18-IP Source Guard配置
本章节下载: 18-IP Source Guard配置 (375.15 KB)
目 录
1.6.2 与DHCP Snooping配合的IPv4动态绑定功能配置举例
1.6.3 与DHCP中继配合的IPv4动态绑定功能配置举例
1.6.5 与DHCPv6 Snooping配合的IPv6动态地址绑定表项配置举例
1.6.6 与DHCPv6 Snooping配合的IPv6动态前缀绑定表项配置举例
1.6.7 与DHCPv6中继配合的IPv6动态绑定功能配置举例
IP Source Guard功能用于对接口收到的报文进行过滤控制,通常配置在接入用户侧的接口上,以防止非法用户报文通过,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了接口的安全性。
如图1-1所示,配置了IP Source Guard功能的接口接收到用户报文后,根据IP Source Guard绑定表项匹配报文,如果报文的信息与某绑定表项匹配,则转发该报文;若匹配失败,则丢弃该报文。IP Source Guard可以根据报文的源IP地址、源MAC地址和VLAN标签对报文进行过滤。报文的这些特征项可单独或组合起来与接口进行绑定,形成IP Source Guard绑定表项。
IP Source Guard的绑定功能是针对接口的,一个接口配置了绑定功能后,仅对该接口接收的报文进行限制,其它接口不受影响。
IP Source Guard绑定表项可以通过手工配置和动态获取两种方式生成。
图1-1 IP Source Guard功能示意图
静态配置绑定表项是指通过命令行手工配置绑定表项,该方式适用于局域网络中主机数较少且主机使用静态配置IP地址的情况,比如在接入某重要服务器的接口上配置绑定表项,仅允许该接口接收与该服务器通信的报文。
静态绑定表项可以用于:
· 过滤接口收到的IP报文。
· 与ARP Detection功能配合使用检查接入用户的合法性。ARP Detection功能的详细介绍请参见“安全配置指导”中的“ARP攻击防御”。
· 与ND Detection功能配合使用检查接入用户的合法性。ND Detection功能的详细介绍请参见“安全配置指导”中的“ND攻击防御”。
静态绑定表项又包括全局静态绑定表项和接口静态绑定表项两种类型,这两种绑定表项的作用范围不同。
· 全局静态绑定表项
全局静态绑定表项是在系统视图下配置的绑定了IP地址和MAC地址的表项,这类表项在设备的所有接口上生效。全局静态绑定表项适用于防御主机仿冒攻击,可有效过滤攻击者通过仿冒合法用户主机的IP地址或者MAC地址向设备发送的伪造IP报文。
· 接口静态绑定表项
接口静态绑定是在接口上配置的绑定了IP地址、MAC地址、VLAN以及相关组合的表项,这类表项仅在当前接口上生效。只有接口收到的报文的IP地址、MAC地址、VLAN与接口上配置的绑定表项的各参数完全匹配时,报文才可以在该接口被正常转发,其它报文都不能被转发,该表项适用于检查接口上接入用户的合法性。
动态获取绑定表项是指通过获取其它模块生成的用户信息来生成绑定表项。动态绑定表项中可能包含的内容:MAC地址、IP地址/IPv6地址、VLAN信息、入接口信息及表项类型(DHCPv4/v6 Snooping、DHCPv4/v6中继等)。
这种动态获取绑定表项的方式,通常适用于局域网络中主机较多的情况。以主机使用DHCP动态获取IP地址的情况为例,其原理是每当局域网内的主机通过DHCP服务器获取到IP地址时,DHCP服务器会生成一条DHCP服务器表项,DHCP中继会生成一条DHCP中继表项,DHCP Snooping会生成一条DHCP Snooping表项。IP Source Guard可以根据以上任何一条DHCP表项相应地增加一条IP Source Guard绑定表项来判断是否允许该用户访问网络。如果某个用户私自设置IP地址,则不会触发设备生成相应的DHCP表项,IP Source Guard也不会增加相应的绑定表项,因此该用户的报文将会被丢弃。
在配置了IPv4动态绑定功能的接口上,IP Source Guard通过与不同的模块配合动态生成绑定表项:
表1-1 IPv4动态绑定功能信息表
接口类型 |
表项来源模块 |
用途 |
二层以太网接口 |
DHCP Snooping、802.1X |
报文过滤 |
ARP Snooping |
配合其它模块(例如MFF)提供相关的安全服务,而不直接用于过滤报文 |
|
三层以太网接口/VLAN接口 |
DHCP中继 |
报文过滤 |
DHCP服务器 |
配合其它模块(例如授权ARP)提供相关的安全服务,而不直接用于过滤报文 |
802.1X功能的详细介绍请参见“安全配置指导”中的“802.1X”。ARP Snooping功能的详细介绍请参见“三层技术-IP业务配置指导”中的“ARP”。DHCP Snooping功能的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP Snooping”。DHCP中继功能的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP中继”。DHCP服务器功能的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP服务器”。
在配置了IPv6动态绑定功能的接口上,IP Source Guard通过与不同模块配合动态生成绑定表项:
表1-2 IPv6动态绑定功能信息表
接口类型 |
表项来源模块 |
用途 |
二层以太网接口 |
DHCPv6 Snooping、ND Snooping |
