• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

09-安全配置指导

目录

10-IP Source Guard配置

本章节下载 10-IP Source Guard配置  (341.29 KB)

10-IP Source Guard配置


1 IP Source Guard

说明

本系列设备未形成IRF时,适用本手册中的“独立运行模式”的情况;形成IRF后则适用本手册中的“IRF模式”的情况。有关IRF特性的详细介绍,请参见“IRF配置指导”。

 

1.1  IP Source Guard简介

1.1.1  概述

IP Source Guard功能用于对端口收到的报文进行过滤控制,通常配置在接入用户侧的端口上,以防止非法用户报文通过,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。

图1-1所示,配置了IP Source Guard功能的端口接收到用户报文后,首先查找与该端口绑定的IP Source Guard绑定表项,如果报文的特征项与某绑定表项匹配,则转发该报文,否则做丢弃处理。IP Source Guard用于过滤报文的特征项包括:源IP地址、源MAC地址。这些特征项可单独或组合起来与端口进行绑定,形成如下几类绑定表项:

·              IP绑定表项

·              MAC绑定表项

·              IP+MAC绑定表项

IP Source Guard绑定表项可以通过手工配置和动态获取两种方式生成。

图1-1 IP Source Guard功能示意图

 

说明

IP Source Guard的绑定功能是针对端口的,一个端口配置了绑定功能后,仅该端口接收的报文被限制,其它端口不受影响。

 

1.1.2  静态配置绑定表项

通过命令行手工配置产生绑定表项,该方式适用于局域网络中主机数较少且主机使用静态配置IP地址的情况,比如在接入某重要服务器的端口上配置绑定表项,仅允许该端口接收或者发送与该服务器通信的报文。

·              IPv4静态表项:使用手工配置的IPv4静态绑定表项来过滤端口收到的IPv4报文,或者与ARP Detection功能配合使用检查接入用户的合法性;

·              IPv6静态表项:使用手工配置的IPv6静态绑定表项来过滤端口收到的IPv6报文。

说明

ARP Detection功能的详细介绍请参考“安全配置指导”中的“ARP攻击防御”。

 

静态绑定表项又包括全局静态绑定表项和端口静态绑定表项两种类型,这两种绑定表项的作用范围不同。

1. 全局静态绑定表项

全局静态绑定表项是在系统视图下配置的绑定了IP地址和MAC地址的表项,这类表项在设备的所有端口上生效,允许端口正常转发IP地址和MAC地址均与全局静态绑定表项匹配的报文,其它报文是否可以被正常转发由端口上配置的静态绑定表项来决定。全局静态绑定表项适用于防御主机仿冒攻击,可有效过滤攻击者通过仿冒合法用户主机的IP地址或者MAC地址向设备发送的伪造IP报文。

2. 端口静态绑定表项

端口静态绑定是在端口上配置的绑定了IP地址、MAC地址以及相关组合的表项,这类表项仅在当前端口上生效。只有端口收到的报文的IP地址、MAC地址与端口上配置的绑定表项的各参数完全匹配时,报文才可以在该端口被正常转发,其它报文都不能被转发,该表项适用于检查端口上接入用户的合法性。

1.1.3  动态获取IPv4绑定表项

根据DHCP的相关表项动态生成绑定表项,该方式通常适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况。其原理是每当DHCP为用户分配IP地址而生成一条DHCP表项时,动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址,则不会触发设备生成相应的DHCP表项,因此动态绑定功能也不会增加相应的访问规则来允许该用户访问网络。

IPv4动态绑定:根据DHCP snooping表项或DHCP relay表项动态生成绑定表项来过滤端口收到的IPv4报文;

说明

DHCP snooping和DHCP relay功能的详细介绍请参考“三层技术-IP业务配置指导”中的“DHCP中继”。

 

1.2  IP Source Guard配置任务简介

表1-1 IPv4绑定功能配置任务简介

配置任务

说明

详细配置

配置IPv4端口绑定功能

必选

1.3.1 

配置IPv4静态绑定表项

可选

1.3.2 

配置IPv4绑定表项数目的最大值

可选

1.3.3 

 

表1-2 IPv6绑定功能配置任务简介

配置任务

说明

详细配置

配置IPv6端口绑定功能

必选

1.4.1 

配置IPv6静态绑定表项

可选

1.4.2 

配置IPv6绑定表项数目的最大值

可选

1.4.3 

 

