- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-IP Source Guard配置
本章节下载: 06-IP Source Guard配置 (178.74 KB)
目 录
通过IP Source Guard绑定功能,可以对端口转发的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。配置了该特性的端口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。绑定功能是针对端口的,一个端口被绑定后,仅该端口被限制,其他端口不受该绑定影响。
IP Source Guard用于匹配报文的特征项包括:源IP地址、源MAC地址和VLAN标签。并且,可支持端口与如下特征项的组合(下文简称绑定表项):
l IP、MAC、IP+MAC
l IP+VLAN、MAC+VLAN、IP+MAC+VLAN
IP Source Guard按照绑定表项的产生方式分为静态绑定和动态绑定:
l 静态绑定:通过手工配置产生绑定表项来完成端口的控制功能,适用于局域网络中主机数较少或者需要为某台主机进行单独的绑定配置的情况;
l 动态绑定:通过自动获取DHCP Snooping或DHCP Relay的绑定表项来完成端口控制功能,适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况,可有效防止IP地址冲突、盗用等问题。其原理是每当DHCP为用户分配一条表项时,动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址,会由于没有触发DHCP分配表项,导致动态绑定功能未增加相应的访问允许规则,使得该用户不能访问网络。
加入聚合组或加入业务环回组的端口上不能配置IP Source Guard功能,反之亦然。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入二层以太网端口视图 |
interface interface-type interface-number |
- |
|
配置静态绑定表项 |
user-bind { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ] |
必选 缺省情况下,端口上无静态绑定表项 |
l 绑定策略:不支持一个端口上相同表项的重复绑定。但相同的表项可以在多个端口上绑定。
l 合法的绑定条目的MAC地址不能为全0、全F(广播MAC)和组播MAC。IP地址必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
l 静态绑定表项配置只能在二层以太网端口下进行。
配置了动态绑定功能的端口,通过与不同的DHCP协议配合来动态获取绑定表项:
l 通过与DHCP Snooping配合,在二层以太网端口上实现IP地址动态分配时自动获取DHCP Snooping表项;
l 通过与DHCP Relay配合,在VLAN虚接口上实现IP地址跨网段动态分配时自动获取DHCP Relay表项。
动态获取的绑定表项内容包括:MAC地址、IP地址、VLAN信息、端口信息及表项类型。IP Source Guard把这些动态获取的表项下发到端口后,可对端口上转发的报文进行过滤。
表1-2 配置动态绑定功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置动态绑定功能 |
ip check source { ip-address | ip-address mac-address | mac-address } |
必选 缺省情况下,端口上未配置动态绑定功能 |
l 要实现动态绑定功能,请保证网络中的DHCP Snooping或DHCP Relay配置有效且工作正常,配置的具体介绍请参见“IP业务分册”中的“DHCP配置”。
l 接口下的动态绑定表项可多次配置,但最后配置的生效。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。
表1-3 IP Source Guard显示和维护
|
操作 |
命令 |
|
显示静态绑定表项信息 |
display user-bind [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] |
|
显示动态绑定表项信息 |
display ip check source [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] |
如图1-1所示,Host A与Host B分别与Switch B的端口GigabitEthernet2/0/2、GigabitEthernet2/0/1相连;Host C与Switch A的端口GigabitEthernet2/0/2相连。Switch B接到Switch A的端口GigabitEthernet2/0/1上。
通过在Switch A和Switch B上配置静态绑定表项,可以满足以下各项应用需求:
l Switch A的端口GigabitEthernet2/0/2上只允许Host C发送的IP报文通过。
l Switch A的端口GigabitEthernet2/0/1上只允许Host A发送的IP报文通过。
l Switch B的端口GigabitEthernet2/0/2上只允许Host A发送的IP报文通过。
l Switch B的端口GigabitEthernet2/0/1上只允许Host B发送的IP报文通过。
(1) 配置Switch A
# 配置在Switch A的GigabitEthernet2/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。
<SwitchA> system-view
[SwitchA] interface gigabitethernet 2/0/2
[SwitchA-GigabitEthernet2/0/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405
[SwitchA-GigabitEthernet2/0/2] quit
# 配置在Switch A的GigabitEthernet2/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
[SwitchA] interface gigabitethernet 2/0/1
[SwitchA-GigabitEthernet2/0/1] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406
# 配置在Switch B的GigabitEthernet2/0/2上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
<SwitchB> system-view
[SwitchB] interface gigabitethernet 2/0/2
[SwitchB-GigabitEthernet2/0/2] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406
[SwitchB-GigabitEthernet2/0/2] quit
