当前位置：首页> 正在进行安全检测...

正在进行安全检测...

时间：下载该word文档

H3C交换机端口绑定IP+MAC的思路及配置

客户的一个新项目，最近需要在H3C的交换机上做端口+IP+MAC绑定，最终目的是为了实现上网控制，大家都知道这是一件很繁琐的工作，前期要收集好MAC+IP+端口还有使用人的信息，客户终端有500台左右，所以前期收集资料的工作量蛮大，本来告诉客户在上网行为管理设备上做用户名密码认证+ARP绑定的方式，但客户说之前在核心交换机上做过ARP绑定，但有些人把本地的IP和MAC修改为与能上网的电脑IP和MAC一模一样，这样两台机器相当于同一台机器一样，都能同时在线上网了，也不会报IP地址冲突，只是上网速度会有一定的影响（会有丢包），若其中一台电脑不在线，另一台修改过得电脑上网完全没有影响。结合上网行为管理设备做用户名和密码认证，用户又说怕能上网的那些人把自己的用户名和密码告诉别人，没办法彻底控制！晕现在基本上只能按照他们的要求去在接入层交换机上做端口+IP+MAC绑定了，接入层交换机有两种型号：S5120-52C-EI和S3100V2-16TP-EI，看了一下两种交换机都支持这种端口+IP+MAC的绑定方式，那就根据客户的需求来干吧~以下是总体思路和方法:首先，收集各终端的IP+MAC+端口信息以及使用人信息（估计3个工作日的时间），并做好记录；
然后，在各台接入层交换机上根据前面收集到的信息就行配置（2个工作日左右），下面我们看一下配置：
（1）1个端口下只有一台电脑的绑定方法
如IP地址为10.100.10.2，MAC地址为00-1A-4D-1E-39-2D的电脑接在交换机的G1/0/2端口，那么可以进行如下配置：

interfaceGigabitEthernet1/0/2首先进入2号端口
user-bindip-addr10.100.10.2mac-addr001A-4D1E-392D绑定IP和MAC（2）1个端口下接了一个小交换机的绑定方式
如：1号端口下接了一个8口的小交换机，交换机接有3台电脑，3台电脑的IP和MAC如下1电脑的IP：10.100.11.2MAC：00-1A-4D-1E-39-812电脑的IP：10.100.11.3MAC：00-1A-4D-1E-39-8E3电脑的IP：10.100.11.4MAC：00-1A-4D-1E-39-8F那么这三台电脑都需要进行捆绑，可以进行如下配置：
interfaceGigabitEthernet1/0/1首先进入1端口
user-bindmac-addr001a-4d1e-3981ip-addr10.100.11.2user-bindmac-addr001a-4d1e-398eip-addr10.100.11.3user-bindmac-addr001a-4d1e-398fip-addr10.100.11.4（3）若端口下没有接任何设备，那么当新接入一台终端后，就没有IP+MAC地址的限制了，就有可能会正常上网，因此还需要在这些空闲端口上关掉MAC地址自动学习的功能，命令如下：

interfaceGigabitEthernet1/0/20首先进入空闲的20号端口
mac-addressmac-learningdisable关掉此端口的MAC地址学习功能
最后，抽几台电脑进行测试，更改IP或MAC或端口，看看是否满足客户需求，但这里有一点要说明的是对于上面第二种情况，若端口接了一个小交换机或HUB，其中一台不能上网的电脑把IP和MAC修改为同接在一台小交换机上的可以上网的电脑的IP和MAC，也是可以上网的，现象就是同时在线会网速慢丢包，不同时在线是没有影响的。

至此，整个操作完成，但会很繁琐，工作量很大，而且后期调整起来也是很麻烦的，增加网管员的压力，所以不是在万不得已的情况下强烈不建议使用这种方法！

阅读全文