华为实操系列 | 如何绑定IP和MAC(IPSG动态、静态配置)

  • 编辑 | 排版 | 制图 | 测试 | ©瑞哥
  • 此文用时0小时48分钟,原创不易,坚持更不易,希望我的每一份劳动成果都可以得到大家的一个【在看】

IPSG(IP和MAC绑定)配置

应用场景&实现原理

IPSG可以防止恶意主机伪造合法主机的IP地址仿冒合法主机来访问网络或攻击网络。

它是利用交换机上的绑定表过滤非法主机发送的报文,以阻止非法主机访问网络或者攻击网络。

绑定表分为静态绑定表DHCP Snooping动态绑定表

  • 静态绑定表:通过user-bind命令手工配置。该方式适用于局域网络中主机数较少,且主机使用静态配置IP地址的网络环境。
  • DHCP Snooping动态绑定表:配置DHCP Snooping功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP回复报文动态生成。该方式适用于局域网络中主机较多,且主机使用DHCP动态获取IP地址的网络环境。

IPSG(IP和MAC绑定)静态配置示例

组网需求

  • 某公司员工通过交换机连接网络。研发人员IP地址为10.0.0.1,人力资源员工IP地址为10.0.0.11,设备上配置ACL,只允许人力资源员工10.0.0.11可以访问Internet。
  • 并且,在人力资源员工出差关机的情况下,研发员工也不能通过私自将IP地址更改为10.0.0.11访问Internet。

配置思路

  1. 在Switch上创建研发员工和人力资源员工的绑定表。
  2. 在Switch 的GE0/0/1和GE0/0/2接口下使能IPSG检查功能。

操作步骤

<HUAWEI> system-view  //进入系统视图
[HUAWEI] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001      //创建研发人员的绑定表项
[HUAWEI] user-bind static ip-address 10.0.0.11 mac-address 0002-0002-0002     //创建人力资源员工的绑定表项
[HUAWEI] interface gigabitethernet 0/0/1    //进入GE0/0/1接口视图
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable      //使能GE0/0/1接口的IPSG检查功能
[HUAWEI-GigabitEthernet0/0/1] quit          //退出GE0/0/1接口视图
[HUAWEI] interface gigabitethernet 0/0/2    //进入GE0/0/2接口视图
[HUAWEI-GigabitEthernet0/0/2] ip source check user-bind enable      //使能GE0/0/2接口的IPSG检查功能
[HUAWEI-GigabitEthernet0/0/2] quit          //退出GE0/0/2接口视图

IPSG(IP和MAC绑定)动态配置示例

组网需求

公司某部门员工IP地址均通过DHCP方式获取,通过部署IPSG实现员工只能使用DHCP Server分配的IP地址,不允许私自配置静态IP地址,如果私自指定IP地址将无法访问网络。

配置思路

  1. 在Switch_1上配置DHCP Snooping功能,生成DHCP Snooping动态绑定表。
  2. 在Switch_1连接员工主机的VLAN10上使能IPSG功能。

备注:此处省略DHCP配置,要求已完成相关配置,并且员工已通过DHCP方式动态获取到IP地址。

操作步骤

<HUAWEI> system-view   //进入系统视图
 [HUAWEI] dhcp enable   //全局使能DHCP功能
 [HUAWEI] dhcp snooping enable  //全局使能DHCP Snooping功能
 [HUAWEI] vlan 10  //进入VLAN10视图
 [HUAWEI-vlan10] dhcp snooping enable  //在VLAN视图下使能DHCP Snooping功能
 [HUAWEI-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/3   //将连接DHCP Server的GE0/0/3接口配置为信任接口
 [HUAWEI-vlan10] ip source check user-bind enable //基于VLAN使能IPSG检查功能
 [HUAWEI-vlan10] quit //退出VLAN视图

本文分享自微信公众号 - 网络技术联盟站(it666lmz)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-06-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券