1 案例背景

某网络改造项目,核心交换机为华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24;客户端接入交换机2通过Trunk模式与核心交换机连接,该交换机下有俩个Vlan,Vlan3 192.168.3.0/24 Vlan4 192.168.4.0/24,服务器接入交换机通过Access模式与核心交换机连接,该交换机下只有一个Vlan4 192.168.4.0/24;所有客户端、服务器网关均位于核心交换机上;
2 目前网络存在的缺陷
由于目前网络管理比较松散,IP管理不够完善,客户端可以任意接入,外单位人员将PC设备设为相应网段也即可接入,故对目前网络照成管理困难及安全隐患,客户希望在本次网络改造中将所有客户端IP与MAC绑定,未绑定的客户端不能接入网络,对于服务器网段不进行操作(即未操作网段不受影响);
3 解决方案
按客户所需要求,常用方法可以在客户端接入交换机上进行IP+MAC+端口绑定,其他未使用端口关闭,但该方法需要逐个登陆接入交换机进行操作,由于网络建设初期距离网络改造时间较远,部分接入交换机账号密码已经遗忘,且现在为生产网络,如果逐个交换机破解密码,势必会造成网络中断,现在网络环境中,客户端与服务器均有明确Vlan划分,故选择在华为S5700核心交换机上通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定,具体配置思想为首先在VLAN下配置的静态绑定表,绑定客户端的的IP和MAC,然后在与接入交换机相连的接口上配置IP和ARP报文检查功能。
4 配置步骤 4.1 配置模拟环境基础网络
Step1、 S5700核心交换机配置

Step2、 客户端接入交换机2配置

Step3、 客户端配置

按拓扑标志为客户端分别配置IP地址、网关;

Client1: IP 192.168.2.2/24 GW 192.168.2.1

Client2: IP 192.168.2.3/24 GW 192.168.2.1

Client3: IP 192.168.3.2/24 GW 192.168.3.1

Client4: IP 192.168.4.2/24 GW 192.168.4.1

Client5: IP 192.168.5.2/24 GW 192.168.5.1

配置完毕通过Ping测试确认配置无误
4.2 配置IP+MAC+端口绑定
此处模拟位于Vlan2下的Client2为非法客户端,在信息中心台账中无该客户端也即在核心交换机上未对该客户端进行绑定;

以下配置均在核心交换机华为S5700进行

Step1、 启用DHCP Snooping功能

[Huawei]dhcp enable

[Huawei]dhcp snooping enable

//启用DHCP Snooping功能;

结果如下

Step2、 对目标Vlan启用Vlan检测功能

在模拟环境下vlan2/3/4为客户端Vlan,也即只对客户端Vlan进行操作,不对服务器Vlan5操作;

[Huawei]vlan 2

[Huawei-vlan2] dhcp snooping enable

[Huawei-vlan2]quit

对其他目标Vlan进行相同操作结果如下

(在生产环境下测试,在Vlan下添加ip source check user-bind enable,绑定命令如下后user-bind static ip-address 192.168.3.222 mac-address 3c97-0e60-0fe1 vlan 683,可以不对端口做操作;)

Step3、 对目标端口启用端口检测功能

[Huawei] interface GigabitEthernet0/0/2

[Huawei-GigabitEthernet0/0/2] arp anti-attack check user-bind enable

//启用arp 协议抗攻击检查绑定服务

[Huawei-GigabitEthernet0/0/2] ip source check user-bind enable

//启用端口检测功能

对其他目标端口进行相同操作结果如下
Step4、 绑定客户端IP+MAC+端口

[Huawei]user-bind static ip-address 192.168.2.2 mac-address 5489-9852-137A interface GigabitEthernet 0/0/2

对其他客户端进行相同操作结果如下

Step5、 测试结果

通过PING测试可以得到结果,漏绑的客户端不能访问网络;
5 命令参考
ip source check user-bind check-item(接口视图)

命令功能

ip source check user-bind check-item命令用来配置IP报文的检查选项。

undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。

缺省情况下,IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址、VLAN三项。

命令格式

ip source check user-bind check-item { ip-address | mac-address | vlan }*

undo ip source check user-bind check-item

参数说明

参数

参数说明

取值
ip-address

检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。

mac-address

检查IP报文的MAC地址是否匹配绑定表。

vlan

检查IP报文的VLAN是否匹配绑定表。

视图

GE接口视图、XGE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

本命令生效的前提是接口下通过ip source check user-bind enable命令使能IP Source Guard功能。

使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。

如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。

说明:

本命令只对动态绑定表生效,对静态绑定表不生效。

使用实例

使能GE0/0/1接口的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。

system-view

[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] ip source check user-bind enable
[Quidway-GigabitEthernet0/0/1] ip source check user-bind check-item ip-address
[Quidway-GigabitEthernet0/0/1] arp anti-attack check user-bind enable
[Quidway-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm enable

Info: Change permit rule for dynamic snooping bind-table, please wait a minute!

ip source check user-bind check-item(VLAN视图)

命令功能

ip source check user-bind check-item命令用来配置VLAN下IP报文的检查选项。

undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。

缺省情况下,VLAN下IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址和接口。

命令格式

ip source check user-bind check-item { ip-address | mac-address | interface }*

undo ip source check user-bind check-item

参数说明

参数

参数说明

取值
ip-address

检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。

mac-address

检查IP报文的MAC地址是否匹配绑定表。

interface

检查IP报文的接口是否匹配绑定表。

视图

VLAN视图

缺省级别

2:配置级

使用指南

本命令生效的前提是VLAN下通过ip source check user-bind enable命令使能IP Source Guard功能。

使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。

如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。

说明:

本命令只对动态绑定表生效,对静态绑定表不生效。

使用实例

使能VLAN100的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。

system-view

[Quidway] vlan 100

[Quidway-vlan100] ip source check user-bind enable

[Quidway-vlan100] ip source check user-bind check-item ip-address

Info: Change permit rule for dynamic snooping bind-table, please wait a minute!

6 案例参考
http://support.huawei.com/ecommunity/bbs/10232127.html?p=1#p10439637

http://support.huawei.com/ecommunity/bbs/10174371.html?p=1#p10275725

http://support.huawei.com/ecommunity/bbs/10154485.html
7.验证配置结果

执行命令display arp anti-attack configuration check user-bind interface,查看各接口下动态ARP检测的配置信息,以GE1/0/1为例。

[SwitchA] display arp anti-attack configuration check user-bind interface gigabitethernet 1/0/1 arp anti-attack check user-bind enable
arp anti-attack check user-bind alarm enable

执行命令display arp anti-attack statistics check user-bind interface,查看各接口下动态ARP检测的ARP报文丢弃计数,以GE1/0/1为例。

[SwitchA] display arp anti-attack statistics check user-bind interface gigabitethernet 1/0/1 Dropped ARP packet number is 966
Dropped ARP packet number since the latest warning is 605

由显示信息可知,接口GE1/0/1下产生了ARP报文丢弃计数,表明防ARP中间人攻击功能已经生效。

当在各接口下多次执行命令display arp anti-attack statistics check user-bind interface时,管理员可根据显示信息中“Dropped ARP packet number is”字段值的变化来了解ARP中间人攻击频率和范围

华为核心交换机绑定IP+MAC+端口案例相关推荐

  1. h3c交换机绑定ip+mac+端口以及取消绑定

    1.绑定时: sys int gi 1/0/10 进入借口 arp fil bind 192.168.1.101 xxxx-xxxx-xxx ip地址后边跟的是mac地址 qu qu save 记得保 ...

  2. 华为注册域名绑定ip后ping不通问题

    华为注册域名绑定ip后ping不通问题 在华为官网上注册了一个域名,绑定esc服务器ip地址后ping不通,但通过nslookup 域名 命令能查看到域名已经绑定成功,但ping不通,那么问题出现在哪 ...

  3. 【华为S5735交换机telnet配置不成解决案例】

    笔者近期刚拿到一台华为S5735S-24T4X交换机,想配置telnet登录来管理设备,之前配置过华为交换机路由器的telnet和ssh,尤其是在模拟器是配置过多次,认为这是一个简单的事情.按说不在话 ...

  4. 华为核心交换机配置子网互联地址

    应用场景:校园内网使用的地址为172.16.0.0与监控子网内网地址(也是172.16.0.0)冲突,现需要将监控子网IP地址重做为192.168.0.0.校园核心交换机为华为S12708,网关均在核 ...

