02-S12500_IP_Source_Guard典型配置举例
本章节下载: 02-S12500_IP_Source_Guard典型配置举例 (163.82 KB)
目 录
本文档介绍IP Source Guard的配置举例。
IP Source Guard功能用于对端口收到的报文进行过滤控制,以防止非法用户报文通过。
配置了IP Source Guard功能的端口只转发与绑定表项匹配的报文。IP Source Guard绑定表项可以通过手工配置(命令行手工配置产生静态绑定表项)和动态获取(根据DHCP的相关表项动态生成绑定表项)两种方式生成。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解本文档中的IP Source Guard特性。
如图1所示,各主机均使用静态配置的IP地址。要求在Switch A和Switch B上配置IP Source Guard静态绑定表项(IP+MAC绑定),对端口收到的报文进行过滤控制,以防止非法用户报文通过:
· Switch A的端口GE2/0/2上只允许Host A发送的IP报文通过。
· Switch B的端口GE3/0/1上只允许Host B发送的IP报文通过。
· Switch B的端口GE3/0/2上只允许Host C发送的IP报文通过。
图1 IP Source Guard防攻击基础组网图
本举例是在S12500-CMW710-R7129版本上进行配置和验证的。
缺省情况下,以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置,请先使用undo shutdown命令使接口状态处于UP。
# 在端口GigabitEthernet2/0/2上配置接口绑定功能,绑定源IP地址和MAC地址。
<SwitchA> system-view
[SwitchA] interface GigabitEthernet2/0/2
[SwitchA-GigabitEthernet2/0/2] ip verify source ip-address mac-address
# 配置在Switch A的GigabitEthernet2/0/2只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
[SwitchA-GigabitEthernet2/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
# 在端口GigabitEthernet3/0/1上配置接口绑定功能,绑定源IP地址和MAC地址。
[SwitchB] interface GigabitEthernet3/0/1
[SwitchB-GigabitEthernet3/0/1] ip verify source ip-address mac-address
# 配置在Switch B的GigabitEthernet3/0/1上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.2.2的数据终端Host B发送的IP报文通过。
[SwitchB] interface GigabitEthernet3/0/1
[SwitchB-GigabitEthernet3/0/1] ip source binding ip-address 192.168.2.2 mac-address 0001-0203-0407
# 在端口GigabitEthernet3/0/2上配置接口绑定功能,绑定源IP地址和MAC地址。
<SwitchB> system-view
[SwitchB] interface GigabitEthernet3/0/2
[SwitchB-GigabitEthernet3/0/2] ip verify source ip-address mac-address
# 配置在Switch B的GigabitEthernet3/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.2.3的数据终端Host C发送的IP报文通过。
[SwitchB-GigabitEthernet3/0/2] ip source binding ip-address 192.168.2.3 mac-address 0001-0203-0405
[SwitchB-GigabitEthernet3/0/2] quit
# 在Switch A上显示静态绑定表项。
<SwitchA> display ip source binding static
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 GE2/0/2 N/A Static
# 在Switch B上显示静态绑定表项。
<SwitchB> display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.2.2 0001-0203-0407 GE3/0/1 N/A Static
192.168.2.3 0001-0203-0405 GE3/0/2 N/A Static
· SwitchA
#
interface GigabitEthernet2/0/2
port link-mode bridge
ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
ip verify source ip-address mac-address
#
· SwitchB
#
interface GigabitEthernet3/0/1
port link-mode bridge
ip source binding ip-address 192.168.2.2 mac-address 0001-0203-0407
ip verify source ip-address mac-address
#
interface GigabitEthernet3/0/2
port link-mode bridge
ip source binding ip-address 192.168.2.3 mac-address 0001-0203-0405
ip verify source ip-address mac-address
#
如图2所示,DHCP Client通过DHCP Server获取IP地址。要求Switch通过获取DHCP Snooping模块生成的用户信息来生成绑定表项(IP+MAC绑定),从而防止客户端使用伪造源IP地址对服务器进行攻击。
图2 IP Source Guard防攻击组网图
· 为了通过DHCP Snooping表项来动态生成绑定表项,需要在Switch上配置DHCP Snooping功能,并将DHCP Snooping设备与DHCP服务器相连的端口配置为信任端口(缺省情况下,使能了DHCP Snooping功能的设备上所有端口均为不信任端口)。
· 为了能使DHCP Snooping设备正常生成DHCP Snooping表项,需要在DHCP Snooping设备与客户端相连的端口上启用DHCP Snooping表项记录功能(缺省为关闭),以使设备能监听该端口上接收的报文、生成DHCP Snooping表项。
· 为了根据IP+MAC绑定表项来过滤非法报文,需要在Switch连接客户端的接口上使能接口绑定功能。
本举例是在S12500-CMW710-R7129版本上进行配置和验证的。
配置步骤# 开启DHCP Snooping功能。
[Switch] dhcp snooping enable
# 设置与DHCP服务器相连的端口GigabitEthernet2/0/2为信任端口。
[Switch] interface GigabitEthernet2/0/2
[Switch-GigabitEthernet2/0/2] undo shutdown
[Switch-GigabitEthernet2/0/2] dhcp snooping trust
[Switch-GigabitEthernet2/0/2] quit
# 配置端口GigabitEthernet2/0/1的接口绑定功能,绑定源IP地址和MAC地址。
<Switch> system-view
[Switch] interface GigabitEthernet2/0/1
[Switch-GigabitEthernet2/0/1] undo shutdown
[Switch-GigabitEthernet2/0/1] ip verify source ip-address mac-address
# 启用接口的DHCP Snooping 表项记录功能。
[Switch-GigabitEthernet2/0/1] dhcp snooping binding record
# 显示端口GigabitEthernet2/0/1从DHCP Snooping获取的动态表项。
[Switch-GigabitEthernet2/0/1] display ip source binding dhcp-snooping
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 GE2/0/1 1 DHCP snooping
从以上显示信息可以看出,端口GigabitEthernet2/0/1在配置接口绑定功能之后获取了DHCP Snooping产生的动态表项。
#
interface GigabitEthernet2/0/1
port link-mode bridge
ip verify source ip-address mac-address
dhcp snooping binding record
#
dhcp snooping enable
#
interface GigabitEthernet2/0/2
port link-mode bridge
dhcp snooping trust
#
《H3C S12500系列路由交换机 安全配置指导》中的“IP Source Guard”
《H3C S12500系列路由交换机 安全命令参考》中的“IP Source Guard”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!