精华内容
下载资源
问答
  • 华为交换机怎么绑定绑定ip地址/MAC地址?主要是预防IP地址被盗用等网络安全威胁的问题,该怎么设置绑定呢?下面我们就来看看详细的设置教程,需要的朋友可以参考下
  • 华为三层交换机绑定IP和MAC地址

    千次阅读 2020-12-09 16:31:18
    现在需要绑定“研发部”的所有电脑的IP和MAC地址 所有vlan和端口信息如下 由于之前搭建的时候所有电脑都是自动获取ip的,dhcp配置这里就不重述了,开始讲述如何绑定 1.开启dhcp snooping 2.进入vlan200(研发部)...

    假设OldMonster模具公司环境如下
    现在需要绑定“研发部”的所有电脑的IP和MAC地址
    在这里插入图片描述

    所有vlan和端口信息如下
    在这里插入图片描述
    由于之前搭建的时候所有电脑都是自动获取ip的,dhcp配置这里就不重述了,开始讲述如何绑定
    1.开启dhcp snooping
    在这里插入图片描述
    2.进入vlan200(研发部)
    在这里插入图片描述
    3.在vlan200里开启dhcp snooping 功能
    在这里插入图片描述
    4.开启vlan200的IPSG检查功能
    在这里插入图片描述
    5.输入display dhcp snooping user-bind all可以查看DHCP Shooping 动态绑定表
    注意:这是在工作状态下配置的,研发部电脑需要重启一遍才能绑定上,当然不重启也会发现配置之后电脑明明获取到了ip但是网络停止工作包括内网。
    在这里插入图片描述
    这里是DHCP Snooping动态绑定表的方式还有一种静态绑定表
    静态绑定表:通过user-bind命令手动配置,适用于局域网主机较少,且主机使用静态配置IP地址的网络环境。

    DHCP Snooping动态绑定表:配置DHCP Snooping功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP恢复报文动态生成。该方式适用于局域网主机较多,且主机使用DHCP动态获取IP地址的网络环境

    展开全文
  • 华为交换机ip地址与MAC地址绑定

    千次阅读 2020-04-23 10:43:17
    全局模式下输入: user-bind static ip-address 192.168.2.1 mac-address 5489-981b-6e1b interface ...端口模式下输入: interface GigabitEthernet0/0/5 port link-type access port default vlan 4 ip s...

    全局模式下输入:
    user-bind static ip-address 192.168.2.1 mac-address 5489-981b-6e1b interface GigabitEthernet0/0/1 vlan 2
    端口模式下输入:
    interface GigabitEthernet0/0/5
    port link-type access
    port default vlan 4
    ip source check user-bind enable

    展开全文
  • 交换机端口MAC地址绑定命令
  • 华为核心交换机绑定IP+MAC+端口案例

    万次阅读 多人点赞 2018-05-31 22:24:07
    1 案例背景 某网络改造项目,核心交换机华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24;客户端接入交换机2...
    1         案例背景
      
    
    某网络改造项目,核心交换机为华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24;客户端接入交换机2通过Trunk模式与核心交换机连接,该交换机下有俩个Vlan,Vlan3 192.168.3.0/24 Vlan4 192.168.4.0/24,服务器接入交换机通过Access模式与核心交换机连接,该交换机下只有一个Vlan4 192.168.4.0/24;所有客户端、服务器网关均位于核心交换机上;
      
         2         目前网络存在的缺陷   
    由于目前网络管理比较松散,IP管理不够完善,客户端可以任意接入,外单位人员将PC设备设为相应网段也即可接入,故对目前网络照成管理困难及安全隐患,客户希望在本次网络改造中将所有客户端IP与MAC绑定,未绑定的客户端不能接入网络,对于服务器网段不进行操作(即未操作网段不受影响);
       3         解决方案   
    按客户所需要求,常用方法可以在客户端接入交换机上进行IP+MAC+端口绑定,其他未使用端口关闭,但该方法需要逐个登陆接入交换机进行操作,由于网络建设初期距离网络改造时间较远,部分接入交换机账号密码已经遗忘,且现在为生产网络,如果逐个交换机破解密码,势必会造成网络中断,现在网络环境中,客户端与服务器均有明确Vlan划分,故选择在华为S5700核心交换机上通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定,具体配置思想为首先在VLAN下配置的静态绑定表,绑定客户端的的IP和MAC,然后在与接入交换机相连的接口上配置IP和ARP报文检查功能。
       4         配置步骤    4.1    配置模拟环境基础网络   
    Step1、    S5700核心交换机配置
      
      
          
    Step2、    客户端接入交换机2配置
      
      
          
    Step3、    客户端配置
      
    按拓扑标志为客户端分别配置IP地址、网关;
      
    Client1: IP 192.168.2.2/24 GW 192.168.2.1
      
    Client2: IP 192.168.2.3/24 GW 192.168.2.1
      
    Client3: IP 192.168.3.2/24 GW 192.168.3.1
      
    Client4: IP 192.168.4.2/24 GW 192.168.4.1
      
    Client5: IP 192.168.5.2/24 GW 192.168.5.1
      
    配置完毕通过Ping测试确认配置无误
      
         4.2    配置IP+MAC+端口绑定   
    此处模拟位于Vlan2下的Client2为非法客户端,在信息中心台账中无该客户端也即在核心交换机上未对该客户端进行绑定;
      
    以下配置均在核心交换机华为S5700进行
      
    Step1、    启用DHCP Snooping功能
      
    [Huawei]dhcp enable
      
    [Huawei]dhcp snooping enable
      
    //启用DHCP Snooping功能;
      
    结果如下
      
       
    Step2、    对目标Vlan启用Vlan检测功能
      
    在模拟环境下vlan2/3/4为客户端Vlan,也即只对客户端Vlan进行操作,不对服务器Vlan5操作;
      
    [Huawei]vlan 2
      
    [Huawei-vlan2] dhcp snooping enable
      
    [Huawei-vlan2]quit
      
    对其他目标Vlan进行相同操作结果如下
      
       
    (在生产环境下测试,在Vlan下添加ip source check user-bind enable,绑定命令如下后user-bind static ip-address 192.168.3.222 mac-address 3c97-0e60-0fe1 vlan 683,可以不对端口做操作;)
      
    Step3、    对目标端口启用端口检测功能
      
    [Huawei] interface GigabitEthernet0/0/2
      
    [Huawei-GigabitEthernet0/0/2] arp anti-attack check user-bind enable
      
    //启用arp 协议抗攻击检查绑定服务
      
    [Huawei-GigabitEthernet0/0/2] ip source check user-bind enable
      
    //启用端口检测功能
      
    对其他目标端口进行相同操作结果如下
      
       
    Step4、    绑定客户端IP+MAC+端口
      
    [Huawei]user-bind static ip-address 192.168.2.2 mac-address 5489-9852-137A interface GigabitEthernet 0/0/2
      
    对其他客户端进行相同操作结果如下
      
       
    Step5、    测试结果
      
    通过PING测试可以得到结果,漏绑的客户端不能访问网络;
      
         5         命令参考   
    ip source check user-bind check-item(接口视图)
      
    命令功能
      
    ip source check user-bind check-item命令用来配置IP报文的检查选项。
      
    undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。
      
    缺省情况下,IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址、VLAN三项。
      
    命令格式
      
    ip source check user-bind check-item { ip-address | mac-address | vlan }*
      
    undo ip source check user-bind check-item
      
    参数说明
      
    参数
    参数说明
    取值
    ip-address
    检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
    -
    mac-address
    检查IP报文的MAC地址是否匹配绑定表。
    -
    vlan
    检查IP报文的VLAN是否匹配绑定表。
    -
      
    视图
      
    GE接口视图、XGE接口视图、端口组视图、Eth-Trunk接口视图
      
    缺省级别
      
    2:配置级
      
    使用指南
      
    本命令生效的前提是接口下通过ip source check user-bind enable命令使能IP Source Guard功能。
      
    使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。
      
    如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。
      
    说明:
      
    本命令只对动态绑定表生效,对静态绑定表不生效。
      
    使用实例
      
    # 使能GE0/0/1接口的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
      
    system-view
      
    [Quidway] interface gigabitethernet 0/0/1
    [Quidway-GigabitEthernet0/0/1] ip source check user-bind enable
    [Quidway-GigabitEthernet0/0/1] ip source check user-bind check-item ip-address
    [Quidway-GigabitEthernet0/0/1] arp anti-attack check user-bind enable   
    [Quidway-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm enable
      
    Info: Change permit rule for dynamic snooping bind-table, please wait a minute!
      
      
    ip source check user-bind check-item(VLAN视图)
      
    命令功能
      
    ip source check user-bind check-item命令用来配置VLAN下IP报文的检查选项。
      
    undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。
      
    缺省情况下,VLAN下IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址和接口。
      
    命令格式
      
    ip source check user-bind check-item { ip-address | mac-address | interface }*
      
    undo ip source check user-bind check-item
      
    参数说明
      
    参数
    参数说明
    取值
    ip-address
    检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
    -
    mac-address
    检查IP报文的MAC地址是否匹配绑定表。
    -
    interface
    检查IP报文的接口是否匹配绑定表。
    -
      
    视图
      
    VLAN视图
      
    缺省级别
      
    2:配置级
      
    使用指南
      
    本命令生效的前提是VLAN下通过ip source check user-bind enable命令使能IP Source Guard功能。
      
    使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。
      
    如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。
      
    说明:
      
    本命令只对动态绑定表生效,对静态绑定表不生效。
      
    使用实例
      
    # 使能VLAN100的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
      
    system-view
      
    [Quidway] vlan 100
      
    [Quidway-vlan100] ip source check user-bind enable
      
    [Quidway-vlan100] ip source check user-bind check-item ip-address
      
    Info: Change permit rule for dynamic snooping bind-table, please wait a minute!
      
       6         案例参考   
    http://support.huawei.com/ecommunity/bbs/10232127.html?p=1#p10439637
      
    http://support.huawei.com/ecommunity/bbs/10174371.html?p=1#p10275725
      
    http://support.huawei.com/ecommunity/bbs/10154485.html



    7.验证配置结果

    # 执行命令display arp anti-attack configuration check user-bind interface,查看各接口下动态ARP检测的配置信息,以GE1/0/1为例。

    [SwitchA] display arp anti-attack configuration check user-bind interface gigabitethernet 1/0/1 arp anti-attack check user-bind enable
     arp anti-attack check user-bind alarm enable
    

    # 执行命令display arp anti-attack statistics check user-bind interface,查看各接口下动态ARP检测的ARP报文丢弃计数,以GE1/0/1为例。

    [SwitchA] display arp anti-attack statistics check user-bind interface gigabitethernet 1/0/1 Dropped ARP packet number is 966                                                 
     Dropped ARP packet number since the latest warning is 605
    

    由显示信息可知,接口GE1/0/1下产生了ARP报文丢弃计数,表明防ARP中间人攻击功能已经生效。

    当在各接口下多次执行命令display arp anti-attack statistics check user-bind interface时,管理员可根据显示信息中“Dropped ARP packet number is”字段值的变化来了解ARP中间人攻击频率和范围

    展开全文
  • 全局模式下输入: user-bind static ip-address 192.168.x.x mac-address xxxx-...端口模式下输入: interface GigabitEthernet0/0/2 port link-type access port default vlan x ip source check user-bind enable ...

    全局模式下输入:
    user-bind static ip-address  192.168.x.x  mac-address xxxx-xxxx-xxxx interface GigabitEthernet0/0/1 vlan x


    端口模式下输入:
    interface GigabitEthernet0/0/2
    port link-type access
    port default vlan x
    ip source check user-bind enable

    展开全文
  • 背景:网络安全整改阶段,部分项目提出需要将设备的MAC绑定到固定的交换机,并且划分固定VLAN。 实例:如图 图 1-20 所示,用户主机 PC1 的 MAC 地址为 0002-0002-0002,用户主机 PC2 的 MAC 地址为 0003-0003-0003...
  • 华为交换机端口-MAC绑定AND解除绑定

    万次阅读 2015-07-24 09:56:10
    作用:查看交换机的简单运行状态和统计信息 查看交换机的全部运行状态和统计信息,进行文件管理和系统管理 进入方式:与交换机建立连接即进入 quit断开与交换机连接 2. 系统视图 [Quidway]...
  • 设备 华为S5735S-S24T4S-A ...1.华为交换机根据已知一个IP查他对应的MAC地址 dis arp | include 192.168.1.11 显示 IP ADDRESS MAC ADDRESS E XPIRE(M) TYPE INTERFACE VPN-INSTANCE VLAN 192.168.1.11
  • 华为交换机MAC+IP端口绑定的配置

    千次阅读 2010-02-22 14:59:19
    出于安全性考虑,把交换机下挂pc的mac地址IP做一绑定,这样只有特定的mac和ip才可以访问特定的端口,不让客户随意更改自己的IP地址,而且其他pc插到我用的这个端口上也是无法访问网络资源,下面我们来共同研究一下...
  • 华为s5700交换机IP地址与MAC地址绑定

    千次阅读 2020-02-13 15:47:54
    [SW1]dhcp enable //开启dhcp服务 [SW1]vlan 10 //创建...[SW1]ip pool vlan10 //新建地址池名为vlan10 [SW1]gateway-list 192.168.1.254 //设置网关 [SW1]network 192.168.1.0 maks 255.255.255.0 //设置网段 ...
  • //本文档主要介绍交换机地址绑定基本流程和用到的命令; //不记得命令可以输入?查看,或在一段命令中用‘TAB’键进行命令补全:如”user-b s mac-a 'TAB' //此处,将自动补全命令为user-b s mac-address; 终端...
  • 1、mac地址与ip地址一一绑定。 V100r002版本: 直接在物理接口上: Interface Ethernet 0/0/1 User-bind static ip-address 1.1.1.1 mac-address 1111-11111-1111 V100R005 在sys模式下: User-bind ...
  • 配置: 配置过程比较简单(我这三层交换机有开启dhcp功能和划分vlan),先配置静态的IP+mac的表项,如果没配置表项千万不要开启功能。如果在VLAN下配置了命令,但是又没有表项,则会导致所有人都无法上网。 点击web...
  • 没有华为5700交换机ip地址、mac地址、交换机端口如何做绑定求大神解决
  • IPSG是一种基于二层接口的源IP地址过滤技术,它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成,包括静态和动态两种。静态绑定表是用户手工创建的,动态绑定表即DHCP Snooping...
  • (ensp)华为交换机链路绑定的配置

    千次阅读 2019-11-05 17:16:45
    这里是两层交换机之间进行链路绑定 PC10设置IP: PC11的IP设置: 交换机进行配置: 创建Eth-Trunk; int Eth-Trunk 1 再进入端口端口加入Eth-Trunk 1 之中 interface GigabitEthernet0/0/1 eth-trunk 1 quit ...
  • 今天同事离职,需要解除他的个人笔记本Mac与ip的绑定 首先进入系统用户视图,然后进入vlanif4,解除151绑定 system-view ...发现提示如下错误,“此静态ip地址用户正在使用”。 然后,quit或者Ct...
  • H3C-交换机端口绑定

    2016-08-31 18:55:00
    1.端口和MAC地址绑定: (1)使用am命令: [switch]am user-bind mac-address 00e0-fc23-f8d3 interface Ehternet 0/1 (2)使用mac-address命令: [switch]mac-address static 00e0-fc23-f8d3 interface ...
  • 1、 问题描述 华为交换机IP与MAC绑定,建立访问控制列表,实现只有经批准的PC才能接入网络。 2、 解决方案 建立访问控制列表 >system-view 进入系统模式]acl number 6000 建立访问控制列表]rule 0 ...
  • 虚拟网卡IP地址 192.168.56.1 Vlan2 IP地址 192.168.56.2(虚拟网卡192.168.56.1的网关) vlan3 IP地址 192.168.6.1(作用域vlan3网关) vlan4 IP地址 192.168.10.1(作用域vlan4网关) vlan5 IP地址 192.168....
  • 刚到公司,终于有机会接触二层交换机配置了,呵呵,公司用华为s3026二层交换机做MAC与IP绑定 步骤:进入DOS命令界面 1.telnet s3026的IP--暂时还没配置过此IP 2.输入密码 3.system-view或输入sys后直接按tab键...
  • 固定物理端口下所连接的设备(根据IP或MAC地址进行过滤) 当出现异常,能够检测并可采取相应的安全措施 上述需求,可通过交换机的Port-Security功能来实现: 端口安全Port-Security特点 交换机大多工作在OSI...
  • 一、IP地址分配的方法、方式和结果长期以来,关于IP地址分配的词汇很多,让网络管理人员感到麻烦,概念上相互交叉,极易混淆。其中常见的六个词汇是:动态IP、静态IP、手设IP、DHCP分配、固定IP、非固定IP等静态IP...
  • 华为交换机路由器常见开局配置指导 目 录 1 如何登陆管理设备 .......................................................... 5 1.1 通过Console登录设备 .................................................. 5 1.2 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,987
精华内容 794
关键字:

华为交换机端口绑定ip地址