1         案例背景

某网络改造项目,核心交换机为华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24;客户端接入交换机2通过Trunk模式与核心交换机连接,该交换机下有俩个Vlan,Vlan3 192.168.3.0/24 Vlan4 192.168.4.0/24,服务器接入交换机通过Access模式与核心交换机连接,该交换机下只有一个Vlan4 192.168.4.0/24;所有客户端、服务器网关均位于核心交换机上;

2         目前网络存在的缺陷

由于目前网络管理比较松散,IP管理不够完善,客户端可以任意接入,外单位人员将PC设备设为相应网段也即可接入,故对目前网络照成管理困难及安全隐患,客户希望在本次网络改造中将所有客户端IP与MAC绑定,未绑定的客户端不能接入网络,对于服务器网段不进行操作(即未操作网段不受影响);

3         解决方案

按客户所需要求,常用方法可以在客户端接入交换机上进行IP+MAC+端口绑定,其他未使用端口关闭,但该方法需要逐个登陆接入交换机进行操作,由于网络建设初期距离网络改造时间较远,部分接入交换机账号密码已经遗忘,且现在为生产网络,如果逐个交换机破解密码,势必会造成网络中断,现在网络环境中,客户端与服务器均有明确Vlan划分,故选择在华为S5700核心交换机上通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定,具体配置思想为首先在VLAN下配置的静态绑定表,绑定客户端的的IP和MAC,然后在与接入交换机相连的接口上配置IP和ARP报文检查功能。

4         配置步骤  4.1    配置模拟环境基础网络

Step1、    S5700核心交换机配置
Step2、    客户端接入交换机2配置
Step3、    客户端配置
按拓扑标志为客户端分别配置IP地址、网关;
Client1: IP 192.168.2.2/24 GW 192.168.2.1
Client2: IP 192.168.2.3/24 GW 192.168.2.1
Client3: IP 192.168.3.2/24 GW 192.168.3.1
Client4: IP 192.168.4.2/24 GW 192.168.4.1
Client5: IP 192.168.5.2/24 GW 192.168.5.1
配置完毕通过Ping测试确认配置无误

4.2    配置IP+MAC+端口绑定

此处模拟位于Vlan2下的Client2为非法客户端,在信息中心台账中无该客户端也即在核心交换机上未对该客户端进行绑定;
以下配置均在核心交换机华为S5700进行
Step1、    启用DHCP Snooping功能
[Huawei]dhcp enable
[Huawei]dhcp snooping enable
//启用DHCP Snooping功能;
结果如下
Step2、    对目标Vlan启用Vlan检测功能
在模拟环境下vlan2/3/4为客户端Vlan,也即只对客户端Vlan进行操作,不对服务器Vlan5操作;
[Huawei]vlan 2
[Huawei-vlan2] dhcp snooping enable
[Huawei-vlan2]quit
对其他目标Vlan进行相同操作结果如下
(在生产环境下测试,在Vlan下添加ip source check user-bind enable,绑定命令如下后user-bind static ip-address 192.168.3.222 mac-address 3c97-0e60-0fe1 vlan 683,可以不对端口做操作;)
Step3、    对目标端口启用端口检测功能
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] arp anti-attack check user-bind enable
//启用arp 协议抗攻击检查绑定服务
[Huawei-GigabitEthernet0/0/2] ip source check user-bind enable
//启用端口检测功能
对其他目标端口进行相同操作结果如下
Step4、    绑定客户端IP+MAC+端口
[Huawei]user-bind static ip-address 192.168.2.2 mac-address 5489-9852-137A interface GigabitEthernet 0/0/2
对其他客户端进行相同操作结果如下
Step5、    测试结果
通过PING测试可以得到结果,漏绑的客户端不能访问网络;

