- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
26-IP Source Guard配置
本章節下載: 26-IP Source Guard配置 (330.41 KB)
目 錄
1.6.2 與DHCP Snooping配合的IPv4動態綁定功能配置舉例
1.6.3 與DHCP中繼配合的IPv4動態綁定功能配置舉例
1.6.5 與DHCPv6 Snooping配合的IPv6動態綁定表項配置舉例
IP Source Guard功能用於對接口收到的報文進行過濾控製,通常配置在接入用戶側的接口上,以防止非法用戶報文通過,從而限製了對網絡資源的非法使用(比如非法主機仿冒合法用戶IP接入網絡),提高了接口的安全性。
如圖1-1所示,配置了IP Source Guard功能的接口接收到用戶報文後,根據IP Source Guard綁定表項匹配報文,如果報文的信息與某綁定表項匹配,則轉發該報文;若匹配失敗,則丟棄該報文。IP Source Guard可以根據報文的源IP地址、源MAC地址和VLAN標簽對報文進行過濾。報文的這些特征項可單獨或組合起來與接口進行綁定,形成IP Source Guard綁定表項。
IP Source Guard的綁定功能是針對接口的,一個接口配置了綁定功能後,僅對該接口接收的報文進行限製,其它接口不受影響。
IP Source Guard綁定表項可以通過手工配置和動態獲取兩種方式生成。
圖1-1 IP Source Guard功能示意圖
靜態配置綁定表項是指通過命令行手工配置綁定表項,該方式適用於局域網絡中主機數較少且主機使用靜態配置IP地址的情況,比如在接入某重要服務器的接口上配置綁定表項,僅允許該接口接收與該服務器通信的報文。
靜態綁定表項可以用於:
· 過濾接口收到的IP報文。
· 與ARP Detection功能配合使用檢查接入用戶的合法性。ARP Detection功能的詳細介紹請參見“安全配置指導”中的“ARP攻擊防禦”。
靜態綁定表項又包括全局靜態綁定表項和接口靜態綁定表項兩種類型,這兩種綁定表項的作用範圍不同。
· 全局靜態綁定表項
全局靜態綁定表項是在係統視圖下配置的綁定了IP地址和MAC地址的表項,這類表項在設備的所有端口上生效。全局靜態綁定表項適用於防禦主機仿冒攻擊,可有效過濾攻擊者通過仿冒合法用戶主機的IP地址或者MAC地址向設備發送的偽造IP報文。
· 接口靜態綁定表項
端口靜態綁定是在端口上配置的綁定了IP地址、MAC地址、VLAN以及相關組合的表項,這類表項僅在當前端口上生效。隻有端口收到的報文的IP地址、MAC地址、VLAN與端口上配置的綁定表項的各參數完全匹配時,報文才可以在該端口被正常轉發,其它報文都不能被轉發,該表項適用於檢查端口上接入用戶的合法性。
動態獲取綁定表項是指通過獲取其它模塊生成的用戶信息來生成綁定表項。動態綁定表項中可能包含的內容:MAC地址、IP地址/IPv6地址、VLAN信息、入接口信息及表項類型(DHCPv4/v6 Snooping、DHCPv4/v6中繼等)。
這種動態獲取綁定表項的方式,通常適用於局域網絡中主機較多的情況。以主機使用DHCP動態獲取IP地址的情況為例,其原理是每當局域網內的主機通過DHCP服務器獲取到IP地址時,DHCP服務器會生成一條DHCP服務器表項,DHCP中繼會生成一條DHCP中繼表項,DHCP Snooping會生成一條DHCP Snooping表項。IP Source Guard可以根據以上任何一條DHCP表項相應地增加一條IP Source Guard綁定表項來判斷是否允許該用戶訪問網絡。如果某個用戶私自設置IP地址,則不會觸發設備生成相應的DHCP表項,IP Source Guard也不會增加相應的綁定表項,因此該用戶的報文將會被丟棄。
在配置了IPv4動態綁定功能的接口上,IP Source Guard通過與不同的模塊配合動態生成綁定表項。
表1-1 IPv4動態綁定功能信息表
|
接口類型 |
表項來源模塊 |
用途 |
|
二層以太網接口 |
DHCP Snooping、802.1X |
報文過濾 |
|
ARP Snooping |
配合其它模塊(例如ARP Detection)提供相關的安全服務,而不直接用於過濾報文 |
|
|
三層以太網接口/VLAN接口 |
DHCP中繼 |
報文過濾 |
|
DHCP服務器 |
配合其它模塊(例如授權ARP)提供相關的安全服務,而不直接用於過濾報文 |
802.1X功能的詳細介紹請參見“安全配置指導”中的“802.1X”。DHCP Snooping功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP Snooping”。DHCP中繼功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。DHCP服務器功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP服務器”。
在配置了IPv6動態綁定功能的接口上,IP Source Guard通過與不同模塊配合動態生成綁定表項。
表1-2 IPv6動態綁定功能信息表
|
接口類型 |
表項來源模塊 |
用途 |
|
二層以太網接口 |
DHCPv6 Snooping |
報文過濾 |
|
802.1X |
||
|
三層以太網接口/VLAN接口 |
DHCPv6中繼 |
報文過濾 |
DHCPv6 Snooping功能的詳細介紹請參見“三層技術-IP業務配置指導”的“DHCPv6 Snooping”。DHCPv6中繼功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCPv6中繼”。
IPv4綁定功能配置任務如下:
(1) 配置IPv4接口綁定功能
(2) (可選)配置IPv4靜態綁定表項
IPv6綁定功能配置任務如下:
(1) 配置IPv6接口綁定功能
(2) (可選)配置IPv6靜態綁定表項
配置了IPv4接口綁定功能的接口,將打開根據綁定表項過濾報文的開關,並利用配置的IPv4靜態綁定表項和從其它模塊獲取的IPv4動態綁定表項對接口轉發的報文進行過濾或者配合其它模塊提供相關的安全服務。IPv4靜態綁定表項中指定的信息均用於IP Source Guard過濾接口收到的報文,具體配置請參考“1.3.2 配置IPv4靜態綁定表項”。
IP Source Guard依據該表項中的哪些信息過濾接口收到的報文,由IPv4接口綁定配置決定:
