03-IP Source Guard配置
本章节下载: 03-IP Source Guard配置 (153.16 KB)
目 录
通过在设备接入用户侧的端口上启用IP Source Guard功能,可以对端口收到的报文进行过滤控制,防止非法报文通过端口,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。
IP Source Guard在端口上用于过滤报文的特征项包括:源IP地址、源MAC地址和VLAN标签。这些特征项可单独或组合起来与端口进行绑定,形成绑定表项,具体包括:IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN和IP+MAC+VLAN。
如图1-1所示,配置了IP Source Guard的端口接收到报文后查找IP Source Guard绑定表项,如果报文中的特征项与绑定表项中记录的特征项匹配,则端口转发该报文,否则做丢弃处理。绑定功能是针对端口的,一个端口配置了绑定功能后,仅该端口被限制,其他端口不受该绑定影响。
图1-1 IP Source Guard功能示意图
静态绑定是指:通过手工配置IP静态绑定表项来过滤端口收到的IP报文,或者与ARP Detection功能配合使用检查接入用户的合法性。通常适用于局域网络中主机数较少且主机使用静态配置IP地址的情况,比如在接入某重要服务器的端口上配置绑定表项,仅允许该端口接收或者发送与该服务器通信的报文。
ARP Detection功能的详细介绍请参考“安全分册”的“ARP攻击防御配置”。
动态绑定是指根据DHCP Snooping表项或DHCP Relay表项动态生成绑定表项来过滤端口收到的IP报文。通常适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况。其原理是每当DHCP为用户分配IP地址而生成一条DHCP表项时,动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址,则不会触发设备生成相应的DHCP表项,因此动态绑定功能也不会增加相应的访问规则来允许该用户访问网络。
DHCP Snooping和DHCP Relay功能的详细介绍请参考“IP分册”的“DHCP配置”。
加入聚合组的端口上不能配置IP Source Guard功能,反之亦然。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入二层以太网端口视图 |
interface interface-type interface-number |
- |
|
配置静态绑定表项 |
user-bind { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ] |
必选 缺省情况下,端口上无静态绑定表项 |
l 一个表项不能在同一个端口上重复绑定,但可以在不同端口上绑定。
l 绑定表项中的MAC地址不能为全0、全F(广播MAC)和组播MAC。绑定表项中的IP地址必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
配置了动态绑定功能的端口,通过与不同的DHCP协议配合来动态生成绑定表项:
l 在二层以太网端口上,IP Source Guard可与DHCP Snooping配合,通过获取IP地址动态分配时产生的DHCP Snooping表项来生成动态绑定表项;
l 在VLAN接口上,IP Source Guard可与DHCP Relay配合,通过获取IP地址跨网段动态分配时产生的DHCP Relay表项来生成动态绑定表项。
动态绑定表项中可能包含的内容有:MAC地址、IP地址、VLAN信息、入端口信息及表项类型(DHCP Snooping或DHCP Relay),其中MAC地址、IP地址和VLAN信息的包含情况由动态绑定配置决定。IP Source Guard把这些动态绑定表项下发到端口后,可对端口上转发的报文进行过滤。
表1-2 配置动态绑定功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置动态绑定功能 |
ip check source { ip-address | ip-address mac-address | mac-address } |
必选 缺省情况下,端口上未配置动态绑定功能 |
l 要实现动态绑定功能,请保证网络中的DHCP Snooping或DHCP Relay配置有效且工作正常,配置的具体介绍请参见“IP业务分册”中的“DHCP配置”。
l 接口下的动态绑定表项可多次配置,后配置的覆盖先配置的。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。
表1-3 IP Source Guard显示和维护
|
操作 |
命令 |
|
显示静态绑定表项信息 |
display user-bind [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ | { begin | exclude | include } regular-expression ] |
|
显示动态绑定表项信息 |
display ip check source [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
在端口上配置静态绑定表项、配置动态绑定功能均失败。
IP Source Guard功能跟聚合端口互斥。在聚合端口下不能配置静态绑定表项,也不能配置动态绑定功能。
将端口退出已加入的聚合组。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
