ip+mac静态绑定,修改IP后无法上网
一、静态mac和IP有两种:
1. user-bind static
2.arp statice
很多人会把arp static和am user-bind命令搞混淆,虽然使用起来不一样,但是最终效果都是一样的,都是针对ip/mac绑定:
首先使用arp static绑定必须将所有的ip进行绑定,如果有遗漏ip,那ip/mac绑定就会失效。
二、绑定生效规则:
arp static 类似黑名单制
1、IP及MAC均匹配正确 规则生效,放通。
2、IP-MAC无匹配(IP及MAC均无匹配)规则无效,底层放通。
3、IP或MAC有其中一方匹配上,另一方匹配错误,即规则生效,拦截。
user-bind static 类似白名单制(结合vlan或端口中使用 ip source check user-bind enable 进行IPSG检查)
1、IP及MAC均匹配正确 规则生效,放通。
2、IP-MAC无匹配(IP及MAC均无匹配)规则生效,拦截。
3、IP或MAC有其中一方匹配上,另一方匹配错误,即规则生效,拦截。
三、实例讲解
如图:接入设备都使用静态IP地址,接入交换机下的PC设备不能随意修改自己的IP地址。
3.1 华为交换机:
在接入交换机上配置:
1 system-view 2 user-bind static ip-address 192.168.50.10 mac-address 5489-98d1-0560 //支持一个接口绑定多个PC,也可以支持最多10个IP绑定一个MAC 3 interface Ethernet0/0/2 4 ip source check user-bind enable //开启接口的IPSG功能 5 ip source check user-bind alarm enable //开启IP报文检查报警功能 6 ip source check user-bind alarm threshold 20 //当丢弃报文阈值达到20个时将上报告警
执行display dhcp static user-bind all命令,可以查看静态绑定表信息。
验证:
修改该接口下的PC的IP地址,测试是否还可以上网。
注意:ensp上无法进行验证,需要在实体机上进行验证。
3.2 H3C交换机配置:
H3C交换机则无需手动打开IPSG功能,直接进入连接PC的端口,进行IP和mac绑定:
[W238]interface GigabitEthernet 1/0/5 [W238-GigabitEthernet1/0/5]user-bind ip-address 192.168.5.144 mac-address 90b1-1c5a-7b31 //支持绑定多个pc
只要接口下存在一个绑定,那么该接口就存在IPSG功能,没有绑定的pc或者没有同时匹配IP和mac地址的pc都会无法访问网络。
