选择区域语言: EN CN HK

10-安全配置

16-IP Source Guard配置

本章节下载  (174.17 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WiNet_WX/WX2500H-WiNet/Configure/Operation_Manual/H3C_WiNet_CG(R5223)-5W100/10/201807/1094518_30005_0.htm

16-IP Source Guard配置


1 IP Source Guard

1.1  IP Source Guard简介

IP Source Guard功能用于对AP收到的报文进行过滤控制,以防止非法客户端的报文通过,从而限制了对网络资源的非法使用(比如非法客户端仿冒合法客户端IP接入网络),提高了无线网络的安全性。

对于使用IPv4地址的客户端,AP会监听客户端发送的ARP报文或者与DHCP服务器间交互的DHCPv4报文,从报文中获取到客户端的IP地址,并与客户端的MAC地址形成绑定表项。

对于使用IPv6地址的客户端,有以下两种方式可以形成绑定表项。

·     DHCPv6方式:AP会监听客户端与DHCPv6服务器间交互的DHCPv6报文,从报文中获取到DHCPv6服务器为客户端分配的完整的IPv6地址,并与客户端的MAC地址形成绑定表项。如果从报文中获取到的是DHCPv6服务器为客户端分配的IPv6地址前缀,则无法与客户端的MAC地址形成绑定表项。

·     ND(Neighbor Discovery,IPv6邻居发现)方式:AP会监听网络中的RA(Router Advertisement,路由器通告消息)、NS(Neighbor Solicitation,邻居请求消息)、NA(Neighbor Advertisement,邻居通告消息)报文,从报文中获取IPv6地址,并与客户端的MAC地址形成绑定表项。

图1-1所示,开启IP Source Guard功能后,AP在收到客户端报文时,会查找IP源地址绑定表项,如果客户端发送报文的特征项(MAC地址+IP地址)与某个绑定表项匹配,则转发该报文,否则做丢弃处理。对于IPv4地址匹配的条件,还要求客户端使用的IP地址是通过DHCP方式获取的,才转发报文,否则做丢弃处理。

图1-1 IP Source Guard功能示意图

 

说明

·     DHCP功能的详细介绍请参考“三层技术配置指导”中的“DHCP”。

·     DHCPv6功能的详细介绍请参考“三层技术配置指导”中的“DHCPv6”。

·     ND功能的详细介绍请参考“三层技术配置指导”中的“IPv6基础”。

 

1.2  配置IP Source Guard

IP Source Guard功能是针对无线服务模板的,对某个无线服务模板配置了IP Source Guard功能后,仅对接入该无线服务模板的客户端报文进行IP源地址验证,通过其它无线服务模板接入的客户端不受影响。

表1-1 配置IP Source Guard

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-number

-

开启IPv4源地址验证功能

ip verify source

缺省情况下,IPv4源地址验证功能处于关闭状态

开启IPv6源地址验证功能

ipv6 verify source

缺省情况下,IPv6源地址验证功能处于关闭状态

 

1.3  配置对未知源IPv4地址客户端数据报文的处理方式

设备开启IP Source Guard功能后,将通过DHCP方式学习到的IPv4地址视为已知源IPv4地址,将通过ARP方式学习到的IPv4地址或者未学习到的IPv4地址视为未知源IPv4地址。当设备接收到未知源IPv4地址客户端发送的数据报文时,可以对报文进行如下处理:

·     仅丢弃客户端的数据报文。

·     丢弃客户端的数据报文并向客户端发送解除认证报文强制其下线。

表1-2 配置对未知源IPv4地址客户端数据报文的处理方式

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-number

-

配置对未知源IPv4地址客户端数据报文的处理方式

ip verify unknown-ip { deauthenticate | drop }

缺省情况下,丢弃未知源IPv4地址客户端数据报文并向客户端发送解除认证报文

 

1.4  IP Source Guard典型配置举例

1. 组网需求

·     如图1-2所示,客户端通过名为service的SSID接入网络,Switch作为DHCP server会为接入的客户端动态分配IP地址。

·     要求对接入此SSID的客户端报文进行IP源地址验证,以防止非法客户端的报文通过。

图1-2 IPv4源地址验证配置组网图

 

2. 配置步骤

# 创建无线服务模板1,配置SSID为service,并使能服务模版。

<AC> system-view

[AC] wlan service-template 1

[AC-wlan-st-1] ssid service

[AC-wlan-st-1] service-template enable

# 配置IPv4源地址验证功能。

[AC-wlan-st-1] ip verify source

[AC-wlan-st-1] quit

# 创建手工AP,名称为ap1,选择AP型号并配置序列号。

[AC] wlan ap ap1 model WA5320E-WiNet

[AC-wlan-ap-ap1] serial-id 219801A1FF8171E00361

# 将无线服务模板1绑定到Radio 2接口。

[AC-wlan-ap-ap1] radio 2

[AC-wlan-ap-ap1-radio-2] service-template 1

[AC-wlan-ap-ap1-radio-2] quit

[AC-wlan-ap-ap1] quit

3. 验证配置结果

Client 1(MAC地址为001d-0f31-87dd)和Client 2(MAC地址为001c-f08f-f7f1)通过DHCP服务器申请到IP地址后,AP上会生成Client 1和Client 2的绑定表项。当AP收到Client 1和Client 2发送的报文,检查绑定表项匹配后,AP会转发这些报文,Client 3为非法客户端(Client 3伪造其IP地址为Client 1的IP地址),AP无法查找到与其匹配的绑定表项,则会丢弃Client 3发送的报文。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!