配置IP Source Guard示例
H3C 交换机跨网段动态分配IP地址典型配置举例
3.1 组网需求
如 图 1 所示,公司总部和分支机构处于不同的网段,网关DeviceA充当DHCP服务器,要求: • 为总部分配 10.1.1.2~10.1.1.100 之间的 IP 地址; • 为分支机构分配 10.1.3.2~10.1.3.100 之间的 IP 地址,其中 10.1.3.2~10.1.3.48 之间的 IP
Vlan-int2 GE1/0/2
Device A DHCP server
branch1
Vlan-int2 GE1/0/2
Vlan-int3 GE1/0/1
Vlan-int3 Device B GE1/0/3 DHCP relay
headquarters
branch2
设备
接口
IP地址
设备
1
接口
IP地址
• 启用 DHCP 中继的用户地址表项记录功能,通过与 IP Source Guard 配合,实现只允许匹配 用户地址表项中绑定关系的报文通过 DHCP 中继。
• 配置 DHCP 中继支持 Option82 功能,并在 DHCP 服务器上配置根据 Option82 的分配策略, 从而实现为每个区域分配特定范围内的 IP 地址。
# 配置 VLAN 接口 3 的 IP 地址。
[DeviceA] vlan 3 [DeviceA-vlan3] port GigabitEthernet 1/0/1 [DeviceA-vlan3] quit [DeviceA] interface Vlan-interface 3 [DeviceA-Vlan-interface3] ip address 10.1.1.1 24 [DeviceA-Vlan-interface3] quit
配置网络设备的端口安全机制防止非法设备连接
配置网络设备的端口安全机制防止非法设备连接网络设备的端口安全机制是网络安全的重要组成部分,它能够有效地防止非法设备连接网络,确保网络的安全性和稳定性。
本文将就如何配置网络设备的端口安全机制进行阐述,以提供一些参考和指导。
一、端口安全机制的基础概念1. MAC地址过滤MAC地址是网络设备的唯一标识符,通过设置网络设备的ACL (Access Control List)表,可以设定只允许特定的MAC地址通过,其他非法设备将无法连接到网络。
配置ACL表的方法是在网络设备的配置界面中,设置允许的MAC地址列表,并配置相应的动作,如允许或禁止连接。
2. DHCP SnoopingDHCP Snooping是一种防止非法DHCP服务器攻击的机制,通过记录网络中合法DHCP服务器的MAC地址和绑定IP地址的关系,对非法DHCP服务器的请求进行过滤,确保只有合法的DHCP服务器能够分配IP地址。
配置DHCP Snooping需要在网络设备上启用该功能,并对合法DHCP服务器进行授权。
3. IP Source GuardIP Source Guard是一种用于保护网络环境中的IP地址不被非法源地址冒充的机制。
通过将端口与MAC地址和IP地址进行绑定,只允许指定的MAC地址和IP地址从特定端口发送和接收数据包。
配置IP Source Guard需要在网络设备上启用该功能,并进行相应的绑定和限制。
二、端口安全机制的配置步骤1. 登录网络设备管理界面首先,通过SSH、Telnet或串口等方式登录网络设备的管理界面,输入正确的用户名和密码进行认证。
2. 进入端口安全配置界面在管理界面中,根据设备型号和软件版本的不同,找到相应的端口安全配置入口,如"Security"、"Port Security"等。
进入该界面后,可以看到各个接口的配置信息和选项。
3. 配置MAC地址过滤选择需要配置的接口,并启用MAC地址过滤功能。
开启Cisco交换机IPSG功能
Switch (config-if)#ip verify source port-security Switch (config-if)#ip verify source vlan dhcp-snooping port-security 不加 port-security 参数,表示 IP 源防护功能只执行“源 IP 地址过滤”模式 加上 port-security 参数以后,就表示 IP 源防护功能执行“源 IP 和源 MAC 地址过滤”模式 另外,在执行这两条命令之前需要先执行 switchport port-security 命令。
PC 没有发送 DHCP 请求时,其连接的交换机端口默认拒绝除了 DHCP 请求之外的所有数据包,因此 PC 使用静态 IP 是无法连接网络的(除非已经存在绑定好的源 IP 绑定条目,如静态源 IP 绑定条目或者是 之前已经生成的动态 IP 绑定条目还没过期,而且 PC 还必须插在正确的端口并设置正确的静态 IP 地址)。
IP 源防护功能不能防止客户端 PC 的 ARP 攻击。ARP 攻击问题必须由 DAI 功能来解决。
如果要支持 IP 源防护功能,必须是 35 系列及以上的交换机。2960 目前不支持该功能。
三、IP Source Guard 的配置
Switch(config-if)# ip verify source Switch(config-if)#ip verify source vlan dhcp-snooping //接口级命令;在该接口下开启 IP 源防护功能;
