- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
18-IP Source Guard配置
本章節下載: 18-IP Source Guard配置 (384.54 KB)
目 錄
1.7.2 與DHCP Snooping配合的IPv4動態綁定功能配置舉例
1.7.3 與DHCP中繼配合的IPv4動態綁定功能配置舉例
1.7.5 與DHCPv6 Snooping配合的IPv6動態地址綁定表項配置舉例
1.7.6 與DHCPv6 Snooping配合的IPv6動態前綴綁定表項配置舉例
1.7.7 與DHCPv6中繼配合的IPv6動態綁定功能配置舉例
IP Source Guard功能用於對接口收到的報文進行過濾控製,通常配置在接入用戶側的接口上,以防止非法用戶報文通過,從而限製了對網絡資源的非法使用(比如非法主機仿冒合法用戶IP接入網絡),提高了接口的安全性。
如圖1-1所示,配置了IP Source Guard功能的接口接收到用戶報文後,根據IP Source Guard綁定表項匹配報文,如果報文的信息與某綁定表項匹配,則轉發該報文;若匹配失敗,則丟棄該報文。IP Source Guard可以根據報文的源IP地址、源MAC地址和VLAN標簽對報文進行過濾。報文的這些特征項可單獨或組合起來與接口進行綁定,形成IP Source Guard綁定表項。
IP Source Guard的綁定功能是針對接口的,一個接口配置了綁定功能後,僅對該接口接收的報文進行限製,其它接口不受影響。
IP Source Guard綁定表項可以通過手工配置和動態獲取兩種方式生成。
圖1-1 IP Source Guard功能示意圖
靜態配置綁定表項是指通過命令行手工配置綁定表項,該方式適用於局域網絡中主機數較少且主機使用靜態配置IP地址的情況,比如在接入某重要服務器的接口上配置綁定表項,僅允許該接口接收與該服務器通信的報文。
靜態綁定表項可以用於:
· 過濾接口收到的IP報文。
· 與ARP Detection功能配合使用檢查接入用戶的合法性。ARP Detection功能的詳細介紹請參見“安全配置指導”中的“ARP攻擊防禦”。
· 與ND Detection功能配合使用檢查接入用戶的合法性。ND Detection功能的詳細介紹請參見“安全配置指導”中的“ND攻擊防禦”。
靜態綁定表項又包括全局靜態綁定表項和接口靜態綁定表項兩種類型,這兩種綁定表項的作用範圍不同。
· 全局靜態綁定表項
全局靜態綁定表項是在係統視圖下配置的綁定了IP地址和MAC地址的表項,這類表項在設備的所有端口上生效。全局靜態綁定表項適用於防禦主機仿冒攻擊,可有效過濾攻擊者通過仿冒合法用戶主機的IP地址或者MAC地址向設備發送的偽造IP報文。
· 接口靜態綁定表項
端口靜態綁定是在端口上配置的綁定了IP地址、MAC地址、VLAN以及相關組合的表項,這類表項僅在當前端口上生效。隻有端口收到的報文的IP地址、MAC地址、VLAN與端口上配置的綁定表項的各參數完全匹配時,報文才可以在該端口被正常轉發,其它報文都不能被轉發,該表項適用於檢查端口上接入用戶的合法性。
動態獲取綁定表項是指通過獲取其它模塊生成的用戶信息來生成綁定表項。動態綁定表項中可能包含的內容:MAC地址、IP地址/IPv6地址、VLAN信息、入接口信息及表項類型(DHCPv4/v6 Snooping、DHCPv4/v6中繼等)。
這種動態獲取綁定表項的方式,通常適用於局域網絡中主機較多的情況。以主機使用DHCP動態獲取IP地址的情況為例,其原理是每當局域網內的主機通過DHCP服務器獲取到IP地址時,DHCP服務器會生成一條DHCP服務器表項,DHCP中繼會生成一條DHCP中繼表項,DHCP Snooping會生成一條DHCP Snooping表項。IP Source Guard可以根據以上任何一條DHCP表項相應地增加一條IP Source Guard綁定表項來判斷是否允許該用戶訪問網絡。如果某個用戶私自設置IP地址,則不會觸發設備生成相應的DHCP表項,IP Source Guard也不會增加相應的綁定表項,因此該用戶的報文將會被丟棄。
在配置了IPv4動態綁定功能的接口上,IP Source Guard通過與不同的模塊配合動態生成綁定表項:
表1-1 IPv4動態綁定功能信息表
|
接口類型 |
表項來源模塊 |
用途 |
|
二層以太網接口 |
DHCP Snooping、802.1X |
報文過濾 |
|
ARP Snooping |
配合其它模塊提供相關的安全服務,而不直接用於過濾報文 |
|
|
三層以太網接口/VLAN接口 |
DHCP中繼 |
報文過濾 |
|
DHCP服務器 |
配合其它模塊(例如授權ARP)提供相關的安全服務,而不直接用於過濾報文 |
802.1X功能的詳細介紹請參見“安全配置指導”中的“802.1X”。ARP Snooping功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“ARP”。DHCP Snooping功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP Snooping”。DHCP中繼功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。DHCP服務器功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP服務器”。
在配置了IPv6動態綁定功能的接口上,IP Source Guard通過與不同模塊配合動態生成綁定表項:
表1-2 IPv6動態綁定功能信息表
|
接口類型 |
表項來源模塊 |
用途 |
