2009-10-27 17:23
1、系統視圖下
am user-bind mac-addr mac地址 ip-addr ip地址 interface 接口類型 接口序號
2、以太網端口視圖下
interface 接口類型 接口序號
am user-bind mac-addr mac地址 ip-addr ip地址
端口綁定
2.1 端口綁定命令
2.1.1 am user-bind interface
命令
am user-bind mac-addr mac-address ip-addr ip-address interface
interface-type interface-number
undo am user-bind mac-addr mac-address ip-addr ip-address interface
interface-type interface-number
視圖
系統視圖
參數
mac-address:綁定的MAC 地址值。
ip-address:綁定的IP 地址值。
interface-type:端口類型。
interface-number:端口編號。
描述
am user-bind interface 命令用來將合法用戶的MAC 地址和IP 地址綁定到指定的
端口上。undo am user-bind interface 命令用來取消MAC 地址和IP 地址與指定
端口的綁定。
進行綁定操作後,只有合法用戶的報文才能通過端口。
說明:
對同壹個MAC 地址,系統只允許進行壹次綁定操作。
舉例
# 將MAC 地址為00e0-fc00-5101,IP 地址為10.153.1.1 的合法用戶與端口
Ethernet1/0/1 進行綁定。
<Quidway> system-view
System View: return to User View with Ctrl+Z.
Quidway S3900 系列以太網交換機命令手冊-Release 1510
端口安全、端口綁定第2 章端口綁定
2-2
[Quidway] am user-bind mac-addr 00e0-fc00-5101 ip-addr 10.153.1.1 interface
Ethernet1/0/1
2.1.2 am user-bind
命令
am user-bind mac-addr mac-address ip-addr ip-address
undo am user-bind mac-addr mac-address ip-addr ip-address
視圖
以太網端口視圖
參數
mac-address:綁定的MAC 地址值。
ip-address:綁定的IP 地址值。
描述
am user-bind 命令用來將合法用戶的MAC 地址和IP 地址綁定到當前的端口上。
undo am user-bind 命令用來取消MAC 地址和IP 地址與當前端口的綁定。
進行綁定操作後,只有合法用戶的報文才能通過端口。
說明:
對同壹個MAC 地址,系統只允許進行壹次綁定操作。
舉例
# 將MAC 地址為00e0-fc00-5102,IP 地址為10.153.1.2 的合法用戶與端口Ethernet1/0/2 進行綁定。
<Quidway> system-view
System View: return to User View with Ctrl+Z.
[Quidway] interface Ethernet1/0/2
[Quidway-Ethernet1/0/2] am user-bind mac-addr 00e0-fc00-5102 ip-addr
10.153.1.2
2.1.3 display am user-bind
命令
display am user-bind [ interface interface-type interface-number | mac-addr |
ip-addr ]
Quidway S3900 系列以太網交換機命令手冊-Release 1510
端口安全&端口綁定第2 章端口綁定
2-3
視圖
任意視圖
參數
interface:顯示指定端口的綁定信息。
interface-type:端口類型。
interface-number:端口編號。
mac-addr:顯示MAC 地址的綁定信息。
ip-addr:顯示IP 地址的綁定信息。
描述
display am user-bind 命令用來顯示端口綁定的配置信息。
舉例
# 顯示當前系統端口綁定的配置信息。
<Quidway> display am user-bind
Following User address bind have been configured:
Mac IP Port
00e0-fc00-5101 10.153.1.1 Ethernet1/0/1
00e0-fc00-5102 10.153.1.2 Ethernet1/0/2
Unit 1:Total 2 found, 2 listed.
Total: 2 found.
以上顯示信息表示,設備Unit 1 當前總***有兩條端口綁定的配置:
MAC 地址00e0-fc00-5101、IP 地址10.153.1.1 已經與端口Ethernet1/0/1 進行了綁定;
MAC 地址00e0-fc00-5102、IP 地址10.153.1.2 已經與端口Ethernet1/0/2 進行了綁定。
假設IP地址10.1.1.2,MAC地址0000-0000-0001
1、IP+MAC+端口綁定流程
三層交換機中目前只有S3526系列支持使用AM命令來進行IP地址和端口的綁定。並且如果S3526系列交換機要采用AM命令來實現綁定功能,則交換機必須是做三層轉發(即用戶的網關應該在該交換機上)。
2、采用DHCP-SECURITY來實現
1.配置端口的靜態MAC地址
[SwitchA]mac-address static 0000-0000-0001 interface e0/1 vlan 1
2.配置IP和MAC對應表
[SwitchA]dhcp-security 10.1.1.2 0000-0000-0001 static
3.配置dhcp-server組號(否則不允許執行下壹步,此dhcp-server組不用在交換機上創建也可)
[SwitchA-Vlan-interface1]dhcp-server 1
4. 使能三層地址檢測
[SwitchA-Vlan-interface1]address-check enable
3、采用AM命令來實現
1.使能AM功能
[SwitchA]am enable
2.進入端口視圖
[SwitchA]vlan 10
3. 將E0/1加入到vlan10
[SwitchA-vlan10]port Ethernet 0/1
4.創建(進入)vlan10的虛接口
[SwitchA]interface Vlan-interface 10
5.給vlan10的虛接口配置IP地址
[SwitchA-Vlan-interface10]ip add 10.1.1.1 255.255.255.0
6.進入E0/1端口
[SwitchA]interface Ethernet 0/1
7. 該端口只允許起始IP地址為10.1.1.2的10個IP地址上網
[SwitchA-Ethernet0/1]am ip-pool 10.1.1.2 10