- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-IP Source Guard配置
本章節下載: 06-IP Source Guard配置 (244.31 KB)
目 錄
IP Source Guard功能用於對接口收到的報文進行過濾控製,通常配置在接入用戶側的接口上,以防止非法用戶報文通過,從而限製了對網絡資源的非法使用(比如非法主機仿冒合法用戶IP接入網絡),提高了接口的安全性。
如圖1-1所示,配置了IP Source Guard功能的接口接收到用戶報文後,根據IP Source Guard綁定表項匹配報文,如果報文的信息與某綁定表項匹配,則轉發該報文;若匹配失敗,則丟棄該報文。IP Source Guard可以根據報文的源IP地址、源MAC地址和VLAN標簽對報文進行過濾。報文的這些特征項可單獨或組合起來與接口進行綁定,形成IP Source Guard綁定表項。
IP Source Guard的綁定功能是針對接口的,一個接口配置了綁定功能後,僅對該接口接收的報文進行限製,其它接口不受影響。
IP Source Guard綁定表項可以通過手工配置和動態獲取兩種方式生成。
圖1-1 IP Source Guard功能示意圖
靜態配置綁定表項是指通過命令行手工配置綁定表項,該方式適用於局域網絡中主機數較少且主機使用靜態配置IP地址的情況,比如在接入某重要服務器的接口上配置綁定表項,僅允許該接口接收與該服務器通信的報文。
靜態綁定表項可以用於:
· 過濾接口收到的IP報文。
· 與ARP Detection功能配合使用檢查接入用戶的合法性。ARP Detection功能的詳細介紹請參見“安全配置指導”中的“ARP攻擊防禦”。
靜態綁定表項又包括全局靜態綁定表項和接口靜態綁定表項兩種類型,這兩種綁定表項的作用範圍不同。
· 全局靜態綁定表項
全局靜態綁定表項是在係統視圖下配置的綁定了IP地址和MAC地址的表項,這類表項在設備的所有端口上生效。全局靜態綁定表項適用於防禦主機仿冒攻擊,可有效過濾攻擊者通過仿冒合法用戶主機的IP地址或者MAC地址向設備發送的偽造IP報文。
· 接口靜態綁定表項
端口靜態綁定是在端口上配置的綁定了IP地址、MAC地址、VLAN以及相關組合的表項,這類表項僅在當前端口上生效。隻有端口收到的報文的IP地址、MAC地址、VLAN與端口上配置的綁定表項的各參數完全匹配時,報文才可以在該端口被正常轉發,其它報文都不能被轉發,該表項適用於檢查端口上接入用戶的合法性。
動態獲取綁定表項是指通過獲取其它模塊生成的用戶信息來生成綁定表項。動態綁定表項中可能包含的內容:MAC地址、IP地址/IPv6地址、VLAN信息、入接口信息及表項類型(DHCP中繼等)。
這種動態獲取綁定表項的方式,通常適用於局域網絡中主機較多的情況。以主機使用DHCP動態獲取IP地址的情況為例,其原理是每當局域網內的主機通過DHCP服務器獲取到IP地址時,DHCP服務器會生成一條DHCP服務器表項,DHCP中繼會生成一條DHCP中繼表項。IP Source Guard可以根據以上任何一條DHCP表項相應地增加一條IP Source Guard綁定表項來判斷是否允許該用戶訪問網絡。如果某個用戶私自設置IP地址,則不會觸發設備生成相應的DHCP表項,IP Source Guard也不會增加相應的綁定表項,因此該用戶的報文將會被丟棄。
在配置了IPv4動態綁定功能的接口上,IP Source Guard通過與不同的模塊配合動態生成綁定表項。
表1-1 IPv4動態綁定功能信息表
|
接口類型 |
表項來源模塊 |
用途 |
|
二層以太網接口 |
ARP Snooping |
配合其它模塊(例如ARP Detection)提供相關的安全服務,而不直接用於過濾報文 |
|
三層以太網接口/三層聚合接口/VLAN接口/以太網冗餘接口/以太網冗餘子接口 |
DHCP中繼 |
報文過濾 |
|
DHCP服務器 |
配合其它模塊(例如授權ARP)提供相關的安全服務,而不直接用於過濾報文 |
DHCP中繼功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。DHCP服務器功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP服務器”。
在配置了IPv6動態綁定功能的接口上,IP Source Guard通過與不同模塊配合動態生成綁定表項。
IPv4綁定功能配置任務如下:
(1) 配置IPv4接口綁定功能
(2) (可選)配置IPv4靜態綁定表項
IPv6綁定功能配置任務如下:
(1) 配置IPv6接口綁定功能
(2) (可選)配置IPv6靜態綁定表項
配置了IPv4接口綁定功能的接口,將打開根據綁定表項過濾報文的開關,並利用配置的IPv4靜態綁定表項和從其它模塊獲取的IPv4動態綁定表項對接口轉發的報文進行過濾或者配合其它模塊提供相關的安全服務。IPv4靜態綁定表項中指定的信息均用於IP Source Guard過濾接口收到的報文,具體配置請參考“1.3.2 配置IPv4靜態綁定表項”。
IP Source Guard依據該表項中的哪些信息過濾接口收到的報文,由IPv4接口綁定配置決定:
· 若接口上配置動態綁定功能時綁定了源IP地址和MAC地址,則隻有接口上收到的報文的源IPv4地址和源MAC地址都與某動態綁定表項匹配,該報文才能被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源IP地址,則隻有該接口收到的報文的源IPv4地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源MAC地址,則隻有該接口收到的報文的源MAC地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄。
如果僅開啟了IPv4接口綁定功能而沒有配置相應的IPv4靜態綁定表項或IPv4動態綁定表項的相關前置功能,該接口收到的所有報文將被丟棄。
