16-IP Source Guard配置
本章节下载: 16-IP Source Guard配置 (355.53 KB)
目 录
1.5.2 IP Source Guard全局静态绑定例外端口配置举例
1.5.3 与DHCP Snooping配合的IPv4动态绑定功能配置举例
1.5.4 与DHCP Relay配合的IPv4动态绑定功能配置举例
1.5.6 与DHCPv6 Snooping配合的IPv6动态绑定表项配置举例
1.5.7 与ND Snooping配合的IPv6动态绑定表项配置举例
通过在设备上启用IP Source Guard功能,可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。
IP Source Guard在端口上用于过滤报文的特征项包括:源IP地址、源MAC地址和VLAN标签。这些特征项可单独或组合起来与端口进行绑定,形成绑定表项,例如:IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN和IP+MAC+VLAN。
如图1-1所示,配置了IP Source Guard的端口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。绑定功能是针对端口的,一个端口配置了绑定功能后,仅该端口被限制,其他端口不受该绑定影响。
图1-1 IP Source Guard功能示意图
(1) 静态绑定类型
按照报文的不同类型进行区分,IP Source Guard静态绑定可以分为IPv4静态绑定和IPv6静态绑定:
l IPv4静态绑定:通过手工配置IPv4静态绑定表项来过滤端口收到的IPv4报文,或者与ARP Detection功能配合使用检查接入用户的合法性;
l IPv6静态绑定:通过手工配置IPv6静态绑定表项来过滤端口收到的IPv6报文,或者与ND Detection功能配合使用检查接入用户的合法性。
l ARP Detection功能的详细介绍请参考“安全配置指导”中的“ARP攻击防御配置”。
l ND Detection功能的详细介绍请参考“安全配置指导”中的“ND攻击防御配置”。
(2) 静态绑定方式
按照绑定方式和生效范围的不同进行区分,IP Source Guard静态绑定又可以分为全局静态绑定和端口静态绑定两种:
l 全局静态绑定:在所有端口上生效。仅当端口收到的报文的IP地址和MAC地址与全局静态绑定表项中指定的IP地址和MAC地址都匹配或都不匹配时,报文才可以被正常转发;当报文的IP地址或MAC地址与全局静态绑定表项中指定的IP地址或MAC地址其中一项匹配时,报文不能被转发。全局静态绑定适用于防御主机仿冒攻击,可有效过滤攻击者通过仿冒合法用户主机的IP地址或者MAC地址向设备发送的伪造IP报文。
l 端口静态绑定:仅在当前端口上生效。只有端口收到的报文的IP地址、MAC地址、VLAN与端口上配置的绑定表项的各参数完全匹配时,报文才可以在该端口被正常转发,其它报文都不能被转发。该功能适用于检查端口上接入用户的合法性。
(3) 全局静态绑定例外端口
如图1-2所示组网环境下,Device B作为接入层设备连接不同VLAN的用户主机,汇聚层设备Device A作为网关实现各VLAN内主机的三层互通。不同VLAN的用户主机进行互访时,用户IP报文必须经过Device A进行三层转发,因此返回Device B的用户IP报文的源MAC地址会发生变化,例如本例中Host A发送给Host B的IP报文的源MAC(0001-0203-0406)被替换为网关的MAC地址(0001-0202-0202),如果Device B上配置了绑定用户IP地址和MAC地址的全局静态绑定表项,则该报文会因为与绑定表项中的MAC地址不匹配而被Device B丢弃,从而造成VLAN间主机三层无法互通的问题。
将Device B的上行端口指定为IP Source Guard全局静态绑定例外端口后,以上问题就得以解决。配置在IP Source Guard全局静态绑定例外端口的GE1/0/1上,全局静态绑定表项不会生效,由Device A转发的用户报文达到该端口后不会被全局静态绑定表项过滤掉,可被正常转发。
图1-2 IP Source Guard全局静态绑定例外端口应用组网图
配置了IPv4或IPv6全局静态绑定表项后,建议将交换机的上行口配置为全局静态绑定例外端口,以保证VLAN间报文的正常转发。
根据DHCP的相关表项动态生成绑定表项来完成端口控制功能,通常适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况。其原理是每当DHCP服务器为用户分配IP地址而生成一条DHCP表项时,动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址,则不会触发设备生成相应的DHCP表项,因此动态绑定功能也不会增加相应的访问规则来允许该用户访问网络。除此之外,IPv6类型的动态绑定还支持自动获取ND Snooping表项。
l IPv4动态绑定:根据DHCP Snooping表项或DHCP Relay表项动态生成绑定表项来过滤端口收到的IPv4报文;
l IPv6动态绑定:根据DHCPv6 Snooping表项或ND Snooping表项动态生成绑定表项来过滤端口收到的IPv6报文。
