스위치와 컴퓨터의 IP 및 MAC 주소를 바인딩하는 방법은 무엇입니까?

현재 많은 장치의 내부 네트워크는 MAC 주소와 IP 주소의 바인딩 기술을 사용합니다. 아래에서는 Cisco 스위치의 IP 및 MAC 바인딩 설정 방식을 소개합니다.

Cisco에서는 다음 세 가지 옵션 중에서 선택할 수 있습니다. 옵션 1과 2는 동일한 기능, 즉 특정 호스트의 MAC 주소(네트워크 카드 하드웨어 주소)를 특정 스위치에 바인딩합니다. 포트), 해결 방법 3은 특정 호스트의 MAC 주소(네트워크 카드 하드웨어 주소)와 IP 주소를 특정 스위치 포트에 동시에 바인딩하는 것입니다.

1. 옵션 1 - 포트 기반 MAC 주소 바인딩

Cisco 2950 스위치를 예로 들어 스위치에 로그인하고 관리 비밀번호를 입력하여 구성 모드로 들어갑니다. 그리고 다음 명령을 입력하세요:

p>

Switch#config 터미널

#Enter 구성 모드

Switch(config)# Interface fastethernet 0/1

#특정 포트 구성 모드 입력

Switch(config-if)#Switchport 포트 보안

#포트 보안 모드 구성

스위치 (config-if )switchport port-security mac-address MAC (호스트의 MAC 주소)

#이 포트에 바인딩될 호스트의 MAC 주소를 구성합니다

Switch(config- if)no 스위치 포트 포트 보안 mac-address MAC(호스트 MAC 주소)

#바인딩된 호스트의 MAC 주소 삭제

참고:

위 내용 명령은 특정 MAC 주소를 바인딩하도록 스위치의 포트를 설정하므로 해당 호스트만 네트워크를 사용할 수 있습니다. 호스트의 네트워크 카드가 교체되거나 다른 PC가 이 포트를 통해 네트워크를 사용하려는 경우 사용할 수 없습니다. 해당 포트에 바인딩된 MAC 주소를 삭제하거나 수정하지 않는 한 정상적으로 사용 가능합니다.

참고:

위 기능은 Cisco 2950, ​​​​3550, 4500 및 6500 시리즈 스위치에 적용됩니다.

2 - 확장 액세스 목록. MAC 주소 기반

스위치(config)Mac 액세스 목록 확장 MAC10

#MAC 주소 액세스 제어 목록을 정의하고 목록 이름을 MAC10으로 지정합니다.

스위치( config) 모든 호스트 0009.6bc4.d4bf 허용

#모든 호스트에 액세스하려면 MAC 주소 0009.6bc4.d4bf로 호스트를 정의하세요.

Switch(config)permit any 호스트 0009.6bc4.d4bf < /p >

#모든 호스트가 MAC 주소 0009.6bc4.d4bf로 호스트에 액세스할 수 있도록 정의

Switch(config-if)interface Fa0/20

#모드 진입 특정 포트 구성

Switch(config-if )mac access-group MAC10 in

#이 포트에 MAC10이라는 액세스 목록(즉, 앞에서 정의한 액세스 정책)을 적용합니다. )

Switch(config)no mac access-list Extended MAC10

#MAC10이라는 액세스 목록 지우기

이 기능은 일반적으로 애플리케이션과 동일합니다. 그러나 이는 포트를 기반으로 합니다. MAC 주소 액세스 제어 목록 제한은 특정 소스 MAC 주소와 대상 주소 범위를 제한할 수 있습니다.

참고:

위 기능은 Cisco 2950, ​​​​3550, 4500 및 6500 시리즈 스위치에서 구현 가능합니다. 단, 2950 및 3550에는 스위치가 필요하다는 점에 유의하시기 바랍니다. 향상된 소프트웨어 이미지(Enhanced Image)를 실행합니다.

3. 옵션 3 - IP 주소의 MAC 주소 바인딩

IP-MAC 바인딩은 애플리케이션 1 또는 2를 IP 기반 액세스 제어 목록과 결합해야만 달성할 수 있습니다. .

Switch(config)Mac 액세스 목록 확장 MAC10

#MAC 주소 액세스 제어 목록을 정의하고 목록 이름을 MAC10으로 지정합니다.

Switch(config) 허용 호스트 0009.6bc4.d4bf any

#모든 호스트에 액세스하려면 MAC 주소 0009.6bc4.d4bf로 호스트를 정의하세요.

Switch(config)permit any 호스트 0009.6bc4.d4bf

#MAC 주소 0009.6bc4.d4bf를 사용하여 호스트에 액세스할 수 있는 모든 호스트를 정의합니다.

Switch(config)Ip 액세스 목록 확장 IP10

#IP 주소 액세스 제어 목록 정의 목록 이름을 IP10으로 지정합니다.

Switch(config)Permit 192.168.0.1 0.0.0.0 any

#모든 호스트에 액세스하려면 IP 주소 192.168.0.1로 호스트를 정의하세요.

p>

모든 192.168.0.1 0.0.0.0 허용

#모든 호스트가 IP 주소 192.168.0.1로 호스트에 액세스할 수 있도록 정의

스위치(config-if ) 인터페이스 Fa0/ 20

#특정 포트 구성 모드로 들어갑니다

Switch(config-if)mac access-group MAC10 in

#라는 응용 프로그램을 적용합니다 포트 액세스 목록의 MAC10(즉, 앞서 정의한 액세스 정책)

Switch(config-if )Ip access-group IP10 in

#IP10이라는 액세스 목록 적용 이 포트에서 (즉, 앞서 정의한 액세스 정책)

Switch(config)no mac access-list Extended MAC10

#MAC10이라는 액세스 목록 지우기

(config)no IP access-group IP10 in

#Clear the access list name IP10

위에서 언급한 애플리케이션 1은 호스트 MAC의 바인딩을 기반으로 합니다. 주소 및 스위치 포트, 솔루션 2는 MAC 주소를 기반으로 하는 액세스 제어 목록입니다. 처음 두 솔루션이 달성할 수 있는 기능은 거의 동일합니다. IP 및 MAC 주소 바인딩이 옵션 3을 통해서만 달성될 수 있는 경우 필요에 따라 옵션 1 또는 옵션 2를 IP 액세스 제어 목록과 결합하여 원하는 효과를 얻을 수 있습니다.

참고: 위 기능은 Cisco 2950, ​​​​3550, 4500 및 6500 시리즈 스위치에서 구현할 수 있습니다. 그러나 2950 및 3550에서는 향상된 소프트웨어 이미지를 실행하려면 스위치가 필요합니다( 향상된 이미지).

사후 참고: 표면적으로는 MAC 주소와 IP 주소를 바인딩하면 내부 IP 주소 도난을 방지할 수 있습니다. 그러나 실제로는 다양한 계층의 프로토콜 및 네트워크 카드 드라이버와 같은 구현 기술로 인해 MAC 주소 및 IP 주소 바인딩에는 결함이 매우 많으며 실제로 내부 IP 주소 도난을 방지하지 못합니다.