· 若接口上配置動態綁定功能時綁定了源IP地址和MAC地址,則隻有接口上收到的報文的源IPv4地址和源MAC地址都與某動態綁定表項匹配,該報文才能被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源IP地址,則隻有該接口收到的報文的源IPv4地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源MAC地址,則隻有該接口收到的報文的源MAC地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄。
如果僅開啟了IPv4接口綁定功能而沒有配置相應的IPv4靜態綁定表項或IPv4動態綁定表項的相關前置功能,該接口收到的所有報文將被丟棄。
要實現IPv4靜態綁定功能,請配置IPv4靜態綁定表項。
要實現IPv4動態綁定功能,請保證網絡中的802.1X、DHCP Snooping、DHCP中繼或DHCP服務器配置有效且工作正常。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
可支持二層以太網端口/三層以太網接口/三層以太網子接口/三層聚合接口/三層聚合子接口/VLAN接口。
(3) 開啟IPv4接口綁定功能。
ip verify source { ip-address | ip-address mac-address | mac-address }
缺省情況下,接口的IPv4接口綁定功能處於關閉狀態。
IPv4靜態綁定表項包括全局的IPv4靜態綁定表項和接口的IPv4靜態綁定表項。接口的IPv4靜態綁定表項和動態綁定表項的優先級高於全局的IPv4靜態綁定表項,即接口優先使用本接口上的靜態或動態綁定表項對收到的報文進行匹配,若匹配失敗,再與全局的靜態綁定表項進行匹配。
全局的IPv4靜態綁定表項中定義了接口允許轉發的報文的IP地址和MAC地址,對設備的所有接口都生效。
(1) 進入係統視圖。
system-view
(2) 配置全局的IPv4靜態綁定表項。
ip source binding ip-address ip-address mac-address mac-address
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
可支持二層以太網端口/三層以太網接口/三層以太網子接口/VLAN接口。
(3) 配置接口的IPv4靜態綁定表項。
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
同一個表項可以在不同的接口上綁定。
配置了IPv6接口綁定功能的接口,將打開根據綁定表項過濾報文的開關,並利用配置的IPv6靜態綁定表項和從其他模塊獲取的IPv6動態綁定表項對接口轉發的報文進行過濾。IPv6靜態綁定表項中指定的信息均用於IP Source Guard過濾接口收到的報文,具體配置請參考“1.4.2 配置IPv6靜態綁定表項”。
IP Source Guard依據該表項中的哪些信息過濾接口收到的報文,由IPv6接口綁定配置決定:
· 若接口上配置動態綁定功能時綁定了源IP地址和MAC地址,則隻有接口上收到的報文的源IPv6地址和源MAC地址都與某動態綁定表項匹配,該報文才能被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源IP地址,則隻有該接口收到的報文的源IPv6地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源MAC地址,則隻有該接口收到的報文的源MAC地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄。
如果僅開啟了IPv6接口綁定功能而沒有配置相應的IPv6靜態綁定表項或IPv6動態綁定表項的相關前置功能,該接口收到的所有報文將被丟棄。
要實現IPv6靜態綁定功能,請配置IPv6靜態綁定表項。
要實現IPv6動態綁定功能,請保證網絡中的DHCPv6 Snooping或DHCPv6 Relay配置有效且工作正常。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
可支持二層以太網端口/三層以太網接口/三層以太網子接口/VLAN接口。
(3) 配置IPv6接口綁定功能。
ipv6 verify source { ip-address | ip-address mac-address | mac-address }
缺省情況下,接口的IPv6接口綁定功能處於關閉狀態。
IPv6靜態綁定功能包括全局的IPv6靜態綁定功能和接口的IPv6靜態綁定功能。接口的IPv6靜態綁定表項和IPv6動態綁定表項的優先級高於全局的IPv6靜態綁定表項,即接口優先使用本接口上的IPv6靜態或動態綁定表項對收到的報文進行匹配,若匹配失敗,再與全局的IPv6靜態綁定表項進行匹配。
全局的IPv6靜態綁定表項中定義了接口允許轉發的報文的IPv6地址和MAC地址,對設備的所有接口都生效。
(1) 進入係統視圖。
system-view
(2) 配置全局的IPv6靜態綁定表項。
ipv6 source binding ip-address ipv6-address mac-address mac-address
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
可支持二層以太網端口/三層以太網接口/三層以太網子接口/VLAN接口。
(3) 配置接口的IPv6靜態綁定表項。
ipv6 source binding { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
同一個表項可以在不同接口上綁定。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IP Source Guard的運行情況,通過查看顯示信息驗證配置的效果。
表1-3 IP Source Guard顯示和維護
|
操作 |
命令 |
|
顯示IPv4綁定表項信息 |
