• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全配置指导

目录

23-IP-MAC绑定配置

本章节下载 23-IP-MAC绑定配置  (242.57 KB)

23-IP-MAC绑定配置


1 IP-MAC绑定

1.1  IP-MAC绑定简介

IP-MAC绑定是指通过在设备上建立IP地址与MAC地址绑定表项实现对报文的过滤控制。该功能适用于防御主机仿冒攻击,可有效过滤攻击者通过仿冒合法用户主机的IP地址或者MAC地址向设备发送的伪造IP报文。

1.1.1  工作原理

配置IP-MAC绑定功能的设备接收到用户报文后,会提取报文头中的源IP地址和源MAC地址,并与IP-MAC绑定表项进行匹配,如图1-1所示。

图1-1 IP-MAC绑定功能示意图

 

设备在进行IP-MAC绑定表项匹配时,对不同的匹配结果采用不同的报文处理方式,具体说明如表1-1所示。

表1-1 不同匹配结果报文的处理方式

匹配结果

对报文的处理

IP+MAC地址完全匹配

放行报文

IP地址匹配,MAC地址不匹配

丢弃报文

IP地址不匹配,MAC地址匹配

丢弃报文

IP地址和MAC地址都无匹配项

缺省情况下放行报文,可以通过ip-mac binding no-match action deny命令将未匹配到IP-MAC绑定表项的报文的动作设置为丢弃

 

1.1.2  绑定表项生成方式

IP-MAC绑定表项中定义了设备允许转发报文的IP地址和MAC地址的绑定关系。IP-MAC绑定表项可以通过手工创建和批量生成两种方式进行创建。两种方式生成的绑定表项都是全局生效。

1. 手工创建绑定表项

手工创建绑定表项是指通过手工方式逐条配置IP-MAC绑定表项。该方式适用于局域网络中主机较少且IP地址固定的情况。

2. 批量生成绑定表项

批量生成绑定表项是指通过指定接口下的ARP表项或ND表项生成对应的IP-MAC绑定表项。其中ARP表项用于生成IPv4地址与MAC地址的绑定关系;ND表项用于生成IPv6地址与MAC地址的绑定关系。该方式适用于局域网络中主机较多的情况。

在利用ARP/ND表生成IP-MAC绑定表项时,遵从如下规则:

·     一条ARP/ND表项的IP地址和MAC地址均不在地址绑定表中,此时会在地址绑定表中生成一条IP地址和MAC地址均唯一的表项。

·     一条ARP/ND表项的MAC地址在地址绑定表中,但IP地址不在绑定表中,此时会在地址绑定表中生成一条新的IP-MAC绑定表项,即在地址绑定表中允许一个MAC地址对应多个IP地址。

·     一条ARP/ND表项的IP地址已在地址绑定表中,则此条ARP/ND表项不会生成IP-MAC绑定表项。

批量生成的IP-MAC绑定表项是静态表项,在执行绑定操作后,不会随原接口下ARP/ND表项的变化而变化。

1.2  配置限制和指导

·     IP-MAC绑定关系属于静态配置,所以只适用于IP地址固定的场景。如果采用DHCP方式进行IP地址的动态分配,则不建议使用本功能。否则,可能会导致合法主机无法通信。

·     一个IP地址只能绑定一个MAC地址,一个MAC地址可以绑定多个IP地址。当需要修改某个表项中IP地址绑定的MAC地址时,需要先将原来的表项删除再重新添加新的表项;当需要修改某个表项中MAC地址绑定的IP地址时,可以新增一条新的绑定表项,原有的表项可以根据实际情况删除或保留。

1.3  IP-MAC绑定配置任务简介

IP-MAC绑定配置任务如下:

(1)     开启接口IP-MAC绑定功能

(2)     配置IP-MAC绑定表项

请至少选择其中一项进行配置:

¡     手工创建IP-MAC绑定表项

¡     批量生成IP-MAC绑定表项

(3)     配置IP-MAC绑定的缺省动作

1.4  开启接口IP-MAC绑定功能

1. 功能简介

开启接口IP-MAC绑定功能后,设备会对该接口上入方向的报文进行IP地址与MAC地址绑定关系的检测,与IP-MAC绑定表项不一致的报文将会被丢弃。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启接口IP-MAC绑定功能。

ip-mac binding enable

缺省情况下,接口下的IP-MAC绑定功能处于关闭状态。

1.5  手工创建IP-MAC绑定表项

(1)     进入系统视图。

system-view

(2)     配置IP-MAC绑定表项。

(IPv4网络)

ip-mac binding ipv4 ipv4-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ]

