交换机IP地址和MAC地址绑定技巧

前面介绍的过滤MAC地址似乎不能很好地限制某台计算机，对于掌握了更改MAC地址方法的用户来说，只需要更改计算机的MAC地址就可以突破“过滤MAC地址功能”的限制。事实确实如此，为了严格控制接入设备的输入源的合法性，可以应用交换机IP和MAC地址绑定功能。

通过手动配置 IP 和 MAC 地址绑定功能，可以对输入的报文进行 IP 地址和 MAC 地址绑定关系的验证。如果将一个指定的 IP 地址和一个 MAC 地址绑定，则设备只接收源 IP地址和 MAC 地址均匹配这个绑定地址的 IP 报文；否则该 IP报文将被丢弃。

以图4-1为例，在二层交换机上配置IP和MAC地址绑定需要经过两个步骤：第一是启用IP 和MAC地址绑定功能，第二是添加地址绑定表。

首先配置计算机的IP地址，同网段通信可以不设置网关，按照图4-1所示拓扑连接设备。此时三台计算机在同一VLAN，并且IP地址在同一网段，可以互相通信。在交换机上全局启用IP 和 MAC 地址绑定功能，指令如下。

如果执行“address-bind install”之后，没有配置 IP+MAC 绑定表，则所有 IP+MAC 绑定功能不生效，所有报文可以通过。此时测试3台计算机的连通性可以发现都能互相通信。在交换机上配置针对PC2的IP+MAC 绑定表，指令如下。

配置完后，测试三台计算机的连通性，发现都不能“ping”通了。分析如下：

从PC1和PC3发出的ping数据包中的源地址不在IP+MAC 绑定表中，交换机将予以丢弃。例如，从PC3上“ping”主机PC1时，ICMP请求数据包从PC3网卡发出，进入交换机f0/3端口，因为启用了地址绑定功能，并且绑定表不为空，交换机查表发现不存在PC3的IP 地址和 MAC 地址的绑定，数据包被丢弃，ICMP请求数据包无法达到PC1。在PC1上打开Wireshark软件捕获数据包可以发现收不到ICMP报文，因为ARP报文不经过IP层封装，只可以通过交换机。

从PC2发出的ping数据包中的源地址在IP+MAC 绑定表中，交换机将予以转发，但应答数据包从PC1或PC3发出时将被丢弃，效果也是无法“ping”通PC1和PC3。

继续添加PC1和PC3对应的地址绑定表，使3台PC的IP和MAC地址绑定项都出现在绑定表中，指令如下。(www.xing528.com)

配置完后，测试3台计算机的连通性，都能“ping”通了。

IP地址和MAC地址绑定功能在全局模式下配置，默认对设备上的所有端口都生效，通过配置例外端口的方式可以使此绑定功能在部分端口不生效。通常将设备连接至上层设备的端口配置为例外口，不进行IP地址与MAC地址的绑定检查，指令如下。

还记得本节开始提到的通过过滤MAC地址限制某台计算机访问网络吗？配置IP+MAC绑定后，可以应用过滤MAC地址功能，这样用户改变MAC地址也无法访问网络。例如，在交换机上配置下列指令限制PC2访问网络。

在PC2上改变MAC地址再次测试，仍然不能访问网络。

那如果将PC2的IP地址和MAC地址都改成PC1的，能和PC3通信吗？答案是肯定的，因为IP+MAC地址绑定功能配置在全局模式，对所有端口生效，PC2主机发出的数据包因为不包含端口信息，交换机检查绑定关系会参照PC1的表项，因为IP地址和MAC地址匹配，所以数据包可以通过。但此时PC1和PC2会提示IP地址冲突。

因为交换机识别接入的终端（如计算机）是通过数据包中的MAC地址与IP地址，如果PC2改变自己的MAC地址与IP地址，交换机是无法识别出来的。有没有办法限制PC2访问网络呢？因为交换机通常位于安全区域，没有管理员的权限，用户无法更改接入端口，通过对端口的管理可以灵活限制PC2对网络的访问。交换机的端口安全功能可以提供完整的端口接入访问控制。