- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
25-IP Source Guard快速配置指南
本章节下载 (254.14 KB)
IP Source Guard快速配置指南
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本案例介绍静态配置绑定表项方式的IP Source Guard的配置方法。
加入聚合组或加入业务环回组的端口上不能配置IP Source Guard功能。
如图所示,Host A与Host B分别与Switch B的端口GigabitEthernet1/0/2、GigabitEthernet1/0/1相连;Host C与Switch A的端口GigabitEthernet1/0/2相连。Switch B接到Switch A的端口GigabitEthernet1/0/1上。各主机均使用静态配置的IP地址。
通过在Switch A和Switch B上配置IPv4静态绑定表项,满足以下各项应用需求:
· Switch A的端口GigabitEthernet1/0/2上只允许Host C发送的IP报文通过。
· Switch A的端口GigabitEthernet1/0/1上只允许Host A发送的IP报文通过。
· Switch B的端口GigabitEthernet1/0/2上只允许Host A发送的IP报文通过。
· Switch B的端口GigabitEthernet1/0/1上只允许使用IP地址192.168.0.2/24的主机发送的IP报文通过,即允许Host B更换网卡后仍然可以使用该IP地址与Host A互通。
图1 配置IP Source Guard静态绑定组网图
# 在端口GigabitEthernet1/0/2上配置IPv4动态绑定功能,绑定源IP地址和MAC地址。
<SwitchA> system-view
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0405、IP地址为192.168.0.3的Host C发送的IP报文通过端口GigabitEthernet1/0/2。
[SwitchA-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405
[SwitchA-GigabitEthernet1/0/2] quit
# 在端口GigabitEthernet1/0/1上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的Host A发送的IP报文通过端口GigabitEthernet1/0/1。
[SwitchA-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[SwitchA-GigabitEthernet1/0/1] quit
# 保存配置
[SwitchA] save
# 在端口GigabitEthernet1/0/2上配置IPv4动态绑定功能,绑定源IP地址和MAC地址。
<SwitchB> system-view
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,只允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的Host A发送的IP报文通过端口GigabitEthernet1/0/2。
[SwitchB-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[SwitchB-GigabitEthernet1/0/2] quit
# 在端口GigabitEthernet1/0/1上配置IPv4端口绑定功能,绑定源IP地址。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] ip verify source ip-address
# 配置IPv4静态绑定表项,只允许IP地址为192.168.0.2的主机发送的IP报文通过端口GigabitEthernet1/0/1。
[SwitchB-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.2
[SwitchB-GigabitEthernet1/0/1] quit
# 保存配置
[SwitchB] save
# 在Switch A上显示IPv4静态绑定表项配置成功。
[SwitchA] display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 GE1/0/1 N/A Static
192.168.0.3 0001-0203-0405 GE1/0/2 N/A Static
# 在Switch B上显示IPv4静态绑定表项配置成功。
[SwitchB] display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 GE1/0/2 N/A Static
192.168.0.2 N/A GE1/0/1 N/A Static
· SwitchA
#
interface GigabitEthernet1/0/1
port link-mode bridge
ip verify source ip-address mac-address
ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
#
interface GigabitEthernet1/0/2
port link-mode bridge
ip verify source ip-address mac-address
ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405
#
· SwitchB
#
interface GigabitEthernet1/0/1
port link-mode bridge
ip verify source ip-address
ip source binding ip-address 192.168.0.2
#
interface GigabitEthernet1/0/2
port link-mode bridge
ip verify source ip-address mac-address
ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
#
· 产品配套“安全配置指导”中的“IP Source Guard”。
· 产品配套“安全命令参考”中的“IP Source Guard”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
