IP+MAC+端口绑定

1         功能需求及组网说明　　

　　IP地址绑定

　　『配置环境参数』

　　用户的IP地址10.1.1.2，MAC地址0000-0000-0001

　　『组网需求』

　　对合法的用户进行ip＋mac＋端口的绑定，防止恶意用户通过更换自己的地址上网的行为。

　　2 数据配置步骤

　　『IP+MAC+端口绑定流程』

　　三层交换机中目前只有S3526系列支持使用AM命令来进行IP地址和端口的绑定。并且如果S3526系列交换机要采用AM命令来实现绑定功能，则交换机必须是做三层转发（即用户的网关应该在该交换机上）。

　　【采用DHCP-SECURITY来实现】

　　1. 配置端口的静态MAC地址

　　[SwitchA]mac-address static 0000-0000-0001 interface e0/1 vlan1

　　2. 配置IP和MAC对应表

　　[SwitchA]dhcp-security 10.1.1.2 0000-0000-0001 static

　　3. 配置dhcp-server组号(否则不允许执行下一步，此dhcp-server组不用在交换机上创建也可)

　　[SwitchA-Vlan-interface1]dhcp-server 1

　　4. 使能三层地址检测

　　[SwitchA-Vlan-interface1]address-check enable

　　【采用AM命令来实现】

　　1. 使能AM功能

　　[SwitchA]am enable

　　2. 进入端口视图

　　[SwitchA]vlan 10

　　3. 将E0/1加入到vlan10

　　[SwitchA-vlan10]port Ethernet 0/1

　　4. 创建（进入）vlan10的虚接口

　　[SwitchA]interface Vlan-interface 10

　　5. 给vlan10的虚接口配置IP地址

　　[SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.0

　　6. 进入E0/1端口

　　[SwitchA]interface Ethernet 0/1

　　7. 该端口只允许起始IP地址为10.1.1.2的10个IP地址上网

　　[SwitchA-Ethernet0/1]am ip-pool 10.1.1.2 10

　　通过ACL实现的各种绑定的配置进入讨论组讨论。

　　各种绑定的配置

　　『配置环境参数』

　　1. 三层交换机SwitchA有两个端口ethetnet 0/1、ethernet 0/2分别属于vlan1、vlan 2

　　2. vlan 1、vlan 2的三层接口地址分别是1.0.0.1/8、2.0.0.1/8，上行口G 1/1是trunk端口，并允许vlan 3 通过

　　『组网需求』

　　1. 静态mac、端口捆绑：端口ethetnet 0/1仅仅允许pc1（mac：0.0.1）接入。

　　2. 动态mac、端口捆绑：端口ethetnet 0/1仅仅允许一个主机（任何mac地址）接入。