华为交换机ipmac绑定ip地址最后使用时间

IPSG（IP和MAC绑定）配置
功能介绍：
IPSG可以防止恶意主机伪造合法主机的IP地址仿冒合法主机来访问网络或攻击网络
它是利用交换机上的绑定表过滤非法主机发送的报文，以阻止非法主机访问网络或者攻击网络
绑定表分为 静态绑定表和DHCP Snooping动态绑定表
静态绑定表：通过user-bind命令手工配置。该方法使用于局域网络中主机数较少，且主机使用静态配置Ip地址的网络环境
DHCP Snooping动态绑定表：配置DHCP Snooping功能后，DHCP主机动态获取IP地址时，设备根据DHCP服务器发送的DHCP回复报文动态生成。该方式适用于局域网络中主机较多，且主机使用DHCP动态获取Ip地址的网络环境
下面来看静态配置示例：
需求：
1、某公司员工通过交换机连接网络，研发人员ip地址为10001，人力资源员工ip地址为100011，设备上配置ACL，只允许人力资源员工100011可以访问internet
2、在人力资源员工出差关机的情况下，研发员工也不能通过私自将ip地址更改为100011访问internet
配置思路 ：
1、在switch上创建研发员工和人力资源员工的绑定表
2、在Switch的GE0/0/1和GE0/0/2接口下使能IPSG检查功能
*** 作步骤：
system-view //进入系统视图
user-bind static ip-address 10001 mac 0000-0000-0001 //创建研发人员绑定表项
user-bind static ip-address 100011 mac 0000-0000-0002 //创建人力资源员工的绑定表项
interface g0/0/1 //进入GE0/0/1接口视图
ip source check user-bind enable //使能GE0/0/1接口的IPSG检查功能
interface g0/0/2 //进入GE0/0/2接口视图
ip source check user-bind enable //使能GE0/0/2接口的IPSG检查功能
动态配置示例：
需求：
公司某部门员工IP地址均通过DHCP方式获取，通过部署IPSG实现员工只能使用DHCP Server分配的IP地址，不允许私自配置静态IP地址，如果私自制定IP地址将无法访问网络
配置思路
1、在switch上配置DHCP Snooping功能，生成DHCP snooping 动态绑定表
2、在switch连接员工主机的vlan10上使能IPSG功能
跳过dhcp配置，假设pc 通过DHCP方式动态获取到IP地址
system-view //进入系统视图
dhcp enable //全局使能DHCP功能
dhcp snooping //全局使能DHCP Snooping 功能
vlan10 // 进入vlan10视图
dhcp Snooping enable //在vlan视图下使能DHCP Snooping功能
dhcp Snooping trusted interface g0/0/3 //将连接DHCP server的g0/0/3接口配置为信任接口
ip source check user-bind enable //基于vlan使能IPSG检查功能

1、请自行准备好华为交换机和电脑，并且让你的电脑和交换机连接上

使用system-view命令，进入[]模式

2、创建一个vlan，[Quidway]vlan 2

3、添加端口，[Quidway-vlan2]port Ethernet 0/0/13 to 0/0/15

4、然后使用display current查看端口是否属于这个vlan

5、当然我们也可以用display vlan来查看vlan信息

6、配置vlan IP，[Quidway]interface Vlanif 2

7、配置vlanif ip地址，[Quidway]interface Vlanif 2

[Quidway-Vlanif2]ip address 10101001 2552552550

8、配置完成之后再次使用display current 来查看下配置信息

如下图能看到vlanif 的ip地址

9、完成之后吧你的电脑接入到vlan2的接口上，并设置好你的IP地址，然后ping 10101001是否正常，如下图

1 域的组策略禁止修改IP
给每台电脑设置固定IP地址，且不开放管理员权限（客户机无法自行修改）。这个方案只能对电脑起作用，一般在域环境的局域网用的比较多。
2 基于交换机端口绑定
交换机的端口设置IP-MAC绑定。该方案是最严格的IP-MAC绑定方案，但是需要交换机有这个功能，且配置比较复杂。
3 DHCP服务器上做静态IP分配
在DHCP服务器上静态IP分配，从而客户机每次都可以获取到同一个IP地址，DHCP服务器可以是路由器或者交换机。但是请注意，DHCP的静态地址分配并不能防止手动修改IP来绕开绑定。所以一般还需要和其他手段配合使用，比如：
ARP绑定，一般在交换机上配置。只有符合IP和MAC对应关系的设备才可以上网。
旁路上网行为管理。配置了静态IP后，再启用“WFilter ICF上网行为管理软件”的“IP-MAC绑定”功能。客户机一旦修改IP，就会被禁止上网。
4 WFilter NGF的IP-MAC绑定
WFilterNGF，以及基于该系统的WSG上网行为管理网关，既具有DHCP的静态IP分配功能，又可以做IP-MAC的校验。无需其他设备就可以实现“静态IP分配”和“IP-MAC绑定”的功能，而且还可以进行跨VLAN的IP-mac绑定。

---