1.3  配置IPv4绑定功能

注意

加入聚合组或加入业务环回组的端口上不能配置IP Source Guard功能,反之亦然。

 

1.3.1  配置IPv4端口绑定功能

配置了IPv4端口绑定功能的端口,可利用配置的IPv4静态绑定表项和从DHCP模块获取的IPv4动态绑定表项对端口转发的报文进行过滤:

·              IPv4静态绑定表项的配置请参考“1.3.2  配置IPv4静态绑定表项”。

·              在二层以太网端口上,IP Source Guard可与DHCP snooping配合,通过获取IP地址动态分配时产生的DHCP snooping表项来生成动态绑定表项;

·              在VLAN接口上,IP Source Guard可与DHCP relay配合,通过获取IP地址跨网段动态分配时产生的DHCP relay表项来生成动态绑定表项。

动态绑定表项中可能包含的内容有:MAC地址、IP地址、VLAN信息、入端口信息及表项类型(DHCP snooping或DHCP relay),其中MAC地址、IP地址和VLAN信息的包含情况由动态绑定配置决定。IP Source Guard把这些动态绑定表项下发到端口后,可对端口上转发的报文进行过滤。

表1-3 配置IPv4端口绑定功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置IPv4端口绑定功能

ip verify source { ip-address | ip-address mac-address | mac-address }

必选

缺省情况下,端口上未配置IPv4端口绑定功能

 

说明

·       IPv4动态绑定功能中所指的“接口”可以为二层以太网端口、VLAN接口或端口组。

·       若要通过获取DHCP相关表项来生成动态绑定表项,请保证网络中的DHCP snooping或DHCP relay配置有效且工作正常,DHCP snooping配置的具体介绍请参见“三层技术-IP业务配置指导”中的“DHCP Snooping”,DHCP relay配置的具体介绍请参见“三层技术-IP业务配置指导”中的“DHCP中继”。

·       IPv4端口绑定功能可多次配置,最后一次的配置生效。

·       虽然IP Source Guard的动态表项是通过获取DHCP的相关表项而生成,但生成的IP Source Guard动态绑定表项数目并不与对应的DHCP表项数目保持一致,实际使用过程中,请以IP Source Guard实际生成的表项数目为准。

 

1.3.2  配置IPv4静态绑定表项

IPv4静态绑定表项包括全局IPv4静态绑定表项和端口IPv4静态绑定表项。IPv4静态绑定表项只能在配置了IPv4端口绑定功能的端口上生效,IPv4端口绑定功能的具体配置请参见“1.3.1  配置IPv4端口绑定功能”。

端口静态绑定表项和动态绑定表项的优先级高于全局静态绑定表项,即端口优先使用端口上的静态或动态绑定表项对收到的报文进行匹配,若匹配失败,再与全局静态绑定表项进行匹配。

1. 配置全局IPv4静态绑定表项

说明

Release 6703及以后的版本支持本特性。

 

全局静态绑定表项中定义了端口允许转发的报文的IP地址和MAC地址,对所有端口都生效。

表1-4 配置全局IPv4静态绑定表项

操作

命令

说明

进入系统视图

system-view

-

配置全局IPv4静态绑定表项

ip source binding ip-address ip-address mac-address mac-address

必选

缺省情况下,无全局IPv4静态绑定表项

 

2. 配置端口IPv4静态绑定表项

表1-5 配置端口IPv4静态绑定表项

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图

interface interface-type interface-number

-

配置端口的IPv4静态绑定表项

ip source binding { ip-address ip-address |

 ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]

必选

缺省情况下,端口上无IPv4静态绑定表项

 

说明

·       一个表项不能在同一个端口上重复绑定,但可以在不同端口上绑定。

·       当IPv4静态绑定表项与IP Source Guard功能配合时,静态绑定表项中的VLAN参数不作为过滤报文的特征项,VLAN参数指定与否,不影响IP Source Guard功能对报文的过滤结果。

·       在IPv4静态绑定表项与ARP Detection功能配合时,静态绑定表项中必须指定VLAN参数,且该VLAN为使能ARP Detection功能的VLAN,否则ARP报文将无法通过IPv4静态绑定表项的检查。关于ARP Detection功能的相关配置请参见“安全配置指导”中的“ARP攻击防御”。

