- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
11-IP-MAC绑定配置
本章节下载: 11-IP-MAC绑定配置 (151.49 KB)
IP-MAC绑定是指通过在设备上建立IP地址与MAC地址绑定表项实现对报文的过滤控制。该功能适用于防御主机仿冒攻击,可有效过滤攻击者通过仿冒合法用户主机的IP地址或者MAC地址向设备发送的伪造IP报文。
配置IP-MAC绑定功能的设备接收到用户报文后,会提取报文头中的源IP地址和源MAC地址,并与IP-MAC绑定表项进行匹配,如图1-1所示。
图1-1 IP-MAC绑定功能示意图
设备在进行IP-MAC绑定表项匹配时,对不同的匹配结果采用不同的报文处理方式,具体说明如表1-1所示。
表1-1 不同匹配结果报文的处理方式
|
匹配结果 |
对报文的处理 |
|
IP+MAC地址完全匹配 |
放行报文 |
|
IP地址匹配,MAC地址不匹配 |
丢弃报文 |
|
IP地址不匹配,MAC地址匹配 |
丢弃报文 |
|
IP地址和MAC地址都无匹配项 |
缺省情况下放行报文,可以通过ip-mac binding no-match action deny命令将未匹配到IP-MAC绑定表项的报文的动作设置为丢弃 |
IP-MAC绑定表项中定义了设备允许转发报文的IP地址和MAC地址的绑定关系。IP-MAC绑定表项可以通过手工创建和批量生成两种方式进行创建。两种方式生成的绑定表项都是全局生效。
手工创建绑定表项是指通过手工方式逐条配置IP-MAC绑定表项。该方式适用于局域网络中主机较少且IP地址固定的情况。
批量生成绑定表项是指通过指定接口下的ARP表项或ND表项生成对应的IP-MAC绑定表项。其中ARP表项用于生成IPv4地址与MAC地址的绑定关系;ND表项用于生成IPv6地址与MAC地址的绑定关系。该方式适用于局域网络中主机较多的情况。
在利用ARP/ND表生成IP-MAC绑定表项时,遵从如下规则:
· 一条ARP/ND表项的IP地址和MAC地址均不在地址绑定表中,此时会在地址绑定表中生成一条IP地址和MAC地址均唯一的表项。
· 一条ARP/ND表项的MAC地址在地址绑定表中,但IP地址不在绑定表中,此时会在地址绑定表中生成一条新的IP-MAC绑定表项,即在地址绑定表中允许一个MAC地址对应多个IP地址。
· 一条ARP/ND表项的IP地址已在地址绑定表中,则此条ARP/ND表项不会生成IP-MAC绑定表项。
批量生成的IP-MAC绑定表项是静态表项,在执行绑定操作后,不会随原接口下ARP/ND表项的变化而变化。
· IP-MAC绑定关系属于静态配置,所以只适用于IP地址固定的场景。如果采用DHCP方式进行IP地址的动态分配,则不建议使用本功能。否则,可能会导致合法主机无法通信。
· 一个IP地址只能绑定一个MAC地址,一个MAC地址可以绑定多个IP地址。当需要修改某个表项中IP地址绑定的MAC地址时,需要先将原来的表项删除再重新添加新的表项;当需要修改某个表项中MAC地址绑定的IP地址时,可以新增一条新的绑定表项,原有的表项可以根据实际情况删除或保留。
IP-MAC绑定配置任务如下:
(1) 开启IP-MAC绑定功能
(2) 配置IP-MAC绑定表项
请至少选择其中一项进行配置:
(3) 配置IP-MAC绑定的缺省动作
开启IP-MAC绑定功能后,设备会对报文进行IP地址与MAC地址绑定关系的检测,与IP-MAC绑定表项不一致的报文将会被丢弃。
(1) 进入系统视图。
system-view
(2) 开启IP-MAC绑定功能。
ip-mac binding enable
缺省情况下,IP-MAC绑定功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 配置IP-MAC绑定表项。
(IPv4网络)
ip-mac binding ipv4 ipv4-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ]
(IPv6网络)
ip-mac binding ipv6 ipv6-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ]
IP-MAC绑定表项可以利用ARP/ND表批量生成。
(1) 进入系统视图。
system-view
(2) 批量生成IP-MAC绑定表项。
ip-mac binding interface interface-type interface-number
开启IP-MAC绑定功能后,对于IP地址和MAC地址与IP-MAC绑定表项都无匹配的报文,可通过配置缺省动作,使设备允许该报文通过或者丢弃该报文。
(1) 进入系统视图。
system-view
(2) 配置IP-MAC绑定的缺省动作为丢弃。
ip-mac binding no-match action deny
缺省情况下,允许未匹配到IP-MAC绑定表项的报文通过。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP-MAC的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除IP-MAC绑定功能过滤报文的统计信息。
表1-2 IP-MAC显示和维护
|
操作 |
命令 |
|
显示IPv4-MAC绑定表项 |
display ip-mac binding ipv4 [ ipv4-address ] [ mac-address mac-address ] [ vlan vlan-id | vpn-instance vpn-instance-name ] |
|
显示IPv6-MAC绑定表项 |
display ip-mac binding ipv6 [ ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id | vpn-instance vpn-instance-name ] |
|
显示IP-MAC绑定功能过滤报文的统计信息 |
display ip-mac binding statistics [ slot slot-number ] |
|
显示IP-MAC绑定功能状态 |
display ip-mac binding status |
|
清除IP-MAC绑定功能过滤报文的统计信息 |
reset ip-mac binding statistics [ slot slot-number ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
