• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-安全配置指导

目录

15-IP Source Guard配置

本章节下载 15-IP Source Guard配置  (311.73 KB)

15-IP Source Guard配置


1 IP Source Guard配置

说明

仅S3100V2-EI系列以太网交换机支持IP Source Guard。

 

1.1  IP Source Guard简介

1.1.1  概述

通过在设备接入用户侧的端口上启用IP Source Guard功能,可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。

IP Source Guard在端口上用于过滤报文的特征项包括:源IP地址、源MAC地址。这些特征项可单独或组合起来与端口进行绑定,形成绑定表项,具体包括:IP、MAC、IP+MAC。

图1-1所示,配置了IP Source Guard的端口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。绑定功能是针对端口的,一个端口配置了绑定功能后,仅该端口被限制,其他端口不受该绑定影响。

图1-1 IP Source Guard功能示意图

 

1.1.2  静态绑定表项

通过手工配置产生绑定表项来完成端口的控制功能,只有端口收到的报文的IP地址、MAC地址与端口上配置的绑定表项的各参数完全匹配时,报文才可以在该端口被正常转发,其它报文都不能被转发,该表项适用于检查端口上接入用户的合法性,特别是局域网络中主机数较少且主机使用静态配置IP地址的情况,比如在接入某重要服务器的端口上配置绑定表项,仅允许该端口接收或者发送与该服务器通信的报文。

·     IPv4静态表项:使用手工配置的IPv4静态绑定表项来过滤端口收到的IPv4报文,或者与ARP Detection功能配合使用检查接入用户的合法性;

·     IPv6静态表项:使用手工配置的IPv6静态绑定表项来过滤端口收到的IPv6报文,或者与ND Detection功能配合使用检查接入用户的合法性。

说明

·     ARP Detection功能的详细介绍请参考“安全配置指导”中的“ARP攻击防御”。

·     ND Detection功能的详细介绍请参考“安全配置指导”中的“ND攻击防御”。

 

1.1.3  动态获取绑定表项

动态获取绑定表项是指通过获取其它模块生成的用户信息来生成绑定表项。目前,可为IP Source Guard提供表项信息的模块包括802.1X、DHCP Snooping、DHCPv6 Snooping和ND Snooping。

根据DHCP的相关表项动态生成绑定表项来完成端口控制功能,通常适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况。其原理是每当DHCP为用户分配IP地址而生成一条DHCP表项时,端口绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址,则不会触发设备生成相应的DHCP表项,因此端口绑定功能也不会增加相应的访问规则来允许该用户访问网络。

根据802.1X的相关表项动态生成绑定表项来完成端口控制功能,通常适用于局域网络中使用802.1X客户端认证的情况。当802.1X客户端支持上传IP地址时,设备可以根据802.1X的相关表项动态生成绑定表项来过滤端口收到的IPv4报文。当802.1X客户端不支持上传IP地址时,802.1X功能必须与DHCP Snooping功能配合使用,通过DHCP Snooping记录表项生成802.1X安全表项,再动态生成绑定表项来过滤端口收到的IPv4报文。同时,为防止某个用户私自修改IP地址,配置802.1X用户IP地址冻结功能,使得首次获取并保存了802.1X上线用户的IP地址之后,不会随着该用户IP地址的变化而更新IP Source Guard动态绑定表中用户的IP地址。

·     IPv4动态绑定:根据802.1X、DHCP Snooping表项动态生成绑定表项来过滤端口收到的IPv4报文;

·     IPv6动态绑定:根据DHCPv6 Snooping表项或ND Snooping表项动态生成绑定表项来过滤端口收到的IPv6报文。

说明

·     802.1X功能的详细介绍请参见“安全配置指导”中的“802.1X”。

·     DHCP Snooping功能的详细介绍请参考“三层技术-IP业务配置指导”中的“DHCP”。

·     DHCPv6 Snooping功能的详细介绍请参考“三层技术-IP业务配置指导”中的“DHCPv6 Snooping”。

·     ND Snooping功能的详细介绍请参考“三层技术-IP业务配置指导”中的“IPv6基础”。

 

1.2  配置IPv4绑定功能

说明

加入聚合组的端口上不能配置IP Source Guard功能,反之亦然。

 

1.2.1  配置IPv4端口绑定功能

配置了IPv4端口绑定功能的端口,可利用配置的IPv4静态绑定表项和从DHCP模块获取的IPv4动态绑定表项对端口转发的报文进行过滤:

