FAQ-如何通过配置来实现MAC+端口绑定功能

发布时间:  2015-02-13 浏览次数:  149 下载次数:  0
问题描述
如何通过配置来实现MAC+端口绑定功能?
解决方案
Switch通过流策略与DHCP Snooping两个功能相互结合来实现MAC和端口绑定,即实现某个端口只绑定某个特定mac地址(某个端口只允许在绑定表内的和某特定mac地址的报文通过),不绑定ip。
例如,配置端口Ethernet0/0/1只允许绑定表内的和源mac地址为0-02-02的报文通过,其他报文都丢弃。
# 全局使能dhcp snooping
[HUAWEI] dhcp snooping enable
# 创建ACL,只允许MAC地址为0-02-02的报文
[HUAWEI] acl 4000
[HUAWEI-acl-L2-4000] rule permit source-mac 0-02-02 ffff-ffff-ffff
[HUAWEI-acl-L2-4000] rule deny
# 创建流分类,匹配ACL 4000
[HUAWEI] traffic classifier c1
[HUAWEI-classifier-c1] if-match acl 4000
# 创建流行为和流策略
[HUAWEI] traffic behavior b1
[HUAWEI-behavior-b1] permit
[HUAWEI] traffic policy p1
[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
# 端口下应用流策略,使该端口只允许绑定表内的和源mac地址为0-02-02的报文通过。
在V100R005C00及以后的版本配置如下:
[HUAWEI] interface Ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 4094
[HUAWEI-Ethernet0/0/1] ip source check user-bind enable
[HUAWEI-Ethernet0/0/1] traffic-policy p1 inbound

END