l DHCP Snooping和DHCP Relay功能的详细介绍请参考“三层技术-IP业务配置指导”中的“DHCP Snooping配置”和“DHCP中继配置”。
l DHCPv6 Snooping功能的详细介绍请参考“三层技术-IP业务配置指导”中的“DHCPv6 Snooping配置”。
l ND Snooping功能的详细介绍请参考“三层技术-IP业务配置指导”中的“IPv6基础配置”。
加入聚合组或加入业务环回组的端口上不能配置IP Source Guard功能,反之亦然。
表1-1 配置IPv4全局静态绑定功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置IPv4全局静态绑定表项 |
user-bind ip-address ip-address mac-address mac-address |
必选 缺省情况下,无全局静态绑定表项 |
进入二层以太网端口视图 |
interface interface-type interface-number |
- |
指定全局静态绑定例外端口 |
user-bind uplink |
可选 缺省情况下,端口不是全局静态绑定例外端口 配置了全局静态绑定表项后,建议将交换机上行口配置为全局静态绑定例外端口 |
全局静态绑定表项对所有端口都生效,静态绑定表项和动态绑定表项的优先级高于全局静态绑定表项,当端口上配置了IPv4静态绑定表项或动态绑定功能后,全局的静态绑定表项在该端口上不生效。
表1-2 配置IPv4端口静态绑定功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入二层以太网端口视图 |
interface interface-type interface-number |
- |
配置IPv4端口静态绑定表项 |
user-bind { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ] |
必选 缺省情况下,端口上无IPv4静态绑定表项 |
l 一个表项不能在同一个端口上重复绑定,但可以在不同端口上绑定。
l 绑定表项中的MAC地址不能为全0、全F(广播MAC)和组播MAC。绑定表项中的IPv4地址必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
l 配置静态表项时,如果系统中已经存在相同内容的动态表项,则新添加的静态表项将会覆盖已有的动态表项。
配置了IPv4动态绑定功能的端口,通过与不同的DHCP协议配合来动态生成绑定表项:
l 在二层以太网端口上,IP Source Guard可与DHCP Snooping配合,通过获取IP地址动态分配时产生的DHCP Snooping表项来生成动态绑定表项;
l 在三层以太网接口或VLAN接口上,IP Source Guard可与DHCP Relay配合,通过获取IP地址跨网段动态分配时产生的DHCP Relay表项来生成动态绑定表项。
动态绑定表项中可能包含的内容有:MAC地址、IP地址、VLAN信息、入端口信息及表项类型(DHCP Snooping或DHCP Relay),其中MAC地址、IP地址和VLAN信息的包含情况由动态绑定配置决定。IP Source Guard把这些动态绑定表项下发到端口后,可对端口上转发的报文进行过滤。
表1-3 配置IPv4动态绑定功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置IPv4动态绑定功能 |
ip check source ip-address mac-address |
必选 缺省情况下,端口上未配置IPv4动态绑定功能 |
要实现IPv4动态绑定功能,请保证网络中的DHCP Snooping或DHCP Relay配置有效且工作正常,配置的具体介绍请参见“三层技术-IP业务配置指导”中的“DHCP Snooping配置”和“DHCP中继配置”。
IPv4绑定表项数目的最大值用于限制端口上允许添加的IPv4静态绑定表项和IPv4动态绑定表项的数量总和。当端口上的IPv4绑定表项数目达到指定的最大值时,端口将不再允许添加新的IPv4绑定表项。
表1-4 配置IPv4绑定表项数目的最大值
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入二层以太网端口视图 |
interface interface-type interface-number |
- |
配置IPv4绑定表项数目的最大值 |
ip check source max-entries number |
可选 缺省情况下,IPv4绑定表项数目的最大值为2048 |
如果要配置的IPv4绑定表项数目的最大值小于当前端口上已存在的IPv4绑定表项总数,则该最大值可以配置成功,且原有的表项不受影响,但端口将不再允许新增IPv4绑定表项,除非端口上的IPv4绑定表项数目减少到小于此最大值。
加入聚合组或加入业务环回组的端口上不能配置IP Source Guard功能,反之亦然。
表1-5 配置IPv6全局静态绑定功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置IPv6全局静态绑定表项 |
