华为和h3c的交换机等网络设备在中低端市场还是很有影响力的,cisco动辄上万的价格比起一般的网络应用,确实贵了点。
为了加强网络规范及安全要求,欲进行ip地址、mac地址、端口号、vlan的绑定,确保用户不可以随便修改网络设置。
方法可以在路由、防火墙、交换机上进行设置,实现同样的需求。不过考虑到从数据源最近的地方进行隔离,选择了里终端最近的交换机上进行设置。
过程简单介绍如下:
1.绑定vlan到端口
这个实现了端口和vlan的绑定,算是最基本的配置吧!
2.配置端口的访问管理IP地址池
这个是h3c技术文档写的,我的理解就是把可以通过指定端口的ip地址(或地址池)用am ip-pool命令进行绑定,这样这个端口出来的数据只有这些地址的才可以访问外网。相当于绑定了ip。
3.取消端口的mac学习功能,并指定静态路由
变相的让mac和ip绑定了,因为取消了学习,交换机就不会自己学习mac和ip的关系了,而只有使用静态的。
这样,vlan和端口绑定,端口和ip绑定,ip和mac绑定,就实现了vlan、mac、ip、端口之间的绑定。
具体的命令如下:
1.vlan和端口绑定
[SwitchA]vlan 10 //创建(进入)VLAN10
[SwitchA-vlan10]port Ethernet 0/1 //将E0/1加入到VLAN10
[SwitchA]interface Vlan-interface 10 //创建(进入)VLAN接口10
[SwitchA-Vlan-interface10]ip address 10.1.1.1 255.255.255.0 //为VLAN接口10配置IP地址
2.配置端口的访问管理IP地址池
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] am ip-pool 202.112.66.2 19 202.112.65.1 //设置的管理IP地址池。
3.取消端口的mac学习功能,并指定静态路由
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]mac-address max-mac-count 0 //将端口MAC地址最大学习数目配置为0
[SwitchA]arp static 10.1.1.2 000f-1fb8-fcb8 10 Ethernet 0/1 //设备上配置静态ARP表项
以上是配置命令,下面是相关命令的描述:知其然知其所以然
am enable命令用来开启访问管理功能。
undo am enable命令用来关闭访问管理功能。
缺省情况下,访问管理功能处于关闭状态。
需要注意的是:开启访问管理功能前,建议用户取消静态ARP配置,以保证IP地址与以太网交换机端口的绑定生效。
am ip-pool address-list
undo am ip-pool { all | address-list }
am ip-pool命令用来配置端口的访问管理IP地址池,允许IP地址在该地址池内的主机与外部通信。undo am ip-pool命令用来取消端口访问管理IP地址池的部分或全部IP地址。缺省情况下,访问管理IP地址池为空。
all:指定端口下所有IP地址(池)。
address-list:IP地址范围列表,为地址段和特定地址的组合;其中地址段的表示形式为start-ip-address [ ip-address-number ] &,start-ip-address是IP地址池中某段地址范围的起始地址,ip-address-number是从start-ip-address开始的连续地址的数量。&表示最多可以指定10个地址段。
需要注意的是: 配置端口的访问管理地址池前,需要先配置该端口所属VLAN接口的IP地址,且端口上访问管理IP地址池中的地址,必须与该端口所属VLAN的接口IP地址在同一网段。当配置端口的访问管理IP地址池时,如果在此地址池内的IP地址是已配置的其它端口静态ARP表项中的IP地址,则系统将提示用户删除对应的静态ARP表项,以保证IP地址池生效。
display am [ interface-list ]
display am命令用来显示访问管理配置信息,包括开启状态及访问管理IP地址池配置信息。当不指定参数interface-list时,显示所有端口当前的访问管理配置信息。
PS:
还有个命令,配置PC机的MAC地址与端口0/1的静态绑定
[SwitchA]mac static 000f-1fb8-fcb8 inter Ethernet 0/1 vlan 10
这个有个switch上是没有这个命令的,如果有,这个是正宗的mac和的端口绑定。