ip+MAC+端口绑定
1 功能需求及组网说明
IP地址绑定
『配置环境参数』
用户的IP地址10.1.1.2,MAC地址0000-0000-0001
『组网需求』
对合法的用户进行ip+mac+端口的绑定,防止恶意用户通过更换自己的地址上网的行为。
2 数据配置步骤
『IP+MAC+端口绑定流程』
三层交换机中目前只有S3526系列支持使用AM命令来进行IP地址和端口的绑定。并且假如S3526系列交换机要采用AM命令来实现绑定功能,则交换机必须是做三层转发(即用户的网关应该在该交换机上)。
【采用DHCP-SECURITY来实现】
1. 配置端口的静态MAC地址
[SwitchA]mac-address static 0000-0000-0001 interface e0/1 vlan 1
2. 配置IP和MAC对应表
[SwitchA]dhcp-security 10.1.1.2 0000-0000-0001 static
3. 配置dhcp-server组号(否则不答应执行下一步,此dhcp-server组不用在交换机上创建也可)
[SwitchA-Vlan-interface1]dhcp-server 1
4. 使能三层地址检测
[SwitchA-Vlan-interface1]address-check enable
【采用AM命令来实现】
1. 使能AM功能
[SwitchA]am enable
2. 进入端口视图
[SwitchA]vlan 10
3. 将E0/1加入到vlan10
[SwitchA-vlan10]port Ethernet 0/1
4. 创建(进入)vlan10的虚接口
[SwitchA]interface Vlan-interface 10
5. 给vlan10的虚接口配置IP地址
[SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.0
6. 进入E0/1端口
[SwitchA]interface Ethernet 0/1
7. 该端口只答应起始IP地址为10.1.1.2的10个IP地址上网
[SwitchA-Ethernet0/1]am ip-pool 10.1.1.2 10
通过ACL实现的各种绑定的配置进入讨论组讨论。
1 功能需求及组网说明
各种绑定的配置
『配置环境参数』
1. 三层交换机SwitchA有两个端口ethetnet 0/1、ethernet 0/2分别属于vlan 1、vlan 2
2. vlan 1、vlan 2的三层接口地址分别是1.0.0.1/8、2.0.0.1/8,上行口G 1/1是trunk端口,并答应vlan 3 通过
『组网需求』
1. 静态mac、端口捆绑:端口ethetnet 0/1仅仅答应pc1(mac:0.0.1)接入。
2. 动态mac、端口捆绑:端口ethetnet 0/1仅仅答应一个主机(任何mac地址)接入。
3. ip、端口捆绑:端口ethetnet 0/1仅仅答应ip地址为(ip:1.0.0.2)的主机接入
4. ip、mac捆绑:vlan 1下的主机pc1(mac:0.0.1)必须使用ip地址(ip:1.0.0.2)才可以通过交换机。
5. mac、ip、端口捆绑:端口ethetnet 0/1仅仅答应mac地址为(mac:0.0.1)而且ip地址为(ip:1.0.0.2)的主机接入。
2 数据配置步骤
『各种接入控制流程』
本例以3526E为例
【静态mac、端口捆绑】
这里必须严格rule规则的顺序,否则不生效。
1. 创建ACL
[SwitchA]acl num 200
2. 定义规则禁止E0/1去往任意端口的数据包
[SwitchA-acl-link-200]rule 0 deny ingress interface e0/1 egress any
3. 定义规则答应0.0.1的MAC地址从E0/1发住任意端口
[SwitchA-acl-link-200]rule 1 permit ingress 0.0.1 interface e0/1 egress any
4. 下发访问控制列表
[SwitchA]packet-filter link-group 200
【动态mac、端口捆绑】
1. 定义端口最大MAC地址学习数为1
[SwitchA-Ethernet0/2]mac-address max-mac-count 1
【ip、端口捆绑】
注:这是用QACL命令实现的,该功能在S3526系列交换机上可以使用用静态dhcp和am命令分别实现,具体情况请参考上面的内容。
1. 创建ACL
[SwitchA]acl num 1
2. 定义规则禁止所有的IP报文
[SwitchA-acl-basic-1]rule 0 deny source any
3. 定义规则答应源地址1.0.0.2主机
[SwitchA-acl-basic-1]rule 1 permit source 1.0.0.2 0
4. 创建ACL
[SwitchA]acl num 200
5. 定义规则
[SwitchA-acl-link-200]rule 0 deny ingress interface e0/1 egress any
[SwitchA-acl-link-200]rule 1 permit ingress interface e0/1 egress any
6. 下发访问控制列表,禁止E0/1的所有的IP报文
[SwitchA]packet-filter ip-group 1 rule 0 link-group 200 rule 0
7. 下发访问控制列表,答应主机1.0.0.2报文通过E0/1
[SwitchA]packet-filter ip-group 1 rule 1 link-group 200 rule 1进入讨论组讨论。
【ip、mac捆绑】
1. 创建ACL
[SwitchA]acl number 1
2. 定义规则答应特定IP
[SwitchA-acl-basic-1]rule 0 permit source 1.0.0.2 0
[SwitchA]acl number 200
3. 定义规则禁止特定MAC
[SwitchA-acl-link-200]rule 0 deny ingress 1 0000-0000-0001 0000-0000-0000 egress any
4. 定义规则答应特定MAC
[SwitchA-acl-link-200]rule 1 permit ingress 1 0000-0000-0001 0000-0000-0000 egress any
5. 下发访问控制列表,禁止特定mac 0.0.1
[SwitchA]packet-filter link-group 200 rule 0
6. 下发访问控制列表,答应符合IP的特定mac
[SwitchA]packet-filter ip-group 1 rule 0 link-group 200 rule 1
【ip、mac和端口捆绑】
1. 创建ACL
[SwitchA]acl number 1
2. 定义规则答应1.0.0.2主机
[SwitchA-acl-basic-1]rule 0 permit source 1.0.0.2 0
3. 创建ACL
[SwitchA]acl number 200
4. 定义规则禁止E0/1发往任何端口的数据
[SwitchA-acl-link-200]rule 0 deny ingress interface Ethernet0/1 egress any
5. 定义规则答应0.0.1这台主机从E0/1去往任意端口
[SwitchA-acl-link-200]rule 1 permit ingress 1 0000-0000-0001 0000-0000-0000 egress any
6. 下发访问控制列表
[SwitchA]packet-filter link-group 200 rule 0
[SwitchA]packet-filter ip-group 1 rule 0 link-group 200 rule 1
附件(本网站支持断点续传下载,建议使用FlashGet、NetAnts等支持断点续传的工具下载,登录用户请查看帮助)
交换机qacl之绑定.doc
进入讨论组讨论。
