华为交换机user-bind IPSG实机配置

最新推荐文章于 2024-06-29 13:44:22 发布
最新推荐文章于 2024-06-29 13:44:22 发布
阅读量9.8k 收藏 69
点赞数 6
分类专栏: 华为交换机 文章标签: 交换机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssqlms/article/details/113867954
版权

华为交换机user-bind 绑定IP、MAC、VLAN安全接入


绑定IP、MAC、VLAN安全接入)

user-bind static与 arp static 的区别

一、原理区别:
1、arp static 是用于做arp表的静态持久化,在ARP表项匹配时生效
2、user-bind static 是用于在数据包进入时进行筛选过滤,在入向接口匹配生效。属于IPSG应用

二、绑定生效规则:
arp static 类似黑名单制
1、IP及MAC均匹配正确 规则生效,放通。
2、IP-MAC无匹配(IP及MAC均无匹配)规则无效,底层放通。
3、IP或MAC有其中一方匹配上,另一方匹配错误,即规则生效,拦截。

user-bind static 类似白名单制(结合vlan或端口中使用 ip source check user-bind enable 进行IPSG检查)
1、IP及MAC均匹配正确 规则生效,放通。
2、IP-MAC无匹配(IP及MAC均无匹配)规则生效,拦截。
3、IP或MAC有其中一方匹配上,另一方匹配错误,即规则生效,拦截。

三、使用前提
1、arp static 直接作用于全局,无需借助其它功能做铺垫
2、user-bind static 必须结合ip source check user-bind enable 进行IPSG的检查部署。并且可以通过 dhcp snooping trusted 的方式来放通接口信任

user-bind static 的应用

在这里插入图片描述

SW1:

[SW1]vlan batch 100 200 300
[SW1]interface Vlanif 100
[SW1-Vlanif100]ip address 192.168.1.1 24
[SW1]interface Vlanif 200
[SW1-Vlanif200]ip address 192.168.2.1 24
[SW1]interface Vlanif 300
[SW1-Vlanif300]ip address 192.168.3.1 24
[SW1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 300
[SW1]interface GigabitEthernet 0/0/5
[SW1-GigabitEthernet0/0/5]port link-type access
[SW1-GigabitEthernet0/0/5]port default vlan 200
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 100
[SW1]interface Eth-Trunk 0
[SW1-Eth-Trunk0]port link-type trunk
[SW1-Eth-Trunk0]port trunk allow-pass vlan 100 200 300
[SW1-Eth-Trunk0]trunkport GigabitEthernet 0/0/1
[SW1-Eth-Trunk0]trunkport GigabitEthernet 0/0/4
[SW1]dhcp enable
[SW1]dhcp snooping enable
[SW1]user-bind static ip-address 192.168.1.10 mac-address 5489-989A-2605 vlan 100 #绑定IP-MAC 到VLAN100
[SW1]user-bind static ip-address 192.168.2.10 mac-address 5489-980B-6D74 vlan 200 #绑定IP-MAC 到VLAN200
[SW1]user-bind static ip-address 192.168.3.10 mac-address 5489-9868-129A vlan 300 #绑定IP-MAC 到VLAN300(根据无线AP固定分配的IP与MAC进行绑定)
[SW1]vlan 100
[SW1-vlan100]ip source check user-bind enable #开启IPSG检查
[SW1-vlan100]dhcp snooping enable #开启vlan dhcp snooping 功能,防止接入错误的DHCP服务器
[SW1-vlan200]ip source check user-bind enable
[SW1-vlan200]dhcp snooping enable
[SW1-vlan300]ip source check user-bind enable
[SW1-vlan300]dhcp snooping enable
[SW1]interface Eth-Trunk 0
[SW1-Eth-Trunk0]dhcp snooping trusted #在eth-trunk上设置dhcp snooping trusted 信任,否则当数据三层转发时MAC发生翻转会导致user-bind 匹配错误

SW2:

[SW2]vlan batch 100 200 300
[SW2]interface Vlanif 100
[SW2-Vlanif100]ip address 192.168.1.2 24
[SW2]interface Vlanif 200
[SW2-Vlanif200]ip address 192.168.2.2 24
[SW2]interface Vlanif 300
[SW2-Vlanif300]ip address 192.168.3.2 24 #为方便在sw2上做本地三层转发,因此需配置一下vlan ip
[[SW2]interface GigabitEthernet 0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2]port default vlan 200
[SW2]interface GigabitEthernet 0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 100
[SW2]interface Eth-Trunk 0
[SW2-Eth-Trunk0]port link-type trunk
[SW2-Eth-Trunk0]port trunk allow-pass vlan 100 200 300
[SW2-Eth-Trunk0]trunkport GigabitEthernet 0/0/1
[SW2-Eth-Trunk0]trunkport GigabitEthernet 0/0/4
[SW2]dhcp enable
[SW2]dhcp snooping enable
[SW2]user-bind static ip-address 192.168.2.20 mac-address 5489-986F-1264 vlan 200 #绑定IP-MAC 到VLAN200
[SW2]user-bind static ip-address 192.168.1.20 mac-address 5489-987A-41C0 vlan 100 #绑定IP-MAC 到VLAN100
[SW2]vlan 100
[SW2-vlan100]ip source check user-bind enable #与SW1一样开启IPSG检查
[SW2-vlan100]dhcp snooping enable #与SW1一样开启vlan dhcp snooping 功能,防止接入错误的DHCP服务器
[SW2-vlan200]ip source check user-bind enable
[SW2-vlan200]dhcp snooping enable
[SW2-vlan300]ip source check user-bind enable
[SW2-vlan300]dhcp snooping enable
[SW2]interface Eth-Trunk 0
[SW2-Eth-Trunk0]dhcp snooping trusted #与SW1一样在eth-trunk上设置dhcp snooping trusted 信任,否则当数据三层转发时MAC发生翻转会导致user-bind 匹配错误

