- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-H3C S12500 IP Source Guard典型配置举例
本章节下载: 05-H3C S12500 IP Source Guard典型配置举例 (175.2 KB)
H3C S12500 IP Source Guard配置举例
|
Copyright © 2013 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
本文档介绍IP Source Guard的配置举例。
IP Source Guard功能用于对端口收到的报文进行过滤控制,以防止非法用户报文通过。
配置了IP Source Guard功能的端口只转发与绑定表项匹配的报文。IP Source Guard绑定表项可以通过手工配置(命令行手工配置产生静态绑定表项)和动态获取(根据DHCP的相关表项动态生成绑定表项)两种方式生成。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解本文档中的IP Source Guard特性。
当设备上存在EB/EC2类单板(丝印后缀为EB/EC2)且这类单板工作在ACL标准模式时,该类单板上的接口不支持MAC绑定表项、IP+MAC绑定表项、MAC+VLAN绑定表项和IP+MAC+VLAN绑定表项。缺省情况下,EB/EC2类单板工作在ACL高级模式。
如图1所示,各主机均使用静态配置的IP地址。
通过在Switch A和Switch B上配置IP Source Guard静态绑定表项(IP+MAC绑定),对端口收到的报文进行过滤控制,以防止非法用户报文通过:
· Switch A的端口GE2/0/2上只允许Host A发送的IP报文通过。
· Switch B的端口GE3/0/1上只允许Host B发送的IP报文通过。
· Switch B的端口GE3/0/2上只允许Host C发送的IP报文通过。
图1 IP Source Guard防攻击基础组网图
本举例是在S12500-CMW520- R1825P01版本上进行配置和验证的。
· 加入聚合组的端口上不能配置IP Source Guard功能,反之亦然。
· 缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。
# 配置各接口的IP地址(略)。
# 在端口GigabitEthernet2/0/2上配置端口绑定功能,绑定源IP地址和MAC地址。
<SwitchA> system-view
[SwitchA] interface GigabitEthernet2/0/2
[SwitchA-GigabitEthernet2/0/2] ip verify source ip-address mac-address
# 配置在Switch A的GigabitEthernet2/0/2只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
[SwitchA-GigabitEthernet2/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
# 在端口GigabitEthernet3/0/2上配置端口绑定功能,绑定源IP地址和MAC地址。
<SwitchB> system-view
[SwitchB] interface GigabitEthernet3/0/2
[SwitchB-GigabitEthernet3/0/2] ip verify source ip-address mac-address
# 配置在Switch B的GigabitEthernet3/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.2.3的数据终端Host C发送的IP报文通过。
[SwitchB-GigabitEthernet3/0/2] ip source binding ip-address 192.168.2.3 mac-address 0001-0203-0405
[SwitchB-GigabitEthernet3/0/2] quit
# 在端口GigabitEthernet3/0/1上配置端口绑定功能,绑定源IP地址和MAC地址。
[SwitchB] interface GigabitEthernet3/0/1
[SwitchB-GigabitEthernet3/0/1] ip verify source ip-address mac-address
# 配置在Switch B的GigabitEthernet3/0/1上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.2.2的数据终端Host B发送的IP报文通过。
[SwitchB] interface GigabitEthernet3/0/1
[SwitchB-GigabitEthernet3/0/1] ip source binding ip-address 192.168.2.2 mac-address 0001-0203-0407
# 静态绑定的配置,在命令行上查看用户绑定,结果如下;
<SwitchA> display ip source binding
Total entries found: 2
MAC Address IP Address VLAN Interface Type
0001-0203-0406 192.168.0.1 N/A GE2/0/2 Static
<SwitchB> display ip source binding
Total entries found: 2
MAC Address IP Address VLAN Interface Type
0001-0203-0405 192.168.2.3 N/A GE3/0/2 Static
0001-0203-0407 192.168.2.2 N/A GE3/0/1 Static
· SwitchA
#
interface GigabitEthernet2/0/2
port link-mode bridge
ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
ip verify source ip-address mac-address
#
· SwitchB
#
interface GigabitEthernet3/0/1
port link-mode bridge
ip source binding ip-address 192.168.2.2 mac-address 0001-0203-0407
ip verify source ip-address mac-address
#
interface GigabitEthernet3/0/2
port link-mode bridge
ip source binding ip-address 192.168.2.3 mac-address 0001-0203-0405
ip verify source ip-address mac-address
#
如图2所示, DHCP Client(MAC地址为00-01-02-03-04-06)通过DHCP Server获取IP地址。
· 在Switch上配置DHCP Snooping,以生成Client的DHCP Snooping表项。
· 根据动态生成的DHCP snooping表项(IP+MAC绑定),防止客户端使用伪造源IP地址对服务器进行攻击。
图2 IP Source Guard防攻击组网图
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
· 加入聚合组的端口上不能配置IP Source Guard功能,反之亦然。
· 缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。
· 缺省情况下,使能了DHCP Snooping功能的设备上所有端口均为不信任端口。为了使DHCP Snooping设备与DHCP服务器相连的端口可以转发DHCP服务器的相应报文,需要将此端口配置为信任端口。
# 配置端口GigabitEthernet2/0/1的端口绑定功能,绑定源IP地址和MAC地址。
<Switch> system-view
[Switch] interface GigabitEthernet2/0/1
[Switch-GigabitEthernet2/0/1] undo shutdown
[Switch-GigabitEthernet2/0/1] ip verify source ip-address mac-address
# 开启DHCP Snooping功能。
[Switch] dhcp-snooping
# 设置与DHCP服务器相连的端口GigabitEthernet2/0/2为信任端口。
[Switch] interface GigabitEthernet2/0/2
[Switch-GigabitEthernet2/0/2] undo shutdown
[Switch-GigabitEthernet2/0/2] dhcp-snooping trust
[Switch-GigabitEthernet2/0/2] quit
# 显示端口GigabitEthernet2/0/1从DHCP Snooping获取的动态表项。
[Switch-GigabitEthernet2/0/1] display ip source binding
Total entries found: 1
MAC Address IP Address VLAN Interface Type
0001-0203-0406 192.168.0.1 1 GE2/0/1 DHCP-SNP
[Switch-GigabitEthernet2/0/1] display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.0.1 0001-0203-0406 86335 1 GE2/0/1
从以上显示信息可以看出,端口GigabitEthernet2/0/1在配置端口绑定功能之后获取了DHCP Snooping产生的动态表项。
#
interface GigabitEthernet2/0/1
port link-mode bridge
ip verify source ip-address mac-address
#
dhcp-snooping
#
interface GigabitEthernet2/0/2
port link-mode bridge
dhcp-snooping trust
#
· 《H3C S12500系列路由交换机 安全配置指导》中的“IP Source Guard配置”
· 《H3C S12500系列路由交换机 安全命令参考》中的“IP Source Guard命令”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