user-bind ipv6 ip-address ip-address mac-address mac-address |
必选 缺省情况下,无全局静态绑定表项 |
进入二层以太网端口视图 |
interface interface-type interface-number |
- |
指定全局静态绑定例外端口 |
user-bind uplink |
可选 缺省情况下,端口不是全局静态绑定例外端口 配置了全局静态绑定表项后,建议将交换机上行口配置为全局静态绑定例外端口 |
全局静态绑定表项对所有端口都生效,静态绑定表项和动态绑定表项的优先级高于全局静态绑定表项,当端口上配置了IPv6静态绑定表项或动态绑定功能后,全局的静态绑定表项在该端口上不生效。
表1-6 配置IPv6端口静态绑定功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入二层以太网端口视图 |
interface interface-type interface-number |
- |
配置IPv6端口静态绑定表项 |
user-bind ipv6 { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ] |
必选 缺省情况下,端口上无IPv6静态绑定表项 |
l 同一个表项不能在同一个端口上重复绑定,但可以在不同端口上绑定。
l 绑定表项中的MAC地址不能为全0、全F(广播MAC)和组播MAC。绑定表项中的IPv6地址必须为单播地址,不能为全0地址、组播地址、环回地址。
l 在与ND Detection功能配合时,绑定表项中必须指定VLAN参数,且该VLAN为使能ND Detection功能的VLAN,否则ND报文将无法通过IPv6静态绑定表项的检查。
l 配置静态表项时,如果系统中已经存在相同内容的动态表项,则新添加的静态表项将会覆盖已有的动态表项。
配置了IPv6动态绑定功能的端口,通过与DHCPv6 Snooping或ND Snooping配合来动态生成绑定表项:
l 在二层以太网端口上,IP Source Guard可与DHCPv6 Snooping配合,通过获取IPv6地址动态分配时产生的DHCPv6 Snooping表项来生成动态绑定表项;
l 在二层以太网端口上,IP Source Guard可与ND Snooping配合,通过获取动态产生的ND Snooping表项来生成动态绑定表项。
动态绑定表项中可能包含的内容有:MAC地址、IPv6地址、VLAN信息、入端口信息及表项类型(DHCPv6 Snooping或ND Snooping),其中MAC地址、IPv6地址和VLAN信息的包含情况由动态绑定配置决定。IP Source Guard把这些动态绑定表项下发到端口后,可对端口上转发的报文进行过滤。
表1-7 配置IPv6动态绑定功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入二层以太网端口视图 |
interface interface-type interface-number |
- |
配置IPv6动态绑定功能 |
ip check source ipv6 { ip-address | ip-address mac-address | mac-address } |
必选 缺省情况下,端口上未配置IPv6动态绑定功能 |
l 要实现IPv6动态绑定功能,请保证网络中的DHCPv6 Snooping或ND Snooping配置有效且工作正常,配置的具体介绍请分别参见“三层技术-IP业务配置指导”中的“DHCPv6配置”和“IPv6基础配置”。
l 接口下的IPv6动态绑定规则可多次配置,后配置的覆盖先配置的。
l 若设备上同时配置了ND Snooping和DHCPv6 Snooping,IP Source Guard会使用通常首先生成的DHCPv6 Snooping表项来过滤端口报文。
IPv6绑定表项数目的最大值用于限制端口上允许添加的IPv6静态绑定表项和IPv6动态绑定表项的数量总和。当端口上的IPv6绑定表项数目达到指定的最大值时,端口将不再允许添加新的IPv6绑定表项。
表1-8 配置IPv6绑定表项数目的最大值
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入二层以太网端口视图 |
interface interface-type interface-number |
- |
配置IPv6绑定表项数目的最大值 |
ip check source ipv6 max-entries number |
可选 缺省情况下,IPv6绑定表项数目的最大值为2048 |
如果要配置的IPv6绑定表项数目的最大值小于当前端口上已存在的IPv6绑定表项总数,则该最大值可以配置成功,且原有的表项不受影响,但端口将不再允许新增IPv6绑定表项,除非端口上的IPv6绑定表项数目减少到小于最大值。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。
表1-9 IP Source Guard显示和维护(IPv4)
操作 |
命令 |
显示静态绑定表项信息 |
display user-bind [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
