上網行為管理如何實現跨網段IP？

上網行為如何夸網段實現MAC綁定?我個人使用華為設備較多。我們以華為S5700系列簡介一下:

交換機上配置IP-mac綁定，主要需要考慮兩個因素：

該交換機是否開啟DHCP服務？

是采用端口綁定還是ARP綁定？

端口綁定或者ARP綁定，只是強制了IP-MAC的對應關系。但是，對于自動獲取IP地址的客戶機而言，還需要在DHCP服務器上分配固定IP才可以；否則客戶機重新獲取IP后，就會聯不了網。所以，一個完善的IP-MAC綁定方案，既要考慮DHCP的靜態地址分配，還要考慮IP-MAC的實際綁定實現。對于三層交換機而言，分為兩種情況：

1. 三層交換機作為DHCP服務器

以華為的S5700為例，如果本身已經開啟了DHCP服務，那么做綁定時，既需要做DHCP的綁定，還需要做ARP的綁定。具體命令如下：

1.1) DHCP分配靜態IP

int vlanif 50

dhcp server static-bind ip-address 192.168.50.100 mac-address 1234-1234-1234

1.2) ARP綁定

user-bind static ip-address 192.168.50.100 mac-address 1234-1234-1234

這樣配置后，該MAC地址每次都可以獲取到指定的IP，且只有該指定的IP地址才可以聯網。三層交換機上配置IP-MAC綁定，相對來說配置和維護都比較復雜。其實還有一個辦法，就是在網關上啟用到每個VLAN的DHCP。直接在網關上進行IP-MAC綁定。請繼續往下閱讀：

2. 三層交換機不做DHCP服務器

簡單點來說，就是在網關上啟用每個VLAN的DHCP服務，然后把三層交換機的上聯口設置為trunk口。由網關來分配IP地址和綁定。以cisco 3750為例，具體步驟如下：

2.1) 配置交換機的上聯口為trunk口

#interface FastEthernet0/1

#switchport trunk encapsulation dot1q

#switchport mode trunk

把1號口設置為上聯口，接到上層的路由器網關設備。

2.2) VLAN配置

#interface Vlan 2

#ip address 192.168.20.2 255.255.255.0

修改VLAN參數，把交換機VLAN的IP設置為192.168.20.2，192.168.20.1預留給網關。

2.3) 在WSG網關上啟用VLAN和VLAN的DHCP，并且配置綁定。