Chinaunix

标题: 6509上绑定ip和mac以后该ip其他机器还能用？ [打印本页]

作者: 剑心通明 时间: 2006-11-03 08:59
标题: 6509上绑定ip和mac以后该ip其他机器还能用？
在核心交换机6509上做了ip和mac绑定，可是该ip的合法使用者说他不能用，提示ip冲突，有人已经用了，我在6509上show arp显示有：\r\nInternet ×××.99 - 0016.ece9.9a79 ARPA\r\n正常的后面应该有VLAN××等字样，说明这个0016.ece9.9a79 的机器用了这个ip地址，可是绑定的却是另外一个mac地址，为什么？该怎么处理？

作者: jk0wg 时间: 2006-11-03 09:35
是不是你把MAC地址绑错了? 没有绑到真实的MAC地址??

作者: 剑心通明 时间: 2006-11-03 09:59

原帖由 jk0wg 于 2006-11-3 09:35 发表\r\n是不是你把MAC地址绑错了? 没有绑到真实的MAC地址??

\r\n没有，现在show arp的mac是另外一个机器的mac，它把自己的ip设置成了这个ip

作者: jk0wg 时间: 2006-11-03 10:00

原帖由 剑心通明 于 2006-11-3 09:59 发表\r\n\r\n没有，现在show arp的mac是另外一个机器的mac，它把自己的ip设置成了这个ip

\r\n要是你绑定正确的话。那么他修改了IP地址网就不通的。

作者: 剑心通明 时间: 2006-11-03 10:18

原帖由 jk0wg 于 2006-11-3 10:00 发表\r\n\r\n要是你绑定正确的话。那么他修改了IP地址网就不通的。

\r\n不是他修改，是别人用了他的ip

作者: jk0wg 时间: 2006-11-03 10:23

原帖由 剑心通明 于 2006-11-3 10:18 发表\r\n\r\n不是他修改，是别人用了他的ip

\r\n你还没明白。。。你既然在一台交换机里绑定了一个IP，那么就只有符合你绑定的条件（MAC地址与IP对应）交换机才会让它的数据通过。前提条件是绑定要正确。不然绑了没用。就好比没有绑定一样。

作者: 剑心通明 时间: 2006-11-03 10:35

原帖由 jk0wg 于 2006-11-3 10:23 发表\r\n\r\n你还没明白。。。你既然在一台交换机里绑定了一个IP，那么就只有符合你绑定的条件（MAC地址与IP对应）交换机才会让它的数据通过。前提条件是绑定要正确。不然绑了没用。就好比没有绑定一样。

\r\n是你没看清吧\r\n我绑定了A的ip和A的mac，现在A的ip别B用了，A用我给分的ip提示网络已有了，不能上网，show arp显示的是A的ip和B的mac，如果绑定生效的话，B用A的ip应该不能上网的，A用自己的ip，应该不会提示ip冲突的吧？

作者: jk0wg 时间: 2006-11-03 10:37
既然你绑了A的IP和A的MAC地址。那么就说明只有当MAC地址是A的才能使用A的IP通讯。但是为什么B用A的IP可以通讯呢？？这说明什么？？？

作者: jk0wg 时间: 2006-11-03 10:39
A用你给分的ip提示网络已有了，不能上网，说明B能使用你绑定的A的IP通讯。既然如此。那么你的绑定失效，就是绑定和未绑定是一样的情况。

作者: 剑心通明 时间: 2006-11-03 10:46

原帖由 jk0wg 于 2006-11-3 10:39 发表\r\nA用你给分的ip提示网络已有了，不能上网，说明B能使用你绑定的A的IP通讯。既然如此。那么你的绑定失效，就是绑定和未绑定是一样的情况。