显示绑定表项信息 |
display ip check source [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
表1-10 IP Source Guard显示和维护(IPv6)
操作 |
命令 |
显示IPv6静态绑定表项信息 |
display user-bind ipv6 [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
显示IPv6绑定表项信息 |
display ip check source ipv6 [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
如图1-3所示,Host A与Host B分别与Device B的端口GigabitEthernet1/0/2、GigabitEthernet1/0/1相连;Host C与Device A的端口GigabitEthernet1/0/2相连。Device B接到Device A的端口GigabitEthernet1/0/1上。
通过在Device A和Device B上配置IPv4静态绑定表项,可以满足以下各项应用需求:
l Device A的端口GigabitEthernet1/0/2上只允许Host C发送的IP报文通过。
l Device A的端口GigabitEthernet1/0/1上只允许Host A发送的IP报文通过。
l Device B的端口GigabitEthernet1/0/2上只允许Host A发送的IP报文通过。
l Device B的端口GigabitEthernet1/0/1上只允许Host B发送的IP报文通过。
(1) 配置Device A
# 配置各接口的IP地址(略)。
# 配置在Device A的GigabitEthernet1/0/2上只允许MAC地址为0001-0203-0405与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405
[DeviceA-GigabitEthernet1/0/2] quit
# 配置在Device A的GigabitEthernet1/0/1上只允许MAC地址为0001-0203-0406与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406
# 配置各接口的IP地址(略)。
# 配置在Device B的GigabitEthernet1/0/2上只允许MAC地址为0001-0203-0406与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406
[DeviceB-GigabitEthernet1/0/2] quit
# 配置在Device B的GigabitEthernet1/0/1上只允许MAC地址为0001-0203-0407与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.2 mac-address 0001-0203-0407
# 在Device A上显示IPv4静态绑定表项配置成功。
<DeviceA> display user-bind
Total entries found: 2
MAC Address IP Address VLAN Interface Type
0001-0203-0405 192.168.0.3 N/A GE1/0/2 Static
0001-0203-0406 192.168.0.1 N/A GE1/0/1 Static
# 在Device B上显示IPv4静态绑定表项配置成功。
<DeviceB> display user-bind
Total entries found: 2
MAC Address IP Address VLAN Interface Type
0001-0203-0406 192.168.0.1 N/A GE1/0/2 Static
0001-0203-0407 192.168.0.2 N/A GE1/0/1 Static
Host A和Host B通过接入交换机Device B,与汇聚交换机Device A相连。Host A属于VLAN 10,网关地址为Device A的Vlan-interface1的接口IP:192.168.0.1;Host B属于VLAN 20,网关地址为Device A的Vlan-interface2的接口IP:192.168.1.1;Device B上只划分VLAN,不配置接口IP地址;Host A与Host B通过Device A进行通信。
具体应用需求如下:
l Device B上阻止仿冒Host A和Host B的IP报文通过。
l Host A和Host B之间的报文可通过Device B正常转发。
图1-4 IP Source Guard全局静态绑定例外端口典型配置组网图
配置Device B
# 创建VLAN 10,并将端口GigabitEthernet1/0/2加入VLAN 10。
<DeviceB> system-view
[DeviceB] vlan 10
[DeviceB-vlan10] port gigabitethernet 1/0/2
[DeviceB-vlan10] quit
