Контроль над подключением узлов к портам коммутатора. Функция IP-MAC-Port Binding

Настройка работы функции IP-MAC-Port Binding в режиме ACL

Настройка DES-3200-28

Создайте запись IP-MAC-Port Binding, связывающую IP-MAC-адрес станции ПК1 с портом 4

create address_binding  ip_mac ipaddress 10.1.1.100 mac_address 00-50- ba-00-00-01 ports 4

Создайте запись IP-MAC-Port Binding, связывающую IP-MAC-адрес станции ПК2 с портом 14

create address_binding ip_mac ipaddress 10.1.1.101 mac_address 00-50-ba-00-00-02 ports 14

Активизируйте функцию на портах 4, 14 (по умолчанию режим работы портов Strict), и установите работу функции IMPB в режиме ACL

config address_binding  ip_mac ports 4,14 ip_inspection enable

Проверьте созданные записи IP-MAC-Port Binding

show address_binding ip_mac

Проверьте порты, на которых настроена функция и их режим работы

show address_binding  ports 

Проверьте созданные профили доступа ACL

show access_profile

Упражнения

Выполните тестирование соединения командой ping от ПК1 к ПК2 и наоборот

ping <IP-address> 

Измените подключение рабочих станций. ПК1 подключите к порту 14, ПК2 к порту 4.

Повторите тестирование соединения командой ping.

Какой вы сделаете вывод?

Отключите функцию IP-MAC-Port Binding на портах 4 и 14

config address_binding ip_mac ports 4,14 ip_inspection disable

Какой можно сделать вывод о работе функции IP-MAC-Port Binding в режиме ACL?

Настройка работы функции IP-MAC-Port Binding в режиме DHCP Snooping

Рис. 21.2. Схема 2

Настройка DES-3200-28

Активизируйте функцию IP-MAC-Port Binding в режиме DHCP Snooping глобально на коммутаторе

enable address_binding  dhcp_snoop

Укажите максимальное количество создаваемых в процессе автоизучения записей IP-MAC на портах 1-10, равное 1

config address_binding  allow_dhcp_snoop 1-10 total_entries 1

Активизируйте функцию IP-MAC-Port Binding в режиме DHCP Snooping на портах 1-10

config address_binding  ip_mac ports 1-10 state enable

Настройте возможность передачи нулевого IP-адреса (0.0.0.0) для корректной работы протокола DHCP

config address_binding  ip_mac ports 1-10 allow_zeroip enable

Настройте возможность передачи пакетов от DHCP-сервера

config address_binding  ip_mac ports 1-10 forward_dhcppkt enable

Упражнения

Проверьте состояние функции IP-MAC-Port Binding в режиме DHCP Snooping

show address_binding dhcp_snoop

Выполните на рабочей станции динамическое получение IP-адреса.

Посмотрите созданные записи IP-MAC-Port Binding

show address_binding dhcp_snoop binding_entry

Подключите вторую станцию и попробуйте получить еще один динамический IP-адрес.

Настройте запись в Log-файл и отправку сообщений SNMP Trap в случае несоответствия ARP-пакета связке IP-MAC

enable address_binding trap_log

Проверьте наличие заблокированных станций на коммутаторе

show address_binding blocked all 

Проверьте наличие заблокированных станций в Log-файле

show log

Какой вы сделаете вывод?

Отключите функцию IP-MAC-Port Binding на портах 1-10

config address_binding ip_mac ports 1-10 state disable

Отключите функцию IP-MAC-Port Binding в режиме DHCP Snooping глобально на коммутаторе

disable address_binding dhcp_snoop