- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
16-IP Source Guard配置
本章節下載: 16-IP Source Guard配置 (267.17 KB)
目 錄
IP Source Guard功能用於對接口收到的報文進行過濾控製,通常配置在接入用戶側的接口上,以防止非法用戶報文通過,從而限製了對網絡資源的非法使用(比如非法主機仿冒合法用戶IP接入網絡),提高了接口的安全性。
如圖1-1所示,配置了IP Source Guard功能的接口接收到用戶報文後,首先查找與該接口綁定的表項(簡稱為綁定表項),如果報文的信息與某綁定表項匹配,則轉發該報文;若匹配失敗,則查看是否配置了全局靜態綁定表項,如果配置了此類表項,且報文的信息與表項匹配,則轉發該報文,否則丟棄該報文。IP Source Guard可以根據報文的源IP地址、源MAC地址和VLAN標簽對報文進行過濾。報文的這些特征項可單獨或組合起來與接口進行綁定,形成如下幾類綁定表項:
· IP綁定表項
· MAC綁定表項
· IP+MAC綁定表項
· IP+VLAN綁定表項
· MAC+VLAN綁定表項
· IP+MAC+VLAN綁定表項
IP Source Guard綁定表項可以通過手工配置和動態獲取兩種方式生成。
圖1-1 IP Source Guard功能示意圖
· IP Source Guard的綁定功能是針對接口的,一個接口配置了綁定功能後,僅對該接口接收的報文進行限製,其它接口不受影響。
· 全局IP Source Guard表項僅支持IP+MAC靜態綁定表項。全局靜態綁定表項的詳細介紹,請參見“1.1.2 靜態配置綁定表項”
靜態配置綁定表項是指通過命令行手工配置綁定表項,該方式適用於局域網絡中主機數較少且主機使用靜態配置IP地址的情況,比如在接入某重要服務器的接口上配置綁定表項,僅允許該接口接收與該服務器通信的報文。
IPv4靜態綁定表項用於過濾接口收到的IPv4報文,或者與ARP Detection功能配合使用檢查接入用戶的合法性;IPv6靜態綁定表項用於過濾接口收到的IPv6報文。ARP Detection功能的詳細介紹請參見“安全配置指導”中的“ARP攻擊防禦”。
靜態綁定表項又包括全局靜態綁定表項和接口靜態綁定表項兩種類型,這兩種綁定表項的作用範圍不同。
全局靜態綁定表項是在係統視圖下配置的綁定了IP地址和MAC地址的表項,這類表項在設備的所有端口上生效。全局靜態綁定表項適用於防禦主機仿冒攻擊,可有效過濾攻擊者通過仿冒合法用戶主機的IP地址或者MAC地址向設備發送的偽造IP報文。
端口靜態綁定是在端口上配置的綁定了IP地址、MAC地址、VLAN以及相關組合的表項,這類表項僅在當前端口上生效。隻有端口收到的報文的IP地址、MAC地址、VLAN與端口上配置的綁定表項的各參數完全匹配時,報文才可以在該端口被正常轉發,其它報文都不能被轉發,該表項適用於檢查端口上接入用戶的合法性。
動態獲取綁定表項是指通過獲取其它模塊生成的用戶信息來生成綁定表項。目前,可為IP Source Guard提供表項信息的模塊包括802.1X、DHCP Snooping、DHCPv6 Snooping、DHCP中繼、DHCP服務器和WLAN Snooping模塊。
這種動態獲取綁定表項的方式,通常適用於局域網絡中主機較多的情況。以主機使用DHCP動態獲取IP地址的情況為例,其原理是每當局域網內的主機通過DHCP服務器獲取到IP地址時,DHCP服務器會生成一條DHCP服務器表項,DHCP中繼會生成一條DHCP中繼表項,DHCP Snooping會生成一條DHCP Snooping表項。IP Source Guard可以根據以上任何一條表項相應地增加一條IP Source Guard綁定表項來判斷是否允許該用戶訪問網絡。如果某個用戶私自設置IP地址,則不會觸發設備生成相應的DHCP表項,IP Source Guard也不會增加相應的綁定表項,因此該用戶的報文將會被丟棄。
在配置了IPv4動態綁定功能的接口上,IP Source Guard通過與不同的模塊配合動態生成綁定表項:
· 在二層以太網端口上,IP Source Guard可與DHCP Snooping配合,通過主機動態獲取IP地址時產生的DHCP Snooping表項來生成動態綁定表項,並用於過濾報文。
· 在三層以太網接口或VLAN接口上,IP Source Guard可與DHCP中繼配合,通過主機跨網段獲取IP地址時產生的DHCP中繼表項來生成動態綁定表項,並用於過濾報文。
· 在二層以太網端口上,IP Source Guard可與802.1X配合,通過獲取認證用戶的信息來生成動態綁定表項,用於配合其它模塊(例如ARP Detection)提供相關的安全服務,而不直接用於過濾報文。
· 在三層以太網接口或VLAN接口上,IP Source Guard可與DHCP服務器配合,通過DHCP 服務器為主機動態分配IP地址時記錄的用戶信息來生成動態綁定表項,用於配合其它模塊(例如ARP Detection)提供相關的安全服務,而不直接用於過濾報文。
· IP Source Guard可與WLAN Snooping配合,通過設備生成的WLAN Snooping表項中的信息來生成動態綁定表項,用於配合其他模塊(例如ARP Detection)提供相關的安全服務,而不直接用於過濾報文。
