好多时候,往往是出于安全性考虑,客户要求把交换机下挂pc的mac地址IP做一绑定,这样只有特定的mac和ip才可以访问特定的端口,不让客户随意更改自己的IP地址,而且其他pc插到我用的这个端口上也是无法访问网络资源,下面我们来共同研究一下MAC地址+IP+端口的绑定方法
方法一:
设备要求:三层设备,3526以上,而且必须是实现了三层通信(也就是在交换机上面每个vlan的三层接口都必须配置上IP地址
首先用static命令把mac和端口绑定到一起,然后用AM命令把IP绑定到端口上
示例如下
pc IP地址 172.16.2.10/24 mac 地址00e0-fc01-8b0a 属于vlan 2,接到了交换机3526E的e0/16口上,那么首先
mac-address static 00e0-fc01-8b0a interface Ethernet0/16 vlan 2
然后在e0/16上加一条mac-address max-mac-count 0 (指明该端口最多学习0个mac地址)
最后用am命令把IP地址和端口绑定
首先 am enable
然后在e0/16口下 am ip-pool 172.16.2.10
至此,绑定完成。
效果就是只有172.16.2.10 并且mac地址是00e0-fc01-8b0a的pc才可以访问e0/16口,而且这台pc插到别的口上也是无法访问网络的
该方法的缺点就是:设备必须是三层设备,而且必须有三层接口IP地址才可以实现IP和端口的绑定,而一般客户的这种绑定都是在接入层做的,而接入层一般不会放三层设备这么奢侈的,所有实用性并不是很强
方法二:
对硬件无特殊要求,只有支持link层acl即可
网络环境同上
首先定义一acl
acl number 10 basic
rule 0 deny
rule 1 permit source 172.16.2.10 0
#
acl name 210 link
rule 1 permit ingress 00e0-fc01-8b0a 0000-0000-0000 interface Ethernet0/9 egress any
rule 0 deny ingress interface Ethernet0/9 egress any
然后激活acl
#
packet-filter ip-group bindpcip rule 0 link-group bindpamac rule 0
packet-filter ip-group bindpcip rule 1 link-group bindpamac rule 1
配置完成。
该方法优点是对设备要求低,二层设计即可
但是缺点是通过acl实现,如果网络比较大的话不太易实现,管理员太费力气而且后期维护也比较麻烦
发表评论
-
cisco router完美删除单条ACL
2010-03-12 09:41 1182路由器上创建了多条访问控制列表,检查时发现有一条不妥,想将它删 ... -
S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程
2010-01-12 11:23 1637使用以太网物理端口下面的line-rate命令,对该端口的出方 ... -
cisco ios 升级方法和TFTP的用法
2009-08-14 10:21 8283升级方法: 现总结归纳出CISCO路由器IOS映像升级的几种方 ... -
CISCO 路由器做VPN Server详细设置
2009-08-13 22:50 4357NAT(config)#username velino pa ... -
cisco路由器上四种封BT的方法
2009-08-04 17:32 1471方法1:封锁BT端口 大家都知道如果要限制某项服务,就要在路 ... -
CISCO交换机配置命令大全
2009-07-16 10:18 3523switch> ... -
Cisco Catalyst 2950 配置-实现端口与IP的绑定
2009-07-15 09:58 1033在Cisco catalyst 2950交换机上,通过配置ex ... -
CISCO 2950交换机配置命令
2009-07-15 09:57 1523CISCO 2950交换机配置命令 ... -
Cisco 2950端口镜像设置
2009-07-15 09:57 1856先解释一下端口镜像:端口镜像简单的说,就是把交换机一个(数个) ... -
Cisco 2950密码破解
2009-07-14 11:45 1200Cisco 2950密码破解 ⒈连接交换机的con ... -
网络故障预防及解决办法
2009-07-14 11:37 872引起网络故障主要有以 ... -
不能用公网地址访问内网服务器的详解
2009-07-14 11:36 1388... -
思科交换机的常用配置
2009-07-14 11:02 2344思科交换机的常用配置1、 交换机的端口2、端口:以太网端口( ... -
Cisco3550配置作为DHCP服务器工程实例
2009-07-13 10:23 1081一台3550EMI交换机,划分三个VLAN,valn2为服务器 ... -
交换机做DHCP服务器
2009-07-07 10:29 961什么是DHCP服务器呢?为 ... -
开启Cisco交换机DHCP Snooping功能
2009-07-07 10:26 1367一、采用DHCP服务的常见问题 架设DHCP服务器可以为 ... -
HUAWEI&CISCO交换机端口镜像配置指导
2009-07-06 15:11 10461. Quidway 3026端口镜像配置方法: 以下例子中 ... -
CISCO交换机端口镜像配置
2009-07-06 15:10 2290先解释一下端口镜像:端口镜像简单的说,就是把交换机一个(数个) ...
相关推荐
华为S5700交换机绑定客户端IP、MAC和端口[定义].pdf
基础资料,一些交换机基础配置.华为的设备命令,
华为中低端交换机配置实例,基本简单操作,详细命令。
华为低端交换机典型配置实例如2403,3026等交换机配置时所需注意的问题
华为交换机路由器ACL原理+最常用操作配置手册
华为3Com低端交换机典型配置实例V1.20
华为3com低端交换机典型配置实例 不容错过的经典案例哈!!!
交换机配置(二)端口绑定基本配置 交换机配置(三)ACL基本配置 防止同网段ARP欺骗的ACL 交换机配置(四)密码恢复 交换机配置(五)三层交换配置 交换机配置(六)端口镜像配置 交换机配置(七)DHCP配置 交换机...
华为各种型号交换机端口镜像配置方法总结
华为交换机怎么绑定绑定ip地址/MAC地址?主要是预防IP地址被盗用等网络安全威胁的问题,该怎么设置绑定呢?下面我们就来看看详细的设置教程,需要的朋友可以参考下
华为交换机开局配置.pdf
华为S5700交换机绑定客户端IP、MAC和端口.doc
华为S5300系列交换机基本配置,解析了运行配置文件中代码的含义及原理,东西虽小,很实用啊。
华为交换机 序号 注意项目 记录 1 登录交换机时请注意在超级终端串口配置属性流控选择“无” 2 启动时按”ctrl+B”可以进入到boot menu模式 3 当交换机提示”Please Press ENTER”,敲完回车后请等待一下,设备...
华为MA5612交换机配置,华为MA5612交换机配置,华为MA5612交换机配置。
华为核心交换机vlan配置工具
最新华为三层交换机配置资料(全)******
华为S系列交换机从登录开始详细介绍常用的配置操作,例如:VLAN配置,DHCP配置,DHCP Snooping(网关防假冒)配置,IPSG(IP+MAC 绑定)配置,POE 配置,ACL配置,QoS基础配置,SNMP配置,VRRP 配置,链路聚合配置,盒式交换机堆...
华为中低端交换机控标主要技术点解析-20150325.doc
华为所有路由器交换机配置简介 好书.chm