·       配置静态表项时,如果系统中已经存在相同内容的动态表项,则新添加的静态表项将会覆盖已有的动态表项。

 

1.3.3  配置IPv4绑定表项数目的最大值

IPv4绑定表项数目的最大值用于限制端口上允许添加的IPv4静态绑定表项和IPv4动态绑定表项的数量总和。当端口上的IPv4绑定表项数目达到指定的最大值时,端口将不再允许添加新的IPv4绑定表项。

表1-6 配置IPv4绑定表项数目的最大值

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图

interface interface-type interface-number

-

配置IPv4绑定表项数目的最大值

ip verify source max-entries number

可选

缺省情况下,IPv4绑定表项数目的最大值为256

 

说明

如果要配置的IPv4绑定表项数目的最大值小于当前端口上已存在的IPv4绑定表项总数,则该最大值可以配置成功,且原有的表项不受影响,但端口将不再允许新增IPv4绑定表项,除非端口上的IPv4绑定表项数目减少到小于此最大值。

 

1.4  配置IPv6绑定功能

说明

加入聚合组或加入业务环回组的端口上不能配置IP Source Guard功能,反之亦然。

 

1.4.1  配置IPv6端口绑定功能

配置了IPv6端口绑定功能的端口,利用配置的IPv6静态绑定表项对端口转发的报文进行过滤,IPv6静态绑定表项的配置请参考“1.4.2  配置IPv6静态绑定表项”。

表1-7 配置IPv6端口绑定功能

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口、端口组视图

interface interface-type interface-number

-

配置IPv6端口绑定功能

ipv6 verify source { ipv6-address | ipv6-address mac-address | mac-address }

必选

缺省情况下,端口上未配置IPv6端口绑定功能

 

说明

ipv6 verify source { ipv6-address | ipv6-address mac-address | mac-address }命令仅用于控制是否开启端口的报文过滤功能,端口依据配置的静态绑定表项参数来过滤报文,而不关心本命令中指定的参数。

 

1.4.2  配置IPv6静态绑定表项

IPv6静态绑定功能包括全局IPv6静态绑定功能和端口IPv6静态绑定功能。IPv6静态绑定表项只能在配置了IPv6端口绑定功能的端口上生效,IPv6端口绑定功能的具体配置请参见“1.4.1  配置IPv6端口绑定功能”。

端口IPv6静态绑定表项和IPv6动态绑定表项的优先级高于全局IPv6静态绑定表项,即端口优先使用端口上的IPv6静态或动态绑定表项对收到的报文进行匹配,若匹配失败,再与全局IPv6静态绑定表项进行匹配。

1. 配置全局IPv6静态绑定表项

说明

Release 6703及以后的版本支持本特性。

 

全局IPv6静态绑定表项中定义了端口允许转发的报文的IP地址和MAC地址,对所有端口都生效。

表1-8 配置全局IPv6静态绑定表项

操作

命令

说明

进入系统视图

system-view

-

配置全局IPv6静态绑定表项

ipv6 source binding ipv6-address ipv6-address mac-address mac-address

必选

缺省情况下,无全局IPv6静态绑定表项

 

2. 配置端口IPv6静态绑定表项

表1-9 配置端口IPv6静态绑定表项

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图

interface interface-type interface-number

-

配置端口的IPv6静态绑定表项

ipv6 source binding { ipv6-address ipv6-address |

 ipv6-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]

必选

缺省情况下,端口上无IPv6静态绑定表项

 

说明

·       同一个表项不能在同一个端口上重复绑定,但可以在不同端口上绑定。

·       绑定表项中的MAC地址不能为全0、全F(广播MAC)和组播MAC。绑定表项中的IPv6地址必须为单播地址,不能为全0地址、组播地址、环回地址。

·       当IPv6静态绑定表项与IP Source Guard功能配合时,静态绑定表项中的VLAN参数不作为过滤报文的特征项,VLAN参数指定与否,不影响IP Source Guard功能对报文的过滤结果。

·       配置静态表项时,如果系统中已经存在相同内容的动态表项,则新添加的静态表项将会覆盖已有的动态表项。

 

