Opérations IPSG courantes: Configuration d'IPSG sur la base d'une table de liaison statique

62 0 1 0

IPSG basé sur une table de liaison statique filtre les paquets IP reçus par des interfaces non fiables, afin d'empêcher les hôtes malveillants de voler les adresses IP des hôtes autorisés pour accéder au réseau sans autorisation. L'IPSG basé sur une table de liaison statique est applicable à un réseau local où un petit nombre d'hôtes résident et où les hôtes utilisent des adresses IP statiques. La procédure de configuration est la suivante:

1. Exécutez la commande user-bind static { { { ip-address | ipv6-address } { start-ip [ to end-ip ] } &<1-10> | ipv6-prefixprefix/prefix-length } | mac-address mac-address } * [ interface interface-type interface-number ] [ vlan vlan-idce-vlan ce-vlan-id ] ] dans la vue système pour configurer une entrée de liaison statique.


REMARQUE:

IPSG établit une correspondance entre les paquets et toutes les options de l'entrée de liaison statique. Assurez-vous que l'entrée de liaison créée est correcte et contient toutes les options à vérifier. Le périphérique transfère les paquets des hôtes uniquement lorsque les paquets correspondent à toutes les options de l'entrée de liaison et rejette les paquets ne correspondant pas à l'entrée de liaison.

L'appareil peut lier plusieurs adresses IP ou segments d'adresses IP à la même interface ou à la même adresse MAC.

  • Si vous devez lier des adresses IP discontinues, entrez 1 à 10 adresses IP dans start-ip . Par exemple, vous pouvez exécuter user-bind static ip-address 192.168.1.2 192.168.1.5 192.168.1.12 interface gigabitethernet 0/0/1 pour lier plusieurs adresses IP à la même interface.

  • Si vous devez lier des adresses IP continues, entrez 1 à 10 segments d’adresses IP dans start-ip à end-ip . Lorsque le mot-clé to est utilisé, les segments d'adresse IP ne peuvent pas se chevaucher. Par exemple, vous pouvez exécuter user-bind static ip-address 172.16.1.1 to 172.16.1.4 mac-address 0001-0001-0001 pour lier plusieurs adresses IP à la même interface.

2. Exécutez ip source check user-bind enable dans l'interface ou la vue VLAN pour activer IPSG.

  • Activation de IPSG sur une interface: IPSG vérifie tous les paquets reçus par l'interface avec l'entrée de liaison. Choisissez cette méthode si vous devez vérifier les paquets IP sur les interfaces spécifiées et faire confiance aux autres interfaces. De plus, cette méthode est pratique si une interface appartient à plusieurs VLAN car il n'est pas nécessaire d'activer IPSG dans chaque VLAN.

  • Activation de IPSG dans un VLAN: IPSG vérifie les paquets reçus par toutes les interfaces du VLAN par rapport à l'entrée de liaison. Choisissez cette méthode si vous devez vérifier les paquets IP dans les VLAN spécifiés et faire confiance aux autres VLAN. De plus, cette méthode est pratique si plusieurs interfaces appartiennent au même VLAN, car il n'est pas nécessaire d'activer IPSG sur chaque interface


L'exemple suivant montre comment configurer IPSG en fonction de la table de liaison statique:

# Créez une entrée de liaison statique (adresse IP source 192.168.1.1 et adresse MAC source 0003-0003-0003) et activez IPSG sur GE 0/0/1 .

<HUAWEI> system-view

[HUAWEI] user-bind static ip-address 192.168.1.1 mac-address 0003-0003-0003

[HUAWEI] interface gigabitethernet 0/0/1

[HUAWEI-GigabitEthernet0/0/1] ip source check user-bind enable


# Créez une entrée de liaison statique (adresse IP source 192.168.2.1, adresse MAC source 0002-0002-0002, interface GE 0/0/1 et VLAN 10) et activez IPSG dans le VLAN 10.

[HUAWEI] user-bind static ip-address 192.168.2.1 mac-address 0002-0002-0002 interface gigabitethernet 0/0/1 vlan 10

[HUAWEI] vlan 10[HUAWEI-vlan10] ip source check user-bind enable


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page