- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
07-MAC+IP+端口绑定操作
本章节下载 (128.96 KB)
目 录
通过“MAC+IP+端口”绑定功能,可以实现设备对转发报文的过滤控制,提高了安全性。进行“MAC+IP+端口”绑定操作后,当端口接收到报文时:
l 如果报文中的源MAC和源IP地址与所绑定的地址相同,端口将转发该报文;
l 如果报文中的源MAC和源IP地址与所绑定的地址不相同,端口将丢弃该报文。
表1-1 配置MAC+IP+端口绑定
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
配置MAC+IP+端口绑定 |
配置对指定端口绑定 |
user-bind mac-addr mac-address ip-addr ip-address interface interface-list |
二者必选其一 |
|
配置对当前端口绑定 |
interface interface-type interface-number |
||
|
user-bind mac-addr mac-address ip-addr ip-address |
|||
注意:
l 聚合端口不支持进行“MAC+IP+端口”绑定操作。
l 绑定策略:S3610&S5510系列以太网交换机以“MAC地址+IP地址+端口”区分不同的绑定,要求MAC地址和IP地址必须是一一对应的。
l 绑定是针对端口的,一个端口被绑定后,仅仅只是这个端口被限制了,对于其他端口是不受该绑定影响的。
l 对于合法的绑定项,目的MAC地址必须为非全0、非全F、非组播MAC,IP地址必须为A/B/C三类地址之一。此外,不能绑定127.x.x.x和0.0.0.0的IP地址。
在完成上述配置后,在任意视图下执行如下display命令可以显示MAC+IP+端口绑定的运行情况,通过查看显示信息验证配置的效果。
表1-2 MAC+IP+端口绑定显示
|
操作 |
命令 |
|
显示所有端口的绑定配置 |
display user-bind |
|
按MAC地址显示所有端口的绑定配置 |
display user-bind mac-addr mac-address |
|
按IP地址显示所有端口的绑定配置 |
display user-bind ip-addr ip-address |
|
显示指定端口的绑定配置 |
display user-bind interface interface-list |
2台交换机(LSA、LSB)、3台数据终端(DT1、DT2、DT3)接入到以太网中互相通讯。DT1与DT2分别接到LSB的Ethernet1/0/4、Ethernet1/0/5;DT3接到LSA的Ethernet1/0/4。LSB接到LSA的Ethernet1/0/5。
具体应用需求如下:
l 在LSA的Ethernet1/0/4只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的DT3数据终端发送的IP报文通过。
l LSA的Ethernet1/0/5只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的DT1数据终端发送的IP报文通过。
l 在LSB的Ethernet1/0/4只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的DT1数据终端发送的IP报文通过。
l 在LSB的Ethernet1/0/5只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的DT2数据终端发送的IP报文通过。
图1-1 MAC+IP+端口绑定配置案例组网图
# 配置在LSA的Ethernet1/0/4只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的DT3数据终端发送的IP报文通过。
<Sysname> system-view
[Sysname] interface ethernet 1/0/4
[Sysname-Ethernet1/0/4] user-bind mac-addr 0001-0203-0405 ip-addr 192.168.0.3
[Sysname-Ethernet1/0/4] quit
# 配置在LSA的Ethernet1/0/5只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的DT1数据终端发送的IP报文通过。
[Sysname] interface ethernet 1/0/5
[Sysname-Ethernet1/0/5] user-bind mac-addr 0001-0203-0406 ip-addr 192.168.0.1
# 配置在LSB的Ethernet1/0/4只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的DT1数据终端发送的IP报文通过。
<Sysname> system-view
[Sysname] user-bind mac-addr 0001-0203-0406 ip-addr 192.168.0.1 interface ethernet 1/0/4
# 配置在LSB的Ethernet1/0/5只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的DT2数据终端发送的IP报文通过。
[Sysname] user-bind mac-addr 0001-0203-0407 ip-addr 192.168.0.2 interface ethernet 1/0/5
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
