华为S5700交换机设置IP-MAC绑定功能

公司以前人员比较少，但是经常会有客户来公司驻场协作工作。公司希望驻场同事不能访问公司内部特定的共享盘。但是还是有个别共享盘对他们开放。

开始我想的是共享盘设置账号密码形式。可是老板又担心相互之间可以询问账号密码（此时有一句MMP不知当讲不当讲）。然后我又想到了用域服务器，设置可以访问共享的域账号。但是这需要现有员工都入域（有些人不想改变他们的环境，推动有难度，并且耗时较长），是个长期工作。最后打算再核心交换机上加一个IP-mac绑定功能，然后再共享服务器上添加防火墙只允许指定ip端进行访问（因为驻场员工每次座位不固定——谁叫他们是甲方爸爸呢，没法一开始就将他们指定到一个vlan中）。

配置：

配置过程比较简单（我这三层交换机有开启dhcp功能和划分vlan），先配置静态的IP+mac的表项，如果没配置表项千万不要开启功能。如果在VLAN下配置了命令，但是又没有表项，则会导致所有人都无法上网。

点击web界面左边的安全-用户静态绑定，然后点击新建，适用自己公司环境确定绑定方式。我这选的是IP+MAC并指定Vlan ID的形式。

然后用console口进入命令行界面，在每个需要绑定的vlan下输入 ip source check user-bind enable 就可以了。

如果不小心执行了，这时候该如何恢复呢？

此时在对应的VLAN下输入undo ip source check user-bind enable 将检测的命令删除就可以了。

效果：

设置成功后，没有绑定的员工（自己设置静态IP，或者换了座位换了vlan口没通知）就是如下图这个状态了，能够获取到DHCP给予的IP，但是无法上网。

这时候我就将外部驻场员工的IP全部记录下来了，也不用担心他们换位置不告诉我了。再讲他们的IP在共享服务器上设置下防火墙就能满足老板的要求了。