天天看點
傳回

IP Source GuardIP Source Guard

IP Source Guard

IP Source Guard 功能H3C交換機用于對端口收到的封包進行過濾控制,以防止非法使用者封包通過。配置了 IP Source Guard 功能的端口隻轉發與綁定表項比對的封包。 IP Source Guard 綁定表項可以通過手工配置(指令行手工配置産生靜态綁定表項)和動态擷取(根據 DHCP 的相關表項動态生成綁定表項)兩種方式生成。

基于靜态綁定的IP Source Guard配置:

第1步:配置靜态IP與MAC綁定關系(3種方式如下)

[H3C]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d

#這是在全局模式下配置的,是以該綁定關系在任意端口都可以通行。

H3C-Ethernet1/0/1]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d

#實體接口配置,隻有在該端口上綁定資料才能正常通過。

[H3C-Vlan-interface1]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d

#vlan接口配置,隻有在該vlan接口中綁定資料才能正常通過。

第2步:配置需要驗證的位置(2種方式如下)

[H3C-Ethernet1/0/1]ip verify source ip-address mac-address

#通過該實體端口需要驗證綁定關系。(在配置前確定綁定關系正常)

[H3C-Vlan-interface1]ip verify source ip-address mac-address

#該vlan中的資料包需要驗證綁定關系。(在配置前確定綁定關系正常)

第3步:驗證生效,和檢查綁定

[H3C]display ip source binding static

Total entries found: 1

IP Address MAC Address Interface VLAN Type

192.168.1.50 3085-a973-d64d N/A N/A Static

基于動态DHCP綁定的IP Source Guard配置:

主要是結合DHCP Snooping功能自動記錄IP與MAC綁定關系。

第1步:配置dhcp snooping

[H3C]dhcp snooping enable

[H3C]interface GigabitEthernet 1/0/8

[H3C-GigabitEthernet1/0/8]dhcp snooping trust           #配置與dhcp伺服器連接配接的接口為信任區域

[H3C-Ethernet1/0/2]dhcp snooping binding record        #端口上的dhcp snooping表項記錄功能

//可以針對vlan在vlan視圖配置記錄功能

[H3C-Ethernet1/0/2]ip verify source ip-address mac-address          #開啟ip和mac的綁定關系檢查

第2步:終端重新擷取ip,并兩種檢視方法

[H3C]display ip source binding dhcp-snooping         #檢視綁定關系

Total entries found: 1

IP Address MAC Address Interface VLAN Type

192.168.1.147 3085-a973-d64d Eth1/0/2 1 DHCP snooping

[H3C]display dhcp snooping binding

1 DHCP snooping entries found.

IP address MAC address Lease VLAN SVLAN Interface

=============== ============== ============ ===== ===== =================

192.168.1.147 3085-a973-d64d 7176 1 N/A Eth1/0/2

基于動态DHCP中繼綁定的IP Source Guard配置:

第1步:配置中繼

[S3100]dhcp enable

[S3100-Vlan-interface10]ip address 192.168.10.252 24

[S3100-Vlan-interface10]dhcp select relay

[S3100-Vlan-interface10]dhcp relay server-address 192.168.10.254

[S3100-Vlan-interface10]quit

第2步:配置記錄和開啟驗證

[S3100]dhcp relay client-information record           #記錄dhcp中繼表項

[S3100]interface Vlan-interface 10

[S3100-Vlan-interface10]ip verify source ip-address mac-address             #啟動綁定關系

[S3100-Vlan-interface10]quit

第3步:驗證配置

[S3100]display ip source binding dhcp-relay

Total entries found: 1

IP Address MAC Address Interface VLAN Type

192.168.10.1 3085-a973-d64d Vlan10 10 DHCP relay

-------------------------------------------------------------------------------------------------------

H3C産品系列 IP Source Guard DHCP禁止修改ip 禁止手動修改ip
上一篇: VMware - 與 Device/Credential Guard 不相容
下一篇: Postman-----設定環境變量

繼續閱讀