一、功能簡介

每一臺電腦都有一個全球唯一的標識：mac地址。交換機是根據(jù)學習到的mac地址和交換機端口的關系表轉發(fā)數(shù)據(jù)。

MAC地址靜態(tài)綁定可以減少交換機MAC地址的學習，因為配置了MAC靜態(tài)綁定后，交換機就不再學習該MAC地址的信息了。

通過MAC地址的靜態(tài)綁定，可以讓某個終端（電腦、PDA或其他網(wǎng)絡設備）只能接在交換機的固定接口下，如果接到這臺交換機的其他接口將不能與洽談設備通信。

二、配置命令

注意：配置之前建議使用 Ruijie#show interface status查看接口名稱，常用接口名稱有FastEthernet（百兆）、GigabitEthernet（千兆）和TenGigabitEthernet(萬兆),以下配置以百兆接口為例。

Ruijie>enable

Ruijie#configure terminal

Ruijie(config)#mac-address-table static 0001.1111.1111 vlan 1 int fastEthernet 0/1?? ------->把vlan1的0001.1111.1111綁定在交換機的f0/1接口，如果這個mac地址接到交換機的其他接口（如 fastEthernet 0/2）就不能和其他設備通信

Ruijie(config)#end

Ruijie#write? ------>確認配置正確，保存配置

應用場景

IP Source Guard可以實現(xiàn)防止用戶私設IP地址及防止用戶變化源IP的掃描行為，要求用戶必須動態(tài)DHCP方式獲取IP，否則將無法使用網(wǎng)絡；

功能簡介

IP Source Guard：IP Source Guard（IP源防護）維護一個IP 源地址綁定數(shù)據(jù)庫， IP Source Guard可以在對應的接口上主機報文進行基于源IP、源IP和源MAC的報文過濾，從而保證只有IP源地址綁定數(shù)據(jù)庫中的主機才能正常使用網(wǎng)絡。

IP Source Guard會自動將DHCP Snooping綁定數(shù)據(jù)庫中的合法用戶綁定同步到IP Source Guard的IP源地址綁定數(shù)據(jù)庫（硬件安全表項中），這樣IP Source Guard就可以在打開DHCP Snooping設備上對客戶端的進行嚴格過濾；默認情況下，打開IP Source Guard的功能的端口會過濾所有非DHCP的IP報文；只有當客戶端通過DHCP從服務器獲取到合法的IP或者管理員為客戶端配置了靜態(tài)的IP源地址綁定，端口將允許和這個客戶端匹配的IP報文通過。

IP Source Guard支持基于IP+MAC或者基于IP的過濾，如果打開基于IP+MAC的過濾，IP Source Guard會對所有報文的MAC+IP進行檢測，僅僅允許IP源地址綁定表格中存在的用戶報文通過；而基于IP的過濾，僅僅會對報文的源IP地址進行檢測。

一、組網(wǎng)需求

用戶網(wǎng)關在核心交換機上，核心交換機創(chuàng)建DHCP Server，接入交換機下聯(lián)PC使用動態(tài)DHCP獲取IP地址，為了防止內網(wǎng)用戶私設IP，需要實施IP Source Guard功能，對于私設IP地址的用戶不讓訪問外網(wǎng)。

二、組網(wǎng)拓撲

三、配置要點

1、在核心交換機上開啟DHCP Server功能（部分場景中，客戶可能采用專用DHCP服務器，則核心交換機只需要啟用DHCP Relay功能即可）

2、在接入交換機上全局開啟dhcp snooping功能，并且在上聯(lián)核心的端口開啟DHCP Snooping信任口

3、在接入交換機連接用戶的端口開啟IP Source Guard功能

4、網(wǎng)絡中存在個別用戶使用靜態(tài)IP，配置IP Source Guard功能后也能實現(xiàn)安全控制。

四、配置步驟 ?

