小白谘詢IP與Mac地址綁定的問題
- 1關注
- 1收藏,1884瀏覽
問題描述:
想谘詢一下,IP地址與Mac地址綁定以後,是在整個交換機網絡實現綁定呢,還是在某個端口下實現呢?
IP與Mac綁定的命令具體是什麼?
還有就是綁定以後的IP與Mac是隻能一一對應才可以訪問網絡,那沒有做配置的IP和Mac接入網絡是可以訪問網絡呢還是不能?
組網及組網描述:
- 2022-04-28提問
- 舉報
-
(0)
全局和接口下口可以,綁定以後的IP與Mac是隻能一一對應才可以訪問網絡,沒做綁定的上不去網了
以下是交換機IP+MAC的方法總結,請參考:
IP+MAC方法一:
在全局模式使用arp static方式進行綁定,命令如下:
arp static 1.1.1.1 0023-24a1-0605
IP+MAC方法二:
進入接口使用arp filter方式進行綁定,命令如下:
int GigabitEthernet1/0/1
arp filter binding 1.1.1.1 0023-24a1-0605
*******IP+MAC方法三:*******
進入接口使用動態綁定表項的方式進行綁定,命令如下:
Int GigabitEthernet1/0/1
ip source binding ip-address 1.1.1.1 mac-address 0023-24a1-0605
ip verify source ip-address mac-address
也可在係統全局模式下使用動態綁定表項的方式進行綁定,命令如下:
ip source binding ip-address 1.1.1.1 mac-address 0023-24a1-0605
IP+MAC方法四:
如果本設備配置為DHCP服務器,且需要實現IP+MAC的靜態綁定,命令如下:
dhcp enable
dhcp server ip-pool 123
static-bind ip-address 1.1.1.1 mask 255.0.0.0 hardware-address aabb-ccdd-eeff
- 2022-04-28回答
- 評論(4)
- 舉報
-
(1)
謝謝您,還需請教一下。 方法2中 進入接口使用arp filter方式進行綁定,命令如下: int GigabitEthernet1/0/1 arp filter binding 1.1.1.1 0023-24a1-0605 與方法3中的動態綁定有什麼區別呢? 什麼是動態什麼是靜態啊?*IP+MAC方法三:******* 進入接口使用動態綁定表項的方式進行綁定,命令如下: Int GigabitEthernet1/0/1 ip source binding ip-address 1.1.1.1 mac-address 0023-24a1-0605 ip verify source ip-address mac-address
在端口上實現,沒有ip mac接入的無法訪問,具體的案例如下:
本電子書由CyberArticle製作。點擊這裏下載CyberArticle。注冊版本不會顯示該信息。 刪除廣告
目錄
本案例適用於如S5130-28F-WiNet、S5500V2-24P-WiNet、S5500V2-48P-WiNet等的V7交換機,V5、V7交換機具體分類及型號可以參考“1.1 Comware V5、V7平台交換機分類說明”。
Host A與Host B分別與Device B的端口GigabitEthernet1/0/2、GigabitEthernet1/0/1相連;Host C與Device A的端口GigabitEthernet1/0/2相連。Device B接到Device A的端口GigabitEthernet1/0/1上。各主機均使用靜態配置的IP地址。
通過在Device A和Device B上配置IPv4靜態綁定表項,可以滿足以下各項應用需求:
lDevice A的端口GigabitEthernet1/0/2上隻允許Host C發送的IP報文通過。
lDevice A的端口GigabitEthernet1/0/1上隻允許Host A發送的IP報文通過。
l Device B的端口GigabitEthernet1/0/2上隻允許Host A發送的IP報文通過。
lDevice B的端口GigabitEthernet1/0/1上隻允許使用IP地址192.168.0.2/24的主機發送的IP報文通過,即允許Host B更換網卡後仍然可以使用該IP地址與Host A互通。
# 在端口GigabitEthernet1/0/2上配置IPv4動態綁定功能,綁定源IP地址和MAC地址。
<H3C> system-view //進入係統視圖
[H3C] interface gigabitethernet 1/0/2 //進入g1/0/2接口
[H3C-GigabitEthernet1/0/2] ip verify source ip-address mac-address //配置IPv4動態綁定功能,綁定源IP地址和MAC地址
# 配置IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0405、IP地址為192.168.0.3的Host C發送的IP報文通過端口GigabitEthernet1/0/2。
[H3C] interface gigabitethernet 1/0/2 //進入g1/0/2接口
[H3C-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405 //配置IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0405、IP地址為192.168.0.3的報文通過g1/0/2接口
[H3C-GigabitEthernet1/0/2] quit //退出當前視圖
# 在端口GigabitEthernet1/0/1上配置IPv4動態綁定功能,綁定源IP地址和MAC地址。
[H3C] interface gigabitethernet 1/0/1 //進入g1/0/1接口
[H3C-GigabitEthernet1/0/1] ip verify source ip-address mac-address //配置IPv4動態綁定功能,綁定源IP地址和MAC地址
# 配置IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的Host A發送的IP報文通過端口GigabitEthernet1/0/1。
[H3C] interface gigabitethernet 1/0/1 //進入g1/0/1接口
[H3C-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406 //配置IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的報文通過g1/0/1接口
[H3C-GigabitEthernet1/0/1] quit //退出當前視圖
# 保存配置信息
[H3C]save force //保存配置
3.2 交換機B的配置
