- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-IP Source Guard配置
本章节下载: 04-IP Source Guard配置 (184.76 KB)
目 录
IP Source Guard功能用于对接口收到的报文进行过滤控制,通常配置在接入用户侧的接口上,以防止非法用户报文通过,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了接口的安全性。
如图1-1所示,配置了IP Source Guard功能的接口接收到用户报文后,首先查找与该接口绑定的表项(简称为绑定表项),如果报文的信息与某绑定表项匹配,则转发该报文,否则丢弃该报文。IP Source Guard可以根据报文的源IP地址、源MAC地址对报文进行过滤。报文的这些特征项可单独或组合起来与接口进行绑定,形成如下几类绑定表项:
· IP绑定表项
· IP+MAC绑定表项
IP Source Guard绑定表项目前仅支持通过手工配置方式生成。
图1-1 IP Source Guard功能示意图
IP Source Guard的绑定功能是针对接口的,一个接口配置了绑定功能后,仅对该接口接收的报文进行限制,其它接口不受影响。
静态配置绑定表项是指通过命令行手工配置绑定表项,该方式适用于局域网络中主机数较少且主机使用静态配置IP地址的情况,比如在接入某重要服务器的接口上配置绑定表项,仅允许该接口接收与该服务器通信的报文。
IPv4静态绑定表项用于过滤接口收到的IPv4报文,或者与ARP Detection功能配合使用检查接入用户的合法性;IPv6静态绑定表项用于过滤接口收到的IPv6报文。
ARP Detection功能的详细介绍请参见“安全配置指导”中的“ARP攻击防御”。
配置了IPv4端口绑定功能的接口,可利用配置的IPv4静态绑定表项对接收到的报文进行过滤。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持二层以太网端口/VLAN接口 |
|
配置IPv4端口绑定功能 |
ip verify source ip-address [ mac-address ] |
缺省情况下,接口上未配置IPv4端口绑定功能 |
|
配置IPv4静态绑定表项 |
ip source binding ip-address ip-address [ mac-address mac-address ] |
缺省情况下,接口上无IPv4静态绑定表项 |
· 一个表项不能在同一个接口上重复绑定,但可以在不同的接口上绑定。
· 该配置任务中的ip verify source命令仅用于控制是否开启接口的报文过滤功能,该命令中的参数不影响IPv4静态绑定功能,接口最终是依据配置的IPv4静态绑定表项参数来过滤报文。
配置了IPv6端口绑定功能的接口,利用配置的IPv6静态绑定表项对接收到的报文进行过滤。
表1-2 配置IPv6静态绑定功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
可支持二层以太网端口/VLAN接口 |
|
配置IPv6端口绑定功能 |
ipv6 verify source ip-address [ mac-address ] |
缺省情况下,接口上未配置IPv6端口绑定功能 |
|
配置IPv6静态绑定表项 |
ipv6 source binding ip-address ipv6-address [ mac-address mac-address ] |
缺省情况下,接口上无IPv6静态绑定表项 |
· 同一个表项不能在同一个接口上重复绑定,但可以在不同接口上绑定。
· 该配置任务中的ipv6 verify source命令仅用于控制是否开启接口的报文过滤功能,该命令中的参数不影响IPv6静态绑定功能,接口最终是依据配置的IPv6静态绑定表项参数来过滤报文。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除静态绑定表项。
表1-3 IP Source Guard显示和维护(IPv4)
|
操作 |
命令 |
|
显示IPv4绑定表项信息 |
display ip source binding [ static ] [ ip-address ip-address ] [ mac-address mac-address ] [ interface interface-type interface-number ] [ slot slot-number ] |
|
清除IPv4绑定表项 |
reset ip source binding [ static [ ip-address ip-address ] ] |
表1-4 IP Source Guard显示和维护(IPv6)
|
操作 |
命令 |
|
显示IPv6绑定表项信息 |
display ipv6 source binding [ static ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ interface interface-type interface-number ] [ slot slot-number ] |
|
清除IPv6绑定表项 |
reset ipv6 source binding [ static [ ip-address ipv6-address ] ] |
如图1-2所示,Host A、Host B分别与Device B的端口Ten-GigabitEthernet1/0/2、Ten-GigabitEthernet1/0/1相连;Host C与Device A的端口Ten-GigabitEthernet1/0/2相连。Device B接到Device A的端口Ten-GigabitEthernet1/0/1上。各主机均使用静态配置的IP地址。
要求通过在Device A和Device B上配置IPv4静态绑定功能,满足以下各项应用需求:
· Device A的端口Ten-GigabitEthernet1/0/2上只允许Host C发送的IP报文通过。