# 创建VLAN 20,并将端口GigabitEthernet1/0/3加入VLAN 20。
[DeviceB] vlan 20
[DeviceB-vlan20] port gigabitethernet 1/0/3
[DeviceB-vlan20] quit
# 将端口GigabitEthernet1/0/1的链路类型配置为Trunk,并允许VLAN 10和VLAN 20的报文通过。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] port link-type trunk
[DeviceB-GigabitEthernet1/0/1] port trunk permit vlan 10 20
[DeviceB-GigabitEthernet1/0/1] quit
# 配置全局静态绑定表项,阻止仿冒Host A(IP地址:192.168.0.2、MAC地址:0001-0203-0406)和Host B(IP地址:192.168.1.2、MAC地址:0001-0203-0407)的IP报文通过。
<DeviceB> system-view
[DeviceB] user-bind ip-address 192.168.0.2 mac-address 0001-0203-0406
[DeviceB] user-bind ip-address 192.168.1.2 mac-address 0001-0203-0407
# 指定端口GigabitEthernet1/0/1为IP Source Guard全局静态绑定例外端口。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] user-bind uplink
[DeviceB-GigabitEthernet1/0/1] quit
# 在Device B上显示IP Source Guard静态绑定表项信息。
[DeviceB] display user-bind
Total entries found: 2
MAC Address IP Address VLAN Interface Type
0001-0203-0406 192.168.0.2 N/A N/A Static
0001-0203-0407 192.168.1.2 N/A N/A Static
Host A和Host B能够成功ping通对方。
Device通过端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分别与客户端Host和DHCP server相连。Device上使能DHCP Snooping功能。
具体应用需求如下:
l Host(MAC地址为0001-0203-0406)通过DHCP server获取IP地址。
l 在Device上生成Host的DHCP Snooping表项。
l 在端口GigabitEthernet1/0/1上启用IPv4动态绑定功能,仅允许通过DHCP server动态获取IP地址的客户端可以接入网络。
DHCP server的具体配置请参考“三层技术-IP业务配置指导”中的“DHCP服务器配置”。
图1-5 配置与DHCP Snooping配合的IPv4动态绑定功能组网图
(1) 配置DHCP Snooping
# 配置各接口的IP地址(略)。
# 开启DHCP Snooping功能。
<Device> system-view
[Device] dhcp-snooping
# 设置与DHCP server相连的端口GigabitEthernet1/0/2为信任端口。
[Device] interface gigabitethernet1/0/2
[Device-GigabitEthernet1/0/2] dhcp-snooping trust
[Device-GigabitEthernet1/0/2] quit
(2) 配置IPv4动态绑定功能
# 配置端口GigabitEthernet1/0/1的IPv4动态绑定功能,绑定源IP地址和MAC地址。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip check source ip-address mac-address
[Device-GigabitEthernet1/0/1] quit
# 显示端口GigabitEthernet1/0/1上的绑定表项信息。
[Device-GigabitEthernet1/0/1] display ip check source
Total entries found: 1
MAC Address IP Address VLAN Interface Type
0001-0203-0406 192.168.0.1 1 GE1/0/1 DHCP-SNP
# 显示DHCP Snooping已有的动态表项,查看其是否和端口GigabitEthernet1/0/1获取的动态表项一致。
[Device-GigabitEthernet1/0/1] display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S—Static , R--Recovering
Type IP Address MAC Address Lease VLAN SVLAN Interface
