- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
41-IP Source Guard配置
本章节下载 (163.61 KB)
目 录
通过IP Source Guard绑定功能,可以对端口转发的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。配置了该特性的端口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。
IP Source Guard用于匹配报文的特征项包括:源IP地址、源MAC地址和VLAN标签。并且,可支持端口与如下特征项的组合(下文简称绑定表项):
l IP、MAC、IP+MAC
l IP+VLAN、MAC+VLAN、IP+MAC+VLAN
绑定表项的来源主要有两种方式:
l 静态绑定:通过手工配置方式提供绑定表项;
l 动态绑定:由DHCP Snooping提供绑定表项。该方式利用了端口上DHCP Snooping所记录的DHCP客户端IP地址与MAC地址的对应关系。
而且,绑定是针对端口的,一个端口被绑定后,仅该端口被限制,其他端口不受该绑定影响。
IP Source Guard功能与端口加入聚合组互斥。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置静态绑定表项 |
user-bind { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ] |
必选 缺省情况下,端口上无静态绑定表项 |
l 绑定策略:不支持一个端口上相同表项的重复绑定,但相同的表项可以在多个端口上绑定。
l 合法的绑定条目的MAC地址不能为全0、全F(广播MAC)和组播MAC。IP地址必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
l 静态绑定表项配置只能在以太网端口下进行。
端口上配置动态绑定功能后,IP Source Guard将获取该端口上动态生成的DHCP Snooping表项;表项内容包括:MAC地址、IP地址、VLAN信息、端口信息及表项类型。IP Source Guard把这些动态获取的表项添加到动态绑定表项中,实现过滤端口转发报文的功能。
表1-2 配置动态绑定功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置动态绑定功能 |
ip check source { ip-address | ip-address mac-address | mac-address } |
必选 缺省情况下,端口上未配置动态绑定功能 |
端口下的动态绑定表项可多次配置,但最后配置的生效。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。
表1-3 IP Source Guard显示和维护
|
操作 |
命令 |
|
显示静态绑定表项信息 |
display user-bind [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] |
|
显示动态绑定表项信息 |
display ip check source [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] |
如图1-1所示,Host A与Host B分别与Switch B的端口GigabitEthernet1/0/2、GigabitEthernet1/0/1相连;Host C与Switch A的端口GigabitEthernet1/0/2相连。Switch B接到Switch A的端口GigabitEthernet1/0/1上。
通过在Switch A和Switch B上配置静态绑定表项,可以满足以下各项应用需求:
l Switch A的端口GigabitEthernet1/0/2上只允许Host C发送的IP报文通过。
l Switch A的端口GigabitEthernet1/0/1上只允许Host A发送的IP报文通过。
l Switch B的端口GigabitEthernet1/0/2上只允许Host A发送的IP报文通过。
l Switch B的端口GigabitEthernet1/0/1上只允许Host B发送的IP报文通过。
(1) 配置Switch A
# 配置在Switch A的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-05与IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。
<SwitchA> system-view
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405
[SwitchA-GigabitEthernet1/0/2] quit
# 配置在Switch A的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406
# 配置在Switch B的GigabitEthernet1/0/2上只允许MAC地址为00-01-02-03-04-06与IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
<SwitchB> system-view
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406
[SwitchB-GigabitEthernet1/0/2] quit
# 配置在Switch B的GigabitEthernet1/0/1上只允许MAC地址为00-01-02-03-04-07与IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.2 mac-address 0001-0203-0407
(3) 验证配置结果
# 在Switch A上显示静态绑定表项配置成功。
<SwitchA> display user-bind
Total entries found: 2
MAC IP Vlan Port Status
0001-0203-0405 192.168.0.3 N/A GigabitEthernet1/0/2 Static
0001-0203-0406 192.168.0.1 N/A GigabitEthernet1/0/1 Static
# 在Switch B上显示静态绑定表项配置成功。
<SwitchB> display user-bind
Total entries found: 2
MAC IP Vlan Port Status
0001-0203-0406 192.168.0.1 N/A GigabitEthernet1/0/2 Static
0001-0203-0407 192.168.0.2 N/A GigabitEthernet1/0/1 Static
Switch A通过端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分别与客户端Client A和DHCP Server相连。Switch A上使能DHCP Snooping功能。
具体应用需求如下:
l Client A(MAC地址为00-01-02-03-04-06)通过DHCP Server获取IP地址。
l 在Switch A上生成Client A的DHCP Snooping表项。
l 在端口GigabitEthernet1/0/1上启用动态绑定功能,防止客户端使用伪造源IP地址对服务器进行攻击。
图1-2 配置动态绑定功能组网图
(1) 配置Switch A
# 配置端口GigabitEthernet1/0/1的动态绑定功能,绑定源IP地址和MAC地址。
<SwitchA> system-view
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] ip check source ip-address mac-address
[SwitchA-GigabitEthernet1/0/1] quit
# 开启DHCP Snooping功能。
[SwitchA] dhcp-snooping
# 设置与DHCP服务器相连的端口GigabitEthernet1/0/2为信任端口。
[SwitchA] interface gigabitethernet1/0/2
[SwitchA-GigabitEthernet1/0/2] dhcp-snooping trust
[SwitchA-GigabitEthernet1/0/2] quit
(2) 验证配置结果
# 显示端口GigabitEthernet1/0/1的动态绑定功能配置成功。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] display this
#
interface GigabitEthernet1/0/1
ip check source ip-address mac-address
#
return
# 显示端口GigabitEthernet1/0/1从DHCP Snooping获取的动态表项。
[SwitchA-GigabitEthernet1/0/1] display ip check source
Total entries found: 1
MAC IP Vlan Port Status
0001-0203-0406 192.168.0.1 1 GigabitEthernet 1/0/1 DHCP-SNP
# 显示DHCP Snooping已有的动态表项,查看其是否和端口GigabitEthernet1/0/1获取的动态表项一致。
[SwitchA-GigabitEthernet1/0/1] display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.0.1 0001-0203-0406 86335 1 GigabitEthernet1/0/1
从以上显示信息可以看出,端口GigabitEthernet1/0/1在配置动态绑定功能之后获取了DHCP Snooping产生的动态表项。
在端口上配置静态绑定表项、配置动态绑定功能均失败。
IP Source Guard功能跟聚合端口互斥。在聚合端口下不能配置静态绑定表项,也不能配置动态绑定功能。
去掉端口的聚合状态,并将端口从聚合组中删除。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
