- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
12-IP Source Guard配置
本章節下載: 12-IP Source Guard配置 (347.25 KB)
目 錄
1.6.2 與DHCP snooping配合的IPv4端口綁定功能配置舉例
1.6.3 與DHCP relay配合的IPv4端口綁定功能配置舉例
1.6.5 與DHCPv6 snooping配合的IPv6端口綁定表項配置舉例
1.6.6 與ND snooping配合的IPv6端口綁定表項配置舉例
· 設備支持兩種運行模式:獨立運行模式和IRF模式,缺省情況為獨立運行模式。有關IRF模式的介紹,請參見“IRF配置指導”中的“IRF”。
· 本文中提到的EB類單板指的是絲印後綴為EB的單板。
IP Source Guard功能用於對端口收到的報文進行過濾控製,通常配置在接入用戶側的端口上,以防止非法用戶報文通過,從而限製了對網絡資源的非法使用(比如非法主機仿冒合法用戶IP接入網絡),提高了端口的安全性。
如圖1-1所示,配置了IP Source Guard功能的端口接收到用戶報文後,首先查找與該端口綁定的IP Source Guard綁定表項,如果報文的特征項與某綁定表項匹配,則轉發該報文,否則做丟棄處理。IP Source Guard用於過濾報文的特征項包括:源IP地址、源MAC地址和VLAN標簽。這些特征項可單獨或組合起來與端口進行綁定,形成如下幾類綁定表項:
· IP綁定表項
· MAC綁定表項
· IP+MAC綁定表項
· IP+VLAN綁定表項
· MAC+VLAN綁定表項
· IP+MAC+VLAN綁定表項
IP Source Guard綁定表項可以通過手工配置和動態獲取兩種方式生成。
圖1-1 IP Source Guard功能示意圖
IP Source Guard的綁定功能是針對端口的,一個端口配置了綁定功能後,僅該端口接收的報文被限製,其它端口不受影響。
通過命令行手工配置產生綁定表項,該方式適用於局域網絡中主機數較少且主機使用靜態配置IP地址的情況,比如在接入某重要服務器的接口上配置綁定表項,僅允許該接口接收或者發送與該服務器通信的報文。
IPv4靜態綁定表項來過濾端口收到的IPv4報文,或者與ARP Detection功能配合使用檢查接入用戶的合法性;IPv6靜態綁定表項來過濾端口收到的IPv6報文,或者與ND Detection功能配合使用檢查接入用戶的合法性。
· ARP Detection功能的詳細介紹請參考“安全配置指導”中的“ARP攻擊防禦”。
· ND Detection功能的詳細介紹請參考“安全配置指導”中的“ND攻擊防禦”。
目前設備僅支持Ipv4端口靜態綁定。端口靜態綁定是在端口上配置的綁定了IP地址、MAC地址、VLAN以及相關組合的表項,這類表項僅在當前端口上生效。隻有端口收到的報文的IP地址、MAC地址、VLAN與端口上配置的綁定表項的各參數完全匹配時,報文才可以在該端口被正常轉發,其它報文都不能被轉發,該表項適用於檢查端口上接入用戶的合法性。
根據DHCP的相關表項動態生成綁定表項,該方式通常適用於局域網絡中主機較多,並且采用DHCP進行動態主機配置的情況。其原理是每當DHCP為用戶分配一條表項時,動態綁定功能就相應地增加一條綁定表項以允許該用戶訪問網絡。如果某個用戶私自設置IP地址,則不會觸發設備生成相應的DHCP表項,因此動態綁定功能也不會增加相應的訪問規則來允許該用戶訪問網絡。除此之外,IPv6類型的動態綁定還支持自動獲取ND snooping表項。
· IPv4動態綁定:根據DHCP snooping表項或DHCP relay表項動態生成綁定表項來過濾接口收到的IPv4報文;
· IPv6動態綁定:根據DHCPv6 snooping表項或ND snooping表項動態生成綁定表項來過濾接口收到的IPv6報文。
· DHCP snooping和DHCP relay功能的詳細介紹請參考“三層技術-IP業務配置指導”中的“DHCP中繼”。
· DHCPv6 snooping功能的詳細介紹請參考“三層技術-IP業務配置指導”中的“DHCPv6 Snooping”。
· ND snooping功能的詳細介紹請參考“三層技術-IP業務配置指導”中的“IPv6基礎”。
表1-1 IPv4綁定功能配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置IPv4端口綁定功能 |
必選 |
|
|
配置IPv4靜態綁定表項 |
可選 |
|
|
配置IPv4綁定表項數目的最大值 |
可選 |
表1-2 IPv6綁定功能配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置IPv6端口綁定功能 |
必選 |
|
|
配置IPv6靜態綁定表項 |
可選 |
|
|
配置IPv6綁定表項數目的最大值 |
可選 |
· 加入聚合組的端口上不能配置IP Source Guard功能,反之亦然。
· 三層聚合接口和三層聚合子接口上配置的IP Source Guard功能不生效。
配置了IPv4端口綁定功能的接口,可利用配置的IPv4靜態綁定表項和從DHCP模塊獲取的IPv4動態綁定表項對端口轉發的報文進行過濾:
· IPv4靜態綁定表項的配置請參考“1.3.2 配置IPv4靜態綁定表項”。
