S5520v2-28p-SI V7.1.045 R3116 mac+ip綁定

1.7  IP Source Guard典型配置舉例

1.7.1  IPv4靜態綁定表項配置舉例

1. 組網需求

如圖1-2所示，Host A、Host B分別與Device A的接口GigabitEthernet1/0/2、GigabitEthernet1/0/1相連。各主機均使用靜態配置的IP地址。

要求通過在Device A上配置IPv4靜態綁定表項，滿足以下各項應用需求：

·     Device A上的所有接口都允許Host A發送的IP報文通過。

·     Device A的接口GigabitEthernet1/0/1上允許Host B發送的IP報文通過。

2. 組網圖

圖1-2 配置靜態表項組網圖

‌

3. 配置步驟

# 配置Device A各接口的IP地址（略）。

# 在接口GigabitEthernet1/0/2上開啟IPv4接口綁定功能，綁定源IP地址和MAC地址。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ip verify source ip-address mac-address

[DeviceA-GigabitEthernet1/0/2] quit

# 配置IPv4靜態綁定表項，在Device A上的所有接口都允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的數據終端Host A發送的IP報文通過。

[DeviceA] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406

# 在接口GigabitEthernet1/0/1上開啟IPv4接口綁定功能，綁定源IP地址和MAC地址。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ip verify source ip-address mac-address

# 配置IPv4靜態綁定表項，在Device A的GigabitEthernet1/0/1上允許MAC地址為0001-0203-0407的數據終端Host B發送的IP報文通過。

[DeviceA-GigabitEthernet1/0/1] ip source binding mac-address 0001-0203-0407

[DeviceA-GigabitEthernet1/0/1] quit

4. 驗證配置

# 在Device A上顯示IPv4靜態綁定表項，可以看出以上配置成功。

<DeviceA> display ip source binding static

Total entries found: 2

IP address      MAC address    Interface                VLAN Type

192.168.0.1     0001-0203-0406 N/A                      N/A  Static

N/A             0001-0203-0407 GE1/0/1                  N/A  Static

1.7.2  與DHCP Snooping配合的IPv4動態綁定功能配置舉例

1. 組網需求

DHCP客戶端通過Device的接口GigabitEthernet1/0/1接入網絡，通過DHCP服務器獲取IPv4地址。

具體應用需求如下：

·     Device上使能DHCP Snooping功能，保證客戶端從合法的服務器獲取IP地址，且記錄客戶端IPv4地址及MAC地址的綁定關係。

·     在接口GigabitEthernet1/0/1上啟用IPv4動態綁定功能，利用動態生成的DHCP Snooping表項過濾接口接收的報文，隻允許通過DHCP服務器動態獲取IP地址的客戶端接入網絡。DHCP服務器的具體配置請參見“三層技術-IP業務配置指導”中的“DHCP服務器”。

2. 組網圖

圖1-3 配置與DHCP Snooping配合的IPv4動態綁定功能組網圖

‌

3. 配置步驟

(1)     配置DHCP Snooping

# 配置各接口的IP地址（略）。

# 開啟DHCP Snooping功能。

<Device> system-view

[Device] dhcp snooping enable

# 設置與DHCP服務器相連的接口GigabitEthernet1/0/2為信任接口。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] dhcp snooping trust

[Device-GigabitEthernet1/0/2] quit

(2)     配置IPv4接口綁定功能

# 開啟接口GigabitEthernet1/0/1的IPv4接口綁定功能，綁定源IP地址和MAC地址，並啟用接口的DHCP Snooping 表項記錄功能。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip verify source ip-address mac-address

[Device-GigabitEthernet1/0/1] dhcp snooping binding record

[Device-GigabitEthernet1/0/1] quit

4. 驗證配置

# 顯示接口GigabitEthernet1/0/1從DHCP Snooping獲取的動態表項。

[Device] display ip source binding dhcp-snooping

Total entries found: 1

IP address      MAC address    Interface                VLAN Type

192.168.0.1     0001-0203-0406 GE1/0/1                  1    DHCP snooping

接口GigabitEthernet1/0/1在配置IPv4接口綁定功能之後，會根據該表項進行報文過濾。

靜態綁定地址典型配置舉例

1. 組網需求

Switch B和Switch C分別作為DHCP客戶端和BOOTP客戶端，從DHCP服務器Switch A獲取靜態綁定的IP地址、域名服務器、網關地址等信息。

其中：

·     Switch B上VLAN接口2的客戶端ID為：

0030-3030-662e-6532-3030-2e30-3030-322d-4574-6865-726e-6574；

·     Switch C上VLAN接口2的MAC地址為：000f-e200-01c0。

2. 組網圖

圖2-1 靜態綁定地址組網圖

3. 配置步驟

(1)     配置接口的IP地址

<SwitchA> system-view

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 10.1.1.1 25

[SwitchA-Vlan-interface2] quit

(2)     配置DHCP服務

# 啟用DHCP服務。

[SwitchA] dhcp enable

# 配置VLAN接口2工作在DHCP服務器模式。

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] dhcp select server

[SwitchA-Vlan-interface2] quit

# 創建DHCP地址池0。

[SwitchA] dhcp server ip-pool 0

# 配置采用靜態綁定方式為Switch B分配IP地址。

[SwitchA-dhcp-pool-0] static-bind ip-address 10.1.1.5 25 client-identifier 0030-3030-662e-6532-3030-2e30-3030-322d-4574-6865-726e-6574

# 配置采用靜態綁定方式為Switch C分配IP地址。

[SwitchA-dhcp-pool-0] static-bind ip-address 10.1.1.6 25 hardware-address 000f-e200-01c0

# 配置域名服務器、網關地址。

[SwitchA-dhcp-pool-0] dns-list 10.1.1.2

[SwitchA-dhcp-pool-0] gateway-list 10.1.1.126

[SwitchA-dhcp-pool-0] quit

[SwitchA]

4. 驗證配置

配置完成後，Switch B和Switch C可以從DHCP服務器Switch A分別申請到IP地址10.1.1.5和10.1.1.6，並獲取相關網絡配置參數。通過display dhcp server ip-in-use命令可以查看DHCP服務器為客戶端分配的IP地址。

[SwitchA] display dhcp server ip-in-use

                 Hardware address

10.1.1.5         0030-3030-662e-6532-  Jan 21 14:27:27 2014  Static(C)

                 3030-2e30-3030-322d-

                 4574-6865-726e-6574

10.1.1.6         000f-e200-01c0        Jan 21 14:27:27 2014  Static(C)