中国网管论坛 » 网络技术专版 » 华为技术版 » 交换机IP+MAC+端口绑定

周工 发表于 2007-8-20 20:37

交换机IP+MAC+端口绑定

1
[font=黑体]功能需求及组网说明[/font][img=471,253]mk:@MSITStore:C:\Documents%20and%20Settings\Changle\桌面\经典配置\经典配置\LANSWITCH配置实例-200309-C.chm::/html/交换机QACL之绑定.files/image001.gif[/img]
IP[font=宋体]地址绑定[/font]
[font=宋体]『配置环境参数』[/font]
[font=宋体]用户的[/font]IP[font=宋体]地址[/font]10.1.1.2[font=宋体]，[/font]MAC[font=宋体]地址[/font]0000-0000-0001
[font=宋体]『组网需求』[/font]
[font=宋体]对合法的用户进行[/font]ip[font=宋体]＋[/font]mac[font=宋体]＋端口的绑定，防止恶意用户通过更换自己的地址上网的行为。[/font]

2
[font=黑体]数据配置[/font][font=黑体]步骤[/font][font=宋体]『[/font]IP+MAC+[font=宋体]端口绑定流程』[/font]
[font=宋体]三层交换机中目前只有[/font]S3526[font=宋体]系列支持使用[/font]AM[font=宋体]命令来进行[/font]IP[font=宋体]地址和端口的绑定。并且如果[/font]S3526[font=宋体]系列交换机要采用[/font]AM[font=宋体]命令来实现绑定功能，则交换机必须是做三层转发（即用户的网关应该在该交换机上）。[/font]
[font=宋体]【[/font][font=宋体]采用[/font]DHCP-SECURITY[font=宋体]来实现[/font][font=宋体]】[/font]
1.
[font=宋体]配置端口的静态[/font]MAC[font=宋体]地址[/font]
[SwitchA]mac-address static 0000-0000-0001 interface e0/1 vlan 1
2.
[font=宋体]配置[/font]IP[font=宋体]和[/font]MAC[font=宋体]对应表[/font]
[SwitchA]dhcp-security 10.1.1.2 0000-0000-0001 static
3.
[font=宋体]配置[/font]dhcp-server[font=宋体]组号[/font]([font=宋体]否则不允许执行下一步，此[/font]dhcp-server[font=宋体]组不用在交换机上创建也可[/font])
[SwitchA-Vlan-interface1]dhcp-server 1
4.
[font=宋体]使能三层地址检测[/font]
[SwitchA-Vlan-interface1]address-check enable
[font=宋体]【采用[/font]AM[font=宋体]命令来实现】[/font]
1.
[font=宋体]使能[/font]AM[font=宋体]功能[/font]
[SwitchA]am enable
2.
[font=宋体]进入端口视图[/font]
[SwitchA]vlan 10
3.
[font=宋体]将[/font]E0/1[font=宋体]加入到[/font]vlan10
[SwitchA-vlan10]port Ethernet 0/1
4.
[font=宋体]创建（进入）[/font]vlan10[font=宋体]的虚接口[/font]
[SwitchA]interface Vlan-interface 10
5.
[font=宋体]给[/font]vlan10[font=宋体]的虚接口配置[/font]IP[font=宋体]地址[/font]
[SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.0
6.
[font=宋体]进入[/font]E0/1[font=宋体]端口[/font]
[SwitchA]interface Ethernet 0/1
7.
[font=宋体]该端口只允许起始[/font]IP[font=宋体]地址为[/font]10.1.1.2[font=宋体]的[/font]10[font=宋体]个[/font]IP[font=宋体]地址上网[/font]
[SwitchA-Ethernet0/1]am ip-pool 10.1.1.2 10