· 在二層以太網端口上,IP Source Guard可與DHCP snooping配合,通過獲取IP地址動態分配時產生的DHCP snooping表項來生成動態綁定表項;
· 在三層以太網接口或VLAN接口上,IP Source Guard可與DHCP relay配合,通過獲取IP地址跨網段動態分配時產生的DHCP relay表項來生成動態綁定表項。
動態綁定表項中可能包含的內容有:MAC地址、IP地址、VLAN信息、入接口信息及表項類型(DHCP snooping或DHCP relay),其中MAC地址、IP地址和VLAN信息的包含情況由動態綁定配置決定。IP Source Guard把這些動態綁定表項下發到接口後,可對接口上轉發的報文進行過濾。
表1-3 配置IPv4端口綁定功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置IPv4端口綁定功能 |
ip verify source { ip-address | ip-address mac-address | mac-address } |
必選 缺省情況下,接口上未配置IPv4端口綁定功能 |
· 若要通過獲取DHCP相關表項來生成動態綁定表項,請保證網絡中的DHCP snooping或DHCP relay配置有效且工作正常,DHCP snooping配置的具體介紹請參見“三層技術-IP業務配置指導”中的“DHCP Snooping”,DHCP relay配置的具體介紹請參見“三層技術-IP業務配置指導”中的“DHCP 中繼”。
· IPv4端口綁定功能可多次配置,最後一次的配置生效。
· 雖然IP Source Guard的動態表項是通過獲取DHCP的相關表項而生成,但生成的IP Source Guard動態綁定表項數目並不與對應的DHCP表項數目保持一致,實際使用過程中,請以IP Source Guard實際生成的表項數目為準。
IPv4靜態綁定表項包括全局IPv4靜態綁定表項和端口IPv4靜態綁定表項,目前設備僅支持端口IPv4靜態綁定表項。 IPv4靜態綁定表項隻能在配置了IPv4端口綁定功能的端口上生效,IPv4端口綁定功能的具體配置請參見“1.3.1 配置IPv4端口綁定功能”。
表1-4 配置IPv4靜態綁定表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網接口視圖 |
interface interface-type interface-number |
- |
|
配置IPv4靜態綁定表項 |
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ] |
必選 缺省情況下,端口上無IPv4靜態綁定表項 該功能隻能在二層以太網接口下配置 |
· 一個表項不能在同一個接口上重複綁定,但可以在不同接口上綁定。
· 配置靜態表項時,如果係統中已經存在相同內容的動態表項,則新添加的靜態表項將會覆蓋已有的動態表項。
IPv4綁定表項數目的最大值用於限製端口上允許添加的IPv4靜態綁定表項和IPv4動態綁定表項的數量總和。當端口上的IPv4綁定表項數目達到指定的最大值時,端口將不再允許添加新的IPv4綁定表項。
表1-5 配置IPv4綁定表項數目的最大值
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置IPv4綁定表項數目的最大值 |
ip verify source max-entries number |
可選 缺省情況下,IPv4綁定表項數目的最大值為係統所允許的最大值(設備工作在不同的係統模式下時,係統所允許的最大值會不同,詳細說明請參見“基礎配置指導”中的“設備管理”) |
如果要配置的IPv4綁定表項數目的最大值小於當前端口上已存在的IPv4綁定表項總數,則該最大值可以配置成功,且原有的表項不受影響,但端口將不再允許新增IPv4綁定表項,除非端口上的IPv4綁定表項數目減少到小於此最大值。
· 配置IPv6綁定功能時,需要先配置acl ipv6 enable命令。有關acl ipv6 enable命令的介紹,請參見“ACL和QoS命令參考”中的“ACL”。
· 當EB類單板工作在ACL標準模式時,該類單板上的接口不支持配置IPv6綁定功能。關於ACL標準模式的詳細內容,請參見“ACL和QoS配置指導”中的“ACL”。
配置了IPv6端口綁定功能的端口,利用配置的IPv6靜態綁定表項和從DHCP模塊或ND模塊獲取的IPv6動態綁定表項對端口轉發的報文進行過濾:
· IPv6靜態綁定表項的配置請參考“1.4.2 配置IPv6靜態綁定功能”。
· 在二層以太網端口上,IP Source Guard可與DHCPv6 snooping配合,通過獲取IPv6地址動態分配時產生的DHCPv6 snooping表項來生成動態綁定表項。
· 在二層以太網端口上,IP Source Guard可與ND snooping配合,通過獲取動態產生的ND snooping表項來生成動態綁定表項。
動態綁定表項中可能包含的內容有:MAC地址、IPv6地址、VLAN信息、入接口信息及表項類型(DHCPv6 snooping或ND snooping),其中MAC地址、IPv6地址和VLAN信息的包含情況由動態綁定配置決定。IP Source Guard把這些動態綁定表項下發到接口後,可對接口上轉發的報文進行過濾。
