23-IP-MAC绑定配置
本章节下载: 23-IP-MAC绑定配置 (242.57 KB)
目 录
IP-MAC绑定是指通过在设备上建立IP地址与MAC地址绑定表项实现对报文的过滤控制。该功能适用于防御主机仿冒攻击,可有效过滤攻击者通过仿冒合法用户主机的IP地址或者MAC地址向设备发送的伪造IP报文。
配置IP-MAC绑定功能的设备接收到用户报文后,会提取报文头中的源IP地址和源MAC地址,并与IP-MAC绑定表项进行匹配,如图1-1所示。
图1-1 IP-MAC绑定功能示意图
设备在进行IP-MAC绑定表项匹配时,对不同的匹配结果采用不同的报文处理方式,具体说明如表1-1所示。
表1-1 不同匹配结果报文的处理方式
匹配结果 |
对报文的处理 |
IP+MAC地址完全匹配 |
放行报文 |
IP地址匹配,MAC地址不匹配 |
丢弃报文 |
IP地址不匹配,MAC地址匹配 |
丢弃报文 |
IP地址和MAC地址都无匹配项 |
缺省情况下放行报文,可以通过ip-mac binding no-match action deny命令将未匹配到IP-MAC绑定表项的报文的动作设置为丢弃 |
IP-MAC绑定表项中定义了设备允许转发报文的IP地址和MAC地址的绑定关系。IP-MAC绑定表项可以通过手工创建和批量生成两种方式进行创建。两种方式生成的绑定表项都是全局生效。
手工创建绑定表项是指通过手工方式逐条配置IP-MAC绑定表项。该方式适用于局域网络中主机较少且IP地址固定的情况。
批量生成绑定表项是指通过指定接口下的ARP表项或ND表项生成对应的IP-MAC绑定表项。其中ARP表项用于生成IPv4地址与MAC地址的绑定关系;ND表项用于生成IPv6地址与MAC地址的绑定关系。该方式适用于局域网络中主机较多的情况。
在利用ARP/ND表生成IP-MAC绑定表项时,遵从如下规则:
· 一条ARP/ND表项的IP地址和MAC地址均不在地址绑定表中,此时会在地址绑定表中生成一条IP地址和MAC地址均唯一的表项。
· 一条ARP/ND表项的MAC地址在地址绑定表中,但IP地址不在绑定表中,此时会在地址绑定表中生成一条新的IP-MAC绑定表项,即在地址绑定表中允许一个MAC地址对应多个IP地址。
· 一条ARP/ND表项的IP地址已在地址绑定表中,则此条ARP/ND表项不会生成IP-MAC绑定表项。
批量生成的IP-MAC绑定表项是静态表项,在执行绑定操作后,不会随原接口下ARP/ND表项的变化而变化。
· IP-MAC绑定关系属于静态配置,所以只适用于IP地址固定的场景。如果采用DHCP方式进行IP地址的动态分配,则不建议使用本功能。否则,可能会导致合法主机无法通信。
· 一个IP地址只能绑定一个MAC地址,一个MAC地址可以绑定多个IP地址。当需要修改某个表项中IP地址绑定的MAC地址时,需要先将原来的表项删除再重新添加新的表项;当需要修改某个表项中MAC地址绑定的IP地址时,可以新增一条新的绑定表项,原有的表项可以根据实际情况删除或保留。
IP-MAC绑定配置任务如下:
(1) 开启接口IP-MAC绑定功能
(2) 配置IP-MAC绑定表项
请至少选择其中一项进行配置:
(3) 配置IP-MAC绑定的缺省动作
开启接口IP-MAC绑定功能后,设备会对该接口上入方向的报文进行IP地址与MAC地址绑定关系的检测,与IP-MAC绑定表项不一致的报文将会被丢弃。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启接口IP-MAC绑定功能。
ip-mac binding enable
缺省情况下,接口下的IP-MAC绑定功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 配置IP-MAC绑定表项。
(IPv4网络)
ip-mac binding ipv4 ipv4-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ]
(IPv6网络)
ip-mac binding ipv6 ipv6-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ]
IP-MAC绑定表项可以利用ARP/ND表批量生成。
(1) 进入系统视图。
system-view
(2) 批量生成IP-MAC绑定表项。
ip-mac binding interface interface-type interface-number
开启IP-MAC绑定功能后,对于IP地址和MAC地址与IP-MAC绑定表项都无匹配的报文,可通过配置缺省动作,使设备允许该报文通过或者丢弃该报文。
(1) 进入系统视图。
system-view
(2) 配置IP-MAC绑定的缺省动作为丢弃。
ip-mac binding no-match action deny
缺省情况下,允许未匹配到IP-MAC绑定表项的报文通过。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP-MAC的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除IP-MAC绑定功能过滤报文的统计信息。
表1-2 IP-MAC显示和维护
操作 |
命令 |
显示IPv4-MAC绑定表项 |
display ip-mac binding ipv4 [ ipv4-address ] [ mac-address mac-address ] [ vlan vlan-id | vpn-instance vpn-instance-name ] |
显示IPv6-MAC绑定表项 |
display ip-mac binding ipv6 [ ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id | vpn-instance vpn-instance-name ] |
