在为客户调试设备时,有时候有这种需求:要求用户不能修改IP地址。在三层交换机上做。

实现的方法:

在三层交换机上配置如下命令:

   Arp    ip地址     mac地址     arpa

此条命令将IP和MAC地址绑定在一起,当用户修改IP 地址后,他将无法连通网关,此命令需要将剩余不用的IP地址绑定到一个不存在的MAC地址上,如0000.0000.0000。

原理:三层交换机作为客户机的网关,默认情况下,当客户机需要访问其它网络时,将数据包发给网关,网关在回复数据包时,将查找ARP缓存,若没有将发送ARP请求。而此时我们在交换机上配置了此命令后,三层交换机将按此命令中的IP与MAC的映射发数据包给对应的MAC地址,而如果客户机修改IP后,他的IP虽然有用,但却绑定到一个不存在的MAC地址上,给果三层交换机也就把数据包发给了这个不存在的MAC上,所以客户机是无法访问其它网络的。但它可以访问自己的内网。