\r\n所以才纳闷啊，为什么哪？其他人的绑定都很正常的，就是有个别的不生效

作者: jk0wg 时间: 2006-11-03 10:56
　　Switch(config)#Mac access-list extended MAC10\r\n　　#定义一个MAC地址访问控制列表并且命名该列表名为MAC10\r\n　　Switch(config)#permit host 0009.6bc4.d4bf any\r\n　　#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机\r\n　　Switch(config)#permit any host 0009.6bc4.d4bf\r\n　　#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机\r\n　　Switch(config)#Ip access-list extended IP10\r\n　　#定义一个IP地址访问控制列表并且命名该列表名为IP10\r\n　　Switch(config)#Permit 192.168.0.1 0.0.0.0 any\r\n　　#定义IP地址为192.168.0.1的主机可以访问任意主机\r\n　　Switch(config)#Permit any 192.168.0.1 0.0.0.0\r\n　　#定义所有主机可以访问IP地址为192.168.0.1的主机\r\n　　Switch(config-if )interface Fa0/20\r\n　　#进入配置具体端口的模式\r\n　　Switch(config-if )mac access-group MAC10 in\r\n　　＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）\r\n　　Switch(config-if )Ip access-group IP10 in\r\n　　＃在该端口上应用名为IP10的访问列表（即前面我们定义的访问策略）\n\n[ 本帖最后由 jk0wg 于 2006-11-3 10:57 编辑 ]

作者: jk0wg 时间: 2006-11-03 10:59
12楼我说的哪个是基于端口的IP和MAC地址绑定

作者: 剑心通明 时间: 2006-11-03 11:08

原帖由 jk0wg 于 2006-11-3 10:59 发表\r\n12楼我说的哪个是基于端口的IP和MAC地址绑定

\r\n我只需要ip和mac的绑定，他们机器经常换地方的，基于端口，非累死人不行

作者: jk0wg 时间: 2006-11-03 11:14
只做IP和MAC的绑定.哪就没多大意义了.. 机器换地方? 本本?

作者: jk0wg 时间: 2006-11-03 11:20
arp 1.1.1.1 0001.0001.1111 ARPA你是这样绑定的吗?是的话,如果非法用户把地址改为1.1.1.1，它发送到路由器的包正常，但是从目标服务器2.1.1.1返回的数据包在路由器上转发的时候，目标MAC地址将总是设为0001.0001.1111，非法用户不能接收。

作者: 剑心通明 时间: 2006-11-03 11:32

原帖由 jk0wg 于 2006-11-3 11:20 发表\r\narp 1.1.1.1 0001.0001.1111 ARPA你是这样绑定的吗?是的话,如果非法用户把地址改为1.1.1.1，它发送到路由器的包正常，但是从目标服务器2.1.1.1返回的数据包在路由器上转发的时候，目标MAC地址将总是设为0001.0001 ...

\r\n但是合法用户再改成这个地址却提示有冲突，不能用

作者: jk0wg 时间: 2006-11-03 11:40
哪你可先在交换机里断掉非法用户.然后再把合法用户的IP改了. 再不行的话.只能通过DHCP来做绑定了.

作者: 剑心通明 时间: 2006-11-03 11:44

原帖由 jk0wg 于 2006-11-3 11:40 发表\r\n哪你可先在交换机里断掉非法用户.然后再把合法用户的IP改了. 再不行的话.只能通过DHCP来做绑定了.

\r\n我不知道谁在用那个ip如何断掉？接入交换机有些还是hub啊

作者: jk0wg 时间: 2006-11-03 11:54

原帖由 剑心通明 于 2006-11-3 11:44 发表\r\n\r\n我不知道谁在用那个ip如何断掉？接入交换机有些还是hub啊

\r\n真这样的话.DHCP是最适合你这样的情况了..

作者: 剑心通明 时间: 2006-11-03 12:15
我现在就是比较纳闷，为什么绑定的不生效？

作者: jk0wg 时间: 2006-11-03 12:50
你可以试下其它机器的绑定.估计也是同样不生效的.. \r\n情况就像我在17楼说的一样..

作者: 剑心通明 时间: 2006-11-03 14:06

原帖由 jk0wg 于 2006-11-3 12:50 发表\r\n你可以试下其它机器的绑定.估计也是同样不生效的.. \r\n情况就像我在17楼说的一样..

\r\n其他的管用，否则也不会觉得这么奇怪了，我绑了几十个，都是管用的

作者: xliu 时间: 2006-11-03 14:22
你端口shutdown，然后再up一下可以吗？

作者: 剑心通明 时间: 2006-11-03 14:38

原帖由 xliu 于 2006-11-3 14:22 发表\r\n你端口shutdown，然后再up一下可以吗？

\r\n我试试吧

作者: 剑心通明 时间: 2006-11-03 14:46
6509支持这样的绑定是否有数量限制？

作者: jk0wg 时间: 2006-11-03 14:48

原帖由 xliu 于 2006-11-3 14:22 发表\r\n你端口shutdown，然后再up一下可以吗？

\r\n楼主这个不是基于端口绑定的... \r\n\r\n难道得重启交换机?? 或者是down all port??

