16-IP Source Guard配置
本章节下载: 16-IP Source Guard配置 (267.17 KB)
目 录
IP Source Guard功能用于对接口收到的报文进行过滤控制,通常配置在接入用户侧的接口上,以防止非法用户报文通过,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了接口的安全性。
如图1-1所示,配置了IP Source Guard功能的接口接收到用户报文后,首先查找与该接口绑定的表项(简称为绑定表项),如果报文的信息与某绑定表项匹配,则转发该报文;若匹配失败,则查看是否配置了全局静态绑定表项,如果配置了此类表项,且报文的信息与表项匹配,则转发该报文,否则丢弃该报文。IP Source Guard可以根据报文的源IP地址、源MAC地址和VLAN标签对报文进行过滤。报文的这些特征项可单独或组合起来与接口进行绑定,形成如下几类绑定表项:
· IP绑定表项
· MAC绑定表项
· IP+MAC绑定表项
· IP+VLAN绑定表项
· MAC+VLAN绑定表项
· IP+MAC+VLAN绑定表项
IP Source Guard绑定表项可以通过手工配置和动态获取两种方式生成。
图1-1 IP Source Guard功能示意图
· IP Source Guard的绑定功能是针对接口的,一个接口配置了绑定功能后,仅对该接口接收的报文进行限制,其它接口不受影响。
· 全局IP Source Guard表项仅支持IP+MAC静态绑定表项。全局静态绑定表项的详细介绍,请参见“1.1.2 静态配置绑定表项”
静态配置绑定表项是指通过命令行手工配置绑定表项,该方式适用于局域网络中主机数较少且主机使用静态配置IP地址的情况,比如在接入某重要服务器的接口上配置绑定表项,仅允许该接口接收与该服务器通信的报文。
IPv4静态绑定表项用于过滤接口收到的IPv4报文,或者与ARP Detection功能配合使用检查接入用户的合法性;IPv6静态绑定表项用于过滤接口收到的IPv6报文。ARP Detection功能的详细介绍请参见“安全配置指导”中的“ARP攻击防御”。
静态绑定表项又包括全局静态绑定表项和接口静态绑定表项两种类型,这两种绑定表项的作用范围不同。
全局静态绑定表项是在系统视图下配置的绑定了IP地址和MAC地址的表项,这类表项在设备的所有端口上生效。全局静态绑定表项适用于防御主机仿冒攻击,可有效过滤攻击者通过仿冒合法用户主机的IP地址或者MAC地址向设备发送的伪造IP报文。
端口静态绑定是在端口上配置的绑定了IP地址、MAC地址、VLAN以及相关组合的表项,这类表项仅在当前端口上生效。只有端口收到的报文的IP地址、MAC地址、VLAN与端口上配置的绑定表项的各参数完全匹配时,报文才可以在该端口被正常转发,其它报文都不能被转发,该表项适用于检查端口上接入用户的合法性。
动态获取绑定表项是指通过获取其它模块生成的用户信息来生成绑定表项。目前,可为IP Source Guard提供表项信息的模块包括802.1X、DHCP Snooping、DHCPv6 Snooping、DHCP中继、DHCP服务器和WLAN Snooping模块。
这种动态获取绑定表项的方式,通常适用于局域网络中主机较多的情况。以主机使用DHCP动态获取IP地址的情况为例,其原理是每当局域网内的主机通过DHCP服务器获取到IP地址时,DHCP服务器会生成一条DHCP服务器表项,DHCP中继会生成一条DHCP中继表项,DHCP Snooping会生成一条DHCP Snooping表项。IP Source Guard可以根据以上任何一条表项相应地增加一条IP Source Guard绑定表项来判断是否允许该用户访问网络。如果某个用户私自设置IP地址,则不会触发设备生成相应的DHCP表项,IP Source Guard也不会增加相应的绑定表项,因此该用户的报文将会被丢弃。
在配置了IPv4动态绑定功能的接口上,IP Source Guard通过与不同的模块配合动态生成绑定表项:
· 在二层以太网端口上,IP Source Guard可与DHCP Snooping配合,通过主机动态获取IP地址时产生的DHCP Snooping表项来生成动态绑定表项,并用于过滤报文。
· 在三层以太网接口或VLAN接口上,IP Source Guard可与DHCP中继配合,通过主机跨网段获取IP地址时产生的DHCP中继表项来生成动态绑定表项,并用于过滤报文。
· 在二层以太网端口上,IP Source Guard可与802.1X配合,通过获取认证用户的信息来生成动态绑定表项,用于配合其它模块(例如ARP Detection)提供相关的安全服务,而不直接用于过滤报文。
· 在三层以太网接口或VLAN接口上,IP Source Guard可与DHCP服务器配合,通过DHCP 服务器为主机动态分配IP地址时记录的用户信息来生成动态绑定表项,用于配合其它模块(例如ARP Detection)提供相关的安全服务,而不直接用于过滤报文。
· IP Source Guard可与WLAN Snooping配合,通过设备生成的WLAN Snooping表项中的信息来生成动态绑定表项,用于配合其他模块(例如ARP Detection)提供相关的安全服务,而不直接用于过滤报文。