[font=黑体]通过[/font]ACL[font=黑体]实现的各种绑定的配置[/font]
1
[font=黑体]功能需求及组网说明[/font][img=426,254]mk:@MSITStore:C:\Documents%20and%20Settings\Changle\桌面\经典配置\经典配置\LANSWITCH配置实例-200309-C.chm::/html/交换机QACL之绑定.files/image002.gif[/img]
[font=宋体]各种绑定的配置[/font]
[font=宋体]『配置环境参数』[/font]
1.
[font=宋体]三层交换机[/font]SwitchA[font=宋体]有两个端口[/font]ethetnet 0/1[font=宋体]、[/font]ethernet 0/2[font=宋体]分别属于[/font]vlan 1[font=宋体]、[/font]vlan 2
2.
vlan 1[font=宋体]、[/font]vlan 2[font=宋体]的三层接口地址分别是[/font]1.0.0.1/8[font=宋体]、[/font]2.0.0.1/8[font=宋体]，上行口[/font]G 1/1[font=宋体]是[/font]trunk[font=宋体]端口，并允许[/font]vlan 3 [font=宋体]通过[/font]
[font=宋体]『组网需求』[/font]
1.
[font=宋体]静态[/font]mac[font=宋体]、端口捆绑：端口[/font]ethetnet 0/1[font=宋体]仅仅允许[/font]pc1[font=宋体]（[/font]mac[font=宋体]：[/font]0.0.1[font=宋体]）接入。[/font]
2.
[font=宋体]动态[/font]mac[font=宋体]、端口捆绑：端口[/font]ethetnet 0/1[font=宋体]仅仅允许一个主机（任何[/font]mac[font=宋体]地址）接入。[/font]
3.
ip[font=宋体]、端口捆绑：端口[/font]ethetnet 0/1[font=宋体]仅仅允许[/font]ip[font=宋体]地址为（[/font]ip[font=宋体]：[/font]1.0.0.2[font=宋体]）的主机接入[/font]
4.
ip[font=宋体]、[/font]mac[font=宋体]捆绑：[/font]vlan 1[font=宋体]下的主机[/font]pc1[font=宋体]（[/font]mac[font=宋体]：[/font]0.0.1[font=宋体]）必须使用[/font]ip[font=宋体]地址（[/font]ip[font=宋体]：[/font]1.0.0.2[font=宋体]）才可以通过交换机。[/font]
5.
mac[font=宋体]、[/font]ip[font=宋体]、端口捆绑：端口[/font]ethetnet 0/1[font=宋体]仅仅允许[/font]mac[font=宋体]地址为（[/font]mac[font=宋体]：[/font]0.0.1[font=宋体]）而且[/font]ip[font=宋体]地址为（[/font]ip[font=宋体]：[/font]1.0.0.2[font=宋体]）的主机接入。[/font]
2
[font=黑体]数据配置[/font][font=黑体]步骤[/font][font=宋体]『各种接入控制流程』[/font]
[font=宋体]本例以[/font]3526E[font=宋体]为例[/font]
[font=宋体]【静态[/font]mac[font=宋体]、端口捆绑】[/font]
[font=宋体]这里必须严格[/font]rule[font=宋体]规则的顺序，否则不生效。[/font]
1.
[font=宋体]创建[/font]ACL
[SwitchA]acl num 200
2.
[font=宋体]定义规则禁止[/font]E0/1[font=宋体]去往任意端口的数据包[/font]
[SwitchA-acl-link-200]rule 0 deny ingress interface e0/1 egress any
3.
[font=宋体]定义规则允许[/font]0.0.1[font=宋体]的[/font]MAC[font=宋体]地址从[/font]E0/1[font=宋体]发住任意端口[/font]
[SwitchA-acl-link-200]rule 1 permit ingress 0.0.1 interface e0/1 egress any
4.
[font=宋体]下发访问控制列表[/font]
[SwitchA]packet-filter link-group 200


[font=宋体]【动态[/font]mac[font=宋体]、端口捆绑】[/font]
1.
[font=宋体]定义端口最大[/font]MAC[font=宋体]地址学习数为[/font]1
[SwitchA-Ethernet0/2]mac-address  max-mac-count  1