==== =============== ============== ============ ==== ===== =================
D 192.168.0.1 0001-0203-0406 86335 1 0 GigabitEthernet1/0/1
--- 1 dhcp-snooping item(s) found ---
从以上显示信息可以看出,端口GigabitEthernet1/0/1在配置IPv4动态绑定功能之后根据获取的DHCP Snooping表项产生了动态绑定表项。
Switch通过接口Vlan-interface100和Vlan-interface200分别与客户端Client A和DHCP server相连。Switch上使能DHCP Relay功能。
具体应用需求如下:
l Client A(MAC地址为0001-0203-0406)通过DHCP relay从DHCP server上获取IP地址。
l 在接口Vlan-interface100上启用IPv4动态绑定功能,利用Switch上生成的DHCP Relay表项,过滤端口转发的报文。
图1-6 配置动态绑定功能组网图
(1) 配置IPv4动态绑定功能
# 配置各接口的IP地址(略)。
# 在接口Vlan-interface100上配置IPv4动态绑定功能,绑定源IP地址和MAC地址。
<Switch> system-view
[Switch] vlan 100
[Switch-Vlan100] quit
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] ip check source ip-address mac-address
[Switch-Vlan-interface100] quit
(2) 配置DHCP Relay
# 开启DHCP Relay功能。
[Switch] dhcp enable
# 配置DHCP服务器的地址。
[Switch] dhcp relay server-group 1 ip 10.1.1.1
# 配置接口Vlan-interface100工作在DHCP中继模式。
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] dhcp select relay
# 配置接口Vlan-interface100对应服务器组1。
[Switch-Vlan-interface100] dhcp relay server-select 1
[Switch-Vlan-interface100] quit
# 显示生成的IPv4绑定表项信息。
[Switch] display ip check source
Total entries found: 1
MAC Address IP Address VLAN Interface Type
0001-0203-0406 192.168.0.1 100 Vlan100 DHCP-RLY
IPv6客户端通过Device的端口GigabitEthernet1/0/1接入网络。要求在Device上配置IPv6静态绑定表项,使得端口GigabitEthernet1/0/1上只允许Host(MAC地址为0001-0202-0202、IPv6地址为2001::1)发送的IPv6报文通过。
图1-7 配置IPv6静态绑定表项组网图
# 在端口GigabitEthernet1/0/1上配置IPv6静态绑定表项,绑定源IP地址和MAC地址,只允许IPv6地址为2001::1且MAC地址为00-01-02-02-02-02的IPv6报文通过。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] user-bind ipv6 ip-address 2001::1 mac-address 0001-0202-0202
[Device-GigabitEthernet1/0/1] quit
# 在Device上显示IPv6静态绑定表项配置成功。
[Device] display user-bind ipv6
Total entries found: 1
MAC Address IP Address VLAN Interface Type
0001-0202-0202 2001::1 N/A GE1/0/1 Static-IPv6
DHCPv6客户端通过Device的端口GigabitEthernet1/0/1接入网络,通过DHCPv6 server获取IPv6地址。
具体应用需求如下:
l Device上使能DHCPv6 Snooping功能,保证客户端从合法的服务器获取IP地址,且记录客户端IPv6地址及MAC地址的绑定关系。
l 在端口GigabitEthernet1/0/1上启用IPv6动态绑定功能,利用动态获取的DHCPv6 Snooping表项过滤端口转发的报文,只允许通过DHCPv6 server动态获取IP地址的客户端接入网络。
图1-8 配置与DHCPv6 Snooping配合的IPv6动态绑定功能组网图
(1) 配置DHCPv6 Snooping
# 全局使能DHCPv6 Snooping功能。
<Device> system-view
[Device] ipv6 dhcp snooping enable