作者: xliu 时间: 2006-11-03 15:23
重启交换机是机遇端口的绑定，基于端口的绑定是需要重启的，另外也有数量的限制，可以手动限制绑定的数量

作者: xliu 时间: 2006-11-03 15:24
楼主现在情况如何，想跟进了解一下^_^

作者: jacal 时间: 2006-11-03 17:41
标题: 回复 27楼剑心通明的帖子
没有限制，限制主要是在是否有存储空间。\r\n我单位绑定勒3000多都没问题，同样是6509

作者: jacal 时间: 2006-11-03 17:50
仔细从头看勒下下，我认为楼主是不是绑定错勒？\r\n参看下面我们单位：\r\n\r\n

\r\nProtocol Address Age (min) Hardware Addr Type Interface\r\nInternet 202.XXX.XXX.55 - 00d0.0946.4976 ARPA\r\nInternet 202.XXX.XXX.61 - 0010.5cd6.a61d ARPA\r\nInternet 12.4.3.10 30 0090.f547.c066 ARPA Vlan143\r\nInternet 12.9.5.1 - 0007.ec73.fbfc ARPA Vlan195\r\nInternet 12.8.4.1 - 0007.ec73.fbfc ARPA Vlan184\r\nInternet 202.XXX.XXX.61 - 00d0.0946.e06a ARPA\r\nInternet 202.XXX.XXX.62 - 0060.0836.62f0 ARPA\r\nInternet 12.9.6.1 - 0007.ec73.fbfc ARPA Vlan196\r\nInternet 12.8.7.1 - 0007.ec73.fbfc ARPA Vlan187\r\n

\r\narp表中有动态和静态之分，如果是静态绑定的，像上面的红色的记录，后面是没有指定vlan的\r\n否则就是动态的，另外，动态的arp记录中（如上蓝色部分），如果当前主机在线则age列有数字，否则为-.\r\n最直接的是你可以看配置文件：\r\nshow run\r\n看配置文件后面是否有你绑定的那条记录的正确绑定记录。\r\n\r\n如果没有，说明你绑定时候的命令没有成功，有时候可能是存储配置文件的空间不够导致的。

作者: 剑心通明 时间: 2006-11-05 07:13

原帖由 jacal 于 2006-11-3 17:50 发表\r\n仔细从头看勒下下，我认为楼主是不是绑定错勒？\r\n参看下面我们单位：\r\n\r\n\r\narp表中有动态和静态之分，如果是静态绑定的，像上面的红色的记录，后面是没有指定vlan的\r\n否则就是动态的，另外，动态的arp记录中（如上 ...

\r\n我用的绑定命令是arp ip mac arpa，这个不对吗？但是绝大多数的ip和mac绑定之后就只能他用了，只有个别的ip和mac这样绑定了以后出现这样的问题，所以我才很奇怪

作者: nlsycb 时间: 2006-11-06 14:15
前两天公司遇到和楼主一样的问题，最后还是找到了那个抢了IP的才搞定。\r\n你试试这样行不行，你把抢了A的IP的那个B的MAC地址邦定一个未用的IP上，也就是让B也down掉，然后让A用回原来的IP，这样A应该可以通了，如果是DHCP，在把B放开，应该抢不了A的IP了这时，如果不是DHCP只能找到B，让他重新配IP了，仅供参考。（偶当时是想，B不通了应该会来找的，呵呵！）\r\n\r\n顺便问下楼主，你们都是用6509做桌面接入啊，真是奢侈啊！

作者: 剑心通明 时间: 2006-11-06 14:27

原帖由 nlsycb 于 2006-11-6 14:15 发表\r\n前两天公司遇到和楼主一样的问题，最后还是找到了那个抢了IP的才搞定。\r\n你试试这样行不行，你把抢了A的IP的那个B的MAC地址邦定一个未用的IP上，也就是让B也down掉，然后让A用回原来的IP，这样A应该可以通了，如果 ...

\r\n这样绑定还有什么意义？还得找到人让他改

作者: jacal 时间: 2006-11-07 11:38
按照正常的想法：确定绑定正确，需要查看配置文件中确实存在你绑定的记录。并确定这些记录生效

作者: 剑心通明 时间: 2006-11-08 20:14

原帖由 jacal 于 2006-11-7 11:38 发表\r\n按照正常的想法：确定绑定正确，需要查看配置文件中确实存在你绑定的记录。并确定这些记录生效

\r\nsh run是可以看到的，但就是不生效，奇怪的很

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)