802.1X功能的詳細介紹請參見“安全配置指導”中的“802.1X”。DHCP Snooping功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP Snooping”。DHCP中繼功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。DHCP服務器功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP服務器”。
在配置了IPv6動態綁定功能的接口上,IP Source Guard通過與不同模塊配合動態生成綁定表項:
· 在二層以太網端口上,IP Source Guard可與DHCPv6 Snooping配合,通過主機動態獲取IP地址時產生的DHCPv6 Snooping表項來生成動態綁定表項,並用於過濾報文。
· IP Source Guard可與WLAN Snooping配合,通過設備生成的WLAN Snooping表項中的信息來生成動態綁定表項,用於配合其他模塊提供相關的安全服務,而不直接用於過濾報文。
DHCPv6 Snooping功能的詳細介紹請參見“三層技術-IP業務配置指導”的“DHCPv6 Snooping”。
表1-1 IPv4綁定功能配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置IPv4接口綁定功能 |
必選 |
|
|
配置IPv4靜態綁定表項 |
可選 |
表1-2 IPv6綁定功能配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置IPv6接口綁定功能 |
必選 |
|
|
配置IPv6靜態綁定表項 |
可選 |
加入業務環回組的接口上不能配置IP Source Guard功能,反之亦然。
配置了IPv4接口綁定功能的接口,將打開根據綁定表項過濾報文的開關,並利用配置的IPv4靜態綁定表項和從其它模塊獲取的IPv4動態綁定表項對接口轉發的報文進行過濾或者配合其它模塊提供相關的安全服務。
(1) IPv4靜態綁定表項中指定的信息均用於IP Source Guard過濾接口收到的報文,具體配置請參考“1.3.2 配置IPv4靜態綁定表項”。
(2) IPv4動態綁定表項中可能包含的內容有:MAC地址、IP地址、VLAN信息、入接口信息及表項類型(DHCP Snooping、DHCP中繼等)。IP Source Guard依據該表項中的哪些信息過濾接口收到的報文,由IPv4接口綁定配置決定:
· 若接口上配置動態綁定功能時綁定了源IP地址和MAC地址,則隻有接口上收到的報文的源IPv4地址和源MAC地址都與某動態綁定表項匹配,該報文才能被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源IP地址,則隻有該接口收到的報文的源IPv4地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源MAC地址,則隻有該接口收到的報文的源MAC地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄。
要實現IPv4動態綁定功能,請保證網絡中的DHCP Snooping、DHCP中繼、DHCP服務器或WLAN Snooping配置有效且工作正常。
表1-3 配置IPv4接口綁定功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
可支持二層以太網端口/三層以太網接口/VLAN接口 |
|
開啟IPv4接口綁定功能 |
ip verify source { ip-address | ip-address mac-address | mac-address } |
缺省情況下,接口的IPv4接口綁定功能處於關閉狀態 IPv4接口綁定功能可多次配置,最後一次的配置生效 |
IPv4靜態綁定表項包括全局的IPv4靜態綁定表項和接口的IPv4靜態綁定表項。
接口的IPv4靜態綁定表項和動態綁定表項的優先級高於全局的IPv4靜態綁定表項,即接口優先使用本接口上的靜態或動態綁定表項對收到的報文進行匹配,若匹配失敗,再與全局的靜態綁定表項進行匹配。
全局的IPv4靜態綁定表項中定義了接口允許轉發的報文的IP地址和MAC地址,對設備的所有接口都生效。
表1-4 配置全局的IPv4靜態綁定表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置全局的IPv4靜態綁定表項 |
ip source binding ip-address ip-address mac-address mac-address |
缺省情況下,未配置全局IPv4靜態綁定表項 |
表1-5 配置接口的IPv4靜態綁定表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
可支持二層以太網端口/三層以太網接口/VLAN接口 |
|
配置接口的IPv4靜態綁定表項 |
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ] |
缺省情況下,接口上未配置IPv4靜態綁定表項 vlan vlan-id參數僅在二層以太網接口視圖下支持 在與ARP Detection功能配合時,綁定表項中必須指定IP、MAC和VLAN參數,且該VLAN為使能ARP Detection功能的VLAN,否則ARP報文將無法通過接口的IPv4靜態綁定表項的檢查。 |
