S5700交换机MAC地址绑定问题
一臺S5700的三層交換機,劃分了幾個VLAN,使用DHCP動態分發IP地址,拓撲圖如下,想實現如下功能:
1、PC1與PC2,可以訪問Server1—Server4,可以訪問外網;
2、PC3,無法訪問Server1—Server4,但是可以訪問外網;
acl number 3002
description yf&mg+geli
rule 900 deny ip destination 10.70.2.0 0.0.0.255 \server1-4網段
traffic classifier yf&mg+geli operator and \這是策略名稱,隨便起,有意義、方便記就行
if-match acl 3002
traffic behavior yf&mg+geli
permit
traffic policy yf&mg+geli
classifier yf&mg+geli behavior yf&mg+geli
vlan 177 \訪客的vlan下應用策略 將訪客PC3所在端口加入訪客vlan
traffic-policy yf&mg+geli inbound
對于S系列交換機(S1700除外),實現ip+mac綁定的三種方法:
一般情況下,在交換機實現IP+MAC綁定有三種方法,分別為:IPSG、ARP靜態綁定和DHCP靜態綁定。應用的場景和實現的功能各不相同,故在進行配置之前請先確認現網環境中需要的具體是哪一種功能。
以下針對此三種應用作一個簡單說明。
場景一:防止終端用戶私自修改IP,使用IPSG功能
實現原理:在全局配置一張綁定表,可以綁定IP、MAC、接口、VLAN中任意項,然后在相應端口或VLAN上開啟IPSG功能。當PC的IP報文到達啟用IPSG的端口或VLAN后,進行綁定表檢查,若與綁定表不匹配,則丟棄;若匹配,則通過。
場景二:防止ARP欺騙(避免交換機上的ARP表項被偽造的ARP報文動態改寫),使用ARP靜態綁定
實現原理:靜態ARP表項通過手工配置和維護,不會被老化,不會被動態ARP表項覆蓋;可以限制和指定IP地址的設備通信時只使用指定的MAC地址,此時攻擊報文無法修改此表項的IP地址和MAC地址的映射關系,從而保護了本設備和指定設備間的正常通信。
場景三:DHCP分配IP時,為特定用戶分配固定的IP,使用DHCP靜態綁定
實現原理:對于一些特定的客戶端(例如WWW服務器)需要靜態分配固定IP地址,此時可以在DHCP服務器側綁定IP地址和特殊客戶端MAC地址。當DHCP服務器收到該特殊客戶端的申請IP地址的請求時,則將與此客戶端MAC綁定在一起的固定IP地址唯一地指定給該客戶端。(DHCP服務器選擇分配為客戶端的IP地址時,優先選擇與客戶端MAC地址綁定的IP地址。)
總結
以上是生活随笔為你收集整理的S5700交换机MAC地址绑定问题的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: nanomsg----pair1 的介绍
- 下一篇: AutoMapper总结