华为中低端交换机mac＋ip＋端口绑定的配置总结

 好多时候，往往是出于安全性考虑，客户要求把交换机下挂pc的mac地址IP做一绑定，这样只有特定的mac和ip才可以访问特定的端口，不让客户随意更改自己的IP地址，而且其他pc插到我用的这个端口上也是无法访问网络资源，下面我们来共同研究一下MAC地址＋IP＋端口的绑定方法


方法一：

设备要求：三层设备，3526以上，而且必须是实现了三层通信（也就是在交换机上面每个vlan的三层接口都必须配置上IP地址

首先用static命令把mac和端口绑定到一起，然后用AM命令把IP绑定到端口上

示例如下

pc IP地址 172.16.2.10/24 mac 地址00e0-fc01-8b0a 属于vlan 2，接到了交换机3526E的e0/16口上，那么首先

mac-address static 00e0-fc01-8b0a interface Ethernet0/16 vlan 2

然后在e0/16上加一条mac-address max-mac-count 0 (指明该端口最多学习0个mac地址）

最后用am命令把IP地址和端口绑定

首先 am enable
然后在e0/16口下 am ip-pool 172.16.2.10

至此，绑定完成。

效果就是只有172.16.2.10 并且mac地址是00e0-fc01-8b0a的pc才可以访问e0/16口，而且这台pc插到别的口上也是无法访问网络的

该方法的缺点就是：设备必须是三层设备，而且必须有三层接口IP地址才可以实现IP和端口的绑定，而一般客户的这种绑定都是在接入层做的，而接入层一般不会放三层设备这么奢侈的，所有实用性并不是很强


方法二：
对硬件无特殊要求，只有支持link层acl即可

网络环境同上

首先定义一acl

acl number 10 basic                                                      
rule 0 deny                                                                   
rule 1 permit source 172.16.2.10 0                                       
#                                                                           
acl name 210 link                                                      
rule 1 permit ingress 00e0-fc01-8b0a 0000-0000-0000 interface Ethernet0/9 egress any
rule 0 deny ingress interface Ethernet0/9 egress any

然后激活acl

#                                                                           
packet-filter ip-group bindpcip rule 0 link-group bindpamac rule 0         
packet-filter ip-group bindpcip rule 1 link-group bindpamac rule 1
配置完成。

该方法优点是对设备要求低，二层设计即可
但是缺点是通过acl实现，如果网络比较大的话不太易实现，管理员太费力气而且后期维护也比较麻烦