表1-6 配置IPv6端口綁定功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置IPv6端口綁定功能 |
ipv6 verify source { ipv6-address | ipv6-address mac-address | mac-address } |
必選 缺省情況下,接口上未配置IPv6端口綁定功能 EB類單板不支持mac-address關鍵字 |
· 若要通過獲取DHCP或ND相關表項來生成動態綁定表項,請保證網絡中的DHCPv6 snooping或ND snooping配置有效且工作正常,配置的具體介紹請分別參見“三層技術-IP業務配置指導”中的“DHCPv6”和“三層技術-IP業務配置指導”中的“IPv6基礎”。
· 接口下的IPv6端口綁定功能可多次配置,最後一次的配置生效。
· 若設備上同時配置了ND snooping和DHCPv6 snooping,通常會首先生成DHCPv6 snooping表項,因此IP Source Guard會使用先生成的DHCPv6 snooping表項來過濾接口報文。
· 雖然IP Source Guard的動態表項是通過獲取DHCP的相關表項而生成,但生成的IP Source Guard動態綁定表項數目並不與對應的DHCP表項數目保持一致,實際使用過程中,請以IP Source Guard實際生成的表項數目為準。
IPv6靜態綁定功能包括全局IPv6靜態綁定功能和端口IPv6靜態綁定功能,目前設備僅支持IPv6靜態綁定功能。IPv6靜態綁定表項隻能在配置了IPv6端口綁定功能的端口上生效,IPv6端口綁定功能的具體配置請參見“1.4.1 配置IPv6端口綁定功能”。
表1-7 配置IPv6靜態綁定功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置IPv6靜態綁定表項 |
ipv6 source binding { ipv6-address ipv6-address | ipv6-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ] |
必選 缺省情況下,接口上無IPv6靜態綁定表項 該功能隻能在二層以太網接口下配置 EB類單板僅支持ipv6-address關鍵字 |
· 同一個表項不能在同一個接口上重複綁定,但可以在不同接口上綁定。
· 綁定表項中的MAC地址不能為全0、全F(廣播MAC)和組播MAC。綁定表項中的IPv6地址必須為單播地址,不能為全0地址、組播地址和環回地址。
· 在與ND Detection功能配合時,綁定表項中必須指定VLAN參數,且該VLAN為使能ND Detection功能的VLAN,否則ND報文將無法通過IPv6靜態綁定表項的檢查。關於ND Detection功能的相關配置請參見“安全配置指導”中的“ND攻擊防禦”。
· 配置靜態表項時,如果係統中已經存在相同內容的動態表項,則新添加的靜態表項將會覆蓋已有的動態表項。
IPv6綁定表項數目的最大值用於限製端口上允許添加的IPv6靜態綁定表項和IPv6動態綁定表項的數量總和。當端口上的IPv6綁定表項數目達到指定的最大值時,端口將不再允許添加新的IPv6綁定表項。
表1-8 配置IPv6綁定表項數目的最大值
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置IPv6綁定表項數目的最大值 |
ipv6 verify source max-entries number |
可選 缺省情況下,IPv6綁定表項數目的最大值為係統所允許的最大值(設備工作在不同的係統模式下時,係統所允許的最大值會不同,詳細說明請參見“基礎配置指導”中的“設備管理”) |
如果要配置的IPv6綁定表項數目的最大值小於當前端口上已存在的IPv6綁定表項總數,則該最大值可以配置成功,且原有的表項不受影響,但端口將不再允許新增IPv6綁定表項,除非端口上的IPv6綁定表項數目減少到小於最大值。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IP Source Guard的運行情況,通過查看顯示信息驗證配置的效果。
表1-9 IP Source Guard顯示和維護(IPv4)
|
操作 |
命令 |
|
顯示靜態綁定表項信息(獨立運行模式) |
display ip source binding static [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示靜態綁定表項信息 (IRF模式) |
display ip source binding static [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示綁定表項信息(獨立運行模式) |
display ip source binding [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示綁定表項信息(IRF模式) |
display ip source binding [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
