NETGEAR 网件单台 M4300 交换机 VLAN 设置

文档适用产品型号:M4300-8X8F(XSM4316S), M4300-16X(XSM4316PA, XSM4316PB), M4300-12X12F(XSM4324S), M4300-24X(XSM4324CS), M4300-24XF(XSM4324FS), M4300-24X24F(XSM4348S), M4300-48X(XSM4348CS), M4300-48XF(XSM4348FS), M4300-96X(XSM4396K0), M4300-28G(GSM4328S), M4300-52G(GSM4352S), M4300-28G-PoE+(GSM4328PA, GSM4328PB), M4300-52G-PoE+(GSM4352PA,GSM4352PB),

固件要求

型号 固件版本
M4300 系列交换机 12.0.9.3 及以上

IPSG 作用

通过 IP Source Guard 绑定功能,可以对端口转发的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户 IP 接入网络),提高了端口的安全性。

拓扑图

拓扑图说明

核心交换机为 M4300-8X8F,汇聚层交换机为 M4300-28G-POE+,接入层交换机为 GS724TP。M4300-28G-POE+ 上配置 IP DHCP Snooping,上联和下联口均配置 802.1Q VLAN,M4300-8X8F 上配置 VLAN 路由和 DHCP 服务器。GS724TP 配置二层 VLAN,在相应 vlan 端口下各接入一台电脑。

本文主要阐述如何在 M4300-28G-POE+ 中如何应用 IP Source Guard(IPSG),文中涉及到的诸如其他 vlan、DHCP、vlan routing、DHCP snooping 等设置方法请参考 M4300 系列的其他相关文档,本文不再做详细阐述。

前期配置步骤

  1. 配置 M4300-8X8F 上的 VLAN 路由和 DHCP 服务器
    • 创建 VLAN 100,200,启用 VLAN100,200 的路由及全局路由
    • 将下联口(至 M4300-28G-POE+)1/0/16划入VLAN100,200并打tag
    • 设置 VLAN100,200 的 IP 分别为 192.168.100.1/24 和 192.168.200.1/24
    • 启用 DHCP 服务,为 VLAN100,200 建立 DHCP 地址池
  2. 配置 M4300-28G-POE+
    • 创建 VLAN 100,200
    • 上联口(至 M4300-8X8F)1/0/23,下联口(至 GS724TP)1/0/24 划入 VLAN100,200 并打 tagging。
    • 配置 DHCP Snooping,将 1/0/23 划入 Trust 受信任端口,将 VLAN 100 和 200 添加到 DHCP Snooping 中
  3. 配置 GS724TP
    • 创建 VLAN 100,200,将上联口(至 M4300-28G-POE+)1/g24 划入 VLAN100,200 并打 tagging
    • 将连接两台终端电脑的端口 g11 划入 100 和 g12 划入 VLAN200,修改 g11PVID 为 100,g12 的 PVID 为 200

IPSG 配置步骤(M5300-28G-POE+)

一、通过 WEB 界面配置

  1. 启用 IPSG
    注意:启用 IPSG 后,默认为自动模式,与 DHCP Snooping 的信息结合,即终端电脑是从 DHCP 服务器中获取 IP 地址的,将生成 IP, MAC, VLAN, Port 的绑定关系
    菜单:Security > Control > IP Source Guard > Interface Configuration
    • 勾选下联口 1/0/24
    • IPSG Mode,选择 Enable 开启
    • IPSG Port Security,选择 Enable 开启
    • 点击“Apply”确认配置
  2. 手动添加或删除静态绑定表
    注意:若终端电脑改为静态 IP 地址,或 DHCP Snooping 未开启的情况下,可以使用手动添加静态绑定表
    菜单:Security > Control > IP Source Guard > Binding Configuration

    添加静态绑定表

    • Interface,选择需要绑定的端口
    • MAC Address,终端电脑的 MAC 地址
    • VLAN ID,终端电脑所在的 VLAN
    • IP Address,终端电脑的 IP 地址
    • 点击“Add”确认配置

    删除静态绑定表

    • 选择已添加的绑定项(可多选)
    • 点击“Delete”删除
  3. 只绑定 IP 址址,不绑定 MAC 地址
    注意:当您不需要绑定终端电脑的 MAC 地址时,可关闭 IPSG Port Security。此时绑定表只保留 IP, VLAN, Port 三项信息。
    菜单:Security > Control > IP Source Guard > Interface Configuration
    • 勾选端口 1/0/24
    • IPSG Mode,选择 Enable
    • 点击“Apply”确认配置

二、通过 CLI 界面配置

(M4300-28G-PoE+)#configure
(M4300-28G-PoE+)(Config)#interface 1/0/24     //进入端口1/0/24配置
(M4300-28G-PoE+)(Interface 1/0/2)#ip verify source port-security     //开启该端口的 IPSG,开启 IP 和 MAC 绑定
(M4300-28G-PoE+)(Interface 1/0/2)#exit     //返回全局模式
(M4300-28G-PoE+)(Config)#ip verify binding 50:7B:9D:E1:9D:4B vlan 100 192.168.100.4 interface 1/0/24
//手动添加静态绑定表
(M4300-28G-PoE+)(Config)#no ip verify binding 50:7B:9D:E1:9D:4B vlan 100 192.168.100.4 interface 1/0/24
//删除静态绑定表
(M4300-28G-PoE+)(Config)#interface 1/0/24     //进入端口 1/0/24 配置
(M4300-28G-PoE+)(Interface 1/0/2)#ip verify source port-security     //开启该端口的 IPSG,关闭 MAC 绑定