显示IP-MAC绑定功能过滤报文的统计信息 |
display ip-mac binding statistics [ slot slot-number ] |
显示IP-MAC绑定功能状态 |
display ip-mac binding status |
清除IP-MAC绑定功能过滤报文的统计信息 |
reset ip-mac binding statistics [ slot slot-number ] |
如图1-2所示,在某子网中各主机与服务器均使用静态IPv4地址。其中,Host A、Host B为合法主机,通过网关Device实现与Server的互访。Host C为非法接入该子网的主机,网络管理员希望能够阻断其对Server的访问。
· Host A的MAC地址为0001-0203-0404、IPv4地址为192.168.0.1。
· Host B的MAC地址为0001-0203-0405、IPv4地址为192.168.0.2。
· Server的MAC地址为0001-0203-0407、IPv4地址为192.168.1.3。
图1-2 配置IPv4-MAC绑定组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.254 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
[Device-security-zone-DMZ] quit
(3) 配置安全策略
# 配置名称为trust-dmz的安全策略规则,使Host可以正常访问Server,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-dmz
[Device-security-policy-ip-1-trust-dmz] source-zone trust
[Device-security-policy-ip-1-trust-dmz] destination-zone dmz
[Device-security-policy-ip-1-trust-dmz] source-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-1-trust-dmz] destination-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-1-trust-dmz] action pass
[Device-security-policy-ip-1-trust-dmz] quit
# 配置名称为dmz-trust的安全策略规则,使Host可以正常访问内网服务器,具体配置步骤如下。
[Device-security-policy-ip] rule name dmz-trust
[Device-security-policy-ip-2-dmz-trust] source-zone dmz
[Device-security-policy-ip-2-dmz-trust] destination-zone trust
[Device-security-policy-ip-2-dmz-trust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-2-dmz-trust] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-2-dmz-trust] action pass
[Device-security-policy-ip-2-dmz-trust] quit
[Device-security-policy-ip] quit
(4) 配置IP-MAC绑定
# 在接口上开启IP-MAC绑定功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip-mac binding enable
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip-mac binding enable
[Device-GigabitEthernet1/0/2] quit
# 配置IPv4-MAC绑定表项,使Device只允许来自Host A、Host B和Sever的报文通过。
[Device] ip-mac binding ip 192.168.0.1 mac-address 0001-0203-0404
[Device] ip-mac binding ip 192.168.0.2 mac-address 0001-0203-0405
[Device] ip-mac binding ip 192.168.1.3 mac-address 0001-0203-0407
# 配置未匹配IP-MAC绑定表项的报文的动作为丢弃。
[Device] ip-mac binding no-match action deny
# 查看已添加的IPv4-MAC绑定表项。
<Device> display ip-mac binding ipv4
Total entries: 1
IP address MAC address VPN instance VLAN ID
192.168.0.1 0001-0203-0404 public N/A
192.168.0.2 0001-0203-0405 public N/A
192.168.1.3 0001-0203-0407 public N/A
# 在Host C上ping服务器,发现服务器不可达,说明IP-MAC绑定功能已生效。
C:\> ping 192.168.1.3