表1-10 IP Source Guard顯示和維護(IPv6)
|
操作 |
命令 |
|
顯示IPv6靜態綁定表項信息(獨立運行模式) |
display ipv6 source binding static [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IPv6靜態綁定表項信息 (IRF模式) |
display ipv6 source binding static [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IPv6綁定表項信息(獨立運行模式) |
display ipv6 source binding [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IPv6綁定表項信息(IRF模式) |
display ipv6 source binding [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
缺省情況下,以太網接口、VLAN接口及聚合接口處於DOWN狀態。如果要對這些接口進行配置,請先使用undo shutdown命令使接口狀態處於UP。
如圖1-2所示,Host A與Host B分別與Device B的接口GigabitEthernet3/0/2、GigabitEthernet3/0/1相連;Host C與Device A的接口GigabitEthernet3/0/2相連。Device B接到Device A的接口GigabitEthernet3/0/1上。各主機均使用靜態配置的IP地址。
通過在Device A和Device B上配置IPv4靜態綁定表項,可以滿足以下各項應用需求:
· Device A的接口GigabitEthernet3/0/2上隻允許Host C發送的IP報文通過。
· Device A的接口GigabitEthernet3/0/1上隻允許Host A發送的IP報文通過。
· Device B的接口GigabitEthernet3/0/2上隻允許Host A發送的IP報文通過。
· Device B的接口GigabitEthernet3/0/1上隻允許使用IP地址192.168.0.2/24的主機發送的IP報文通過,即允許Host B更換網卡後仍然可以使用該IP地址與Host A互通。
圖1-2 配置IPv4靜態綁定表項組網圖
(1) 配置Device A
# 在接口GigabitEthernet3/0/2上配置IPv4端口綁定功能,綁定源IP地址和MAC地址。
<DeviceA> system-view
[DeviceA] interface GigabitEthernet 3/0/2
[DeviceA-GigabitEthernet3/0/2] ip verify source ip-address mac-address
# 配置IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0405、IP地址為192.168.0.3的Host C發送的IP報文通過接口GigabitEthernet3/0/2。
[DeviceA] interface GigabitEthernet 3/0/2
[DeviceA-GigabitEthernet3/0/2] ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405
[DeviceA-GigabitEthernet3/0/2] quit
# 在接口GigabitEthernet3/0/1上配置IPv4端口綁定功能,綁定源IP地址和MAC地址。
[DeviceA] interface GigabitEthernet 3/0/1
[DeviceA-GigabitEthernet3/0/1] ip verify source ip-address mac-address
# 配置IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的Host A發送的IP報文通過接口GigabitEthernet3/0/1。
[DeviceA] interface GigabitEthernet 3/0/1
[DeviceA-GigabitEthernet3/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[DeviceA-GigabitEthernet3/0/1] quit
(2) 配置Device B
# 在接口GigabitEthernet3/0/2上配置IPv4端口綁定功能,綁定源IP地址和MAC地址。
[DeviceB] interface GigabitEthernet 3/0/2
[DeviceB-GigabitEthernet3/0/2] ip verify source ip-address mac-address
# 配置IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的Host A發送的IP報文通過接口GigabitEthernet3/0/2。
[DeviceB-GigabitEthernet3/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[DeviceB-GigabitEthernet3/0/2] quit
