组网图形
IPSG简介
- IPSG是一种基于二层接口的源IP地址过滤技术,它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成,包括静态和动态两种。静态绑定表是用户手工创建的,动态绑定表即DHCP Snooping绑定表,它是在主机动态获取IP地址时,交换机根据DHCP回复报文自动生成的。绑定表生成后,在使能IPSG的接口收到报文后,交换机会将报文中的信息和绑定表匹配,匹配成功则允许报文通过,匹配失败则丢弃报文。匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意组合,例如可以只匹配IP地址,或者只匹配IP地址和MAC地址,或者IP地址、MAC地址、VLAN ID和接口都匹配等。
- 基于此,IPSG能够防止恶意主机盗用合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或者攻击网络。
- 例如:在主机是DHCP服务器动态分配IP地址的环境下,主机只能使用服务器动态分配的IP地址,私自配置静态IP地址将无法访问网络,除非管理员为主机创建静态绑定表项。
组网需求
- 如图1所示,Host通过ACC接入网络,Core作为DHCP Server为Host动态分配IP地址,打印机使用静态IP地址,Gateway为企业出口网关。管理员希望Host不能私自配置静态IP地址,私自配置IP地址后将无法访问网络。
配置思路
- 1.在Core上配置DHCP Server功能,为Host动态分配IP地址。
- 2.在ACC上配置DHCP Snooping功能,保证Host从合法的DHCP Server获取IP地址,同时生成DHCP Snooping动态绑定表,记录Host的IP地址、MAC地址、VLAN、接口的绑定关系。
- 3.在ACC上为打印机创建静态绑定表,保证打印机的安全接入。
- 4.在ACC连接用户的VLAN上使能IPSG功能,防止Host通过私自配置IP地址的方式访问网络。
操作步骤
- 1.在Core上配置DHCP Server功能
<HUAWEI> system-view [HUAWEI] sysname Core [Core] vlan batch 10 [Core] interface gigabitethernet 0/0/1 [Core-GigabitEthernet0/0/1] port link-type trunk [Core-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 [Core-GigabitEthernet0/0/1] quit [Core] dhcp enable [Core] ip pool 10 [Core-ip-pool-10] network 10.1.1.0 mask 24 [Core-ip-pool-10] gateway-list 10.1.1.1 [Core-ip-pool-10] quit [Core] interface vlanif 10 [Core-Vlanif10] ip address 10.1.1.1 255.255.255.0 [Core-Vlanif10] dhcp select global [Core-Vlanif10] quit
- 2.在ACC上配置DHCP Snooping功能
# 配置各接口所属VLAN。
<HUAWEI> system-view [HUAWEI] sysname ACC [ACC] vlan batch 10 [ACC] interface gigabitethernet 0/0/1 [ACC-GigabitEthernet0/0/1] port link-type access [ACC-GigabitEthernet0/0/1] port default vlan 10 [ACC-GigabitEthernet0/0/1] quit [ACC] interface gigabitethernet 0/0/2 [ACC-GigabitEthernet0/0/2] port link-type access [ACC-GigabitEthernet0/0/2] port default vlan 10 [ACC-GigabitEthernet0/0/2] quit [ACC] interface gigabitethernet 0/0/3 [ACC-GigabitEthernet0/0/3] port link-type access [ACC-GigabitEthernet0/0/3] port default vlan 10 [ACC-GigabitEthernet0/0/3] quit [ACC] interface gigabitethernet 0/0/4 [ACC-GigabitEthernet0/0/4] port link-type trunk [ACC-GigabitEthernet0/0/4] port trunk allow-pass vlan 10 [ACC-GigabitEthernet0/0/4] quit
# 使能DHCP Snooping功能,并将连接DHCP Server的GE0/0/4接口配置为信任接口。
[ACC] dhcp enable //使能DHCP功能 [ACC] dhcp snooping enable //使能DHCP Snooping功能 [ACC] vlan 10 [ACC-vlan10] dhcp snooping enable //使能DHCP Snooping功能 [ACC-vlan10] dhcp snooping trusted interface gigabitethernet 0/0/4 //配置信任接口 [ACC-vlan10] quit
- 3.创建打印机的静态绑定表项
[ACC] user-bind static ip-address 10.1.1.2 mac-address 0003-0003-0003 interface gigabitethernet 0/0/3 vlan 10
- 4.在ACC的VLAN10上使能IPSG功能
[ACC] vlan 10 [ACC-vlan10] ip source check user-bind enable //使能IPSG功能 [ACC-vlan10] quit
- 5.验证配置结果
Host上线后,在ACC上执行display dhcp snooping user-bind all命令,可以查看Host的动态绑定表信息。
[ACC] display dhcp snooping user-bind all DHCP Dynamic Bind-table: Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping IP Address MAC Address VSI/VLAN(O/I/P) Interface Lease -------------------------------------------------------------------------------- 10.1.1.254 0001-0001-0001 10 /-- /-- GE0/0/1 2014.08.17-07:31 10.1.1.253 0002-0002-0002 10 /-- /-- GE0/0/2 2014.08.17-07:34 -------------------------------------------------------------------------------- print count: 2 total count: 2
在ACC上执行display dhcp static user-bind all命令,可以查看打印机的静态绑定表信息。
[ACC] display dhcp static user-bind all DHCP static Bind-table: Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping IP Address MAC Address VSI/VLAN(O/I/P) Interface -------------------------------------------------------------------------------- 10.1.1.2 0003-0003-0003 10 /-- /-- GE0/0/3 -------------------------------------------------------------------------------- Print count: 1 Total count: 1
Host使用DHCP服务器动态分配的IP地址可以正常访问网络,将Host更改为与动态获得的IP地址不一样的静态IP地址后无法访问网络。