1         案例背景

某网络改造项目,核心交换机为华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24;客户端接入交换机2通过Trunk模式与核心交换机连接,该交换机下有俩个Vlan,Vlan3 192.168.3.0/24 Vlan4 192.168.4.0/24,服务器接入交换机通过Access模式与核心交换机连接,该交换机下只有一个Vlan4 192.168.4.0/24;所有客户端、服务器网关均位于核心交换机上;

2         目前网络存在的缺陷

由于目前网络管理比较松散,IP管理不够完善,客户端可以任意接入,外单位人员将PC设备设为相应网段也即可接入,故对目前网络照成管理困难及安全隐患,客户希望在本次网络改造中将所有客户端IP与MAC绑定,未绑定的客户端不能接入网络,对于服务器网段不进行操作(即未操作网段不受影响);

3         解决方案

按客户所需要求,常用方法可以在客户端接入交换机上进行IP+MAC+端口绑定,其他未使用端口关闭,但该方法需要逐个登陆接入交换机进行操作,由于网络建设初期距离网络改造时间较远,部分接入交换机账号密码已经遗忘,且现在为生产网络,如果逐个交换机破解密码,势必会造成网络中断,现在网络环境中,客户端与服务器均有明确Vlan划分,故选择在华为S5700核心交换机上通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定,具体配置思想为首先在VLAN下配置的静态绑定表,绑定客户端的的IP和MAC,然后在与接入交换机相连的接口上配置IP和ARP报文检查功能。

4         配置步骤  4.1    配置模拟环境基础网络

Step1、    S5700核心交换机配置
Step2、    客户端接入交换机2配置
Step3、    客户端配置
按拓扑标志为客户端分别配置IP地址、网关;
Client1: IP 192.168.2.2/24 GW 192.168.2.1
Client2: IP 192.168.2.3/24 GW 192.168.2.1
Client3: IP 192.168.3.2/24 GW 192.168.3.1
Client4: IP 192.168.4.2/24 GW 192.168.4.1
Client5: IP 192.168.5.2/24 GW 192.168.5.1
配置完毕通过Ping测试确认配置无误

4.2    配置IP+MAC+端口绑定

此处模拟位于Vlan2下的Client2为非法客户端,在信息中心台账中无该客户端也即在核心交换机上未对该客户端进行绑定;
以下配置均在核心交换机华为S5700进行
Step1、    启用DHCP Snooping功能
[Huawei]dhcp enable
[Huawei]dhcp snooping enable
//启用DHCP Snooping功能;
结果如下
Step2、    对目标Vlan启用Vlan检测功能
在模拟环境下vlan2/3/4为客户端Vlan,也即只对客户端Vlan进行操作,不对服务器Vlan5操作;
[Huawei]vlan 2
[Huawei-vlan2] dhcp snooping enable
[Huawei-vlan2]quit
对其他目标Vlan进行相同操作结果如下
(在生产环境下测试,在Vlan下添加ip source check user-bind enable,绑定命令如下后user-bind static ip-address 192.168.3.222 mac-address 3c97-0e60-0fe1 vlan 683,可以不对端口做操作;)
Step3、    对目标端口启用端口检测功能
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] arp anti-attack check user-bind enable
//启用arp 协议抗攻击检查绑定服务
[Huawei-GigabitEthernet0/0/2] ip source check user-bind enable
//启用端口检测功能
对其他目标端口进行相同操作结果如下
Step4、    绑定客户端IP+MAC+端口
[Huawei]user-bind static ip-address 192.168.2.2 mac-address 5489-9852-137A interface GigabitEthernet 0/0/2
对其他客户端进行相同操作结果如下
Step5、    测试结果
通过PING测试可以得到结果,漏绑的客户端不能访问网络;

