• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-安全配置指导

目录

14-IP Source Guard配置

本章节下载 14-IP Source Guard配置  (175.56 KB)

14-IP Source Guard配置


1 IP Source Guard

1.1  IP Source Guard简介

1.1.1  概述

IP Source Guard功能用于对端口收到的报文进行过滤控制,通常配置在接入用户侧的端口上,以防止非法用户报文通过,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了端口的安全性。

图1-1所示,配置了IP Source Guard功能的端口接收到用户报文后,首先查找与该端口绑定的IP Source Guard绑定表项,如果报文的特征项与某绑定表项匹配,则转发该报文,否则做丢弃处理。IP Source Guard用于过滤报文的特征项包括:源IP地址、源MAC地址和VLAN标签。这些特征项可单独或组合起来与端口进行绑定,形成如下几类绑定表项:

·     IP绑定表项

·     MAC绑定表项

·     IP+MAC绑定表项

·     IP+VLAN绑定表项

·     MAC+VLAN绑定表项

·     IP+MAC+VLAN绑定表项

IP Source Guard绑定表项可以通过手工配置和动态获取两种方式生成。

图1-1 IP Source Guard功能示意图

 

说明

·     设备上端口支持IP+MAC绑定表项,该表项仅可以通过动态获取方式生成。

·     IP Source Guard的绑定功能是针对端口的,一个端口配置了绑定功能后,仅该端口接收的报文被限制,其它端口不受影响。

 

1.1.1  动态获取绑定表项

根据DHCP的相关表项动态生成绑定表项,该方式通常适用于局域网络中主机较多,并且采用DHCP进行动态主机配置的情况。其原理是每当DHCP为用户分配IP地址而生成一条DHCP表项时,动态绑定功能就相应地增加一条绑定表项以允许该用户访问网络。如果某个用户私自设置IP地址,则不会触发设备生成相应的DHCP表项,因此动态绑定功能也不会增加相应的访问规则来允许该用户访问网络。除此之外,IPv6类型的动态绑定还支持自动获取ND snooping表项。

·     IPv4动态绑定:根据DHCP snooping表项或DHCP relay表项动态生成绑定表项来过滤端口收到的IPv4报文;

·     IPv6动态绑定:根据DHCPv6 snooping表项或ND snooping表项动态生成绑定表项来过滤端口收到的IPv6报文。

说明

·     设备仅支持根据DHCP relay表项动态生成绑定表项。

·     DHCP relay功能的详细介绍请参考“三层技术-IP业务配置指导”中的“DHCP中继”。

1.2  配置IPv4端口绑定功能

配置了IPv4端口绑定功能的端口,可利用从DHCP模块获取的IPv4动态绑定表项对端口转发的报文进行过滤,在三层以太网接口或VLAN接口上,IP Source Guard可与DHCP relay配合,通过获取IP地址跨网段动态分配时产生的DHCP relay表项来生成动态绑定表项。

动态绑定表项中可能包含的内容有:MAC地址、IP地址、VLAN信息、入端口信息及表项类型(DHCP relay)。IP Source Guard把这些动态绑定表项下发到端口后,可对端口上转发的报文进行过滤。

表1-1 配置IPv4端口绑定功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置IPv4端口绑定功能

ip verify source { ip-address mac-address }

必选

缺省情况下,端口上未配置IPv4端口绑定功能

 

说明

·     若要通过获取DHCP相关表项来生成动态绑定表项,请保证网络中的DHCP relay配置有效且工作正常, DHCP relay配置的具体介绍请参见“三层技术-IP业务配置指导”中的“DHCP 中继”。

·     IPv4端口绑定功能可多次配置,最后一次的配置生效。

·     虽然IP Source Guard的动态表项是通过获取DHCP的相关表项而生成,但生成的IP Source Guard动态绑定表项数目并不与对应的DHCP表项数目保持一致,实际使用过程中,请以IP Source Guard实际生成的表项数目为准。

 

1.3  IP Source Guard显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。

表1-2 IP Source Guard显示和维护

操作

命令

显示绑定表项信息

display ip source binding [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

 

1.4  IP Source Guard典型配置举例

1. 组网需求

Router通过接口GigabitEthernet3/0/1和GigabitEthernet3/0/2分别与客户端Host和DHCP server相连。Router上使能DHCP relay功能。

具体应用需求如下:

·     Host(MAC地址为0001-0203-0406)通过DHCP relay从DHCP server上获取IP地址。

·     在接口GigabitEthernet3/0/1上启用IPv4端口绑定功能,利用Router上生成的DHCP relay表项过滤端口转发的报文,仅允许通过DHCP server动态获取IP地址的客户端可以接入网络。

2. 组网图

图1-2 配置与DHCP relay配合的IPv4端口绑定功能组网图

 

 

3. 配置步骤

(1)     配置DHCP relay

# 配置各接口的IP地址(略)。

# 开启DHCP relay功能。

<Router> system-view

[Router] dhcp enable

# 配置DHCP服务器的地址。

[Router] dhcp relay server-group 1 ip 10.1.1.1

# 配置接口GigabitEthernet3/0/1工作在DHCP relay模式。

[Router] interface GigabitEthernet 3/0/1

[Router-GigabitEthernet3/0/1] dhcp select relay

# 配置接口GigabitEthernet3/0/1对应服务器组1。

[Router-GigabitEthernet3/0/1] dhcp relay server-select 1

[Router-GigabitEthernet3/0/1] quit

(2)     配置IPv4端口绑定功能

# 在接口GigabitEthernet3/0/1上配置IPv4端口绑定功能,绑定源IP地址和MAC地址。

[Router] interface GigabitEthernet 3/0/1

[Router-GigabitEthernet3/0/1] ip verify source ip-address mac-address

[Router-GigabitEthernet3/0/1] quit

4. 验证配置结果

# 显示生成的IPv4绑定表项信息。

[Router] display ip source binding

Total entries found: 1

 MAC Address       IP Address     VLAN   Interface              Type

 0001-0203-0406    192.168.0.1    N/A    GE3/0/1                DHCP-RLY

1.5  常见配置错误举例

1.5.1  配置端口绑定功能配置失败

1. 故障现象

在接口上配置端口绑定功能失败。

2. 故障分析

IP Source Guard功能不能在加入聚合组的端口上配置。

3. 处理过程

将接口退出已加入的聚合组。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们