華爲核心交換機綁定IP+MAC+端口案例

華爲核心交換機綁定IP+MAC+端口案例

http://www.iyunv.com/thread-40167-1-1.html

1         案例背景  

某網絡改造項目，核心交換機爲華爲S5700，接入交換機爲不同型號交換機，如下模擬拓撲，客戶端接入交換機1通過Access模式與核心交換機連接，該交換機下只有一個Vlan2 192.168.2.0/24；客戶端接入交換機2通過Trunk模式與核心交換機連接，該交換機下有倆個Vlan，Vlan3 192.168.3.0/24 Vlan4 192.168.4.0/24，服務器接入交換機通過Access模式與核心交換機連接，該交換機下只有一個Vlan4 192.168.4.0/24；所有客戶端、服務器網關均位於核心交換機上；

  

    2         目前網絡存在的缺陷  

由於目前網絡管理比較鬆散，IP管理不夠完善，客戶端可以任意接入，外單位人員將PC設備設爲相應網段也即可接入，故對目前網絡照成管理困難及安全隱患，客戶希望在本次網絡改造中將所有客戶端IP與MAC綁定，未綁定的客戶端不能接入網絡，對於服務器網段不進行操作（即未操作網段不受影響）；

  3         解決方案  

按客戶所需要求，常用方法可以在客戶端接入交換機上進行IP+MAC+端口綁定，其他未使用端口關閉，但該方法需要逐個登陸接入交換機進行操作，由於網絡建設初期距離網絡改造時間較遠，部分接入交換機賬號密碼已經遺忘，且現在爲生產網絡，如果逐個交換機破解密碼，勢必會造成網絡中斷，現在網絡環境中，客戶端與服務器均有明確Vlan劃分，故選擇在華爲S5700核心交換機上通過DHCP Snooping的靜態綁定表來實現IP+MAC+端口綁定，具體配置思想爲首先在VLAN下配置的靜態綁定表，綁定客戶端的的IP和MAC，然後在與接入交換機相連的接口上配置IP和ARP報文檢查功能。

  4         配置步驟  4.1    配置模擬環境基礎網絡  

Step1、    S5700核心交換機配置

  

  

      

Step2、    客戶端接入交換機2配置

  

  

      

Step3、    客戶端配置

  

按拓撲標誌爲客戶端分別配置IP地址、網關；

  

Client1: IP 192.168.2.2/24 GW 192.168.2.1

  

Client2: IP 192.168.2.3/24 GW 192.168.2.1

  

Client3: IP 192.168.3.2/24 GW 192.168.3.1

  

Client4: IP 192.168.4.2/24 GW 192.168.4.1

  

Client5: IP 192.168.5.2/24 GW 192.168.5.1

  

配置完畢通過Ping測試確認配置無誤

  

    4.2    配置IP+MAC+端口綁定  

此處模擬位於Vlan2下的Client2爲非法客戶端，在信息中心臺賬中無該客戶端也即在覈心交換機上未對該客戶端進行綁定；

  

以下配置均在覈心交換機華爲S5700進行

  

Step1、    啓用DHCP Snooping功能

  

[Huawei]dhcp enable

  

[Huawei]dhcp snooping enable

  

//啓用DHCP Snooping功能；

  

結果如下

  

   

Step2、    對目標Vlan啓用Vlan檢測功能

  

在模擬環境下vlan2/3/4爲客戶端Vlan，也即只對客戶端Vlan進行操作，不對服務器Vlan5操作；

  

[Huawei]vlan 2

  

[Huawei-vlan2] dhcp snooping enable

  

[Huawei-vlan2]quit

  

對其他目標Vlan進行相同操作結果如下

  

   

（在生產環境下測試，在Vlan下添加ip source check user-bind enable，綁定命令如下後user-bind static ip-address 192.168.3.222 mac-address 3c97-0e60-0fe1 vlan 683，可以不對端口做操作；）

  

Step3、    對目標端口啓用端口檢測功能

  

[Huawei] interface GigabitEthernet0/0/2

  

[Huawei-GigabitEthernet0/0/2] arp anti-attack check user-bind enable

  

//啓用arp 協議抗***檢查綁定服務

  

[Huawei-GigabitEthernet0/0/2] ip source check user-bind enable

  

//啓用端口檢測功能

  

對其他目標端口進行相同操作結果如下

  

