端口绑定-培训学习

端口绑定ISSUE3.0日期：2009-04-27杭州华三通信技术有限公司版权所有，未经授权不得使用与传播绑定是一种简单的安全机制，通过交换机上的绑定功能，可以对端口转发的报文进行过滤控制。当端口接收到报文后查找绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。目前交换机提供灵活的绑定策略引入掌握端口绑定的基本原理掌握V3交换机端口绑定的典型配置和特性掌握V5交换机端口绑定的典型配置和特性掌握ARPDetection和端口绑定配合使用方法课程目标学习完本课程，您应该能够：端口绑定介绍V3平台交换机V5平台交换机ARPDetection在端口绑定中的应用FAQ&问题排查目录绑定的分类

静态ARP表项手工添加长静态ARP表项：arpstaticip-addressmac-addressvlan-idinterface-typeinterface-number手工添加短静态ARP表项：arpstaticip-addressmac-address静态MAC地址表项mac-addressstaticmac-addressinterfaceinterface-typeinterface-numbervlanvlan-id端口绑定的原理端口绑定通过在设备接入用户侧的端口上启用端口绑定功能，可以对端口收到的报文进行过滤控制，防止非法报文通过端口，从而限制了对网络资源的非法使用（比如非法主机仿冒合法用户IP接入网络），提高了端口的安全性。端口绑定在端口上用于过滤报文的特征项包括：源IP地址、源MAC地址。这些特征项可单独或组合起来与端口进行绑定，形成绑定表项，具体包括：IP、MAC、IP＋MAC。端口绑定的特点如图1-1所示，配置了IPSourceGuard的端口接收到报文后查找IPSourceGuard绑定表项，如果报文中的特征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。绑定功能是针对端口的，一个端口配置了绑定功能后，仅该端口被限制，其他端口不受该绑定影响。端口绑定介绍V3平台交换机V5平台交换机ARPDetection在端口绑定中的应用FAQ&问题排查目录实现特性端口+IP绑定：将报文的接收端口和用户的IP地址绑定。此时，交换机只对从该端口收到的指定IP地址的用户发出的报文进行转发。端口+MAC地址绑定：将报文的接收端口和用户的MAC地址绑定。此时，交换机只对从该端口收到的指定MAC地址的用户发出的报文进行转发。端口+MAC地址+IP绑定：将用户的MAC地址、IP地址和报文的接收端口绑定。此时，端口若收到源IP地址与指定的IP地址相同的报文，则只有该报文的源MAC地址与指定的MAC地址相同时，报文才能被转发；端口接收的其它报文（源IP地址、源MAC地址均不在IP-MAC-端口绑定关系表中的报文）丢弃官网对这种情况下的配置介绍有误，已向产品线确认为“丢弃”，请与下面情况区分。全局的MAC+IP绑定，没有限定端口，才是“若收到源IP地址与指定的IP地址相同的报文，则只有该报文的源MAC地址与指定的MAC地址相同时，报文才能被转发；接收的其它报文（源IP地址、源MAC地址均不在IP-MAC-端口绑定关系表中的报文）可正常转发。典型配置1．进入系统模式<H3C>system-view[H3C]amuser-bindmac-addrmac-addressip-addrip-address[interfaceinterface-typeinterface-number]2．进入端口视图[H3C]interfaceinterface-typeinterface-number[H3C-interface-typeinterface-number]amuser-bind{ip-addrip-address|mac-addrmac-address[ip-addrip-address]}注：二者必选其一端口绑定介绍V3平台交换机V5平台交换机ARPDetection在端口绑定中的应用FAQ&问题排查目录实现特性

静态绑定表项

1.全局静态绑定表项

全局静态绑定表项是在系统视图下配置的绑定了IP地址和MAC地址的表项，这类表项在设备的所有端口上生效，允许端口正常转发IP地址和MAC地址均与全局静态绑定表项匹配的报文。

2.端口静态绑定表项

端口静态绑定是在端口上配置的绑定了IP地址、MAC地址以及相关组合的表项，这类表项仅在当前端口上生效。动态绑定表项

根据DHCP的相关表项动态生成绑定表项来完成端口控制功能，通常适用于局域网络中主机较多，并且采用DHCP进行动态主机配置的情况。其原理是每当DHCP为用户分配IP地址而生成一条DHCP表项时，端口绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址，则不会触发设备生成相应的DHCP表项，因此端口绑定功能也不会增加相应的访问规则来允许该用户访问网络。典型配置V5平台交换机<DeviceA>system-view[DeviceA]interfacegigabitethernet1/0/2[DeviceA-GigabitEthernet1/0/2]user-bindip-address192.168.0.3mac-address0001-0203-0405新版本：[DeviceA-GigabitEthernet1/0/2]ipverifysourceip-addressmac-address