# 在端口GigabitEthernet1/0/2上配置IPv4動態綁定功能,綁定源IP地址和MAC地址。
[H3C] interface gigabitethernet1/0/2 //進入g1/0/2接口
[H3C-GigabitEthernet1/0/2] ip verify source ip-address mac-address //配置IPv4動態綁定功能,綁定源IP地址和MAC地址
# 配置IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的Host A發送的IP報文通過端口GigabitEthernet1/0/2。
[H3C-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406 //配置IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的報文通過g1/0/2接口
[H3C-GigabitEthernet1/0/2] quit //退出當前視圖
# 在GigabitEthernet1/0/1上配置IPv4動態綁定功能,綁定源IP地址。
[H3C] interface gigabitethernet 1/0/1 //進入g1/0/1接口
[H3C-GigabitEthernet1/0/1] ip verify source ip-address //配置IPv4動態綁定功能,綁定源IP地址和MAC地址
# 配置IPv4靜態綁定表項,隻允許IP地址為192.168.0.2的主機發送的IP報文通過端口GigabitEthernet1/0/1。
[H3C-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.2 //配置IPv4靜態綁定表項,隻允許IP地址為192.168.0.2的報文通過g1/0/1接口
[H3C-GigabitEthernet1/0/1] quit //退出當前視圖
# 保存配置信息
[H3C]save force //保存配置
3.3 檢查配置效果
# 在Switch A上顯示IPv4靜態綁定表項,可以看出以上配置成功。
<H3C> display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0405 GE1/0/2 N/A Static
192.168.0.3 0001-0203-0406 GE1/0/1 N/A Static
# 在Switch B上顯示IPv4靜態綁定表項,可以看出以上配置成功。
<SwitchB> display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 N/A N/A Static
N/A 0001-0203-0407 GE1/0/1 N/A Static
- 2022-04-28回答
- 評論(0)
- 舉報
-
(1)
您好,參考
基於IPv4靜態綁定的IP Source Guard配置舉例
3.1 組網需求
如圖1所示,在一個小型網絡中,各主機和服務器均使用靜態配置的IPv4地址。要求在Device A和Device B上配置IP Source Guard全局靜態綁定表項和端口靜態綁定表項,並在端口下開啟IP Source Guard功能(IP+MAC綁定),對Device A和Device B接收到的報文進行過濾,以防止非法用戶報文通過。
具體需求如下:
· Device A的端口XGE1/0/1允許Host A發送的IP報文通過。
· Device A的所有端口都允許Host B發送的IP報文通過。
· Device B的端口XGE1/0/1隻允許Host A和Host B發送的IP報文通過。
· Device B的端口XGE1/0/2隻允許File Server發送的IP報文通過。
圖1 基於IPv4靜態綁定的IP Source Guard組網圖
3.2 配置思路
由於各主機和服務器都是用靜態IP地址和固定MAC地址,因此若要實現Device A的某個端口上僅允許特定主機通過,可在端口下配置IP Source Guard靜態綁定表項;若要實現允許特定主機的報文通過Device A的任意端口,則需要配置IP Source Guard全局靜態綁定表項。若要實現Device B的某個端口上僅允許特定主機通過,可在端口下配置IP Source Guard靜態綁定表項。
3.3 配置步驟
3.3.1 Device A的配置
# 創建VLAN 10,並將端口Ten-GigabitEthernet1/0/1~Ten-GigabitEthernet1/0/3加入VLAN 10。
<DeviceA> system-view
[DeviceA] vlan 10
[DeviceA-vlan10] port ten-gigabitethernet 1/0/1 to ten-gigabitethernet 1/0/3
[DeviceA-vlan10] quit
# 配置VLAN接口10的IP地址。
[DeviceA] interface vlan-interface 10
[DeviceA-Vlan-interface10] ip address 192.168.0.10 255.255.255.0
[DeviceA-Vlan-interface10] quit
# 在端口Ten-GigabitEthernet1/0/1、Ten-GigabitEthernet1/0/2上配置IP Source Guard端口綁定功能,綁定源IP地址和MAC地址。
[DeviceA] interface ten-gigabitethernet 1/0/2
[DeviceA-Ten-GigabitEthernet1/0/2] ip verify source ip-address mac-address
[DeviceA-Ten-GigabitEthernet1/0/2] quit
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 在端口Ten-GigabitEthernet1/0/1上配置隻允許MAC地址為00-01-02-03-04-01、IP地址為192.168.0.1的終端Host A發送的IP報文通過。
[DeviceA-Ten-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0401
[DeviceA-Ten-GigabitEthernet1/0/1] quit
# 在Device A上配置允許MAC地址為00-01-02-03-04-02、IP地址為192.168.0.2的終端Host B發送的IP報文通過。
[DeviceA] ip source bi
- 2022-04-28回答
- 評論(0)
- 舉報
-
(1)
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
你手動配置的IP MAC 都是靜態綁定,動態綁定是IP Source Guard結合DHCP服務器,DHCP中繼,DHCP Snooping 其中一個的表象進行綁定