S2000-EA系列交换机IP过滤功能的配置

S2000-EA系列交换机IP过滤功能的配置

 

一、  组网需求：

Switch的端口Ethernet1/0/1连接DHCP 服务器；端口Ethernet1/0/2连接Host A，Host A的IP地址为1.1.1.1，MAC地址为0001-0001-0001；端口Ethernet1/0/3和端口Ethernet1/0/4连接DHCP Client B和DHCP Client C。

（1）在Switch上开启DHCP Snooping功能，并设置端口Ethernet1/0/1为DHCP Snooping信任端口。

（2）在Switch的端口Ethernet1/0/2，Ethernet1/0/3，Ethernet1/0/4上开启IP过滤功能，防止客户端使用伪造的不同源IP地址对服务器进行攻击。

（3）在Switch上配置IP静态绑定表项，保证使用固定IP地址的客户端Host A正常访问外部网络。

二、  组网图：

三、  配置步骤：

# 开启交换机DHCP Snooping功能。

<Switch> system-view

[Switch] dhcp-snooping

# 设置端口Ethernet1/0/1为信任端口。

[Switch] interface Ethernet1/0/1

[Switch-Ethernet1/0/1] dhcp-snooping trust

[Switch-Ethernet1/0/1] quit

# 分别启用端口Ethernet1/0/2，Ethernet1/0/3和Ethernet1/0/4的IP过滤功能，根据端口接收的IP报文的源IP地址/源MAC地址对报文进行过滤。

[Switch] interface Ethernet1/0/2

[Switch-Ethernet1/0/2] ip check source ip-address mac-address

[Switch-Ethernet1/0/2] quit

[Switch] interface Ethernet1/0/3

[Switch-Ethernet1/0/3] ip check source ip-address mac-address

[Switch-Ethernet1/0/3] quit

[Switch] interface Ethernet1/0/4

[Switch-Ethernet1/0/4] ip check source ip-address mac-address

[Switch-Ethernet1/0/4] quit

# 在Switch的端口Ethernet1/0/2上配置IP静态绑定表项。

[Switch] interface Ethernet1/0/2

[Switch-Ethernet1/0/2] ip source static binding ip-address 1.1.1.1 mac-address 0001-0001-0001

四、  配置关键点：

无