登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

16-安全配置指導

目錄

14-IP Source Guard配置

本章節下載 14-IP Source Guard配置  (213.95 KB)

14-IP Source Guard配置

目  錄

1 IP Source Guard

1.1 IP Source Guard簡介

1.2 開啟源地址驗證功能

1.3 IP Source Guard顯示和維護

1.4 IP Source Guard典型配置舉例

1.4.1 IP Source Guard基本組網配置舉例

 

1 IP Source Guard

1.1  IP Source Guard簡介

IP Source Guard功能用於對AP收到的報文進行過濾控製,以防止非法客戶端的報文通過,從而限製了對網絡資源的非法使用(比如非法客戶端仿冒合法客戶端IP接入網絡),提高了無線網絡的安全性。

對於使用IPv4地址的客戶端,AP會截獲客戶端發送的ARP報文或者與DHCP服務器間交互的DHCPv4報文,從報文中獲取到客戶端的IP地址,並與客戶端的MAC地址形成綁定表項。

對於使用IPv6地址的客戶端,有以下兩種方式可以形成綁定表項。

·     DHCPv6方式:AP會截獲客戶端與DHCPv6服務器間交互的DHCPv6報文,從報文中獲取到DHCPv6服務器為客戶端分配的完整的IPv6地址,並與客戶端的MAC地址形成綁定表項。如果從報文中獲取到的是DHCPv6服務器為客戶端分配的IPv6地址前綴,則無法與客戶端的MAC地址形成綁定表項。

·     ND(Neighbor Discovery,IPv6鄰居發現)方式:AP監聽網絡中的RA(Router Advertisement,路由器通告消息)、NS(Neighbor Solicitation,鄰居請求消息)、NA(Neighbor Advertisement,鄰居通告消息)報文,從報文中獲取IPv6地址,並與客戶端的MAC地址形成綁定表項。

DHCP功能的詳細介紹請參考“網絡互通配置指導”中的“DHCP”。DHCPv6功能的詳細介紹請參考“網絡互通配置指導”中的“DHCPv6”。ND功能的詳細介紹請參考“網絡互通配置指導”中的“IPv6基礎”。

圖1-1所示,開啟IP Source Guard功能後,AP在收到客戶端報文時,會查找IP源地址綁定表項,如果客戶端發送報文的特征項(MAC地址+IP地址)與某個綁定表項匹配,則轉發該報文,否則做丟棄處理。對於IPv4地址匹配的條件,還要求客戶端使用的IP地址是通過DHCP方式獲取的,才轉發報文,否則做丟棄處理。

圖1-1 IP Source Guard功能示意圖

 

1.2  開啟源地址驗證功能

1. 配置限製和指導

IP Source Guard功能是針對無線服務模板的,對某個無線服務模板配置了IP Source Guard功能後,僅對接入該無線服務模板的客戶端報文進行IP源地址驗證,通過其它無線服務模板接入的客戶端不受影響。

2. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入無線服務模板視圖。

wlan service-template service-template-number

(3)     開啟源地址驗證功能。

(IPv4網絡)

ip verify source

(IPv6網絡)

ipv6 verify source

缺省情況下,源地址驗證功能處於關閉狀態。

1.3  IP Source Guard顯示和維護

在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IP Source Guard的運行情況,通過查看顯示信息驗證配置的效果。

表1-1 IP Source Guard顯示和維護

操作

命令

顯示IPv4綁定表項信息

display ip source binding [ wlan-snooping ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ]

顯示IPv6綁定表項信息

display ipv6 source binding [ wlan-snooping ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ]

 

1.4  IP Source Guard典型配置舉例

1.4.1  IP Source Guard基本組網配置舉例

1. 組網需求

圖1-2所示,客戶端通過名為service的SSID接入網絡,Switch作為DHCP server會為接入的客戶端動態分配IP地址。

要求對接入此SSID的客戶端報文進行IP源地址驗證,以防止非法客戶端的報文通過。

2. 組網圖

圖1-2 IPv4源地址驗證配置組網圖

 

3. 配置步驟

# 創建無線服務模板1,配置SSID為service,並使能服務模版。

<AC> system-view

[AC] wlan service-template 1

[AC-wlan-st-1] ssid service

[AC-wlan-st-1] service-template enable

# 開啟IPv4源地址驗證。

[AC-wlan-st-1] ip verify source

[AC-wlan-st-1] quit

# 創建手工AP,名稱為ap1,選擇AP型號並配置序列號。

[AC] wlan ap ap1 model WA6320

[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T

# 將無線服務模板1綁定到Radio 2接口。

[AC-wlan-ap-ap1] radio 2

[AC-wlan-ap-ap1-radio-2] service-template 1

[AC-wlan-ap-ap1-radio-2] quit

[AC-wlan-ap-ap1] quit

4. 驗證配置

Client 1(MAC地址為001d-0f31-87dd)和Client 2(MAC地址為001c-f08f-f7f1)通過DHCP服務器申請到IP地址後,AP上會生成Client 1和Client 2的綁定表項。當AP收到Client 1和Client 2發送的報文,檢查綁定表項匹配後,AP會轉發這些報文,Client 3為非法客戶端(Client 3偽造其IP地址為Client 1的IP地址),AP無法查找到與其匹配的綁定表項,則會丟棄Client 3發送的報文。

 

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們