要實現IPv4靜態綁定功能,請配置IPv4靜態綁定表項。
要實現IPv4動態綁定功能,請保證網絡中的ARP Snooping、DHCP中繼或DHCP服務器配置有效且工作正常。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
可支持二層以太網端口/三層以太網接口/三層以太網子接口/三層聚合接口/三層聚合子接口VLAN接口/以太網冗餘接口//以太網冗餘子接口。
(3) 開啟IPv4接口綁定功能。
ip verify source { ip-address | ip-address mac-address | mac-address }
缺省情況下,接口的IPv4接口綁定功能處於關閉狀態。
IPv4靜態綁定表項包括全局的IPv4靜態綁定表項和接口的IPv4靜態綁定表項。接口的IPv4靜態綁定表項和動態綁定表項的優先級高於全局的IPv4靜態綁定表項,即接口優先使用本接口上的靜態或動態綁定表項對收到的報文進行匹配,若匹配失敗,再與全局的靜態綁定表項進行匹配。
全局的IPv4靜態綁定表項中定義了接口允許轉發的報文的IP地址和MAC地址,對設備的所有接口都生效。
在與ARP Detection功能配合時,綁定表項中必須指定IP、MAC和VLAN參數,且該VLAN為使能ARP Detection功能的VLAN,否則ARP報文將無法通過接口的IPv4靜態綁定表項的檢查。
(1) 進入係統視圖。
system-view
(2) 配置全局的IPv4靜態綁定表項。
ip source binding ip-address ip-address mac-address mac-address
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
可支持二層以太網端口/三層以太網接口/三層以太網子接口/VLAN接口/以太網冗餘接口/以太網冗餘子接口。
(3) 配置接口的IPv4靜態綁定表項。
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
同一個表項可以在不同的接口上綁定。
配置了IPv6接口綁定功能的接口,將打開根據綁定表項過濾報文的開關,並利用配置的IPv6靜態綁定表項和從其他模塊獲取的IPv6動態綁定表項對接口轉發的報文進行過濾。IPv6靜態綁定表項中指定的信息均用於IP Source Guard過濾接口收到的報文,具體配置請參考“1.4.2 配置IPv6靜態綁定表項”。
IP Source Guard依據該表項中的哪些信息過濾接口收到的報文,由IPv6接口綁定配置決定:
· 若接口上配置動態綁定功能時綁定了源IP地址和MAC地址,則隻有接口上收到的報文的源IPv6地址和源MAC地址都與某動態綁定表項匹配,該報文才能被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源IP地址,則隻有該接口收到的報文的源IPv6地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源MAC地址,則隻有該接口收到的報文的源MAC地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
可支持二層以太網端口/三層以太網接口/三層以太網子接口/三層聚合接口/三層聚合子接口/VLAN接口/以太網冗餘接口/以太網冗餘子接口。
(3) 配置IPv6接口綁定功能。
ipv6 verify source { ip-address | ip-address mac-address | mac-address }
缺省情況下,接口的IPv6接口綁定功能處於關閉狀態。
IPv6靜態綁定功能包括全局的IPv6靜態綁定功能和接口的IPv6靜態綁定功能。接口的IPv6靜態綁定表項和IPv6動態綁定表項的優先級高於全局的IPv6靜態綁定表項,即接口優先使用本接口上的IPv6靜態或動態綁定表項對收到的報文進行匹配,若匹配失敗,再與全局的IPv6靜態綁定表項進行匹配。
全局的IPv6靜態綁定表項中定義了接口允許轉發的報文的IPv6地址和MAC地址,對設備的所有接口都生效。
(1) 進入係統視圖。
system-view
(2) 配置全局的IPv6靜態綁定表項。
ipv6 source binding ip-address ipv6-address mac-address mac-address
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
可支持二層以太網端口/三層以太網接口/三層以太網子接口/VLAN接口/以太網冗餘接口/以太網冗餘子接口。
(3) 配置接口的IPv6靜態綁定表項。
ipv6 source binding { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
同一個表項可以在不同接口上綁定。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IP Source Guard的運行情況,通過查看顯示信息驗證配置的效果。
表1-2 IP Source Guard顯示和維護
|
操作 |
命令 |
|
顯示IPv4綁定表項信息 |
display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcp-relay | dhcp-server | ip-mac-vlan | ip-mac-vpn ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示IPv6綁定表項信息 |
display ipv6 source binding [ static | [ vpn-instance vpn-instance-name ] [ ipv6-mac-vlan | ipv6-mac-vpn ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