报文过滤 |
802.1X |
||
三层以太网接口/VLAN接口 |
DHCPv6中继、ND RA |
报文过滤 |
DHCPv6服务器 |
表项上报给控制器,以便控制器了解用户的上下线情况,而不直接用于过滤报文 |
DHCPv6 Snooping功能的详细介绍请参见“三层技术-IP业务配置指导”的“DHCPv6 Snooping”。ND Snooping功能的详细介绍请参见“三层技术-IP业务配置指导”的“IPv6基础”。ND RA功能的详细介绍请参见“三层技术-IP业务配置指导”的“IPv6邻居发现”。DHCPv6中继功能的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6中继”。DHCPv6服务器功能的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6服务器”。
设备除了支持静态配置绑定表项和动态获取绑定表项,还可以通过路由协议(如BGP协议)从其他设备同步表项信息,这类表项称为远端绑定表项。缺省情况下,远端绑定表项不存在出接口信息,所以设备无法使用远端绑定表项过滤报文。当远端设备下的用户漫游到本设备下后,本设备可以根据用户的ARP/ND表项学习到远端绑定表项的接口信息,然后生成对应的本地绑定表项。IP Source Guard就可以使用生成的本地绑定表项中的信息过滤接口收到的报文。
关于各类路由协议如何同步表项信息的详细介绍,请参见“三层技术—IP路由配置指导”。
IPv4绑定功能配置任务如下:
(1) 配置IPv4接口绑定功能
(2) (可选)配置IPv4静态绑定表项
(3) (可选)配置IP Source Guard免过滤条件
(4) (可选)开启IPv4接口绑定告警功能
IPv6绑定功能配置任务如下:
(1) 配置IPv6接口绑定功能
(2) (可选)配置IPv6静态绑定表项
(3) (可选)配置接口上IPv6绑定表项的最大数目
(4) (可选)开启IPv6接口绑定告警功能
配置了IPv4接口绑定功能的接口,将打开根据绑定表项过滤报文的开关,并利用配置的IPv4静态绑定表项和从其它模块获取的IPv4动态绑定表项对接口转发的报文进行过滤或者配合其它模块提供相关的安全服务。IPv4静态绑定表项中指定的信息均用于IP Source Guard过滤接口收到的报文,具体配置请参考“1.3.2 配置IPv4静态绑定表项”。
IP Source Guard依据该表项中的哪些信息过滤接口收到的报文,由IPv4接口绑定配置决定:
· 若接口上配置动态绑定功能时绑定了源IP地址和MAC地址,则只有接口上收到的报文的源IPv4地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃;
· 若接口上配置动态绑定功能时仅绑定了源IP地址,则只有该接口收到的报文的源IPv4地址与某动态绑定表项匹配,该报文才会被正常转发,否则将被丢弃;
· 若接口上配置动态绑定功能时仅绑定了源MAC地址,则只有该接口收到的报文的源MAC地址与某动态绑定表项匹配,该报文才会被正常转发,否则将被丢弃。
在VLAN内开启IPv4接口绑定功能后,如果确定VLAN的某些接口下不存在攻击源,则无需通过IP Source Guard功能过滤收到的报文,管理员可以将这些接口配置为IPv4接口绑定功能的信任接口。
要实现IPv4动态绑定功能,请保证网络中的802.1X、ARP Snooping 、DHCP Snooping、DHCP中继、DHCP服务器配置有效且工作正常。
目前支持在接口下和VLAN下配置IPv4接口绑定功能,接口下配置的IPv4接口绑定功能只对当前接口生效;VLAN下配置的IPv4接口绑定功能对VLAN内所有的二层以太网接口都生效。
不允许在VLAN和该VLAN所属的以太网接口上同时配置IPv4接口绑定功能。若要采用其中一种方式配置,请先删除另外一种方式的配置。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
可支持二层以太网接口/三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口。
(3) 开启IPv4接口绑定功能。
ip verify source { ip-address | ip-address mac-address | mac-address }
缺省情况下,接口的IPv4接口绑定功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 配置IPv4接口绑定功能。
ip verify source { ip-address | ip-address mac-address | mac-address }
缺省情况下,所有该VLAN所属的二层以太网接口的IPv4接口绑定功能处于关闭状态。
(4) (可选)配置IPv4接口绑定功能的信任接口。
a. 退回系统视图。
quit
b. 进入VLAN内的二层以太网接口视图。
interface interface-type interface-number
c. 配置IPv4接口绑定功能的信任接口。
ip verify source trust
IPv4静态绑定表项包括全局的IPv4静态绑定表项和接口的IPv4静态绑定表项。接口的IPv4静态绑定表项和动态绑定表项的优先级高于全局的IPv4静态绑定表项,即接口优先使用本接口上的静态或动态绑定表项对收到的报文进行匹配,若匹配失败,再与全局的静态绑定表项进行匹配。
全局的IPv4静态绑定表项中定义了接口允许转发的报文的IP地址和MAC地址,对设备的所有接口都生效。
