注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

zjc的博客

技术积累

 
 
 

日志

 
 

华为盒式交换机 IP MAC 端口绑定  

2010-02-25 10:56:17|  分类: 华为网络设备配置 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

1.IP+MAC+端口绑定;

通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定功能,先在VLAN下配置的静态绑定表,静态绑定表的IP和MAC为待绑定PC的IP和MAC。然后再与PC相连的交换机接口上配置IP和ARP报文检查功能。

例如配置IP地址192.168.0.2,MAC地址1-1-1和接口Ethernet0/0/24绑定。

 

[Quidway] dhcp snooping enable
[Quidway] vlan 10
[Quidway-vlan10] quit
[Quidway] interface Ethernet 0/0/24
[Quidway-Ethernet0/0/24] port default vlan 10
[Quidway-Ethernet0/0/24] dhcp snooping check arp enable
[Quidway-Ethernet0/0/24] dhcp snooping check ip enable
[Quidway-Ethernet0/0/24] quit
[Quidway] vlan 10
[Quidway-vlan100] dhcp snooping enable
[Quidway-vlan100] dhcp snooping bind-table static ip-address 192.168.0.2 mac-address 1-1-1 interface Ethernet0/0/24

2.MAC+端口绑定

通过流策略与DHCP Snooping两个功能结合实现MAC和端口绑定,实现端口只绑定特定mac地址(端口只允许在绑定表内的和某特定mac地址的报文通过),不绑定ip。例如配置端口Ethernet0/0/24只允许绑定表内的和源mac地址为1-1-1的报文通过,其他报文都丢弃。

# 全局使能dhcp snooping

[Quidway] dhcp snooping enable

# 创建ACL,只允许MAC地址为0-02-02的报文

[Quidway] acl 4001
[Quidway-acl-L2-4001] rule permit source-mac 1-1-1 ffff-ffff-ffff
[Quidway-acl-L2-4001] rule deny

# 创建流分类,匹配ACL 4001

[Quidway] traffic classifier ci
[Quidway-classifier-ci] if-match acl 4001

# 创建流行为和流策略

[Quidway] traffic behavior bi
[Quidway-behavior-bi] permit
[Quidway] traffic policy pi
[Quidway-trafficpolicy-pi] classifier ci behavior bi

# 端口下应用流策略,使该端口只允许绑定表内的和源mac地址为1-1-1的报文通过。

[Quidway] interface Ethernet 0/0/24
[Quidway-Ethernet0/0/24] port default vlan 10
[Quidway-Ethernet0/0/24] dhcp snooping check ip enable
[Quidway-Ethernet0/0/24] dhcp snooping check arp enable
[Quidway-Ethernet0/0/24] traffic-policy pi inbound

3。IP+端口绑定

通过流策略与DHCP Snooping两个功能相互结合来实现IP和端口绑定,即实现某个端口只绑定某个特定源ip地址(只允许在绑定表内的和某个特定源ip地址的报文通过),不绑定mac。例如配置端口Ethernet0/0/24只允许绑定表内的和源IP地址为192.168.0.2的报文通过,丢弃其他IP报文。

# 全局使能dhcp snoopying

[Quidway] dhcp snooping enable

# 定义高级ACL,匹配IP地址192.168.0.2

[Quidway] acl 3001
[Quidway-acl-adv-3001] rule 5 permit ip source 192.168.0.2 0
[Quidway-acl-adv-3001] rule 10 deny ip source any
[Quidway-acl-adv-3001] rule 15 deny ip destination any

# 创建流分类,匹配ACL

[Quidway] traffic classifier ci
[Quidway-classifier-ci] if-match acl 3001

# 创建流行为和流策略

[Quidway] traffic behavior bi
[Quidway-behavior-bi] permit
[Quidway] traffic policy pi
[Quidway-trafficpolicy-pi] classifier ci behavior bi

# 端口下应用流策略,只允许绑定表内的和源IP地址为192.168.0.2的报文通过

[Quidway] interface Ethernet 0/0/24
[Quidway-Ethernet0/0/24] port default vlan 10
[Quidway-Ethernet0/0/24] dhcp snooping check ip enable
[Quidway-Ethernet0/0/24] traffic-policy pi inbound

 

 

 

  评论这张
 
阅读(1564)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017