1
功能需求及组网说明
IP
地址绑定
『配置环境参数』
用户的IP
地址10.1.1.2
,MAC
地址0000-0000-0001
『组网需求』
对合法的用户进行ip
+mac
+端口的绑定,防止恶意用户通过更换自己的地址上网的行为。
2
数据配置步骤『IP+MAC+
端口绑定流程』
三层交换机中目前只有S3526
系列支持使用AM
命令来进行IP
地址和端口的绑定。并且如果S3526
系列交换机要采用AM
命令来实现绑定功能,则交换机必须是做三层转发(即用户的网关应该在该交换机上)。
【采用DHCP-SECURITY
来实现】
1.
配置端口的静态MAC
地址
[SwitchA]mac-address static 0000-0000-0001 interface e0/1 vlan 1
2.
配置IP
和MAC
对应表
[SwitchA]dhcp-security 10.1.1.2 0000-0000-0001 static
3.
配置dhcp-server
组号(
否则不允许执行下一步,此dhcp-server
组不用在交换机上创建也可)
[SwitchA-Vlan-interface1]dhcp-server 1
4.
使能三层地址检测
[SwitchA-Vlan-interface1]address-check enable
【采用AM
命令来实现】
1.
使能AM
功能
[SwitchA]am enable
2.
进入端口视图
[SwitchA]vlan 10
3.
将E0/1
加入到vlan10
[SwitchA-vlan10]port Ethernet 0/1
4.
创建(进入)vlan10
的虚接口
[SwitchA]interface Vlan-interface 10
5.
给vlan10
的虚接口配置IP
地址
[SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.0
6.
进入E0/1
端口
[SwitchA]interface Ethernet 0/1
7.
该端口只允许起始IP
地址为10.1.1.2
的10
个IP
地址上网
[SwitchA-Ethernet0/1]am ip-pool 10.1.1.2 10
通过ACL
实现的各种绑定的配置
1
功能需求及组网说明
各种绑定的配置
『配置环境参数』
1.
三层交换机SwitchA
有两个端口ethetnet 0/1
、ethernet 0/2
分别属于vlan 1
、vlan 2
2.
vlan 1
、vlan 2
的三层接口地址分别是1.0.0.1/8
、2.0.0.1/8
,上行口G 1/1
是trunk
端口,并允许vlan 3
通过
『组网需求』
1.
静态mac
、端口捆绑:端口ethetnet 0/1
仅仅允许pc1
(mac
:0.0.1
)接入。
2.
动态mac
、端口捆绑:端口ethetnet 0/1
仅仅允许一个主机(任何mac
地址)接入。
3.
ip
、端口捆绑:端口ethetnet 0/1
仅仅允许ip
地址为(ip
:1.0.0.2
)的主机接入
4.
ip
、mac
捆绑:vlan 1
下的主机pc1
(mac
:0.0.1
)必须使用ip
地址(ip
:1.0.0.2
)才可以通过交换机。
5.
mac
、ip
、端口捆绑:端口ethetnet 0/1
仅仅允许mac
地址为(mac
:0.0.1
)而且ip
地址为(ip
:1.0.0.2
)的主机接入。
2
数据配置步骤『各种接入控制流程』
本例以3526E
为例
【静态mac
、端口捆绑】
这里必须严格rule
规则的顺序,否则不生效。
1.
创建ACL
[SwitchA]acl num 200
2.
定义规则禁止E0/1
去往任意端口的数据包
[SwitchA-acl-link-200]rule 0 deny ingress interface e0/1 egress any
3.
定义规则允许0.0.1
的MAC
地址从E0/1
发住任意端口
[SwitchA-acl-link-200]rule 1 permit ingress 0.0.1 interface e0/1 egress any
4.
下发访问控制列表
[SwitchA]packet-filter link-group 200
【动态mac
、端口捆绑】
1.
定义端口最大MAC
地址学习数为1
[SwitchA-Ethernet0/2]mac-address max-mac-count 1
【ip
、端口捆绑】
注:这是用QACL
命令实现的,该功能在S3526
系列交换机上可以使用用静态dhcp
和am
命令分别实现,具体情况请参考上面的内容。
1.
创建ACL
[SwitchA]acl num 1
2.
定义规则禁止所有的IP
报文
[SwitchA-acl-basic-1]rule 0 deny source any
3.
定义规则允许源地址1.0.0.2
主机
[SwitchA-acl-basic-1]rule 1 permit source 1.0.0.2 0
4.
创建ACL
[SwitchA]acl num 200
5.
定义规则
[SwitchA-acl-link-200]rule 0 deny ingress interface e0/1 egress any
[SwitchA-acl-link-200]rule 1 permit ingress interface e0/1 egress any
6.
下发访问控制列表,禁止E0/1
的所有的IP
报文
[SwitchA]packet-filter ip-group 1 rule 0 link-group 200 rule 0
7.
下发访问控制列表,允许主机1.0.0.2
报文通过E0/1
[SwitchA]packet-filter ip-group 1 rule 1 link-group 200 rule 1
【ip
、mac
捆绑】
1.
创建ACL
[SwitchA]acl number 1
2.
定义规则允许特定IP
[SwitchA-acl-basic-1]rule 0 permit source 1.0.0.2 0
[SwitchA]acl number 200
3.
定义规则禁止特定MAC
[SwitchA-acl-link-200]rule 0 deny ingress 1 0000-0000-0001 0000-0000-0000 egress any
4.
定义规则允许特定MAC
[SwitchA-acl-link-200]rule 1 permit ingress 1 0000-0000-0001 0000-0000-0000 egress any
5.
下发访问控制列表,禁止特定mac 0.0.1
[SwitchA]packet-filter link-group 200 rule 0
6.
下发访问控制列表,允许符合IP
的特定mac
[SwitchA]packet-filter ip-group 1 rule 0 link-group 200 rule 1
【ip
、mac
和端口捆绑】
1.
创建ACL
[SwitchA]acl number 1
2.
定义规则允许1.0.0.2
主机
[SwitchA-acl-basic-1]rule 0 permit source 1.0.0.2 0
3.
创建ACL
[SwitchA]acl number 200
4.
定义规则禁止E0/1
发往任何端口的数据
[SwitchA-acl-link-200]rule 0 deny ingress interface Ethernet0/1 egress any
5.
定义规则允许0.0.1
这台主机从E0/1
去往任意端口
[SwitchA-acl-link-200]rule 1 permit ingress 1 0000-0000-0001 0000-0000-0000 egress any
6.
下发访问控制列表
[SwitchA]packet-filter link-group 200 rule 0
[SwitchA]packet-filter ip-group 1 rule 0 link-group 200 rule 1
