您的位置:360文档中心› 三层交换机IP Source Guard典型配置举例

三层交换机IP Source Guard典型配置举例

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

H3C S5130-EI IP Source Guard 配置举例

目录

1 简介 (1)

2 配置前提 (1)

3 基于IPv4 静态绑定的IP Source Guard配置举例 (1)

3.1 组网需求 (1)

3.2 配置思路 (2)

3.3 使用版本 (2)

3.4 配置注意事项 (2)

3.5 配置步骤 (2)

3.5.1 Device A的配置 (2)

3.5.2 Device B的配置 (3)

3.6 验证配置 (4)

3.7 配置文件 (4)

4 基于DHCP Snooping动态绑定的IP Source Guard配置举例 (6)

4.1 组网需求 (6)

4.2 配置思路 (6)

4.3 使用版本 (6)

4.4 配置步骤 (6)

4.4.1 配置DHCP服务器 (6)

4.4.2 配置Device (7)

4.4.3 配置DHCP客户端 (7)

4.5 验证配置 (7)

4.6 配置文件 (8)

5 基于DHCP中继动态绑定的IP Source Guard配置举例 (8)

5.1 组网需求 (8)

5.2 配置思路 (9)

5.3 使用版本 (9)

5.4 配置步骤 (9)

5.4.1 配置DHCP服务器 (9)

5.4.2 配置Device (10)

5.4.3 配置DHCP客户端 (10)

5.5 验证配置 (11)

5.6 配置文件 (11)

6 基于IPv6 静态绑定表项与DHCPv6 Snooping动态绑定的IP Source Guard配置举例 (12)

6.1 组网需求 (12)

6.2 配置思路 (12)

6.3 使用版本 (12)

6.4 配置注意事项 (13)

6.5 配置步骤 (13)

6.6 验证配置 (13)

6.7 配置文件 (14)

7 相关资料 (14)

1 简介

本文档介绍IP Source Guard 的配置举例。

IP Source Guard 功能用于对端口收到的报文进行过滤控制,以防止非法用户报文通过。

配置了IP Source Guard 功能的端口只转发与绑定表项匹配的报文。IP Source Guard 绑定表项可以通过手工配置(命令行手工配置产生静态绑定表项)和动态获取(根据DHCP 的相关表项动态生成绑定表项)两种方式生成。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解本文档中的IP Source Guard 特性。

3 基于IPv

4 静态绑定的IP Source Guard配置举例

3.1 组网需求

如图 1 所示,在一个小型网络中,各主机和服务器均使用静态配置的IPv4 地址。要求在Device A和Device B上配置IP Source Guard全局静态绑定表项和端口静态绑定表项,并在端口下开启IP Source Guar d功能(IP+MAC绑定),对Device A和Device B接收到的报文进行过滤,以防止非法用户报文通过。

具体需求如下:

•Device A 的端口GE1/0/1 允许Host A 发送的IP 报文通过。

•Device A 的所有端口都允许Host B 发送的IP 报文通过。

•Device B 的端口GE1/0/1 只允许Host A 和Host B 发送的IP 报文通过。

•Device B 的端口GE1/0/2 只允许File Server 发送的IP 报文通过。

图1 基于IPv4 静态绑定的IP Source Guard 组网图

3.2 配置思路

由于各主机和服务器都是用静态IP 地址和固定MAC 地址,因此若要实现Device A 的某个端口上仅允许特定主机通过,可在端口下配置IP Source Guard 静态绑定表项;若要实现允许特定主机的报文通过Device A 的任意端口,则需要配置IP Source Guard 全局静态绑定表项。若要实现Device B 的某个端口上仅允许特定主机通过,可在端口下配置IP Source Guard 静态绑定表项。

3.3 使用版本

本举例是在S5130EI_E-CMW710-R3106 版本上进行配置和验证的。

3.4 配置注意事项

IP Source Guard功能静态绑定表项中的VLAN参数不作为过滤报文的特征项,VLAN参数指定与否,不影响IP Source Guard功能对报文的过滤结果。

3.5 配置步骤

3.5.1 Device A的配置

# 创建VLAN 10,并将端口GigabitEthernet1/0/1~GigabitEthernet1/0/3 加入VLAN 10。

system-view

[DeviceA] vlan 10

[DeviceA-vlan10] port gigabitethernet 1/0/1 to gigabitethernet 1/0/3

[DeviceA-vlan10] quit

# 配置VLAN 接口10 的IP 地址。

[DeviceA] interface vlan-interface 10

相关文档
最新文档