在与ARP Detection功能配合时,绑定表项中必须指定IP、MAC和VLAN参数,且该VLAN为使能ARP Detection功能的VLAN,否则ARP报文将无法通过接口的IPv4静态绑定表项的检查。
(1) 进入系统视图。
system-view
(2) 配置全局的IPv4静态绑定表项。
ip source binding ip-address ip-address mac-address mac-address
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
可支持二层以太网接口/三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口。
(3) 配置接口的IPv4静态绑定表项。
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
同一个表项可以在不同的接口上绑定。
缺省情况下,在接口上配置了IPv4绑定功能后,接口上会丢弃所有无绑定表项的IPv4报文。为避免特定用户的报文由于没有匹配的绑定表项而被丢弃,可配置IP Source Guard免过滤条件,允许接口直接放行匹配上免过滤条件的IPv4报文。
(1) 进入系统视图。
system-view
(2) 配置IP Source Guard免过滤条件。
ip verify source exclude vlan start-vlan-id [ to end-vlan-id ]
缺省情况下,未配置免过滤条件。
可以通过多次执行本命令,配置多个IP Source Guard免过滤VLAN,但不同命令中的VLAN范围不能重叠。
在接口上或者在VLAN下配置IPv4接口绑定功能后,接口会根据绑定表项过滤掉非法报文。在配置本功能后,当每秒过滤掉的报文数大于或等于指定的告警阈值时,设备会生成超出告警阈值的日志信息;当每秒过滤掉的报文数恢复到低于指定的告警阈值,设备会生成问题解除日志信息。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启IPv4接口绑定告警功能。
ip verify source alarm [ alarm-threshold ]
缺省情况下,IPv4接口绑定告警功能处于关闭状态。
配置了IPv6接口绑定功能的接口,将打开根据绑定表项过滤报文的开关,并利用配置的IPv6静态绑定表项和从其他模块获取的IPv6动态绑定表项对接口转发的报文进行过滤。IPv6静态绑定表项中指定的信息均用于IP Source Guard过滤接口收到的报文,具体配置请参考“1.4.2 配置IPv6静态绑定表项”。
IP Source Guard依据该表项中的哪些信息过滤接口收到的报文,由IPv6接口绑定配置决定:
· 若配置动态绑定功能时绑定了源IP地址和MAC地址,则只有接口上收到的报文的源IPv6地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃;
· 若配置动态绑定功能时仅绑定了源IP地址,则只有该接口收到的报文的源IPv6地址与某动态绑定表项匹配,该报文才会被正常转发,否则将被丢弃;
· 若配置动态绑定功能时仅绑定了源MAC地址,则只有该接口收到的报文的源MAC地址与某动态绑定表项匹配,该报文才会被正常转发,否则将被丢弃。
在VLAN内开启IPv6接口绑定功能后,如果确定VLAN的某些接口下不存在攻击源,则无需通过IP Source Guard功能过滤收到的报文,管理员可以将这些接口配置为IPv6接口绑定功能的信任接口。
要实现IPv6动态绑定功能,请保证网络中的DHCPv6 Snooping、DHCPv6 Relay或ND Snooping配置有效且工作正常。
目前支持在接口下和VLAN下配置IPv6接口绑定功能,接口下配置的IPv6接口绑定功能只对当前接口生效;VLAN下配置的IPv6接口绑定功能对VLAN内所有的二层以太网接口都生效。
不允许在VLAN和该VLAN所属的以太网接口上同时配置IPv6接口绑定功能。若要采用其中一种方式配置,请先删除另外一种方式的配置。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
可支持二层以太网接口/三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口。
(3) 配置IPv6接口绑定功能。
ipv6 verify source { ip-address | ip-address mac-address | mac-address }
缺省情况下,接口的IPv6接口绑定功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 配置IPv6接口绑定功能。
ipv6 verify source { ip-address | ip-address mac-address | mac-address }
缺省情况下,所有该VLAN所属的二层以太网接口的IPv6接口绑定功能处于关闭状态。
(4) (可选)配置IPv6接口绑定功能的信任接口。
a. 退回系统视图。
quit
b. 进入VLAN内的二层以太网接口视图。
interface interface-type interface-number
c. 配置IPv6接口绑定功能的信任接口。
ipv6 verify source trust
IPv6静态绑定功能包括全局的IPv6静态绑定功能和接口的IPv6静态绑定功能。接口的IPv6静态绑定表项和IPv6动态绑定表项的优先级高于全局的IPv6静态绑定表项,即接口优先使用本接口上的IPv6静态或动态绑定表项对收到的报文进行匹配,若匹配失败,再与全局的IPv6静态绑定表项进行匹配。