(獨立運行模式) display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcp-relay | dhcp-server | dhcp-snooping | dot1x ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] (IRF模式) display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcp-relay | dhcp-server | dhcp-snooping | dot1x ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
顯示IPv6綁定表項信息 |
(獨立運行模式) display ipv6 source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcpv6-snooping ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] (IRF模式) display ipv6 source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcpv6-snooping ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
如圖1-2所示,Host A、Host B分別與Device的接口GigabitEthernet1/0/2、GigabitEthernet1/0/1相連。各主機均使用靜態配置的IP地址。
要求通過在Device上配置IPv4靜態綁定表項,滿足以下各項應用需求:
· Device上的所有接口都允許Host A發送的IP報文通過。
· Device的接口GigabitEthernet1/0/1上允許Host B發送的IP報文通過。
# 配置Device各接口的IP地址(略)。
# 在接口GigabitEthernet1/0/2上開啟IPv4接口綁定功能,綁定源IP地址和MAC地址。
<Device> system-view
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip verify source ip-address mac-address
[Device-GigabitEthernet1/0/2] quit
# 配置IPv4靜態綁定表項,在Device上的所有接口都允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的數據終端Host A發送的IP報文通過。
[Device] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
# 在接口GigabitEthernet1/0/1上開啟IPv4接口綁定功能,綁定源IP地址和MAC地址。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 配置IPv4靜態綁定表項,在Device的GigabitEthernet1/0/1上允許MAC地址為0001-0203-0407的數據終端Host B發送的IP報文通過。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip source binding mac-address 0001-0203-0407
[Device-GigabitEthernet1/0/1] quit
# 在Device上顯示IPv4靜態綁定表項,可以看出以上配置成功。
[Device] display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 N/A N/A Static
N/A 0001-0203-0407 GE1/0/1 N/A Static
DHCP客戶端通過Device的接口GigabitEthernet1/0/1接入網絡,通過DHCP服務器獲取IPv4地址。
具體應用需求如下:
· Device上使能DHCP Snooping功能,保證客戶端從合法的服務器獲取IP地址,且記錄客戶端IPv4地址及MAC地址的綁定關係。
· 在接口GigabitEthernet1/0/1上啟用IPv4動態綁定功能,利用動態生成的DHCP Snooping表項過濾接口接收的報文,隻允許通過DHCP服務器動態獲取IP地址的客戶端接入網絡。DHCP服務器的具體配置請參見“三層技術-IP業務配置指導”中的“DHCP服務器”。
圖1-3 配置與DHCP Snooping配合的IPv4動態綁定功能組網圖
(1) 配置DHCP Snooping
# 配置各接口的IP地址(略)。
# 開啟DHCP Snooping功能。
<Device> system-view
[Device] dhcp snooping enable
# 設置與DHCP服務器相連的接口GigabitEthernet1/0/2為信任接口。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] dhcp snooping trust
[Device-GigabitEthernet1/0/2] quit
(2) 配置IPv4接口綁定功能
# 開啟接口GigabitEthernet1/0/1的IPv4接口綁定功能,綁定源IP地址和MAC地址,並啟用接口的DHCP Snooping 表項記錄功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip verify source ip-address mac-address
[Device-GigabitEthernet1/0/1] dhcp snooping binding record
[Device-GigabitEthernet1/0/1] quit
# 顯示接口GigabitEthernet1/0/1從DHCP Snooping獲取的動態表項。
[Device] display ip source binding dhcp-snooping
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 GE1/0/1 1 DHCP snooping
接口GigabitEthernet1/0/1在配置IPv4接口綁定功能之後,會根據該表項進行報文過濾。
