H3C基于静态绑定的IP Source Guard配置

晴川

IP Source Guard
IP Source Guard 功能H3C交换机用于对端口收到的报文进行过滤控制，以防止非法用户报文通过。配置了 IP Source Guard 功能的端口只转发与绑定表项匹配的报文。 IP Source Guard 绑定表项可以通过手工配置（命令行手工配置产生静态绑定表项）和动态获取（根据 DHCP 的相关表项动态生成绑定表项）两种方式生成。

基于静态绑定的IP Source Guard配置：
第1步：配置静态IP与MAC绑定关系(3种方式如下)
[H3C]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d
#这是在全局模式下配置的，所以该绑定关系在任意端口都可以通行。

H3C-Ethernet1/0/1]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d
#物理接口配置，只有在该端口上绑定数据才能正常通过。

[H3C-Vlan-interface1]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d
#vlan接口配置，只有在该vlan接口中绑定数据才能正常通过。

第2步：配置需要验证的位置（2种方式如下）
[H3C-Ethernet1/0/1]ip verify source ip-address mac-address
#通过该物理端口需要验证绑定关系。(在配置前确保绑定关系正常)

[H3C-Vlan-interface1]ip verify source ip-address mac-address
#该vlan中的数据包需要验证绑定关系。(在配置前确保绑定关系正常)

第3步：验证生效，和检查绑定
[H3C]display ip source binding static
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.1.50 3085-a973-d64d N/A N/A Static




基于动态DHCP绑定的IP Source Guard配置：
主要是结合DHCP Snooping功能自动记录IP与MAC绑定关系。
第1步：配置dhcp snooping
[H3C]dhcp snooping enable
[H3C]interface GigabitEthernet 1/0/8
[H3C-GigabitEthernet1/0/8]dhcp snooping trust           #配置与dhcp服务器连接的接口为信任区域
[H3C-Ethernet1/0/2]dhcp snooping binding record        #端口上的dhcp snooping表项记录功能
//可以针对vlan在vlan视图配置记录功能
[H3C-Ethernet1/0/2]ip verify source ip-address mac-address          #开启ip和mac的绑定关系检查

第2步：终端重新获取ip,并两种查看方法
[H3C]display ip source binding dhcp-snooping         #查看绑定关系
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.1.147 3085-a973-d64d Eth1/0/2 1 DHCP snooping

[H3C]display dhcp snooping binding
1 DHCP snooping entries found.
IP address MAC address Lease VLAN SVLAN Interface
=============== ============== ============ ===== ===== =================
192.168.1.147 3085-a973-d64d 7176 1 N/A Eth1/0/2





基于动态DHCP中继绑定的IP Source Guard配置：
第1步：配置中继
[S3100]dhcp enable
[S3100-Vlan-interface10]ip address 192.168.10.252 24
[S3100-Vlan-interface10]dhcp select relay
[S3100-Vlan-interface10]dhcp relay server-address 192.168.10.254
[S3100-Vlan-interface10]quit

第2步：配置记录和开启验证
[S3100]dhcp relay client-information record           #记录dhcp中继表项
[S3100]interface Vlan-interface 10
[S3100-Vlan-interface10]ip verify source ip-address mac-address             #启动绑定关系
[S3100-Vlan-interface10]quit

第3步：验证配置
[S3100]display ip source binding dhcp-relay
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.10.1 3085-a973-d64d Vlan10 10 DHCP relay
————————————————
版权声明：本文为CSDN博主「zdl244」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/zdl244/java/article/details/103193145