首先说一下环境。这是我们公司内部真是的案例。这是把网络精简了一下。如下图:
区域1中有个电视机机顶盒,该设备具有DHCP功能(想关闭,但不知道如何关闭)。搞得vlan11中的员工莫名其妙的会活动机顶盒分配的IP地址。导致无法上网。为了解决这个问题,我在cisco2960上配置了acl,拒绝机顶盒为其他交换机上的vlan11分配IP地址。方法很简单.
GX-SW-2960-01#sh ip access-lists
Extended IP access list 100
15 deny udp any any eq bootpc
30 permit ip any any
GX-SW-2960-01#sh run inter f0/44
Building configuration...
Current configuration : 157 bytes
interface FastEthernet0/44
description to_s2318_3
switchport access vlan 11
switchport mode access
ip access-group 100 in
spanning-tree portfast
就这样,即使其他vlan11的员工想机顶盒发送DHCP请求,DHCP服务器响应的报文被丢失了。这样员工的PC只能从合法的DHCP服务器获取IP地址了。
其实我想在S2300交换机上做ACL或mac地址限制,可惜该交换机的功能实在太少,无法实现。我又不想为机顶盒单独划分一个vlan,导致和机顶盒同在一个交换机的PC,还会从机顶盒获取IP地址。好在人数少,而且又是他们在使用机顶盒。他们也能忍受了。
哎,运维管理,不单纯是技术为先!
转载于:https://blog.51cto.com/swenzhao/1259826