|
二層以太網接口 |
DHCPv6 Snooping、ND Snooping |
報文過濾 |
|
802.1X |
||
|
三層以太網接口/VLAN接口 |
DHCPv6中繼 |
報文過濾 |
|
DHCPv6服務器 |
表項上報給控製器,以便控製器了解用戶的上下線情況,而不直接用於過濾報文 |
DHCPv6 Snooping功能的詳細介紹請參見“三層技術-IP業務配置指導”的“DHCPv6 Snooping”。ND Snooping功能的詳細介紹請參見“三層技術-IP業務配置指導”的“IPv6基礎”。DHCPv6中繼功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCPv6中繼”。DHCPv6服務器功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCPv6服務器”。
設備除了支持靜態配置綁定表項和動態獲取綁定表項,還可以通過路由協議(如BGP協議)從其他設備同步表項信息,這類表項稱為遠端綁定表項。缺省情況下,遠端綁定表項不存在出接口信息,所以設備無法使用遠端綁定表項過濾報文。當遠端設備下的用戶漫遊到本設備下後,本設備可以根據用戶的ARP/ND表項學習到遠端綁定表項的接口信息,然後生成對應的本地綁定表項。IP Source Guard就可以使用生成的本地綁定表項中的信息過濾接口收到的報文。
關於BGP的詳細介紹,請參見“三層技術—IP路由配置指導”中的”BGP概述”。
IPv4綁定功能配置任務如下:
(1) 配置IPv4接口綁定功能
(2) (可選)配置IPv4靜態綁定表項
(3) (可選)配置IP Source Guard免過濾條件
IPv6綁定功能配置任務如下:
(1) 配置IPv6接口綁定功能
(2) (可選)配置IPv6靜態綁定表項
配置了IPv4接口綁定功能的接口,將打開根據綁定表項過濾報文的開關,並利用配置的IPv4靜態綁定表項和從其它模塊獲取的IPv4動態綁定表項對接口轉發的報文進行過濾或者配合其它模塊提供相關的安全服務。IPv4靜態綁定表項中指定的信息均用於IP Source Guard過濾接口收到的報文,具體配置請參考“1.3.2 配置IPv4靜態綁定表項”。
IP Source Guard依據該表項中的哪些信息過濾接口收到的報文,由IPv4接口綁定配置決定:
· 若接口上配置動態綁定功能時綁定了源IP地址和MAC地址,則隻有接口上收到的報文的源IPv4地址和源MAC地址都與某動態綁定表項匹配,該報文才能被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源IP地址,則隻有該接口收到的報文的源IPv4地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源MAC地址,則隻有該接口收到的報文的源MAC地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄。
在VLAN內開啟IPv4接口綁定功能後,如果確定VLAN的某些接口下不存在攻擊源,則無需通過IP Source Guard功能過濾收到的報文,管理員可以將這些接口配置為IPv4接口綁定功能的信任接口。
要實現IPv4動態綁定功能,請保證網絡中的802.1X、ARP Snooping 、DHCP Snooping、DHCP中繼、DHCP服務器配置有效且工作正常。
目前支持在接口下和VLAN下配置IPv4接口綁定功能,接口下配置的IPv4接口綁定功能隻對當前接口生效;VLAN下配置的IPv4接口綁定功能對VLAN內所有的二層以太網接口都生效。
不允許在VLAN和該VLAN所屬的以太網接口上同時配置IPv4接口綁定功能。若要采用其中一種方式配置,請先刪除另外一種方式的配置。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
可支持二層以太網端口/三層以太網接口/VLAN接口。
(3) 開啟IPv4接口綁定功能。
ip verify source { ip-address | ip-address mac-address | mac-address }
缺省情況下,接口的IPv4接口綁定功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入VLAN視圖。
vlan vlan-id
(3) 配置IPv4接口綁定功能。
ip verify source { ip-address | ip-address mac-address | mac-address } [ strict ]
缺省情況下,所有該VLAN所屬的二層以太網接口的IPv4接口綁定功能處於關閉狀態。
(4) (可選)配置IPv4接口綁定功能的信任接口。
a. 退回係統視圖。
quit
b. 進入VLAN內的二層以太網接口視圖。
interface interface-type interface-number
c. 配置IPv4接口綁定功能的信任接口。
ip verify source trust
IPv4靜態綁定表項包括全局的IPv4靜態綁定表項和接口的IPv4靜態綁定表項。接口的IPv4靜態綁定表項和動態綁定表項的優先級高於全局的IPv4靜態綁定表項,即接口優先使用本接口上的靜態或動態綁定表項對收到的報文進行匹配,若匹配失敗,再與全局的靜態綁定表項進行匹配。
全局的IPv4靜態綁定表項中定義了接口允許轉發的報文的IP地址和MAC地址,對設備的所有接口都生效。
在與ARP Detection功能配合時,綁定表項中必須指定IP、MAC和VLAN參數,且該VLAN為使能ARP Detection功能的VLAN,否則ARP報文將無法通過接口的IPv4靜態綁定表項的檢查。
