网络工程师必会知识点（上篇）：华为交换机绑定客户端IP+MAC+端口

用微信扫码二维码

分享至好友和朋友圈

交换机绑定客户端IP+MAC+端口,主要是为了防止别人没有授权的条件下，随意加入到网络当中操作，为了防止这种不安全的行为的出现，为了我们网络的安全，可以绑定授权的IP以及MAC，这样一来就不会出现IP地址被盗用出现网络安全威胁的情况。

DHCP Snooping是 DHCP 的一种安全特性，主要应用在 交换机 上,作用是屏蔽接入网络中的非法的 DHCP 服务器。即开启 DHCP Snooping 功能后，网络中的客户端只有从管理员指定的 DHCP 服务器获取 IP 地址。启用 DHCP Snooping 功能后，必须将 交换机上的端口设置为信任(Trust)和非信任(Untrust)状态，交换机 只转发信任端口的 DHCP OFFER/ACK/NAK报文，丢弃非信任端口的 DHCP OFFER/ACK/NAK 报文，从而达到阻断非法 DHCP 服务器的目的。建议将连接 DHCP 服务器的端口设置为信任端口，其他端口设置为非信任端口

交换机绑定客户端IP+MAC+端口案例如上图，相关设备ip分配如上图。非法用户client2禁止上网及屏蔽访问其他设备。

核心交换机配置:

配置vlan：

vlan batch 10 20 30 40开启dhcp并屏蔽其他dhcp服务器：dhcp enabledhcp snooping enable

绑定ip+mac+端口user-bind static ip-address 192.168.10.2 mac-address 5489-98f5-6740 interface GigabitEthernet0/0/1user-bind static ip-address 192.168.30.2 mac-address 5489-9804-17ce interface GigabitEthernet0/0/2vlan启用dhcp snooping，只能从信任的dhcp获取地址：vlan 10dhcp snooping enablevlan 20dhcp snooping enablevlan 30dhcp snooping enable不同vlan配置管理地址（或网关）interface Vlanif10ip address 192.168.10.1 255.255.255.0interface Vlanif20ip address 192.168.20.1 255.255.255.0interface Vlanif30ip address 192.168.30.1 255.255.255.0interface Vlanif40ip address 192.168.40.1 255.255.255.0 对目标端口启用端口检测功能，启用arp 协议抗攻击检查绑定服务：interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 10 20 30arp anti-attack check user-bind enableip source check user-bind enableinterface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 10 20 30arp anti-attack check user-bind enableip source check user-bind enableinterface GigabitEthernet0/0/3port link-type accessport default vlan 40Sb、Sc仅是台普通交换机，配置相应的vlan及access、trunk即可，这里忽略。

验证结果：

特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.