华为核心交换机绑定IP+MAC+端口案例

华为核心交换机绑定IP+MAC+端口案例

1         案例背景

某网络改造项目,核心交换机为华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24;客户端接入交换机2通过Trunk模式与核心交换机连接,该交换机下有俩个Vlan,Vlan3 192.168.3.0/24 Vlan4 192.168.4.0/24,服务器接入交换机通过Access模式与核心交换机连接,该交换机下只有一个Vlan4 192.168.4.0/24;所有客户端、服务器网关均位于核心交换机上;

2         目前网络存在的缺陷

由于目前网络管理比较松散,IP管理不够完善,客户端可以任意接入,外单位人员将PC设备设为相应网段也即可接入,故对目前网络照成管理困难及安全隐患,客户希望在本次网络改造中将所有客户端IP与MAC绑定,未绑定的客户端不能接入网络,对于服务器网段不进行操作(即未操作网段不受影响);

3         解决方案

按客户所需要求,常用方法可以在客户端接入交换机上进行IP+MAC+端口绑定,其他未使用端口关闭,但该方法需要逐个登陆接入交换机进行操作,由于网络建设初期距离网络改造时间较远,部分接入交换机账号密码已经遗忘,且现在为生产网络,如果逐个交换机破解密码,势必会造成网络中断,现在网络环境中,客户端与服务器均有明确Vlan划分,故选择在华为S5700核心交换机上通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定,具体配置思想为首先在VLAN下配置的静态绑定表,绑定客户端的的IP和MAC,然后在与接入交换机相连的接口上配置IP和ARP报文检查功能。

4         配置步骤

4.1    配置模拟环境基础网络

Step1、    S5700核心交换机配置

Step2、    客户端接入交换机2配置

Step3、    客户端配置

按拓扑标志为客户端分别配置IP地址、网关;

Client1: IP 192.168.2.2/24 GW 192.168.2.1

Client2: IP 192.168.2.3/24 GW 192.168.2.1

Client3: IP 192.168.3.2/24 GW 192.168.3.1

Client4: IP 192.168.4.2/24 GW 192.168.4.1

Client5: IP 192.168.5.2/24 GW 192.168.5.1

配置完毕通过Ping测试确认配置无误

4.2    配置IP+MAC+端口绑定

此处模拟位于Vlan2下的Client2为非法客户端,在信息中心台账中无该客户端也即在核心交换机上未对该客户端进行绑定;

以下配置均在核心交换机华为S5700进行

Step1、    启用DHCP Snooping功能

[Huawei]dhcp enable

[Huawei]dhcp snooping enable

//启用DHCP Snooping功能;

结果如下

Step2、    对目标Vlan启用Vlan检测功能

在模拟环境下vlan2/3/4为客户端Vlan,也即只对客户端Vlan进行操作,不对服务器Vlan5操作;

[Huawei]vlan 2

[Huawei-vlan2] dhcp snooping enable

[Huawei-vlan2]quit

对其他目标Vlan进行相同操作结果如下

(在生产环境下测试,在Vlan下添加ip source check user-bind enable,绑定命令如下后user-bind static ip-address 192.168.3.222 mac-address 3c97-0e60-0fe1 vlan 683,可以不对端口做操作;)

Step3、    对目标端口启用端口检测功能

[Huawei] interface GigabitEthernet0/0/2

[Huawei-GigabitEthernet0/0/2] arp anti-attack check user-bind enable

//启用arp 协议抗攻击检查绑定服务

[Huawei-GigabitEthernet0/0/2] ip source check user-bind enable

//启用端口检测功能

对其他目标端口进行相同操作结果如下

Step4、    绑定客户端IP+MAC+端口

[Huawei]user-bind static ip-address 192.168.2.2 mac-address 5489-9852-137A interface GigabitEthernet 0/0/2

对其他客户端进行相同操作结果如下

Step5、    测试结果

通过PING测试可以得到结果,漏绑的客户端不能访问网络;

5         命令参考

ip source check user-bind check-item(接口视图)

