IP Source Guard

IP Source Guard 功能H3C交换机用于对端口收到的报文进行过滤控制,以防止非法用户报文通过。配置了 IP Source Guard 功能的端口只转发与绑定表项匹配的报文。 IP Source Guard 绑定表项可以通过手工配置(命令行手工配置产生静态绑定表项)和动态获取(根据 DHCP 的相关表项动态生成绑定表项)两种方式生成。

基于静态绑定的IP Source Guard配置:

第1步:配置静态IP与MAC绑定关系(3种方式如下)
[H3C]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d
#这是在全局模式下配置的,所以该绑定关系在任意端口都可以通行。

H3C-Ethernet1/0/1]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d
#物理接口配置,只有在该端口上绑定数据才能正常通过。

[H3C-Vlan-interface1]ip source binding ip-address 192.168.1.50 mac-address 3085-a973-d64d
#vlan接口配置,只有在该vlan接口中绑定数据才能正常通过。

第2步:配置需要验证的位置(2种方式如下)
[H3C-Ethernet1/0/1]ip verify source ip-address mac-address
#通过该物理端口需要验证绑定关系。(在配置前确保绑定关系正常)

[H3C-Vlan-interface1]ip verify source ip-address mac-address
#该vlan中的数据包需要验证绑定关系。(在配置前确保绑定关系正常)

第3步:验证生效,和检查绑定
[H3C]display ip source binding static
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.1.50 3085-a973-d64d N/A N/A Static

基于动态DHCP绑定的IP Source Guard配置:

主要是结合DHCP Snooping功能自动记录IP与MAC绑定关系。
第1步:配置dhcp snooping
[H3C]dhcp snooping enable
[H3C]interface GigabitEthernet 1/0/8
[H3C-GigabitEthernet1/0/8]dhcp snooping trust           #配置与dhcp服务器连接的接口为信任区域
[H3C-Ethernet1/0/2]dhcp snooping binding record        #端口上的dhcp snooping表项记录功能
//可以针对vlan在vlan视图配置记录功能
[H3C-Ethernet1/0/2]ip verify source ip-address mac-address          #开启ip和mac的绑定关系检查

第2步:终端重新获取ip,并两种查看方法
[H3C]display ip source binding dhcp-snooping         #查看绑定关系
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.1.147 3085-a973-d64d Eth1/0/2 1 DHCP snooping

[H3C]display dhcp snooping binding
1 DHCP snooping entries found.
IP address MAC address Lease VLAN SVLAN Interface
=============== ============== ============ ===== ===== =================
192.168.1.147 3085-a973-d64d 7176 1 N/A Eth1/0/2

基于动态DHCP中继绑定的IP Source Guard配置:

第1步:配置中继
[S3100]dhcp enable
[S3100-Vlan-interface10]ip address 192.168.10.252 24
[S3100-Vlan-interface10]dhcp select relay
[S3100-Vlan-interface10]dhcp relay server-address 192.168.10.254
[S3100-Vlan-interface10]quit

第2步:配置记录和开启验证
[S3100]dhcp relay client-information record           #记录dhcp中继表项
[S3100]interface Vlan-interface 10
[S3100-Vlan-interface10]ip verify source ip-address mac-address             #启动绑定关系
[S3100-Vlan-interface10]quit

第3步:验证配置
[S3100]display ip source binding dhcp-relay
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.10.1 3085-a973-d64d Vlan10 10 DHCP relay
-------------------------------------------------------------------------------------------------------

IP Source Guard相关推荐

  1. DAI、DHCP SNOOPING、ip source guard、IPSG

    switch  3560上做安全: 模型:R1 and R2 (dhcp client )-->SW 3560-->R3(dhcp server)所有设备在同一个VLAN. R1 and ...

  2. 2022-09-07 网工进阶(三十)以太网交换安全-端口隔离、MAC地址表安全、端口安全、MAC地址漂移防止与检测、链路层安全、流量抑制、风暴控制、IPSG(IP Source Guard)

    概述 目前网络中以太网技术的应用非常广泛.然而,各种网络攻击的存在,不仅造成了网络合法用户无法正常访问网络资源,而且对网络信息安全构成严重威胁,因此以太网交换的安全性越来越重要. 端口隔离 大型网络中 ...

