- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
12-IP Source Guard操作
本章节下载 (186.48 KB)
目 录
& 说明:
本章所指的交换机代表了一般意义下的交换设备,以及配置了交换功能的无线控制器设备。为提高可读性,在手册的描述中将不另行说明。
通过IP Source Guard绑定功能,可以对端口转发的报文进行过滤控制,防止非法IP地址和MAC地址的报文通过端口,提高了端口的安全性。端口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。
IP Source Guard支持的报文特征项包括:源IP地址、源MAC地址,可支持端口与如下特征项的组合(下文简称绑定表项):
l 源IP
l 源MAC
l 源IP+源MAC
该特性提供两种绑定机制:一种是通过手工配置方式提供绑定表项,称为静态绑定;另外一种由DHCP Snooping提供绑定表项,称为动态绑定。而且,绑定是针对端口的,一个端口被绑定后,仅该端口被限制,其他端口不受该绑定影响。
注意:
IP Source Guard功能与端口加入聚合组互斥。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入相应的端口视图 |
interface interface-type interface-number |
- |
|
配置静态绑定表项 |
user-bind { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } |
必选 缺省情况下,端口上无静态绑定表项 |
& 说明:
l 绑定策略:不支持一个端口上相同表项的重复绑定;相同的表项可以在多个端口上绑定。
l 合法绑定表项的MAC地址不能为全0、全F(广播MAC)和组播MAC,IP地址必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
端口上使能动态绑定功能后,根据设备对各动态绑定类型的支持情况,IP Source Guard会选择接收并处理相应的DHCP Snooping表项。表项内容包括MAC地址、IP地址、VLAN信息、端口信息及表项类型。IP Source Guard把这些动态获取的表项添加到动态绑定表项中,实现过滤端口转发报文的功能。
表1-2 配置动态绑定功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入相应的端口视图 |
interface interface-type interface-number |
- |
|
配置动态绑定功能 |
ip check source { ip-address | ip-address mac-address | mac-address } |
必选 缺省情况下,端口上没有配置动态绑定功能 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。
|
操作 |
命令 |
|
显示静态绑定表项信息 |
display user-bind [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] |
|
显示动态绑定表项信息 |
display ip check source [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] |
1台AC、1台交换机、3台数据终端(Host A、Host B、Host C)接入到以太网中互相通信。Host A与Host B分别接到Switch的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2上;Host C接到AC的端口GigabitEthernet0/0/2上。Switch接到AC的端口GigabitEthernet0/0/1上。
具体应用需求如下:
l 在AC的GigabitEthernet0/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。
l AC的GigabitEthernet0/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
l 在Switch的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
l 在Switch的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。
(1) 配置AC
# 配置各接口的IP地址(略)。
# 配置在AC的GigabitEthernet0/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。
<AC> system-view
[AC] interface gigabitethernet 0/0/2
[AC-GigabitEthernet0/0/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405
[AC-GigabitEthernet0/0/2] quit
# 配置在AC的GigabitEthernet0/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
[AC] interface gigabitethernet 0/0/1
[AC-GigabitEthernet0/0/1] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406
# 配置各接口的IP地址(略)。
# 配置在Switch的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
<Switch> system-view
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406
[Switch-GigabitEthernet1/0/1] quit
# 配置在Switch的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] user-bind ip-address 192.168.0.2 mac-address 0001-0203-0407
(3) 验证配置结果
# 在AC上显示静态绑定表项配置成功。
<AC> display user-bind
The following user address bindings have been configured:
MAC IP Vlan Port Status
0001-0203-0405 192.168.0.3 N/A GigabitEthernet0/0/2 Static
0001-0203-0406 192.168.0.1 N/A GigabitEthernet0/0/1 Static
------------------2 binding entries queried, 2 listed------------------
# 在Switch上显示静态绑定表项配置成功。
<Switch> display user-bind
The following user address bindings have been configured:
MAC IP Vlan Port Status
0001-0203-0406 192.168.0.1 N/A GigabitEthernet1/0/1 Static
0001-0203-0407 192.168.0.2 N/A GigabitEthernet1/0/2 Static
------------------2 binding entries queried, 2 listed------------------
AC通过端口GigabitEthernet0/0/1和GigabitEthernet0/0/2分别与客户端Client和DHCP Server相连。AC上使能DHCP Snooping功能。
具体应用需求如下:
l Client(MAC地址为00-01-02-03-04-06)通过DHCP Server获取IP地址。
l 在AC上生成Client的DHCP Snooping表项。
l 在端口GigabitEthernet0/0/1上启用动态绑定功能,防止客户端使用伪造的不同源IP地址对服务器进行攻击。
& 说明:
DHCP Server的具体配置请参考本手册中的“DHCP操作”部分。
图1-2 配置动态绑定功能组网图
(1) 配置AC
# 配置端口GigabitEthernet0/0/1的动态绑定功能。
<AC> system-view
[AC] interface GigabitEthernet0/0/1
[AC-GigabitEthernet0/0/1] ip check source ip-address mac-address
[AC-GigabitEthernet0/0/1] quit
# 开启DHCP Snooping功能。
[AC] dhcp-snooping
# 设置与DHCP服务器相连的端口GigabitEthernet0/0/2为信任端口。
[AC] interface GigabitEthernet0/0/2
[AC-GigabitEthernet0/0/2] dhcp-snooping trust
[AC-GigabitEthernet0/0/2] quit
(2) 验证配置结果
# 显示端口GigabitEthernet0/0/1从DHCP Snooping获取的动态表项。
<AC> display ip check source
The following user address bindings have been configured:
MAC IP Vlan Port Status
0001-0203-0406 192.168.0.1 1 GigabitEthernet0/0/1 DHCP-SNP
-----------------1 binding entries queried, 1 listed------------------
# 显示DHCP Snooping已有的动态表项,查看其是否和端口GigabitEthernet0/0/1获取的动态表项一致。
<AC> display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.0.1 0001-0203-0406 86335 1 GigabitEthernet0/0/1
从以上显示信息可以看出,端口GigabitEthernet0/0/1在配置动态绑定功能之后获取了DHCP Snooping产生的动态表项。
在端口上配置静态绑定表项、配置动态绑定功能均失败。
IP Source Guard功能跟聚合端口互斥。在聚合端口下不能配置静态绑定表项,也不能配置动态绑定功能。
去掉端口的聚合状态,并将端口从聚合组中删除。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
