锐捷交换机——MAC地址绑定、IP source guard

这篇具有很好参考价值的文章主要介绍了锐捷交换机——MAC地址绑定、IP source guard。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

Ⅰ  MAC地址绑定

一、功能简介

二、配置命令

Ⅱ  IP source guard

应用场景

功能简介

一、组网需求

二、组网拓扑

三、配置要点

四、配置步骤  

1、开启核心设备的DHCP服务功能

2、创建核心设备的IP地址,即用户的网关地址

3、创建核心设备的DHCP地址池

五、功能验证


 

Ⅰ  MAC地址绑定

一、功能简介

每一台电脑都有一个全球唯一的标识:mac地址。交换机是根据学习到的mac地址和交换机端口的关系表转发数据。

MAC地址静态绑定可以减少交换机MAC地址的学习,因为配置了MAC静态绑定后,交换机就不再学习该MAC地址的信息了。

通过MAC地址的静态绑定,可以让某个终端(电脑、PDA或其他网络设备)只能接在交换机的固定接口下,如果接到这台交换机的其他接口将不能与洽谈设备通信。

二、配置命令

注意:配置之前建议使用 Ruijie#show interface status查看接口名称,常用接口名称有FastEthernet(百兆)、GigabitEthernet(千兆)和TenGigabitEthernet(万兆),以下配置以百兆接口为例。

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#mac-address-table static 0001.1111.1111 vlan 1 int fastEthernet 0/1   ------->把vlan1的0001.1111.1111绑定在交换机的f0/1接口,如果这个mac地址接到交换机的其他接口(如 fastEthernet 0/2)就不能和其他设备通信

Ruijie(config)#end

Ruijie#write  ------>确认配置正确,保存配置


Ⅱ  IP source guard

应用场景

IP Source Guard可以实现防止用户私设IP地址及防止用户变化源IP的扫描行为,要求用户必须动态DHCP方式获取IP,否则将无法使用网络;

功能简介

IP Source Guard:IP Source Guard(IP源防护)维护一个IP 源地址绑定数据库, IP Source Guard可以在对应的接口上主机报文进行基于源IP、源IP和源MAC的报文过滤,从而保证只有IP源地址绑定数据库中的主机才能正常使用网络。

IP Source Guard会自动将DHCP Snooping绑定数据库中的合法用户绑定同步到IP Source Guard的IP源地址绑定数据库(硬件安全表项中),这样IP Source Guard就可以在打开DHCP Snooping设备上对客户端的进行严格过滤;默认情况下,打开IP Source Guard的功能的端口会过滤所有非DHCP的IP报文;只有当客户端通过DHCP从服务器获取到合法的IP或者管理员为客户端配置了静态的IP源地址绑定,端口将允许和这个客户端匹配的IP报文通过。

IP Source Guard支持基于IP+MAC或者基于IP的过滤,如果打开基于IP+MAC的过滤,IP Source Guard会对所有报文的MAC+IP进行检测,仅仅允许IP源地址绑定表格中存在的用户报文通过;而基于IP的过滤,仅仅会对报文的源IP地址进行检测。

一、组网需求

用户网关在核心交换机上,核心交换机创建DHCP Server,接入交换机下联PC使用动态DHCP获取IP地址,为了防止内网用户私设IP,需要实施IP Source Guard功能,对于私设IP地址的用户不让访问外网。

二、组网拓扑

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

三、配置要点

1、在核心交换机上开启DHCP Server功能(部分场景中,客户可能采用专用DHCP服务器,则核心交换机只需要启用DHCP Relay功能即可)

2、在接入交换机上全局开启dhcp snooping功能,并且在上联核心的端口开启DHCP Snooping信任口

3、在接入交换机连接用户的端口开启IP Source Guard功能

4、网络中存在个别用户使用静态IP,配置IP Source Guard功能后也能实现安全控制。

四、配置步骤  

核心交换机配置:

1、开启核心设备的DHCP服务功能

Ruijie(config)#service dhcp

2、创建核心设备的IP地址,即用户的网关地址

Ruijie(config)#interface vlan 1

Ruijie(config-if-VLAN 1)#ip address 192.168.1.254 255.255.255.0

Ruijie(config-if-VLAN 1)#exit

3、创建核心设备的DHCP地址池

Ruijie(config)#ip dhcp pool vlan1

Ruijie(dhcp-config)#network 192.168.1.0 255.255.255.0      ------>子网掩码要和所设置IP地址的子网掩码一致,这里都是/24位掩码

