华为核心交换机绑定IP+MAC+端口案例

华为核心交换机绑定IP+MAC+端口案例

http://www.iyunv.com/thread-40167-1-1.html

1         案例背景  

某网络改造项目，核心交换机为华为S5700，接入交换机为不同型号交换机，如下模拟拓扑，客户端接入交换机1通过Access模式与核心交换机连接，该交换机下只有一个Vlan2 192.168.2.0/24；客户端接入交换机2通过Trunk模式与核心交换机连接，该交换机下有俩个Vlan，Vlan3 192.168.3.0/24 Vlan4 192.168.4.0/24，服务器接入交换机通过Access模式与核心交换机连接，该交换机下只有一个Vlan4 192.168.4.0/24；所有客户端、服务器网关均位于核心交换机上；

  

    2         目前网络存在的缺陷  

由于目前网络管理比较松散，IP管理不够完善，客户端可以任意接入，外单位人员将PC设备设为相应网段也即可接入，故对目前网络照成管理困难及安全隐患，客户希望在本次网络改造中将所有客户端IP与MAC绑定，未绑定的客户端不能接入网络，对于服务器网段不进行操作（即未操作网段不受影响）；

  3         解决方案  

按客户所需要求，常用方法可以在客户端接入交换机上进行IP+MAC+端口绑定，其他未使用端口关闭，但该方法需要逐个登陆接入交换机进行操作，由于网络建设初期距离网络改造时间较远，部分接入交换机账号密码已经遗忘，且现在为生产网络，如果逐个交换机破解密码，势必会造成网络中断，现在网络环境中，客户端与服务器均有明确Vlan划分，故选择在华为S5700核心交换机上通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定，具体配置思想为首先在VLAN下配置的静态绑定表，绑定客户端的的IP和MAC，然后在与接入交换机相连的接口上配置IP和ARP报文检查功能。

  4         配置步骤  4.1    配置模拟环境基础网络  

Step1、    S5700核心交换机配置

  

  

      

Step2、    客户端接入交换机2配置

  

  

      

Step3、    客户端配置

  

按拓扑标志为客户端分别配置IP地址、网关；

  

Client1: IP 192.168.2.2/24 GW 192.168.2.1

  

Client2: IP 192.168.2.3/24 GW 192.168.2.1

  

Client3: IP 192.168.3.2/24 GW 192.168.3.1

  

Client4: IP 192.168.4.2/24 GW 192.168.4.1

  

Client5: IP 192.168.5.2/24 GW 192.168.5.1