__小易
上網行為如何誇網段實現MAC綁定?我個人使用華為設備較多。我們以華為S5700系列簡介一下:
交換機上配置IP-mac綁定,主要需要考慮兩個因素:
該交換機是否開啟DHCP服務?
是採用端口綁定還是ARP綁定?
端口綁定或者ARP綁定,只是強制了IP-MAC的對應關係。但是,對於自動獲取IP地址的客戶機而言,還需要在DHCP服務器上分配固定IP才可以;否則客戶機重新獲取IP後,就會聯不了網。所以,一個完善的IP-MAC綁定方案,既要考慮DHCP的靜態地址分配,還要考慮IP-MAC的實際綁定實現。對於三層交換機而言,分為兩種情況:
1. 三層交換機作為DHCP服務器
以華為的S5700為例,如果本身已經開啟了DHCP服務,那麼做綁定時,既需要做DHCP的綁定,還需要做ARP的綁定。具體命令如下:
1.1) DHCP分配靜態IP
int vlanif 50
dhcp server static-bind ip-address 192.168.50.100 mac-address 1234-1234-1234
1.2) ARP綁定
user-bind static ip-address 192.168.50.100 mac-address 1234-1234-1234
這樣配置後,該MAC地址每次都可以獲取到指定的IP,且只有該指定的IP地址才可以聯網。三層交換機上配置IP-MAC綁定,相對來說配置和維護都比較複雜。其實還有一個辦法,就是在網關上啟用到每個VLAN的DHCP。直接在網關上進行IP-MAC綁定。請繼續往下閱讀:
2. 三層交換機不做DHCP服務器
簡單點來說,就是在網關上啟用每個VLAN的DHCP服務,然後把三層交換機的上聯口設置為trunk口。由網關來分配IP地址和綁定。以cisco 3750為例,具體步驟如下:
2.1) 配置交換機的上聯口為trunk口
#interface FastEthernet0/1
#switchport trunk encapsulation dot1q
#switchport mode trunk
把1號口設置為上聯口,接到上層的路由器網關設備。
2.2) VLAN配置
#interface Vlan 2
#ip address 192.168.20.2 255.255.255.0
修改VLAN參數,把交換機VLAN的IP設置為192.168.20.2,192.168.20.1預留給網關。
2.3) 在WSG網關上啟用VLAN和VLAN的DHCP,並且配置綁定。