(1) 進入係統視圖。
system-view
(2) 配置全局的IPv4靜態綁定表項。
ip source binding ip-address ip-address mac-address mac-address
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
可支持二層以太網端口/三層以太網接口/VLAN接口。
(3) 配置接口的IPv4靜態綁定表項。
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
同一個表項可以在不同的接口上綁定。
缺省情況下,在接口上配置了IPv4綁定功能後,接口上會丟棄所有無綁定表項的IPv4報文。為避免特定用戶的報文由於沒有匹配的綁定表項而被丟棄,可配置IP Source Guard免過濾條件,允許接口直接放行匹配上免過濾條件的IPv4報文。
(1) 進入係統視圖。
system-view
(2) 配置IP Source Guard免過濾條件。
ip verify source exclude vlan start-vlan-id [ to end-vlan-id ]
缺省情況下,未配置免過濾條件。
可以通過多次執行本命令,配置多個IP Source Guard免過濾VLAN,但不同命令中的VLAN範圍不能重疊。
在接口上或者在VLAN下配置IPv4接口綁定功能後,接口會根據綁定表項過濾掉非法報文。在配置本功能後,當每秒過濾掉的報文數大於或等於指定的告警閾值時,設備會生成超出告警閾值的日誌信息;當每秒過濾掉的報文數恢複到低於指定的告警閾值,設備會生成問題解除日誌信息。
請勿在VLAN以及該VLAN下的以太網接口上同時配置IPv4接口綁定告警功能,否則可能影響功能實現。
(1) 進入係統視圖。
system-view
(2) 本功能支持在如下兩種視圖下配置:
¡ 進入接口視圖。
interface interface-type interface-number
¡ 進入VLAN視圖。
vlan vlan-id
(3) 開啟IPv4接口綁定告警功能。
ip verify source alarm [ alarm-threshold ]
缺省情況下,IPv4接口綁定告警功能處於關閉狀態。
配置了IPv6接口綁定功能的接口,將打開根據綁定表項過濾報文的開關,並利用配置的IPv6靜態綁定表項和從其他模塊獲取的IPv6動態綁定表項對接口轉發的報文進行過濾。IPv6靜態綁定表項中指定的信息均用於IP Source Guard過濾接口收到的報文,具體配置請參考“1.4.2 配置IPv6靜態綁定表項”。
IP Source Guard依據該表項中的哪些信息過濾接口收到的報文,由IPv6接口綁定配置決定:
· 若接口上配置動態綁定功能時綁定了源IP地址和MAC地址,則隻有接口上收到的報文的源IPv6地址和源MAC地址都與某動態綁定表項匹配,該報文才能被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源IP地址,則隻有該接口收到的報文的源IPv6地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源MAC地址,則隻有該接口收到的報文的源MAC地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄。
在VLAN內開啟IPv6接口綁定功能後,如果確定VLAN的某些接口下不存在攻擊源,則無需通過IP Source Guard功能過濾收到的報文,管理員可以將這些接口配置為IPv6接口綁定功能的信任接口。
要實現IPv6動態綁定功能,請保證網絡中的DHCPv6 Snooping、DHCPv6 Relay、ND Snooping 配置有效且工作正常。
目前支持在接口下和VLAN下配置IPv6接口綁定功能,接口下配置的IPv6接口綁定功能隻對當前接口生效;VLAN下配置的IPv6接口綁定功能對VLAN內所有的二層以太網接口都生效。
不允許在VLAN和該VLAN所屬的以太網接口上同時配置IPv6接口綁定功能。若要采用其中一種方式配置,請先刪除另外一種方式的配置。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
可支持二層以太網端口/三層以太網接口/VLAN接口。
(3) 配置IPv6接口綁定功能。
ipv6 verify source { ip-address | ip-address mac-address | mac-address }
缺省情況下,接口的IPv6接口綁定功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入VLAN視圖。
vlan vlan-id
(3) 配置IPv6接口綁定功能。
ipv6 verify source { ip-address | ip-address mac-address | mac-address }
缺省情況下,所有該VLAN所屬的二層以太網接口的IPv6接口綁定功能處於關閉狀態。
(4) (可選)配置IPv6接口綁定功能的信任接口。
a. 退回係統視圖。
quit
b. 進入VLAN內的二層以太網接口視圖。
interface interface-type interface-number
c. 配置IPv6接口綁定功能的信任接口。
ipv6 verify source trust
IPv6靜態綁定功能包括全局的IPv6靜態綁定功能和接口的IPv6靜態綁定功能。接口的IPv6靜態綁定表項和IPv6動態綁定表項的優先級高於全局的IPv6靜態綁定表項,即接口優先使用本接口上的IPv6靜態或動態綁定表項對收到的報文進行匹配,若匹配失敗,再與全局的IPv6靜態綁定表項進行匹配。
