灵活定制 子网安全从入口开始

核心提示： vlan 1 mac 01:01:01:02:02:02当用户终端的MAC地址设为01:01:01:02:02:02时，该终端将自动进入VLAN 1，灵活定制 子网安全从入口开始(2)，这种子网策略比第一种安全性高，因为要进入MAC子网VLAN必须知道交换机中是否定义的MAC VLAN策略

vlan 1 mac 01:01:01:02:02:02

当用户终端的MAC地址设为01:01:01:02:02:02时，该终端将自动进入VLAN 1。这种子网策略比第一种安全性高，因为要进入MAC子网VLAN必须知道交换机中是否定义的MAC VLAN策略，同时需知道至少一个已定义的MAC地址。

3、IP/MAC绑定策略

IP/MAC绑定策略需要我们事先将归属该VLAN的终端IP/MAC配置到交换机上，只有符合我们预设的IP/MAC地址的终端才可以进入该VLAN。IP/MAC绑定地址VLAN相比MAC VLAN安全性更高，适用于对安全和移动性需求非常高且VLAN用户较少的网络设计中。

IP/MAC绑定VLAN的另一个作用是禁止符合策略的用户对IP或MAC进行改动，IP/MAC的改动将失去VLAN策略的匹配，该终端从而被放入隔离VLAN。IP/MAC绑定VLAN通常采用以下命令完成设定：

vlan 1 binding mac-ip 00:00:39:59:0a:0c 21.0.0.10

当用户终端的IP地址设为21.0.0.10，MAC为00:00:39:59:0a:0c 时，该终端将自动进入VLAN 1。这种子网策略安全性更高，因为要进入IP/MAC子网VLAN必须知道交换机中是否定义了IP/MAC VLAN策略，同时需知道至少一个已定义的IP/MAC地址。

4、用户认证策略

用户认证VLAN与上述策略VLAN的最大不同是检测终端使用者的合法性而非终端本身的合法性，更适用于多人共用终端的场合。为终端用户提供合法账号，不同的账号对应不同的VLAN或决定交换机端口的开、闭，终端进入哪一个VLAN由用户账号决定。由于是对用户的认证，所以该策略的实施必须引入用户认证服务器来完成相应的认证、授权工作，相对增加了网络管理的复杂度。

这种子网策略要求进入用户认证的VLAN必须获得合法的用户账号，适应于公共场合对不同用户的认证。

5、DHCP策略