精华内容
下载资源
问答
  • 华为交换机怎么绑定绑定ip地址/MAC地址?主要是预防IP地址被盗用等网络安全威胁的问题,该怎么设置绑定呢?下面我们就来看看详细的设置教程,需要的朋友可以参考下
  • 为了防止ARP攻击,我们经常需要在三层交换机上做IP地址与MAC地址的绑定操作,以华为交换机为例,一般需要执行如下一些命令:1、查看arp记录,即ipmac的对应表disp arp | in简单解释一下这个命令:disp:是display...

    为了防止ARP攻击,我们经常需要在三层交换机上做IP地址与MAC地址的绑定操作,

    以华为交换机为例,一般需要执行如下一些命令:

    1、查看arp记录,即ip与mac的对应表

    disp arp | in

    简单解释一下这个命令:

    disp:是display的简写

    arp:display arp表示显示所有arp缓存里面的记录

    |:管道,这个不解释,懂命令行的人都应该有点管道的常识

    in:是include命令的简写,用于进行查询

    :可以指定一个ip或mac,disp arp将显示所有的记录,加了include xxx后,就可以查指定IP或MAC的arp记录,华为交换机绑定IP与MAC地址》(https://www.unjs.com)。

    2、绑定IP地址与MAC地址

    先要进入System-View模式,输入"sys"即可。

    system-view:

    [s3928]arp static 121.221.60.211 0013-3909-d0aa

    这个就不多说了吧,注意一下MAC地址模式,跟我们Windows系统里面显示的HH-HH-HH-HH-HH-HH的格式似乎有点不同,有木有?

    绑定之后,再用disp arp查看它这一条记录时,Type值会显示为static(静态的),这表示你手动绑定的。如果你没有手工绑定,交换机也有学习的功能,他学习到的IP与MAC的对应记录,Type值为dynamic(动静的)。

    3、解除绑定

    [s3928]undo arp 221.231.142.248

    最后,提醒一下,如果给一个IP绑定一个错误的MAC地址,那么这个IP就上不了网了。这可以拿来干什么,我不说你也懂的。

    展开全文
  • 华为三层交换机绑定IP和MAC地址

    千次阅读 2020-12-09 16:31:18
    现在需要绑定“研发部”的所有电脑的IP和MAC地址 所有vlan端口信息如下 由于之前搭建的时候所有电脑都是自动获取ip的,dhcp配置这里就不重述了,开始讲述如何绑定 1.开启dhcp snooping 2.进入vlan200(研发部)...

    假设OldMonster模具公司环境如下
    现在需要绑定“研发部”的所有电脑的IP和MAC地址
    在这里插入图片描述

    所有vlan和端口信息如下
    在这里插入图片描述
    由于之前搭建的时候所有电脑都是自动获取ip的,dhcp配置这里就不重述了,开始讲述如何绑定
    1.开启dhcp snooping
    在这里插入图片描述
    2.进入vlan200(研发部)
    在这里插入图片描述
    3.在vlan200里开启dhcp snooping 功能
    在这里插入图片描述
    4.开启vlan200的IPSG检查功能
    在这里插入图片描述
    5.输入display dhcp snooping user-bind all可以查看DHCP Shooping 动态绑定表
    注意:这是在工作状态下配置的,研发部电脑需要重启一遍才能绑定上,当然不重启也会发现配置之后电脑明明获取到了ip但是网络停止工作包括内网。
    在这里插入图片描述
    这里是DHCP Snooping动态绑定表的方式还有一种静态绑定表
    静态绑定表:通过user-bind命令手动配置,适用于局域网主机较少,且主机使用静态配置IP地址的网络环境。

    DHCP Snooping动态绑定表:配置DHCP Snooping功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP恢复报文动态生成。该方式适用于局域网主机较多,且主机使用DHCP动态获取IP地址的网络环境

    展开全文
  • 华为核心交换机绑定IP+MAC+端口案例

    万次阅读 多人点赞 2018-05-31 22:24:07
    1 案例背景 某网络改造项目,核心交换机华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24;客户端接入交换机2...
    1         案例背景
      
    
    某网络改造项目,核心交换机为华为S5700,接入交换机为不同型号交换机,如下模拟拓扑,客户端接入交换机1通过Access模式与核心交换机连接,该交换机下只有一个Vlan2 192.168.2.0/24;客户端接入交换机2通过Trunk模式与核心交换机连接,该交换机下有俩个Vlan,Vlan3 192.168.3.0/24 Vlan4 192.168.4.0/24,服务器接入交换机通过Access模式与核心交换机连接,该交换机下只有一个Vlan4 192.168.4.0/24;所有客户端、服务器网关均位于核心交换机上;
      
         2         目前网络存在的缺陷   
    由于目前网络管理比较松散,IP管理不够完善,客户端可以任意接入,外单位人员将PC设备设为相应网段也即可接入,故对目前网络照成管理困难及安全隐患,客户希望在本次网络改造中将所有客户端IP与MAC绑定,未绑定的客户端不能接入网络,对于服务器网段不进行操作(即未操作网段不受影响);
       3         解决方案   
    按客户所需要求,常用方法可以在客户端接入交换机上进行IP+MAC+端口绑定,其他未使用端口关闭,但该方法需要逐个登陆接入交换机进行操作,由于网络建设初期距离网络改造时间较远,部分接入交换机账号密码已经遗忘,且现在为生产网络,如果逐个交换机破解密码,势必会造成网络中断,现在网络环境中,客户端与服务器均有明确Vlan划分,故选择在华为S5700核心交换机上通过DHCP Snooping的静态绑定表来实现IP+MAC+端口绑定,具体配置思想为首先在VLAN下配置的静态绑定表,绑定客户端的的IP和MAC,然后在与接入交换机相连的接口上配置IP和ARP报文检查功能。
       4         配置步骤    4.1    配置模拟环境基础网络   
    Step1、    S5700核心交换机配置
      
      
          
    Step2、    客户端接入交换机2配置
      
      
          
    Step3、    客户端配置
      
    按拓扑标志为客户端分别配置IP地址、网关;
      
    Client1: IP 192.168.2.2/24 GW 192.168.2.1
      
    Client2: IP 192.168.2.3/24 GW 192.168.2.1
      
    Client3: IP 192.168.3.2/24 GW 192.168.3.1
      
    Client4: IP 192.168.4.2/24 GW 192.168.4.1
      
    Client5: IP 192.168.5.2/24 GW 192.168.5.1
      
    配置完毕通过Ping测试确认配置无误
      
         4.2    配置IP+MAC+端口绑定   
    此处模拟位于Vlan2下的Client2为非法客户端,在信息中心台账中无该客户端也即在核心交换机上未对该客户端进行绑定;
      
    以下配置均在核心交换机华为S5700进行
      
    Step1、    启用DHCP Snooping功能
      
    [Huawei]dhcp enable
      
    [Huawei]dhcp snooping enable
      
    //启用DHCP Snooping功能;
      
    结果如下
      
       
    Step2、    对目标Vlan启用Vlan检测功能
      
    在模拟环境下vlan2/3/4为客户端Vlan,也即只对客户端Vlan进行操作,不对服务器Vlan5操作;
      
    [Huawei]vlan 2
      
    [Huawei-vlan2] dhcp snooping enable
      
    [Huawei-vlan2]quit
      
    对其他目标Vlan进行相同操作结果如下
      
       
    (在生产环境下测试,在Vlan下添加ip source check user-bind enable,绑定命令如下后user-bind static ip-address 192.168.3.222 mac-address 3c97-0e60-0fe1 vlan 683,可以不对端口做操作;)
      
    Step3、    对目标端口启用端口检测功能
      
    [Huawei] interface GigabitEthernet0/0/2
      
    [Huawei-GigabitEthernet0/0/2] arp anti-attack check user-bind enable
      
    //启用arp 协议抗攻击检查绑定服务
      
    [Huawei-GigabitEthernet0/0/2] ip source check user-bind enable
      
    //启用端口检测功能
      
    对其他目标端口进行相同操作结果如下
      
       
    Step4、    绑定客户端IP+MAC+端口
      
    [Huawei]user-bind static ip-address 192.168.2.2 mac-address 5489-9852-137A interface GigabitEthernet 0/0/2
      
    对其他客户端进行相同操作结果如下
      
       
    Step5、    测试结果
      
    通过PING测试可以得到结果,漏绑的客户端不能访问网络;
      
         5         命令参考   
    ip source check user-bind check-item(接口视图)
      
    命令功能
      
    ip source check user-bind check-item命令用来配置IP报文的检查选项。
      
    undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。
      
    缺省情况下,IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址、VLAN三项。
      
    命令格式
      
    ip source check user-bind check-item { ip-address | mac-address | vlan }*
      
    undo ip source check user-bind check-item
      
    参数说明
      
    参数
    参数说明
    取值
    ip-address
    检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
    -
    mac-address
    检查IP报文的MAC地址是否匹配绑定表。
    -
    vlan
    检查IP报文的VLAN是否匹配绑定表。
    -
      
    视图
      
    GE接口视图、XGE接口视图、端口组视图、Eth-Trunk接口视图
      
    缺省级别
      
    2:配置级
      
    使用指南
      
    本命令生效的前提是接口下通过ip source check user-bind enable命令使能IP Source Guard功能。
      
    使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。
      
    如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。
      
    说明:
      
    本命令只对动态绑定表生效,对静态绑定表不生效。
      
    使用实例
      
    # 使能GE0/0/1接口的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
      
    system-view
      
    [Quidway] interface gigabitethernet 0/0/1
    [Quidway-GigabitEthernet0/0/1] ip source check user-bind enable
    [Quidway-GigabitEthernet0/0/1] ip source check user-bind check-item ip-address
    [Quidway-GigabitEthernet0/0/1] arp anti-attack check user-bind enable   
    [Quidway-GigabitEthernet0/0/1] arp anti-attack check user-bind alarm enable
      
    Info: Change permit rule for dynamic snooping bind-table, please wait a minute!
      
      
    ip source check user-bind check-item(VLAN视图)
      
    命令功能
      
    ip source check user-bind check-item命令用来配置VLAN下IP报文的检查选项。
      
    undo ip source check user-bind check-item命令用来恢复IP报文的检查选项为缺省选项。
      
    缺省情况下,VLAN下IP报文检查选项包括IP地址(IPv4地址或IPv6地址)、MAC地址和接口。
      
    命令格式
      
    ip source check user-bind check-item { ip-address | mac-address | interface }*
      
    undo ip source check user-bind check-item
      
    参数说明
      
    参数
    参数说明
    取值
    ip-address
    检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
    -
    mac-address
    检查IP报文的MAC地址是否匹配绑定表。
    -
    interface
    检查IP报文的接口是否匹配绑定表。
    -
      
    视图
      
    VLAN视图
      
    缺省级别
      
    2:配置级
      
    使用指南
      
    本命令生效的前提是VLAN下通过ip source check user-bind enable命令使能IP Source Guard功能。
      
    使能IP Source Guard功能后,再配置本命令可以设置检查IP报文时基于哪几项进行匹配。
      
    如果有大量绑定表存在,执行本命令可能需要一些时间,请耐心等待。
      
    说明:
      
    本命令只对动态绑定表生效,对静态绑定表不生效。
      
    使用实例
      
    # 使能VLAN100的IP Source Guard功能,检查IP报文的IPv4地址或IPv6地址是否匹配绑定表。
      
    system-view
      
    [Quidway] vlan 100
      
    [Quidway-vlan100] ip source check user-bind enable
      
    [Quidway-vlan100] ip source check user-bind check-item ip-address
      
    Info: Change permit rule for dynamic snooping bind-table, please wait a minute!
      
       6         案例参考   
    http://support.huawei.com/ecommunity/bbs/10232127.html?p=1#p10439637
      
    http://support.huawei.com/ecommunity/bbs/10174371.html?p=1#p10275725
      
    http://support.huawei.com/ecommunity/bbs/10154485.html



    7.验证配置结果

    # 执行命令display arp anti-attack configuration check user-bind interface,查看各接口下动态ARP检测的配置信息,以GE1/0/1为例。

    [SwitchA] display arp anti-attack configuration check user-bind interface gigabitethernet 1/0/1 arp anti-attack check user-bind enable
     arp anti-attack check user-bind alarm enable
    

    # 执行命令display arp anti-attack statistics check user-bind interface,查看各接口下动态ARP检测的ARP报文丢弃计数,以GE1/0/1为例。

    [SwitchA] display arp anti-attack statistics check user-bind interface gigabitethernet 1/0/1 Dropped ARP packet number is 966                                                 
     Dropped ARP packet number since the latest warning is 605
    

    由显示信息可知,接口GE1/0/1下产生了ARP报文丢弃计数,表明防ARP中间人攻击功能已经生效。

    当在各接口下多次执行命令display arp anti-attack statistics check user-bind interface时,管理员可根据显示信息中“Dropped ARP packet number is”字段值的变化来了解ARP中间人攻击频率和范围

    展开全文
  • //本文档主要介绍交换机地址绑定基本流程用到的命令; //不记得命令可以输入?查看,或在一段命令中用‘TAB’键进行命令补全:如”user-b s mac-a 'TAB' //此处,将自动补全命令为user-b s mac-address; 终端...

    //本文档主要介绍交换机地址绑定基本流程和用到的命令;

    //不记得命令可以输入?查看,或在一段命令中用‘TAB’键进行命令补全:如”user-b s mac-a 'TAB' //此处,将自动补全命令为user-b s mac-address;

     

    终端上

    telnet #交换机位置;

    输入登录ID和密码;

    su //进入ROOT权限;

    输入二级密码;

     

    dis mc-address #mac地址;  //查看目标MAC地址与交换机对应情况

    {

      如回显GE /0/0/X     说明和交换机的x号端口相对应;

      如回显XGE /0/0/x    说明交换机和所在终端不是直通状态;

      如没有回显              说明MAC地址错误或终端在关机状态;

    }

    #绑定地址需要确认端口开启了 anti attack 服务

    {

     输入命令:dis cur | beg #端口号;

     可以看到端口回显信息,也可以查询是否开启了 anti-attack ;

     如果条目不存在,输入以下命令;

     {

      integration ;

      are Anti-attack check user-bind enable; //开启 anti-attack

      dis cur | beg ; //再次查看端口信息确认

      }

    #确认服务开启后

     

    sys //进入配置界面;

    #如需要输出之前的绑定,可以输入

    undo user-b s ip-address #ip地址;   //可以连带删除端口,MAC地址绑定,也可以输出mac-address #mac地址

     

    user-b s ip-address #ip地址 mac-address #mac地址 ; //指定ip地址和mac地址绑定,绑定类型可以端口,ip,mac自由组合

    quit; //退出配置界面

     

    save; 保存设置

     

    转载于:https://www.cnblogs.com/the9fox/p/6880499.html

    展开全文
  • user-bind static ip-address 192.168.x.x mac-address xxxx-xxxx-xxxx interface GigabitEthernet0/0/1 vlan x 端口模式下输入: interface GigabitEthernet0/0/2 port link-type access port default vlan x ip ...
  • 华为交换机ip地址与MAC地址绑定

    千次阅读 2020-04-23 10:43:17
    user-bind static ip-address 192.168.2.1 mac-address 5489-981b-6e1b interface GigabitEthernet0/0/1 vlan 2 端口模式下输入: interface GigabitEthernet0/0/5 port link-type access port default vlan 4 ip s....
  • 没有华为5700交换机ip地址、mac地址、交换机端口如何做绑定求大神解决
  • 主要介绍了h3c交换机mac地址绑定、三层交换机固定ip上网、三层交换机端口配置ip地址的方法,需要的朋友可以参考下
  • 配置: 配置过程比较简单(我这三层交换机有开启dhcp功能划分vlan),先配置静态的IP+mac的表项,如果没配置表项千万不要开启功能。如果在VLAN下配置了命令,但是又没有表项,则会导致所有人都无法上网。 点击web...
  • 华为交换机在vlanif下绑定IP地址和MAC

    千次阅读 2021-03-04 10:31:14
    首先,我是在vlanif下启用dhcp的。 [2#-1F-Core1-Vlanif2]display this # interface Vlanif2 ip address 172.16.15.1 255.255.254.0 dhcp select ... dhcp server static-bind ip-address 172...
  • 怎么查看华为交换机绑定ipmac

    千次阅读 2020-12-30 05:38:52
    假设IP地址10.1.1.2,MAC地址0000-0000-0001[b]1、IP+MAC+端口绑定流程[/b]华为三层交换机中目前只有S3526系列支持使用AM命令来进行IP地址端口的绑定。并且如果S3526系列交换机要采用AM命令来实现绑定功能,则...
  • 1、 问题描述 华为交换机IPMAC绑定,建立访问控制列表,实现只有经批准的PC才能接入网络。 2、 解决方案 建立访问控制列表 >system-view 进入系统模式]acl number 6000 建立访问控制列表]rule 0 ...
  • 华为s5700交换机IP地址与MAC地址绑定

    千次阅读 2020-02-13 15:47:54
    [SW1]dhcp enable //开启dhcp服务 [SW1]vlan 10 //创建...[SW1]ip pool vlan10 //新建地址池名为vlan10 [SW1]gateway-list 192.168.1.254 //设置网关 [SW1]network 192.168.1.0 maks 255.255.255.0 //设置网段 ...
  • 华为交换机下的DHCP的IPmac地址绑定

    千次阅读 2020-07-30 09:20:14
    static-bind ip-address 10.24.28.2 mac-address 30D9-D959-CF3D #绑定ipmac q #退出ip池设置 q #退出系统视图 如果提示如下信息 Error: The static-MAC is exist in this IP-pool. 则说明,这台设备已经分配了...
  • 设备 华为S5735S-S24T4S-A ...1.华为交换机根据已知一个IP查他对应的MAC地址 dis arp | include 192.168.1.11 显示 IP ADDRESS MAC ADDRESS E XPIRE(M) TYPE INTERFACE VPN-INSTANCE VLAN 192.168.1.11
  • 交换机端口MAC地址绑定命令
  • 今天同事离职,需要解除他的个人笔记本Macip绑定 首先进入系统用户视图,然后进入vlanif4,解除151绑定 system-view interface vlanif 4 undo dhcp server static-bind ip-address 192.168.4.151 发现...
  • [huawei] undo arp static x.x.x.x 0000-0000-0000 删除IP地址和mac地址绑定 <huawei>save ------>确认配置正确,保存配置 华三: <h3c> sys 用户模式进入配置模式 [h3c] arp static x...
  • bind enable 全局模式进行绑定如下: user-bind static ip-address 21.21.6.20 mac-address A-A-A interface GigabitEthernet0/0/1 vlan 100 后配发了新电脑B,IP地址不变为21.21.6.20/24,mac地址为:B-B-B,交换机...
  • 交换机绑定客户端IP+MAC+端口,主要是为了防止别人没有授权的条件下,随意加入到网络当中操作,为了防止这种不安全的行为的出现,为了我们网络的安全,可以绑定授权的IP以及MAC,这样一来就不会出现IP地址被盗用出现...
  • 本来计划是在虚拟机里面搭建server 2008 r2 服务器,不...vlan3-5绑定mac地址,vlan6不绑定,当有新pc接入网络,会自动划分到vlan6,这样后续做acl设定可以把vlan6设置为客户vlan,不允许vlan6的PC访问其他vlan内的PC
  • 路由器有一两台三四台的情况下可以进行静态路由配置,如果路由器多了的话如果在配置静态路由就会很麻烦,还要一台一台的去配置,这...首先打开华为模拟器,拖入两个路由器,用线连接后配置端口的IP地址 如下图: ...
  • 哪位指点一下:华为5730交换机如何配置必须在交换机上绑定ip+ mac才能访问外网,感谢
  • 华为交换机端口-MAC绑定AND解除绑定

    万次阅读 2015-07-24 09:56:10
    查看交换机的全部运行状态统计信息,进行文件管理系统管理 进入方式:与交换机建立连接即进入 quit断开与交换机连接 2. 系统视图 [Quidway]system-view 作用:配置系统参数 进入方式:...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,831
精华内容 732
关键字:

华为交换机绑定ip和mac