  5. 配置h3c s5130-28s-si,绑定ip+mac

    1.配置h3c s5130-28s-si管理界面 1.1.配置vlan1接口的ip地址为172.16.2.178,掩码255.255.255.0 system-view interface vlan- ...

  6. 计算机 交换机和IP/Mac地址

    目录 一.计算机 1.计算机的数制 2.计算机中的进制 3.内存转换单位 二.IP地址/Mac地址 1.IP地址 2.IP地址网络位与主机位 三.交换机 1.交换机的工作原理 2.交换机的转发原理 3 ...

  7. linux绑定ip mac地址,人文网-Linux系统绑定IP和MAC地址

    一.ARP欺骗病毒,主要表现为: 中病毒的机器不仅影响自身,同时也会影响同网段的其它机器,将其它机器的HTTP数据包里加入病毒代码. 代码例子如: 这种病毒危害非常大!即使你机器的安全性做得很好,可是 ...

  8. 思科双核心交换机双出口防火墙配置案例

    拓扑图如下: 一.组网设计: 该网络采用典型的三层结构:接入层,汇聚层,核心层.为了实现企业高速互联,核心由两个核心节点组成,核心之间采用链路聚合的方式以获得更高的传输效率跟冗余性.核心与防火墙之间采 ...

  9. linux绑定ip mac地址,dhcpd mac地址绑定ip地址

    今天突然想起,之前的cobbler装系统还是有些不足之处: 用koan装完系统之后还是需要再次手动配置一遍ip地址,感觉还是不太方便,所以研究了下dhcp的另一个功能,就是根据mac地址自动分配固定的 ...

  10. 华为核心交换机HW_S7706添加静态路由

    dis cursysip route-static 121.8.125.86 255.255.255.255 192.168.15.205savequitdis cur

最新文章

  1. plsql创建中文表头_如何使用快捷键来提升Excel斜线表头绘制速度,照着学就行了...
  2. mysql设置text字段为not null,并且没有默认值,插入报错:doesn't have a default value
  3. 如何利用远程桌面连接CentOS的Desktop版本
  4. 【错误记录】Invalid character found in method name. HTTP method names must be tokens
  5. 数据库设计中的14个关键技巧
  6. Android笔记:多开/分身检测
  7. onlyoffice文档服务器加载慢,【onlyoffice中文指南】12-问题及排除
  8. MacBook Pro 设置Finder显示隐藏文件
  9. 【IDEA】idea取消英语拼音提示绿色波浪线
  10. 微信公众号成本分析服务器,分析:为什么微信公众号用户获取成本比App还高?...
  11. Ubuntu 18.04 登录界面鼠标键盘鼠标失灵解决方法
  12. 钟祥义工与残疾人互动频繁
  13. 湖南对口升学计算机专科学院,湖南省计算机对口升学的大学有哪些
  14. sql注入中的--+注释问题探索
  15. vivado 2021.2下载安装兼容的matlab
  16. arcgis栅格缺值填补
  17. Intel公布Penryn四核CPU价格 最低209美元
  18. Datastage性能优化
  19. 支付宝钱包系统架构图解,真的太优秀了!
  20. yy神曲url解析php_歪歪神曲解析源码(参考)

热门文章

  1. Linux下为空白SD卡建立BOOT,rootfs分区
  2. 简单制作 macOS Sierra 正式版U盘USB启动安装盘方法教程 (全新安装 Mac 系统)
  3. c 语言 农历,农历转阴历 c语言
  4. 服务器系统怎么安装网卡驱动,网卡驱动怎么安装,教您网卡驱动的安装操作
  5. 微信注册验证成功之后不跳转_微信公众号申请教程,怎么创建公众号?
  6. Spring Boot入门教程(三十八):支付宝集成-电脑网站支付和查询对账单下载地址
  7. 【iOS】—— 多线程编程八重曲之(二)- Pthread
  8. uwp浏览器java源码_uwp开发:webview模拟安卓浏览器
  9. 使用C语言绘制变换前与变换后的三角形图形——变换矩阵
  10. sqli-labs靶场Less-20~22 Cookie注入