1.4.3  配置IPv6绑定表项数目的最大值

IPv6绑定表项数目的最大值用于限制端口上允许添加的IPv6静态绑定表项的数量。当端口上的IPv6绑定表项数目达到指定的最大值时,端口将不再允许添加新的IPv6绑定表项。

表1-10 配置IPv6绑定表项数目的最大值

操作

命令

说明

进入系统视图

system-view

-

进入二层以太网端口视图

interface interface-type interface-number

-

配置IPv6绑定表项数目的最大值

ipv6 verify source max-entries number

可选

缺省情况下,IPv6绑定表项数目的最大值为256

 

说明

如果要配置的IPv6绑定表项数目的最大值小于当前端口上已存在的IPv6绑定表项总数,则该最大值可以配置成功,且原有的表项不受影响,但端口将不再允许新增IPv6绑定表项,除非端口上的IPv6绑定表项数目减少到小于最大值。

 

1.5  IP Source Guard显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。

表1-11 IP Source Guard显示和维护(IPv4)

操作

命令

显示静态绑定表项信息

(独立运行模式)

display ip source binding static [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

显示静态绑定表项信息

(IRF模式)

display ip source binding static [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ]

显示绑定表项信息(独立运行模式)

display ip source binding [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

显示绑定表项信息(IRF模式)

display ip source binding [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ]

 

表1-12 IP Source Guard显示和维护(IPv6)

操作

命令

显示IPv6静态绑定表项信息

(独立运行模式)

display ipv6 source binding static [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

显示IPv6静态绑定表项信息

(IRF模式)

display ipv6 source binding static [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ]

 

1.6  IP Source Guard典型配置举例

1.6.1  IPv4静态绑定表项配置举例

1. 组网需求

图1-2所示,Host A与Host B分别与Device B的端口GigabitEthernet1/0/2、GigabitEthernet1/0/1相连;Host C与Device A的端口GigabitEthernet1/0/2相连。Device B接到Device A的端口GigabitEthernet1/0/1上。各主机均使用静态配置的IP地址。

通过在Device A和Device B上配置IPv4静态绑定表项,可以满足以下各项应用需求:

·              Device A的端口GigabitEthernet1/0/2上只允许Host C发送的IP报文通过。

·              Device A的端口GigabitEthernet1/0/1上只允许Host A发送的IP报文通过。

·              Device B的端口GigabitEthernet1/0/2上只允许Host A发送的IP报文通过。

·              Device B的端口GigabitEthernet1/0/1上只允许使用IP地址192.168.0.2/24的主机发送的IP报文通过,即允许Host B更换网卡后仍然可以使用该IP地址与Host A互通。

2. 组网图

图1-2 配置静态绑定表项组网图

 

3. 配置步骤

(1)      配置Device A

# 在端口GigabitEthernet1/0/2上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ip verify source ip-address mac-address

# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0405、IP地址为192.168.0.3的Host C发送的IP报文通过端口GigabitEthernet1/0/2。

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405

[DeviceA-GigabitEthernet1/0/2] quit

# 在端口GigabitEthernet1/0/1上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ip verify source ip-address mac-address

# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的Host A发送的IP报文通过端口GigabitEthernet1/0/1。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406

[DeviceA-GigabitEthernet1/0/1] quit

(2)      配置Device B

# 在端口GigabitEthernet1/0/2上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。

<DeviceB> system-view

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] ip verify source ip-address mac-address

# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的Host A发送的IP报文通过端口GigabitEthernet1/0/2。

[DeviceB-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406

[DeviceB-GigabitEthernet1/0/2] quit

# 在端口GigabitEthernet1/0/1上配置IPv4端口绑定功能,绑定源IP地址。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ip verify source ip-address

# 配置IPv4静态绑定表项,只允许IP地址为192.168.0.2的主机发送的IP报文通过端口GigabitEthernet1/0/1。

[DeviceB-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.2

[DeviceB-GigabitEthernet1/0/1] quit

4. 验证配置结果

# 在Device A上显示IPv4静态绑定表项配置成功。

[DeviceA] display ip source binding static

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0405    192.168.0.3      N/A    GE1/0/2              Static

 0001-0203-0406    192.168.0.1      N/A    GE1/0/1              Static

# 在Device B上显示IPv4静态绑定表项配置成功。

[DeviceB] display ip source binding static

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0406    192.168.0.1      N/A    GE1/0/2              Static

