S10506组网问题，请各位大佬帮忙指导

将核心交换机下的ABC三个用户办公接入交换机设置在VLAN10下，分配一个C192.168.110.x;

将核心交换机下的EFG三个用户办公接入交换机设置在VLAN20下，分配一个C192.168.120.x;

将核心交换机下的XYZ三个用户办公接入交换机设置在VLAN30下，分配一个C192.78.167.x。

要求：

每个VLAN中用户通过DHCP获取地址上网，为该用户通过mac绑定ip进行静态绑定，以此来记录用户身份，ip和mac没有绑定的用户连接后也不能上网；

目的：既要让用户dhcp即可上网，无需手动设置（方便用户无感上网）；又能在交换上控制没有绑定的用户上不了网，私自修改ip也上不了网（满足监管实名要求）。以此来确定用户上网身份。

问题：

1.这个工作通过dhcp的静态绑定是否可以实现，代码如下？

2.下边的代码，如果192.168.110.2-9已有8个用户完成了ip、mac绑定上网，但新来第9个用户是不是直接连上网络就能自动分配上网了？另外192.168.110.8用户如果私自将ip修改为192.168.110.25是不是也还是能上网？

# 1. 创建VLAN并配置网关地址

vlan 10

 description Office_ABC_Network  # 标记VLAN用途

vlan 20

 description Office_EFG_Network

vlan 30

 description Server_XYZ_Network

interface Vlan-interface10

 ip address 192.168.110.1 24     # 定义VLAN10网关地址

 dhcp select interface            # 启用DHCP服务

 dhcp server forbidden-ip 192.168.110.1  # 排除网关地址分配

 dhcp server static-bind ip-address 192.168.110.2 hardware-address 0001-0001-0001  # MAC绑定用户1

 dhcp server static-bind ip-address 192.168.110.3 hardware-address 0002-0002-0002  # MAC绑定用户2

 # 继续添加其他用户的静态绑定...

interface Vlan-interface20

 ip address 192.168.120.1 24

 dhcp select interface

 dhcp server forbidden-ip 192.168.120.1

 dhcp server static-bind ip-address 192.168.120.2 hardware-address 0003-0003-0003

interface Vlan-interface30

 ip address 119.78.167.1 24

# 2. 配置接入端口VLAN划分（假设端口G1/0/1-3接ABC，G1/0/4-6接EFG，G1/0/7-9接XYZ）

interface range GigabitEthernet1/0/1 to GigabitEthernet1/0/3

 port link-type access

 port access vlan 10

 stp edged-port enable  # 启用边缘端口特性，加快STP收敛

 storm-constrain broadcast 50  # 限制广播流量不超过50%

 loopback-detection enable     # 启用环路检测

interface range GigabitEthernet1/0/4 to GigabitEthernet1/0/6

 port link-type access

 port access vlan 20

 stp edged-port enable

 storm-constrain broadcast 50

 loopback-detection enable

interface range GigabitEthernet1/0/7 to GigabitEthernet1/0/9

 port link-type access

 port access vlan 30

 stp edged-port enable

 storm-constrain broadcast 50

 loopback-detection enable

# 3. 安全加固配置

## 3.1 防ARP欺骗

dhcp snooping enable  # 全局启用DHCP Snooping

vlan 10

 dhcp snooping enable  # VLAN内启用DHCP信任

 arp detection enable  # 启用ARP检测

 arp detection validate dst-mac ip-address  # 严格校验ARP报文

vlan 20

 dhcp snooping enable

 arp detection enable

 arp detection validate dst-mac ip-address

vlan 30

 dhcp snooping enable

 arp detection enable

 arp detection validate dst-mac ip-address

## 3.2 IP-MAC绑定校验（未绑定用户禁止通信）

interface range GigabitEthernet1/0/1 to GigabitEthernet1/0/9

 ip verify source ip-address mac-address  # 启用IP源防护（基于DHCP绑定表）

## 3.3 端口安全加固

interface range GigabitEthernet1/0/1 to GigabitEthernet1/0/9

 port-security enable  # 启用端口安全

 port-security max-mac-count 1  # 每个端口仅允许1个MAC地址

# 4. 跨VLAN访问控制

acl advanced 3000 name VLAN_ACL  # 创建高级ACL

 rule 5 permit ip source 192.168.110.0 0.0.0.255 destination 119.78.167.0 0.0.0.255  # 允许VLAN10访问VLAN30

 rule 10 permit ip source 192.168.120.0 0.0.0.255 destination 119.78.167.0 0.0.0.255  # 允许VLAN20访问VLAN30

 rule 1000 deny ip  # 默认拒绝所有其他跨VLAN流量

## 应用ACL到VLAN虚接口

interface Vlan-interface10

 packet-filter 3000 inbound  # 对进入VLAN10的流量过滤

interface Vlan-interface20

 packet-filter 3000 inbound

# 5. 保存配置

save force  # 强制保存配置到存储设备