IPSG配置可参考如下示例:
S机IPSG可以实现IP、MAC、VLAN和接口的任意绑定,检查IP报文合法性,与绑定表匹配则转发,不匹配则丢弃。
S机 IPSG配置分为两个步骤:
1. 配置user-bind绑定表;
2. 在相应vlan或接口视图下使能IP报文检查功能。
-静态配置示例
[HUAWEI] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 /创建绑定表项
[HUAWEI] user-bind static ip-address 10.0.0.11 mac-address 0002-0002-0002
[HUAWEI] interface gigabitethernet 0/0/1 //使能IP报文检查功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable
[HUAWEI-GigabitEthernet0/0/1] quit
-动态配置示例
[HUAWEI] dhcp enable //
[HUAWEI] dhcp snooping enable //
[HUAWEI] vlan 10 //进入VLAN10视图
[HUAWEI-vlan10] dhcp snooping enable //在VLAN视图下使能DHCP Snooping功能
[HUAWEI-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/3 //将连接DHCP Server的GE0/0/3接口配置为信任接口
[HUAWEI-vlan10] ip source check user-bind enable //基于VLAN使能IPSG检查功能
[HUAWEI-vlan10] quit
S机IPSG可以实现IP、MAC、VLAN和接口的任意绑定,检查IP报文合法性,与绑定表匹配则转发,不匹配则丢弃。
S机 IPSG配置分为两个步骤:
1. 配置user-bind绑定表;
2. 在相应vlan或接口视图下使能IP报文检查功能。
-静态配置示例
[HUAWEI] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 /创建绑定表项
[HUAWEI] user-bind static ip-address 10.0.0.11 mac-address 0002-0002-0002
[HUAWEI] interface gigabitethernet 0/0/1 //使能IP报文检查功能
[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable
[HUAWEI-GigabitEthernet0/0/1] quit
-动态配置示例
[HUAWEI] dhcp enable //
[HUAWEI] dhcp snooping enable //
[HUAWEI] vlan 10 //进入VLAN10视图
[HUAWEI-vlan10] dhcp snooping enable //在VLAN视图下使能DHCP Snooping功能
[HUAWEI-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/3 //将连接DHCP Server的GE0/0/3接口配置为信任接口
[HUAWEI-vlan10] ip source check user-bind enable //基于VLAN使能IPSG检查功能
[HUAWEI-vlan10] quit
文章转载自DevOps架构实战,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