全局的IPv6静态绑定表项中定义了接口允许转发的报文的IPv6地址和MAC地址,对设备的所有接口都生效。
在与ND Detection功能配合时,绑定表项中必须指定VLAN参数,且该VLAN为使能ND Detection功能的VLAN,否则ND报文将无法通过接口的IPv6静态绑定表项的检查。
(1) 进入系统视图。
system-view
(2) 配置全局的IPv6静态绑定表项。
ipv6 source binding ip-address ipv6-address mac-address mac-address
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
可支持二层以太网接口/三层以太网接口/三层以太网子接口/三层聚合接口/三层聚合子接口/VLAN接口。
(3) 配置接口的IPv6静态绑定表项。
ipv6 source binding { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
同一个表项可以在不同接口上绑定。
配置接口上IPv6绑定表项的最大数目,即接口上允许添加的IPv6静态绑定表项和IPv6动态绑定表项的数量总和的最大数目。当接口上表项数目达到最大绑定表项数目时,该接口不会继续添加新的IPv6绑定表项。
(1) 进入系统视图。
system-view
(2) 进入端口视图。
interface interface-type interface-number
仅支持二层以太网端口。
(3) 配置接口上IPv6绑定表项的最大数目。
ipv6 verify source max-entries number
缺省情况下,不限制接口上IPv6绑定表项的最大数目。
在接口上或者在VLAN下配置IPv6接口绑定功能后,接口会根据绑定表项过滤掉非法报文。在配置本功能后,当每秒过滤掉的报文数大于或等于指定的告警阈值时,设备会生成超出告警阈值的日志信息;当每秒过滤掉的报文数恢复到低于指定的告警阈值,设备会生成问题解除日志信息。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启IPv6接口绑定告警功能。
ipv6 verify source alarm [ alarm-threshold ]
缺省情况下,IPv6接口绑定告警功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。
表1-3 IP Source Guard显示和维护
操作 |
命令 |
显示IPv4绑定表项信息 |
display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ arp-snooping-vlan | arp-snooping-vsi | dhcp-relay | dhcp-server | dhcp-snooping | dot1x | remote ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] |
显示路由协议模块关注的IPv4本地绑定表项信息 |
display ip source binding-local [ interface interface-type interface-number ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ] |
显示路由协议模块同步的IPv4远端绑定表项信息 |
display ip source binding-remote [ router-id router-id ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ] |
显示路由协议模块关注的IPv4绑定表项统计信息 |
display ip source binding statistics |
显示IP Source Guard免过滤条件生效情况 |
display ip verify source excluded [ vlan start-vlan-id [ to end-vlan-id ] ] [ slot slot-number ] |
显示IPv6地址绑定表项信息 |
display ipv6 source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcpv6-relay | dhcpv6-server | dhcpv6-snooping | dot1x | nd-snooping-vlan | nd-snooping-vsi | remote ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] |
显示路由协议模块关注的IPv6本地绑定表项信息 |
display ipv6 source binding-local [ interface interface-type interface-number ] [ dhcpv6-relay | nd-snooping-vlan ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ] |
显示路由协议模块同步的IPv6远端绑定表项信息 |
display ipv6 source binding-remote [ router-id router-id ] [ dhcpv6-relay | nd-snooping-vlan] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ] |