·     IPv4静态绑定表项的配置请参考“1.2.2  配置IPv4静态绑定表项”。

·     在二层以太网端口上,IP Source Guard可与DHCP Snooping配合,通过获取IP地址动态分配时产生的DHCP Snooping表项来生成动态绑定表项;

·     在二层以太网端口上,IP Source Guard可与802.1X配合,通过获取认证用户的信息来生成动态绑定表项。

动态绑定表项中可能包含的内容有:MAC地址、IP地址、VLAN信息、入端口信息及表项类型(DHCP Snooping),其中MAC地址、IP地址和VLAN信息的包含情况由动态绑定配置决定。IP Source Guard把这些动态绑定表项下发到端口后,可对端口上转发的报文进行过滤。

表1-1 配置IPv4端口绑定功能

操作

命令

说明

进入系统视图

system-view

-

开启全局的802.1X

dot1x

可选

缺省情况下,全局的802.1X处于关闭状态

进入二层以太网端口或端口组视图

interface interface-type interface-number

-

配置802.1X用户IP地址冻结功能

dot1x user-ip freeze

可选

缺省情况下,端口首次获取且保存了802.1X上线用户的IP地址之后,会随着用户IP地址的变化而更新保存的用户IP地址。

配置基于802.1X认证的IP Source Guard动态表项获取功能

ip verify source dot1x

可选

缺省情况下,端口上未配置IPv4端口绑定功能

配置IPv4端口绑定功能

ip verify source { ip-address | ip-address mac-address | mac-address }

必选

缺省情况下,端口上未配置IPv4端口绑定功能

开启端口的802.1X

dot1x

可选

缺省情况下,端口的802.1X特性为关闭状态

 

说明

·     接口下的IPv4端口绑定功能可多次配置,最后一次的配置生效。

·     若要通过获取DHCP相关表项来生成动态绑定表项,请保证网络中的DHCP Snooping配置有效且工作正常,DHCP Snooping配置的具体介绍请参见“三层技术-IP业务配置指导”中的“DHCP Snooping”。

·     虽然IP Source Guard的动态表项是通过获取DHCP的相关表项而生成,但生成的IP Source Guard动态绑定表项数目并不与对应的DHCP表项数目保持一致,实际使用过程中,请以IP Source Guard实际生成的表项数目为准。

 

1.2.2  配置IPv4静态绑定表项

IPv4静态绑定表项只能在配置了IPv4端口绑定功能的端口上生效,端口绑定功能的具体配置请参见“1.2.1  配置IPv4端口绑定功能”。

表1-2 配置端口IPv4静态绑定表项

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图

interface interface-type interface-number

-

配置端口的IPv4静态绑定表项

ip source binding { ip-address ip-address |

 ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]

必选

缺省情况下,端口上无IPv4静态绑定表项

 

说明

·     一个表项不能在同一个端口上重复绑定,但可以在不同端口上绑定。

·     当IPv4静态绑定表项与IP Source Guard功能配合时,静态绑定表项中的VLAN参数不作为过滤报文的特征项,VLAN参数指定与否,不影响IP Source Guard功能对报文的过滤结果。

·     在IPv4静态绑定表项与ARP Detection功能配合时,静态绑定表项中必须指定VLAN参数,且该VLAN为使能ARP Detection功能的VLAN,否则ARP报文将无法通过IPv4静态绑定表项的检查。关于ARP Detection功能的相关配置请参见“安全配置指导”中的“ARP攻击防御”。

·     配置静态表项时,如果系统中已经存在相同内容的动态表项,则新添加的静态表项将会覆盖已有的动态表项。

 

1.2.3  配置IPv4绑定表项数目的最大值

IPv4绑定表项数目的最大值用于限制端口上允许添加的IPv4静态绑定表项和IPv4动态绑定表项的数量总和。当端口上的IPv4绑定表项数目达到指定的最大值时,端口将不再允许添加新的IPv4绑定表项。

表1-3 配置IPv4绑定表项数目的最大值

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图

interface interface-type interface-number

-

配置IPv4绑定表项数目的最大值

ip verify source max-entries number

可选

缺省情况下,IPv4绑定表项数目的最大值为1024

 

说明

如果要配置的IPv4绑定表项数目的最大值小于当前端口上已存在的IPv4绑定表项总数,则该最大值可以配置成功,且原有的表项不受影响,但端口将不再允许新增IPv4绑定表项,除非端口上的IPv4绑定表项数目减少到小于此最大值。

