IP、MAC、端口绑定原理分析
2007-01-05 22:52
393 查看
IP、MAC、端口绑定功能可以简化网管人员的工作,因为限制了客户机的接入,既增加了网络的安全性、又减少了IP冲突的可能。这三元素的绑定是用了两个原理,一个是静态FDB,另一个是IP ACL。
一、交换机中保存着一份FDB(转发表,其原理见"1.3.2.逐跳寻径方式"),这个表是此交换机上的端口与MAC地址的对应表,默认情况FDB是动态的,当某条FDB表项存在超过80秒后就会老化,从FDB表中删除,以防FDB过于庞大。当连接在此交换机上的客户机发送数据或开机时,FDB就会自动记录下MAC与端口的对应项。如果FDB是静态的,不允许交换机随意的、自动的更改FDB,就实现了某些端口与某些MAC地址的固定对应,而不在此对应范围内的客户机则无法收到从交换机来的数据包。使用静态FDB就实现了MAC、端口的绑定。
二、使用IP ACL(访问控制列表)可以拒绝或允许某个IP或某范围内的IP通信,如果将ACL指定到某个端口上,就可以指定通过某个端口的IP是否被拒绝。因此,在端口上做deny类型的IP ACL,就做到了IP、端口的绑定。
这两个原理结合起来,就实现了IP、MAC、端口绑定功能。此种方式,也限于一个端口上绑定一个IP和MAC,当IP和MAC多了之后,会出现对应问题。
一、交换机中保存着一份FDB(转发表,其原理见"1.3.2.逐跳寻径方式"),这个表是此交换机上的端口与MAC地址的对应表,默认情况FDB是动态的,当某条FDB表项存在超过80秒后就会老化,从FDB表中删除,以防FDB过于庞大。当连接在此交换机上的客户机发送数据或开机时,FDB就会自动记录下MAC与端口的对应项。如果FDB是静态的,不允许交换机随意的、自动的更改FDB,就实现了某些端口与某些MAC地址的固定对应,而不在此对应范围内的客户机则无法收到从交换机来的数据包。使用静态FDB就实现了MAC、端口的绑定。
二、使用IP ACL(访问控制列表)可以拒绝或允许某个IP或某范围内的IP通信,如果将ACL指定到某个端口上,就可以指定通过某个端口的IP是否被拒绝。因此,在端口上做deny类型的IP ACL,就做到了IP、端口的绑定。
这两个原理结合起来,就实现了IP、MAC、端口绑定功能。此种方式,也限于一个端口上绑定一个IP和MAC,当IP和MAC多了之后,会出现对应问题。
相关文章推荐
- ROS限速、防syn、ip伪装、mac绑定、防火墙、屏蔽端口
- cisco交换机中通过IP查端口将ip与mac绑定及ip与端口绑定
- CISCO交换机上实现MAC和端口、IP和端口、IP和MAC的绑定
- H3C S5100 交换机端口绑定IP+MAC实例
- ROS限速、防syn、ip伪装、mac绑定、防火墙、屏蔽端口
- H3C交换机端口绑定IP+MAC典型配置
- 谈谈IP、MAC与交换机端口绑定的方法
- 华为IP-MAC-端口绑定
- 华为核心交换机绑定IP+MAC+端口案例
- 如何通过配置来实现IP+MAC+端口绑定功能
- 华为IP-MAC-端口绑定
- 端口MACIP三种地址绑定
- CISCO交换机上实现MAC和端口、IP和端口、IP和MAC的绑定
- 华为核心交换机绑定IP+MAC+端口案例
- 华为IP-MAC-端口绑定
- 华为交换机MAC+IP+端口绑定的配置
- CISCO交换机上实现MAC和端口、IP和端口、IP和MAC的绑定
- s5700IP mac 端口绑定
- 网络IP地址的管理及IP、MAC、端口的绑定
- 谈谈IP、MAC与交换机端口绑定的方法(转)