# 配置在Switch B的GigabitEthernet2/0/1上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。
[SwitchB] interface gigabitethernet 2/0/1
[SwitchB-GigabitEthernet2/0/1] user-bind ip-address 192.168.0.2 mac-address 0001-0203-0407
(3) 验证配置结果
# 在Switch A上显示静态绑定表项配置成功。
<SwitchA> display user-bind
Total entries found: 2
MAC IP Vlan Port Status
0001-0203-0405 192.168.0.3 N/A GigabitEthernet2/0/2 Static
0001-0203-0406 192.168.0.1 N/A GigabitEthernet2/0/1 Static
# 在Switch B上显示静态绑定表项配置成功。
<SwitchB> display user-bind
Total entries found: 2
MAC IP Vlan Port Status
0001-0203-0406 192.168.0.1 N/A GigabitEthernet2/0/2 Static
0001-0203-0407 192.168.0.2 N/A GigabitEthernet2/0/1 Static
Switch A通过端口GigabitEthernet2/0/1和GigabitEthernet2/0/2分别与客户端Client A和DHCP Server相连。Switch A上使能DHCP Snooping功能。
具体应用需求如下:
l Client A(MAC地址为00-01-02-03-04-06)通过DHCP Server获取IP地址。
l 在Switch A上生成Client A的DHCP Snooping表项。
l 在端口GigabitEthernet2/0/1上启用动态绑定功能,防止客户端使用伪造源IP地址对服务器进行攻击。
DHCP Server的具体配置请参考“IP业务分册”中的“DHCP配置”。
图1-2 配置动态绑定功能组网图
(1) 配置Switch A
# 配置端口GigabitEthernet2/0/1的动态绑定功能,绑定源IP地址和MAC地址。
<SwitchA> system-view
[SwitchA] interface gigabitethernet 2/0/1
[SwitchA-GigabitEthernet2/0/1] ip check source ip-address mac-address
[SwitchA-GigabitEthernet2/0/1] quit
# 开启DHCP Snooping功能。
[SwitchA] dhcp-snooping
# 设置与DHCP服务器相连的端口GigabitEthernet2/0/2为信任端口。
[SwitchA] interface gigabitethernet2/0/2
[SwitchA-GigabitEthernet2/0/2] dhcp-snooping trust
[SwitchA-GigabitEthernet2/0/2] quit
(2) 验证配置结果
# 显示端口GigabitEthernet2/0/1的动态绑定功能配置成功。
[SwitchA] interface gigabitethernet 2/0/1
[SwitchA-GigabitEthernet2/0/1] display this
#
interface GigabitEthernet2/0/1
ip check source ip-address mac-address
#
return
# 显示端口GigabitEthernet2/0/1从DHCP Snooping获取的动态表项。
[SwitchA-GigabitEthernet2/0/1] display ip check source
Total entries found: 1
MAC IP Vlan Port Status
0001-0203-0406 192.168.0.1 1 GigabitEthernet 2/0/1 DHCP-SNP
# 显示DHCP Snooping已有的动态表项,查看其是否和端口GigabitEthernet2/0/1获取的动态表项一致。
[SwitchA-GigabitEthernet2/0/1] display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.0.1 0001-0203-0406 86335 1 GigabitEthernet2/0/1
从以上显示信息可以看出,端口GigabitEthernet2/0/1在配置动态绑定功能之后获取了DHCP Snooping产生的动态表项。
Switch A通过接口Vlan-interface100和Vlan-interface200分别与客户端Client A和DHCP Server相连。Switch A上使能DHCP Relay功能。
具体应用需求如下:
l Client A(MAC地址为00-01-02-03-04-06)通过DHCP Relay从DHCP server上获取IP地址。
l 在接口Vlan-interface100上启用动态绑定功能,利用Switch A上生成的DHCP Relay表项,过滤端口转发的报文。
图1-3 配置动态绑定功能组网图
(1) 配置Switch A
# 配置各接口的IP地址(略)。
# 在接口Vlan-interface100上配置动态绑定功能,绑定源IP地址和MAC地址。
<SwitchA> system-view
[SwitchA] vlan 100
[SwitchA-Vlan100] quit
[SwitchA] interface vlan-interface 100
[SwitchA-Vlan-interface100] ip check source ip-address mac-address
[SwitchA-Vlan-interface100] quit
# 开启DHCP Relay功能。
[SwitchA] dhcp enable
# 配置DHCP服务器的地址。
[SwitchA] dhcp relay server-group 1 ip 10.1.1.1
# 配置接口Vlan-interface100工作在DHCP中继模式。
[SwitchA] interface vlan-interface 100
[SwitchA-Vlan-interface100] dhcp select relay
# 配置接口Vlan-interface100对应服务器组1。
[SwitchA-Vlan-interface100] dhcp relay server-select 1
(2) 验证配置结果
# 显示生成的动态绑定表项信息。
[SwitchA] display ip check source
Total entries found: 1
MAC IP Vlan Port Status
0001-0203-0406 192.168.0.1 100 Vlan-interface100 DHCP-RLY
在端口上配置静态绑定表项、配置动态绑定功能均失败。
IP Source Guard功能跟聚合端口互斥。在聚合端口下不能配置静态绑定表项,也不能配置动态绑定功能。
去掉端口的聚合状态,并将端口从聚合组中删除。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