   

Step4、    綁定客戶端IP+MAC+端口

  

[Huawei]user-bind static ip-address 192.168.2.2 mac-address 5489-9852-137A interface GigabitEthernet 0/0/2

  

對其他客戶端進行相同操作結果如下

  

   

Step5、    測試結果

  

通過PING測試可以得到結果，漏綁的客戶端不能訪問網絡；

  

    5         命令參考  

ip source check user-bind check-item（接口視圖）

  

命令功能

  

ip source check user-bind check-item命令用來配置IP報文的檢查選項。

  

undo ip source check user-bind check-item命令用來恢復IP報文的檢查選項爲缺省選項。

  

缺省情況下，IP報文檢查選項包括IP地址（IPv4地址或IPv6地址）、MAC地址、VLAN三項。

  

命令格式

  

ip source check user-bind check-item { ip-address | mac-address | vlan }*

  

undo ip source check user-bind check-item

  

參數說明

  

參數	參數說明	取值
ip-address	檢查IP報文的IPv4地址或IPv6地址是否匹配綁定表。	-
mac-address	檢查IP報文的MAC地址是否匹配綁定表。	-
vlan	檢查IP報文的VLAN是否匹配綁定表。	-

  

視圖

  

GE接口視圖、XGE接口視圖、端口組視圖、Eth-Trunk接口視圖

  

缺省級別

  

2：配置級

  

使用指南

  

本命令生效的前提是接口下通過ip source check user-bind enable命令使能IP Source Guard功能。

  

使能IP Source Guard功能後，再配置本命令可以設置檢查IP報文時基於哪幾項進行匹配。

  

如果有大量綁定表存在，執行本命令可能需要一些時間，請耐心等待。

  

說明：

  

本命令只對動態綁定表生效，對靜態綁定表不生效。

  

使用實例

  

# 使能GE0/0/1接口的IP Source Guard功能，檢查IP報文的IPv4地址或IPv6地址是否匹配綁定表。

  

system-view

  

[Quidway] interface gigabitethernet 0/0/1

  

[Quidway-GigabitEthernet0/0/1] ip source check user-bind enable

  

[Quidway-GigabitEthernet0/0/1] ip source check user-bind check-item ip-address

  

Info: Change permit rule for dynamic snooping bind-table, please wait a minute!

  
  
  

ip source check user-bind check-item（VLAN視圖）

  

命令功能

  

ip source check user-bind check-item命令用來配置VLAN下IP報文的檢查選項。

  

undo ip source check user-bind check-item命令用來恢復IP報文的檢查選項爲缺省選項。

  

缺省情況下，VLAN下IP報文檢查選項包括IP地址（IPv4地址或IPv6地址）、MAC地址和接口。

  

命令格式

  

ip source check user-bind check-item { ip-address | mac-address | interface }*

  

undo ip source check user-bind check-item

  

參數說明

  

參數	參數說明	取值
ip-address	檢查IP報文的IPv4地址或IPv6地址是否匹配綁定表。	-
mac-address	檢查IP報文的MAC地址是否匹配綁定表。	-
interface	檢查IP報文的接口是否匹配綁定表。	-

  

視圖

  

VLAN視圖

  

缺省級別

  

2：配置級

  

使用指南

  

本命令生效的前提是VLAN下通過ip source check user-bind enable命令使能IP Source Guard功能。

  

使能IP Source Guard功能後，再配置本命令可以設置檢查IP報文時基於哪幾項進行匹配。

  

如果有大量綁定表存在，執行本命令可能需要一些時間，請耐心等待。

  

說明：

  

本命令只對動態綁定表生效，對靜態綁定表不生效。

  

使用實例

  

# 使能VLAN100的IP Source Guard功能，檢查IP報文的IPv4地址或IPv6地址是否匹配綁定表。

  

system-view

  

[Quidway] vlan 100

  

[Quidway-vlan100] ip source check user-bind enable

  

[Quidway-vlan100] ip source check user-bind check-item ip-address

  

Info: Change permit rule for dynamic snooping bind-table, please wait a minute!

  
  6         案例參考  

http://support.huawei.com/ecommunity/bbs/10232127.html?p=1#p10439637

  

http://support.huawei.com/ecommunity/bbs/10174371.html?p=1#p10275725

  

http://support.huawei.com/ecommunity/bbs/10154485.html