H3C S5500-SI IP Source Guard动态绑定典型配置

H3C S5500-SI IP Source Guard动态绑定典型配置

一、  组网需求：

Switch A通过端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分别与客户端Client A和DHCP Server相连。Switch A上使能DHCP Snooping功能。

具体应用需求如下：

Client A（MAC地址为00-01-02-03-04-06）通过DHCP Server获取IP地址。

在Switch A上生成Client A的DHCP Snooping表项。

在端口GigabitEthernet1/0/1上启用动态绑定功能，防止客户端使用伪造的不同源IP地址对服务器进行攻击。

二、  组网图：

三、  配置步骤：

1. 配置Switch A

# 配置端口GigabitEthernet1/0/1的动态绑定功能。

<SwitchA> system-view

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] ip check source ip-address mac-address

[SwitchA-GigabitEthernet1/0/1] quit

# 开启DHCP Snooping功能。

[SwitchA] dhcp-snooping

# 设置与DHCP服务器相连的端口GigabitEthernet1/0/2为信任端口。

[SwitchA] interface ethernet1/2

[SwitchA-GigabitEthernet1/0/2] dhcp-snooping trust

[SwitchA-GigabitEthernet1/0/2] quit

2. 验证配置结果

# 显示端口GigabitEthernet1/0/1的动态绑定功能配置成功。

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] display this

#

interface GigabitEthernet1/0/1

 ip check source ip-address mac-address

#

return

# 显示端口GigabitEthernet1/0/1从DHCP Snooping获取的动态表项。

[SwitchA-GigabitEthernet1/0/1] display ip check source

Total entries found: 1

 MAC          IP              Vlan          Port               Status

0001-0203-0406 192.168.0.1 1   GigabitEthernet1/0/1     DHCP-SNP

# 显示DHCP Snooping已有的动态表项，查看其是否和端口GigabitEthernet1/0/1获取的动态表项一致。

[SwitchA-GigabitEthernet1/0/1] display dhcp-snooping

DHCP Snooping is enabled.

The client binding table for all untrusted ports.

Type : D--Dynamic , S--Static

Type IP Address      MAC Address    Lease        VLAN Interface

==== =============== ============== ============ ==== =================

D    192.168.0.1     0001-0203-0406 86335        1    GigabitEthernet1/0/1

从以上显示信息可以看出，端口GigabitEthernet1/0/1在配置动态绑定功能之后获取了DHCP Snooping产生的动态表项。

 

四、  配置关键点：

 无。