 

1.3  配置IPv6绑定功能

说明

加入聚合组的端口上不能配置IP Source Guard功能,反之亦然。

 

1.3.1  配置IPv6端口绑定功能

配置了IPv6端口绑定功能的端口,利用配置的IPv6静态绑定表项和从DHCP模块或ND模块获取的IPv6动态绑定表项对端口转发的报文进行过滤:

·     IPv6静态绑定表项的配置请参考“1.3.2  配置IPv6静态绑定表项”。

·     在二层以太网端口上,IP Source Guard可与DHCPv6 Snooping配合,通过获取IPv6地址动态分配时产生的DHCPv6 Snooping表项来生成动态绑定表项。

·     在二层以太网端口上,IP Source Guard可与ND Snooping配合,通过获取动态产生的ND Snooping表项来生成动态绑定表项。

动态绑定表项中可能包含的内容有:MAC地址、IPv6地址、VLAN信息、入端口信息及表项类型(DHCPv6 Snooping或ND Snooping),其中MAC地址、IPv6地址和VLAN信息的包含情况由端口绑定配置决定。IP Source Guard把这些动态绑定表项下发到端口后,可对端口上转发的报文进行过滤。

表1-4 配置IPv6端口绑定功能

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口、端口组视图

interface interface-type interface-number

-

配置IPv6端口绑定功能

ipv6 verify source { ipv6-address | ipv6-address mac-address | mac-address }

必选

缺省情况下,端口上未配置IPv6端口绑定功能

 

说明

·     若要通过获取DHCP或ND相关表项来生成动态绑定表项,请保证网络中的DHCPv6 Snooping或ND Snooping配置有效且工作正常,配置的具体介绍请分别参见“三层技术-IP业务配置指导”中的“DHCPv6”和“三层技术-IP业务配置指导”中的“IPv6基础”。

·     IPv6端口绑定功能可多次配置,最后一次的配置生效。

·     若设备上同时配置了ND Snooping和DHCPv6 Snooping,通常会首先生成DHCPv6 Snooping表项,因此IP Source Guard会使用先生成的DHCPv6 Snooping表项来过滤端口报文。

·     虽然IP Source Guard的动态表项是通过获取DHCP的相关表项而生成,但生成的IP Source Guard动态绑定表项数目并不与对应的DHCP表项数目保持一致,实际使用过程中,请以IP Source Guard实际生成的表项数目为准。

 

1.3.2  配置IPv6静态绑定表项

IPv6静态绑定表项只能在配置了IPv6端口绑定功能的端口上生效,端口绑定功能的具体配置请参见“1.3.1  配置IPv6端口绑定功能”。

表1-5 配置端口IPv6静态绑定表项

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图

interface interface-type interface-number

-

配置端口的IPv6静态绑定表项

ipv6 source binding { ipv6-address ipv6-address |

 ipv6-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]

必选

缺省情况下,端口上无IPv6静态绑定表项

 

说明

·     同一个表项不能在同一个端口上重复绑定,但可以在不同端口上绑定。

·     绑定表项中的MAC地址不能为全0、全F(广播MAC)和组播MAC。绑定表项中的IPv6地址必须为单播地址,不能为全0地址、组播地址、环回地址。

·     当IPv6静态绑定表项与IP Source Guard功能配合时,静态绑定表项中的VLAN参数不作为过滤报文的特征项,VLAN参数指定与否,不影响IP Source Guard功能对报文的过滤结果。

·     在与ND Detection功能配合时,绑定表项中必须指定VLAN参数,且该VLAN为使能ND Detection功能的VLAN,否则ND报文将无法通过IPv6静态绑定表项的检查。关于ND Detection功能的相关配置请参见“安全配置指导”中的“ND攻击防御”。

·     配置静态表项时,如果系统中已经存在相同内容的动态表项,则新添加的静态表项将会覆盖已有的动态表项。

 

1.3.3  配置IPv6绑定表项数目的最大值

IPv6绑定表项数目的最大值用于限制端口上允许添加的IPv6静态绑定表项和IPv6动态绑定表项的数量总和。当端口上的IPv6绑定表项数目达到指定的最大值时,端口将不再允许添加新的IPv6绑定表项。

表1-6 配置IPv6绑定表项数目的最大值

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图

interface interface-type interface-number

-

配置IPv6绑定表项数目的最大值

ipv6 verify source max-entries number

可选

缺省情况下,IPv6绑定表项数目的最大值为1024

 