以DHCP Snooping 技术为前提讲一下 IP Source Guard 技术的原理。在这种环境下,连接在交换机上的 所有 PC 都配置为动态获取 IP 地址,PC 作为 DHCP 客户端通过广播发送 DHCP 请求,DHCP 服务器将含 有 IP 地址信息的 DHCP 回复通过单播的方式发送给 DHCP 客户端,交换机从 DHCP 报文中提取关键信息 (包括 IP 地址,MAC 地址,vlan 号,端口号,租期等),并把这些信息保存到 DHCP 监听绑定表中。 (以上这个过程是由 DHCP Snooping 完成的)
IP Source Guard配置
1.1 IP Source Guard简介1.1.1 概述IP Source Guard功能用于对接口收到的报文进行过滤控制,通常配置在接入用户侧的接口上,以防止非法用户报文通过,从而限制了对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高了接口的安全性。
IP Source Guard绑定表项可以通过手工配置和动态获取两种方式生成。
图1-1 IP Source Guard功能示意图1.6 IP Source Guard典型配置举例1.6.1 IPv4静态绑定表项配置举例1. 组网需求如图1-2所示,Host A、Host B分别与Device B的接口GigabitEthernet2/0/2、GigabitEthernet2/0/1相连;Host C与Device A的接口GigabitEthernet2/0/2相连。
Device B接到Device A的接口GigabitEthernet2/0/1上。
各主机均使用静态配置的IP地址。
要求通过在Device A和Device B上配置IPv4静态绑定表项,满足以下各项应用需求:∙ Device A的接口GigabitEthernet2/0/2上只允许Host C发送的IP报文通过。
∙ Device A的接口GigabitEthernet2/0/1上只允许Host A发送的IP报文通过。
∙ Device B的接口GigabitEthernet1/0/1上允许Host B发送的IP报文通过。
2. 组网图图1-2 配置静态绑定表项组网图3. 配置步骤(1) 配置Device A# 配置各接口的IP地址(略)。
# 在接口GigabitEthernet2/0/2上配置IPv4接口绑定功能,绑定源IP地址和MAC 地址。
<DeviceA> system-view[DeviceA] interface gigabitethernet 2/0/2[DeviceA-GigabitEthernet2/0/2] ip verify source ip-address mac-address# 配置IPv4静态绑定表项,在Device A的GigabitEthernet1/0/2上只允许MAC地址为0001-0203-0405、IP地址为192.168.0.3的数据终端Host C发送的IP报文通过。
IP DHCP Snooping 和 DAI
IP DHCP Snooping 和 Ip Source Guard、 DAI1.目的为了配合使用公司的dhcp enforcement准入控制组件,强制终端电脑用dhcp来获取IP,并使用内部网络。
为了防止终端用户通过手动设置IP来绕过DHCP,必须在交换机上配合使用IP DHCP Snooping、IP Source Guard、或DAI(dynamic arp inspection)技术,使得手动设置IP的终端电脑无法使用网络。
2.环境如下图其中:3.原理介绍3.1. DHCP Server用于管理分配IP地址从特定的地址池,它可以是一个PC/ROUTER/SWITCH。
3.2. DHCP Relay Agent一个用于在DHCP SERVER与DHCP Client之间转发DHCP Packets的中间三层设备。
它主要应用于DHCP SERVER与Client端在不同的子网时,临时作为一个代理,在它们之间传递数据包。
DHCP Relay Agent的中继转发不同与一般的二层转发,它在收到一个DHCP消息时,会生成一个新的DHCP消息同时发送到外出接口。
3.3. DHCP Snooping一种DHCP安全特性,通过监听DHCP流量,来建立和维护一个DHCP Snooping Binding Database/Table,并且过滤untrusted DHCP消息。
连接在交换机上的所有PC都配置为动态获取IP地址,PC作为DHCP客户端通过广播发送DHCP请求,DHCP服务器将含有IP地址信息的DHCP回复通过单播的方式发送给DHCP客户端,交换机从DHCP报文中提取关键信息(包括IP地址,MAC地址,vlan号,端口号,租期等),并把这些信息保存到DHCP 监听绑定表中。
DHCP Snooping就像是运行在untrusted hosts与DHCP SERVER之间的一个firewall 一样。
IP Source guard配置说明
IP Source Guard配置说明●IP Source Guard原文说明:●IP Source Guard解释----IP Source Guard是一种二层网络安全技术,应用在一个非路由端口下,可以通过dhcp 状态表或手工绑定的ip binding进行流量的严格限制。