· Device A的端口Ten-GigabitEthernet1/0/1上只允许Host A发送的IP报文通过。
· Device B的端口Ten-GigabitEthernet1/0/2上只允许Host A发送的IP报文通过。
· Device B的端口Ten-GigabitEthernett1/0/1上只允许Host B发送的IP报文通过。
(1) 配置Device A
# 配置在Device A的Ten-GigabitEthernet1/0/2上只允许MAC地址为0001-0203-0405、IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。
<DeviceA> system-view
[DeviceA] interface ten-gigabitethernet 1/0/2
[DeviceA-Ten-GigabitEthernet1/0/2] ip verify source ip-address mac-address
[DeviceA-Ten-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405
[DeviceA-Ten-GigabitEthernet1/0/2] quit
# 配置在Device A的Ten-GigabitEthernet1/0/1上只允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] ip verify source ip-address mac-address
[DeviceA-Ten-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[DeviceA-Ten-GigabitEthernet1/0/1] quit
# 配置在Device B的Ten-GigabitEthernet1/0/2上只允许MAC地址为0001-0203-0406、IP地址为192.168.0.1的数据终端Host A发送的IP报文通过。
<DeviceB> system-view
[DeviceB] interface ten-gigabitethernet 1/0/2
[DeviceB-Ten-GigabitEthernet1/0/2] ip verify source ip-address mac-address
[DeviceB-Ten-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[DeviceB-Ten-GigabitEthernet1/0/2] quit
# 配置在Device B的Ten-GigabitEthernet1/0/1上只允许MAC地址为0001-0203-0407、IP地址为192.168.0.2的数据终端Host B发送的IP报文通过。
[DeviceB] interface ten-gigabitethernet 1/0/1
[DeviceB-Ten-GigabitEthernet1/0/1] ip verify source ip-address mac-address
[DeviceB-Ten-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.2 mac-address 0001-0203-0407
[DeviceB-Ten-GigabitEthernet1/0/1] quit
# 在Device A上显示IPv4静态绑定表项,可以看出以上配置成功。
<DeviceA> display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0405 XGE1/0/2 N/A Static
192.168.0.3 0001-0203-0406 XGE1/0/1 N/A Static
# 在Device B上显示IPv4静态绑定表项,可以看出以上配置成功。
<DeviceB> display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
192.168.0.1 0001-0203-0406 XGE1/0/2 N/A Static
192.168.0.2 0001-0203-0407 XGE1/0/1 N/A Static
IPv6客户端通过Device的端口Ten-GigabitEthernet1/0/1接入网络。要求在Device上配置IPv6静态绑定功能,使得端口Ten-GigabitEthernet1/0/1上只允许Host(MAC地址为0001-0202-0202、IPv6地址为2001::1)发送的IPv6报文通过。
图1-3 配置IPv6静态绑定功能组网图
# 在端口Ten-GigabitEthernet1/0/1上配置IPv6静态绑定功能,绑定源IP地址和MAC地址,只允许IPv6地址为2001::1且MAC地址为00-01-02-02-02-02的IPv6报文通过。
<Device> system-view
[Device] interface ten-gigabitethernet 1/0/1
[Device-Ten-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address
[Device-Ten-GigabitEthernet1/0/1] ipv6 source binding ip-address 2001::1 mac-address 0001-0202-0202
[Device-Ten-GigabitEthernet1/0/1] quit
# 在Device上显示IPv6静态绑定表项,可以看出以上配置成功。
[Device] display ipv6 source binding static
Total entries found: 1
IPv6 Address MAC Address Interface VLAN Type
2001::1 0001-0202-0202 XGE1/0/1 N/A Static
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