显示IPv6前缀绑定表项信息 |
display ipv6 source binding pd [ vpn-instance vpn-instance-name ] [ prefix prefix/prefix-length ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] |
显示路由协议模块关注的IPv6绑定表项统计信息 |
display ipv6 source binding statistics |
如图1-2所示,Host A、Host B分别与Device A的接口GigabitEthernet1/0/2、GigabitEthernet1/0/1相连。各主机均使用静态配置的IP地址。
要求通过在Device A上配置IPv4静态绑定表项,满足以下各项应用需求:
· Device A上的所有接口都允许Host A发送的IP报文通过。
· Device A的接口GigabitEthernet1/0/1上允许Host B发送的IP报文通过。
# 配置Device A各接口的IP地址(略)。
# 在接口GigabitEthernet1/0/2上开启IPv4接口绑定功能,绑定源IP地址和MAC地址。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ip verify source ip-address mac-address
[DeviceA-GigabitEthernet1/0/2] quit
# 配置IPv4静态绑定表项,在Device A上的所有接口都允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
[DeviceA] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
# 在接口GigabitEthernet1/0/1上开启IPv4接口绑定功能,绑定源IP地址和MAC地址。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,在Device A的GigabitEthernet1/0/1上允许MAC地址为0001-0203-0407的数据终端Host B发送的IP报文通过。
[DeviceA-GigabitEthernet1/0/1] ip source binding mac-address 0001-0203-0407
[DeviceA-GigabitEthernet1/0/1] quit
# 在Device A上显示IPv4静态绑定表项,可以看出以上配置成功。
<DeviceA> display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 N/A N/A Static
N/A 0001-0203-0407 GE1/0/1 N/A Static
DHCP客户端通过Device的接口GigabitEthernet1/0/1接入网络,通过DHCP服务器获取IPv4地址。
具体应用需求如下:
· Device上使能DHCP Snooping功能,保证客户端从合法的服务器获取IP地址,且记录客户端IPv4地址及MAC地址的绑定关系。
· 在接口GigabitEthernet1/0/1上启用IPv4动态绑定功能,利用动态生成的DHCP Snooping表项过滤接口接收的报文,只允许通过DHCP服务器动态获取IP地址的客户端接入网络。DHCP服务器的具体配置请参见“三层技术-IP业务配置指导”中的“DHCP服务器”。
图1-3 配置与DHCP Snooping配合的IPv4动态绑定功能组网图
(1) 配置DHCP Snooping
# 配置各接口的IP地址(略)。
# 开启DHCP Snooping功能。
<Device> system-view
[Device] dhcp snooping enable
# 设置与DHCP服务器相连的接口GigabitEthernet1/0/2为信任接口。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] dhcp snooping trust
[Device-GigabitEthernet1/0/2] quit
(2) 配置IPv4接口绑定功能
# 开启接口GigabitEthernet1/0/1的IPv4接口绑定功能,绑定源IP地址和MAC地址,并启用接口的DHCP Snooping 表项记录功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip verify source ip-address mac-address
[Device-GigabitEthernet1/0/1] dhcp snooping binding record
[Device-GigabitEthernet1/0/1] quit
# 显示接口GigabitEthernet1/0/1从DHCP Snooping获取的动态表项。
[Device] display ip source binding dhcp-snooping
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 GE1/0/1 1 DHCP snooping
接口GigabitEthernet1/0/1在配置IPv4接口绑定功能之后,会根据该表项进行报文过滤。