全局的IPv6靜態綁定表項中定義了接口允許轉發的報文的IPv6地址和MAC地址,對設備的所有接口都生效。
在與ND Detection功能配合時,綁定表項中必須指定VLAN參數,且該VLAN為使能ND Detection功能的VLAN,否則ND報文將無法通過接口的IPv6靜態綁定表項的檢查。
(1) 進入係統視圖。
system-view
(2) 配置全局的IPv6靜態綁定表項。
ipv6 source binding ip-address ipv6-address mac-address mac-address
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
可支持二層以太網端口/三層以太網接口/VLAN接口。
(3) 配置接口的IPv6靜態綁定表項。
ipv6 source binding { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
在接口上或者在VLAN下配置IPv6接口綁定功能後,接口會根據綁定表項過濾掉非法報文。在配置本功能後,當每秒過濾掉的報文數大於或等於指定的告警閾值時,設備會生成超出告警閾值的日誌信息;當每秒過濾掉的報文數恢複到低於指定的告警閾值,設備會生成問題解除日誌信息。
請勿在VLAN以及該VLAN下的以太網接口上同時配置IPv4接口綁定告警功能,否則可能影響功能實現。
(1) 進入係統視圖。
system-view
(2) 本功能支持在如下兩種視圖下配置:
¡ 進入接口視圖。
interface interface-type interface-number
¡ 進入VLAN視圖。
vlan vlan-id
(3) 開啟IPv6接口綁定告警功能。
ipv6 verify source alarm [ alarm-threshold ]
缺省情況下,IPv6接口綁定告警功能處於關閉狀態。
開啟IP Source Guard模塊的告警功能後,IP Source Guard模塊會生成告警信息,用於報告該模塊的重要事件。例如,當每秒接口丟棄的報文數大於等於告警閾值時,設備會發送告警信息;當每秒丟棄的報文數從大於等於告警閾值恢複到低於告警閾值時,設備會再次發送告警恢複信息。生成的告警信息將發送到設備的SNMP模塊,請通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。
有關SNMP和信息中心的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”和“信息中心”。
(1) 進入係統視圖。
system-view
(2) 開啟IP Source Guard告警功能。
snmp-agent trap enable ipsg [ drop-threshold ]
缺省情況下,IP Source Guard告警功能均處於開啟狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IP Source Guard的運行情況,通過查看顯示信息驗證配置的效果。
表1-3 IP Source Guard顯示和維護
|
操作 |
命令 |
|
顯示IPv4綁定表項信息 |
(獨立運行模式) display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ arp-snooping-vlan | dhcp-relay | dhcp-server | dhcp-snooping | dot1x | remote ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] (IRF模式) display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ arp-snooping-vlan | arp-snooping-vsi | dhcp-relay | dhcp-server | dhcp-snooping | dot1x | remote ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
顯示路由協議模塊關注的IPv4本地綁定表項信息 |
(獨立運行模式) display ip source binding-local [ interface interface-type interface-number ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ] (IRF模式) display ip source binding-local [ interface interface-type interface-number ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ chassis chassis-number slot slot-number ] |
|
顯示路由協議模塊同步的IPv4遠端綁定表項信息 |
(獨立運行模式) display ip source binding-remote [ router-id router-id ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ] (IRF模式) display ip source binding-remote [ router-id router-id ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ chassis chassis-number slot slot-number ] |