5         命令参考

ip source check user-bind check-item(接口视图)
命令功能
ip source check user-bind check-item命令用来配置IP报文的检查选项。
undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。
缺省情况下,IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址、VLAN三项。
命令格式
ip source check user-bind check-item { ip-address | mac-address | vlan }*
undo ip source check user-bind check-item
参数说明
参数
参数说明
取值
ip-address
检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
-
mac-address
检查IP报文的MAC地址是否匹配绑定表。
-
vlan
检查IP报文的VLAN是否匹配绑定表。
-
视图
GE接口视图、XGE接口视图、端口组视图、Eth-Trunk接口视图
缺省级别
2:配置级
使用指南
本命令生效的前提是接口下通过ip source check user-bind enable命令使能IP Source Guard功能。
使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。
如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。
说明:
本命令只对动态绑定表生效,对静态绑定表不生效。
使用实例
# 使能GE0/0/1接口的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
system-view
[Quidway] interface gigabitethernet 0/0/1
[Quidway-GigabitEthernet0/0/1] ip source check user-bind enable
[Quidway-GigabitEthernet0/0/1] ip source check user-bind check-item ip-address

[Quidway-GigabitEthernet0/0/1] arp anti-attack check user-bind enable   
[Quidway-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm enable

Info: Change permit rule for dynamic snooping bind-table, please wait a minute!
ip source check user-bind check-item(VLAN视图)
命令功能
ip source check user-bind check-item命令用来配置VLAN下IP报文的检查选项。
undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。
缺省情况下,VLAN下IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址和接口。
命令格式
ip source check user-bind check-item { ip-address | mac-address | interface }*
undo ip source check user-bind check-item
参数说明
参数
参数说明
取值
ip-address
检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
-
mac-address
检查IP报文的MAC地址是否匹配绑定表。
-
interface
检查IP报文的接口是否匹配绑定表。
-
视图
VLAN视图
缺省级别
2:配置级
使用指南
本命令生效的前提是VLAN下通过ip source check user-bind enable命令使能IP Source Guard功能。
使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。
如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。
说明:
本命令只对动态绑定表生效,对静态绑定表不生效。
使用实例
# 使能VLAN100的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
system-view
[Quidway] vlan 100
[Quidway-vlan100] ip source check user-bind enable
[Quidway-vlan100] ip source check user-bind check-item ip-address
Info: Change permit rule for dynamic snooping bind-table, please wait a minute!

6         案例参考

http://support.huawei.com/ecommunity/bbs/10232127.html?p=1#p10439637
http://support.huawei.com/ecommunity/bbs/10174371.html?p=1#p10275725
http://support.huawei.com/ecommunity/bbs/10154485.html
 

7.验证配置结果

# 执行命令display arp anti-attack configuration check user-bind interface,查看各接口下动态ARP检测的配置信息,以GE1/0/1为例。

[SwitchA] display arp anti-attack configuration check user-bind interface gigabitethernet 1/0/1 arp anti-attack check user-bind enable

 arp anti-attack check user-bind alarm enable

# 执行命令display arp anti-attack statistics check user-bind interface,查看各接口下动态ARP检测的ARP报文丢弃计数,以GE1/0/1为例。

[SwitchA] display arp anti-attack statistics check user-bind interface gigabitethernet 1/0/1 Dropped ARP packet number is 966

 Dropped ARP packet number since the latest warning is 605

由显示信息可知,接口GE1/0/1下产生了ARP报文丢弃计数,表明防ARP中间人攻击功能已经生效。

当在各接口下多次执行命令display arp anti-attack statistics check user-bind interface时,管理员可根据显示信息中“Dropped ARP packet number is”字段值的变化来了解ARP中间人攻击频率和范围

华为核心交换机绑定IP+MAC+端口案例的更多相关文章

  1. 多网卡下对ServerSocket以TCP协议绑定IP和端口的测试

    一.引言:之前开发TCP协议的程序(C#里是Socket为主)都是基于主机上只有一个IP的,后来项目里涉及到了主机需要同时连接内外和外网的情况,在该主机上部署着一套WCS系统和一套WMS系统:WCS系 ...

  2. 阿里云服务器redis启动绑定ip 开放端口仍无法访问问题

    今天使用云服务器其redis 始终无法访问.redis.conf 这个配置文件也是改了又改.最后发现 执行redis启动命令时没有带上配置文件.仍然使用默认配置. src/redis-server  ...

  3. Network基础(四):MAC地址表及邻居信息查看、配置接口速率及双工模式、配置交换机管理IP

    一.MAC地址表及邻居信息查看 目标: 本例要求为修改计算机名并加入工作组: 查看交换机MAC地址表 查看CISCO设备邻居信息 方案: 网络拓扑,如下图所示. 步骤: 步骤一:查看交换机sw1的ma ...

