H3C基于静态绑定的IP Source Guard配置
IP Source GuardIP Source Guard 功能H3C交换机用于对端口收到的报文进行过滤控制,以防止非法用户报文通过。配置了 IP Source Guard 功能的端口只转发与绑定表项匹配的报文。 IP Source Guard 绑定表项可以通过手工配置(命令行手工配置产生静态绑定表项)和动态获取(根据 DHCP 的相关表项动态生成绑定表项)两种方式生成。
基于静态绑定的IP Source Guard配置:
第1步:配置静态IP与MAC绑定关系(3种方式如下)
ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d
#这是在全局模式下配置的,所以该绑定关系在任意端口都可以通行。
H3C-Ethernet1/0/1]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d
#物理接口配置,只有在该端口上绑定数据才能正常通过。
ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d
#vlan接口配置,只有在该vlan接口中绑定数据才能正常通过。
第2步:配置需要验证的位置(2种方式如下)
ip verify source ip-address mac-address
#通过该物理端口需要验证绑定关系。(在配置前确保绑定关系正常)
ip verify source ip-address mac-address
#该vlan中的数据包需要验证绑定关系。(在配置前确保绑定关系正常)
第3步:验证生效,和检查绑定
display ip source binding static
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.1.50 3085-a973-d64d N/A N/A Static
基于动态DHCP绑定的IP Source Guard配置:
主要是结合DHCP Snooping功能自动记录IP与MAC绑定关系。
第1步:配置dhcp snooping
dhcp snooping enable
interface GigabitEthernet 1/0/8
dhcp snooping trust #配置与dhcp服务器连接的接口为信任区域
dhcp snooping binding record #端口上的dhcp snooping表项记录功能
//可以针对vlan在vlan视图配置记录功能
ip verify source ip-address mac-address #开启ip和mac的绑定关系检查
第2步:终端重新获取ip,并两种查看方法
display ip source binding dhcp-snooping #查看绑定关系
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.1.147 3085-a973-d64d Eth1/0/2 1 DHCP snooping
display dhcp snooping binding
1 DHCP snooping entries found.
IP address MAC address Lease VLAN SVLAN Interface
=============== ============== ============ ===== ===== =================
192.168.1.147 3085-a973-d64d 7176 1 N/A Eth1/0/2
基于动态DHCP中继绑定的IP Source Guard配置:
第1步:配置中继
dhcp enable
ip address 192.168.10.252 24
dhcp select relay
dhcp relay server-address 192.168.10.254
quit
第2步:配置记录和开启验证
dhcp relay client-information record #记录dhcp中继表项
interface Vlan-interface 10
ip verify source ip-address mac-address #启动绑定关系
quit
第3步:验证配置
display ip source binding dhcp-relay
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.10.1 3085-a973-d64d Vlan10 10 DHCP relay
————————————————
版权声明:本文为CSDN博主「zdl244」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/zdl244/java/article/details/103193145
页:
[1]