# 在接口GigabitEthernet3/0/1上配置IPv4端口綁定功能,綁定源IP地址。
[DeviceB] interface GigabitEthernet 3/0/1
[DeviceB-GigabitEthernet3/0/1] ip verify source ip-address
# 配置IPv4靜態綁定表項,隻允許IP地址為192.168.0.2的主機發送的IP報文通過接口GigabitEthernet3/0/1。
[DeviceB-GigabitEthernet3/0/1] ip source binding ip-address 192.168.0.2
[DeviceB-GigabitEthernet3/0/1] quit
# 在Device A上顯示IPv4靜態綁定表項配置成功。
[DeviceA] display ip source binding static
Total entries found: 2
MAC Address IP Address VLAN Interface Type
0001-0203-0405 192.168.0.3 N/A GE3/0/2 Static
0001-0203-0406 192.168.0.1 N/A GE3/0/1 Static
# 在Device B上顯示IPv4靜態綁定表項配置成功。
[DeviceB] display ip source binding static
Total entries found: 2
MAC Address IP Address VLAN Interface Type
0001-0203-0406 192.168.0.1 N/A GE3/0/2 Static
N/A 192.168.0.2 N/A GE3/0/1 Static
Device通過接口GigabitEthernet3/0/1和GigabitEthernet3/0/2分別與客戶端Host和DHCP server相連。
具體應用需求如下:
· Host通過DHCP server獲取IP地址。
· Device上使能DHCP snooping功能,記錄Host的DHCP snooping表項。
· 在接口GigabitEthernet3/0/1上啟用IPv4端口綁定功能,利用記錄的DHCP snooping表項過濾端口轉發的報文,僅允許通過DHCP server動態獲取IP地址的客戶端可以接入網絡。
DHCP server的具體配置請參考“三層技術-IP業務配置指導”中的“DHCP”。
圖1-3 配置與DHCP snooping配合的IPv4端口綁定功能組網圖
(1) 配置DHCP snooping
# 開啟DHCP snooping功能。
<Device> system-view
[Device] dhcp-snooping
# 設置與DHCP server相連的接口GigabitEthernet3/0/2為信任接口。
[Device] interface gigabitethernet 3/0/2
[Device-GigabitEthernet3/0/2] dhcp-snooping trust
[Device-GigabitEthernet3/0/2] quit
(2) 配置IPv4端口綁定功能
# 配置接口GigabitEthernet3/0/1的IPv4端口綁定功能,綁定源IP地址和MAC地址。
<Device> system-view
[Device] interface gigabitethernet 3/0/1
[Device-GigabitEthernet3/0/1] ip verify source ip-address mac-address
[Device-GigabitEthernet3/0/1] quit
# 顯示接口GigabitEthernet3/0/1上的綁定表項信息。
[Device] display ip source binding
Total entries found: 1
MAC Address IP Address VLAN Interface Type
0001-0203-0406 192.168.0.1 1 GigabitEthernet3/0/1 DHCP-SNP
# 顯示DHCP snooping已有的動態表項,查看其是否和接口GigabitEthernet3/0/1獲取的動態表項一致。
[Device] display dhcp-snooping
DHCP snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.0.1 0001-0203-0406 86335 1 GigabitEthernet3/0/1
從以上顯示信息可以看出,接口GigabitEthernet3/0/1在配置IPv4端口綁定功能之後根據獲取的DHCP snooping表項產生了動態綁定表項。
Device通過接口Vlan-interface100和Vlan-interface200分別與客戶端Host和DHCP server相連。Device上使能DHCP relay功能。
具體應用需求如下:
· Host(MAC地址為0001-0203-0406)通過DHCP relay從DHCP server上獲取IP地址。