Router通過接口GigabitEthernet1/0/1和GigabitEthernet1/0/2分別與客戶端Host和DHCP服務器相連。Router上配置DHCP中繼功能。
具體應用需求如下:
· Host通過DHCP中繼從DHCP服務器上獲取IP地址。
· 在接口GigabitEthernet1/0/1上啟用IPv4動態綁定功能,利用Router上生成的DHCP中繼表項,過濾接口接收的報文。
圖1-4 配置與DHCP中繼配合的IPv4動態綁定功能組網圖
(1) 配置DHCP中繼
# 配置各接口的IP地址(略)。
# 開啟DHCP服務。
<Router> system-view
[Router] dhcp enable
# 開啟DHCP中繼用戶地址表項記錄功能。
[Router] dhcp relay client-information record
# 配置接口GigabitEthernet1/0/1工作在DHCP中繼模式。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] dhcp select relay
# 指定DHCP服務器的地址。
[Router-GigabitEthernet1/0/1] dhcp relay server-address 10.1.1.1
[Router-GigabitEthernet1/0/1] quit
(2) 配置IPv4動態綁定功能
# 在接口GigabitEthernet1/0/1上開啟IPv4接口綁定功能,綁定源IP地址和MAC地址。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ip verify source ip-address mac-address
[Router-GigabitEthernet1/0/1] quit
# 顯示生成的IPv4動態綁定表項信息。
[Router] display ip source binding dhcp-relay
Total entries found: 1
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 GE1/0/1 N/A DHCP relay
IPv6客戶端通過Device的接口GigabitEthernet1/0/1接入網絡。要求在Device上配置IPv6靜態綁定表項,使得接口GigabitEthernet1/0/1上隻允許Host(MAC地址為0001-0202-0202、IPv6地址為2001::1)發送的IPv6報文通過。
圖1-5 配置IPv6靜態綁定表項組網圖
# 在接口GigabitEthernet1/0/1上開啟IPv6接口綁定功能,綁定源IP地址和MAC地址。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address
# 在接口GigabitEthernet1/0/1上配置IPv6靜態綁定表項,綁定源IP地址和MAC地址,隻允許IPv6地址為2001::1且MAC地址為00-01-02-02-02-02的IPv6報文通過。
[Device-GigabitEthernet1/0/1] ipv6 source binding ip-address 2001::1 mac-address 0001-0202-0202
[Device-GigabitEthernet1/0/1] quit
# 在Device上顯示IPv6靜態綁定表項,可以看出以上配置成功。
[Device] display ipv6 source binding static
Total entries found: 1
IPv6 Address MAC Address Interface VLAN Type
2001::1 0001-0202-0202 GE1/0/1 N/A Static
DHCPv6客戶端通過Device的接口GigabitEthernet1/0/1接入網絡,通過DHCPv6服務器獲取IPv6地址。
具體應用需求如下:
· Device上使能DHCPv6 Snooping功能,保證客戶端從合法的服務器獲取IP地址,且記錄客戶端IPv6地址及MAC地址的綁定關係。
· 在接口GigabitEthernet1/0/1上啟用IPv6動態綁定功能,利用動態生成的DHCPv6 Snooping表項過濾接口接收的報文,隻允許通過DHCPv6服務器動態獲取IP地址的客戶端接入網絡。
圖1-6 配置與DHCPv6 Snooping配合的IPv6動態綁定功能組網圖
(1) 配置DHCPv6 Snooping
# 全局使能DHCPv6 Snooping功能。
<Device> system-view
[Device] ipv6 dhcp snooping enable
# 配置接口GigabitEthernet1/0/2為信任接口。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ipv6 dhcp snooping trust
[Device-GigabitEthernet1/0/2] quit
(2) 配置IPv6接口綁定功能
# 開啟接口GigabitEthernet1/0/1的IPv6接口綁定功能,綁定源IP地址和MAC地址,並啟用接口的DHCPv6 Snooping地址表項記錄功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address
[Device-GigabitEthernet1/0/1] ipv6 dhcp snooping binding record
[Device-GigabitEthernet1/0/1] quit
# 客戶端通過DHCPv6 server成功獲取IP地址之後,通過執行以下命令可查看到已生成的IPv6動態綁定表項信息。
[Device] display ipv6 source binding dhcpv6-snooping
Total entries found: 1
IPv6 Address MAC Address Interface VLAN Type
2001::1 040a-0000-0001 GE1/0/1 1 DHCPv6 snooping
接口GigabitEthernet1/0/1在配置IPv6接口綁定功能之後,會根據該表項進行報文過濾。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
