摘要:简要介绍基于静态绑定表或DHCP snooping动态绑定表过滤非法主机发送的报文,防止非法主机访问或者攻击网络的原理,并在实际设备上演示如何配置基于静态绑定表和DHCP snooping动态绑定表的IPSG功能。
01 应用场景&实现原理
IPSG可以防止恶意主机伪造合法主机的IP地址仿冒合法主机来访问网络或攻击网络。
它是利用交换机上的绑定表过滤非法主机发送的报文,以阻止非法主机访问网络或者攻击网络。
绑定表分为静态绑定表和DHCP Snooping动态绑定表。
静态绑定表:通过user-bind命令手工配置。该方式适用于局域网络中主机数较少,且主机使用静态配置IP地址的网络环境。
DHCP Snooping动态绑定表:配置DHCP Snooping功能后,DHCP主机动态获取IP地址时,设备根据DHCP服务器发送的DHCP回复报文动态生成。该方式适用于局域网络中主机较多,且主机使用DHCP动态获取IP地址的网络环境。
02 静态绑定表配置示例
组网需求
某公司员工通过交换机连接网络。研发人员IP地址为10.0.0.1,人力资源员工IP地址为10.0.0.11,设备上配置ACL,只允许人力资源员工10.0.0.11可以访问Internet。
并且,在人力资源员工出差关机的情况下,研发员工也不能通过私自将IP地址更改为10.0.0.11访问Internet。
配置思路
1. 在Switch上创建研发员工和人力资源员工的绑定表。
2. 在Switch的GE0/0/1和GE0/0/2接口下使能IPSG检查功能。
具体实现:
system-view//进入系统视图
[HUAWEI] interfacegigabitethernet 0/0/1 //进入GEO/0/1接口视图
[HUAWEI-GigabitEthernet0/0/1]ip source check user-bind enable//使能GE0/0/1接口的IPSG检查功能
[HUAWEI-GigabitEthernet0/0/1]quit //退出GEO/0/1接口视图
[HUAWEI]interface gigabitethernet 0/0/2 //进入GEO/0/2接口视图
[HUAWEI-GigabitEthernet0/0/2]ip source check user-bind enable //使能GE0/0/2接口的IPSG检查功能
[HUAWEI-GigabitEthernet0/0/2]quit //退出GDO/0/2接口视图
03 动态绑定表配置示例
组网需求
公司某部门员工IP地址均通过DHCP方式获取,通过部署IPSG实现员工只能使用DHCP Server分配的IP地址,不允许私自配置静态IP地址,如果私自指定IP地址将无法访问网络。
配置思路
1.在Switch1上配置DHCP Snooping功能,生成DHCP Snooping动态绑定表
2.在Switch 1连接员工主机的VLAN10上使能IPSG功能。
备注:此处省略DHCP配置,要求已完成相关配置,并且员工已通过DHCP方式动态获取到IP地址。
system view //进入系统视图
[HUAWEI] dhcp enable //全局使能DHCP功能
[HUAWEI] dhcp snooping enable //全局使能DHCPSnooping功能
[HUAWEI] vlan 10 //进入VLAN10视图
[HUAWEI-vlan10] dhcp snooping enable //在VLAN视图下使能DHCP Snooping功能
[HUAWEI-vlan10] dhcp snooping trusted interface gigabitethernet0/0/3 //将连接DH
[HUAWEI-vlan10] ip source check user-bind enable //基于VLAN使能IPSG检查功能
[HUAWEI-vlan10] quit //退出VLAN视图
04 结束语
IP绑定虽然不是什么特别复杂的技术,但是经常在工作中中用到,这里介绍到的方法只是手动设置,怎做到批量的设置,需要进一步试验。
本文由网络视频整理得到,视频地址为:
https://info.support.huawei.com/network/ptmngsys/Web/OnlineCourse_Switch/zh/mooc/s/configuration_other_zh.html
领取专属 10元无门槛券
私享最新 技术干货