- 1、本文档共7页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
目 录
第1章 IP Source Guard典型配置指导... 1-1
1.1 IP Source Guard概述.. 1-1
1.2 静态绑定表项配置指导.. 1-1
1.2.1 组网图.. 1-1
1.2.2 应用要求.. 1-2
1.2.3 适用产品、版本.. 1-2
1.2.4 配置过程和解释.. 1-2
1.2.5 完整配置.. 1-3
1.2.6 配置注意事项.. 1-3
1.3 动态绑定表项配置指导.. 1-4
1.3.1 组网图.. 1-4
1.3.2 应用要求.. 1-4
1.3.3 适用产品、版本.. 1-4
1.3.4 配置过程和解释.. 1-4
1.3.5 完整配置.. 1-5
1.3.6 配置注意事项.. 1-5
第1章 IP Source Guard典型配置指导
1.1 IP Source Guard概述
通过IP Source Guard绑定功能,可以对端口转发的报文进行过滤控制,防止非法IP地址和MAC地址的报文通过端口,提高了端口的安全性。端口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。
IP Source Guard支持的报文特征项包括:源IP地址、源MAC地址,可支持端口与如下特征项的组合(下文简称绑定表项):
l 源IP
l 源MAC
l 源IP+源MAC
该特性提供两种绑定机制:一种是通过手工配置方式提供绑定表项,称为静态绑定;另外一种由DHCP Snooping或者DHCP Relay提供绑定表项,称为动态绑定。而且,绑定是针对端口的,一个端口被绑定后,仅该端口被限制,其他端口不受该绑定影响。
1.2 静态绑定表项配置指导
1.2.1 组网图
图1-1 静态绑定表项典型配置组网图
1.2.2 应用要求
2台交换机(Switch A、Switch B)、3台数据终端(Host A、Host B、Host C)接入到以太网中互相通信。Host A与Host B分别接到Switch B的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2上;Host C接到Switch A的端口GigabitEthernet1/0/2上。Switch B接到Switch A的端口GigabitEthernet1/0/1上。
具体应用需求如下:
l 在Switch A的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。
l Switch A的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
l 在Switch B的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
l 在Switch B的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。
1.2.3 适用产品、版本
表1-1 配置适用的产品与软硬件版本关系
产品 软件版本 硬件版本 S3610系列以太网交换机 Release 5301软件版本 全系列硬件版本 S5510系列以太网交换机 Release 5301软件版本 全系列硬件版本 S5500-EI系列以太网交换机 Release 2102软件版本 全系列硬件版本 S7500E系列以太网交换机 Release 6100软件版本 全系列硬件版本
1.2.4 配置过程和解释
(1) 配置Switch A
# 配置各接口的IP地址(略)。
# 配置在Switch A的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。
SwitchA system-view
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] user-bind ip-address 192.168
您可能关注的文档
- Improving Cost Estimates of Construction Projects Using【DOC精选】.doc
- In the classroom(Period )【DOC精选】.doc
- In-class Translation Excercises V【DOC精选】.doc
- Industrial Design Excellence Awards Good Design Award PIN UPP【DOC精选】.doc
- imagine&shape【DOC精选】.doc
- infochi【DOC精选】.doc
- innsbruck【DOC精选】.doc
- Initiating the Inactive Employees Credit Card Process_SPD【DOC精选】.doc
- Inputbox经典用法【DOC精选】.doc
- InputBox函数【DOC精选】.doc
最近下载
- (完整版)电气设备安装标准规范.pdf
- GB∕T 13861-2022生产过程危险和有害因素分类、解读与示例说明清单【危险源识别工具】(雷泽佳-2024A0).doc
- 2021年中国光大银行校园招聘在线测试笔试题考试真题笔经.doc
- 新浪·按键精灵开发者1级认证参考解析.docx VIP
- 2023年福建省各地中考语文模拟卷【文学类文本阅读题解及答案解析】汇集.docx VIP
- 皮亚杰认知发展论.ppt VIP
- 2.1 几代中国人的美好夙愿 课件初中读本.ppt
- 流域化“厂网一体”运营模式的探索与实践.pdf
- 半导体制造技术离子注入工艺.pptx
- 全国普通话水平测试用普通话词语表(表一+表二).pdf
文档评论(0)