· 在接口Vlan-interface100上啟用端口綁定功能,利用Device上生成的DHCP relay表項過濾接口轉發的報文,僅允許通過DHCP server動態獲取IP地址的客戶端可以接入網絡。
DHCP relay的具體配置請參考“三層技術-IP業務配置指導”中的“DHCP”。
圖1-4 配置與DHCP relay配合的IPv4端口綁定功能組網圖
(1) 配置IPv4端口綁定功能
# 配置各接口的IP地址(略)。
# 在Vlan-interface100的接口上配置IPv4端口綁定功能,綁定源IP地址和MAC地址。
<Device> system-view
[Device] vlan 100
[Device-Vlan100] quit
[Device] interface vlan-interface 100
[Device-Vlan-interface100] ip verify source ip-address mac-address
[Device-Vlan-interface100] quit
(2) 配置DHCP relay
# 開啟DHCP relay功能。
[Device] dhcp enable
# 配置DHCP服務器的地址。
[Device] dhcp relay server-group 1 ip 10.1.1.1
# 配置接口Vlan-interface100工作在DHCP中繼模式。
[Device] interface vlan-interface 100
[Device-Vlan-interface100] dhcp select relay
# 配置接口Vlan-interface100對應服務器組1。
[Device-Vlan-interface100] dhcp relay server-select 1
[Device-Vlan-interface100] quit
# 顯示生成的IPv4綁定表項信息。
[Device] display ip source binding
Total entries found: 1
MAC Address IP Address VLAN Interface Type
0001-0203-0406 192.168.0.1 100 Vlan-interface100 DHCP-RLY
IPv6客戶端通過Device的接口GigabitEthernet3/0/1接入網絡。要求在Device上配置IPv6靜態綁定表項,使得接口GigabitEthernet3/0/1上隻允許Host(MAC地址為0001-0202-0202、IPv6地址為2001::1)發送的IPv6報文通過。
圖1-5 配置IPv6靜態綁定表項組網圖
# 在端口GigabitEthernet3/0/1上配置IPv6端口綁定功能,綁定源IP地址和MAC地址。
<Device> system-view
[Device] interface GigabitEthernet3/0/1
[Device- GigabitEthernet3/0/1] ipv6 verify source ipv6-address mac-address
# 在接口GigabitEthernet3/0/1上配置IPv6靜態綁定表項,綁定源IP地址和MAC地址,隻允許IPv6地址為2001::1且MAC地址為00-01-02-02-02-02的IPv6報文通過。
[Device-GigabitEthernet3/0/1] ipv6 source binding ipv6-address 2001::1 mac-address 0001-0202-0202
[Device-GigabitEthernet3/0/1] quit
# 在Device上顯示IPv6靜態綁定表項配置成功。
[Device] display ipv6 source binding static
Total entries found: 1
MAC Address IP Address VLAN Interface Type
0001-0202-0202 2001::1 N/A GigabitEthernet3/0/1 Static-IPv6
DHCPv6客戶端通過Device的接口GigabitEthernet3/0/1接入網絡,通過DHCPv6 server獲取IPv6地址。
具體應用需求如下:
· Device上使能DHCPv6 snooping功能,保證客戶端從合法的服務器獲取IP地址,且記錄客戶端IPv6地址及MAC地址的綁定關係。
· 在接口GigabitEthernet3/0/1上啟用IPv6端口綁定功能,利用動態獲取的DHCPv6 snooping表項過濾接口轉發的報文,隻允許通過DHCPv6 server動態獲取IP地址的客戶端接入網絡。
圖1-6 配置與DHCPv6 snooping配合的IPv6端口綁定功能組網圖
(1) 配置DHCPv6 snooping
# 全局使能DHCPv6 snooping功能。
<Device> system-view
[Device] ipv6 dhcp snooping enable
# 在VLAN 2內使能DHCPv6 snooping功能。
[Device] vlan 2
[Device-vlan2] ipv6 dhcp snooping vlan enable
