1         案例背景

某网络改造项目,核心交换机为华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24;客户端接入交换机2通过Trunk模式与核心交换机连接,该交换机下有俩个Vlan,Vlan3 192.168.3.0/24 Vlan4 192.168.4.0/24,服务器接入交换机通过Access模式与核心交换机连接,该交换机下只有一个Vlan4 192.168.4.0/24;所有客户端、服务器网关均位于核心交换机上;

2         目前网络存在的缺陷

由于目前网络管理比较松散,IP管理不够完善,客户端可以任意接入,外单位人员将PC设备设为相应网段也即可接入,故对目前网络照成管理困难及安全隐患,客户希望在本次网络改造中将所有客户端IP与MAC绑定,未绑定的客户端不能接入网络,对于服务器网段不进行操作(即未操作网段不受影响);

3         解决方案

按客户所需要求,常用方法可以在客户端接入交换机上进行IP+MAC+端口绑定,其他未使用端口关闭,但该方法需要逐个登陆接入交换机进行操作,由于网络建设初期距离网络改造时间较远,部分接入交换机账号密码已经遗忘,且现在为生产网络,如果逐个交换机破解密码,势必会造成网络中断,现在网络环境中,客户端与服务器均有明确Vlan划分,故选择在华为S5700核心交换机上通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定,具体配置思想为首先在VLAN下配置的静态绑定表,绑定客户端的的IP和MAC,然后在与接入交换机相连的接口上配置IP和ARP报文检查功能。

4         配置步骤  4.1    配置模拟环境基础网络

Step1、    S5700核心交换机配置
Step2、    客户端接入交换机2配置
Step3、    客户端配置
按拓扑标志为客户端分别配置IP地址、网关;
Client1: IP 192.168.2.2/24 GW 192.168.2.1
Client2: IP 192.168.2.3/24 GW 192.168.2.1
Client3: IP 192.168.3.2/24 GW 192.168.3.1
Client4: IP 192.168.4.2/24 GW 192.168.4.1
Client5: IP 192.168.5.2/24 GW 192.168.5.1
配置完毕通过Ping测试确认配置无误

4.2    配置IP+MAC+端口绑定

此处模拟位于Vlan2下的Client2为非法客户端,在信息中心台账中无该客户端也即在核心交换机上未对该客户端进行绑定;
以下配置均在核心交换机华为S5700进行
Step1、    启用DHCP Snooping功能
[Huawei]dhcp enable
[Huawei]dhcp snooping enable
//启用DHCP Snooping功能;
结果如下
Step2、    对目标Vlan启用Vlan检测功能
在模拟环境下vlan2/3/4为客户端Vlan,也即只对客户端Vlan进行操作,不对服务器Vlan5操作;
[Huawei]vlan 2
[Huawei-vlan2] dhcp snooping enable
[Huawei-vlan2]quit
对其他目标Vlan进行相同操作结果如下
(在生产环境下测试,在Vlan下添加ip source check user-bind enable,绑定命令如下后user-bind static ip-address 192.168.3.222 mac-address 3c97-0e60-0fe1 vlan 683,可以不对端口做操作;)
Step3、    对目标端口启用端口检测功能
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] arp anti-attack check user-bind enable
//启用arp 协议抗攻击检查绑定服务
[Huawei-GigabitEthernet0/0/2] ip source check user-bind enable
//启用端口检测功能
对其他目标端口进行相同操作结果如下
Step4、    绑定客户端IP+MAC+端口
[Huawei]user-bind static ip-address 192.168.2.2 mac-address 5489-9852-137A interface GigabitEthernet 0/0/2
对其他客户端进行相同操作结果如下
Step5、    测试结果
通过PING测试可以得到结果,漏绑的客户端不能访问网络;

