IP Source Guard
IP Source Guard
IP Source Guard 功能H3C交换机用于对端口收到的报文进行过滤控制,以防止非法用户报文通过。配置了 IP Source Guard 功能的端口只转发与绑定表项匹配的报文。 IP Source Guard 绑定表项可以通过手工配置(命令行手工配置产生静态绑定表项)和动态获取(根据 DHCP 的相关表项动态生成绑定表项)两种方式生成。
基于静态绑定的IP Source Guard配置:
第1步:配置静态IP与MAC绑定关系(3种方式如下)
[H3C]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d
#这是在全局模式下配置的,所以该绑定关系在任意端口都可以通行。
H3C-Ethernet1/0/1]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d
#物理接口配置,只有在该端口上绑定数据才能正常通过。
[H3C-Vlan-interface1]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d
#vlan接口配置,只有在该vlan接口中绑定数据才能正常通过。
第2步:配置需要验证的位置(2种方式如下)
[H3C-Ethernet1/0/1]ip verify source ip-address mac-address
#通过该物理端口需要验证绑定关系。(在配置前确保绑定关系正常)
[H3C-Vlan-interface1]ip verify source ip-address mac-address
#该vlan中的数据包需要验证绑定关系。(在配置前确保绑定关系正常)
第3步:验证生效,和检查绑定
[H3C]display ip source binding static
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.1.50 3085-a973-d64d N/A N/A Static
基于动态DHCP绑定的IP Source Guard配置:
主要是结合DHCP Snooping功能自动记录IP与MAC绑定关系。
第1步:配置dhcp snooping
[H3C]dhcp snooping enable
[H3C]interface GigabitEthernet 1/0/8
[H3C-GigabitEthernet1/0/8]dhcp snooping trust #配置与dhcp服务器连接的接口为信任区域
[H3C-Ethernet1/0/2]dhcp snooping binding record #端口上的dhcp snooping表项记录功能
//可以针对vlan在vlan视图配置记录功能
[H3C-Ethernet1/0/2]ip verify source ip-address mac-address #开启ip和mac的绑定关系检查
第2步:终端重新获取ip,并两种查看方法
[H3C]display ip source binding dhcp-snooping #查看绑定关系
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.1.147 3085-a973-d64d Eth1/0/2 1 DHCP snooping
[H3C]display dhcp snooping binding
1 DHCP snooping entries found.
IP address MAC address Lease VLAN SVLAN Interface
=============== ============== ============ ===== ===== =================
192.168.1.147 3085-a973-d64d 7176 1 N/A Eth1/0/2
基于动态DHCP中继绑定的IP Source Guard配置:
第1步:配置中继
[S3100]dhcp enable
[S3100-Vlan-interface10]ip address 192.168.10.252 24
[S3100-Vlan-interface10]dhcp select relay
[S3100-Vlan-interface10]dhcp relay server-address 192.168.10.254
[S3100-Vlan-interface10]quit
第2步:配置记录和开启验证
[S3100]dhcp relay client-information record #记录dhcp中继表项
[S3100]interface Vlan-interface 10
[S3100-Vlan-interface10]ip verify source ip-address mac-address #启动绑定关系
[S3100-Vlan-interface10]quit
第3步:验证配置
[S3100]display ip source binding dhcp-relay
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.10.1 3085-a973-d64d Vlan10 10 DHCP relay
-------------------------------------------------------------------------------------------------------
IP Source Guard相关推荐
- DAI、DHCP SNOOPING、ip source guard、IPSG
switch 3560上做安全: 模型:R1 and R2 (dhcp client )-->SW 3560-->R3(dhcp server)所有设备在同一个VLAN. R1 and ...
- 2022-09-07 网工进阶(三十)以太网交换安全-端口隔离、MAC地址表安全、端口安全、MAC地址漂移防止与检测、链路层安全、流量抑制、风暴控制、IPSG(IP Source Guard)
概述 目前网络中以太网技术的应用非常广泛.然而,各种网络攻击的存在,不仅造成了网络合法用户无法正常访问网络资源,而且对网络信息安全构成严重威胁,因此以太网交换的安全性越来越重要. 端口隔离 大型网络中 ...