Ruijie(dhcp-config)#dns-server 218.85.157.99                     ------>设置分配给客户端的DNS地址

Ruijie(dhcp-config)#default-router 192.168.1.254                ------>设置分配给用户的网关地址,这个要和核心设备上所设置的IP地址一致,为192.168.1.254

Ruijie(dhcp-config)#end

Ruijie#wr

接入交换机配置:

1、在接入交换机上开启dhcp snooping功能

Ruijie>enable 

Ruijie#configure terminal

Ruijie(config)#ip dhcp snooping     ------>开启DHCP snooping功能

2、连接DHCP服务器的接口配置为可信任口

Ruijie(config)#interface gigabitEthernet 0/49

Ruijie(config-GigabitEthernet 0/49)#ip dhcp snooping trust    ------>开启DHCP snooping的交换机所有接口缺省为untrust口,交换机只转发从trust口收到的DHCP响应报文(offer、ACK)

3、连接用户的接口开启IP Source Guard功能

Ruijie(config)#interface range fastEthernet 0/1-2                      ------>同时进入1口和2口接口配置模式

Ruijie(config-if-range)#ip verify source port-security                 ------>开启源IP+MAC的报文检测,将DHCP Snooping形成的snooping表写入地址绑定数据库中,请正确配置ip verfiy soure port-security, 不要使用ip verify source(仅绑定IP),部分产品存在限制,只绑定IP的情况下可能出现异常。

注意:如果交换机下还有级联交换机,则不要在级联交换机端口配置IP Source guard,而应该在接入交换机上部署IP Source Guard方案。避免二个设备都进行硬件绑定用户的IP+MAC,导致消耗设备硬件资源表项。

4、配置静态绑定用户,这些用户希望采用静态IP地址,也能实现安全检查,避免端口下其他用户私用IP地址。

Ruijie(config)#ip source binding 001a.a2bc.3a4d vlan 10 192.168.10.5 interface fa0/15

Ruijie(config)#interface fastEthernet 0/15

Ruijie(config-fastethernet 0/15)#ip verify source port-security                  ------>开启源IP+MAC的报文检测

5 、保存配置

Ruijie(config-if-range)#end

Ruijie#write   ------> 确认配置正确,保存配置

五、功能验证

1、相关功能信息查看

1)查看核心交换机DHCP服务器地址池分配情况

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

2)查看PC获取IP地址情况,在电脑上点击开始----->运行-------->输入cmd进入命令行界面-------->输入ipconfigl可以查看如下信息:

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

3)查看DHCP Snooping表

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

4)查看IP Source Guard相关信息

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

2、效果验证

1)自动获取IP地址,获取的IP地址是192.168.1.1,此时电脑能ping通网关

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

查看网关的MAC地址

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

2)对电脑IP地址进行手动释放(在电脑cmd命令行界面敲ipconfig/release),然后手动设置一个IP地址

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

在电脑上手动设置IP地址,点击确定

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

在cmd命令行输入ipconfig/all,确认是手动设置的IP地址

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

在接入交换机上查看地址绑定数据库,没有用户的绑定信息

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

3)验证此时电脑是否能ping通网关

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

由于IP Source Guard功能只是对IP报文进行检查,不对ARP报文进行检查,故此时电脑arp -a依然可以看到网关的arp信息

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

4)如果要让手动设置的IP地址上网,可以在交换机上手动添加一条地址绑定信息,命令如下:

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

此时地址绑定数据库中有该电脑绑定的相关信息

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全

此时私设的IP地址也能够正常上网

核心交换机允许mac与ip绑定上网,锐捷网络,macos,网络协议,tcp/ip,服务器,安全文章来源地址https://www.toymoban.com/news/detail-767528.html

到了这里,关于锐捷交换机——MAC地址绑定、IP source guard的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • H3C交换机配置IP与MAC绑定

    IP+MAC方法一: 在全局模式使用arp static方式进行绑定,命令如下: arp static 172.16.10.1 C400-AD7B-C220 IP+MAC方法二: 进入接口使用arp filter方式进行绑定,命令如下: int GigabitEthernet1/0/1 arp filter binding 172.16.10.1 C400-AD7B-C220 IP+MAC方法三: 进入接口使用动态绑定表项的方式进行绑定,命

