- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
44-IP Source Guard典型配置举例
本章节下载: 44-IP Source Guard典型配置举例 (169.51 KB)
本章介绍IP Source Guard功能,该功能可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。
图1 IP Source Guard功能示意图
IP Source Guard特性提供两种绑定机制:
· 静态绑定:通过手工配置产生绑定表项来完成端口的控制功能,适用于局域网络中主机数较少且主机使用静态配置IP地址的情况。
· 动态绑定:通过自动获取DHCP的相关表项来完成端口控制功能,适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况。
加入聚合组或加入业务环回组的端口上不能配置IP Source Guard功能。
|
软件版本 |
|
|
S10500系列以太网交换机 |
Release 1120系列,Release 1130系列,Release 1200系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1808 |
|
S5830系列以太网交换机 |
Release 1115,Release 1118 |
|
S5500-EI&S5500-SI系列以太网交换机 |
Release 2220 |
如图2所示,Host A、Host B、Host C分别与Switch B和Switch A相连。Host A、Host B、Host C均为静态配置IP地址的客户端。
现要求通过IP Source Guard静态绑定功能实现Switch A的端口GigabitEthernet1/0/1只允许Host A发送的IP报文通过,Switch A其它端口和Switch B端口分别只允许与其相连的客户端发送的IP报文通过。
图2 配置IP Source Guard静态绑定组网图
(1) 配置Switch A
# 在端口GigabitEthernet1/0/2上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。
<SwitchA> system-view
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0405、IP地址为192.168.0.3的Host C发送的IP报文通过端口GigabitEthernet1/0/2。
[SwitchA-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405
[SwitchA-GigabitEthernet1/0/2] quit
# 在端口GigabitEthernet1/0/1上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的Host A发送的IP报文通过端口GigabitEthernet1/0/1。
[SwitchA-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[SwitchA-GigabitEthernet1/0/1] quit
(2) 配置Switch B
# 在端口GigabitEthernet1/0/2上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。
<SwitchB> system-view
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的Host A发送的IP报文通过端口GigabitEthernet1/0/2。
[SwitchB-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[SwitchB-GigabitEthernet1/0/2] quit
# 在端口GigabitEthernet1/0/1上配置IPv4端口绑定功能,绑定源IP地址。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0407、IP地址为192.168.0.2的Host B发送的IP报文通过端口GigabitEthernet1/0/1。
[SwitchB-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.2 mac-address 0001-0203-0407
[SwitchB-GigabitEthernet1/0/1] quit
# 在Switch A上显示IPv4静态绑定表项配置成功。
[SwitchA] display ip source binding static
Total entries found: 2
MAC Address IP Address VLAN Interface Type
0001-0203-0406 192.168.0.1 N/A GE1/0/1 Static
0001-0203-0405 192.168.0.3 N/A GE1/0/2 Static
# 在Switch B上显示IPv4静态绑定表项配置成功。
[SwitchB] display ip source binding static
Total entries found: 2
MAC Address IP Address VLAN Interface Type
0001-0203-0407 192.168.0.2 N/A GE1/0/1 Static
0001-0203-0406 192.168.0.1 N/A GE1/0/2 Static
· SwitchA
#
interface GigabitEthernet1/0/1
ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
ip verify source ip-address mac-address
#
interface GigabitEthernet1/0/2
ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405
ip verify source ip-address mac-address
#
· SwitchB
#
interface GigabitEthernet1/0/1
ip source binding ip-address 192.168.0.2 mac-address 0001-0203-0407
ip verify source ip-address mac-address
#
interface GigabitEthernet1/0/2
ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
ip verify source ip-address mac-address
#
表2 配置适用的产品与软件版本关系
|
产品 |
软件版本 |
|
S10500系列以太网交换机 |
Release 1120系列,Release 1130系列,Release 1200系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1808 |
|
S5830系列以太网交换机 |
Release 1115,Release 1118 |
|
S5500-EI&S5500-SI系列以太网交换机 |
Release 2220 |
如图3所示,Host A、Host B、Host C和DHCP Server都与Switch A相连。Host A为静态配置IP地址的客户端,Host B和Host C为DHCP客户端。
现要求通过IP Source Guard动静态绑定表项结合功能实现Switch A的端口GigabitEthernet1/0/1只允许Host A发送的IP报文通过;Switch A的端口GigabitEthernet1/0/2、GigabitEthernet1/0/3
只允许通过DHCP服务器获取了IP地址的Host B、Host C发送的IP报文通过。
在静态配置IP和MAC地址的客户端相连的交换机端口上配置静态绑定表项,只允许与该表项相匹配的IP报文通过。在DHCP客户端相连的交换机端口上启用IPv4动态绑定功能,利用动态生成的DHCP Snooping表项过滤接口接收的报文,只允许通过DHCP服务器动态获取IP地址的客户端接入网络。
配置IP Source Guard动态绑定功能必须开启DHCP Snooping功能。
(1) 配置Switch A
# 在端口GigabitEthernet1/0/1上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。
<SwitchA> system-view
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0405,IP地址为192.168.0.1的Host A发送的IP报文通过。
[SwitchA-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0405
[SwitchA-GigabitEthernet1/0/1] quit
# 设置与DHCP服务器相连的端口GigabitEthernet1/0/4为信任端口。
[SwitchA] interface gigabitethernet 1/0/4
[SwitchA-GigabitEthernet1/0/4] dhcp-snooping trust
[SwitchA-GigabitEthernet1/0/4] quit
# 开启DHCP Snooping功能。
[SwitchA] dhcp-snooping
# 配置端口GigabitEthernet1/0/2的动态绑定功能。
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] ip verify source ip-address mac-address
[SwitchA-GigabitEthernet1/0/2] quit
# 配置端口GigabitEthernet1/0/3的动态绑定功能。
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] ip verify source ip-address mac-address
[SwitchA-GigabitEthernet1/0/3] quit
# 显示所有的绑定表项。
<SwitchA> display ip source binding
Total entries found: 3
MAC Address IP Address VLAN Interface Type
0001-0203-0405 192.168.0.1 N/A GE1/0/1 Static
0001-0203-0406 192.168.0.2 1 GE1/0/2 DHCP-SNP
0001-0203-0407 192.168.0.3 1 GE1/0/3 DHCP-SNP
# 显示DHCP Snooping表项,查看其是否和IP Source Guard获取的动态表项一致。
<SwitchA> display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all ports.
Type : D--Dynamic , S--Static , R--Recovering
Type IP Address MAC Address Lease VLAN SVLAN Interface
==== =============== ============== ============ ==== ===== =================
D 192.168.0.2 0001-0203-0406 86335 1 N/A GigabitEthernet1/0/2
D 192.168.0.3 0001-0203-0407 86335 1 N/A GigabitEthernet1/0/3
从以上显示信息可以看出,端口GigabitEthernet1/0/2,GigabitEthernet1/0/3在配置IP Source Guard动态绑定功能之后获取了DHCP Snooping表项。
#
dhcp-snooping
#
interface GigabitEthernet1/0/1
ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0405
ip verify source ip-address mac-address
#
interface GigabitEthernet1/0/2
ip verify source ip-address mac-address
#
interface GigabitEthernet1/0/3
ip verify source ip-address mac-address
#
interface GigabitEthernet1/0/4
dhcp-snooping trust
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