 N/A               192.168.0.2      N/A    GE1/0/1              Static

1.6.2  与DHCP snooping配合的IPv4端口绑定功能配置举例

1. 组网需求

Device通过端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分别与客户端Host和DHCP server相连。

具体应用需求如下:

·              Host通过DHCP server获取IP地址。

·              Device上使能DHCP snooping功能,记录Host的DHCP snooping表项。

·              在端口GigabitEthernet1/0/1上启用IPv4端口绑定功能,利用记录的DHCP snooping表项过滤端口转发的报文,仅允许通过DHCP server动态获取IP地址的客户端可以接入网络。

DHCP server的具体配置请参考“三层技术-IP业务配置指导”中的“DHCP服务器”。

 

2. 组网图

图1-3 配置与DHCP snooping配合的IPv4端口绑定功能组网图

 

3. 配置步骤

(1)      配置DHCP snooping

# 开启DHCP snooping功能。

<Device> system-view

[Device] dhcp-snooping

# 设置与DHCP server相连的端口GigabitEthernet1/0/2为信任端口。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] dhcp-snooping trust

[Device-GigabitEthernet1/0/2] quit

(2)      配置IPv4端口绑定功能

# 配置端口GigabitEthernet1/0/1的IPv4端口绑定功能,绑定源IP地址和MAC地址。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip verify source ip-address mac-address

[Device-GigabitEthernet1/0/1] quit

4. 验证配置结果

# 显示端口GigabitEthernet1/0/1上的绑定表项信息。

[Device] display ip source binding

Total entries found: 1

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0406    192.168.0.1      1      GE1/0/1              DHCP-SNP

# 显示DHCP snooping已有的动态表项,查看其是否和端口GigabitEthernet1/0/1获取的动态表项一致。

[Device] display dhcp-snooping

DHCP snooping is enabled.

The client binding table for all untrusted ports.

Type : D--Dynamic , S--Static

Type IP Address      MAC Address    Lease        VLAN Interface

==== =============== ============== ============ ==== =================

D    192.168.0.1     0001-0203-0406 86335        1    GigabitEthernet1/0/1

从以上显示信息可以看出,端口GigabitEthernet1/0/1在配置IPv4端口绑定功能之后根据获取的DHCP snooping表项产生了动态绑定表项。

1.6.3  与DHCP relay配合的IPv4端口绑定功能配置举例

1. 组网需求

Switch通过接口Vlan-interface100和Vlan-interface200分别与客户端Host和DHCP server相连。Switch上使能DHCP relay功能。

具体应用需求如下:

·              Host(MAC地址为0001-0203-0406)通过DHCP relay从DHCP server上获取IP地址。

·              在接口Vlan-interface100上启用IPv4端口绑定功能,利用Switch上生成的DHCP relay表项过滤端口转发的报文,仅允许通过DHCP server动态获取IP地址的客户端可以接入网络。

2. 组网图

图1-4 配置与DHCP relay配合的IPv4端口绑定功能组网图

 

3. 配置步骤

(1)      配置IPv4端口绑定功能

# 配置各接口的IP地址(略)。

# 在接口Vlan-interface100上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。

<Switch> system-view

[Switch] vlan 100

[Switch-Vlan100] quit

[Switch] interface vlan-interface 100

[Switch-Vlan-interface100] ip verify source ip-address mac-address

[Switch-Vlan-interface100] quit

(2)      配置DHCP relay

# 开启DHCP relay功能。

[Switch] dhcp enable

# 配置DHCP服务器的地址。

[Switch] dhcp relay server-group 1 ip 10.1.1.1

# 配置接口Vlan-interface100工作在DHCP中继模式。

[Switch] interface vlan-interface 100

[Switch-Vlan-interface100] dhcp select relay

# 配置接口Vlan-interface100对应服务器组1。

[Switch-Vlan-interface100] dhcp relay server-select 1

[Switch-Vlan-interface100] quit

4. 验证配置结果

# 显示生成的IPv4绑定表项信息。

[Switch] display ip source binding

Total entries found: 1

 MAC Address       IP Address     VLAN   Interface              Type

 0001-0203-0406    192.168.0.1    100    Vlan100                DHCP-RLY

1.6.4  IPv6静态绑定表项配置举例

1. 组网需求

IPv6客户端通过Device的端口GigabitEthernet1/0/1接入网络。要求在Device上配置IPv6静态绑定表项,使得端口GigabitEthernet1/0/1上只允许Host(MAC地址为0001-0202-0202、IPv6地址为2001::1)发送的IPv6报文通过。

