目  錄

1 IP Source Guard配置

1.1 IP Source Guard簡介

1.1.1 概述

1.1.2 靜態綁定表項

1.1.3 動態綁定表項

1.2 配置IPv4綁定功能

1.2.1 配置IPv4端口綁定功能

1.2.2 配置IPv4靜態綁定表項

1.2.3 配置IPv4綁定表項數目的最大值

1.3 配置IPv6綁定功能

1.3.1 配置IPv6端口綁定功能

1.3.2 配置IPv6靜態綁定表項

1.3.3 配置IPv6綁定表項數目的最大值

1.4 IP Source Guard顯示和維護

1.5 IP Source Guard典型配置舉例

1.5.1 IPv4靜態綁定表項配置舉例

1.5.2 與DHCP Snooping配合的IPv4端口綁定功能配置舉例

1.5.3 與DHCP Relay配合的IPv4端口綁定功能配置舉例

1.5.4 IPv6靜態綁定表項配置舉例

1.5.5 與DHCPv6 Snooping配合的IPv6端口綁定功能配置舉例

1.5.6 與ND Snooping配合的IPv6端口綁定功能配置舉例

1.5.7 全局地址綁定配置舉例

1.6 常見配置錯誤舉例

1.6.1 靜態綁定表項配置和端口綁定功能配置失敗

 

1 IP Source Guard配置

1.1  IP Source Guard簡介

1.1.1  概述

通過在設備接入用戶側的端口上啟用IP Source Guard功能，可以對端口收到的報文進行過濾控製，防止非法報文通過端口，從而限製了對網絡資源的非法使用（比如非法主機仿冒合法用戶IP接入網絡），提高了端口的安全性。

IP Source Guard在端口上用於過濾報文的特征項包括：源IP地址、源MAC地址。這些特征項可單獨或組合起來與端口進行綁定，形成綁定表項，具體包括：IP、MAC、IP＋MAC。

如圖1-1所示，配置了IP Source Guard的端口接收到報文後查找IP Source Guard綁定表項，如果報文中的特征項與綁定表項中記錄的特征項匹配，則端口轉發該報文，否則做丟棄處理。綁定功能是針對端口的，一個端口配置了綁定功能後，僅該端口被限製，其他端口不受該綁定影響。

圖1-1 IP Source Guard功能示意圖

 

1.1.2  靜態綁定表項

通過手工配置產生綁定表項來完成端口的控製功能，適用於局域網絡中主機數較少且主機使用靜態配置IP地址的情況，比如在接入某重要服務器的端口上配置綁定表項，僅允許該端口接收或者發送與該服務器通信的報文。

·     IPv4靜態表項：使用手工配置的IPv4靜態綁定表項來過濾端口收到的IPv4報文，或者與ARP Detection功能配合使用檢查接入用戶的合法性；

·     IPv6靜態表項：使用手工配置的IPv6靜態綁定表項來過濾端口收到的IPv6報文，或者與ND Detection功能配合使用檢查接入用戶的合法性。

 

靜態綁定表項又包括全局靜態綁定表項和端口靜態綁定表項兩種類型，這兩種綁定表項的作用範圍不同。

1. 全局靜態綁定表項

全局靜態綁定表項是在係統視圖下配置的綁定了IP地址和MAC地址的表項，這類表項在設備的所有端口上生效，允許端口正常轉發IP地址和MAC地址均與全局靜態綁定表項匹配的報文，其它報文是否可以被正常轉發由端口上配置的靜態綁定表項來決定。全局靜態綁定表項適用於防禦主機仿冒攻擊，可有效過濾攻擊者通過仿冒合法用戶主機的IP地址或者MAC地址向設備發送的偽造IP報文。

2. 端口靜態綁定表項

端口靜態綁定是在端口上配置的綁定了IP地址、MAC地址以及相關組合的表項，這類表項僅在當前端口上生效。隻有端口收到的報文的IP地址、MAC地址與端口上配置的綁定表項的各參數完全匹配時，報文才可以在該端口被正常轉發，其它報文都不能被轉發，該表項適用於檢查端口上接入用戶的合法性。

1.1.3  動態綁定表項

根據DHCP的相關表項動態生成綁定表項來完成端口控製功能，通常適用於局域網絡中主機較多，並且采用DHCP進行動態主機配置的情況。其原理是每當DHCP為用戶分配IP地址而生成一條DHCP表項時，端口綁定功能就相應地增加一條綁定表項以允許該用戶訪問網絡。如果某個用戶私自設置IP地址，則不會觸發設備生成相應的DHCP表項，因此端口綁定功能也不會增加相應的訪問規則來允許該用戶訪問網絡。除此之外，IPv6類型的動態綁定還支持自動獲取ND Snooping表項。

·     IPv4動態綁定：根據DHCP Snooping表項或DHCP Relay表項動態生成綁定表項來過濾端口收到的IPv4報文；

·     IPv6動態綁定：根據DHCPv6 Snooping表項或ND Snooping表項動態生成綁定表項來過濾端口收到的IPv6報文。

 

1.2  配置IPv4綁定功能

 

1.2.1  配置IPv4端口綁定功能

配置了IPv4端口綁定功能的端口，可利用配置的IPv4靜態綁定表項和從DHCP模塊獲取的IPv4動態綁定表項對端口轉發的報文進行過濾：

·     IPv4靜態綁定表項的配置請參考“1.2.2  配置IPv4靜態綁定表項”。

·     在二層以太網端口上，IP Source Guard可與DHCP Snooping配合，通過獲取IP地址動態分配時產生的DHCP Snooping表項來生成動態綁定表項；

·     在VLAN接口上，IP Source Guard可與DHCP Relay配合，通過獲取IP地址跨網段動態分配時產生的DHCP Relay表項來生成動態綁定表項。

動態綁定表項中可能包含的內容有：MAC地址、IP地址、VLAN信息、入端口信息及表項類型（DHCP Snooping或DHCP Relay），其中MAC地址、IP地址和VLAN信息的包含情況由動態綁定配置決定。IP Source Guard把這些動態綁定表項下發到端口後，可對端口上轉發的報文進行過濾。

表1-1 配置IPv4端口綁定功能

操作	命令	說明
進入係統視圖	system-view	-
進入接口視圖	interface interface-type interface-number	-
配置IPv4端口綁定功能	ip verify source { ip-address | ip-address mac-address | mac-address }	必選 缺省情況下，端口上未配置IPv4端口綁定功能

 

 

1.2.2  配置IPv4靜態綁定表項

IPv4靜態綁定表項包括全局IPv4靜態綁定表項和端口IPv4靜態綁定表項。IPv4靜態綁定表項隻能在配置了IPv4端口綁定功能的端口上生效，端口綁定功能的具體配置請參見“1.2.1  配置IPv4端口綁定功能”。

靜態綁定表項與端口綁定功能配合使用時，端口靜態綁定表項和動態綁定表項的優先級高於全局靜態綁定表項，即端口優先使用端口上的靜態或動態綁定表項對收到的報文進行匹配，若匹配失敗，再與全局靜態綁定表項進行匹配。

1. 配置全局IPv4靜態綁定表項

全局靜態綁定表項中定義了端口允許轉發的報文的IP地址和MAC地址，對所有端口都生效。

表1-2 配置全局IPv4靜態綁定表項

操作	命令	說明
進入係統視圖	system-view	-
配置全局IPv4靜態綁定表項	ip source binding ip-address ip-address mac-address mac-address	必選 缺省情況下，無全局IPv4靜態綁定表項

 

2. 配置端口IPv4靜態綁定表項

表1-3 配置端口IPv4靜態綁定表項

操作	命令	說明
進入係統視圖	system-view	-
進入二層以太網端口視圖	interface interface-type interface-number	-
配置端口的IPv4靜態綁定表項	ip source binding { ip-address ip-address |  ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]	必選 缺省情況下，端口上無IPv4靜態綁定表項

 

 

1.2.3  配置IPv4綁定表項數目的最大值

IPv4綁定表項數目的最大值用於限製端口上允許添加的IPv4靜態綁定表項和IPv4動態綁定表項的數量總和。當端口上的IPv4綁定表項數目達到指定的最大值時，端口將不再允許添加新的IPv4綁定表項。

表1-4 配置IPv4綁定表項數目的最大值

操作	命令	說明
進入係統視圖	system-view	-
進入二層以太網端口視圖	interface interface-type interface-number	-
配置IPv4綁定表項數目的最大值	ip verify source max-entries number	可選 缺省情況下，S5500-EI係列以太網交換機的端口上IPv4綁定表項的最大值為1500，S5500-SI係列以太網交換機端口上IPv4綁定表項的最大值為640

 

 

1.3  配置IPv6綁定功能

 

1.3.1  配置IPv6端口綁定功能

配置了IPv6端口綁定功能的端口，利用配置的IPv6靜態綁定表項和從DHCP模塊或ND模塊獲取的IPv6動態綁定表項對端口轉發的報文進行過濾：

·     IPv6靜態綁定表項的配置請參考“1.3.2  配置IPv6靜態綁定表項”。

·     在二層以太網端口上，IP Source Guard可與DHCPv6 Snooping配合，通過獲取IPv6地址動態分配時產生的DHCPv6 Snooping表項來生成動態綁定表項。

·     在二層以太網端口上，IP Source Guard可與ND Snooping配合，通過獲取動態產生的ND Snooping表項來生成動態綁定表項。

動態綁定表項中可能包含的內容有：MAC地址、IPv6地址、VLAN信息、入端口信息及表項類型（DHCPv6 Snooping或ND Snooping），其中MAC地址、IPv6地址和VLAN信息的包含情況由端口綁定配置決定。IP Source Guard把這些動態綁定表項下發到端口後，可對端口上轉發的報文進行過濾。

表1-5 配置IPv6端口綁定功能

操作	命令	說明
進入係統視圖	system-view	-
進入二層以太網端口或端口組視圖	interface interface-type interface-number	-
配置IPv6端口綁定功能	ipv6 verify source { ipv6-address | ipv6-address mac-address | mac-address }	必選 缺省情況下，端口上未配置IPv6端口綁定功能

 

 

1.3.2  配置IPv6靜態綁定表項

IPv6靜態綁定功能包括全局IPv6靜態綁定功能和端口IPv6靜態綁定功能。IPv6靜態綁定表項隻能在配置了IPv6端口綁定功能的端口上生效，端口綁定功能的具體配置請參見“1.3.1  配置IPv6端口綁定功能”。

IPv6靜態綁定表項與IPv6端口綁定功能配合使用時，端口IPv6靜態綁定表項和IPv6動態綁定表項的優先級高於全局IPv6靜態綁定表項，即端口優先使用端口上的IPv6靜態或動態綁定表項對收到的報文進行匹配，若匹配失敗，再與全局IPv6靜態綁定表項進行匹配。

1. 配置全局IPv6靜態綁定表項

全局IPv6靜態綁定表項中定義了端口允許轉發的報文的IP地址和MAC地址，對所有端口都生效。

表1-6 配置全局IPv6靜態綁定表項

操作	命令	說明
進入係統視圖	system-view	-
配置全局IPv6靜態綁定表項	ipv6 source binding ipv6-address ipv6-address mac-address mac-address	必選 缺省情況下，無全局IPv6靜態綁定表項

 

2. 配置端口IPv6靜態綁定表項

表1-7 配置端口IPv6靜態綁定表項

操作	命令	說明
進入係統視圖	system-view	-
進入二層以太網端口視圖	interface interface-type interface-number	-
配置端口的IPv6靜態綁定表項	ipv6 source binding { ipv6-address ipv6-address |  ipv6-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]	必選 缺省情況下，端口上無IPv6靜態綁定表項

 

 

1.3.3  配置IPv6綁定表項數目的最大值

IPv6綁定表項數目的最大值用於限製端口上允許添加的IPv6靜態綁定表項和IPv6動態綁定表項的數量總和。當端口上的IPv6綁定表項數目達到指定的最大值時，端口將不再允許添加新的IPv6綁定表項。

表1-8 配置IPv6綁定表項數目的最大值

操作	命令	說明
進入係統視圖	system-view	-
進入二層以太網端口視圖	interface interface-type interface-number	-
配置IPv6綁定表項數目的最大值	ipv6 verify source max-entries number	可選 缺省情況下，S5500-EI係列以太網交換機的端口上IPv6綁定表項的最大值為1500，S5500-SI係列以太網交換機端口上IPv6綁定表項的最大值為640

 

 

1.4  IP Source Guard顯示和維護

在完成上述配置後，在任意視圖下執行display命令可以顯示配置後IP Source Guard的運行情況，通過查看顯示信息驗證配置的效果。

表1-9 IP Source Guard顯示和維護（IPv4）

操作	命令
顯示靜態綁定表項信息	display ip source binding static [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
顯示綁定表項信息	display ip source binding [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

 

表1-10 IP Source Guard顯示和維護（IPv6）

操作	命令
顯示IPv6靜態綁定表項信息	display ipv6 source binding static [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
顯示IPv6綁定表項信息	display ipv6 source binding [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

 

1.5  IP Source Guard典型配置舉例

1.5.1  IPv4靜態綁定表項配置舉例

1. 組網需求

如圖1-2所示，Host A與Host B分別與Device B的端口GigabitEthernet1/0/2、GigabitEthernet1/0/1相連；Host C與Device A的端口GigabitEthernet1/0/2相連。Device B接到Device A的端口GigabitEthernet1/0/1上。各主機均使用靜態配置的IP地址。

通過在Device A和Device B上配置IPv4靜態綁定表項，可以滿足以下各項應用需求：

·     Device A的端口GigabitEthernet1/0/2上隻允許Host C發送的IP報文通過。

·     Device A的端口GigabitEthernet1/0/1上隻允許Host A發送的IP報文通過。

·     Device B的端口GigabitEthernet1/0/2上隻允許Host A發送的IP報文通過。

·     Device B的端口GigabitEthernet1/0/1上隻允許使用IP地址192.168.0.2/24的主機發送的IP報文通過，即允許Host B更換網卡後仍然可以使用該IP地址與Host A互通。

2. 組網圖

圖1-2 配置靜態綁定表項組網圖

 

3. 配置步驟

(1)     配置Device A

# 在端口GigabitEthernet1/0/2上配置IPv4端口綁定功能，綁定源IP地址和MAC地址。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ip verify source ip-address mac-address

# 配置IPv4靜態綁定表項，隻允許MAC地址為0001-0203-0405、IP地址為192.168.0.3的Host C發送的IP報文通過端口GigabitEthernet1/0/2。

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405

[DeviceA-GigabitEthernet1/0/2] quit

# 在端口GigabitEthernet1/0/1上配置IPv4端口綁定功能，綁定源IP地址和MAC地址。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ip verify source ip-address mac-address

# 配置IPv4靜態綁定表項，隻允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的Host A發送的IP報文通過端口GigabitEthernet1/0/1。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406

[DeviceA-GigabitEthernet1/0/1] quit

(2)     配置Device B

# 在端口GigabitEthernet1/0/2上配置IPv4端口綁定功能，綁定源IP地址和MAC地址。

<DeviceB> system-view

[DeviceB] interface gigabitethernet1/0/2

[DeviceB-GigabitEthernet1/0/2] ip verify source ip-address mac-address

# 配置IPv4靜態綁定表項，隻允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的Host A發送的IP報文通過端口GigabitEthernet1/0/2。

[DeviceB-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406

[DeviceB-GigabitEthernet1/0/2] quit

# 在GigabitEthernet1/0/1上配置IPv4端口綁定功能，綁定源IP地址。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ip verify source ip-address

# 配置IPv4靜態綁定表項，隻允許IP地址為192.168.0.2的主機發送的IP報文通過端口GigabitEthernet1/0/1。

[DeviceB-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.2

[DeviceB-GigabitEthernet1/0/1] quit

4. 驗證配置結果

# 在Device A上顯示IPv4靜態綁定表項配置成功。

[DeviceA] display ip source binding static

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface             Type

 0001-0203-0405    192.168.0.3      N/A    GE1/0/2               Static

 0001-0203-0406    192.168.0.1      N/A    GE1/0/1               Static

# 在Device B上顯示IPv4靜態綁定表項配置成功。

[DeviceB] display ip source binding static

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface             Type

 0001-0203-0406    192.168.0.1      N/A    GE1/0/2               Static

 N/A               192.168.0.2      N/A    GE1/0/1               Static

1.5.2  與DHCP Snooping配合的IPv4端口綁定功能配置舉例

1. 組網需求

Device通過端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分別與客戶端Host和DHCP server相連。

具體應用需求如下：

·     Host通過DHCP server獲取IP地址。

·     Device上使能DHCP Snooping功能，記錄Host的DHCP Snooping表項。

·     在端口GigabitEthernet1/0/1上啟用IPv4端口綁定功能，利用記錄的DHCP Snooping表項過濾端口轉發的報文，僅允許通過DHCP server動態獲取IP地址的客戶端可以接入網絡。

 

2. 組網圖

圖1-3 配置與DHCP Snooping配合的IPv4端口綁定功能組網圖

 

3. 配置步驟

(1)     配置DHCP Snooping

# 開啟DHCP Snooping功能。

<Device> system-view

[Device] dhcp-snooping

# 設置與DHCP server相連的端口GigabitEthernet1/0/2為信任端口。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] dhcp-snooping trust

[Device-GigabitEthernet1/0/2] quit

(2)     配置IPv4端口綁定功能

# 配置端口GigabitEthernet1/0/1的IPv4端口綁定功能，綁定源IP地址和MAC地址。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip verify source ip-address mac-address

[Device-GigabitEthernet1/0/1] quit

4. 驗證配置結果

# 顯示端口GigabitEthernet1/0/1上的綁定表項信息。

[Device] display ip source binding

Total entries found: 1

 MAC Address       IP Address       VLAN   Interface             Type

 0001-0203-0406    192.168.0.1      1      GE1/0/1               DHCP-SNP

# 顯示DHCP Snooping已有的動態表項，查看其是否和端口GigabitEthernet1/0/1獲取的動態表項一致。

[Device] display dhcp-snooping

 DHCP snooping is enabled.

 The client binding table for all untrusted ports.

 Type : D--Dynamic , S--Static , R--Recovering

 Type IP Address      MAC Address    Lease        VLAN SVLAN Interface

 ==== =============== ============== ============ ==== ===== =================

 D    192.168.0.1     0001-0203-0406 86335        1    N/A   GigabitEthernet1/0/1

---   1 dhcp-snooping item(s) found   ---

從以上顯示信息可以看出，端口GigabitEthernet1/0/1在配置IPv4端口綁定功能之後根據獲取的DHCP Snooping表項產生了端口綁定表項。

1.5.3  與DHCP Relay配合的IPv4端口綁定功能配置舉例

1. 組網需求

Switch通過接口Vlan-interface100和Vlan-interface200分別與客戶端Host和DHCP server相連。Switch上使能DHCP Relay功能。

具體應用需求如下：

·     Host（MAC地址為0001-0203-0406）通過DHCP relay從DHCP server上獲取IP地址。

·     在接口Vlan-interface100上啟用IPv4端口綁定功能，利用Switch上生成的DHCP Relay表項過濾端口轉發的報文，僅允許通過DHCP server動態獲取IP地址的客戶端可以接入網絡。

2. 組網圖

圖1-4 配置端口綁定功能組網圖

 

3. 配置步驟

(1)     配置IPv4端口綁定功能

# 配置各接口的IP地址（略）。

# 在接口Vlan-interface100上配置IPv4端口綁定功能，綁定源IP地址和MAC地址。

<Switch> system-view

[Switch] vlan 100

[Switch-Vlan100] quit

[Switch] interface vlan-interface 100

[Switch-Vlan-interface100] ip verify source ip-address mac-address

[Switch-Vlan-interface100] quit

(2)     配置DHCP Relay

# 使能DHCP服務。

[Switch] dhcp enable

# 配置DHCP服務器的地址。

[Switch] dhcp relay server-group 1 ip 10.1.1.1

# 配置接口Vlan-interface100工作在DHCP中繼模式。

[Switch] interface vlan-interface 100

[Switch-Vlan-interface100] dhcp select relay

# 配置接口Vlan-interface100對應服務器組1。

[Switch-Vlan-interface100] dhcp relay server-select 1

[Switch-Vlan-interface100] quit

4. 驗證配置結果

# 顯示生成的IPv4綁定表項信息。

[Switch] display ip source binding

Total entries found: 1

 MAC Address       IP Address     VLAN   Interface              Type

 0001-0203-0406    192.168.0.1    100    Vlan100                DHCP-RLY

1.5.4  IPv6靜態綁定表項配置舉例

1. 組網需求

IPv6客戶端通過Device的端口GigabitEthernet1/0/1接入網絡。要求在Device上配置IPv6靜態綁定表項，使得端口GigabitEthernet1/0/1上隻允許Host（MAC地址為0001-0202-0202、IPv6地址為2001::1）發送的IPv6報文通過。

2. 組網圖

圖1-5 配置IPv6靜態綁定表項組網圖

 

