一、静态mac和IP有两种:
1. user-bind static
2.arp statice
很多人会把arp static和am user-bind命令搞混淆,虽然使用起来不一样,但是最终效果都是一样的,都是针对ip/mac绑定:
首先使用arp static绑定必须将所有的ip进行绑定,如果有遗漏ip,那ip/mac绑定就会失效。
二、绑定生效规则:
arp static 类似黑名单制
1、IP及MAC均匹配正确 规则生效,放通。
2、IP-MAC无匹配(IP及MAC均无匹配)规则无效,底层放通。
3、IP或MAC有其中一方匹配上,另一方匹配错误,即规则生效,拦截。
user-bind static 类似白名单制(结合vlan或端口中使用 ip source check user-bind enable 进行IPSG检查)
1、IP及MAC均匹配正确 规则生效,放通。
2、IP-MAC无匹配(IP及MAC均无匹配)规则生效,拦截。
3、IP或MAC有其中一方匹配上,另一方匹配错误,即规则生效,拦截。
三、实例讲解
如图:接入设备都使用静态IP地址,接入交换机下的PC设备不能随意修改自己的IP地址。
3.1 华为交换机:
在接入交换机上配置:
1 system-view 2 user-bind static ip-address 192.168.50.10 mac-address 5489-98d1-0560 //支持一个接口绑定多个PC,也可以支持最多10个IP绑定一个MAC 3 interface Ethernet0/0/2 4 ip source check user-bind enable //开启接口的IPSG功能 5 ip source check user-bind alarm enable //开启IP报文检查报警功能 6 ip source check user-bind alarm threshold 20 //当丢弃报文阈值达到20个时将上报告警
执行display dhcp static user-bind all命令,可以查看静态绑定表信息。
验证:
修改该接口下的PC的IP地址,测试是否还可以上网。
注意:ensp上无法进行验证,需要在实体机上进行验证。
3.2 H3C交换机配置:
H3C交换机则无需手动打开IPSG功能,直接进入连接PC的端口,进行IP和mac绑定:
[W238]interface GigabitEthernet 1/0/5 [W238-GigabitEthernet1/0/5]user-bind ip-address 192.168.5.144 mac-address 90b1-1c5a-7b31 //支持绑定多个pc
只要接口下存在一个绑定,那么该接口就存在IPSG功能,没有绑定的pc或者没有同时匹配IP和mac地址的pc都会无法访问网络。
标签:IP,ip,绑定,MAC,mac,user,bind 来源: https://www.cnblogs.com/YuanLei888/p/16673125.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。