|
顯示路由協議模塊關注的IPv4綁定表項統計信息 |
display ip source binding statistics |
|
顯示IP Source Guard免過濾條件生效情況 |
(獨立運行模式) display ip verify source excluded [ vlan start-vlan-id [ to end-vlan-id ] ] [ slot slot-number ] (IRF模式) display ip verify source excluded [ vlan start-vlan-id [ to end-vlan-id ] ] [ chassis chassis-number slot slot-number ] |
|
顯示IPv6地址綁定表項信息 |
(獨立運行模式) display ipv6 source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcpv6-relay | dhcpv6-server | dhcpv6-snooping | dot1x | nd-snooping-vlan | remote ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] (IRF模式) display ipv6 source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcpv6-relay | dhcpv6-server | dhcpv6-snooping | dot1x | nd-snooping-vlan | remote ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
顯示路由協議模塊關注的IPv6本地綁定表項信息 |
(獨立運行模式) display ipv6 source binding-local [ interface interface-type interface-number ] [ dhcpv6-relay | nd-snooping-vlan ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ] (IRF模式) display ipv6 source binding-local [ interface interface-type interface-number ] [ dhcpv6-relay | nd-snooping-vlan ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ chassis chassis-number slot slot-number ] |
|
顯示路由協議模塊同步的IPv6遠端綁定表項信息 |
(獨立運行模式) display ipv6 source binding-remote [ router-id router-id ] [ dhcpv6-relay | nd-snooping-vlan] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ] (IRF模式) display ipv6 source binding-remote [ router-id router-id ] [ dhcpv6-relay | nd-snooping-vlan ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ chassis chassis-number slot slot-number ] |
|
顯示IPv6前綴綁定表項信息 |
(獨立運行模式) display ipv6 source binding pd [ vpn-instance vpn-instance-name ] [ prefix prefix/prefix-length ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] (IRF模式) display ipv6 source binding pd [ vpn-instance vpn-instance-name ] [ prefix prefix/prefix-length ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
顯示路由協議模塊關注的IPv6綁定表項統計信息 |
display ipv6 source binding statistics |
如圖1-2所示,Host A、Host B分別與Device A的接口Ten-GigabitEthernet3/0/2、Ten-GigabitEthernet3/0/1相連。各主機均使用靜態配置的IP地址。
要求通過在Device A上配置IPv4靜態綁定表項,滿足以下各項應用需求:
· Device A上的所有接口都允許Host A發送的IP報文通過。
· Device A的接口Ten-GigabitEthernet3/0/1上允許Host B發送的IP報文通過。
# 配置Device A各接口的IP地址(略)。
# 在接口Ten-GigabitEthernet3/0/2上開啟IPv4接口綁定功能,綁定源IP地址和MAC地址。
<DeviceA> system-view
[DeviceA] interface ten-gigabitethernet 3/0/2