说明

如果要配置的IPv6绑定表项数目的最大值小于当前端口上已存在的IPv6绑定表项总数,则该最大值可以配置成功,且原有的表项不受影响,但端口将不再允许新增IPv6绑定表项,除非端口上的IPv6绑定表项数目减少到小于最大值。

 

1.4  IP Source Guard显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。

表1-7 IP Source Guard显示和维护(IPv4)

操作

命令

显示静态绑定表项信息

display ip source binding static [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

显示绑定表项信息

display ip source binding [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

 

表1-8 IP Source Guard显示和维护(IPv6)

操作

命令

显示IPv6静态绑定表项信息

display ipv6 source binding static [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

显示IPv6绑定表项信息

display ipv6 source binding [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

 

1.5  IP Source Guard典型配置举例

1.5.1  IPv4静态绑定表项配置举例

1. 组网需求

图1-2所示,Host A与Host B分别与Device B的端口Ethernet1/0/2、Ethernet1/0/1相连;Host C与Device A的端口Ethernet1/0/2相连。Device B接到Device A的端口Ethernet1/0/1上。各主机均使用静态配置的IP地址。

通过在Device A和Device B上配置IPv4静态绑定表项,可以满足以下各项应用需求:

·     Device A的端口Ethernet1/0/2上只允许Host C发送的IP报文通过。

·     Device A的端口Ethernet1/0/1上只允许Host A发送的IP报文通过。

·     Device B的端口Ethernet1/0/2上只允许Host A发送的IP报文通过。

·     Device B的端口Ethernet1/0/1上只允许使用IP地址192.168.0.2/24的主机发送的IP报文通过,即允许Host B更换网卡后仍然可以使用该IP地址与Host A互通。

2. 组网图

图1-2 配置静态绑定表项组网图

 

3. 配置步骤

(1)     配置Device A

# 在端口Ethernet1/0/2上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。

<DeviceA> system-view

[DeviceA] interface ethernet 1/0/2

[DeviceA-Ethernet1/0/2] ip verify source ip-address mac-address

# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0405、IP地址为192.168.0.3的Host C发送的IP报文通过端口Ethernet1/0/2。

[DeviceA] interface ethernet 1/0/2

[DeviceA-Ethernet1/0/2] ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405

[DeviceA-Ethernet1/0/2] quit

# 在端口Ethernet1/0/1上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。

[DeviceA] interface ethernet 1/0/1

[DeviceA-Ethernet1/0/1] ip verify source ip-address mac-address

# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的Host A发送的IP报文通过端口Ethernet1/0/1。

[DeviceA] interface ethernet 1/0/1

[DeviceA-Ethernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406

[DeviceA-Ethernet1/0/1] quit

(2)     配置Device B

# 在端口Ethernet1/0/2上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。

<DeviceB> system-view

[DeviceB] interface ethernet1/0/2

[DeviceB-Ethernet1/0/2] ip verify source ip-address mac-address

# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的Host A发送的IP报文通过端口Ethernet1/0/2。

[DeviceB-Ethernet1/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406

[DeviceB-Ethernet1/0/2] quit

# 在Ethernet1/0/1上配置IPv4端口绑定功能,绑定源IP地址。

[DeviceB] interface ethernet 1/0/1

[DeviceB-Ethernet1/0/1] ip verify source ip-address

# 配置IPv4静态绑定表项,只允许IP地址为192.168.0.2的主机发送的IP报文通过端口Ethernet1/0/1。

[DeviceB-Ethernet1/0/1] ip source binding ip-address 192.168.0.2

[DeviceB-Ethernet1/0/1] quit

4. 验证配置结果

# 在Device A上显示IPv4静态绑定表项配置成功。

[DeviceA] display ip source binding static

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface              Type

 0001-0203-0405    192.168.0.3      N/A    Eth1/0/2               Static

 0001-0203-0406    192.168.0.1      N/A    Eth1/0/1               Static

# 在Device B上显示IPv4静态绑定表项配置成功。

[DeviceB] display ip source binding static

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface             Type

 0001-0203-0406    192.168.0.1      N/A    Eth1/0/2               Static

 N/A               192.168.0.2      N/A    Eth1/0/1               Static

1.5.2  与DHCP Snooping配合的IPv4端口绑定功能配置举例

1. 组网需求

Device通过端口Ethernet1/0/1和Ethernet1/0/2分别与客户端Host和DHCP server相连。

具体应用需求如下:

·     Host通过DHCP server获取IP地址。

·     Device上使能DHCP Snooping功能,记录Host的DHCP Snooping表项。

·     在端口Ethernet1/0/1上启用IPv4端口绑定功能,利用记录的DHCP Snooping表项过滤端口转发的报文,仅允许通过DHCP server动态获取IP地址的客户端可以接入网络。

说明

DHCP server的具体配置请参考“三层技术-IP业务配置指导”中的“DHCP服务器”。

 

2. 组网图

图1-3 配置与DHCP Snooping配合的IPv4端口绑定功能组网图

 

3. 配置步骤

(1)     配置DHCP Snooping

# 开启DHCP Snooping功能。

<Device> system-view

[Device] dhcp-snooping

# 设置与DHCP server相连的端口Ethernet1/0/2为信任端口。

[Device] interface ethernet 1/0/2

[Device-Ethernet1/0/2] dhcp-snooping trust

[Device-Ethernet1/0/2] quit

(2)     配置IPv4端口绑定功能

# 配置端口Ethernet1/0/1的IPv4端口绑定功能,绑定源IP地址和MAC地址。

[Device] interface ethernet 1/0/1

[Device-Ethernet1/0/1] ip verify source ip-address mac-address

[Device-Ethernet1/0/1] quit

4. 验证配置结果

# 显示端口Ethernet1/0/1上的绑定表项信息。

[Device] display ip source binding

Total entries found: 1

 MAC Address       IP Address       VLAN   Interface              Type

 0001-0203-0406    192.168.0.1      1      Eth1/0/1               DHCP-SNP

# 显示DHCP Snooping已有的动态表项,查看其是否和端口Ethernet1/0/1获取的动态表项一致。

[Device] display dhcp-snooping

 DHCP snooping is enabled.

 The client binding table for all untrusted ports.

 Type : D--Dynamic , S--Static , R--Recovering

 Type IP Address      MAC Address    Lease        VLAN SVLAN Interface

 ==== =============== ============== ============ ==== ===== =================

 D    192.168.0.1     0001-0203-0406 86335        1    N/A   Ethernet1/0/1

---   1 dhcp-snooping item(s) found   ---

从以上显示信息可以看出,端口Ethernet1/0/1在配置IPv4端口绑定功能之后根据获取的DHCP Snooping表项产生了端口绑定表项。

1.5.3  IPv6静态绑定表项配置举例

1. 组网需求

IPv6客户端通过Device的端口Ethernet1/0/1接入网络。要求在Device上配置IPv6静态绑定表项,使得端口Ethernet1/0/1上只允许Host(MAC地址为0001-0202-0202、IPv6地址为2001::1)发送的IPv6报文通过。

2. 组网图

图1-4 配置IPv6静态绑定表项组网图

 

3. 配置步骤

# 在端口Ethernet1/0/1上配置IPv6端口绑定功能,绑定源IP地址和MAC地址。

<Device> system-view

[Device] interface ethernet1/0/1

[Device-Ethernet1/0/1] ipv6 verify source ipv6-address mac-address

# 在端口Ethernet1/0/1上配置IPv6静态绑定表项,绑定源IP地址和MAC地址,只允许IPv6地址为2001::1且MAC地址为00-01-02-02-02-02的IPv6报文通过。

[Device-Ethernet1/0/1] ipv6 source binding ipv6-address 2001::1 mac-address 0001-0202-0202

[Device-Ethernet1/0/1] quit

4. 验证配置结果

# 在Device上显示IPv6静态绑定表项配置成功。

[Device] display ipv6 source binding static

Total entries found: 1

 MAC Address        IP Address        VLAN   Interface               Type

 0001-0202-0202     2001::1           N/A    Eth1/0/1                Static-IPv6

1.5.4  与DHCPv6 Snooping配合的IPv6端口绑定功能配置举例

1. 组网需求

DHCPv6客户端通过Device的端口Ethernet1/0/1接入网络,通过DHCPv6 server获取IPv6地址。

具体应用需求如下:

·     Device上使能DHCPv6 Snooping功能,保证客户端从合法的服务器获取IP地址,且记录客户端IPv6地址及MAC地址的绑定关系。

·     在端口Ethernet1/0/1上启用IPv6动态绑定功能,利用动态获取的DHCPv6 Snooping表项过滤端口转发的报文,只允许通过DHCPv6 server动态获取IP地址的客户端接入网络。

