H3C接入交换机的配置IP静态绑定表项

网络 通信技术
H3C接入交换机支持手工配置IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。以便正常处理该用户的报文。

H3C接入交换机有很多值得学习的地方,这里我们主要介绍H3C接入交换机的配置IP静态绑定表项。开启DHCP Snooping功能后,H3C接入交换机根据设备的不同特点可以分别采取监听DHCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。

目前,H3C接入交换机的DHCP Snooping表项主要记录的信息包括:分配给客户端的IP地址、客户端的MAC地址、VLAN信息、端口信息、租约信息。为了防止ARP中间人攻击,H3C接入交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理,具体如下。

当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP报文,进行转发处理。

当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配,或ARP报文的入端口,入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致,则为非法ARP报文,直接丢弃,并通过Debug打印出丢弃信息提示用户。

手工配置IP静态绑定表项

DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息,如果用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCP Snooping表记录,因此不能通过基于DHCP Snooping表项的ARP入侵检测,导致用户无法正常访问外部网络。

为了能够让这些拥有合法固定IP地址的用户访问网络,H3C接入交换机支持手工配置IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。以便正常处理该用户的报文。

ARP信任端口设置

由于实际组网中,H3C接入交换机的上行口会接收其他设备的请求和应答的ARP报文,这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooping表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。

责任编辑:王晓东 来源: 计世网
相关推荐

2010-08-20 11:21:15

2013-05-06 09:49:17

H3C交换机交换机设置

2010-09-26 09:30:29

H3C交换机配置DHC

2009-12-09 10:30:34

配置静态路由

2010-09-03 12:48:15

H3C交换机DHCP

2010-09-03 12:33:43

H3C交换机DHCP

2010-09-26 15:15:43

H3C交换机DHCP命

2011-08-16 09:27:50

端口镜像交换机

2010-04-25 16:05:57

2010-01-12 09:47:36

H3C交换机super

2009-07-21 09:23:07

2010-09-03 12:27:45

H3C交换机DHCP

2010-06-12 22:05:23

以太网交换机H3C

2009-05-05 17:57:25

交换机S7506EH3C

2018-10-16 09:15:45

H3C交换机服务器

2011-03-08 10:58:38

VLANIP

2010-01-11 10:18:36

三层交换机配置

2010-05-04 15:43:05

H3C S12518交

2010-05-05 14:04:34

交换机H3C

2010-01-05 15:33:53

高端交换机
点赞
收藏

51CTO技术栈公众号