登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-安全配置指导

目录

13-IP Source Guard配置

本章节下载 13-IP Source Guard配置  (140.76 KB)

13-IP Source Guard配置

目  录

1 IP Source Guard配置

1.1 IP Source Guard简介

1.2 配置动态绑定功能

1.3 IP Source Guard显示和维护

1.4 IP Source Guard典型配置举例

1.5 常见配置错误举例

1.5.1 动态绑定功能配置失败

 

1 IP Source Guard配置

说明

加入聚合组或加入业务环回组的接口上不能配置IP Source Guard功能,反之亦然。

 

1.1  IP Source Guard简介

通过在设备接入用户侧的接口上启用IP Source Guard功能,可以对接口转发的报文进行过滤控制,防止非法报文通过接口,提高了接口的安全性。配置了该特性的接口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则接口转发该报文,否则做丢弃处理。

IP Source Guard支持的报文特征项包括:源IP地址+源MAC地址。同时该特性提供一种触发绑定的机制:由DHCP Relay提供绑定表项,称为动态绑定。而且,绑定是针对接口的,一个接口被绑定后,仅该接口被限制,其他接口不受该绑定影响。

1.2  配置动态绑定功能

注意

·       如果需要在BFD会话接口上使能IP Source Guard功能,请在使能IP Source Guard后手工添加DHCP Relay表项。

·       IP Source Guard必须在接口DHCP Relay使能前配置。

 

接口上使能动态绑定功能后,IP Source Guard会选择接收并处理相应的DHCP Relay表项。表项内容包括MAC地址、IP地址、VLAN信息、接口信息及表项类型。IP Source Guard把这些动态获取的表项添加到动态绑定表项中,实现过滤接口转发报文的功能。

表1-1 配置动态绑定功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置动态绑定功能

ip check source ip-address mac-address

必选

缺省情况下,接口上未配置动态绑定功能

 

说明

动态绑定功能可以在三层以太网接口和VLAN接口下配置。

 

1.3  IP Source Guard显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。

表1-2 IP Source Guard显示和维护

操作

命令

显示动态绑定表项信息

display ip check source [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ | { begin | exclude | include } regular-expression ]

 

1.4  IP Source Guard典型配置举例

1. 组网需求

Device A通过接口GigabitEthernet3/1/2和GigabitEthernet3/1/1分别与客户端Client A和DHCP Server相连。Device A上使能DHCP Relay 功能。

具体应用需求如下:

·              在接口GigabitEthernet3/1/2上启用动态绑定功能,防止客户端使用伪造源IP地址对服务器进行攻击。

·              Client A(MAC地址为00-0e-0c-b5-08-09)通过DHCP Server获取IP地址。

·              在Device A上生成Client A的DHCP Relay表项。

说明

DHCP Server的具体配置请参考“三层技术-IP业务配置指导”中的“DHCP”。

 

2. 组网图

图1-1 配置动态绑定功能组网图

 

3. 配置步骤

(1)      配置Device A

# 配置各接口的IP地址(略)。

# 配置接口GigabitEthernet3/1/2的动态绑定功能,绑定源IP地址和MAC地址。

[DeviceA] interface GigabitEthernet 3/1/2

[DeviceA-GigabitEthernet3/1/2] ip check source ip-address mac-address

[DeviceA-GigabitEthernet3/1/2] quit

# 开启DHCP Relay功能。

[DeviceA] dhcp enable

# 配置DHCP服务器的地址。

[DeviceA] dhcp relay server-group 1 ip 10.1.1.1

# 配置接口GigabitEthernet 3/1/2工作在DHCP中继模式。

[DeviceA] interface GigabitEthernet 3/1/2

[DeviceA-GigabitEthernet3/1/2] dhcp select relay

# 配置接口GigabitEthernet 3/1/2对应服务器组1。

[DeviceA-GigabitEthernet3/1/2] dhcp relay server-select 1

[DeviceA-GigabitEthernet3/1/2] quit

(2)      验证配置结果

# 显示接口GigabitEthernet3/1/2从DHCP Relay获取的动态表项。

[DeviceA-GigabitEthernet3/1/2] display ip check source

Total entries found: 1

MAC               IP              Vlan   Port                   Status

000e-0cb5-0809    7.7.7.1         N/A    GigabitEthernet3/1/2   DHCP-RLY

1.5  常见配置错误举例

1.5.1  动态绑定功能配置失败

1. 故障现象

在接口上配置动态绑定功能失败。

2. 故障分析

IP Source Guard功能跟聚合接口互斥。在聚合接口下不能配置动态绑定功能。

3. 处理过程

将接口退出已加入的聚合组。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们