直接划VLAN,限制了广播域,就算ARP再厉害,能如何?
老大是指端口方式吗?那不是增加了网内访问的难度?
好像还有人没听懂。。呵呵
智能二层交换机不能做IP+MAC+PORT的绑定,只能作MAC+PORT的绑定。而上三层交换机就可以,但不用起三层功能。
原帖由 naboo 于 2007-2-13 13:44 发表
好像还有人没听懂。。呵呵
智能二层交换机不能做IP+MAC+PORT的绑定,只能作MAC+PORT的绑定。而上三层交换机就可以,但不用起三层功能。
大部分的IP+MAC+PORT的绑定分2步走,先将MAC+PORT(或VLAN)绑定,然后做基于IP的访问控制列表(简称ACL),这样的做法,是将绑定的端口做网关,想不起三层也不行,否则ACL就不起作用,区分它的方法很简单,通常需要在两个位置写配置。这样的绑定,对ARP欺骗通常是不起作用的(除非象精品说的,每个主机一个段/VLAN)
还有一小部分,之所以说小部分,主要是指很多非主流的国产厂商(稳定和性能方面不能和名牌相比,就只能做些大厂不太注重的地方)。这些大多是俗称二层半的设备(也可能包括这里提到的3层设备不起三层)可以支持IP+MAC+PORT一次性绑定(通常一条命令就全解决了的)。这种其实有好多就是我前面提到的用二进制过滤的方法,只是不用去算而已(人性化),此时又分两种情况,一种,不会过滤源地址广播,另外一种,会将源地址为广播地址的包也过滤掉,这样,就同时带来DHCP的功能无法实现的副作用。关键问题还不在这里,除了类似华为这样的大牌子,很多国产小牌子根本用不住,就算还过得去的华为,我的库房里还躺着好多多台坏的3026,过保了,还有的虽然还在用,有的口子坏了,有的模块坏了...
请问为什么不能绑定IP,是不是因为是工作在二层?
交换机支持IP了,就可以算3层了,当然,现在有些2层的加了模块后可以支持IP,所以就叫2.5层交换机了!
老大,你在哇,那么再请教,在二层(非2.5)上绑定了基于端口的MAC,是不是会让ARP表变为静态?
你们说的那个arp补丁好象只是对win2000的啊
好东西!应该学习!!