华为交换机MAC+IP+端口绑定的配置 |
您所在的位置:网站首页 › 华为交换机mac绑定ip › 华为交换机MAC+IP+端口绑定的配置 |
|
华为交换机MAC+IP+端口绑定的配置
转载
ivan8321 2010-02-22 14:59:19 博主文章分类:网络基础与构建 文章标签 华为 交换机 配置 绑定 MAC+IP+端口 文章分类 网络安全 出于安全性考虑,把交换机下挂pc的mac地址IP做一绑定,这样只有特定的mac和ip才可以访问特定的端口,不让客户随意更改自己的IP地址,而且其他pc插到我用的这个端口上也是无法访问网络资源,下面我们来共同研究一下MAC地址+IP+端口的绑定方法 方法一: 设备要求:三层设备,3526以上,而且必须是实现了三层通信(也就是在交换机上面每个vlan的三层接口都必须配置上IP地址 首先用static命令把mac和端口绑定到一起,然后用AM命令把IP绑定到端口上 示例如下 pc IP地址 172.16.2.10/24 mac 地址00e0-fc01-8b0a 属于vlan 2,接到了交换机3526E的e0/16口上,那么首先 mac-address static 00e0-fc01-8b0a interface Ethernet0/16 vlan 2 然后在e0/16上加一条mac-address max-mac-count 0 (指明该端口最多学习0个mac地址) 最后用am命令把IP地址和端口绑定 首先 am enable然后在e0/16口下 am ip-pool 172.16.2.10 至此,绑定完成。 效果就是只有172.16.2.10 并且mac地址是00e0-fc01-8b0a的pc才可以访问e0/16口,而且这台pc插到别的口上也是无法访问网络的 该方法的缺点就是:设备必须是三层设备,而且必须有三层接口IP地址才可以实现IP和端口的绑定,而一般客户的这种绑定都是在接入层做的,而接入层一般不会放三层设备这么奢侈的,所有实用性并不是很强 方法二:对硬件无特殊要求,只有支持link层acl即可 网络环境同上 首先定义一acl acl number 10 basic rule 0 deny rule 1 permit source 172.16.2.10 0 # acl name 210 link rule 1 permit ingress 00e0-fc01-8b0a 0000-0000-0000 interface Ethernet0/9 egress any rule 0 deny ingress interface Ethernet0/9 egress any 然后激活acl # packet-filter ip-group bindpcip rule 0 link-group bindpamac rule 0 packet-filter ip-group bindpcip rule 1 link-group bindpamac rule 1 配置完成。 下面是其他型号捆绑MAC+IP的实例: S8505作IP+MAC【SwitchA相关配置】 # 指定DHCP Server组1的主备DHCP Server的IP地址分别为1.1.1.1---------------(可以不配置这条)[SwitchA]dhcp-server 1 ip 1.1.1.1 1. 创建(进入)VLAN10[SwitchA]vlan 10 2. 将E0/1加入到VLAN10[SwitchA-vlan10]port Ethernet 0/1 3. 创建(进入)VLAN接口10[SwitchA]interface Vlan-interface 10 4. 为VLAN接口10配置IP地址[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0 5. 为VLAN接口10配置一个假设的DHCP服务器地址[QuidwayA-Vlan-interface10] dhcp-server 1 6. 使能VLAN接口10对用户地址合法性检查的DHCP Relay的安全特性[SwitchA-Vlan-interface10]address-check enable 7. 配置DHCP Relay的安全地址表项[Quidway] dhcp-security static 10.1.1.11 0005-5D02-F2B3 S8016作IP+MAC【SwitchA相关配置】 # 配置地址绑定。[SwitchA] arp mac-binding 10.1.1.11 0005-5D02-F2B3 S5516/s6506作IP+MAC【SwitchA相关配置】 # 指定DHCP Server组1的主备DHCP Server的IP地址分别为1.1.1.1---------------(可以不配置这条)[SwitchA]dhcp-server 1 ip 1.1.1.1 1. 创建(进入)VLAN10[SwitchA]vlan 10 2. 将E0/1加入到VLAN10[SwitchA-vlan10]port Ethernet 0/1 3. 创建(进入)VLAN接口10[SwitchA]interface Vlan-interface 10 4. 为VLAN接口10配置IP地址[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0 5. 为VLAN接口10配置一个假设的DHCP服务器地址[QuidwayA-Vlan-interface10] dhcp-server 1 6. 使能VLAN接口10对用户地址合法性检查的DHCP Relay的安全特性[SwitchA-Vlan-interface10]address-check enable 7. 配置DHCP Relay的安全地址表项[Quidway] dhcp-security 10.1.1.11 0005-5D02-F2B3 dynamic S5600 /S3900IP+MAC 【SwitchA相关配置】 # 指定DHCP Server组1的主备DHCP Server的IP地址分别为1.1.1.1---------------(可以不配置这条)[SwitchA]dhcp-server 1 ip 1.1.1.1 1. 创建(进入)VLAN10[SwitchA]vlan 10 2. 将E0/1加入到VLAN10[SwitchA-vlan10]port Ethernet 0/1 3. 创建(进入)VLAN接口10[SwitchA]interface Vlan-interface 10 4. 为VLAN接口10配置IP地址[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0 5. 为VLAN接口10配置一个假设的DHCP服务器地址[QuidwayA-Vlan-interface10] dhcp-server 1 6. 使能VLAN接口10对用户地址合法性检查的DHCP Relay的安全特性[SwitchA-Vlan-interface10]address-check enable 7. 配置DHCP Relay的安全地址表项[Quidway] dhcp-security static 10.1.1.11 0005-5D02-F2B3 S3528『使用DHCP Relay Security完成IP+MAC的绑定』使用VLAN接口配置视图中的DHCP Relay Security命令,来完成静态IP地址与MAC地址之间的绑定。【SwitchA相关配置】1. 创建(进入)VLAN10[SwitchA]vlan 102. 将E0/1加入到VLAN10[SwitchA-vlan10]port Ethernet 0/13. 创建(进入)VLAN接口10[SwitchA]interface Vlan-interface 104. 为VLAN接口10配置IP地址[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.05. 为VLAN接口10配置一个假设的DHCP服务器地址[SwitchA-Vlan-interface10]ip relay address 1.1.1.16. 使能VLAN接口10对用户地址合法性检查的DHCP Relay的安全特性[SwitchA-Vlan-interface10]dhcp relay security address-check enable7. 配置DHCP Relay的安全地址表项[SwitchA]dhcp relay security 10.1.1.2 000f-1fb8-fcb8 static 以上必须注意的是,作DHCP SECURITY时,下面的PC的网关必须为此交换机的VLAN接口的IP. 赞 收藏 评论 分享 举报上一篇:经济与法辩辩辩---先就业还是先择业 下一篇:使用Dynamips模拟交换机无法创建VLAN解决办法 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |