- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
25-IP Source Guard快速配置指南
本章節下載 (254.14 KB)
IP Source Guard快速配置指南
Copyright © 2024 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
本案例介紹靜態配置綁定表項方式的IP Source Guard的配置方法。
加入聚合組或加入業務環回組的端口上不能配置IP Source Guard功能。
如圖所示,Host A與Host B分別與Switch B的端口GigabitEthernet1/0/2、GigabitEthernet1/0/1相連;Host C與Switch A的端口GigabitEthernet1/0/2相連。Switch B接到Switch A的端口GigabitEthernet1/0/1上。各主機均使用靜態配置的IP地址。
通過在Switch A和Switch B上配置IPv4靜態綁定表項,滿足以下各項應用需求:
· Switch A的端口GigabitEthernet1/0/2上隻允許Host C發送的IP報文通過。
· Switch A的端口GigabitEthernet1/0/1上隻允許Host A發送的IP報文通過。
· Switch B的端口GigabitEthernet1/0/2上隻允許Host A發送的IP報文通過。
· Switch B的端口GigabitEthernet1/0/1上隻允許使用IP地址192.168.0.2/24的主機發送的IP報文通過,即允許Host B更換網卡後仍然可以使用該IP地址與Host A互通。
圖1 配置IP Source Guard靜態綁定組網圖
# 在端口GigabitEthernet1/0/2上配置IPv4動態綁定功能,綁定源IP地址和MAC地址。
<SwitchA> system-view
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] ip verify source ip-address mac-address
# 配置IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0405、IP地址為192.168.0.3的Host C發送的IP報文通過端口GigabitEthernet1/0/2。
[SwitchA-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405
[SwitchA-GigabitEthernet1/0/2] quit
# 在端口GigabitEthernet1/0/1上配置IPv4端口綁定功能,綁定源IP地址和MAC地址。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 配置IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的Host A發送的IP報文通過端口GigabitEthernet1/0/1。
[SwitchA-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[SwitchA-GigabitEthernet1/0/1] quit
# 保存配置
[SwitchA] save
# 在端口GigabitEthernet1/0/2上配置IPv4動態綁定功能,綁定源IP地址和MAC地址。
<SwitchB> system-view
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ip verify source ip-address mac-address
# 配置IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的Host A發送的IP報文通過端口GigabitEthernet1/0/2。
[SwitchB-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[SwitchB-GigabitEthernet1/0/2] quit
# 在端口GigabitEthernet1/0/1上配置IPv4端口綁定功能,綁定源IP地址。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] ip verify source ip-address
# 配置IPv4靜態綁定表項,隻允許IP地址為192.168.0.2的主機發送的IP報文通過端口GigabitEthernet1/0/1。
[SwitchB-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.2
[SwitchB-GigabitEthernet1/0/1] quit
# 保存配置
[SwitchB] save
# 在Switch A上顯示IPv4靜態綁定表項配置成功。
[SwitchA] display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 GE1/0/1 N/A Static
192.168.0.3 0001-0203-0405 GE1/0/2 N/A Static
# 在Switch B上顯示IPv4靜態綁定表項配置成功。
[SwitchB] display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 GE1/0/2 N/A Static
192.168.0.2 N/A GE1/0/1 N/A Static
· SwitchA
#
interface GigabitEthernet1/0/1
port link-mode bridge
ip verify source ip-address mac-address
ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
#
interface GigabitEthernet1/0/2
port link-mode bridge
ip verify source ip-address mac-address
ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405
#
· SwitchB
#
interface GigabitEthernet1/0/1
port link-mode bridge
ip verify source ip-address
ip source binding ip-address 192.168.0.2
#
interface GigabitEthernet1/0/2
port link-mode bridge
ip verify source ip-address mac-address
ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
#
· 產品配套“安全配置指導”中的“IP Source Guard”。
· 產品配套“安全命令參考”中的“IP Source Guard”。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