[Device] quit
# 配置接口GigabitEthernet3/0/2為信任接口。
[Device] interface GigabitEthernet3/0/2
[Device-GigabitEthernet3/0/2] ipv6 dhcp snooping trust
[Device-GigabitEthernet3/0/2] quit
(2) 配置IPv6端口綁定功能
# 配置接口GigabitEthernet3/0/1的IPv6端口綁定功能,綁定源IP地址和MAC地址。
[Device] interface GigabitEthernet3/0/1
[Device-GigabitEthernet3/0/1] ipv6 verify source ipv6-address mac-address
[Device-GigabitEthernet3/0/1] quit
# 客戶端通過DHCPv6 server成功獲取IP地址之後,通過執行以下命令可查看到已生成的IPv6動態綁定表項信息。
[Device] display ipv6 source binding
Total entries found: 1
MAC Address IP Address VLAN Interface Type
040a-0000-0001 2001::1 2 GigabitEthernet3/0/1 DHCPv6-SNP
# 顯示DHCPv6 snooping已有的動態表項,查看其是否和接口GigabitEthernet3/0/1生成的IPv6動態綁定表項一致。
[Device] display ipv6 dhcp snooping user-binding dynamic
IP Address MAC Address Lease VLAN Interface
============================== ============== ========== ==== ==================
2001::1 040a-0000-0001 286 2 GigabitEthernet3/0/1
--- 1 DHCPv6 snooping item(s) found ---
從以上顯示信息可以看出,IP Source Guard通過獲取接口GigabitEthernet3/0/1上產生的DHCPv6 snooping表項成功生成了IPv6動態綁定表項。
IPv6客戶端通過Device的接口GigabitEthernet3/0/1接入網絡。
具體應用需求如下:
· Device上使能ND snooping功能,通過偵聽DAD NS消息來建立ND snooping表項。
· 在接口GigabitEthernet3/0/1上啟用IPv6端口綁定功能,利用動態獲取的ND snooping表項過濾接口收到的報文,隻允許合法獲取IPv6地址的客戶端可以接入網絡。
圖1-7 配置與ND snooping配合的IPv6端口綁定功能組網圖
(1) 配置ND snooping
# 在VLAN 2內使能ND snooping功能。
<Device> system-view
[Device] vlan 2
[Device-vlan2] ipv6 nd snooping enable
[Device-vlan2] quit
(2) 配置IPv6端口綁定功能
# 在接口GigabitEthernet3/0/1上配置IPv6端口綁定功能,綁定源IP地址和MAC地址。
[Device] interface GigabitEthernet3/0/1
[Device-GigabitEthernet3/0/1] ipv6 verify source ipv6-address mac-address
[Device-GigabitEthernet3/0/1] quit
# 在Device上顯示生成的IPv6綁定表項信息。
[Device] display ipv6 source binding
Total entries found: 1
MAC Address IP Address VLAN Interface Type
040a-0000-0001 2001::1 2 GigabitEthernet3/0/1 ND-SNP
# 顯示ND snooping已有的動態表項,查看其是否和接口GigabitEthernet3/0/1獲取的IPv6動態綁定表項一致。
[Device] display ipv6 nd snooping
IPv6 Address MAC Address VID Interface Aging Status
2001::1 040a-0000-0001 2 GigabitEthernet3/0/1 25 Bound
---- Total entries: 1 ----
從以上顯示信息可以看出,IP Source Guard通過獲取了接口GigabitEthernet3/0/1上產生的ND snooping表項成功生成了IPv6動態綁定表項。
在接口上配置靜態綁定表項、配置動態綁定功能均失敗。
IP Source Guard功能跟聚合接口互斥。在聚合接口下不能配置靜態綁定表項,也不能配置動態綁定功能。
將接口退出已加入的聚合組。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
