f1000-ak防火墙可以做mac地址ip地址绑定吗
- 0关注
- 0收藏,947浏览
最佳答案
可以的
1.4 开启全局IP-MAC绑定功能
1. 功能简介
开启全局IP-MAC绑定功能后,设备会对所有接口上收到的入方向报文进行IP地址与MAC地址绑定关系的检测,与IP-MAC绑定表项不一致的报文将会被丢弃。
2. 配置步骤
(1) 进入系统视图。
system-view
(2) 开启全局IP-MAC绑定功能。
ip-mac binding enable
缺省情况下,全局IP-MAC绑定功能处于关闭状态。
1.5 开启接口IP-MAC绑定功能
1. 功能简介
开启接口IP-MAC绑定功能后,设备会对该接口上入方向的报文进行IP地址与MAC地址绑定关系的检测,与IP-MAC绑定表项不一致的报文将会被丢弃。
2. 配置步骤
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启接口IP-MAC绑定功能。
ip-mac binding enable
缺省情况下,接口下的IP-MAC绑定功能处于关闭状态。
1.6 手工创建IP-MAC绑定表项
(1) 进入系统视图。
system-view
(2) 配置IP-MAC绑定表项。
(IPv4网络)
ip-mac binding ipv4 ipv4-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ]
(IPv6网络)
ip-mac binding ipv6 ipv6-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ]
1.7 批量生成IP-MAC绑定表项
1. 功能简介
IP-MAC绑定表项可以利用ARP/ND表批量生成。
2. 配置步骤
(1) 进入系统视图。
system-view
(2) 批量生成IP-MAC绑定表项。
ip-mac binding interface interface-type interface-number
1.8 配置IP-MAC绑定的缺省动作
1. 功能简介
开启IP-MAC绑定功能后,对于IP地址和MAC地址与IP-MAC绑定表项都无匹配的报文,可通过配置缺省动作,使设备允许该报文通过或者丢弃该报文。
2. 配置步骤
(1) 进入系统视图。
system-view
(2) 配置IP-MAC绑定的缺省动作为丢弃。
ip-mac binding no-match action deny
缺省情况下,允许未匹配到IP-MAC绑定表项的报文通过。
1.9 IP-MAC绑定显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP-MAC的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除IP-MAC绑定功能过滤报文的统计信息。
表1-2 IP-MAC显示和维护
操作 | 命令 |
显示IPv4-MAC绑定表项 | display ip-mac binding ipv4 [ ipv4-address ] [ mac-address mac-address ] [ vlan vlan-id | vpn-instance vpn-instance-name ] |
显示IPv6-MAC绑定表项 | display ip-mac binding ipv6 [ ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id | vpn-instance vpn-instance-name ] |
显示IP-MAC绑定功能过滤报文的统计信息 | display ip-mac binding statistics [ slot slot-number ] |
显示IP-MAC绑定功能状态 | display ip-mac binding status |
清除IP-MAC绑定功能过滤报文的统计信息 | reset ip-mac binding statistics [ slot slot-number ] |
1.10 IP-MAC绑定典型配置举例
1.10.1 IPv4-MAC绑定配置举例
1. 组网需求
如图1-2所示,在某子网中各主机与服务器均使用静态IPv4地址。其中,Host A、Host B为合法主机,通过网关Device实现与Server的互访。Host C为非法接入该子网的主机,网络管理员希望能够阻断其对Server的访问。
· Host A的MAC地址为0001-0203-0404、IPv4地址为192.168.0.1。
· Host B的MAC地址为0001-0203-0405、IPv4地址为192.168.0.2。
· Server的MAC地址为0001-0203-0407、IPv4地址为192.168.1.3。
2. 组网图
图1-2 配置IPv4-MAC绑定组网图
3. 配置步骤
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.254 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
[Device-security-zone-DMZ] quit
(3) 配置安全策略
# 配置名称为trust-dmz的安全策略规则,使Host可以正常访问Server,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-1-trust-dmz] source-zone trust
[Device-security-policy-ip-1-trust-dmz] destination-zone dmz
[Device-security-policy-ip-1-trust-dmz] source-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-1-trust-dmz] destination-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-1-trust-dmz] action pass
[Device-security-policy-ip-1-trust-dmz] quit
# 配置名称为dmz-trust的安全策略规则,使Host可以正常访问内网服务器,具体配置步骤如下。
[Device-security-policy-ip] rule name dmz-trust
[Device-security-policy-ip-2-dmz-trust] source-zone dmz
[Device-security-policy-ip-2-dmz-trust] destination-zone trust
[Device-security-policy-ip-2-dmz-trust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-2-dmz-trust] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-2-dmz-trust] action pass
[Device-security-policy-ip-2-dmz-trust] quit
[Device-security-policy-ip] quit
(4) 配置IP-MAC绑定