//配置IPv4动态绑定功能[DeviceA]interfacegigabitethernet1/0/2[DeviceA-GigabitEthernet1/0/2]ipsourcebindingip-address192.168.0.3mac-address0001-0203-0405新版本版本静态绑定表项必须与端口上配置的IPv4动态绑定功能配合使用才能生效。端口绑定介绍V3平台交换机V5平台交换机ARPDetection在端口绑定中的应用FAQ&问题排查目录ARPDetection简介ARPDetection功能主要应用于接入设备上，对于合法用户的ARP报文进行正常转发，否则直接丢弃，从而防止仿冒用户、仿冒网关的攻击。ARPDetection包含三个功能：用户合法性检查、ARP报文有效性检查、ARP报文强制转发。涉及到和端口绑定配合的功能就是用户合法性检查用户合法性检查对于ARP信任端口，不进行用户合法性检查；对于ARP非信任端口，需要进行用户合法性检查，以防止仿冒用户的攻击。用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户，包括基于配置规则的检查、基于IP静态绑定表项的检查、基于DHCPSnooping安全表项的检查、基于802.1X安全表项的检查和OUIMAC地址的检查。只要符合三者中任何一个，就认为该ARP报文合法，进行转发。如果所有检查都没有找到匹配项，则认为是非法报文，直接丢弃。ARPDetection端口绑定中应用V3平台在原有特性的基础上，配置全局IP+MAC绑定后，所有报文必须IP和MAC完全符合绑定配置项，设备才允许报文通过转发V5平台新版本在原有特性的基础上，配置IP+MAC绑定后，无论全局还是端口下的静态绑定，所有报文必须IP和MAC完全符合绑定配置项，设备才允许报文通过转发。且在不配置动态绑定功能的情况下就可以实现绑定效果功能配置进入VLAN视图[H3C]vlanvlan-id

使能ARPDetection功能[H3C-vlan-id]arpdetectionenable

端口绑定介绍V3平台交换机V5平台交换机ARPDetection在端口绑定中的应用FAQ&问题排查目录FAQ端口绑定是一种占用ACL资源的接入控制方法，如果设备ACL资源已经不足，添加条目会报错，提示资源不足。建议不要在端口下同时下发AC包过滤策略和端口绑定的配置，若是全局下发的，覆盖的网段范围尽量不要重叠，否则可能出现配置不生效的异常现象。在我司交换机上有些产品只支持IP＋MAC＋端口三者同时绑定，有些可以绑定三者中任意二者，即IP＋端口、MAC＋端口、IP＋MAC这三种绑定。H3CS5600/S3900/S5600/S5100EI系列产品只支持三者同时绑定；S3600EI/S3000系列中S3026EFGTC/S3026C-PWR/S3050C/S3928支持三者同时绑定或任意两者的绑定；S3500系列设备除了S3526EC外都不支持上述三者或任意两者绑定；S5000系列设备支持三者或任意两者绑定；H3CS5500-SI、S2000C/S2000-EI、S3100SI系列设备不支持三者或任意两者的绑定。若已配置IPv4绑定表项数目的最大值ipverifysourcemax-entriesnumber端口将不再允许添加新的IPv4绑定表项。但如果要配置的IPv4绑定表项数目的最大值小于当前端口上已存在的IPv4绑定表项总数，则该最大值可以配置成功，且原有的表项不受影响，但端口将不再允许新增IPv4绑定表项加入聚合组或加入业务环回组的端口上不能配置IPSourceGuard功能在IPv4静态绑定表项与ARPDetection功能配合时，静态绑定表项中必须指定VLAN参数，且该VLAN为使能ARPDetection功能的VLAN，否则ARP报文将无法通过IPv4静态绑定表项的检查。问题排查V3平台：显示端口绑定的配置信息 displayamuser-bind[interfaceinterface-typeinterface-number|ip-addrip-address|mac-addrmac-address]V5平台：显示静态绑定表项信息 displayipsourcebindingstatic[interfaceinterface-typeinterface-number|ip-addressip-address|mac-addressmac-address][slotslot-number][|{begin|exclude|inclu