  3. 【锐捷交换】接入交换机配置DHCP Snooping + IP Source guard + ARP-check

    功能简介 DHCP Snooping + IP Source guard + ARP-check防ARP欺骗方案:在用户PC动态获取IP地址的过程中,通过接入层交换机的DHCP Snooping功能将 ...

  4. 【以太网交换安全】--- 交换机流量控制/DHCP Snooping/IP Source Guard

    文章目录 前言 一.交换机流量背景 二.交换机流量控制两种实现方式 2.1 流量抑制(超出部分丢弃) 2.2 风暴控制(对有超出部分报文进行阻塞) 三.DHCP Snooping概述及实现原理 3.1 ...

  5. 解决IP地址冲突的方法--DHCP SNOOPING

    使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络:也就是使用了DHCP SNOOPING功能. 例子: version 12. ...

  6. HuaWei ❀ IP源防护概述

    IPSG源防护概述概述 IPSG是IP Source Guard的简称,IPSG可以防范针对源IP地址进行欺骗的攻击行为 随着网络规模越来越大,基于源IP的攻击也逐渐增多,一些攻击者利用欺骗的手段获取 ...

  7. 配置IPSG防止主机私自更改IP地址上网(动态绑定)

    一.IPSG 功能简介 IPSG:IP Source Guard,IP源防攻击是一种基于二层接口的源IP地址过滤技术.它能够防止内网用户修改IP地址(防止恶意主机通过伪造合法主机的IP地址来获取合法主 ...

  8. CISCO DAI 防ARP***

    配置局域网的安全特性,防止地址乱配,ARP***等弊病! 1.启用DHCP SNOOPING 全局命令: ip dhcp snooping vlan 10,20,30 no ip dhcp snoop ...

  9. dos命令行设置网络优先级_海康威视二层接入网络交换机DS-3E2326-H 26口_DS-3E2326-H_DS-3E2326-H...

    DS-3E2326-H 海康威视26口二层接入网络交换机 网络交换机代理商 24个10/100Base-TX 以太网端口,2个10/100/1000Base-T以太网端口和2个复用的100/1000B ...

最新文章

  1. CoordinatorLayout 和 AppBarLayout 实现的局部点击按钮实现滑动某一个固定的距离
  2. MPB:北大口腔陈峰、陈智滨等-​口腔微生物组研究主要取样部位及方法
  3. mysql路由器配置文件_如何安装并配置mysql 5.7.13解压缩版?
  4. Linux (Ubuntu/deepin等)终端命令安装Lamp
  5. 关于页面的多种自适应布局——两列布局
  6. PAT (Basic Level) Practice1029 旧键盘
  7. windows7怎么升级10_最新主板真的无法安装windows7吗?
  8. 迭代器java.util.Iterator接口
  9. 第十四届恩智浦智能车竞赛小白四轮硬件总结
  10. 第一篇:初识信息系统监理工程师
  11. Cluster-level pseudo-labelling forsource-free cross-domain facial expressionrecognition
  12. Atitit 艾提拉整理清明节的诗歌集合 清明节的特征 万物复苏 百草发芽 尝试从股市 其他外国诗歌集 得到清明的诗歌 约谈春天 歌颂春天 下雨 不见方三日、 夜来风雨声,花落知多少。(
  13. hp打印机被识别为了usb大容量存储
  14. win10企业版无法访问共享文件夹
  15. 哪位知道基带怎么修复?
  16. MOSFET管驱动电路的设计
  17. android硬解码
  18. 妹子尚且如此! 少年努力吧
  19. IDEA build时提示错误信息: java: System Java Compiler was not found in classpath
  20. matlab后退和前进的快捷键,MATLAB 常用操作命令和快捷键

热门文章

  1. 【Mac上的PotPlayer视频播放器】Movist Pro for Mac 2.1.2
  2. 9-基于STM32无刷直流电机控制器的设计仿真与实现(原理图+源码+仿真工程+论文+PPT+参考英文文献)
  3. 中科院陈智能:计算机视觉经典——深度学习与目标检测
  4. 基于servlet的校园车辆管理系统
  5. ethtool 开启网卡_ethtool查看/设置以太网网卡
  6. 【WhatsApp营销】不可错过的品牌WhatsApp创意营销案例分享
  7. 离散数学自考学习笔记
  8. 【凸优化学习笔记3】几种重要的凸集
  9. 100、基于51单片机数码管温控 温度控制风扇系统设计
  10. 人工智能导论(王万良版)笔记整理