最近,一个客户的新项目需要在H3C交换机上做端口IP MAC绑定,最终目标是实现互联网访问控制。众所周知,这是一项非常繁琐的任务。前期要收集MAC IP端口和用户的信息。客户终端大概有500台左右,所以前期数据收集的工作量相当大。我们最初告诉客户如何在互联网行为管理设备上使用用户名和密码认证进行ARP绑定。但是客户说之前在核心交换机上做过ARP绑定,但是有人把本地IP和MAC修改成和可以上网的电脑一模一样,这样两台机器就相当于一台机器,可以同时上网,不会报IP地址冲突,但是上网速度会有一定影响(会出现丢包)。如果其中一台电脑离线,另一台修改过的电脑对互联网没有影响。结合上网行为管理设备做用户名密码认证,用户说怕能上网的人把自己的用户名密码告诉别人,没有办法完全控制!晕!现在基本上,端口IP MAC绑定只能在接入层交换机上根据其要求完成。接入层交换机有两种类型:S5120-52C-EI和S3100V2-16TP-EI。一看,两个交换机都支持这种端口IP MAC绑定方式,那就根据客户需求来做吧~
以下是:的总体思路和方法
首先收集各终端的IP MAC端口信息和用户信息(预计时间3个工作日)并做好记录;
然后,根据之前收集的信息(大约2个工作日)配置每个接入层交换机。下面我们来看看配置:
(1)一个端口下只有一台计算机的绑定方法
如果IP地址为10.100.10.2、MAC地址为00-1A-4D-1E-39-2D的计算机连接到交换机的G1/0/2端口,可以进行以下配置:
GigabitEthernet 1/0/2接口首先进入端口2。
用户绑定IP-addr 10 . 100 . 10 . 2 MAC-addr 001 a-4d1e-392d绑定IP和MAC
(2)一个端口连接到PBX的绑定模式
例如,端口1连接到8端口PBX,PBX连接到三台计算机,它们的IP和MAC如下
1计算机IP:10 . 100 . 11 . 2 MAC:00-1a-4d-1e-39-81
2计算机IP:10 . 100 . 11 . 3 MAC:00-1A-4D-1E-39-8E
3计算机IP:10 . 100 . 11 . 4 MAC:00-1A-4D-1E-39-8F
那么所有三台计算机都需要捆绑在一起,并且可以配置如下:
GigabitEthernet 1/0/1接口首先进入端口1
用户绑定mac地址001a-4d1e-3981 ip地址10.100.11.2
用户绑定mac地址001a-4d1e-398e ip地址10.100.11.3
用户绑定mac地址001a-4d1e-398f ip地址10.100.11.4
(3)如果端口下没有连接设备,那么连接新的终端时,没有IP MAC地址的限制,可以正常上网。因此,需要关闭这些空闲端口上自动学习MAC地址的功能。该命令如下所示:
GigabitEthernet 1/0/20接口首先进入空闲端口20。
Mac-address mac-learning disable关闭此端口的Mac地址学习功能。
最后拿几台电脑做测试,换个IP或者MAC或者端口,看能不能满足客户的需求。但是这里有一点需要说明。对于上述第二种情况,如果端口连接到PBX或HUB,其中一台不能访问互联网的计算机也可以通过将IP和MAC更改为连接到PBX的可以访问互联网的计算机的IP和MAC来访问互联网。现象是同时在线会网速变慢,丢包,不同时在线没有影响。
至此,整个操作已经完成,但是会比较繁琐,工作量很大,后期调整会很麻烦,会增加网络管理员的压力。所以这种方法强烈不建议作为最后手段!