- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
17-IP Source Guard配置
本章节下载: 17-IP Source Guard配置 (189.87 KB)
目 录
IP Source Guard功能用于对接口收到的报文进行过滤控制,通常配置在接入用户侧的接口上,以防止非法用户报文通过,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了接口的安全性。
如图1-1所示,配置了IP Source Guard功能的接口接收到用户报文后,首先查找与该接口绑定的表项(简称为绑定表项),如果报文的信息与某绑定表项匹配,则转发该报文;若匹配失败,则查看是否配置了全局静态绑定表项,如果配置了此类表项,且报文的信息与表项匹配,则转发该报文,否则丢弃该报文。IP Source Guard可以根据报文的源IP地址或源MAC地址对报文进行过滤。报文的这些特征项可单独或组合起来与接口进行绑定,形成如下几类绑定表项:
· IP绑定表项
· MAC绑定表项
· IP+MAC绑定表项
IP Source Guard绑定表项可以通过手工配置和动态获取两种方式生成。
图1-1 IP Source Guard功能示意图
· IP Source Guard的绑定功能是针对接口的,一个接口配置了绑定功能后,仅对该接口接收的报文进行限制,其它接口不受影响。
· 全局IP Source Guard表项仅支持IP+MAC静态绑定表项。全局静态绑定表项的详细介绍,请参见“1.1.2 静态配置绑定表项”
静态配置绑定表项是指通过命令行手工配置绑定表项,该方式适用于局域网络中主机数较少且主机使用静态配置IP地址的情况,比如在接入某重要服务器的接口上配置绑定表项,仅允许该接口接收与该服务器通信的报文。
静态绑定表项又包括全局静态绑定表项和接口静态绑定表项两种类型,这两种绑定表项的作用范围不同。
全局静态绑定表项是在系统视图下配置的绑定了IP地址和MAC地址的表项,这类表项在设备的所有端口上生效。全局静态绑定表项适用于防御主机仿冒攻击,可有效过滤攻击者通过仿冒合法用户主机的IP地址或者MAC地址向设备发送的伪造IP报文。
端口静态绑定是在端口上配置的绑定了IP地址和MAC地址以及相关组合的表项,这类表项仅在当前端口上生效。只有端口收到的报文的IP地址和MAC地址与端口上配置的绑定表项的各参数完全匹配时,报文才可以在该端口被正常转发,其它报文都不能被转发,该表项适用于检查端口上接入用户的合法性。
动态获取绑定表项是指通过获取其它模块生成的用户信息来生成绑定表项。目前,可为IP Source Guard提供表项信息的模块包括DHCP中继和DHCP服务器模块。
这种动态获取绑定表项的方式,通常适用于局域网络中主机较多,且主机使用DHCP动态获取IP地址的情况。其原理是每当局域网内的主机通过DHCP服务器获取到IP地址时,作为DHCP中继的设备上就会生成一条DHCP中继表项,并相应地增加一条IP Source Guard绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址,则不会触发设备生成相应的DHCP表项,IP Source Guard也不会增加相应的绑定表项。
在配置了IPv4动态绑定功能的接口上,IP Source Guard通过与不同的模块配合动态生成绑定表项:
· 在三层以太网接口上,IP Source Guard可与DHCP中继配合,通过主机跨网段获取IP地址时产生的DHCP中继表项来生成动态绑定表项。
· 在三层以太网接口上,IP Source Guard可与DHCP服务器配合,通过DHCP服务器为主机动态分配IP地址时记录的用户信息来生成动态绑定表项,用于配合其它模块提供相关的安全服务。
设备无需配置,天然支持IPv4动态绑定功能。有关DHCP中继和DHCP服务器的详细介绍,请分别参见“三层技术-IP业务配置指导”中的“DHCP中继”和“DHCP服务器”。
设备不支持IPv6动态绑定功能。
IPv4静态绑定表项包括全局的IPv4静态绑定表项和接口的IPv4静态绑定表项。
接口的IPv4静态绑定表项和动态绑定表项的优先级高于全局的IPv4静态绑定表项,即接口优先使用本接口上的IPv4静态或动态绑定表项对收到的报文进行匹配,若匹配失败,再与全局的IPv4静态绑定表项进行匹配。
全局的IPv4静态绑定表项中定义了接口允许转发的报文的IP地址和MAC地址,对设备的所有接口都生效。
表1-1 配置全局的IPv4静态绑定表项
|
配置全局的IPv4静态绑定表项 |
ip source binding ip-address ip-address mac-address mac-address |
缺省情况下,设备上无全局的IPv4静态绑定表项 |
表1-2 配置接口的IPv4静态绑定表项
|
配置接口的IPv4静态绑定表项 |
缺省情况下,接口上无IPv4静态绑定表项 |
IPv6静态绑定功能包括全局的IPv6静态绑定功能和接口的IPv6静态绑定功能。
接口的IPv6静态绑定表项和动态绑定表项的优先级高于全局的IPv6静态绑定表项,即接口优先使用本接口上的IPv6静态或动态绑定表项对收到的报文进行匹配,若匹配失败,再与全局的IPv6静态绑定表项进行匹配。
全局的IPv6静态绑定表项中定义了接口允许转发的报文的IPv6地址和MAC地址,对设备的所有接口都生效。
表1-3 配置全局的IPv6静态绑定表项
|
配置全局的IPv6静态绑定表项 |
ipv6 source binding ip-address ipv6-address mac-address mac-address |
缺省情况下,设备上无全局的IPv6静态绑定表项 |
表1-4 配置接口的IPv6静态绑定表项
|
配置接口的IPv6静态绑定表项 |
缺省情况下,接 口上无IPv6静态绑定表项 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。
表1-5 IP Source Guard显示和维护
|
显示IPv4绑定表项信息(独立运行模式) |
|
|
显示IPv4绑定表项信息(IRF模式) |
|
|
显示IPv6绑定表项信息(独立运行模式) |
display ipv6 source binding [ static ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ interface interface-type interface-number ] |
|
显示IPv6绑定表项信息(IRF模式) |
display ipv6 source binding [ static ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ interface interface-type interface-number ] [ slot slot-number ] |
如图1-2所示,Host A、Host B分别与Device B的接口GigabitEthernet1/0/2、GigabitEthernet1/0/1相连;Host C与Device A的接口GigabitEthernet1/0/2相连。Device B接到Device A的接口GigabitEthernet1/0/1上。各主机均使用静态配置的IP地址。
要求通过在Device A和Device B上配置IPv4静态绑定表项,满足以下各项应用需求:
· Device A的接口GigabitEthernet1/0/2上只允许Host C发送的IP报文通过。
· Device A的接口GigabitEthernet1/0/1上只允许Host A发送的IP报文通过。
· Device B上的所有接口都允许Host A发送的IP报文通过。
· Device B的接口GigabitEthernet1/0/1上允许Host B发送的IP报文通过。
(1) 配置Device A
# 配置各接口的IP地址(略)。
# 配置IPv4静态绑定表项,在Device A的GigabitEthernet1/0/2上只允许MAC地址为0001-0203-0405、IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405
[DeviceA-GigabitEthernet1/0/2] quit
# 配置在Device A的GigabitEthernet1/0/1上只允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[DeviceA-GigabitEthernet1/0/1] quit
# 配置各接口的IP地址(略)。
# 配置IPv4静态绑定表项,在Device B上的所有接口都允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
<DeviceB> system-view
[DeviceB] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
# 配置IPv4静态绑定表项,在Device B的GigabitEthernet1/0/1上允许MAC地址为0001-0203-0407的数据终端Host B发送的IP报文通过。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip source binding mac-address 0001-0203-0407
[DeviceB-GigabitEthernet1/0/1] quit
# 在Device A上显示IPv4静态绑定表项,可以看出以上配置成功。
<DeviceA> display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0405 GE1/0/2 N/A Static
192.168.0.3 0001-0203-0406 GE1/0/1 N/A Static
# 在Device B上显示IPv4静态绑定表项,可以看出以上配置成功。
<DeviceB> display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 N/A N/A Static
N/A 0001-0203-0407 GE1/0/1 N/A Static
IPv6客户端通过Device的接口GigabitEthernet1/0/1接入网络。要求在Device上配置IPv6静态绑定表项,使得接口GigabitEthernet1/0/1上只允许Host(MAC地址为0001-0202-0202、IPv6地址为2001::1)发送的IPv6报文通过。
图1-3 配置IPv6静态绑定表项组网图
# 在接口GigabitEthernet1/0/1上配置IPv6静态绑定表项,绑定源IP地址和MAC地址,只允许IPv6地址为2001::1且MAC地址为00-01-02-02-02-02的IPv6报文通过。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 source binding ip-address 2001::1 mac-address 0001-0202-0202
[Device-GigabitEthernet1/0/1] quit
# 在Device上显示IPv6静态绑定表项,可以看出以上配置成功。
[Device] display ipv6 source binding static
Total entries found: 1
IPv6 Address MAC Address Interface VLAN Type
2001::1 0001-0202-0202 GE1/0/1 N/A Static
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