# 开启IP-MAC绑定功能。
[Device] ip-mac binding enable
# 配置IPv4-MAC绑定表项,使Device只允许来自Host A、Host B和Sever的报文通过。
[Device] ip-mac binding ip 192.168.0.1 mac-address 0001-0203-0404
[Device] ip-mac binding ip 192.168.0.2 mac-address 0001-0203-0405
[Device] ip-mac binding ip 192.168.1.3 mac-address 0001-0203-0407
# 配置未匹配IP-MAC绑定表项的报文的动作为丢弃。
[Device] ip-mac binding no-match action deny
4. 验证配置
# 查看已添加的IPv4-MAC绑定表项。
<Device> display ip-mac binding ipv4
Total entries: 1
IP address MAC address VPN instance VLAN ID
192.168.0.1 0001-0203-0404 public N/A
192.168.0.2 0001-0203-0405 public N/A
192.168.1.3 0001-0203-0407 public N/A
# 在Host C上ping服务器,发现服务器不可达,说明IP-MAC绑定功能已生效。
C:\> ping 192.168.1.3
Pinging 192.168.1.3 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.1.3:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
1.10.2 IPv6-MAC绑定配置举例
1. 组网需求
如图1-3所示,在某子网中各主机与服务器均使用静态IPv6地址。其中,Host A、Host B为合法主机,通过网关Device实现与Server的互访。Host C为非法接入该子网的主机,网络管理员希望能够阻断其对Server的访问。
· Host A的MAC地址为0001-0203-0404、IPv6地址为2000::1/64。
· Host B的MAC地址为0001-0203-0405、IPv6地址为2000::2/64。
· Server的MAC地址为0001-0203-0407、IPv6地址为2001::3/64
2. 组网图
图1-3 配置IPv6-MAC绑定组网图
3. 配置步骤
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 address 2000::4 64
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
[Device-security-zone-DMZ] quit
(3) 配置安全策略
# 配置名称为trust-dmz的安全策略规则,使Host可以正常访问Server,具体配置步骤如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name trust-dmz
[Device-security-policy-ipv6-1-trust-dmz] source-zone trust
[Device-security-policy-ipv6-1-trust-dmz] destination-zone dmz
[Device-security-policy-ipv6-1-trust-dmz] source-ip-subnet 2000::1 64
[Device-security-policy-ipv6-1-trust-dmz] destination-ip-subnet 2001::1 64
[Device-security-policy-ipv6-1-trust-dmz] action pass
[Device-security-policy-ipv6-1-trust-dmz] quit
# 配置名称为dmz-trust的安全策略规则,使Host可以正常访问内网服务器,具体配置步骤如下。
[Device-security-policy-ipv6] rule name dmz-trust
[Device-security-policy-ipv6-2-dmz-trust] source-zone dmz
[Device-security-policy-ipv6-2-dmz-trust] destination-zone trust
[Device-security-policy-ipv6-2-dmz-trust] source-ip-subnet 2001::1 64
[Device-security-policy-ipv6-2-dmz-trust] destination-ip-subnet 2000::1 64
[Device-security-policy-ipv6-2-dmz-trust] action pass
[Device-security-policy-ipv6-2-dmz-trust] quit
[Device-security-policy-ipv6] quit
(4) 配置IP-MAC绑定
# 开启IP-MAC绑定功能。
[Device] ip-mac binding enable
# 配置IPv6-MAC绑定表项,使Device只允许来自Host A、Host B和Sever的报文通过。
[Device] ip-mac binding ipv6 2000::1 mac-address 0001-0203-0404
[Device] ip-mac binding ipv6 2000::2 mac-address 0001-0203-0405
[Device] ip-mac binding ipv6 2001::3 mac-address 0001-0203-0407
# 配置未匹配IP-MAC绑定表项的报文的动作为丢弃。
[Device] ip-mac binding no-match action deny
4. 验证配置
# 查看已添加的IPv6-MAC绑定表项。
<Device> display ip-mac binding ipv6
Total entries: 1
IP address MAC address VPN instance VLAN ID
2000::1 0001-0203-0404 public N/A
2000::2 0001-0203-0405 public N/A
2001::3 0001-0203-0407 public N/A
# 在Host C上ping服务器,发现服务器不可达,说明IP-MAC绑定功能已生效。
C:\> ping 2001::3
Pinging 2001::3 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 2001::3:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
- 2024-12-31回答
- 评论(1)
- 举报
-
(0)
有配置指导吗
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
有配置指导吗