IP Source Guard简介.docVIP

您好：??? 感谢您使用H3C的系列产品和长期以来对我们工作的支持！！ ??? 推荐您使用ip源防护来防止ARP攻击比较好：如果您网络内使用DHCP分配，则使用动态ip源防护；如果您网络内的PC都是使用手工分配IP地址，这推荐您使用静态源防护，具体操作请参考以下内容: ? ??? 1.1? IP Source Guard 通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法IP地址和MAC地址的报文通过端口，提高了端口的安全性。端口接收到报文后查找IP Source Guard绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。 IP Source Guard支持的报文特征项包括：源IP地址、源MAC地址，可支持端口与如下特征项的组合（下文简称绑定表项）： ?????????????? 源IP ?????????????? 源MAC ?????????????? 源IP＋源MAC 该特性提供两种绑定机制：一种是通过手工配置方式提供绑定表项，称为静态绑定；另外一种由DHCP Snooping提供绑定表项，称为动态绑定。而且，绑定是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。 ? 注意： IP Source Guard功能与端口加入聚合组互斥。 ? 1.2? 配置静态绑定表项 表1-1 配置静态绑定表项 操作 命令 说明 进入系统视图 system-view - 进入相应的端口视图 interface interface-type interface-number - 配置静态绑定表项 user-bind { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } 必选 缺省情况下，端口上无静态绑定表项 ? ?? 说明： ?????? 绑定策略：不支持一个端口上相同表项的重复绑定；相同的表项可以在多个端口上绑定。 ?????? 合法绑定表项的MAC地址不能为全0、全F（广播MAC）和组播MAC，IP地址必须为A、B、C三类地址之一，不能为127.x.x.x和0.0.0.0。 ? 1.3? 配置动态绑定功能 端口上使能动态绑定功能后，根据设备对各动态绑定类型的支持情况，IP Source Guard会选择接收并处理相应的DHCP Snooping表项。表项内容包括MAC地址、IP地址、VLAN信息、端口信息及表项类型。IP Source Guard把这些动态获取的表项添加到动态绑定表项中，实现过滤端口转发报文的功能。 表1-2 配置动态绑定功能 操作 命令 说明 进入系统视图 system-view - 进入相应的端口视图 interface interface-type interface-number - 配置动态绑定功能 ip check source { ip-address | ip-address mac-address | mac-address } 必选 缺省情况下，端口上没有配置动态绑定功能 ? 1.4? IP Source Guard显示 在完成上述配置后，在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况，通过查看显示信息验证配置的效果。 表1-3 IP Source Guard显示 操作 命令 显示静态绑定表项信息 display user-bind [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] 显示动态绑定表项信息 display ip check source [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] ? 1.5? IP Source Guard典型配置举例 1.5.1? 静态绑定表项配置举例 1. 组网需求 2台交换机（Switch A、Switch B）、3台数据终端（Host A、Host B、Host C）接入到以太网中互相通信。Host A与Host B分别接到Switch B的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2上；Host C接到Switch A的端口GigabitEthernet1/0/2上。Switch B接到Switch A的端口GigabitEt