前段时间朋友问我在交换机下面怎么同时绑定IP地址和MAC之前没怎么注意这方面,最近在客户这边改造DHCP,发现客户在6509上面就是IP和MAC同时绑定的而且效果很好;个人感觉很实用的,其实方法很简单,只要写两条ACL 一条MAC ACL,一条IP ACL 调用在接口下面即可;
大家都知道,用户可使用端口特性来限制并标识允许访问端口的MAC地址,这样的特性是在端口上面应用。当为某一个端口分配了安全MAC地址之后,该端口将不会转发源MAC不在安全MAC地址范围的数据包。如果将安全MAC地址数量限制为1,并分配了一个安全MAC地址,那么连接在此端口的工作站将享有该端口的全部带宽,
1.交换机端口MAC地址绑定
Switch(config)#interface fastEthernet 1/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0011.859E.9AF9
2.基于MAC的访问控制列表
Switch(config)Mac access-list extended MAC_VLAN10
Switch(config)permit host 0011.859E.9AF9 any
Switch(config)permit any host 0011.859E.9AF9
Switch(config)#interface fastEthernet 1/1
Switch(config-if )mac access-group MAC_VLAN10 in
3.基于IP的访问控制列表
Switch(config)Ip access-list extended IP_VLAN10
Switch(config-ext-nacl)#permit ip 192.168.1.1 0.0.0.0 any
Switch(config-ext-nacl)#interface fastEthernet 1/1
Swithc(config-if)#ip access-group IP_VLAN10 in
IP和MAC地址绑定其实就是把上面基于MAC的访问控制列表和基于IP的访问控制列表加起来应用在接口上面。