- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
47-IP Source Guard典型配置举例
本章节下载: 47-IP Source Guard典型配置举例 (168.71 KB)
本章介绍IP Source Guard功能,该功能可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。
图1 IP Source Guard功能示意图
IP Source Guard特性提供两种绑定机制:
· 静态绑定:通过手工配置产生绑定表项来完成端口的控制功能,适用于局域网络中主机数较少且主机使用静态配置IP地址的情况。
· 动态绑定:通过自动获取DHCP的相关表项来完成端口控制功能,适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况。
加入聚合组或加入业务环回组的端口上不能配置IP Source Guard功能。
|
软件版本 |
|
|
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图2所示,Host A、Host B、Host C分别与Switch B和Switch A相连。Host A、Host B、Host C均为静态配置IP地址的客户端。
现要求通过IP Source Guard静态绑定功能实现Switch A的端口Ten-GigabitEthernet1/0/1只允许Host A发送的IP报文通过,Switch A其它端口和Switch B端口分别只允许与其相连的客户端发送的IP报文通过。
图2 配置IP Source Guard静态绑定组网图
(1) 配置Switch A
# 在端口Ten-GigabitEthernet1/0/2上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。
<SwitchA> system-view
[SwitchA] interface ten-gigabitethernet 1/0/2
[SwitchA-Ten-GigabitEthernet1/0/2] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0405、IP地址为192.168.0.3的Host C发送的IP报文通过端口Ten-GigabitEthernet1/0/2。
[SwitchA-Ten-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405
[SwitchA-Ten-GigabitEthernet1/0/2] quit
# 在端口Ten-GigabitEthernet1/0/1上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。
[SwitchA] interface ten-gigabitethernet 1/0/1
[SwitchA-Ten-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的Host A发送的IP报文通过端口Ten-GigabitEthernet1/0/1。
[SwitchA-Ten-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[SwitchA-Ten-GigabitEthernet1/0/1] quit
(2) 配置Switch B
# 在端口Ten-GigabitEthernet1/0/2上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。
<SwitchB> system-view
[SwitchB] interface ten-gigabitethernet 1/0/2
[SwitchB-Ten-GigabitEthernet1/0/2] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的Host A发送的IP报文通过端口Ten-GigabitEthernet1/0/2。
[SwitchB-Ten-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[SwitchB-Ten-GigabitEthernet1/0/2] quit
# 在端口Ten-GigabitEthernet1/0/1上配置IPv4端口绑定功能,绑定源IP地址。
[SwitchB] interface ten-gigabitethernet 1/0/1
[SwitchB-Ten-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0407、IP地址为192.168.0.2的Host B发送的IP报文通过端口Ten-GigabitEthernet1/0/1。
[SwitchB-Ten-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.2 mac-address 0001-0203-0407
[SwitchB-Ten-GigabitEthernet1/0/1] quit
# 在Switch A上显示IPv4静态绑定表项配置成功。
[SwitchA] display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 XGE1/0/1 N/A Static
192.168.0.3 0001-0203-0405 XGE1/0/2 N/A Static
# 在Switch B上显示IPv4静态绑定表项配置成功。
[SwitchB] display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 XGE1/0/2 N/A Static
192.168.0.2 0001-0203-0407 XGE1/0/1 N/A Static
· SwitchA
#
interface Ten-GigabitEthernet1/0/1
ip verify source ip-address mac-address
ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
#
interface Ten-GigabitEthernet1/0/2
ip verify source ip-address mac-address
ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405
#
· SwitchB
#
interface Ten-GigabitEthernet1/0/1
ip verify source ip-address mac-address
ip source binding ip-address 192.168.0.2 mac-address 0001-0203-0407
#
interface Ten-GigabitEthernet1/0/2
