国家 / 地区

11-安全配置指导

16-IP Source Guard配置

本章节下载  (210.43 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Operation_Manual/H3C_MSR_CG-Release_2104(V1.10)/11/201311/803429_30005_0.htm

16-IP Source Guard配置


1 IP Source Guard配置

1.1  IP Source Guard简介

1.1.1  概述

通过在设备接入用户侧的端口上启用IP Source Guard功能,可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。

IP Source Guard在端口上用于过滤报文的特征项包括:源IP地址、源MAC地址和VLAN标签。这些特征项可单独或组合起来与端口进行绑定,形成绑定表项,具体包括:IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN和IP+MAC+VLAN。

MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

特性

MSR 900

MSR 20-1X

MSR 20

MSR 30

MSR 50

端口所支持绑定表项的种类

静态绑定不支持VLAN标签

No

静态绑定不支持VLAN标签

静态绑定不支持VLAN标签

静态绑定不支持VLAN标签

 

图1-1所示,配置了IP Source Guard的端口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。绑定功能是针对端口的,一个端口配置了绑定功能后,仅该端口被限制,其他端口不受该绑定影响。

图1-1 IP Source Guard功能示意图

 

1.1.2  绑定功能介绍

1. 静态绑定

通过手工配置产生绑定表项来完成端口的控制功能,适用于局域网络中主机数较少且主机使用静态配置IP地址的情况,比如在接入某重要服务器的端口上配置绑定表项,仅允许该端口接收或者发送与该服务器通信的报文。

IPv4静态绑定:通过手工配置IPv4静态绑定表项来过滤端口收到的IPv4报文,或者与ARP Detection功能配合使用检查接入用户的合法性;

*

ARP Detection功能的详细介绍请参考“安全配置指导”的“ARP攻击防御”。

 

2. 动态绑定

根据DHCP的相关表项动态生成绑定表项来完成端口控制功能,通常适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况。其原理是每当DHCP为用户分配IP地址而生成一条DHCP表项时,动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址,则不会触发设备生成相应的DHCP表项,因此动态绑定功能也不会增加相应的访问规则来允许该用户访问网络。

*

DHCP Snooping功能的详细介绍请参考“三层技术-IP业务配置指导”的“DHCP”。

 

1.2  配置IPv4绑定功能

MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:

特性

MSR 900

MSR 20-1X

MSR 20

MSR 30

MSR 50

IPv4静态绑定功能

Yes

仅支持绑定MAC

No

No

支持的模块包括:

XMIM-16FSW、XMIM-24FSW仅支持绑定MAC

 

MIM-16FSW、DMIM-24FSW支持绑定IP/MAC

 

不支持的模块包括:

SIC-4FSW、DSIC-9FSW

支持的模块包括:

FIC-16FSW、FIC-24FSW

 

不支持的模块包括:

SIC-4FSW、SIC-4FSW-POE、DSIC-9FSW、DSIC-9FSW-POE

IPv4动态绑定功能

No

No

No

支持的模块包括:

MIM-16FSW、DMIM-24FSW

 

不支持的模块包括:

XMIM-16FSW、XMIM-24FSW、SIC-4FSW、SIC-4FSW-POE、DSIC-9FSW、DSIC-9FSW-POE不支持

 

MSR 30-11E、30-11F固定交换口支持

支持的模块包括:

FIC-16FSW、FIC-24FSW

 

不支持的模块包括:

SIC-4FSW、SIC-4FSW-POE、DSIC-9FSW、DSIC-9FSW-POE

是否支持多端口绑定

No

No

No

XMIM二层以太网交换模块支持单端口绑定

 

MSR 30-1X二层固定以太网接口、MIM二层以太网交换模块支持多端口绑定

FIC二层以太网交换模块支持多端口绑定

 

加入聚合组或加入业务环回组的端口上不能配置IP Source Guard功能,反之亦然。

 

1.2.1  配置IPv4静态绑定功能

表1-1 配置IPv4静态绑定功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置IPv4静态绑定表项

user-bind { ip-address ip-address |

 ip-address ip-address mac-address mac-address | mac-address mac-address }

必选

缺省情况下,端口上无IPv4静态绑定表项

该功能只能在二层以太网端口下配置

 

l    一个表项不能在同一个端口上重复绑定,但可以在不同端口上绑定。

l    接口最多允许配置的绑定表项数量为8个。

l    绑定表项中的MAC地址不能为全0、全F(广播MAC)和组播MAC。绑定表项中的IPv4地址必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。

 

1.2.2  配置IPv4动态绑定功能

配置了IPv4动态绑定功能的端口,通过与不同的DHCP协议配合来动态生成绑定表项:

在二层以太网端口上,IP Source Guard可与DHCP Snooping配合,通过获取IP地址动态分配时产生的DHCP Snooping表项来生成动态绑定表项;

动态绑定表项中可能包含的内容有:MAC地址、IP地址、VLAN信息、入端口信息及表项类型(DHCP Snooping),其中MAC地址、IP地址和VLAN信息的包含情况由动态绑定配置决定。IP Source Guard把这些动态绑定表项下发到端口后,可对端口上转发的报文进行过滤。

表1-2 配置IPv4动态绑定功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置IPv4动态绑定功能

ip check source { ip-address | ip-address mac-address | mac-address }

必选

缺省情况下,端口上未配置IPv4动态绑定功能

 

l    要实现IPv4动态绑定功能,请保证网络中的DHCP Snooping或DHCP Relay配置有效且工作正常,配置的具体介绍请参见“三层技术-IP业务配置指导”中的“DHCP”。

l    接口下的动态绑定表项可多次配置,后配置的覆盖先配置的。

 

1.3  IP Source Guard显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。

表1-3 IP Source Guard显示和维护(IPv4)

操作

命令

显示静态绑定表项信息

display user-bind [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ | { begin | exclude | include } regular-expression ]

显示动态绑定表项信息

display ip check source [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ | { begin | exclude | include } regular-expression ]

 

1.4  IP Source Guard典型配置举例

1.4.1  IPv4静态绑定表项配置举例

1. 组网需求

图1-2所示,Host A与Host B分别与Device B的端口Ethernet1/2、Ethernet1/1相连;Host C与Device A的端口Ethernet1/2相连。Device B接到Device A的端口Ethernet1/1上。

通过在Device A和Device B上配置IPv4静态绑定表项,可以满足以下各项应用需求:

l              Device A的端口Ethernet1/2上只允许Host C发送的IP报文通过。

l              Device A的端口Ethernet1/1上只允许Host A发送的IP报文通过。

l              Device B的端口Ethernet1/2上只允许Host A发送的IP报文通过。

l              Device B的端口Ethernet1/1上只允许Host B发送的IP报文通过。

2. 组网图

图1-2 配置静态绑定表项组网图

 

3. 配置步骤

(1)        配置Device A

# 配置各接口的IP地址(略)。

# 配置在Device A的Ethernet1/2上只允许MAC地址为0001-0203-0405与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。

<DeviceA> system-view

[DeviceA] interface ethernet 1/2

[DeviceA-Ethernet1/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405

[DeviceA-Ethernet1/2] quit

# 配置在Device A的Ethernet1/1上只允许MAC地址为0001-0203-0406与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。

[DeviceA] interface ethernet 1/1

[DeviceA-Ethernet1/1] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406

(2)        配置Device B

# 配置各接口的IP地址(略)。

# 配置在Device B的Ethernet1/2上只允许MAC地址为0001-0203-0406与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。

<DeviceB> system-view

[DeviceB] interface ethernet 1/2

[DeviceB-Ethernet1/2] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406

[DeviceB-Ethernet1/2] quit

# 配置在Device B的Ethernet1/1上只允许MAC地址为0001-0203-0407与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。

[DeviceB] interface ethernet 1/1

[DeviceB-Ethernet1/1] user-bind ip-address 192.168.0.2 mac-address 0001-0203-0407

4. 验证配置结果

# 在Device A上显示IPv4静态绑定表项配置成功。

<DeviceA> display user-bind

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0405    192.168.0.3      N/A    Eth1/2               Static

 0001-0203-0406    192.168.0.1      N/A    Eth1/1               Static

# 在Device B上显示IPv4静态绑定表项配置成功。

<DeviceB> display user-bind

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0406    192.168.0.1      N/A    Eth1/2               Static

 0001-0203-0407    192.168.0.2      N/A    Eth1/1               Static

1.4.2  与DHCP Snooping配合的IPv4动态绑定功能配置举例

1. 组网需求

Device通过端口Ethernet1/1和Ethernet1/2分别与客户端Host和DHCP server相连。Device上使能DHCP Snooping功能。

具体应用需求如下:

l              Host(MAC地址为0001-0203-0406)通过DHCP server获取IP地址。

l              在Device上生成Host的DHCP Snooping表项。

l              在端口Ethernet1/1上启用IPv4动态绑定功能,仅允许通过DHCP server动态获取IP地址的客户端可以接入网络。

DHCP server的具体配置请参考“三层技术-IP业务配置指导”中的“DHCP”。

 

2. 组网图

图1-3 配置与DHCP Snooping配合的IPv4动态绑定功能组网图

 

3. 配置步骤

(1)        配置DHCP Snooping

# 配置各接口的IP地址(略)。

# 开启DHCP Snooping功能。

<Device> system-view

[Device] dhcp-snooping

# 设置与DHCP server相连的端口Ethernet1/2为信任端口。

[Device] interface ethernet1/2

[Device-Ethernet1/2] dhcp-snooping trust

[Device-Ethernet1/2] quit

(2)        配置IPv4动态绑定功能

# 配置端口Ethernet1/1的IPv4动态绑定功能,绑定源IP地址和MAC地址。

[Device] interface ethernet 1/1

[Device-Ethernet1/1] ip check source ip-address mac-address

[Device-Ethernet1/1] quit

4. 验证配置结果

# 显示端口Ethernet1/1从DHCP Snooping获取的动态表项。

[Device-Ethernet1/1] display ip check source

Total entries found: 1

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0406    192.168.0.1      1      Eth1/1               DHCP-SNP

# 显示DHCP Snooping已有的动态表项,查看其是否和端口Ethernet1/1获取的动态表项一致。

[Device-Ethernet1/1] display dhcp-snooping

DHCP Snooping is enabled.

The client binding table for all untrusted ports.

Type : D--Dynamic , S--Static

Type IP Address      MAC Address    Lease        VLAN Interface

==== =============== ============== ============ ==== =================

D    192.168.0.1     0001-0203-0406 86335        1    Ethernet1/1

从以上显示信息可以看出,端口Ethernet1/1在配置IPv4动态绑定功能之后根据获取的DHCP Snooping表项产生了动态绑定表项。

1.5  常见配置错误举例

1.5.1  静态绑定表项配置和动态绑定功能配置失败

1. 故障现象

在端口上配置静态绑定表项、配置动态绑定功能均失败。

2. 故障分析

IP Source Guard功能跟聚合端口互斥。在聚合端口下不能配置静态绑定表项,也不能配置动态绑定功能。

3. 处理过程

将端口退出已加入的聚合组。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们 联系我们
联系我们
回到顶部 回到顶部