客户的一个新项目,最近需要在H3C的交换机上做端口+IP+MAC绑定,最终目的是为了实现上网控制,大家都知道这是一件很繁琐的工作,前期要收集好MAC+IP+端口还有使用人的信息,客户终端有500台左右,所以前期收集资料的工作量蛮大,本来告诉客户在上网行为管理设备上做用户名密码认证+ARP绑定的方式,但客户说之前在核心交换机上做过ARP绑定,但有些人把本地的IP和MAC修改为与能上网的电脑IP和MAC一模一样,这样两台机器相当于同一台机器一样,都能同时在线上网了,也不会报IP地址冲突,只是上网速度会有一定的影响(会有丢包),若其中一台电脑不在线,另一台修改过得电脑上网完全没有影响。结合上网行为管理设备做用户名和密码认证,用户又说怕能上网的那些人把自己的用户名和密码告诉别人,没办法彻底控制!晕!!!现在基本上只能按照他们的要求去在接入层交换机上做端口+IP+MAC绑定了,接入层交换机有两种型号:S5120-52C-EI和S3100V2-16TP-EI,看了一下两种交换机都支持这种端口+IP+MAC的绑定方式,那就根据客户的需求来干吧~

   以下是总体思路和方法:

     首先,收集各终端的IP+MAC+端口信息以及使用人信息(估计3个工作日的时间),并做好记录;

    然后,在各台接入层交换机上根据前面收集到的信息就行配置(2个工作日左右),下面我们看一下配置:

(1)1个端口下只有一台电脑的绑定方法

 如IP地址为10.100.10.2 ,MAC地址为00-1A-4D-1E-39-2D 的电脑接在交换机的G1/0/2端口,那么可以进行如下配置:
 

interface GigabitEthernet 1/0/2     首先进入2号端口

user-bind ip-addr 10.100.10.2 mac-addr 001A-4D1E-392D    绑定IP和MAC

 (2)1个端口下接了一个小交换机的绑定方式

如:1号端口下接了一个8口的小交换机,交换机接有3台电脑,3台电脑的IP和MAC如下

1电脑的IP:10.100.11.2 MAC:00-1A-4D-1E-39-81
2电脑的IP:10.100.11.3 MAC:00-1A-4D-1E-39-8E
3电脑的IP:10.100.11.4 MAC:00-1A-4D-1E-39-8F

那么这三台电脑都需要进行捆绑,可以进行如下配置:

interface GigabitEthernet 1/0/1     首先进入1端口

user-bind mac-addr 001a-4d1e-3981 ip-addr 10.100.11.2 
user-bind mac-addr 001a-4d1e-398e ip-addr 10.100.11.3   
user-bind mac-addr 001a-4d1e-398f ip-addr 10.100.11.4 

(3)若端口下没有接任何设备,那么当新接入一台终端后,就没有IP+MAC地址的限制了,就有可能会正常上网,因此还需要在这些空闲端口上关掉MAC地址自动学习的功能,命令如下:
 

interface GigabitEthernet 1/0/20    首先进入空闲的20号端口

mac-address mac-learning disable   关掉此端口的MAC地址学习功能

最后,抽几台电脑进行测试,更改IP或MAC或端口,看看是否满足客户需求,但这里有一点要说明的是对于上面第二种情况,若端口接了一个小交换机或HUB,其中一台不能上网的电脑把IP和MAC修改为同接在一台小交换机上的可以上网的电脑的IP和MAC,也是可以上网的,现象就是同时在线会网速慢丢包,不同时在线是没有影响的。

 

至此,整个操作完成,但会很繁琐,工作量很大,而且后期调整起来也是很麻烦的,增加网管员的压力,所以不是在万不得已的情况下强烈不建议使用这种方法!