选择区域语言: EN CN HK

10-安全配置举例

05-H3C S12500 IP Source Guard典型配置举例

本章节下载  (175.2 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500/Configure/Typical_Configuration_Example/H3C_S12500-R1825P01-6W100/10/201308/794675_30005_0.htm

05-H3C S12500 IP Source Guard典型配置举例

H3C S12500 IP Source Guard配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2013 杭州华三通信技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

H3C_彩色.emf



1  简介

本文档介绍IP Source Guard的配置举例。

IP Source Guard功能用于对端口收到的报文进行过滤控制,以防止非法用户报文通过。

配置了IP Source Guard功能的端口只转发与绑定表项匹配的报文。IP Source Guard绑定表项可以通过手工配置(命令行手工配置产生静态绑定表项)和动态获取(根据DHCP的相关表项动态生成绑定表项)两种方式生成。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解本文档中的IP Source Guard特性。

3  使用限制

当设备上存在EB/EC2类单板(丝印后缀为EB/EC2)且这类单板工作在ACL标准模式时,该类单板上的接口不支持MAC绑定表项、IP+MAC绑定表项、MAC+VLAN绑定表项和IP+MAC+VLAN绑定表项。缺省情况下,EB/EC2类单板工作在ACL高级模式。

4  静态绑定表项配置举例

4.1  组网需求

图1所示,各主机均使用静态配置的IP地址。

通过在Switch A和Switch B上配置IP Source Guard静态绑定表项(IP+MAC绑定),对端口收到的报文进行过滤控制,以防止非法用户报文通过:

·     Switch A的端口GE2/0/2上只允许Host A发送的IP报文通过。

·     Switch B的端口GE3/0/1上只允许Host B发送的IP报文通过。

·     Switch B的端口GE3/0/2上只允许Host C发送的IP报文通过。

图1 IP Source Guard防攻击基础组网图

 

 

4.2  使用版本

本举例是在S12500-CMW520- R1825P01版本上进行配置和验证的。

4.3  配置注意事项

·     加入聚合组的端口上不能配置IP Source Guard功能,反之亦然。

·     缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。

4.4  配置步骤

4.4.1  Switch A的配置

# 配置各接口的IP地址(略)。

# 在端口GigabitEthernet2/0/2上配置端口绑定功能,绑定源IP地址和MAC地址。

<SwitchA> system-view

[SwitchA] interface GigabitEthernet2/0/2

[SwitchA-GigabitEthernet2/0/2] ip verify source ip-address mac-address

# 配置在Switch A的GigabitEthernet2/0/2只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。

[SwitchA-GigabitEthernet2/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406

4.4.2  Switch B的配置

# 在端口GigabitEthernet3/0/2上配置端口绑定功能,绑定源IP地址和MAC地址。

<SwitchB> system-view

[SwitchB] interface GigabitEthernet3/0/2

[SwitchB-GigabitEthernet3/0/2] ip verify source ip-address mac-address

# 配置在Switch B的GigabitEthernet3/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.2.3的数据终端Host C发送的IP报文通过。

[SwitchB-GigabitEthernet3/0/2] ip source binding ip-address 192.168.2.3 mac-address 0001-0203-0405

[SwitchB-GigabitEthernet3/0/2] quit

# 在端口GigabitEthernet3/0/1上配置端口绑定功能,绑定源IP地址和MAC地址。

[SwitchB] interface GigabitEthernet3/0/1

[SwitchB-GigabitEthernet3/0/1] ip verify source ip-address mac-address

# 配置在Switch B的GigabitEthernet3/0/1上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.2.2的数据终端Host B发送的IP报文通过。

[SwitchB] interface GigabitEthernet3/0/1

[SwitchB-GigabitEthernet3/0/1] ip source binding ip-address 192.168.2.2 mac-address 0001-0203-0407

4.5  验证配置

# 静态绑定的配置,在命令行上查看用户绑定,结果如下;

<SwitchA> display ip source binding

Total entries found: 2

MAC Address     IP Address                  VLAN  Interface   Type        

0001-0203-0406  192.168.0.1                 N/A   GE2/0/2     Static

<SwitchB> display ip source binding

Total entries found: 2

MAC Address     IP Address                  VLAN  Interface   Type        

0001-0203-0405  192.168.2.3                 N/A   GE3/0/2     Static

0001-0203-0407  192.168.2.2                 N/A   GE3/0/1     Static

4.6  配置文件

·     SwitchA

#

 interface GigabitEthernet2/0/2

port link-mode bridge                                                                    

ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406

 ip verify source ip-address mac-address

#

·     SwitchB

#

interface GigabitEthernet3/0/1

  port link-mode bridge  

ip source binding ip-address 192.168.2.2 mac-address 0001-0203-0407

ip verify source ip-address mac-address

#

interface GigabitEthernet3/0/2

  port link-mode bridge

ip source binding ip-address 192.168.2.3 mac-address 0001-0203-0405

ip verify source ip-address mac-address

#

5  动态生成绑定表项配置举例

5.1  组网需求

图2所示, DHCP Client(MAC地址为00-01-02-03-04-06)通过DHCP Server获取IP地址。

·     在Switch上配置DHCP Snooping,以生成Client的DHCP Snooping表项。

·     根据动态生成的DHCP snooping表项(IP+MAC绑定),防止客户端使用伪造源IP地址对服务器进行攻击。

图2 IP Source Guard防攻击组网图

 

5.2  使用版本

本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。

5.3  配置注意事项

·     加入聚合组的端口上不能配置IP Source Guard功能,反之亦然。

·     缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。

·     缺省情况下,使能了DHCP Snooping功能的设备上所有端口均为不信任端口。为了使DHCP Snooping设备与DHCP服务器相连的端口可以转发DHCP服务器的相应报文,需要将此端口配置为信任端口。

5.4  配置步骤

# 配置端口GigabitEthernet2/0/1的端口绑定功能,绑定源IP地址和MAC地址。

<Switch> system-view

[Switch] interface GigabitEthernet2/0/1

[Switch-GigabitEthernet2/0/1] undo shutdown

[Switch-GigabitEthernet2/0/1] ip verify source ip-address mac-address

# 开启DHCP Snooping功能。

[Switch] dhcp-snooping

# 设置与DHCP服务器相连的端口GigabitEthernet2/0/2为信任端口。

[Switch] interface GigabitEthernet2/0/2

[Switch-GigabitEthernet2/0/2] undo shutdown

[Switch-GigabitEthernet2/0/2] dhcp-snooping trust

[Switch-GigabitEthernet2/0/2] quit

5.5  验证配置

# 显示端口GigabitEthernet2/0/1从DHCP Snooping获取的动态表项。

[Switch-GigabitEthernet2/0/1] display ip source binding

Total entries found: 1

MAC Address     IP Address               VLAN  Interface   Type        

0001-0203-0406  192.168.0.1              1     GE2/0/1     DHCP-SNP

[Switch-GigabitEthernet2/0/1] display dhcp-snooping

DHCP Snooping is enabled.

The client binding table for all untrusted ports.

Type : D--Dynamic , S--Static

Type IP Address      MAC Address    Lease        VLAN Interface

==== =============== ============== ============ ==== =================

D    192.168.0.1     0001-0203-0406 86335        1    GE2/0/1

从以上显示信息可以看出,端口GigabitEthernet2/0/1在配置端口绑定功能之后获取了DHCP Snooping产生的动态表项。

5.6  配置文件

#

interface GigabitEthernet2/0/1

port link-mode bridge

ip verify source ip-address mac-address

#

dhcp-snooping

#

interface GigabitEthernet2/0/2

port link-mode bridge

dhcp-snooping trust

 #

6  相关资料

·     《H3C S12500系列路由交换机  安全配置指导》中的“IP Source Guard配置”

·     《H3C S12500系列路由交换机  安全命令参考》中的“IP Source Guard命令”

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!