2. 组网图

图1-5 配置IPv6静态绑定表项组网图

 

3. 配置步骤

# 在端口GigabitEthernet1/0/1上配置IPv6端口绑定功能,绑定源IP地址和MAC地址。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ipv6 verify source ipv6-address mac-address

# 在端口GigabitEthernet1/0/1上配置IPv6静态绑定表项,绑定源IP地址和MAC地址,只允许IPv6地址为2001::1且MAC地址为00-01-02-02-02-02的IPv6报文通过。

[Device-GigabitEthernet1/0/1] ipv6 source binding ipv6-address 2001::1 mac-address 0001-0202-0202

[Device-GigabitEthernet1/0/1] quit

4. 验证配置结果

# 在Device上显示IPv6静态绑定表项配置成功。

[Device] display ipv6 source binding static

Total entries found: 1

 MAC Address        IP Address        VLAN   Interface             Type

 0001-0202-0202     2001::1           N/A    GE1/0/1               Static-IPv6

1.6.5  全局地址绑定配置举例

1. 组网需求

Device A为汇聚设备,Device B为接入设备,VLAN 10中的Host A与VLAN 20中的Host B通过Device A进行通信。

具体应用需求如下:

·              Device B上阻止仿冒Host AHost BIP报文通过。

·              Host AHost B之间的报文可在Device B上正常转发。

2. 组网图

图1-6 全局地址绑定典型配置组网图

 

3. 配置步骤

# 创建VLAN 10,并将端口GigabitEthernet1/0/2加入VLAN 10。

<DeviceB> system-view

[DeviceB] vlan 10

[DeviceB-vlan10] port gigabitethernet 1/0/2

[DeviceB-vlan10] quit

# 创建VLAN 20,并将端口GigabitEthernet1/0/3加入VLAN 20。

[DeviceB] vlan 20

[DeviceB-vlan20] port gigabitethernet 1/0/3

[DeviceB-vlan20] quit

# 将端口GigabitEthernet1/0/1的链路类型配置为Trunk,并允许VLAN 10和VLAN 20的报文通过。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] port link-type trunk

[DeviceB-GigabitEthernet1/0/1] port trunk permit vlan 10 20

[DeviceB-GigabitEthernet1/0/1] quit

# 在端口GigabitEthernet1/0/2和端口GigabitEthernet1/0/3上分别配置IPv4端口绑定功能,绑定源IP地址和MAC地址。

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] ip verify source ip-address mac-address

[DeviceB-GigabitEthernet1/0/2] quit

[DeviceB] interface gigabitethernet 1/0/3

[DeviceB-GigabitEthernet1/0/3] ip verify source ip-address mac-address

[DeviceB-GigabitEthernet1/0/3] quit

# 配置全局静态绑定表项,阻止仿冒Host A(IP地址:192.168.0.2、MAC地址:0001-0203-0406)和Host B(IP地址:192.168.1.2、MAC地址:0001-0203-0407)的IP报文通过。

[DeviceB] ip source binding ip-address 192.168.0.2 mac-address 0001-0203-0406

[DeviceB] ip source binding ip-address 192.168.1.2 mac-address 0001-0203-0407

4. 验证配置结果

# 在Device上显示配置的IPv4静态绑定表项信息。

[DeviceB] display ip source binding static

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0406    192.168.0.2      N/A    N/A                  Static

 0001-0203-0407    192.168.1.2      N/A    N/A                  Static

以上配置完成后,Host AHost B能够成功ping通对方。

1.7  常见配置错误举例

1.7.1  静态绑定表项配置和动态绑定功能配置失败

1. 故障现象

在端口上配置静态绑定表项、配置动态绑定功能均失败。

2. 故障分析

IP Source Guard功能跟聚合端口互斥。在聚合端口下不能配置静态绑定表项,也不能配置动态绑定功能。

3. 处理过程

将端口退出已加入的聚合组。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们