IP Source Guard典型配置指导【DOC精选】.doc

目 录 第1章 IP Source Guard典型配置指导... 1-1 1.1 IP Source Guard概述.. 1-1 1.2 静态绑定表项配置指导.. 1-1 1.2.1 组网图.. 1-1 1.2.2 应用要求.. 1-2 1.2.3 适用产品、版本.. 1-2 1.2.4 配置过程和解释.. 1-2 1.2.5 完整配置.. 1-3 1.2.6 配置注意事项.. 1-3 1.3 动态绑定表项配置指导.. 1-4 1.3.1 组网图.. 1-4 1.3.2 应用要求.. 1-4 1.3.3 适用产品、版本.. 1-4 1.3.4 配置过程和解释.. 1-4 1.3.5 完整配置.. 1-5 1.3.6 配置注意事项.. 1-5  第1章 IP Source Guard典型配置指导 1.1 IP Source Guard概述 通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法IP地址和MAC地址的报文通过端口，提高了端口的安全性。端口接收到报文后查找IP Source Guard绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。 IP Source Guard支持的报文特征项包括：源IP地址、源MAC地址，可支持端口与如下特征项的组合（下文简称绑定表项）： l 源IP l 源MAC l 源IP＋源MAC 该特性提供两种绑定机制：一种是通过手工配置方式提供绑定表项，称为静态绑定；另外一种由DHCP Snooping或者DHCP Relay提供绑定表项，称为动态绑定。而且，绑定是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。 1.2 静态绑定表项配置指导 1.2.1 组网图 图1-1 静态绑定表项典型配置组网图 1.2.2 应用要求 2台交换机（Switch A、Switch B）、3台数据终端（Host A、Host B、Host C）接入到以太网中互相通信。Host A与Host B分别接到Switch B的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2上；Host C接到Switch A的端口GigabitEthernet1/0/2上。Switch B接到Switch A的端口GigabitEthernet1/0/1上。 具体应用需求如下： l 在Switch A的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。 l Switch A的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。 l 在Switch B的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。 l 在Switch B的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。 1.2.3 适用产品、版本 表1-1 配置适用的产品与软硬件版本关系 产品 软件版本 硬件版本 S3610系列以太网交换机 Release 5301软件版本 全系列硬件版本 S5510系列以太网交换机 Release 5301软件版本 全系列硬件版本 S5500-EI系列以太网交换机 Release 2102软件版本 全系列硬件版本 S7500E系列以太网交换机 Release 6100软件版本 全系列硬件版本 1.2.4 配置过程和解释 (1) 配置Switch A # 配置各接口的IP地址（略）。 # 配置在Switch A的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。 SwitchA system-view [SwitchA] interface gigabitethernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] user-bind ip-address 192.168