IPv6网络)

ip-mac binding ipv6 ipv6-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ]

1.6  批量生成IP-MAC绑定表项

1. 功能简介

IP-MAC绑定表项可以利用ARP/ND表批量生成。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     批量生成IP-MAC绑定表项。

ip-mac binding interface interface-type interface-number

1.7  配置IP-MAC绑定的缺省动作

1. 功能简介

开启IP-MAC绑定功能后,对于IP地址和MAC地址与IP-MAC绑定表项都无匹配的报文,可通过配置缺省动作,使设备允许该报文通过或者丢弃该报文。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置IP-MAC绑定的缺省动作为丢弃。

ip-mac binding no-match action deny

缺省情况下,允许未匹配到IP-MAC绑定表项的报文通过。

1.8  IP-MAC绑定显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后IP-MAC的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,执行reset命令可以清除IP-MAC绑定功能过滤报文的统计信息。

表1-2 IP-MAC显示和维护

操作

命令

显示IPv4-MAC绑定表项

display ip-mac binding ipv4 [ ipv4-address ] [ mac-address mac-address ] [ vlan vlan-id | vpn-instance vpn-instance-name ]

显示IPv6-MAC绑定表项

display ip-mac binding ipv6 [ ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id | vpn-instance vpn-instance-name ]

显示IP-MAC绑定功能过滤报文的统计信息

display ip-mac binding statistics [ slot slot-number ]

显示IP-MAC绑定功能状态

display ip-mac binding status

清除IP-MAC绑定功能过滤报文的统计信息

reset ip-mac binding statistics [ slot slot-number ]

 

1.9  IP-MAC绑定典型配置举例

1.9.1  IPv4-MAC绑定配置举例

1. 组网需求

图1-2所示,在某子网中各主机与服务器均使用静态IPv4地址。其中,Host A、Host B为合法主机,通过网关Device实现与Server的互访。Host C为非法接入该子网的主机,网络管理员希望能够阻断其对Server的访问。

·     Host A的MAC地址为0001-0203-0404、IPv4地址为192.168.0.1。

·     Host B的MAC地址为0001-0203-0405、IPv4地址为192.168.0.2。

·     Server的MAC地址为0001-0203-0407、IPv4地址为192.168.1.3。

2. 组网图

图1-2 配置IPv4-MAC绑定组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.0.254 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置接口加入安全域。

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2

[Device-security-zone-DMZ] quit

(3)     配置安全策略

# 配置名称为trust-dmz的安全策略规则,使Host可以正常访问Server,具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-dmz

[Device-security-policy-ip-1-trust-dmz] source-zone trust

[Device-security-policy-ip-1-trust-dmz] destination-zone dmz

[Device-security-policy-ip-1-trust-dmz] source-ip-subnet 192.168.0.0 24

[Device-security-policy-ip-1-trust-dmz] destination-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-1-trust-dmz] action pass

[Device-security-policy-ip-1-trust-dmz] quit

# 配置名称为dmz-trust的安全策略规则,使Host可以正常访问内网服务器,具体配置步骤如下。

[Device-security-policy-ip] rule name dmz-trust

[Device-security-policy-ip-2-dmz-trust] source-zone dmz

[Device-security-policy-ip-2-dmz-trust] destination-zone trust

[Device-security-policy-ip-2-dmz-trust] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-2-dmz-trust] destination-ip-subnet 192.168.0.0 24

[Device-security-policy-ip-2-dmz-trust] action pass

[Device-security-policy-ip-2-dmz-trust] quit

[Device-security-policy-ip] quit

(4)     配置IP-MAC绑定

# 在接口上开启IP-MAC绑定功能。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip-mac binding enable

[Device-GigabitEthernet1/0/1] quit

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] ip-mac binding enable

[Device-GigabitEthernet1/0/2] quit

# 配置IPv4-MAC绑定表项,使Device只允许来自Host A、Host B和Sever的报文通过。

[Device] ip-mac binding ip 192.168.0.1 mac-address 0001-0203-0404

[Device] ip-mac binding ip 192.168.0.2 mac-address 0001-0203-0405

[Device] ip-mac binding ip 192.168.1.3 mac-address 0001-0203-0407

# 配置未匹配IP-MAC绑定表项的报文的动作为丢弃。

[Device] ip-mac binding no-match action deny

4. 验证配置

# 查看已添加的IPv4-MAC绑定表项。

<Device> display ip-mac binding ipv4

Total entries: 1

IP address      MAC address         VPN instance         VLAN ID

192.168.0.1     0001-0203-0404      public               N/A

192.168.0.2     0001-0203-0405      public               N/A

192.168.1.3     0001-0203-0407      public               N/A

# 在Host C上ping服务器,发现服务器不可达,说明IP-MAC绑定功能已生效。

C:\> ping 192.168.1.3

 