以上是eth-trunk 的绑定方式,trunk类型 在接口上直接应用 dhcp snooping trusted 即可

注意事项

ENSP虽能进行配置,但IPSG不生效。以上方案是在实机上验证配置的

So.小坏
关注
  • 6
    点赞
  • 69
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
华为交换机ip地址与mac地址绑定(全局/接口模式)
m0_72889625的博客
03-21 3856
全局模式下User-bind static ip-address XXXX mac-address XXXX interface GigabitEthernet0/0/1 vlan x.端口模式下:interface GigabitEthernet0/0/1。注意,端口模式一个端口有多个电脑会导致外部无法访问其中的一些ip。
配置IPSG防止主机私自更改IP地址上网(静态绑定)
m0_60444349的博客
06-18 7230
一、IPSG 功能简介IPSG:IP Source Guard,IP源防攻击是一种基于二层接口的源IP地址过滤技术。它能够防止内网用户修改IP地址(防止恶意主机通过伪造合法主机的IP地址来获取合法主机的网络访问权限或敏感信息等),还确保非授权主机(在静态或动态绑定表中没有相关记录的主机表记录信息)不能通过设置IP地址来访问网络或攻击网络,能有效防止IP地址的私自更改。二、绑定表IPSG参照二个绑定表项来检查接入主机的合法性。分为静态绑定表和动态绑定表。静态绑定表通过user-bind命令手动在网络设备上进行
华为交换机配置命令大全
最新发布
studyinstall的博客
06-29 967
华为交换机配置命令
配置IPSG防止主机私自更改IP地址示例(静态绑定)
Jian Sun_的博客
05-13 2229
IP 源防护(IP Source Guard,简称 IPSG华为交换机配置文件 Switch的配置文件 # sysname Switch #创建Host_1和Host_2的静态绑定表项 user-bind static ip-address 10.0.0.1 mac-address xxxx-xxxx-xxx1 user-bind static ip-address 10.0.0.11 mac-address xxxx-xxxx-xxx2 #使能IPSG并设置丢弃报文上报告警功能 #在连接
华为ensp模拟器实验:端口安全绑定MAC地址ip地址
weixin_57704002的博客
08-17 1万+
交换机端口绑定MAC地址IP地址
交换机网络安全应用命令
IT技术
10-11 6692
接入层安全配置: 环路检测 针对环路可以在下行接口配置环路检测。 [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] loopback-detect enable 案例现象介绍 环路是网络性能的一大"杀手"。网络环路会导致网络中的数据包不停的循环发送,造成链路带宽资源的消耗浪费。于是合理的避免网络环路是每一位网路工程师必须要去学习的。 loopback detection 通过发送测试报文到网络中,如果再次从网络中收到
华为交换机常见IPSG操作
Tony_long7483的博客
10-26 2757
配置IP+VLAN静态绑定:通过配置基于静态绑定表的IPSG,对非信任接口上接收的IP报文进行过滤,可以有效防止恶意主机盗用合法主机的IP地址仿冒合法主机非法访问网络,适用于局域网络中主机数较少,且主机使用静态配置IP地址的网络环境 [HUAWEI]user-bind static ip-address 192.168.2.1 vlan 10 [HUAWEI] vlan 10 [HUAWEI-vlan10] ip source check user-bind enable 配置IP+MAC静态绑定 [HU.
华为user-bind绑定-太阳了文哥.exe
02-22
通过SSH连接设备,无任何后台,童叟无欺。请放心使用,大家下载来试用一下呀,反馈点意见嘛
华三华为交换机-路由器配置常用命令.pdf
06-05
华为和H3C作为中国知名的网络设备供应商,提供了丰富的配置命令供管理员使用。以下是对这些配置命令的详细解释和应用: 一、H3C交换机配置命令: 1. `system-view`:进入系统视图,这是配置设备的基本步骤。 2. `...
华三华为交换机-路由器配置常用命令.docx
06-05
本文将详细解析华三(H3C)和华为交换机及路由器的一些常用配置命令,这些命令对于搭建和管理网络至关重要。 1. **系统视图模式**:无论是交换机还是路由器,配置的第一步通常是进入系统视图模式,这可以通过输入`...
华为交换机配置教程_华为配置教程_华为_交换机_
10-02
在IT行业中,网络设备的配置是至关重要的,尤其对于企业级网络来说,华为交换机因其稳定性和高效性而被广泛采用。本教程旨在提供华为交换机的详细配置指南,通过实际案例来帮助用户掌握基本及高级配置技巧。 一、...
华三华为交换机-路由器配置常用命令[参照].pdf
10-13
这些命令是网络管理员在日常维护和管理华三(H3C)及华为交换机和路由器时最常使用的,掌握这些基础命令能有效地进行网络配置和问题排查。在实际操作中,根据具体设备型号和场景可能需要使用到更多的高级配置命令。
华为user-bind不允许使用dhcp功能的情况下的使用
太阳了文哥的博客
10-29 4926
华为交换机user-bind绑定IP,MAC地址,及VLAN 本篇博文主要为了有特定需求(不允许使用DHCP功能,又要绑定IP跟MAC地址于VLAN)的小伙伴而写的。网上查过很多方法,但都没有好的解决方案。基本都是基于DHCP来做user-bind的绑定。 拓扑图 需要实现的功能: 1.SW1,SW2识别绑定列表,绑定了IP与MAC的PC的流量才允许放行,不在绑定列表的PC则直接拦截。 2.PC1可访问PC2及PC3 3.不允许使用DHCP(但要启用DHCP enable及dhcp snooping
华为核心交换机绑定IP+MAC+端口案例
weixin_34216107的博客
04-14 7515
华为核心交换机绑定IP+MAC+端口案例http://www.iyunv.com/thread-40167-1-1.html1 案例背景某网络改造项目,核心交换机为华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24;客户端接入交换机2通...
IPSG绑定表
weixin_46041124的博客
02-22 727
IPSG是基于绑定表(DHCP Snooping动态绑定表和静态绑定表)对IP报文进行匹配检查。绑定表是IPSG进行IP报文检查的基础。当设备在转发IP报文时,将此IP报文中的。源IP、源MAC(Media Access Control)、接口、VLAN(Virtual Local Area Network)信息和绑定表的信息进行比较。,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。
华为交换机实现mac地址与ip地址一一绑定
Richardlygo的博客
08-08 1万+
端口绑定
华为交换机ip地址与MAC地址绑定(全局/接口模式)
热门推荐
一个懒鬼的博客
10-14 2万+
全局模式下输入: user-bind static ip-address 192.168.x.x mac-address xxxx-xxxx-xxxx interface GigabitEthernet0/0/1 vlan x 端口模式下输入: interface GigabitEthernet0/0/2 port link-type access port default vlan x ip source check user-bind enable .........
arp static和am user-bind 区别
jhdlzx的专栏
05-15 1万+
很多人会把arp static和am user-bind命令搞混淆,虽然使用起来不一样,但是最终效果都是一样的,都是针对ip/mac绑定:首先使用arp static绑定必须将所有的ip进行绑定,如果有遗漏ip,那ip/mac绑定就会失效。举例:全局下#arp static  192.168.1.2  1h22-456f-ddd5  这句话表示整个网络下,这个ip只能给这个mac地址使用。其他非法...
H3C交换设备am user-bind实现端口安全
weixin_34208185的博客
11-02 1313
AM User-bind命令完成IP、MAC 地址和端口之间的绑定配置配置环境参数』 1. PC1的IP地址为10.1.1.2/24,MAC地址为000f-1fb8-fcb8 2. PC1连接到交换机的以太网端口0/1,属于VLAN10 『AM User-bind完成IP、MAC地址和端口绑定配置流程』 使用特殊的AM...
user-bind ip-address 10.3.1.1 解释这段命令
06-11
这段命令是用于在华为交换机配置用户绑定功能,具体解释如下: - `user-bind`: 表示进入用户绑定视图,用于配置用户绑定功能。 - `ip-address 10.3.1.1`: 表示指定要绑定的用户的IP地址为10.3.1.1。用户绑定功能是一种通过对设备接口与用户进行绑定的方式来实现网络访问控制的功能,可以限制某个接口只允许特定IP地址的用户进行访问,提高网络的安全性。 需要注意的是,该命令只是用户绑定功能的一部分,还需要结合其他命令进行配置,例如在接口上启用用户绑定功能,配置用户绑定的动作等。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值