南迦子斋戒

领导前些日子交待给@lzyiww一个绑定公司和厂里所以ip&mac&port的任务，前段时间也确实在进行了，是在机房的6509接下来的二阶交换机上做的，之前用是CCIE教的一个方法，先是在config terminal下批量这条绑定命令ex：

ip source binding 000b.cdba.22a1 vlan 39 10.108.39.12 interface Gi1/0/35 这条命令我是理解为虚拟了ip ,mac,vlan and port的关系，但实质上运行了还得靠下面的这几条命令。当然还是先进端口配置，例如配置G口18到37，

int ran g1/0/18-37

switchport port-security violation protect 这条是开启端口保护警告模式的

ip verify source port-security  这条是验证ip的命令

switchport port-security maximum 5exi 这是允许这个端口下最多5个MAC地址的

如果以上IP和MAC地址不配的话就会丢失数据包，这条命令是cisco下比较新的，可能老的机型不适用，但目前我们单位用的cisco 3750和cisco 6509都是可以的。

这个命令我目前找到的不足或者是我自己没有学习到得就是，当我采集了一段时间内的数据进行绑定了以后，会出现有的人没采集到，这时候我就得给他添加，添加的命令关键比较麻烦，虽然可以做成一个小脚本来执行，但是只是一台3750就让我们这么麻烦，那全厂全公司那么多岂不是做了很多机器劳动，具体方法如下，先还是no掉那些保护

int ran g1/0/18-37

no switchport port-security violation protect

no ip verify source port-security

然后在核心交换机上show ip arp 10.xxxx找到mac ,再show mac add | inc xxxx找到端口，再show cdp nei | inc xxport找到接连到下面的那台交换机上，再到那台交换机上再show mac add 找到端口，然后再输入ip source  xxxxx这条长命令，然后再次应用上面那个绑定命令即可，我是觉得比较麻烦了，然后和两位师傅又商量了下，如果是用不着绑定端口的话，cisco确实有一种很简单的命令模式，如下：

arp (ip add)  (mac add )   arpa   这条命令就是绑定了mac和ip，并且是在核心交换机上执行的，但是考虑到公司那么多ip and mac所以决定依据vlan用表的方式来划分管理，例如

ip access-list extended vlan39
permit ip host 10.108.39.80 any
permit ip any host 10.108.39.80
deny   ip any any

考虑到这样的话，如果哪个人没绑的话那么他也可以肆无忌惮上网，所以再在核心交换机上建立一个ip访问控制列表，当然也可以是mac表的：

config t

interface vlan xx

ip access-group vlan55 in
ip access-group vlan55 out

wr即可

其实我们也想到了这样的不好之处，那就是会修改mac的人！

哎，毕竟只是到配置里改改network add的值，我日，七月份那个一直攻击主页服务器的家伙就把自己的mac改成了888888888888，我日

怎么办呢，最近还没想到方法，一步步想把，明天看看师傅和主任商量的结果，这些天看一本书，叫思科九年，里面讲到1998年CCIE的工资是80W/Y，现在十万就差不多了，而且现在的CCIE很多都没有实践，叫他们热插拔可能他们都要想想，都是在虚拟上搞的，但是那本书是个垃圾，文笔太差，也没技术内容，看起来整本书都在说那些人好话，也许确实牛逼，但没必要整本书都在说，看来好书少了。。。。