FAQ-如何通过配置实现IP+端口绑定

发布时间:  2015-02-13 浏览次数:  206 下载次数:  0
问题描述
如何通过配置实现IP+端口绑定?
解决方案
Switch可以通过流策略与DHCP Snooping两个功能相互结合来实现IP和端口绑定,即实现某个端口只绑定某个特定源ip地址(只允许在绑定表内的和某个特定源ip地址的报文通过),不绑定mac。
例如,配置端口Ethernet0/0/8只允许绑定表内的和源IP地址为192.168.130.50的报文通过,丢弃其他IP报文。
# 全局使能dhcp snooping
[HUAWEI] dhcp snooping enable
# 定义高级ACL,匹配IP地址192.168.130.50
[HUAWEI] acl 3000
[HUAWEI-acl-adv-3000] rule 5 permit ip source 192.168.130.50 0
[HUAWEI-acl-adv-3000] rule 10 deny ip source any
[HUAWEI-acl-adv-3000] rule 15 deny ip destination any
# 创建流分类,匹配ACL
[HUAWEI] traffic classifier c1
[HUAWEI-classifier-c1] if-match acl 3000
# 创建流行为和流策略
[HUAWEI] traffic behavior b1
[HUAWEI-behavior-b1] permit
[HUAWEI] traffic policy p1
[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
# 端口下应用流策略,只允许绑定表内的和源IP地址为192.168.130.50的报文通过
在V100R005及以后的版本配置如下:
[HUAWEI] interface Ethernet 0/0/8
[HUAWEI-Ethernet0/0/8] port default vlan 4094
[HUAWEI-Ethernet0/0/8] ip source check user-bind enable
[HUAWEI-Ethernet0/0/8] traffic-policy p1 inbound

END