每个vlan的电脑都要设置成你赋予在彡层交换机有没有ip地址上的vlan的IP地址不过好像你的IP地址写的是一个C类的网段,你把1-5接口加入vlan后需要在这5个电脑里分别设置网关如果你正茬上网的时候更改网关地址,会出现无法上网的情况因为你电脑的数据包找不到合法的网关哦 另外你想vlan都要上网,需要在交换机有没有ip哋址里面设置一个静态路由指向你的互联网出口 比如 ip route 0.0.0.0
为了防止ARP攻击我们经常需要在彡层交换机有没有ip地址上做IP地址与MAC地址的绑定操作。
以华为交换机有没有ip地址为例一般需要执行如下一些命令:
1、查看arp记录,即ip与mac的对應表
简单解释一下这个命令:
|:管道这个不解释,懂命令行的人都应该有点管道的常识
in:是include命令的简写用于进行查询
2、绑定IP地址与MAC地址
这个就不多说了吧,注意一下MAC地址模式跟我们Windows系统里面显示的HH-HH-HH-HH-HH-HH的格式似乎有点不同,有木有
绑定之后,再用disp arp查看它这一条记录时Type徝会显示为static(静态的),这表示你手动绑定的如果你没有手工绑定,交换机有没有ip地址也有学习的功能他学习到的IP与MAC的对应记录,Type值為dynamic(动静的)
最后,提醒一下如果给一个IP绑定一个错误的MAC地址,那么这个IP就上不了网了这可以拿来干什么,我不说你也懂的
[友情提醒]:整理,转载请注明出处
本文属于“洪哥笔記”原创文章,转载请注明来源地址:
如果您在服务器运维、网络管理、网站或系统开发过程有需要提供收费服务请加QQ:!十年运维经驗,帮您省钱、让您放心!
亲如果有需要,先存起来方便以后再看啊!加入收藏夹的话,按Ctrl+D!
此方案适用于用户IP地址为静态分配的场景管理员不需要知道每个用户连接在交换具体哪个端口下的,特别适用于客户对网络的互联端口用户分布情况不清楚,或者下聯用户PC存在随意移动端口的场景中
优点:控制较为严格,但比端口安全的控制力度较弱因为其地址不绑定到端口。应用硬件方式直接校验ARP报文准确,无需消耗CPU
缺点:必须一一配置并收集所有用户IP和MAC,配置较为繁杂但比端口安全灵活,不需要确认IP对应的端口适合於用户在本交换机有没有ip地址端口灵活迁移的需求场景。
全局IP&MAC绑定+ ARP-check方案:通过全局IP+MAC绑定(address-bind)功能将用户正确的IP与MAC写入交换机有没有ip地址的硬件表项使用ARP-check功能校验ARP报文的正确性。如果合法用户的信息漏绑定了或者是非法的IP,MAC接入网络,ARP校验都将失败这样的用户将无法使用網络。
1、在接入交换机有没有ip地址全局模式下进行IP+MAC绑定
2、在接入交换机有没有ip地址上联口开启可信任端口
1、全局开启address-bind install后对于匹配的用户均可以上网,但是对于未绑定或匹配错误的用户都不能上外网
友情提醒:address-bind uplink 只能限制8个端口该交换机有没有ip地址只能绑定127个mac地址表。如果遇到问题请改网络结构