  4. 固定IP和绑定了MAC,可以在设置无线路由器供笔记本电脑和平板上网吗?

    固定IP和绑定了MAC,可以在设置无线路由器供笔记本电脑和平板上网吗? 这跟我们单位一样.很简单:首先要占一个 IP/MAC ,能上外网的,这首先要有,谁要肯给地址,我们这儿领导才有呢.我是网管,当然 ...

  5. Golang client绑定本地IP和端口

    有时需要指定网络通信时本地使用的IP地址和端口号. 在Go语言中可通过定义 Dialer 中LocalAddr 成员实现. Dialer结构定义如下: // A Dialer contains opt ...

  6. ARP防火墙绑定网关MAC地址预防ARP攻击和P2P终结者

    [故障原理]  要了解故障原理,我们先来了解一下ARP协议.  在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的.ARP协议对网络安全具有重要的意义.通过伪造IP地址和M ...

  7. 华为5700交换机通过外部开源protal和本地aaa用户认证的一些问题

    http://support.huawei.com/ecommunity/bbs/10178271.html?p=1#p0 华为5700交换机通过外部开源protal和本地aaa用户认证的一些问题 各 ...

  8. Cisco 的基本配置实例之四----vlan的规划及配置(核心交换机)

    4.vlan的规划及配置 在本节中我们讲解vlan的规划及具体的配置命令.在此例中我们用的是vtp(VLAN Trunking Protocol)server的模式,在这种模式中我们需要配置核心交换机 ...

  9. 华为S5700交换机初始化和配置SSH和TELNET远程登录方法

    基础设置: 配置登陆IP地址<Quidway> system-view                                                            ...

随机推荐

  1. 【死磕jeesite源码】mybatis动态调用表名和字段名

    本文转载自夏雪冬日 一直在使用Mybatis这个ORM框架,都是使用mybatis里的一些常用功能.今天在项目开发中有个业务是需要限制各个用户对某些表里的字段查询以及某些字段是否显示,如某张表的某些字 ...

  2. 10.5Djang admin 管理工具

    2018-10-5 17:30:57 Django admin 管理工具  参考连接: https://www.cnblogs.com/yuanchenqi/articles/8323452.html ...

  3. Android性能测试--内存

    前言: 近阶段都在探索android性能测试方面的东西,其中一个很重要的指标就是内存.对于内存,主要是一些gc是不是及时,或者说一些引用有没有及时释放,有没有导致oom或者内存持续增加导致卡顿,有没有 ...

  4. np.unravel_index

      >>> np.unravel_index([22, 41, 37], (7,6)) (array([3, 6, 6]), array([4, 5, 1]))>>> ...

  5. 在CentOS中安装arial字体

    验证码不能正常显示是因为 linux 没有字体 1. widonws下载字体文件到Linux windows的字体比较多,其字体文件位于 C:\WINDOWS\Fonts . 从其中copy相应的字体 ...

  6. Processing-基础小坑-

    x 坑A:) 新建一个"Walker"项目,Walker.pde,必须在Walker文件夹下... 刚开始以为如果一个文件需要引用另外一个文件中的类,只要把这两个文件放一个文件夹下 ...

  7. HDU 5950 - Recursive sequence - [矩阵快速幂加速递推][2016ACM/ICPC亚洲区沈阳站 Problem C]

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=5950 Farmer John likes to play mathematics games with ...

  8. Scss基础用法

    Scss基础用法 一.注释用法: (1)//comment:该注释只是在.scss源文件中有,编译后的css文件中没有. (2)/! /:重要注释,任何style的css文件中都会有,一般放置css文 ...

  9. iOS 限制输入字数

    关于限制输入字数以前也做过,网上也很多方法.但都不够完美,本方法可防止中文联想.粘贴等突破长途限制.可防止Emoji截为两半导致编码出问题. - (void)textFieldDidChange:(U ...

  10. docker管理工具protainer

    ortainer(基于 Go) 是一个轻量级的Web管理界面,可让您轻松管理 Docker 主机 或 Swarm 集群.