802.1X功能的详细介绍请参见“安全配置指导”中的“802.1X”。DHCP Snooping功能的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP Snooping”。DHCP中继功能的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP中继”。DHCP服务器功能的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP服务器”。
在配置了IPv6动态绑定功能的接口上,IP Source Guard通过与不同模块配合动态生成绑定表项:
· 在二层以太网端口上,IP Source Guard可与DHCPv6 Snooping配合,通过主机动态获取IP地址时产生的DHCPv6 Snooping表项来生成动态绑定表项,并用于过滤报文。
· IP Source Guard可与WLAN Snooping配合,通过设备生成的WLAN Snooping表项中的信息来生成动态绑定表项,用于配合其他模块提供相关的安全服务,而不直接用于过滤报文。
DHCPv6 Snooping功能的详细介绍请参见“三层技术-IP业务配置指导”的“DHCPv6 Snooping”。
表1-1 IPv4绑定功能配置任务简介
配置任务 |
说明 |
详细配置 |
配置IPv4接口绑定功能 |
必选 |
|
配置IPv4静态绑定表项 |
可选 |
表1-2 IPv6绑定功能配置任务简介
配置任务 |
说明 |
详细配置 |
配置IPv6接口绑定功能 |
必选 |
|
配置IPv6静态绑定表项 |
可选 |
加入业务环回组的接口上不能配置IP Source Guard功能,反之亦然。
配置了IPv4接口绑定功能的接口,将打开根据绑定表项过滤报文的开关,并利用配置的IPv4静态绑定表项和从其它模块获取的IPv4动态绑定表项对接口转发的报文进行过滤或者配合其它模块提供相关的安全服务。
(1) IPv4静态绑定表项中指定的信息均用于IP Source Guard过滤接口收到的报文,具体配置请参考“1.3.2 配置IPv4静态绑定表项”。
(2) IPv4动态绑定表项中可能包含的内容有:MAC地址、IP地址、VLAN信息、入接口信息及表项类型(DHCP Snooping、DHCP中继等)。IP Source Guard依据该表项中的哪些信息过滤接口收到的报文,由IPv4接口绑定配置决定:
· 若接口上配置动态绑定功能时绑定了源IP地址和MAC地址,则只有接口上收到的报文的源IPv4地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃;
· 若接口上配置动态绑定功能时仅绑定了源IP地址,则只有该接口收到的报文的源IPv4地址与某动态绑定表项匹配,该报文才会被正常转发,否则将被丢弃;
· 若接口上配置动态绑定功能时仅绑定了源MAC地址,则只有该接口收到的报文的源MAC地址与某动态绑定表项匹配,该报文才会被正常转发,否则将被丢弃。
要实现IPv4动态绑定功能,请保证网络中的DHCP Snooping、DHCP中继、DHCP服务器或WLAN Snooping配置有效且工作正常。
表1-3 配置IPv4接口绑定功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
可支持二层以太网端口/三层以太网接口/VLAN接口 |
开启IPv4接口绑定功能 |
ip verify source { ip-address | ip-address mac-address | mac-address } |
缺省情况下,接口的IPv4接口绑定功能处于关闭状态 IPv4接口绑定功能可多次配置,最后一次的配置生效 |
IPv4静态绑定表项包括全局的IPv4静态绑定表项和接口的IPv4静态绑定表项。
接口的IPv4静态绑定表项和动态绑定表项的优先级高于全局的IPv4静态绑定表项,即接口优先使用本接口上的静态或动态绑定表项对收到的报文进行匹配,若匹配失败,再与全局的静态绑定表项进行匹配。
全局的IPv4静态绑定表项中定义了接口允许转发的报文的IP地址和MAC地址,对设备的所有接口都生效。
表1-4 配置全局的IPv4静态绑定表项
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置全局的IPv4静态绑定表项 |
ip source binding ip-address ip-address mac-address mac-address |
缺省情况下,未配置全局IPv4静态绑定表项 |
表1-5 配置接口的IPv4静态绑定表项
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
可支持二层以太网端口/三层以太网接口/VLAN接口 |
配置接口的IPv4静态绑定表项 |
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ] |
缺省情况下,接口上未配置IPv4静态绑定表项 vlan vlan-id参数仅在二层以太网接口视图下支持 在与ARP Detection功能配合时,绑定表项中必须指定IP、MAC和VLAN参数,且该VLAN为使能ARP Detection功能的VLAN,否则ARP报文将无法通过接口的IPv4静态绑定表项的检查。 |
