小龙告诉你，如何在核心交换机上实现非法接入？

说起网络安全我们网络工程师首先会想到企业网络的安全，那么今天提起企业网络安全就不得不提到企业有线用户如何防范非法接入。那如何做到更好的防范企业网络的非法接入呢？有很多人都会想到防火墙，行为管理设备等安全设备，确实在防范企业网非法接入时，我们的安全设备确实能够起到很好的作用。但是相对于企业规模较小，网络建设预算较低的一些中小型企业，能否去使用较为昂贵的安全设备还值得考究。
那是否有不通过安全设备还能有效的去防范企业网的非法接入问题呢？答案是肯定的。我们可以通过MAC的绑定有效的防范非法接入，那实际如何去实现呢？下面将告诉你。这是一个简单的企业三层网络，拓扑图如下：

1. 首先我们可以为合法接入的PC分配静态IP地址（下面为其中一台PC1作为示例，其他PC同下）
   
2. 在核心交换机上绑定MAC和相对的IP地址：
   user-bind static ip-address 192.168.10.2 mac-address 5489-98a2-6bde
   user-bind static ip-address 192.168.10.3 mac-address 5489-9864-6309
   user-bind static ip-address 192.168.10.4 mac-address 5489-9826-1a71
   user-bind static ip-address 192.168.10.5 mac-address 5489-9880-5297
   user-bind static ip-address 192.168.10.6 mac-address 5489-98a9-4905
   user-bind static ip-address 192.168.20.2 mac-address 5489-989a-4ce5
   user-bind static ip-address 192.168.20.3 mac-address 5489-98c1-198b
3. 第三步是最关键的一步，单纯的静态绑定MAC地址还不能够起到作用。其他未绑定的PC还是可以使用与我们网关相同的地址段接入到网络中，那我们如何才能让非法的PC和我们不同段呢？非常简单，我们可以在地址规划上面做文章，简单来说，网络中有七台合法PC需要接入网络，我们可以将接入的网段划得更小，这个网络只能容纳七台PC，那么当第八台PC非法接入时，就不和我们处于相同网段了，从而很好的控制了网络的非法接入。具体配置为：
   interface Vlanif10
   ip address 192.168.10.1 255.255.255.248
   从子网的划分我们可以看到192.168.10.1网段只能容纳七个地址，所以其他PC无法访问该网络。
   下面是我们合法PC的访问情况：
   
   下面是非法PC接入的访问情况：
   
   所以通过静态MAC地址绑定结合合理的子网划分可以很有效的控制企业网的非法接入，大家学会了吗？