目  錄

1 IP Source Guard配置

1.1 IP Source Guard簡介

1.1.1 概述

1.1.2 綁定功能介紹

1.2 配置IPv4綁定功能

1.2.1 配置IPv4靜態綁定功能

1.2.2 配置IPv4動態綁定功能

1.2.3 配置IPv4綁定表項數目的最大值

1.3 配置IPv6綁定功能

1.3.1 配置IPv6靜態綁定功能

1.3.2 配置IPv6動態綁定功能

1.3.3 配置IPv6綁定表項數目的最大值

1.4 IP Source Guard顯示和維護

1.5 IP Source Guard典型配置舉例

1.5.1 IPv4靜態綁定表項配置舉例

1.5.2 與DHCP Snooping配合的IPv4動態綁定功能配置舉例

1.5.3 與DHCP Relay配合的IPv4動態綁定功能配置舉例

1.5.4 IPv6靜態綁定表項配置舉例

1.5.5 與DHCPv6 Snooping配合的IPv6動態綁定表項配置舉例

1.5.6 與ND Snooping配合的IPv6動態綁定表項配置舉例

1.6 常見配置錯誤舉例

1.6.1 靜態綁定表項配置和動態綁定功能配置失敗

 

1 IP Source Guard配置

1.1  IP Source Guard簡介

1.1.1  概述

通過在設備接入用戶側的端口上啟用IP Source Guard功能，可以對端口收到的報文進行過濾控製，防止非法報文通過端口，從而限製了對網絡資源的非法使用（比如非法主機仿冒合法用戶IP接入網絡），提高了端口的安全性。

IP Source Guard在端口上用於過濾報文的特征項包括：源IP地址、源MAC地址和VLAN標簽。這些特征項可單獨或組合起來與端口進行綁定，形成綁定表項，具體包括：IP、MAC、IP＋MAC、IP＋VLAN、MAC＋VLAN和IP＋MAC＋VLAN。

如圖1-1所示，配置了IP Source Guard的端口接收到報文後查找IP Source Guard綁定表項，如果報文中的特征項與綁定表項中記錄的特征項匹配，則端口轉發該報文，否則做丟棄處理。綁定功能是針對端口的，一個端口配置了綁定功能後，僅該端口被限製，其他端口不受該綁定影響。

圖1-1 IP Source Guard功能示意圖

 

1.1.2  綁定功能介紹

1. 靜態綁定

通過手工配置產生綁定表項來完成端口的控製功能，適用於局域網絡中主機數較少且主機使用靜態配置IP地址的情況，比如在接入某重要服務器的端口上配置綁定表項，僅允許該端口接收或者發送與該服務器通信的報文。

·     IPv4靜態綁定：通過手工配置IPv4靜態綁定表項來過濾端口收到的IPv4報文，或者與ARP Detection功能配合使用檢查接入用戶的合法性；

·     IPv6靜態綁定：通過手工配置IPv6靜態綁定表項來過濾端口收到的IPv6報文，或者與ND Detection功能配合使用檢查接入用戶的合法性。

 

2. 動態綁定

根據DHCP的相關表項動態生成綁定表項來完成端口控製功能，通常適用於局域網絡中主機較多，並且采用DHCP進行動態主機配置的情況。其原理是每當DHCP為用戶分配IP地址而生成一條DHCP表項時，動態綁定功能就相應地增加一條綁定表項以允許該用戶訪問網絡。如果某個用戶私自設置IP地址，則不會觸發設備生成相應的DHCP表項，因此動態綁定功能也不會增加相應的訪問規則來允許該用戶訪問網絡。除此之外，IPv6類型的動態綁定還支持自動獲取ND Snooping表項。

·     IPv4動態綁定：根據DHCP Snooping表項或DHCP Relay表項動態生成綁定表項來過濾端口收到的IPv4報文；

·     IPv6動態綁定：根據DHCPv6 Snooping表項或ND Snooping表項動態生成綁定表項來過濾端口收到的IPv6報文。

 

1.2  配置IPv4綁定功能

 

1.2.1  配置IPv4靜態綁定功能

表1-1 配置IPv4靜態綁定功能

操作	命令	說明
進入係統視圖	system-view	-
進入二層以太網端口視圖	interface interface-type interface-number	-
配置IPv4靜態綁定表項	user-bind { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]	必選 缺省情況下，端口上無IPv4靜態綁定表項 在與ARP Detection功能配合時，綁定表項中必須指定VLAN參數，且該VLAN為使能ARP Detection功能的VLAN，否則ARP報文將無法通過接口的IPv4靜態綁定表項的檢查

 

 

1.2.2  配置IPv4動態綁定功能

配置了IPv4動態綁定功能的端口，通過與不同的DHCP協議配合來動態生成綁定表項：

·     在二層以太網端口上，IP Source Guard可與DHCP Snooping配合，通過獲取IP地址動態分配時產生的DHCP Snooping表項來生成動態綁定表項；

·     在VLAN接口上，IP Source Guard可與DHCP Relay配合，通過獲取IP地址跨網段動態分配時產生的DHCP Relay表項來生成動態綁定表項。

·     在二層以太網端口上，IP Source Guard可與802.1X配合，通過獲取認證用戶的信息來生成動態綁定表項。

動態綁定表項中可能包含的內容有：MAC地址、IP地址、VLAN信息、入端口信息及表項類型（DHCP Snooping或DHCP Relay），其中MAC地址、IP地址和VLAN信息的包含情況由動態綁定配置決定。IP Source Guard把這些動態綁定表項下發到端口後，可對端口上轉發的報文進行過濾。

表1-2 配置IPv4動態綁定功能

操作	命令	說明
進入係統視圖	system-view	-
開啟全局的802.1X	dot1x	可選 缺省情況下，全局的802.1X處於關閉狀態
進入接口視圖	interface interface-type interface-number	-
配置802.1X用戶IP地址凍結功能	dot1x user-ip freeze	可選 缺省情況下，端口首次獲取且保存了802.1X上線用戶的IP地址之後，會隨著用戶IP地址的變化而更新保存的用戶IP地址。
配置基於802.1X認證的IP Source Guard動態表項獲取功能	ip verify source dot1x	可選 缺省情況下，端口上未配置IPv4端口綁定功能
配置IPv4動態綁定功能	ip check source { ip-address | ip-address mac-address | mac-address }	必選 缺省情況下，端口上未配置IPv4動態綁定功能
開啟端口的802.1X	dot1x	可選 缺省情況下，端口的802.1X特性為關閉狀態

 

 

1.2.3  配置IPv4綁定表項數目的最大值

IPv4綁定表項數目的最大值用於限製端口上允許添加的IPv4靜態綁定表項和IPv4動態綁定表項的數量總和。當端口上的IPv4綁定表項數目達到指定的最大值時，端口將不再允許添加新的IPv4綁定表項。

表1-3 配置IPv4綁定表項數目的最大值

操作	命令	說明
進入係統視圖	system-view	-
進入二層以太網端口視圖	interface interface-type interface-number	-
配置IPv4綁定表項數目的最大值	ip check source max-entries number	可選 缺省情況下，IPv4綁定表項數目的最大值為256

 

 

1.3  配置IPv6綁定功能

 

1.3.1  配置IPv6靜態綁定功能

表1-4 配置IPv6靜態綁定功能

操作	命令	說明
進入係統視圖	system-view	-
進入二層以太網端口視圖	interface interface-type interface-number	-
配置IPv6靜態綁定表項	user-bind ipv6 ip-address ipv6-address [ mac-address mac-address ] [vlan vlan-id ]	必選 缺省情況下，端口上無IPv6靜態綁定表項

 

 

1.3.2  配置IPv6動態綁定功能

配置了IPv6動態綁定功能的端口，通過與DHCPv6 Snooping或ND Snooping配合來動態生成綁定表項：

·     在二層以太網端口上，IP Source Guard可與DHCPv6 Snooping配合，通過獲取IPv6地址動態分配時產生的DHCPv6 Snooping表項來生成動態綁定表項；

·     在二層以太網端口上，IP Source Guard可與ND Snooping配合，通過獲取動態產生的ND Snooping表項來生成動態綁定表項。

動態綁定表項中可能包含的內容有：MAC地址、IPv6地址、VLAN信息、入端口信息及表項類型（DHCPv6 Snooping或ND Snooping），其中MAC地址、IPv6地址和VLAN信息的包含情況由動態綁定配置決定。IP Source Guard把這些動態綁定表項下發到端口後，可對端口上轉發的報文進行過濾。

表1-5 配置IPv6動態綁定功能

操作	命令	說明
進入係統視圖	system-view	-
進入接口視圖	interface interface-type interface-number	-
配置IPv6動態綁定功能	ip check source ipv6 ip-address [ mac-address ]	必選 缺省情況下，端口上未配置IPv6動態綁定功能

 

 

1.3.3  配置IPv6綁定表項數目的最大值

IPv6綁定表項數目的最大值用於限製端口上允許添加的IPv6靜態綁定表項和IPv6動態綁定表項的數量總和。當端口上的IPv6綁定表項數目達到指定的最大值時，端口將不再允許添加新的IPv6綁定表項。

表1-6 配置IPv6綁定表項數目的最大值

操作	命令	說明
進入係統視圖	system-view	-
進入二層以太網端口視圖	interface interface-type interface-number	-
配置IPv6綁定表項數目的最大值	ip check source ipv6 max-entries number	可選 缺省情況下，IPv6綁定表項數目的最大值為256

 

 

1.4  IP Source Guard顯示和維護

在完成上述配置後，在任意視圖下執行display命令可以顯示配置後IP Source Guard的運行情況，通過查看顯示信息驗證配置的效果。

表1-7 IP Source Guard顯示和維護（IPv4）

操作	命令
顯示IPv4靜態綁定表項信息	display user-bind [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ | { begin | exclude | include } regular-expression ]
顯示IPv4綁定表項信息	display ip check source [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

 

表1-8 IP Source Guard顯示和維護（IPv6）

操作	命令
顯示IPv6靜態綁定表項信息	display user-bind ipv6 [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ | { begin | exclude | include } regular-expression ]
顯示IPv6綁定表項信息	display ip check source ipv6 [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

 

1.5  IP Source Guard典型配置舉例

1.5.1  IPv4靜態綁定表項配置舉例

1. 組網需求

如圖1-2所示，Host A與Host B分別與Switch B的端口GigabitEthernet1/0/2、GigabitEthernet1/0/1相連；Host C與Switch A的端口GigabitEthernet1/0/2相連。Switch B接到Switch A的端口GigabitEthernet1/0/1上。

通過在Switch A和Switch B上配置IPv4靜態綁定表項，可以滿足以下各項應用需求：

·     Switch A的端口GigabitEthernet1/0/2上隻允許Host C發送的IP報文通過。

·     Switch A的端口GigabitEthernet1/0/1上隻允許Host A發送的IP報文通過。

·     Switch B的端口GigabitEthernet1/0/2上隻允許Host A發送的IP報文通過。

·     Switch B的端口GigabitEthernet1/0/1上隻允許Host B發送的IP報文通過。

2. 組網圖

圖1-2 配置靜態綁定表項組網圖

 

3. 配置步驟

(1)     配置Switch A

# 配置在Switch A的GigabitEthernet1/0/2上隻允許MAC地址為0001-0203-0405與IP地址為192.168.0.3的數據終端Host C發送的IP報文通過。

<SwitchA> system-view

[SwitchA] interface gigabitethernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405

[SwitchA-GigabitEthernet1/0/2] quit

# 配置在Switch A的GigabitEthernet1/0/1上隻允許MAC地址為0001-0203-0406與IP地址為192.168.0.1的數據終端Host A發送的IP報文通過。

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406

(2)     配置Switch B

# 配置在Switch B的GigabitEthernet1/0/2上隻允許MAC地址為0001-0203-0406與IP地址為192.168.0.1的數據終端Host A發送的IP報文通過。

<SwitchB> system-view

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406

[SwitchB-GigabitEthernet1/0/2] quit

# 配置在Switch B的GigabitEthernet1/0/1上隻允許MAC地址為0001-0203-0407與IP地址為192.168.0.2的數據終端Host B發送的IP報文通過。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.2 mac-address 0001-0203-0407

4. 驗證配置結果

# 在Switch A上顯示IPv4靜態綁定表項配置成功。

<SwitchA> display user-bind

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0405    192.168.0.3      N/A    GE1/0/2              Static

 0001-0203-0406    192.168.0.1      N/A    GE1/0/1              Static

# 在Switch B上顯示IPv4靜態綁定表項配置成功。

<SwitchB> display user-bind

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0406    192.168.0.1      N/A    GE1/0/2              Static

 0001-0203-0407    192.168.0.2      N/A    GE1/0/1              Static

1.5.2  與DHCP Snooping配合的IPv4動態綁定功能配置舉例

1. 組網需求

Device通過端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分別與客戶端Host和DHCP server相連。Device上使能DHCP Snooping功能。

具體應用需求如下：

·     Host（MAC地址為0001-0203-0406）通過DHCP server獲取IP地址。

·     在Device上生成Host的DHCP Snooping表項。

·     在端口GigabitEthernet1/0/1上啟用IPv4動態綁定功能，僅允許通過DHCP server動態獲取IP地址的客戶端可以接入網絡。

 

2. 組網圖

圖1-3 配置與DHCP Snooping配合的IPv4動態綁定功能組網圖

 

3. 配置步驟

(1)     配置DHCP Snooping

# 開啟DHCP Snooping功能。

<Device> system-view

[Device] dhcp-snooping

# 設置與DHCP server相連的端口GigabitEthernet1/0/2為信任端口。

[Device] interface gigabitethernet1/0/2

[Device-GigabitEthernet1/0/2] dhcp-snooping trust

[Device-GigabitEthernet1/0/2] quit

(2)     配置IPv4動態綁定功能

# 配置端口GigabitEthernet1/0/1的IPv4動態綁定功能，綁定源IP地址和MAC地址。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip check source ip-address mac-address

[Device-GigabitEthernet1/0/1] quit

4. 驗證配置結果

# 顯示端口GigabitEthernet1/0/1上的綁定表項信息。

[Device-GigabitEthernet1/0/1] display ip check source

Total entries found: 1

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0406    192.168.0.1      1      GE1/0/1              DHCP-SNP

# 顯示DHCP Snooping已有的動態表項，查看其是否和端口GigabitEthernet1/0/1獲取的動態表項一致。

[Device-GigabitEthernet1/0/1] display dhcp-snooping

DHCP Snooping is enabled.

The client binding table for all untrusted ports.

Type : D--Dynamic , S--Static

Type IP Address      MAC Address    Lease        VLAN Interface

==== =============== ============== ============ ==== =================

D    192.168.0.1     0001-0203-0406 86335        1    GigabitEthernet1/0/1

從以上顯示信息可以看出，端口GigabitEthernet1/0/1在配置IPv4動態綁定功能之後根據獲取的DHCP Snooping表項產生了動態綁定表項。

1.5.3  與DHCP Relay配合的IPv4動態綁定功能配置舉例

1. 組網需求

Switch通過接口Vlan-interface100和Vlan-interface200分別與客戶端Client A和DHCP server相連。Switch上使能DHCP Relay功能。

具體應用需求如下：

·     Client A（MAC地址為0001-0203-0406）通過DHCP relay從DHCP server上獲取IP地址。

·     在接口Vlan-interface100上啟用IPv4動態綁定功能，利用Switch上生成的DHCP Relay表項，過濾端口轉發的報文。

2. 組網圖

圖1-4 配置動態綁定功能組網圖

 

3. 配置步驟

(1)     配置IPv4動態綁定功能

# 配置各接口的IP地址（略）。

# 在接口Vlan-interface100上配置IPv4動態綁定功能，綁定源IP地址和MAC地址。

<Switch> system-view

[Switch] vlan 100

[Switch-Vlan100] quit

[Switch] interface vlan-interface 100

[Switch-Vlan-interface100] ip check source ip-address mac-address

[Switch-Vlan-interface100] quit

(2)     配置DHCP Relay

# 開啟DHCP Relay功能。

[Switch] dhcp enable

# 配置DHCP服務器的地址。

[Switch] dhcp relay server-group 1 ip 10.1.1.1

# 配置接口Vlan-interface100工作在DHCP中繼模式。

[Switch] interface vlan-interface 100

[Switch-Vlan-interface100] dhcp select relay

# 配置接口Vlan-interface100對應服務器組1。

[Switch-Vlan-interface100] dhcp relay server-select 1

[Switch-Vlan-interface100] quit

4. 驗證配置結果

# 顯示生成的IPv4綁定表項信息。

[Switch] display ip check source

Total entries found: 1

 MAC Address       IP Address     VLAN   Interface              Type

 0001-0203-0406    192.168.0.1    100    Vlan100                DHCP-RLY

1.5.4  IPv6靜態綁定表項配置舉例

1. 組網需求

IPv6客戶端通過Device的端口GigabitEthernet1/0/1接入網絡。要求在Device上配置IPv6靜態綁定表項，使得端口GigabitEthernet1/0/1上隻允許Host（MAC地址為0001-0202-0202、IPv6地址為2001::1）發送的IPv6報文通過。

2. 組網圖

圖1-5 配置IPv6靜態綁定表項組網圖

 

3. 配置步驟

# 在端口GigabitEthernet1/0/1上配置IPv6靜態綁定表項，綁定源IP地址和MAC地址，隻允許IPv6地址為2001::1且MAC地址為00-01-02-02-02-02的IPv6報文通過。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] user-bind ipv6 ip-address 2001::1 mac-address 0001-0202-0202

[Device-GigabitEthernet1/0/1] quit

4. 驗證配置結果

# 在Device上顯示IPv6靜態綁定表項配置成功。

[Device] display user-bind ipv6

Total entries found: 1

 MAC Address        IP Address        VLAN   Interface             Type

 0001-0202-0202     2001::1           N/A    GE1/0/1               Static-IPv6

1.5.5  與DHCPv6 Snooping配合的IPv6動態綁定表項配置舉例

1. 組網需求

DHCPv6客戶端通過Device的端口GigabitEthernet1/0/1接入網絡，通過DHCPv6 server獲取IPv6地址。

具體應用需求如下：

·     Device上使能DHCPv6 Snooping功能，保證客戶端從合法的服務器獲取IP地址，且記錄客戶端IPv6地址及MAC地址的綁定關係。

·     在端口GigabitEthernet1/0/1上啟用IPv6動態綁定功能，利用動態獲取的DHCPv6 Snooping表項過濾端口轉發的報文，隻允許通過DHCPv6 server動態獲取IP地址的客戶端接入網絡。

2. 組網圖

圖1-6 配置與DHCPv6 Snooping配合的IPv6動態綁定功能組網圖

 

3. 配置步驟

(1)     配置DHCPv6 Snooping

# 全局使能DHCPv6 Snooping功能。

<Device> system-view

[Device] ipv6 dhcp snooping enable

# 在VLAN 2內使能DHCPv6 Snooping功能。

[Device] vlan 2

[Device-vlan2] ipv6 dhcp snooping vlan enable

[Device] quit

# 配置端口GigabitEthernet1/0/2為信任端口。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] ipv6 dhcp snooping trust

[Device-GigabitEthernet1/0/2] quit

(2)     配置IPv6動態綁定功能

# 配置端口GigabitEthernet1/0/1的IPv6動態綁定功能，綁定源IP地址和MAC地址。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip check source ipv6 ip-address mac-address

[Device-GigabitEthernet1/0/1] quit

4. 驗證配置結果

# 客戶端通過DHCPv6 server成功獲取IP地址之後，通過執行以下命令可查看到已生成的IPv6綁定表項信息。

[Device] display ip check source ipv6

Total entries found: 1

 MAC Address          IP Address        VLAN   Interface      Type

 040a-0000-0001       2001::1           2      GE1/0/1        DHCPv6-SNP

# 顯示DHCPv6 Snooping已有的動態表項，查看其是否和端口GigabitEthernet1/0/1生成的IPv6動態綁定表項一致。

[Device] display ipv6 dhcp snooping user-binding dynamic

IP Address                     MAC Address    Lease      VLAN Interface

============================== ============== ========== ==== ==================

2001::1                        040a-0000-0001 286        2    GigabitEthernet1/0/1

---   1 DHCPv6 snooping item(s) found   ---

從以上顯示信息可以看出，IP Source Guard通過獲取端口GigabitEthernet1/0/1上產生的DHCPv6 Snooping表項成功生成了IPv6動態綁定表項。

1.5.6  與ND Snooping配合的IPv6動態綁定表項配置舉例

1. 組網需求

IPv6客戶端通過Device的端口GigabitEthernet1/0/1接入網絡。

具體應用需求如下：

·     Device上使能ND Snooping功能，通過偵聽DAD NS消息來建立ND Snooping表項。

·     在端口GigabitEthernet1/0/1上啟用IPv6動態綁定功能，利用動態獲取的ND Snooping表項過濾端口收到的報文，隻允許合法獲取IPv6地址的客戶端可以接入網絡。

2. 組網圖

圖1-7 配置與ND Snooping配合的IPv6動態綁定功能組網圖

 

3. 配置步驟

(1)     配置ND Snooping

# 在VLAN 2內使能ND Snooping功能。

<Device> system-view

[Device] vlan 2

[Device-vlan2] ipv6 nd snooping enable

[Device-vlan2] quit

(2)     配置IPv6動態綁定功能

# 配置端口GigabitEthernet1/0/1的IPv6動態綁定功能，綁定源IP地址和MAC地址。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip check source ipv6 ip-address mac-address

[Device-GigabitEthernet1/0/1] quit

4. 驗證配置結果

# 在Device上顯示生成的IPv6綁定表項信息。

[Device] display ip check source ipv6

Total entries found: 1

 MAC Address          IP Address        VLAN   Interface      Type

 040a-0000-0001       2001::1           2      GE1/0/1        ND-SNP

# 顯示ND Snooping已有的動態表項，查看其是否和端口GigabitEthernet1/0/1獲取的IPv6動態綁定表項一致。

[Device] display ipv6 nd snooping

IPv6 Address                   MAC Address     VID  Interface      Aging Status

2001::1                        040a-0000-0001  2    GE1/0/1        25     Bound

---- Total entries: 1 ----

從以上顯示信息可以看出，IP Source Guard通過獲取端口GigabitEthernet1/0/1上產生的ND Snooping表項成功生成了IPv6動態綁定表項。

1.6  常見配置錯誤舉例

1.6.1  靜態綁定表項配置和動態綁定功能配置失敗

1. 故障現象

在端口上配置靜態綁定表項、配置動態綁定功能均失敗。

2. 故障分析

IP Source Guard功能跟聚合端口互斥。在聚合端口下不能配置靜態綁定表項，也不能配置動態綁定功能。

3. 處理過程

將端口退出已加入的聚合組。