Pinging 192.168.1.3 with 32 bytes of data:

 

Request timed out.

Request timed out.

Request timed out.

Request timed out.

 

Ping statistics for 192.168.1.3:

   Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

1.9.2  IPv6-MAC绑定配置举例

1. 组网需求

图1-3所示,在某子网中各主机与服务器均使用静态IPv6地址。其中,Host A、Host B为合法主机,通过网关Device实现与Server的互访。Host C为非法接入该子网的主机,网络管理员希望能够阻断其对Server的访问。

·     Host A的MAC地址为0001-0203-0404、IPv6地址为2000::1/64。

·     Host B的MAC地址为0001-0203-0405、IPv6地址为2000::2/64。

·     Server的MAC地址为0001-0203-0407、IPv6地址为2001::3/64

2. 组网图

图1-3 配置IPv6-MAC绑定组网图

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ipv6 address 2000::4 64

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(2)     配置接口加入安全域。

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2

[Device-security-zone-DMZ] quit

(3)     配置安全策略

# 配置名称为trust-dmz的安全策略规则,使Host可以正常访问Server,具体配置步骤如下。

[Device] security-policy ipv6

[Device-security-policy-ipv6] rule name trust-dmz

[Device-security-policy-ipv6-1-trust-dmz] source-zone trust

[Device-security-policy-ipv6-1-trust-dmz] destination-zone dmz

[Device-security-policy-ipv6-1-trust-dmz] source-ip-subnet 2000::1 64

[Device-security-policy-ipv6-1-trust-dmz] destination-ip-subnet 2001::1 64

[Device-security-policy-ipv6-1-trust-dmz] action pass

[Device-security-policy-ipv6-1-trust-dmz] quit

# 配置名称为dmz-trust的安全策略规则,使Host可以正常访问内网服务器,具体配置步骤如下。

[Device-security-policy-ipv6] rule name dmz-trust

[Device-security-policy-ipv6-2-dmz-trust] source-zone dmz

[Device-security-policy-ipv6-2-dmz-trust] destination-zone trust

[Device-security-policy-ipv6-2-dmz-trust] source-ip-subnet 2001::1 64

[Device-security-policy-ipv6-2-dmz-trust] destination-ip-subnet 2000::1 64

[Device-security-policy-ipv6-2-dmz-trust] action pass

[Device-security-policy-ipv6-2-dmz-trust] quit

[Device-security-policy-ipv6] quit

(4)     配置IP-MAC绑定

# 在接口上开启IP-MAC绑定功能。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip-mac binding enable

[Device-GigabitEthernet1/0/1] quit

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] ip-mac binding enable

[Device-GigabitEthernet1/0/2] quit

# 配置IPv6-MAC绑定表项,使Device只允许来自Host A、Host B和Sever的报文通过。

[Device] ip-mac binding ipv6 2000::1 mac-address 0001-0203-0404

[Device] ip-mac binding ipv6 2000::2 mac-address 0001-0203-0405

[Device] ip-mac binding ipv6 2001::3 mac-address 0001-0203-0407

# 配置未匹配IP-MAC绑定表项的报文的动作为丢弃。

[Device] ip-mac binding no-match action deny

4. 验证配置

# 查看已添加的IPv6-MAC绑定表项。

<Device> display ip-mac binding ipv6

Total entries: 1

IP address      MAC address         VPN instance         VLAN ID

2000::1         0001-0203-0404      public               N/A

2000::2         0001-0203-0405      public               N/A

2001::3         0001-0203-0407      public               N/A

# 在Host C上ping服务器,发现服务器不可达,说明IP-MAC绑定功能已生效。

C:\> ping 2001::3

 

Pinging 2001::3 with 32 bytes of data:

 

Request timed out.

Request timed out.

Request timed out.

Request timed out.

 

Ping statistics for 2001::3:

   Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们