[DeviceA-Ten-GigabitEthernet3/0/2] ip verify source ip-address mac-address
[DeviceA-Ten-GigabitEthernet3/0/2] quit
# 配置IPv4靜態綁定表項,在Device A上的所有接口都允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的數據終端Host A發送的IP報文通過。
[DeviceA] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
# 在接口Ten-GigabitEthernet3/0/1上開啟IPv4接口綁定功能,綁定源IP地址和MAC地址。
[DeviceA] interface ten-gigabitethernet 3/0/1
[DeviceA-Ten-GigabitEthernet3/0/1] ip verify source ip-address mac-address
# 配置IPv4靜態綁定表項,在Device A的Ten-GigabitEthernet3/0/1上允許MAC地址為0001-0203-0407的數據終端Host B發送的IP報文通過。
[DeviceA-Ten-GigabitEthernet3/0/1] ip source binding mac-address 0001-0203-0407
[DeviceA-Ten-GigabitEthernet3/0/1] quit
# 在Device A上顯示IPv4靜態綁定表項,可以看出以上配置成功。
<DeviceA> display ip source binding static
Total entries found: 2
IP address MAC address Interface VLAN Type
192.168.0.1 0001-0203-0406 N/A N/A Static
N/A 0001-0203-0407 XXGE3/0/1 N/A Static
DHCP客戶端通過Device的接口Ten-GigabitEthernet3/0/1接入網絡,通過DHCP服務器獲取IPv4地址。
具體應用需求如下:
· Device上使能DHCP Snooping功能,保證客戶端從合法的服務器獲取IP地址,且記錄客戶端IPv4地址及MAC地址的綁定關係。
· 在接口Ten-GigabitEthernet3/0/1上啟用IPv4動態綁定功能,利用動態生成的DHCP Snooping表項過濾接口接收的報文,隻允許通過DHCP服務器動態獲取IP地址的客戶端接入網絡。DHCP服務器的具體配置請參見“三層技術-IP業務配置指導”中的“DHCP服務器”。
圖1-3 配置與DHCP Snooping配合的IPv4動態綁定功能組網圖
(1) 配置DHCP Snooping
# 配置各接口的IP地址(略)。
# 開啟DHCP Snooping功能。
<Device> system-view
[Device] dhcp snooping enable
# 設置與DHCP服務器相連的接口Ten-GigabitEthernet3/0/2為信任接口。
[Device] interface ten-gigabitethernet 3/0/2
[Device-Ten-GigabitEthernet3/0/2] dhcp snooping trust
[Device-Ten-GigabitEthernet3/0/2] quit
(2) 配置IPv4接口綁定功能
# 開啟接口Ten-GigabitEthernet3/0/1的IPv4接口綁定功能,綁定源IP地址和MAC地址,並啟用接口的DHCP Snooping 表項記錄功能。
[Device] interface ten-gigabitethernet 3/0/1
[Device-Ten-GigabitEthernet3/0/1] ip verify source ip-address mac-address
[Device-Ten-GigabitEthernet3/0/1] dhcp snooping binding record
[Device-Ten-GigabitEthernet3/0/1] quit
# 顯示接口Ten-GigabitEthernet3/0/1從DHCP Snooping獲取的動態表項。
[Device] display ip source binding dhcp-snooping
Total entries found: 1
IP address MAC address Interface VLAN Type
192.168.0.1 0001-0203-0406 XXGE3/0/1 1 DHCP snooping
接口Ten-GigabitEthernet3/0/1在配置IPv4接口綁定功能之後,會根據該表項進行報文過濾。
Switch通過接口Vlan-interface100和Vlan-interface200分別與客戶端Host和DHCP服務器相連。Switch上使能DHCP中繼功能。
具體應用需求如下:
· Host通過DHCP中繼從DHCP服務器上獲取IP地址。
· 在接口Vlan-interface100上啟用IPv4動態綁定功能,利用Switch上生成的DHCP中繼表項,過濾接口接收的報文。
圖1-4 配置動態綁定功能組網圖
(1) 配置IPv4動態綁定功能
# 配置各接口的IP地址(略)。
# 在接口Vlan-interface100上開啟IPv4接口綁定功能,綁定源IP地址和MAC地址。
<Switch> system-view
