一、H3C交换机 Port+IP+MAC绑定(接入交换机上可以使用)
类似白名单模式,绑定后才放行。将报文的接收端口、源IP地址和源MAC地址绑定。指定端口将只允许指定IP地址和指定MAC地址的报文通过,不允许其它IP地址和MAC地址的报文通过。
实验版本:H3C交换机S5130系列,版本是version 7.1
在端口GigabitEthernet1/0/1上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。只允许MAC地址为0000-1212-1111、IP地址为192.168.1.100的Host发送的IP报文通过端口GigabitEthernet1/0/1
interface GigabitEthernet1/0/1
port access vlan 5
# ip verify source ip-address mac-address
# ip source binding ip-address 192.168.1.100 mac-address 0000-1212-1111
二、禁止未经允许的mac地址设备连入局域网(核心交换机上可以使用)
目标:使属于vlan 5的用户必须绑定IP和MAC地址才能连接网络,否则使用不了
在核心交换机上配置:
interface Vlan-interface5
ip address 192.168.1.1 255.255.255.0
# arp max-learning-num 0
例如使IP地址:192.168.1.200 物理地址:0000-1313-2222 的主机能连接到本地核心交换机中,在核心交换机上配置:
#arp static 192.168.1.200 0000-1313-2222
备注:arp max-learning-num 命令用来配置接口允许学习动态ARP表项的最大数目,当配置接口允许学习动态ARP表项的最大数目为0时,表示禁止接口学习动态ARP表项。
三、常见的网络问题
1、知道某主机的IP地址,怎么样才可以让这个地址的机器断网?
先找到该IP地址对应的MAC地址。display arp 192.168.X.X ,对应的MAC地址为XXXX-XXXX-XXXX的主机.
最后通过命令将其连接不了网络:mac-address blackhole XXXX-XXXX-XXXX vlan Y