H3C S5500-SI IP Source Guard动态绑定典型配置
一、 组网需求:
Switch A通过端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分别与客户端Client A和DHCP Server相连。Switch A上使能DHCP Snooping功能。
具体应用需求如下:
Client A(MAC地址为00-01-02-03-04-06)通过DHCP Server获取IP地址。
在Switch A上生成Client A的DHCP Snooping表项。
在端口GigabitEthernet1/0/1上启用动态绑定功能,防止客户端使用伪造的不同源IP地址对服务器进行攻击。
二、 组网图:
三、 配置步骤:
1. 配置Switch A
# 配置端口GigabitEthernet1/0/1的动态绑定功能。
<SwitchA> system-view
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] ip check source ip-address mac-address
[SwitchA-GigabitEthernet1/0/1] quit
# 开启DHCP Snooping功能。
[SwitchA] dhcp-snooping
# 设置与DHCP服务器相连的端口GigabitEthernet1/0/2为信任端口。
[SwitchA] interface ethernet1/2
[SwitchA-GigabitEthernet1/0/2] dhcp-snooping trust
[SwitchA-GigabitEthernet1/0/2] quit
2. 验证配置结果
# 显示端口GigabitEthernet1/0/1的动态绑定功能配置成功。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] display this
#
interface GigabitEthernet1/0/1
ip check source ip-address mac-address
#
return
# 显示端口GigabitEthernet1/0/1从DHCP Snooping获取的动态表项。
[SwitchA-GigabitEthernet1/0/1] display ip check source
Total entries found: 1
MAC IP Vlan Port Status
0001-0203-0406 192.168.0.1 1 GigabitEthernet1/0/1 DHCP-SNP
# 显示DHCP Snooping已有的动态表项,查看其是否和端口GigabitEthernet1/0/1获取的动态表项一致。
[SwitchA-GigabitEthernet1/0/1] display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.0.1 0001-0203-0406 86335 1 GigabitEthernet1/0/1
从以上显示信息可以看出,端口GigabitEthernet1/0/1在配置动态绑定功能之后获取了DHCP Snooping产生的动态表项。
四、 配置关键点:
无。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作