华为核心交换机绑定IP+MAC+端口案例
1 案例背景某网络改造项目,核心交换机为华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24;客户端接入交换机2通过Trunk模式与核心交换机连接,该交换机下有俩个Vlan,Vlan3 192.168.3.0/24 Vlan4 192.168.4.0/24,服务器接入交换机通过Access模式与核心交换机连接,该交换机下只有一个Vlan4 192.168.4.0/24;所有客户端、服务器网关均位于核心交换机上; 2 目前网络存在的缺陷由于目前网络管理比较松散,IP管理不够完善,客户端可以任意接入,外单位人员将PC设备设为相应网段也即可接入,故对目前网络照成管理困难及安全隐患,客户希望在本次网络改造中将所有客户端IP与MAC绑定,未绑定的客户端不能接入网络,对于服务器网段不进行操作(即未操作网段不受影响);3 解决方案按客户所需要求,常用方法可以在客户端接入交换机上进行IP+MAC+端口绑定,其他未使用端口关闭,但该方法需要逐个登陆接入交换机进行操作,由于网络建设初期距离网络改造时间较远,部分接入交换机账号密码已经遗忘,且现在为生产网络,如果逐个交换机破解密码,势必会造成网络中断,现在网络环境中,客户端与服务器均有明确Vlan划分,故选择在华为S5700核心交换机上通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定,具体配置思想为首先在VLAN下配置的静态绑定表,绑定客户端的的IP和MAC,然后在与接入交换机相连的接口上配置IP和ARP报文检查功能。4 配置步骤4.1 配置模拟环境基础网络Step1、 S5700核心交换机配置 Step2、 客户端接入交换机2配置 Step3、 客户端配置按拓扑标志为客户端分别配置IP地址、网关;Client1: IP 192.168.2.2/24 GW 192.168.2.1Client2: IP 192.168.2.3/24 GW 192.168.2.1Client3: IP 192.168.3.2/24 GW 192.168.3.1Client4: IP 192.168.4.2/24 GW 192.168.4.1Client5: IP 192.168.5.2/24 GW 192.168.5.1配置完毕通过Ping测试确认配置无误 4.2 配置IP+MAC+端口绑定此处模拟位于Vlan2下的Client2为非法客户端,在信息中心台账中无该客户端也即在核心交换机上未对该客户端进行绑定;以下配置均在核心交换机华为S5700进行Step1、 启用DHCP Snooping功能dhcp enable dhcp snooping enable//启用DHCP Snooping功能;结果如下 Step2、 对目标Vlan启用Vlan检测功能在模拟环境下vlan2/3/4为客户端Vlan,也即只对客户端Vlan进行操作,不对服务器Vlan5操作;vlan 2 dhcp snooping enablequit对其他目标Vlan进行相同操作结果如下 (在生产环境下测试,在Vlan下添加ip source check user-bind enable,绑定命令如下后user-bind static ip-address 192.168.3.222 mac-address 3c97-0e60-0fe1 vlan 683,可以不对端口做操作;)Step3、 对目标端口启用端口检测功能 interface GigabitEthernet0/0/2 arp anti-attack check user-bind enable//启用arp 协议抗攻击检查绑定服务 ip source check user-bind enable//启用端口检测功能对其他目标端口进行相同操作结果如下 Step4、 绑定客户端IP+MAC+端口user-bind static ip-address 192.168.2.2 mac-address 5489-9852-137A interface GigabitEthernet 0/0/2对其他客户端进行相同操作结果如下 Step5、 测试结果通过PING测试可以得到结果,漏绑的客户端不能访问网络; 5 命令参考ip source check user-bind check-item(接口视图)命令功能ip source check user-bind check-item命令用来配置IP报文的检查选项。undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。缺省情况下,IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址、VLAN三项。命令格式ip source check user-bind check-item { ip-address | mac-address | vlan }*undo ip source check user-bind check-item参数说明参数参数说明取值
ip-address检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。-
mac-address检查IP报文的MAC地址是否匹配绑定表。-
vlan检查IP报文的VLAN是否匹配绑定表。-
视图GE接口视图、XGE接口视图、端口组视图、Eth-Trunk接口视图缺省级别2:配置级使用指南本命令生效的前提是接口下通过ip source check user-bind enable命令使能IP Source Guard功能。使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。说明:本命令只对动态绑定表生效,对静态绑定表不生效。使用实例# 使能GE0/0/1接口的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。 system-view interface gigabitethernet 0/0/1 ip source check user-bind enable ip source check user-bind check-item ip-addressInfo: Change permit rule for dynamic snooping bind-table, please wait a minute!
ip source check user-bind check-item(VLAN视图)命令功能ip source check user-bind check-item命令用来配置VLAN下IP报文的检查选项。undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。缺省情况下,VLAN下IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址和接口。命令格式ip source check user-bind check-item { ip-address | mac-address | interface }*undo ip source check user-bind check-item参数说明
参数参数说明取值
ip-address检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。-
mac-address检查IP报文的MAC地址是否匹配绑定表。-
interface检查IP报文的接口是否匹配绑定表。-
视图VLAN视图缺省级别2:配置级使用指南本命令生效的前提是VLAN下通过ip source check user-bind enable命令使能IP Source Guard功能。使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。说明:本命令只对动态绑定表生效,对静态绑定表不生效。使用实例# 使能VLAN100的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。 system-view vlan 100 ip source check user-bind enable ip source check user-bind check-item ip-addressInfo: Change permit rule for dynamic snooping bind-table, please wait a minute!
6 案例参考http://support.huawei.com/ecommunity/bbs/10232127.html?p=1#p10439637 http://support.huawei.com/ecommunity/bbs/10174371.html?p=1#p10275725 http://support.huawei.com/ecommunity/bbs/10154485.html
为什么?这个命令没有dhcp snooping enable 无法启用
bbgs2008 发表于 2017-3-16 17:10
为什么?这个命令没有dhcp snooping enable 无法启用
解决了,文章不错,点个赞
文章不错,点个赞 sssasa 回复一下。看看我手上目前有多少金币 不错,学习了。文章条理清晰,谢谢分享
页:
[1]