華爲中低端交換機mac＋ip＋端口綁定的配置總結

 好多時候，往往是出於安全性考慮，客戶要求把交換機下掛pc的mac地址IP做一綁定，這樣只有特定的mac和ip纔可以訪問特定的端口，不讓客戶隨意更改自己的IP地址，而且其他pc插到我用的這個端口上也是無法訪問網絡資源，下面我們來共同研究一下MAC地址＋IP＋端口的綁定方法


方法一：

設備要求：三層設備，3526以上，而且必須是實現了三層通信（也就是在交換機上面每個vlan的三層接口都必須配置上IP地址

首先用static命令把mac和端口綁定到一起，然後用AM命令把IP綁定到端口上

示例如下

pc IP地址 172.16.2.10/24 mac 地址00e0-fc01-8b0a 屬於vlan 2，接到了交換機3526E的e0/16口上，那麼首先

mac-address static 00e0-fc01-8b0a interface Ethernet0/16 vlan 2

然後在e0/16上加一條mac-address max-mac-count 0 (指明該端口最多學習0個mac地址）

最後用am命令把IP地址和端口綁定

首先 am enable
然後在e0/16口下 am ip-pool 172.16.2.10

至此，綁定完成。

效果就是隻有172.16.2.10 並且mac地址是00e0-fc01-8b0a的pc纔可以訪問e0/16口，而且這臺pc插到別的口上也是無法訪問網絡的

該方法的缺點就是：設備必須是三層設備，而且必須有三層接口IP地址纔可以實現IP和端口的綁定，而一般客戶的這種綁定都是在接入層做的，而接入層一般不會放三層設備這麼奢侈的，所有實用性並不是很強


方法二：
對硬件無特殊要求，只有支持link層acl即可

網絡環境同上

首先定義一acl

acl number 10 basic                                                      
rule 0 deny                                                                   
rule 1 permit source 172.16.2.10 0                                       
#                                                                           
acl name 210 link                                                      
rule 1 permit ingress 00e0-fc01-8b0a 0000-0000-0000 interface Ethernet0/9 egress any
rule 0 deny ingress interface Ethernet0/9 egress any

然後激活acl

#                                                                           
packet-filter ip-group bindpcip rule 0 link-group bindpamac rule 0         
packet-filter ip-group bindpcip rule 1 link-group bindpamac rule 1
配置完成。

該方法優點是對設備要求低，二層設計即可
但是缺點是通過acl實現，如果網絡比較大的話不太易實現，管理員太費力氣而且後期維護也比較麻煩