同一个表项不能在同一个接口上重复绑定,但可以在不同的接口上绑定。
加入业务环回组的接口上不能配置IP Source Guard功能,反之亦然。
配置了IPv6接口绑定功能的接口,将打开根据绑定表项过滤报文的开关,并利用配置的IPv6静态绑定表项和从其他模块获取的IPv6动态绑定表项对接口转发的报文进行过滤。
(1) IPv6静态绑定表项中指定的信息均用于IP Source Guard过滤接口收到的报文,具体配置请参考“1.4.2 配置IPv6静态绑定表项”。
(2) IPv6动态绑定表项中可能包含的信息有:MAC地址、IP地址、VLAN信息、入接口信息及表项类型(DHCPv6 Snooping等)。IP Source Guard依据该表项中的哪些信息过滤接口收到的报文,由IPv6接口绑定配置决定:
· 若接口上配置动态绑定功能时绑定了源IP地址和MAC地址,则只有接口上收到的报文的源IPv6地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃;
· 若接口上配置动态绑定功能时仅绑定了源IP地址,则只有该接口收到的报文的源IPv6地址与某动态绑定表项匹配,该报文才会被正常转发,否则将被丢弃;
· 若接口上配置动态绑定功能时仅绑定了源MAC地址,则只有该接口收到的报文的源MAC地址与某动态绑定表项匹配,该报文才会被正常转发,否则将被丢弃。
要实现IPv6动态绑定功能,请保证网络中的DHCPv6 Snooping或WLAN Snooping配置有效且工作正常。
表1-6 配置IPv6接口绑定功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
可支持二层以太网端口/三层以太网接口/VLAN接口/三层聚合接口 |
配置IPv6接口绑定功能 |
ipv6 verify source { ip-address | ip-address mac-address | mac-address } |
缺省情况下,接口的IPv6接口绑定功能处于关闭状态 IPv6接口绑定功能可多次配置,最后一次的配置生效。 |
IPv6静态绑定功能包括全局的IPv6静态绑定功能和接口的IPv6静态绑定功能。
接口的IPv6静态绑定表项和IPv6动态绑定表项的优先级高于全局的IPv6静态绑定表项,即接口优先使用本接口上的IPv6静态或动态绑定表项对收到的报文进行匹配,若匹配失败,再与全局的IPv6静态绑定表项进行匹配。
全局的IPv6静态绑定表项中定义了接口允许转发的报文的IPv6地址和MAC地址,对设备的所有接口都生效。
表1-7 配置全局的IPv6静态绑定表项
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置全局的IPv6静态绑定表项 |
ipv6 source binding ip-address ipv6-address mac-address mac-address |
缺省情况下,未配置全局IPv6静态绑定表项 |
表1-8 配置接口的IPv6静态绑定表项
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
可支持二层以太网端口/三层以太网接口/VLAN接口 |
配置接口的IPv6静态绑定表项 |
ipv6 source binding { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ] |
缺省情况下,接 口上IPv6静态绑定表项 vlan vlan-id参数仅在二层以太网接口视图下支持 |
同一个表项不能在同一个接口上重复绑定,但可以在不同接口上绑定。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。
表1-9 IP Source Guard显示和维护(IPv4)
操作 |
命令 |
显示IPv4绑定表项信息 |
display ip source binding [ static | [ dhcp-relay | dhcp-server | dhcp-snooping | dot1x | wlan-snooping ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] |
表1-10 IP Source Guard显示和维护(IPv6)
操作 |
命令 |
显示IPv6绑定表项信息 |
display ipv6 source binding [ static [ dhcpv6-snooping | wlan-snooping ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] |
IP Source Guard功能用于对AP收到的报文进行过滤控制,以防止非法客户端的报文通过,从而限制了对网络资源的非法使用(比如非法客户端仿冒合法客户端IP接入网络),提高了无线网络的安全性。
对于使用IPv4地址的客户端,AP会监听客户端发送的ARP报文或者与DHCP服务器间交互的DHCPv4报文,从报文中获取到客户端的IP地址,并与客户端的MAC地址形成绑定表项。
