本文介绍如何在华为交换机上配置User-Bind绑定IP、MAC地址及VLAN,实现仅允许绑定列表内的设备通信,同时禁用DHCP但仍启用DHCP Snooping防止未授权的DHCP请求。
华为交换机user-bind绑定IP,MAC地址,及VLAN
本篇博文主要为了有特定需求(不允许使用DHCP功能,又要绑定IP跟MAC地址于VLAN)的小伙伴而写的。网上查过很多方法,但都没有好的解决方案。基本都是基于DHCP来做user-bind的绑定。
拓扑图
需要实现的功能:
1.SW1,SW2识别绑定列表,绑定了IP与MAC的PC的流量才允许放行,不在绑定列表的PC则直接拦截。
2.PC1可访问PC2及PC3
3.不允许使用DHCP(但要启用DHCP enable及dhcp snooping enable,然后在Vlan视图下启用dhcp snooping enable即可阻止DHCP流量在VLAN内传递)
命令配置:(跳过接口IP配置及VLAN IP配置)
当配置好接口IP及vlan后,在全局视图下操作
SW1:
user-bind static ip-address 192.168.1.10 mac-address 5489-984C-76E0 vlan 10
#绑定PC1的IP地址与MAC地址及VLAN
vlan 10
ip source check user-bind enable
#进vlan进行user-bind绑定列表使能
#这时本机的一个user-bind认证就开起来了,不妨吧PC换个IP或者换个MAC试一下。只有绑定列表内有的设备才能够通过本交换机机进行数据的转发。
dhcp enable #想要使用dhcp snooping 就必须要启用 dhcp
dhcp snooping enable #先全局使能一下dhcp snooping enable
vlan 10
dhcp snooping enable
#到vlan10视图下使能dhcp snooping,此时DHCP流量将不会通过vlan进行转发,也就不用担心会有客户端因为没有做地址池无法获取地址而导致无限请求dhcp了
SW2的配置与SW1大致相同,但要注意vlan一定要开始user-bind使能及dhcp snooping
trunk口则需要设置为信任接口,如图我的级联接口是0/0/24:
interface GigabitEthernet0/0/24
port link-type trunk
port trunk allow-pass vlan 2 to 4094
dhcp snooping trusted
此时两端PC的通信就没有问题了。
想要做到这种效果还有另一种方法,但是这种方法会十分的繁琐及复杂,当设备越来越多的时候就会越来越乱。还需要了解数据包的转发机制,这种方式呢就解决了如两端都需要添加同样的user-bind绑定信息,及异段IP访问是必须制定本设备的vlan IP做网关的问题。
当vlan启用了user-bind使能后,想要加入新的PC就必须要添加到绑定列表中去,否则将无法进行通信。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
