相关文章学习:
安全典型配置(一)使用ACL限制FTP访问权限案例
安全典型配置(二)使用ACL限制用户在特定时间访问特定服务器的权限案例
安全典型配置(三)使用ACL禁止特定用户上网案例
安全典型配置(四)使用自反ACL实现单向访问控制案例
安全典型配置(五)SNMP中应用ACL过滤非法网管案例
配置IPSG限制非法主机访问内网案例(静态绑定)
IPSG简介
IPSG是一种基于二层接口的源IP地址过滤技术,它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成,包括静态和动态两种。静态绑定表是用户手工创建的,动态绑定表即DHCP Snooping绑定表,它是在主机动态获取IP地址时,交换机根据DHCP回复报文自动生成的。绑定表生成后,在使能IPSG的接口收到报文后,交换机会将报文中的信息和绑定表匹配,匹配成功则允许报文通过,匹配失败则丢弃报文。匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意组合,例如可以只匹配IP地址,或者只匹配IP地址和MAC地址,或者IP地址、MAC地址、VLAN ID和接口都匹配等。
因此,IPSG能够防止恶意主机盗用合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或者攻击网络。
例如:在主机是静态分配IP地址的环境下,主机只能使用管理员分配的固定IP地址,并从固定的接口上线。同时出于安全考虑,不允许外来人员的电脑随意接入内网。
配置注意事项
除以下提及的产品形态外,其他版本的各形态均适用本示例。
-
V100R006C05版本中,S2700-SI不支持IPSG功能。
-
如下版本设备使能IPv4报文三层硬转功能后,不支持IPSG功能。
-
V200R007C00、V200R008C00、V200R011及之后版本:S2750-EI、S5700-10P-LI-AC和S5700-10P-PWR-LI-AC
-
V200R009C00及V200R010C00版本:S2720-EI、S2750-EI、S5700-10P-LI-AC和S5700-10P-PWR-LI-AC
组网需求
如图1所示,Host通过Switch接入网络,Gateway为企业出口网关,各Host均使用静态配置的IP地址。管理员在Switch上做了接口限制,希望Host使用管理员分配的固定IP地址、从固定的接口上线。同时为了安全考虑,不允许外来人员的电脑随意接入内网。
图1 配置IPSG限制非法主机访问内网(静态绑定)组网图
数据规划
在开始配置之前,需要规划好以下数据。
配置思路
采用如下的思路在Switch上配置IPSG功能,实现上述需求。
-
在Switch上配置各接口所属VLAN。
-
在Switch上创建Host_1和Host_2的静态绑定表项,固定IP地址、MAC地址、接口的绑定关系。
-
在Switch上配置GE0/0/4为信任接口,从该接口收到的报文不执行IPSG检查,防止从Gateway回程报文被丢弃。
-
在Switch连接用户主机的VLAN上使能IPSG功能,实现Host_1、Host_2使用固定的IP地址、从固定的接口上线,并且外来主机Host_3无法随意接入内网。
操作步骤
1、配置各接口所属VLAN
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 10
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 10
[Switch-GigabitEthernet0/0/3] quit
[Switch] interface gigabitethernet 0/0/4
[Switch-GigabitEthernet0/0/4] port link-type trunk
[Switch-GigabitEthernet0/0/4] port trunk allow-pass vlan 10
[Switch-GigabitEthernet0/0/4] quit2、创建Host_1和Host_2的静态绑定表项
[Switch] user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface gigabitethernet 0/0/2 //创建Host_2的静态绑定表项
[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 0/0/1 //创建Host_1的静态绑定表项3、配置上行口GE0/0/4为信任接口
[Switch] dhcp enable //使能DHCP功能
[Switch] dhcp snooping enable //使能全局DHCP Snooping功能
[Switch] interface gigabitethernet 0/0/4
[Switch-GigabitEthernet0/0/4] dhcp snooping trusted //配置信任接口
[Switch-GigabitEthernet0/0/4] quit4、在连接Host的VLAN10上使能IPSG功能
[Switch] vlan 10
[Switch-vlan10] ip source check user-bind enable
[Switch-vlan10] quit5、验证配置结果
在Switch上执行display dhcp static user-bind all命令,可以查看Host_1和Host_2的绑定表信息。
[Switch] display dhcp static user-bind all
DHCP static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address MAC Address VSI/VLAN(O/I/P) Interface
--------------------------------------------------------------------------------
10.0.0.1 0001-0001-0001 -- /-- /-- GE0/0/1
10.0.0.2 0002-0002-0002 -- /-- /-- GE0/0/2
--------------------------------------------------------------------------------
Print count: 2 Total count: 2
Host_1和Host_2可以正常访问网络,更换IP地址或者从其他接口接入后将无法访问网络。
将一台外来主机Host_3配置10.0.0.3的IP地址并接入接口GE0/0/3后,Host_3仍无法访问网络,说明外来主机不能通过随意设置IP地址访问内网。如果Host_3需要访问内网资源,需要管理员在静态绑定表中添加Host_3的表项。
配置文件
Switch的配置文件
sysname Switch
#
vlan batch 10
#
dhcp enable
#
dhcp snooping enable
user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface GigabitEthernet0/0/1
user-bind static ip-address 10.0.0.2 mac-address 0002-0002-0002 interface GigabitEthernet0/0/2
#
vlan 10
ip source check user-bind enable
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk allow-pass vlan 10
dhcp snooping trusted
#
return
