服务热线:0838-3644370

我们没什么了不起! (除了海外服务器)

【s5700交换机】防止用户私设IP 2020年2月9日 运维技术 < 文章文档 < 首页

设备类型:华为S5700系列交换机

应用场景:在不靠vlan的情况下,实现端口IP隔离,防止接入用户私自使用未分配的IP


以下方法是 IP+MAC+端口 的绑定,这样可以使未绑定(分配)的IP不被非法使用。


此方法需要用到 DHCP Snooping 功能。

1、先开启全局 DHCP Snooping

[HUAWEI] dhcp snooping enable


2、配置端口所属vlan

[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] port default vlan 100
[HUAWEI-Ethernet0/0/1] quit


3、在相关vlan下开启dhcp snooping

[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable


4、在相关端口设置报文检测

[HUAWEI] interface ethernet 0/0/1
[HUAWEI-Ethernet0/0/1] arp anti-attack check user-bind enable
[HUAWEI-Ethernet0/0/1] ip source check user-bind enable
[HUAWEI-Ethernet0/0/1] quit


5、配置 IP+MAC+端口 的静态绑定项

[HUAWEI] user-bind static ip-address 1.1.1.2 mac-address 001c-2309-9aa7 interface ethernet 0/0/1


这样绑定后,相关的端口只有接入匹配的IP和MAC 才有效。

相关专题: 交换机