应用后,在端口下会被产生一个隐藏的port acl,该acl将限制只有ip source binding的数据流可以流过该端口-—--IP Source Guard可以应用在accesss端口,也可以应用在trunk端口下—-——使用IP Source Guard时,必须配合ip dhcp snooping使用,当应用在access端口下时,打开该端口所属VLAN的ip dhcp snooping,应用在trunk口下时,打开终端连接端口所属VLAN的ip dhcp snooping--—-IP Source Guard可以基于ip地址进行流量过滤(只要ip地址符合即可通过);也可以基于ip 和mac进行过滤(必须ip和mac同时匹配才可以通过),●IP Source Guard配置及步骤说明以下所有的说明基于以下拓扑:拓扑说明:一台核心交换机,提供vlan 30,vlan 40的网关,通过trunk与接入层交换机连接,所有的配置在核心交换机上完成,接入层交换机上使用了两个vlan(30,40),user1 和user2分别位于vlan 30和vlan 401.打开dhcp snooping功能命令:(config)#ip dhcp snooping2.在需要进行IP Source Guard的vlan下打开dhcp snooping功能,针对某个vlan进行实施,如果有多个vlan,则需要打开多个vlan的dhcp snooping功能(这里举例vlan40)命令:(config)#ip dhcp snooping vlan 403.进行IP和MAC地址绑定,例如:命令:ip source binding 00C0。
IP Source Guard
默认情况下,交换机在二层接口上转发数据时,只查看数据包的MAC地址,并不会查看数据包的IP地址,如果要让交换机根据数据包的IP或者同时根据IP与MAC做出转发决定,有多种方法可以实现。
如根据IP 转发,可以通过在接口上应用Port ACL来实现,如果要根据MAC转发,可以通过应用port-security来实现,但无论是Port ACL还是port-security,都存在一些局限性,下面介绍一种扩展性较高的安全防护特性- IP Source Guard,IP Source Guard可以根据数据包的IP地址或IP与MAC地址做出转发决定,如果数据包的IP或MAC是不被允许的,那么数据包将做丢弃处理。
因为IP Source Guard需要根据数据包的IP或者同时根据IP与MAC做出转发决定,所以IP Source Guard 在工作时,需要有一张IP和MAC的转发表,在这张表中,明确记录着哪些IP是可以转发的,哪些MAC可以被转发,其它不能被转发的统统丢弃。
这表转发表称为IP source binding table,并且只能被IP source guard使用。
而IP source binding table表,只有在交换机上开启DHCP snooping功能后,才会生成。
IP Source Guard的这张转发表的条目可以自动学习,也可以手工静态添加,如果是自动学习,是靠DHCP snooping功能学习的,所以只有客户端是通过DHCP请求获得地址,并且DHCP服务器的回复是经过交换机时,才能被DHCP snooping学习到。
当在交换机上同时开启了IP Source Guard与DHCP snooping后,交换机将在开启了的接口上拒绝所有流量通过,只放行DHCP流量,并且会自动应用一条ACL到接口上,也只有ACL允许的IP才能通过,这条ACL无法在正常配置中查看,只能通过表的方式查看。
H3C安全配置指导-IP_Source_Guard配置
1.1.3 动态获取绑定表项
动态获取绑定表项是指通过获取其它模块生成的用户信息来生成绑定表项。目前,可为 IP Source Guard 提供表项信息的模块包括 DHCP Snooping、DHCP 中继和 DHCP 服务器模块。 这种动态获取绑定表项的方式,通常适用于局域网络中主机较多,且主机使用 DHCP 动态获取 IP 地址的情况。其原理是每当局域网内的主机通过 DHCP 服务器获取到 IP 地址时,作为 DHCP Snooping 或 DHCP 中继的设备上就会生成一条 DHCP Snooping 表项或 DHCP 中继表项,并相应 地增加一条 IP Source Guard 绑定表项以允许该用户访问网络。如果某个用户私自设置 IP 地址,则 不会触发设备生成相应的 DHCP 表项,IP Source Guard 也不会增加相应的绑定表项,因此该用户 的报文将会被丢弃。
1-1
IP Source Guard 的绑定功能是针对接口的,一个接口配置了绑定功能后,仅对该接口接收的报文 进行限制,其它接口不受影响。
1.1.2 静态配置绑定表项
静态配置绑定表项是指通过命令行手工配置绑定表项,该方式适用于局域网络中主机数较少且主机 使用静态配置 IP 地址的情况,比如在接入某重要服务器的接口上配置绑定表项,仅允许该接口接收 与该服务器通信的报文。
缺省情况下,接口的IPv4端口 绑定功能处于关闭状态
IPv4端口绑定功能可多次配 置,最后一次的配置生效