3. 配置步驟

# 在端口GigabitEthernet1/0/1上配置IPv6端口綁定功能，綁定源IP地址和MAC地址。

<Device> system-view

[Device] interface gigabitethernet1/0/1

[Device-GigabitEthernet1/0/1] ipv6 verify source ipv6-address mac-address

# 在端口GigabitEthernet1/0/1上配置IPv6靜態綁定表項，綁定源IP地址和MAC地址，隻允許IPv6地址為2001::1且MAC地址為00-01-02-02-02-02的IPv6報文通過。

[Device-GigabitEthernet1/0/1] ipv6 source binding ipv6-address 2001::1 mac-address 0001-0202-0202

[Device-GigabitEthernet1/0/1] quit

4. 驗證配置結果

# 在Device上顯示IPv6靜態綁定表項配置成功。

[Device] display ipv6 source binding static

Total entries found: 1

 MAC Address        IP Address        VLAN   Interface              Type

 0001-0202-0202     2001::1           N/A    GE1/0/1                Static-IPv6

1.5.5  與DHCPv6 Snooping配合的IPv6端口綁定功能配置舉例

1. 組網需求

DHCPv6客戶端通過Device的端口GigabitEthernet1/0/1接入網絡，通過DHCPv6 server獲取IPv6地址。

具體應用需求如下：

·     Device上使能DHCPv6 Snooping功能，保證客戶端從合法的服務器獲取IP地址，且記錄客戶端IPv6地址及MAC地址的綁定關係。

·     在端口GigabitEthernet1/0/1上啟用IPv6動態綁定功能，利用動態獲取的DHCPv6 Snooping表項過濾端口轉發的報文，隻允許通過DHCPv6 server動態獲取IP地址的客戶端接入網絡。

2. 組網圖

圖1-6 配置與DHCPv6 Snooping配合的IPv6端口綁定功能組網圖

 

3. 配置步驟

(1)     配置DHCPv6 Snooping

# 全局使能DHCPv6 Snooping功能。

<Device> system-view

[Device] ipv6 dhcp snooping enable

# 在VLAN 2內使能DHCPv6 Snooping功能。

[Device] vlan 2

[Device-vlan2] ipv6 dhcp snooping vlan enable

[Device] quit

# 配置端口GigabitEthernet1/0/2為信任端口。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] ipv6 dhcp snooping trust

[Device-GigabitEthernet1/0/2] quit

(2)     配置IPv6動態綁定功能

# 配置端口GigabitEthernet1/0/1的IPv6動態綁定功能，綁定源IP地址和MAC地址。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ipv6 verify source ipv6-address mac-address

[Device-GigabitEthernet1/0/1] quit

4. 驗證配置結果

# 客戶端通過DHCPv6 server成功獲取IP地址之後，通過執行以下命令可查看到已生成的IPv6動態綁定表項信息。

[Device] display ipv6 source binding

Total entries found: 1

 MAC Address          IP Address        VLAN   Interface       Type

 040a-0000-0001       2001::1           2      GE1/0/1         DHCPv6-SNP

# 顯示DHCPv6 Snooping已有的動態表項，查看其是否和端口GigabitEthernet1/0/1生成的IPv6動態綁定表項一致。

[Device] display ipv6 dhcp snooping user-binding dynamic

IP Address                     MAC Address    Lease      VLAN Interface

============================== ============== ========== ==== ==================

2001::1                        040a-0000-0001 286        2    GigabitEthernet1/0/1

---   1 DHCPv6 snooping item(s) found   ---

從以上顯示信息可以看出，IP Source Guard通過獲取端口GigabitEthernet1/0/1上產生的DHCPv6 Snooping表項成功生成了IPv6動態綁定表項。

1.5.6  與ND Snooping配合的IPv6端口綁定功能配置舉例

1. 組網需求

IPv6客戶端通過Device的端口GigabitEthernet1/0/1接入網絡。

具體應用需求如下：

·     Device上使能ND Snooping功能，通過偵聽DAD NS消息來建立ND Snooping表項。

·     在端口GigabitEthernet1/0/1上啟用IPv6端口綁定功能，利用動態獲取的ND Snooping表項過濾端口收到的報文，隻允許合法獲取IPv6地址的客戶端可以接入網絡。

2. 組網圖

圖1-7 配置與ND Snooping配合的IPv6端口綁定功能組網圖

 

