最近领导要求对办公人员通过网线接入的终端做准入限制,只允许登记过MAC地址的终端上网。
在没有其他接入认证设备或上网行为管理设备的前提下,仅依靠交换机要实现这个效果得分两步走。
办公网的汇聚设备是华为的S7706,版本号V200R008C00SPC500,拓扑如下~
第一步:绑定终端MAC地址
1、首先办公网各网段的网关都在S7706上。
2、在各网段的ip pool中使用命令static-bind ip-address X.X.X.X mac-address xxxx-xxxx-xxxx给终端绑定MAC
3、使用命令excluded-ip-address X.X.X.X X.X.X.X把指定范围的IP地址排除在DHCP分配地址池之外,重点是DHCP地址数量与实际绑定MAC的终端数量要一样多。
这时候绑定了MAC的终端接入时会自动分配绑定的IP地址,没有绑定MAC的终端无法获取IP地址,但是!如果这些终端手动配置被excluded-ip-address排除的ip地址,任然是可以正常上网的。以前一直以为排除地址不能使用,其实只是不参与DHCP自动分配!那么就需要第二步来限制这些ip了。
第二步:在办公网汇聚上行链路上通过ACL来deny掉源IP是排除地址的通过。
1、创建一个高级ACL,例如acl 3001
2、ACL配置禁止指定的源IP通过,笨办法是一个一个IP写,灵活一点就根据实际情况用可变长子网掩码来禁止一段IP,多余的不好划分的再单个deny。
rule 1 deny ip source 172.16.1.100 0.0.0.0 #禁止单个源IP示例 rule 2 deny ip source 172.16.1.101 0.0.0.0 #禁止单个源IP示例 rule 3 deny ip source 172.16.1.102 0.0.0.0 #禁止单个源IP示例 rule 4 deny ip source 172.16.1.192 0.0.0.63 #可变长子网掩码禁止一段源IP示例 . . rule 100 permit ip #默认允许通过
3、然后将ACL配置到流策略,并应用到汇聚上行接口的vlan。
到这里基本就搞定了,绑定了MAC的终端可以正常上网,其他终端无法获取ip地址,即使手动修改也没有用。唯一的弊端是手动修改之后虽然不能访问汇聚上层的网络,但是任然可以在办公网的汇聚和接入层通信。没办法谁叫咱没有专用的上网行为管理设备呢!当然也可以在接入交换机的每个端口上绑定MAC,但是这样如果需要接入的终端一多,工作量就会变得巨大。