Switch通过接口Vlan-interface100和Vlan-interface200分别与客户端Host和DHCP服务器相连。Switch上使能DHCP中继功能。
具体应用需求如下:
· Host通过DHCP中继从DHCP服务器上获取IP地址。
· 在接口Vlan-interface100上启用IPv4动态绑定功能,利用Switch上生成的DHCP中继表项,过滤接口接收的报文。
图1-4 配置动态绑定功能组网图
(1) 配置IPv4动态绑定功能
# 配置各接口的IP地址(略)。
# 在接口Vlan-interface100上开启IPv4接口绑定功能,绑定源IP地址和MAC地址。
<Switch> system-view
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] ip verify source ip-address mac-address
[Switch-Vlan-interface100] quit
(2) 配置DHCP中继
# 开启DHCP服务。
[Switch] dhcp enable
# 开启DHCP中继用户地址表项记录功能。
[Switch] dhcp relay client-information record
# 配置接口Vlan-interface100工作在DHCP中继模式。
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] dhcp select relay
# 指定DHCP服务器的地址。
[Switch-Vlan-interface100] dhcp relay server-address 10.1.1.1
[Switch-Vlan-interface100] quit
# 显示生成的IPv4动态绑定表项信息。
[Switch] display ip source binding dhcp-relay
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 Vlan100 100 DHCP relay
IPv6客户端通过Device的接口GigabitEthernet1/0/1接入网络。要求在Device上配置IPv6静态绑定表项,使得接口GigabitEthernet1/0/1上只允许Host(MAC地址为0001-0202-0202、IPv6地址为2001::1)发送的IPv6报文通过。
图1-5 配置IPv6静态绑定表项组网图
# 在接口GigabitEthernet1/0/1上开启IPv6接口绑定功能,绑定源IP地址和MAC地址。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address
# 在接口GigabitEthernet1/0/1上配置IPv6静态绑定表项,绑定源IP地址和MAC地址,只允许IPv6地址为2001::1且MAC地址为00-01-02-02-02-02的IPv6报文通过。
[Device-GigabitEthernet1/0/1] ipv6 source binding ip-address 2001::1 mac-address 0001-0202-0202
[Device-GigabitEthernet1/0/1] quit
# 在Device上显示IPv6静态绑定表项,可以看出以上配置成功。
[Device] display ipv6 source binding static
Total entries found: 1
IPv6 Address MAC Address Interface VLAN Type
2001::1 0001-0202-0202 GE1/0/1 N/A Static
DHCPv6客户端通过Device的接口GigabitEthernet1/0/1接入网络,通过DHCPv6服务器获取IPv6地址。
具体应用需求如下:
· Device上使能DHCPv6 Snooping功能,保证客户端从合法的服务器获取IP地址,且记录客户端IPv6地址及MAC地址的绑定关系。
· 在接口GigabitEthernet1/0/1上启用IPv6动态绑定功能,利用动态生成的DHCPv6 Snooping表项过滤接口接收的报文,只允许通过DHCPv6服务器动态获取IP地址的客户端接入网络。
图1-6 配置与DHCPv6 Snooping配合的IPv6动态地址绑定功能组网图
(1) 配置DHCPv6 Snooping
# 全局使能DHCPv6 Snooping功能。
<Device> system-view
[Device] ipv6 dhcp snooping enable
# 配置接口GigabitEthernet1/0/2为信任接口。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ipv6 dhcp snooping trust
[Device-GigabitEthernet1/0/2] quit
(2) 配置IPv6接口绑定功能
# 开启接口GigabitEthernet1/0/1的IPv6接口绑定功能,绑定源IP地址和MAC地址,并启用接口的DHCPv6 Snooping地址表项记录功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address
[Device-GigabitEthernet1/0/1] ipv6 dhcp snooping binding record
[Device-GigabitEthernet1/0/1] quit