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] ip verify source ip-address mac-address
[Switch-Vlan-interface100] quit
(2) 配置DHCP中繼
# 開啟DHCP服務。
[Switch] dhcp enable
# 開啟DHCP中繼用戶地址表項記錄功能。
[Switch] dhcp relay client-information record
# 配置接口Vlan-interface100工作在DHCP中繼模式。
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] dhcp select relay
# 指定DHCP服務器的地址。
[Switch-Vlan-interface100] dhcp relay server-address 10.1.1.1
[Switch-Vlan-interface100] quit
# 顯示生成的IPv4動態綁定表項信息。
[Switch] display ip source binding dhcp-relay
Total entries found: 1
IP address MAC address Interface VLAN Type
192.168.0.1 0001-0203-0406 Vlan100 100 DHCP relay
IPv6客戶端通過Device的接口Ten-GigabitEthernet3/0/1接入網絡。要求在Device上配置IPv6靜態綁定表項,使得接口Ten-GigabitEthernet3/0/1上隻允許Host(MAC地址為0001-0202-0202、IPv6地址為2001::1)發送的IPv6報文通過。
圖1-5 配置IPv6靜態綁定表項組網圖
# 在接口Ten-GigabitEthernet3/0/1上開啟IPv6接口綁定功能,綁定源IP地址和MAC地址。
<Device> system-view
[Device] interface ten-gigabitethernet 3/0/1
[Device-Ten-GigabitEthernet3/0/1] ipv6 verify source ip-address mac-address
# 在接口Ten-GigabitEthernet3/0/1上配置IPv6靜態綁定表項,綁定源IP地址和MAC地址,隻允許IPv6地址為2001::1且MAC地址為00-01-02-02-02-02的IPv6報文通過。
[Device-Ten-GigabitEthernet3/0/1] ipv6 source binding ip-address 2001::1 mac-address 0001-0202-0202
[Device-Ten-GigabitEthernet3/0/1] quit
# 在Device上顯示IPv6靜態綁定表項,可以看出以上配置成功。
[Device] display ipv6 source binding static
Total entries found: 1
IPv6 address MAC address Interface VLAN Type
2001::1 0001-0202-0202 XXGE3/0/1 N/A Static
DHCPv6客戶端通過Device的接口Ten-GigabitEthernet3/0/1接入網絡,通過DHCPv6服務器獲取IPv6地址。
具體應用需求如下:
· Device上使能DHCPv6 Snooping功能,保證客戶端從合法的服務器獲取IP地址,且記錄客戶端IPv6地址及MAC地址的綁定關係。
· 在接口Ten-GigabitEthernet3/0/1上啟用IPv6動態綁定功能,利用動態生成的DHCPv6 Snooping表項過濾接口接收的報文,隻允許通過DHCPv6服務器動態獲取IP地址的客戶端接入網絡。
圖1-6 配置與DHCPv6 Snooping配合的IPv6動態地址綁定功能組網圖
(1) 配置DHCPv6 Snooping
# 全局使能DHCPv6 Snooping功能。
<Device> system-view
[Device] ipv6 dhcp snooping enable
# 配置接口Ten-GigabitEthernet3/0/2為信任接口。
[Device] interface ten-gigabitethernet 3/0/2
[Device-Ten-GigabitEthernet3/0/2] ipv6 dhcp snooping trust
[Device-Ten-GigabitEthernet3/0/2] quit
(2) 配置IPv6接口綁定功能
# 開啟接口Ten-GigabitEthernet3/0/1的IPv6接口綁定功能,綁定源IP地址和MAC地址,並啟用接口的DHCPv6 Snooping地址表項記錄功能。
[Device] interface ten-gigabitethernet 3/0/1
[Device-Ten-GigabitEthernet3/0/1] ipv6 verify source ip-address mac-address
[Device-Ten-GigabitEthernet3/0/1] ipv6 dhcp snooping binding record
[Device-Ten-GigabitEthernet3/0/1] quit
# 客戶端通過DHCPv6 server成功獲取IP地址之後,通過執行以下命令可查看到已生成的IPv6動態地址綁定表項信息。
[Device] display ipv6 source binding dhcpv6-snooping
