前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >华为实操系列 | 如何绑定IP和MAC(IPSG动态、静态配置)

华为实操系列 | 如何绑定IP和MAC(IPSG动态、静态配置)

作者头像
网络技术联盟站
发布2019-07-23 10:50:31
10K0
发布2019-07-23 10:50:31
举报
文章被收录于专栏:网络技术联盟站网络技术联盟站
  • 编辑 | 排版 | 制图 | 测试 | ©瑞哥
  • 此文用时0小时48分钟,原创不易,坚持更不易,希望我的每一份劳动成果都可以得到大家的一个【在看】

IPSG(IP和MAC绑定)配置

应用场景&实现原理

IPSG可以防止恶意主机伪造合法主机的IP地址仿冒合法主机来访问网络或攻击网络。

它是利用交换机上的绑定表过滤非法主机发送的报文,以阻止非法主机访问网络或者攻击网络。

绑定表分为静态绑定表DHCP Snooping动态绑定表

  • 静态绑定表:通过user-bind命令手工配置。该方式适用于局域网络中主机数较少,且主机使用静态配置IP地址的网络环境。
  • DHCP Snooping动态绑定表:配置DHCP Snooping功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP回复报文动态生成。该方式适用于局域网络中主机较多,且主机使用DHCP动态获取IP地址的网络环境。

IPSG(IP和MAC绑定)静态配置示例

组网需求

  • 某公司员工通过交换机连接网络。研发人员IP地址为10.0.0.1,人力资源员工IP地址为10.0.0.11,设备上配置ACL,只允许人力资源员工10.0.0.11可以访问Internet。
  • 并且,在人力资源员工出差关机的情况下,研发员工也不能通过私自将IP地址更改为10.0.0.11访问Internet。

配置思路

  1. 在Switch上创建研发员工和人力资源员工的绑定表。
  2. 在Switch 的GE0/0/1和GE0/0/2接口下使能IPSG检查功能。

操作步骤

代码语言:javascript
复制
<HUAWEI> system-view  //进入系统视图
[HUAWEI] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001      //创建研发人员的绑定表项
[HUAWEI] user-bind static ip-address 10.0.0.11 mac-address 0002-0002-0002     //创建人力资源员工的绑定表项
[HUAWEI] interface gigabitethernet 0/0/1    //进入GE0/0/1接口视图
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable      //使能GE0/0/1接口的IPSG检查功能
[HUAWEI-GigabitEthernet0/0/1] quit          //退出GE0/0/1接口视图
[HUAWEI] interface gigabitethernet 0/0/2    //进入GE0/0/2接口视图
[HUAWEI-GigabitEthernet0/0/2] ip source check user-bind enable      //使能GE0/0/2接口的IPSG检查功能
[HUAWEI-GigabitEthernet0/0/2] quit          //退出GE0/0/2接口视图

IPSG(IP和MAC绑定)动态配置示例

组网需求

公司某部门员工IP地址均通过DHCP方式获取,通过部署IPSG实现员工只能使用DHCP Server分配的IP地址,不允许私自配置静态IP地址,如果私自指定IP地址将无法访问网络。

配置思路

  1. 在Switch_1上配置DHCP Snooping功能,生成DHCP Snooping动态绑定表。
  2. 在Switch_1连接员工主机的VLAN10上使能IPSG功能。

备注:此处省略DHCP配置,要求已完成相关配置,并且员工已通过DHCP方式动态获取到IP地址。

操作步骤

代码语言:javascript
复制
<HUAWEI> system-view   //进入系统视图
 [HUAWEI] dhcp enable   //全局使能DHCP功能
 [HUAWEI] dhcp snooping enable  //全局使能DHCP Snooping功能
 [HUAWEI] vlan 10  //进入VLAN10视图
 [HUAWEI-vlan10] dhcp snooping enable  //在VLAN视图下使能DHCP Snooping功能
 [HUAWEI-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/3   //将连接DHCP Server的GE0/0/3接口配置为信任接口
 [HUAWEI-vlan10] ip source check user-bind enable //基于VLAN使能IPSG检查功能
 [HUAWEI-vlan10] quit //退出VLAN视图
本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2019-06-03,如有侵权请联系 cloudcommunity@tencent.com 删除
tcp/ip

本文分享自 网络技术联盟站 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

tcp/ip
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论