- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
25-IP Source Guard配置
本章节下载 (213.96 KB)
目 录
IP Source Guard功能用于对接口收到的报文进行过滤控制,通常配置在接入用户侧的接口上,以防止非法用户报文通过,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了接口的安全性。
如图1-1所示,配置了IP Source Guard功能的接口接收到用户报文后,根据IP Source Guard绑定表项匹配报文,如果报文的信息与某绑定表项匹配,则转发该报文;若匹配失败,则丢弃该报文。IP Source Guard可以根据报文的源IP地址和源MAC地址对报文进行过滤。报文的这些特征项可单独或组合起来与接口进行绑定,形成IP Source Guard绑定表项。
IP Source Guard的绑定功能是针对接口的,一个接口配置了绑定功能后,仅对该接口接收的报文进行限制,其它接口不受影响。
IP Source Guard绑定表项可以通过手工配置方式生成。
图1-1 IP Source Guard功能示意图
静态配置绑定表项是指通过命令行手工配置绑定表项,该方式适用于局域网络中主机数较少且主机使用静态配置IP地址的情况,比如在接入某重要服务器的接口上配置绑定表项,仅允许该接口接收与该服务器通信的报文。
静态绑定表项可以用于:
· 过滤接口收到的IP报文。
· 与ARP Detection功能配合使用检查接入用户的合法性。ARP Detection功能的详细介绍请参见“安全配置指导”中的“ARP攻击防御”。
端口静态绑定是在端口上配置的绑定了IP地址、MAC地址以及相关组合的表项,这类表项仅在当前端口上生效。只有端口收到的报文的IP地址、MAC地址与端口上配置的绑定表项的各参数完全匹配时,报文才可以在该端口被正常转发,其它报文都不能被转发,该表项适用于检查端口上接入用户的合法性。
设备各款型对于本节所描述的特性的支持情况有所不同,详细差异信息如下:
· IPv4接口静态绑定功能仅在MER8300设备安装的SIC-4GSW二层交换卡上支持。
· IPv6接口静态绑定功能仅在MER8300设备安装的SIC-4GSW二层交换卡上支持。
IPv4绑定功能配置任务如下:
(1) 配置IPv4接口绑定功能
(2) (可选)配置IPv4静态绑定表项
IPv6绑定功能配置任务如下:
(1) 配置IPv6接口绑定功能
(2) (可选)配置IPv6静态绑定表项
配置了IPv4接口绑定功能的接口,将打开根据绑定表项过滤报文的开关,并利用配置的IPv4静态绑定表项对接口转发的报文进行过滤或者配合其它模块提供相关的安全服务。IPv4静态绑定表项中指定的信息均用于IP Source Guard过滤接口收到的报文,具体配置请参考“1.4.2 配置IPv4静态绑定表项”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
可支持二层以太网接口。
(3) 开启IPv4接口绑定功能。
ip verify source { ip-address | ip-address mac-address | mac-address }
缺省情况下,接口的IPv4接口绑定功能处于关闭状态。
在与ARP Detection功能配合时,绑定表项中必须指定IP和MAC参数,否则ARP报文将无法通过接口的IPv4静态绑定表项的检查。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
可支持二层以太网接口。
(3) 配置接口的IPv4静态绑定表项。
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address }
同一个表项可以在不同的接口上绑定。
本命令中ip-address和mac-address的支持情况与设备的型号有关,具体请参见命令参考。
配置了IPv6接口绑定功能的接口,将打开根据绑定表项过滤报文的开关,并利用配置的IPv6静态绑定表项对接口转发的报文进行过滤。IPv6静态绑定表项中指定的信息均用于IP Source Guard过滤接口收到的报文,具体配置请参考“1.5.2 配置IPv6静态绑定表项”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
可支持二层以太网接口。
(3) 配置IPv6接口绑定功能。
ipv6 verify source { ip-address | ip-address mac-address | mac-address }
缺省情况下,接口的IPv6接口绑定功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
可支持二层以太网接口。
(3) 配置接口的IPv6静态绑定表项。
ipv6 source binding { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address }
同一个表项可以在不同接口上绑定。
本命令中ip-address和mac-address的支持情况与设备的型号有关,具体请参见命令参考。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IP Source Guard的运行情况,通过查看显示信息验证配置的效果。
表1-1 IP Source Guard显示和维护
|
操作 |
命令 |
|
显示IPv4绑定表项信息 |
display ip source binding [ static ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] |
|
显示IPv6绑定表项信息 |
display ipv6 source binding [ static ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] |
如图1-2所示,Host A、Host B分别与Device的接口GigabitEthernet1/0/2、GigabitEthernet1/0/1相连。各主机均使用静态配置的IP地址。
要求通过在Device上配置IPv4静态绑定表项,满足以下各项应用需求:
· Device的接口GigabitEthernet1/0/1上允许Host B发送的IP报文通过。
# 配置Device各接口的IP地址(略)。
# 在接口GigabitEthernet1/0/1上开启IPv4接口绑定功能,绑定源IP地址和MAC地址。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 配置IPv4静态绑定表项,在Device的GigabitEthernet1/0/1上允许MAC地址为0001-0203-0407的数据终端Host B发送的IP报文通过。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip source binding mac-address 0001-0203-0407
[Device-GigabitEthernet1/0/1] quit
# 在Device上显示IPv4静态绑定表项,可以看出以上配置成功。
[Device] display ip source binding static
Total entries found: 2
IP Address MAC Address Interface VLAN Type
N/A 0001-0203-0407 GE1/0/1 N/A Static
IPv6客户端通过Device的接口GigabitEthernet1/0/1接入网络。要求在Device上配置IPv6静态绑定表项,使得接口GigabitEthernet1/0/1上只允许Host(MAC地址为0001-0202-0202)发送的IPv6报文通过。
图1-3 配置IPv6静态绑定表项组网图
# 在接口GigabitEthernet1/0/1上开启IPv6接口绑定功能,绑定源IP地址和MAC地址。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address
# 在接口GigabitEthernet1/0/1上配置IPv6静态绑定表项,绑定源IP地址和MAC地址,只允许IPv6地址为2001::1且MAC地址为00-01-02-02-02-02的IPv6报文通过。
[Device-GigabitEthernet1/0/1] ipv6 source binding mac-address 0001-0202-0202
[Device-GigabitEthernet1/0/1] quit
# 在Device上显示IPv6静态绑定表项,可以看出以上配置成功。
[Device] display ipv6 source binding static
Total entries found: 1
IPv6 Address MAC Address Interface VLAN Type
N/A 0001-0202-0202 GE1/0/1 N/A Static
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