命令功能

ip source check user-bind check-item命令用来配置IP报文的检查选项。

undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。

缺省情况下,IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址、VLAN三项。

命令格式

ip source check user-bind check-item { ip-address | mac-address | vlan }*

undo ip source check user-bind check-item

参数说明


参数
参数说明
取值

ip-address
检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
-

mac-address
检查IP报文的MAC地址是否匹配绑定表。
-

vlan
检查IP报文的VLAN是否匹配绑定表。
-

视图

GE接口视图、XGE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

本命令生效的前提是接口下通过ip source check user-bind enable命令使能IP Source Guard功能。

使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。

如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。

说明:

本命令只对动态绑定表生效,对静态绑定表不生效。

使用实例

# 使能GE0/0/1接口的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。

<Quidway> system-view

[Quidway] interface gigabitethernet 0/0/1

[Quidway-GigabitEthernet0/0/1] ip source check user-bind enable

[Quidway-GigabitEthernet0/0/1] ip source check user-bind check-item ip-address

Info: Change permit rule for dynamic snooping bind-table, please wait a minute!

ip source check user-bind check-item(VLAN视图)

命令功能

ip source check user-bind check-item命令用来配置VLAN下IP报文的检查选项。

undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。

缺省情况下,VLAN下IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址和接口。

命令格式

ip source check user-bind check-item { ip-address | mac-address | interface }*

undo ip source check user-bind check-item

参数说明


参数
参数说明
取值

ip-address
检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
-

mac-address
检查IP报文的MAC地址是否匹配绑定表。
-

interface
检查IP报文的接口是否匹配绑定表。
-

视图

VLAN视图

缺省级别

2:配置级

使用指南

本命令生效的前提是VLAN下通过ip source check user-bind enable命令使能IP Source Guard功能。

使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。

如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。

说明:

本命令只对动态绑定表生效,对静态绑定表不生效。

使用实例

# 使能VLAN100的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。

<Quidway> system-view

[Quidway] vlan 100

[Quidway-vlan100] ip source check user-bind enable

[Quidway-vlan100] ip source check user-bind check-item ip-address

Info: Change permit rule for dynamic snooping bind-table, please wait a minute!

6         案例参考

http://support.huawei.com/ecommunity/bbs/10232127.html?p=1#p10439637

http://support.huawei.com/ecommunity/bbs/10174371.html?p=1#p10275725

http://support.huawei.com/ecommunity/bbs/10154485.html

时间: 2024-10-10 05:37:25

华为核心交换机绑定IP+MAC+端口案例的相关文章

华为 s5700三层交换机手动绑定IP mac

一台华为S5700交换机作为核心,绑定用户端IP和MAC sys user-bind static ip-address 192.168.20.101 mac-address 0000-0000-0000-0000  <--手动绑定 display dhcp static user-bind all <--查看绑定信息 quit save

WIN7下如何实现静态IP/MAC绑定,以防ARP攻击

防ARP攻击,从终端抓起.WIN7下如何实现IP/MAC绑定? 在此,以添加IP: 192.168.1.200  MAC:00-aa-00-62-c6-09为例,小编与大家一同来分享. 工具/原料 电脑(WIN7) 方法一:通过"arp -s "命令来实现 1 步骤1:绑定IP/MAC DOS界面下,输入命令[arp -s 192.168.1.200 00-aa-00-62-c6-09] 回车即可. PS:该添加为临时添加,系统重启后,就失效了. 2 步骤2:查看是否绑定成功 DOS界

华为三层交换机绑定IP和MAC地址基础命令

//本文档主要介绍交换机地址绑定基本流程和用到的命令: //不记得命令可以输入?查看,或在一段命令中用'TAB'键进行命令补全:如"user-b s mac-a 'TAB' //此处,将自动补全命令为user-b s mac-address: 终端上 telnet #交换机位置: 输入登录ID和密码: su //进入ROOT权限: 输入二级密码: dis mc-address #mac地址:  //查看目标MAC地址与交换机对应情况 { 如回显GE /0/0/X     说明和交换机的x号端口相

