神州数码交换机利用mac-ip访问控制列表功能实现单端口下多条MAC-IP的绑定

神州数码交换机利用mac-ip访问控制列表功能实现单端口下多条MAC-IP的绑定

1、描述:

某集团公司办公网,核心交换机为神州数码DCRS-5950-28T,根据办公楼层划分若干个VLAN,为每个楼层分别划分不同的IP段并设定网关。接口ethernet 1/18-20为ACCESS口,18口所属VlanID1021,端口下分别连接各楼层的非网管交换机做为办公PC的接入交换机。

2、需求:

客户要求从核心交换机ethernet 1/18口上做MAC-IP绑定,避免集团PC私自更改IP地址,同时也能起到限制个人私接PC上网的作用。

3、实现方法:

方法一:利用mac-ip访问扩展列表功能实现(仅为ethernet1/18配置,另外端口配置相同)

全局模式配置

DCRS-5950-28T(config)#firewall enable    //开启防火墙功能
DCRS-5950-28T(config)#mac-ip-access-list extended test    //配置扩展列表,名称为test                                                             
DCRS-5950-28T(config-macip-ext-nacl-test)#permit host-source-mac 40-16-9f-ea-26-71 any-destination-mac ip host-source 16.202.2.220 any-destination    //配置允许访问的MAC-IP地址(可配置多条)
DCRS-5950-28T(config-macip-ext-nacl-test)#deny any-source-mac any-destination-mac ip any-source any-destination    //禁止访问命令(此条命令必须放在最后)
DCRS-5950-28T(config-macip-ext-nacl-test)#exit    //退出到全局模式
端口模式配置

DCRS-5950-28T(config)#int ethernet 1/18    //进入接口E1/18

DCRS-5950-28T(config-if-ethernet1/18)# mac-ip access-group test in    //接口下应用test列表 
DCRS-5950-28T(config-if-ethernet1/18)#exit    //退出到全局模式

图1:

 

图2:

图3:

补充说明:列表可以写多条,写列表时首先先写允许通过的MAC-IP,最后再写一条全部禁止,类似于防火墙策略的写法,需要注意的是,全部禁止的命令一定要写在最后。

另外,列表的最大数量未测试,到底能写多少条未知数,应该是取决于ACL访问控制列表限制的大小,但可以肯定的是,这个列表要比am功能的mac-ip-pool功能能够写的数量要多的多。

时间: 2024-09-13 01:30:30

神州数码交换机利用mac-ip访问控制列表功能实现单端口下多条MAC-IP的绑定的相关文章

神州数码交换机命令笔记总结

交换机要求 1. 交换机恢复出厂设置及其基本配置. 1) //进入特权模式 2) del config.text 2. telnet方式管理交换机. 1) //进入全局配置模式 2) enable password 0 [密码] 3) Line 0 4 4) Password 0 [密码] 5) Login 3. 交换机文件备份.升级.还原. 1) rgnos.bin系统文件 2) config.text配置文件 4. Enable密码丢失的解决办法 1) 重启 2) CTRL+C 3) 选择

交换机利用DHCP Relay进行address-check功能的配置

DHCP Relay进行address-check功能的 配置过程如下:一 组网需求1.在交换机上启动VLAN接口下用户地址合法性的检查,利用配置DHCP中继的安全地址表项,使配置了DHCP Relay的VLAN内的合法固定IP地址用户能够通过DHCP安全特性的地址合法性检查:2.SwitchA作为DHCP Server,SwitchB使能DHCP Relay功能.在SwitchB上开启address-check功能,PC2的mac地址为0015-c50d-20cf, 手动设置PC2的ip地址为

利用jquery.autocomplete自动完成功能实现百度搜索下拉功能

利用jquery.autocomplete自动完成功能实现百度搜索下拉功能 --> <script language="网页特效" src="jquery.autocomplete.js"></script> <script> $().ready(function() {  $("#borough_name").autocomplete("z.php教程", {   minchars:

部署Csico三层交换机专家级访问控制列表的配置案例实战

我们从事的信息安全方面的工作,最近怀疑有人可能利用一些工具进行网络攻击访问,这确实影响了网络安全性,为了提高网络访问的安全性,这时不借助其他软件工具,直接利用专家级的访问控制列表,根据用户的IP地址和MAC地址进行网络访问的控制.案例实验拓扑图及案例要求与分析,见下图: 更多精彩内容:http://www.bianceng.cnhttp://www.bianceng.cn/Network/jhjs/

神州数码“发现城市”创新中国行无锡启动

由神州数码发起的"发现城市"创新中国行"江苏之旅"无锡站顺利举行,9月3日下午,国家信息中心专家委员会副主任.信息惠民国家试点城市建设指导专家组组长宁家骏,中科院管理学教授.中国信息经济学会副理事长吕本富,神州数码首席科学.工程院院长谢耘等业内顶级专家,与江苏省.无锡市政企代表围绕"2014太湖论道--大数据下的智慧无锡"的主题,从"信息惠民"政策.大数据产业等前沿话题层面展开探讨. 作为国内较早提出并展开智慧城市建设的省份,

神州数码受邀参加韩红爱心基金会传递大爱

雅安地震发生后,http://www.aliyun.com/zixun/aggregation/14760.html">神州数码第一时间通过韩红爱心基金会捐献出了200万元现金,得到社会各界的普遍赞誉.那么今天,善款的落实进展如何呢? 5月6日,韩红爱心基金会在中国职工之家召开捐赠人大会,神州数码受邀参加. 这是国内公益组织首次用公开透明的方式,向全体捐赠人进行善款使用及计划讨论审核的"听证会",包括神州数码在内的所有捐赠者都能到会听取报告并表达意愿,大家一起商量钱怎么

访问控制列表 企业网络管理的必杀技

在这篇文章中,笔者将脱开技术层面的内容,谈谈自己在访问控制列表管理中的经验教训,或许,这可以从另一个角度提高大家对访问控制列表的认识.思考一:如何合理放置访问控制列表访问控制列表即可以放在进口,也可以放在出口,都是正确的. 但是,正确跟合理还是有一步之差.位置正确,不一定说,如此放置是最合理的,效率是最高的.若我们把访问控制列表放在进口的话,在路由器在进口就会对数据流量进行判断,看其是否满足条件语句,若满足的话,则放行,转发给下一个端口;不满足的话,就直接丢进垃圾桶.若把访问控制列表放在出口的话

神州数码DCS-3950交换机进行端口绑定

以神州数码DCS-3950进行端口绑定 端口绑定的重要性就不再多说了,避免电脑随意接入交换机 一.仅MAC与端口绑定(通过Port-Security) DCS-3950-26C#conf DCS-3950-26C(config)#int e0/0/1                          --端口绑定需要进入到接口内部,仅对当前口生效 DCS-3950-26C(config-if-ethernet0/0/1)#switchport port-security        --开启端

神州数码DCRS-5750-28T交换机(跨VLAN不通)手动开启三层转发命令

神州数码DCRS-5750-28T三层交换机,实现跨VLAN路有时,必须手动开启三层硬件转发,否则跨VLAN不通! 命令如下: DCRS-5750-28T(config)#ipv4 hardware forwarding enable 回车 然后保存.重启. PS:如果不重启,交换机为L3软件转发模式,性能比较差:重启后才是L3硬件转发模式.切记!!! 下面是命令截图: