2023年7月9日发(作者：)

您好：

感谢您使用H3C的系列产品和长期以来对我们工作的支持！！

推荐您使用ip源防护来防止ARP攻击比较好：如果您网络内使用DHCP分配，则使用动态ip源防护；如果您网络内的PC都是使用手工分配IP地址，这推荐您使用静态源防护，具体操作请参考以下内容:

1.1 IP Source Guard简介

通过IP Source Guard绑定功能，可以对端口转发的报文进行过滤控制，防止非法IP地址和MAC地址的报文通过端口，提高了端口的安全性。端口接收到报文后查找IP Source Guard绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。

IP Source Guard支持的报文特征项包括：源IP地址、源MAC地址，可支持端口与如下特征项的组合（下文简称绑定表项）：



源IP

MAC

IP＋源MAC



源

源该特性提供两种绑定机制：一种是通过手工配置方式提供绑定表项，称为静态绑定；另外一种由DHCP Snooping提供绑定表项，称为动态绑定。而且，绑定是针对端口的，一个端口被绑定后，仅该端口被限制，其他端口不受该绑定影响。

注意：

IP Source Guard功能与端口加入聚合组互斥。

1.2 配置静态绑定表项

表1-1 配置静态绑定表项

操作 命令 说明 操作

进入系统视图

进入相应的端口视图

命令

system-view

interface interface-type

interface-number

说明

-

-

user-bind { ip-address ip-address |

必选

配置静态绑定表项

ip-address ip-address

mac-address mac-address |

mac-address mac-address }

缺省情况下，端口上无静态绑定表项

 说明：



绑定策略：不支持一个端口上相同表项的重复绑定；相同的表项可以在多个端口上绑定。



合法绑定表项的MAC地址不能为全0、全F（广播MAC）和组播MAC，IP地址必须为A、B、C三类地址之一，不能为和0.0.0.0。

1.3 配置动态绑定功能

端口上使能动态绑定功能后，根据设备对各动态绑定类型的支持情况，IP Source

Guard会选择接收并处理相应的DHCP Snooping表项。表项内容包括MAC地址、IP地址、VLAN信息、端口信息及表项类型。IP Source Guard把这些动态获取的表项添加到动态绑定表项中，实现过滤端口转发报文的功能。

表1-2 配置动态绑定功能

操作

进入系统视图

进入相应的端口视图

命令

system-view

interface interface-type

interface-number

ip check source { ip-address |

ip-address mac-address |

mac-address }

说明

-

-

必选

配置动态绑定功能

缺省情况下，端口上没有配置动态绑定功能

1.4 IP Source Guard显示

在完成上述配置后，在任意视图下执行display命令可以显示配置后IP Source

Guard的运行情况，通过查看显示信息验证配置的效果。

表1-3 IP Source Guard显示

操作 命令

display user-bind [ interface interface-type

显示静态绑定表项信息

interface-number | ip-address ip-address |

mac-address mac-address ]

display ip check source [ interface interface-type

显示动态绑定表项信息

interface-number | ip-address ip-address |

mac-address mac-address ]

1.5 IP Source Guard典型配置举例

1.5.1 静态绑定表项配置举例

1. 组网需求

2台交换机（Switch A、Switch B）、3台数据终端（Host A、Host B、Host C）接入到以太网中互相通信。Host A与Host B分别接到Switch B的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2上；Host C接到Switch A的端口GigabitEthernet1/0/2上。Switch B接到Switch A的端口GigabitEthernet1/0/1上。

具体应用需求如下：



在Switch A的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。



Switch A的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。 

在Switch B的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。



在Switch B的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。

2. 组网图

图1-1 配置静态绑定表项组网图

3. 配置步骤

(1)

配置Switch A

# 配置各接口的IP地址（略）。

# 配置在Switch A的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。

system-view

[SwitchA] interface gigabitethernet 1/0/2

[SwitchA-GigabitEthernet1/0/2] user-bind ip-address 192.168.0.3 mac-address

0001-0203-0405

[SwitchA-GigabitEthernet1/0/2] quit # 配置在Switch A的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.1 mac-address

0001-0203-0406

(2)

配置Switch B

# 配置各接口的IP地址（略）。

# 配置在Switch B的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。

system-view

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.1 mac-address

0001-0203-0406

[SwitchB-GigabitEthernet1/0/1] quit

# 配置在Switch B的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] user-bind ip-address 192.168.0.2 mac-address

0001-0203-0407

(3)

验证配置结果

# 在Switch A上显示静态绑定表项配置成功。

display user-bind The following user address bindings have been configured:

MAC IP Vlan Port Status

0001-0203-0405 192.168.0.3 N/A GigabitEthernet1/0/2 Static

0001-0203-0406 192.168.0.1 N/A GigabitEthernet1/0/1 Static

------------------2 binding entries queried, 2 listed------------------

# 在Switch B上显示静态绑定表项配置成功。

display user-bind

The following user address bindings have been configured:

MAC IP Vlan Port Status

0001-0203-0406 192.168.0.1 N/A GigabitEthernet1/0/1 Static

0001-0203-0407 192.168.0.2 N/A GigabitEthernet1/0/2 Static

------------------2 binding entries queried, 2 listed------------------

1.5.2 动态绑定功能配置举例

1. 组网需求

Switch A通过端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分别与客户端Client A和DHCP Server相连。Switch A上使能DHCP Snooping功能。

具体应用需求如下：



Client A（MAC地址为00-01-02-03-04-06）通过DHCP Server获取IP地址。



在Switch A上生成Client A的DHCP Snooping表项。

GigabitEthernet1/0/1上启用动态绑定功能，防止客户端使用伪造的不同源IP地

在端口址对服务器进行攻击。

 说明： DHCP Server的具体配置请参考本手册中的“DHCP操作”部分。

2. 组网图

图1-2 配置动态绑定功能组网图

3. 配置步骤

(1)

配置Switch A

# 配置端口GigabitEthernet1/0/1的动态绑定功能。

system-view

[SwitchA] interface GigabitEthernet1/0/1

[SwitchA-GigabitEthernet1/0/1] ip check source ip-address mac-address

[SwitchA-GigabitEthernet1/0/1] quit

# 开启DHCP Snooping功能。

[SwitchA] dhcp-snooping

# 设置与DHCP服务器相连的端口GigabitEthernet1/0/2为信任端口。

[SwitchA] interface GigabitEthernet1/0/2

[SwitchA-GigabitEthernet1/0/2] dhcp-snooping trust

[SwitchA-GigabitEthernet1/0/2] quit

(2)

验证配置结果

# 显示端口GigabitEthernet1/0/1从DHCP Snooping获取的动态表项。 display ip check source

The following user address bindings have been configured:

MAC IP Vlan Port Status

0001-0203-0406 192.168.0.1 1 GigabitEthernet1/0/1 DHCP-SNP

-----------------1 binding entries queried, 1 listed------------------

# 显示DHCP Snooping已有的动态表项，查看其是否和端口GigabitEthernet1/0/1获取的动态表项一致。

display dhcp-snooping

DHCP Snooping is enabled.

The client binding table for all untrusted ports.

Type : D--Dynamic , S--Static

Type IP Address MAC Address Lease VLAN Interface

==== =============== ============== ============ ==== =================

D 192.168.0.1 0001-0203-0406 86335 1 GigabitEthernet1/0/1

从以上显示信息可以看出，端口GigabitEthernet1/0/1在配置动态绑定功能之后获取了DHCP Snooping产生的动态表项。

1.6 常见配置错误举例

1.6.1 静态绑定表项配置和动态绑定功能配置失败

1. 故障现象

在端口上配置静态绑定表项、配置动态绑定功能均失败。

2. 故障分析 IP Source Guard功能跟聚合端口互斥。在聚合端口下不能配置静态绑定表项，也不能配置动态绑定功能。

3. 处理过程

去掉端口的聚合状态，并将端口从聚合组中删除。

祝您身体健康！！工作愉快！！

此致

敬礼

杭州华三通信技术有限公司

HangZhou H3C Technologies Co.,Ltd.

Tel：400-810-0504/800-810-0504

（#1:售前参数 选配咨询；#2:备件维修 维保查询；#3:技术问题 配置咨询；#4:培训业务相关；#5:表扬 投诉 建议；#6：非技术问题 license申请）

***********************************************************************************

本邮件及其附件含有华三公司的保密信息，仅限于发送给上面地址中列出的个人或群组。禁止任何其他人以任何形式使用（包括但不限于全部或部分地泄露、复制、或散发）本邮件中的信息。如果您错收了本邮件，请您立即电话或邮件通知发件人并删除本邮件！

***********************************************************************************

This e-mail and its attachments contain confidential information from H3C, which isintended

only for the person or entity whose address is listed above. Any use of the information

contained here in any way (including, but not limited to, total or partial disclosure,

reproduction,or dissemination) by persons other than the intended recipient(s) is prohibited. If

you receive this e-mail in error, please notify the sender