核心交換機配置：

1、開啟核心設備的DHCP服務功能

Ruijie(config)#service dhcp

2、創(chuàng)建核心設備的IP地址，即用戶的網(wǎng)關地址

Ruijie(config)#interface vlan 1

Ruijie(config-if-VLAN 1)#ip address 192.168.1.254 255.255.255.0

Ruijie(config-if-VLAN 1)#exit

3、創(chuàng)建核心設備的DHCP地址池

Ruijie(config)#ip dhcp pool vlan1

Ruijie(dhcp-config)#network 192.168.1.0 255.255.255.0????? ------>子網(wǎng)掩碼要和所設置IP地址的子網(wǎng)掩碼一致，這里都是/24位掩碼

Ruijie(dhcp-config)#dns-server 218.85.157.99???????????????????? ------>設置分配給客戶端的DNS地址

Ruijie(dhcp-config)#default-router 192.168.1.254??????????????? ------>設置分配給用戶的網(wǎng)關地址，這個要和核心設備上所設置的IP地址一致，為192.168.1.254

Ruijie(dhcp-config)#end

Ruijie#wr

接入交換機配置：

1、在接入交換機上開啟dhcp snooping功能

Ruijie>enable?

Ruijie#configure terminal

Ruijie(config)#ip dhcp snooping???? ------>開啟DHCP snooping功能

2、連接DHCP服務器的接口配置為可信任口

Ruijie(config)#interface gigabitEthernet 0/49

Ruijie(config-GigabitEthernet 0/49)#ip dhcp snooping trust ???------>開啟DHCP snooping的交換機所有接口缺省為untrust口，交換機只轉發(fā)從trust口收到的DHCP響應報文（offer、ACK）

3、連接用戶的接口開啟IP Source Guard功能

Ruijie(config)#interface range fastEthernet 0/1-2????????????????????? ------>同時進入1口和2口接口配置模式

Ruijie(config-if-range)#ip verify source port-security???????????????? ------>開啟源IP+MAC的報文檢測，將DHCP Snooping形成的snooping表寫入地址綁定數(shù)據(jù)庫中，請正確配置ip verfiy soure port-security， 不要使用ip verify source（僅綁定IP），部分產(chǎn)品存在限制，只綁定IP的情況下可能出現(xiàn)異常。

注意：如果交換機下還有級聯(lián)交換機，則不要在級聯(lián)交換機端口配置IP Source guard,而應該在接入交換機上部署IP Source Guard方案。避免二個設備都進行硬件綁定用戶的IP+MAC，導致消耗設備硬件資源表項。

4、配置靜態(tài)綁定用戶，這些用戶希望采用靜態(tài)IP地址，也能實現(xiàn)安全檢查，避免端口下其他用戶私用IP地址。

Ruijie(config)#ip source binding 001a.a2bc.3a4d vlan 10 192.168.10.5 interface fa0/15

Ruijie(config)#interface fastEthernet 0/15

Ruijie(config-fastethernet 0/15)#ip verify source port-security????????????????? ------>開啟源IP+MAC的報文檢測

5 、保存配置

Ruijie(config-if-range)#end

Ruijie#write?? ------> 確認配置正確，保存配置

五、功能驗證

1、相關功能信息查看

1）查看核心交換機DHCP服務器地址池分配情況

2）查看PC獲取IP地址情況，在電腦上點擊開始----->運行-------->輸入cmd進入命令行界面-------->輸入ipconfigl可以查看如下信息：

3）查看DHCP Snooping表

4）查看IP Source Guard相關信息

2、效果驗證

1）自動獲取IP地址，獲取的IP地址是192.168.1.1，此時電腦能ping通網(wǎng)關

查看網(wǎng)關的MAC地址

2）對電腦IP地址進行手動釋放（在電腦cmd命令行界面敲ipconfig/release），然后手動設置一個IP地址

在電腦上手動設置IP地址，點擊確定

在cmd命令行輸入ipconfig/all，確認是手動設置的IP地址

在接入交換機上查看地址綁定數(shù)據(jù)庫，沒有用戶的綁定信息

3）驗證此時電腦是否能ping通網(wǎng)關

由于IP Source Guard功能只是對IP報文進行檢查，不對ARP報文進行檢查，故此時電腦arp -a依然可以看到網(wǎng)關的arp信息

文章來源地址http://www.zghlxwxcb.cn/news/detail-767528.html