- 【锐捷交换】接入交换机配置DHCP Snooping + IP Source guard + ARP-check
功能简介 DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将 ...
- 【以太网交换安全】--- 交换机流量控制/DHCP Snooping/IP Source Guard
文章目录 前言 一.交换机流量背景 二.交换机流量控制两种实现方式 2.1 流量抑制(超出部分丢弃) 2.2 风暴控制(对有超出部分报文进行阻塞) 三.DHCP Snooping概述及实现原理 3.1 ...
- 解决IP地址冲突的方法--DHCP SNOOPING
使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络:也就是使用了DHCP SNOOPING功能. 例子: version 12. ...
- HuaWei ❀ IP源防护概述
IPSG源防护概述概述 IPSG是IP Source Guard的简称,IPSG可以防范针对源IP地址进行欺骗的攻击行为 随着网络规模越来越大,基于源IP的攻击也逐渐增多,一些攻击者利用欺骗的手段获取 ...
- 配置IPSG防止主机私自更改IP地址上网(动态绑定)
一.IPSG 功能简介 IPSG:IP Source Guard,IP源防攻击是一种基于二层接口的源IP地址过滤技术.它能够防止内网用户修改IP地址(防止恶意主机通过伪造合法主机的IP地址来获取合法主 ...
- CISCO DAI 防ARP***
配置局域网的安全特性,防止地址乱配,ARP***等弊病! 1.启用DHCP SNOOPING 全局命令: ip dhcp snooping vlan 10,20,30 no ip dhcp snoop ...
- dos命令行设置网络优先级_海康威视二层接入网络交换机DS-3E2326-H 26口_DS-3E2326-H_DS-3E2326-H...
DS-3E2326-H 海康威视26口二层接入网络交换机 网络交换机代理商 24个10/100Base-TX 以太网端口,2个10/100/1000Base-T以太网端口和2个复用的100/1000B ...
最新文章
- CoordinatorLayout 和 AppBarLayout 实现的局部点击按钮实现滑动某一个固定的距离
- MPB:北大口腔陈峰、陈智滨等-​口腔微生物组研究主要取样部位及方法
- mysql路由器配置文件_如何安装并配置mysql 5.7.13解压缩版?
- Linux (Ubuntu/deepin等)终端命令安装Lamp
- 关于页面的多种自适应布局——两列布局
- PAT (Basic Level) Practice1029 旧键盘
- windows7怎么升级10_最新主板真的无法安装windows7吗?
- 迭代器java.util.Iterator接口
- 第十四届恩智浦智能车竞赛小白四轮硬件总结
- 第一篇:初识信息系统监理工程师
- Cluster-level pseudo-labelling forsource-free cross-domain facial expressionrecognition
- Atitit 艾提拉整理清明节的诗歌集合 清明节的特征 万物复苏 百草发芽 尝试从股市 其他外国诗歌集 得到清明的诗歌 约谈春天 歌颂春天 下雨 不见方三日、 夜来风雨声,花落知多少。(
- hp打印机被识别为了usb大容量存储
- win10企业版无法访问共享文件夹
- 哪位知道基带怎么修复?
- MOSFET管驱动电路的设计
- android硬解码
- 妹子尚且如此! 少年努力吧
- IDEA build时提示错误信息: java: System Java Compiler was not found in classpath
- matlab后退和前进的快捷键,MATLAB 常用操作命令和快捷键
热门文章
- 【Mac上的PotPlayer视频播放器】Movist Pro for Mac 2.1.2
- 9-基于STM32无刷直流电机控制器的设计仿真与实现(原理图+源码+仿真工程+论文+PPT+参考英文文献)
- 中科院陈智能:计算机视觉经典——深度学习与目标检测
- 基于servlet的校园车辆管理系统
- ethtool 开启网卡_ethtool查看/设置以太网网卡
- 【WhatsApp营销】不可错过的品牌WhatsApp创意营销案例分享
- 离散数学自考学习笔记
- 【凸优化学习笔记3】几种重要的凸集
- 100、基于51单片机数码管温控 温度控制风扇系统设计
- 人工智能导论(王万良版)笔记整理