华为核心交换机绑定IP+MAC+端口案例


http://www.iyunv.com/thread-40167-1-1.html

1         案例背景  

某网络改造项目,核心交换机为华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24;客户端接入交换机2通过Trunk模式与核心交换机连接,该交换机下有俩个Vlan,Vlan3 192.168.3.0/24 Vlan4 192.168.4.0/24,服务器接入交换机通过Access模式与核心交换机连接,该交换机下只有一个Vlan4 192.168.4.0/24;所有客户端、服务器网关均位于核心交换机上;

  

081401fbmux9zfu4p9mzbm.jpg

    2         目前网络存在的缺陷  

由于目前网络管理比较松散,IP管理不够完善,客户端可以任意接入,外单位人员将PC设备设为相应网段也即可接入,故对目前网络照成管理困难及安全隐患,客户希望在本次网络改造中将所有客户端IP与MAC绑定,未绑定的客户端不能接入网络,对于服务器网段不进行操作(即未操作网段不受影响);

  3         解决方案  

按客户所需要求,常用方法可以在客户端接入交换机上进行IP+MAC+端口绑定,其他未使用端口关闭,但该方法需要逐个登陆接入交换机进行操作,由于网络建设初期距离网络改造时间较远,部分接入交换机账号密码已经遗忘,且现在为生产网络,如果逐个交换机破解密码,势必会造成网络中断,现在网络环境中,客户端与服务器均有明确Vlan划分,故选择在华为S5700核心交换机上通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定,具体配置思想为首先在VLAN下配置的静态绑定表,绑定客户端的的IP和MAC,然后在与接入交换机相连的接口上配置IP和ARP报文检查功能。

  4         配置步骤  4.1    配置模拟环境基础网络  

Step1、    S5700核心交换机配置

  

081402k4yv2g2j0a8w3vdh.jpg

  

081402un9l3oloe9zzrezo.jpg

      

Step2、    客户端接入交换机2配置

  

081402x6nivhpnhw25vsn2.jpg

  

081402vsg22bejs18ukyy4.jpg

      

Step3、    客户端配置

  

按拓扑标志为客户端分别配置IP地址、网关;

  

Client1: IP 192.168.2.2/24 GW 192.168.2.1

  

Client2: IP 192.168.2.3/24 GW 192.168.2.1

  

Client3: IP 192.168.3.2/24 GW 192.168.3.1

  

Client4: IP 192.168.4.2/24 GW 192.168.4.1

  

Client5: IP 192.168.5.2/24 GW 192.168.5.1