同一個表項不能在同一個接口上重複綁定,但可以在不同的接口上綁定。
加入業務環回組的接口上不能配置IP Source Guard功能,反之亦然。
配置了IPv6接口綁定功能的接口,將打開根據綁定表項過濾報文的開關,並利用配置的IPv6靜態綁定表項和從其他模塊獲取的IPv6動態綁定表項對接口轉發的報文進行過濾。
(1) IPv6靜態綁定表項中指定的信息均用於IP Source Guard過濾接口收到的報文,具體配置請參考“1.4.2 配置IPv6靜態綁定表項”。
(2) IPv6動態綁定表項中可能包含的信息有:MAC地址、IP地址、VLAN信息、入接口信息及表項類型(DHCPv6 Snooping等)。IP Source Guard依據該表項中的哪些信息過濾接口收到的報文,由IPv6接口綁定配置決定:
· 若接口上配置動態綁定功能時綁定了源IP地址和MAC地址,則隻有接口上收到的報文的源IPv6地址和源MAC地址都與某動態綁定表項匹配,該報文才能被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源IP地址,則隻有該接口收到的報文的源IPv6地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源MAC地址,則隻有該接口收到的報文的源MAC地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄。
要實現IPv6動態綁定功能,請保證網絡中的DHCPv6 Snooping或WLAN Snooping配置有效且工作正常。
表1-6 配置IPv6接口綁定功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
可支持二層以太網端口/三層以太網接口/VLAN接口/三層聚合接口 |
|
配置IPv6接口綁定功能 |
ipv6 verify source { ip-address | ip-address mac-address | mac-address } |
缺省情況下,接口的IPv6接口綁定功能處於關閉狀態 IPv6接口綁定功能可多次配置,最後一次的配置生效。 |
IPv6靜態綁定功能包括全局的IPv6靜態綁定功能和接口的IPv6靜態綁定功能。
接口的IPv6靜態綁定表項和IPv6動態綁定表項的優先級高於全局的IPv6靜態綁定表項,即接口優先使用本接口上的IPv6靜態或動態綁定表項對收到的報文進行匹配,若匹配失敗,再與全局的IPv6靜態綁定表項進行匹配。
全局的IPv6靜態綁定表項中定義了接口允許轉發的報文的IPv6地址和MAC地址,對設備的所有接口都生效。
表1-7 配置全局的IPv6靜態綁定表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置全局的IPv6靜態綁定表項 |
ipv6 source binding ip-address ipv6-address mac-address mac-address |
缺省情況下,未配置全局IPv6靜態綁定表項 |
表1-8 配置接口的IPv6靜態綁定表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
可支持二層以太網端口/三層以太網接口/VLAN接口 |
|
配置接口的IPv6靜態綁定表項 |
ipv6 source binding { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ] |
缺省情況下,接 口上IPv6靜態綁定表項 vlan vlan-id參數僅在二層以太網接口視圖下支持 |
同一個表項不能在同一個接口上重複綁定,但可以在不同接口上綁定。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IP Source Guard的運行情況,通過查看顯示信息驗證配置的效果。
表1-9 IP Source Guard顯示和維護(IPv4)
|
操作 |
命令 |
|
顯示IPv4綁定表項信息 |
display ip source binding [ static | [ dhcp-relay | dhcp-server | dhcp-snooping | dot1x | wlan-snooping ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] |
表1-10 IP Source Guard顯示和維護(IPv6)
|
操作 |
命令 |
|
顯示IPv6綁定表項信息 |
display ipv6 source binding [ static [ dhcpv6-snooping | wlan-snooping ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] |
IP Source Guard功能用於對AP收到的報文進行過濾控製,以防止非法客戶端的報文通過,從而限製了對網絡資源的非法使用(比如非法客戶端仿冒合法客戶端IP接入網絡),提高了無線網絡的安全性。
對於使用IPv4地址的客戶端,AP會監聽客戶端發送的ARP報文或者與DHCP服務器間交互的DHCPv4報文,從報文中獲取到客戶端的IP地址,並與客戶端的MAC地址形成綁定表項。
對於使用IPv6地址的客戶端,有以下兩種方式可以形成綁定表項。
