【www.bbyears.com--热点资讯】
神州数码交换机利用mac-ip访问控制列表功能实现单端口下多条MAC-IP的绑定
1、描述:
某集团公司办公网,核心交换机为神州数码DCRS-5950-28T,根据办公楼层划分若干个VLAN,为每个楼层分别划分不同的IP段并设定网关。接口ethernet 1/18-20为ACCESS口,18口所属VlanID1021,端口下分别连接各楼层的非网管交换机做为办公PC的接入交换机。
2、需求:
客户要求从核心交换机ethernet 1/18口上做MAC-IP绑定,避免集团PC私自更改IP地址,同时也能起到限制个人私接PC上网的作用。
3、实现方法:
方法一:利用mac-ip访问扩展列表功能实现(仅为ethernet1/18配置,另外端口配置相同)
全局模式配置
DCRS-5950-28T(config)#firewall enable //开启防火墙功能
DCRS-5950-28T(config)#mac-ip-access-list extended test //配置扩展列表,名称为test
DCRS-5950-28T(config-macip-ext-nacl-test)#permit host-source-mac 40-16-9f-ea-26-71 any-destination-mac ip host-source 16.202.2.220 any-destination //配置允许访问的MAC-IP地址(可配置多条)
DCRS-5950-28T(config-macip-ext-nacl-test)#deny any-source-mac any-destination-mac ip any-source any-destination //禁止访问命令(此条命令必须放在最后)
DCRS-5950-28T(config-macip-ext-nacl-test)#exit //退出到全局模式
端口模式配置
DCRS-5950-28T(config)#int ethernet 1/18 //进入接口E1/18
DCRS-5950-28T(config-if-ethernet1/18)# mac-ip access-group test in //接口下应用test列表
DCRS-5950-28T(config-if-ethernet1/18)#exit //退出到全局模式
图1:
jquery18006098743699434037="9" />
图2:
jquery18006098743699434037="47" />
图3:
补充说明:列表可以写多条,写列表时首先先写允许通过的MAC-IP,最后再写一条全部禁止,类似于防火墙策略的写法,需要注意的是,全部禁止的命令一定要写在最后。
另外,列表的最大数量未测试,到底能写多少条未知数,应该是取决于ACL访问控制列表限制的大小,但可以肯定的是,这个列表要比am功能的mac-ip-pool功能能够写的数量要多的多。