ip verify source ip-address mac-address
ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
#
表2 配置适用的产品与软件版本关系
|
产品 |
软件版本 |
|
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图3所示,Host A、Host B、Host C和DHCP Server都与Switch A相连。Host A为静态配置IP地址的客户端,Host B和Host C为DHCP客户端。
现要求通过IP Source Guard动静态绑定表项结合功能实现Switch A的端口Ten-GigabitEthernet1/0/1只允许Host A发送的IP报文通过;Switch A的端口Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/3只允许通过DHCP服务器获取了IP地址的Host B、Host C发送的IP报文通过。
在静态配置IP和MAC地址的客户端相连的交换机端口上配置静态绑定表项,只允许与该表项相匹配的IP报文通过。在DHCP客户端相连的交换机端口上启用IPv4动态绑定功能,利用动态生成的DHCP Snooping表项过滤接口接收的报文,只允许通过DHCP服务器动态获取IP地址的客户端接入网络。
配置IP Source Guard动态绑定功能必须开启DHCP Snooping功能。
(1) 配置Switch A
# 在端口Ten-GigabitEthernet1/0/1上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。
<SwitchA> system-view
[SwitchA] interface ten-gigabitethernet 1/0/1
[SwitchA-Ten-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0405,IP地址为192.168.0.1的Host A发送的IP报文通过。
[SwitchA-Ten-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0405
[SwitchA-Ten-GigabitEthernet1/0/1] quit
# 开启DHCP Snooping功能。
[SwitchA] dhcp snooping enable
# 设置与DHCP服务器相连的端口Ten-GigabitEthernet1/0/4为信任端口。
[SwitchA] interface ten-gigabitethernet 1/0/4
[SwitchA-Ten-GigabitEthernet1/0/4] dhcp snooping trust
[SwitchA-Ten-GigabitEthernet1/0/4] quit
# 配置端口Ten-GigabitEthernet1/0/2的动态绑定功能,绑定源IP地址和MAC地址,并启用端口的DHCP Snooping表项记录功能。
[SwitchA] interface ten-gigabitethernet 1/0/2
[SwitchA-Ten-GigabitEthernet1/0/2] ip verify source ip-address mac-address
[SwitchA-Ten-GigabitEthernet1/0/2] dhcp snooping binding record
[SwitchA-Ten-GigabitEthernet1/0/2] quit
# 配置端口Ten-GigabitEthernet1/0/3的动态绑定功能,绑定源IP地址和MAC地址,并启用端口的DHCP Snooping表项记录功能。
[SwitchA] interface ten-gigabitethernet 1/0/3
[SwitchA-Ten-GigabitEthernet1/0/3] ip verify source ip-address mac-address
[SwitchA-Ten-GigabitEthernet1/0/3] dhcp snooping binding record
[SwitchA-Ten-GigabitEthernet1/0/3] quit
# 显示所有的绑定表项。
<SwitchA> display ip source binding
Total entries found: 3
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0405 XGE1/0/1 N/A Static
192.168.0.2 0001-0203-0406 XGE1/0/2 1 DHCP snooping
192.168.0.3 0001-0203-0407 XGE1/0/3 1 DHCP snooping
# 显示DHCP Snooping表项,查看其是否和IP Source Guard获取的动态表项一致。
<SwitchA> display dhcp snooping binding
2 DHCP snooping entries found
IP Address MAC Address Lease VLAN SVLAN Interface
=============== ============== ============ ===== ===== =================
192.168.0.2 0001-0203-0406 16907527 1 N/A XGE1/0/2
192.168.0.3 0001-0203-0407 16907528 1 N/A XGE1/0/3
从以上显示信息可以看出,端口Ten-GigabitEthernet1/0/2,Ten-GigabitEthernet1/0/3在配置IP Source Guard动态绑定功能之后获取了DHCP Snooping表项。
#
dhcp snooping enable
#
interface Ten-GigabitEthernet1/0/1
ip verify source ip-address mac-address
ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0405
#
interface Ten-GigabitEthernet1/0/2
ip verify source ip-address mac-address
dhcp snooping binding record
#
interface Ten-GigabitEthernet1/0/3
ip verify source ip-address mac-address
dhcp snooping binding record
#
interface Ten-GigabitEthernet1/0/4
dhcp snooping trust
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