5         命令参考

ip source check user-bind check-item(接口视图)
命令功能
ip source check user-bind check-item命令用来配置IP报文的检查选项。
undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。
缺省情况下,IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址、VLAN三项。
命令格式
ip source check user-bind check-item { ip-address | mac-address | vlan }*
undo ip source check user-bind check-item
参数说明
参数
参数说明
取值
ip-address
检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
-
mac-address
检查IP报文的MAC地址是否匹配绑定表。
-
vlan
检查IP报文的VLAN是否匹配绑定表。
-
视图
GE接口视图、XGE接口视图、端口组视图、Eth-Trunk接口视图
缺省级别
2:配置级
使用指南
本命令生效的前提是接口下通过ip source check user-bind enable命令使能IP Source Guard功能。
使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。
如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。
说明:
本命令只对动态绑定表生效,对静态绑定表不生效。
使用实例
# 使能GE0/0/1接口的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
system-view
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] ip source check user-bind enable
[Quidway-GigabitEthernet0/0/1] ip source check user-bind check-item ip-address

[Quidway-GigabitEthernet0/0/1] arp anti-attack check user-bind enable   
[Quidway-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm enable

Info: Change permit rule for dynamic snooping bind-table, please wait a minute!
ip source check user-bind check-item(VLAN视图)
命令功能
ip source check user-bind check-item命令用来配置VLAN下IP报文的检查选项。
undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。
缺省情况下,VLAN下IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址和接口。
命令格式
ip source check user-bind check-item { ip-address | mac-address | interface }*
undo ip source check user-bind check-item
参数说明
参数
参数说明
取值
ip-address
检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
-
mac-address
检查IP报文的MAC地址是否匹配绑定表。
-
interface
检查IP报文的接口是否匹配绑定表。
-
视图
VLAN视图
缺省级别
2:配置级
使用指南
本命令生效的前提是VLAN下通过ip source check user-bind enable命令使能IP Source Guard功能。
使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。
如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。
说明:
本命令只对动态绑定表生效,对静态绑定表不生效。
使用实例
# 使能VLAN100的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
system-view
[Quidway] vlan 100
[Quidway-vlan100] ip source check user-bind enable
[Quidway-vlan100] ip source check user-bind check-item ip-address
Info: Change permit rule for dynamic snooping bind-table, please wait a minute!

6         案例参考

http://support.huawei.com/ecommunity/bbs/10232127.html?p=1#p10439637
http://support.huawei.com/ecommunity/bbs/10174371.html?p=1#p10275725
http://support.huawei.com/ecommunity/bbs/10154485.html
 

7.验证配置结果

# 执行命令display arp anti-attack configuration check user-bind interface,查看各接口下动态ARP检测的配置信息,以GE1/0/1为例。

[SwitchA] display arp anti-attack configuration check user-bind interface gigabitethernet 1/0/1 arp anti-attack check user-bind enable
arp anti-attack check user-bind alarm enable

# 执行命令display arp anti-attack statistics check user-bind interface,查看各接口下动态ARP检测的ARP报文丢弃计数,以GE1/0/1为例。

[SwitchA] display arp anti-attack statistics check user-bind interface gigabitethernet 1/0/1 Dropped ARP packet number is 966
Dropped ARP packet number since the latest warning is 605

由显示信息可知,接口GE1/0/1下产生了ARP报文丢弃计数,表明防ARP中间人攻击功能已经生效。

当在各接口下多次执行命令display arp anti-attack statistics check user-bind interface时,管理员可根据显示信息中“Dropped ARP packet number is”字段值的变化来了解ARP中间人攻击频率和范围

华为核心交换机绑定IP+MAC+端口案例的更多相关文章

  1. 多网卡下对ServerSocket以TCP协议绑定IP和端口的测试

    一.引言:之前开发TCP协议的程序(C#里是Socket为主)都是基于主机上只有一个IP的,后来项目里涉及到了主机需要同时连接内外和外网的情况,在该主机上部署着一套WCS系统和一套WMS系统:WCS系 ...

  2. 阿里云服务器redis启动绑定ip 开放端口仍无法访问问题

    今天使用云服务器其redis 始终无法访问.redis.conf 这个配置文件也是改了又改.最后发现 执行redis启动命令时没有带上配置文件.仍然使用默认配置. src/redis-server  ...

  3. Network基础(四):MAC地址表及邻居信息查看、配置接口速率及双工模式、配置交换机管理IP

    一.MAC地址表及邻居信息查看 目标: 本例要求为修改计算机名并加入工作组: 查看交换机MAC地址表 查看CISCO设备邻居信息 方案: 网络拓扑,如下图所示. 步骤: 步骤一:查看交换机sw1的ma ...