Pinging 192.168.1.3 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.1.3:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
如图1-3所示,在某子网中各主机与服务器均使用静态IPv6地址。其中,Host A、Host B为合法主机,通过网关Device实现与Server的互访。Host C为非法接入该子网的主机,网络管理员希望能够阻断其对Server的访问。
· Host A的MAC地址为0001-0203-0404、IPv6地址为2000::1/64。
· Host B的MAC地址为0001-0203-0405、IPv6地址为2000::2/64。
· Server的MAC地址为0001-0203-0407、IPv6地址为2001::3/64
图1-3 配置IPv6-MAC绑定组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 address 2000::4 64
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
[Device-security-zone-DMZ] quit
(3) 配置安全策略
# 配置名称为trust-dmz的安全策略规则,使Host可以正常访问Server,具体配置步骤如下。
[Device] security-policy ipv6
[Device-security-policy-ipv6] rule name trust-dmz
[Device-security-policy-ipv6-1-trust-dmz] source-zone trust
[Device-security-policy-ipv6-1-trust-dmz] destination-zone dmz
[Device-security-policy-ipv6-1-trust-dmz] source-ip-subnet 2000::1 64
[Device-security-policy-ipv6-1-trust-dmz] destination-ip-subnet 2001::1 64
[Device-security-policy-ipv6-1-trust-dmz] action pass
[Device-security-policy-ipv6-1-trust-dmz] quit
# 配置名称为dmz-trust的安全策略规则,使Host可以正常访问内网服务器,具体配置步骤如下。
[Device-security-policy-ipv6] rule name dmz-trust
[Device-security-policy-ipv6-2-dmz-trust] source-zone dmz
[Device-security-policy-ipv6-2-dmz-trust] destination-zone trust
[Device-security-policy-ipv6-2-dmz-trust] source-ip-subnet 2001::1 64
[Device-security-policy-ipv6-2-dmz-trust] destination-ip-subnet 2000::1 64
[Device-security-policy-ipv6-2-dmz-trust] action pass
[Device-security-policy-ipv6-2-dmz-trust] quit
[Device-security-policy-ipv6] quit
(4) 配置IP-MAC绑定
# 在接口上开启IP-MAC绑定功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip-mac binding enable
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip-mac binding enable
[Device-GigabitEthernet1/0/2] quit
# 配置IPv6-MAC绑定表项,使Device只允许来自Host A、Host B和Sever的报文通过。
[Device] ip-mac binding ipv6 2000::1 mac-address 0001-0203-0404
[Device] ip-mac binding ipv6 2000::2 mac-address 0001-0203-0405
[Device] ip-mac binding ipv6 2001::3 mac-address 0001-0203-0407
# 配置未匹配IP-MAC绑定表项的报文的动作为丢弃。
[Device] ip-mac binding no-match action deny
# 查看已添加的IPv6-MAC绑定表项。
<Device> display ip-mac binding ipv6
Total entries: 1
IP address MAC address VPN instance VLAN ID
2000::1 0001-0203-0404 public N/A
2000::2 0001-0203-0405 public N/A
2001::3 0001-0203-0407 public N/A
# 在Host C上ping服务器,发现服务器不可达,说明IP-MAC绑定功能已生效。
C:\> ping 2001::3
Pinging 2001::3 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 2001::3:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!