3. 配置步驟

(1)     配置ND Snooping

# 在VLAN 2內使能ND Snooping功能。

<Device> system-view

[Device] vlan 2

[Device-vlan2] ipv6 nd snooping enable

[Device-vlan2] quit

(2)     配置IPv6端口綁定功能

# 在端口GigabitEthernet1/0/1上配置IPv6端口綁定功能，綁定源IP地址和MAC地址。

[Device] interface gigabitethernet1/0/1

[Device-GigabitEthernet1/0/1] ipv6 verify source ipv6-address mac-address

[Device-GigabitEthernet1/0/1] quit

4. 驗證配置結果

# 在Device上顯示生成的IPv6綁定表項信息。

[Device] display ipv6 source binding

Total entries found: 1

 MAC Address          IP Address        VLAN   Interface       Type

 040a-0000-0001       2001::1           2      GE1/0/1         ND-SNP

# 顯示ND Snooping已有的動態表項，查看其是否和端口GigabitEthernet1/0/1獲取的IPv6端口綁定表項一致。

[Device] display ipv6 nd snooping

IPv6 Address                   MAC Address     VID  Interface      Aging Status

2001::1                        040a-0000-0001  2    GE1/0/1        25     Bound

---- Total entries: 1 ----

從以上顯示信息可以看出，IP Source Guard通過獲取端口GigabitEthernet1/0/1上產生的ND Snooping表項成功生成了IPv6動態綁定表項。

1.5.7  全局地址綁定配置舉例

1. 組網需求

Device A為彙聚設備，Device B為接入設備，VLAN 10中的Host A與VLAN 20中的Host B通過Device A進行通信。

具體應用需求如下：

·     Device B上阻止仿冒Host A和Host B的IP報文通過。

·     Host A和Host B之間的報文可在Device B上正常轉發。

2. 組網圖

圖1-8 全局地址綁定典型配置組網圖

 

3. 配置步驟

# 創建VLAN 10，並將端口GigabitEthernet1/0/2加入VLAN 10。

<DeviceB> system-view

[DeviceB] vlan 10

[DeviceB-vlan10] port gigabitethernet1/0/2

[DeviceB-vlan10] quit

# 創建VLAN 20，並將端口GigabitEthernet1/0/3加入VLAN 20。

[DeviceB] vlan 20

[DeviceB-vlan20] port gigabitethernet1/0/3

[DeviceB-vlan20] quit

# 將端口GigabitEthernet1/0/1的鏈路類型配置為Trunk，並允許VLAN 10和VLAN 20的報文通過。

[DeviceB] interface gigabitethernet1/0/1

[DeviceB-GigabitEthernet1/0/1] port link-type trunk

[DeviceB-GigabitEthernet1/0/1] port trunk permit vlan 10 20

[DeviceB-GigabitEthernet1/0/1] quit

# 在端口GigabitEthernet1/0/2和端口GigabitEthernet1/0/3上分別配置IPv4端口綁定功能，綁定源IP地址和MAC地址。

[DeviceB] interface gigabitethernet1/0/2

[DeviceB-GigabitEthernet1/0/2] ip verify source ip-address mac-address

[DeviceB-GigabitEthernet1/0/2] quit

[DeviceB] interface gigabitethernet1/0/3

[DeviceB-GigabitEthernet1/0/3] ip verify source ip-address mac-address

[DeviceB-GigabitEthernet1/0/3] quit

# 配置全局靜態綁定表項，阻止仿冒Host A（IP地址：192.168.0.2、MAC地址：0001-0203-0406）和Host B（IP地址：192.168.1.2、MAC地址：0001-0203-0407）的IP報文通過。

[DeviceB] ip source binding ip-address 192.168.0.2 mac-address 0001-0203-0406

[DeviceB] ip source binding ip-address 192.168.1.2 mac-address 0001-0203-0407

4. 驗證配置結果

# 在Device上顯示配置的IPv4靜態綁定表項信息。

[DeviceB] display ip source binding static

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0406    192.168.0.2      N/A    N/A                  Static

 0001-0203-0407    192.168.1.2      N/A    N/A                  Static

以上配置完成後，Host A和Host B能夠成功ping通對方。

1.6  常見配置錯誤舉例

1.6.1  靜態綁定表項配置和端口綁定功能配置失敗

1. 故障現象

在端口上配置靜態綁定表項、配置端口綁定功能均失敗。

2. 故障分析

IP Source Guard功能不能在加入聚合組或加入業務環回組的端口上配置。

3. 處理過程

將端口退出已加入的聚合組或業務環回組。