    2024年04月09日
    浏览(48)
  • 锐捷防火墙(WEB)—— 接口—端口聚合配置、IP-MAC地址绑定、软交换配置

    目录 Ⅰ  端口聚合配置 Ⅱ  IP-MAC地址绑定 Ⅲ  软交换配置   一、端口聚合(LACP)应用场景 该功能高端设备上支持,S3100,S3600型号不支持。 1、在带宽比较紧张的情况下,可以通过逻辑聚合可以扩展带宽到原链路的n倍 2、在需要对链路进行动态备份的情况下,可以通过配置

    2024年02月04日
    浏览(64)
  • IP、MAC地址,交换机路由器,ARP、NAT协议串讲

    MAC 地址在数据链路层工作,是绑定物理网卡,出厂时决定,是独一无二的。 IP 地址在互联网的逻辑上代表一个设备,在ip地址使用到期后,ip地址会被重新分配,然后再次绑定到其他设备上。 交换机和路由器 交换机与路由器的区别: 电子设备是通过内部的网卡进行通

    2024年02月10日
    浏览(45)
  • 交换机端口灯常亮 端口up状态 服务器设置ip交换机获取不到服务器网卡mac地址 不能通信

    深信服防火墙 8.0.75 AF-2000-FH2130B-SC S6520X-24ST-SI交换机 version 7.1.070, Release 6530P02 交换机一个vlan下有3台服务器,连接端口2、3、4,2和3连接的服务器正常,交换机3端口灯常亮 端口up状态 服务器自动获取不了地址,改为手动设置ip后,交换机查看arp表,获取不到服务器网卡mac地址

    2024年02月02日
    浏览(53)
  • 华为交换机查看MAC地址和配置交换机端口的安全

    交换机是基于mac地址表转发数据,并且也可以学到mac地址表,只要PC机在通信的情况下,交换机就可以学到PC机的mac地址,下面测试: 打开ensp拉入两个PC机和一个交换机,用线连接完成后,并且给PC配置IP地址 我们可以先查看一下交换机里面有没有PC机的mac地址 在系统视图下执

    2024年02月04日
    浏览(73)
  • 交换机入门小知识2(MAC地址、交换机如何处理数据帧)

          我们知道交换机可以基于源MAC地址学习,基于目的MAC地址转发,今天我们就来聊一聊什么是MAC地址。 MAC (Media Access Control)地址在网络中唯一标识一个网卡,每个网卡都需要并拥有唯一的一个MAC地址。一块网卡的MAC地址是具有全球唯一性的。        MAC地址是在IEEE

    2024年02月15日
    浏览(35)
  • 华为交换机配置mac地址白名单接入

    华为核心交换机配置mac地址白名单接入 华为核心交换机配置mac地址白名单,仅允许白名单内的终端接入指定的vlan。 例如: 仅允许mac地址为: 4557-ca30-75a1 的电脑接入 vlan 101. 登录核心交换机,找到该电脑对应的mac地址:  或者在电脑的cmd输入 ipconfig /all 检查mac地址: 配置白

    2024年02月04日
    浏览(49)
  • 华为交换机根据MAC地址禁止设备上网

    此命令使用了黑洞表项,即将MAC地址加入到黑洞表项中,这样当交换机接收到目的或源为此MAC地址的帧时会将自动丢弃掉。借此实现禁止该MAC地址设备上网的功能。 命令如下: [Huawei] mac-address blackhole MAC地址 也可以通过加入VLAN限制来设备在某些区域不能上网,如: [Huawei]

    2024年02月11日
    浏览(99)
  • 思科交换机配置DHCP固定IP地址

    1)排除IP,不进行DHCP ip dhcp excluded-address 10.0.0.1 2)先清除原有绑定,否则报错% A binding for this client already exists. clear ip dhcp binding 10.0.0.1 3)重新绑定(缺省租期为1天) ip dhcp pool test host 10.0.0.1 255.255.255.0  (可填写可不填写掩码) client-identifier 0000.0000.0000 hardware-address 0000.0000.0000

    2024年02月03日
    浏览(64)
  • 锐捷端口安全与全局IP+MAC地址绑定实验配置

    端口安全分为IP+MAC绑定、仅IP绑定、仅MAC绑定 配置端口安全是注意事项 如果设置了IP+MAC绑定或者仅IP绑定,该交换机还会动态学习下联用户的MAC地址 如果要让IP+MAC绑定或者仅IP绑定的用户生效,需要先让端口安全学习到用户的MAC地址,负责绑定不生效 交换机如果某些端口设置

    2024年02月10日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包