我正在配置 Cisco 881,并且想要限制 LAN 上的单个端口(FastEthernet 0-3)。我希望能够根据某人所连接的端口来限制他们可以使用的 IP 地址。
这样,可以使用另一个位置的 IP ACL 来确定在建立 TCP 连接之前用户是否使用正确的电缆进行了物理连接。
答案1
如果你每个物理交换机端口创建一个 VLAN(881 似乎最多支持 8 个 VLAN),您可以为每个 VLAN 分配一个单独的 IP 子网。例如:
f0 has VLAN 100 and subnet 192.168.0.0/24
f1 has VLAN 101 and subnet 192.168.1.0/24
f2 has VLAN 102 and subnet 192.168.2.0/24
f3 has VLAN 103 and subnet 192.168.3.0/24
即,如果建立了连接,192.168.2.65您将知道它是通过VLAN 102和接口连接的f2。
描述了将 VLAN 分配给接口的语法这里似乎是:
Router(config)# Interface fastethernet2
Router(config-if)# switchport access vlan 102
Router(config-if)# no shutdown
Router(config-if)# end
为 VLAN 接口分配 IP 地址(即客户端的默认网关地址)的语法在整个过程中可见配置指南并且似乎是配置形式:
Interface Vlan102
ip address 192.168.2.254 255.255.255.0