  4. 固定IP和绑定了MAC,可以在设置无线路由器供笔记本电脑和平板上网吗?

    固定IP和绑定了MAC,可以在设置无线路由器供笔记本电脑和平板上网吗? 这跟我们单位一样.很简单:首先要占一个 IP/MAC ,能上外网的,这首先要有,谁要肯给地址,我们这儿领导才有呢.我是网管,当然 ...

  5. Golang client绑定本地IP和端口

    有时需要指定网络通信时本地使用的IP地址和端口号. 在Go语言中可通过定义 Dialer 中LocalAddr 成员实现. Dialer结构定义如下: // A Dialer contains opt ...

  6. ARP防火墙绑定网关MAC地址预防ARP攻击和P2P终结者

    [故障原理]  要了解故障原理,我们先来了解一下ARP协议.  在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的.ARP协议对网络安全具有重要的意义.通过伪造IP地址和M ...

  7. 华为5700交换机通过外部开源protal和本地aaa用户认证的一些问题

    http://support.huawei.com/ecommunity/bbs/10178271.html?p=1#p0 华为5700交换机通过外部开源protal和本地aaa用户认证的一些问题 各 ...

  8. Cisco 的基本配置实例之四----vlan的规划及配置(核心交换机)

    4.vlan的规划及配置 在本节中我们讲解vlan的规划及具体的配置命令.在此例中我们用的是vtp(VLAN Trunking Protocol)server的模式,在这种模式中我们需要配置核心交换机 ...

  9. 华为S5700交换机初始化和配置SSH和TELNET远程登录方法

    基础设置: 配置登陆IP地址<Quidway> system-view                                                            ...

随机推荐

  1. python单引号(')、双引号(")、三引号(''',""")

    python对字符串的表示方法比c更有灵活性,但是也更难理解. 为了在平时使用.看代码过程中对着单引号(').双引号(").三引号(''',""")不混淆,知道 ...

  2. SQLServer2008 导出数据库表结构和数据

    很多朋友问到sql server数据库”生成脚本”,只导出了数据库的sql脚本,而表里的数据依然没有导出来.很简单,看教程: 注:我这里用的SQLServer2008,其它版本应该差不多. 一.选中要 ...

  3. python分支语句

    一.if else语句 if 条件表达式: else: a = 3 b = 4 if a >= b: print("a >= b") else: print(" ...

  4. javascript基础学习系列-DOM盒子模型常用属性

    最近在学习DOM盒子模型,各种属性看着眼花缭乱,下面根据三个系列来分别介绍一下: client系列 clientWidth :width+(padding-left)+(padding-right)— ...

  5. python操作文件

    OS模块 1.getcwd() 用来获取当前工作目录 >>> import os >>> os.getcwd() 'D:\\Postgraduate\\Python ...

  6. NOIP2018旅游记

    2018.12.4更新: GD分数线出了,1=分数线310,1=了 好歹能和cyp交代了吧) 2018.11.28更新: 不好意思,太懒了,加上我也不记得后来发生什么了,总之就这样太监了. noip2 ...

  7. ad 层次绘图遇到的元件堆积问题

    元器件复用一般我们使用 reapeat 来复用 总线形式引出各个引脚,有时候我们也可以通过简单的复制实现.但是注意上图 原理图作为一个元件使用,他和单个元件一样必须有唯一ID,名字,不然也会出现冲突, ...

  8. Windows8下安装ubuntu

    这类文章堪称多如牛毛,也有很多种方法.此处记录的是我试验成功的一种,Windows 8 + ubuntu + easyBCD,简单粗暴,只记操作,不讲原理. 一.腾空间 在Windows下,首先要给u ...

  9. 关于servelet入门介绍

    servelet 容器 将前台的请求转发给后台        接受 http 表单, 后台处理操作数据库并且放回用户 .(粗劣) 手工编写第一个Servlet 1, 继承httpservlet 2, ...

  10. windows hook 钩子

    windows  hook  钩子 场景: 1.打印机 Ctrl+P弹出支付窗口,付款成功后打印