Total entries found: 1
IPv6 address MAC address Interface VLAN Type
2001::1 040a-0000-0001 XXGE3/0/1 1 DHCPv6 snooping
接口Ten-GigabitEthernet3/0/1在配置IPv6接口綁定功能之後,會根據該表項進行報文過濾。
DHCPv6客戶端通過Device的接口Ten-GigabitEthernet3/0/1接入網絡,通過DHCPv6服務器獲取IPv6前綴。
具體應用需求如下:
· Device上開啟了DHCPv6 Snooping功能,保證DHCPv6客戶端從合法的服務器獲取前綴,且記錄對應的DHCPv6 Snooping前綴表項。
· 在接口Ten-GigabitEthernet3/0/1上啟用IPv6動態綁定功能,利用動態生成的DHCPv6 Snooping前綴表項過濾接口接收的報文,隻允許通過DHCPv6服務器動態獲取前綴生成IPv6地址的客戶端接入網絡。
圖1-7 配置與DHCPv6 Snooping配合的IPv6動態前綴綁定功能組網圖
(1) 配置DHCPv6 Snooping
# 開啟DHCPv6 Snooping功能。
<Device> system-view
[Device] ipv6 dhcp snooping enable
# 配置接口Ten-GigabitEthernet3/0/2為DHCPv6 Snooping信任接口。
[Device] interface ten-gigabitethernet 3/0/2
[Device-Ten-GigabitEthernet3/0/2] ipv6 dhcp snooping trust
[Device-Ten-GigabitEthernet3/0/2] quit
# 在接口Ten-GigabitEthernet3/0/1開啟DHCPv6 Snooping前綴表項記錄功能。
[Device] interface ten-gigabitethernet 3/0/1
[Device-Ten-GigabitEthernet3/0/1] ipv6 dhcp snooping pd binding record
(2) 配置IPv6接口綁定功能
# 開啟接口Ten-GigabitEthernet3/0/1的IPv6接口綁定功能。
[Device-Ten-GigabitEthernet3/0/1] ipv6 verify source ip-address mac-address
[Device-Ten-GigabitEthernet3/0/1] quit
# DHCPv6客戶端通過DHCPv6服務器成功獲取前綴信息之後,可通過執行以下命令可查看到設備上生成的DHCPv6前綴表項信息。
[Device] display ipv6 source binding pd
Total entries found: 1
IPv6 prefix MAC address Interface VLAN
2001:410:1::/48 0010-9400-0004 XXGE3/0/1 1
接口Ten-GigabitEthernet3/0/1在配置IPv6接口綁定功能之後,會根據該表項進行報文過濾。
Switch通過接口Vlan-interface3和Vlan-interface2分別與客戶端和DHCPv6服務器相連。通過在Switch上使能DHCPv6中繼功能,實現如下需求:
· 客戶端通過DHCPv6中繼從DHCPv6服務器上獲取IPv6地址。
· 在接口Vlan-interface3上啟用IPv6動態綁定功能,利用Switch上生成的DHCPv6中繼表項,過濾接口接收的報文。
圖1-8 配置與DHCPv6中繼配合的IPv6動態綁定功能組網圖
(1) 配置DHCPv6中繼
# 創建VLAN、將接口加入到VLAN,並配置VLAN接口的IPv6地址(略)。
# 配置接口Vlan-interface3工作在DHCPv6中繼模式。
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ipv6 dhcp select relay
# 開啟DHCPv6中繼用戶地址表項記錄功能。
[Switch-Vlan-interface3] ipv6 dhcp relay client-information record
# 指定DHCPv6服務器的地址。
[Switch-Vlan-interface3] ipv6 dhcp relay server-address 2::2
[Switch-Vlan-interface3] quit
(2) 配置IPv6動態綁定功能
# 在接口Vlan-interface3上開啟IPv6接口綁定功能,綁定源IP地址和MAC地址。
<Switch> system-view
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ipv6 verify source ip-address mac-address
[Switch-Vlan-interface3] quit
# 顯示生成的IPv6動態綁定表項信息。
[Switch] display ipv6 source binding dhcpv6-relay
Total entries found: 1
IP address MAC address Interface VLAN Type
1::2 0001-0203-0406 Vlan3 3 DHCPv6 relay
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