5         命令参考

ip source check user-bind check-item(接口视图)
命令功能
ip source check user-bind check-item命令用来配置IP报文的检查选项。
undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。
缺省情况下,IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址、VLAN三项。
命令格式
ip source check user-bind check-item { ip-address | mac-address | vlan }*
undo ip source check user-bind check-item
参数说明
参数
参数说明
取值
ip-address
检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
-
mac-address
检查IP报文的MAC地址是否匹配绑定表。
-
vlan
检查IP报文的VLAN是否匹配绑定表。
-
视图
GE接口视图、XGE接口视图、端口组视图、Eth-Trunk接口视图
缺省级别
2:配置级
使用指南
本命令生效的前提是接口下通过ip source check user-bind enable命令使能IP Source Guard功能。
使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。
如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。
说明:
本命令只对动态绑定表生效,对静态绑定表不生效。
使用实例
# 使能GE0/0/1接口的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
system-view
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] ip source check user-bind enable
[Quidway-GigabitEthernet0/0/1] ip source check user-bind check-item ip-address

[Quidway-GigabitEthernet0/0/1] arp anti-attack check user-bind enable   
[Quidway-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm enable

Info: Change permit rule for dynamic snooping bind-table, please wait a minute!
ip source check user-bind check-item(VLAN视图)
命令功能
ip source check user-bind check-item命令用来配置VLAN下IP报文的检查选项。
undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。
缺省情况下,VLAN下IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址和接口。
命令格式
ip source check user-bind check-item { ip-address | mac-address | interface }*
undo ip source check user-bind check-item
参数说明
参数
参数说明
取值
ip-address
检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
-
mac-address
检查IP报文的MAC地址是否匹配绑定表。
-
interface
检查IP报文的接口是否匹配绑定表。
-
视图
VLAN视图
缺省级别
2:配置级
使用指南
本命令生效的前提是VLAN下通过ip source check user-bind enable命令使能IP Source Guard功能。
使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。
如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。
说明:
本命令只对动态绑定表生效,对静态绑定表不生效。
使用实例
# 使能VLAN100的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
system-view
[Quidway] vlan 100
[Quidway-vlan100] ip source check user-bind enable
[Quidway-vlan100] ip source check user-bind check-item ip-address
Info: Change permit rule for dynamic snooping bind-table, please wait a minute!

6         案例参考

http://support.huawei.com/ecommunity/bbs/10232127.html?p=1#p10439637
http://support.huawei.com/ecommunity/bbs/10174371.html?p=1#p10275725
http://support.huawei.com/ecommunity/bbs/10154485.html
 

7.验证配置结果

# 执行命令display arp anti-attack configuration check user-bind interface,查看各接口下动态ARP检测的配置信息,以GE1/0/1为例。

[SwitchA] display arp anti-attack configuration check user-bind interface gigabitethernet 1/0/1 arp anti-attack check user-bind enable

 arp anti-attack check user-bind alarm enable

# 执行命令display arp anti-attack statistics check user-bind interface,查看各接口下动态ARP检测的ARP报文丢弃计数,以GE1/0/1为例。

[SwitchA] display arp anti-attack statistics check user-bind interface gigabitethernet 1/0/1 Dropped ARP packet number is 966

 Dropped ARP packet number since the latest warning is 605

由显示信息可知,接口GE1/0/1下产生了ARP报文丢弃计数,表明防ARP中间人攻击功能已经生效。

当在各接口下多次执行命令display arp anti-attack statistics check user-bind interface时,管理员可根据显示信息中“Dropped ARP packet number is”字段值的变化来了解ARP中间人攻击频率和范围

华为核心交换机绑定IP+MAC+端口案例的更多相关文章

  1. 多网卡下对ServerSocket以TCP协议绑定IP和端口的测试

    一.引言:之前开发TCP协议的程序(C#里是Socket为主)都是基于主机上只有一个IP的,后来项目里涉及到了主机需要同时连接内外和外网的情况,在该主机上部署着一套WCS系统和一套WMS系统:WCS系 ...

  2. 阿里云服务器redis启动绑定ip 开放端口仍无法访问问题

    今天使用云服务器其redis 始终无法访问.redis.conf 这个配置文件也是改了又改.最后发现 执行redis启动命令时没有带上配置文件.仍然使用默认配置. src/redis-server  ...

  3. Network基础(四):MAC地址表及邻居信息查看、配置接口速率及双工模式、配置交换机管理IP

    一.MAC地址表及邻居信息查看 目标: 本例要求为修改计算机名并加入工作组: 查看交换机MAC地址表 查看CISCO设备邻居信息 方案: 网络拓扑,如下图所示. 步骤: 步骤一:查看交换机sw1的ma ...

