在很多組網(wǎng)中有這樣的一個(gè)需求:
1�����、客戶端采用DHCP方式獲取ip地址
2、并且要防止客戶端自行手動(dòng)修改ip地址
這樣的功能在H3C交換機(jī)上實(shí)現(xiàn)起來還是比較方便的��,
通過在設(shè)備接入用戶側(cè)的端口上啟用IP Source Guard功能�����,可以對(duì)端口收到的報(bào)文進(jìn)行過濾控制�,防止非法報(bào)文通過端口,從而限制了對(duì)網(wǎng)絡(luò)資源的非法使用(比如非法主機(jī)仿冒合法用戶IP接入網(wǎng)絡(luò))����,提高了端口的安全性。
IP Source Guard在端口上用于過濾報(bào)文的特征項(xiàng)包括:源IP地址�、源MAC地址和VLAN標(biāo)簽。這些特征項(xiàng)可單獨(dú)或組合起來與端口進(jìn)行綁定����,形成綁定表項(xiàng),具體包括:IP���、MAC��、IP+MAC�����、IP+VLAN���、MAC+VLAN和IP+MAC+VLAN��。配置了IP Source Guard的端口接收到報(bào)文后查找IP Source Guard綁定表項(xiàng)�����,如果報(bào)文中的特征項(xiàng)與綁定表項(xiàng)中記錄的特征項(xiàng)匹配����,則端口轉(zhuǎn)發(fā)該報(bào)文�����,否則做丟棄處理��。綁定功能是針對(duì)端口的�����,一個(gè)端口配置了綁定功能后����,僅該端口被限制,其他端口不受該綁定影響�����。
IP Source Guard按照綁定表項(xiàng)的產(chǎn)生方式分為靜態(tài)綁定和動(dòng)態(tài)綁定:
l 靜態(tài)綁定:通過手工配置產(chǎn)生綁定表項(xiàng)來完成端口的控制功能��,適用于局域網(wǎng)絡(luò)中主機(jī)數(shù)較少或者需要為某臺(tái)主機(jī)進(jìn)行單獨(dú)的綁定配置的情況;
l 動(dòng)態(tài)綁定:通過自動(dòng)獲取DHCP Snooping或DHCP Relay的綁定表項(xiàng)來完成端口控制功能��,適用于局域網(wǎng)絡(luò)中主機(jī)較多�,并且采用DHCP進(jìn)行動(dòng)態(tài)主機(jī)配置的情況,可有效防止IP地址沖突��、盜用等問題�����。其原理是每當(dāng)DHCP為用戶分配一條表項(xiàng)時(shí)����,動(dòng)態(tài)綁定功能就相應(yīng)地增加一條綁定表項(xiàng)以允許該用戶訪問網(wǎng)絡(luò)。如果某個(gè)用戶私自設(shè)置IP地址,會(huì)由于沒有觸發(fā)DHCP分配表項(xiàng)����,導(dǎo)致動(dòng)態(tài)綁定功能未增加相應(yīng)的訪問允許規(guī)則,使得該用戶不能訪問網(wǎng)絡(luò)���。
注意:
加入聚合組或加入業(yè)務(wù)環(huán)回組的端口上不能配置IP Source Guard功能�,反之亦然�����。
配置相對(duì)簡單��,這里僅列舉DHCP方式下的配置情況�,更多的請參考H3C相關(guān)的軟件版本配置手冊
(1) 配置Switch A
# 配置端口GigabitEthernet1/0/1的動(dòng)態(tài)綁定功能,綁定源IP地址和MAC地址���。
system-view
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] ip check source ip-address mac-address
[SwitchA-GigabitEthernet1/0/1] quit
# 開啟DHCP Snooping功能�����。
[SwitchA] dhcp-snooping
# 設(shè)置與DHCP服務(wù)器相連的端口GigabitEthernet1/0/2為信任端口�。
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] dhcp-snooping trust
[SwitchA-GigabitEthernet1/0/2] quit
(2) 驗(yàn)證配置結(jié)果
# 顯示端口GigabitEthernet1/0/1的動(dòng)態(tài)綁定功能配置成功����。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] display this
#
interface GigabitEthernet1/0/1
ip check source ip-address mac-address
#
return
# 顯示端口GigabitEthernet1/0/1從DHCP Snooping獲取的動(dòng)態(tài)表項(xiàng)�����。
[SwitchA-GigabitEthernet1/0/1] display ip check source
Total entries found: 1
MAC IP Vlan Port Status
0001-0203-0406 192.168.0.1 1 GigabitEthernet 1/0/1 DHCP-SNP
# 顯示DHCP Snooping已有的動(dòng)態(tài)表項(xiàng),查看其是否和端口GigabitEthernet1/0/1獲取的動(dòng)態(tài)表項(xiàng)一致����。
[SwitchA-GigabitEthernet1/0/1] display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.0.1 0001-0203-0406 86335 1 GigabitEthernet1/0/1
從以上顯示信息可以看出,端口GigabitEthernet1/0/1在配置動(dòng)態(tài)綁定功能之后獲取了DHCP Snooping產(chǎn)生的動(dòng)態(tài)表項(xiàng)�����。
