定,可以实现避免IP地址的盗用,ARP病毒的预防,加强网络资料管理等好处。通过在路由器实施是一种较为简单的方法。文章介绍了在常用的思科路由器上面实施IP地址和MAC地址绑定的具体步骤。为企业网络管理员加强网络安全提供了很好的参考价值。

攮隶砑象

T C N L G N R E E H 0 0 YA DMA K TVo . 8No 12 1 11, .,01

I地址和 MA P C地址绑定在路由器上的实现王东， 侯翠华(中国联合网络通信有限公司济南市分公司，山东济南 20 0 ) 5 02摘要：通过 I地址和 M C址的绑定，以实现避免I地址的盗用， R病毒的预防，强网络资料管理等好处。过在 P A地可 P AP加通路由器实施是一种较为 t单的方法。文章介绍了在常用的思科路由器上面实施 I地址和MA地址绑定的具体步骤。 . 5 P C为企业网络管理员加强网络安全提供了很好的参考价值关键词：P址； C地址；定；由器； I地 MA绑路

d i03 60i n10— 5 4 0 1 1 0 o 1. 9 .s. 6 85 . 1. . 4: 9 s 0 2 000引言

路由器对通过的数据包包头的源I地址进行解析后， P将检查A

Cisco的MAC地址与IP绑定方法是什么

交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。对于Cisco的MAC地址与IP绑定方法，可能很多用户还不熟悉，下面一起看看!

方法步骤

1.方案1——基于端口的MAC地址绑定 思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：

ng=1cellPadding=0width="80%"align=leftbgColor=#ccccccborder=0>Switch#configterminal#进入配置模式

Switch(config)#Interfacefastethernet0/1#进入具体端口配置模式

Switch(config-if)#Switchportport-secruity#配置端口安全模式

Switch(config-if)switchportport-securitymac-addressMAC(主机的MAC地址)

#配置该端口要绑定的主机的MAC地

Cisco 2960交换机中如何绑定IP与MAC地址

Cisco, MAC, 绑定, 交换机, 地址

请问：在2960交换机中如何进行端口MAC地址绑定，并同时绑定IP与MAC地址？

网友1：

conf t

arp 192.168.1.1 0000.1001.2200 arpa fa0/1

网友2：

IP地址与MAC地址的关系： IP地址是根据现在的IPv4标准指定的，不受硬件限制长度4个字节。而 MAC地址却是用网卡的物理地址，保存在网卡的EPROM里面，与硬件有关系，长度为6

个字节。

在交换式网络中，交换机维护一张MAC地址表，并根据MAC地址，将数据发送至目的计算机。 为什么要绑定MAC与IP 地址：IP地址的修改非常容易，而MAC地址存储在网卡的EEPROM中，而且网卡的MAC地址是唯一确定的。因此，为了防止内部人员进行非法IP盗用 (例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败:而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是

ip 地址和mac地址的绑定

1.方案1——基于端口的MAC地址绑定

思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令：Switch#config terminal ＃进入配置模式

Switch(config)# Interface fastethernet 0/1＃进入具体端口配置模式Switch(config-if)#Switchport port-secruity ＃配置端口安全模式

Switch(config-if )switchport port-security mac-address MAC(主机的MAC地址) ＃配置该端口要绑定的主机的MAC地址

Switch(config-if )no switchport port-security mac-address MAC(主机的MAC地址)<BR>＃删除绑定主机的MAC地址

注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。注意：以上功能适用于思科2950、3550、4500、6500系列

实验二：获取以太网中IP地址与MAC地址的对应关系

2.1 实验目的

熟悉ARP的帧结构以及工作原理，深入了解IP地址和MAC地址的有关概念,

掌握WinPcap开发包的实验方法以及自定义构造数据包。

2.2 实验要求

要求自行构造arp请求数据帧，用WinPcap的相关函数实现数据帧的发送，并解析响应的数据帧，获得IP地址与MAC地址的对应关系。本实验要求通过操作系统提供的命令和WinPcap编程两种方式获取以太网中主机的MAC地址。

2.3 实验原理

ARP是地址解析协议，它的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址（物理地址）寻址的。因此，必须建立IP地址与MA

实验二：获取以太网中IP地址与MAC地址的对应关系

2.1 实验目的

熟悉ARP的帧结构以及工作原理，深入了解IP地址和MAC地址的有关概念,

掌握WinPcap开发包的实验方法以及自定义构造数据包。

2.2 实验要求

要求自行构造arp请求数据帧，用WinPcap的相关函数实现数据帧的发送，并解析响应的数据帧，获得IP地址与MAC地址的对应关系。本实验要求通过操作系统提供的命令和WinPcap编程两种方式获取以太网中主机的MAC地址。

2.3 实验原理

ARP是地址解析协议，它的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址（物理地址）寻址的。因此，必须建立IP地址与MA

模块 名称 作者 日期

ABAP 用户登录日志功能 陈送平 2014年12月 目录

一：用户登录日志表：ZUSERLOGIN ...................................................................................... 2 二：记录用户登录增强程序 ................................................................................................... 2 三：用户登录日志查询报表 ................................................................................................... 2 四：DLL文件（获取MAC地址） .......................................................................................... 3 五：GUI安全规则检查提示问题和解决方法 ........

篇一：4种方法限制修改ip地址

4种方法限制修改ip地址

方法一：注销动态链接库文件法

在Windows 2000/XP/2003 Server操作系统中，有三个动态链接库文件（Netcfgx.dll、Netshell.dll和Netman.dll）与网络功能有关。只要将这三个文件注销，就能屏蔽“网络连接”窗口，也就能禁止通过“本地连接属性”对话框修改IP地址。 1.单击“开始→运行”菜单，在“打开”下拉文本框中输入命令“regsvr32 Netcfgx.dll /u”（仅双引号内文字）后，单击“确定”。如果执行成功，将显示提示信息。 注意：命令中的regsvr32与Netcfgx.dll之间，Netcfgx.dll与/u之间，均需用空格间隔开。 2.将Netcfgx.dll换成Netshell. dll和Netman.dll重复执行即可。

以后，无论是单击“网上邻居”右键菜单中的“属性”，还是双击“控制面板”窗口中的“网络连接”图标（实际上图标也更改了），都无法打开“网络连接”窗口，这样就无法通过“本地连接属性”对话框来修改IP地址了。 如果要恢复修改IP地址的功能，只要将上述命令中的“/u”参数删除，然后重新执行一遍就行了。

方法二：修改组策略法