1.3.2 配置IPv4 静态绑定表项
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
配置IP Source Guard示例
组网需求
如图5-2所示,HostA与HostB分别与Switch的Eth0/0/1和Eth0/0/2接口相连。
要求在Switch上配置IP Source Guard功能,使HostB不能仿冒HostA的IP和MAC欺骗服务器,保证HostA的IP报文能正常上送。
图5-2 配置IP Source Guard组网图
配置思路
采用如下的思路配置IP Source Guard功能(假设用户的IP地址是静态分配的):
1.接口使能IP报文检查功能。
连接HostA和HostB的接口都需要使能该功
能。
2.配置对IP报文匹配检查。
3.配置静态绑定表。
数据准备
为完成此配置举例,需要准备以下数据:
∙连接HostA的接口:Eth0/0/1;连接HostB的接口:Eth0/0/2。
∙HostA的IP地址:10.0.0.1/24,MAC地址:1-1-1
∙HostA所在VLAN:VLAN10
说明:
以下配置步骤中,只列出了和IP Source Guard配置相关的命令。
操作步骤
1.配置IP报文检查功能
# 在连接HostA的Eth0/0/1接口使能IP报文检查功能。
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] ip source check user-bind enable
# 在连接HostA的Eth0/0/1接口配置IP报文检查告警功能。
[Quidway-Ethernet0/0/1] ip source check user-bind alarm enable
[Quidway-Ethernet0/0/1] ip source check user-bind alarm threshold 200
[Quidway-Ethernet0/0/1] quit
# 在连接HostB的Eth0/0/2接口使能IP报文检查功能。
[Quidway] interface ethernet 0/0/2
[Quidway-Ethernet0/0/2] ip source check user-bind enable
[Quidway-Ethernet0/0/2] quit
# 在连接HostB的Eth0/0/2接口配置IP报文检查告警功能。
[Quidway-Ethernet0/0/2] ip source check user-bind alarm enable
[Quidway-Ethernet0/0/2] ip source check user-bind alarm threshold 200
[Quidway-Ethernet0/0/2] quit
2.配置静态绑定表项
# 配置HostA为静态绑定表项。
[Quidway] user-bind static ip-address 10.0.0.1 mac-address
0001-0001-0001 interface gigabitethernet 1/0/1 vlan 10
3.验证配置结果
在Switch上执行display dhcp snooping user-bind all命令可以查看绑定表信息。
<Quidway> display dhcp snooping user-bind all
DHCP static Bind-table:,Flags:O - outer vlan ,I - inner vlan ,P - map vlan,
IP Address MAC Address VSI/VLAN(O/I/P)Interface,
---------------------------------------------------------------
-----------------,
10.0.0.1 0001-0001-0001 10 /-- /--
Eth0/0/1,
---------------------------------------------------------------
-----------------,
print count: 1 total count: 1,
从显示信息可知,HostA已经配置为静态绑定表项,HostB不在绑定表中。
配置文件
#
user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface Ethernet 0/0/1 vlan 10
#
interface Ethernet 0/0/1
ip source check user-bind enable
ip source check user-bind alarm enable
ip source check user-bind alarm threshold 200
#
interface Ethernet 0/0/2
ip source check user-bind enable
ip source check user-bind alarm enable
ip source check user-bind alarm threshold 200
#
return。