2. 组网图

图1-5 配置与DHCPv6 Snooping配合的IPv6端口绑定功能组网图

 

3. 配置步骤

(1)     配置DHCPv6 Snooping

# 全局使能DHCPv6 Snooping功能。

<Device> system-view

[Device] ipv6 dhcp snooping enable

# 在VLAN 2内使能DHCPv6 Snooping功能。

[Device] vlan 2

[Device-vlan2] ipv6 dhcp snooping vlan enable

[Device] quit

# 配置端口Ethernet1/0/2为信任端口。

[Device] interface ethernet 1/0/2

[Device-Ethernet1/0/2] ipv6 dhcp snooping trust

[Device-Ethernet1/0/2] quit

(2)     配置IPv6动态绑定功能

# 配置端口Ethernet1/0/1的IPv6动态绑定功能,绑定源IP地址和MAC地址。

[Device] interface ethernet 1/0/1

[Device-Ethernet1/0/1] ipv6 verify source ipv6-address mac-address

[Device-Ethernet1/0/1] quit

4. 验证配置结果

# 客户端通过DHCPv6 server成功获取IP地址之后,通过执行以下命令可查看到已生成的IPv6动态绑定表项信息。

[Device] display ipv6 source binding

Total entries found: 1

 MAC Address          IP Address        VLAN   Interface       Type

 040a-0000-0001       2001::1           2      Eth1/0/1         DHCPv6-SNP

# 显示DHCPv6 Snooping已有的动态表项,查看其是否和端口Ethernet1/0/1生成的IPv6动态绑定表项一致。

[Device] display ipv6 dhcp snooping user-binding dynamic

IP Address                     MAC Address    Lease      VLAN Interface

============================== ============== ========== ==== ==================

2001::1                        040a-0000-0001 286        2    Ethernet1/0/1

---   1 DHCPv6 snooping item(s) found   ---

从以上显示信息可以看出,IP Source Guard通过获取端口Ethernet1/0/1上产生的DHCPv6 Snooping表项成功生成了IPv6动态绑定表项。

1.5.5  与ND Snooping配合的IPv6端口绑定功能配置举例

1. 组网需求

IPv6客户端通过Device的端口Ethernet1/0/1接入网络。

具体应用需求如下:

·     Device上使能ND Snooping功能,通过侦听DAD NS消息来建立ND Snooping表项。

·     在端口Ethernet1/0/1上启用IPv6端口绑定功能,利用动态获取的ND Snooping表项过滤端口收到的报文,只允许合法获取IPv6地址的客户端可以接入网络。

2. 组网图

图1-6 配置与ND Snooping配合的IPv6端口绑定功能组网图

 

3. 配置步骤

(1)     配置ND Snooping

# 在VLAN 2内使能ND Snooping功能。

<Device> system-view

[Device] vlan 2

[Device-vlan2] ipv6 nd snooping enable

[Device-vlan2] quit

(2)     配置IPv6端口绑定功能

# 在端口Ethernet1/0/1上配置IPv6端口绑定功能,绑定源IP地址和MAC地址。

[Device] interface ethernet1/0/1

[Device-Ethernet1/0/1] ipv6 verify source ipv6-address mac-address

[Device-Ethernet1/0/1] quit

4. 验证配置结果

# 在Device上显示生成的IPv6绑定表项信息。

[Device] display ipv6 source binding

Total entries found: 1

 MAC Address          IP Address        VLAN   Interface       Type

 040a-0000-0001       2001::1           2      Eth1/0/1         ND-SNP

# 显示ND Snooping已有的动态表项,查看其是否和端口Ethernet1/0/1获取的IPv6端口绑定表项一致。

[Device] display ipv6 nd snooping

IPv6 Address                   MAC Address     VID  Interface      Aging Status

2001::1                        040a-0000-0001  2    Eth1/0/1        25     Bound

---- Total entries: 1 ----

从以上显示信息可以看出,IP Source Guard通过获取端口Ethernet1/0/1上产生的ND Snooping表项成功生成了IPv6动态绑定表项。

1.6  常见配置错误举例

1.6.1  静态绑定表项配置和端口绑定功能配置失败

1. 故障现象

在端口上配置静态绑定表项、配置端口绑定功能均失败。

2. 故障分析

IP Source Guard功能不能在加入聚合组的端口上配置。

3. 处理过程

将端口退出已加入的聚合组。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们