怎么配置未在此交换机进行MAC+ip地址绑定的设备(有线+无线),不允许上网。所有ip地址都是由核心DHCP发放的
(0)
最佳答案
可以通过以下步骤实现:
在7503交换机上创建ACL(访问控制列表)规则,禁止设备访问外部网络。具体配置如下:
ip access-list extended block-access
deny ip any any
在7503交换机上配置端口策略,将ACL应用到需要禁止上网的端口上
interface GigabitEthernet 1/0/1
port link-type access
port default vlan 100
port access-group block-access in
其中,GigabitEthernet 1/0/1为需要禁止上网的端口,vlan 100为该端口所在的VLAN,block-access为前面创建的ACL名称。
在DHCP服务器上配置DHCP Snooping功能,限制非法DHCP服务器
dhcp snooping enable
dhcp snooping vlan 100
dhcp snooping trust interface GigabitEthernet 1/0/2
dhcp snooping enable为启用DHCP Snooping功能,dhcp snooping vlan 100为指定需要保护的VLAN号,dhcp snooping trust interface GigabitEthernet 1/0/2为指定信任的DHCP服务器所在的端口。
以上配置可以实现对未进行MAC+IP地址绑定的设备禁止上网,同时保护网络安全
(0)
有线的话再接口下配置
进入接口使用动态绑定表项的方式进行绑定,命令如下:
Int GigabitEthernet1/0/1
ip source binding ip-address 1.1.1.1 mac-address 0023-24a1-0605
ip verify source ip-address mac-address
选线的可以再dhcp 地址池里做静态绑定
dhcp server ip-pool 2D(bangong)
gateway-list 192.168.40.1
network 192.168.40.0 mask 255.255.254.0
dns-list 219.149.194.55 114.114.114.114
expired day 0 hour 8
forbidden-ip 192.168.40.2
forbidden-ip 192.168.40.10
static-bind ip-address 192.168.40.11 mask 255.255.254.0 hardware-address c025-a5d5-5274
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论