交换机上配置IP-mac绑定,主要需要考虑两个因素:
-
该交换机是否开启DHCP服务?
-
是采用端口绑定还是ARP绑定?
端口绑定或者ARP绑定,只是强制了IP-MAC的对应关系。但是,对于自动获取IP地址的客户机而言,还需要在DHCP服务器上分配固定IP才可以;否则客户机重新获取IP后,就会联不了网。所以,一个完善的IP-MAC绑定方案,既要考虑DHCP的静态地址分配,还要考虑IP-MAC的实际绑定实现。对于三层交换机而言,分为两种情况:
1. 三层交换机作为DHCP服务器
以华为的S5700为例,如果本身已经开启了DHCP服务,那么做绑定时,既需要做DHCP的绑定,还需要做ARP的绑定。具体命令如下:
1.1) DHCP分配静态IP
int vlanif 50
dhcp server static-bind ip-address 192.168.50.100 mac-address 1234-1234-1234
1.2) ARP绑定
user-bind static ip-address 192.168.50.100 mac-address 1234-1234-1234
这样配置后,该MAC地址每次都可以获取到指定的IP,且只有该指定的IP地址才可以联网。三层交换机上配置IP-MAC绑定,相对来说配置和维护都比较复杂。其实还有一个办法,就是在网关上启用到每个VLAN的DHCP。直接在网关上进行IP-MAC绑定。请继续往下阅读:
2. 三层交换机不做DHCP服务器
简单点来说,就是在网关上启用每个VLAN的DHCP服务,然后把三层交换机的上联口设置为trunk口。由网关来分配IP地址和绑定。以cisco 3750为例,具体步骤如下:
2.1) 配置交换机的上联口为trunk口
#interface FastEthernet0/1
#switchport trunk encapsulation dot1q
#switchport mode trunk
把1号口设置为上联口,接到上层的路由器网关设备。
2.2) VLAN配置
#interface Vlan 2
#ip address 192.168.20.2 255.255.255.0
修改VLAN参数,把交换机VLAN的IP设置为192.168.20.2,192.168.20.1预留给网关。
2.3) 在WSG网关上启用VLAN和VLAN的DHCP
网关的VLAN接口的IP地址设置为192.168.20.1,设置DHCP范围并启用DHCP。经过以上配置,各VLAN的客户机就可以通过trunk口获取到自动分配的IP地址,然后再结合WSG网关的IP-mac绑定功能,即可实现绑定。
2.4) 启用IP-MAC绑定
三层交换机虽然功能强大,但是配置和维护都比较复杂,修改配置一定要谨慎。
本文转自 笨小驴 51CTO博客,原文链接:http://blog.51cto.com/12800391/1941540,如需转载请自行联系原作者
