08-IP Source Guard操作.doc

目 录 第1章 IP Source Guard配置 1-1 1.1 IP Source Guard简介 1-1 1.2 配置静态绑定表项 1-1 1.3 配置动态绑定功能 1-2 1.4 IP Source Guard显示 1-2 1.5 IP Source Guard典型配置举例 1-3 1.5.1 静态绑定表项配置举例 1-3 1.5.2 动态绑定功能配置举例 1-5 1.6 常见配置错误举例 1-6 1.6.1 静态绑定表项配置和动态绑定功能配置失败 1-6 IP Source Guard配置 IP Source Guard简介 通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法IP地址和MAC地址的报文通过端口，提高了端口的安全性。端口接收到报文后查找IP Source Guard绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。 IP Source Guard支持的报文特征项包括：源IP地址、源MAC地址，可支持端口与如下特征项的组合（下文简称绑定表项）： 源IP 源MAC 源IP＋源MAC 该特性提供两种绑定机制：一种是通过手工配置方式提供绑定表项，称为静态绑定；另外一种由DHCP Snooping提供绑定表项，称为动态绑定。而且，绑定是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。 注意： 命令 说明 进入系统视图 system-view - 进入相应的端口视图 interface interface-type interface-number - 配置静态绑定表项 user-bind { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } 必选 缺省情况下，端口上无静态绑定表项 ( 说明： 进入系统视图 system-view - 进入相应的端口视图 interface interface-type interface-number - 配置动态绑定功能 ip check source { ip-address | ip-address mac-address | mac-address } 必选 缺省情况下，端口上没有配置动态绑定功能 IP Source Guard显示 在完成上述配置后，在任意视图下执行display命令可以显示配置后MAC+IP+端口绑定的运行情况，通过查看显示信息验证配置的效果。 IP Source Guard显示 操作 命令 显示静态绑定表项信息 display user-bind [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] 显示动态绑定表项信息 display ip check source [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] IP Source Guard典型配置举例 静态绑定表项配置举例 组网需求 2台交换机（Switch A、Switch B）、3台数据终端（Host A、Host B、Host C）接入到以太网中互相通信。Host A与Host B分别接到Switch B的端口Ethernet2/0/1、Ethernet2/0/2上；Host C接到Switch A的端口Ethernet2/0/2上。Switch B接到Switch A的端口Ethernet2/0/1上。 具体应用需求如下： 在Switch A的Ethernet2/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。 Switch A的Ethernet2/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。 在Switch B的Ethernet2/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。 在Switch B的Ethernet2/0/2上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。 组网图 配置