# 在VLAN 2内使能DHCPv6 Snooping功能。
[Device] vlan 2
[Device-vlan2] ipv6 dhcp snooping vlan enable
[Device] quit
# 配置端口GigabitEthernet1/0/2为信任端口。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ipv6 dhcp snooping trust
[Device-GigabitEthernet1/0/2] quit
(2) 配置IPv6动态绑定功能
# 配置端口GigabitEthernet1/0/1的IPv6动态绑定功能,绑定源IP地址和MAC地址。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip check source ipv6 ip-address mac-address
[Device-GigabitEthernet1/0/1] quit
# 客户端通过DHCPv6 server成功获取IP地址之后,通过执行以下命令可查看到已生成的IPv6动态绑定表项信息。
[Device] display ip check source ipv6
Total entries found: 1
MAC Address IP Address VLAN Interface Type
040a-0000-0001 2001::1 2 GE1/0/1 DHCPv6-SNP
# 显示DHCPv6 Snooping已有的动态表项,查看其是否和端口GigabitEthernet1/0/1生成的IPv6动态绑定表项一致。
[Device] display ipv6 dhcp snooping user-binding dynamic
IP Address MAC Address Lease VLAN Interface
============================== ============== ========== ==== ==================
2001::1 040a-0000-0001 286 2 GigabitEthernet1/0/1
--- 1 DHCPv6 snooping item(s) found ---
从以上显示信息可以看出,IP Source Guard通过获取端口GigabitEthernet1/0/1上产生的DHCPv6 Snooping表项成功生成了IPv6动态绑定表项。
IPv6客户端通过Device的端口GigabitEthernet1/0/1接入网络。
具体应用需求如下:
l Device上使能ND Snooping功能,通过侦听DAD NS消息来建立ND Snooping表项。
l 在端口GigabitEthernet1/0/1上启用IPv6动态绑定功能,利用动态获取的ND Snooping表项过滤端口收到的报文,只允许合法获取IPv6地址的客户端可以接入网络。
图1-9 配置与ND Snooping配合的IPv6动态绑定功能组网图
(1) 配置ND Snooping
# 在VLAN 2内使能ND Snooping功能。
<Device> system-view
[Device] vlan 2
[Device-vlan2] ipv6 nd snooping enable
[Device-vlan2] quit
(2) 配置IPv6动态绑定功能
# 配置端口GigabitEthernet1/0/1的IPv6动态绑定功能,绑定源IP地址和MAC地址。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip check source ipv6 ip-address mac-address
[Device-GigabitEthernet1/0/1] quit
# 在Device上显示生成的IPv6绑定表项信息。
[Device] display ip check source ipv6
Total entries found: 1
MAC Address IP Address VLAN Interface Type
040a-0000-0001 2001::1 2 GE1/0/1 ND-SNP
# 显示ND Snooping已有的动态表项,查看其是否和端口GigabitEthernet1/0/1获取的IPv6动态绑定表项一致。
[Device] display ipv6 nd snooping
IPv6 Address MAC Address VID Interface Aging Status
2001::1 040a-0000-0001 2 GE1/0/1 25 Bound
---- Total entries: 1 ----
从以上显示信息可以看出,IP Source Guard通过获取端口GigabitEthernet1/0/1上产生的ND Snooping表项成功生成了IPv6动态绑定表项。
在端口上配置静态绑定表项、配置动态绑定功能均失败。
IP Source Guard功能跟聚合端口互斥。在聚合端口下不能配置静态绑定表项,也不能配置动态绑定功能。
将端口退出已加入的聚合组。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!