  4. 固定IP和绑定了MAC,可以在设置无线路由器供笔记本电脑和平板上网吗?

    固定IP和绑定了MAC,可以在设置无线路由器供笔记本电脑和平板上网吗? 这跟我们单位一样.很简单:首先要占一个 IP/MAC ,能上外网的,这首先要有,谁要肯给地址,我们这儿领导才有呢.我是网管,当然 ...

  5. Golang client绑定本地IP和端口

    有时需要指定网络通信时本地使用的IP地址和端口号. 在Go语言中可通过定义 Dialer 中LocalAddr 成员实现. Dialer结构定义如下: // A Dialer contains opt ...

  6. ARP防火墙绑定网关MAC地址预防ARP攻击和P2P终结者

    [故障原理]  要了解故障原理,我们先来了解一下ARP协议.  在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的.ARP协议对网络安全具有重要的意义.通过伪造IP地址和M ...

  7. 华为5700交换机通过外部开源protal和本地aaa用户认证的一些问题

    http://support.huawei.com/ecommunity/bbs/10178271.html?p=1#p0 华为5700交换机通过外部开源protal和本地aaa用户认证的一些问题 各 ...

  8. Cisco 的基本配置实例之四----vlan的规划及配置(核心交换机)

    4.vlan的规划及配置 在本节中我们讲解vlan的规划及具体的配置命令.在此例中我们用的是vtp(VLAN Trunking Protocol)server的模式,在这种模式中我们需要配置核心交换机 ...

  9. 华为S5700交换机初始化和配置SSH和TELNET远程登录方法

    基础设置: 配置登陆IP地址<Quidway> system-view                                                            ...

随机推荐

  1. 【问题集】redis集群set报错(error) MOVED 11469 192.168.181.201:7002

    没有启动集群模式(即缺少了那个"-c"): redis-cli -c -h yourhost -p yourpost

  2. 安卓手机优化 ROOT自启动管理 + 电量管理

    一.KingRoot + 净化大师 KingRoot 主要完成ROOT 和 自启动软件的管理 这里禁止的自启动管理 对于有些软件是不太管用 比如美团 手机百度等 净化大师 主要完成 高电量的软件优化 ...

  3. d3.js 根据需求定制pie图饼图

    参考网址: http://d3pie.org/#generator 用法: 1.在网址中,跟着步骤,设置样式和效果,最后获取pie的option格式 2.引入d3.min.js和d3pie.min.j ...

  4. HTTP 响应状态码

    MDN https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Status section 10 of RFC 2616 https://tools.ie ...

  5. ajax 200 4 parseerror 的错误

    这个问题也碰到几次: 最后在网上还是找到了点线索:1.一可能是data:中的json 不规范2.js语句不规范3.我碰到的是dataType: 'json',data:是数组,最后把json改为tex ...

  6. CCPC-Wannafly Winter Camp Day4 G---置置置换【递推】【组合数】【逆元】

    置置置换 已经提交 已经通过 63.89% Total Submission:72 Total Accepted:46 题目描述 wlswlswls有一个整数nnn,他想请你算一下有多少1...n1. ...

  7. poj2728 Desert King【最优比率生成树】【Prim】【0/1分数规划】

    含[最小生成树Prim]模板. Prim复杂度为$O(n^2),适用于稠密图,特别是完全图的最小生成树的求解.   Desert King Time Limit: 3000MS   Memory Li ...

  8. docker swarm 英文参考资料阅读列表

    将自己在使用 docker swarm 过程中阅读的英文参考资料收集在这篇博文中,便于以后查阅与温习,顺带分享. 2017年8月5日之前阅读 My experience with Docker Swa ...

  9. 深度学习中的batch的大小对学习效果的影响

    Batch_size参数的作用:决定了下降的方向 极端一: batch_size为全数据集(Full Batch Learning): 好处: 1.由全数据集确定的方向能够更好地代表样本总体,从而更准 ...

  10. teamviewer 卸载干净

    1 点击开始菜单,控制面板,卸载程序,找到软直接卸载2 按住Ctrl+R,输入%AppData%,删除teamview 相关文件夹3 输入regedit打开注册表HKEY_LOCAL_MACHINE\ ...