· DHCPv6方式:AP會監聽客戶端與DHCPv6服務器間交互的DHCPv6報文,從報文中獲取到DHCPv6服務器為客戶端分配的完整的IPv6地址,並與客戶端的MAC地址形成綁定表項。如果從報文中獲取到的是DHCPv6服務器為客戶端分配的IPv6地址前綴,則無法與客戶端的MAC地址形成綁定表項。
· ND(Neighbor Discovery,IPv6鄰居發現)方式:AP會監聽網絡中的RA(Router Advertisement,路由器通告消息)、NS(Neighbor Solicitation,鄰居請求消息)、NA(Neighbor Advertisement,鄰居通告消息)報文,從報文中獲取IPv6地址,並與客戶端的MAC地址形成綁定表項。
如圖2-1所示,開啟IP Source Guard功能後,AP在收到客戶端報文時,會查找IP源地址綁定表項,如果客戶端發送報文的特征項(MAC地址+IP地址)與某個綁定表項匹配,則轉發該報文,否則做丟棄處理。對於IPv4地址匹配的條件,還要求客戶端使用的IP地址是通過DHCP方式獲取的,才轉發報文,否則做丟棄處理。
圖2-1 IP Source Guard功能示意圖
· DHCP功能的詳細介紹請參考“三層技術配置指導”中的“DHCP”。
· DHCPv6功能的詳細介紹請參考“三層技術配置指導”中的“DHCPv6”。
· ND功能的詳細介紹請參考“三層技術配置指導”中的“IPv6基礎”。
IP Source Guard功能是針對無線服務模板的,對某個無線服務模板配置了IP Source Guard功能後,僅對接入該無線服務模板的客戶端報文進行IP源地址驗證,通過其它無線服務模板接入的客戶端不受影響。
表2-1 配置IP Source Guard
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入無線服務模板視圖 |
wlan service-template service-template-number |
- |
|
開啟IPv4源地址驗證功能 |
ip verify source |
缺省情況下,IPv4源地址驗證功能處於關閉狀態 |
|
開啟IPv6源地址驗證功能 |
ipv6 verify source |
缺省情況下,IPv6源地址驗證功能處於關閉狀態 |
設備開啟IP Source Guard功能後,將通過DHCP方式學習到的IPv4地址視為已知源IPv4地址,將通過ARP方式學習到的IPv4地址或者未學習到的IPv4地址視為未知源IPv4地址。當設備接收到未知源IPv4地址客戶端發送的數據報文時,可以對報文進行如下處理:
· 僅丟棄客戶端的數據報文。
· 丟棄客戶端的數據報文並向客戶端發送解除認證報文強製其下線。
表2-2 配置對未知源IPv4地址客戶端數據報文的處理方式
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入無線服務模板視圖 |
wlan service-template service-template-number |
- |
|
配置對未知源IPv4地址客戶端數據報文的處理方式 |
ip verify unknown-ip { deauthenticate | drop } |
缺省情況下,丟棄未知源IPv4地址客戶端數據報文並向客戶端發送解除認證報文 |
· 如圖2-2所示,客戶端通過名為service的SSID接入網絡,Switch作為DHCP server會為接入的客戶端動態分配IP地址。
· 要求對接入此SSID的客戶端報文進行IP源地址驗證,以防止非法客戶端的報文通過。
圖2-2 IPv4源地址驗證配置組網圖
# 創建無線服務模板1,配置SSID為service,並使能服務模版。
<AC> system-view
[AC] wlan service-template 1
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] service-template enable
# 配置IPv4源地址驗證功能。
[AC-wlan-st-1] ip verify source
[AC-wlan-st-1] quit
# 創建手工AP,名稱為ap1,選擇AP型號並配置序列號。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 將無線服務模板1綁定到Radio 2接口。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] service-template 1
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
Client 1(MAC地址為001d-0f31-87dd)和Client 2(MAC地址為001c-f08f-f7f1)通過DHCP服務器申請到IP地址後,AP上會生成Client 1和Client 2的綁定表項。當AP收到Client 1和Client 2發送的報文,檢查綁定表項匹配後,AP會轉發這些報文,Client 3為非法客戶端(Client 3偽造其IP地址為Client 1的IP地址),AP無法查找到與其匹配的綁定表項,則會丟棄Client 3發送的報文。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