[font=宋体]【[/font]ip[font=宋体]、端口捆绑】[/font]
[font=宋体]注：这是用[/font]QACL[font=宋体]命令实现的，该功能在[/font]S3526[font=宋体]系列交换机上可以使用用静态[/font]dhcp[font=宋体]和[/font]am[font=宋体]命令分别实现，具体情况请参考上面的内容。[/font]
1.
[font=宋体]创建[/font]ACL
[SwitchA]acl num 1
2.
[font=宋体]定义规则禁止所有的[/font]IP[font=宋体]报文[/font]
[SwitchA-acl-basic-1]rule 0 deny source any
3.
[font=宋体]定义规则允许源地址[/font]1.0.0.2[font=宋体]主机[/font]
[SwitchA-acl-basic-1]rule 1 permit source 1.0.0.2 0
4.
[font=宋体]创建[/font]ACL
[SwitchA]acl num 200
5.
[font=宋体]定义规则[/font]
[SwitchA-acl-link-200]rule 0 deny ingress interface e0/1 egress any
[SwitchA-acl-link-200]rule 1 permit ingress interface e0/1 egress any
6.
[font=宋体]下发访问控制列表，禁止[/font]E0/1[font=宋体]的所有的[/font]IP[font=宋体]报文[/font]
[SwitchA]packet-filter ip-group 1 rule 0 link-group 200 rule 0
7.
[font=宋体]下发访问控制列表，允许主机[/font]1.0.0.2[font=宋体]报文通过[/font]E0/1
[SwitchA]packet-filter ip-group 1 rule 1 link-group 200 rule 1
[font=宋体]【[/font]ip[font=宋体]、[/font]mac[font=宋体]捆绑】[/font]
1.
[font=宋体]创建[/font]ACL
[SwitchA]acl number 1
2.
[font=宋体]定义规则允许特定[/font]IP
[SwitchA-acl-basic-1]rule 0 permit source 1.0.0.2 0
[SwitchA]acl number 200
3.
[font=宋体]定义规则禁止特定[/font]MAC
[SwitchA-acl-link-200]rule 0 deny ingress 1 0000-0000-0001 0000-0000-0000 egress any
4.
[font=宋体]定义规则允许特定[/font]MAC
[SwitchA-acl-link-200]rule 1 permit ingress 1 0000-0000-0001 0000-0000-0000 egress any
5.
[font=宋体]下发访问控制列表，禁止特定[/font]mac 0.0.1
[SwitchA]packet-filter link-group 200 rule 0
6.
[font=宋体]下发访问控制列表，允许符合[/font]IP[font=宋体]的特定[/font]mac
[SwitchA]packet-filter ip-group 1 rule 0 link-group 200 rule 1
[font=宋体]【[/font]ip[font=宋体]、[/font]mac[font=宋体]和端口捆绑】[/font]
1.
[font=宋体]创建[/font]ACL
[SwitchA]acl number 1
2.
[font=宋体]定义规则允许[/font]1.0.0.2[font=宋体]主机[/font]
[SwitchA-acl-basic-1]rule 0 permit source 1.0.0.2 0
3.
[font=宋体]创建[/font]ACL
[SwitchA]acl number 200
4.
[font=宋体]定义规则禁止[/font]E0/1[font=宋体]发往任何端口的数据[/font]
[SwitchA-acl-link-200]rule 0 deny ingress interface Ethernet0/1 egress any
5.
[font=宋体]定义规则允许[/font]0.0.1[font=宋体]这台主机从[/font]E0/1[font=宋体]去往任意端口[/font]
[SwitchA-acl-link-200]rule 1 permit ingress 1 0000-0000-0001 0000-0000-0000 egress any
6.
[font=宋体]下发访问控制列表[/font]
[SwitchA]packet-filter link-group 200 rule 0
[SwitchA]packet-filter ip-group 1 rule 0 link-group 200 rule 1

huancool 发表于 2007-8-28 20:35

dddddddddddd

capelhy 发表于 2007-10-23 10:27

好像有点太详细了

fxm25 发表于 2007-11-10 21:09

顶顶顶顶。。。。

vincent180963 发表于 2007-11-21 14:19

帮你顶一下！

诸葛静德 发表于 2007-12-8 12:58

我的威望值耗的太快了！
也知道自己需要学习的东西很多！
追赶你们！谢谢的你们搭桥！

leader971 发表于 2007-12-18 00:05

太详细啦，我们公司刚好准备要做这个防止arp攻击

zhouzeng8709 发表于 2007-12-22 19:24

ddddddddddddddddd

shown2008 发表于 2008-1-31 11:28

好详细，顶。。。

gaoshijun1986 发表于 2008-4-22 18:04

dddddddddddddddddd

bjxplxl 发表于 2008-4-26 20:05

thanks

azjmjsj 发表于 2008-4-26 22:28

顶!!!!!!!!!!!!!!!!!!!!!!!!!

查看完整版本: 交换机IP+MAC+端口绑定