为了实现在二层交换机Cisco 2960上进行IP+MAC的绑定,必须使用基于访问控制列表的方式。
预实现功能:IP:168.31.6.199与MAC:001E.EC64.5A.83绑定
步骤一:配置MAC访问控制列表
cib(config)#mac access-list extended MAC
cib(config-ext-macl) #permit any host 001e.ec64.5a83
cib(config-ext-macl) #permit host 001e.ec64.5a83 any
步骤二:配置IP访问控制列表
cib(config)#ip access-list extended IP
cib(config-ext-nacl)permit ip host 168.31.6.199 any
cib(config-ext-nacl)permit ip any host 168.31.6.199
步骤三:在端口下应用以上访问控制列表
cib(config)#interface FastEthernet0/3
cib(config-if)#ip access-group IP in
cib(config-if)#mac access-group MAC in
===================================================
备注1:如果要实现多个IP与多个MAC之间的一一对应,可编写多条ACL配合使用;
备注2:为了实施方便,可以在同一ACL下添加多个IP与多个MAC,此时的对应关系为多对多;(安全缺陷:但这样有一个缺陷就是相互之间可以对换IP使用)
MAC1 IP1
MAC2 IP2
如:
cib(config)#ip access-list extended IP
cib(config-ext-nacl)permit ip host 168.31.6.199 any
cib(config-ext-nacl)permit ip host 168.31.6.200 any
cib(config-ext-nacl)permit ip any host 168.31.6.199
cib(config-ext-nacl)permit ip any host 168.31.6.200
cib(config)#mac access-list extended MAC
cib(config-ext-macl) #permit any host 001e.ec64.5a83
cib(config-ext-macl) #permit any host0024.50c7.2ac1
cib(config-ext-macl) #permit host 001e.ec64.5a83 any
cib(config-ext-macl) #permit host 0024.50c7.2ac1 any
=================================================