对于使用IPv6地址的客户端,有以下两种方式可以形成绑定表项。
· DHCPv6方式:AP会监听客户端与DHCPv6服务器间交互的DHCPv6报文,从报文中获取到DHCPv6服务器为客户端分配的完整的IPv6地址,并与客户端的MAC地址形成绑定表项。如果从报文中获取到的是DHCPv6服务器为客户端分配的IPv6地址前缀,则无法与客户端的MAC地址形成绑定表项。
· ND(Neighbor Discovery,IPv6邻居发现)方式:AP会监听网络中的RA(Router Advertisement,路由器通告消息)、NS(Neighbor Solicitation,邻居请求消息)、NA(Neighbor Advertisement,邻居通告消息)报文,从报文中获取IPv6地址,并与客户端的MAC地址形成绑定表项。
如图2-1所示,开启IP Source Guard功能后,AP在收到客户端报文时,会查找IP源地址绑定表项,如果客户端发送报文的特征项(MAC地址+IP地址)与某个绑定表项匹配,则转发该报文,否则做丢弃处理。对于IPv4地址匹配的条件,还要求客户端使用的IP地址是通过DHCP方式获取的,才转发报文,否则做丢弃处理。
图2-1 IP Source Guard功能示意图
· DHCP功能的详细介绍请参考“三层技术配置指导”中的“DHCP”。
· DHCPv6功能的详细介绍请参考“三层技术配置指导”中的“DHCPv6”。
· ND功能的详细介绍请参考“三层技术配置指导”中的“IPv6基础”。
IP Source Guard功能是针对无线服务模板的,对某个无线服务模板配置了IP Source Guard功能后,仅对接入该无线服务模板的客户端报文进行IP源地址验证,通过其它无线服务模板接入的客户端不受影响。
表2-1 配置IP Source Guard
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-number |
- |
开启IPv4源地址验证功能 |
ip verify source |
缺省情况下,IPv4源地址验证功能处于关闭状态 |
开启IPv6源地址验证功能 |
ipv6 verify source |
缺省情况下,IPv6源地址验证功能处于关闭状态 |
设备开启IP Source Guard功能后,将通过DHCP方式学习到的IPv4地址视为已知源IPv4地址,将通过ARP方式学习到的IPv4地址或者未学习到的IPv4地址视为未知源IPv4地址。当设备接收到未知源IPv4地址客户端发送的数据报文时,可以对报文进行如下处理:
· 仅丢弃客户端的数据报文。
· 丢弃客户端的数据报文并向客户端发送解除认证报文强制其下线。
表2-2 配置对未知源IPv4地址客户端数据报文的处理方式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入无线服务模板视图 |
wlan service-template service-template-number |
- |
配置对未知源IPv4地址客户端数据报文的处理方式 |
ip verify unknown-ip { deauthenticate | drop } |
缺省情况下,丢弃未知源IPv4地址客户端数据报文并向客户端发送解除认证报文 |
· 如图2-2所示,客户端通过名为service的SSID接入网络,Switch作为DHCP server会为接入的客户端动态分配IP地址。
· 要求对接入此SSID的客户端报文进行IP源地址验证,以防止非法客户端的报文通过。
图2-2 IPv4源地址验证配置组网图
# 创建无线服务模板1,配置SSID为service,并使能服务模版。
<AC> system-view
[AC] wlan service-template 1
[AC-wlan-st-1] ssid service
[AC-wlan-st-1] service-template enable
# 配置IPv4源地址验证功能。
[AC-wlan-st-1] ip verify source
[AC-wlan-st-1] quit
# 创建手工AP,名称为ap1,选择AP型号并配置序列号。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 将无线服务模板1绑定到Radio 2接口。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] service-template 1
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
Client 1(MAC地址为001d-0f31-87dd)和Client 2(MAC地址为001c-f08f-f7f1)通过DHCP服务器申请到IP地址后,AP上会生成Client 1和Client 2的绑定表项。当AP收到Client 1和Client 2发送的报文,检查绑定表项匹配后,AP会转发这些报文,Client 3为非法客户端(Client 3伪造其IP地址为Client 1的IP地址),AP无法查找到与其匹配的绑定表项,则会丢弃Client 3发送的报文。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!