2023年11月27日发(作者:)

H3C交换机端口绑定IP+MAC的思路及配置

客户的一个新项目,最近需要在H3C的交换机上做端口+IP+MAC绑定,最终目的是为了实现

上网控制,大家都知道这是一件很繁琐的工作,前期要收集好MAC+IP+端口还有使用人的信

息,客户终端有500台左右,所以前期收集资料的工作量蛮大,本来告诉客户在上网行为管

理设备上做用户名密码认证+ARP绑定的方式,但客户说之前在核心交换机上做过ARP绑定,

但有些人把本地的IPMAC修改为与能上网的电脑IPMAC一模一样,这样两台机器相

当于同一台机器一样,都能同时在线上网了,也不会报IP地址冲突,只是上网速度会有一

定的影响(会有丢包),若其中一台电脑不在线,另一台修改过得电脑上网完全没有影响。

结合上网行为管理设备做用户名和密码认证,用户又说怕能上网的那些人把自己的用户名和

密码告诉别人,没办法彻底控制!晕现在基本上只能按照他们的要求去在接入层交换

机上做端口+IP+MAC绑定了,接入层交换机有两种型号:S5120-52C-EIS3100V2-16TP-EI

看了一下两种交换机都支持这种端口+IP+MAC的绑定方式,那就根据客户的需求来干吧

~ 以下是总体思路和方法:

首先,收集各终端的IP+MAC+端口信息以及使用人信息(估计3个工作日的时间)

并做好记录;

然后,在各台接入层交换机上根据前面收集到的信息就行配置(2个工作日左右),

下面我们看一下配置:

11个端口下只有一台电脑的绑定方法

IP地址为10.100.10.2 MAC地址为00-1A-4D-1E-39-2D 的电脑接在交换机的G1/0/2

端口,那么可以进行如下配置:

interface GigabitEthernet 1/0/2 首先进入2号端口

user-bind ip-addr 10.100.10.2 mac-addr 001A-4D1E-392D 绑定IPMAC

21个端口下接了一个小交换机的绑定方式

如:1号端口下接了一个8口的小交换机,交换机接有3台电脑,3台电脑的IPMAC如下

1电脑的IP10.100.11.2 MAC00-1A-4D-1E-39-81

2电脑的IP10.100.11.3 MAC00-1A-4D-1E-39-8E

3电脑的IP10.100.11.4 MAC00-1A-4D-1E-39-8F

那么这三台电脑都需要进行捆绑,可以进行如下配置:

interface GigabitEthernet 1/0/1 首先进入1端口

user-bind mac-addr 001a-4d1e-3981 ip-addr 10.100.11.2

user-bind mac-addr 001a-4d1e-398e ip-addr 10.100.11.3

user-bind mac-addr 001a-4d1e-398f ip-addr 10.100.11.4

3)若端口下没有接任何设备,那么当新接入一台终端后,就没有IP+MAC地址的限制了,

就有可能会正常上网,因此还需要在这些空闲端口上关掉MAC地址自动学习的功能,命令如

下:

interface GigabitEthernet 1/0/20 首先进入空闲的20号端口

mac-address mac-learning disable 关掉此端口的MAC地址学习功能

最后,抽几台电脑进行测试,更改IPMAC或端口,看看是否满足客户需求,但这里有一

点要说明的是对于上面第二种情况,若端口接了一个小交换机或HUB,其中一台不能上网的

电脑把IPMAC修改为同接在一台小交换机上的可以上网的电脑的IPMAC也是可以上

网的,现象就是同时在线会网速慢丢包,不同时在线是没有影响的。

至此,整个操作完成,但会很繁琐,工作量很大,而且后期调整起来也是很麻烦的,增加网

管员的压力,所以不是在万不得已的情况下强烈不建议使用这种方法!