# 客户端通过DHCPv6 server成功获取IP地址之后,通过执行以下命令可查看到已生成的IPv6动态地址绑定表项信息。
[Device] display ipv6 source binding dhcpv6-snooping
Total entries found: 1
IPv6 Address MAC Address Interface VLAN Type
2001::1 040a-0000-0001 GE1/0/1 1 DHCPv6 snooping
接口GigabitEthernet1/0/1在配置IPv6接口绑定功能之后,会根据该表项进行报文过滤。
DHCPv6客户端通过Device的接口GigabitEthernet1/0/1接入网络,通过DHCPv6服务器获取IPv6前缀。
具体应用需求如下:
· Device上开启了DHCPv6 Snooping功能,保证DHCPv6客户端从合法的服务器获取前缀,且记录对应的DHCPv6 Snooping前缀表项。
· 在接口GigabitEthernet1/0/1上启用IPv6动态绑定功能,利用动态生成的DHCPv6 Snooping前缀表项过滤接口接收的报文,只允许通过DHCPv6服务器动态获取前缀生成IPv6地址的客户端接入网络。
图1-7 配置与DHCPv6 Snooping配合的IPv6动态前缀绑定功能组网图
(1) 配置DHCPv6 Snooping
# 开启DHCPv6 Snooping功能。
<Device> system-view
[Device] ipv6 dhcp snooping enable
# 配置接口GigabitEthernet1/0/2为DHCPv6 Snooping信任接口。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ipv6 dhcp snooping trust
[Device-GigabitEthernet1/0/2] quit
# 在接口GigabitEthernet1/0/1开启DHCPv6 Snooping前缀表项记录功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 dhcp snooping pd binding record
(2) 配置IPv6接口绑定功能
# 开启接口GigabitEthernet1/0/1的IPv6接口绑定功能。
[Device-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address
[Device-GigabitEthernet1/0/1] quit
# DHCPv6客户端通过DHCPv6服务器成功获取前缀信息之后,可通过执行以下命令可查看到设备上生成的DHCPv6前缀表项信息。
[Device] display ipv6 source binding pd
Total entries found: 1
IPv6 prefix MAC address Interface VLAN
2001:410:1::/48 0010-9400-0004 GE1/0/1 1
接口GigabitEthernet1/0/1在配置IPv6接口绑定功能之后,会根据该表项进行报文过滤。
Switch通过接口Vlan-interface3和Vlan-interface2分别与客户端和DHCPv6服务器相连。通过在Switch上使能DHCPv6中继功能,实现如下需求:
· 客户端通过DHCPv6中继从DHCPv6服务器上获取IPv6地址。
· 在接口Vlan-interface3上启用IPv6动态绑定功能,利用Switch上生成的DHCPv6中继表项,过滤接口接收的报文。
图1-8 配置与DHCPv6中继配合的IPv6动态绑定功能组网图
(1) 配置DHCPv6中继
# 创建VLAN、将接口加入到VLAN,并配置VLAN接口的IPv6地址(略)。
# 配置接口Vlan-interface3工作在DHCPv6中继模式。
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ipv6 dhcp select relay
# 开启DHCPv6中继用户地址表项记录功能。
[Switch-Vlan-interface3] ipv6 dhcp relay client-information record
# 指定DHCPv6服务器的地址。
[Switch-Vlan-interface3] ipv6 dhcp relay server-address 2::2
[Switch-Vlan-interface3] quit
(2) 配置IPv6动态绑定功能
# 在接口Vlan-interface3上开启IPv6接口绑定功能,绑定源IP地址和MAC地址。
<Switch> system-view
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ipv6 verify source ip-address mac-address
[Switch-Vlan-interface3] quit
# 显示生成的IPv6动态绑定表项信息。
[Switch] display ipv6 source binding dhcpv6-relay
Total entries found: 1
IP Address MAC Address Interface VLAN Type
1::2 0001-0203-0406 Vlan3 3 DHCPv6 relay
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!