IP Source Guard简介.docx
《IP Source Guard简介.docx》由会员分享,可在线阅读,更多相关《IP Source Guard简介.docx(20页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、IPSourceGuard简介您好:感谢您使用H3C的系列产品和长期以来对我们工作的支持!推荐您使用ip源防护来防止ARP攻击比拟好:假如您网络内使用DHCP分配,则使用动态ip源防护;假如您网络内的PC都是使用手工分配IP地址,这推荐您使用静态源防护,详细操作请参考下面内容:1.1IPSourceGuard简介通过IPSourceGuard绑定功能,能够对端口转发的报文进行过滤控制,防止非法IP地址和MAC地址的报文通过端口,提高了端口的安全性。端口接收到报文后查找IPSourceGuard绑定表项,假如报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。IPSou
2、rceGuard支持的报文特征项包括:源IP地址、源MAC地址,可支持端口与如下特征项的组合下文简称绑定表项:源IP源MAC源IP源MAC该特性提供两种绑定机制:一种是通过手工配置方式提供绑定表项,称为静态绑定;另外一种由DHCPSnooping提供绑定表项,称为动态绑定。而且,绑定是针对端口的,一个端口被绑定后,仅该端口被限制,其他端口不受该绑定影响。注意:IPSourceGuard功能与端口参加聚合组互斥。1.2配置静态绑定表项表1-1配置静态绑定表项讲明:绑定策略:不支持一个端口上一样表项的重复绑定;一样的表项能够在多个端口上绑定。合法绑定表项的MAC地址不能为全0、全F广播MAC和组播
3、MAC,IP地址必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。1.3配置动态绑定功能端口上使能动态绑定功能后,根据设备对各动态绑定类型的支持情况,IPSourceGuard会选择接收并处理相应的DHCPSnooping表项。表项内容包括MAC地址、IP地址、VLAN信息、端口信息及表项类型。IPSourceGuard把这些动态获取的表项添加到动态绑定表项中,实现过滤端口转发报文的功能。表1-2配置动态绑定功能1.4IPSourceGuard显示在完成上述配置后,在任意视图下执行display命令能够显示配置后IPSourceGuard的运行情况,通过查看显示信息验证配
4、置的效果。表1-3IPSourceGuard显示1.5IPSourceGuard典型配置举例1.5.1静态绑定表项配置举例1.组网需求2台交换机SwitchA、SwitchB、3台数据终端HostA、HostB、HostC接入到以太网中相互通信。HostA与HostB分别接到SwitchB的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2上;HostC接到SwitchA的端口GigabitEthernet1/0/2上。SwitchB接到SwitchA的端口GigabitEthernet1/0/1上。详细应用需求如下:在SwitchA的GigabitEthe
5、rnet1/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端HostC发送的IP报文通过。SwitchA的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端HostA发送的IP报文通过。在SwitchB的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端HostA发送的IP报文通过。在SwitchB的GigabitEthernet1/0/2上只允许MAC地址为00-
6、01-02-03-04-07与IP地址为192.168.0.2的数据终端HostB发送的IP报文通过。2.组网图图1-1配置静态绑定表项组网图3.配置步骤(1)配置SwitchA#配置各接口的IP地址略。#配置在SwitchA的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端HostC发送的IP报文通过。system-viewSwitchAinterfacegigabitethernet1/0/2SwitchA-GigabitEthernet1/0/2user-bindip-address192.168.
7、0.3mac-address0001-0203-0405SwitchA-GigabitEthernet1/0/2quit#配置在SwitchA的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端HostA发送的IP报文通过。SwitchAinterfacegigabitethernet1/0/1SwitchA-GigabitEthernet1/0/1user-bindip-address192.168.0.1mac-address0001-0203-0406(2)配置SwitchB#配置各接口的IP地址略。
8、#配置在SwitchB的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端HostA发送的IP报文通过。system-viewSwitchBinterfacegigabitethernet1/0/1SwitchB-GigabitEthernet1/0/1user-bindip-address192.168.0.1mac-address0001-0203-0406SwitchB-GigabitEthernet1/0/1quit#配置在SwitchB的GigabitEthernet1/0/2上只允许MAC地址为
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IP Source Guard简介 Guard 简介
限制150内