Cisco交换机里IP和MAC地址互查找出对应端口

交换机:Cisco2960.Cisco G3560X 服务器:10.15.44.164 AC-*-2D-*-84-* PC:10.15.44.69 服务器44.164→port 2-Cisco2960-port1→G3560X-port5 通过IP地址查找这个IP在那台交换机的接口下 通过MAC.IP地址查询对应交换机端口 1.开始运行Nbtstat –a ip 查询出mac地址 或者直接到G3560X交换机上通过show arp查找mac地址 没发现对应关系是ARP信息超时了就被删除,ARP和

基于华为交换机的局域网中交换机管理IP配置的两种参考方法

对于规模不大的小型局域网而言,通常没有配备对网络设备进行统一管理的系统.交换机.路由器等网络设备的管理处于离散状态,对这些设备的管理通常也是一对一的管理.在用户对网络要求不高的情况下,如接入计算机设备数少,也不在意广播等对网络性能造成的影响等等,这种情况只要在核心交换机上做简单配置把计算机等接入设备放在一个VLAN中就可以了.但是,随着接入设备的增加,这种情况的网络性能会越来越差,更不用谈网络的管理.网络的安全了.近几年,随着网络安全问题的日益突出,用户网络安全意识的加强,更多的用户开始慢慢地对

关于绑定IP地址与端口号的见解

"端口",通俗地讲就是一个通信通道的"门",各种计算机服务和通信都是通过特定的端口与外部计算机进行通信,像常见的WWW.FTP.Telnet服务一样. 随着计算机网络技术的发展,原来物理上的接口(如键盘.鼠标.网卡.显示卡等输入/输出接口)已不能满足网络通信的要求,TCP/IP协议作为网络通信的标准协议就解决了这个通信难题.TCP/IP协议集成到操作系统的内核中,这就相当于在操作系统中引入了一种新的输入/输出接口技术.因为在TCP/IP协议中引入了一种称之为&quo

CISCO DHCP根据MAC绑定IP

ip dhcp pool  zrq1 host 192.168.18.14  255.255.255.0 client-identifier  01c8.bcc8.d147.36   mac在windows里是没有01的,加上01,然后每4位用一 个点分隔 如果要立即生效,需要清空路由器自动分配ip的缓存. 命令:clear ip dhcp binding * arp 202.196.191.190 0100.1fd0.8575.d2 arpa 是防止指定ip盗用的,不是用来dhcp mac绑定

固定IP和绑定了MAC,可以在设置无线路由器供笔记本电脑和平板上网吗?

这跟我们单位一样.很简单:首先要占一个 IP/MAC ,能上外网的,这首先要有,谁要肯给地址,我们这儿领导才有呢.我是网管,当然有多余的IP:无线路由器WAN口一.设成静态IP,按单位的要求参数设:二.修改WAN口的MAC地址,一般路由器如TPLINK的,都支持WAN口改MAC地址:再设好无线密码,就可以用了.我的无线路由器挂了同事好几台手机! 追问 我之前能上网的那台电脑的MAC要修改吗?设置好路由器后笔记本和电脑是设成自动获取ip地址吗? 回答 如果这点电脑有线方式连入这台路由器,此电脑可以

安全基线规范之Cisco核心交换机

当前已经进入了互联网+的时代,几乎绝大部分商家.企业.甚至国企央企都在拓展互联网业务,经济的飞速发展,人民生活水平提高,人们都忙于工作没有时间和精力去享受经济带来的福利,而网络业务能够给大众提供更加方便快捷的服务,所以引得互联网更加的火热.但是快捷背后时候存在着诸多的安全隐患,在巨大利益的引诱下许多商家大量的投入人力.财力去发展互联网业务,却极少重视它的安全稳定,千里之堤毁于蚁穴,信息安全的建设不是一朝一夕,而是循序渐进,防微杜渐. 那么本篇文章主要介绍的就是从最基本的安全角度出发,来规范和完善