- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-IP Source Guard典型配置指导
本章节下载: 06-IP Source Guard典型配置指导 (142.17 KB)
通过在设备接入用户侧的端口上启用IP Source Guard功能,可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。
IP Source Guard在端口上用于过滤报文的特征项包括:源IP地址、源MAC地址。这些特征项可单独或组合起来与端口进行绑定,形成绑定表项,具体包括:IP、MAC、IP+MAC。
如图1-1所示,配置了该特性的端口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。绑定功能是针对端口的,一个端口被绑定后,仅该端口被限制,其他端口不受该绑定影响。
图1-1 IP Source Guard功能示意图
IP Source Guard特性提供两种绑定机制:
l 静态绑定:通过手工配置产生绑定表项来完成端口的控制功能,适用于局域网络中主机数较少且主机使用静态配置IP地址的情况。
l 动态绑定:通过自动获取DHCP的相关表项来完成端口控制功能,适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况。其原理是每当DHCP为用户分配IP地址而生成一条DHCP表项时,动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址,则不会触发设备生成相应的DHCP表项,因此动态绑定功能也不会增加相应的访问规则来允许该用户访问网络。
2台交换机(Switch A、Switch B)、3台数据终端(Host A、Host B、Host C)接入到以太网中互相通信。Host A与Host B分别接到Switch B的端口GigabitEthernet1/0/1、GigabitEthernet1/0/2上;Host C接到Switch A的端口GigabitEthernet1/0/2上。Switch B接到Switch A的端口GigabitEthernet1/0/1上。
具体应用需求如下:
l 在Switch A的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。
l Switch A的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
l 在Switch B的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
l 在Switch B的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。
图1-2 配置IP Source Guard静态绑定组网图
在交换机Switch A和Switch B的相应端口上配置IP Source Guard静态绑定表项,实现各端口仅对指定MAC地址和IP的报文进行转发的功能。
|
产品 |
软件版本 |
|
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
|
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
|
CE3000-32F以太网交换机 |
Release 1211 |
|
S5810系列以太网交换机 |
Release 1102 |
|
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5500-EI-D系列以太网交换机 |
Release 2208 |
|
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
|
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5120-EI-D系列以太网交换机 |
Release 1505 |
|
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
|
S5120-LI系列以太网交换机 |
Release 1107 |
|
E552&E528以太网交换机 |
Release 1103 |
|
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
|
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
|
S3100V2系列以太网交换机 |
Release 5103 |
|
E126B以太网交换机 |
Release 5103 |
(1) 配置Switch A
# 配置各接口的IP地址(略)。
# 配置在Switch A的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。
<SwitchA> system-view
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405
[SwitchA-GigabitEthernet1/0/2] quit
# 配置在Switch A的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406
# 配置各接口的IP地址(略)。
# 配置在Switch B的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
<SwitchB> system-view
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406
[SwitchA-GigabitEthernet1/0/1] quit
# 配置在Switch B的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] user-bind ip-address 192.168.0.2 mac-address 0001-0203-0407
[SwitchB-GigabitEthernet1/0/2] quit
(3) 验证配置结果
# 在Switch A上显示IP Source Guard静态绑定表项配置成功。
<SwitchA> display user-bind
Total entries found: 2
MAC Address IP Address VLAN Interface Type
0001-0203-0405 192.168.0.3 N/A GE1/0/2 Static
0001-0203-0406 192.168.0.1 N/A GE1/0/1 Static
# 在Switch B上显示IP Source Guard静态绑定表项配置成功。
<DeviceB> display user-bind
Total entries found: 2
MAC Address IP Address VLAN Interface Type
0001-0203-0406 192.168.0.1 N/A GE1/0/2 Static
0001-0203-0407 192.168.0.2 N/A GE1/0/1 Static
l SwitchA
#
interface GigabitEthernet1/0/1
user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406
#
interface GigabitEthernet1/0/2
user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405
#
l SwitchB
#
interface GigabitEthernet1/0/1
user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406
#
interface GigabitEthernet1/0/2
user-bind ip-address 192.168.0.2 mac-address 0001-0203-0407
#
无。
Switch A通过端口GigabitEthernet1/0/1,GigabitEthernet1/0/2,GigabitEthernet1/0/3和GigabitEthernet1/0/4分别与客户端Host A,Host B,Host C和DHCP Server相连。
具体应用需求如下:
l Host A的MAC地址为00-01-02-03-04-05,IP地址通过手工配置,为192.168.0.1/24。
l Host B,Host C通过DHCP Server动态获取IP地址。
l Switch A上开启DHCP Snooping功能,记录客户端的DHCP Snooping表项。
l Switch A的端口GigabitEthernet1/0/1上配置静态绑定表项,只允许Host A发送的报文通过,在端口GigabitEthernet1/0/2,端口GigabitEthernet1/0/3上开启IP Source Guard动态绑定功能,防止客户端使用伪造的不同源IP地址对服务器进行攻击。
图1-3 动静态绑定表项结合应用典型配置组网图
l 在Switch A的端口GigabitEthernet1/0/1上为Host A创建静态绑定表项。
l 开启Switch A的DHCP Snooping功能,并配置上行口为DHCP Snooping信任端口。
l 在Switch A的端口GigabitEthernet1/0/2,端口GigabitEthernet1/0/3上开启IP Source Guard动态绑定功能,利用IP Source Guard的动态绑定功能防止客户端使用伪造的不同源IP地址对服务器进行攻击。
表1-2 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
|
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6600系列,Release 6610系列 |
|
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
|
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
|
CE3000-32F以太网交换机 |
Release 1211 |
|
S5810系列以太网交换机 |
Release 1102 |
|
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5500-EI-D系列以太网交换机 |
Release 2208 |
|
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
|
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
|
S5120-EI-D系列以太网交换机 |
Release 1505 |
|
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
|
S5120-LI系列以太网交换机 |
Release 1107 |
|
E552&E528以太网交换机 |
Release 1103 |
|
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
|
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
|
S3100V2系列以太网交换机 |
Release 5103 |
|
E126B以太网交换机 |
Release 5103 |
(1) 配置Switch A
# 配置在Switch A的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-05,IP地址为192.168.0.3的Host A发送的IP报文通过。
<SwitchA> system-view
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0405
[SwitchA-GigabitEthernet1/0/1] quit
# 设置与DHCP服务器相连的端口GigabitEthernet1/0/2为信任端口。
[SwitchA] interface GigabitEthernet1/0/4
[SwitchA-GigabitEthernet1/0/4] dhcp-snooping trust
[SwitchA-GigabitEthernet1/0/4] quit
# 开启DHCP Snooping功能。
[SwitchA] dhcp-snooping
# 配置端口GigabitEthernet1/0/2的动态绑定功能。
<SwitchA> system-view
[SwitchA] interface GigabitEthernet1/0/2
[SwitchA-GigabitEthernet1/0/2] ip check source ip-address mac-address
[SwitchA-GigabitEthernet1/0/2] quit
# 配置端口GigabitEthernet1/0/3的动态绑定功能。
<SwitchA> system-view
[SwitchA] interface GigabitEthernet1/0/3
[SwitchA-GigabitEthernet1/0/3] ip check source ip-address mac-address
[SwitchA-GigabitEthernet1/0/3] quit
(2) 验证配置结果
# 显示IP Source Guard获取的动态表项。
<SwitchA> display ip check source
The following user address bindings have been configured:
MAC IP Vlan Port Status
0001-0203-0406 192.168.0.2 1 GigabitEthernet1/0/2 DHCP-SNP
0001-0203-0407 192.168.0.3 1 GigabitEthernet1/0/3 DHCP-SNP
-----------------2 binding entries queried, 2 listed------------------
# 显示DHCP Snooping表项,查看其是否和IP Source Guard获取的动态表项一致。
<SwitchA> display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.0.2 0001-0203-0406 86335 1 GigabitEthernet1/0/2
D 192.168.0.3 0001-0203-0407 86335 1 GigabitEthernet1/0/3
从以上显示信息可以看出,端口GigabitEthernet1/0/2,GigabitEthernet1/0/3在配置IP Source Guard动态绑定功能之后获取了DHCP Snooping表项。
#
dhcp-snooping
#
interface GigabitEthernet1/0/1
user-bind ip-address 192.168.0.1 mac-address 0001-0203-0405
#
interface GigabitEthernet1/0/2
ip check source ip-address mac-address
#
interface GigabitEthernet1/0/3
ip check source ip-address mac-address
#
interface GigabitEthernet1/0/4
dhcp-snooping trust
#
(1) 加入聚合组或加入业务环回组的端口上不能配置IP Source Guard功能,反之亦然。
(2) 当用户配置QoS策略和IP Source Guard功能相冲突时,系统只会应用QoS策略中定义的流行为。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
